Etablere internkontroll med dokumentasjonsforvaltningen
Alle organer underlagt arkivloven skal ha internkontroll med dokumentasjonsforvaltningen. Denne veilederen hjelper dere med å etablere en slik internkontroll.
Målgruppe
Dette er en veileder for deg som har ansvar eller sentrale oppgaver innen internkontroll og arkivfaglig arbeid. Hvem dette er vil variere ut fra virksomhetens størrelse, organisering og oppgaver.
Internkontroll er systematiske tiltak som skal sikre at en virksomhet planlegger, organiserer, utfører og vedlikeholder sine aktiviteter i samsvar med gjeldende regelverkskrav. Andre navn på internkontroll er kvalitets-, ledelses- eller styringssystem.
Dokumentasjonsforvaltningen skal være omfattet av virksomhetens internkontroll.
Alle organer som er underlagt arkivloven skal ha internkontroll med dokumentasjonsforvaltningen.
-
Regjeringen.no Reglement for økonomistyring i staten, kapittel 2.4 (PDF)
-
Lovdata.no Kommuneloven, kapittel 25
Den øverste ledelsen i organet skal sørge for at internkontrollen omfatter dokumentasjonsforvaltningen. Dokumentasjonsplanen skal innrettes slik at den kan brukes som et redskap for internkontroll.
Etablering av internkontroll med dokumentasjonsforvaltningen har en rekke gevinster, både for arkivarbeidet i seg selv og for virksomheten som helhet.
Internkontroll gjør det enklere for ledelsen å følge opp sitt ansvar for dokumentasjonsforvaltningen på en systematisk måte. Det er et verktøy for arkivarbeidet som gir gevinster i form av bedre styring, effektiv drift og måloppnåelse, bedre kontroll, avvikshåndtering og oversikt over risikobildet. Gjennomføring av tiltak etter internkontroll kan gjøre det lettere for ansatte å utføre sine oppgaver på en sikker og forsvarlig måte.
Internkontroll med dokumentasjonsforvaltningen gir også gevinster på andre oppgaveområder. Det bidrar til etterlevelse av annet regelverk, og støtter opp under arbeidet med informasjonssikkerhet og personvern. God styring av dokumentasjonsforvaltningen betyr at virksomhetens tjenesteproduksjon og beslutningsgrunnlag blir godt dokumentert.
Organer underlagt arkivloven må dokumentere hvordan de jobber med internkontroll. Dokumentasjonsplanen skal være utformet slik at den fungerer som et redskap i internkontrollen.
Arkivregelverket bestemmer hva dokumentasjonsplanen skal inneholde, men sier ikke hvordan den skal utformes. Dere kan derfor innrette dokumentasjonsplanen slik det er nyttig for virksomheten.
Dere må kunne håndtere og dokumentere avvik, kontrollaktiviteter og oppfølgingsarbeid. Dette må ikke nødvendigvis skje i et spesielt system. Det viktigste er å ha klart for seg
- hvem som skal gjøre hva
- når og hvordan de skal gjøre det
- hvem som skal få informasjon og ta avgjørelser
Hvis dere allerede har et system for kvalitetssikring, kan dere sannsynligvis bruke dette til internkontroll med dokumentasjonsforvaltningen også. Compilo, Certain QMS, EQS Kvalitetssystem og Qm+ er eksempler på slike systemer.
Etablering av internkontroll med dokumentasjonsforvaltningen er en oppgave som omfatter store deler av virksomheten. Det er naturlig å involvere dem som jobber med blant annet IT-sikkerhet, risiko, personvern, fagledelse, kvalitetsstyring og økonomistyring i relevante deler av prosessen. For eksempel har ledelsen en viktig rolle i å holde oversikt og ha kontroll på fullmakter og ressurser, mens det faglige ansvaret for dokumentasjons-forvaltningen ligger hos de som har fått det delegert til seg.
-
Internkontroll i Praksis – Informasjonssikkerhet Digitaliseringsdirektoratets veiledningspakke gir en god gjennomgang av hvordan en virksomhet kan etablere og vedlikeholde internkontroll. Den er laget for informasjonssikkerhet som fagområde, men er også nyttig og overførbar til dokumentasjonsforvaltningen.
-
Orden i eget hus Kommunedirektørens internkontroll fra KS (2020) går i dybden på kommunal internkontroll.
-
Veileder for orden i eget hus Digitaliseringsdirektoratets veileder for orden i eget hus.
-
ISO 30301 Informasjon og dokumentasjon – Ledelsessystemer for dokumentasjon – Krav Denne standarden spesifiserer krav som skal tilfredsstilles av et ledelsessystem for dokumentasjon (management system for records, MSR) for å støtte en virksomhets arbeid for å nå sitt mandat, sitt oppdrag, sin strategi og sine mål.
-
Internkontroll i staten fra Direktoratet for forvaltning og økonomistyring.
Styring, drift og kontroll
Arbeidet med internkontroll er en kontinuerlig prosess for styring, drift og kontroll.
Løpende internkontroll med dokumentasjonsforvalningen sikrer tydelig styring, velfungerende drift og målrettet kontroll. Da blir oppgavene utført i samsvar med regelverket, og risikoer og avvik blir oppdaget og tatt hånd om i tide.
Hele virksomheten jobber systematisk innenfor formelle rammer og føringer gitt av ledelsen. Det må være tydelig hvem som skal gjøre hva, og virksomheten må dokumentere at det blir gjort.
Seks steg for å etablere internkontroll med dokumentasjonsforvaltningen
Denne veilederen presenterer seks steg for at dokumentasjonsplanen skal fungere som et verktøy for internkontroll:
- Kartlegg regelverket og fastsett mål
- Beskriv organisering og ansvar
- Gjennomfør risikovurderinger
- Håndter avvik
- Sørg for kompetanse og ressurser
- Gjennomfør kontroll
Steg 1 – Kartlegg regelverket og fastsett mål
Dere må kartlegge lover, forskrifter og dokumentasjonsplikter som har betydning for danningen av dokumentasjon i virksomheten. Når dere har oversikt over relevante lover og regler, kan dere arbeide for å overholde dem. Dere må også fastsette mål for dokumentasjonsforvaltningen. Når dere fastsetter mål må dere tenke på at målene skal bidra til å realisere virksomhetens samlede mål, være kostnadseffektive og være i samsvar med lover og regler. Tydelige mål er en forutsetning for god risikostyring.
Å fastsette mål handler om å identifisere og formulere dokumentasjonsforvaltningens primærfunksjon. Dere kan spørre dere selv: Hvorfor skal vi ta vare på dokumentasjonen i vår virksomhet?
Arkivloven har som formål å medvirke til en forsvarlig og etterrettelig offentlig forvaltning ved at dokumentasjon i offentlige organ skal bli forvaltet som arkiv og at dokumentasjonen skal være tilgjengelig. Loven skal også legge til rette for at arkivene kan tjene som kulturarv, som kilde til historisk kunnskap og som grunnlag for forskning. Arkivforskriften gir utfyllende bestemmelser om forvaltningen av dokumentasjon og arkiv. Bevaringsforskriften fastsetter hvilken dokumentasjon som skal tas vare på for ettertiden.
Hva som skal dannes av dokumentasjon, følger av særlovgivningen. Særlovgivning er regelverk som styrer virksomhetens oppdrag og fagområder (opplæringsloven, barnevernloven, plan- og bygningsloven etc.).
Alle offentlige forvaltningsorganer er i tillegg underlagt offentlighetsloven og forvaltningsloven. Avtaler, EU-direktiv eller andre formelle krav kan også ha betydning for arkivdanningen.
Det er viktig at dere setter dere inn i den juridiske konteksten til deres egen virksomhet, selv om den ofte kan være lik liknende virksomheter. For eksempel vil kommuner ha mye til felles, samtidig som oppgaver og tjenestetilbud varierer. Dette er en kartleggingsjobb som alle avdelinger/funksjoner i virksomheten må ta del i – ikke bare arkivfunksjonen.
- Har vi kartlagt hvilke lover og regelverk som har betydning for danningen av dokumentasjon i virksomheten?
- Har vi identifisert virksomhetens lovpålagte dokumentasjonsplikter?
- Hvordan følger vi med på endringer i lover og regelverk som får konsekvenser for danningen av arkiv i virksomheten?
- Vet vi hvorfor det er viktig for virksomheten å forvalte dokumentasjon i henhold til regelverket?
- Hvordan skal dokumentasjonsforvaltningen bidra til å oppfylle virksomhetens samfunnsoppdrag og samlede mål?
Formålsparagrafen til virksomheten, eller lovverk som er relevant for virksomheten, kan gi en god pekepinn på hva som bør være sentralt også når dere fastsetter mål for dokumentasjonsforvaltningen.
Steg 2 – Beskriv organisering og ansvar
Dere må beskrive organiseringen av arkivfunksjonen, samt oppgaver, myndighet og ansvarsforhold.
Beskrivelse av administrativ oppbygging og oversikt over virksomhetens funksjoner, ansvarsområder og hvordan disse er fordelt på organisatoriske enheter, er en forutsetning for god interkontroll.
Virksomheten skal kunne dokumentere hvordan ansvaret for dokumentasjonsforvaltningen blir ivaretatt, og hvordan arkivfunksjonen er organisert. Dette skal inkludere delegeringsfullmakter på arkivområdet og eventuelle avtaler om kjøp av tjenester.
Dere står fritt til å organisere arkivfunksjonen slik dere ønsker, men dere må sørge for at den støtter virksomheten på en best mulig måte. Det overordnede ansvaret for dokumentasjonsforvaltningen som ligger hos øverste ledelse i virksomheten kan ikke delegeres, men det er mulig å delegere konkrete arkivoppgaver og myndighet. Det er viktig at den som har fått delegert oppgaver og myndighet også har de nødvendige fullmaktene og ressursene til å utføre arbeidet. Ansvaret må være erkjent, akseptert og forstått.
I dokumentasjonsplanen skal dere beskrive ansvar, oppgaver og myndighet for dokumentasjonsforvaltningen i alle organisatoriske enheter. Ansvaret for dokumentasjonsforvaltningen er mer enn postmottak og sak-/arkivsystemet. Det omfatter all dokumentasjon som blir til som ledd i virksomheten.
- Har vi et organisasjonskart som forklarer virksomhetens administrative oppbygging?
- Har vi tildelingsbrev eller strategidokumenter som beskriver virksomhetens funksjoner, oppgaver og ansvarsområder?
- Har vi et delegeringsreglement som omfatter arkivområdet?
- Er arkivansvar og fullmakter dokumentert for alle enheter i vår virksomhet?
- Har vi oppgave- og rutinebeskrivelser for behandlingen av all informasjonen som skapes i vår virksomhet?
- Kjøper vi tjenester av eksterne, for eksempel fra en bevaringsinstitusjon?
Steg 3 – Gjennomfør risikovurderinger
Dere må foreta risikovurderinger og utarbeide planer og tiltak for å redusere risiko.
En sentral del av internkontrollen er å gjøre risikovurderinger. Risiko er et uttrykk for et potensiale eller en mulighet for uønskede hendelser. Når dere skal gjøre en risikovurdering må dere først definere områder hvor det kan oppstå uønskede hendelser. Deretter må dere vurdere sannsynligheten for at hendelsen oppstår i deres virksomhet, og hvilke konsekvenser hendelsen kan få for dokumentasjonsforvaltningen dersom den oppstår.
Risiko = sannsynlighet x konsekvens
Avhengig av om risikoen bedømmes som høy, moderat eller lav må dere fastsette hvilke tiltak dere eventuelt skal iverksette for å forebygge hendelsen. Tiltakene skal være proporsjonale med risikoen. Det betyr at jo større risikoen er, desto mer omfattende og målrettede tiltak må dere iverksette for å møte risikoen. Det betyr også at det ikke er nødvendig å iverksette tiltak dersom risikoen kan anses som akseptabel.
Kort forklart kan en risikovurdering oppsummeres med følgende tre spørsmål:
- Risikoområde: Hvor kan det gå galt?
- Risikoevaluering: Hva er våre svakheter?
- Tiltak: Hva kan vi gjøre for å unngå at det går galt?
Nedenfor finner dere en liste med eksempler på typiske risikoområder for dokumentasjonsforvaltningen. Det er ikke en uttømmende liste, og dere må selv vurdere både risikoområder og tiltak i deres virksomhet.
Dokumentfangst handler om å ha oversikt over hvilken dokumentasjon som skal forvaltes som arkiv, og sørge for at den blir forvaltet riktig. Hvis sentrale saksdokumenter og rettighetsdokumentasjon ikke blir arkivert, kan det føre til at beslutninger blir tatt på feil grunnlag og at dere mister mulighet til å dokumentere deres egen innsats i saker. Det kan også føre til at innbyggerne mister muligheten til innsyn i sentral informasjon om seg selv, og kan utgjøre brudd på rettigheter og rettssikkerhet.
Hvor stor er sannsynligheten for at dokumentasjon ikke blir forvaltet som arkiv i vår virksomhet?
- Har vi oversikt over informasjonsflyten i alle arbeidsprosessene våre?
- Har vi kartlagt alle systemer og vurdert om de inneholder/behandler dokumentasjon som skal forvaltes som arkiv?
- Har vi rutiner for hvilken dokumentasjon ansatte må arkivere selv?
- Kjenner de ansatte til rutinene og vet hvor de kan finne dem?
- Har vi rutiner for å arkivere saksopplysninger som vi mottar via telefon, SMS, e-post og lignende?
- Har vi rutiner for å arkivere dokumentasjon fra samhandlingsløsninger som SharePoint, Teams og lignende?
Hvor alvorlige konsekvenser kan det ha dersom dokumentasjon ikke blir forvaltet som arkiv?
- Hva kan skje hvis viktig dokumentasjon som har betydning for enkeltmennesker ikke blir arkivert?
- Hva kan skje hvis vi ikke kan dokumentere egen innsats ved en eventuell rettsak?
- Hva kan skje hvis vi får et negativt oppslag i media?
Konfidensialitets- og integritetssikring vil si at dere har regler og rutiner for å beskytte innholdet i dokumentasjonen fra uvedkommende. Dersom dere ikke har slike regler og rutiner kan det føre til at uvedkommende får tilgang til informasjon de ikke skulle hatt, og eventuelt endrer eller sletter innholdet.
Hvor stor er sannsynligheten for at uvedkommende får tilgang til dokumenter i vår virksomhet?
- Hvordan sikrer vi at ansatte eller uvedkommende ikke har tilgang til informasjon de ikke skal se?
- Hvordan sikrer vi at ingen gjør uautoriserte endringer i dokumenter og registreringer?
- Har vi rutiner som sikrer at endringer i dokumentasjonen spores?
- Har vi rutiner for vedlikehold av tilganger i informasjonssystemene?
- Har vi rutiner for tilgangsstyring til områder hvor arkiv oppbevares?
Hvor alvorlige konsekvenser kan det ha om uvedkommende får tilgang til dokumenter?
- Hva kan skje hvis uvedkommende får tilgang til en hemmelig adresse?
- Hva kan skje hvis helseopplysninger kommer på avveie?
- Hva kan skje hvis noen manipulerer datoen på et dokument?
Tilgjengelighet innebærer at arkivmateriale skal være tilgjengelig for bruk både internt og eksternt. Det å ikke ha dokumentasjon tilgjengelig går ut over retten til innsyn som følger av blant annet offentlighetsloven, forvaltningsloven og GDPR. I tillegg vil saksbehandlingen bli mindre effektiv dersom dokumentasjon ikke er tilgjengelig for bruk.
Hvor stor er sannsynligheten for at dokumentasjonen ikke er tilgjengelig i vår virksomhet?
- Er all dokumentasjon som skal forvaltes som arkiv mulig å finne igjen senere?
- Registrerer vi dokumentasjonen på en slik måte at vi enkelt kan søke den frem?
- Hvordan gjør vi arkivene våre tilgjengelige for offentligheten?
Hvor alvorlige konsekvenser kan det ha dersom dokumentasjonen ikke er tilgjengelig?
- Hva kan skje hvis vi ikke kan gi innsyn i dokumenter?
- Hvilke konsekvenser vil medieoppslag om mangel på innsynsmuligheter ha for oss?
Bevaring og kassasjon innebærer at dere tar stilling til hvilken verdi dokumentasjon har på ulike tidspunkt. Hvis dere ikke har en plan for hvilken dokumentasjon som skal bevares og hva som kan kasseres, kan det føre til at dokumentasjonen deres går tapt for tidlig. På grunn av GDPR kan det også få konsekvenser å bevare dokumentasjon lenger enn det som er nødvendig.
Les mer om dette i veilederen om bevaring og kassasjon i informasjonssystemer.
Hvor stor er sannsynligheten for at dokumentasjon blir kassert for tidlig eller for sent i deres virksomhet?
- Har vi oversikt over hvilken dokumentasjon vi skal kassere, og når det skal skje?
- Er ansvaret for å utføre kassasjon tydelig delegert?
- Har informasjonssystemene våre funksjonalitet for kassasjon?
Hvor alvorlige konsekvenser kan det ha om dokumentasjon blir kassert for tidlig eller for sent?
- Vil vi få unødvendige utgifter til oppbevaring av materiale som skulle vært kassert?
- Hva kan skje hvis vi oppbevarer informasjon om enkeltpersoner som ikke er nødvendig?
Teknologiskifter kan føre til at digital informasjon blir utilgjengelig. Digitale systemer har en viss levetid før de blir utdatert og må byttes ut med nye systemer. Dersom dere ikke gjennomfører tiltak for å ta vare på informasjonen, kan digitale arkiver bli ubrukelige for ettertiden. I tillegg vil digitale arkiver stå i fare for å bli forringet eller gå tapt dersom de ikke overføres til en bevaringsinstitusjon på en forsvarlig måte.
Virksomheter som er omfattet av arkivloven, men som ikke er kommuner eller fylkeskommuner, har en plikt til å særlig vurdere risiko ved vedlikehold av digitale arkiver og risiko ved destruksjon av analoge arkiver etter konvertering. Selv om kommuner og fylkeskommuner ikke konkret er pålagt en tilsvarende plikt, bør de også rette særskilt oppmerksomhet mot disse risikoområdene som en del av sin internkontroll.
Hvor stor er sannsynligheten for at digitale arkiver i eldre systemer vil slutte å være tilgjengelige i vår virksomhet?
- Har vi vurdert risiko knyttet til vedlikehold av digitale arkiv?
- Har vi vurdert risiko for håndtering av innholdet i digitale systemer som går ut av bruk?
- Har vi tilgang på kompetanse om digital langtidsbevaring?
- Har vi kontroll med overføringen av eget arkiv til bevaringsinstitusjon?
- Er vi sikre på at arkivets autentisitet, pålitelighet, integritet og anvendelighet opprettholdes ved overføring til digital langtidslagring?
Hvor alvorlige konsekvenser kan det ha om de digitale arkivene blir utilgjengelige?
- Hva kan skje hvis alle dokumenter innen et fagområde som når en viss alder ikke lenger er lesbare?
- Har vi vurdert risikoen ved destruksjon av analoge arkiver etter konvertering?
- Hva blir de økonomiske konsekvensene hvis vi ikke klarer å produsere et godt uttrekk?
Å ha arkivlokaler som hindrer analoge og digitale arkiv fra å bli utsatt for vann, fukt, brann, varme, skadelig påvirkning eller innbrudd er en viktig del av dokumentasjonsforvaltningen. Manglende fysisk sikring av arkiv kan føre til at arkiv med viktig dokumentasjon får skader eller går tapt.
Dere må tenke på:
- Har vi vurdert risikoen for at arkiv kan få skade eller gå tapt i vår virksomhet?
For å gjøre en god risikovurdering anbefaler vi dere å lese og bruke Veileder for risikovurdering og fysisk sikring av arkiver – Nasjonalarkivet
Vi har laget et forslag til risikovurderingskjema som kan hjelpe dere:
Steg 4 – Håndter avvik
Dere må etablere et system for avvikshåndtering.
Uønskede hendelser omtales som avvik. Avvikshåndtering handler dermed om å oppdage, melde fra om, rette opp og forebygge uønskede hendelser.
Selv om dere har gjennomført risikovurderinger og satt inn tiltak for å møte risiko, vil det oppstå uønskede hendelser som dere ikke har forutsett. Det er heller ikke økonomisk eller praktisk mulig å forhindre enhver uønsket hendelse. Derfor er det viktig å ha et system for å rapportere og følge opp de avvikene som oppstår. Hvis dere allerede har et egnet system i bruk på andre fagområder, kan dere bruke dette til avvikshåndtering på arkivområdet også. Slik kan dere lære av uønskede hendelser, unngå fremtidige avvik og redusere konsekvensene av avvik når de oppstår.
- Har våre ansatte mulighet til å rapportere avvik?
- Vet de ansatte hva som skal rapporteres, hvem som skal rapportere, når det skal skje og hvordan det skal skje?
- Har vi rutiner for oppfølging av avvik?
- Er de som har ansvar for å følge opp avvik klar over ansvaret sitt?
Steg 5 – Sørg for kompetanse og ressurser
Dere må sørge for opplæring, verktøy og kompetanse til å utføre arkivarbeidet og sikre dokumentasjon som skal forvaltes som arkiv.
Internkontroll innebærer at en virksomhet har tilrettelagt for at de ansatte har tilstrekkelig opplæring, kompetanse og ferdigheter til å sikre det som skal forvaltes som arkiv. Det innebærer at både ansatte ved arkivfunksjonen og øvrige ansatte har nødvendige verktøy og ressurser til å utføre sitt daglige arbeid.
- Har vi tilstrekkelig med tid og bemanning til å utføre arkivarbeidet?
- Har vi nødvendig faglig kompetanse? Hvilke muligheter har ansatte ved arkivfunksjonen til kompetanseheving i form av kurs og opplæring?
- Får nyansatte kurs eller opplæring i virksomhetens dokumentasjonsforvaltning, relevante systemer og gjeldende lovverk?
- Gjøres nyansatte ledere kjent med sitt ansvar for arkivholdet i virksomheten?
- Får ansatte noen form for regelmessig oppfølging eller opplæring i rutiner for å fange og sikre dokumentasjon som skal forvaltes som arkiv?
Steg 6 – Gjennomfør kontroll
Dere må gjennomføre regelmessig og periodisk kontroll av arkivarbeidet.
For å holde oversikt over arkivarbeidet i virksomheten og at regelverk etterleves må dere systematisk vurdere om internkontrollarbeidet blir gjennomført. Dette gjøres ved å utføre regelmessig og periodisk kontroll i form av undersøkelser, evalueringer og revisjoner. Det vil si at arbeidet ikke har en start og en slutt, men at det er en kontinuerlig og gjentagende prosess.
Noen aktiviteter må følges opp hyppig, mens andre kan følges opp med lengre opphold. Løpende avvikshåndtering og kvalitetskontroll av offentlig journal er eksempler på daglig internkontroll. Kontrollsøk for journalposter med bestemte statuser og oppdatering av arbeidsrutiner er eksempler på kontrollaktiviteter med lavere hyppighet.
Dere bør planlegge aktiviteter dere må følge opp i arbeidet med internkontrollen. På denne måten får dere en oversikt over når dere skal følge opp de ulike aktivitetene.
- Har vi en plan med faste, planlagte datoer for å gjennomgå og justere gjeldende rutiner?
- Har vi rutiner for å kontrollere at arkiv- og journalføringsplikten etterleves?
- Sørger vi for at avvik blir rapportert og at de blir fulgt opp?
- Sørger vi for at risikoreduserende tiltak blir gjennomført?
- Kontrollerer vi om tiltakene har den effekten vi ønsker?
- Har vi en plan for å oppdatere eller gjøre nye risikovurderinger?
- Har vi en plan for å oppdatere dokumentasjonsplanen?