Under IT-outsourcing har styret et lovpålagt ansvar for compliance, inkludert risikovurdering og risikoforståelse. Undervurderes dette viktige området kan det få alvorlige konsekvenser, noe Helse Sør-Øst har fått erfare i senere tid.

Helse Sør-Øst har fått sterk medieoppmerksomhet i forbindelse med IT-outsourcing, etter at det ble kjent at helseopplysninger om norske pasienter var tilgjengelig for IT-arbeidere i Bulgaria, Malaysia og India. Hoder har rullet og det fremmes beskyldninger om tilbakehold av informasjon, lettvint omgang med pasientinformasjon og politikeres unnfallenhet.

Saken viser hvor viktig det er at risiko forstås av alle relevante organer i en virksomhet, høyt og lavt, og hvor konkret risikoforståelsen må være. Fra landrisikovurderingen av Bulgaria utført for Helse Sør-Øst mars 2017 lyder det «…kjente sårbarheter i eksisterende infrastruktur gir høyere risiko knyttet til tilganger fra Bulgaria». Formuleringen fremstår innholdsmessig OK, men hvor egnet er den som beslutnings- og styringsgrunnlag?

Styrets ansvar

Styret har ansvar for selskapets risiko- og internkontroll.

Dette følger av aksjelovgivningen, og av alminnelige prinsipper for god virksomhetsstyring. NUES’ «Norsk anbefaling for eierstyring og selskapsledelse» presiserer også tydelig denne ansvarsforståelsen.

Tilsvarende prinsipper er innarbeidet i lov om helseforetak, der det i tillegg gjelder en bestemmelse om åpne styremøter som utgangspunkt.

Lovpålagt risikovurdering

I forkant av en beslutning om outsourcing av IT-tjenester, skal det først gjennomføres en lovpålagt risikovurdering. Dette gjelder uavhengig av om leverandøren er basert i Norge eller utlandet. Hvis risikovurdering ikke er gjennomført, er det trolig et compliancebrudd, i tillegg til at foretaket går glipp av verdifull informasjon for sin beslutning.

PwC har vurdert IT-outsourcingen i Helse Sør-Øst og uttaler i sin rapport «Risiko knyttet til ekstern partners mulige tilgang til helseopplysninger er mangelfullt behandlet … deler av innholdet i styrebehandlingen var upresis». Manglende kartlegging gir dårlig beslutningsgrunnlag, og det er med styret som med alle oss andre: skal vi håndtere noe presist, må vi ha presis informasjon å bygge på.

Risikokartlegging

Risikokartlegging danner grunnlaget for faktabasert virksomhetsstyring, inkludert styrebehandling. Kompetanse innen risikoarbeid og andre deler av internkontrollen er tilsynelatende underrepresentert i mange styrer, noe vi har sett konsekvensen av i media den senere tid.

Selv om styret ikke skal saksbehandle en outsourcing, skal det ha grunnlag for å være trygg på de underliggende prosessene i ledelsen og utover i virksomheten.

Risikokartlegging forutsetter god organisering og involvering av relevante medarbeidere, en god dose kreativitet, avstemming av resultater og konkret forståelse av årsak og virkning. Risikohåndtering forutsetter god planlegging, kost-nytte-analyse, måling, rapportering og evaluering.

Både risikokartlegging og -håndtering forutsetter skikkelig lederinvolvering.

Styret må forstå virksomhetens risikoprosesser, ikke bare få seg forelagt resultatet i form av et mer eller mindre detaljert risikokart. Styret må kunne stille spørsmål og forstå svarene.

Haavind har kompetanse innen et bredt spekter av ikke-finansiell internkontroll, inkludert risikoprosesser, complianceprogrammer og rapporteringssystemer. Vi bistår gjerne virksomheter og styrer med å øke sin kompetanse på disse områdene.