SIRK. Nye krav til bruk av internrevisjon. s. 24. s. 30. s. 37. The Bedrock of Quality. Lykkes med risikostyring?

Størrelse: px
Begynne med side:

Download "SIRK. Nye krav til bruk av internrevisjon. s. 24. s. 30. s. 37. The Bedrock of Quality. Lykkes med risikostyring?"

Transkript

1 SIRK Nr 1, vår 2015, 23. årgang Styring Internrevisjon Risiko Kontroll Nr Nye krav til bruk av internrevisjon The Bedrock of Quality s. 24 Integrert rapportering hva innebærer det? s. 37 Lykkes med risikostyring? s. 30

2 Bevarer og skaper verdier Deloitte er ett av de ledende internrevisjonsmiljøene i Norge. Vi bidrar til å skape resultater for våre kunder gjennom en strategisk tilnærming til utfordringer, men også gjennom praktiske handlinger og gjennomføringsevne. Vi har i dag over 100 rådgivere som leverer tjenester innenfor internrevisjon, strategisk og taktisk risikostyring, intern kontroll, corporate governance, compliance, informasjonssikkerhet, granskning og antikorrupsjon. Deloitte er verdens største leverandør av profesjonelle tjenester med over medarbeidere i over 150 land, hvorav ca i Norge. Ønsker du å vite mer om våre tjenester eller være del av et dynamisk og innovativt miljø, kontakt oss gjerne for en hyggelig samtale. Stein Ove Songstad, Partner Tlf Eivind Skaug, Partner Tlf Helene Raa Bamrud, Partner Tlf Deloitte AS

3 0672 REDAKTØRENS SPALTE MARTIN STEVENS Revisorer har rykte på seg om å like forandringer dårlig. Dette nummeret motbeviser dette ryktet fullstendig. For det første må du, da du tok denne utgaven av SIRK i hånden, ha lagt merke til en annen ut - forming og stil. Styret har velsignet dette forsøket på å friske opp bladet. Vi håper at dere liker den mer strukturerte og samtidsrettede utformingen. All ros og ris i denne sammenhengen mottas med takk! Det vil etter hvert komme en ny utforming på websidene, hvor vi har fremmet et ønske om å lagre artikler enkeltvis, slik at de blir lettere å finne på weben. Dernest tenker jeg på innholdet. Et varmt tema internasjonalt er utvidet virksomhetsrapportering til allmenheten. Tidligere var det nok med et sett regnskapstall, så kom krav om utvidede tallanalyser og -forklaringer, og nå snakker man om samfunnsansvar og bærekraftig utvikling. Samtidig reises det spørsmål om internrevisors rolle i evaluering og bekreftelse av disse «nye» rapportene. Tematikken belyses i tre artikler i dette nummeret. Utvikling av internrevisjon innenfor offentlig sektor har skutt fart i det siste, både internasjonalt og nasjonalt. Finansdepartementets nye krav er ferskt nyhetsstoff. På områdene sikkerhet, korrupsjon og misligheter er det tre artikler i dette nummeret. Dette er områder hvor alle forsvarslinjer har interesse av å vurdere sine arbeidsoppgaver og roller. Compliance som eget funksjonsområde er relativt ungt, Vi belyser her arbeidet som pågår for å definere rollen i norske virksomheter. I sine «faste» poster i dette nummeret informerer både presidenten i vår forening og generalsekretær om noe av den aktiviteten som foregår internt i egen forening og utviklingen internasjonalt. Noen ganger er det lettere å se hvor langt man er kommet når man ser tilbake på utgangspunkt et. Derfor har vi denne gangen begynte med et kort tilbakeblikk for 40 år siden, der intern revisjon i Norge var det samme som bankrevisjon, og for 20 år siden da internrevisjonsforening i Norge fikk en betydelig fremvekst. Redaksjonsutvalget håper at det skal være noe for enhver smak i denne utgaven av SIRK, uavhengig av om du er ny i stillingen eller dreven i faget. Da gjenstår det bare å minne om at SIRK er avhengig av deg som skribent og intitiavtager til godt innhold. Ikke brenn inne med godt fagstoff, men ta kontakt med oss i redaksjonutvalget eller ved administrasjonen. God sommer! REDAKSJONSKOMITEEN Martin Stevens Internrevisor, Gjensidige Forsikring Jan Wilhelm Kavli Internrevisor, Utlendingsdirektoratet Reidar Døli Internervisjonsleder, Oslo Børs Esa Leporanta Systems Audit Manager, Nets Norway AS Cira Holm Ethics & Compliance Manager, Yara International ASA Neste utgivelse er desember 2015 Årsabonnement: Kr. 150 Annonsepriser: Kr for en helside Kr for en halvside Kr for baksiden (mva. tilkommer) Opplag: 1000 Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Grafisk produksjon: Merkur Grafisk AS Forsidebilde: Foto: Shutterstock.com Redaksjonen ønsker våre lesere en god sommer! 2041 MILJØMERKET Merkur Grafisk AS SIRK nr

4 STYRELEDEREN HAR ORDET Global Council JØRGEN BOCK PRESIDENT Global Council er en arena der ledere for alle instituttene i verden møtes årlig for å diskutere IIAs strategi og utviklingen av vår profesjon. På årets møte i april, i Beijing, ble særlig følgende fire temaer diskutert: Profesjonalisering «Advocacy» og hvordan etterspørselen etter våre tjenester hos de viktigste interessentene skal utvikles Bærekraftige verdier for medlemmene Strategier for å bygge kapasitet på tvers av instituttene Profesjonalisering Med profesjonalisering ønsker IIA å utvikle og dele kunnskap, med blant annet ulike typer veiledninger. En diskusjon innenfor dette temaet er i hvilken grad de enkelte instituttene selv skal kunne utarbeide veiledninger etc, i forhold til vårt rammeverk, IPPF. Enkelte medlemsland opplever sterkt behov for raskere informasjon fra IIA Global og utarbeider derfor mye materiell på egen hånd. IIA Global er opptatt av at profesjonen opptrer mest mulig samlet, og at det er kvalitetssikringsmekanismer til stede. Eksempler på lokal utvikling av standarder og veiledninger er: Tillegg til standardene for internrevisorer i statlig sektor i UK IIA Nederland har inntatt en annen holdning enn IIA Globalt når det gjelder om internrevisjonen også kan inneha 2. linjefunksjoner IIA Norge har sammen med Frankrike, England, Nederland og Spania utarbeidet dokumentet «Enhancing Integrated Reporting Internal Audit Value Proposition». Både IIA Global og ECIIA arbeider med tilsvarende initiativ til Integrert Rapportering og internrevisjonens rolle, og det er således et behov for koordinering av ressursene. «Advocacy» De fleste institutter har samme tilnærming for å styrke profesjonens anseelse. Man bruker kurs og konferanser, inviterer interessenter, involverer seg på universiteter og har kontakt med myndigheter. Mye arbeid gjøres også i de regionale organisasjoner, som for eksempel i Europa gjennom ECIIA. Det ble identifisert viktige områder der internrevisjon må oppleves relevant og der interessentene skal ha stor tillit til oss. De områder som pekte seg ut var vårt arbeid med: Velfungerende og effektive revisjonsutvalg Governance Internkontroll Viktige områder for våre revisjonskunder, der deltagerne identifiserte de største hindringene for profesjonen for å bli oppfattet som en relevant og tillitsskapende aktør, var innenfor Teknologi Integrert rapportering Disse områdene trenger også vi i Norge å styrke oss på, for å forbli relevante for våre interessenter. Bærekraftighet og strategier for å bygge kompetanse på tvers av landegrensene IIA er nå representert i 180 land. Vi er offisielt medlemmer. IIA har som mål å nå medlemmer. Spørsmålet om hvordan vi kan løfte hverandre på tvers av landegrensene ble derfor drøftet. Skal vi i Norge for eksempel få tilgang til kursmateriale i UK? Det ble fra flere land i Europa hevdet at det i vår region allerede er et godt samarbeid mellom instituttene. IIA Sverige og Norge samarbeider tett og vi har også igangsatt Nordisk / Baltisk samarbeid. Governancemodellen i IIA oppfattes av enkelte å være en utfordring. For eksempel mangler de regionale organisasjonene, som for eksempel den Europeiske organisasjon, ECIIA, formell tilknytning til IIA Global. Det ble også påpekt risiko for at IIA introduserer for mange sertifiseringer, og at dette gjør internrevisjonen mer utydelig. Til tross for at IIA Norge er en relativt liten organisasjon er det min mening at vi har kommet langt på de fleste områder. Det skyldes innsatsen til vår administrasjon og ikke minst det frivillige arbeidet og engasjementet i styret, alle nettverkene, komiteer og blant medlemmene. Jeg takker dere alle for innsatsen og ønsker dere en riktig god sommer. 4 SIRK nr

5 Cybersecurity is emerging within the fields of information security and traditional security to address sharp increases in cybercrime and, in some instances, evidence of cyberwarfare. Three major factors are contributing to the need for improved cybersecurity on a global basis: ubiquitous broadband, IT-centric business and society, and social stratification of IT skills. To address cybercrime and societal changes, many governments and institutions launched cybersecurity initiatives, ranging from guidance, through standardisation, to comprehensive legislation and regulation. ISACA has released the European Cybersecurity Implementation Series primarily to provide practical implementation guidance that is aligned with European requirements and good practice. This paper focuses on risk guidance in cybersecurity. INNHOLD VIRKSOMHETSSTYRING 8 DFØ som pådriver for bedre internkontroll i staten 22 Stadig mer kostbart å ignorere samfunn og miljø Pilotprosjektet «human rights due diligence» 28 Lansering av Veiledning for compliancefunksjonen 34 Ikke Redd for misligheter og korrupsjon 37 Integrert rapportering 38 Ikke-finansiell rapportering 34 RISIKOSTYRING 11 Rapportanmeldelse: European Cybersecurity Implementation: Risk Guidance 16 På vei mot helhetlig risikostyring 30 Hva skal til for å lykkes med risikostyring? INTERNREVISJON 6 Nye krav til bruk av internrevisjon i statlig sektor 12 Revisjon av personopplysninger 20 En gjesterevisors syn på internrevisjon 21 Bokanmeldelse: Lean auditing 23 Det var en gang The Bedrock of Quality 11 European Cybersecurity Implementation: Risk Guidance 27 FRA NIRF 33 Kurs: Introduksjon og praktisk internrevisjon 39 Ekstern Evaluering 40 Generalsekretærer informerer 23 Kurs: påseplikt og antikorrupsjonsdag SIRK nr

6 INTERNREVISJON Nye krav til bruk av internrevisjon i statlig sektor Før sommeren fastsetter Finansdepartementet krav om at statlige forvaltningsorganer med utgifter eller inntekter over 300 millioner skal vurdere om de bør etablere en internrevisjon. Samtidig kommer krav til innretning av internrevisjonen. Hva er de nye kravene? Og hvilken betydning kan regulering av internrevisjon få? Av CHRISTINE VIK OG OLA OTTERDAL seniorrådgivere i Direktoratet for økonomistyring (DFØ) De nye kravene om internrevisjon vil fastsettes av Finansdepartementet i et rundskriv (som blir en del av økonomiregelverket) og DFØ vil forvalte kravene. Den nye reguleringen vil inneholde to hovedkrav: statlige forvaltningsorganer som har samlede utgifter eller samlede inntekter over 300 millioner kroner i henhold til siste publiserte årsrapport skal vurdere om de bør etablere en internrevisjon. hvordan virksomheter som velger å etablere, eller allerede har etablert internrevisjon, innretter funksjonen. Det stilles krav til organisering, kompetanse og revisjonsplaner, bruk av anerkjente standarder og informasjon fra virksomheten. Finansdepartementet vil også stille krav til felles vurderingskriterier som virksomhetene må ta hensyn til når de skal vurdere om internrevisjon bør etableres. Disse vurderingskriteriene er: Virksomhetens størrelse og kompleksitet (inklusiv samlede utgifter eller inntekter) Risiko og vesentlighet Kvaliteten på virksomhetens styring og kontroll Slike felles vurderingskriterier skal bidra til at vurderingene som blir sendt til overordnet departement er basert på andre sentrale kriterier enn størrelse. I tillegg skal dette bidra til at vurderingene får noen fellestrekk, slik at de kan sammenlignes over tid og mellom virksomheter. Vurderingen skal gjennomføres innen 1.mai 2016 og sendes overordnet departement. Alle virksomhetene som blir berørt av kravene skal vurdere behovet for internrevisjon regelmessig, og minimum hvert fjerde år. Veileder om hvordan virksomheter kan gjennomføre vurderingen I DFØ forbereder vi veiledningsmateriell om hvordan statlige virksomheter kan gjennomføre vurderingen. Høsten 2015 vil vi arrangere et seminar for å gjøre veiledningsmateriellet kjent, og forberede virksomheter som faller inn under kravet om vurdering. Dette innebærer at DFØ får en tydeligere rolle når det gjelder fagområdet internrevisjon. Tidligere Når nærmere 80 virksomheter som ikke har intern revisjon fra før blir pålagt å vurdere dette, medfører det en bevisstgjøring av hva internrevisjon er, og hvilken merverdi en slik funksjon kan gi. har DFØ kartlagt bruk av internrevisjon og internkontroll i staten og gitt ut en veileder for statlige virksomheter som vurderer å etablere en internrevisjonsfunksjon. Når rundskrivet fastsettes av Finansdepartementet vil det nye materiellet erstatte denne veilederen. DFØ vil etter hvert også se nærmere på behovet for støtte til de virksomhetene som velger å etablere en internrevisjon. 6 SIRK nr

7 INTERNREVISJON Hvorfor reguleres internrevisjon i staten? Bruken av internrevisjon er regulert i kommunesektoren og i finanssektoren. Flere av de store statlige virksomhetene har hatt internrevisjoner i flere år. De fleste OECD-land har en regulering av bruken av internrevisjon i statlig sektor. OECD anbefalte i sin rapport Noen av virksomhetene som omfattes av det nye vurderingskravet er svært store målt i budsjett, og det blir interessant å se hvordan disse konkluderer og hvordan de begrunner sin konklusjon. «Value for Money in Government» (2013) at Norge utvikler og regulerer bruken av internrevisjon i statlige virksomheter. Finansdepartementet satte høsten 2013, blant annet på bakgrunn av anbefalingen fra OECD, i gang en utredning om bruk av internrevisjon i staten. Formålet med utredningen var å etablere mer forutsigbare rammer for bruk av internrevisjon i staten ved å videreutvikle økonomiregelverket og tilrettelegge faglige standarder og annen støtte for internrevisjon. Basert på utredningsrapporten og høringsuttalelsene som er kommet, har Finansdepartementet besluttet å fastsette krav om bruk av internrevisjon i økonomiregelverket. Hva betyr de nye kravene? Selv etter at de nye kravene om vurdering er fastsatt, vil det være frivillig for statlige virksomheter om de vil etablere en internrevisjon. Når nærmere 80 virksomheter som ikke har internrevisjon fra før blir pålagt å vurdere dette, medfører det en bevisstgjøring av hva internrevisjon er, og hvilken merverdi en slik funksjon kan gi. Selv om virksomheten konkluderer med at internrevisjon ikke er aktuelt på nå - værende tidspunkt, vil den bli mer bevisst på om styringen og kontrollen er god nok, og om det er behov for andre tiltak for å forbedre denne. Noen av virksomhetene som omfattes av det nye vurderingskravet er svært store målt i budsjett, og det blir interessant å se hvordan disse konkluderer og hvordan de begrunner sin konklusjon. Kravene kan gi positive ringvirkninger Det kan også forventes at departementene som mottar vurderingene blir mer bevisste på internrevisjon som verktøy i styringen, og behovet for internrevisjon blant sine underliggende virksomheter. Departementene skal motta vurderingene til orientering, men det vil også være naturlig at vurderingene blir et tema i etatsstyringsdialogen. Fra og med rapporteringen for 2014 skal årsrapporter for alle underliggende virksomheter følge en fastsatt inndeling, benevnelse og rekkefølge. Kapittel IV skal omtale styring og kontroll i virksomheten. Det er viktig å legge til rette for at virksomhetene får informasjon og kompetanse om hvordan en slik vurdering kan gjennomføres. De nye kravene har allerede vist seg å aktualisere behovet for vurdering av internrevisjon for noen virksomheter. Dette har sammenheng med at internrevisjonens sentrale rolle i å gi ledelsen objektive og uavhengige vurderinger av tilstanden på styring og kontroll. Selv om den nye reguleringen ikke omfatter et krav om at departementene selv skal vurdere å etablere internrevisjon, er ikke dette et hinder for at enkelte departement også kan gjøre en slik vurdering. En annen sannsynlig konsekvens av den nye ordningen er en bedre samordning mellom Riksrevisjonen på den ene siden og virksomhetene som bruker intern revisjon på den andre. Det at det stilles felles krav til hvordan internrevisjonen skal innrettes, gjør det lettere for Riksrevisjonen å bygge sine revisjoner på arbeid som internrevisjonene har utført. Dette legger til rette for at man skal få en god arbeidsdeling mellom intern revisjonene og Riksrevisjonen. DFØ bistår virksomheter med vurderingen I første omgang vil DFØs hovedfokus være kravene til vurdering og bistand til de virksomhetene som skal gjennomføre en vurdering innen 1. mai Det er viktig å legge til rette for at virksomhetene får informasjon og kompetanse om hvordan en slik vurdering kan gjennomføres, og hva opprettelse av en internrevisjon kan bety for virksomheten. I den sammenheng vil også NIRF spille en rolle. Vi håper de aktivitetene vi har planlagt vil bidra til gode og velbegrunnede valg. SIRK nr

8 VIRKSOMHETSSTYRING DFØ som pådriver for bedre internkontroll i staten DFØ er opptatt av at statlige virksomheter og departementer faktisk forbedrer sin internkontroll. Som leverandør av kompetanse- og rådgivningstjenester ønsker vi at veiledningsmateriellet vi utgir blir tatt i bruk. I kjølvannet av at vi høsten 2013 utga nytt veiledningsmateriell på dette temaet, lanserte vi Samarbeidsforum internkontroll. Dette har vært et vellykket tiltak som har gitt 29 statlige virksomheter og syv departementer mulighet til å videreutvikle sin internkontroll i samarbeid med DFØ. Av CHRISTINE VIK OG OLA OTTERDAL seniorrådgivere i Direktoratet for økonomistyring (DFØ) Direktoratet for økonomistyring (DFØ) er statens ekspertorgan innenfor statlig styring. Som statlig ekspertorgan skal DFØ, med utgangspunkt i regelverket for øko nomi styring, legge til rette for god styring i staten. Den unike rollen til DFØ er å ivareta statens behov for en helhetlig tilnærming på området. Krav til internkontroll er hjemlet i Reglementet for økonomistyring 14 og Bestemmelser om økonomistyring pkt. 2.4 Samarbeidsforumet er et møtested for ansatte i statlige virksomheter og departementer som jobber dedikert med internkontroll, og består av faste representanter fra virksomhetene som deltar. Temaene for samlingene følger DFØs metode for etablering og for bedring av internkontrollen. Deltakerene forventes å bidra aktivt, gjennom presentasjoner og diskusjoner rundt egne erfaringer. Etter en vellykket gjennomføring av samarbeidsforum i 2013/14, har vi kjørt en ny runde med nye virksomheter og departementer i Behov for et samarbeidsforum for internkontroll I en kompetansestudie DFØ gjennomførte i 2012/13 kom det tydelig frem at mange statlige virksomheter og departementer så behov for å forbedre kompetansen innenfor fagområdet intern kontroll. Flere merknader fra Riks revisjonen i Dokument 1 (Riksrevisjonens rapport om den årlige revisjon og kontroll) ga samme inntrykk. Tidligere erfaringer viser at det ikke er nok bare å utgi veiledningsmateriell, og å avholde kurs og seminarer. Arbeidet med internkontroll krever kontinuitet og en prosessmessig tilnærming, og derfor ville vi tilby kompetanseformidling som gjenspeiler dette. Erfaringsutveksling I samarbeidsforumet legges det stor vekt på læring av hverandre og de gode eksemplene. Som navnet tilsier er hovedformålet med et samarbeidsforum nettopp at deltakerne skal kunne dele gode eksempler og diskutere problemstillinger, for så å finne gode løsninger på felles utfordringer. De aller fleste statlige virksomheter har mye internkontroll på plass, men ofte «stykkevis og delt». System og struktur og ressurser brukt på kontroll versus verdiskapning er temaer som oppleves som utfordrende og som diskuteres mye i forumene. I samarbeidsforumet legges det stor vekt på læring av hverandre og de gode eksemplene. Gjensidig læring I samarbeidsforumet får vi kontakt med brukermassen vår over en lengre tidsperiode, og kan bistå dem som har konkrete planer med å forbedre internkontrollen sin. Dessuten når vi ut til flere på en gang, samtidig som vi legger til rette for nettverksbygging og samarbeid mellom deltakerne både under og etter samlingene. Vi i DFØ lærer også mye av deltakerne. Dette gjør oss til bedre leverandører av kompetanse - og rådgivnings tjenester. Vi har stor nytte og glede av å bli kjent med ulike statlige virksomheter og departementer og deres arbeid med internkontroll. Det er spesielt nyttig for oss å bli kjent med hvilke konkrete utfordringer 8 SIRK nr

9 VIRKSOMHETSSTYRING Foto: Kommunikasjonsenheten i DFØ deltakerne har, samt med de gode eksemplene som finnes der ute. Det er også verdi fullt å teste metoden og verktøyene vi har utviklet på fagområdet. På den måten får vi erfaringer som gjøre at vi kan tilpasse og forbedre vårt veiledningsmateriell, samt forbedre det totale tilbudet vårt. Praktisk gjennomføring av samarbeidsforumene Samarbeidsforum er en mellomting mellom kurs og nettverk. Deltakerne møtes til på fire til seks heldagssamlinger. Møte serien gjennomføres i løpet av ca. ett år. Vi følger DFØs metode for etablering og forbedring av internkontroll, og samlingene følger temaene i «Veileder i internkontroll». Disse temaene er: Fundamentet for god internkontroll (styrings- og kontrollmiljø og informasjon og kommunikasjon) Planlegging Risikovurdering Utforming Implementering Oppfølging Rapportering DFØ planlegger og legger praktisk til rette for samlingene, men det forventes aktive Med samarbeidsforum for internkontroll har vi funnet en arena der teori og praksis forenes. bidrag fra deltakerne før, under og etter samlingene. Samlingene gjennomføres med en blanding av presentasjoner fra deltakerne, eksterne foredragsholdere, gruppeoppgaver, plenumsdiskusjoner og plenumsforelesninger. Deltakerne blir oppfordret til å komme med innspill til gjennomføring og opplegg fra gang til gang. Slik oppnår vi eierskap og engasjement blant deltakerne. Forpliktende for både deltakere og DFØ For å sikre kontinuitet, ledelsesforankring og best mulig utbytte, må alle deltakere signere en «samarbeidsavtale». Denne avtalen forplikter dem til å stille på samtlige samlinger med minst én fast deltaker. I tillegg må DELTAKERE SAMARBEIDSFORUM 2015 Virksomheter: Statistisk sentralbyrå Universitetet i Oslo Fredskorpset Norad Direktoratet for nødkommunikasjon Politiets utlendingsenhet Høgskolen i Hedmark Finanstilsynet Helsedirektoratet Bufdir Høyskolen i Telemark NTNU Høgskulen i Volda Arkitektur- og designhøyskolen i Oslo Høyskolen i Lillehammer Arbeidstilsynet Departementer: Justis- og beredskapsdepartementet Kommunal- og moderniseringsdepartementet Nærings- og fiskeridepartementet SIRK nr

10 VIRKSOMHETSSTYRING DELTAKERE SAMARBEIDS FORUM 2013/14 Virksomheter: DFØ Arbeids- og velferdsdirektoratet (NAV) Politidirektoratet Forsvarsstaben Kystverket Stortingets Administrasjon Statens vegvesen Politiets utlendingsenhet Helsedirektoratet Statens pensjonskasse Statped Forsvarets forskningsinstitutt Departementer: Arbeids- og sosialdepartementet Finansdepartementet Kunnskapsdepartementet Barne-, likestillings- og inkluderingsdepartementet noen fra ledelsen stille på siste samling. Avtalen signeres av en fra ledelsen hos virksomheten eller departementet som deltar, og av DFØs direktør, Øystein Børmer. Vi i DFØ skal gjennom året «pushe» virksomhetene til å prioritere kontinuitet i arbeidet med internkontroll, og hjelpe deltakerne med å komme godt i gang. Videre er vi sparringspartner underveis i året og legger til rette for best mulig sam arbeid og erfaringsutveksling mellom deltakerne. Det ble gjennomført en evaluering etter første runde med samarbeidsforum i 2013/14. Erfaringene og tilbakemeldingene viser at en slik måte å jobbe på har vært svært nyttig. Flere av virksomhetene har tatt i bruk ett eller flere av de praktiske verktøyene DFØ tilbyr, og alle har kommet videre i arbeidet med å forbedre internkontrollen. DFØ er svært fornøyd med responsen og påmeldingene til forumet. Deltakerne For mer informasjon om internkontroll, Samarbeidsforum internkontroll og kontaktpersoner besøk vår nettside internkontroll har vært, og er, virksomheter og departementer med ulikt modenhetsnivå på internkontrollen. Virksomhetene representerer også svært ulike samfunnsoppdrag. Dette har gitt gode sammensatte grupper som representerer mangfoldet i staten, og som gir et godt grunnlag for læring på tvers. I 2015 består forumet for virksomheter dessuten av ti høy skoler og universiteter, noe som skaper et godt potensial for videre samarbeid i universitets- og høyskolesektoren. Vi i DFØ jobber for effektiv ressursbruk og bedre styring i staten. Med samarbeidsforum for internkontroll har vi funnet en arena der teori og praksis forenes. Dermed tror vi at deltakerne står bedre rustet til å møte den utfordringen det er å få internkontrollen tilpasset risiko og vesentlighet, samt integrert i styringen på en måte som er tilpasset behovet i egen virksomhet. Komplekse utfordringer tydelige løsninger KPMG har engasjerte eksperter med lang erfaring og sterk fagkompetanse innenfor internrevisjon. Som internrevisor er vi tilgjengelig som en sentral rådgiver og sparringspartner for styret, ledelsen og fagmiljøer. Vi bidrar til kompetanseutvikling samt virksomhetens risikostyring og internkontroll. Våre tjenester inkluderer: Etablering av internrevisjon i virksomheten Co-sourcing: Samarbeidsavtale med internrevisjonen om gjennomføring av internrevisjoner Outsourcing: KPMG tar ansvar for helhetlig internrevisjon i virksomheten Lei en internrevisor (management for hire) Kvalitetssikring av internrevisjonen i virksomheten Vi løser komplekse utfordringer hver dag. Fordi det er det vi kan best. Les mer på kpmg.no eller ta kontakt med oss for ytterligere informasjon: Ole Willy Fundingsrud, Director, e-post: Helge Brynestad, Senior Manager, e-post: Magnus Digernes, Senior Manager, e-post: Tlf.: kpmg.no 10 SIRK nr

11 RISIKOSTYRING Rapportanmeldelse Risikoveiledningen er en av tre fagrapporter i en rapportserie fra ECI om nettsikkerhet. Veiledningen understreker viktigheten av å se nettsikkerhetsrisikoer i sammenheng med virksomhetens øvrige risikoer. For å bidra til at virksomheten opererer med et så korrekt risikobilde som mulig, anbefales det å bruke et rammeverk som dekker både kjente og mulig fremtidige nettsikkerhetsrisikoer. Av ESA LEPORANTA, Systems Audit Manager, Nets Norway AS European Cybersecurity Implementation: Risk Guidance Veiledningen er delt inn i fem kapitler: 1) Risiko-oversikt og strategi, 2) Identifi sering av risikoer innen nettsikkerhet, 3) Analysering, evaluering og aggregering av nettsikkerhetsrisikoer, 4) Håndtering av risiko og 5) Ledelse av nettsikkerhetsrisikoer. Første kapittel innledes med å synlig gjøre at det finnes flere aktuelle rammeverk for risikostyring. Deretter presenteres et overblikk over risikorammeverket fra European Network and Information Security Agency (ENISA). Videre beskrives det hvordan delprosessene i ENISAs rammeverk kan knyttes til det mer kjente COBIT 5 rammeverket. Andre kapittel om risikoidentifisering vektlegger behovet for å identifisere nettsikkerhetsrisikoer som kan være både direkte og indirekte knyttet til virksom heten, virksomhetens ansatte og ressurser. Det anbefales at virksomheten ved gjennomgangen av risikoene legger til rette for utarbeidelse av COBIT 5 risikoscenarier. For en detaljert oversikt over risikoscenarier refereres det til en rapport på ISACAs nettsider. Flere eksempler av nettsikkerhetsrisikoer er inkludert i rapporten, noe som bidrar til å øke forståelsen av om rådet. For en grundigere gjennomgang av risikoer henvises det til en oversikt på ENISAs nettsider. Det tredje kapitlet, om analysering av nettsikkerhetsrisikoer, viser innledningsvis til hvilken input det trengs ved gjennomføring av risikoanalyser og hvordan denne informasjonen kan struktureres ved hjelp av COBIT 5 rammeverket. COBIT 5 tilnærmingen fokuserer på å strukturere risikomaterialet slik at det dekker hele nettsikkerhet suniverset. Etter analyse av risikomaterialet, skal det tas stilling til hvordan risiko ene bør be handles. Videre skal identifiserte risikoer aggregeres for å kunne utarbeide et konsolidert risikobilde for virksomheten. Avslutningsvis skal risikoer med liknende effekt plasseres i samme risiko grupper for å redusere virk - somhetens samlede ressursbruk. I kapittelet om håndtering av nettsikkerhetsrisikoer tas det som utgangspunkt at de fleste identifiserte nett sikker hetsrisikoer blir en realitet - før eller senere. Eventuelle krav i lov og forskrifter vil medføre at bedrifter heller ikke uten videre kan velge bort håndteringen av enkelte risikoer. Basert på dette, er det an befalt å ut arbeide COBIT 5 baserte risiko scenarier for å kunne fokusere på de strategisk vesentlige risikoene og for å tilpasse innsatsnivået til virksomhetens egenart. Det siste kapittelet innledes med å vise fordelene med å bruke COBIT 5 rammeverket. Kapittelet avsluttes med å henvise til relevante kilder som kan brukes for å systematisere virksomhetens reaksjoner ved et nettsikkerhetsangrep. Cybersecurity is emerging within the fields of information security and traditional security to address sharp increases in cybercrime and, in some instances, evidence of cyberwarfare. Three major factors are contributing to the need for improved cybersecurity on a global basis: ubiquitous broadband, IT-centric business and society, and social stratification of IT skills. To address cybercrime and societal changes, many governments and institutions launched cybersecurity initiatives, ranging from guidance, through standardisation, to comprehensive legislation and regulation. ISACA has released the European Cybersecurity Implementation Series primarily to provide practical implementation guidance that is aligned with European requirements and good practice. This paper focuses on risk guidance in cybersecurity. European Cybersecurity Implementation (ECI): Risikoveiledning 1 COBIT 5 for Risk, ISACA, 2013 Veiledningen er velegnet til å gi internrevisorer et kort overblikk over risikoer knyttet til nettsikkerhet. SIRK nr

12 INTERNREVISJON Revisjon av personopplysninger Av MARTIN W. STEVENS Internrevisor, Gjensidige Forsikring Innledning Vi har alle en interesse av at personlig informasjon blir holdt fortrolig, og ikke brukes til annet formål (f.eks brysom reklame eller kriminell virksomhet) enn det vi gir tillatelse til. Det finnes heldigvis lovverk som skal beskytte oss på dette området. Personopplysnings loven gir klare føringer, og ved manglende etterlevelse kan virksomheter risikere bøter. Størrelsen på slike bøter i Norge er forventet å øke, fra nåværende 10G til 2% av virksomhetens omsetningen, i tråd med den foreslåtte nye EU-forordningen. Det er imidlertid ikke bare boten som kan skade virksomheten. Avsløringer om svikt i oppbevaring og bruk av persondata kan fort havne i media, og således er dette en alvorlig renommérisiko som intern revisor må ta med i sin vurdering av virksomhetens risiko bilde. I artikkelen ønsker jeg å gi en del praktiske innspill til hvordan man kan legge opp en revisjon av kravene i Person opplysningsloven, og videreformidle noen av mine egne erfaringer fra å ha revidert dette området. Områder for revisjon Personopplysningsloven skal verne individet fra at private anliggende blir offentlig kjent, derav snakker vi om at Personopplysningsloven er en lov om person vern. Å revidere virksomheten i forhold til personvernets krav er en typisk «compliance» revisjon, og da er det nødvendig først å sette seg inn i lovens krav. Selv om jeg ikke har juridisk bakgrunn, ble jeg overrasket over hvor greit det egentlig var å tilegne seg kunnskap og forståelse på dette området. I tillegg til selve loven med forskrift, kan man få mer utfyllende informasjon fra Datatilsynets nettsider. Man bør også innhente og gjennomgå interne dokumenter som omhandler hvordan Foto: Shutterstock.com virksomheten skal forholde seg til Personopplysningslovens krav og eventuelle krav i konsesjonsvilkår. Det forventes at det finnes en policy for behandling av personopplysninger, samt en IT-sikkerhetspolicy på overordnet nivå. Internrevisor bør blant annet vurdere om disse styrende dokumenter definerer det organisatoriske ansvaret på fagområdet i tilstrekkelig grad, og om det omfatter en beskrivelse av stillinger definert i loven, som f.eks personvernombud, behandlingsansvarlig og daglig behandlingsansvarlig. Revisjonen av krav i Personopplysningsloven skal kunne gjøre internrevisor i stand til å konkludere på: 1. Kvaliteten av den overordnede ansvarfordelingen og hvordan dette er kommunisert videre til den operative delen av organisasjonen. 2. Kvaliteten på gjennomføring av overordnede krav i frontlinjen, herunder begrensninger i IT-systemer. 12 SIRK nr

13 INTERNREVISJON 3. Hvordan oppfølging av etterlevelse av rutiner foretas, og hvordan status rapporteres til ledelsen. De primære områder i Personopp lysningsloven som internrevisor kan ønske å fokusere på ut fra en risiko betraktning, kan være: 1. Vilkår for å behandle personopplysninger, herunder samtykke ( 8) 2. Lovens grunnkrav til behandling av personopplysninger ( 11) 3. Identifikasjon og særskilt behandling av sensitive personopplysninger ( 9) 4. Slettingsrutiner ( 28). 5. Informasjonssikkerhet. Det er krav om at virksomheten «gjennom planlagte og systematiske tiltak sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger» ( 13). 6. Outsourcing av databehandlingen gjennom databehandleravtale ( 15). Det er uansett viktig at man i sine styringssystemer synliggjør at det er systematisk kontroll og oppfølging, samt at saker som har med personvern å gjøre blir merket spesielt. Overordnet oversikt I følge Personopplysningsforskrift 2-4 skal det «føres oversikt over hva slags personopplysninger som behandles». Eksempel på oversikt over personopplysninger som behandles er presentert i «En veiledning om internkontroll og informasjonssikkerhet» utgitt av Datatilsynet. Den legger opp til at man for hver informasjonstype/databehandlingsformål identifiserer følgende: 1. Hjemmelsgrunnlag for å behandle opplysningene 2. Aktuell melding eller konsesjon 3. Om det omfatter sensitive opplysning er eller ikke 4. Hvor opplysningene lagres og om de overføres via eksterne media 5. Personopplysningenes omfang (f.eks antall kunder eller ansatte) 6. Eventuell avdeling som behandler personopplysningene 7. System-/dataeier En slik oversikt vil være en god hjelp i å identifisere aktuelle områder for revisjon, og til å konsentrere seg om f.eks de om rådene som behandler «sensitive» personopplysninger (som er definert nærmere i loven) ut fra en risikovurdering. Kompetanse Internrevisor skal vurdere om egen kompetanse er tilstrekkelig i forhold til fagkrav, og om man er i stand til å vurdere hvorvidt organisasjonen etterlever loven på en tilfredsstillende måte og eventuelt i hvilken grad beste praksis blir fulgt. I tillegg til selv å sette seg inn i nyttig og relevant materiale, kan det også være aktuelt å vurdere om man kan få utbytte av å leie inn eksterne konsulenter med erfaring fra andre virksomheter både nasjonalt og internasjonalt på dette fagfeltet. Fremgangsmåten Når det gjelder teknikkene internrevisor kan anvende ved revisjon av krav i Personopplysningsloven, kan følgende være aktuelt: 1. Gjennomgang og vurdering av styrende dokumenter 2. Intervjuer med nøkkelpersoner innenfor området (herunder behandlingsansvarlig og eventuelt personvernombud), samt ledere og ansatte i første linjen 3. Test av om rutinen følges 4. Vurdering av lederoppfølging gjennom mottatte rapporter og igangsatte tiltak 5. Vurdering, der aktuelt, av egen virksomhets oppfølging av ekstern databehandlers rutiner for behandling av persondata og informasjonssikkerhet. F.eks vil man kunne undersøke hvorvidt ansatte i egen virksomhet følger opp eventuelle rapporter fra operasjonell revisjon av databehandleren DEFINISJONER HENTET FRA PERSONOPPLYSNINGSLOVEN MED FORSKRIFT Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige, SENSITIVE PERSONOPPLYSNINGER: opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e)medlemskap i fagforeninger. Samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv, Personvernombud som har i oppgave å sikre at den behandlingsansvarlige følger personopplysningsloven med forskrift REFERANSE TIL LOVEN OG DATA TILSYNETS INTERNETTSIDER PERSONOPPLYSNINGSLOVEN PERSONOPPLYSNINGSFORSKRIFT DATATILSYNETS INTERNETTSIDE https://www.datatilsynet.no/ DATATILSYNETS INTERNKONTROLL VEILEDER https://www.datatilsynet.no/verktoy-skjema/ Veiledere/Internkontroll-og-informasjonssikkerhet/ SIRK nr

14 INTERNREVISJON Det kan være fristende med hensyn til en effektiv gjennomføring av revisjonen å hoppe over intervjufasen, men etter min mening er intervjuer viktige for å danne seg et grunnlag for å uttale seg om: 1. lovens krav er tilstrekkelig formidlet til de ressurser som skal gjennomføre rutinene, 2. om det er systemmessige eller organisatoriske svakheter som bør følges opp, eller 3. om ledelsens oppfølgingsrolle er forstått. En prinsipiell sak som bør vurderes i overordnet policy, er om morselskapets krav til organisasjonen i forhold til lokal lovgivning burde fastsettes som minimumskrav for hele konsernet. I et internasjonalt konsern kan det også være fornuftig å sørge for å legge til rette for fagfora der erfaringer med, og tekniske eller administrative løsninger på Utfordrende områder Ut fra egen erfaring og drøftelser med andre internrevisorer er det en del om - råder som jeg mener man bør være ekstra oppmerksomme på ved revisjon av personopplysninger: I et internasjonalt konsern kan det også være fornuftig å sørge for å legge til rette for fagfora der erfaringer med, og tekniske eller administrative løsninger på personvernområdet drøftes. 1. Kontroll og oppfølging I Personopplysningsforskrift paragraf 2-6 stilles det krav til at bruk av informasjonssystemet i strid med fastlagte rutiner, samt sikkerhetsbrudd, skal behandles som avvik. Her stilles det krav til at avviks behandling gjenoppretter Foruten økte bøtenivåer bekrefter forslaget til forordningen nød ven digheten av å ha tilstrekkelige internkontrollrutiner. normal til standen og hindrer gjentagelse, og at dette resultatet dokumenteres. Etter min mening ligger det til grunn et intern kontrollregime som er basert på metodikk for kvalitetskontroll, altså hvor det ligger en forbedringssløyfe fra feil som er oppstått til ny eller endret prosess. Dette må hensyntas i den operasjonelle risikostyringen som legges til grunn i virksom heten. Det bør ikke være slik at man legger opp til et helt adskilt opplegg for behandling av Personopplysningslovens krav. Det er uansett viktig at man i sine styringssystemer synliggjør at det er systematisk kontroll og oppfølging, samt at saker som har med personvern å gjøre blir merket spesielt. På denne måten kan svakheter i etterlevelse av krav i Personopplysningsloven rapporteres ved behov. En slik rapport bør sendes regelmessig til bl.a. behandlingsansvarlig. 2. Konflikt med andre lovbestemmelser Det kan oppstå situasjoner der det er nødvendig å fravike krav i Personopplysningsloven. Dette gjelder f.eks for finansinstitusjoner og hvitvaskingskontroll. Slike unntak er tatt høyde for i lovens 23. Det er viktig å kunne synliggjøre en bevisst vurdering i de tilfeller der man ikke skal følge Personopplysningsloven på grunn av krav i andre lover, eller behandling av kriminelle aktiviteter. 3. Internasjonal virksomhet Regelverket på personvernområdet vil variere fra land til land. Innen EU og EØS er det et sammenfallende regelverk, men strengheten og fokus i tilsynsregimet varierer fra land til land. En revisjon på tvers av en internasjonal virksomhet vil kreve at man forholder seg til lokale regler og tolkninger. Innen dette området kan en skandale ha renommémessige konsekvenser. For noen virksomheter vil man kunne oppleve negative opplevelser også i morselskapets hjemland, dersom det er snakk om grove og uetiske overtredelser. personvernområdet drøftes. Foruten å gi anledning til spredning av beste praksis, vil dette også kunne støtte de landene med begrenset anledning til å satse på dedikerte fagressurser. Fremtidig utvikling Det forventes at en ny forordning om personopplysninger vil gjøres gjeldende i løpet av Praktisk talt vil dette ikke føre til store endringer av krav i dagens regelverk. Foruten økte bøtenivåer bekrefter forslaget til forordningen nødvendigheten av å ha tilstrekkelige internkontrollrutiner. Fordelene med den nye forordningen er at konsesjonsordninger skal bortfalle, og regelverket vil etter hvert være mer likt over hele EU. Avslutningsvis I denne artikkelen har jeg rettet oppmerksomheten mot noen sentrale områder ved revisjon av personopplysninger. Økt forståelse av konsekvensene av manglende etterlevelse av Personopplysningslovens krav bør føre til at internrevisorer inkluderer dette området i sin risikovurdering. Personopplysningslovens krav kan revideres og som vanlige medborgere er det også i vår interesse at det er god etterlevelse av loven på dette området. 14 SIRK nr

15 EXECUTIVE MASTER OF MANAGEMENT INTERN REVISJON Governance Risikostyring Intern styring og kontroll Oppstart høsten 2015 bi.no/emm Få forståelse for samspillet mellom virksomheters etablerte strategier og mål, og hvordan du kostnadseffektivt sikrer at målene oppnås gjennom god virksomhetsstyring. Programmet tar utgangspunkt i aktuelle aspekter av hvordan toppledelsen og styret skal få relevant informasjon om organisasjonens situasjon. Du får innsikt i hvordan bruk av intern revisjon og aktiv risikostyring og er en nøkkel til god måloppnåelse. Du lærer også hvordan den interne revisor i samspill med andre kan utøve sin funksjon. Programmet er utviklet og blir gjennomført i samarbeid med Norges Interne Revisorers Forening (NIRF).

16 RISIKOSTYRING På vei mot helhetlig risikostyring INTERVJU MED ØIVIND PEDERSEN, FAGLEDER IT PRODUKSJON, VPS Verdipapirsentralen ASA (VPS) er på vei mot å implementere en løsning som gir en helhetlig risikostyring. Det var imidlertid ikke ønsket om å følge beste praksis innenfor risikostyring som initierte implementeringen av nytt kvalitets- og saksflytsystem. Det var behovet for å ha en effektiv og dokumentert saksbehandling og et godt CRM system som var drivende, men VPS får helhetlig risikostyring med på kjøpet. AV REIDAR DØLI INTERNREVISOR KONSERN, OSLO BØRS VPS Rammebetingelser Rammene for virksomheten til VPS er gitt i egen lov med forskrift samt ved konsesjonsvilkår fra Finansdepartementet. Videre stiller Finanstilsynets forskrifter om risikostyring og internkontroll og IKT krav til selskapets styring og kontroll. En ny EU lovgivning er på vei inn med ytterligere krav og med en forventet implementering i 2016/2017. Samlet sett stiller denne reguleringen krav til hvordan virksomheten innretter sin risikostyring. ITIL basert kvalitets- og saksflytsystem Selskapet har implementert et ITIL basert kvalitets- og saksflytsystem (heretter kalt KS-systemet) som er blitt et svært viktig verktøy for selskapet og som langt på vei ivaretar de kravene som reguleringen stiller til risikostyring og internkontroll. Det har blitt et viktig verktøy for Internrevisjonen. Det har også fått en del å si for styret, ved at deler av den formelle styrerapporteringen, blant annet når det gjelder oppfølging av risikostyring og internkontroll, er basert på KS-systemet. Implementeringen av verktøyet var ikke først og fremst drevet at et ønske om å innføre et verktøy til støtte for en helhetlig risikostyring. Det lå langt mer praktiske hensyn til grunn. For å finne mer ut av dette tok jeg kontakt med Øivind Pedersen som er fagleder på IT produksjon og primus motor på KS-systemet i VPS. Samtale med Øivind Pedersen Øivind forteller at VPS hadde et annet kombinert kvalitets-, kunderelasjonshåndterings (CRM)- og dokumenthåndteringssystem, og at det for ca 3 år siden satt i gang et prosjekt for å skifte ut dette. Et viktig argument for å bytte systemet var at all videreutvikling av det eksisterende systemet måtte kjøpes utenfra, hvilket kostet både tid og penger. Det overordnede kravet til et nytt system var at det måtte gi tilfredsstillende sporbarhet i saksbehandlingen samt at det skulle ha tilfredsstillende CRM funksjonalitet. Valget falt ned på en modulbasert løsning hvor VPS er selvhjulpen med hensyn til ut vikling, systemet er skalerbart mht sakstyper og det dekker behovene for CRM. VPS gikk live med det nye KS-systemet i mai Det startet pent med implementering av sakstypene avvikshåndtering og implementering av endringer. I dag er følgende hovedmoduler og sakstyper på plass: Organisasjon/kontakt som er basis for CRMsystemet. Sak som er skalerbart og hvor VPS har lagt opp sakstypene problem, hendelser/avvik, tiltaksoppfølging, endringer/hasteendringer, kundeforespørsler, produksjonsplan mv. Inventar som omfatter alle produkter og tjenester med servicekrav samt kategorier for kundenes tilganger og autorisasjoner til systemer. Avtale inneholder alle kunde- og leverandøravtaler. Det dukker stadig opp ønsker om nye bruksområder og derved nye sakstyper: I forbindelse med at VPS er i gang med et større prosjekt med innslag av eksterne deltakere, er håndtering av eksterne konsulenter ivaretatt i KS-systemet. Hele den prosessen konsulenten skal gjennom og de godkjennelser som skal gis fra utlevering av PC og tildeling av tilganger og autorisasjoner mv helt frem til oppdraget er ferdigstilt, dokumenteres gjennom KS-systemet. Det ble nylig lagt opp en ny e-postboks hvor alle forespørsler og kommunikasjon fra kunder vedrørende et spesielt prosjekt blir logget og fulgt opp. 16 SIRK nr

17 RISIKOSTYRING Foto: Shutterstock.com Det er etablert en egen sakstype for tiltak etter internrevisjoner hvor tiltak, ansvarlig for gjennomføring og frister er lagt inn. Det er etablert en Issuelog som er designet etter krav i prosjektmetodikken Prince2. Dette gir eier av prosjektet en god oversikt over status på alle issues. Datovarsling legges inn der det er ønskelig, som for eksempel ved: Oppdrag fra kunder som skal gjennomføres for kunder frem i tid. Disse registreres med dato for varsling for når forberedelsene skal starte. Leverandøravtaler som har automatisk forlengelse hvis de ikke sies opp. Man motvirker da risikoen for at selskapet må betale for software som ikke er i bruk. Andre eksempler på positive effekter av KS-systemet er bedre kvalitet på kundebehandlingen. Den kundeansvarlige som jobber i markedet har til enhver tid oversikt over samtlige saker som er registrert på sin kunde. Dette er svært nyttig i forbindelse med kundemøter der den kundeansvarlige kan demonstrere at hun/ han har full og oppdatert oversikt over status på kundehenvendelser, kundeoppdrag osv som er registrert på den aktuelle kunde. Det var i tidligere tider også en risiko for at flere utviklere arbeidet med å utvikle den samme funksjonaliteten uten at de var klar over det. Det er ikke lenger mulig. Pedersen legger til at han hele tiden har sett etter nye bruksområder for verktøyet. Nylig kom det inn en ny forespørsel om et opplegg for varsel til den som er ansvarlig for å utføre en kontrollhandling. Bakgrunnen for ønsket er et fremtidig EU-krav om sporing og dokumentasjon for utførelse av kontrollhandlinger/verifisering av etterlevelse. Pedersen konkluderer med at KS-systemet fungerer godt. Det er kanskje en terskel å ta det i bruk. Rapportfunksjonaliteten er enkel, men systemet dekker det behovet selskapet har. Det er imidlertid viktig at det gjennomføres en oppfølging av backlog/utestående saker og purring på gamle saker. Det er etablert et opplegg for varsling hvor det er lagt spesielt vekt på de mest risikoutsatte sakstyper. Han viser avslutningsvis til at det i løpet av de to årene KS-systemet har vært i drift er blitt generert ca saker. Det tilsvarer omlag 35 saker per dag. Internrevisjonen For Internrevisjonen har KS-systemet stor verdi og bruksområdene er mange. Ett eksempel er at internrevisor kan gå inn på Verdipapirsentralen ASA (VPS) ble stiftet i 1985, i forbindelse med at norske verdipapirer gikk over fra å være fysiske papirer til å bli elektroniske. VPS er den eneste verdipapirsentralen i Norge, og leverer effektiv infrastruktur og tjenester for oppgjør og registrering av rettigheter for verdipapirer. Selskapet tilbyr registrering av alle de viktigste typene finansielle instrumenter som omsettes i Norge aksjer, obligasjoner, egenkapitalbevis, sertifikater og fondsandeler. Produktbredden er betydelig selv i internasjonal sammenheng. VPS leverer sine tjenester til investorer og utstedere gjennom et nettverk av meglere, banker og forvaltningsselskaper. Det er disse, kontoførerne, som forvalter kunderelasjonene og som står for den daglige bruken av VPS-tjenestene. SIRK nr

18 RISIKOSTYRING loggen over saker de siste dagene forut for et styremøte for å sjekke om det er noen spesielle forhold som bør undersøkes nærmere. Ett annet anvendelsesområde er i foranalyser i forbindelse med planlegging av revisjoner, for eksempel hvis en ønsker å se på avvikshåndteringen. KS-systemet gir oversikt over forekomster i hver enhet med kategorier for alvorlighet og status i gjennomføring av tiltak. Data fra KS-systemet kan også med fordel benyttes i selve revisjonen for å måle kvalitet i saksbehandlingen og i rapporteringen til linjen og til styret. Det kan enkelt lages oversikter over antall saker av hver kategori innenfor den aktuelle enheten som viser hvor mange saker som er åpne kontra hvor mange som er lukket. Et eksempel på en slik oversikt er vist i figur 1. Det kan også gjennomføres en måling av hvor lang tid det har tatt å lukke saker, se figur 2, og videre en oversikt over alderssammensetning på de åpne sakene, se figur 3. VPS mot en helhetlig risikostyring Selv om ambisjonen til VPS ikke først og fremst har vært å implementere en helhetlig risikostyring, er mange av elementene kommet på plass som følge av innføringen av KS-systemet: Det er en kontinuerlig prosess. Ressurser på alle nivåer i organisasjonen er involvert. Det er anvendt på tvers av alle enheter. Hendelser i alle kategorier blir identifisert og håndtert i forhold til den definerte risikoappetitten. Det er fokus på måloppnåelse og KS-systemet er egnet til å gi rimelig grad av sikkerhet for virksomhetens ledelse og styre. Andre deler av risikostyringen er ikke direkte linket inn mot KS-systemet og håndteres så langt utenfor systemet. Det gjelder strategiprosessen og de tilhørende handlingsplanene. Virksomhetens risikoappetitt er fastsatt i en policy og operasjonalisert gjennom en modenhetsvurdering, men det er pt ikke funnet en hensiktsmessig måte å innlemme dette i KS-systemet. Risikovurderinger gjennomføres ved bruk av et annet verktøy enn KS-systemet, men de tiltak som etableres som følge av de løpende og årlig oppdaterte risikovurderingene følges opp ved KS-systemet Figur 1. Enheten eier 421 saker hvorav 70 åpne og 351 lukkede. 0 Figur 2 Majoriteten av saker lukkes i løpet av den første uken Figur 3 Relativt få saker har stått åpne i lengre tid enn et halvt år. Åpen Lukket 18 SIRK nr

19 Close the gap Undersøkelser viser at det stilles økte krav og forventninger til internrevisjonens risikodekning, effektivitet og forretningsforståelse. Flere internrevisjonsfunksjoner opplever kompetanseutfordringer kombinert med en fleksibel og effektiv organisasjonsstruktur. Ta kontakt med oss om du ønsker: å vite mer om resultatene fra våre nordiske og globale internrevisjonsundersøkelser bistand til å etablere/videreutvikle internrevisjonen i din virksomhet tilgang til spisskompetanse Terje Klepp Tove Albrektsen Partner Executive Director Tlf Tlf Ernst & Young AS. All Rights Reserved.

20 INTERNREVISJON En gjesterevisors syn på internrevisjon INTERVJU MED JEANETTE ANDERSEN GJENSIDIGE Riktig kompetanse er kritisk for at internrevisjon skal kunne gjennomføre prosjekter med nødvendig innsikt. Internasjonalt har det lenge vært praktisert rotasjons- og gjesterevisorordninger. Dette har også vært praktisert hos noen virksomheter i Norge som en naturlig del av bedriftens karriereutvikling. Jeg trodde først internrevisjon var noe kjedelige greier med tall og regnskap, og fikk derfor en åpen baring når jeg leste på intranettet om hva en internrevisjon faktisk gjør. Internrevisjon i Gjensidige introduserte i fjor en «rotasjons- og gjesterevisor ordning», hvor ansatte inviteres til å søke for å arbeide med internrevisjonen i enkeltprosjekter eller for lengre opphold. Formålet er å bringe kunnskap fra linjen til internrevisjonen, samt gi økt innsikt i internrevisjonens systematiske arbeid på fagfeltene risiko- og virksomhetsstyring og internkontroll tilbake til organisasjonen igjen. Etter intern utlysning på intranett, viste det seg å være stor interesse. Denne gangen var det Jeanette Andersen som arbeidet som kunderådgiver (nominert som ildsjel i Gjensidige) i Fredrikstad, som fikk muligheten. Vi i redaksjonen var nysgjerrige på hennes opplevelse og inntrykk fra dette oppholdet. Hva fikk deg til å søke denne stillingen? Godt spørsmål. Det var nok ikke alle som så den komme fra min side! Jeg hadde for det første lyst til å bidra inn i organisasjonen med kompetanse fra førstelinje, både på kundeorientering, system og fag. For det andre så var det ett ønske fra min side å tilegne meg kompetanse på metodisk og analytisk arbeid. Jeg trodde først internrevisjon var noe kjedelige greier med tall og regnskap, og fikk derfor en åpenbaring når jeg leste på intranettet om hva en internrevisjon faktisk gjør. For en overraskelse og jeg tenkte; DETTE vil jeg prøve. Hvilke opplæring og introduksjon fikk du til internrevisjon og i avdelingen? Når jeg begynte så fikk jeg faglitteratur å lese, samt e-læring fra CEB. Dette var veldig nyttig. Deretter fikk jeg gå på kurset «introduksjon til internrevisjon» i NIRF. Også ett veldig bra kurs med flinke foredragsholdere og god dialog i klasserommet. Jeg har allikevel lært mest av å jobbe med mine kollegaer. En av mine kollegaer har «tvunget» meg inn i metodikkmalen. Jeg jobber nå i en temarevisjon, og da ser jeg virkelig nytten av å ha sine referanser og arbeidsdokumenter på stell. Det kjennes utrolig tilfredsstillende å vite at jeg kan dokumentere med «revisjonsbevis» det magefølelsen sier. Hva likte du best ved oppholdet i internrevisjonsavdelingen? Jeg synes det var veldig spennende å jobbe på konsernnivå. Få mulighet til å se de virkelig store linjene. Det var også interessant å kunne få tilgang til både ledelse og kollegaer jeg aldri har møtt før. Det var en berikelse som jeg setter veldig pris på. Hvilke kompetanse (erfaring/kunnskaper) hadde du fra før som du fikk nytte av i jobben som internrevisor? Jeg mener jeg har turt å utfordre på å gjøre det vanskelige enkelt. Bruke folkelig terminologi, og ikke for mange ord. Jeg har hele tiden hatt kundefokus, noe jeg hele tiden har sørget for å innlemme i scopet vårt. Jeg har utfordret revisjonsteamet på å trene kommunikasjon. Videre har jeg nok gitt teamet en vitamininnsprøyting med mitt engasjement og entusiasme. Hva mener du er det viktigste internrevisjon kan bidra med i en virksomhet? Jeg liker å tenke på internrevisjon som en hovedcoach for selskapet. Vi skal bidra til at vi når våre mål ved å være på «ballen» og dra i riktig retning sammen med ledelsen. Jeg mener enhver virksomhet burde ha internrevisjon, det er ekstremt verdifullt å ha den overordnede innsikt som en internrevisjon besitter. Jeg mener selvsagt også at å ha med seg gjesterevisorer ikke er annet enn positivt. 20 SIRK nr

Informasjonsmøte Samarbeidsforum internkontroll

Informasjonsmøte Samarbeidsforum internkontroll Informasjonsmøte Samarbeidsforum internkontroll 10. oktober 2013 Direktoratet for økonomistyring Velkommen og introduksjon v/ingrid Buhaug Brænden Side 2 Program Side 3 Hvorfor bør alle statlige virksomheter

Detaljer

Nye krav til internrevisjon i staten. Ola Otterdal, Forvaltnings- og analyseavdelingen, Direktoratet for økonomistyring

Nye krav til internrevisjon i staten. Ola Otterdal, Forvaltnings- og analyseavdelingen, Direktoratet for økonomistyring Nye krav til internrevisjon i staten Ola Otterdal, Forvaltnings- og analyseavdelingen, Direktoratet for økonomistyring Agenda 1. Bakgrunn 2. Nye krav til vurdering og innretning 3. Veiledning for vurdering

Detaljer

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai 2013 Side 1 Program Tid Tema Hvem 08:45-09:00 Registrering og kaffe 09:00 09:05 Velkommen Roger Bjerke, avdelingsdirektør Forvaltnings-

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Felles medlemsmøte NFKR og NIRF, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Generalsekretær Ellen Brataas, CIA, CISA Formål og visjon Formål

Detaljer

Informasjonsmøte Samarbeidsforum internkontroll 2015

Informasjonsmøte Samarbeidsforum internkontroll 2015 Informasjonsmøte Samarbeidsforum internkontroll 2015 10. februar 2015 Direktoratet for økonomistyring DFØ vurderer ny runde med samarbeidsforum! Hva er samarbeidsforum? Møteserie over ca. ett år Faste

Detaljer

1. FORMÅL 2. PROFESJONELT GRUNNLAG

1. FORMÅL 2. PROFESJONELT GRUNNLAG Vedlikeholdes av: Chief Compliance Officer Side: 1 av 5 1. FORMÅL Internrevisjonen skal fremme og beskytte GIEKs verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsikt. Den skal bidra

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Revisjon av styring og kontroll

Revisjon av styring og kontroll Revisjon av styring og kontroll Møte nettverk virksomhetsstyring 12. desember 2014 Direktoratet for økonomistyring Side 1 Agenda 09:00 09:15 10:00 10:15 11:00 11.30 Velkommen og innledning v/ DFØ Revisjon

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Erfaringer fra NIRF`s kvalitetskontroll

Erfaringer fra NIRF`s kvalitetskontroll Erfaringer fra NIRF`s kvalitetskontroll Jørgen Bock Kvalitetskomitemedlem NIRF Nestleder styret Statsautorisert revisor Krav til ekstern kvalitetskontroll Iht internrevisjonens standarder skal det gjennomføres

Detaljer

HAR ÅRSRAPPORTENE I STATEN BLITT BEDRE?

HAR ÅRSRAPPORTENE I STATEN BLITT BEDRE? HAR ÅRSRAPPORTENE I STATEN BLITT BEDRE? Hva har skjedd etter endringene i reglene for årsrapportering? Kundeforum 25.oktober 2016 Jan-Erik Fjukstad Hansen, Forvaltnings- og Analyseavdelingen i DFØ Bakgrunn

Detaljer

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC 27001 Master Knowit Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år

Detaljer

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, Utkast instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 08.12.2010 Innhold 1 Internrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver...

Detaljer

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Instruks for internrevisjon i Garanti-Instituttet for Eksportkreditt 2005 Side 1 av 5 Internrevisjonsinstruksen setter rammer

Detaljer

HELSE NORD RHF ENDRING

HELSE NORD RHF ENDRING Saksbehandler: Tor Solbjørg, tlf. 75 51 29 02 Vår dato: Vår referanse: Arkivnr: 9.10.2009 200800560-13 134 Vår referanse må oppgis ved alle henvendelser Deres dato: Deres referanse: STYRESAK 90-2009 INSTRUKS

Detaljer

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU US 42/2015 Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU Universitetsledelsen Saksansvarlig: Økonomi- og eiendomsdirektør Saksbehandler(e): Jan E. Aldal, Hans Chr Sundby, Siri

Detaljer

Internrevisjon og intern kontroll i statlige virksomheter

Internrevisjon og intern kontroll i statlige virksomheter Internrevisjon og intern kontroll i statlige virksomheter Kunnskapsdepartementet 13. oktober 2015 Norges Interne Revisorers Forening Ellen Brataas, generalsekretær Revisjon kan være så mangt, og utføres

Detaljer

Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst

Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst Godkjent av styret i Helse Sør-Øst RHF 13.03.2014 Distribusjon Revisjonsplanen distribueres til styret og styrets revisjonsutvalg, administrerende

Detaljer

VEDTEKTER Sist oppdatert 9. juni 2015

VEDTEKTER Sist oppdatert 9. juni 2015 VEDTEKTER Sist oppdatert 9. juni 2015 VEDTEKTER NORGES INTERNE REVISORERS FORENING (NIRF) (Sist endret på ordinær generalforsamling 9. juni 2015) 1 Foreningens navn og sete Foreningens navn er NORGES INTERNE

Detaljer

Nr. Vår ref Dato R-117 14/3305 20.05.2015

Nr. Vår ref Dato R-117 14/3305 20.05.2015 Rundskriv R Samtlige departementer Statsministerens kontor Nr. Vår ref Dato R-117 14/3305 20.05.2015 Internrevisjon i statlige virksomheter 1. Innledning Finansdepartementet varslet i kap. 9 i Gul bok

Detaljer

Nr. Vår ref Dato R / Rundskrivet er fastsatt av Finansdepartementet med hjemmel i reglement for økonomistyring i staten 3.

Nr. Vår ref Dato R / Rundskrivet er fastsatt av Finansdepartementet med hjemmel i reglement for økonomistyring i staten 3. Rundskriv R Samtlige departementer Statsministerens kontor Nr. Vår ref Dato R-117 14/3305 29.09.2016 Internrevisjon i statlige virksomheter Rundskrivet er fastsatt av Finansdepartementet med hjemmel i

Detaljer

Intern revisjon på Oslo Børs VPS

Intern revisjon på Oslo Børs VPS Intern revisjon på Oslo Børs VPS Reidar Døli Internrevisor Konsern 6. januar 6 DFØ Statlig nettverk Konsernet Oslo Børs VPS Etablert i 7 etter fusjon mellom VPS og Oslo Børs Totalt ca 3 ansatte Hovedtall

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Foreningens navn er NORGES INTERNE REVISORERS FORENING, medlem av The Institute of Internal Auditors Inc. Navnet kan forkortes til NIRF.

Foreningens navn er NORGES INTERNE REVISORERS FORENING, medlem av The Institute of Internal Auditors Inc. Navnet kan forkortes til NIRF. Vedtekter i NIRF VEDTEKTER NORGES INTERNE REVISORERS FORENING (NIRF) (Sist endret på ordinær generalforsamling 19. juni 2012) 1 Foreningens navn og sete Foreningens navn er NORGES INTERNE REVISORERS FORENING,

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Omtalen omfatter ikke datarapportering til DBH, herunder Selskapsdatabasen.

Omtalen omfatter ikke datarapportering til DBH, herunder Selskapsdatabasen. RAPPORTERINGSKRAV FOR ÅRSRAPPORT (2015 2016) Universiteter og høyskoler skal innen 15. mars 2016 sende dokumentet Årsrapport (2015-2016) elektronisk til postmottak@kd.dep.no. Årsrapportene vil bli publisert

Detaljer

Internrevisjon et samarbeid på tvers

Internrevisjon et samarbeid på tvers Internrevisjon et samarbeid på tvers Med anbefaling om «Best practice» For Universitetet i Stavanger Universitetet i Agder Universitetet i Nordland Høgskolen i Bergen Regler og krav Reglementet for Økonomistyring

Detaljer

Hvordan ha orden på internkontrollen?

Hvordan ha orden på internkontrollen? Hvordan ha orden på internkontrollen? Ola Otterdal Kundeforum 2014 Direktoratet for økonomistyring Side 1 Agenda 1. Kort om DFØs veiledningsmateriell og kompetansetilbud 2. Hva er internkontroll og hva

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Vurdering av internrevisjon i DFØ. Topplederseminar 8. mars Direktør Øystein Børmer

Vurdering av internrevisjon i DFØ. Topplederseminar 8. mars Direktør Øystein Børmer Vurdering av internrevisjon i DFØ Topplederseminar 8. mars Direktør Øystein Børmer DFØs hovedprosesser Forvalte økonomiregelverket, utredningsinstruks og samfunnsøkonomisk analyse Utvikle regelverkene

Detaljer

Risikostyring og intern kontroll i statlige virksomheter

Risikostyring og intern kontroll i statlige virksomheter Risikostyring og intern kontroll i statlige virksomheter Marianne Andreassen Direktør HIBO 26. oktober 2009 26.10.2009 Senter for statlig økonomistyring Side 1 Hvem er SSØ? Virksomhetsidé Som statens ekspertorgan

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

STRATEGISK IKT-KOMPETANSE FOR TOPPLEDERE. Informasjon til departementene

STRATEGISK IKT-KOMPETANSE FOR TOPPLEDERE. Informasjon til departementene STRATEGISK IKT-KOMPETANSE FOR TOPPLEDERE Informasjon til departementene Til departementsråden Difi har satt i gang et kompetansetiltak i strategisk IKT-kompetanse for toppledere. Målgruppen er departementsrådens

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

Årsrapport 2012 Internrevisjon Pasientreiser ANS

Årsrapport 2012 Internrevisjon Pasientreiser ANS Årsrapport 2012 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Revisjon av virksomhetsstyring, intern styring og kontroll del 1... 4 2.2 Revisjon av virksomhetsstyring,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

FELLESAVTALE FOR INTERNREVISJON

FELLESAVTALE FOR INTERNREVISJON FELLESAVTALE FOR INTERNREVISJON Difi/Statens innkjøpssenter Riitta Lausamo Oslo 15.11.2016 riitta.lausamo@difi.no AGENDA 1. Om Statens innkjøpssenter, status og avtaleportefølje 2. Fellesavtale for internrevisjon

Detaljer

IKT-revisjon som del av internrevisjonen

IKT-revisjon som del av internrevisjonen IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

ENDRINGER I ØKONOMIREGELVERKET. Martin Hartmann Aasness

ENDRINGER I ØKONOMIREGELVERKET. Martin Hartmann Aasness ENDRINGER I ØKONOMIREGELVERKET Martin Hartmann Aasness Agenda Endringer som trådte i kraft 1. januar 2016: 1. Regnskapsprinsipper 2. Internrevisjon 3. Oppbevaringskrav regnskapsmateriell Varslede endringer

Detaljer

INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD

INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD Instruksen er fastsatt av Klima- og miljødepartementet i medhold av 3 i Reglement for økonomistyring i

Detaljer

Statens økonomistyring som middel til å hindre systemsvikt

Statens økonomistyring som middel til å hindre systemsvikt Statens økonomistyring som middel til å hindre systemsvikt Juristenes fagdager Sandefjord 15. oktober 2009 Direktør Marianne Andreassen 26.10.2009 Senter for statlig økonomistyring Side 1 Senter for statlig

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

Prinsipper Internrevisorer forventes å anvende og opprettholde følgende prinsipper:

Prinsipper Internrevisorer forventes å anvende og opprettholde følgende prinsipper: ETISKE REGLER Introduksjon Formålet med IIAs etiske regler er å fremme en etisk kultur i internrevisjonsprofesjonen. Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har

Detaljer

Seksjon for internkontroll - Overføring fra Byrådsavdeling for finans, eiendom og eierskap til Byrådsleders avdeling

Seksjon for internkontroll - Overføring fra Byrådsavdeling for finans, eiendom og eierskap til Byrådsleders avdeling Byrådssak 1316 /16 Seksjon for internkontroll - Overføring fra Byrådsavdeling for finans, eiendom og eierskap til Byrådsleders avdeling INKV ESARK-0305-201628760-1 Hva saken gjelder: Byrådet skal sørge

Detaljer

Styring og intern kontroll.

Styring og intern kontroll. Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Intern kontroll i finansiell rapportering

Intern kontroll i finansiell rapportering Intern kontroll i finansiell rapportering EBL Spesialistseminar i økonomi 22. oktober 2008 Margrete Guthus, Deloitte Temaer Regelsett som omhandler intern kontroll Styrets ansvar for intern kontroll med

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Oslo universitetssykehus HF

Oslo universitetssykehus HF Oslo universitetssykehus HF Styresak Dato dok.: 17. mars 2010 Dato møte: 24. mars 2010 Saksbehandler: Direktør for kvalitet, pasientsikkerhet og kontinuerlig forbedring SAK 34/2010 INTERNREVISJONSPLAN

Detaljer

Nettverk for virksomhetsstyring. Møte 6. juni 2014

Nettverk for virksomhetsstyring. Møte 6. juni 2014 Nettverk for virksomhetsstyring Møte 6. juni 2014 16.06.2014 Direktoratet for økonomistyring Side 1 Program 09.00-09.15: Innledning ved DFØ 09.15-10.15: Formål og innhold i instrukser, både i instruks

Detaljer

Krav til internrevisjon i staten

Krav til internrevisjon i staten Krav til internrevisjon i staten Frokostseminar for departementer Program Tid Tema Hvem 08.30 09.50 Introduksjon til nye krav til internrevisjon Knut Klepsvik, FIN 08.50 09.15 Presentasjon av veiledningen

Detaljer

Årsrapport 2011 Internrevisjon Pasientreiser ANS

Årsrapport 2011 Internrevisjon Pasientreiser ANS Årsrapport 2011 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjon av systemforvaltning... 4 Formål og omfang... 4 Tidsrom for gjennomføring og ressursbruk... 4 Funn og anbefalinger...

Detaljer

AVTALE OM MEDLEMSKAP. Universitetet i Oslo/Handelshøyskolen BI og (Partner)

AVTALE OM MEDLEMSKAP. Universitetet i Oslo/Handelshøyskolen BI og (Partner) AVTALE OM MEDLEMSKAP Universitetet i Oslo/Handelshøyskolen BI og (Partner) AVTALE OM MEDLEMSKAP Universitetet i Oslo/Handelshøyskolen BI og (Partner) Partnerforum er et formalisert og avtalefestet samarbeid

Detaljer

Deres ref Vår ref Dato 12/2780-18.09.2013. Endringer i bestemmelser om økonomistyring i staten fra 1. januar 2014

Deres ref Vår ref Dato 12/2780-18.09.2013. Endringer i bestemmelser om økonomistyring i staten fra 1. januar 2014 Samtlige departement Statsministerens kontor Deres ref Vår ref Dato 12/2780-18.09.2013 Endringer i bestemmelser om økonomistyring i staten fra 1. januar 2014 Finansdepartementet har i dag fastsatt endringer

Detaljer

Høgskolen i Sør-Trøndelag Høgskolestyret. Sak: Henvisning til HiSTs måltavle (http://www.hist.no/content.ap?thisid=131)

Høgskolen i Sør-Trøndelag Høgskolestyret. Sak: Henvisning til HiSTs måltavle (http://www.hist.no/content.ap?thisid=131) Høgskolen i Sør-Trøndelag Høgskolestyret Vedtakssak Dato: 22.02.09 Til: Høgskolestyret Fra: Rektor Sak: HS-V-002/09 Intern kontroll og revisjon, retningslinjer for Høgskolen i Sør- Trøndelag Saksbehandler/-sted:

Detaljer

Hvordan skal DFØ bidra til at statlige virksomheter forbedrer sin internkontroll

Hvordan skal DFØ bidra til at statlige virksomheter forbedrer sin internkontroll Hvordan skal DFØ bidra til at statlige virksomheter forbedrer sin internkontroll NIRFs nettverk for statlig sektor seminar 22. august 2013 Ola Otterdal Direktoratet for økonomistyring Side 1 Agenda 1.

Detaljer

Egenevaluering av internkontrollen

Egenevaluering av internkontrollen Egenevaluering av internkontrollen Veiledning - egenevalueringsverktøy internkontroll Bakgrunn God praksis for internkontroll er beskrevet i flere rammeverk. COSO (Committee of Sponsoring Organizations

Detaljer

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Audit & Advisory 18. september 2012 Agenda 1. Innledning 2. Formålet med revisjonsutvalg og utvalgets

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Hvordan bidrar internrevisjonen til bedre styring og kontroll? DFØ, 27. oktober 2015

Hvordan bidrar internrevisjonen til bedre styring og kontroll? DFØ, 27. oktober 2015 ( 1 ) Hvordan bidrar internrevisjonen til bedre styring og kontroll? DFØ, 27. oktober 2015 Agenda Kort om UDI Organiseringen av internrevisjonen Internrevisjonens strategi Hvordan bidrar internrevisjonen

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

Instruks om økonomi- og virksomhetsstyring for Vitenskapskomiteen for mattrygghet

Instruks om økonomi- og virksomhetsstyring for Vitenskapskomiteen for mattrygghet Instruks om økonomi- og virksomhetsstyring for Vitenskapskomiteen for mattrygghet Instruksen er fastsatt 9. mai 2014 i henhold til 3 annet ledd i Reglement for økonomistyring i Staten, og trådte i kraft

Detaljer

Samarbeidsforum internkontroll

Samarbeidsforum internkontroll Samarbeidsforum internkontroll 10. desember 2013 13.12.2013 Direktoratet for økonomistyring Side 1 Samarbeidsforum hjelp til selvhjelp! Bidra til å videreutvikle statlige virksomheters og departementers

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Underbygger lovverket kravene til en digital offentlighet

Underbygger lovverket kravene til en digital offentlighet Underbygger lovverket kravene til en digital offentlighet Personvern Hva er det? Side 2 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 3 Personopplysninger hvor er de? 4 Digitalisering

Detaljer

Revisjon av virksomhetsstyring. Nettverk for virksomhetsstyring 12. desember 2014 Therese Johnsen, Riksrevisjonen

Revisjon av virksomhetsstyring. Nettverk for virksomhetsstyring 12. desember 2014 Therese Johnsen, Riksrevisjonen Revisjon av virksomhetsstyring Nettverk for virksomhetsstyring 12. desember 2014 Therese Johnsen, Riksrevisjonen Virksomhetsstyring Ledelsens viktigste redskap for å sikre god måloppnåelse. Omfatter krav

Detaljer

Fiskeri- og kystdepartementet

Fiskeri- og kystdepartementet Fiskeri- og kystdepartementet 1 Fiskeri- og kystdepartementets forvaltning og gjennomføring av budsjettet for 2006 1.1 Generelt om resultatet av revisjonen Fiskeri- og kystdepartementet består av ett programområde:

Detaljer

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Fung. økonomidirektør Kirsti R. Aarøen Universitetet i Bergen 14.450 studenter

Detaljer

Oppfølging av informasjonssikkerheten i UH-sektoren

Oppfølging av informasjonssikkerheten i UH-sektoren Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

Planer og meldinger 2007/2. Statistisk sentralbyrå. Strategier 2007

Planer og meldinger 2007/2. Statistisk sentralbyrå. Strategier 2007 2007/2 Planer og meldinger Statistisk sentralbyrå Strategier 2007 Ledelsen har ordet Hvordan vil rammebetingelsene for produksjon av offisiell statistikk utvikle seg framover? Det kan vi ikke svare presist

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016 Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016 Client name - Event - Presentation title Page 1 AGENDA 1 2 Rammeverk for helhetlig risikostyring

Detaljer

Om del IV. Styring og kontroll i virksomheten

Om del IV. Styring og kontroll i virksomheten Om del IV. Styring og kontroll i virksomheten Utgangspunktet for etatsstyringen Økonomiregelverket slår fast at departementet har et overordnet ansvar for styring og kontroll av underliggende virksomhet

Detaljer

RAPPORTERINGSKRAV FOR 2017 FOR PRIVATE HØYSKOLER

RAPPORTERINGSKRAV FOR 2017 FOR PRIVATE HØYSKOLER RAPPORTERINGSKRAV FOR 2017 FOR PRIVATE HØYSKOLER 1. KRAV TIL ÅRSRAPPORT 2017 Private høyskoler skal innen 15. mars 2018 sende dokumentet Årsrapport 2017 elektronisk til Kunnskapsdepartementet postmottak@kd.dep.no

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

OPPDRAGSDOKUMENT 2014

OPPDRAGSDOKUMENT 2014 OPPDRAGSDOKUMENT 2014 TIL NASJONAL IKT HF Foretaksmøte 24. februar 2014 INNHOLD 1. INNLEDNING... 3 2. OVERORDNEDE STYRINGSBUDSKAP... 3 3. STYRINGSBUDSKAP FRA DE REGIONALE HELSEFORETAKENE FOR 2014... 4

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

SAMFUNNSANSVAR SETT FRA EKSTERN REVISORS STÅSTED

SAMFUNNSANSVAR SETT FRA EKSTERN REVISORS STÅSTED SAMFUNNSANSVAR SETT FRA EKSTERN REVISORS STÅSTED Per Hanstad, adm. direktør i Den Norske Revisorforening Den norske Revisorforening Vektlegge hva som er god foretaksrapportering Markedets forventninger

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Saksredegjørelse. Fig 1. Foretakets modell for virksomhetsstyring og intern kontroll

Saksredegjørelse. Fig 1. Foretakets modell for virksomhetsstyring og intern kontroll Saksredegjørelse Bakgrunn Administrerende direktør ønsker et økt fokus på intern styring og kontroll som ledd i arbeidet med å sikre at virksomheten drives i tråd med lover, retningslinjer og fastsatte

Detaljer

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

DRI1010 Emnekode. Oppgave Kandidatnummer Dato Oppgave 1 361 2015-05-05 For å kunne vite hvilken betydningen det har for anvendelsen av personopplysningsloven når det skal behandles sensitive personopplysninger så må man vite hva «sensitive personopplysninger»

Detaljer

Omtalen omfatter ikke datarapportering til DBH. I. Styrets beretning

Omtalen omfatter ikke datarapportering til DBH. I. Styrets beretning RAPPORTERINGSKRAV FOR ÅRSRAPPORT 2015 FOR PRIVATE HØYSKOLER Private høyskoler skal innen 15. mars 2016 sende inn dokumentet Årsrapport 2015 elektronisk til postmottak@kd.dep.no. Årsrapportene vil bli publisert

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter Prosjektplan/engagement letter September 2013 Innhold 1. Innledning... 3 1.1 Bakgrunn... 3 1.2 Formål og problemstillinger... 3 2. Revisjonskriterier...

Detaljer

1. Etterlevelse av kvalitetssystem for medisinsk og helsefaglig forskning

1. Etterlevelse av kvalitetssystem for medisinsk og helsefaglig forskning Universitetet i Oslo FRA ENHET FOR INTERN REVISJON FREMLEGGSNOTAT Møtesaksnr.: O-sak 2 Møtedato: 3. mai 2016 Notatdato: 21. april 2016 Arkivsaksnr.: Saksbehandler: Morten Opsal TIL UNIVERSITETSSTYRET Årsrapport

Detaljer