• No results found

Landets 32 arbetslöshetskassor har bemyndigats att hantera utbetalning av arbetslöshetsförsäkring enligt lagen (1997:238) om arbetslöshetsförsäkring.

Denna verksamhet är komplex och innebär en hantering av stora belopp, både av allmänna medel och medel från de försäkrade. Ett införande av en reglering om intern styrning och kontroll i lagen (1997:239) om kassor skulle ge staten ett effektivt verktyg för att följa upp hur arbetslöshets-kassorna fullgör detta uppdrag. Ett sådant införande är samtidigt en förutsätt-ning för att IAF ska kunna bedriva en på tillsyn inriktad granskförutsätt-ning av

arbetslöshetskassornas verksamhet i detta avseende.

Ett systematiskt arbete med intern styrning och kontroll på arbetslöshets-kassorna skulle vidare kunna främja arbetslöshetsförsäkringens legitimitet och bidra till att motverka felaktiga utbetalningar. Ett införande av en sådan arbetsprocess skulle exempelvis kunna stärka arbetslöshetskassornas för-måga att identifiera de risker som kan hota en rättssäker tillämpning av

5 Arbetslöshetskassorna har under ledning av Arbetslöshetskassornas Samorganisation, arbetat med att implementera ’’Informationssäkerhetshandbok för a-kassorna’’ i sina verksamheter. Arbetet benämndes ISAK-projektet och bedrevs under perioden november 2008 - mars 2009.

16

arbetslöshetsförsäkringen. En väl genomförd riskanalys underlättar också för arbetslöshetskassorna att vidta lämpliga kontrollåtgärder, vilka annars

riskerar att bli både otillräckliga och felaktiga.

IAF:s uppföljning av 2009 års rapport om internkontroll visar att arbetslös-hetskassorna tagit till sig av tankegångarna om införandet av en systematisk process för att styra och kontrollera verksamheten. Majoriteten av arbetslös-hetskassorna uppger att man sedan tidpunkten för IAF:s kartläggning haft ett ökat fokus på dessa frågeställningar. Uppföljningen indikerar dock att

införandet av intern styrning och kontroll som process befinner sig på en begynnande nivå för flertalet arbetslöshetskassor. Samtidigt redovisar de en mängd genomförda och planerade åtgärder. Detta innebär att flertalet arbetslöshetskassor förbättrat sin situation sedan 2009 års kartläggning.

Vidare har SO drivit ett gemensamt utvecklingsprojekt för att stödja arbets-löshetskassorna i detta arbete.

En tydlig utgångspunkt för arbete med intern styrning och kontroll är att det ska utgå från verksamhetens mål.6 Av förarbetena till förordningen

(2007:603) om intern styrning och kontroll framgår att utgångspunkten för införandet av regleringen var att stärka styrningen av att uppsatta krav och mål för statliga myndigheter uppnås.7 En bärande tankegång är också att det ska möjliggöra för regeringen att kunna följa upp hur myndigheterna fullgör sitt uppdrag.

Statliga myndigheter får i huvudsak sina verksamhetsmål definierade genom instruktion och regleringsbrev. Här anges inriktningen för myndigheternas verksamhet både på ett övergripande plan och på en mer detaljerad nivå, genom exempelvis specifika uppdrag. Regeringen anger genom myndig-hetsförordningen (2007:515) också generella verksamhetskrav för hur dessa mål ska uppnås. Verksamheten ska bland annat bedrivas effektivt och enligt gällande rätt.

Arbetslöshetskassornas verksamhet regleras istället främst i lagen

(1997:239) om arbetslöshetskassor med underliggande författningar där det framgår ett antal krav som rör arbetslöshetskassornas ekonomi och organi-sation. Där framgår också att de ska tillämpa bestämmelserna i lagen (1997:238) om arbetslöshetsförsäkring korrekt. Utöver detta saknas, i jämförelse med statliga myndigheter, en mer detaljerad styrning av arbets-löshetskassornas verksamhet. De krav som framgår av myndighetsförord-ningen (2007:515) och förordmyndighetsförord-ningen (2007:603) om intern styrning och kontroll är därför inte direkt tillämpbara på arbetslöshetskassornas verksam-het.

Uppföljningen visar att det finns variationer i arbetslöshetskassornas arbete med den interna styrningen och kontrollen. Dessa variationer kan inte enbart förklaras av att varje organisation är unik och har specifika förutsättningar. Att arbeta med intern styrning och kontroll som process var 2009 nytt för de

6 Så som intern styrning och kontroll definieras i förordning (2007:603) om intern styrning och kontroll och COSO.

7 Intern styrning och kontroll i staten, DS 2006:15, s 45-46.

17

flesta arbetslöshetskassor. En svårighet i deras vidare arbete är också att det saknas en reglering som förtydligar vilka krav som finns på arbetslöshets-kassorna i detta avseende. Då arbetslöshetsarbetslöshets-kassorna skiljer sig åt, bland annat avseende organisation och storlek på betalningsflöden, är de också i behov av en reglering för att klargöra hur långtgående kraven ska vara för respektive arbetslöshetskassa. För den enskilda arbetslöshetskassan är det viktigt att en reglering inte bara tydliggör det ansvar som vilar på ledningen i sin styrning av verksamheten, utan också vilken omfattning på den interna styrningen och kontrollen som ska gälla för den egna organisationen.

I föregående rapport framförde IAF att regeringen bör överväga en reglering om internkontroll i lagen (1997:239) om arbetslöshetskassor. IAF återkommer härmed med detta förslag. IAF bedömer även att en sådan reglering kan utgöra ett viktigt verktyg för IAF:s fortsatta tillsyn över arbetslöshetskassorna.

6.2 Informationssäkerhet

Användningen av informationsteknik ökar kontinuerligt och inom alla sektorer i samhället. Säkerhet och användarvänlighet är av avgörande betydelse för förtroendet för dessa tjänster och system. Förmågan att skydda ett informa-tionssystem från otillåten insyn eller påverkan är central. En etablerad definition av informationssäkerhet är att den avser förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet vid hantering av informa-tion.8

IAF kan konstatera att arbetslöshetskassorna utifrån resultatet av IAF:s redo-visning vidtagit ett stort antal åtgärder i syfte att förbättra sin informations-säkerhet. Utifrån de uppgifter arbetslöshetskassorna lämnat till IAF framgår också att man i stort uppger sig ha genomfört nödvändiga åtgärder, för att komma till rätta med de brister som IAF redovisade i 2008 års granskning av arbetslöshetskassornas informationssäkerhet. Detta innebär att det efter den nu genomförda uppföljningen inte kvarstår några arbetslöshetskassor att följa upp i detta avseende.

Arbetslöshetskassornas svar indikerar sammantaget en avsevärd förbättring av informationssäkerheten i de granskade systemen, jämfört med situationen vid tidpunkten för granskningen. Av de uppföljningar IAF genomfört framgår att ett särskilt stöd i detta arbete har varit det gemensamma utvecklings-arbete arbetslöshetskassorna genomfört i SO:s regi, inom ramen för det så kallade ISAK-projektet.

Sedan tidpunkten för IAF:s granskning har det skett ett antal förändringar beträffande arbetslöshetskassornas informationssystem. Arbetslöshets-kassorna har bland annat infört ett nytt gemensamt ärendehanteringssystem (ÄGA) som således inte var föremål för 2008 års granskning. Vidare var den granskning som genomfördes 2008 översiktlig och omfattade heller inte alla

8 Samhällets informationssäkerhet - Lägesbedömning 2009, s 13, Myndigheten för samhällsskydd och beredskap., Basnivå för informationssäkerhet (BITS), KBM rekommenderar, 2006:1, s 8, Krisberedskapsmyndigheten.

18

av de då befintliga systemen på arbetslöshetskassorna. Detta innebär att IAF, även om många förbättringar gjorts, inte kan lämna en sammanfattande bedömning av arbetslöshetskassornas informationssäkerhet.

Arbetslöshetskassorna hanterar genom sina informationssystem ett

komplicerat regelverk och stora betalningsflöden, något riksdag och regering förutsätter ska fungera. Bidragande till frågans komplexitet är att denna informationshantering, med tillhörande informationssäkerhetsansvar, är upp-delad på 32 självständiga organisationer. Arbetslöshetskassorna ingår också i sin dagliga verksamhet i ett omfattande informationsutbyte med statliga myndigheter och andra aktörer. Ett elektroniskt informationsutbyte med andra EU-länder inom arbetslöshetskassornas område håller även på att utvecklas.

Vidare klassificerar Myndigheten för samhällsskydd och beredskap utbetal-ning av arbetslöshetsersättutbetal-ning som samhällsviktig verksamhet.9 IAF kan mot bakgrund av ovanstående konstatera att arbetslöshetskassornas informa-tionssäkerhet kommer att vara en fortsatt viktig fråga både för dem själva, de försäkrade och samhället i stort.

Uttryckliga krav för arbetslöshetskassornas informationssäkerhet återfinns idag i personuppgiftslagen (1998:204) och arkivlagen (1990:782) med under-liggande författningar. Datainspektionen och Riksarkivet är vidare behöriga tillsynsmyndigheter för att tillse att arbetslöshetskassorna följer sina skyldig-heter enligt de juridiskt bindande regler som följer av dessa författningar.10 IAF:s mandat innefattar dock inte att bedriva en på tillsyn och beslut om sanktioner inriktad granskning av arbetslöshetskassornas informationssäker-het i den nu aktuella meningen.11 IAF kan däremot bistå övriga myndigheter som i sin granskning är i behov av kunskap från IAF:s tillsynsområde.

IAF kan vidare konstatera att MSB:s föreskriftsrätt inom området informa-tionssäkerhet enbart omfattar statliga myndigheter. På grund av sin ningsrättsliga status lyder inte arbetslöshetskassorna under MSB:s före-skrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10).

Detta innebär att arbetslöshetskassorna i alla delar inte omfattas av de generella krav på informationssäkerhet som gäller för statsförvaltningen.

IAF:s uppfattning är att kraven på arbetslöshetskassornas informations-säkerhet, beträffande den hantering som innebär myndighetsutövning, bör följa kraven för den övriga statsförvaltningen. Detta motiveras framförallt av de stora belopp av allmänna medel som arbetslöshetskassorna hanterar i sin verksamhet samt att denna verksamhet betecknas som samhällsviktig. IAF föreslår därför att regeringen överväger att utvidga MSB:s föreskriftsrätt inom

9 Samhällsviktig verksamhet, Faktablad 2009, Myndigheten för samhällsskydd och beredskap.

10 Datainspektionen är enligt 2 § personuppgiftsförordningen (1998:1191) tillsynsmyndighet enligt personuppgiftslagen. Riksarkivet är enligt 8-11 §§ arkivförordningen (1991:446) samt 2 § och 7-8 §§ arkivlagen (1990:782) ansvarig myndighet för tillsynen av att bl.a.

arbetslöshetskassorna fullgör sina skyldigheter enligt arkivlagstiftningen. Riksarkivet har också under 2010 inom ramen för sitt uppdrag genom en enkät om elektroniska handlingar kartlagt samtliga arbetslöshetskassornas arbete med informationssäkerhet utifrån arkivlagens perspektiv.

11 Begreppet tillsyn i enlighet med Regeringens skrivelse 2009/10:79, En tydlig, rättssäker och effektiv tillsyn, s 14.

19

området informationssäkerhet till att även omfatta arbetslöshetskassorna.

Detta bör också bidra till att säkerställa att arbetslöshetskassorna inte förbi-ses i nationella handlingsplaner och strategier beträffande informations-säkerhet. Detta skulle även kunna bidra till att arbetslöshetskassorna får samma möjlighet till stöd i dessa frågor som statliga myndigheter.

Related documents