Glemt Passord?

Periodisk kvalitetskontroll

Periodisk kvalitetskontroll

Målgruppe

Dette er en veileder for den som har ansvar eller sentrale oppgaver innen virksomhetens internkontroll og arkivfaglige arbeid. Hvem dette er vil variere ut fra virksomhetens størrelse og oppgaver, og om den er statlig eller kommunal.  

Hva er internkontroll?

Internkontroll er systematiske tiltak som skal sikre at en virksomhet planlegger, organiserer, utfører og vedlikeholder sine aktiviteter i samsvar med gjeldende regelverkskrav. Andre navn på internkontroll er kvalitets-, ledelses- eller styringssystem.  

Arkivarbeidet skal ikke ha en egen og separat internkontroll. Arkiv skal implementeres i organets eksisterende arbeid med internkontroll. 

Internkontroll for arkiv i offentlige organer

Alle statlige og kommunale virksomheter skal ha internkontroll.  

 

 

Den øverste ledelsen i organet skal sørge for at internkontrollen omfatter arkivarbeidet. Arkivplanen skal innrettes slik at den kan brukes som et redskap for internkontroll. 

Hvorfor internkontroll?

Etablering av internkontroll for arkiv har en rekke gevinster, både for arkivarbeidet i seg selv og for virksomheten som helhet. 

Internkontroll gjør det enklere for ledelsen å følge opp sitt ansvar på arkivområdet på en systematisk måte. Det er et verktøy for arkivarbeidet som gir gevinster i form av bedre styring, drift og måloppnåelse, bedre kontroll og avvikshåndtering og bedre oversikt over risikobildet for arkivarbeidet. Internkontrollen er også et hjelpemiddel for ansatte, slik at de kan utføre sine oppgaver på en sikker og forsvarlig måte. På denne måten kan dere forebygge overraskelser ved tilsyn og revisjon. 

Internkontroll for arkiv gir også gevinster på andre oppgaveområder. Det bidrar til etterlevelse av annet regelverk, og støtter opp under arbeidet med informasjonssikkerhet og personvern. God styring på arkivområdet betyr at organets tjenesteproduksjon og beslutningsgrunnlag blir godt dokumentert, og at saksbehandlingen blir mer effektiv.

Hvordan dokumentere internkontrollen?

Offentlige virksomheter må dokumentere hvordan de jobber med internkontroll. Arkivplanen skal inneholde sentrale deler av denne dokumentasjonen, som spesifisert i arkivregelverket. Dette gjelder blant annet ansvarsbeskrivelser, rutiner og planer, slik at ledelsen kan bruke arkivplanen som et styringsverktøy i internkontrollarbeidet. Den danner grunnlaget for god kvalitet i dokumentasjonsforvaltningen og arkivene. 

Arkivregelverket gir ingen føringer for hvordan arkivplanen skal struktureres, eller begrensninger i hvilke systemløsninger som kan benyttes. Dere kan derfor innrette arkivplanen slik det er nyttig for virksomheten.  

I tillegg må dere håndtere og dokumentere avvik, kontrollaktiviteter og oppfølgingsarbeid. Dette må ikke nødvendigvis skje i et spesielt IT-system. Det viktigste er å ha klart for seg 

  • hvem som skal gjøre hva 
  • når og hvordan de skal gjøre det 
  • hvem som skal få informasjon og ta avgjørelser

Hvis dere allerede har et IT-system for kvalitetssikring, kan dere sannsynligvis bruke dette til internkontroll på arkivområdet også. Compilo, Netpower Kvalitet og Qm+ er eksempler på slike systemer. 

Arkivverket har ingen formening om hvorvidt et kvalitetssystem er egnet å bruke til hele eller deler av arkivplanen. Det er ingenting i veien for at arkivplanen kan bestå av flere deler på ulike plattformer, men det er viktig at det er tydelig hvilke dokumenter som utgjør virksomhetens samlede arkivplan. 

I valg av plattform for arkivplanen må virksomheten også ta høyde for at arkivplanen skal holdes oppdatert, og at arkivplaner skal arkiveres. Virksomheten må arkivere alle dokumentene som til sammen utgjør arkivplanen, uavhengig av hvilket system de er produsert i. Den arkiverte arkivplanen skal være fullt ut anvendbar. Hele arkivplanen må også kunne legges fram for Arkivverket ved et eventuelt tilsyn. 

Hvem bør involveres?

Etablering av internkontroll for arkivarbeidet er en oppgave som omfatter store deler av virksomheten. Det er naturlig å involvere dem som jobber med blant annet IT-sikkerhet, risiko, personvern, fagledelse, kvalitetsstyring og økonomistyring i relevante deler av prosessen. For eksempel har ledelsen en viktig rolle i å holde overordnet oversikt og ha kontroll på fullmakter og ressurser, mens arkivtjenesten har et faglig ansvar.

Ressurser

Digitaliseringsdirektoratets veiledningspakke Internkontroll i praksis – informasjonssikkerhet gir en god gjennomgang av hvordan en virksomhet kan etablere og vedlikeholde internkontroll. Den er laget for informasjonssikkerhet som fagområde, men er også nyttig og overførbar til arkiv. 
Rådmannens internkontroll – Hvordan få orden i eget hus (PDF) fra KS (2013) går i dybden på kommunal internkontroll. 
Les om internkontroll i staten hos Direktoratet for forvaltning og økonomistyring. 

Styring, drift og kontroll

 

Internkontroll er en kontinuerlig prosess for styring, drift og kontroll.

Internkontroll er ikke en årlig aktivitet eller et statisk dokument. Det er en kontinuerlig prosess for styring, drift og kontroll.  

Løpende internkontroll med arkivarbeidet sikrer tydelig styring, velfungerende drift og målrettet kontroll. Da blir oppgavene utført i samsvar med regelverket, og problemer blir oppdaget og tatt hånd om i tide. 

Hele organet jobber systematisk innenfor formelle rammer og føringer gitt av ledelsen. Det må være tydelig hvem som skal gjøre hva, og organet må dokumentere at det blir gjort

 

 

Hvordan etablere internkontroll for arkiv?

Denne veilederen presenterer 7 steg for å etablere arkivplanen som et verktøy for internkontroll:

  1. Kartlegg regelverket 
  2. Beskriv organisering og ansvar 
  3. Fastsett mål  
  4. Gjennomfør risikovurderinger
  5. Sørg for kompetanse og ressurser
  6. Håndter avvik
  7. Gjennomfør kontroll 

1 - Kartlegg regelverket

Dere må kartlegge lover, forskrifter og dokumentasjonskrav som har betydning for arkivdanningen. Når dere har oversikt over relevante lover og regler kan dere arbeide for å overholde dem. 

Arkivloven har som formål å sikre arkiv som inneholder rettighetsdokumentasjon eller har verdi for forskning, kultur og forvaltning. Arkivforskriften gir overordnede bestemmelser om arkiv i offentlige organer, og Riksarkivarens forskrift gir utfyllende tekniske og arkivfaglige bestemmelser. 

Dokumentasjonskravene, det vil si hva som skal skapes og sikres som arkivinformasjon, følger av særlovgivningen. Særlovgivning er regelverk som styrer organets oppdrag og fagområder (opplæringsloven, barnevernloven, plan- og bygningsloven etc.). 

Alle offentlige forvaltningsorganer er i tillegg underlagt offentlighetsloven og forvaltningsloven. Avtaler, EU-direktiv eller andre formelle krav kan også ha betydning for arkivdanningen. 

Det er viktig at dere setter dere inn i den juridiske konteksten til deres eget organ, selv om den ofte kan ligne på den til tilsvarende organer. For eksempel vil kommuner ha mye til felles, samtidig som oppgaver og tjenestetilbud varierer. Dette er en kartleggingsjobb som alle avdelinger/funksjoner i organet må ta del i – ikke kun arkivtjenesten. 

Hjelpespørsmål

  • Har vi kartlagt hvilke lover og regelverk som har betydning for arkivdanningen i organet? 
      
  • Har vi identifisert organets lovpålagte dokumentasjonsplikter? 
      
  • Hvordan følger vi med på endringer i lover og regelverk som får konsekvenser for arkivdanningen? 

Ressurser 

Tjenesten Lovdata Pro på lovdata.no tilbyr varsling om endringer i regelverk.  

2 - Beskriv organisering og ansvar

Dere må beskrive organiseringen av arkivfunksjonen, samt oppgaver, myndighet og ansvarsforhold. 

Beskrivelse av administrativ oppbygging og oversikt over virksomhetens funksjoner, ansvarsområder, og hvordan disse er fordelt på organisatoriske enheter er en forutsetning for god interkontroll.  Organet skal kunne dokumentere hvordan arkivansvaret blir ivaretatt, og hvordan arkivfunksjonen er organisert. Dette skal inkludere delegeringsfullmakter på arkivområdet og eventuelle avtaler om kjøp av tjenester.  

Dere står fritt til å organisere arkivfunksjonen slik dere ønsker, men dere må sørge for at den støtter organets virksomhet på en optimal måte. Det overordnede arkivansvaret som ligger hos øverste ledelse i organet kan ikke delegeres, men det er mulig å delegere konkrete arkivoppgaver og myndighet. Det er viktig at den som har fått delegert oppgaver og myndighet også har de nødvendige fullmaktene og ressursene til å utføre arbeidet. Ansvaret må være erkjent, akseptert og forstått.  

I arkivplanen skal dere beskrive ansvar, oppgaver og myndighet for arkiv i alle organisatoriske enheter. Mange har en arkivtjeneste som kun bemanner postmottaket og drifter sak-/arkivsystemet. Arkivansvaret er større og omfatter all informasjon skapt som ledd i virksomheten og med verdi som dokumentasjon.

Hjelpespørsmål 

  • Har vi et organisasjonskart som forklarer virksomhetens administrative oppbygging? 
      
  • Har vi tildelingsbrev eller strategidokumenter som beskriver virksomhetens funksjoner, oppgaver og ansvarsområder? 
      
  • Har vi et delegeringsreglement som omfatter arkivområdet? 
      
  • Er arkivansvar og fullmakter dokumentert for alle enheter i vår virksomhet? 
      
  • Har vi oppgave- og rutinebeskrivelser for behandlingen av all informasjonen som skapes i vår virksomhet? 
      
  • Kjøper vi tjenester av eksterne, for eksempel arkivdepottjenester? 

Ressurser 

Les mer om arkivansvar
Les mer om ansvarsforhold knyttet til elektroniske arkivsystem.

 

3 - Fastsett mål

Dere må fastsette mål for arkivarbeidet og dokumentasjonsforvaltningen. 

I forvaltningen er det fire grunnleggende verdier som skal ivaretas: Demokrati, rettssikkerhet, faglig integritet og effektivitet. Disse bør dere tenke på når dere fastsetter mål for arkivarbeidet og dokumentasjonsforvaltningen.  

Når dere fastsetter mål må dere også tenke på at målene skal bidra til å realisere virksomhetens samlede mål, være kostnadseffektive og være i samsvar med lover og regler. Tydelige mål er en forutsetning for god risikostyring. Uten klare mål er det vanskelig å vurdere risikoen for å ikke nå disse målene. 

 

Målene bør knyttes til virksomheten selv og virksomhetens samfunnsoppdrag: 

  • virksomhetens omdømme og tillit 
      
  • virksomhetens økonomi og effektivitet
      
  • utøvelse av samfunnsoppdraget til nytte for innbyggerne 
      
  • virksomhetens samfunnsansvar i forhold til andre offentlige organ, næringsliv osv. 
      

Å fastsette mål handler om å identifisere og formulere arkivets primærfunksjon. Dere kan spørre dere selv: Hvorfor skal vi ta vare på dokumentasjonen i vår virksomhet?

Hjelpespørsmål 

  • Tar vi vare på dokumentasjon for å gjøre saksbehandlingen mer effektiv? 
      
  • Tar vi vare på dokumentasjon for å sikre åpenhet om og tillit til organet? 
      
  • Tar vi vare på dokumentasjon for å kunne bevise noe i ettertid, i så fall hva? 
      
  • Tar vi vare på dokumentasjon for å ivareta lover og regler?

Ressurser 

Formålsparagrafen til organet, eller lovverk som er relevant for organet, kan gi en god pekepinn på hva som bør være sentralt også når dere utvikler mål for dokumentasjonsforvaltningen.

4 - Gjennomfør risikovurderinger

Dere må foreta risikovurderinger og utarbeide planer og tiltak for å redusere risiko. 

En sentral del av internkontrollen er å gjøre risikovurderinger. Risiko er et uttrykk for et potensiale eller en mulighet for uønskede hendelser. Når dere skal foreta en risikovurdering må dere først definere områder hvor det kan oppstå uønskede hendelser. Deretter må dere vurdere sannsynligheten for at hendelsen oppstår i deres virksomhet, og hvilke konsekvenser hendelsen kan få for dokumentasjonsforvaltningens mål dersom den oppstår.  

Avhengig av om risikoen bedømmes som høy, moderat eller lav må dere fastsette hvilke tiltak dere eventuelt skal iverksette for å forebygge hendelsen. Tiltakene skal være proporsjonale med risikoen. Det betyr at jo større risikoen er, desto mer omfattende og målrettede tiltak må dere iverksette for å møte risikoen. Det betyr også at det ikke er nødvendig å iverksette tiltak dersom risikoen kan anses som akseptabel.  

Kort forklart kan en risikovurdering oppsummeres med følgende tre spørsmål: 

  1. Risikoområde: Hvor kan det gå galt? 
      
  2. Risikoevaluering: Hva er våre svakheter? 
      
  3. Tiltak: Hva kan vi gjøre for å unngå at det går galt? 
      

Nedenfor finner dere en liste med eksempler på typiske risikoområder for dokumentasjonsforvaltningen. Det er ikke en uttømmende liste, og dere må selv vurdere både risikoområder og tiltak i deres virksomhet.

 

5 - Sørg for kompetanse og ressurser

Dere må sørge for opplæring, verktøy, lokaler og kompetanse til å utføre arkivarbeidet og sikre arkivverdig informasjon. 

Internkontroll innebærer at et organ har tilrettelagt for at de ansatte har tilstrekkelig opplæring, kompetanse og ferdigheter til å fange opp og sikre arkivinformasjon. Det innebærer også at både ansatte ved arkivtjenesten og øvrige ansatte har nødvendige verktøy og ressurser til å utføre sitt daglige arbeid.

 

Hjelpespørsmål 

  • Har vi forskriftsmessige arkivlokaler og velfungerende arkivsystemer? 
      
  • Har vi tilstrekkelig med tid og bemanning til å utføre arkivarbeidet? 
      
  • Har vi nødvendig faglig kompetanse? Hvilke muligheter har ansatte ved arkivtjenesten til kompetanseheving i form av kurs og opplæring?  
      
  • Får nyansatte kurs eller opplæring i sak-/arkivsystemet og relevante fagsystemer?  
      
  • Får ansatte noen form for regelmessig oppfølging eller opplæring i rutiner for å fange og sikre arkivinformasjon? 

6 - Håndter avvik

Dere må etablere et system for avvikshåndtering. 

Uønskede hendelser omtales som avvik. Avvikshåndtering handler dermed om å oppdage, melde, rette opp og forebygge uønskede hendelser.  

Selv om dere har gjennomført gode risikovurderinger og satt inn tiltak for å møte risiko, vil det oppstå uønskede hendelser som dere ikke har forutsett. Det er heller ikke økonomisk eller praktisk mulig å forhindre enhver uønsket hendelse. Derfor er det viktig å ha et system for å rapportere og følge opp de avvikene som oppstår.

Det kan være et eget IT-system. Hvis dere allerede har et egnet system i bruk på andre fagområder, kan dere bruke dette til avvikshåndtering på arkivområdet også. Slik kan dere lære av uønskede hendelser, unngå fremtidige avvik og redusere konsekvensene av avvik når de oppstår.  

 

Hjelpespørsmål 

  • Har våre ansatte mulighet til å rapportere avvik? 
      
  • Vet de ansatte hva som skal rapporteres, hvem som skal rapportere, når det skal skje og hvordan det skal skje? 
      
  • Har vi rutiner for oppfølging av avvik? 
      
  • Er de som har ansvar for å følge opp avvik klar over ansvaret sitt? 

7 - Gjennomfør kontroll

Dere må gjennomføre regelmessig og periodisk kontroll av arkivarbeidet. 

For å få oversikt over arkivarbeidet i virksomheten og at regelverk etterleves må dere systematisk vurdere om internkontrollarbeidet blir gjennomført. Dette gjøres ved å utføre regelmessig og periodisk kontroll i form av undersøkelser, evalueringer og revisjoner. Det vil si at arbeidet ikke har en start og en slutt, men at det er en kontinuerlig og gjentagende prosess.  

Noen aktiviteter må følges opp hyppig, mens andre kan følges opp med lengre opphold. Løpende avvikshåndtering og kvalitetskontroll av journalen er eksempler på daglig internkontroll. Kontrollsøk for journalposter med bestemte statuser og oppdatering av arbeidsrutiner er eksempler på kontrollaktiviteter med lavere hyppighet.  

Det kan være lurt å lage et årshjul for kontrollaktiviteter som et verktøy for internkontrollen. På denne måten kan dere planlegge og ha en oversikt over når dere skal følge opp de ulike aktivitetene.  

 

 Hjelpespørsmål 

  • Har vi en plan med faste, planlagte datoer for å gjennomgå og justere gjeldende rutiner? 
      
  • Har vi rutiner for å kontrollere at arkiv- og journalføringsplikten etterleves? 
      
  • Sørger vi for at avvik blir rapportert og at de blir fulgt opp? 
      
  • Sørger vi for at risikoreduserende tiltak blir gjennomført?
      
  • Kontrollerer vi om tiltakene har den effekten vi ønsker?
      
  • Har vi en plan for å oppdatere eller gjøre nye risikovurderinger? 
      
  • Har vi en plan for å oppdatere arkivplanen? 

 

https://www.arkivverket.no/veiledere-for-offentlig-sektor/etablere-internkontroll-for-arkiv?q=PERIODISK%20KVALITETSKONTROLL#!#step-innledning