Helseforetakenes senter for pasientreiser ANS
|
|
- Carsten Christoffersen
- 7 år siden
- Visninger:
Transkript
1 Helseforetakenes senter for pasientreiser ANS 2/2013 Rapport - Oppfølging av tidligere gjennomførte revisjoner Revisjonsrapport Internrevisjonen Side 1 av 44
2 Tidsrom for revisjonen Virksomhet Helseforetakenes senter for pasientreiser ANS Rapportmottaker Administrerende direktør Kopi (endelig rapport) Styret v/styreleder Rapportavsender Internrevisjonen Oppdragsgiver Styret Oppdragsleder Sverre Lunde Revisjonsteam Sverre Lunde Kundeansvarlig Tove Kolbeinsen Innholdsfortegnelse 1. Sammendrag Kort om området som skal revideres Formål, problemstillinger og metode Revisjonskriterier Vurderingskriterier Oppsummering av funn Vedlegg Informasjonsgrunnlag Gjennomførte intervjuer Saksgang Revisjonsrapport Internrevisjonen Side 2 av 44
3 1. Sammendrag Hovedfunn Pasientreiser ANS har etablert en avtale med konsernrevisjonen i Helse Sør-Øst RHF om levering av internrevisjonstjenester. Det er så langt gjennomført tre revisjonsprosjekter (Prosjekter 1-3, 2011). Denne revisjonen er en oppfølgingsrevisjon hvor anbefalinger og styrets vedtatte tiltaksplaner som fulgte av de tre første revisjonene er gjennomgått og vurdert. Til sammen 57 tiltak knyttet til røde og gule observasjoner er gjennomgått. Fokus har vært på i hvilken grad tiltakene er implementert, og hvordan utvalgte tiltak fungerer etter hensikten, og om det er akseptabel risiko på reviderte områder etter gjennomføring av tiltakene. Selskapets system for oppfølging av interne revisjonsprosjekter er også vurdert. Hovedkonklusjonen er at styrets vedtatte tiltak er tilfredsstillende fulgt opp, og at Pasientreiser ANS har etablert et hensiktsmessig system for oppfølging av interne revisjonsrapporter. Vi har likevel funnet følgende forbedringsområder: Revisjon virksomhetsstyring del 1: 1) Kontinuitets og beredskapssystem. Avsnitt (s 39) - det er så langt ikke gjennomført beredskapsøvelser i Pasientreiser ANS 2) Risikovurderinger. Avsnitt (s 34) - Det er nedlagt et betydelig arbeid i å forbedre selskapets tilnærming til risikostyring og internkontroll. Metodedokumentet inneholder imidlertid ikke definisjoner av sentrale begreper. Det er enkelte tiltak som ikke er ferdigstilt, men hvor arbeidet pågår. Et av disse harmonisering mellom selskapsavtalen og SLA berører selve styringsmodellen for pasientreiser og eies ikke fullstendig av selskapet selv. For både dette og andre tiltak med utsatt ferdigstillelse er det tilfredsstillende redegjort for årsaker og planlagt fremdrift i rapporteringen til styret. Konklusjoner Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. Vi har likevel enkelte anbefalinger. Anbefalinger Internrevisjonen anser at det ikke er vesentlig risiko for Pasientreiser, knyttet til det fåtall av tiltak som enda ikke er ferdigstilt. Internrevisjonen anbefaler at Pasientreiser vurderer å sette i verk følgende tiltak: Pasientreiser ANS bør gjennomføre regelmessige Beredskapsøvelser og innarbeide dette sin krise- og beredskapsplan For å gjøre metodikken for risikostyring og internkontroll enda mer tilgjengelig anbefaler vi at det inntas definisjoner av sentrale begreper i dokumentet «Mal og rutine for risikovurdering. Revisjonsrapport Internrevisjonen Side 3 av 44
4 2. Kort om området som skal revideres Beskrivelse av område/prosess som er revidert Oppfølging av tiltak etter revisjon av selskapets prosesser for systemforvaltning (1/2011) Målsettinger for området/prosessen som er revidert Pasientreiser ANS har systemeierskapet for direkteoppgjør (NISSY), telefontjenesten og reiser uten rekvisisjon i enkeltoppgjørsregisteret (PRO). Systemeierskapet krever god systemforvaltning for at systemene skal bidra til selskapets måloppnåelse. Oppfølging av tiltak etter revisjon av selskapets prosesser for SLA (2/2011) Oppfølging av tiltak etter revisjon av selskapets system og prosesser for virksomhetsstyring (3/2011). Med virksomhetsstyring menes de prosessene og aktivitetene som gjennomføres for å sette interne mål, definere oppgaver og aktiviteter for å oppfylle målene, å måle resultater mot målene og bruk av informasjonen til å ha styring, kontroll og læring for å utvikle og forbedre sin interne virksomhet. Det er etablert tjenesteavtaler som regulerer ansvaret mellom pasientreiser ANS de regionale helseforetakene, samt at gjennom selskapsavtalen har også Pasientreiser et sørge for -ansvar innenfor pasientreiseområdet (selskapsavtalen pkt 5). Formålet med tjenestenivåavtalen er å ha en omforent tolkning av hvilke tjenester Pasientreiser ANS skal levere, hva tjenesten inneholder og dens målsetning (tjenestekvalitet). Virksomhetsstyring brukes her om Pasientreiser ANS interne styring og oppfølging av oppgaver som skal gjennomføres for å levere tjenester som oppfyller overordnede føringer fra eierne og i samsvar med inngåtte avtaler. Revisjonsrapport Internrevisjonen Side 4 av 44
5 Avgrensninger Hovedfokus rettes mot anbefalinger/tiltak som vurderes å ha høy vesentlighet (virker mot risikoer som vurderes som høy), eller som ikke er implementert. Alle funn i alle tre revisjoner er gjennomgått. Videre er alle funn kategorisert med rød eller gul farge fulgt opp og vurdert i denne rapportens del 6. Styrets vedtatte tiltak (til sammen 57) knyttet til de enkelte av disse funnene er kommentert med hensyn til om tiltakene er vurdert å være tilfredsstillende gjennomført. For en rekke tiltak er det innhentet dokumenter som underbygger om tiltakene er gjennomført, se oversikt i vedlegg 7.1. Alle observasjoner og vurderinger er i tillegg støttet av intervjuer, se vedlegg 7.2. Det er foretatt et ytterligere utvalg av punkter hvor internrevisjonen også har foretatt en vurdering/testing av tiltakenes kvalitet/virkning. Dette gjelder spesielt for områdene risikostyring og internkontroll. Revisjonsrapport Internrevisjonen Side 5 av 44
6 3. Formål, problemstillinger og metode Formål med revisjonen Problemstillinger som skal undersøkes Metode Formålet med oppfølgingsrevisjonene er å bekrefte i hvilken grad tiltak etter revisjonene av systemforvaltning, SLA og virksomhetsstyring (del 1) fra 2011 og 2012, er implementert og virker som forutsatt. I hvilken grad er de styrevedtatte tiltaksplanene implementert? I hvilken grad virker tiltakene som forutsatt? Hva er eventuelt årsakene til at tiltak ikke er iverksatt/virker som forutsatt? I hvilken grad er gjenværende risiko på de tre tidligere reviderte områdene innenfor akseptabelt nivå? I hvilken grad har Pasientreiser ANS etablert et hensiktsmessig og effektivt system for oppfølging av interne revisjonsrapporter/anbefalinger? Planlegging av revisjon og oppstart Innledende risikoanalyse og avgrensning. Intervjuer, gjennomgang av dokumentasjon på gjennomføring og virkning av vedtatte tiltak Evaluere grad av gjennomføring av vedtatte tiltaksplaner Teste effektiviteten av utvalgte tiltak Evaluere hensiktsmessigheten i etablert system for oppfølging av interne revisjoner Resultatene fra prosjektet bearbeides i rapports form 4. Revisjonskriterier Revisjonskriterier Revisjonskriterier er utarbeidet med utgangspunkt i hvordan selskapets tiltaksarbeid/handlingsplan bør planlegges, gjennomføres og følges opp for å imøtekomme anbefalingene i revisjonsrapportene. I tillegg er kriterier som lå til grunn for revisjonsrapportene 1, 2 og 3 /2011, tatt med for å vurdere faktisk tilstand på oppfølgingstidspunktet. De ulike kriteriene er avledet fra anerkjente rammeverk for intern styring og kontroll. Kriterier for oppfølging av interne revisjonsrapporter: Revisjonsrapport Internrevisjonen Side 6 av 44
7 Tilstrekkelige og hensiktsmessige handlingsplaner. Selskapets handlingsplaner må være dekkende ved at de sikrer at alle anbefalingene følges opp med tiltak og gjøres gjeldende for selskapet samlet sett. Roller, ansvar og frister. Roller og ansvar for tiltakene må være klare og tydelige. Det må være etablert klare frister for når tiltakene i handlingsplanene skal være gjennomført. Handlingsplanene bør oppdateres løpende dersom frister eller rolle- og ansvarsforhold endrer seg og endringen bør kommenteres. Forankring. Innholdet i handlingsplanene, herunder mål, tiltak, roller og ansvar, må være kommunisert og forankret på alle nivå. Ledelsens oppfølging og rapportering. For å sikre at tiltak i handlingsplanene får effekter, må ledelsen sørge for at disse faktisk følges opp. Dette kan skje ved oppfølging og rapportering av fastsatte tiltak. Det må være tydelige rapporteringslinjer i oppfølgingen av handlingsplanene. Dette innebærer at det må være definert hvem som skal rapportere på de enkelte tiltak internt i selskapet, samt hvor og til hvilken tid det skal rapporteres. Når det gjelder rapporteringen må den være pålitelig både internt i selskapet og til styret. Pålitelig rapportering sørger for at mottakerne får nøyaktig og fullstendig informasjon som er tilpasset formålet den er ment for. Den støtter ledelsen og styret i dens beslutningstaking og oppfølging av virksomhetens aktiviteter og resultater. 5. Vurderingskriterier Vurderingskriterier Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. Det er observert feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det bør settes i verk tiltak. Det er observert vesentlige feil og/eller svakheter i intern styring og kontroll i prosessen som er kartlagt. Det må settes i verk tiltak. Revisjonsrapport Internrevisjonen Side 7 av 44
8 6. Oppsummering av funn Pasientreiser - 2/2011 Rapport Revisjon av SLA Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status 4.2 For tilleggstjenester som utføres av pasientreiser skal det foreligge en tilleggsavtale som skal signeres av samtlige berørte parter før tjenesten leveres. Internrevisjonen har observert at Pasientreiser ANS utøver tilleggstjenester for pasientreisekontorene. Dette er i hovedsak utleie av personell som bistår Pasientreisekontorene i saksbehandlingen enten som vikarer eller ekstrapersonell i perioder der det er mye å gjøre. Internrevisjonen har fått oversendt kontrakt mellom Pasientreiser og Nordlandsykehuset HF som viser hvordan en slik tilleggsavtale er utformet. Internrevisjonen har på bakgrunn av oppdragsliste bedt om å få oversendt gjeldene avtale med Helse Fonna som dekker perioden januar - februar 2011 og Helse Stavanger for perioden juli august Internrevisjonen har observert at Pasientreiser ikke fullt ut etterlever SLA avtalens krav om at det skal foreligge ny signert avtale for alle tilleggstjenester og den praksis Pasientreiser har lagt til grunn. Internrevisjonen har forståelse for at dagens krav til å signere ny avtale for hvert tjenestekjøp kan oppfattes som tungvint. Internrevisjonen anbefaler derfor at Pasientreiser oppdaterer gjeldene SLA avtale til å gjenspeile reell praksis. Eksempelvis kan en innføre et rammeavtalekonsept der selve SLA avtalen definerer de grunnlegender betingelsene for tjenesten, og selve avropet gjøres i en forhåndsdefinert e- post/skjema el.l som minimum refererer til gjeldene SLA og beskriver omfanget (eks. varigheten) for tjenesten i det enkelte tilfellet. Rapporten ble behandlet i styremøtene: , jf. Styresak og jf. Styresak Ved behandlingen av rapporten fattet styret bl.a. følgende vedtak: Styresak 051/2011 «Revisjonsrapporten påpeker at praksis vedr tilleggstjenester er at Pasientreiser ikke etterlever SLA avtalens krav om at det skal foreligge ny signert avtale for alle tilleggstjenester Pasientreiser yter. Dette foreslås korrigert ved å utforme en standardtekst der hvert pasientreisekontor som måtte være i behov av tilleggstjenester signerer en avtale med Pasientreiser ANS. Ved ytterligere behov for konkret uttak av tilleggstjenester skjer dette gjennom avrop via denne signerte avtalen. Ved ordinær revisjon av SLA-avtalen i 2012 vurderes hvorvidt det Revisjonsrapport Internrevisjonen Side 8 av 44
9 Pasientreiser - 2/2011 Rapport Revisjon av SLA Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Pasientreiser har ikke kunne fremskaffe signert avtale for den bestemte perioden, men viser til at de legger til grunn tidligere signert avtale og tar alle nye bestillinger pr e-post og telefon. På bakgrunn av at bestillinger/bekreftelser i stor grad gjøres pr. e-post har vi gjennomgått e-postene og observert at det kun foreligger e- post bestilling i 2 av 3 tilfeller. også bør gjøres endringer i avtaleteksten.» Internrevisjonen har observert at ytelser av tilleggstjenester nå reguleres gjennom egne vedlegg til SLA- avtalen. Det er så langt ikke vært vurdert som hensiktsmessig å gjennomføre en full reforhandling av SLA, da dette er en krevende prosess som involverer alle regionale helseforetak. Revisjonen har også gjennomgått eksempel på vedlegg til SLA- avtalen for å bekrefte at dette tiltaket er gjennomført. Revisjon av vedleggene til SLA ble sist gjennomført i slutten SLA avtalene skal være utformet på en måte som tydelig beskriver ansvar og oppgaver, kravene til kvalitet i tjenestene skal være så langt som Internrevisjonen har gjennomgått tjenestenivåavtalen med vedlegg. Hoveddokumentet beskriver forholdet mellom partene. Vedlegg 1 beskriver hvilke tjenester Pasientreiser skal yte til hvilke kvalitet. Vedlegg 2 beskriver mandatet til samarbeidsforum. I gjennom- Det er internrevisjonens vurdering at: På enkeltområder beskriver ikke SLA avtalen hvilke tjenestekvalitet tjenesten skal ha. Dette kan medføre uklare forventinger mellom Pasientreiser og tjenestemottaker. Internrevisor anbefaler at SLA avtalen oppdateres med en beskrivelse av det tjenestenivået Pasientreiser mener de Som nevnt under forrige punkt er det ikke gjennomført noen helhetlig reforhandling av SLA avtalen. Når det gjelder krav til beskrivelse av tjenestekvalitet er dette nå nærmere regulert gjennom egne vedlegg til SLA avtalen. Revisjonsrapport Internrevisjonen Side 9 av 44
10 Pasientreiser - 2/2011 Rapport Revisjon av SLA Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status mulig målbare. gangen observerer internrevisor at avtalens vedlegg 1 tydelig og lett forståelig beskriver basistjenestene med tilhørende kvalitetskrav, men har følgende merknader: 1. På enkeltområder kan det være vanskelig å skille mellom ansvar, oppgaver og kvalitetskrav. Blant annet observerer internrevisjonen at for IT tjenestene 05515, PRO og NISSY er det kun definert ansvar og oppgaver knyttet til systemdriften og ikke krav til kvalitet i tjenestene. Internrevisjonen har observert at Pasientreiser rapporterer på tjenestestabilitet knyttet til IT tjenestene i forhold til det tjenestenivået som er lagt til grunn mellom Norsk helsenett og Pasientreiser ANS. 2. Internrevisjonen kan ikke kan levere slik at forventingene mellom partene er avklart. 1. SLA avtalen beskriver ikke hvordan tjenestekvalitet skal måles. Dette kan medføre uklare tolkninger av tjenestekvaliteten. Internrevisjonen anbefaler at SLA avtalen oppdateres med en beskrivelse av hvordan tjenestekvaliteten skal måles og beregnes. 2. SLA avtalen er på et punkt uklar i forhold til selskapsavtalen. Med bakgrunn i at de regionale helseforetakene er eiere og i hovedsak forholder seg til selskapsavtalen, mens helseforetakene er tjenestemottakere og forholder seg til SLA avtalen, kan dette medføre at det oppstår uklare forventinger om ansvar og myndighet mellom partene. Internrevisor anbefaler at SLA avtalen oppdateres iht. selskapsavtalen, eller at Pasientreiser får avstemt med sine Det er utviklet egne målekort med tilhørende måltall (KPI) for måling av tjenestekvalitet. Disse målekortene dekker relevante mål- og parametre. Selskapet rapporterer månedlig og til styret ved styrets møter. Med hensyn til regelverksfortolkning har Pasientreiser ANS utgitt en veileder som gir klarere føringer for tolkning av regelverket for pasientreiser. Når det gjelder Pasientreiser ANS sin rolle som regelverksfortolker, er status her at dette ikke er mer klargjort nå enn tidligere. Dette skyldes at rollen her er påvirket av styringsmodellen for pasientreiser hvor Pasientreiser ANS ikke kan binde pasientreisekontorene ved helseforetakene. Som tidligere vil det derfor variere i hvilken grad helseforetakene retter seg etter Pasientreiser ANS sine regelverksfortolkninger. Når det gjelder punktet med avvik mellom SLA- avtalen og selskapsavtalen så er dette gjenstand for en prosess og diskusjon med Revisjonsrapport Internrevisjonen Side 10 av 44
11 Pasientreiser - 2/2011 Rapport Revisjon av SLA Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status finne en beskrivelse i SLA avtalen på hvordan tjenestekvalitet skal regnes ut, men på forespørsel får vi oppgitt hvordan dette gjøres fra Pasientreiser sin side. 3. Internrevisjonen observerer at SLA avtalen stiller krav til at Pasientreiser skal være RHFenes instans for regelverksfortolkning, mens det i selskapsavtalen fremgår at Pasientreiser skal være faglig kompetansesenter. Det er uklart for Internrevisjonen om dette kan tolkes som om Pasientreiser har tolkningsretten og skal på dette grunnlag utarbeide førende tolkningsprinsipper for bransjen, eller om pasientreisers uttalelser kun skal være veiledende. Av intervjuer internrevisjonen har gjort hos Pasientreiser eiere om deres rolle som regelverksfortolkere er veiledende eller bindene overfor helsehelseforetakene. eierne av selskapet. Revisjonsrapport Internrevisjonen Side 11 av 44
12 Pasientreiser - 2/2011 Rapport Revisjon av SLA Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status har vi fått inntrykk av at dette medfører uklarheter for Pasientreiser for hvordan de skal sikre lik praksis, opplæring med mer på tvers av pasientreisekontorene. Internrevisor er enig i at dette er et vesentlig forhold som bør avklares og førende for hvordan Pasientreiser skal utøve sitt ansvar. 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Pasientreiser skal ha etablert og dokumentert rolle og ansvarsbeskrivels er som sikrer resultateierskap til alle oppgaver som skal utføres. Internrevisjonen har observert at det foreligger en beskrivelse av organiseringen av IKT funksjonen i selskapet og at rollene systemeier, arkitekt og områdeansvarlig er dokumentert. Videre er det observert at det er blitt gjort endringer i organiseringen av ansvar og roller den siste tiden som en del av de Internrevisjonens intervjuer og gjennomganger viser at det i stor grad er samsvar med de roller og ansvarsbeskrivelser som er skissert. Internrevisjonen observerer at det har vært noen uklarheter knyttet til ansvar og oppgaver mellom Pasientreiser og leverandører, men at det her er iverksatt kortsiktige tiltak. De endringene som er gjort er ikke Rapporten ble behandlet i styremøtet jf. Styresak Med hensyn til internrevisjonsrapportens funn ble det vedtatt fire tiltak. Deretter ble tiltaksplanen og status for gjennomføring fulgt Revisjonsrapport Internrevisjonen Side 12 av 44
13 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status kortsiktige tiltakene for å øke stabiliteten. Internrevisjonen observerer at disse endringene ikke på revisjonstidspunktet var reflektert i rollebeskrivelsene. Internrevisjonen observerer at økonomisjef har overtatt ansvaret for IKT, samtid er det for å øke kapasiteten innenfor økonomiområdet tilsatt en assisterende økonomisjef. Internrevisjonen observerer videre at Pasientreiser gjennomfører mini konkurranse blant sine leverandører om bistand til å forbedre styring og organiseringen av Pasientreiser sin IKT funksjon i et langsiktig perspektiv. reflektert i oppdaterte rollebeskrivelser. Internrevisjonen er for øvrig positiv til at det gjennomføres et prosjekt for å vurdere forbedringer i IKT styring og organisering. Internrevisjonen anbefaler likevel Pasientreise å oppdatere relevante beskrivelser. opp i møtet den jf. Styresak , og endelig i sluttrapport til møtet den , jf. Styresak : Gjennomgå og komplementere rollebeskrivelser og samhandlingsmønster internt på IKT (Utført ) Oppdatere rollebeskrivelser og samhandlingsmønstre mellom Pasientreiser og applikasjonsleverandører (Utført ) Oppdatere rollebeskrivelser og samhandlingsmønstre mellom Pasientreiser og driftsleverandører (Utført ) Gjennomføre prosjektet «Kvalitetsgjennomgang av IKT funksjonen» (Utført ) Internrevisjonen har gjennomgått rapporten fra kvalitetsgjennomgang av IKT. I tillegg er punktene fulgt opp gjennom intervjuer. Revisjonsrapport Internrevisjonen Side 13 av 44
14 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Pasientreiser skal ha etablert gode avtaler med sine leverandører som sikrer at leveransene er i samsvar med det driftsbehov som Pasientreiser og deres kunder har. Det skal være etablert mekanismer for oppfølging av avtalene. Internrevisjonen observerer at det er etablert en driftsavtale med Norsk Helsenett for drift av IT infrastruktur for systemene PRO og NISSY. Videre er det inngått vedlikeholdsavtale for systemene med leverandørene Acando og Locus. Internrevisjonen har avdekket at driftsavtalen med Norsk Helsenett ikke inneholder regulering av: A. hvilke tjenester som skal ytes, til hvilke tjenestenivå. B. krav om rapportering C. regulering av databehandleransvaret, herunder krav om gjennomføring av sikkerhetsaktiviteter hos leverandøren iht. normen evt. Personopplysningsloven 13. (se andre funn for detaljer) D. krav om right to audit sanksjoner Det er internrevisjonens vurdering at det er etablert en praksis som sikrer oppfølging av leverandørene, men at det er ikke er etablert tilfredsstillende avtaler med Norsk Helsenett. Manglende avtaler mellom partene gjør det vanskelig for leverandøren å ta ansvar for hva som skal leveres, samtidig blir det vanskelig for Pasientreiser å følge opp avtalen da det blir uklart hva som skal leveres til hvilke kvalitet. Internrevisjonen anbefaler at avtale med Norsk Helsenett oppdateres med de nevnte områder og at det videre dokumenteres en formell prosess for oppfølging av leveransene i henhold til avtalen. Ettersom Norsk Helsenett nå ikke eies av helseforetakene, og helseforetakene ikke har noen direkte styringsrett overfor Norsk Helsenett, anbefaler internrevisjonen at Pasientreiser vurder mulighet og behov for å innføre sanksjoner. Med hensyn til internrevisjonsrapportens funn ble det vedtatt ett tiltak. Tiltaksplanen ble endelig fulgt opp i sluttrapport til møtet den , jf. Styresak : Bearbeide kontrakt og SLA til driftsleverandør (Frist ) I styrets møte ble ny frist satt til , og arbeidet pågikk fortsatt ved sluttrapportering til styret pr Internrevisjonen har gjennom intervjuer og dokumentstudier fått bekreftet at det er inngått en ny driftsavtale med Norsk Helsenett, som inkluderer de punktene internrevisjonen anbefalte regulert i avtalen, inkludert sanksjoner. Revisjonsrapport Internrevisjonen Side 14 av 44
15 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Videre observerer internrevisjonen at Pasientreiser har gjort enkelte endringer i måten leverandørene følges opp på. Blant annet har Pasientreiser etablert en praksis med å følge opp sine leverandører gjennom regelmessige driftsmøter. Oppfølgingen tar opp i seg avvik, aktuelle saker og oppgaver med ansvar, tidsfrist og status. Internrevisjonen observerer også at Norsk Helsenett rapporterer på grad av oppetid og uønskende hendelser som har oppstått Pasientreiser skal ha en god og oversiktlig prosess for å innhente, dokumenterte og prioritere bruker og driftsbehov. Internrevisjonen observerer at Pasientreiser har etablert en prosess for å innhente, dokumentere og prioritere brukerbehov i systemene PRO og NISSY, men at prosessen har vært lite dokumentert og lite formell. Dette har medført risiko for at ikke alle endringsønsker/behov har blitt like god vurdert og Det er internrevisjonens vurdering av at pasientreisers prosess for innhenting, prioritering og godkjenning av ny og endret funksjonalitet i systemene ikke har vært tilfredsstillende, men at det er iverksatt tiltak. Med den forutsetning at tiltakene iverksettes slik de er forelagt internrevisjonen, vurderes de som Med hensyn til internrevisjonsrapportens funn ble det vedtatt ett tiltak. Status ved oppfølging møtet den , jf. Styresak : Formalisere og dokumentere Revisjonsrapport Internrevisjonen Side 15 av 44
16 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status prioritert. Intern revisjonen observerer at det den siste tiden har blitt etablert og dokumentert en ny og mer formell prosess som skal sikre at alle ideer og behov blir samlet inn, vurdert, prioritert og videre spesifisert, estimert og godkjent før utvikling/endring. tilfredsstillende. endringsprosessen (innhenting, dokumentering og prioritering av bruker - og driftsbehov) (Frist ) Status ble meldt å være «Utført» Internrevisjonen har gjennom intervjuer og gjennomgang av dokumentasjon fått bekreftet at det er utarbeidet og iverksatt en ny prosedyre for endringsprosesser knyttet til PRO og NISSY. Internrevisjonen har gjennomgått dokumentet som er benevnt «Utkast VO.95.» Revisjonen har fått opplyst at prosedyren er tatt i bruk men enda ikke er lagt over på standardisert prosedyremal Pasientreiser skal for større prosjekter ha en prosess for å gjennomføre businesscase, som beskriver utfordringen Internrevisjonen observerer at det kun foreligger businesscase for OCR prosjektet. Businesscase inneholder muligheter, gevinster og investeringsanalyse. Internrevisjonen anser det som positiv at det gjennomføres businesscase og mener dette bør gjennomføres for alle sentrale områder/prosjekter som vurderes i Pasientreiser. Videre bør businesscase inneholde Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging møtet den , jf. Styresak : Revisjonsrapport Internrevisjonen Side 16 av 44
17 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status sammen med foreslått løsning og estimater for kostnader, tid, risiko og plan for gevinstrealisering. vurdering av tidsforbruk/tidsplan, risikoer og plan for gevinstrealisering. Dette vil enda bedre sikre at Pasientreiser iverksetter riktige og gode prosjekter og redusere risiko for feil og manglende gevinstrealisering. Formalisere og dokumentere endringsprosessen inkl. business case oppsett og anvendelse (Frist ) status «Utført» Utarbeide rutine for porteføljestyring i Pasientreiser ANS (Frist ) status «Utført» Internrevisjonen har gjennom intervjuer og dokumentstudier at krav til business case er innført og at det er utarbeidet egen mal og metode for dette. Det er også utarbeidet rutine for porteføljestyring. Internrevisjonen har fått opplyst at business case primært er aktuelt for større prosjekter Pasientreiser skal ha en IT infrastruktur og arkitektur som understøtter god prosess/ systemintegrasjo n og er ikke til hinder for Det har ikke vært innenfor internrevisjonens mandat å vurdere den tekniske arkitekturen i systemet, men internrevisjonen observerer at Pasientreiser har arvet systemeieransvaret fra Helse Sør Øst og har hatt begrensede muligheter til å påvirke Det er internrevisjonens vurdering at Pasientreiser har fokus på å ha en IT arkitektur som understøtter god prosess/ systemintegrasjon, internrevisjonen er positiv til at det gjennomføres en uavhengig vurdering av PRO og NISSYs arkitektur. Videre ser internrevisjonen det som en risiko at mellomvaren Sonic ikke er Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging i møtet den , jf. Styresak : Revisjonsrapport Internrevisjonen Side 17 av 44
18 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status virksomhetssyste menes måloppnåelse systemenes arkitektur. Videre observeres det at det er etablert en egen arkitektrolle som skal sikre god arkitektur i og mellom systemene. Internrevisjonen observerer også at pasientreiser planlegger å gjennomføre en større vurdering av systemene for å ha grunnlag til å vurdere videre utvikling av PRO og NISSY. Internrevisjonen observerer videre at systemene benytter en mellomvaretjeneste Sonic levert fra Norsk Helsenett som er nødvendig for at NISSY og PRO skal fungere. Internrevisjonen kan ikke finne dokumentasjon på hvordan denne tjenesten er innlemmet i avtalen med Norsk Helsenett og hvordan den påvirker Pasientreiser sin tjenestekvalitet i programvaren PRO og NISSY. implementert som en tjeneste i driftsavtalen med Norsk Helsenett. Internrevisjonen anbefaler at Pasientreiser gjennomfører den planlagte vurderingen av arkitekturen i PRO og NISSY. Det anbefales også at en etablerer at avtale med Norsk Helsenett der tjenesten Sonic defineres. Gjennomføre prosjektet «Kvalitetsgjennomgang av IKT funksjonen» (Status «Utført») Vurdere om Pasientreiser ANS bør ta ansvaret for avtaleverket for Sonic mellom Norsk Helsenett og de Regionale Helseforetakene (Status «Utført. Arbeid med å iverksette pågår» Internrevisjonen har gjennom intervjuer og dokumentstudier bekreftet at tiltakene er gjenomført. Når det gjelder SONIC har vurderingen vært at det ikke var aktuelt for selskapet å ta over ansvaret for avtaleverket. Det er imidlertid satt klarere krav til leverandøren ifht oppetid. Etter hva internrevisjonen erfarer er spørsmålet om ansvar for avtaleverket for SONIC på nytt aktuelt, og skal igjen vurderes. Revisjonsrapport Internrevisjonen Side 18 av 44
19 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Pasientreiser skal ha etablert en god prosess for implementering av nye versjoner og endringer i programvare som reduserer risiko for feil Internrevisjonen observerer at det tidligere ikke har vært noe formell prosess knyttet til endringshåndtering, men at det som en del av de kortsiktige tiltakene er iverksatt en praksis som ivaretar at implementering av nye versjoner og endringer blir bedre håndtert. Denne praksisen er dokumentert som et utkast, og internrevisjonen finner dokumentasjon på at det er gjennomført aktiviteter som testplaner og test. Pasientreiser har etablert en praksis som sikrer at implementering av nye versjoner og endringer i programvare blir håndtert på en måte som reduserer risiko for feil, men denne er ikke ferdig dokumentert. Internrevisjonen anbefaler at prosessen dokumenteres. Aktiviteter og ansvar som evt. tillegges leverandører bør tas med i avtale. Med hensyn til internrevisjonsrapportens funn ble det vedtatt ett tiltak. Status ved oppfølging i møtet den , jf. Styresak : Formalisere og dokumentere endringsprosessen (implementering av nye versjoner og endringer i programvare) Frist Status «Utført) Tiltaket er gjennomført blant annet gjennom ny prosessbeskrivelse for nye versjoner og endringer. Prosedyredokumentet er gjennomgått Pasientreiser skal ha etablert en prosess som sikrer at servere o.a. infrastruktur blir holdt ved like og løpende Det er Norsk Helsenett som har ansvar for drift og vedlikehold av infrastrukturen som NISSY og PRO benytter. Internrevisjonen observerer at det i avtalen med Norsk Helsenett er Norsk Helsenett som har Det er internrevisjonens vurdering at det ikke er etablert en formell prosess som fordeler ansvar for håndtering av sikkerhetsoppdateringer og normale versjonsoppdateringer, men dette håndteres gjennom avtalte driftsmøter. Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging i møtet den , jf. Styresak Revisjonsrapport Internrevisjonen Side 19 av 44
20 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status oppdatert (patch management) Pasientreiser skal regelmessig gjennomføre risikovurdering for å for å avdekke risiko. For behandling av ansvar for å gjennomføre oppgradering av Patcher for OS, sikkerhetspatcher, nye releaser, BIOS, firmware etc. mens det for oppgradering av programvare som ligger oppå OS og som er en del av PRO og NISSY gjennomføres oppgraderinger i samarbeid med Pasientreiser og leverandørene. Fra Norsk Helsenett får internrevisjonen bekreftet at det ikke er etablert noen prosess for å gjennomføre arbeidet, men at dette skjer etter avtale med Pasientreiser og ved behov som koordineres gjennom driftsmøter. Dette er i samsvar med hva internrevisjonen har observert hos Pasientreiser. Internrevisjonen observerer at Pasientreiser har innført en god prosess for å gjennomføre risikovurderinger som involverer alle avdelingene i selskapet. Risikovurderingen som Internrevisjonen har gjennomgått Internrevisjonen anbefaler at det dokumenteres en formell prosess for håndtering av sikkerhetsoppdateringer. Ansvar og gjennomføring bør gjenspeiles i oppdatert avtale. Internrevisjonen vurderer det som positivt at Pasientreiser har en innarbeidet prosess for gjennomføring av risikovurderinger som dekker alle avdelinger i selskapet. Internrevisjonen oppfatter videre at virksomheten ikke i tilstrekkelig grad har dokumentert at : Utarbeide prosedyre for håndtering av sikkerhetsoppgraderinger og dokumentere denne. Inngå ny avtale / tilpasse avtale med leverandører (Locus. Acando og NHN) Frist for begge tiltak var og begge er avrapportert som «Utført». Internrevisjonen har gjennomgått avtalen med Norsk Helsenett. Prosedyre for håndtering av sikkerhetsoppgraderinger er nedfelt i Bilag 2 til avtalen. Med hensyn til internrevisjonsrapportens funn ble det vedtatt tre tiltak. Status ved oppfølging i møtet den , jf. Styresak Revisjonsrapport Internrevisjonen Side 20 av 44
21 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status personopplysning er skal en også vurdere risiko knyttet til behandling av personopplysning er i forhold til enkeltmennesker s personvern. Risikovurderingen skal dekke alle behandlinger/hel e behandlingen, og gjennomføres før behandlingen igangsettes. Resultat fra risikovurderinger skal sammenlignes med det akseptable risikonivå ledelsen har besluttet Pasientreiser skal jevnlig, slik at vurderer i liten grad risiko knyttet til behandling av personopplysninger i forhold til enkeltmenneskers personvern. Internrevisjonen kan ikke finne beskrivelse av akseptnivået for risiko og kriteriene som ligger til grunn for å kategorisere sannsynlighet og konsekvens 1 4. Pasientreiser har etablert en prosess for gjennomføring av det er vurdert risiko i forhold til enkeltmenneskers personvern. Manglende vurdering av risiko knyttet til enkeltmenneskers personvern medfører brudd på Personopplysningsloven og Normen. Internrevisjonen anbefaler at det gjennomføres risikovurdering av alle behandlinger som gjennomføres i Pasientreiser sine IT systemer i forhold til enkeltmenneskers personvern. Resultat fra risikovurdering må sammenlignes med akseptabelt risikonivå ledelsen har besluttet. Det er Internrevisjonens vurdering at Pasientreiser har etablert en : Revidere rutine for risikovurdering og legge dette inn i prosessen for kvalitetssikring (personopplysninger) (Frist Utarbeide forslag til ROS analyse på systemnivå (Frist ) Utarbeideforslag for definisjon av akseptabel risiko for konfidensialitet (Frist ) Alle tre punkter ble avrapportert som «Fullført» til møtet den Internrevisjonen har også gjennomgått og vurdert Pasientreiser sitt metodeopplegg for riskostyring. Revisjonsrapport Internrevisjonen Side 21 av 44
22 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status hele informasjonssyste met/ organisasjonen er gjennomgått over en 12 mnd. periode, etterprøve at informasjons syst emet benyttes i samsvar med rutiner, og at sikkerhetstiltak fungerer som forutsatt. sikkerhetsrevisjoner og egenkontroller for å etterprøve at informasjonssystemet benyttes i samsvar med fastsatte rutiner og sikkerhetstiltak fungerer som forutsatt. Internrevisjonen finner dokumentasjon på at det er gjennomført en rekke sikkerhetsrevisjoner hos de ulike pasientreisekontorene i Helseforetakene. Pasientreiser har også definert en egenkontroll som skal utføres av de ulike avdelingene i Pasientreiser for å avdekke og fange opp eventuelle avvik i krav og rutiner. Internrevisjonen har ikke kunnet finne dokumentasjon knyttet til dette da rutinen ikke er iverksatt. Pasientreiser informerer også om at det har vært et bevisst valg å prioritere gjennomføring av sikkerhetsrevisjoner av pasientreisekontorene før kontroll av egen organisasjon. tilfredsstillende prosess for oppfølging av Pasientreisekontorene, men at de også må gjennomføre sikkerhetsrevisjon av leverandørene av PRO, NISSY og Norsk Helsenett. Rutiner for egenkontroll bør iverksettes og være en del av oppfølgingen i egen organisasjon. Manglende gjennomføring av sikkerhetsrevisjoner medfører brudd på Personopplysningsloven og Normen. Videre kan det medføre at iverksatte tiltak ikke fungerer etter hensikten, uten at det blir oppdaget. Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging i møtet den ,jf. Styresak : Planlegge og gjennomføre sikkerhetsrevisjon av leverandørene Frist Revidere og iverksette rutiner for egenkontroll Frist Tiltakene er gjennomført, sikkerhetsrevisjon høsten Internrevisjonen har gjennomgått rapportene fra sikkerhetsrevisjonene. Det er også gjennomført en oppfølgingsrunde i etterkant. Revisjonsrapport Internrevisjonen Side 22 av 44
23 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Egenkontroll i Pasientreiser er planlagt. Det er gjennomført gjennomgang av internkontrollen på en rekke områder internt i Pasientreiser ANS Medarbeidere skal entydig autoriseres for bruk av informasjonssyste met. Som hovedregel skal informasjonssyste met kun benyttes for å utføre pålagte oppgaver. Pasientreiser sine systemer NISSY og PRO er satt opp slik at personer som har tilgang til helse og personopplysninger i systemene autentiseres ved hjelp av brukernavn og passord. Det er også utformet en ny prosess for godkjenning og tildeling av brukerkontoer i PRO. Knyttet til PRO ble det observert: Det stilles krav til passordkompleksitet i samsvar med Normen for vanlige brukere. For administratorkontoer er lengdekravet 7 tegn. Det er implementert funksjonalitet for periodisk bytte Det er positivt at programmene er bygd opp rundt entydige brukerkontoer og autorisering basert på roller og tilhørighet. Den planlagte prosessen for tilgangsstyring til PRO fremstår også som dekkende. Når det gjelder passordfunksjonaliteten i PRO bør det undersøkes hvorfor det for flere brukere ikke har satt sist dato for bytte av passord og det bør sikres at funksjonaliteten gjelder alle brukere dersom den skal være til stede i systemet. For PRO bør det vurderes om lengdekravet for passord bør endres slik at dette er i samsvar med krav i Normen og tilhørende faktaark. Dette under forutsetning av spørsmålet om passordfunksjonalitet blir håndtert som planlagt. Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging i møtet den , jf. Styresak : Dokumentere eksisterende rutiner for tildeling av autorisasjoner / brukerroller & -rettigheter for PRO Frist Tekniske endring av krav til passord i NISSY Revisjonsrapport Internrevisjonen Side 23 av 44
24 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Pasientreiser skal ha etablert prosesser for å sikre at autorisert bruk, og forsøk på uautorisert bruk av informasjons syst emene registres i av passord. Det ble observert flere kontoer hvor tidspunkt for sist bytte av passord ikke var satt. Dette ble tilskrevet en feil i en tidligere versjon av programmet. For NISSY gjorde revisjonen følgende observasjoner: Det er etablert roller i systemet som begrenser hva brukeren autoriseres til Passord skal være mellom 5 og 10 tegn Det er ikke lagt opp funksjonalitet for å ta ut lister over hvem som har tilgang til systemet Internrevisjonen er ikke blitt forevist aktiviteter eller dokumentasjon som viser at slik kontroll blir utført. Av de personer internrevisjonen intervjuet var det også knyttet stor usikkerhet til ansvaret for å konfigurere, overvåke og analysere slike Dette vurderes som et brudd på kravene i Personopplysningsloven og Normen at Pasientreiser ikke har etablert prosess for å sikre at autoriserte bruk, og forsøk på uautorisert bruk Av informasjonssystemene logges. Pasientreiser må utarbeide en beskrivelse av hvordan kravet om Frist Dokumentering av rutiner er meldt ferdigstilt ved sluttrapportering den Når det gjelder teknisk endring av passordfunksjonalitet er dette tiltaket fortsatt ikke ferdigstilt. En slik endring av krav til passordfunksjonalitet forutsetter ny versjon av programvaren. Ny release for Nissy er planlagt å foreligge våren Med hensyn til internrevisjonsrapportens funn ble det vedtatt tre tiltak. Status ved oppfølging i møtet den , jf. Styresak : Revisjonsrapport Internrevisjonen Side 24 av 44
25 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status henhold til krav i Personopplysning sloven med forskrift og Norm for informasjonssikke rhet i helsesektoren. hendelser. Norsk Helsenett har som driftsleverandør ansvar for å overvåke sikkerhetslogger i sentral infrastruktur, men gjennomfører ikke noen gjennomgang av applikasjons logger for PRO og NISSY. registrering av autorisert bruk og forsøk på uautorisert bruk gjøres og hvem som har ansvar for å gjennomgå og analysere logger. Dokumentere eksisterende rutiner for tildeling av autorisasjoner / brukerroller & -rettigheter PRO Frist Avdekke avvik til kravet til registrering av autorisert & uautorisert bruk av NISSY og PRO Frist Definere metode/rutine for å avdekke og følge opp uautorisert bruk av NISSY & PRO Frist Alle tre tiltak er rapportert utført pr Internrevisjonen har bekreftet gjennom dokumenter og intervjuer at dette er gjennomført. Det utarbeidet et sett med 11 ulike rutiner som ligger på internkontrollområdet som dekker tiltakene/anbefalingene Pasientreiser skal ha en prosess som sikrer at det foretas sikkerhetskopieri Ansvaret for sikkerhetskopiering er tillagt Norsk Helsenett gjennom driftskontrakten. Denne spesifiserer at det skal tas sikkerhetskopi, men definerer Pasientreiser har etablert nødvendige prosesser for at sikkerhetskopi blir utført, men en mangler prosesser for å teste at sikkerhetskopi faktisk fungerer. Med hensyn til internrevisjonsrapportens funn Revisjonsrapport Internrevisjonen Side 25 av 44
26 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status ng av programvare og data. Sikkerhetskopi skal overvåkes og testes. ikke frekvens, hvor lenge den skal lagres eller prosedyrer for test. osv. Pasientreiser har ikke prosedyrer for å teste at sikkerhets kopi fungerer og henviser til Norsk Helsenett. Undersøkelser internrevisjonen har gjort viser at Norsk Helsenett ikke gjennomfører test av sikkerhetskopi. Internrevisjonen observerer også at sikkerhetskopi har vært kopiert tilbake i forbindelse med en hendelse. Manglende test av sikkerhetskopi medfører risiko for at sikkerhetskopi ikke fungerer ved behov. Internrevisjonen anbefaler at det etableres en prosess for å regelmessig teste sikkerhetskopi gjennom f.eks. å gjøre gjenoppretting tilbake til Pasientreiser sitt testmiljø. Arbeidet bør dokumenteres ble det vedtatt tre tiltak. Status ved oppfølging i møtet den , jf. Styresak : Rutine for hvordan sikkerhetskopi og restore (systemgjenoppretting ) skal gjennomfører (med risikoanalyser av dagens situasjon) Frist Rutine for å verifisere at sikre at sikkerhetskopi tas og restorefungerer tilfredsstillende Frist Begge tiltak er oppgitt å være utført pr Internrevisjonen har mottatt og gjennomgått rutine for sikkerhetskopi og restore Pasientreiser skal ha skriftlig avtale med evt. databehandlere. Avtalen skal omfatte ansvarsog Pasientreiser har etablert dekkende databehandleravtaler med de ulike Helseforetakene. Det er imidlertid ikke etablert slike avtaler med Norsk Helsenett. Enkelte sikkerhetskrav er dekket gjennom Norm for Manglende databehandleravtaler med driftsleverandørene er brudd på krav i Normen og i personopplysningsloven. Pasientreiser må derfor gjennomgå avtaleverket med sine leverandører og sikre at avtalene er dekkende. Med hensyn til internrevisjonsrapportens funn ble det vedtatt et tiltak. Status ved oppfølging i møtet den , jf. Styresak Revisjonsrapport Internrevisjonen Side 26 av 44
27 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status myndighetsforhol d knyttet til informasjonssikke rhet. informasjonssikkerhet i helsesektoren, men Normen regulerer ikke Norsk Helsenett bruk og hvilke tjenester som skal ytes : Databehandleravtaler er signert Frist Internrevisjonen har gjennomgått Databehandleravtalen. Den er signert Pasientreiser - 3/2011 Rapport - Revisjon av virksomhetsstyring, - intern styring og kontroll del 1 Nr IK- faktor Funn Anbefaling Observasjon/vurdering av status a) Holdninger til styring og kontroll Krav til intern styring og kontroll Krav til intern styring og kontroll er nedfelt i styrende dokumenter som vedrører virksomhetsstyringen, men det er anlagt et snevert internkontrollperspektiv med fokus på lovetterlevelse. For å oppnå mer effektiv kommunikasjon av innhold i og forutsetninger for god intern styring og kontroll, anbefaler internrevisjonens at det etableres et grunnlagsdokument som nedfeller krav og føringer til helhetlig intern styring og kontroll i selskapet Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging av tiltaksplanen i møtet den , jf. Styresak : Gjennomgå og komplementere styrende dokumenter for internkontroll Revisjonsrapport Internrevisjonen Side 27 av 44
28 Pasientreiser - 3/2011 Rapport - Revisjon av virksomhetsstyring, - intern styring og kontroll del 1 Nr IK- faktor Funn Anbefaling Observasjon/vurdering av status Frist Vedta nye styrende dokumenter Frist Begge tiltak ble rapportert utført til styremøtet den Internrevisjonen har innhentet og gjennomgått styrende dokumenter for internkontroll. Dokumentene er dekkende i forhold til internrevisjonens anbefaling (Basert på COSO- standarden) b) Ressurser/ kompetanse Kompetanse Det er definerte krav til ledere og medarbeideres kompetanse og det arbeides kontinuerlig med å sikre at selskapet til enhver tid har riktig kompetanse. Det er imidlertid pr i dag ikke utarbeidet strategier/planer for å ruste opp/vedlikeholde ledernes og medarbeidernes kompetanse slik at denne er best mulig tilpasset selskapets ansvar og oppgaver. For å oppnå god styring og utvikling av selskapets menneskelige ressurser anbefaler internrevisjonen at det utarbeides og besluttes plan for kompetanse i selskapet. Dette under forutsetning av at prosessen knyttet til kompetanse gjennomføres som planlagt. Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging av tiltaksplanen i møtet den , jf. Styresak : Videreutvikle malverk for kompetanseplaner på overordnet Revisjonsrapport Internrevisjonen Side 28 av 44
29 Pasientreiser - 3/2011 Rapport - Revisjon av virksomhetsstyring, - intern styring og kontroll del 1 Nr IK- faktor Funn Anbefaling Observasjon/vurdering av status strategisk nivå Frist Implementere nye kompetanseplaner i alle avdelinger Frist Det fremgår videre av fremleggsnotatet: «Malverk og prosedyrer vil ferdigstilles i løpet av 2012 og implementering vil gjennomføres i hele organisasjonen i løpet av Det legges opp til standardisert, felles malverk med vekt på individuelt tilpassede kompetanseplaner. Arbeidet blir forankret i organisasjonen gjennom arbeidsmiljøutvalg og tillitsvalgte.» Arbeidet med kompetanseplaner pågår fortsatt og skal sluttføres i Internrevisjonen har innhentet og gjennomgått maler og materiell fra den pågående prosessen. I følge gjeldene plandokument skal individuelle kompetanseplaner være ferdigstilt innen Revisjonsrapport Internrevisjonen Side 29 av 44
30 Pasientreiser - 3/2011 Rapport - Revisjon av virksomhetsstyring, - intern styring og kontroll del 1 Nr IK- faktor Funn Anbefaling Observasjon/vurdering av status a) Etablering av målsettinger Etablering av målsettinger - Det er etablert avtaler som nedfeller mål, oppgaver og resultatkrav mellom AD og nivå 2-ledere. - Det er i hovedsak etablert avtaler eller lignende som nedfeller mål og oppgaver mellom nivå 2 og 3, men målformuleringene i disse varierer i tydelighet og konsistens mellom avdelinger og nivåer. Det er ikke etablert en oversikt over lover og forskrifter som selskapets virksomhet er omfattet av. For å legge enda bedre til rette for å kunne evaluere risikoer knyttet til måloppnåelse, pålitelig styringsinformasjon og etterlevelse av lov- og regelverk, anbefaler internrevisjonen at det etableres en enhetlig standard for å nedfelle målsettinger og resultatkrav på, og som benyttes gjennomgående i selskapet. - Videre anbefales det lagt opp aktiviteter i forbindelse med den årlige virksomhetsplanleggingen for å sikre implementering av dette. - For å sikre mer effektiv styring mot lovetterlevelse, anbefales det at det etableres en samlet oversikt over hvilke lovkrav som gjelder for selskapet som helhet, og som systematiseres og ansvarsplasseres i de respektive avdelingene. Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging av tiltaksplanen i møtet den , jf. Styresak : Videreutvikle dagens modell for oppfølging (inklusiv lov- og forskriftskrav og aktiviteter) Frist Implementere ny modell i avdelingene (etter neste strategiprosess) Frist Samle oversikt med lovkrav Frist Status : Utført. Implementering av ny modell i avdelingene ble sluttført høsten Internrevisjonen har gjennomgått dokumenter for målstyring og oversikt over lovkrav. Lovkravene er Revisjonsrapport Internrevisjonen Side 30 av 44
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser
DetaljerHelseforetakenes senter for pasientreiser ANS 1/2016
Helseforetakenes senter for pasientreiser ANS 1/2016 RAPPORT Oppfølging av revisjoner som ble gjennomført i 2013-14 Revisjonsrapport 1/2016 Internrevisjon Side 1 av 13 Tidsrom for revisjonen Mai-juni 2016
DetaljerÅrsrapport 2011 Internrevisjon Pasientreiser ANS
Årsrapport 2011 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjon av systemforvaltning... 4 Formål og omfang... 4 Tidsrom for gjennomføring og ressursbruk... 4 Funn og anbefalinger...
DetaljerHelseforetakenes senter for
Helseforetakenes senter for pasientreiser ANS 1/2011 Rapport Revisjon av systemforvaltning Revisjonsrapport Internrevisjonen Side 1 av 25 Tidsrom for revisjonen 6.4 30.5.2011 Virksomhet Helseforetakenes
DetaljerÅrsrapport 2014 Internrevisjon Pasientreiser ANS
Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert
DetaljerSaksframlegg Referanse
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/2014 SAK NR 05-2014 Resultater av gjennomgang internkontroll 2. halvår 2013 og plan for gjennomgang
DetaljerStatus og oppfølging av styrevedtak t.o.m
Status og oppfølging av styrevedtak t.o.m. 30.04.2012 Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. Saksnr. Sakstittel Vedtak
DetaljerHelseforetakenes senter for Pasientreiser ANS 2/2014
Helseforetakenes senter for Pasientreiser ANS 2/2014 Rapport - Revisjon av Intern styring og kontroll i tilgangsstyring og endringshåndtering i ITsystemet NISSY Endelig Revisjonsrapport 2/2014 Internrevisjonen
DetaljerSaksframlegg Referanse
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang
DetaljerPer styremøte 19.09.2012
Sluttrapportering av tiltaksplan for oppfølging av revisjonsrapport om virksomhetsstyring, intern styring og kontroll del 1 Pasientreiser ANS Per styremøte 19.09.2012 Tiltaksplan for oppfølging av internrevisjonsrapport
DetaljerStyret Helseforetakenes senter for pasientreiser ANS 27/10/11
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 27/10/11 SAK NR 053-2011 Erfaringer og endelig oppsummering av internkontroll ved pasientreisekontorene
DetaljerForslag til oppfølgingsansvar
Innspill til oppfølging av internrevisjonens anbefalinger i rapport om Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og Tiltak nr Internrevisjonens anbefaling Oppfølgingsansvar
DetaljerStatus og oppfølging av styrevedtak t.o.m
Status og oppfølging av styrevedtak t.o.m. 30.09.2011 Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. Saksnr. Sakstittel Vedtak
DetaljerMalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF
MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF
DetaljerÅrsrapport 2012 Internrevisjon Pasientreiser ANS
Årsrapport 2012 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Revisjon av virksomhetsstyring, intern styring og kontroll del 1... 4 2.2 Revisjon av virksomhetsstyring,
DetaljerÅrsrapport 2016 Internrevisjon Helseforetakenes senter for pasientreiser ANS
Årsrapport 2016 Internrevisjon Helseforetakenes senter for pasientreiser ANS Innhold 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1. Oppfølging av revisjoner som ble gjennomført i 2013-14... 4 Formål
DetaljerSaksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen
DetaljerSaksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.
Status og oppfølging av styrevedtak t.o.m. 22.01. Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. Saksnr. Sakstittel Vedtak
DetaljerStyresak 45-2015 Oppfølging av Internrevisjonsrapport 01/2013:
Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Nils B. Normann, 75 51 29 00 Bodø, 17.4.2015 Styresak 45-2015 Oppfølging av Internrevisjonsrapport 01/2013: Revisjon av tverrgående prosesser
DetaljerOppfølgingsansvar iht internrevisjonen. Tiltak nr i rapport 1/2013. Internrevisjonens anbefaling
Handlingsplan for oppfølging av internrevisjonens anbefalinger i rapport om Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og. Tiltak nr i rapport 1/2013 Internrevisjonens
DetaljerInstruks (utkast) for Internrevisjonen Helse Sør-Øst
Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3
DetaljerStyremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak
Oppfølging Informasjon og kommunikasjon Tiltak for å ha styring og kontroll Etablere målsettinger og risikovurdere Styrings- og kontrollmiljø Helse Sør-Øst RHF Gode og likeverdige helsetjenester til alle
DetaljerSaksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016 SAK NR 53-2016 Halvårlig risikovurdering, Helseforetakenes senter for pasientreiser ANS per
DetaljerRevisjonsplan 2012 Internrevisjon Pasientreiser ANS
Revisjonsplan Internrevisjon Innhold 1 Innledning... 3 2 Rammer for internrevisjonens virksomhet... 3 2.1 Formål og oppgaver... 3 2.1.1 Bekreftelse av intern kontroll og risikostyring... 3 2.1.2 Rådgivningsoppgaver...
DetaljerStyret Helseforetakenes senter for pasientreiser ANS 26/06/2014
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 26/06/2014 SAK NR 32-2014 Oppfølging av rapport fra revisjon av tverrgående prosesser mellom helseforetak
DetaljerDet bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å
Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og Pasientreiser ANS Rapport 3/2013 - Oversikt over revisjonsfunn (oppsummert nasjonalt) og anbefalinger Nr Revisjonsfunn
DetaljerSaksgang: Styret Helseforetakenes senter for pasientreiser ANS 16/01/13
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 16/01/13 SAK NR 04-2013 Årlig melding 2012 Forslag til vedtak: 1. Årlig melding 2012 for Pasientreiser
DetaljerSaksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 10/03/14
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/03/14 SAK NR 13-2014 Godkjenning av protokoll fra styremøtene 23.01.14 og 13.02.14 Forslag til vedtak:
DetaljerUtkast Revisjonsplan Internrevisjon Pasientreiser HF
Utkast Revisjonsplan 2017 Internrevisjon Innhold 1 Innledning... 3 2 Rammer for internrevisjonens virksomhet... 3 2.1 Formål og oppgaver... 3 2.1.1 Bekreftelse av intern kontroll og risikostyring... 3
DetaljerUtfordring, tiltak og status:
Utfordring, tiltak og status: Organisasjon, bemanning og kompetanse Komplisert og tidkrevende for systemeierskap å få et helhetlig bilde av både utfordringer og ansvarsområde, spesielt i forhold til NISSY.
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerAkkumulert risikovurdering oktober 2015
Akkumulert risikovurdering oktober 201 Sannsynlighet 1 Risiko for driftsstans i PRO og NISSY som følge av svakheter i løsning levert fra (6) Risiko for at Mine pasientreiser blir levert forsinket med redusert
DetaljerSaksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 31/10/16. SAK NR Godkjenning av protokoll fra styremøtet
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 31/10/16 SAK NR 51-2016 Godkjenning av protokoll fra styremøtet 15.09.16 Forslag til vedtak: Styret
DetaljerSaksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 25/03/15
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 25/03/15 SAK NR 12-2015 Godkjenning av protokoll fra styremøtene 22.01.15 og 04.02.15 Forslag til vedtak:
DetaljerInstruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av
Instruks for Konsernrevisjonen Helse Sør-Øst Erstatter instruks av 26.02.2009 Fastsatt av styret i Helse Sør-Øst RHF 07.02.2012 Innhold 1 Konsernrevisjonens formål... 3 2 Organisering, ansvar og myndighet...
DetaljerInstruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012
Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3
DetaljerÅrsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring
UTK Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring Konsernrevisjonen Helse Sør-Øst 05.02.2015 INNHOLDSFORTEGNELSE SAMMENDRAG... 3 1. INNLEDNING... 4 1.1 FORMÅL MED REVISJONEN...
DetaljerStyret Helseforetakenes senter for pasientreiser ANS 18/01/12
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 18/01/12 SAK NR 06-2012 Årlig melding 2011 Forslag til vedtak: 1. Årlig melding 2011 for Pasientreiser
DetaljerStatus og oppfølging av styrevedtak t.o.m
Status og oppfølging av styrevedtak t.o.m. 31.01.2011 Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. Saksnr. Sakstittel Vedtak
DetaljerRapport Revisjon forskning Revmatismesykehuset AS
Rapport Revisjon forskning Revmatismesykehuset AS Internrevisjonen Helse Øst 10.01.2007 Rapport nr. 21-2006 Revisjonsperiode August-oktober 2006 Virksomhet Rapportmottaker Kopi Rapportavsender Oppdragsgiver
DetaljerRevisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst
Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst Godkjent av styret i Helse Sør-Øst RHF 13.03.2014 Distribusjon Revisjonsplanen distribueres til styret og styrets revisjonsutvalg, administrerende
DetaljerSaksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.
Status og oppfølging av styrevedtak t.o.m. 23.04. Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. Saksnr. Sakstittel Vedtak
DetaljerUtkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,
Utkast instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 08.12.2010 Innhold 1 Internrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver...
DetaljerVedtatte tiltak/handlingspunkter i Pasientreiser ANS (sak nr 08/2014, 23. januar)
Oppfølging av internrevisjonens anbefalinger i rapport om Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og, der er ansvarlig. Tiltak nr i rapport 1/2013 3 Kontroll enkeltoppgjør
DetaljerSaksframlegg Referanse
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 12/12/12 SAK NR 52-2012 Godkjenning av protokoll fra styremøtet 24.10.12 Forslag til vedtak: Styret
DetaljerSaksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 23/09/13
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/09/13 SAK NR 39-2013 Rapport fra revisjon av tverrgående prosesser mellom helseforetak med pasientreisekontor
DetaljerFULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017
FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017 - I n t r o d u k s j o n - Det er et krav i de internasjonale standarder for profesjonell utøvelse av internrevisjon utgitt av
DetaljerSaksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016 SAK NR 54-2016 Samlet risikovurdering for pasientreiseområdet 2016 Forslag til vedtak: 1.
DetaljerUtkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS
Utkast Revisjonsplan 2015 Internrevisjon Innhold 1 Innledning... 3 2 Rammer for internrevisjonens virksomhet... 3 2.1 Formål og oppgaver... 3 2.1.1 Bekreftelse av intern kontroll og risikostyring... 3
DetaljerStyret Helseforetakenes senter for pasientreiser ANS 15/06/11
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 15/06/11 SAK NR 040-2011 Rapport fra gjennomgang av internkontrollen ved pasientreisekontorene 1. halvår
DetaljerSaksgang: Styret Helseforetakenes senter for pasientreiser ANS 26/01/17
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 26/01/17 SAK NR 03-2017 Årlig melding 2016 Forslag til vedtak: 1. På grunnlag av den samlede rapportering
DetaljerGode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene. Strategiplan Pasientreiser ANS
Gode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene Strategiplan Pasientreiser ANS 2011-2013 Pasientreiser ANS har i 2010 videreutviklet sin rolle som en nasjonal
DetaljerStyret Helseforetakenes senter for pasientreiser ANS 21/10/2015
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015 SAK NR 54-2015 Samlet risikovurdering av pasientreiseområdet 2015 Forslag til vedtak: 1.
DetaljerGode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene. Strategiplan Pasientreiser ANS
Gode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene Strategiplan Pasientreiser ANS 2011-2013 Pasientreiser ANS har i 2010 videreutviklet sin rolle som en nasjonal
DetaljerSaksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Halvårlig risikovurdering, Pasientreiser HF per oktober 2017
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 30/10/2017 SAK NR 31-2017 Halvårlig risikovurdering, Pasientreiser HF per oktober 2017 Forslag til vedtak: 1. Styret tar fremlagte
DetaljerStyret Helse Sør-Øst RHF 14. april 2011 SAK NR REVISJONSRAPPORT - LEVERANSE AV HELSEPERSONELLVIKARER
Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 14. april 2011 SAK NR 024-2011 REVISJONSRAPPORT - LEVERANSE AV HELSEPERSONELLVIKARER Forslag til vedtak: 1. Rapport fra gjennomført revisjon
DetaljerMøtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015
Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument
DetaljerHelseforetakenes senter for Pasientreiser ANS 1/2015
Helseforetakenes senter for Pasientreiser ANS 1/2015 Rapport - Revisjon av intern styring og kontroll som integrert del av virksomhetsstyringen Revisjonsrapport 1/2015 Internrevisjon Side 1 av 20 Tidsrom
DetaljerErfaringer fra NIRF`s kvalitetskontroll
Erfaringer fra NIRF`s kvalitetskontroll Jørgen Bock Kvalitetskomitemedlem NIRF Nestleder styret Statsautorisert revisor Krav til ekstern kvalitetskontroll Iht internrevisjonens standarder skal det gjennomføres
DetaljerSaksframlegg. etterretning. 1. Styret tar fremlagt sak om kontrollstrategi for reiser uten rekvisisjon til
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 11/12/2017 SAK NR 43-2017 Kontrollstrategi for reiser uten rekvisisjon i Pasientreiser HF Forslag til vedtak: 1. Styret tar fremlagt
DetaljerAVTALE OM TJENESTELEVERANSE. mellom HELSEFORETAKENES SENTER FOR PASIENTREISER ANS. HELSE [navn] RHF Organisasjonsnummer: Vedlegg en
AVTALE OM TJENESTELEVERANSE mellom HELSEFORETAKENES SENTER FOR PASIENTREISER ANS og HELSE [navn] RHF Organisasjonsnummer: Vedlegg en Deltjenestene som inngår i tjenesteleveranseavtalen: Tjeneste Tjenestens
DetaljerOslo universitetssykehus HF
Oslo universitetssykehus HF Styresak Dato møte: 28. oktober 2015 Saksbehandler: Vedlegg: Viseadministrerende direktør finans og økonomi Handlingsplan med tiltak for lukking av avvik ved gjennomføring av
DetaljerInstruks for konsernrevisjonen Helse Sør-Øst
Instruks for konsernrevisjonen Helse Sør-Øst Godkjent av revisjonskomiteen Helse Sør-Øst RHF 26.02.2009 Innhold 1 Konsernrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver... 3
DetaljerStyret Helseforetakenes senter for pasientreiser ANS 28/02/2011
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 28/02/2011 SAK NR 009-2011 Virksomhetsrapportering pr 31.01.2011 Forslag til vedtak: 1. Styret tar virksomhetsrapporteringen
DetaljerRevisjonsplan Konsernrevisjonen Helse Sør-Øst
Revisjonsplan 2016-2017 Konsernrevisjonen Helse Sør-Øst Behandles av styret i Helse Sør-Øst RHF 21.4.2016 Innholdsfortegnelse 1. Innledning... 2 2. Revisjonsområder 2016-2017... 3 3. Utdypning av revisjonsområdene
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
Detaljer1. FORMÅL 2. PROFESJONELT GRUNNLAG
Vedlikeholdes av: Chief Compliance Officer Side: 1 av 5 1. FORMÅL Internrevisjonen skal fremme og beskytte GIEKs verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsikt. Den skal bidra
DetaljerStyresak 69-2015 Orienteringssak - Informasjonssikkerhet
Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I
Detaljerephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE
ephorte: 2018/61949 Overlevert: 22.08.2018 OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE Innholdsfortegnelse 1 Om kartleggingen... 2 1.1 Innledning... 2 1.2 Formål... 2 1.3 Gjennomføring...
DetaljerHelseforetakenes senter for pasientreiser ANS 2/2015
Helseforetakenes senter for pasientreiser ANS 2/2015 Revisjon av intern styring og kontroll knyttet til gjennomføring av prosjekt Samkjøring og alternativ bestillerløsning, samt utvalgte områder for prosjektet
DetaljerPasientreiser HF. Revisjon av kontrollstrategi for reiser uten rekvisisjon RAPPORT 1/2017. Endelig Revisjonsrapport 1/2017 Internrevisjon Side 1 av 15
Pasientreiser HF RAPPORT 1/2017 Revisjon av kontrollstrategi for reiser uten rekvisisjon Endelig Revisjonsrapport 1/2017 Internrevisjon Side 1 av 15 Tidsrom for revisjonen Oktober-desember 2017 Virksomhet
DetaljerStyret Helseforetakenes senter for pasientreiser ANS 08/12/10. SAK NR 072-2010 Gjennomgang av internkontrollen ved pasientreisekontorer 2.
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 08/12/10 SAK NR 072-2010 Gjennomgang av internkontrollen ved pasientreisekontorer 2. halvår 2010 Forslag
DetaljerAkkumulert risikovurdering oktober 2014 Sannsynlighet
Akkumulert risikovurdering oktober 01 Sannsynlighet 1 Risiko for driftsstans i PRO og NISSY som følge av svakheter i løsning levert fra NHN (6) (NY) Konsekvens Risiko for uautorisert rekvirering forårsaket
DetaljerSaksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 24/10/2012 SAK NR 50-2012. Budsjettestimat for 2013
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 24/10/2012 SAK NR 50-2012 Budsjettestimat for 2013 Forslag til vedtak: Styret tar saken om budsjettestimat
DetaljerSaksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 21/09/2011. SAK NR 043-2011 Godkjenning av protokoll fra styremøtet 15.06.
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 21/09/2011 SAK NR 043-2011 Godkjenning av protokoll fra styremøtet 15.06.11 Forslag til vedtak: Styret
DetaljerSaksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.
Saksframlegg Saksgang: Styre Møtedato Styret Sykehuspartner HF 7. februar 2018 SAK NR 010-2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017 Forslag til vedtak: 1. Styret tar saken
DetaljerSaksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 23/10/2013. SAK NR 47-2013 Virksomhetsrapportering pr 31.
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/10/2013 SAK NR 47-2013 Virksomhetsrapportering pr 31.august 2013 Forslag til vedtak: Styret tar virksomhetsrapporteringen
DetaljerStilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen
Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført
DetaljerNasjonal internrevisjon av medisinsk kodepraksis i helseforetakene
Nasjonal internrevisjon av medisinsk kodepraksis i helseforetakene DRG forum Høstkonferansen, 11. november 2011 Karl-Helge Storhaug konsernrevisjonen Innhold Bakgrunn og formål Prosess og metode Konklusjoner
DetaljerSaksframlegg. Styret Pasientreiser HF 24/04/2017
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 24/04/2017 SAK NR 08-2017 Oppdatert kontrollstrategi for reiser uten rekvisisjon våren 2017 Styret tar saken om kontrollstrategi
DetaljerBilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt
Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Instruks for internrevisjon i Garanti-Instituttet for Eksportkreditt 2005 Side 1 av 5 Internrevisjonsinstruksen setter rammer
DetaljerStyret Helse Sør-Øst RHF 18.12.07
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 18.12.07 SAK NR 074-2007 REVISJONSRAPPORT: OPPSUMMERING INNKJØPSREVISJONER Forslag til vedtak: 1. Styret tar revisjonsrapport Oppsummering
DetaljerKonsernrevisjonen Rapport 7/2019. Revisjon av Program for standardisering og IKT-infrastrukturmodernisering (STIM) 2. tertial 2019.
Konsernrevisjonen Rapport 7/2019 Revisjon av Program for standardisering og IKT-infrastrukturmodernisering (STIM) 2. tertial 2019 Sykehuspartner HF 16. september 2019 1. Introduksjon Revisjonens formål
DetaljerAkkumulert risikovurdering oktober 2017
Akkumulert risikovurdering oktober 2017 1 2 3 4 4 3 driftsstans i fagsystemene som følge av svakheter i løsning levert fra NHN (9) manglende gevinstrealisering av prosjekter (3) manglende etterlevelse
DetaljerSaksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 21/10/15
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 21/10/15 SAK NR 51-2015 Godkjenning av protokoll fra styremøtene 28.08.15 og 25.09.15 Forslag til vedtak:
DetaljerSaksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 18/04/13. SAK NR 21-2013 Godkjenning av protokoll fra styremøtet 04.03.
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 18/04/13 SAK NR 21-2013 Godkjenning av protokoll fra styremøtet 04.03.13 Forslag til vedtak: Styret
DetaljerSaksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 15/09/16
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 15/09/16 SAK NR 43-2016 Godkjenning av protokoll fra styremøtene 09.06.16 og 11.07.16 Forslag til vedtak:
DetaljerHvilke risikoer er vurdert?
Hvilke risikoer er vurdert? Sikkerhet : Risiko for uautorisert tilgang til personopplysninger som følge av mangelfull fysisk adgangskontroll : Risiko for uautorisert tilgang til personopplysninger som
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerSaksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 27/10/2011. SAK NR Godkjenning av protokoll fra styremøtet
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 27/10/2011 SAK NR 049-2011 Godkjenning av protokoll fra styremøtet 21.09.11 Forslag til vedtak: Styret
DetaljerStyret ved Vestre Viken HF 015/
Saksfremlegg Risikovurdering 3. tertial 2011 Dato Saksbehandler Direkte telefon Vår referanse Arkivkode 22.02.12 Jan Reidar Bergwitz-Larsen 913 67 503 Saksnr. Møtedato Styret ved Vestre Viken HF 015/2012
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerStyresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon
Møtedato: 14. desember 2016 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen, 75 51 29 00 Bodø, 2.12.2016 Styresak 157-2016/4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2015
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerStyret Helse Sør-Øst RHF 21. juni 2012 SAK NR 051-2012 ORIENTERINGSSAK - STRATEGIPLAN FOR HELSEFORETAKENES SENTER FOR PASIENTREISER ANS 2012-2014
Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 21. juni 2012 SAK NR 051-2012 ORIENTERINGSSAK - STRATEGIPLAN FOR HELSEFORETAKENES SENTER FOR PASIENTREISER ANS 2012-2014 Forslag til vedtak:
DetaljerRapport fra gjennomgang av internkontroll 2. halvår 2014 og plan for
Status og av styrevedtak t.o.m. 10.06. Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. Saksnr. Sakstittel Vedtak Status// 25-
DetaljerOppsummering Revisjon av Ledelsens gjennomgåelse risikovurdering Helseforetakene i Helse Øst
Oppsummering Revisjon av Ledelsens gjennomgåelse risikovurdering Helseforetakene i Helse Øst Internrevisjonen Helse Øst 2. april 2007 Rapport nr. 2-2007 Revisjonsperiode November 2006 januar 2007 Virksomhet
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerRevisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
DetaljerSaksframlegg Referanse
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/14 SAK NR 01-201 Godkjenning av protokoll fra styremøtet 11.12.13 Forslag til vedtak: Styret godkjenner
Detaljer