Konferens om risk- och sårbarhetsanalyser 2015 Stockholm - World Trade Center - 4 maj 2015 Att integrera RSA i arbetet med intern styrning och kontroll samt i myndighetens styrprocess Michael Lindstedt – Myndigheten för samhällsskydd och beredskap – MSB Controllerfunktionen Presentationen • Varför alla dessa riskanalyser? - Förmåga att bedriva verksamhet • Myndighetsledningen ansvarar och intygar - Med rimlig säkerhet fullgöra kraven • Styra med stöd av risker - Så här gör MSB Varför alla dessa riskanalyser? Varför alla dessa riskanalyser? Samtliga riskanalyser har, i olika omfattning, som syfte att identifiera risker som kan komma att påverka myndighetens förmåga att bedriva verksamhet. • För att nå våra mål och uppfylla syftet med vår verksamhet • Skapar värden och nya möjligheter • För att fatta bättre beslut • För att vi måste! – Ett sätt för regeringen att styra. Regeringens inriktning i budgetproposition (2010, 2011, 2012, 2013) Arbetet med risk- och sårbarhetsanalyser syftar till att öka medvetenheten och kunskapen hos beslutsfattare och verksamhetsansvariga om hot, risker och sårbarheter inom det egna verksamhetsområdet samt att skapa ett underlag för egen planering. Det är regeringens uppfattning att arbetet att utveckla och upprätthålla en god krisberedskap bör utgöra en integrerad del av verksamhetsplaneringen hos myndigheter, kommuner och landsting. Arbetet med risk- och sårbarhetsanalyser bör bedrivas samordnat med riskanalyser som regleras i annan författning. Riskhantering (RSA och FISK) och kontinuitetsplanering på MSB Beslut och givna inriktningar: RSA 2013 • Upprätta kontinuitetsplaner för MSB:s identifierade samhällsviktiga verksamheter, särskilt prioriterat. • Arbetet ska ha särskilt fokus på att säkerställa funktionalitet och kontinuitet i MSB:s beredskapsfunktioner och i de system som stödjer de samhällsviktiga verksamheterna. • Länka samman arbetet med olika riskanalyser, upprättande av kontinuitetsplaner och genomförande av åtgärder, att närmare integreras med myndighetens styrprocess. Denna samordning av våra interna processer ska fortsätta att utvecklas även efter 2013 i syfte att skapa ett riskmedvetet ledarskap och styrning inom myndigheten. MSB VP 2014 • Utifrån MSB:s RSA 2013 identifiera de insatser som är av väsentlig betydelse för att upprätthålla kontinuitet i MSB:s identifierade samhällsviktiga verksamheter och med tonvikt på de kritiska interna system (både interna processer och teknisk infrastruktur) som är nödvändiga för upprätthållandet. • Utveckla MSB:s RSA inom ansvarsområdena kommunal räddningstjänst och samhällets informationssäkerhet RSA – en i mängden av riskanalyser Vad är det som hotar och vad ska skyddas? FISK Omständigheter som hotar verksamheten RSA Det som hotar MSB:s kärnvärden och prioriterade åtaganden Det som hotar MSB:s samhällsviktiga verksamheter Kärnvärden i MSB - Effektiv verksamhet och enligt gällande rätt. - Når målen och utför uppdragen. - Redovisar på ett rättvisande sätt. - Hushåller med statens medel. - Risker, hot och sårbarheter - Kritiska beroenden Principer för ansvar och att vidta åtgärder MSB:s styrprocess - Beredskaps- och lägesbildsfunktioner - Hantera och förebygga it-incidenter - Stöd till samordning - Informationssystem - Upprätthålla teknisk kritisk infrastruktur Kontinuitetshantering Reducera avbrottstid Reducera konsekvens Kontinuitetshantering – en väsentlig komponent i myndighetens systematiska arbete med risker Hantera verksamhetens hot och möjligheter Den resilienta organisationen Hantera hot och möjligheter Systematiskt arbete med MSB:s risker Hantera incidenter o händelser Resilient organisation Aktiverar och larmar Säkerställa kontinuitet Sammanfattning • Riskanalyser bidrar till att skapa värden och möjligheter • Ledningen ger inriktning • Riskanalyser och kontinuitetsplanering är grundläggande komponenter i ett systematiskt (säkerhets-) arbete • Samordning kan skapa synergier och bättre överblick • Riskanalyserna är regelstyrda och tvingande Myndighetsledningen ansvarar och intygar Generaldirektörens intygande Vad är det GD ska bedöma? Att myndigheten med rimlig säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen Att verksamheten bedrivs: • effektivt • och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i EU • redovisas på ett tillförlitligt sätt samt • att myndigheten hushållar väl med statens medel Myndighetsledningen skall: Myndighetsförordningen (4§) 4. Säkerställa att det vid myndigheten finns en intern styrning och kontroll som fungerar på ett betryggande sätt Intern styrning och kontroll • • 67 myndigheter (2014) 90% av de samlade utgifterna i stadbudgeten Förordning om intern styrning och kontroll (FISK, 2007) 2 § den process som syftar till att myndigheten med rimlig säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen Internrevisionsförordning 4 § Internrevisionen ska utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen. Riskanalys i FISK:en Förordning om intern styrning och kontroll Riskanalys 3 § En riskanalys skall göras i syfte att identifiera omständigheter som utgör risk för att de krav som framgår av 3 § myndighetsförordningen (2007:515) inte fullgörs. ESV:s allmänna råd till 3 § Riskanalys innebär att identifiera och värdera risker för att därefter ta ställning till om riskerna ska accepteras eller hanteras. Omständigheter utgör en risk när de påverkar myndighetens möjlighet att fullgöra uppgifterna, nå målen eller genomföra uppdragen för verksamheten. Kontrollåtgärder Förordning om intern styrning och kontroll Kontrollåtgärder 4 § Med ledning av riskanalysen skall åtgärder vidtas som är nödvändiga för att de krav som framgår av 3 § myndighetsförordningen (2007:515) skall fullgöras med rimlig säkerhet. ESV:s föreskrifter till 4 § Myndigheten ska vidta åtgärder för identifierade risker som inte kan accepteras. ESV:s allmänna råd till 4 § Myndigheten bör göra en avvägning mellan den kostnad en viss åtgärd för med sig och den förväntade nyttan av åtgärden. Uppföljning Förordning om intern styrning och kontroll Uppföljning 5§ Den interna styrningen och kontrollen skall systematiskt och regelbundet följas upp och bedömas. Vid bedömningen skall iakttagelser som lämnas vid extern revision och internrevision beaktas. Generaldirektörens intygande Förordning om årsredovisning och budgetunderlag (2 kap.) 8 § … att ledningen intygar att årsredovisningen ger en rättvisande bild … … lämna en bedömning av huruvida den interna styrningen och kontrollen är betryggande. ”Jag bedömer att den interna styrningen och kontrollen vid myndigheten är betryggande” ”Jag bedömer att brister avseende den interna styrningen och kontrollen vid myndigheten föreligger på följande punkter” FISK bygger på synsättet i COSO (Committee of Sponsoring Organizations of the Treadway Commission) • Internationellt ramverk – Internal Control – Integrated Framework • Utgiven av COSO 1992, för att hjälpa företag och andra organisationer att bedöma och förbättra sina interna styr- och kontrollsystem. • ERM – Enterprise Risk Management 2004 Internal Control – Integrated Framework ERM – Enterprise Risk Management – Integrated Framework Målkategorier Organisation COSO - Kontrollmiljö - Riskbedömning - Kontrollaktiviteter - Information och kommunikation - Övervakning (inkl. uppföljning och utvärdering) COSO ERM - Intern miljö - Målformulering - Riskanalys - Kontrollåtgärder - Identifiering av händelser - Riskvärdering - Riskhantering - Kontrollaktivitet - Uppföljning - Dokumentation - Information och kommunikation - Övervakning FISK Principer/komponenter Fokuserar ensidigt på den interna kontrollen som sådan Ett bredare och mer utvecklat ramverk (än IK) med fokus på risker i verksamheten Sammanfattning • Myndighetsledningen fullgör ansvaret för verksamheten • 67 myndigheter svarar för 90% av de samlade utgifterna • Riskhantering är obligatoriska moment • COSO som bakomliggande ramverk Styra med stöd av risker MSB:s styrprocess 1. Inrikta - Uppföljning av uppnådda resultat 2. Planering - Inriktning och planeringsanvisningar - Konkretisering av mål - Identifierade risker Risk- och sårbarhetsanalys - Underlag per avd. - Risker, kompetens och resurser Intern styrning o kontroll Extern styrning regelverk StatligaGenerella myndigheters - Myndighetsförriskhantering ordning (2007:515) - FISK (2007:603) Säkerhetsanalys Specifik styrning - Förordn. med instr. för MSB (2008:1002) Informationssäkerhet - RB, RU…. 1. Inrikta 2. Planering 4. Uppföljning 3. Genomföra ? RSA vid höjd beredskap Internrevisionens granskn. 4. Uppföljning - Intern (löpande) och extern uppföljning - Uppföljningsdialoger (ISK och MSB RSA) - IR-granskning - ÅR 3. Genomföra - Utifrån MSB VP - Inriktning- och informationsdragning - Resultat Regelstyrning Generella regelverk Specifik styrning Viktiga ingångsvärden för att inrikta: - Uppföljningsunderlag Avd. underlag till inriktning Uppnådda resultat och identifierade brister NKI, verksamhetsanalys Identifierade risker, sårbarheter, hot och beroenden GD:s planeringsinriktning: - Strategiska frågor för MSB - Brister och behov kopplat till förmågorna och effektmål - Större förändringar i verksamheter som påverkar resursbehovet - Viktiga åtgärder och aktörer i fokus - Risker/utmaningar som allvarligt påverkar - Åtgärder för att upprätthålla kontinuitet i SVV (RSA). GD:s planeringsanvisningar: - Prestationsmål - Riskanalyser och kontinuitet i verksamheten - Uppdrag - Preliminära budgetramar - Uppföljning av verksamheten Regelstyrning Generella regelverk Specifik styrning 2. Planering: - Inriktning och planeringsanvisningar - Konkretisering av mål - Nedbrytning av risker till prestationsmålsnivå - Kompetens och resurser 3. Genomföra verksamhet: - Utifrån MSB:s VP - Informations- och inriktningsföredragningar - Fokus på resultat 4. Uppföljning: - Intern (löpande) och extern uppföljning Uppföljningsdialoger (ISK och MSB RSA) IR-granskningar ÅR Generaldirektörens intygande - Med rimlig säkerhet fullgör de krav som framgår av 3§, myndighetsförordningen - Intern styrning och kontroll som fungerar på ett tillfredsställande sätt - I en riskanalys identifiera omständigheter - Nödvändiga åtgärder Hantering av risker och åtgärder i styrprocessen - Ingångsvärden i planeringsinriktning Risker i planeringsanvisningar GD-beslut reviderad VP (Kv. 1 och T2) GD- beslut med anledning av IR-granskningar GD - inriktningsföredragningar ÅR – GD:s intygande Genomföra åtgärder System för planering och uppföljning - Stratsys Sammanfattning • Risker utgör viktiga ingångsvärden och beaktas i styrprocessens samtliga steg. • Uppföljningsdialoger ger ledningen överblick • IR granskningar utgör ett viktigt komplement • Dokumentation och transparens är framgångsfaktorer och skapar ett samlat underlag för GD:s bedömning Tack för er uppmärksamhet! Frågor?