Helseforetakenes senter for Pasientreiser ANS 2/2014

Like dokumenter
Årsrapport 2014 Internrevisjon Pasientreiser ANS

Helseforetakenes senter for pasientreiser ANS 1/2016

Helseforetakenes senter for pasientreiser ANS 2/2015

Årsrapport 2016 Internrevisjon Helseforetakenes senter for pasientreiser ANS

Oppfølgingsansvar iht internrevisjonen. Tiltak nr i rapport 1/2013. Internrevisjonens anbefaling

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

Helseforetakenes senter for Pasientreiser ANS 1/2015

Styresak Oppfølging av Internrevisjonsrapport 01/2013:

Saksframlegg Referanse

Årsrapport 2011 Internrevisjon Pasientreiser ANS

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 25/03/15

Pasientreiser HF. Revisjon av kontrollstrategi for reiser uten rekvisisjon RAPPORT 1/2017. Endelig Revisjonsrapport 1/2017 Internrevisjon Side 1 av 15

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Forslag til oppfølgingsansvar

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Årsrapport 2012 Internrevisjon Pasientreiser ANS

Saksframlegg Referanse

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 10/03/14

Styret Helseforetakenes senter for pasientreiser ANS 26/06/2014

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Helseforetakenes senter for

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Rapport Revisjon forskning Revmatismesykehuset AS

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 27/10/2011. SAK NR Godkjenning av protokoll fra styremøtet

Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 23/10/2013. SAK NR Virksomhetsrapportering pr 31.

Status og oppfølging av styrevedtak t.o.m

Status og oppfølging av styrevedtak t.o.m

Utkast Revisjonsplan Internrevisjon Pasientreiser HF

Vedtatte tiltak/handlingspunkter i Pasientreiser ANS (sak nr 08/2014, 23. januar)

Utkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 23/04/15

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Pasientreiser ANS - Offentlig journal

Pasientreiser 1/2014. Rapport Revisjon av miljøstyringssystemet. Revisjonsrapport Internrevisjonen Side 1 av 15

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 23/09/13

Styret Helseforetakenes senter for pasientreiser ANS 08/12/10

Styresak Oppfølging av internrevisjonsrapport 04/2017 henvisninger og ventetider i Helse Nord, oppfølging av styresak

Utfordring, tiltak og status:

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Saksframlegg Referanse

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 31/10/16. SAK NR Godkjenning av protokoll fra styremøtet

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Rapport 5/2015. Revisjon av styring og oppfølging av Sykehuspartner HF

Styret Helse Sør-Øst RHF 21. juni 2012 SAK NR ORIENTERINGSSAK - STRATEGIPLAN FOR HELSEFORETAKENES SENTER FOR PASIENTREISER ANS

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

Saksframlegg Referanse

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 28/08/15. SAK NR Godkjenning av protokoll fra styremøtet

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Gode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene. Strategiplan Pasientreiser ANS

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Egenevalueringsskjema

Hvilke risikoer er vurdert?

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 16/01/13

Erfaringer fra NIRF`s kvalitetskontroll

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Gode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene. Strategiplan Pasientreiser ANS

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 18/04/13. SAK NR Godkjenning av protokoll fra styremøtet

Mandat for Forvaltningsforum for talegjenkjenning (NIKT TGK)

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 11/12/13. SAK NR Godkjenning av protokoll fra styremøtet

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 21/10/15

Per styremøte

Enhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring

Saksframlegg Referanse

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 17/06/13

Orientering om tiltaksplan for arbeid med anbefalinger etter Internrevisjonsrapport 04/ Henvisninger og ventelister i Helse Finnmark HF

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Styremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak

Prosedyre for håndtering av endring i tilgang til regional DIPS

Revisjon av informasjonssikkerhet

Mandat for Systemeierforum (SEF)

Sykehuset Innlandet HF Styremøte SAK NR PLAN FOR INTERNE REVISJONER Forslag til VEDTAK:

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Styret Helsetjenestens driftsorganisasjon for nødnett HF 23.oktober 2017

Saksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Godkjenning av protokoll fra styremøte i Pasientreiser HF

Mislighetsrevisjon Sykehuset Innlandet HF

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 26/01/17

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Saksframlegg. Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015

Saksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 21/09/2011. SAK NR Godkjenning av protokoll fra styremøtet

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 18/04/2013 SAK NR VIRKSOMHETSRAPPORTERING PR 28.

Møtedato: 26. oktober 2016 Arkivnr.: Saksbeh/tlf: Sted/Dato: /735 Erik Arne Hansen/Hilde Rolandsen Bodø,

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

Mandat for Teknologiforum for medisinske kvalitetsregistre (FMK)

Saksframlegg. Møtedato Styret Helseforetakenes senter for pasientreiser ANS 25/03/2015

Akkumulert risikovurdering oktober 2015

Status og oppfølging av styrevedtak t.o.m

Saksframlegg til styret ved Sykehuset Telemark HF

Revisjonsrapport analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler

Saksframlegg. Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/04/2015

Utviklingsprosjekt: Bedre prosess og mer tid til analyse av månedlige økonomirapporter. Nasjonalt topplederprogram. Erik A Hansen

Rapport fra gjennomgang av internkontroll 2. halvår 2014 og plan for

Matrikkelen en nasjonal felleskomponent -kommunereform faggruppemøte

Rapport Revisjon ledelsens gjennomgåelse risikovurdering Ullevål universitetssykehus HF

Styret Helse Sør-Øst RHF 14. april 2011 SAK NR REVISJONSRAPPORT - LEVERANSE AV HELSEPERSONELLVIKARER

Transkript:

Helseforetakenes senter for Pasientreiser ANS 2/2014 Rapport - Revisjon av Intern styring og kontroll i tilgangsstyring og endringshåndtering i ITsystemet NISSY Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 1 av 14

Tidsrom for revisjonen 24.11.2014 09.1.2014 Virksomhet Helseforetakenes senter for pasientreiser ANS Rapportmottaker Administrerende direktør Kopi (endelig rapport) Styret v/styreleder Rapportavsender Internrevisjonen Oppdragsgiver Styret Oppdragsleder Nils Harald Børve Revisjonsteam Nils Harald Børve / Tove Kolbeinsen Kundevarlig Tove Kolbeinsen Innholdsfortegnelse 1. Sammendrag... 3 2. Kort om området som skal revideres... 4 3. Formål, problemstillinger og metode... 5 4. Revisjonskriterier... 6 5. Vurderingskriterier... 6 6. Oppsummering av funn... 7 7. Vedlegg... 13 7.1 Informasjonsgrunnlag... 13 7.2 Gjennomførte intervjuer... 14 7.3 Saksgang... 14 Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 2 av 14

1. Sammendrag Hovedfunn Område A og B tilgangsstyring Internrevisjonen har gjennomført en oppfølgingsrevisjon i forhold til anbefalinger og styrets vedtatte tiltaksplaner som fulgte av rapport 2/2013 på området tilgangsstyring NISSY. Fokus har vært på i hvilken grad tiltakene er implementert, og fungerer etter hensikten, og om det er akseptabel risiko på revidert områder etter gjennomføring av tiltakene. Hovedkonklusjonen på området er at styrets vedtatte tiltak er delvis fulgt opp. Det er ikke er etablert rutiner for håndtering av brukerkontoer, herunder systemadministratorer som Pasientreiser ANS er ansvarlig for. Vi mener også at det foreligger en restrisiko som innebærer at det fortsatt foreligger risiko for at det er aktive brukerkontoer i NISSY, som kan benyttes til misbruk. Denne risikoen ligger ikke hos Pasientreiser ANS alene. Vi anbefaler at risikoen vurderes i årlig tverrgående risikovurdering som skal gjennomføres sammen med helseforetakene. Arbeidet bør gjerne bygge videre på anbefalingene til Administrerende direktør jfr. Sak 34-2014. Område C test og release Fokuset har vært på i hvilken grad virksomheten har gode prosesser for test og release av endringer som minimerer risiko for feil. Hovedkonklusjonen på området er at Pasientreiser ANS har jobbet godt med test og endringsprosedyrene siden 2011 da internrevisor anbefalte å forbedre test og endringsprosedyrene i virksomheten etter en gjennomgang av IKT området. Vi har funnet noen mindre svakheter og forbedrings punkter som kan bidra til å forbedre prosessen ytterligere. Konklusjoner Det er observert mindre svakheter i styring og kontroll i prosessene som er kartlagt. Det bør settes i verk tiltak. Område A og B tilgangsstyring Prosesser for tilgangsstyring er ikke etablert. Pasientreiser ANS har gjort en ryddejobb og implementert tiltak som har fjernet muligheten for å opprette falske brukeridentiteter av rekvirentene selv. Det er vår Anbefalinger Område A og B tilgangsstyring Pasientreiser ANS og helseforetakene må drøfte risiko, behov og utarbeide felles prinsipper og rutiner for tilgangsstyring i NISSY. Arbeidet må gjerne bygge på anbefalingene til Administrerende direktør jfr. Sak 34-2014. Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 3 av 14

vurdering at det fortsatt er risiko for at det eksisterer falske brukerkontoer som kan benyttes til misbruk. Område C test og release Flere dokumenter er ikke oppdatert etter endringer i organisasjonen. Hvem som har ansvaret for prosedyrene var på revisjonstidspunktet ikke avklart. Det er i liten grad brukt risikovurderinger i endringsprosessen. Det er funnet forbedringer i kravspesifikasjon/tilbud fra leverandør hva gjelder estimat på arbeid med produksjonssetting. Det er avvik fra gjeldene rutiner hva gjelder beslutning om endring i systemeierforum. Område C test og release Rutiner og prosedyrer må oppdateres ved organisasjonsendringer eller andre endringer i virksomheten. Vi anbefaler mer aktiv bruk av risikovurderinger. Vi anbefaler at Pasientreiser ANS legger inn et krav om å estimere omfang av arbeid med produksjonssetting fra leverandørene. Pasientreiser ANS må etterleve, eller tilpasse egne rutiner hva gjelder beslutning om endringer i systemeierforum 2. Kort om området som skal revideres Beskrivelse av område/prosess som er revidert Revisjon av intern styring og kontroll knyttet til tilgangsstyring og test og utrulling av nye versjoner i IT systemet NISSY. Målsettinger for området/prosessen som er revidert I handlingsplanen etter revisjon av tverrgående prosesser i 2013 er ulike aktiviteter planlagt gjennomført i 2014, herunder tiltak knyttet til tilgangsstyring i NISSY. Målsetningen for revisjonen er å undersøke om Pasientreiser ANS har gjennomført de tiltak som avtalt på en god og effektiv måte. Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 4 av 14

Avgrensninger I tillegg vil internrevisjonen se på test og release av nye versjoner i NISSY. Målsetningen med revisjon av test og release av NISSY er å sikre at det er lagt til grunn gode prosesser som reduserer risiko for feil ved utrulling av nye versjoner. Revisjonen skal utelukkende se på det som inngår i Pasientreiser ANS sitt ansvarsområde, revisjonen skal ikke se på aktiviteter eller ansvarsområder som ligger under de enkelte helseforetak eller regionale helseforetak. Internrevisjonen vil ha fokus på om Pasientreiser ANS har lagt til rette for og etablert de tiltak som er nødvendig for effektive prosesser på de aktuelle områdene. 3. Formål, problemstillinger og metode Formål med revisjonen Problemstillinger som skal undersøkes Metode Formålet med oppfølgingsrevisjonene er å bekrefte i hvilken grad tiltak vedrørende tilganger i revisjon 1/2013 er gjennomført. Formålet med revisjon av test og release er å bekrefte i hvilke grad PAS har innført tiltak som reduserer risiko for feil ved nye releaser. A. I hvilke grad Pasientreiser ANS har forbedret rutiner og manuelle kontroller for tildeling, endring og avslutning av tilganger i NISSY. B. I hvilke grad Pasientreiser ANS har gjennomgått tildelte tilganger og fjernet/korrigert uriktige tilganger. C. Revisjonen skal særskilt se på hvordan de planlegger, gjennomfører, tester og ruller ut nye endringer i NISSY. Prosjektet vil særskilt ta utgangspunkt i det arbeidet som er lagt til grunn i den forekommende leveransen av NISSY. Planlegging av revisjon og oppstart Innhente informasjon om gjennomførte tiltak Innhente informasjon/prosessbeskrivelse om Pasientreiser ANS sine prosesser for test og release av nye versjoner i NISSY Innledende risikoanalyse og avgrensning av revisjonen Utarbeide revisjonsprogram Intervjuer, gjennomgang av dokumentasjon hos Pasientreiser ANS Evaluere grad av gjennomføring av vedtatte tiltaksplaner Evaluere design av prosess for test og utrulling Teste effektiviteten i tiltak og prosesser Resultatene fra prosjektet bearbeides i rapports Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 5 av 14

form 4. Revisjonskriterier Revisjonskriterier For område A og B tilgangsstyring i NISSY er revisjonskriteriene utarbeidet med utgangspunkt i anbefalinger og vedtatte tiltak i internrevisjonsrapport 2/2013. For området C, test og release i IT systemet NISSY, bygger revisjonskriteriene på anerkjente standarder som ISO27001, COBIT, ISTQB og rammeverk for intern styring og kontroll som eks. COSO. 5. Vurderingskriterier Vurderingskriterier Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. Det er observert feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det bør settes i verk tiltak. Det er observert vesentlige feil og/eller svakheter i intern styring og kontroll i prosessen som er kartlagt. Det må settes i verk tiltak. Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 6 av 14

6. Oppsummering av funn Oppfølgingsrevisjon 1/2013 Tilgangsstyring i NISSY Nr Kriterier Observasjon Vurdering/Anbefaling 6.1 Rutiner og manuelle kontroller for tildeling, endring og avslutning av tilganger i NISSY bør forbedres. Tildelte tilganger på området må gjennomgås. Observasjon 1 Det er ikke skriftlige rutiner for tildeling, endring og avslutning av tilganger i NISSY for brukerkontoer som Pasientreiser ANS er varlig for. Det er heller ikke etablert felles rutiner eller prinsipper mellom Helseforetakene og Pasientreiser ANS for hvordan dette med brukerkontoer skal håndteres for å redusere risikoen. Pasientreiser ANS selv har en stabil brukermasse med systemadministratorer der de mener risikoen er begrenset fordi de har få brukere og lite endringer i personell med behov for tilgang. Volumet av brukerkontoer ligger ute hos helseforetakene og rekvirentene. Rekvirentene er det helseforetakene som administrerer. Pasientreiser ANS påpeker at arbeidet med å etablere felles rutiner eller prinsipper må gjennomføres i fellesskap med helseforetakene og inngår ikke i Pasientreiser ANS sitt ansvar alene. Pasientreiser ANS har belyst risiko med tilgangsstyringen i egen risikovurdering overfor styret i sak 34-2014. I dette notatet anbefaler Administrerende direktør: Foreløpige funn og anbefalinger fra internrevisjonenes rapport viser at tilgangsstyringen i rekvirentmodulen i Det er observert mindre svakhetet i styring og kontroll i prosessen som er kartlagt. Det bør settes i verk tiltak. Til observasjon 1 Det er ikke utarbeidet skriftlige rutiner for tildeling, endring og avslutning av tilganger i NISSY. Til observasjon 2 Det er vår vurdering at kontrollen dekker risikoen med gamle/ubrukte kontoer, men dekker i liten grad risikoen med at det kan eksistere kontoer med falske identiteter som kan benyttes til misbruk av systemet. Til observasjon 3 Tiltaket er gjennomført. Tiltaket bidrar til at muligheten for å opprette duplikater og falske identiteter som kan brukes til misbruk begrenses. Oppsummering og anbefaling: Prosesser for tilgangsstyring i NISSY er ikke etablert hos Pasientreiser ANS. Pasientreiser ANS har gjennomført en ryddejobb og implementert tiltak som har fjernet muligheten for å opprette falske brukeridentiteter av rekvirentene selv. Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 7 av 14

NISSY ikke er optimal. Administrerende direktør anbefaler derfor tiltak for å utrede dagens utfordringer bedre og konsekvensutrede effekten av eventuelle endringer i systemet og nye prosedyrer. Disse tiltakene anbefales: Strakstiltak Vurdere etablert tilgangsordning nasjonalt Fremtidige tiltak: Eventuelle omfattende systemendringer inkluderes i vurderingen av fremtidsrettet løsning for reiser med rekvisisjon. Det er vår vurdering at det fortsatt er en risiko for at det eksisterer falske brukerkontoer som kan benyttes til misbruk, men denne problemstillingen / ansvar ligger ikke hos Pasientreiser ANS alene. Internrevisjonen anbefaler at Pasientreiser ANS og helseforetakene drøfter risiko gjennom årets felles risikovurdering. Her bør de vurderer behov og utarbeider felles prinsipper og skriftlige rutiner for tilgangsstyring i NISSY på tvers. Arbeidet bør gjerne bygge videre på anbefalingene til Administrerende direktør jfr. Sak 34-2014. I tillegg bør det enkelte pasientreisekontor vurdere å gjennomgå gitte tilganger. Observasjon 2 Det er gjennomført en automatisk gjennomgang av alle brukerkontoer i NISSY, slik at alle brukerkontoer som ikke har vært i bruk på 6 måneder automatisk har blitt stengt. Det er midlertidig mulig å automatisk re-aktivisere brukerkontoen dersom en er registret med en gyldig e- postadresse. Observasjon 3 Muligheten for å opprette nye brukerkontoer er fjernet for brukere av typen "rekvirent". Muligheten for å opprette nye rekvirenter i NISSY kan nå kun utføres av systemadministratorer hos Pasientreiser ANS og helseforetakenes pasientreisekontorer med adgang til dette. Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 8 av 14

Test og release i NISSY Nr Kriterier Observasjon Vurdering/Anbefaling 6.2 Det skal være utarbeidet policyer og retningslinjer for test og release av nye versjoner i NISSY som bidrar til å redusere risiko for feil. Observasjon 1 Det er dokumentert skriftlige policyer og strategier for gjennomføring av test og release. Det foreligger også oversiktlig prosessdokumenter for hvordan test og release skal gjennomføres sammen med tilhørende støttedokumentasjon som maler og skjemaer. Observasjon 2 Internrevisor merker seg at det er gjennomført omorganiseringer knyttet til "IT roller" i Pasientreiser ANS, herunder test. Gjeldene dokumentasjon er ikke oppdatert i forhold til omorganiseringen, og eierskap til å videreutvikle og forvalte testmetode og dokumentasjon var på revisjonstidspunktet ikke avklart. Observasjon 3 Internrevisor merker seg at prosessen i liten grad har en risikotilnærming til endringen i forhold til kompleksitet. Til tross for at risikovurdering i liten grad er nevnt i prosedyrene, har Pasientreiser ANS fremvist risikovurdering for en endring: SMS i NISSY 4.5 ble risikovurdert. Det er observert en mindre svakhetet i styring og kontroll i prosessen som er kartlagt. Det bør settes i verk tiltak. Pasientreiser ANS bør oppdatere gjeldene dokumentasjon og sikre at ansvaret for endringsrutiner, metode o.a. følges opp og videreutvikles. Vi anbefaler mer aktiv bruk av risikovurderinger. Internrevisjonen anbefaler at det for hver endring gjennomføres en kortfattet risikovurdering. Vi anbefaler også at leverandørene som et ledd i sin besvarelse uttaler seg om risikomomenter i endringen. Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 9 av 14

6.3 Policyer og retningslinjer for endringsstyring skal være kommunisert til relevante ansatte. 6.4 Det skal være etablert en prosedyre for å foreta registrere og vurdere endringsønsker. 6.5 Det skal eksistere gode prosedyrer for kravspesifikasjon til leverandør, tilbud og beslutning om bestilling som ivaretar endringsønsket og minimerer risiko. Intervjuede personene har inngående kunnskap og kjennskap om policyer og retningslinjer for endringsstyring. Det er også god kompetanse på anerkjente teststandarder som ISTQB standarden i virksomheten. Gjeldene prosess ivaretar kravet. Internrevisor har inspisert og testet at utvalgte ønsker har blitt registret i eget skjema og behandlet i rette fora iht. gjeldene prosess. Gjeldene prosess ivaretar kravet. Internrevisor har inspisert og testet rutiner og utvalgte endringsforespørsler. Vi observerer at de er godt dokumentert med endringsønsker, løsningsforslag fra leverandør og estimater på pris og omfang på selve endringen. Internrevisor merker seg at arbeidet med produksjonssetting ikke prises eller estimeres i løsningsforslaget. I følge Pasientreiser ANS har prisen på produksjonssetting vært stabil, og prisen har aldri vært uforventet høy. Pasientreiser ANS har derfor ikke betraktet dette som en risiko. Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. Det er observert en mindre svakhetet i styring og kontroll i prosessen som er kartlagt. Det bør settes i verk tiltak. Manglende estimater/pris på produksjonssetting kan medføre en økonomisk usikkerhet dersom det skulle oppstå problemer i produksjonssettingen. Vi anbefaler at Pasientreiser ANS legger inn et krav om å estimere arbeid med produksjonssettingen. 6.6 Det skal eksistere gode prosedyrer for en beslutning om å iverksette en bestilling/endring. Gjeldene prosess ivaretar kravet. Internrevisor har inspisert og testet at rutiner og utvalgte endringsforespørsler er behandlet iht. virksomhetens rutine. Vi finner dokumentasjon på at funksjonell arbeidsgruppe har vurdert endringene, men vi kan ikke se at systemeierforum har gjort en konkret beslutning om Det er observert en mindre svakhetet i styring og kontroll i prosessen som er kartlagt. Det bør settes i verk tiltak. Manglende beslutning i systemeierforum er avvik fra egen rutine. Pasientreiser ANS må vurdere om Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 10 av 14

6.7 Det skal eksistere gode prosedyrer for deploy til test som minimerer risiko. bestilling av endringene i NISSY 4.6. Dette skulle væt gjort iht. gjeldene rutine. Pasientreiser ANS har framvist dokumentasjon på at systemeierforum ble informert om endringene gjennom referat fra funksjonell arbeidsgruppe, men at det ikke ble gjennomført noe møte eller en konkret beslutning. Gjeldene prosess ivaretar kravet. Internrevisor har inspisert og testet rutine for utvalgte endringer. Vi finner at de er godt dokumentert og gjennomført iht. gjeldene rutine. rutinen/mandat skal tilpasses. Eksempelvis om det skal foretas egen beslutning i systemeierforum eller om dette mandatet kan legges til funksjonell arbeidsgruppe og at systemeierforum informeres. Internrevisor vil anbefale at det gjennomføres en risikovurdering i en tidlig fase, og at endringer som kan karakterers som omfattende eller med høyere risikoprofil bør som minimum besluttes av systemeierforum. Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. 6.8 Det skal eksistere gode prosedyrer for roll-back, og test av disse. 6.9 Det skal eksistere gode prosedyrer for gjennomføring av test, både i QA og i produksjonsmiljø som minimerer risiko. 6.10 Produksjonssetting/aksept av leveransen skal tas av fora/personer med myndighet til dette. Gjeldene prosess ivaretar kravet. Internrevisor har inspisert og testet rutine for utvalgte endringer. Vi finner at de er godt dokumentert og gjennomført iht. gjeldene rutine. Gjeldene prosess ivaretar kravet. Internrevisor har inspisert at det foreligger testplaner og utvalgte endringer er testet. Vi finner at de er gjennomført og dokumentert iht. fastsatt skjema. Gjeldene prosess ivaretar kravet. Internrevisor har inspisert referater fra endringsråd som beslutter dette. Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 11 av 14

Årsaks- og konsekvensvurderinger Utfordringene med tilgangsstyring i NISSY har vært en belyst problemstilling over tid, og det er gjennomført ulike vurderinger og tiltak for å minimere risiko. Vi mener det gjenstår en restrisiko og at denne risikoen ikke kan løses av Pasientreiser ANS alene. Risikoen må løses i fellesskap med helseforetakene som besitter kunnskap om rekvirentene og risikoen for misbruk av systemet. I 2011 på pekte Internrevisjonen mangel på interne prosesser knyttet til bl.a. endringshåndtering og testing. Denne revisjonen viser at virksomheten har jobbet målrettet og bra med test og endringsstyring siden den gang. Det er vår vurdering at prosessen er god og velfungerende, men at det foreligger mindre avvik og forbedringsområder som bør vurderes for å redusere risiko ytterligere. Konklusjoner Det er observert mindre svakheter i styring og kontroll i prosessene som er kartlagt. Det bør settes i verk tiltak. Område A og B tilgangsstyring Prosesser for tilgangsstyring er ikke etablert. Pasientreiser ANS har gjort en ryddejobb og implementert tiltak som har fjernet muligheten for å opprette falske brukeridentiteter av rekvirentene selv. Det er vår vurdering at det fortsatt er risiko for at det eksisterer falske brukerkontoer som kan byttes til misbruk. Område C test og release Flere dokumenter er ikke oppdatert etter endringer i organisasjonen. Hvem som har ansvaret for prosedyrene var på revisjonstidspunktet ikke avklart. Det er i liten grad brukt risikovurderinger i endringsprosessen. Det er funnet forbedringer i kravspesifikasjon/tilbud fra leverandør hva gjelder estimat på arbeid med produksjonssetting. Det er avvik fra gjeldene rutiner hva gjelder beslutning om endring i systemeierforum. Anbefalinger Område A og B tilgangsstyring Pasientreiser ANS og helseforetakene må drøfte risiko, behov og utarbeider felles prinsipper og rutiner for tilgangsstyring i NISSY. Arbeidet må gjerne bygge på anbefalingene til Administrerende direktør jfr. Sak 34-2014. Område C test og release Rutiner og prosedyrer må oppdateres ved organisasjonsendringer eller andre endringer i virksomheten. Vi anbefaler mer aktiv bruk av risikovurderinger. Vi anbefaler at Pasientreiser ANS legger inn et krav om å estimere arbeid med produksjonssetting fra leverandørene. Pasientreiser ANS må etterleve, eller tilpasse egne rutiner hva gjelder beslutning om endringer i systemeierforum. Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 12 av 14

7. Vedlegg 7.1 Informasjonsgrunnlag I forbindelse med revisjonen mottok internrevisjonen et omfattende dokumentasjonsunderlag. Under er de viktigste dokumentene som er benyttet for å underbygge de konklusjoner som er trukket i rapporten gjengitt. Dok nr Beskrivelse Mottatt Gjennomgått Kommentar 1 Internrevisjonsrapport sak 39-2013 tverrgående prosesser Innhentet selv på web 2 Risikovurdering tilgangsstyring NISSY sak 24-2013 Innhentet selv på web 3 Mandat systemeierforum 4 Mandat NISSY / PRO 5 sak 03-2014 rapport fra internrevisjon om oppfølging av tidligere 6 gjennomførte sak 03-2014 vedlegg revisjoner 2013_Pas Oppfølgingsrevisjon 7 sak 06-2013 redefinering av systemeierrollen 8 sak 45-2014 Risikovurdering Pasientreiser ANS oktober 2014 9 sak 45-2014 vedlegg Akkumulert risikovurdering i Pasientreiser ANS 10 oktober SLA vedlegg 2014 - oppdatert april 2013 11 SLA vedlegg 2 mandat nytt samarbeidsforum 11 02 11 12 SLA-avtale desember 2010 13 Testpolicy for Pasientreiser ANS 14 Teststrategi for Pasientreiser ANS 15 Prosessflyt test og releas 16 Notater / e-post fra Per Olaf Strøm 17 Notater / e-post fra Nina Kvalheim 18 Ulike skjermbilder og kopi av referater ble innhentet som en del av test av etterlevelse Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 13 av 14

Dok nr Beskrivelse Mottatt Gjennomgått Kommentar 19 Risikovurdering release 4.5 NISSY 7.2 Gjennomførte intervjuer Dato Navn/rolle Gjennomført Dokumentert Kommentar 24.11.2014 Oppstartsmøte Eirik Andersen, Svein Erik Fauskanger, Nina Kvalheim 8 9.12.2014 Stedlig revisjon intervjuer og samtaler med Svein Erik Fauskanger, Nina Kvalheim, Per Olaf Strøm og Aleksander Strøm 18.12.2014 Oppfølgingssamtale med Per Olaf Strøm 22.12.2014 Oppsummering med Svein Erik Fauskanger og Nina Kvalheim 7.3 Saksgang Omforent prosjektplan Dato Aktivitet Uke 45-46 Planlegging av revisjon 24.11.2014 Oppstartsmøte med Pasientreiser ANS 8 9.12.2014 Stedlig revisjon 6.1.2015 Utkast rapport oversendes til Pasientreiser ANS 9.1.2015 Endelig rapport avstemt med involverte i revisjonen i Pasientreiser ANS 9.1.2015 Endelig rapport oversendt administrerende direktør 22.1.2015 Styrebehandling av rapport Endelig Revisjonsrapport 2/2014 Internrevisjonen Side 14 av 14

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding