Måling, evaluering og revisjon

Måling, evaluering og revisjon er «kontrolløren» i internkontrollen. Hensikta med målingar er å teste om tiltak fungerer og om pålegg blir etterlevd, og må gjennomførast både ved etablering og bruk av tiltak.

På denne sida

1. Innleiing

Føremålet med denne hovudaktiviteten er at leiarar på alle nivå skal få betre kunnskap om tilstanden på sitt ansvarsområde. Ein må systematisk vurdere om sikkerheitstiltak fungerer, om regelverk blir etterlevd og om internkontrollarbeidet rundt om i verksemda blir gjennomført som føresett. Slik kunnskap får ein gjennom ulike kombinasjonar av målingar, undersøkingar, evalueringar og revisjonar. Målingar og undersøkingar kan vere bakgrunnsdata eller inngå i evalueringar og revisjonar.

1.1 Aktivitetar

Under følgjer ei skildring av kvar av styringsaktivitetane som inngår i måling, evaluering og revisjon. Leiarar på alle nivå må systematisk:

Vurdere status på eige ansvarsområde

Ved regelverkskrav eller krav frå leiinga må ulike aktørar:

Måle tilstanden på definerte indikatorar
Gjennomføre evalueringar
Gjennomføre internrevisjon

2. Vurdere status på eige ansvarsområde

Ansvarleg for gjennomføring:

Alle leiarar og andre aktørar som har fått eit eige ansvarsområde knytt til internkontrollarbeidet.

2.1 Om aktiviteten

Ulike aktørar i verksemda vil normalt ha krav på seg om å vurdere status på eige ansvarsområde og syte for forbetringar ved behov. Dette kan vere

leiarar som delegerer og skal følgje opp gjennom linja
oppgåve- og systemeigarar
tiltaksleverandørar
ansvarlege for tenestenivåavtalar eller andre avtalar
ansvarlege for eigne deler av internkontrollaktivitetane, som til dømes hendingshandteringssystemet og internrevisjon

Kven som skal gjennomføre slike vurderingar, bør gå fram av føringane i verksemda.

2.2 Vurdere tilliten til at status er tilfredsstillande

Ei føremålstenleg tilnærming kan vere å starte med å vurdere kor stor tillit ein har til at status på eige ansvarsområde er slik han bør vere. Dette kan ein uttrykke i nivå: låg, moderat eller høg. Tilliten kan vere ulik for ulike delar av ansvarsområdet.

Det bør gjerast ei reell vurdering av

om sikkerheitstiltak ein har ansvaret for fungerer som føresett
om vedkomande sjølv og dei personar ein har ansvaret for:
- følgjer gjeldande lov- og regelverk
- gjennomfører pålagde oppgåver i internkontroll- og sikkerheitsarbeidet på ein tilfredsstillande måte
- etablerer og følgjer opp vedtatte eller avtalte sikkerheitstiltak
- etterlever innførte sikkerheitstiltak

Viktige grunnlag er

eigne observasjonar
formelle og uformelle medarbeidarsamtalar
tilbakemelding frå andre
rapportering eller indikasjonar frå avviks- og hendingshandteringa

2.3 Gjennomføre undersøkingar ved behov

Dersom ein etter ei slik vurdering ikkje har tilstrekkeleg tillit til at det ein har ansvaret for fungerer tilfredsstillande, bør det gjennomførast ei eller fleire grundigare undersøkingar.

Omfang og kompleksitet på undersøkingane vil variere, avhengig av saka sin eigenart og informasjonsbehovet til leiaren. Enkle undersøkingar kan den ansvarlege gjere sjølv. Undersøkingar som er meir tidkrevjande eller metodisk og teknisk kompliserte, kan ein ha behov for å engasjere nokon, interne eller eksterne, for å gjere.

2.4 Rapportere og forbetre

Dersom undersøkinga viser at det er avvik, må desse rapporterast om det er krav om dette. Den ansvarlege må også ta seg av konkrete forbetringstiltak. Desse må gjennomførast og følgjast opp, slik at ting fungerer, og tilliten aukast til eit tilfredsstillande nivå.

2.5 Dokumentere vurdering og undersøkingar

Resultatet av statusvurderinga saman med kva undersøkingar og oppfølgingstiltak som eventuelt er gjennomførte, bør dokumenterast i eit kort notat.

Hjelp til gjennomføring

Praktisk hjelp til dei som skal vurdere status på eige ansvarsområde er beskrevet på ei eiga side:

3. Måle tilstanden på definerte indikatorar

Ansvarleg for gjennomføring:

Dei personane verksemdsleiinga eller linjeleiar har peikte ut til å etablere eit system for målingar eller til å gjennomføre og rapportere konkrete målingar.

3.1 Om aktiviteten

Dersom leiinga ønskjer å følgje tilstanden i verksemda over tid, kan det vere føremålstenleg å etablere eit system med relevante måleindikatorar, og dessutan krav til systematisk måling og rapportering. Ei slik avgjerd tar ein normalt i samband med verksemdsleiinga sin gjennomgang.

3.2 Indikatorar kan brukast til statusoversikt og styring

Indikatorane kan gi nyttig statusinformasjon. Dersom dei er eigna, kan dei òg brukast som styringsindikatorar som verksemdsleiinga set konkrete resultatmål for. Måla kan gjelde heile eller delar av verksemda.

Vurderer ein å nytte dei som styringsindikatorar, bør ein vere merksam på moglege sideeffektar av å styre for strengt etter enkelte indikatormål. Indikatorar viser alltid berre éi side. Det er også vanskeleg å utforme eit indikatorsett som i tilstrekkeleg grad sikrar at konfidensialitet, integritet og tilgjengelegheit blir balansert.

3.3 Utarbeide innhald i målingane

Ønskjer verksemdsleiinga å følgje utviklinga på indikatorar over tid, tilrår vi at dei først etablerer ei arbeidsgruppe som i samarbeid med relevante aktørar utarbeider eit forslag til målingar. Forslaget bør innehalde

innan kva område det bør målast
aktuelle indikatorar for kvart område
metodar for datainnsamling for kvar indikator
frekvens og tidspunkt for kvar måling
ansvarleg for kvar måling
rapporteringstider og -måtar

Vi rår til at ein i første omgang vel ut nokre få indikatorar, eventuelt også nokre få spesielt etterspurde indikatorar eller nøkkeltal. Det er betre å få prøvd ut nokre få først, og eventuelt utvide seinare ved behov, enn å gå for breitt ut i starten. Då kan ein også betre sjå og vurdere ressursbruken jamført med nytta.

3.4 Etablere, gjennomføre og rapportere målingane

Når forslaget er behandla og vedtatt av verksemdsleiinga, må dei som blir ansvarleg for målingane, etablere nødvendige målepunkt og målemetodar. Det vil ofte vere behov for at dette arbeidet koordinerast av fagansvarleg informasjonssikkerheit eller ein annan utpeikt person. Det bør vere klare fristar for å få målingane i gang.

Når målingane og rutinane rundt er etablerte, må målingane gjennomførast i medhald av oppgitt tidspunkt, frekvens og ansvar.

Det vil oftast vere naturlig at fagansvarleg informasjonssikkerheit får ansvaret med å samanstille dei utførte målingane, og presentere desse for leiinga i rapporter. Dette kan blant anna vere til verksemdsleiinga sin gjennomgang.

3.5 Bruk i linjestyringa elles

Linjeleiarar på ulikt nivå kan ved interesse eller behov innføre måleindikatorar for oppfølging av eige ansvarsområde.

Dersom verksemda allereie har eit indikatorsett, vil dette ofte kunne danne ein god basis. For lokale leiarar vil det oftast vere interessant å sjå resultatet både for eiga organisatorisk eining, samanlikna med andre einingar og for verksemda samla.

Ut frå eigenarten til dei ulike einingane kan det også vere aktuelt å etablere heilt eigne indikatorar.

3.6 Systematisk evaluering av indikatorsett

Nokon i verksemda bør peikast ut som ansvarleg for å vedlikehalde det indikatorsettet som er valt på verksemdsnivå, og eventuelt på underliggande nivå.

Dei ansvarlege bør syte for at bruken og nytta blir evaluert systematisk. Indikatorar som fungerer dårleg, bør justerast. Ein må samtidig vere merksam på at indikatorar må kunne bli samanlikna over tid dersom ein skal sjå ei utvikling, så det er viktig å ikkje gjere for hyppige endringar.

4. Gjennomføre evalueringar

Ansvarleg for gjennomføring:

Dei personane verksemdsleiinga eller linjeleiarar har peikte ut til å gjennomføre konkrete evalueringar.

4.1 Om aktiviteten

Ei evaluering er som oftast bestilt frå verksemdsleiinga. Bestillinga vil ofte ha bakgrunn i anten

ei overordna risikovurdering
usikkerheit om viktige prosessar i internkontrollen fungerer godt nok
behov for å vite meir om korleis spesifikke delar av internkontrollarbeidet verkar inn på verksemda sine informasjonssikkerheitsmål, primære mål, effektivitet og regelverksetterleving.

Evalueringar kan til dømes vere:

Analyse av status på internkontrollområdet informasjonssikkerheit generelt, eller på eit spesifikt delområde, utført på oppdrag frå verksemdsleiinga
Gjennomføring av lovpålagde eller avtalte systemgjennomgangar, systemrevisjonar og liknande, utført på oppdrag frå risikoeigarar eller systemeigarar fellessystem
Ei grundig undersøking som oppfølging av ein leiar si usikkerheit i aktiviteten
Vurdere status på eige ansvarsområde

4.2 Kan utførast av både interne og eksterne fagmiljø

Evalueringar kan leiast og utførast av både interne og eksterne fagmiljø. Tilgjengelege ressursar og behov for sjølvstende til det som skal evaluerast, er viktige kriterium når ein vel kven som skal utføre arbeidet.

Kven som utfører arbeidet, påverkar graden av sjølvstende. Dette må verksemdsleiinga vere klar over både ved organisering, bestilling og forståing av sluttrapporten frå ei evaluering.

4.3 Planlegging, informasjonskjelder og metodar

Ei evaluering er ein systematisk planlagd prosess. Evalueringsoppdraget bør vere spesifisert og avgrensa. Som ein del av planlegginga må den som skal utføre evalueringa, finne ut kva informasjon som må hentast inn og analyserast for å svare på oppdraget. Dette skjer ofte i dialog med oppdragsgivar før datainnhentinga gjennomførast.

Ein må også ta stilling til om ein skal bruke kvantitative metodar, kvalitative metodar eller kombinasjonar, og ein vil i vår samanheng ofte bruke referansepunkt som standardar eller dette rettleiingsmateriellet.

4.4 Resultat

Resultata frå evalueringar presenterast for oppdragsgivar. Dei vil ofte innehalde tilrådingar om konkrete tiltak for å rette opp i dei avvik eller svakheiter ein har funne. I kva grad slike tilrådingar skal gis, vil normalt vere styrt av oppdraget.

Resultata bør også gjerast kjende for dei som er omfatta av evalueringa. Det sikrar forståing og læring av målingar, undersøkingar og evalueringar.

5. Gjennomføre internrevisjon

Ansvarleg for gjennomføring:

Dei personane verksemdsleiinga eller linjeleiarar har peikte ut til å gjennomføre konkrete internrevisjonar.

5.1 Om aktiviteten

Føremålet med ein internrevisjon er å få ei formell vurdering av om verksemda følgjer bestemte krav, og om krava er implementerte og haldne ved like på ein føremåls- og kostnadseffektiv måte. Revisjonen utførast på oppdrag frå verksemdsleiinga.

Krava kan vere verksemda sine eigne føringar for arbeidet med styring av informasjonssikkerheit, krava i standarden ISO/IEC 27001, bestemte lovkrav eller kombinasjonar av dette.

Verksemdsleiinga bør systematisk vurdere behovet for slike revisjonar og ved behov syte for gjennomføring.

5.2 Avgrensa krav til internrevisor

Ein internrevisjon for internkontroll informasjonssikkerheit, slik det er beskrive i ISO/IEC 27001, treng ikkje å bli utført av formelle revisorar eller av ein eigen internrevisjonsfunksjon i verksemda. Det er tilstrekkeleg at dei som får oppdraget veit korleis det skal gjerast, er vurderte som fagleg kvalifiserte for oppdraget og har tilstrekkeleg objektivitet og avstand til det som reviderast.

Som for evalueringar kan oppdraget utførast av både eksterne og interne fagmiljø.

5.3 Evalueringar - eit alternativ når ein ikkje treng sertifisering

Ein revisjon etter ISO/IEC 27001 må følgje krava i kapittel 9.2 i standarden.

For verksemder som ikkje skal sertifiserast etter ISO/IEC 27001, men berre skal basere seg på standarden, vil evalueringar med spissa mandat vere gode alternativ til slike internrevisjonar.

Det er føremålet og resultatet som er det viktigaste. Det er likevel her viktig at dei som gjer ei slik evaluering, har tilstrekkeleg objektivitet.

Evalueringar av ulike delar av internkontrollarbeidet vil uansett vere nyttige som supplement i verksemda sin status- og styringsinformasjon.

Det er også viktig å vere klar over at det kan vere at verksemda må gjennomføre sikkerheitsrevisjonar for å oppfylle lovkrav.

5.4 Tre fasar i ein revisjon

Ein revisjon består i grove trekk av tre fasar:

Planleggingsfasen, der revisjonsprogrammet blir sett opp. Her skal ein fastsetje metodar, ansvar og krav til rapportering og dessutan utforme revisjonshandlingane. Ein må også spisse revisjonen og avsetje riktige ressursar.
Gjennomføringsfasen, der revisjonshandlingane gjennomførast for å skaffe fram revisjonsbevis som understør om ein aktivitet, prosess eller organisatorisk eining fungerer som føresett eller ikkje.
Rapporteringsfasen, der revisjonen oppsummerast gjennom dei funna og observasjonar som er gjort, med tilhøyrande tilrådingar.

5.5 Revisjonsrapporten

Revisjonsrapporten vil vere eit viktig styringsdokument for leiinga. I informasjonssikkerheitssamanheng bør revisjonsrapporten brukast i samband med verksemdsleiinga sin gjennomgang.

5.6 Sentrale standarder i revisjonsarbeidet

Følgjande internasjonale standardar kan vere nyttige i samband med gjennomføring av internrevisjon av internkontrollarbeidet på informasjonssikkerheitsområdet:

NS-EN ISO 19011:2018 Retningslinjer for revisjon av styringssystem
NS-ISO/IEC 27007:2020 Retningslinjer for revisjon av ledelsessystemer for informasjonssikkerhet

Hjelp oss å lage betre nettsider

Fann du det du leitte etter?

Når du svarar på spørsmålet dukkar det opp eit tekstfelt som må fyllast ut.

Nei

* obligatorisk felt som du må fylle ut for å sende skjemaet.

Tilbakemelding

Tilbakemeldinga er anonym og vil ikkje bli besvart.

Er du eit menneske?

Mattespørsmål 15 + 1 =

Løys dette enkle mattespørsmålet og skriv inn svaret. For eksempel: For 1+3, skriv inn 4.