Revision SITHS 2013 Extern revision på SITHS-anslutna organisationer 13 november 2013 Katrine Streng SITHS Förvaltning
Planeringen
12 utvalda organisationer Attendo Sverige AB Enköpings kommun Global Health Online AB (vården.se) IT Omsorg i Stockholm AB Kriminalvården Landstinget Västmanland Linköping kommun SOS Alarm Stockholm läns landsting Trosa kommun Vindelns kommun Åre kommun
Metoder Revision 2013 Enkät Besök Revisionsrapport Ladda upp rutindokument Redogör för processer Besök Revisionsrapport Revisionsrapport till respektive organisation Avidentifierad rapport publicerad på www.inera.se
Revisionsområden HSA Kontrollkörningar och stickprovskontroll SITHS Funktionscertifikat Reservkort Intern revision
Områden SITHS-Revision 2013 Administration och processer Hantering av funktionscertifikat Hantering av reservkort Intern revision Är det genomfört för HSA och för SITHS Laddat upp revisionsdokument
Identifiering och bedömning av brister Hög (allvarlig) – ej uppfyllt regelverk eller omfattande /allvarlig gällande kvalitetssäkrings-/identifieringsrutiner Mellan – delvis uppfyllt regelverk eller begränsad brist i omfattning eller allvarlighetsgrad Låg – endast mindre justeringar eller kontroller Åtgärdad brist – identifierad vid Ineras kontrollkörningar men åtgärdad vid besöket eller när enkäten skickades tillbaka
Totalt antal brister (141 st.) Fördelning per allvarlighetsgrad
Brister per revisionsområde Revisionsområdena: A= HSA B=Kontrollkörningar och stickprover C=SITHS D=Funktionscertifikat E=Reservkort F=Intern revision För område F ställdes en fråga gällande SITHS och en gällande HSA (Har intern revision genomförts) så total 24 frågor.
Område C. SITHS (totalt 34 brister) 10 allvarliga brister, varav 8 identifierades vid revisionsbesök: Korthandläggare tar del av kortmottagarens pinkoder vid utgivning Telias villkor för e-legitimation lämnas inte ut till kortmottagaren Avsaknad av beskrivning för identifieringsrutiner CRA kvitterar i SITHS Admin att kortet har lämnats ut och att personen har legitimerat sig när kortet anländer från leverantören, därefter läggs kortet i låsbart utrymme i väntan på kortutgivning till mottagaren
Område C. SITHS (forts. allvarliga brister) SITHS-obehörig personal i reception lämnar ut kort till kortmottagaren Bristfällig förvaring av arkivmaterial, kvittenser förvaras i pärmar på öppen bokhylla på korthandläggarkontoret Kort/certifikat som inte inkommer till CRA revokeras inte Otillåten insamling av SITHS-kort för revokering av certifikat
Område D. Funktionscertifikat (totalt 14 brister) 8 allvarliga brister: Förekommer att samma person både beställt och kvitterat ut funktionscertifikat (förekom hos två organisationer) Rutinbeskrivningar saknas: verifiering av behörig beställare av funktionscertifikat arkivering av information om identifiering och kontroll av behörig beställare saknas utlämning av funktionscertifikat med tillhörande pinkoder saknas (förekom hos tre organisationer) utgivning av funktionscertifikat då domänen inte ägs av den egna domänen Endast 5 av 12 organisationer använder funktionscertifikat
Område E. Reservkort (totalt 14 brister) Endast 1 allvarlig brist identifierades: Otillåten insamling av reservkort för revokering av certifikat 8 av 12 organisationer hanterar reservkort Kortet lämnas till chef som inte klipper kortet direkt
Område F. Intern revision (totalt 11 brister) 6 allvarliga brister: Ingen intern revision har genomförts avseende SITHS (förekom hos tre organisationer) Ingen intern revision har genomförts avseende HSA (förekom hos tre organisationer)
Uppföljning av tidigare revisioner Åtgärdsplanerna följs upp kvartalsvis Status och tidplan för hantering av kvarvarande brister Statusrapporterna kontrolleras och brister markeras som åtgärdade Bekräftelse när samtliga brister har åtgärdats
Revision 2011 90 brister identifierades totalt (12 organisationer) 6 brister är fortfarande ej åtgärdade 3 organisationer har brister kvar att åtgärd Samtliga kvarvarande brister är inom område HSA
Revision 2012 140 brister identifierades totalt (12 organisationer) 5 organisationer har åtgärdat samtliga sina brister 23 brister är fortfarande ej åtgärdade 6 kvarvarande brister är inom området SITHS (inkl reservkort, funktionscertifikat och intern revision)