1

Katrine StrengSITHS Förvaltning

13 november 2013

Revision SITHS 2013Extern revision på SITHS-anslutna organisationer

Planeringen

2

3

12 utvalda organisationer

• Attendo Sverige AB

• Enköpings kommun

• Global Health Online AB (vården.se)

• IT Omsorg i Stockholm AB

• Kriminalvården

• Landstinget Västmanland

• Linköping kommun

• SOS Alarm

• Stockholm läns landsting

• Trosa kommun

• Vindelns kommun

• Åre kommun

Metoder Revision 2013

4

• Enkät

Ladda upp rutindokument

Redogör för processer

• Besök

• Revisionsrapport

Revisionsrapport till respektive organisation

Avidentifierad rapport publicerad på www.inera.se

Revisionsområden

5

A. HSA

B. Kontrollkörningar och stickprovskontroll

C. SITHS

D. Funktionscertifikat

E. Reservkort

F. Intern revision

Områden SITHS-Revision 2013

• SITHS

Administration och processer

Hantering av funktionscertifikat

Hantering av reservkort

• Intern revision

Är det genomfört för HSA och för SITHS

Laddat upp revisionsdokument

6

Identifiering och bedömning av brister

7

Hög (allvarlig) – ej uppfyllt regelverk eller omfattande /allvarlig

gällande kvalitetssäkrings-/identifieringsrutiner

Mellan – delvis uppfyllt regelverk eller begränsad brist i

omfattning eller allvarlighetsgrad

Låg – endast mindre justeringar eller kontroller

Åtgärdad brist – identifierad vid Ineras kontrollkörningar men

åtgärdad vid besöket eller när enkäten skickades tillbaka

Totalt antal brister (141 st.)Fördelning per allvarlighetsgrad

8

Brister per revisionsområde

9

Område C. SITHS (totalt 34 brister)

10

• 10 allvarliga brister, varav 8 identifierades vid revisionsbesök:

Korthandläggare tar del av kortmottagarens pinkoder vid utgivning

Telias villkor för e-legitimation lämnas inte ut till kortmottagaren

Avsaknad av beskrivning för identifieringsrutiner

CRA kvitterar i SITHS Admin att kortet har lämnats ut och att personen har legitimerat

sig när kortet anländer från leverantören, därefter läggs kortet i låsbart utrymme i

väntan på kortutgivning till mottagaren

Område C. SITHS (forts. allvarliga brister)

11

SITHS-obehörig personal i reception lämnar ut kort till

kortmottagaren

Bristfällig förvaring av arkivmaterial, kvittenser förvaras i

pärmar på öppen bokhylla på korthandläggarkontoret

Kort/certifikat som inte inkommer till CRA revokeras inte

Otillåten insamling av SITHS-kort för revokering av certifikat

Område D. Funktionscertifikat (totalt 14 brister)

12

• 8 allvarliga brister:

Förekommer att samma person både beställt och kvitterat ut funktionscertifikat (förekom

hos två organisationer)

Rutinbeskrivningar saknas:

verifiering av behörig beställare av funktionscertifikat

arkivering av information om identifiering och kontroll av behörig beställare saknas

utlämning av funktionscertifikat med tillhörande pinkoder saknas (förekom hos tre organisationer)

utgivning av funktionscertifikat då domänen inte ägs av den egna domänen

Område E. Reservkort (totalt 14 brister)

13

• Endast 1 allvarlig brist identifierades:

Otillåten insamling av reservkort för revokering av certifikat

Område F. Intern revision (totalt 11 brister)

14

• 6 allvarliga brister:

Ingen intern revision har genomförts avseende SITHS (förekom hos tre organisationer)

Ingen intern revision har genomförts avseende HSA (förekom hos tre organisationer)

Uppföljning av tidigare revisioner

15

• Åtgärdsplanerna följs upp kvartalsvis

Status och tidplan för hantering av kvarvarande brister

Statusrapporterna kontrolleras och brister markeras som

åtgärdade

Bekräftelse när samtliga brister har åtgärdats

Revision 2011

16

• 90 brister identifierades totalt (12 organisationer)

6 brister är fortfarande ej åtgärdade

3 organisationer har brister kvar att åtgärd

Samtliga kvarvarande brister är inom område HSA

Revision 2012

17

• 140 brister identifierades totalt (12 organisationer)

5 organisationer har åtgärdat samtliga sina brister

23 brister är fortfarande ej åtgärdade

6 kvarvarande brister är inom området SITHS (inkl

reservkort, funktionscertifikat och intern revision)

18