NASJONAL SIKKERHETSMYNDIGHET Veilederen setter sikkerhetsrevisjoner i sammenheng med styringssystemet for sikkerhet VEILEDER SIKKERHETSREVISJON
INNHOLD 1. Formål og målgruppe............................................................ 4 1.1. Om veilederen.... 4 2. Målgruppe.................................................................... 4 2.1. Veilederens oppbygning.... 5 3. Standarder og rammeverk........................................................ 6 3.1. Sikkerhetsloven om sikkerhetsrevisjon.... 6 3.2. God praksis, men ingen metodiske krav til sikkerhetsrevisjon.... 7 4. Oppfølging og kontroll........................................................... 7 4.1. Om oppfølging og kontroll.... 7 4.2. Bakgrunn for gjennomføring av sikkerhetsrevisjoner.... 8 4.3. Særskilt om ledelsens evaluering.... 10 5. Om internkontroll, sikkerhetsrevisjon, internrevisjon, eksternrevisjon...................................................... 11 6. Krav til uavhengighet og skillet mellom kontrollerende og utøvende virksomhet............................................................. 12 7. Langsiktig planlegging Revisjonsprogram......................................... 14 7.1. Overordnet plan for sikkerhetsrevisjoner.... 14 7.2. Valg av revisjoner på bakgrunn av risiko.... 14 7.3. Detaljgrad og omfang.... 15 7.4. Avlysning eller utsettelse av revisjoner.... 16 8. En sikkerhetsrevisjon........................................................... 17 8.1. Om fasene i en sikkerhetsrevisjon.... 17 8.2. Planlegging- den enkelte revisjon.... 18 8.2.1. Om planlegging.... 18 8.2.2. Beskrive omfang.... 19 8.2.3. Formål med sikkerhetsrevisjonen.... 21 8.2.4. Eksterne krav og interne føringer revisjonskriterier.... 21 8.2.5. Faktiske forhold - Revisjonsbevis.... 21 8.2.6. Metodevalg.... 21 8.2.7. Kompetanse....23 8.3. Gjennomføring.... 23 8.3.1. Om gjennomføring....23 8.3.2. Varsling av sikkerhetsrevisjon....24 8.3.3. Åpningsmøtet....24 8.3.4. Innhenting av informasjon (revisjonsbevis)....25 8.3.5. Sluttmøte....25 8.4. Rapportering.... 25 8.4.1. Vurdering og konklusjon....25 8.4.2. Beskyttelse av informasjon....26 8.4.3. Forslag til tiltak....26 8.4.4. Utarbeide rapport....26 8.5. Oppfølging.... 28 9. Kildeliste.................................................................... 29 10. Figurer..................................................................... 30 11. Tabeller.................................................................... 30 12. Vedlegg.................................................................... 30 Vedlegg A: Mal for revisjonsprogram................................................. 31 Vedlegg B: Mal for revisjonsplan.................................................... 32 Vedlegg C: Mal for revisjonsvarsel, e-post............................................. 33 Vedlegg D: Mal for agenda til åpningsmøte............................................ 34 Vedlegg E: Mal for agenda til sluttmøte............................................... 35 Vedlegg F: Mal for rapport......................................................... 36
OM VEILEDEREN Det er et grunnleggende prinsipp innenfor arbeidet med forebyggende sikkerhet å gjennomføre kontrollaktiviteter og kvalitetssikring av etablerte tiltak. En sikkerhetsrevisjon er ett av flere verktøy som kan brukes for oppfølging og kontroll i et styringssystem for sikkerhet. Veilederen kan brukes for sikkerhetsrevisjoner i større virksomheter, og vil også være et utgangspunkt for planlegging i mindre virksomheter. Tilhørende verktøy vil være et hjelpemiddel til å få en større grad av objektivitet i gjennomføring av undersøkelsen Utgangspunktet for veilederen er god praksis innen internrevisjon. Den skal være en støtte for å planlegge og gjennomføre sikkerhetsrevisjoner, herunder fasene i en sikkerhetsrevisjon og de vurderingene og oppgavene som bør gjøres.
DEL I GENERELT OM SIKKERHETSREVISJONER 1. Formål og målgruppe 1.1. Om veilederen Formålet med denne veilederen er å gi råd til virksomheter om hvordan sikkerhetsrevisjoner (1) kan gjennomføres. Utgangspunktet for veilederen er god praksis innen internrevisjon. Veilederen og tilhørende verktøy vil være et hjelpemiddel til å få en større grad av objektivitet i gjennomføring av undersøkelsen. Det er et grunnleggende prinsipp innenfor arbeidet med forebyggende sikkerhet å gjennomføre kontrollaktiviteter og kvalitetssikring av etablerte tiltak. Dette gjelder generelt for virksomheter som har egen interesse i å beskytte sine verdier og er spesielt vektlagt både i sikkerhetsloven og i anerkjente standarder for informasjonssikkerhet. For å få en bedre sikkerhetstilstand er det å gjennomføre sikkerhetsrevisjoner både et virkemiddel i seg selv og et viktig vurderingsgrunnlag for å kunne gjøre riktige prioriteringer i sikkerhetsarbeidet fremover. Denne veilederen er en utdypning av temaet sikkerhetsrevisjoner i veileder for sikkerhetsstyring. 2. Målgruppe Målgruppen for veilederen er virksomheter som har verdier som trenger beskyttelse. Veilederen er rettet mot ansatte som har i oppgave å gjennomføre sikkerhetsrevisjoner, samt ledere som har behov for å tilrettelegge for gjennomføring av sikkerhetsrevisjoner. Det kan være sikkerhetsleder eller andre ansatte som har en rolle i sikkerhetsarbeidet i en virksomhet. Veilederen skal være en støtte for å planlegge og gjennomføre sikkerhetsrevisjoner, herunder fasene i en sikkerhetsrevisjon og de vurderingene og oppgavene som bør gjøres. Veilederen er relevant for alle virksomheter uavhengig av sektor og størrelse. 1. Revisjon er en metodikk for undersøkelse som benyttes i tilknytning til styringssystemer, regnskap, produkter, prosesser, oppfølging av kontrakter mv. En revisjon skal på en objektiv og faktabasert måte vurdere om systemet, prosessen osv. tilfredsstiller gitte krav. Ved gjennomføringen av en revisjon må man bruke ulike metoder for å undersøke og dokumentere at tiltak retter seg mot den risikoen det er ment å redusere, samt at tiltak er etterlevd og at de gjennomføres som forutsatt. Det store norske leksikon, https://snl.no/ revisjon 4 Formål og målgruppe
2.1. Veilederens oppbygning Veilederen er delt inn i tre deler der første er om veilederen og målgruppen generelt. Del to tar for seg bakgrunnen for sikkerhetsrevisjoner, herunder standarder og rammeverk, hvordan sikkerhetsrevisjoner bidrar til bedre styring og kontroll av sikkerheten samt viktigheten av å skille kontrollerende og utøvende virksomhet. Del tre omhandler gjennomføring av sikkerhetsrevisjoner, alle stegene fra planlegging til rapport og oppfølging av avvik. 5 Målgruppe
DEL II BAKGRUNN FOR SIKKERHETSREVISJONER 3. Standarder og rammeverk 3.1. Sikkerhetsloven om sikkerhetsrevisjon Sikkerhetsloven har ingen bestemmelser som bruker begrepet sikkerhetsrevisjon, men det er i lovens 5 c) krav til at enhver virksomhet som er underlagt sikkerhetsloven skal regelmessig kontrollere sikkerhetstilstanden i virksomheten. Forskrift om sikkerhetsadministrasjon angir i 4-4 at sikkerhetsrevisjon skal gjennomføres og brukes som grunnlag for ledelsens evaluering. Videre er det et spesifikt krav i forskrift for informasjonssikkerhet 5-24 at sikkerhetsrevisjon skal gjennomføres minst en gang årlig for informasjonssystemer som håndterer sikkerhetsgradert informasjon. Det er viktig å være bevisst på at sikkerhetslovens krav er minimumskrav, og at virksomheten kan ha ytterligere behov for sikring. Hensikten er at sikkerhetsarbeidet skal være en kontinuerlig prosess med kvalitetssikring og forbedring. Kunnskap fra sikkerhetsrevisjoner er et viktig bidrag til virksomhetens risikovurderinger. SIKKERHETSLOVENS FORSKRIFTER OM SIKKERHETSREVISJON Forskrift om sikkerhetsadministrasjon 4-4 Virksomheten skal løpende kontrollere at sikkerhetstiltak som er pålagt eller besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Avvik som avdekkes ved sikkerhetsrevisjon skal fremlegges for virksomhetens leder for avklarering av tiltak som skal iverksettes. ( )Resultatet av sikkerhetsrevisjonen skal benyttes som et av grunnlagene for evalueringen. Resultatet av sikkerhetsrevisjonen og ledelsens evaluering skal dokumenteres. Forskrift om informasjonssikkerhet 5-24 siste ledd Systemeier og virksomhetens leder skal minst en gang i året gjennomføre sikkerhetsrevisjon av informasjonssystemet Forskrift om objektsikkerhet 3-1 siste ledd Som grunnlag for fastsettelse av sikkerhetstiltak skal objekteier foreta risikovurdering og sikkerhetsrevisjon etter forskrift om sikkerhetsadministrasjon kapittel 4 Tabell 1 Sikkerhetslovens forskrifter om sikkerhetsrevisjon 6 Standarder og rammeverk
3.2. God praksis, men ingen metodiske krav til sikkerhetsrevisjon Ved gjennomføring av revisjoner fra eksterne tilsyn eller av internrevisjonsenheten i en virksomhet legges normalt revisjonsstandarder til grunn, eksempelvis ISO 19011 eller IIAs internasjonale standarder for profesjonell utøvelse av internrevisjon (2). Dette er generelle standarder. Mens en internrevisjonsenhet i en virksomhet normalt vil forholde seg til en profesjonell standard er ikke dette et krav for at en revisjon skal kunne defineres som en god nok sikkerhetsrevisjon. Det er ikke fastsatt egne krav til hvordan sikkerhetsrevisjoner bør gjennomføres, men det kan være hensiktsmessig å se til ulike retningslinjer og standarder for å få gode råd og innspill (3). Ofte er det sikkerhetsleder (4) som følger opp at virksomheten for øvrig etterlever eksterne krav, interne retningslinjer og at hensiktsmessige tiltak for sikkerhet er implementert. Sikkerhetsrevisjoner bidrar til at virksomhetens leder får visshet om at styringssystemet for sikkerhet fungerer og at de viktigste risikoene er tilfredsstillende håndtert. Vissheten styrkes ved at den som gjennomfører sikkerhetsrevisjonen har tilstrekkelig kompetanse eventuelt har med seg medarbeidere med den riktige kompetansen. I tillegg bør sikkerhetsrevisjonen gjennomføres av personer med tilstrekkelig kompetanse som ikke direkte er involvert i nylig gjennomført eller pågående arbeid på området som skal undersøkes. Dette for å sikre objektivitet. 4. Oppfølging og kontroll 4.1. Om oppfølging og kontroll En av sikkerhetsleders funksjoner er jevnlig å kontrollere og følge opp at de etablerte sikkerhetstiltakene fungerer som planlagt og etterleves av medarbeiderne. Igjennom ulike metoder for oppfølging og kontroll kan virksomheten få økt kvalitet på gjennomføringen av tiltakene. Resultatet vil tjene som innspill til planleggingsfasen og på den måten bidra til kontinuerlig forbedring. 2. I internasjonale standarder (ISO 19011) stilles det krav om gjennomføring av planlagte internrevisjoner også andre standarder har tilsvarende krav. The Institute of Internal Auditors (IIA) er interesseorganisasjonen for alle som arbeider med eller har interesse av fagområdene internrevisjon, governance (virksomhetsstyring), risikostyring, compliance og kontroll. 3. ISO 19011 gir føringer for hva en internrevisjon minimum skal inneholde. 4. Det er virksomhetens leder som er ansvarlig for en tilfredsstillende forebyggende sikkerhet i virksomheten, mens sikkerhetsleder ofte vil ha det faglige ansvaret på vegne av virksomhetens leder 7 Oppfølging og kontroll
Planlegging Rapportering Sikringsrisikovurdering Styringshjul for sikkerhet Oppfølging og kontroll Tiltak Figur 1 Illustrasjon av et styringssystem for sikkerhet (5) Virksomheters behov avhenger av faktorer som virksomhetens størrelse, geografisk spredning, modenhetsnivå og omfanget av verdier som krever særskilt beskyttelse. Det er derfor avgjørende at kontrollaktiviteter som skal gjennomføres planlegges grundig og at virksomheten tydelig definerer kontrollens formål. Oppfølging og kontroll kan eksempelvis være måling av sikkerheten, gjennomføring av øvelser, avviksrapportering, evalueringer og sikkerhetsrevisjoner. Dette er virkemidler som virksomheten kan ta i bruk. For et fagområde kan gjennomføring av øvelse være et godt alternativ for å få synliggjort behov for forbedring, mens på et annet område får man et godt bilde på bakgrunn av avviksrapportering. Måling av sikkerheten vil også si noe om status på enkelte områder. Enkelte forhold bør imidlertid kontrolleres nærmere - gjennom en sikkerhetsrevisjon. En sikkerhetsrevisjon er en systematisk, uavhengig og dokumentert prosess for å fremskaffe informasjon om faktiske forhold og bedømme dette objektivt for å vurdere i hvilken grad det er svakheter på området i forhold til det som er forventet. (6) 4.2. Bakgrunn for gjennomføring av sikkerhetsrevisjoner For en virksomhet er det flere grunner til at det bør gjennomføres sikkerhetsrevisjoner. En sikkerhetsrevisjon vil være et verktøy som bistår virksomhetens leder til å ha styring og kontroll med den forebyggende sikkerheten i virksomheten. I tillegg kan sikkerhetsleder, som leder for sikkerhetsrevisjonene, gi ledelsen råd om alternative korrigerende tiltak som bør iverksettes. Sikkerhetsrevisjonene vil også kunne bidra til å øke forståelsen for og kunnskapen om forebyggende sikkerhet i en virksomhet. 5. Veileder i sikkerhetsstyring, NSM (2015) 6. Definisjon av revisjonsbegrepet hentet fra ISO 19011:2011 8 Oppfølging og kontroll
BEGRUNNELSE FOR Å GJENNOMFØRE SIKKERHETSREVISJONER: Vurderer om praksis er i tråd med krav i lov og forskrift En objektiv gjennomgang av spesifikke forhold Kvalitetssikring av at sikkerheten er tilfredsstillende ivaretatt i systemer eller prosesser Bekrefter om tiltak på bakgrunn av sikringsrisikovurderinger følges opp Følger opp tidligere avdekkede svakheter eller problemområder Sjekker om sikkerhetspolicyen og/eller rutiner følges Vurderer om leverandører ivaretar krav til sikkerhet nedfelt i avtale Gir økt modenhet innen forebyggende sikkerhet i virksomheten, herunder økt forutsigbarhet, mindre brannslukking (7) Reduserer risiko for at det oppstår vesentlige feil og mangler Øker tilliten og legitimiteten både internt og eksternt (kunder) Tabell 2 Begrunnelse for å gjennomføre sikkerhetsrevisjoner 7. Trenger vi en internrevisjon Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon, DFØ (2015) 9 Oppfølging og kontroll
4.3. Særskilt om ledelsens evaluering I ledelsens evaluering legger sikkerhetsleder frem virksomhetens sikkerhetstilstand for virksomhetens leder. Sikkerhetsrevisjoner vil være et av flere grunnlag for ledelsens evaluering som skal gjennomføres minst en gang i året. (8) Sikkerhetsrevisjoner Risikovurderinger: Verdier, Risiko, Sårbarhet Avviksmeldinger Virksomhetsrapportering Virksomhetens sikkerhetstilstand denne perioden Alternative anbefalinger Ledelsens evaluering for perioden Tiltak Øvelser System for håndtering av uønskede hendelser Eksternt tilsyn Figur 2 Ledelsens evaluering og sikkerhetsrevisjoner For å kunne gi et godt bilde på virksomhetens sikkerhet, må sikkerhetsleder ha et godt og balansert grunnlag. Sikkerhetsrevisjoner skal være en del av dette grunnlaget sammen med andre typer undersøkelser og vurderinger som er gjort i perioden siden forrige evaluering. 8. Om sikkerhetsrevisjon og ledelsens evaluering, forskrift om sikkerhetsadministrasjon 4-4 10 Oppfølging og kontroll
SIKKERHETSREVISJONER SOM BIDRAG TIL LEDELSENS EVALUERING Objektivt bilde på et avgrenset område Systematikk Oversikt over forhold som kan falle mellom stoler Målrettet og effektiv sikkerhet Overholdelse av lover og regler Tabell 3 Sikkerhetsrevisjoner som bidrag til ledelsens evaluering (9) 5. Om internkontroll, sikkerhetsrevisjon, internrevisjon, eksternrevisjon Sikkerheten i en virksomhet har flere forsvarslinjer (10).Den første forsvarslinjen er de kontrollene som gjøres i linjen og er innarbeidet i daglige oppgaver. Den andre linjen er kontrolloppgaver som utføres av stab- og kontrollfunksjoner. Undersøkelser som gjennomføres av f.eks. sikkerhetsleder, typisk sikkerhetsrevisjoner kan plasseres inn i denne linjen. Neste linje vil for enkelte virksomheter være internrevisjonen (11), mens det for virksomheter uten denne funksjonen vil kunne være en type administrative kontroller, kontroller som gjennomføres av andre ansatte enn de som jobber med sikkerhet. Formålet med både internrevisjon og administrative kontroller er å gi ledelsen objektive vurderinger av styringen av virksomheten, også om første og andre forsvarslinje fungerer. I tillegg til forsvarslinjene internt i virksomheten vil de fleste virksomheter ha en ekstern revisor. For statlige virksomheter vil det være Riksrevisjonen, mens det for private virksomheter vil være et privat revisjonsselskap. I tillegg kommer statlige tilsynsorganer som eksempelvis Nasjonal sikkerhetsmyndighet, Direktoratet for samfunnssikkerhet og beredskap og Nasjonal kommunikasjonsmyndighet. 9. Trenger vi en internrevisjon Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon, DFØ (2015) 10. Veileder for compliance funksjonen, Norges Interne Revisorers Forening, September 2015 11. Om etablering og krav til internrevisjon, se Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon, DFØ (2015) 11 Om internkontroll, sikkerhetsrevisjon, intern- revisjon, eksternrevisjon
RESTRISIKO Fjerdelinjekontroll Eksternrevisjon Tredjelinjekontroll Internrevisjon Andrelinjekontroll Sikkerhetsstaben/ sikkerhetsleder Førstelinjekontroll Ledere og medarbeidere i linjen RISIKO Figur 3 Illustrasjon av ulike kontrollnivåer for å sikre styring og kontroll (12) 6. Krav til uavhengighet og skillet mellom kontrollerende og utøvende virksomhet Det skal i utgangspunktet skilles mellom kontrollerende og utøvende myndighet (13). Ved gjennomføringen av en sikkerhetsrevisjon betyr dette at den som skal gjennomføre revisjonen ikke bør ha tilknytning til den avdelingen, prosessen eller systemet som skal undersøkes. En av sikkerhetsleders hovedoppgaver er å forvalte styringssystemet for sikkerhet, i tillegg til å skulle gi råd, koordinere og kontrollere det forebyggende sikkerhetsarbeidet som utøves i virksomheten. For å ivareta skillet mellom utøvende og kontrollerende myndighet betyr dette at sikkerhetsleder ikke skal gjennomføre revisjoner av styringssystemet for sikkerhet i seg selv, kun kontrollere de kravene som stilles til de utøvende funksjonene igjennom styringssystemet for sikkerhet. En moden sikkerhetsorganisasjon, herunder en erfaren sikkerhetsleder vil være interessert i å bli evaluert for å ta læring og bli bedre. En mulighet for å få en objektiv vurdering kan være å søke til andre fagmiljø for å få noen derfra til å gjennomføre en sikkerhetsrevisjon. Hvis en objektiv undersøkelse er 12. Inspirert av veileder i internkontroll fra DFØ (2013) og Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon, DFØ (2015) 13. Om fordeling av oppgaver, forskrift om sikkerhetsadministrasjon 2-4 12 Krav til uavhengighet og skillet mellom kontrollerende og utøvende virksomhet
vanskelig å få til kan sikkerhetsleder gjennomføre evalueringer av eget arbeid. På grunn av manglende objektivitet vil det da ikke kunne defineres som en sikkerhetsrevisjon, men en evaluering. Ved å følge samme fremgangsmåte som for en sikkerhetsrevisjon vil dette kunne bidra til at evalueringen blir så objektiv som mulig. 13 Krav til uavhengighet og skillet mellom kontrollerende og utøvende virksomhet
DEL III GJENNOMFØRING AV SIKKERHETSREVISJONER 7. Langsiktig planlegging Revisjonsprogram 7.1. Overordnet plan for sikkerhetsrevisjoner Det er sjelden kapasitet til, eller hensiktsmessig, å revidere samtlige sikkerhetsområder samlet. Derfor anbefales det at virksomheten setter opp en overordnet plan for hvilke tema innen sikkerhet som skal gjennomgås i en gitt periode, eksempelvis ett år. Begrepet som ofte brukes for denne overordnede planen er revisjonsprogram. Revisjonsprogrammet bør integreres i virksomhetens styrende dokumenter, og godkjennes av virksomhetens leder. For en virksomhet med få verdier og god oversikt kan det være nok med en årlig gjennomgang av rutiner sammen med stikkprøver, mens en annen type virksomhet krever at det gjennomføres flere mer omfattende sikkerhetsrevisjoner. 7.2. Valg av revisjoner på bakgrunn av risiko Valg av revisjoner og mål for den enkelte revisjon besluttes på bakgrunn av eventuelle lovpålagte krav, en vurdering av den risiko området står overfor og hvor vesentlig området er for virksomheten. For å finne hvilke tema som bør revideres bør det tas utgangspunkt i allerede tilgjengelig informasjon, herunder informasjon om kjente sårbarheter eller indikasjoner på en sårbarhet. 14 Langsiktig planlegging Revisjonsprogram
GRUNNLAG FOR VALG AV REVISJONER Lovpålagte krav Resultater fra ledelsens evaluering Meldte avvik og forbedringsforslag Hvor har det tidligere oppstått eller oppstår det ofte feil og avvik Status i forhold til måloppnåelse Hvilken konsekvens har manglende måloppnåelse, hvor er konsekvensen mest alvorlig? Sikringsrisikovurderinger Hvilke verdier har virksomheten, hvilke trusler truer verdien og hvilke sårbarheter har verdien gitt disse truslene Organisatoriske endringer Er det endringer i personale. Er det endringer i roller og ansvar som krever spesiell kompetanse? Er det innført nye systemer og/eller nye rutiner som medfører endringer i hvordan oppgaver løses Tabell 4 Grunnlag for valg av revisjoner På bakgrunn av innspill fra sikkerhetsleder er det virksomhetens leder som vedtar hvilke revisjoner som skal gjennomføres. Revisjoner vil i tillegg til å avdekke sårbarheter eller bekrefte kjente sårbarheter, bidra til økt kunnskap om områder der ledelsen mener den burde vite mer. 7.3. Detaljgrad og omfang Hvor detaljert og omfattende revisjonsprogrammet bør være må virksomheten selv vurdere. Programmet bør kunne bidra til systematisk oppfølging i tillegg til å være dokumentasjon på hvilke områder som ansees som viktige. Mindre virksomheter kan gjennomgå hele virksomhetens sikkerhetsarbeid i en revisjon, mens det for større virksomheter kan være nødvendig å utforme revisjonsprogrammet slik at sikkerhetsrevisjoner ( delrevisjoner ) fordeles utover året. Ut fra programmet skal virksomhetens leder enkelt få oversikt over hvilke tema som er aktuelle, formålet med sikkerhetsrevisjonen, hva funnene vil måles opp i mot og når sikkerhetsrevisjonen er planlagt gjennomført. 15 Langsiktig planlegging Revisjonsprogram
FORHOLD SOM PÅVIRKER REVISJONSPROGRAMMETS OMFANG OG DETALJGRAD: Virksomhetens størrelse Budsjett, årsverk, omfang av verdier Kompleksitet Organisering Leveranser Systemer Regelverk Lokasjoner Risiko Forvalter skjermingsverdig informasjon eller objekt Potensielle trusler Kjente sårbarheter Modenhet på forebyggende sikkerhet Etablert styringssystem for sikkerhet Sikkerhetskultur Tabell 5 Forhold som påvirker revisjonsprogrammets omfang og detaljgrad Det er viktig at sikkerhetsleder minner seg selv på viktigheten av en åpen prosess i planleggingen. Revisjoner må koordineres både i forhold til hverandre og i forhold til andre aktiviteter som er planlagt gjennomført i virksomheten. Her er det hensynet til helhetlig styring som spiller inn. Det er også viktig at de som blir berørt av programmet, både direkte og indirekte blir informert. HUSKELISTE VED UTARBEIDELSE AV REVISJONSPROGRAM Relevante deler av programmet må formidles til de som blir berørt For den enkelte revisjon må det defineres mål, omfang, ressurser og tidsramme En revisjonsansvarlig må på plass Revisjonene må koordineres i forhold til hverandre og andre aktiviteter i virksomheten Sikre at aktivitetene dokumenteres og at dokumentasjonen oppbevares korrekt Tabell 6 Huskeliste ved utarbeidelse av revisjonsprogram 7.4. Avlysning eller utsettelse av revisjoner Dersom virksomheten velger å utsette eller avlyse enkelte sikkerhetsrevisjoner må det begrunnes, herunder også dokumenteres. Årsaker til avvik fra programmet kan eksempelvis være endringer i ressurssituasjonen som krever en strammere prioritering eller at nye tiltak er iverksatt som det er for tidlig å se noen effekt av. Det kan også oppstå ad-hoc situasjoner som krever at det er 16 Langsiktig planlegging Revisjonsprogram
andre sikkerhetsrevisjoner som bør gjennomføres enn det som opprinnelig var planlagt. I arbeidet med revisjonsprogrammet har sikkerhetsleder en oppfatning av hvor mye ressurser det er behov for å få gjennomført programmet. For å få noe mer forutsigbarhet, både for sikkerhetsleder og fagfunksjoner, kan det være en fordel å ha nedfelt i eksempelvis en retningslinje at sikkerhetsleder skal ha tilgang til fagressurser ved gjennomføring av sikkerhetsrevisjoner. 8. En sikkerhetsrevisjon 8.1. Om fasene i en sikkerhetsrevisjon En sikkerhetsrevisjon består i grove trekk av tre deler. Revisjonen må planlegges. Den skal gjennomføres og rapporteres, herunder følges opp. Den enkelte revisjon bør ha en plan for gjennomføring revisjonsplanen. Det er her metoder, ansvar og krav til rapportering fastsettes. Revisjonen må avgrenses og det må avsettes riktige ressurser. Når planen er lagt kan informasjonsinnhentingen starte. Dette er gjennomføringsfasen. Her skal det innhentes informasjon som sier noe om en aktivitet, prosess eller organisatorisk enhet fungerer som forutsatt eller ikke. I denne fasen samles det inn fakta, også kalt revisjonsbevis (14). I rapporteringsfasen vurderes fakta opp mot kriteriene for undersøkelsen (revisjonskriterier (15) ) og det utarbeides en rapport. FASENE I EN SIKKERHETS REVISJON: INNSATS UTFALL Planlegging Gjennomføring, informasjonsinnhenting Revisjonsprogram, overordnet informasjon om: Tema/omfang Formål Revisjonskriterier Revisjonsteam Periode for gjennomføring Risiko ved gjennomføring Revisjonsplan Valgt metode Ressurser Revisjonsplan (konkretisering av informasjon fra revisjonsprogrammet) Tema/ Omfang Formål Ressurser Tidsbruk Revisjonskriterier Revisjonsbevis Metodevalg Aktiviteter Fakta om området som er undersøkt (revisjonsbevis) 14. Revisjonsbevis er data som revisor benytter for å dokumentere de faktiske forholdene som revisjonen omhandler, og for å underbygge revisors vurderinger og anbefalinger. Både kvantitative og kvalitative data kan brukes som revisjonsbevis, se «Retningslinjer for forvaltningsrevisjon», Riksrevisjonen (2012) 15. Revisjonskriterier er en samlebetegnelse på de normene og standardene som er relevante på området for den aktuelle forvaltningsrevisjonen. Revisjonskriteriene er sammen med faktabeskrivelsen grunnlaget for revisors vurderinger, se «Retningslinjer for forvaltningsrevisjon», Riksrevisjonen (2012) 17 En sikkerhetsrevisjon
FASENE I EN SIKKERHETS REVISJON: INNSATS UTFALL Rapportering Vurdering Rapport Revisjonskriterier Revisjonsbevis Innhold fra revisjonsplan, revisjonskriterier, revisjonsbevis, vurderinger, konklusjoner og avvik Vurderinger, konklusjoner/ avvik Skriftlig rapport med sammendrag, hovedkonklusjoner og eventuelt anbefalinger Grunnlag for ledelsens evaluering Oppfølging Hovedkonklusjoner eventuelt anbefalinger Status på lukking av avvik eventuelt gjennomførte tiltak Tabell 7 Fasene i en sikkerhetsrevisjon 8.2. Planlegging- den enkelte revisjon 8.2.1. Om planlegging Det er den som er ansvarlig for å gjennomføre undersøkelsen/ revisjonen som har ansvar for planleggingen. Som regel tilsier dette at sikkerhetsleder står for hele revisjonsprogrammet, herunder også gjennomføring av den enkelte sikkerhetsrevisjon. I en virksomhet med både sikkerhetsleder og dedikerte sikkerhetsmedarbeidere kan det legges inn i programmet hvem som er ansvarlig for den enkelte revisjon. Selv om rammene for revisjonen er gitt i revisjonprogrammet må omfanget, hvem som skal gjennomføre og hvem som blir berørt av revisjonen spesifiseres. I tillegg må tidsrammen detaljeres ytterligere i planen til den enkelte sikkerhetsrevisjon. FORHOLD SOM MÅ SPESIFISERES I REVISJONSPLAN Tema/ Omfang Formål Ressurser Tidsbruk Revisjonskriterier Revisjonsbevis Metodevalg Aktiviteter Tabell 8 Forhold som må spesifiseres i revisjonsplan 18 En sikkerhetsrevisjon
8.2.2. Beskrive omfang I revisjonprogrammet er det gitt føringer for hvilke tema/fagområder som skal gjennomgås. I enkelte tilfeller er programmet mer konkret og beskriver hva som kan være utfordringen med området. Dette bør uansett kunne hentes ut i fra dokumentasjon fra arbeidet med revisjonsprogrammet. Valg av tema må begrunnes. I planleggingsfasen er det også viktig å tydeliggjøre hva oppdraget faktisk består i. En sikkerhetsrevisjon kan eksempelvis fokusere på ett fagområde innen sikkerhet eksempelvis fysisk sikring, en del av organisasjonen, en prosess eller en geografisk enhet. EKSEMPLER PÅ OMRÅDER FOR SIKKERHETSREVISJON Styringssystem for sikkerhet Beskyttelse av informasjon Personellsikkerhet Fysisk sikkerhet Før ansettelse Under ansettelse Ved endring eller avsluttet ansettelse Lederforankring Sikkerhetsorganisasjon Sikringsrisikovurdering Sikkerhetsdokumentasjon Opplæring og kompetanse Etterlevelse Retningslinjer Merking av informasjon Sjekk/kontroll Betingelser for tilgang Tydelige autorisasjonsskiller Daglig sikkerhetsmessig ledelse Opplæring Status på klarering og autorisasjon Rutiner for utklarering Fysiske skiller Adgangskontroll Beskyttelse av utstyr Beskyttelse av informasjon Plassering av utstyr 19 En sikkerhetsrevisjon
EKSEMPLER PÅ OMRÅDER FOR SIKKERHETSREVISJON Styring av leverandører Planlegging av systemer Beskyttelse mot skadevare Styring av nettverkssikkerhet Informasjonssystemsikkerhet Håndtering av utstyr Informasjonsutveksling Tilgangsstyring Anskaffelser Sikkerhet i prosesser Hendelseshåndtering Beredskap Overensstemmelse med eksterne krav og interne overordnede føringer Overvåkning Godkjenningsstatus informasjonssystemer Administrasjon av brukertilgang Brukeransvar Styring av nettverkstilgang Styring av tilgang til driftssystemer Styring av tilgang til informasjon Sikkerhetskrav til anskaffelsen Informasjonsbehandling Sikkerhetsavtaler Leverandørklareringer Rapportering av hendelser Håndtering av hendelser Nødplaner Øvelser Risikovurdering Identifisert gjeldende krav Hindre misbruk av utstyr Sikkerhetspolicy Teknisk overensstemmelse Tabell 9 Eksempler på områder for sikkerhetsrevisjon (16) 16. For mer om sikkerhetsrevisjon om styringssystem for sikkerhet, se veileder for sikkerhetsstyring, NSM 20 En sikkerhetsrevisjon
8.2.3. Formål med sikkerhetsrevisjonen Formålet med revisjonen kan også hentes fra revisjonsprogrammet. Revisjonsprogrammet er overordnet så sikkerhetsleder kan ha behov for å konkretisere det som ønskes oppnådd med sikkerhetsrevisjonen. Er det som står i revisjonsprogrammet uklart må det søkes avklaringer hos de som jobber med fagområdet eller de som har foreslått temaet. Det er viktig å ha klart for seg hva usikkerheten er knyttet til og hva de trenger mer informasjon om. For den enkelte sikkerhetsrevisjon må risiko knyttet til gjennomføringen av sikkerhetsrevisjonen vurderes, eksempelvis risiko for å trekke feil konklusjon eller at vesentlige forhold ikke avdekkes gjennom undersøkelsen. En sikkerhetsrevisjon kan antyde en trend eller gi en indikasjon på en tilstand. Det er alltid en viss risiko for at utvalget ikke gjenspeiler en helhet. 8.2.4. Eksterne krav og interne føringer revisjonskriterier En sikkerhetsrevisjon må støtte seg på noen kriterier, det betyr eksempelvis rettslig grunnlag som sikkerhetsloven, en standard som ISO/IEC 27001 eller tiltak besluttet på bakgrunn av en sikringsrisikovurdering. I revisjonsprogrammet bør det kort henvises til hvilke revisjonskriterier den enkelte sikkerhetsrevisjon vurderes opp i mot, som utdypes i planleggingen av den enkelte revisjon. 8.2.5. Faktiske forhold - Revisjonsbevis Revisjonsbevis er de faktaopplysninger som er nødvendige for å kunne svare på revisjonens formål. Mens revisjonskriterier er målestokken for undersøkelsen er revisjonsbevisene den informasjonen som dokumenterer om det er et avvik eller ikke. Risikoen ved sikkerhetsrevisjonen kan ha påvirkning på hvor mye bevis som er nødvendig. Er det risiko for å få feilinformasjon så er det behov for mer bevis. Hva sikkerhetsleder mener det vil være behov for av informasjon (revisjonsbevis) for å kunne svare på problemstillingen vil ha betydning for valg av metode. 8.2.6. Metodevalg Det finnes flere metoder for å innhente data eller fakta i en undersøkelse som en sikkerhetsrevisjon. Hva man velger avhenger av formålet med sikkerhetsrevisjonen, hvor dypt det er behov for å gå for å dokumentere eventuelle funn og ikke minst hvilken metode som er best egnet og som sikkerhetsleder har kompetanse til å få gjennomført. Der det tas i bruk mer enn en metode så vil det være et bredere grunnlag for å trekke en konklusjon. 21 En sikkerhetsrevisjon
METODE Dokumentgjennomgang Statistikk/ kvantitative data Spørreundersøkelse og intervju Prosessgjennomgang Stikkprøver Observasjon BRUKSOMRÅDER Gjennomgang av dokumenter som er utarbeidet i forbindelse med utførelsen av arbeidsoppgaver. Dette kan være saksmapper, planer, interne notater, brev, rapporter osv. Gjennomgang av informasjon fra flere kilder og/eller gjennomgang av større mengder med informasjon hvor formålet er å identifisere systematiske feil eller store enkeltfeil. Eksempler kan være trender i avviksrapporter, gjennomgang av logger og antall saker. Kvantitative data må i de fleste tilfeller analyseres. Det vi si at revisor analyserer data fra relevante kilder. For eksempel vil registerdata kunne benyttes. Også ferdige resultater fra andres undersøkelser kan brukes. Informasjon hentes inn ved å stille muntlige spørsmål (intervju) eller skriftlige spørsmål (spørreskjema). Dette kan for eksempel gjøres som en enkel web-undersøkelse for å nå mange. Intervju med enkeltpersoner kan være en hensiktsmessig oppfølging av en spørreundersøkelse. Intervjuer kan benyttes til å innhente faktaopplysninger, bekrefte og utdype data eller gjøre supplerende undersøkelser. Intervju kan for eksempel være egnet til å beskrive hendelser, støtte opp under en dokumentanalyse, eller til å kartlegge mulige årsaker til sårbarheter. Spørreskjema kan brukes for å samle inn både kvalitative og kvantitative data fra et større antall personer. Spørreskjema er eksempelvis godt egnet til å kartlegge for eksempel ansattes holdninger til sikkerhet og kjennskap til ulike bestemmelser. Som hovedregel kan kun verifiserte intervjudata brukes i revisjonen. Ofte skriver en revisor et referat fra intervjuet som den som ble intervjuet leser igjennom og gir skriftlig tilbakemelding på. Gjennomgang av en prosess fra start til slutt. Eksempelvis følges en sak fra denne oppstår til den er ferdigstilt. For eksempel en sikkerhetsgradert anskaffelse. I denne type undersøkelse ser man på hvilke potensielle risikoer som ligger i det enkelte prosess-steg og vurderer om iverksatte tiltak fungerer og at risikoene derfor er på et akseptabelt nivå. Et antall saker velges ut for gjennomgang. For eksempel kan det omfatte å kun påse at sjekklister er signert og datert og at autorisasjoner foretatt. Her observerer man personer, gjenstander eller hendelser for å være sikker på at rutiner følges. Dette egner seg best ved rutiner knyttet til fysiske tiltak eksempelvis håndtering av fysisk varemottak. Tabell 10 Eksempler på metoder og bruksområder 22 En sikkerhetsrevisjon
8.2.7. Kompetanse Den som har ansvaret for å gjennomføre en sikkerhetsrevisjon må ha tilstrekkelig faglig kjennskap til området som skal revideres. Dersom den som har ansvaret ikke har inngående kjennskap til området, så må denne kompetansen finnes andre steder i organisasjonen og bistå med sin fagkunnskap. Revisjonsansvarlig bør ha kompetanse innen planlegging av et oppdrag, datainnsamling, herunder metoder og troverdighet til kilder, dokumentanalyse og god til å kommunisere, både muntlig og skriftlig. VIKTIGE KOMPETANSEOMRÅDER FOR SIKKERHETSREVISJONSARBEID: Kjennskap til styringssystemet for sikkerhet Kjenne til eksterne krav og interne overordnede føringer innen sikkerhet Vite hvordan virksomheten er organisert og hva som er de viktigste leveransene og kjerneprosessene Forstå virksomhetens sosiale kodeks og kultur, herunder sikkerhetskultur spesielt Kunne styre mindre prosjekter Kunne bruke ulike metoder for informasjonsinnhenting God muntlig og skriftlig fremstillingsevne Tabell 11 Viktig kompetanseområder for sikkerhetsrevisjonsarbeid Listen med kompetanseområder antyder det at dette er en oppgave for sikkerhetsleder. Sikkerhetsleder får ofte god virksomhetskunnskap i og med at det er en funksjon som må samarbeide med alle funksjoner for å ha et riktig nivå på den forebyggende sikkerheten. Det kan likevel være behov for å delta på kurs i eksempelvis internrevisjon for å få en grunnleggende kompetanse i gjennomføring av revisjoner. 8.3. Gjennomføring 8.3.1. Om gjennomføring Sikkerhetsrevisjoner gjennomføres vanligvis av et team, minimum to personer. Teamet kan bestå av en hovedansvarlig og en fagrådgiver. I en liten organisasjon vil ansvaret kanskje tillegge sikkerhetsleder alene. Ansvaret innebærer å gjennomføre sikkerhetsrevisjonen og utarbeidelse av rapport. Fagrådgiver vil være en som har god kompetanse på området som skal kontrolleres. Her er det viktig å skille mellom kontrollerende og utøvende roller. Kontrollene bør gjennomføres av personer som ikke deltar direkte i arbeidet som skal undersøkes. 23 En sikkerhetsrevisjon
8.3.2. Varsling av sikkerhetsrevisjon Revisjonsprogrammet viser at det skal gjennomføres en undersøkelse, men det er ikke så detaljert at det sier noe om dato for oppstart av undersøkelsen. For å sikre at de som bør være tilstede når undersøkelsen gjennomføres er det nødvendig å varsle i god tid. Varselet bør sendes slik at de som skal delta og involveres har mulighet til å justere allerede planlagte aktiviteter eventuelt be om utsettelse. Dersom de som skal gjennomføre sikkerhetsrevisjonen har behov for å få tilsendt eller ha informasjon tilgjengelig ved oppstart, må varselet sendes slik at mottager har tid til å innhente denne dokumentasjonen. Som en del av varselet bør det også legges ved en plan for undersøkelsen, herunder hvem revisor ønsker å møte, hva som skal være tilgjengelig av dokumentasjon, andre forhold som legges til rette. En uvarslet sikkerhetsrevisjon kan være hensiktsmessig ved eksempelvis gjennomføring av stikkprøver. Det er imidlertid gode grunner for å utvise varsomhet ved bruk av uvarslede sikkerhetsrevisjoner da det ofte skaper negative følelser både hos de som blir undersøkt, men også deres kolleger som indirekte blir berørt. Det skaper mistillit mellom sikkerhetsleder og organisasjonen for øvrig. Forebyggende sikkerhet har behov for tillit for å kunne bygge en god sikkerhetskultur og ikke skape en kultur basert på usikkerhet knyttet til det å bli utsatt for uvarslede inspeksjoner. Kontrollens formål og hva virksomheten ønsker å oppnå er derfor avgjørende i valget av tilnærming. 8.3.3. Åpningsmøtet Før oppstart av selve undersøkelsen må det avholdes et åpningsmøte. Dette er nødvendig for å informere de funksjonene som påvirkes av undersøkelsen, slik at usikkerhet og muligheten for misforståelser forebygges. Hvor formelt et åpningsmøte skal være må den enkelte virksomhet vurdere. Er det eksempelvis behov for økt bevissthet knyttet til funksjonen sikkerhetsleder har, så kan det være hensiktsmessig med et åpningsmøte der den som vil kan delta. Det viktigste er likevel at leder for den funksjonen eller prosessen som skal revideres blir informert, da gjerne i et kort møte, slik at lederen kan ta dette videre og informere sine ansatte som vil bli berørt. FORSLAG TIL PUNKTER TIL ÅPNINGSMØTET Revisjonsleder presenterer revisjonsgruppen Orienterer om bakgrunnen for og hensikten med undersøkelsen Tidsplan gjennomgås Praktiske spørsmål omkring gjennomføring kan avklares Manglende dokumentasjon kan etterspørres Tabell 12 Forslag til punkter til åpningsmøtet 24 En sikkerhetsrevisjon
8.3.4. Innhenting av informasjon (revisjonsbevis) Omfanget av faktainnsamlingen avhenger av hvilke metoder som er valgt for å samle inn informasjon. Uavhengig av metodevalg må faktainnsamlingen planlegges slik at informasjonen som samles inn faktisk er informasjonen det er behov for og ikke overskuddsinformasjon. Nok informasjon er sjelden mangelvare, men i en sikkerhetsrevisjon er det ikke nok, men riktig informasjon for å kunne svare ut sikkerhetsrevisjonens formål som er viktig. Uavhengig av metode det viktig å vite hva man skal se etter for ikke å rote seg bort i forhold som er interessante, men ikke relevante i denne sammenhengen. Både ved intervju og spørreundersøkelser er det å stille de riktige spørsmålene en egen prosess som må være godt planlagt. 8.3.5. Sluttmøte Det må vurderes om det er behov for et sluttmøte for å presentere funnene. Det anbefales at de som har vært mest involvert i sikkerhetsrevisjonen får tilbud om et møte. Dette er en arena der leder for sikkerhetsrevisjonen presenterer revisjonsbevisene, fakta fra datainnsamlingen, eksempelvis at ansatte ikke går med adgangskort synlig, at rutinene ikke er oppdaterte eller at autorisasjonssamtaler ikke er dokumentert. Alle faktaopplysningene må dokumenteres. Et godt gjennomført sluttmøte er en viktig arena for å gi sikkerhetsarbeidet i virksomheten riktig prioritet videre. Forut for møtet må revisjonsteamet oppsummere resultatene og ha en agenda. Sluttmøtet gjennomføres etter faktainnsamlingen. 8.4. Rapportering 8.4.1. Vurdering og konklusjon Etter faktainnsamlingen og sluttmøtet må informasjonen analyseres og vurderes opp mot revisjonskriteriene. Er valgt metode en spørreundersøkelse må svarene bearbeides og tolkes. Det kan være fornuftig å ta inn et punkt i rapporten om feilkilder, siden tolkning alltid vil ha et subjektivt element. Det er viktig å vise hva man veier både for og mot en konklusjon slik at leser av rapporten forstår hvordan sikkerhetsleder/revisor har tenkt. Dette er også viktig for dokumentasjon av sikkerhetsrevisjonen. Revisjonsteamet kan dele funn i avvik og observasjoner, der avvik er brudd på gjeldene lover, regelverk og prosedyrer, mens observasjoner er områder som anbefales forbedret. Er det gjennomført både innsamling av statistikk og intervjuer så må funn fra begge metoder presenteres separat i faktadelen, men at funnene i vurderingsdelen kan støtte hverandre eventuelt ikke støtte hverandre. En sikkerhetsrevisjon skal ikke være en fasit. Det er en undersøkelse som vil gir en indikasjon på status. Indikasjonen kan være sterk, men der den er svak kan det være behov for ytterligere undersøkelser. 25 En sikkerhetsrevisjon
8.4.2. Beskyttelse av informasjon Dersom virksomheten behandler sikkerhetsgradert informasjon er det viktig at sikkerhetsgradert informasjon oppbevares i tråd med regelverket og at det brukes kommunikasjonskanaler som er godkjente for riktig nivå. Opplysninger som er ugraderte, men sensitive må også beskyttes tilstrekkelig av alle involverte parter. Siden revisjonen vil kunne avdekke sårbarheter i virksomhetens sikkerhetssystemer er det viktig å tidlig vurdere hvorvidt innhenting av opplysninger eller rapporteringen krever skjerming. Når rapporten er avgitt er det hovedmottaker som avgjør videre formidling av innholdet. 8.4.3. Forslag til tiltak Siden sikkerhetsrevisjonen skal fungere som et verktøy for kontinuerlig forbedring kan revisjonsteamet gi anbefalinger til tiltak som bidrar til å forbedre systemer og prosesser for forebyggende sikkerhet. Sikkerhetsleder vil i tillegg til å finne avvik samtidig prøve å se etter årsaken til avviket og derav ha en formening om hvordan dette kan forbedres. På denne måten kan sikkerhetsrevisjonen brukes som et verktøy der virksomheten hjelpes til å se hvorfor sikkerheten ikke er god nok, hvordan den kan forbedres og hvordan tiltakene bør følges opp. En forutsetning for å få dette til er god kommunikasjon mellom sikkerhetsleder og de som er berørt av revisjonen. Virksomheten må ha tillit til sikkerhetsleder. Det er også derfor viktig at sikkerhetsleder ikke er alene med å foreslå tiltak, men at de som blir berørt av avviket er med i utformingen. I tillegg til å bygge tillit vil dette bidra til at de som eier avviket får et eierskap til tiltaket samt en større forståelse for hvorfor og hvordan avviket bør lukkes (17). 8.4.4. Utarbeide rapport Det er viktig med en rød tråd gjennom oppdraget, fra planlegging til endelig rapport. Før endelig rapport bør det sendes et utkast til gjennomgang til de berørte partene, først og fremst for å bekrefte fakta, men også for å få synspunkter på vurderinger og anbefalinger. Sikkerhetsrevisjoner fokuserer i stor grad på avvik og svakheter, noe som kan bidra til at leseren av rapporten får et skjevt bilde av den forebyggende sikkerheten på det undersøkte området. Rapporten bør derfor være balansert og inneholde både tilfredsstillende og ikke tilfredsstillende observasjoner. For mottaker av rapporten kan det være et like stort behov for å få bekreftet hva som fungerer tilfredsstillende som hva som ikke fungerer. Det er viktig at de som har blitt kontrollert gis en mulighet til å bli hørt og at eventuelle misforståelser fra begge sider avklares før endelig rapport avgis. 17. Sikkerhetsrevisjoner - dagens situasjon og videre utvikling, Håkon Ruud Fartum, SINTEF Teknologiledelse, avdeling for Sikkerhet og pålitelighet, 17.07.02 26 En sikkerhetsrevisjon
KJENNETEGN PÅ EN GOD RAPPORT Nøyaktig Objektiv Tydelig Konstruktiv Tidsaktuell Leservennlig Tabell 13 Kjennetegn på en god rapport Ved endelig rapport bør avdekkede avvik i utgangspunktet være kjent for virksomheten, og det bør stå en frist for å gi tilbakemelding på innhold og konklusjoner. Revisjonsleder har ansvaret for å sende endelig rapport til ledelsen for de funksjonene som har blitt kontrollert. Det kan være hensiktsmessig å informere nivået over kontrollert nivå. Endelig rapport bør godkjennes av sikkerhetsleder. FORSLAG TIL INNHOLD I EN RAPPORT Konklusjon Innledning: Formål med revisjonen Tema for revisjonen Omfang Revisjonskriterier Avvik og observasjoner Revisjonskriterier, revisjonsbevis, vurderinger og konklusjoner Vurdering Synliggjøre mulige konsekvenser Forslag til korrigerende tiltak Prioritet Ansvar for utbedring Tidsfrist for utbedring Tabell 14 Forslag til innhold i en rapport Hvis sikkerhetsrevisjonen viser ingen eller små avvik og tilliten til undersøkelsen er høy, viser dette at sikkerheten på det undersøkte området kan vurderes som tilfredsstillende. Hvis det avdekkes avvik, må dette rapporteres i de kanaler som har behov for denne type informasjon. Det kan være virksomhetens leder, kontraktsparter, overordnet virksomhet eller andre som det er bestemt skal informeres i slike tilfeller, eksempelvis NSM dersom det avdekkes sikkerhetstruende hendelser. (18) 18. Forskrift om sikkerhetsadministrasjon kapittel 5 og NSMs rundskriv 1/11 27 En sikkerhetsrevisjon
Dersom det avdekkes vesentlige avvik bør sikkerhetsleder ta dette direkte med virksomhetens leder. (19) 8.5. Oppfølging Gjennomførte revisjoner skal følges opp av sikkerhetsleder ved å etterspørre status for tiltakene. Sikkerhetsleder kan følge opp med kontroll av hvorvidt nødvendige tiltak blir iverksatt som en del av styringssystemet for sikkerhet. Når tiltakene er iverksatt og implementert vil sikkerhetsrevisjonen lukkes og følges opp som sikkerheten forøvrig igjennom styringssystemet for sikkerhet. 19. Forskrift om sikkerhetsadministrasjon 2-5 28 En sikkerhetsrevisjon
DEL IV LISTER OG VEDLEGG 9. Kildeliste KILDE UTGITT TITTEL URL Direktoratet for økonomistyring (DFØ) 2015 Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon 2013 Veileder i internkontroll https://dfo.no/fagomrader/ internrevisjon/ http://www.dfo.no/documents/foa/ publikasjoner/veiledere/internkontroll/ Veileder_internkontroll.pdf Evalueringsportalen fallgruver i intervjusituasjonen http://evalueringsportalen.no/ artikkel/6376773608968145953 Store norske leksikon Revisjon https://snl.no/ The International Organization for Standardization ISO 19011:2011 ISO/IEC 27001:2013 ISO/IEC 27002:2013 http://www.iso.org SINTEF Teknologiledelse, Sikkerhet og pålitelighet 2002 Sikkerhetsrevisjoner dagens situasjon og videre utvikling https://www.sintef.no/globalassets/ project/hfc/documents/notat-haakon-fartum.pdf Norges Interne Revisorers Forening 2015 veileder for compliance funksjonen http://iia.no/ veileder-for-compliancefunksjonen/ Nasjonal sikkerhetsmyndighet 2015 Veileder i sikkerhetsstyring https://www.nsm.stat.no/globalassets/ dokumenter/veiledninger/veileder-i-sikkerhetsstyring--endelig.pdf Direktoratet for e-helse Norm for informasjonssikkerhet, fakta ark 06 https://ehelse.no/ faktaark-06-sikkerhetsrevisjon Direktoratet for forvaltning og IKT (DIFI) Internkontroll i praksis (beta) http://internkontroll.infosikkerhet.difi.no/ 29 Kildeliste
KILDE UTGITT TITTEL URL Finanstilsynet 2009 Rundskriv 03/2009 Veiledning til forskrift om risikostyring og internkontroll Riksrevisjonen 2012 Kompetansesenter for IT i helse- og sosialsektoren (KITH) 2002 Datatilsynet 2011 10. Figurer Retningslinjer for forvaltningsrevisjon IT-revisjon, rapport 22/02 Internkontroll og informasjonssikkerhetveileder http://www.finanstilsynet.no/no/ Artikkelarkiv/Rundskriv/2009/1-kvartal/ Veiledning-til-forskrift-om-risikostyringog-internkontroll/ https://www.riksrevisjonen.no/revisjonsmetodikk/forvaltningsrevisjon/ Sider/Forvaltningsrevisjon.aspx http://www.kith.no/templates/kith_ WebPage 673.aspx https://www.datatilsynet.no/ Sikkerhet-internkontroll/ Figur 1 Illustrasjon av et styringssystem for sikkerhet 8 Figur 2 Ledelsens evaluering og sikkerhetsrevisjoner 10 Figur 3 Illustrasjon av ulike kontrollnivåer for å sikre styring og kontroll 12 11. Tabeller Tabell 1 Sikkerhetslovens forskrifter om sikkerhetsrevisjon 6 Tabell 2 Begrunnelse for å gjennomføre sikkerhetsrevisjoner 9 Tabell 3 Sikkerhetsrevisjoner som bidrag til ledelsens evaluering 11 Tabell 4 Grunnlag for valg av revisjoner 15 Tabell 5 Forhold som påvirker revisjonsprogrammets omfang og detaljgrad 16 Tabell 6 Huskeliste ved utarbeidelse av revisjonsprogram 16 Tabell 7 Fasene i en sikkerhetsrevisjon 18 Tabell 8 Forhold som må spesifiseres i revisjonsplan 18 Tabell 9 Eksempler på områder for sikkerhetsrevisjon 20 Tabell 10 Eksempler på metoder og bruksområder 22 Tabell 11 Viktig kompetanseområder for sikkerhetsrevisjonsarbeid 23 Tabell 12 Forslag til punkter til åpningsmøtet 24 Tabell 13 Kjennetegn på en god rapport 27 Tabell 14 Forslag til innhold i en rapport 27 12. Vedlegg A. Mal for revisjonsprogram B. Mal for revisjonsplan C. Mal for revisjonsvarsel, e-post D. Mal for agenda til åpningsmøte E. Mal for agenda til sluttmøtet 30 Figurer
Vedlegg A: Mal for revisjonsprogram Nr. (X/20XX) Tema Formål 1 Tema for revisjonen Hvorfor skal dette undersøkes, hva forventes det å få svar på 2 3 4 Revisjonskriterier Omfang Risiko Hvilke krav/ forventninger kan stilles til område som skal undersøkes? Beskriv omfang i forhold til hvilke deler av organisasjonen som berøres, hvorfor akkurat disse delene (avgrensing) Beskrivelse av risiko knyttet til gjennomføring av revisjonen Revisjonsleder/ fagrevisor Periode for gjennomføring Hvem er ansvarlig for gjennomføring og hvem skal bistå med hvilke roller Forventet oppstart og forventet ferdigstillelse (rapport) 31 Vedlegg
Vedlegg B: Mal for revisjonsplan PLAN FOR SIKKERHETSREVISJON... Revisjonsnummer:x/2017 Godkjent: dd.mm.yyyy Sikkerhetsleder (sign): Revisjonsleder (sign): Mandat for sikkerhetsrevisjonen: Tema: (hentes fra programmet) Risikovurdering: (hentes fra programmet) Formål: (hentes fra programmet) Omfang: (hentes fra programmet) Revisjonsteam Revisjonskriterier Navn (Peder Aas) Rolle (ex Revisjonsleder) Navn Rolle Navn Rolle Beskriv om det er krav gitt i lov og forskrift eksempelvis sikkerhetslovens krav om dokumenthåndtering, kontraktsrettslige forpliktelse, eksempelvis nedfelt spesielle krav til sikkerhet som leverandør, vurdering av styringssystemer eller annet grunnlag for kontroll. Metodevalg Hvilke metode skal benyttes og hvorfor. Hvilke metode vil best oppfylle formålet også sett opp mot risiko eksempelvis motstand i virksomheten, kanskje uvarslet inspeksjon bidrar til sterkere motstand. Aktivitetsplan Aktivitet Ansvar Frist Sende revisjonsvarsel Gjennomføre åpningsmøte Sende spørreundersøkelse Gjennomføre dybdeintervjuer Gjennomføre sluttmøte Sende utkast til rapport Gjennomføre møte for å omforenes om tiltak Sende sluttrapport Ferdigstille dokumentasjon Revisjonsleder Revisjonsleder Fagrevisor Revisjonsleder og fagrevisor Revisjonsleder Revisjonsleder Revisjonsleder og revidert part Revisjonsleder Revisjonsleder og fagrevisor 32 Vedlegg
Vedlegg C: Mal for revisjonsvarsel, e-post Til: Kopi: Fra: Emne: Leder for enhet som blir berørt Sikkerhetsleder (om ikke revisjonsleder), revisjonsteam Revisjonsleder Varsel om sikkerhetsrevisjon: x/2017 "Tema/ Navn på revisjon" Virksomhetens leder har besluttet at det skal gjennomføres sikkerhetsrevisjon om tema (se revisjonsprogram). Bakgrunnen for å gjennomføre sikkerhetsrevisjon på dette området er (se revisjonsprogram om risiko og formål). Kriterier for sikkerhetsrevisjonen er (se revisjonsprogram). Undersøkelsen vil omfatte (se revisjonsprogram - omfang) Tidsplanen for gjennomføringen av revisjonen er som følger: (hent fra revisjonsplan). Om revisjonen baserer seg i stor grad på intervjuer kan det legges ved en plan for når et enkelt intervju skal gjennomføres. Dersom det skal gjennomføres andre undersøkelser med dybdeintervjuer i etterkant kan det legges inn en setning om at man vil sende ut en oversikt over intervjuer senere. Med vennlig hilsen, Navn Rolle Kontaktdetaljer 33 Vedlegg
Vedlegg D: Mal for agenda til åpningsmøte Åpningsmøte for sikkerhetsrevisjon: (navn på revisjon) Agenda: 1. Hensikten med møtet Orientere om sikkerhetsrevisjoner generelt og denne revisjonen spesielt. Arena for å stille spørsmål om sikkerhetsrevisjoner slik at de involverte har forståelse for hensikt og rammer for revisjoner. 2. Orienteringspunkter: Bakgrunnen for, temaet for, formålet med og omfanget av sikkerhetsrevisjonen Revisjonsgrunnlaget 3. Presentasjon av revisjonsteamet 4. Tidsplan 5. Spørsmål 34 Vedlegg
Vedlegg E: Mal for agenda til sluttmøte Sluttmøte for sikkerhetsrevisjon: (navn på revisjon) Agenda: 1. Hensikten med møtet Alle involverte skal være orientert om funnene i revisjonen. Dette er også en arena for å avklare eventueller misforståelser 2. Orienteringspunkter: Bakgrunnen for, temaet for, formålet med og omfanget av sikkerhetsrevisjonen Revisjonsgrunnlaget 3. Gjennomgå funnene i revisjonen 4. Spørsmål og avklaringer (kan tas fortløpende under punkt 3) Praktiske forhold: Det kan være hensiktsmessig å registrere deltakere på sluttmøte for å gjengi dette i revisjonsrapporten. 35 Vedlegg
Vedlegg F: Mal for rapport Husk å vurdere om rapporten skal være unntatt offentlighet eller om den bør sikkerhetsgraderes. SIKKERHETSREVISJON Nummer Tittel Dato for godkjenning Konklusjoner Her skrives det inn en oppsummering av de viktigste funnene. Avvik (A) er forhold som må korrigeres for at praksis blir i overensstemmelse med eksterne krav eller interne føringer. Observasjoner (O) er forhold som ikke er avvik, men som påpekes fordi det er grunnlag for forbedring. Dette kan også være forhold som kan føre til avvik dersom det ikke iverksettes tiltak. AVVIK A1 Legg inn avvik fra sikkerhetsrevisjonen A2 A3 A4 OBSERVASJONER O1 Legg inn observasjoner fra sikkerhetsrevisjonen O2 O3 En sikkerhetsrevisjon er en systematisk, uavhengig og dokumentert prosess for å fremskaffe informasjon om faktiske forhold og bedømme dette objektivt for å vurdere i hvilken grad det er svakheter på området i forhold til det som er forventet. Sikkerhetsrevisjoner gir informasjon til virksomhetens leder om praksis samsvarer med eksterne krav og interne føringer. Informasjonen skal som grunnlag for interne forbedringer. 36 Vedlegg
I. Innledning I.i. Formålet med sikkerhetsrevisjonen (hent fra revisjonsplan) I.ii. Tema for sikkerhetsrevisjonen(hent fra revisjonsplan) I.iii. Omfang for sikkerhetsrevisjonen (hent fra revisjonsplan) I.iv. Periode for gjennomføring (hent fra revisjonsplan) I.v. Revisjonskriterier (hent fra revisjonsplan) I.vi. Metode for gjennomføring II. Avvik II.i. Avvik 1: Tittel på avvik Revisjonskriterier Revisjonsbevis Vurdering Anbefalinger II.ii. Avvik 2: Tittel på avvik Revisjonskriterier Revisjonsbevis Vurdering III. Observasjoner III.i. Observasjon 1: Tittel på observasjonen Revisjonskriterier (om finnes) Revisjonsbevis Vurdering Anbefalinger III.ii. Observasjon 2 III.iii. Observasjon 3 37 Vedlegg
(NSM) 67 86 40 00 Postboks 814 1306 Sandvika post@nsm.stat.no www.nsm.no