Intern kontroll - Kritiska leveranser
Det är mycket givande att få vara en sidekick i arbetet med förvaltningarnas internkontroll. Min vinkel in i det hela är att belysa hur man hittar risker utifrån kritiska leveranser. Det utifrån områdena säkerhet, IT-säkerhet och informationssäkerhet. Riskerna sorteras under nyttorna ekonomi, personal och verksamhet.
Vad är då en kritisk leverans i en kommun? En än svårare fråga har jag märkt är att svara på vad som INTE är en kritisk leverans. Det ska jag försöka mig på här nedan. Här är ett bra grundmateriel från MSB.
- Kan vi säga att vi inte kategoriserar kontinuitet i processer först utan istället gå direkt på leveranser? Ja, det kan vi.
- Måste vi ha separata kontinuitetsstrategier för olika verksamheter (där IT är en verksamhet som alla andra)? Ja, det måste vi.
Vi är så små att vi måste tänka så här. Precis som att vi inte utgår från en förvaltningsobjektsarkitektur (FOA) när det kommer till systemförvaltning. Vi utgår från de system vi har.
Så vad svaret på vad en kritisk leverans INTE är, det har jag inte än några jättebra exempel än. Men inser att jag måste börja där. För om man väl säger att den är kritisk, då ska det läggas fokus på allt som påverkar den leveransen. Då kan inte allt vara kritiskt. Om man bara skulle gå på de ekonomiska summorna i bilden lite längre upp skulle det vara enkelt. Men kommunal verksamhet har så mycket mer värden, exempelvis liv och lem, livskvalité, service till invånare/företag.
För övrigt är det så att god såväl som dålig kultur äter struktur till frukost.
Inga kommentarer:
Skicka en kommentar