SIRK. Nye krav til bruk av internrevisjon. s. 24. s. 30. s. 37. The Bedrock of Quality. Lykkes med risikostyring?

Størrelse: px
Begynne med side:

Download "SIRK. Nye krav til bruk av internrevisjon. s. 24. s. 30. s. 37. The Bedrock of Quality. Lykkes med risikostyring?"

Transkript

1 SIRK Nr 1, vår 2015, 23. årgang Styring Internrevisjon Risiko Kontroll Nr Nye krav til bruk av internrevisjon The Bedrock of Quality s. 24 Integrert rapportering hva innebærer det? s. 37 Lykkes med risikostyring? s. 30

2 Bevarer og skaper verdier Deloitte er ett av de ledende internrevisjonsmiljøene i Norge. Vi bidrar til å skape resultater for våre kunder gjennom en strategisk tilnærming til utfordringer, men også gjennom praktiske handlinger og gjennomføringsevne. Vi har i dag over 100 rådgivere som leverer tjenester innenfor internrevisjon, strategisk og taktisk risikostyring, intern kontroll, corporate governance, compliance, informasjonssikkerhet, granskning og antikorrupsjon. Deloitte er verdens største leverandør av profesjonelle tjenester med over medarbeidere i over 150 land, hvorav ca i Norge. Ønsker du å vite mer om våre tjenester eller være del av et dynamisk og innovativt miljø, kontakt oss gjerne for en hyggelig samtale. Stein Ove Songstad, Partner Tlf Eivind Skaug, Partner Tlf Helene Raa Bamrud, Partner Tlf Deloitte AS

3 0672 REDAKTØRENS SPALTE MARTIN STEVENS Revisorer har rykte på seg om å like forandringer dårlig. Dette nummeret motbeviser dette ryktet fullstendig. For det første må du, da du tok denne utgaven av SIRK i hånden, ha lagt merke til en annen ut - forming og stil. Styret har velsignet dette forsøket på å friske opp bladet. Vi håper at dere liker den mer strukturerte og samtidsrettede utformingen. All ros og ris i denne sammenhengen mottas med takk! Det vil etter hvert komme en ny utforming på websidene, hvor vi har fremmet et ønske om å lagre artikler enkeltvis, slik at de blir lettere å finne på weben. Dernest tenker jeg på innholdet. Et varmt tema internasjonalt er utvidet virksomhetsrapportering til allmenheten. Tidligere var det nok med et sett regnskapstall, så kom krav om utvidede tallanalyser og -forklaringer, og nå snakker man om samfunnsansvar og bærekraftig utvikling. Samtidig reises det spørsmål om internrevisors rolle i evaluering og bekreftelse av disse «nye» rapportene. Tematikken belyses i tre artikler i dette nummeret. Utvikling av internrevisjon innenfor offentlig sektor har skutt fart i det siste, både internasjonalt og nasjonalt. Finansdepartementets nye krav er ferskt nyhetsstoff. På områdene sikkerhet, korrupsjon og misligheter er det tre artikler i dette nummeret. Dette er områder hvor alle forsvarslinjer har interesse av å vurdere sine arbeidsoppgaver og roller. Compliance som eget funksjonsområde er relativt ungt, Vi belyser her arbeidet som pågår for å definere rollen i norske virksomheter. I sine «faste» poster i dette nummeret informerer både presidenten i vår forening og generalsekretær om noe av den aktiviteten som foregår internt i egen forening og utviklingen internasjonalt. Noen ganger er det lettere å se hvor langt man er kommet når man ser tilbake på utgangspunkt et. Derfor har vi denne gangen begynte med et kort tilbakeblikk for 40 år siden, der intern revisjon i Norge var det samme som bankrevisjon, og for 20 år siden da internrevisjonsforening i Norge fikk en betydelig fremvekst. Redaksjonsutvalget håper at det skal være noe for enhver smak i denne utgaven av SIRK, uavhengig av om du er ny i stillingen eller dreven i faget. Da gjenstår det bare å minne om at SIRK er avhengig av deg som skribent og intitiavtager til godt innhold. Ikke brenn inne med godt fagstoff, men ta kontakt med oss i redaksjonutvalget eller ved administrasjonen. God sommer! REDAKSJONSKOMITEEN Martin Stevens Internrevisor, Gjensidige Forsikring Jan Wilhelm Kavli Internrevisor, Utlendingsdirektoratet Reidar Døli Internervisjonsleder, Oslo Børs Esa Leporanta Systems Audit Manager, Nets Norway AS Cira Holm Ethics & Compliance Manager, Yara International ASA Neste utgivelse er desember 2015 Årsabonnement: Kr. 150 Annonsepriser: Kr for en helside Kr for en halvside Kr for baksiden (mva. tilkommer) Opplag: 1000 Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Grafisk produksjon: Merkur Grafisk AS Forsidebilde: Foto: Shutterstock.com Redaksjonen ønsker våre lesere en god sommer! 2041 MILJØMERKET Merkur Grafisk AS SIRK nr

4 STYRELEDEREN HAR ORDET Global Council JØRGEN BOCK PRESIDENT Global Council er en arena der ledere for alle instituttene i verden møtes årlig for å diskutere IIAs strategi og utviklingen av vår profesjon. På årets møte i april, i Beijing, ble særlig følgende fire temaer diskutert: Profesjonalisering «Advocacy» og hvordan etterspørselen etter våre tjenester hos de viktigste interessentene skal utvikles Bærekraftige verdier for medlemmene Strategier for å bygge kapasitet på tvers av instituttene Profesjonalisering Med profesjonalisering ønsker IIA å utvikle og dele kunnskap, med blant annet ulike typer veiledninger. En diskusjon innenfor dette temaet er i hvilken grad de enkelte instituttene selv skal kunne utarbeide veiledninger etc, i forhold til vårt rammeverk, IPPF. Enkelte medlemsland opplever sterkt behov for raskere informasjon fra IIA Global og utarbeider derfor mye materiell på egen hånd. IIA Global er opptatt av at profesjonen opptrer mest mulig samlet, og at det er kvalitetssikringsmekanismer til stede. Eksempler på lokal utvikling av standarder og veiledninger er: Tillegg til standardene for internrevisorer i statlig sektor i UK IIA Nederland har inntatt en annen holdning enn IIA Globalt når det gjelder om internrevisjonen også kan inneha 2. linjefunksjoner IIA Norge har sammen med Frankrike, England, Nederland og Spania utarbeidet dokumentet «Enhancing Integrated Reporting Internal Audit Value Proposition». Både IIA Global og ECIIA arbeider med tilsvarende initiativ til Integrert Rapportering og internrevisjonens rolle, og det er således et behov for koordinering av ressursene. «Advocacy» De fleste institutter har samme tilnærming for å styrke profesjonens anseelse. Man bruker kurs og konferanser, inviterer interessenter, involverer seg på universiteter og har kontakt med myndigheter. Mye arbeid gjøres også i de regionale organisasjoner, som for eksempel i Europa gjennom ECIIA. Det ble identifisert viktige områder der internrevisjon må oppleves relevant og der interessentene skal ha stor tillit til oss. De områder som pekte seg ut var vårt arbeid med: Velfungerende og effektive revisjonsutvalg Governance Internkontroll Viktige områder for våre revisjonskunder, der deltagerne identifiserte de største hindringene for profesjonen for å bli oppfattet som en relevant og tillitsskapende aktør, var innenfor Teknologi Integrert rapportering Disse områdene trenger også vi i Norge å styrke oss på, for å forbli relevante for våre interessenter. Bærekraftighet og strategier for å bygge kompetanse på tvers av landegrensene IIA er nå representert i 180 land. Vi er offisielt medlemmer. IIA har som mål å nå medlemmer. Spørsmålet om hvordan vi kan løfte hverandre på tvers av landegrensene ble derfor drøftet. Skal vi i Norge for eksempel få tilgang til kursmateriale i UK? Det ble fra flere land i Europa hevdet at det i vår region allerede er et godt samarbeid mellom instituttene. IIA Sverige og Norge samarbeider tett og vi har også igangsatt Nordisk / Baltisk samarbeid. Governancemodellen i IIA oppfattes av enkelte å være en utfordring. For eksempel mangler de regionale organisasjonene, som for eksempel den Europeiske organisasjon, ECIIA, formell tilknytning til IIA Global. Det ble også påpekt risiko for at IIA introduserer for mange sertifiseringer, og at dette gjør internrevisjonen mer utydelig. Til tross for at IIA Norge er en relativt liten organisasjon er det min mening at vi har kommet langt på de fleste områder. Det skyldes innsatsen til vår administrasjon og ikke minst det frivillige arbeidet og engasjementet i styret, alle nettverkene, komiteer og blant medlemmene. Jeg takker dere alle for innsatsen og ønsker dere en riktig god sommer. 4 SIRK nr

5 Cybersecurity is emerging within the fields of information security and traditional security to address sharp increases in cybercrime and, in some instances, evidence of cyberwarfare. Three major factors are contributing to the need for improved cybersecurity on a global basis: ubiquitous broadband, IT-centric business and society, and social stratification of IT skills. To address cybercrime and societal changes, many governments and institutions launched cybersecurity initiatives, ranging from guidance, through standardisation, to comprehensive legislation and regulation. ISACA has released the European Cybersecurity Implementation Series primarily to provide practical implementation guidance that is aligned with European requirements and good practice. This paper focuses on risk guidance in cybersecurity. INNHOLD VIRKSOMHETSSTYRING 8 DFØ som pådriver for bedre internkontroll i staten 22 Stadig mer kostbart å ignorere samfunn og miljø Pilotprosjektet «human rights due diligence» 28 Lansering av Veiledning for compliancefunksjonen 34 Ikke Redd for misligheter og korrupsjon 37 Integrert rapportering 38 Ikke-finansiell rapportering 34 RISIKOSTYRING 11 Rapportanmeldelse: European Cybersecurity Implementation: Risk Guidance 16 På vei mot helhetlig risikostyring 30 Hva skal til for å lykkes med risikostyring? INTERNREVISJON 6 Nye krav til bruk av internrevisjon i statlig sektor 12 Revisjon av personopplysninger 20 En gjesterevisors syn på internrevisjon 21 Bokanmeldelse: Lean auditing 23 Det var en gang The Bedrock of Quality 11 European Cybersecurity Implementation: Risk Guidance 27 FRA NIRF 33 Kurs: Introduksjon og praktisk internrevisjon 39 Ekstern Evaluering 40 Generalsekretærer informerer 23 Kurs: påseplikt og antikorrupsjonsdag SIRK nr

6 INTERNREVISJON Nye krav til bruk av internrevisjon i statlig sektor Før sommeren fastsetter Finansdepartementet krav om at statlige forvaltningsorganer med utgifter eller inntekter over 300 millioner skal vurdere om de bør etablere en internrevisjon. Samtidig kommer krav til innretning av internrevisjonen. Hva er de nye kravene? Og hvilken betydning kan regulering av internrevisjon få? Av CHRISTINE VIK OG OLA OTTERDAL seniorrådgivere i Direktoratet for økonomistyring (DFØ) De nye kravene om internrevisjon vil fastsettes av Finansdepartementet i et rundskriv (som blir en del av økonomiregelverket) og DFØ vil forvalte kravene. Den nye reguleringen vil inneholde to hovedkrav: statlige forvaltningsorganer som har samlede utgifter eller samlede inntekter over 300 millioner kroner i henhold til siste publiserte årsrapport skal vurdere om de bør etablere en internrevisjon. hvordan virksomheter som velger å etablere, eller allerede har etablert internrevisjon, innretter funksjonen. Det stilles krav til organisering, kompetanse og revisjonsplaner, bruk av anerkjente standarder og informasjon fra virksomheten. Finansdepartementet vil også stille krav til felles vurderingskriterier som virksomhetene må ta hensyn til når de skal vurdere om internrevisjon bør etableres. Disse vurderingskriteriene er: Virksomhetens størrelse og kompleksitet (inklusiv samlede utgifter eller inntekter) Risiko og vesentlighet Kvaliteten på virksomhetens styring og kontroll Slike felles vurderingskriterier skal bidra til at vurderingene som blir sendt til overordnet departement er basert på andre sentrale kriterier enn størrelse. I tillegg skal dette bidra til at vurderingene får noen fellestrekk, slik at de kan sammenlignes over tid og mellom virksomheter. Vurderingen skal gjennomføres innen 1.mai 2016 og sendes overordnet departement. Alle virksomhetene som blir berørt av kravene skal vurdere behovet for internrevisjon regelmessig, og minimum hvert fjerde år. Veileder om hvordan virksomheter kan gjennomføre vurderingen I DFØ forbereder vi veiledningsmateriell om hvordan statlige virksomheter kan gjennomføre vurderingen. Høsten 2015 vil vi arrangere et seminar for å gjøre veiledningsmateriellet kjent, og forberede virksomheter som faller inn under kravet om vurdering. Dette innebærer at DFØ får en tydeligere rolle når det gjelder fagområdet internrevisjon. Tidligere Når nærmere 80 virksomheter som ikke har intern revisjon fra før blir pålagt å vurdere dette, medfører det en bevisstgjøring av hva internrevisjon er, og hvilken merverdi en slik funksjon kan gi. har DFØ kartlagt bruk av internrevisjon og internkontroll i staten og gitt ut en veileder for statlige virksomheter som vurderer å etablere en internrevisjonsfunksjon. Når rundskrivet fastsettes av Finansdepartementet vil det nye materiellet erstatte denne veilederen. DFØ vil etter hvert også se nærmere på behovet for støtte til de virksomhetene som velger å etablere en internrevisjon. 6 SIRK nr

7 INTERNREVISJON Hvorfor reguleres internrevisjon i staten? Bruken av internrevisjon er regulert i kommunesektoren og i finanssektoren. Flere av de store statlige virksomhetene har hatt internrevisjoner i flere år. De fleste OECD-land har en regulering av bruken av internrevisjon i statlig sektor. OECD anbefalte i sin rapport Noen av virksomhetene som omfattes av det nye vurderingskravet er svært store målt i budsjett, og det blir interessant å se hvordan disse konkluderer og hvordan de begrunner sin konklusjon. «Value for Money in Government» (2013) at Norge utvikler og regulerer bruken av internrevisjon i statlige virksomheter. Finansdepartementet satte høsten 2013, blant annet på bakgrunn av anbefalingen fra OECD, i gang en utredning om bruk av internrevisjon i staten. Formålet med utredningen var å etablere mer forutsigbare rammer for bruk av internrevisjon i staten ved å videreutvikle økonomiregelverket og tilrettelegge faglige standarder og annen støtte for internrevisjon. Basert på utredningsrapporten og høringsuttalelsene som er kommet, har Finansdepartementet besluttet å fastsette krav om bruk av internrevisjon i økonomiregelverket. Hva betyr de nye kravene? Selv etter at de nye kravene om vurdering er fastsatt, vil det være frivillig for statlige virksomheter om de vil etablere en internrevisjon. Når nærmere 80 virksomheter som ikke har internrevisjon fra før blir pålagt å vurdere dette, medfører det en bevisstgjøring av hva internrevisjon er, og hvilken merverdi en slik funksjon kan gi. Selv om virksomheten konkluderer med at internrevisjon ikke er aktuelt på nå - værende tidspunkt, vil den bli mer bevisst på om styringen og kontrollen er god nok, og om det er behov for andre tiltak for å forbedre denne. Noen av virksomhetene som omfattes av det nye vurderingskravet er svært store målt i budsjett, og det blir interessant å se hvordan disse konkluderer og hvordan de begrunner sin konklusjon. Kravene kan gi positive ringvirkninger Det kan også forventes at departementene som mottar vurderingene blir mer bevisste på internrevisjon som verktøy i styringen, og behovet for internrevisjon blant sine underliggende virksomheter. Departementene skal motta vurderingene til orientering, men det vil også være naturlig at vurderingene blir et tema i etatsstyringsdialogen. Fra og med rapporteringen for 2014 skal årsrapporter for alle underliggende virksomheter følge en fastsatt inndeling, benevnelse og rekkefølge. Kapittel IV skal omtale styring og kontroll i virksomheten. Det er viktig å legge til rette for at virksomhetene får informasjon og kompetanse om hvordan en slik vurdering kan gjennomføres. De nye kravene har allerede vist seg å aktualisere behovet for vurdering av internrevisjon for noen virksomheter. Dette har sammenheng med at internrevisjonens sentrale rolle i å gi ledelsen objektive og uavhengige vurderinger av tilstanden på styring og kontroll. Selv om den nye reguleringen ikke omfatter et krav om at departementene selv skal vurdere å etablere internrevisjon, er ikke dette et hinder for at enkelte departement også kan gjøre en slik vurdering. En annen sannsynlig konsekvens av den nye ordningen er en bedre samordning mellom Riksrevisjonen på den ene siden og virksomhetene som bruker intern revisjon på den andre. Det at det stilles felles krav til hvordan internrevisjonen skal innrettes, gjør det lettere for Riksrevisjonen å bygge sine revisjoner på arbeid som internrevisjonene har utført. Dette legger til rette for at man skal få en god arbeidsdeling mellom intern revisjonene og Riksrevisjonen. DFØ bistår virksomheter med vurderingen I første omgang vil DFØs hovedfokus være kravene til vurdering og bistand til de virksomhetene som skal gjennomføre en vurdering innen 1. mai Det er viktig å legge til rette for at virksomhetene får informasjon og kompetanse om hvordan en slik vurdering kan gjennomføres, og hva opprettelse av en internrevisjon kan bety for virksomheten. I den sammenheng vil også NIRF spille en rolle. Vi håper de aktivitetene vi har planlagt vil bidra til gode og velbegrunnede valg. SIRK nr

8 VIRKSOMHETSSTYRING DFØ som pådriver for bedre internkontroll i staten DFØ er opptatt av at statlige virksomheter og departementer faktisk forbedrer sin internkontroll. Som leverandør av kompetanse- og rådgivningstjenester ønsker vi at veiledningsmateriellet vi utgir blir tatt i bruk. I kjølvannet av at vi høsten 2013 utga nytt veiledningsmateriell på dette temaet, lanserte vi Samarbeidsforum internkontroll. Dette har vært et vellykket tiltak som har gitt 29 statlige virksomheter og syv departementer mulighet til å videreutvikle sin internkontroll i samarbeid med DFØ. Av CHRISTINE VIK OG OLA OTTERDAL seniorrådgivere i Direktoratet for økonomistyring (DFØ) Direktoratet for økonomistyring (DFØ) er statens ekspertorgan innenfor statlig styring. Som statlig ekspertorgan skal DFØ, med utgangspunkt i regelverket for øko nomi styring, legge til rette for god styring i staten. Den unike rollen til DFØ er å ivareta statens behov for en helhetlig tilnærming på området. Krav til internkontroll er hjemlet i Reglementet for økonomistyring 14 og Bestemmelser om økonomistyring pkt. 2.4 Samarbeidsforumet er et møtested for ansatte i statlige virksomheter og departementer som jobber dedikert med internkontroll, og består av faste representanter fra virksomhetene som deltar. Temaene for samlingene følger DFØs metode for etablering og for bedring av internkontrollen. Deltakerene forventes å bidra aktivt, gjennom presentasjoner og diskusjoner rundt egne erfaringer. Etter en vellykket gjennomføring av samarbeidsforum i 2013/14, har vi kjørt en ny runde med nye virksomheter og departementer i Behov for et samarbeidsforum for internkontroll I en kompetansestudie DFØ gjennomførte i 2012/13 kom det tydelig frem at mange statlige virksomheter og departementer så behov for å forbedre kompetansen innenfor fagområdet intern kontroll. Flere merknader fra Riks revisjonen i Dokument 1 (Riksrevisjonens rapport om den årlige revisjon og kontroll) ga samme inntrykk. Tidligere erfaringer viser at det ikke er nok bare å utgi veiledningsmateriell, og å avholde kurs og seminarer. Arbeidet med internkontroll krever kontinuitet og en prosessmessig tilnærming, og derfor ville vi tilby kompetanseformidling som gjenspeiler dette. Erfaringsutveksling I samarbeidsforumet legges det stor vekt på læring av hverandre og de gode eksemplene. Som navnet tilsier er hovedformålet med et samarbeidsforum nettopp at deltakerne skal kunne dele gode eksempler og diskutere problemstillinger, for så å finne gode løsninger på felles utfordringer. De aller fleste statlige virksomheter har mye internkontroll på plass, men ofte «stykkevis og delt». System og struktur og ressurser brukt på kontroll versus verdiskapning er temaer som oppleves som utfordrende og som diskuteres mye i forumene. I samarbeidsforumet legges det stor vekt på læring av hverandre og de gode eksemplene. Gjensidig læring I samarbeidsforumet får vi kontakt med brukermassen vår over en lengre tidsperiode, og kan bistå dem som har konkrete planer med å forbedre internkontrollen sin. Dessuten når vi ut til flere på en gang, samtidig som vi legger til rette for nettverksbygging og samarbeid mellom deltakerne både under og etter samlingene. Vi i DFØ lærer også mye av deltakerne. Dette gjør oss til bedre leverandører av kompetanse - og rådgivnings tjenester. Vi har stor nytte og glede av å bli kjent med ulike statlige virksomheter og departementer og deres arbeid med internkontroll. Det er spesielt nyttig for oss å bli kjent med hvilke konkrete utfordringer 8 SIRK nr

9 VIRKSOMHETSSTYRING Foto: Kommunikasjonsenheten i DFØ deltakerne har, samt med de gode eksemplene som finnes der ute. Det er også verdi fullt å teste metoden og verktøyene vi har utviklet på fagområdet. På den måten får vi erfaringer som gjøre at vi kan tilpasse og forbedre vårt veiledningsmateriell, samt forbedre det totale tilbudet vårt. Praktisk gjennomføring av samarbeidsforumene Samarbeidsforum er en mellomting mellom kurs og nettverk. Deltakerne møtes til på fire til seks heldagssamlinger. Møte serien gjennomføres i løpet av ca. ett år. Vi følger DFØs metode for etablering og forbedring av internkontroll, og samlingene følger temaene i «Veileder i internkontroll». Disse temaene er: Fundamentet for god internkontroll (styrings- og kontrollmiljø og informasjon og kommunikasjon) Planlegging Risikovurdering Utforming Implementering Oppfølging Rapportering DFØ planlegger og legger praktisk til rette for samlingene, men det forventes aktive Med samarbeidsforum for internkontroll har vi funnet en arena der teori og praksis forenes. bidrag fra deltakerne før, under og etter samlingene. Samlingene gjennomføres med en blanding av presentasjoner fra deltakerne, eksterne foredragsholdere, gruppeoppgaver, plenumsdiskusjoner og plenumsforelesninger. Deltakerne blir oppfordret til å komme med innspill til gjennomføring og opplegg fra gang til gang. Slik oppnår vi eierskap og engasjement blant deltakerne. Forpliktende for både deltakere og DFØ For å sikre kontinuitet, ledelsesforankring og best mulig utbytte, må alle deltakere signere en «samarbeidsavtale». Denne avtalen forplikter dem til å stille på samtlige samlinger med minst én fast deltaker. I tillegg må DELTAKERE SAMARBEIDSFORUM 2015 Virksomheter: Statistisk sentralbyrå Universitetet i Oslo Fredskorpset Norad Direktoratet for nødkommunikasjon Politiets utlendingsenhet Høgskolen i Hedmark Finanstilsynet Helsedirektoratet Bufdir Høyskolen i Telemark NTNU Høgskulen i Volda Arkitektur- og designhøyskolen i Oslo Høyskolen i Lillehammer Arbeidstilsynet Departementer: Justis- og beredskapsdepartementet Kommunal- og moderniseringsdepartementet Nærings- og fiskeridepartementet SIRK nr

10 VIRKSOMHETSSTYRING DELTAKERE SAMARBEIDS FORUM 2013/14 Virksomheter: DFØ Arbeids- og velferdsdirektoratet (NAV) Politidirektoratet Forsvarsstaben Kystverket Stortingets Administrasjon Statens vegvesen Politiets utlendingsenhet Helsedirektoratet Statens pensjonskasse Statped Forsvarets forskningsinstitutt Departementer: Arbeids- og sosialdepartementet Finansdepartementet Kunnskapsdepartementet Barne-, likestillings- og inkluderingsdepartementet noen fra ledelsen stille på siste samling. Avtalen signeres av en fra ledelsen hos virksomheten eller departementet som deltar, og av DFØs direktør, Øystein Børmer. Vi i DFØ skal gjennom året «pushe» virksomhetene til å prioritere kontinuitet i arbeidet med internkontroll, og hjelpe deltakerne med å komme godt i gang. Videre er vi sparringspartner underveis i året og legger til rette for best mulig sam arbeid og erfaringsutveksling mellom deltakerne. Det ble gjennomført en evaluering etter første runde med samarbeidsforum i 2013/14. Erfaringene og tilbakemeldingene viser at en slik måte å jobbe på har vært svært nyttig. Flere av virksomhetene har tatt i bruk ett eller flere av de praktiske verktøyene DFØ tilbyr, og alle har kommet videre i arbeidet med å forbedre internkontrollen. DFØ er svært fornøyd med responsen og påmeldingene til forumet. Deltakerne For mer informasjon om internkontroll, Samarbeidsforum internkontroll og kontaktpersoner besøk vår nettside internkontroll har vært, og er, virksomheter og departementer med ulikt modenhetsnivå på internkontrollen. Virksomhetene representerer også svært ulike samfunnsoppdrag. Dette har gitt gode sammensatte grupper som representerer mangfoldet i staten, og som gir et godt grunnlag for læring på tvers. I 2015 består forumet for virksomheter dessuten av ti høy skoler og universiteter, noe som skaper et godt potensial for videre samarbeid i universitets- og høyskolesektoren. Vi i DFØ jobber for effektiv ressursbruk og bedre styring i staten. Med samarbeidsforum for internkontroll har vi funnet en arena der teori og praksis forenes. Dermed tror vi at deltakerne står bedre rustet til å møte den utfordringen det er å få internkontrollen tilpasset risiko og vesentlighet, samt integrert i styringen på en måte som er tilpasset behovet i egen virksomhet. Komplekse utfordringer tydelige løsninger KPMG har engasjerte eksperter med lang erfaring og sterk fagkompetanse innenfor internrevisjon. Som internrevisor er vi tilgjengelig som en sentral rådgiver og sparringspartner for styret, ledelsen og fagmiljøer. Vi bidrar til kompetanseutvikling samt virksomhetens risikostyring og internkontroll. Våre tjenester inkluderer: Etablering av internrevisjon i virksomheten Co-sourcing: Samarbeidsavtale med internrevisjonen om gjennomføring av internrevisjoner Outsourcing: KPMG tar ansvar for helhetlig internrevisjon i virksomheten Lei en internrevisor (management for hire) Kvalitetssikring av internrevisjonen i virksomheten Vi løser komplekse utfordringer hver dag. Fordi det er det vi kan best. Les mer på kpmg.no eller ta kontakt med oss for ytterligere informasjon: Ole Willy Fundingsrud, Director, e-post: Helge Brynestad, Senior Manager, e-post: Magnus Digernes, Senior Manager, e-post: Tlf.: kpmg.no 10 SIRK nr

11 RISIKOSTYRING Rapportanmeldelse Risikoveiledningen er en av tre fagrapporter i en rapportserie fra ECI om nettsikkerhet. Veiledningen understreker viktigheten av å se nettsikkerhetsrisikoer i sammenheng med virksomhetens øvrige risikoer. For å bidra til at virksomheten opererer med et så korrekt risikobilde som mulig, anbefales det å bruke et rammeverk som dekker både kjente og mulig fremtidige nettsikkerhetsrisikoer. Av ESA LEPORANTA, Systems Audit Manager, Nets Norway AS European Cybersecurity Implementation: Risk Guidance Veiledningen er delt inn i fem kapitler: 1) Risiko-oversikt og strategi, 2) Identifi sering av risikoer innen nettsikkerhet, 3) Analysering, evaluering og aggregering av nettsikkerhetsrisikoer, 4) Håndtering av risiko og 5) Ledelse av nettsikkerhetsrisikoer. Første kapittel innledes med å synlig gjøre at det finnes flere aktuelle rammeverk for risikostyring. Deretter presenteres et overblikk over risikorammeverket fra European Network and Information Security Agency (ENISA). Videre beskrives det hvordan delprosessene i ENISAs rammeverk kan knyttes til det mer kjente COBIT 5 rammeverket. Andre kapittel om risikoidentifisering vektlegger behovet for å identifisere nettsikkerhetsrisikoer som kan være både direkte og indirekte knyttet til virksom heten, virksomhetens ansatte og ressurser. Det anbefales at virksomheten ved gjennomgangen av risikoene legger til rette for utarbeidelse av COBIT 5 risikoscenarier. For en detaljert oversikt over risikoscenarier refereres det til en rapport på ISACAs nettsider. Flere eksempler av nettsikkerhetsrisikoer er inkludert i rapporten, noe som bidrar til å øke forståelsen av om rådet. For en grundigere gjennomgang av risikoer henvises det til en oversikt på ENISAs nettsider. Det tredje kapitlet, om analysering av nettsikkerhetsrisikoer, viser innledningsvis til hvilken input det trengs ved gjennomføring av risikoanalyser og hvordan denne informasjonen kan struktureres ved hjelp av COBIT 5 rammeverket. COBIT 5 tilnærmingen fokuserer på å strukturere risikomaterialet slik at det dekker hele nettsikkerhet suniverset. Etter analyse av risikomaterialet, skal det tas stilling til hvordan risiko ene bør be handles. Videre skal identifiserte risikoer aggregeres for å kunne utarbeide et konsolidert risikobilde for virksomheten. Avslutningsvis skal risikoer med liknende effekt plasseres i samme risiko grupper for å redusere virk - somhetens samlede ressursbruk. I kapittelet om håndtering av nettsikkerhetsrisikoer tas det som utgangspunkt at de fleste identifiserte nett sikker hetsrisikoer blir en realitet - før eller senere. Eventuelle krav i lov og forskrifter vil medføre at bedrifter heller ikke uten videre kan velge bort håndteringen av enkelte risikoer. Basert på dette, er det an befalt å ut arbeide COBIT 5 baserte risiko scenarier for å kunne fokusere på de strategisk vesentlige risikoene og for å tilpasse innsatsnivået til virksomhetens egenart. Det siste kapittelet innledes med å vise fordelene med å bruke COBIT 5 rammeverket. Kapittelet avsluttes med å henvise til relevante kilder som kan brukes for å systematisere virksomhetens reaksjoner ved et nettsikkerhetsangrep. Cybersecurity is emerging within the fields of information security and traditional security to address sharp increases in cybercrime and, in some instances, evidence of cyberwarfare. Three major factors are contributing to the need for improved cybersecurity on a global basis: ubiquitous broadband, IT-centric business and society, and social stratification of IT skills. To address cybercrime and societal changes, many governments and institutions launched cybersecurity initiatives, ranging from guidance, through standardisation, to comprehensive legislation and regulation. ISACA has released the European Cybersecurity Implementation Series primarily to provide practical implementation guidance that is aligned with European requirements and good practice. This paper focuses on risk guidance in cybersecurity. European Cybersecurity Implementation (ECI): Risikoveiledning 1 COBIT 5 for Risk, ISACA, 2013 Veiledningen er velegnet til å gi internrevisorer et kort overblikk over risikoer knyttet til nettsikkerhet. SIRK nr

12 INTERNREVISJON Revisjon av personopplysninger Av MARTIN W. STEVENS Internrevisor, Gjensidige Forsikring Innledning Vi har alle en interesse av at personlig informasjon blir holdt fortrolig, og ikke brukes til annet formål (f.eks brysom reklame eller kriminell virksomhet) enn det vi gir tillatelse til. Det finnes heldigvis lovverk som skal beskytte oss på dette området. Personopplysnings loven gir klare føringer, og ved manglende etterlevelse kan virksomheter risikere bøter. Størrelsen på slike bøter i Norge er forventet å øke, fra nåværende 10G til 2% av virksomhetens omsetningen, i tråd med den foreslåtte nye EU-forordningen. Det er imidlertid ikke bare boten som kan skade virksomheten. Avsløringer om svikt i oppbevaring og bruk av persondata kan fort havne i media, og således er dette en alvorlig renommérisiko som intern revisor må ta med i sin vurdering av virksomhetens risiko bilde. I artikkelen ønsker jeg å gi en del praktiske innspill til hvordan man kan legge opp en revisjon av kravene i Person opplysningsloven, og videreformidle noen av mine egne erfaringer fra å ha revidert dette området. Områder for revisjon Personopplysningsloven skal verne individet fra at private anliggende blir offentlig kjent, derav snakker vi om at Personopplysningsloven er en lov om person vern. Å revidere virksomheten i forhold til personvernets krav er en typisk «compliance» revisjon, og da er det nødvendig først å sette seg inn i lovens krav. Selv om jeg ikke har juridisk bakgrunn, ble jeg overrasket over hvor greit det egentlig var å tilegne seg kunnskap og forståelse på dette området. I tillegg til selve loven med forskrift, kan man få mer utfyllende informasjon fra Datatilsynets nettsider. Man bør også innhente og gjennomgå interne dokumenter som omhandler hvordan Foto: Shutterstock.com virksomheten skal forholde seg til Personopplysningslovens krav og eventuelle krav i konsesjonsvilkår. Det forventes at det finnes en policy for behandling av personopplysninger, samt en IT-sikkerhetspolicy på overordnet nivå. Internrevisor bør blant annet vurdere om disse styrende dokumenter definerer det organisatoriske ansvaret på fagområdet i tilstrekkelig grad, og om det omfatter en beskrivelse av stillinger definert i loven, som f.eks personvernombud, behandlingsansvarlig og daglig behandlingsansvarlig. Revisjonen av krav i Personopplysningsloven skal kunne gjøre internrevisor i stand til å konkludere på: 1. Kvaliteten av den overordnede ansvarfordelingen og hvordan dette er kommunisert videre til den operative delen av organisasjonen. 2. Kvaliteten på gjennomføring av overordnede krav i frontlinjen, herunder begrensninger i IT-systemer. 12 SIRK nr

13 INTERNREVISJON 3. Hvordan oppfølging av etterlevelse av rutiner foretas, og hvordan status rapporteres til ledelsen. De primære områder i Personopp lysningsloven som internrevisor kan ønske å fokusere på ut fra en risiko betraktning, kan være: 1. Vilkår for å behandle personopplysninger, herunder samtykke ( 8) 2. Lovens grunnkrav til behandling av personopplysninger ( 11) 3. Identifikasjon og særskilt behandling av sensitive personopplysninger ( 9) 4. Slettingsrutiner ( 28). 5. Informasjonssikkerhet. Det er krav om at virksomheten «gjennom planlagte og systematiske tiltak sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger» ( 13). 6. Outsourcing av databehandlingen gjennom databehandleravtale ( 15). Det er uansett viktig at man i sine styringssystemer synliggjør at det er systematisk kontroll og oppfølging, samt at saker som har med personvern å gjøre blir merket spesielt. Overordnet oversikt I følge Personopplysningsforskrift 2-4 skal det «føres oversikt over hva slags personopplysninger som behandles». Eksempel på oversikt over personopplysninger som behandles er presentert i «En veiledning om internkontroll og informasjonssikkerhet» utgitt av Datatilsynet. Den legger opp til at man for hver informasjonstype/databehandlingsformål identifiserer følgende: 1. Hjemmelsgrunnlag for å behandle opplysningene 2. Aktuell melding eller konsesjon 3. Om det omfatter sensitive opplysning er eller ikke 4. Hvor opplysningene lagres og om de overføres via eksterne media 5. Personopplysningenes omfang (f.eks antall kunder eller ansatte) 6. Eventuell avdeling som behandler personopplysningene 7. System-/dataeier En slik oversikt vil være en god hjelp i å identifisere aktuelle områder for revisjon, og til å konsentrere seg om f.eks de om rådene som behandler «sensitive» personopplysninger (som er definert nærmere i loven) ut fra en risikovurdering. Kompetanse Internrevisor skal vurdere om egen kompetanse er tilstrekkelig i forhold til fagkrav, og om man er i stand til å vurdere hvorvidt organisasjonen etterlever loven på en tilfredsstillende måte og eventuelt i hvilken grad beste praksis blir fulgt. I tillegg til selv å sette seg inn i nyttig og relevant materiale, kan det også være aktuelt å vurdere om man kan få utbytte av å leie inn eksterne konsulenter med erfaring fra andre virksomheter både nasjonalt og internasjonalt på dette fagfeltet. Fremgangsmåten Når det gjelder teknikkene internrevisor kan anvende ved revisjon av krav i Personopplysningsloven, kan følgende være aktuelt: 1. Gjennomgang og vurdering av styrende dokumenter 2. Intervjuer med nøkkelpersoner innenfor området (herunder behandlingsansvarlig og eventuelt personvernombud), samt ledere og ansatte i første linjen 3. Test av om rutinen følges 4. Vurdering av lederoppfølging gjennom mottatte rapporter og igangsatte tiltak 5. Vurdering, der aktuelt, av egen virksomhets oppfølging av ekstern databehandlers rutiner for behandling av persondata og informasjonssikkerhet. F.eks vil man kunne undersøke hvorvidt ansatte i egen virksomhet følger opp eventuelle rapporter fra operasjonell revisjon av databehandleren DEFINISJONER HENTET FRA PERSONOPPLYSNINGSLOVEN MED FORSKRIFT Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige, SENSITIVE PERSONOPPLYSNINGER: opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e)medlemskap i fagforeninger. Samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv, Personvernombud som har i oppgave å sikre at den behandlingsansvarlige følger personopplysningsloven med forskrift REFERANSE TIL LOVEN OG DATA TILSYNETS INTERNETTSIDER PERSONOPPLYSNINGSLOVEN PERSONOPPLYSNINGSFORSKRIFT DATATILSYNETS INTERNETTSIDE https://www.datatilsynet.no/ DATATILSYNETS INTERNKONTROLL VEILEDER https://www.datatilsynet.no/verktoy-skjema/ Veiledere/Internkontroll-og-informasjonssikkerhet/ SIRK nr

14 INTERNREVISJON Det kan være fristende med hensyn til en effektiv gjennomføring av revisjonen å hoppe over intervjufasen, men etter min mening er intervjuer viktige for å danne seg et grunnlag for å uttale seg om: 1. lovens krav er tilstrekkelig formidlet til de ressurser som skal gjennomføre rutinene, 2. om det er systemmessige eller organisatoriske svakheter som bør følges opp, eller 3. om ledelsens oppfølgingsrolle er forstått. En prinsipiell sak som bør vurderes i overordnet policy, er om morselskapets krav til organisasjonen i forhold til lokal lovgivning burde fastsettes som minimumskrav for hele konsernet. I et internasjonalt konsern kan det også være fornuftig å sørge for å legge til rette for fagfora der erfaringer med, og tekniske eller administrative løsninger på Utfordrende områder Ut fra egen erfaring og drøftelser med andre internrevisorer er det en del om - råder som jeg mener man bør være ekstra oppmerksomme på ved revisjon av personopplysninger: I et internasjonalt konsern kan det også være fornuftig å sørge for å legge til rette for fagfora der erfaringer med, og tekniske eller administrative løsninger på personvernområdet drøftes. 1. Kontroll og oppfølging I Personopplysningsforskrift paragraf 2-6 stilles det krav til at bruk av informasjonssystemet i strid med fastlagte rutiner, samt sikkerhetsbrudd, skal behandles som avvik. Her stilles det krav til at avviks behandling gjenoppretter Foruten økte bøtenivåer bekrefter forslaget til forordningen nød ven digheten av å ha tilstrekkelige internkontrollrutiner. normal til standen og hindrer gjentagelse, og at dette resultatet dokumenteres. Etter min mening ligger det til grunn et intern kontrollregime som er basert på metodikk for kvalitetskontroll, altså hvor det ligger en forbedringssløyfe fra feil som er oppstått til ny eller endret prosess. Dette må hensyntas i den operasjonelle risikostyringen som legges til grunn i virksom heten. Det bør ikke være slik at man legger opp til et helt adskilt opplegg for behandling av Personopplysningslovens krav. Det er uansett viktig at man i sine styringssystemer synliggjør at det er systematisk kontroll og oppfølging, samt at saker som har med personvern å gjøre blir merket spesielt. På denne måten kan svakheter i etterlevelse av krav i Personopplysningsloven rapporteres ved behov. En slik rapport bør sendes regelmessig til bl.a. behandlingsansvarlig. 2. Konflikt med andre lovbestemmelser Det kan oppstå situasjoner der det er nødvendig å fravike krav i Personopplysningsloven. Dette gjelder f.eks for finansinstitusjoner og hvitvaskingskontroll. Slike unntak er tatt høyde for i lovens 23. Det er viktig å kunne synliggjøre en bevisst vurdering i de tilfeller der man ikke skal følge Personopplysningsloven på grunn av krav i andre lover, eller behandling av kriminelle aktiviteter. 3. Internasjonal virksomhet Regelverket på personvernområdet vil variere fra land til land. Innen EU og EØS er det et sammenfallende regelverk, men strengheten og fokus i tilsynsregimet varierer fra land til land. En revisjon på tvers av en internasjonal virksomhet vil kreve at man forholder seg til lokale regler og tolkninger. Innen dette området kan en skandale ha renommémessige konsekvenser. For noen virksomheter vil man kunne oppleve negative opplevelser også i morselskapets hjemland, dersom det er snakk om grove og uetiske overtredelser. personvernområdet drøftes. Foruten å gi anledning til spredning av beste praksis, vil dette også kunne støtte de landene med begrenset anledning til å satse på dedikerte fagressurser. Fremtidig utvikling Det forventes at en ny forordning om personopplysninger vil gjøres gjeldende i løpet av Praktisk talt vil dette ikke føre til store endringer av krav i dagens regelverk. Foruten økte bøtenivåer bekrefter forslaget til forordningen nødvendigheten av å ha tilstrekkelige internkontrollrutiner. Fordelene med den nye forordningen er at konsesjonsordninger skal bortfalle, og regelverket vil etter hvert være mer likt over hele EU. Avslutningsvis I denne artikkelen har jeg rettet oppmerksomheten mot noen sentrale områder ved revisjon av personopplysninger. Økt forståelse av konsekvensene av manglende etterlevelse av Personopplysningslovens krav bør føre til at internrevisorer inkluderer dette området i sin risikovurdering. Personopplysningslovens krav kan revideres og som vanlige medborgere er det også i vår interesse at det er god etterlevelse av loven på dette området. 14 SIRK nr

15 EXECUTIVE MASTER OF MANAGEMENT INTERN REVISJON Governance Risikostyring Intern styring og kontroll Oppstart høsten 2015 bi.no/emm Få forståelse for samspillet mellom virksomheters etablerte strategier og mål, og hvordan du kostnadseffektivt sikrer at målene oppnås gjennom god virksomhetsstyring. Programmet tar utgangspunkt i aktuelle aspekter av hvordan toppledelsen og styret skal få relevant informasjon om organisasjonens situasjon. Du får innsikt i hvordan bruk av intern revisjon og aktiv risikostyring og er en nøkkel til god måloppnåelse. Du lærer også hvordan den interne revisor i samspill med andre kan utøve sin funksjon. Programmet er utviklet og blir gjennomført i samarbeid med Norges Interne Revisorers Forening (NIRF).

16 RISIKOSTYRING På vei mot helhetlig risikostyring INTERVJU MED ØIVIND PEDERSEN, FAGLEDER IT PRODUKSJON, VPS Verdipapirsentralen ASA (VPS) er på vei mot å implementere en løsning som gir en helhetlig risikostyring. Det var imidlertid ikke ønsket om å følge beste praksis innenfor risikostyring som initierte implementeringen av nytt kvalitets- og saksflytsystem. Det var behovet for å ha en effektiv og dokumentert saksbehandling og et godt CRM system som var drivende, men VPS får helhetlig risikostyring med på kjøpet. AV REIDAR DØLI INTERNREVISOR KONSERN, OSLO BØRS VPS Rammebetingelser Rammene for virksomheten til VPS er gitt i egen lov med forskrift samt ved konsesjonsvilkår fra Finansdepartementet. Videre stiller Finanstilsynets forskrifter om risikostyring og internkontroll og IKT krav til selskapets styring og kontroll. En ny EU lovgivning er på vei inn med ytterligere krav og med en forventet implementering i 2016/2017. Samlet sett stiller denne reguleringen krav til hvordan virksomheten innretter sin risikostyring. ITIL basert kvalitets- og saksflytsystem Selskapet har implementert et ITIL basert kvalitets- og saksflytsystem (heretter kalt KS-systemet) som er blitt et svært viktig verktøy for selskapet og som langt på vei ivaretar de kravene som reguleringen stiller til risikostyring og internkontroll. Det har blitt et viktig verktøy for Internrevisjonen. Det har også fått en del å si for styret, ved at deler av den formelle styrerapporteringen, blant annet når det gjelder oppfølging av risikostyring og internkontroll, er basert på KS-systemet. Implementeringen av verktøyet var ikke først og fremst drevet at et ønske om å innføre et verktøy til støtte for en helhetlig risikostyring. Det lå langt mer praktiske hensyn til grunn. For å finne mer ut av dette tok jeg kontakt med Øivind Pedersen som er fagleder på IT produksjon og primus motor på KS-systemet i VPS. Samtale med Øivind Pedersen Øivind forteller at VPS hadde et annet kombinert kvalitets-, kunderelasjonshåndterings (CRM)- og dokumenthåndteringssystem, og at det for ca 3 år siden satt i gang et prosjekt for å skifte ut dette. Et viktig argument for å bytte systemet var at all videreutvikling av det eksisterende systemet måtte kjøpes utenfra, hvilket kostet både tid og penger. Det overordnede kravet til et nytt system var at det måtte gi tilfredsstillende sporbarhet i saksbehandlingen samt at det skulle ha tilfredsstillende CRM funksjonalitet. Valget falt ned på en modulbasert løsning hvor VPS er selvhjulpen med hensyn til ut vikling, systemet er skalerbart mht sakstyper og det dekker behovene for CRM. VPS gikk live med det nye KS-systemet i mai Det startet pent med implementering av sakstypene avvikshåndtering og implementering av endringer. I dag er følgende hovedmoduler og sakstyper på plass: Organisasjon/kontakt som er basis for CRMsystemet. Sak som er skalerbart og hvor VPS har lagt opp sakstypene problem, hendelser/avvik, tiltaksoppfølging, endringer/hasteendringer, kundeforespørsler, produksjonsplan mv. Inventar som omfatter alle produkter og tjenester med servicekrav samt kategorier for kundenes tilganger og autorisasjoner til systemer. Avtale inneholder alle kunde- og leverandøravtaler. Det dukker stadig opp ønsker om nye bruksområder og derved nye sakstyper: I forbindelse med at VPS er i gang med et større prosjekt med innslag av eksterne deltakere, er håndtering av eksterne konsulenter ivaretatt i KS-systemet. Hele den prosessen konsulenten skal gjennom og de godkjennelser som skal gis fra utlevering av PC og tildeling av tilganger og autorisasjoner mv helt frem til oppdraget er ferdigstilt, dokumenteres gjennom KS-systemet. Det ble nylig lagt opp en ny e-postboks hvor alle forespørsler og kommunikasjon fra kunder vedrørende et spesielt prosjekt blir logget og fulgt opp. 16 SIRK nr

17 RISIKOSTYRING Foto: Shutterstock.com Det er etablert en egen sakstype for tiltak etter internrevisjoner hvor tiltak, ansvarlig for gjennomføring og frister er lagt inn. Det er etablert en Issuelog som er designet etter krav i prosjektmetodikken Prince2. Dette gir eier av prosjektet en god oversikt over status på alle issues. Datovarsling legges inn der det er ønskelig, som for eksempel ved: Oppdrag fra kunder som skal gjennomføres for kunder frem i tid. Disse registreres med dato for varsling for når forberedelsene skal starte. Leverandøravtaler som har automatisk forlengelse hvis de ikke sies opp. Man motvirker da risikoen for at selskapet må betale for software som ikke er i bruk. Andre eksempler på positive effekter av KS-systemet er bedre kvalitet på kundebehandlingen. Den kundeansvarlige som jobber i markedet har til enhver tid oversikt over samtlige saker som er registrert på sin kunde. Dette er svært nyttig i forbindelse med kundemøter der den kundeansvarlige kan demonstrere at hun/ han har full og oppdatert oversikt over status på kundehenvendelser, kundeoppdrag osv som er registrert på den aktuelle kunde. Det var i tidligere tider også en risiko for at flere utviklere arbeidet med å utvikle den samme funksjonaliteten uten at de var klar over det. Det er ikke lenger mulig. Pedersen legger til at han hele tiden har sett etter nye bruksområder for verktøyet. Nylig kom det inn en ny forespørsel om et opplegg for varsel til den som er ansvarlig for å utføre en kontrollhandling. Bakgrunnen for ønsket er et fremtidig EU-krav om sporing og dokumentasjon for utførelse av kontrollhandlinger/verifisering av etterlevelse. Pedersen konkluderer med at KS-systemet fungerer godt. Det er kanskje en terskel å ta det i bruk. Rapportfunksjonaliteten er enkel, men systemet dekker det behovet selskapet har. Det er imidlertid viktig at det gjennomføres en oppfølging av backlog/utestående saker og purring på gamle saker. Det er etablert et opplegg for varsling hvor det er lagt spesielt vekt på de mest risikoutsatte sakstyper. Han viser avslutningsvis til at det i løpet av de to årene KS-systemet har vært i drift er blitt generert ca saker. Det tilsvarer omlag 35 saker per dag. Internrevisjonen For Internrevisjonen har KS-systemet stor verdi og bruksområdene er mange. Ett eksempel er at internrevisor kan gå inn på Verdipapirsentralen ASA (VPS) ble stiftet i 1985, i forbindelse med at norske verdipapirer gikk over fra å være fysiske papirer til å bli elektroniske. VPS er den eneste verdipapirsentralen i Norge, og leverer effektiv infrastruktur og tjenester for oppgjør og registrering av rettigheter for verdipapirer. Selskapet tilbyr registrering av alle de viktigste typene finansielle instrumenter som omsettes i Norge aksjer, obligasjoner, egenkapitalbevis, sertifikater og fondsandeler. Produktbredden er betydelig selv i internasjonal sammenheng. VPS leverer sine tjenester til investorer og utstedere gjennom et nettverk av meglere, banker og forvaltningsselskaper. Det er disse, kontoførerne, som forvalter kunderelasjonene og som står for den daglige bruken av VPS-tjenestene. SIRK nr

18 RISIKOSTYRING loggen over saker de siste dagene forut for et styremøte for å sjekke om det er noen spesielle forhold som bør undersøkes nærmere. Ett annet anvendelsesområde er i foranalyser i forbindelse med planlegging av revisjoner, for eksempel hvis en ønsker å se på avvikshåndteringen. KS-systemet gir oversikt over forekomster i hver enhet med kategorier for alvorlighet og status i gjennomføring av tiltak. Data fra KS-systemet kan også med fordel benyttes i selve revisjonen for å måle kvalitet i saksbehandlingen og i rapporteringen til linjen og til styret. Det kan enkelt lages oversikter over antall saker av hver kategori innenfor den aktuelle enheten som viser hvor mange saker som er åpne kontra hvor mange som er lukket. Et eksempel på en slik oversikt er vist i figur 1. Det kan også gjennomføres en måling av hvor lang tid det har tatt å lukke saker, se figur 2, og videre en oversikt over alderssammensetning på de åpne sakene, se figur 3. VPS mot en helhetlig risikostyring Selv om ambisjonen til VPS ikke først og fremst har vært å implementere en helhetlig risikostyring, er mange av elementene kommet på plass som følge av innføringen av KS-systemet: Det er en kontinuerlig prosess. Ressurser på alle nivåer i organisasjonen er involvert. Det er anvendt på tvers av alle enheter. Hendelser i alle kategorier blir identifisert og håndtert i forhold til den definerte risikoappetitten. Det er fokus på måloppnåelse og KS-systemet er egnet til å gi rimelig grad av sikkerhet for virksomhetens ledelse og styre. Andre deler av risikostyringen er ikke direkte linket inn mot KS-systemet og håndteres så langt utenfor systemet. Det gjelder strategiprosessen og de tilhørende handlingsplanene. Virksomhetens risikoappetitt er fastsatt i en policy og operasjonalisert gjennom en modenhetsvurdering, men det er pt ikke funnet en hensiktsmessig måte å innlemme dette i KS-systemet. Risikovurderinger gjennomføres ved bruk av et annet verktøy enn KS-systemet, men de tiltak som etableres som følge av de løpende og årlig oppdaterte risikovurderingene følges opp ved KS-systemet Figur 1. Enheten eier 421 saker hvorav 70 åpne og 351 lukkede. 0 Figur 2 Majoriteten av saker lukkes i løpet av den første uken Figur 3 Relativt få saker har stått åpne i lengre tid enn et halvt år. Åpen Lukket 18 SIRK nr

19 Close the gap Undersøkelser viser at det stilles økte krav og forventninger til internrevisjonens risikodekning, effektivitet og forretningsforståelse. Flere internrevisjonsfunksjoner opplever kompetanseutfordringer kombinert med en fleksibel og effektiv organisasjonsstruktur. Ta kontakt med oss om du ønsker: å vite mer om resultatene fra våre nordiske og globale internrevisjonsundersøkelser bistand til å etablere/videreutvikle internrevisjonen i din virksomhet tilgang til spisskompetanse Terje Klepp Tove Albrektsen Partner Executive Director Tlf Tlf Ernst & Young AS. All Rights Reserved.

20 INTERNREVISJON En gjesterevisors syn på internrevisjon INTERVJU MED JEANETTE ANDERSEN GJENSIDIGE Riktig kompetanse er kritisk for at internrevisjon skal kunne gjennomføre prosjekter med nødvendig innsikt. Internasjonalt har det lenge vært praktisert rotasjons- og gjesterevisorordninger. Dette har også vært praktisert hos noen virksomheter i Norge som en naturlig del av bedriftens karriereutvikling. Jeg trodde først internrevisjon var noe kjedelige greier med tall og regnskap, og fikk derfor en åpen baring når jeg leste på intranettet om hva en internrevisjon faktisk gjør. Internrevisjon i Gjensidige introduserte i fjor en «rotasjons- og gjesterevisor ordning», hvor ansatte inviteres til å søke for å arbeide med internrevisjonen i enkeltprosjekter eller for lengre opphold. Formålet er å bringe kunnskap fra linjen til internrevisjonen, samt gi økt innsikt i internrevisjonens systematiske arbeid på fagfeltene risiko- og virksomhetsstyring og internkontroll tilbake til organisasjonen igjen. Etter intern utlysning på intranett, viste det seg å være stor interesse. Denne gangen var det Jeanette Andersen som arbeidet som kunderådgiver (nominert som ildsjel i Gjensidige) i Fredrikstad, som fikk muligheten. Vi i redaksjonen var nysgjerrige på hennes opplevelse og inntrykk fra dette oppholdet. Hva fikk deg til å søke denne stillingen? Godt spørsmål. Det var nok ikke alle som så den komme fra min side! Jeg hadde for det første lyst til å bidra inn i organisasjonen med kompetanse fra førstelinje, både på kundeorientering, system og fag. For det andre så var det ett ønske fra min side å tilegne meg kompetanse på metodisk og analytisk arbeid. Jeg trodde først internrevisjon var noe kjedelige greier med tall og regnskap, og fikk derfor en åpenbaring når jeg leste på intranettet om hva en internrevisjon faktisk gjør. For en overraskelse og jeg tenkte; DETTE vil jeg prøve. Hvilke opplæring og introduksjon fikk du til internrevisjon og i avdelingen? Når jeg begynte så fikk jeg faglitteratur å lese, samt e-læring fra CEB. Dette var veldig nyttig. Deretter fikk jeg gå på kurset «introduksjon til internrevisjon» i NIRF. Også ett veldig bra kurs med flinke foredragsholdere og god dialog i klasserommet. Jeg har allikevel lært mest av å jobbe med mine kollegaer. En av mine kollegaer har «tvunget» meg inn i metodikkmalen. Jeg jobber nå i en temarevisjon, og da ser jeg virkelig nytten av å ha sine referanser og arbeidsdokumenter på stell. Det kjennes utrolig tilfredsstillende å vite at jeg kan dokumentere med «revisjonsbevis» det magefølelsen sier. Hva likte du best ved oppholdet i internrevisjonsavdelingen? Jeg synes det var veldig spennende å jobbe på konsernnivå. Få mulighet til å se de virkelig store linjene. Det var også interessant å kunne få tilgang til både ledelse og kollegaer jeg aldri har møtt før. Det var en berikelse som jeg setter veldig pris på. Hvilke kompetanse (erfaring/kunnskaper) hadde du fra før som du fikk nytte av i jobben som internrevisor? Jeg mener jeg har turt å utfordre på å gjøre det vanskelige enkelt. Bruke folkelig terminologi, og ikke for mange ord. Jeg har hele tiden hatt kundefokus, noe jeg hele tiden har sørget for å innlemme i scopet vårt. Jeg har utfordret revisjonsteamet på å trene kommunikasjon. Videre har jeg nok gitt teamet en vitamininnsprøyting med mitt engasjement og entusiasme. Hva mener du er det viktigste internrevisjon kan bidra med i en virksomhet? Jeg liker å tenke på internrevisjon som en hovedcoach for selskapet. Vi skal bidra til at vi når våre mål ved å være på «ballen» og dra i riktig retning sammen med ledelsen. Jeg mener enhver virksomhet burde ha internrevisjon, det er ekstremt verdifullt å ha den overordnede innsikt som en internrevisjon besitter. Jeg mener selvsagt også at å ha med seg gjesterevisorer ikke er annet enn positivt. 20 SIRK nr

Informasjonsmøte Samarbeidsforum internkontroll

Informasjonsmøte Samarbeidsforum internkontroll Informasjonsmøte Samarbeidsforum internkontroll 10. oktober 2013 Direktoratet for økonomistyring Velkommen og introduksjon v/ingrid Buhaug Brænden Side 2 Program Side 3 Hvorfor bør alle statlige virksomheter

Detaljer

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Felles medlemsmøte NFKR og NIRF, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Generalsekretær Ellen Brataas, CIA, CISA Formål og visjon Formål

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Revisjon av styring og kontroll

Revisjon av styring og kontroll Revisjon av styring og kontroll Møte nettverk virksomhetsstyring 12. desember 2014 Direktoratet for økonomistyring Side 1 Agenda 09:00 09:15 10:00 10:15 11:00 11.30 Velkommen og innledning v/ DFØ Revisjon

Detaljer

Erfaringer fra NIRF`s kvalitetskontroll

Erfaringer fra NIRF`s kvalitetskontroll Erfaringer fra NIRF`s kvalitetskontroll Jørgen Bock Kvalitetskomitemedlem NIRF Nestleder styret Statsautorisert revisor Krav til ekstern kvalitetskontroll Iht internrevisjonens standarder skal det gjennomføres

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Nr. Vår ref Dato R-117 14/3305 20.05.2015

Nr. Vår ref Dato R-117 14/3305 20.05.2015 Rundskriv R Samtlige departementer Statsministerens kontor Nr. Vår ref Dato R-117 14/3305 20.05.2015 Internrevisjon i statlige virksomheter 1. Innledning Finansdepartementet varslet i kap. 9 i Gul bok

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU US 42/2015 Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU Universitetsledelsen Saksansvarlig: Økonomi- og eiendomsdirektør Saksbehandler(e): Jan E. Aldal, Hans Chr Sundby, Siri

Detaljer

Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst

Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst Godkjent av styret i Helse Sør-Øst RHF 13.03.2014 Distribusjon Revisjonsplanen distribueres til styret og styrets revisjonsutvalg, administrerende

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

Foreningens navn er NORGES INTERNE REVISORERS FORENING, medlem av The Institute of Internal Auditors Inc. Navnet kan forkortes til NIRF.

Foreningens navn er NORGES INTERNE REVISORERS FORENING, medlem av The Institute of Internal Auditors Inc. Navnet kan forkortes til NIRF. Vedtekter i NIRF VEDTEKTER NORGES INTERNE REVISORERS FORENING (NIRF) (Sist endret på ordinær generalforsamling 19. juni 2012) 1 Foreningens navn og sete Foreningens navn er NORGES INTERNE REVISORERS FORENING,

Detaljer

VEDTEKTER Sist oppdatert 9. juni 2015

VEDTEKTER Sist oppdatert 9. juni 2015 VEDTEKTER Sist oppdatert 9. juni 2015 VEDTEKTER NORGES INTERNE REVISORERS FORENING (NIRF) (Sist endret på ordinær generalforsamling 9. juni 2015) 1 Foreningens navn og sete Foreningens navn er NORGES INTERNE

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Omtalen omfatter ikke datarapportering til DBH, herunder Selskapsdatabasen.

Omtalen omfatter ikke datarapportering til DBH, herunder Selskapsdatabasen. RAPPORTERINGSKRAV FOR ÅRSRAPPORT (2015 2016) Universiteter og høyskoler skal innen 15. mars 2016 sende dokumentet Årsrapport (2015-2016) elektronisk til postmottak@kd.dep.no. Årsrapportene vil bli publisert

Detaljer

Risikostyring og intern kontroll i statlige virksomheter

Risikostyring og intern kontroll i statlige virksomheter Risikostyring og intern kontroll i statlige virksomheter Marianne Andreassen Direktør HIBO 26. oktober 2009 26.10.2009 Senter for statlig økonomistyring Side 1 Hvem er SSØ? Virksomhetsidé Som statens ekspertorgan

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Intern kontroll i finansiell rapportering

Intern kontroll i finansiell rapportering Intern kontroll i finansiell rapportering EBL Spesialistseminar i økonomi 22. oktober 2008 Margrete Guthus, Deloitte Temaer Regelsett som omhandler intern kontroll Styrets ansvar for intern kontroll med

Detaljer

Oslo universitetssykehus HF

Oslo universitetssykehus HF Oslo universitetssykehus HF Styresak Dato dok.: 17. mars 2010 Dato møte: 24. mars 2010 Saksbehandler: Direktør for kvalitet, pasientsikkerhet og kontinuerlig forbedring SAK 34/2010 INTERNREVISJONSPLAN

Detaljer

Prinsipper Internrevisorer forventes å anvende og opprettholde følgende prinsipper:

Prinsipper Internrevisorer forventes å anvende og opprettholde følgende prinsipper: ETISKE REGLER Introduksjon Formålet med IIAs etiske regler er å fremme en etisk kultur i internrevisjonsprofesjonen. Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Styring og intern kontroll.

Styring og intern kontroll. Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg

Detaljer

IKT-revisjon som del av internrevisjonen

IKT-revisjon som del av internrevisjonen IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi

Detaljer

INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD

INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD INSTRUKS FOR VIRKSOMHETS- OG ØKONOMISTYRINGEN I SAKER SOM GJELDER KLIMA- OG SKOGSATSINGEN I NORAD Instruksen er fastsatt av Klima- og miljødepartementet i medhold av 3 i Reglement for økonomistyring i

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Audit & Advisory 18. september 2012 Agenda 1. Innledning 2. Formålet med revisjonsutvalg og utvalgets

Detaljer

AVTALE OM MEDLEMSKAP. Universitetet i Oslo/Handelshøyskolen BI og (Partner)

AVTALE OM MEDLEMSKAP. Universitetet i Oslo/Handelshøyskolen BI og (Partner) AVTALE OM MEDLEMSKAP Universitetet i Oslo/Handelshøyskolen BI og (Partner) AVTALE OM MEDLEMSKAP Universitetet i Oslo/Handelshøyskolen BI og (Partner) Partnerforum er et formalisert og avtalefestet samarbeid

Detaljer

Fiskeri- og kystdepartementet

Fiskeri- og kystdepartementet Fiskeri- og kystdepartementet 1 Fiskeri- og kystdepartementets forvaltning og gjennomføring av budsjettet for 2006 1.1 Generelt om resultatet av revisjonen Fiskeri- og kystdepartementet består av ett programområde:

Detaljer

Deres ref Vår ref Dato 12/2780-18.09.2013. Endringer i bestemmelser om økonomistyring i staten fra 1. januar 2014

Deres ref Vår ref Dato 12/2780-18.09.2013. Endringer i bestemmelser om økonomistyring i staten fra 1. januar 2014 Samtlige departement Statsministerens kontor Deres ref Vår ref Dato 12/2780-18.09.2013 Endringer i bestemmelser om økonomistyring i staten fra 1. januar 2014 Finansdepartementet har i dag fastsatt endringer

Detaljer

Revisjon av virksomhetsstyring. Nettverk for virksomhetsstyring 12. desember 2014 Therese Johnsen, Riksrevisjonen

Revisjon av virksomhetsstyring. Nettverk for virksomhetsstyring 12. desember 2014 Therese Johnsen, Riksrevisjonen Revisjon av virksomhetsstyring Nettverk for virksomhetsstyring 12. desember 2014 Therese Johnsen, Riksrevisjonen Virksomhetsstyring Ledelsens viktigste redskap for å sikre god måloppnåelse. Omfatter krav

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Saksredegjørelse. Fig 1. Foretakets modell for virksomhetsstyring og intern kontroll

Saksredegjørelse. Fig 1. Foretakets modell for virksomhetsstyring og intern kontroll Saksredegjørelse Bakgrunn Administrerende direktør ønsker et økt fokus på intern styring og kontroll som ledd i arbeidet med å sikre at virksomheten drives i tråd med lover, retningslinjer og fastsatte

Detaljer

Hvordan skal DFØ bidra til at statlige virksomheter forbedrer sin internkontroll

Hvordan skal DFØ bidra til at statlige virksomheter forbedrer sin internkontroll Hvordan skal DFØ bidra til at statlige virksomheter forbedrer sin internkontroll NIRFs nettverk for statlig sektor seminar 22. august 2013 Ola Otterdal Direktoratet for økonomistyring Side 1 Agenda 1.

Detaljer

Instruks om økonomi- og virksomhetsstyring for Vitenskapskomiteen for mattrygghet

Instruks om økonomi- og virksomhetsstyring for Vitenskapskomiteen for mattrygghet Instruks om økonomi- og virksomhetsstyring for Vitenskapskomiteen for mattrygghet Instruksen er fastsatt 9. mai 2014 i henhold til 3 annet ledd i Reglement for økonomistyring i Staten, og trådte i kraft

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Utredning om internrevisjon i staten - et felles rammeverk

Utredning om internrevisjon i staten - et felles rammeverk Utredning om internrevisjon i staten - et felles rammeverk En orientering til NIRF nettverk statlig sektor, 1.4.2014 Knut Klepsvik Innhold Bakgrunn Mål for utredningen Utredningsoppgaver Organisering av

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet. NOTAT Til: Møtedato: 13.12.07 Universitetsstyret Arkivref.: 200706432-1 Risikostyring ved Universitetet i Tromsø Bakgrunn Som statlig forvaltningsorgan er Universitetet i Tromsø underlagt Økonomiregelverket

Detaljer

Samarbeidsforum internkontroll

Samarbeidsforum internkontroll Samarbeidsforum internkontroll 10. desember 2013 13.12.2013 Direktoratet for økonomistyring Side 1 Samarbeidsforum hjelp til selvhjelp! Bidra til å videreutvikle statlige virksomheters og departementers

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Fung. økonomidirektør Kirsti R. Aarøen Universitetet i Bergen 14.450 studenter

Detaljer

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Omtalen omfatter ikke datarapportering til DBH. I. Styrets beretning

Omtalen omfatter ikke datarapportering til DBH. I. Styrets beretning RAPPORTERINGSKRAV FOR ÅRSRAPPORT 2015 FOR PRIVATE HØYSKOLER Private høyskoler skal innen 15. mars 2016 sende inn dokumentet Årsrapport 2015 elektronisk til postmottak@kd.dep.no. Årsrapportene vil bli publisert

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) I NSB- KONSERNET

EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) I NSB- KONSERNET EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) I NSB- KONSERNET 1. Redegjørelse for eierstyring og selskapsledelse Denne redegjørelsen er satt opp iht. inndelingen i norsk anbefaling for eierstyring

Detaljer

Frokostseminar for statlige virksomheter om internrevisjon

Frokostseminar for statlige virksomheter om internrevisjon Frokostseminar for statlige virksomheter om internrevisjon 1. september 2015 Program Tid Tema Hvem 08.30 09.00 Introduksjon til nye krav til internrevisjon Knut Klepsvik, FIN 09.00 09.15 Hva er internrevisjon?

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

Aktuelt fra Kredittilsynet. v/anne Merethe Bellamy 18. september 2007

Aktuelt fra Kredittilsynet. v/anne Merethe Bellamy 18. september 2007 Aktuelt fra Kredittilsynet v/anne Merethe Bellamy 18. september 2007 Regnskap Regnskapsregler konsernregnskap Selskap Full IFRS Nasjonal IFRS NGAAP Børsnoterte, inkl finans PLIKT (RSKL 3-9) -----------

Detaljer

Samlet bevilgning. neste år Utgifter 103 8593 8695 8566 116 Inntekter 1047 1074

Samlet bevilgning. neste år Utgifter 103 8593 8695 8566 116 Inntekter 1047 1074 Kulturdepartementet 1 Kulturdepartementets forvaltning og gjennomføring av budsjettet for 2011 1.1 Generelt om resultatet av revisjonen Tabell 1 (tall i mill. kroner)* Overført fra forrige år Bevilgning

Detaljer

Nytten ved å jobbe systematisk med intern kontroll Revisjonsdirektør Solbjørg Lie

Nytten ved å jobbe systematisk med intern kontroll Revisjonsdirektør Solbjørg Lie DFØ Lansering av veileder i internkontroll - 23. mai 2013 Nytten ved å jobbe systematisk med intern kontroll Revisjonsdirektør Solbjørg Lie Organisasjonskart for NAV fra 1.1.2013 Arbeids- og velferdsdirektoratet

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda www.pwc.no Vanlige problemer og utfordringer i møtet med helhetlig risikostyring 5. desember 2011 Agenda 1. Hva er god risikostyring 2. Vanlige utfordringer 3. Trender 2 1 Erfaring med implementering av

Detaljer

Vår dato: Vår referanse: Arkivnr: 9.3.2005 Vår referanse må oppgis ved alle henvendelser

Vår dato: Vår referanse: Arkivnr: 9.3.2005 Vår referanse må oppgis ved alle henvendelser Saksbehandler: Erik Arne Hansen, tlf. 75 51 29 24 Vår dato: Vår referanse: Arkivnr: 9.3.2005 Vår referanse må oppgis ved alle henvendelser Deres dato: Deres referanse: STYRESAK 26-2005 ETABLERING AV INTERN

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Corporate Governance i SpareBank 1 Nøtterøy - Tønsberg. 1. Redegjørelse om foretaksstyring

Corporate Governance i SpareBank 1 Nøtterøy - Tønsberg. 1. Redegjørelse om foretaksstyring Corporate Governance i SpareBank 1 Nøtterøy - Tønsberg 1. Redegjørelse om foretaksstyring Styret i SpareBank 1 Nøtterøy Tønsberg legger til grunn at banken følger retningslinjene i Norsk anbefaling: Eierstyring

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012 Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Risikostyring som faglig utfordring i Riksrevisjonen

Risikostyring som faglig utfordring i Riksrevisjonen Risikostyring som faglig utfordring i Riksrevisjonen Innlegg på Nasjonal fagkonferanse i offentlig revisjon, 17. 18. oktober 2006 Therese Johnsen Ekspedisjonssjef Riksrevisjonen Revisjonsvirksomheter burde

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt?

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt? EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt? Hvorfor nye direktiver i EU? Formål: Øke tilliten til finansiell rapportering Styrke tilsynet med revisor Sikre at bedriftene

Detaljer

Nettverk for tilskudd

Nettverk for tilskudd Nettverk for tilskudd Økonomiregelverkets krav om fastsetting av regelverk 27.03.2012 Direktoratet for økonomistyring Side 1 Dagens program 09.00 09.40 Hvorfor skal vi ha et regelverk? Økonomiregelverkets

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring UTK Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring Konsernrevisjonen Helse Sør-Øst 05.02.2015 INNHOLDSFORTEGNELSE SAMMENDRAG... 3 1. INNLEDNING... 4 1.1 FORMÅL MED REVISJONEN...

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Kommuneforlagets ledelsesprodukter Bedrekommune.no - KF BedreStyring- KF Kvalitetsstyring Program Sesjon 1 [10.00 10.55] Målstyring, tjenestekvalitet og internkontroll

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

Høring - NOU 2015: 8 Fremtidens skole. Fornyelse av fag og kompetanser.

Høring - NOU 2015: 8 Fremtidens skole. Fornyelse av fag og kompetanser. Kunnskapsdepartementet Postboks 8119 Dep 0032 Oslo Sendes elektronisk Dato: 13.10.2015 Vår ref.: 15-1570-1 Deres ref.: 15/3114 Høring - NOU 2015: 8 Fremtidens skole. Fornyelse av fag og kompetanser. Vi

Detaljer

SAMFUNNSANSVAR SETT FRA EKSTERN REVISORS STÅSTED

SAMFUNNSANSVAR SETT FRA EKSTERN REVISORS STÅSTED SAMFUNNSANSVAR SETT FRA EKSTERN REVISORS STÅSTED Per Hanstad, adm. direktør i Den Norske Revisorforening Den norske Revisorforening Vektlegge hva som er god foretaksrapportering Markedets forventninger

Detaljer

RAPPORTERINGSKRAV FOR ÅRSRAPPORT

RAPPORTERINGSKRAV FOR ÅRSRAPPORT RAPPORTERINGSKRAV FOR ÅRSRAPPORT (2014 2015) Universiteter og høyskoler skal innen 15. mars 2015 sende inn dokumentet Årsrapport (2014-2015) elektronisk til postmottak@kd.dep.no. Årsrapportene vil bli

Detaljer

God virksomhets- og økonomistyring

God virksomhets- og økonomistyring God virksomhets- og økonomistyring Norsk folkehelseinstitutt 28. mars 2012 Direktør Marianne Andreassen 29.03.2012 Direktoratet for økonomistyring Side 1 Direktoratet for økonomistyring (DFØ) etat under

Detaljer

Internrevisjon Direktørmøte Høst 2015

Internrevisjon Direktørmøte Høst 2015 Internrevisjon Direktørmøte Høst 2015 Avd. dir. Arne Lunde, Oslo 17.november 2015 Hva er internrevisjon? Intern revisjon er en systematisk og uavhengig undersøkelse innen universitetets forvaltning som

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Jens Nørve 3 september 2015

Jens Nørve 3 september 2015 DnD 3Ps Jens Nørve 3 september 2015 Virksomhetens kompetansetiltak Formål og tiltak Vellykkede digitaliseringsprosjekter Kurs og kompetansetilbud i markedet Modenhetsundersøkelse Leverandørutviklet verktøystøtte

Detaljer

HOVEDINSTRUKS FOR HELSEDIREKTORATET

HOVEDINSTRUKS FOR HELSEDIREKTORATET HOVEDINSTRUKS FOR HELSEDIREKTORATET Fastsatt av Helse- og omsorgsdepartementet den 31.01.2012 1. Innledning Formal med instruksen og forhold til øvrig regelverk Formålet med instruksen er å angi myndigheten

Detaljer

Bruk kreftene riktig!

Bruk kreftene riktig! Bruk kreftene riktig! Hvem er vi og hva gjør vi? Senter for statlig økonomistyring (SSØ) ble opprettet i 2004 for å ha ett samlet fagmiljø for statlig økonomistyring. SSØ har som oppgave å styrke den statlige

Detaljer

Strategiplan. Den foretrukne maritime administrasjonen

Strategiplan. Den foretrukne maritime administrasjonen Strategiplan Den foretrukne maritime administrasjonen Foto: Odfjell Sjøfartsdirektoratet er forvaltnings- og tilsynsmyndighet for arbeidet med sikkerhet for liv, helse, miljø og materielle verdier på fartøy

Detaljer

Fylkesmannen i Vest-Agder Samfunnsavdelingen

Fylkesmannen i Vest-Agder Samfunnsavdelingen Fylkesmannen i Vest-Agder Samfunnsavdelingen Saksbehandler: Trond Sælør Deres ref.: Vår dato: 07.05.2014 Tlf.: 38 17 62 43 Vår ref.: 2014/340 Arkivkode: 721.10 Søgne kommune Postboks 1051 4682 Søgne Endelig

Detaljer

Hva er risikostyring?

Hva er risikostyring? Hva er risikostyring? EBL workshop - DNV innlegg Tore Magler Wiggen, Senior Consultant / Lawyer, Cleaner Energy, DNV Energy. 22.10.2008 Agenda Risiko definisjon og begreper Risikovurdering risikoanalyse

Detaljer

Kort om internkontroll for deg som er leder

Kort om internkontroll for deg som er leder Veileder Kort om internkontroll for deg som er leder DFØ 04/2013, 1. opplag Forord Som leder har du ansvar for virksomhetens internkontroll og for å tilpasse denne til risiko, vesentlighet og egenart.

Detaljer

Protokoll fra: Revisjonskomiteen Møtedato: 14.4.2010 kl 18.30-21.40. Møteleder: Andreas Kjær Møtested: Quality Hotell Strand Gjøvik

Protokoll fra: Revisjonskomiteen Møtedato: 14.4.2010 kl 18.30-21.40. Møteleder: Andreas Kjær Møtested: Quality Hotell Strand Gjøvik Helse Sør-Øst RHF Revisjonskomiteen Protokoll fra: Revisjonskomiteen Møtedato: 14.4.2010 kl 18.30-21.40 Møteleder: Andreas Kjær Møtested: Quality Hotell Strand Gjøvik Komitésekretær: Deltakere: Revisjonskomiteen:

Detaljer

Mislighetsrevisjon Sykehuset Innlandet HF

Mislighetsrevisjon Sykehuset Innlandet HF www.pwc.no Mislighetsrevisjon Sykehuset Innlandet HF 3. juni 2014 Innholdsfortegnelse 1. Mandat og oppdrag... 3 Forbehold... 3 2. Evaluering av rammeverk for å redusere mislighetsrisiko... 4 Formålet...

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Trondheim byarkiv v/elin E. Harder. Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv

Trondheim byarkiv v/elin E. Harder. Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv Trondheim byarkiv v/elin E. Harder Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv Foto: Foto: Carl-Erik Geir Hageskal Eriksson Norsk arkivråd, Trondheim 23.03.2010

Detaljer

Styret Helse Sør-Øst RHF 18. desember 2014

Styret Helse Sør-Øst RHF 18. desember 2014 Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 18. desember 2014 SAK NR 094-2014 ANTIKORRUPSJONSPROGRAM I HELSE SØR-ØST Forslag til vedtak: 1. Styret vedtar vedlagte antikorrupsjonsprogram

Detaljer

Risikostyringsfunksjonen

Risikostyringsfunksjonen Risikostyringsfunksjonen Bankenes sikringsfonds høstkonferanse 9. september 2014 Einar Westby, BDO AS Agenda Regelverk Organisering i banker av ulik størrelse Ressursbehov Innhold og oppgaver hvordan bidra

Detaljer