Etablere internkontroll for arkiv
Internkontrollen i offentlige organer skal omfatte arkivarbeidet. Denne veilederen hjelper dere med å innrette arkivplanen som et redskap for internkontroll.
Internkontrollen i offentlige organer skal omfatte arkivarbeidet. Denne veilederen hjelper dere med å innrette arkivplanen som et redskap for internkontroll.
Dette er en veileder for deg som har ansvar eller sentrale oppgaver innen virksomhetens internkontroll og arkivfaglige arbeid. Hvem dette er vil variere ut fra virksomhetens størrelse og oppgaver, og om den er statlig eller kommunal.
Internkontroll er systematiske tiltak som skal sikre at en virksomhet planlegger, organiserer, utfører og vedlikeholder sine aktiviteter i samsvar med gjeldende regelverkskrav. Andre navn på internkontroll er kvalitets-, ledelses- eller styringssystem.
Arkivarbeidet skal ikke ha en egen og separat internkontroll. Arkiv skal implementeres i organets eksisterende arbeid med internkontroll.
Alle statlige og kommunale virksomheter skal ha internkontroll.
Den øverste ledelsen i organet skal sørge for at internkontrollen omfatter arkivarbeidet. Arkivplanen skal innrettes slik at den kan brukes som et redskap for internkontroll.
Etablering av internkontroll for arkiv har en rekke gevinster, både for arkivarbeidet i seg selv og for virksomheten som helhet.
Internkontroll gjør det enklere for ledelsen å følge opp sitt ansvar på arkivområdet på en systematisk måte. Det er et verktøy for arkivarbeidet som gir gevinster i form av bedre styring, drift og måloppnåelse, bedre kontroll og avvikshåndtering og bedre oversikt over risikobildet for arkivarbeidet. Internkontrollen er også et hjelpemiddel for ansatte, slik at de kan utføre sine oppgaver på en sikker og forsvarlig måte. På denne måten kan dere forebygge overraskelser ved tilsyn og revisjon.
Internkontroll for arkiv gir også gevinster på andre oppgaveområder. Det bidrar til etterlevelse av annet regelverk, og støtter opp under arbeidet med informasjonssikkerhet og personvern. God styring på arkivområdet betyr at organets tjenesteproduksjon og beslutningsgrunnlag blir godt dokumentert, og at saksbehandlingen blir mer effektiv.
Offentlige virksomheter må dokumentere hvordan de jobber med internkontroll. Arkivplanen skal inneholde sentrale deler av denne dokumentasjonen, som spesifisert i arkivregelverket. Dette gjelder blant annet ansvarsbeskrivelser, rutiner og planer, slik at ledelsen kan bruke arkivplanen som et styringsverktøy i internkontrollarbeidet. Den danner grunnlaget for god kvalitet i dokumentasjonsforvaltningen og arkivene.
Arkivregelverket gir ingen føringer for hvordan arkivplanen skal struktureres, eller begrensninger i hvilke systemløsninger som kan benyttes. Dere kan derfor innrette arkivplanen slik det er nyttig for virksomheten.
I tillegg må dere håndtere og dokumentere avvik, kontrollaktiviteter og oppfølgingsarbeid. Dette må ikke nødvendigvis skje i et spesielt IT-system. Det viktigste er å ha klart for seg
Hvis dere allerede har et IT-system for kvalitetssikring, kan dere sannsynligvis bruke dette til internkontroll på arkivområdet også. Compilo, Netpower Kvalitet og Qm+ er eksempler på slike systemer.
Arkivverket har ingen formening om hvorvidt et kvalitetssystem er egnet å bruke til hele eller deler av arkivplanen. Det er ingenting i veien for at arkivplanen kan bestå av flere deler på ulike plattformer, men det er viktig at det er tydelig hvilke dokumenter som utgjør virksomhetens samlede arkivplan.
I valg av plattform for arkivplanen må virksomheten også ta høyde for at arkivplanen skal holdes oppdatert, og at arkivplaner skal arkiveres. Virksomheten må arkivere alle dokumentene som til sammen utgjør arkivplanen, uavhengig av hvilket system de er produsert i. Den arkiverte arkivplanen skal være fullt ut anvendbar. Hele arkivplanen må også kunne legges fram for Arkivverket ved et eventuelt tilsyn.
Etablering av internkontroll for arkivarbeidet er en oppgave som omfatter store deler av virksomheten. Det er naturlig å involvere dem som jobber med blant annet IT-sikkerhet, risiko, personvern, fagledelse, kvalitetsstyring og økonomistyring i relevante deler av prosessen. For eksempel har ledelsen en viktig rolle i å holde overordnet oversikt og ha kontroll på fullmakter og ressurser, mens arkivtjenesten har et faglig ansvar.
Digitaliseringsdirektoratets veiledningspakke Internkontroll i praksis – informasjonssikkerhet gir en god gjennomgang av hvordan en virksomhet kan etablere og vedlikeholde internkontroll. Den er laget for informasjonssikkerhet som fagområde, men er også nyttig og overførbar til arkiv.
Orden i eget hus - kommunedirektørens internkontroll (PDF) fra KS (2020) går i dybden på kommunal internkontroll.
Les om internkontroll i staten i staten hos Direktoratet for forvaltning og økonomistyring.
Internkontroll er ikke en årlig aktivitet eller et statisk dokument. Det er en kontinuerlig prosess for styring, drift og kontroll.
Løpende internkontroll med arkivarbeidet sikrer tydelig styring, velfungerende drift og målrettet kontroll. Da blir oppgavene utført i samsvar med regelverket, og problemer blir oppdaget og tatt hånd om i tide.
Hele organet jobber systematisk innenfor formelle rammer og føringer gitt av ledelsen. Det må være tydelig hvem som skal gjøre hva, og organet må dokumentere at det blir gjort.
Denne veilederen presenterer 7 steg for å etablere arkivplanen som et verktøy for internkontroll:
Dere må kartlegge lover, forskrifter og dokumentasjonskrav som har betydning for arkivdanningen. Når dere har oversikt over relevante lover og regler kan dere arbeide for å overholde dem.
Arkivloven har som formål å sikre arkiv som inneholder rettighetsdokumentasjon eller har verdi for forskning, kultur og forvaltning. Arkivforskriften gir overordnede bestemmelser om arkiv i offentlige organer, og Riksarkivarens forskrift gir utfyllende tekniske og arkivfaglige bestemmelser.
Dokumentasjonskravene, det vil si hva som skal skapes og sikres som arkivinformasjon, følger av særlovgivningen. Særlovgivning er regelverk som styrer organets oppdrag og fagområder (opplæringsloven, barnevernloven, plan- og bygningsloven etc.).
Alle offentlige forvaltningsorganer er i tillegg underlagt offentlighetsloven og forvaltningsloven. Avtaler, EU-direktiv eller andre formelle krav kan også ha betydning for arkivdanningen.
Det er viktig at dere setter dere inn i den juridiske konteksten til deres eget organ, selv om den ofte kan ligne på den til tilsvarende organer. For eksempel vil kommuner ha mye til felles, samtidig som oppgaver og tjenestetilbud varierer. Dette er en kartleggingsjobb som alle avdelinger/funksjoner i organet må ta del i – ikke kun arkivtjenesten.
Dere må beskrive organiseringen av arkivfunksjonen, samt oppgaver, myndighet og ansvarsforhold.
Beskrivelse av administrativ oppbygging og oversikt over virksomhetens funksjoner, ansvarsområder, og hvordan disse er fordelt på organisatoriske enheter er en forutsetning for god interkontroll.
Organet skal kunne dokumentere hvordan arkivansvaret blir ivaretatt, og hvordan arkivfunksjonen er organisert. Dette skal inkludere delegeringsfullmakter på arkivområdet og eventuelle avtaler om kjøp av tjenester.
Dere står fritt til å organisere arkivfunksjonen slik dere ønsker, men dere må sørge for at den støtter organets virksomhet på en optimal måte. Det overordnede arkivansvaret som ligger hos øverste ledelse i organet kan ikke delegeres, men det er mulig å delegere konkrete arkivoppgaver og myndighet. Det er viktig at den som har fått delegert oppgaver og myndighet også har de nødvendige fullmaktene og ressursene til å utføre arbeidet. Ansvaret må være erkjent, akseptert og forstått.
I arkivplanen skal dere beskrive ansvar, oppgaver og myndighet for arkiv i alle organisatoriske enheter. Mange har en arkivtjeneste som kun bemanner postmottaket og drifter sak-/arkivsystemet. Arkivansvaret er større og omfatter all informasjon skapt som ledd i virksomheten og med verdi som dokumentasjon.
Dere må fastsette mål for arkivarbeidet og dokumentasjonsforvaltningen.
I forvaltningen er det fire grunnleggende verdier som skal ivaretas: Demokrati, rettssikkerhet, faglig integritet og effektivitet. Disse bør dere tenke på når dere fastsetter mål for arkivarbeidet og dokumentasjonsforvaltningen.
Når dere fastsetter mål må dere også tenke på at målene skal bidra til å realisere virksomhetens samlede mål, være kostnadseffektive og være i samsvar med lover og regler. Tydelige mål er en forutsetning for god risikostyring. Uten klare mål er det vanskelig å vurdere risikoen for å ikke nå disse målene.
Målene bør knyttes til virksomheten selv og virksomhetens samfunnsoppdrag:
Å fastsette mål handler om å identifisere og formulere arkivets primærfunksjon. Dere kan spørre dere selv: Hvorfor skal vi ta vare på dokumentasjonen i vår virksomhet?
Formålsparagrafen til organet, eller lovverk som er relevant for organet, kan gi en god pekepinn på hva som bør være sentralt også når dere utvikler mål for dokumentasjonsforvaltningen.
Dere må foreta risikovurderinger og utarbeide planer og tiltak for å redusere risiko.
En sentral del av internkontrollen er å gjøre risikovurderinger. Risiko er et uttrykk for et potensiale eller en mulighet for uønskede hendelser. Når dere skal foreta en risikovurdering må dere først definere områder hvor det kan oppstå uønskede hendelser. Deretter må dere vurdere sannsynligheten for at hendelsen oppstår i deres virksomhet, og hvilke konsekvenser hendelsen kan få for dokumentasjonsforvaltningens mål dersom den oppstår.
Avhengig av om risikoen bedømmes som høy, moderat eller lav må dere fastsette hvilke tiltak dere eventuelt skal iverksette for å forebygge hendelsen. Tiltakene skal være proporsjonale med risikoen. Det betyr at jo større risikoen er, desto mer omfattende og målrettede tiltak må dere iverksette for å møte risikoen. Det betyr også at det ikke er nødvendig å iverksette tiltak dersom risikoen kan anses som akseptabel.
Kort forklart kan en risikovurdering oppsummeres med følgende tre spørsmål:
Nedenfor finner dere en liste med eksempler på typiske risikoområder for dokumentasjonsforvaltningen. Det er ikke en uttømmende liste, og dere må selv vurdere både risikoområder og tiltak i deres virksomhet.
Dokumentfangst handler om å ha oversikt over hvilken informasjon som skal tas vare på som dokumentasjon, og sørge for at denne arkiveres. Hvis sentrale saksdokumenter og rettighetsdokumentasjon ikke blir arkivert, kan det føre til at beslutninger blir tatt på feil grunnlag og at dere mister mulighet til å dokumentere deres egen innsats i saker. Det kan også føre til at innbyggerne mister muligheten til innsyn i sentral informasjon om seg selv, og kan utgjøre brudd på rettigheter og rettssikkerhet.
Hvor stor er sannsynligheten for at dokumentasjon ikke blir arkivert i vår virksomhet?
Hvor alvorlige konsekvenser kan det ha for målene vi har fastsatt om dokumentasjon ikke blir arkivert?
Konfidensialitets- og integritetssikring vil si at dere har regler og rutiner for å beskytte innholdet i dokumenter fra uvedkommende. Dersom dere ikke har slike regler og rutiner kan det føre til at uvedkommende får tilgang til informasjon de ikke skulle hatt, og eventuelt endrer eller sletter viktig informasjon.
Hvor stor er sannsynligheten for at uvedkommende får tilgang til dokumenter i vår virksomhet?
Hvor alvorlige konsekvenser kan det ha for målene vi har fastsatt om uvedkommende får tilgang til dokumenter?
Tilgjengelighet innebærer at arkivmateriale skal være tilgjengelig for bruk både internt og eksternt. Å ikke ha dokumentasjon tilgjengelig går ut over retten til innsyn som følger av ulike regelverk, herunder blant annet offentlighetsloven, forvaltningsloven og GDPR. I tillegg vil saksbehandlingen bli mindre effektiv dersom dokumentasjon ikke er tilgjengelig for bruk.
Hvor stor er sannsynligheten for at dokumentasjonen ikke er tilgjengelig i vår virksomhet?
Hvor alvorlige konsekvenser kan det ha for målene vi har fastsatt om dokumentasjonen ikke er tilgjengelig?
Bevaring og kassasjon innebærer at dere tar stilling til hvilken verdi dokumentasjon har på ulike tidspunkt. Hvis dere ikke har en plan for hvilken dokumentasjon som skal bevares og hva som kan kasseres, kan det føre til at dokumentasjonen deres går tapt for tidlig. På grunn av GDPR kan det også få konsekvenser å bevare dokumentasjon lenger enn det som er nødvendig.
Les mer om dette i veilederen om bevaring og kassasjon i informasjonssystemer.
Hvor stor er sannsynligheten for at dokumentasjon blir kassert for tidlig eller for sent i deres virksomhet?
Hvor alvorlige konsekvenser kan det ha for målene dere har fastsatt om dokumentasjon blir kassert for tidlig eller for sent?
Teknologiskifter kan føre til at digital informasjon blir utilgjengelig. Elektroniske systemer har en viss levetid før de blir utdatert og må byttes ut med nye systemer. Dersom dere ikke gjennomfører tiltak for å ta vare på informasjonen, kan digitale arkiver råtne på rot og bli ubrukelige for ettertiden. I tillegg vil digitale arkiver stå i fare for å bli forringet eller gå tapt dersom de ikke overføres til arkivdepot på en forsvarlig måte.
Hvor stor er sannsynligheten for at digitale arkiver i eldre systemer vil slutte å være tilgjengelige i vår virksomhet?
Hvor alvorlige konsekvenser kan det ha for målene vi har fastsatt om de digitale arkivene blir utilgjengelig?
Å ha arkivlokaler som hindrer papirarkiv fra å bli utsatt for vann, fukt, brann, varme, skadelig påvirkning eller innbrudd er en viktig del av dokumentasjonsforvaltningen. Dersom dere ikke har arkivlokaler som beskytter arkivene kan det føre til at papirarkiv med viktig dokumentasjon får skader eller går tapt.
Hvor stor er sannsynligheten for at papirarkiv kan få skade eller gå tapt i vår virksomhet?
Hvor alvorlige konsekvenser kan det ha for målene vi har fastsatt om dette skjer?
Dere kan også bruke Arkivverkets verktøy for risikovurdering av arkivholdet i en virksomhet. I dette webinaret forklarer vi hva skjemaet er og hvordan man kan bruke det:
Spørsmål og svar fra webinaret er publisert på en egen side (åpnes i ny fane).
I tillegg har Arkivverket utviklet et verktøy for egenvurdering av arkivkvalitet som kartlegger styrker og svakheter ved arkivholdet i virksomheten.
Dere må sørge for opplæring, verktøy, lokaler og kompetanse til å utføre arkivarbeidet og sikre arkivverdig informasjon.
Internkontroll innebærer at et organ har tilrettelagt for at de ansatte har tilstrekkelig opplæring, kompetanse og ferdigheter til å fange opp og sikre arkivinformasjon. Det innebærer også at både ansatte ved arkivtjenesten og øvrige ansatte har nødvendige verktøy og ressurser til å utføre sitt daglige arbeid.
Dere må etablere et system for avvikshåndtering.
Uønskede hendelser omtales som avvik. Avvikshåndtering handler dermed om å oppdage, melde, rette opp og forebygge uønskede hendelser.
Selv om dere har gjennomført gode risikovurderinger og satt inn tiltak for å møte risiko, vil det oppstå uønskede hendelser som dere ikke har forutsett. Det er heller ikke økonomisk eller praktisk mulig å forhindre enhver uønsket hendelse. Derfor er det viktig å ha et system for å rapportere og følge opp de avvikene som oppstår. Det kan være et eget IT-system. Hvis dere allerede har et egnet system i bruk på andre fagområder, kan dere bruke dette til avvikshåndtering på arkivområdet også. Slik kan dere lære av uønskede hendelser, unngå fremtidige avvik og redusere konsekvensene av avvik når de oppstår.
Dere må gjennomføre regelmessig og periodisk kontroll av arkivarbeidet.
For å få oversikt over arkivarbeidet i virksomheten og at regelverk etterleves må dere systematisk vurdere om internkontrollarbeidet blir gjennomført. Dette gjøres ved å utføre regelmessig og periodisk kontroll i form av undersøkelser, evalueringer og revisjoner. Det vil si at arbeidet ikke har en start og en slutt, men at det er en kontinuerlig og gjentagende prosess.
Noen aktiviteter må følges opp hyppig, mens andre kan følges opp med lengre opphold. Løpende avvikshåndtering og kvalitetskontroll av journalen er eksempler på daglig internkontroll. Kontrollsøk for journalposter med bestemte statuser og oppdatering av arbeidsrutiner er eksempler på kontrollaktiviteter med lavere hyppighet.
Det kan være lurt å lage et årshjul for kontrollaktiviteter som et verktøy for internkontrollen. På denne måten kan dere planlegge og ha en oversikt over når dere skal følge opp de ulike aktivitetene.