Versions Compared

Old Version 22

changes.mady.by.user Åsa Wikenståhl

Saved on

compared with

New Version 23

changes.mady.by.user Åsa Wikenståhl

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Ena är Sveriges digitala infrastruktur – en samling tjänster, standarder och regelverk som gör det möjligt för offentliga och privata aktörer att samverka säkert. För att skydda ekosystemet krävs att alla anslutna organisationer uppfyller Ena Tillitsramverk, som ställer krav inom organisatoriska, personorienterade, fysiska och tekniska områden. Revision inom Ena Federationsinfrastruktur omfattar hela den digitala kedjan, från ledningssystem till tjänstespecifika krav. Revision behöver etableras och genomföras på olika nivå, både operatörer och medlemmar behöver revideras utifrån ett efterlevandeperspektiv.

Tillitskedjan

Tillitskedjan visar hur revision behöver genomföras på olika nivå inom Ena federationen. Ledningsaktören behöver revidera reviderar operatörerna i kedjan och operatörerna i sin tur behöver revidera anslutna medlemmar. 

...

Tillitskedjan ur ett revisionsperspektiv

...


Revision inom Ena

...

Federationen

Att genomföra revision inom Ena, i nationell skala, har utmaningar. Många kommer att behöva revision men resurserna är få. Erfarenheten har visat att revision på plats hos reviderad part ger den bästa effekten och därmed högre efterlevnad mot regelverket. Antalet anslutna organisationer kommer att öka, och bör öka, över tid. Detta påverkar kapaciteten ytterligare och måste beaktas redan från början. Efterlevandekontroll måste ha fokus på kvalitet, likabehandling och genomförbarhet. Tillitsmodellen driver behov av kunskap på samhällsnivå. Behovet av stöd ute i anslutna organisation behöver mötas för att efterlevnaden skall få så stort genomslag som möjligt. Revision i sig driver lärande men behöver kompletteras med kompetensforum, utbildningar och stöd. Den här knuten behöver analyseras och en revisionsfunktion som kan möta behovet behöver utvecklas. Här kan ett AI-stöd vara det som blir avgörande för vilken nytta revision kan skapa inom Ena. För att lyckas med utmaningen rekommenderas här följande:

  • Sätt upp en central revisionsfunktion med helhetsansvar
  • Ta fram ett tydligt revisionsprogram omfattande alla parter, kravnivåer och kriterier
  • Utveckla ett AI-stöd för att effektivisera processerna (inlåst och säker språkmodell)
  • Genomför systematisk skrivbordsrevision med stöd av AI
  • Prioritera de organisationer med störst riskbild för revision på plats
  • Analysera behovet av utbildning och stöd som kan komplettera revisionerna

Central revisionsfunktion

En central revisionsfunktion bör sättas upp inom Ena federationen och revisionsarbetet bör styras därifrån. Metoderna för att hantera och genomföra revision inom Ena bör vara enhetliga och uppföljningsbara på alla nivåer. Eventuellt behöver specialistkompetens upphandlas för delar av själva revisionsgenomförandet. Detta hanteras och styrs då från revisionsfunktionen.

Revisionsprogram

Revisionsprogrammet beskriver i vilken omfattning och i vilken frekvens revisioner skall genomföras. Kravnivåer mappade mot revisionskriterier och hur detta täcks under en 3-årsperiod behöver framgå i programmet. Kravnivån ligger till grund för revisionsprogrammets omfattning och aktuella revisionskriterier. Även bedömningen av avvikelser och mognadsgrad är beroende av definierade kravnivåer.

Revisionskriterier

Ena Tillitsramverk, se Kravkatalog, består av krav grupperade under kriterierna organisatoriska krav, personorienterade krav, fysiska krav samt tekniska krav. Regelverket omfattar bland annat följande revisionskriterier:

  • Ledningssystem för informationssäkerhet (LIS)
  • Riskhantering, internrevision och kontinuitetsplanering
  • Behörighetsstyrning och spårbarhet
  • Incident- och sårbarhetshantering
  • Kryptering, loggning och tekniska skyddsåtgärder

AI-stöd

Genom att integrera AI i hela processen kan revisionen effektiviseras och revisorerna användas där riskerna är som störst. En AI-stödd revisionsfunktion frigör tid för mer värdeskapande uppgifter som dialog, uppföljning, strategi och förbättringsarbete. Eftersom betydligt fler organisationer kan granskas med samma resurser medför detta att tilliten ökar i hela ekosystemet. Genom att kombinera mänsklig revisorskompetens med AI:s analyskraft kan fler revisioner genomföras snabbare och totalt ge högre kvalitet, vilket leder till stärkt informationssäkerhet, effektivare resursanvändning och ökad tillit i det digitala ekosystemet.

En modell där AI används som stöd i hela processen ger möjligheter att revidera både helheten och delarna under rimlig tid. AI skulle kunna användas för granskning av en stor mängd dokument, genomföra analyser, prioriteringar och urval. För att säkra upp kvaliteten i resultatet krävs ett samarbete mellan AI och revisorer som kvalitetssäkrar AI:s resultat och fattar beslut. En stor mängd organisationer kan granskas av AI systematiskt. AI kan

En central revisionsfunktion bör sättas upp inom Ena federationen och revisionsarbetet bör styras därifrån. Metoderna för att hantera och genomföra revision inom Ena bör vara enhetliga och uppföljningsbara på alla nivåer. Eventuellt behöver specialistkompetens upphandlas för delar av själva revisionsgenomförandet. Detta hanteras och styrs då från revisionsfunktionen.

Revisionsprogram för Ena

Revisionsprogrammet bygger på en helhetssyn samt vilar på en systematisk grund. Centralt i revisionsprogrammet är riskbaserat urval, löpande statusrapporter samt årlig ledningsrapport till ledningsaktör och/eller operatör. Programmet koordineras för största möjliga nytta genom olika typer av efterlevandekontroll, såsom AI-granskning eller revision på plats hos organisationen.

I revisionsprogrammet skall framgå i vilken omfattning och i vilken frekvens revisioner av olika områden skall genomföras. Det behöver även framgå mot vilken kravnivå respektive organisation skall revideras samt hur dessa revisionskriterier täcks under en 3-årsperiod. Kravnivån ligger till grund för revisionsprogrammets omfattning och aktuella revisionskriterier. Således är även bedömningen av avvikelser och mognadsgrad beroende av definierade kravnivåer.

Regelverk och revisionskriterier

Ena Tillitsramverk, se Kravkatalog, består av krav grupperade under kriterierna organisatoriska krav, personorienterade krav, fysiska krav samt tekniska krav. Regelverket omfattar bland annat följande revisionskriterier:

  • Ledningssystem för informationssäkerhet (LIS)
  • Riskhantering, internrevision och kontinuitetsplanering
  • Behörighetsstyrning och spårbarhet
  • Incident- och sårbarhetshantering
  • Kryptering, loggning och tekniska skyddsåtgärder

Antal anslutna organisationer

Antalet anslutna organisationer kan, och bör, öka över tid. Detta kommer att påverka kapaciteten hos efterlevnadskontrollen och behöver beaktas redan från början med fokus på kvalitet och genomförbarhet. Konsekvenser av att genomföra revision i nationell skala behöver analyseras. Här kan ett AI-stöd vara det som blir avgörande för vilken nytta revision av efterlevnaden kan skapa.

Konsekvenser för reviderad organisation

Tillitsmodellen driver resursbehov och behov av kunskap på samhällsnivå. Behovet av stöd ute i anslutna organisation behöver mötas för att efterlevnaden skall få så stort genomslag som möjligt. Olika forum, utbildningar och stöd behöver komplettera revisionerna.

Revision med stöd av AI

Inledning

Olika modeller för att revidera efterlevnaden har prövats i olika sammanhang, såsom vid SITHS-revision och granskning av Sambi. Båda modellerna är resurskrävande och täcker inte behovet av revision hos alla anslutna organisationer.

Genom att integrera AI i hela revisionsprocessen kan revisionen effektiviseras och revisorerna användas där riskerna är som störst. En AI-stödd revisionsfunktion frigör tid för mer värdeskapande uppgifter som dialog, uppföljning, strategi och förbättringsarbete. Eftersom betydligt fler organisationer kan granskas med samma resurser medför detta att tilliten ökar i hela ekosystemet. Genom att kombinera mänsklig revisorskompetens med AI:s analyskraft kan fler revisioner genomföras snabbare och totalt ge högre kvalitet, vilket leder till stärkt informationssäkerhet, effektivare resursanvändning och ökad tillit i det digitala ekosystemet.

En ny kombinerad modell med stöd av AI

En modell där AI används som stöd i hela processen ger möjligheter att revidera både helheten och delarna under rimlig tid. AI skulle kunna användas för granskning av en stor mängd dokument, genomföra analyser, prioriteringar och urval. För att säkra upp kvaliteten i resultatet krävs ett samarbete mellan AI och revisorer som kvalitetssäkrar AI:s resultat och fattar beslut. En stor mängd organisationer kan granskas av AI systematiskt. AI kan även selektera de organisationer med störst riskbild. Där riskerna är störst kan revision på plats genomföras för att åstadkomma ett mer effektivt lärande. Effektiviteten och träffbilden kan på detta sätt ökas markant.  Systematisk Systematisk revision med full effekt kan nås först efter en initieringsfas som skall resultera i en tydlig backlogg inför följande revisionsomgångar.

...

Nedan beskrivs hur revisionsfunktionens processer kan användas med stöd av AI

...

Utifrån tillitsdeklarationen sammanställer AI dokument, genomför riskanalys och prioriterar vilka organisationer som behöver revision på plats och vilka som skall revideras maskinellt. Revisionsprogrammet aktualiseras och omfattningen av aktuell revisionsomgång fastställs. Härefter genereras revisionsplaner för respektive revisionstillfälle. Revisor finns med under hela analys- och planeringsfasen för att säkra kvaliteten och för att ta beslut.

Image Removed

Revisionsprocessen med stöd av AI

Som tidigare beskrivits är revision där revisor och reviderad part kan mötas på plats eller digitalt det bästa sättet att nå lärande och efterlevnad. Då detta inte är möjligt när många organisationer behöver revideras föreslås här en kombination av skrivbordsgranskning med AI-stöd i kombination med att revisorer gör revision på plats hos dom organisationer med störst riskbild. Detta kräver att alla organisationer som ingår i programmet genomför en tillitsdeklaration med relevanta bevis på att regelverket efterlevs. Detta kan till exempel vara rapporter från genomförda internrevisioner, genomförd riskanalys, kontinuitetsplan, översikt över LIS eller rutiner för tekniska säkerhetskontroller. AI-stöd föreslås här även användas för att följa upp rotorsaksanalyser och åtgärdsplaner samt för att sammanställa revisionsrapporter och göra mognadsbedömningen.

Ett antal besöksrevisioner på plats eller digitalt genomförs parallellt med AI-granskningen. 

Beroende på antalet organisationer i revisionsprogrammet, antalet revisorer samt komplexiteten i bevisen avgörs hur många organisationer som kan revideras årligen.

Image Removed

Rapporterings- och förbättringsprocessen med stöd av AI

När en revisionsomgång har avslutats analyseras resultatet efter genomförda revisioner. Avvikelser och mognadsmätningar sammanställs och grupperas i en rapport som kommuniceras och återkopplas. Förbättringar av processen genomförs med tyngdpunkt på kvalitet, effektivitet, säkerhet och nytta för reviderade organisationer. 

Image Removed

Etablering av AI-stödd revisionsfunktion

Initieringsfas År 1

En initieringsfas med 100 anslutna organisationer har estimerats enligt nedan. Estimatet visar endast på själva revisionsgenomförandet med stöd av AI. Utöver detta behövs tid för exempelvis etablering av teknisk miljö, konfiguration, utbildning och erfarenhetsåtervinning. Se vidare handlingsplan.

 Image Removed

Handlingsplan

  1. Etablera styrning och mandat
    Säkerställ tydligt uppdrag, mandat och organisatorisk placering för revisionsfunktionen.
  2. Utveckla metodik och processer
    Utveckla och dokumentera enhetliga metoder som omfattar revision, AI-användning, kvalitetssäkring och rapportering.
  3. Bygg kompetens och roller
    Definiera roller, kompetenskrav och utbildningsinsatser – inkludera AI-kompetens och informationssäkerhet.
  4. Etablera en säker AI-miljö
    Skapa en teknisk miljö där AI kan användas utan att äventyra informationssäkerheten. Språkmodellen skall vara säker och inlåst.
  5. Testa AI-användningen och sätt upp relevanta promptar

...

  1. Ständig förbättring
    Utvärdera och förbättra förmågan hos AI att identifiera och gradera olika risker/avvikelser. Utveckla samarbetet mellan AI och revisor.
  2. Samverka och dela lärdomar
    Etablera forum och rutiner för erfarenhetsutbyte mellan aktörer för att stärka hela ekosystemet.

Krav och utveckling av AI till stöd för revision

Eftersom revisionerna hanterar känslig information krävs att AI används i en säker och inlåst miljö. Det innebär att ingen data lämnar organisationens skyddade IT-miljö, ingen information används för träning av externa AI-modeller, all åtkomst loggas och styrs med behörigheter och all kommunikation är krypterad. En inlåst språkmodell (privat moln eller on-prem) möjliggör full användning av AI utan att kompromissa med konfidentialitet, integritet eller regelefterlevnad.

Strategisk betydelse för Sveriges digitala ekosystem

En AI-stödd, lärande revisionsfunktion är mer än en kontrollmekanism – den är en strategisk resurs som stärker förtroendet mellan myndigheter, regioner och privata aktörer. Den bidrar till att skydda samhällskritiska funktioner, möjliggör en trygg digital transformation och skapar en grund för innovation och samverkan.

Genom att bygga in lärande, riskbaserad styrning och datadriven analys i revisionen kan Sverige säkerställa att den digitala infrastrukturen förblir säker, resilient och förtroendeskapande även i en snabbt föränderlig omvärld.

...

.

Eftersom revisionerna hanterar känslig information krävs att AI används i en säker och inlåst miljö. Det innebär att ingen data lämnar organisationens skyddade IT-miljö, ingen information används för träning av externa AI-modeller, all åtkomst loggas och styrs med behörigheter och all kommunikation är krypterad. En inlåst språkmodell (privat moln eller on-prem) möjliggör full användning av AI utan att kompromissa med konfidentialitet, integritet eller regelefterlevnad.

Analys- och planeringsprocessen med stöd av AI

Utifrån tillitsdeklarationen sammanställer AI dokument, genomför riskanalys och prioriterar vilka organisationer som behöver revision på plats och vilka som skall revideras maskinellt. Revisionsprogrammet aktualiseras och omfattningen av aktuell revisionsomgång fastställs. Härefter genereras revisionsplaner för respektive revisionstillfälle. Revisor finns med under hela analys- och planeringsfasen för att säkra kvaliteten och för att ta beslut.

Image Added

Revisionsprocessen med stöd av AI

Som tidigare beskrivits är revision där revisor och reviderad part kan mötas på plats eller digitalt det bästa sättet att nå lärande och efterlevnad. Då detta inte är möjligt när många organisationer behöver revideras föreslås här en kombination av skrivbordsgranskning med AI-stöd i kombination med att revisorer gör revision på plats hos dom organisationer med störst riskbild. Detta kräver att alla organisationer som ingår i programmet genomför en tillitsdeklaration med relevanta bevis på att regelverket efterlevs. Detta kan till exempel vara rapporter från genomförda internrevisioner, genomförd riskanalys, kontinuitetsplan, översikt över LIS eller rutiner för tekniska säkerhetskontroller. AI-stöd föreslås här även användas för att följa upp rotorsaksanalyser och åtgärdsplaner samt för att sammanställa revisionsrapporter och göra mognadsbedömningen.

Ett antal besöksrevisioner på plats eller digitalt genomförs parallellt med AI-granskningen. 

Beroende på antalet organisationer i revisionsprogrammet, antalet revisorer samt komplexiteten i bevisen avgörs hur många organisationer som kan revideras årligen.

Image Added

Rapporterings- och förbättringsprocessen med stöd av AI

När en revisionsomgång har avslutats analyseras resultatet efter genomförda revisioner. Avvikelser och mognadsmätningar sammanställs och grupperas i en rapport som kommuniceras och återkopplas. Förbättringar av processen genomförs med tyngdpunkt på kvalitet, effektivitet, säkerhet och nytta för reviderade organisationer. 

Image Added


Strategisk betydelse för Sveriges digitala ekosystem

En AI-stödd, lärande revisionsfunktion är mer än en kontrollmekanism – den är en strategisk resurs som stärker förtroendet mellan myndigheter, regioner och privata aktörer. Den bidrar till att skydda samhällskritiska funktioner, möjliggör en trygg digital transformation och skapar en grund för innovation och samverkan.

Genom att bygga in lärande, riskbaserad styrning och datadriven analys i revisionen kan Sverige säkerställa att den digitala infrastrukturen förblir säker, resilient och förtroendeskapande även i en snabbt föränderlig omvärld.

En AI-stödd, lärande revisionsfunktion blir en drivkraft för förtroende, säkerhet och utveckling i Sveriges digitala ekosystem. Genom att kombinera mänsklig expertis med datadriven analys stärker vi både efterlevnad och förmåga att möta framtidens krav. Det skapar långsiktig resiliens, ökar handlingskraften och lägger grunden för hållbar digital samverkan.

Etablering av AI-stödd revisionsfunktion

Initieringsfas År 1

En initieringsfas med 100 anslutna organisationer har estimerats enligt nedan. Estimatet visar endast på själva revisionsgenomförandet med stöd av AI. Utöver detta behövs tid för exempelvis etablering av teknisk miljö, konfiguration, utbildning och erfarenhetsåtervinning. Se vidare handlingsplan.

 Image Added

Handlingsplan

  1. Etablera styrning och mandat
    Säkerställ tydligt uppdrag, mandat och organisatorisk placering för revisionsfunktionen.
  2. Utveckla metodik och processer
    Utveckla och dokumentera enhetliga metoder som omfattar revision, AI-användning, kvalitetssäkring och rapportering.
  3. Bygg kompetens och roller
    Definiera roller, kompetenskrav och utbildningsinsatser – inkludera AI-kompetens och informationssäkerhet.
  4. Etablera en säker AI-miljö
    Skapa en teknisk miljö där AI kan användas utan att äventyra informationssäkerheten. Språkmodellen skall vara säker och inlåst.
  5. Testa AI-användningen och sätt upp relevanta promptar
  1. Genomför pilot och skala upp
    Sätt upp relevanta promptar och genomför pilotrevisioner för att testa metod, verktyg och samspel mellan människa och AI. Skala upp gradvis baserat på erfarenheter.
  2. Ständig förbättring
    Utvärdera och förbättra förmågan hos AI att identifiera och gradera olika risker/avvikelser. Utveckla samarbetet mellan AI och revisor.
  3. Samverka och dela lärdomar
    Etablera forum och rutiner för erfarenhetsutbyte mellan aktörer för att stärka hela ekosystemet.




...

APPENDIX I - Sammanfattning SITHS-revision

SITHS-revision har genomförts under 7+ år med dokumenterat goda resultat gällande mognadsförskjutning inom framför allt säkerhetsarbetet.

...

Dokumentation och möten följer de krav som ställs på känslig information.

Mognadsförskjutning inom säkerhetsområdet

Säkerhetsområdet i SITHS Tillitsramverk omfattar följande delar: LIS (Ledningssystem för informationssäkerhet), riskhantering, incidenthantering, kontinuitetsplanering, internrevision, fysisk-, personrelaterad- och administrativ säkerhet. Mognadsförskjutningen inom säkerhetsområdet visar i stort sett samma mönster; revision bidrar till ökad efterlevnad hos reviderad part.

Statistiskt utfall

Efterlevnaden mot regelverket har bedömts löpande, dokumenterats och presenteras genom cirkeldiagram, se nedan.

Vid revision visar mognadsmätningen att stora delar av säkerhetsområdet endast är initierat eller saknas helt. När organisationen genomfört sina åtgärder visar mätning mot samma kriterier en betydande förbättring inom området.

Processer

Tillitsdeklaration

Årligen bedömer och deklarerar anslutna organisationer sin efterlevnad mot regelverket i en tillitsdeklaration. Deklarationen innehåller endast en skattning på en skala mellan 1-5 för respektive revisionskriterium. Resultatet sammanställs i ett spindeldiagram. (Manuell hantering)

Revisionsprogram

Revisionsprogram sätts upp, och underhålls löpande, för alla revisionsobjekt (100 organisationer, 10-årigt program, total revision mot regelverket). Programmet har både ett systematiskt och ett riskbaserat perspektiv. (Manuell hantering)

Prioritering och urval

Utifrån i förväg definierade riskparametrar genomförs ett urval av organisationer där nyttan med revision bedöms som störst. Varje år revideras högst 14 organisationer. (Manuell hantering)

Revisionsomgång

Revisionsomgången planeras och fastställs. För att bidra till kvalitet i resultatet, friktionsfri framfart samt ständig förbättring av arbetssättet styr revisionsteamet sitt arbete genom att löpande ta PULS på progressen. (Manuell hantering)

Genomförande av en revision

Revisionsprocessen genomförs genom 7 strukturerade steg med stöd av tydliga mallar. (Manuell hantering)

...

  1. Revisionstillfället planeras i god tid innan revisionens genomförande. En revisionsplan med agenda tas fram och kommuniceras med reviderad part där frågor kan redas ut och kontakt etableras.
  2. Vid genomförandet av revisionen identifieras och förankras avvikelser och förbättringsförslag. Mognadsbedömning genomförs och dokumenteras i revisionsrapporten.
  3. Efter revisionsgenomförandet gör reviderad part orsaksanalyser och tar fram åtgärdsplaner för att åtgärda avvikelserna som identifierats under revisionen.
  4. Åtgärdsplanerna följs upp vid ett kort möte (efter 3 veckor) där sambandet mellan rotorsak och åtgärdsplan belyses och diskuteras med revisorn.
  5. När åtgärdsplanen accepterats genomför reviderad part planerade åtgärder för att släcka avvikelserna.
  6. Genomförda åtgärder följs upp vid ett kort möte (efter 3 månader) varvid effekten dokumenteras tillsammans med en ny mognadsmätning som visar effekten av genomförda åtgärder.
  7. Härefter stängs revisionen, dokumentation gallras och arkiveras. Om större avvikelser eller larm identifierats under revisionen hanteras detta vidare genom riskindikation, som senare ligger till grund för bedömning av återbesök.

...

APPENDIX II - Sammanfattning granskning Sambi

<Roberts dokument om processen Sambi>