Handlingsplan, revisjon av tilgangsstyring og

Transcription

Handlingsplan, revisjon av tilgangsstyring og
Saksframlegg
Referanse
Saksgang:
Styre
Møtedato
Styret Helseforetakenes senter for pasientreiser ANS
25/03/15
SAK NR 16-2015
Handlingsplan, revisjon av tilgangsstyring og releaserutiner NISSY
Forslag til vedtak:
1. Styret tar fremlagt handlingsplan til etterretning.
2. Styret forutsetter oppfølging av tiltakene i henhold til handlingsplanen og ber om
tilbakerapportering på utførte tiltak innen juni 2015.
Skien, 18. mars 2015
Marit Kobro
Administrerende direktør
Side
1 av 3
1. Administrerende direktørs anbefalinger / konklusjon
I styremøtet 22. januar 2015 sak 03-2015 - Rapport fra internrevisjonen om oppfølgingsrevisjon
vedr tilgangsstyring NISSY og test- og releaserutiner NISSY ble det redegjort for internrevisjonens
konklusjoner og anbefalinger. Av vedtaket fremgikk bl.a. at styret ba om at det ble utarbeidet en
handlingsplan for funnene/områdene som skulle lukkes.
Administrerende direktør legger til grunn at vedlagte handlingsplan skal følges opp i henhold til det
ansvar som er tillagt selskapet.
2. Faktabeskrivelse:
2.1 Hva saken gjelder
Den tidligere presenterte revisjonsrapporten(sak 03-2015) gjelder revisjon med
bakgrunn i styrevedtak i sak 04-2014 om plan for internrevisjon i selskapet for 2014.
Formålet med oppfølgingsrevisjonen var bl.a. å bekrefte i hvilken grad tiltak vedrørende påpekte
mangler ved tilgangsstyringen fremlagt i internrevisjonsrapport 1/2013 (tverrgående
funksjoner)er gjennomført. Formålet med revisjon av test og release er å bekrefte i hvilken grad
Pasientreiser ANS har innført tiltak som reduserer risiko for feil ved nye releaser.
I styremøtet 22. januar 2015 sak 03-2015 - Rapport fra internrevisjonen om oppfølgingsrevisjon
vedr tilgangsstyring NISSY og test- og releaserutiner NISSY, ble det besluttet å utarbeide en egen
handlingsplan for dette med fremlegging i styremøtet 25. mars 2015.
2.2 Handlingsplan
I den tidligere presenterte revisjonen ble det oppsummert ti funn/områder. Seks av disse var i
grønn sone, fire var i gul og ingen var anført som røde. Hovedkonklusjonen i rapporten var at det
var observert mindre svakheter i styring og kontroll i prosessene som var kartlagt og at det
burde settes i verk tiltak.
For følgende punkter i gult ble det kommentert behov for tiltak:
Vedr tilgangsstyring NISSY:
 Rutiner og manuelle kontroller for tildeling, endring og avslutning av tilganger i NISSY bør
forbedres. Tildelte tilganger på området må gjennomgås.
Vedr test og release i NISSY:
 Det skal være utarbeidet policyer og retningslinjer for test og release av nye versjoner i NISSY
som bidrar til å redusere risiko for feil.
 Det skal eksistere gode prosedyrer for kravspesifikasjon til leverandør, tilbud og beslutning
om bestilling som ivaretar endringsønsket og minimerer risiko.
 Det skal eksistere gode prosedyrer for en beslutning om å iverksette en bestilling/endring.
I henhold til dette er det utarbeidet en handlingsplan med i alt ni tiltakspunkter, fem tiltak for
tilgangsstyring og fire tiltak vedr test og relase. Planen følger vedlagt.
Side
2 av 3
3. Administrerende direktørs vurderinger:
3.1 Risikovurderinger: etisk, faglige, økonomiske, omdømmemessige, juridiske m.v
Styret er ansvarlig for at det etableres og gjennomføres tiltak i henhold til handlingsplan innenfor
området tilgangsstyring og releaserutiner NISSY . Revisjonsrapporten fra oppfølgingsrevisjon
avdekker ikke vesentlige svakheter i de forbedringer som er iverksatt siden revisjonen fant sted.
Likevel vil det være nødvendig å gjennomføre tiltakene i handlingsplanen for å få et bedre samlet
regime for tilgangsstyring og test- og releaserutiner for NISSY.
3.2 Evt dialog/forankring av saken (ansatte / brukerne)
Det har vært en god løpende dialog mellom Pasientreiser ANS og internrevisjonen.
Internrevisjonsrapportene gir et godt verktøy for videre kvalitetsheving av selskapets rutiner og
intern styring og kontroll.
3.3 Konklusjon
Administrerende direktør mener fremlagte handlingsplan er godt dekkende innenfor området og
vil løpende følge denne opp. Status for oppfølging av handlingsplanen og tiltakenes status vil bli
rapportert til styret i juni 2015.
Trykt vedlegg:
Handlingsplan, revisjon av tilgangsstyring og releaserutiner NISSY
Side
3 av 3