Digitaliseringen av offentlig sektor bygger på samverkan och delat ansvar. Ena Tillitsramverk är grunden för detta – ett regelverk som skapar förtroende och säkerhet mellan aktörer. För att detta skall fungera krävs en tillsyn (revision) av att aktörerna lever upp till de krav som stipuleras av regelverket.
Förbättring i efterlevnad har kunnat påvisas från SITHS-revision där en modell kallad ”Lärande revision” har använts. Framgångsfaktorerna har varit mötet mellan revisor och reviderad organisation vid revision och vid uppföljning av åtgärdsplaner. Utmaning är, och har varit, att behovet av revision är stort men resurserna är få och räcker inte till för att revidera alla organisationer inom önskad tid.
Sambi har använt en annan metod där revisionen till största del har genomförts via skrivbordsrevision och dokumentgranskning. Granskningen har anpassats till en nivå där tillit och kostnader accepteras inom federationen. Djupare granskningar skulle behövas för bättre kontroll på efterlevnad.
Revisionens syfte är att verifiera att anslutna organisationer uppfyller kraven och samtidigt stödja dem i att utveckla sitt informationssäkerhetsarbete. Revisionen ska inte bara vara en kontroll utan en lärande process som bidrar till ökad tillit, högre säkerhet, effektivare riskhantering och kontinuerlig förbättring.
Revision kan genomföras på olika sätt, på olika djup och på olika nivåer. Det är av vikt att revisionen ses som ett verktyg till förbättring, att den bidrar till ett lärande och att den ger engagemang.
För att etablera och underhåll en revisionsfunktion där helhet och delar hänger samman och styrs mot kvalitet och effektivitet krävs tydliga och strukturerade processer, dessa är:
Dom viktigaste input och output till och från processerna utgörs av följande artefakter:
Olika metoder kan väljas utifrån behov:
Ett revisionsprogram kan bestå av en mängd organisationer/områden som skall revideras. Under analys- och planeringsprocessen sammanställs olika indikationer som visar på olika grad av riskbild. Prioritering utifrån riskparametrar ger det urval av organisationer/områden som skall lyftas för revision inför kommande revisionsomgång. Vid analysen avgörs även vilken revisionsmetod som skall väljas eller om en kombination av metoder ger ett mervärde. Olika metoder ger olika grad av insyn i reviderad parts verksamhet och kan vara någon av följande:
Under planeringsfasen framställs revisionsplanerna som är själva agendan vid revisionen. Där framgår vilka områden som skall revideras, vilka roller som behöver delta samt tidpunkt för intervjuerna.
Under genomförandet av en revision på plats eller via digitala media är det av vikt att fokusera både regelverkets krav och lärandet hos reviderad part. Revisionsprocessen skall vara tydlig och strukturerad. Vid inledningsmötet presenteras agendan, det systematiska arbetssättet samt revisionsprocessen i sin helhet. Under revisionens gång tydliggörs vilka avvikelser som identifierats med referens till regelverkets krav. Under avslutningsmötet presenteras revisorernas slutsatser i en revisionsrapport och avvikelserna accepteras (förstås) av reviderad part. Efter 3 veckor genomförs uppföljning för att stämma av åtgärdsplaner och efter 3 månader ett ytterligare kort möte för att stämma av åtgärdernas genomförande. Eventuella kvarstående risker sammanställs och dokumenteras. Därefter stängs revisionen.
När alla revisioner är stängda avslutas även revisionsomgången. Resultatet från alla ingående revisioner sammanfattas, analyseras och redovisas genom översiktliga diagram. Statistiken visar mognadsförskjutningen innan och efter genomförd revision, inom vilka områden i regelverket där flest brister har identifierats samt hur bristerna är fördelade över olika typ av organisation. Det samlade resultatet sammanställs i en rapport och delges ledningen skriftligen. Vid genomgång med ledningen inhämtas även återkoppling som grund för att förbättra processerna.
En tydlig rollfördelning beskriven i en matris (RACI/HUKI) där det tydligt framgår vilken roll som gör vad hålls aktuell och kommuniceras löpande inom revisionsteamet. Beslutsmandatet framgår tydligt i matrisen. Beställnings- och uppdragsparametrar skall tydligt framgå av avtalet mellan revisionsfunktionen och uppdragsgivaren. Under revisionsomgången genomförs PULS-möten med syftet att säkerställa att revisionerna löper på friktionsfritt. Revisionsfunktionen är sammanhållande och leder PULS-möten, riskanalys, urval och planering av revisionsomgångar. Behov av att ta in extern kompetens för att genomföra revision beror på hur man valt att sätta upp revisionsfunktionen. I det fall extern kompetens behöver upphandlas styr revisionsfunktionen revisionsarbetet och på så sätt upprätthålls enhetlighet i processer och resultat. Olika revisionsuppdrag hanteras och samordnas i en strukturerad process med tydliga beslutspunkter. Krav på revisionsledare och specialister fastställs och hanteras utifrån uppdragets art.
Lärande revision är en väl beprövad revisionsmetodik med fokus på struktur och lärande. Den bygger på djup och lång erfarenhet från certifierings- och tillitsrevisioner. Målet med arbetssättet är förankring och förståelse hos reviderad part vilket bidrar till ökad mognad och efterlevnad av regelverk. Metodiken är skalbar och kan anpassas utifrån scoop och tidsaspekter i olika typer av revisionsuppdrag.
Var uppstår lärande
|
Avvikelser mot rådande regelverk dokumenteras med rubrik, referens till kriteria i regelverket samt med objektiva bevis. Avvikelsen kategoriseras som mindre eller större. Vid en större avvikelse skall korrigerande åtgärder genomföras omgående och rapporteras till revisonsledaren. För alla identifierade avvikelser skall reviderad organisation göra en rotorsaksanalys och sätt upp en åtgärdsplan per avvikelse inom en treveckorsperiod. Revisorn bedömer i dialog med organisationen att åtgärdsplanerna är rimliga och adekvata. Härefter får organisationen under en tremånadersperiod genomföra åtgärderna och redovisar sedan resultatet i en ytterligare dialog med revisorn.
Under en revisionsprocess kan revisorn identifiera brister som är så stora att de bedöms behöva eskaleras omgående för vidare hantering. I dessa fall tas en larmrapport fram och eskaleras i enlighet med en i förväg definierad eskaleringstrappa.
I de fall en större avvikelse inte resulterar i en larmrapport anges skäl till detta i rapporten.
Utbildning inom informationssäkerhet, kvalitet, ledningssystem och revisionsledning. Kunskap om tillitsramverket och relaterade standarder, utbildning i revisionsmetodik enligt ISO 19011, erfarenhet av revision i komplexa organisationer samt förståelse för riskhantering, intern kontroll och ledningssystem.
Revisorn behöver kunna tolka krav, förstå informationssäkerhet och ledningssystem, behärska intervjuteknik och stickprovstagning, identifiera avvikelser och kommunicera resultat.
I en AI-stödd process krävs dessutom förmåga att tolka AI-rapporter, kvalitetssäkra AI:s slutsatser, förstå begränsningar, bidra till modellförbättring och skydda informationssäkerheten vid användning av AI.
Ena är Sveriges digitala infrastruktur – en samling tjänster, standarder och regelverk som gör det möjligt för offentliga och privata aktörer att samverka säkert. För att skydda ekosystemet krävs att alla anslutna organisationer uppfyller Ena Tillitsramverk, som ställer krav inom organisatoriska, personorienterade, fysiska och tekniska områden.
Revision för att säkra tilliten inom Ena Federationsinfrastruktur omfattar hela den digitala kedjan, från ledningssystem till tjänstespecifika krav.
Revision behöver etableras och genomföras på olika nivå, både federationsoperatörer och anslutna organisationer behöver revideras utifrån ett efterlevandeperspektiv.
Tillitskedjan visar hur revision behöver genomföras på olika nivå. Federationsankaret behöver revidera dom federationsoperatörer som är anslutna till Ena. Federationsoperatörerna (Anslutningsoperatör eller Tillitsmärkesägaren?) i sin tur reviderar dom organisationer som är anslutna till operatören. Dom rundade pilarna i bilden visar på den egenkontroll/internrevision som varje organisation i tillitskedjan behöver genomföra systematiskt.
En central revisionsfunktion bör sättas upp inom Ena federationen och styras därifrån. Metoderna för att hantera och genomföra revision inom Ena bör vara enhetliga och uppföljningsbara på alla nivåer. Eventuellt behöver specialistkompetens upphandlas för delar av själva revisionsgenomförandet. Detta hanteras och styrs då från revisionsfunktionen.
Revisionsprogrammet bygger på en helhetssyn samt vilar på en systematisk grund. Centralt i revisionsprogrammet är riskbaserat urval, löpande statusrapporter samt årlig ledningsrapport till federationsankare. Programmet koordineras för största möjliga nytta genom olika typer av efterlevandekontroll, såsom AI-granskning eller revision på plats hos organisationen.
Det behöver i programmet framgå i vilken omfattning och i vilken frekvens revisioner skall genomföras. Det behöver även framgå mot vilken kravnivå respektive organisation skall revideras samt hur dessa revisionskriterier täcks under en 3-årsperiod.
Organisationer, komponenter, tillitsmärken och kravnivå behöver tydligt framgå i revisionsprogrammet. Kravnivån ligger till grund för revisionsprogrammets omfattning, vilka revisionskriterier revisionen genomföras mot. Således är även bedömningen av avvikelser och mognadsgrad beroende av definierade kravnivåer.
Ena Tillitsramverk, se Kravkatalog, består av krav grupperade under kriterierna organisatoriska krav, personorienterade krav, fysiska krav samt tekniska krav. Regelverket omfattar bland annat följande revisionskriterier:
Antalet anslutna organisationer kan, och bör, öka över tid. Detta kommer att påverka kapaciteten hos efterlevnadskontrollen och behöver beaktas redan från början med fokus på kvalitet och genomförbarhet.
Tillitsmodellen driver resursbehov och behov av kunskap på samhällsnivå. Behovet av stöd ute i anslutna organisation behöver mötas för att efterlevnaden skall få så stort genomslag som möjligt. Olika forum, utbildningar och stöd behöver komplettera revisionerna.
Olika modeller för att revidera efterlevnaden har prövats i olika sammanhang, såsom vid SITHS-revision och granskning av Sambi. Båda modellerna är resurskrävande och täcker inte behovet av revision hos alla anslutna organisationer.
Genom att integrera AI i hela revisionsprocessen kan revisionen effektiviseras och revisors-resurser användas där riskerna är som störst. En AI-stödd revisionsfunktion frigör tid för mer värdeskapande uppgifter som dialog, uppföljning, strategi och förbättringsarbete. Eftersom betydligt fler organisationer kan granskas med samma resurser medför detta att tilliten ökar i hela ekosystemet. Genom att kombinera mänsklig revisorskompetens med AI:s analyskraft kan fler revisioner genomföras snabbare och totalt ge högre kvalitet, vilket leder till stärkt informationssäkerhet, effektivare resursanvändning och ökad tillit i det digitala ekosystemet.
En modell där vi använder AI som stöd i hela revisionsfunktionen ger möjligheter att revidera både helheten och delarna under rimlig tid. AI skulle kunna användas för granskning av en stor mängd dokument, genomföra analyser och prioriteringar. För att säkra upp kvaliteten i resultatet krävs ett samarbete mellan AI och kunniga revisorer som kvalitetssäkrar och fattar beslut.
En stor mängd organisationer kan granskas av AI systematiskt. AI kan även selektera dom organisationer med störst riskbild. Där riskerna är störst kan revision på plats genomföras för att åstadkomma ett mer effektivt lärande. Effektiviteten och träffbilden kan på detta sätt ökas markant.
Systematisk revision med full effekt kan nås först efter en initieringsfas som skall resultera i en tydlig backlogg inför kommande revisionsår.
Utifrån tillitsdeklarationen sammanställer AI dokument, genomför riskanalys och prioriterar vilka organisationer som behöver revision på plats och vilka som skall revideras maskinellt. Revisionsprogrammet aktualiseras och omfattningen av aktuell revisionsomgång fastställs. Härefter genereras revisionsplaner för respektive revisionstillfälle.
Revision genomförs på plats eller genom AI-granskning, i bägge fallen används en beprövad revisionsprocess. Samma input och output samt bedömningar genomförs.
När en revisionsomgång har avslutats analyseras resultatet efter genomförda revisioner. Avvikelser och mognadsmätningar sammanställs och grupperas i en rapport som kommuniceras samt återkopplas. Förbättringar av processen genomförs med tyngdpunkt på kvalitet, säkerhet och nytta för reviderade organisationer.
En initieringsfas med 100 anslutna organisationer har estimerats enligt nedan. Estimatet visar endast på själva revisionsgenomförandet med stöd av AI. Utöver detta behövs tid för exempelvis etablering av teknisk miljö, konfiguration, utbildning och erfarenhetsåtervinning. Se vidare handlingsplan.
Eftersom revisionerna hanterar känslig information krävs att AI används i en säker och inlåst miljö. Det innebär att ingen data lämnar organisationens skyddade IT-miljö, ingen information används för träning av externa AI-modeller, all åtkomst loggas och styrs med behörigheter och all kommunikation är krypterad. En inlåst språkmodell (privat moln eller on-prem) möjliggör full användning av AI utan att kompromissa med konfidentialitet, integritet eller regelefterlevnad.
En AI-stödd, lärande revisionsfunktion är mer än en kontrollmekanism – den är en strategisk resurs som stärker förtroendet mellan myndigheter, regioner och privata aktörer. Den bidrar till att skydda samhällskritiska funktioner, möjliggör en trygg digital transformation och skapar en grund för innovation och samverkan.
Genom att bygga in lärande, riskbaserad styrning och datadriven analys i revisionen kan Sverige säkerställa att den digitala infrastrukturen förblir säker, resilient och förtroendeskapande även i en snabbt föränderlig omvärld.
En AI-stödd, lärande revisionsfunktion blir en drivkraft för förtroende, säkerhet och utveckling i Sveriges digitala ekosystem. Genom att kombinera mänsklig expertis med datadriven analys stärker vi både efterlevnad och förmåga att möta framtidens krav. Det skapar långsiktig resiliens, ökar handlingskraften och lägger grunden för hållbar digital samverkan.
SITHS-revision har genomförts under 7+ år med dokumenterat goda resultat gällande mognadsförskjutning inom framför allt säkerhetsarbetet.
Revision av SITHS-anslutna organisationer har genomförts mot SITHS Tillitsramverk och avser ledningssystem, säkerhetsåtgärder samt processer för kortutgivning. Revisioner har genomförts i enlighet med modellen för Lärande revision med påtagliga positiva resultat. Hur väl organisationen efterlever regelverket har bedömts i samband med revisionen. En uppföljande bedömning genomförs även efter att organisationen genomfört åtgärder mot avvikelserna som identifierats.
Sedan starten 2018 har ett 80-tal revisioner genomförts remote eller på plats hos kommuner, regioner, privata aktörer, kommunförbund och myndigheter. Tillitsdeklaration genomförs av alla anslutna organisationer varje år, granskas och sammanställs i tydliga grafer.
Som utfärdare av svensk e-legitimation har Inera krav på att följa upp efterlevnaden av Tillitsramverket hos alla anslutna organisationer. Detta genomförs med hjälp av ett, ur SITHS-perspektiv, oberoende internt revisionsteam. Därutöver genomförs en extern oberoende internrevision mot den egna verksamheten varje år.
Dokumentation och möten följer de krav som ställs på känslig information.
Säkerhetsområdet i SITHS Tillitsramverk omfattar följande delar: LIS (Ledningssystem för informationssäkerhet), riskhantering, incidenthantering, kontinuitetsplanering, internrevision, fysisk-, personrelaterad- och administrativ säkerhet. Mognadsförskjutningen inom säkerhetsområdet visar i stort sett samma mönster; revision bidrar till ökad efterlevnad hos reviderad part.
Efterlevnaden mot regelverket har bedömts löpande, dokumenterats och presenteras genom cirkeldiagram, se nedan.
Vid revision visar mognadsmätningen att stora delar av säkerhetsområdet endast är initierat eller saknas helt. När organisationen genomfört sina åtgärder visar mätning mot samma kriterier en betydande förbättring inom området.
Årligen bedömer och deklarerar anslutna organisationer sin efterlevnad mot regelverket i en tillitsdeklaration. Deklarationen innehåller endast en skattning på en skala mellan 1-5 för respektive revisionskriterium. Resultatet sammanställs i ett spindeldiagram. (Manuell hantering)
Revisionsprogram sätts upp, och underhålls löpande, för alla revisionsobjekt (100 organisationer, 10-årigt program, total revision mot regelverket). Programmet har både ett systematiskt och ett riskbaserat perspektiv. (Manuell hantering)
Utifrån i förväg definierade riskparametrar genomförs ett urval av organisationer där nyttan med revision bedöms som störst. Varje år revideras högst 14 organisationer. (Manuell hantering)
Revisionsomgången planeras och fastställs. För att bidra till kvalitet i resultatet, friktionsfri framfart samt ständig förbättring av arbetssättet styr revisionsteamet sitt arbete genom att löpande ta PULS på progressen. (Manuell hantering)
Revisionsprocessen genomförs genom 7 strukturerade steg med stöd av tydliga mallar. (Manuell hantering)
<Roberts dokument om processen Sambi>