Arbetslöshetskassornas system och rutiner för internkontroll samt informationssäkerhet

(1)

2010-10-29 Dnr 2010/80 T3

2010:24

Arbetslöshetskassornas system och rutiner för internkontroll samt informationssäkerhet

Uppföljning till regeringen

(2)

2

(3)

3

Regeringen har i regleringsbrev för 2010 givit Inspektionen för arbetslös- hetsförsäkringen (IAF) i uppdrag att:

kartlägga samtliga åtgärder arbetslöshetskassorna vidtagit utifrån de iakttagelser som IAF redogjorde för i 2009 års regeringsuppdrag avseende arbetslöshetskassornas internkontroll och

redovisa vilka arbetslöshetskassor som inte genomfört nödvändiga åtgärder för att komma till rätta med de brister som IAF redovisade i 2008 års granskning av arbetslöshetskassornas informationssäkerhet.

IAF har presenterat föreliggande rapport för arbetslöshetskassorna och Arbetslöshetskassornas Samorganisation vid ett möte den 26 oktober 2010.

Beslut i detta ärende har fattats av Anne-Marie Qvarfort, generaldirektör.

Denna rapport har utarbetats av Petra Capelle och Anders Jansson (upp- dragsledare). I den slutliga handläggningen av ärendet har även

Kerstin M Claesson, Lars Seger och Gunilla Wandemo deltagit.

Katrineholm den 29 oktober 2010

Anne-Marie Qvarfort Generaldirektör

Gunilla Wandemo

Chef för granskningsenheten

Inspektionen för arbetslöshetsförsäkringen, IAF Box 210

641 22 Katrineholm Tfn: 0150-48 70 00 E-post: iaf@iaf.se www.iaf.se

(4)

4

(5)

5

Innehåll

Sammanfattning ... 7

1 Uppdraget ... 8

1.1 Syfte ... 8

2 Bakgrund ... 8

2.1 Arbetslöshetskassorna och systematisk internkontroll (IAF rapport 2009:15) ... 8

2.2 Granskning av arbetslöshetskassornas informationssystem (IAF dnr 2008/789 T3) ... 9

2.2.1 Uppföljningar av 2008 års granskning av arbetslöshets- kassornas informationssäkerhet ... 10

3 Uppföljningens genomförande ... 11

3.1 Insamlade uppgifter avseende intern styrning och kontroll ... 11

3.2 Insamling av uppgifter avseende informationssäkerhet ... 11

4 Arbetslöshetskassornas vidtagna åtgärder avseende intern styrning och kontroll ... 12

4.1 Ökat fokus på intern styrning och kontroll ... 12

4.2 Mål för verksamheten samt riskanalys ... 13

4.3 Kontrollåtgärder ... 13

4.4 Övergripande beskrivning av arbetet med intern styrning och kontroll ... 14

4.5 Uppföljning ... 14

5 Arbetslöshetskassornas vidtagna åtgärder avseende informationssäkerhet ... 14

6 Sammanfattande diskussion ... 15

6.1 Intern styrning och kontroll ... 15

6.2 Informationssäkerhet ... 17

(6)

6

(7)

7

Sammanfattning

IAF har i regleringsbrevet för 2010 fått i uppdrag att:

IAF:s uppföljning av 2009 års rapport om arbetslöshetskassornas intern- kontroll visar att arbetslöshetskassorna tagit till sig av tankegångarna om införandet av en systematisk process för att styra och kontrollera verksamheten. Majoriteten av arbetslöshetskassorna uppger att de sedan tidpunkten för IAF:s kartläggning haft ett ökat fokus på dessa frågeställningar. Uppfölj- ningen indikerar dock att införandet av intern styrning och kontroll som process befinner sig på en begynnande nivå för flertalet arbetslöshetskassor.

Samtidigt redovisar de en mängd genomförda och planerade åtgärder.

Uppföljningen visar även att det finns variationer i arbetslöshetskassornas arbete med den interna styrningen och kontrollen. Dessa variationer kan inte enbart förklaras av att varje organisation är unik och har specifika förutsätt- ningar. En svårighet i arbetslöshetskassornas vidare arbete är att det saknas en reglering som förtydligar vilka generella krav som finns på arbetslöshets- kassorna samt hur långtgående kraven ska vara för respektive arbetslös- hetskassa.

IAF återkommer därför i denna skrivelse med förslaget att regeringen bör överväga en reglering om intern styrning och kontroll i lagen (1997:239) om arbetslöshetskassor. IAF bedömer även att en sådan reglering kan utgöra ett viktigt verktyg för IAF:s fortsatta tillsyn över arbetslöshetskassorna.

IAF:s uppföljning av 2008 års rapport om arbetslöshetskassornas informa- tionssäkerhet visar att arbetslöshetskassorna nu uppger att de i allt väsentligt åtgärdat de brister som framkom i 2008 års granskning. Detta innebär att det efter den nu genomförda uppföljningen inte kvarstår några arbetslöshets- kassor att följa upp i detta avseende.

Arbetslöshetskassorna omfattas i alla delar inte av de generella krav på informationssäkerhet som gäller för statsförvaltningen. IAF:s uppfattning är att kraven på arbetslöshetskassornas informationssäkerhet, beträffande den hantering som innebär myndighetsutövning, bör följa kraven för den övriga statsförvaltningen. Detta motiveras framförallt av de stora belopp av allmänna medel som arbetslöshetskassorna hanterar i sin verksamhet och att verksamheten betecknas som samhällsviktig. IAF föreslår därför att regeringen överväger att utvidga Myndigheten för samhällsskydd och beredskaps före- skriftsrätt, inom området informationssäkerhet, till att även omfatta arbetslös- hetskassorna.

(8)

8

1 Uppdraget

IAF har i regleringsbrevet för 2010 fått uppdraget att:

”…kartlägga samtliga åtgärder som de olika arbetslöshetskassorna har vidtagit utifrån de iakttagelser som IAF redogjorde för i 2009 års regeringsuppdrag avseende arbetslöshetskassornas internkontroll.

IAF ska även redovisa vilka arbetslöshetskassor som inte genomfört nödvändiga åtgärder för att komma till rätta med de brister som IAF redovisade i 2008 års granskning av arbetslöshetskassornas informa- tionssäkerhet.”

Denna skrivelse utgör IAF:s återrapportering av regeringsuppdraget.

I skrivelsen ges inledningsvis en kortfattad bakgrund utifrån de två före- gående rapporterna om internkontroll respektive informationssäkerhet. Där- efter beskrivs i avsnitt tre hur IAF gått tillväga i genomförandet av denna uppföljning.

I skrivelsens fjärde och femte avsnitt redovisas resultatet av uppföljningen.

Därefter avslutas skrivelsen med en sammanfattande diskussion.

1.1 Syfte

Skrivelsen syftar till att redovisa IAF:s uppföljning utifrån regeringsuppdraget att:

2 Bakgrund

Nedan följer en kortfattad redovisning av innehållet i 2009 års rapport om arbetslöshetskassornas internkontroll och 2008 års rapport om arbetslös- hetskassornas informationssäkerhet.

2.1 Arbetslöshetskassorna och systematisk internkontroll (IAF rapport 2009:15)

IAF fick i regleringsbrevet för 2009 i uppdrag att ”granska samtliga arbetslös- hetskassors system och rutiner för internkontroll i syfte att säkerställa en rättssäker och effektiv tillämpning av Arbetslöshetsförsäkringen”.

IAF lyfter i slutrapporten fram att arbetslöshetskassorna till skillnad mot statliga myndigheter inte omfattas av några i lag reglerade krav på internkontroll.

För statliga myndigheter framgår av myndighetsförordningen (2007:515) att

(9)

9

ledningen vid dessa ska säkerställa att det ”finns en intern styrning och kontroll som fungerar på ett betryggande sätt”. Omkring 60 myndigheter omfattas vidare av förordning (2007:603) om intern styrning och kontroll. Förordningen utgör ett ramverk för myndigheternas arbete med intern styrning och kontroll och utgår från COSO.¹

IAF kartlade samtliga arbetslöshetskassors arbete med internkontroll genom intervjuer med styrelseordförande och kassaföreståndare i respektive

arbetslöshetskassa. Intervjuerna inriktades på i vilken utsträckning arbetslös- hetskassorna arbetade systematiskt med internkontroll. Vid bedömningen användes förordningen (2007:603) om intern styrning och kontroll och COSO som referenspunkt.

Utifrån granskningens resultat gjorde IAF en sammanfattande bedömning av arbetslöshetskassornas grad av internkontroll indelat i fyra nivåer. IAF fann att en arbetslöshetskassa hade ett systematiskt arbete med internkontroll.

Fyra arbetslöshetskassor hade systematisk internkontroll i vissa delar.

Resterande 27 arbetslöshetskassor hade en låg (23) eller mycket låg (4) grad av systematisk internkontroll.

Slutrapporten överlämnades till regeringen den 1 december 2009. I denna föreslår IAF att regeringen bör överväga att införa en ny bestämmelse med krav på internkontroll i lagen (1997:239) om arbetslöshetskassor. IAF lyfter i rapporten också fram att det i Finland under 2009 infördes en reglering i lag om internkontroll för de finska arbetslöshetskassorna.²

Utöver rapporten till regeringen lämnade IAF även en skriftlig återkoppling till varje arbetslöshetskassa.

2.2 Granskning av arbetslöshetskassornas informationssystem (IAF dnr 2008/789 T3)

IAF fick i regleringsbrevet för 2008 i uppdrag att ”granska arbetslöshets- kassornas informationssystem i syfte att säkerställa att systemen ger korrekt och säkert stöd i beslut om arbetslöshetsersättning”.

IAF genomförde uppdraget i syfte att skapa en översiktlig bild av informa- tionssäkerheten i besluts- och utbetalningssystemet OAS samt arbetslös- hetskassornas medlemssystem vilka har central betydelse för handläggning, beslut om och utbetalning av arbetslöshetsersättning. Övriga system hos arbetslöshetskassorna, såsom olika ärendehanteringssystem, Internetkassan och e-kassan granskades inte. Arbetslöshetskassornas nya gemensamma ärendehanteringssystem (ÄGA), som vid denna tidpunkt inte införts fullt ut på arbetslöshetskassorna, omfattades inte heller av granskningen.

Granskningen utfördes på två nivåer. En övergripande granskning av avtal gällande drift och förteckningar över utdelade behörigheter till systemen

1 COSO – Committee of Sponsoring Organizations of the Treadway Commission – är ett internationellt erkänt och vanligt förekommande ramverk för intern styrning och kontroll.

2 Lag om arbetslöshetskassor 603/1984 (Finland)

(10)

10

omfattade alla arbetslöshetskassor. Detta kompletterades med en djup- granskning av tio arbetslöshetskassor.

Slutrapporten färdigställdes i oktober 2008 och identifierade 25 utvecklings- områden gällande arbetslöshetskassornas informationssäkerhet. Dessa områden riskklassificerades i tre nivåer; mycket kritiskt (6), kritiskt (16) och väsentligt (3). Vid bedömningen användes dåvarande Krisberedskaps- myndighetens rekommendationer ”Basnivå för informationssäkerhet” (BITS) som referenspunkt.³

2.2.1 Uppföljningar av 2008 års granskning av arbetslöshetskassornas informationssäkerhet

IAF har vid tre tillfällen begärt skriftlig återkoppling från arbetslöshets- kassorna med utgångspunkt från resultatet av 2008 års granskning av arbetslöshetskassornas informationssäkerhet.

I samband med färdigställandet av 2008 års slutrapport anmodade IAF samtliga arbetslöshetskassor att inkomma med en lägesbeskrivning över hur arbetet med informationssäkerhet fortlöpte. Lägesbeskrivningarna skulle även innehålla en redogörelse för de eventuella åtgärder som arbetslöshets- kassorna planerade att vidta och en tidplan för arbetet. Svaren inkom till IAF i december 2008.

I samband med 2009 års regeringsuppdrag kring internkontroll fick IAF även ett uppdrag inom området informationssäkerhet. IAF skulle göra en ”uppfölj- ning av det uppdrag IAF hade i regleringsbrevet för 2008 om granskning av arbetslöshetskassornas informationssystem”. Av de enkätsvar IAF inhämtade från arbetslöshetskassorna, i samband med denna uppföljning, framgick att 21 av 25 utvecklingsområden inte hade säkerställts av alla arbetslöshets- kassor. Detta innebar att de slutsatser IAF kommit fram till i 2008 års slutrapport kvarstod.

En gemensam slutrapport avseende både internkontroll och informations- säkerhet överlämnades till regeringen den 1 december 2009.

Efter det att 2009 års rapport överlämnats till regeringen anmodade IAF respektive arbetslöshetskassa att vidta åtgärder för att säkerställa kvar- stående utvecklingsområden. Svar på denna anmodan inkom till IAF i mars 2010. Föreliggande skrivelse utgår delvis från dessa svar.

I april 2010 färdigställdes vidare inom IAF en granskning av arbetslöshets- kassornas medlemssystem.⁴

3Basnivå för informationssäkerhet (BITS), KBM rekommenderar, 2006:1, Krisberedskapsmyndigheten.

4 Granskning av informationssäkerheten i arbetslöshetskassornas medlemssystem, IAF rapport 2010:4

(11)

11

3 Uppföljningens genomförande

Denna uppföljning bygger på skriftliga svar som inhämtats från arbetslös- hetskassorna. Valet av angreppssätt utgår såväl från resursmässiga över- väganden som från att uppdraget är mer begränsat än ursprungsgranskning- arna.

3.1 Insamlade uppgifter avseende intern styrning och kontroll

För att kartlägga de åtgärder arbetslöshetskassorna vidtagit utifrån de iakttagelser IAF redogjorde för i 2009 års regeringsuppdrag avseende internkontroll har IAF skickat ut två enkäter till samtliga arbetslöshetskassor. Den första enkäten skickades ut och besvarades i mars 2010, ungefär ett år efter att den ursprungliga granskningen inleddes. Den andra enkäten skickades ut i augusti och besvarades i september 2010.

Frågorna i den första enkäten var utformade för att fånga de åtgärder arbetslöshetskassorna vidtagit inom området internkontroll sedan 2009 års granskning inleddes. I den andra enkäten gjordes en avstämning av vilka åtgärder som gjorts sedan detta första avrapporteringstillfälle.

Ett inslag i båda enkäterna har varit att kartlägga arbetslöshetskassornas grad av dokumentation på området. I de fall arbetslöshetskassorna uppgett att sådan dokumentation funnits har IAF anmodat dem att bilägga denna till deras svar.

Frågorna om internkontroll utgår, liksom i den tidigare granskningen, från hur området definieras i förordningen (2007:603) om intern styrning och kontroll och ramverket COSO. Enligt förordningen ska internkontroll vara en i verksamheten integrerad process. Grundtanken är att all verksamhet ska planeras, styras och följas upp med beaktande av de grundläggande momenten riskanalys, kontrollåtgärder, uppföljning och dokumentation.

Då syftet med uppföljningen enbart varit att kartlägga arbetslöshetskassornas vidtagna åtgärder görs ingen uppdatering av den gradering av arbetslöshets- kassornas arbete med internkontroll som presenterades i 2009 års rapport.

3.2 Insamling av uppgifter avseende informationssäkerhet

I uppföljningen av IAF:s granskning av arbetslöshetskassornas informations- säkerhet har IAF i första hand utgått från svaren på den anmodan som gick ut till arbetslöshetskassorna i slutet av 2009 och besvarades i mars 2010.

Denna anmodan gick ut som en åtgärd utifrån resultatet av 2009 års uppfölj- ning och uppmanade respektive arbetslöshetskassa att vidta åtgärder för att kvalitetssäkra kvarstående utvecklingsområden.

Arbetslöshetskassornas svar på anmodan redogör för de åtgärder som vidtagits sedan det föregående avstämningstillfället i september 2009.

IAF har därefter kompletterat informationen i svaren på anmodan genom att för 21 arbetslöshetskassor göra ytterligare en avstämning. För dessa kom även ett antal frågor om informationssäkerhet att ingå i den andra enkäten om internkontroll.

(12)

12

4 Arbetslöshetskassornas vidtagna åtgärder avseende intern styrning och kontroll

IAF har kartlagt de åtgärder arbetslöshetskassorna vidtagit utifrån de iakttagelser IAF redogjorde för i 2009 års rapport avseende arbetslöshets- kassornas internkontroll. I detta avsnitt redovisas resultatet av denna uppföljning.

4.1 Ökat fokus på intern styrning och kontroll

IAF har i uppföljningen tillfrågat arbetslöshetskassorna om arbetslöshets- kassans ledning ”haft ett ökat fokus på internkontroll under det senaste året”.

En övervägande majoritet av arbetslöshetskassorna (28 av 32) uppger att så varit fallet. Av de fyra arbetslöshetskassor som svarar nej redovisar samtidigt tre att aktiviteter gällande intern styrning och kontroll finns inplanerade. Den fjärde arbetslöshetskassan uppger att man står inför en förestående fusion.

Det är dock något färre arbetslöshetskassor (20 av 32) som uppger att ledningen förändrat sitt sätt att styra verksamheten utifrån detta ändrade fokus.

Även Arbetslöshetskassornas Samorganisation (SO) har påbörjat ett arbete kring intern styrning och kontroll. I februari 2010 tillsattes en arbetsgrupp med syfte att stödja arbetslöshetskassorna i deras arbete med införandet av systematisk intern styrning och kontroll. Arbetet avslutades i juni och presenterades i en rapport. Rapporten innehåller en introduktion till begreppet intern styrning och kontroll i vilken bland annat följande anges:

”ESV:s handledning utgår från COSO. Den beskriver en verksamhet som många gånger är mycket mer omfattande än den varje arbets- löshetskassa bedriver på egen hand, men riktlinjerna och tankegång- arna går att omsätta även i arbetslöshetskassornas vardag. Alla arbetslöshetskassor kan ha en grundstruktur för internkontroll som sedan kan byggas på utifrån verksamhetens storlek och organisation.”

Rapporten innehåller även en samling dokument som kan liknas vid ett metodstöd.

I stort sett samtliga arbetslöshetskassor uppger i sin återrapportering till IAF att de vidtagit eller planerat en eller flera åtgärder med anknytning till den interna styrningen och kontrollen. Exempel på sådana åtgärder är att man utvecklat metoder och rutiner för riskanalys, ärendegranskning och verksam- hetsplanering. Det finns också exempel på arbetslöshetskassor som uppger att de infört olika former av interna kontroller, till exempel för att säkerställa att ersättning inte utgår felaktigt till den egna personalen.

En generell iakttagelse beträffande arbetslöshetskassornas svar är dock att det finns variationer i hur man valt att arbeta med intern styrning och kontroll.

Det framgår även att man har kommit olika långt i detta arbete.

(13)

13

4.2 Mål för verksamheten samt riskanalys

Intern styrning och kontroll ska utgöra en hjälp i arbetet för att med rimlig säkerhet uppnå verksamhetens mål. En förutsättning för en väl fungerande intern styrning och kontroll är ett aktivt arbete med riskanalys. Riskanalysen ska i sin tur ta sin utgångspunkt i verksamhetsmålen.

I 2009 års granskning uppgav samtliga arbetslöshetskassor att definierade verksamhetsmål fanns. 25 arbetslöshetskassor uppger nu att man har dessa mål dokumenterade. Av dessa är det dock fem arbetslöshetskassor som i detta sammanhang sänt in sådana dokument som IAF inte uppfattat som någon egentlig dokumentation av arbetslöshetskassans verksamhetsmål, såsom exempelvis beslutsordning. Utifrån denna bedömning är det således omkring två tredjedelar av arbetslöshetskassorna som uppvisat dokumenterade verksamhetsmål.

I 2009 års granskning av arbetslöshetskassornas arbete med internkontroll bedömde IAF att en arbetslöshetskassa genomfört och dokumenterat en riskanalys. Vidare framkom att tio arbetslöshetskassor hade påbörjat eller planerade att genomföra en riskanalys. I samband med 2009 års granskning återkopplade IAF till nästan alla arbetslöshetskassor att en åtgärd som de kunde vidta för att öka sin grad av internkontroll var att utveckla sitt arbete med riskanalys.

I denna uppföljning uppger 20 arbetslöshetskassor att de har en dokumenterad riskanalys. Fem arbetslöshetskassor uppger dock att de har valt att inte inkomma med sin riskanalys. Tre av arbetslöshetskassorna motiverar detta med att informationen är för känslig, medan två hänvisar till att dokumenten ännu inte fastställts av arbetslöshetskassans styrelse. Utöver dessa fem är det ytterligare två arbetslöshetskassor som inte inkommit med dokument som kan anses motsvara efterfrågad dokumentation. Totalt är det således 13 av de 20 arbetslöshetskassorna som IAF bedömer har uppvisat dokument som kan anses motsvara en riskanalys.

Samtidigt är det tio arbetslöshetskassor som uppger att de planerar att upp- rätta en riskanalys. Av dessa uppger åtta att det ska ske under 2010.

Av de 13 arbetslöshetskassor som uppvisat en dokumenterad riskanalys är det åtta som har inkommit med dokumenterade verksamhetsmål.

4.3 Kontrollåtgärder

Utifrån en genomförd riskanalys ska lämpliga kontrollåtgärder vidtas för att säkerställa att verksamhetens mål nås. I 2009 års granskning noterades att de kontrollåtgärder som arbetslöshetskassorna vidtog i regel inte utgick från ett systematiskt arbete med riskanalyser.

Nu uppger 19 arbetslöshetskassor att de vidtar kontrollåtgärder utifrån genomförd riskanalys. Det kan dock noteras att fem av dessa enligt egen uppgift inte upprättat någon riskanalys.

Arbetslöshetskassorna har nu också tillfrågats om de har dokumenterat sina kontrollåtgärder. IAF bedömer att nio arbetslöshetskassor uppvisat dokument

(14)

14

som kan anses motsvara en dokumentation av vilka kontrollåtgärder som ska vidtas utifrån genomförd riskanalys.

4.4 Övergripande beskrivning av arbetet med intern styrning och kontroll

Med en övergripande beskrivning av arbetet med intern styrning och kontroll avses ett dokument som beskriver hur arbetslöshetskassans arbete med intern styrning och kontroll ska genomföras.

I 2009 års granskning hade en arbetslöshetskassa en dokumenterad beskrivning av hur arbetet med intern styrning och kontroll skulle genom- föras. Nu uppger 17 arbetslöshetskassor att de har en dokumenterad över- gripande beskrivning för arbetet med intern styrning och kontroll. Enligt IAF:s bedömning är det fem arbetslöshetskassor som inkommit med dokumentation som kan anses innehålla en sådan beskrivning. Bland de tolv övriga som uppgett att de har en sådan dokumentation framgår av insänt material att det är det flera arbetslöshetskassor som påbörjat ett arbete med att utarbeta en sådan beskrivning. Samtidigt uppger 14 arbetslöshetskassor att de under det närmaste året planerar att upprätta en övergripande beskrivning av arbetet med intern styrning och kontroll.

4.5 Uppföljning

Enligt förordningen (2007:603) om intern styrning och kontroll ska uppföljning genomföras för att bedöma om arbetet med den interna styrningen och kontrollen fungerar på ett betryggande sätt.

I 2009 års granskning framkom att ingen arbetslöshetskassa följt upp den interna styrningen och kontrollen. Nu uppger tre arbetslöshetskassor att de har genomfört en sådan uppföljning. Två arbetslöshetskassor har också inkommit med dokumentation på detta område. IAF bedömer dock inte att dokumentationen i dessa fall är av en sådan omfattning att den fullt ut kan anses motsvara de krav som framgår av förordningen (2007:603) om intern styrning och kontroll.

5 Arbetslöshetskassornas vidtagna åtgärder avseende informationssäkerhet

IAF:s granskning av arbetslöshetskassornas informationssäkerhet

avrapporterades till regeringen i oktober 2008. Som framgår av bakgrunden i denna skrivelse har IAF vid tre tidigare tillfällen begärt återkoppling från arbetslöshetskassorna utifrån denna granskning. Svaren på 2009 års anmodan att kvalitetssäkra kvarstående utvecklingsområden, vilket utgjorde den tredje återkopplingen från arbetslöshetskassorna, inkom till IAF i mars 2010.

(15)

15

Sammantaget visar de föregående uppföljningar IAF genomfört att arbetslös- hetskassorna tagit till sig av de iakttagelser IAF gjorde i 2008 års granskning.

Arbetslöshetskassorna har vid de olika avstämningstillfällena redovisat ett stort antal vidtagna och planerade åtgärder utifrån de brister IAF påvisat genom sin granskning. De har också genom det så kallade ISAK-projektet bedrivit ett gemensamt arbete för att med stöd av SO implementera en informationssäkerhetshandbok för arbetslöshetskassorna.⁵

Vid en genomgång av arbetslöshetskassornas svar på IAF:s anmodan i mars 2010 framkom att det för ett antal arbetslöshetskassor fortfarande kvarstod aktiviteter för att åtgärda de brister som framkommit i 2008 års granskning.

Några aktiviteter gällde sådant som skulle åtgärdas av de enskilda arbetslös- hetskassorna, annat gällde restpunkter som återstod att hantera av arbets- löshetskassornas driftbyråer. För 21 arbetslöshetskassor har IAF i arbetet med denna uppföljning därför inhämtat ytterligare uppgifter om vidtagna åtgärder.

IAF kan konstatera att arbetslöshetskassorna nu uppger att de i allt väsentligt åtgärdat de brister som framkom i 2008 års granskning. Inom i huvudsak två av de då identifierade utvecklingsområdena återstår vissa avgränsade aktiviteter för att slutföra arbetet. Den planering arbetslöshetskassorna uppger för slutförandet är dock sådan att IAF bedömer att även dessa utveck- lingsområden kan bedömas som säkerställda.

6 Sammanfattande diskussion 6.1 Intern styrning och kontroll

Landets 32 arbetslöshetskassor har bemyndigats att hantera utbetalning av arbetslöshetsförsäkring enligt lagen (1997:238) om arbetslöshetsförsäkring.

Denna verksamhet är komplex och innebär en hantering av stora belopp, både av allmänna medel och medel från de försäkrade. Ett införande av en reglering om intern styrning och kontroll i lagen (1997:239) om arbetslöshets- kassor skulle ge staten ett effektivt verktyg för att följa upp hur arbetslöshets- kassorna fullgör detta uppdrag. Ett sådant införande är samtidigt en förutsätt- ning för att IAF ska kunna bedriva en på tillsyn inriktad granskning av

arbetslöshetskassornas verksamhet i detta avseende.

Ett systematiskt arbete med intern styrning och kontroll på arbetslöshets- kassorna skulle vidare kunna främja arbetslöshetsförsäkringens legitimitet och bidra till att motverka felaktiga utbetalningar. Ett införande av en sådan arbetsprocess skulle exempelvis kunna stärka arbetslöshetskassornas för- måga att identifiera de risker som kan hota en rättssäker tillämpning av

5 Arbetslöshetskassorna har under ledning av Arbetslöshetskassornas Samorganisation, arbetat med att implementera ’’Informationssäkerhetshandbok för a-kassorna’’ i sina verksamheter. Arbetet benämndes ISAK-projektet och bedrevs under perioden november 2008 - mars 2009.

(16)

16

arbetslöshetsförsäkringen. En väl genomförd riskanalys underlättar också för arbetslöshetskassorna att vidta lämpliga kontrollåtgärder, vilka annars

riskerar att bli både otillräckliga och felaktiga.

IAF:s uppföljning av 2009 års rapport om internkontroll visar att arbetslös- hetskassorna tagit till sig av tankegångarna om införandet av en systematisk process för att styra och kontrollera verksamheten. Majoriteten av arbetslös- hetskassorna uppger att man sedan tidpunkten för IAF:s kartläggning haft ett ökat fokus på dessa frågeställningar. Uppföljningen indikerar dock att

införandet av intern styrning och kontroll som process befinner sig på en begynnande nivå för flertalet arbetslöshetskassor. Samtidigt redovisar de en mängd genomförda och planerade åtgärder. Detta innebär att flertalet arbetslöshetskassor förbättrat sin situation sedan 2009 års kartläggning.

Vidare har SO drivit ett gemensamt utvecklingsprojekt för att stödja arbets- löshetskassorna i detta arbete.

En tydlig utgångspunkt för arbete med intern styrning och kontroll är att det ska utgå från verksamhetens mål.⁶ Av förarbetena till förordningen

(2007:603) om intern styrning och kontroll framgår att utgångspunkten för införandet av regleringen var att stärka styrningen av att uppsatta krav och mål för statliga myndigheter uppnås.⁷ En bärande tankegång är också att det ska möjliggöra för regeringen att kunna följa upp hur myndigheterna fullgör sitt uppdrag.

Statliga myndigheter får i huvudsak sina verksamhetsmål definierade genom instruktion och regleringsbrev. Här anges inriktningen för myndigheternas verksamhet både på ett övergripande plan och på en mer detaljerad nivå, genom exempelvis specifika uppdrag. Regeringen anger genom myndig- hetsförordningen (2007:515) också generella verksamhetskrav för hur dessa mål ska uppnås. Verksamheten ska bland annat bedrivas effektivt och enligt gällande rätt.

Arbetslöshetskassornas verksamhet regleras istället främst i lagen

(1997:239) om arbetslöshetskassor med underliggande författningar där det framgår ett antal krav som rör arbetslöshetskassornas ekonomi och organisation. Där framgår också att de ska tillämpa bestämmelserna i lagen (1997:238) om arbetslöshetsförsäkring korrekt. Utöver detta saknas, i jämförelse med statliga myndigheter, en mer detaljerad styrning av arbets- löshetskassornas verksamhet. De krav som framgår av myndighetsförord- ningen (2007:515) och förordningen (2007:603) om intern styrning och kontroll är därför inte direkt tillämpbara på arbetslöshetskassornas verksamhet.

Uppföljningen visar att det finns variationer i arbetslöshetskassornas arbete med den interna styrningen och kontrollen. Dessa variationer kan inte enbart förklaras av att varje organisation är unik och har specifika förutsättningar. Att arbeta med intern styrning och kontroll som process var 2009 nytt för de

6 Så som intern styrning och kontroll definieras i förordning (2007:603) om intern styrning och kontroll och COSO.

7 Intern styrning och kontroll i staten, DS 2006:15, s 45-46.

(17)

17

flesta arbetslöshetskassor. En svårighet i deras vidare arbete är också att det saknas en reglering som förtydligar vilka krav som finns på arbetslöshets- kassorna i detta avseende. Då arbetslöshetskassorna skiljer sig åt, bland annat avseende organisation och storlek på betalningsflöden, är de också i behov av en reglering för att klargöra hur långtgående kraven ska vara för respektive arbetslöshetskassa. För den enskilda arbetslöshetskassan är det viktigt att en reglering inte bara tydliggör det ansvar som vilar på ledningen i sin styrning av verksamheten, utan också vilken omfattning på den interna styrningen och kontrollen som ska gälla för den egna organisationen.

I föregående rapport framförde IAF att regeringen bör överväga en reglering om internkontroll i lagen (1997:239) om arbetslöshetskassor. IAF återkommer härmed med detta förslag. IAF bedömer även att en sådan reglering kan utgöra ett viktigt verktyg för IAF:s fortsatta tillsyn över arbetslöshetskassorna.

6.2 Informationssäkerhet

Användningen av informationsteknik ökar kontinuerligt och inom alla sektorer i samhället. Säkerhet och användarvänlighet är av avgörande betydelse för förtroendet för dessa tjänster och system. Förmågan att skydda ett informationssystem från otillåten insyn eller påverkan är central. En etablerad definition av informationssäkerhet är att den avser förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet vid hantering av informa- tion.⁸

IAF kan konstatera att arbetslöshetskassorna utifrån resultatet av IAF:s redovisning vidtagit ett stort antal åtgärder i syfte att förbättra sin informations- säkerhet. Utifrån de uppgifter arbetslöshetskassorna lämnat till IAF framgår också att man i stort uppger sig ha genomfört nödvändiga åtgärder, för att komma till rätta med de brister som IAF redovisade i 2008 års granskning av arbetslöshetskassornas informationssäkerhet. Detta innebär att det efter den nu genomförda uppföljningen inte kvarstår några arbetslöshetskassor att följa upp i detta avseende.

Arbetslöshetskassornas svar indikerar sammantaget en avsevärd förbättring av informationssäkerheten i de granskade systemen, jämfört med situationen vid tidpunkten för granskningen. Av de uppföljningar IAF genomfört framgår att ett särskilt stöd i detta arbete har varit det gemensamma utvecklings- arbete arbetslöshetskassorna genomfört i SO:s regi, inom ramen för det så kallade ISAK-projektet.

Sedan tidpunkten för IAF:s granskning har det skett ett antal förändringar beträffande arbetslöshetskassornas informationssystem. Arbetslöshets- kassorna har bland annat infört ett nytt gemensamt ärendehanteringssystem (ÄGA) som således inte var föremål för 2008 års granskning. Vidare var den granskning som genomfördes 2008 översiktlig och omfattade heller inte alla

8 Samhällets informationssäkerhet - Lägesbedömning 2009, s 13, Myndigheten för samhällsskydd och beredskap., Basnivå för informationssäkerhet (BITS), KBM rekommenderar, 2006:1, s 8, Krisberedskapsmyndigheten.

(18)

18

av de då befintliga systemen på arbetslöshetskassorna. Detta innebär att IAF, även om många förbättringar gjorts, inte kan lämna en sammanfattande bedömning av arbetslöshetskassornas informationssäkerhet.

Arbetslöshetskassorna hanterar genom sina informationssystem ett

komplicerat regelverk och stora betalningsflöden, något riksdag och regering förutsätter ska fungera. Bidragande till frågans komplexitet är att denna informationshantering, med tillhörande informationssäkerhetsansvar, är upp- delad på 32 självständiga organisationer. Arbetslöshetskassorna ingår också i sin dagliga verksamhet i ett omfattande informationsutbyte med statliga myndigheter och andra aktörer. Ett elektroniskt informationsutbyte med andra EU-länder inom arbetslöshetskassornas område håller även på att utvecklas.

Vidare klassificerar Myndigheten för samhällsskydd och beredskap utbetalning av arbetslöshetsersättning som samhällsviktig verksamhet.⁹ IAF kan mot bakgrund av ovanstående konstatera att arbetslöshetskassornas informa- tionssäkerhet kommer att vara en fortsatt viktig fråga både för dem själva, de försäkrade och samhället i stort.

Uttryckliga krav för arbetslöshetskassornas informationssäkerhet återfinns idag i personuppgiftslagen (1998:204) och arkivlagen (1990:782) med underliggande författningar. Datainspektionen och Riksarkivet är vidare behöriga tillsynsmyndigheter för att tillse att arbetslöshetskassorna följer sina skyldigheter enligt de juridiskt bindande regler som följer av dessa författningar.¹⁰ IAF:s mandat innefattar dock inte att bedriva en på tillsyn och beslut om sanktioner inriktad granskning av arbetslöshetskassornas informationssäker- het i den nu aktuella meningen.¹¹ IAF kan däremot bistå övriga myndigheter som i sin granskning är i behov av kunskap från IAF:s tillsynsområde.

IAF kan vidare konstatera att MSB:s föreskriftsrätt inom området informa- tionssäkerhet enbart omfattar statliga myndigheter. På grund av sin före- ningsrättsliga status lyder inte arbetslöshetskassorna under MSB:s före- skrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10).

Detta innebär att arbetslöshetskassorna i alla delar inte omfattas av de generella krav på informationssäkerhet som gäller för statsförvaltningen.

IAF:s uppfattning är att kraven på arbetslöshetskassornas informations- säkerhet, beträffande den hantering som innebär myndighetsutövning, bör följa kraven för den övriga statsförvaltningen. Detta motiveras framförallt av de stora belopp av allmänna medel som arbetslöshetskassorna hanterar i sin verksamhet samt att denna verksamhet betecknas som samhällsviktig. IAF föreslår därför att regeringen överväger att utvidga MSB:s föreskriftsrätt inom

9 Samhällsviktig verksamhet, Faktablad 2009, Myndigheten för samhällsskydd och beredskap.

10 Datainspektionen är enligt 2 § personuppgiftsförordningen (1998:1191) tillsynsmyndighet enligt personuppgiftslagen. Riksarkivet är enligt 8-11 §§ arkivförordningen (1991:446) samt 2 § och 7-8 §§ arkivlagen (1990:782) ansvarig myndighet för tillsynen av att bl.a.

arbetslöshetskassorna fullgör sina skyldigheter enligt arkivlagstiftningen. Riksarkivet har också under 2010 inom ramen för sitt uppdrag genom en enkät om elektroniska handlingar kartlagt samtliga arbetslöshetskassornas arbete med informationssäkerhet utifrån arkivlagens perspektiv.

11 Begreppet tillsyn i enlighet med Regeringens skrivelse 2009/10:79, En tydlig, rättssäker och effektiv tillsyn, s 14.

(19)

19

området informationssäkerhet till att även omfatta arbetslöshetskassorna.

Detta bör också bidra till att säkerställa att arbetslöshetskassorna inte förbi- ses i nationella handlingsplaner och strategier beträffande informations- säkerhet. Detta skulle även kunna bidra till att arbetslöshetskassorna får samma möjlighet till stöd i dessa frågor som statliga myndigheter.