God IT Styring og Kontroll i norske foretak. prosjekt NorSox. Sluttrapport - Del 1: Modell. Standard Norge, desember 2009

Størrelse: px
Begynne med side:

Download "God IT Styring og Kontroll i norske foretak. prosjekt NorSox. Sluttrapport - Del 1: Modell. Standard Norge, desember 2009"

Transkript

1 God IT Styring og Kontroll i norske foretak Sluttrapport - Del 1: Modell Standard Norge, desember 2009 prosjekt NorSox

2 Prosjekt NorSox Sluttrapport Omfatter to separate deler: Del 1 Modell Del 2 Veiledning for innføring av god IT-styring og -kontroll Publisert: Desember 2009 Prosjekteier: Standard Norge Prosjekt partnere: IKT-Norge, Norsk Akkreditering, Software Innovation ASA og Standard Norge. Prosjektsekretariat: Standard Norge Publiseringsansvarlig: Standard Norge Strandveien 18 Postboks Lysaker ISBN Standard Norge 2009 Generelt om rettigheter for anvendelse av innhold i sluttrapport NorSox. Som prosjekteier er Standard Norge den som forvalter alle rettigheter knyttet til sluttdokumentet fra prosjekt NorSox. Ved alle former for gjengivelse av det omtalte sluttdokument fra prosjekt NorSox del 1 og del 2, skal den som gjengir påse at kravet i åndsverkloven 3 om å navngi opphavsmannen / kildehenvisning blir ivaretatt. Spesielt for del 1: Rettigheter vdr figur 4.1: This guideline includes content from COBIT 4.1, which is used by permission of ISACA IT Governance Institute. All rights reserved. COBIT is a registered trademark of ISACA and the IT Governance Institute." For COBIT 4.1 Figures: "Source: COBIT IT Governance Institute. All rights reserved. Used by permission." For the SASBA, CISM Review Manual Figures: "Source: SASBA Institute, CISA Review Manual ISACA. All rights reserved. Used by permission." 2

3 God IT Styring og Kontroll i norske foretak Prosjekt NorSox Sluttrapport Del 1 Modell 3

4 Dette dokumentet, sluttrapport fra prosjekt NorSox (bestående av Del 1 og Del 2) gir ledelse og styre i alle typer virksomheter grunnlag til å forstå hvordan etablere gode og helhetlige prinsipper for foretaksledelse med tilhørende systemer for helhetlig internkontroll, alt med fokus på at IT er en integrert del av virksomheten som understøtter foretakets forretningsstrategi. Del 2 er en veiledning til hvordan etablere God IT Styring og Kontroll. Prosjekt NorSox Standard Norge er prosjekteier og sekretariat for prosjektet. Prosjektet NorSox er et BIA-prosjekt (Brukerstyrt Innovasjonsarena) i regi av Norges Forskningsråd. Partnere i prosjektet har vært: IKT-Norge Norsk Akkreditering Software Innovation ASA Standard Norge Prosjektets mandat utrykker dette slik: Lage nøytrale og forståelige prinsipper for god og helhetlig virksomhetsstyring med særskilt fokus på IKT. Retningslinjer basert på disse prinsippene vil bidra til at virksomheter innfører god risikostyring og internkontroll med utgangspunkt i det operative risikobildet. Prinsippene omfatter rammeverk, prosesser, oppgaver, adferd og andre forhold som bidrar til å sikre at virksomheten opererer i samsvar med relevante lover, forskrifter og internasjonale standarder. Retningslinjene skal tilfredsstille lovmessige krav og forskrifter som gjelder for styring av virksomheter av allmenn interesse: Dvs. børsnoterte selskaper, statlig eide virksomheter, offentlige/departementale foretak, finansvirksomhet, SMB-virksomheter m.m. Utgangspunktet for prosjektet er at Norge, som EØS-medlem, skal innføre tre EU-direktiver i norsk lovverk, 4., 7. og 8. selskapsdirektiv. Disse direktivene påvirker nasjonal lovgivning med hensyn til følgende lover: Regnskapsloven, bokføringsloven, aksjeloven, allmennaksjeloven m.m., gjeldende fra medio i Kravet som ligger i Aksjelovens 6.12, tredje ledd, om at Styret skal holde seg orientert om selskapets økonomiske stilling og plikter, samt påse at dets virksomhet, regnskap og formuesforvaltning er gjenstand for betryggende kontroll, står fast. I forbindelse med Aksjelovens 6.12 har man til nå fokusert på de to siste elementene om regnskap og formuesforvaltning hvor den eksterne revisor gir sin revisjonsberetning. Prosjekt NorSox vil rette fokuset mot de nye krav som stilles til styret i bla Regnskapsloven 3-3b. Redegjørelse om foretaksstyring. Denne skal innholde opplysninger om: Angivelse av de anbefalinger og regelverk om foretaksstyring som foretaket er omfattet av eller som selskapet for øvrig velger å følge. Samt beskrivelse av hovedelementene i foretakets systemer for internkontroll og risikostyring knyttet til regnskapsprosessen. Prosjekt NorSox anbefaler et helhetlig system for internkontroll og risikostyring. Målet for loverendringene og presiseringene er krav om bedre total selskapsstyring. Prosjektet har utarbeidet dette sluttdokumentet gjennom en prosess som er basert på konsensus. Arbeidet har foregått i en arbeidsgruppe med en referansegruppe som kvalitetssikrer innholdet. Arbeidsgruppen: Jan T. Bjørnsen, Ageto Rådgivning AS (Leder) Ole J. Kvammen, Security & Risk Management AS Rune Berggren, IBM Norge as Øyvind Schønemann, Infocom Group AS Vibeke Gjøsdal, Security & Risk Management AS Sekretariat: August Nilssen, Standard Norge Referansegruppen: Roar Gulbrandsen, PricewaterhouseCoopers (leder) Inger Mette Gulbrandsen, Det Norske Veritas Gaute Lien, ISACA Norge Alf M. Hanssen, Norske Interne Revisorers Forening Jan Kirkerud, Software Innovation ASA Per Morten Hoff, IKT Norge Knut Lindelien, Standard Norge 4

5 NorSox Et dokument om God IT Styring og Kontroll Ledelsen både i privat og offentlig sektor blir i dag utfordret til å etablere God IT Styring og Kontroll eller IT Governance i sin virksomhet. Det er særlig myndigheter, eiere og ansatte som stiller strengere krav til tydeliggjøring av ansvar og konsekvenser. Dette gjelder spesielt dersom virksomheten ikke kan dokumentere god styring og kontroll. Prosjektet NorSox, i regi av Standard Norge, har laget dette dokumentet for å gi styremedlemmer og den ansvarlige ledelsen et grunnlag til å forstå nok til å plassere Internkontroll og styring innen IT på dagsorden. Dokumentet henvender seg til alle som har eller vil få verv i styrer, eller har et lederansvar i en virksomhet. Det bygger på internasjonalt anerkjente standarder og internasjonale rammeverk. Det betyr at man må forholde seg til noen termer og begrep som er helt sentrale for å forstå hvordan god styring og kontroll kan bygges opp. God IT Styring og Kontroll er en måte å forklare viktigheten av å ha styring og kontroll (ofte omtalt som intern kontroll ) over virksomhets bruk av IT. Dette er knyttet tett sammen med generelle krav om god virksomhetsstyring ( Corporate Governance ). For å beskrive hvilke prosesser som må på plass for å styre og kontrollere bruk av IT, anvendes CobiT som en anerkjent de facto standard. Her beskrives 34 prosesser, fordelt innen 4 hovedområder, for å ivareta bruk, organisering, administrering og drift av IT. De 4 områdene er: Planlegging og Organisering som ivaretar de administrative aktivitetene for å få til en styrt og kontrollerbar bruk og drift av IT Anskaffelse og Implementering som ivaretar de operative aktivitetene for å anskaffe nye systemer eller oppdatere eksisterende Driftsleveranser og Support som ivaretar de operative aktivitetene for å sikre effektiv og stabil IT drift Monitorering og Evaluering som ivaretar de operative og administrative aktivitetene med å følge opp og sikre en optimal bruk av IT Dette gjøres for at virksomhetens krav til IT skal: være målrettet være effektiv sikre konfidensialitet sikre integritet sikre tilgjengelighet oppfylle lovpålagte krav være robust ( Resilient ) Dette dokumentet fra NorSox binder sammen COSO, CobiT, ITIL og ISO-standarder ved å beskrive IT Styring og Kontroll innenfor temaer som strategiske tilpassinger, leveransekvalitet, risikostyring, ressursstyring og ytelsesmåling. I de nye lovtekstene er begrepet Foretak blitt benyttet konsekvent. Imidlertid er Virksomhetsstyring et innarbeidet begrep hos mange i dag. Når NorSox i dette dokumentet bruker begge begrepene om hverandre, så menes de å omfatte både private virksomheter, aksjeselskaper, offentlige foretak/etater og organisasjoner. 5

6 Ledelsessammendrag Formål Formålet med dette dokumentet er, som vist i mandatet, å utarbeide en modell som kan hjelpe styret og administrasjon i ulike bedrifter og foretak med å etterleve lovbestemte krav og God praksis knyttet til helhetlig virksomhetsstyring med særskilt fokus på IKT-miljøet. Sterk forankring hos styret og den daglige ledelse er avgjørende for å lykkes med å bygge prosesser for internkontroll om skal sikre god foretaksstyring (Corporate Governance). Det er også viktig at styret og daglig leder innser/erkjenner at det kreves spesiell kompetanse for å bygge kontroller inn i IKTprosesser. Se kapittel 2 for en mer detaljert beskrivelse av COSO, CobiT og Governance. Styring og kontroll Det finnes mange likheter mellom Corporate Governance (for å styre alle enheter i foretaket) og IT Governance ( styre tverrliggende IT-aktivitet som understøtter alle funksjoner i forretningsenhetene) i et foretak. Men det er også noen viktige forskjeller. IT Governance Institute har gitt følgende visuelle fremstilling av hvordan et foretak bør bygge opp sitt styrings- og kontrollmiljø, og hvordan IT bærer mange av kontrollaktivitetene fordi dette understøtter alle virksomhetsprosesser. Figur 0.1: Styrings- og Kontrollmiljøet i et foretak; COSO og CobiT som rammeverk Styrets oppgaver og ansvar Styrets oppgave er å: evaluere forretningsmuligheter peke ut en retning (forretningsmessig og teknologisk) se til at internkontroll er etablert og fungerer etter sin hensikt Dette betyr at styret må ha en visjon om å etablere god styring og kontroll ved å ha regelmessig oppfølging av den strategiske retningen og samhørigheten mellom forretning og IT som finnes i foretaket, og den verdiøkende aktiviteten som foregår i forretningsenhetene og i IT-funksjonen. Dette må ivaretas gjennom løpende risikostyring for å sikre at: foretaket ikke eksponeres for en uakseptabel risiko man kan håndtere alvorlige hendelser de ressurser som foretaket har til rådighet er tilstrekkelige For utfyllende dokumentasjon, se kapittel 4. Lovpålagte krav er nøyere beskrevet i Del 2, tillegg C, hvor kravet fra Aksjelovgivningen, Regnskapsloven m.fl. er beskrevet. Ledelsens oppgaver og ansvar Det er viktig at foretakets ledelse forstår at både COSO ERM og CobiT er viktige verktøy som utfyller hverandre, og at man ikke velger en for snever verktøykasse for å innføre gode styrings- og kontrollprinsipper i foretaket. Gjør man det, vil man fort oppdage at de enkelte rammeverk og 6

7 standarder enkeltvis ikke er komplette som et altomfattende verktøy for tilfredsstillende styring og kontroll. Dette er vist i figur 0.2 nedenfor 1. For nærmere detaljer se kapittel 4. Figur 0.2: Illustrasjon over innbyrdes plassering av de forskjellige rammeverk og standarder Å få på plass god styring og kontroll slik de nye lovendringene legger opp til, krever et våkent og aktivt styre som setter dette på sin agenda. Det er viktig at styrets medlemmer instruerer daglig ledelse i å iverksette tiltak. Man må balansere innføringen av tiltakene på en slik måte at styring og kontroll inngår som en naturlig del av den daglige virksomheten, og ikke blir sett på som et merarbeid. Det er derfor viktig å huske at oppgavene er sammensatte og består av: et administrativ, ikke-teknisk aspekt som krever at det avsettes tid og ressurser til planlegging og organisering hos foretakets ledelse et operativt, teknisk aspekt som krever vilje og gjennomføringsevne samt forankring i ledelsen slik at ressurser blir avsatt statiske og langsiktige teknologiske / forretningsmessige perspektiv for virksomheten dynamiske evner til hurtig omstilling og vilje til å ta i bruk ny teknologi og nye forretningsmuligheter De administrative aspektene er omtalt videre i dette dokumentets Del 1, mens de operative aktivitetene er beskrevet i Del 2. Her finnes praktiske hjelpemidler, blant annet inneholder Tillegg B2 en sjekkliste som styret kan bruke for å starte på årshjuloppgavene innen IT Styring og Kontroll. Årshjulopgaver Styrets oppgave innen IT Governance er gjerne uttrykt i begrepene Evaluate, Direct og Monitor. Figuren nedenfor viser hvordan de tre oppgavene blir plassert i et årshjul. Ved å styre og kontrollere disse oppgavene gis det direktiver til daglig ledelse som kan ivareta planlegging og organisering av alle de øvrige prosessene. Styret må legge inn aktivitetene i sitt årshjul, og dette må koordineres med ledelsens årshjul for virksomheten totalt. For mer detaljert beskrivelse, se kapittel 4 samt eksempel A1 og B1 i Del 2 av dokumentet. Figur 0.3: Styrets oppgaver relatert til et årshjulperspektiv 1 For utfyllende dokumentasjon, se kildehenvisning i kap. 8 7

8 Innholdsfortegnelse Ledelsessammendrag Innledning Bakgrunn Public Interest Entities Omfang God og helhetlig virksomhetsstyring Corporate Governance IT Governance Ansvar og roller Forretningsmessige krav Operasjonell risiko i forhold til økonomisk risiko IT prosesser Modenhetsnivå Kontrollmiljø Kontrollaktiviteter Praktisk bruk av dette dokumentet CobiTs forretningsorienterte tilnærming ledelsens ansvar CobiTs prosessorienterte gjennomføring linjens ansvar Tilleggene i Del Oppgaver og ansvar for styret og daglig ledelse Styrets oppgaver og ansvar Daglig ledelse oppgaver og ansvar Implementering av God IT Styring og Kontroll Oversikter normative referanser, kilder og hjelpemateriell

9 1 Innledning 1.1 Bakgrunn Dette dokumentet har lagt til grunn aksjelovens og allmennaksjelovens paragrafer om styrets og daglig leders ansvar for at virksomheten drives på en forsvarlig måte, samt de nye endringene som er foreslått innført i Regnskapsloven hvor det pålegges foretak å etablere et system for intern kontroll knyttet til regnskapsprosessen (Se forslag til endring i Regnskapsloven 3-3b pkt 4 i Del 2 av dokumentet). Det er særlig kravet i Aksjelovens 6-12 tredje ledd om styrets plikt til å påse at selskapets virksomhet drives på en forsvarlig måte som er fundamentet for dokumentet. Denne paragrafen har eksistert lenge, men til nå har fokuset vært på rapportering av regnskap og formuesforvaltning som ivaretas ekstern revisors årsberetning. NorSox og EU vektlegger nå i større grad viktigheten av at selskapene skal kunne vise hvordan de håndterer operasjonell risiko forbundet med den virksomheten de driver. Framover betyr dette at selskapsstyring, herunder IT styring og kontroll, må synliggjøres i årsberetningen. Disse krav kommer som følge av at Norge skal implementere følgende EU direktiver: Fjerde selskapsdirektiv 78/660/EØF Regnskapsdirektivet; endres nå ved nytt direktiv 2006/46/EF Syvende selskapsdirektiv 83/349/EØF Konsernregnskapsdirektivet; endres nå ved direktiv 2006/46/EF samt henvisninger til fjerde direktiv Åttende selskapsdirektiv Gjeldende direktiv er 84/253/EØF; erstattes av 2006/43/EF Prosjekt NorSox i Standard Norge skal utvikle et nasjonalt kompetansenettverk samt lage en modell for innføring av helhetlig foretaksstyring og kontroll med hovedfokus på God IT-styring og kontroll. Sluttdokumentet er basert på vedtatte krav i norsk lov, internasjonale standarder og anbefalte internasjonale rammeverk. Dokumentet er bygget opp i to deler. Del 1 beskriver selve modellen for God IT-styring og kontroll. Del 2 beskriver verktøyet som kan nyttes for å etablere styring og kontroll både i store og små foretak. Modellen vil være knyttet opp mot Årshjulet med oppgaver, tidsfrister og ansvar som binder sammen aktiviteter beskrevet i tilleggene i Del Public Interest Entities I tillegg til de norske lovkravene legges det til grunn den åpningen EU-direktivene gir medlemslandene til å tolke begrepet "Public Interest Enities 2. I den forklarende teksten som medfølger direktivene står det at begrepet skal omfatte selskaper notert på børs, men også kan omfatte andre foretak som på grunn av størrelse, virksomhet eller andre årsaker er av interesse for allmennheten. Se forøvrig kapittel 6 for detaljert beskrivelse. 2 EU Definisjon av Public Interest Entities EU Direktive EC Audit, Article 2, Item 13 definerer Public Interest Entities på følgende måte: 13. public-interest entities means entities governed by the law of a Member State whose transferable securities are admitted to trading on a regulated market of any Member State within the meaning of point 14 of Article 4(1) of Directive 2004/39/EC, credit institutions as defined in point 1 of Article 1of Directive 2000/12/EC of the European Parliament and of the Council of 20 March 2000 relating to the taking up and pursuit of the business of credit institutions (1) and insurance undertakings within the meaning of Article 2(1) of Directive 91/674/EEC. Member States may also designate other entities as public-interest entities, for instance entities that are of significant public relevance because of the nature of their business, their size or the number of their employees. 9

10 Det enkelte medlemsland blir gitt stor frihet til å definere hva som inngår i begrepet ut over børsnoterte selskaper. Man legger vekt på at dette kan omfatte virksomheter og foretak som på grunn av sin størrelse, sin virksomhet eller sin posisjon, bør ha God styring og kontroll selv om de ikke nødvendigvis er børsnoterte. Eksempler på andre typer foretak som kan underlegges de samme krav til helhetlig risikostyring og kontroll, kan derfor være: helseforetak statlige virksomheter departementer (større) ikke børsnoterte foretak basert på kriterier som omsetning, antall ansatte eller lignende samvirkeforetak / foretak med begrenset ansvar (BA), (eksempel: NORTURA, COOP o.l.) 1.3 Omfang Prosjekt NorSox i Standard Norge har sammen med flere interesseorganisasjoner gjennom dette dokumentet forsøkt å beskrive hvordan God foretaksstyring og kontroll i praksis kan innføres i norske foretak. Dette gjøres ut fra et sterkt ønske om å motivere styret og administrasjon til å iverksette tiltak som leder til at bedriften oppfyller lovkrav og følger internasjonale standarder og god praksis. Prosjektet anbefaler at foretak, store så vel som små, bør benytte muligheten til å vurdere sine prinsipper for helhetlig foretaksstyring med spesielt fokus på helhetlig risikostyring, helhetlig intern kontroll og etterlevelse av lover, forskrifter og bedriftsintern policy. I et slikt perspektiv vil IT-styring og kontroll (IT Governance) få et sterkt fokus. Norsk utvalg for eierstyring og selskapsledelse (NUES) anbefaler for eksempel at rammeverket COSO ERM (Enterprise Risk management) benyttes som rammeverk for overordnet selskapsstyring (Corporate Governance). NorSox vil anbefale at man i den daglige operative virksomheten i tillegg benytter andre anerkjente internasjonale standarder og rammeverk som CobiT, ITIL og ISO standarder. Her nevnes spesielt IT Governance (NS-ISO/IEC 38500), kvalitetstyring (NS-EN ISO 9000-serien), sikkerhet (NS-ISO/IEC serien) og Service Management (NS-ISO/IEC serien). Dette dokumentet fra NorSox beskriver de prosesser og aktiviteter som må utføres av linjeorganisasjonen for å sikre et godt og helhetlig styrings- og kontrollmiljø. Forretningsorienterte rammeverk, som for eks. COSO ERM, sier lite spesifikt om IT. Som oftest faller IT-prosessene utenfor modellen til COSO ERM, siden IT ofte understøtter alle forretningsenheter med samme IT tjenester. Det er derfor viktig å kombinere flere rammeverk for å få en styrt, målbar og optimal organisasjon. Dette er vist i figur 1.1 nedenfor. Figur 1.1: En praktisk innføring av IT Governance som en naturlig del av Corporate Governance basert på Ansvarstrekantene innen en virksomhet. For å oppnå god styring og kontroll over leveransekvaliteten, kan den enkelte virksomhet anvende ITIL som God praksis. For å dokumentere IKT-prosesser og integrere CobiTs krav til kontroll innen 10

11 områdene Anskaffelser og Driftsleveranser på en strukturert og pragmatisk måte er ITIL også godt egnet. Krav til informasjonssikkerhet kan basere seg på NS-ISO/IEC standarden, som viser hvordan man skal ivareta informasjonssikkerhet i en virksomhet. Del 1 av dette dokumentet kan benyttes sammen med det arbeidet som er utført av Norsk utvalg for eierstyring og selskapsledelse (NUES), og den beskrivelse de gir av overordnet foretaksstyring. Del 2 av dokumentet gir veiledning om praktiske, pragmatiske og velprøvde metoder og prosesser som kan brukes for å realisere god foretaksstyring og kontroll, samt hovedprosessene i de anbefalte verktøy for å etablere og innføre god helhetlig IT-styring og kontroll. Disse finnes i følgende tillegg: Tillegg A; prosesser for store og små foretak Tillegg B; sjekkliste for å starte opp prosessen hos Styret og Daglig ledelse i foretakene Tillegg C; relevante lovtekster og paragrafer Tillegg D; beskrivelse av operasjonelle risikoaspekter 2 God og helhetlig virksomhetsstyring I dette dokumentet benytter man en del sentrale begreper som må forklares for å forstå hva God foretaksstyring og kontroll dreier seg om. Det finnes mange likheter, men også forskjeller, mellom Corporate Governance (å styre alle enheter i foretaket) og IT Governance (styring av tverrliggende IT-prosesser som understøtter alle funksjoner i et foretak). IT Governance Institute har gitt en visuell beskrivelse av hvordan et foretak bør bygge opp sitt styrings- og kontrollmiljø, og hvordan IT bærer mye av kontrollaktivitetene siden dette understøtter alle forretningsprosesser. NorSox har valgt å bruke samme filosofi og viser dette i figur 0.1 tidligere i dette dokumentet. 2.1 Corporate Governance Corporate Governance definerer krav til styring og kontroll fra myndigheter, eiere og ansatte til styret og virksomhetens ledelse (selskapsledelse). I dette ligger ansvars- og rolledeling mellom de ulike organer innenfor en organisert virksomhet. Corporate Governance er også samspillet mellom virksomhetens organer og andre interessenter (som f.eks. kunder, samarbeidspartnere, leverandører, ansatte, fagforeninger og samfunnet ). COSO ERM legger vekt på følgende elementer for å etablere god styring og kontroll i et foretak: internt miljø etablering av målsettinger identifisering av hendelser risikovurderinger risikohåndtering kontrollaktiviteter informasjon og kommunikasjon oppfølging I dette dokumentet fokuseres det primært på elementene styring, (i form av å sette forretningsmessig retning og gi overordnede retningslinjer), overordnet kontroll og verifikasjon av kvalitet på kontroller (at de faktisk gjennomføres). IT Governance er et svært viktig virkemiddel for styring og kontroll i form av å få korrekt informasjon om forretningsdriften og virksomheten til riktige organer til rett tid for å kunne fatte gode beslutninger. Forankring av IT Governance er et viktig element i Corporate Governance. I dette inngår det å sikre at det finnes en adekvat informasjonsarkitektur med verktøy og administrative policyer, prosesser og rutiner, som benyttes både til styring, kontroll og verifikasjon. 2.2 IT Governance Begrepet IT Governance, eller God IT-styring og kontroll på norsk, trenger en forklaring slik at man ser hvordan begrepet skiller seg fra øvrige styrings- og kontrollaktiviteter som en virksomhet utøver. 11

12 NS-ISO/IEC 38500:2008 har bidratt til å tydeliggjøre begrepet IT Governance ved å beskrive det som en del av ledelsessystemet for bedriftsledelsen. Standarden beskriver dette i 6 prinsipper: Responsibility Strategy Acquisition Performance Conformance Human Behaviour Styret og ledelsen skal for hver av prinsippene gjøre en evaluering, peke ut en retning og monitorere/følge opp at foretaket utfører aktiviteter som bedrer styrings- og ledelsesmiljøet. Med andre ord handler IT Governance om forretningsmessig ledelse og styring av IT-ressursene på vegne av interessenter som forventer avkastning på investeringene sine. Det er ikke tilstrekkelig at ITenheten tar hånd om IT-behovene, det må sikres god forretningsmessig styring og bruk av IT. Det å kontrollere risiko og forvisse seg om at lover og forskrifter overholdes, er sentrale komponenter i forbindelse med god styring og kontroll. Men for bedriften er det viktigst å fokusere på levering verdi og måling av ytelse. IT Governance (ref CobiT) består derfor av: Value Delivery; leveransekvalitet Risk Management; risikostyring Resource Management; ressursstyring (av Infrastruktur, Data, Applikasjoner og IT-personell) Performance Measurement; Kapasitets- og ytelsesmålinger Strategic Alignment; Strategisk tilpassing (i forhold til forretningsenhetenes krav, lover og forskrifter) De 3 første punktene er operative og tekniske aspekter vedrørende styring og kontroll, de 2 siste punktene har et mer administrativt, ikke-teknisk og forretningsmessig fokus. IT Governance er derfor ikke bare Et regelsett for å styre IT-avdelingen, men derimot Et rammeverk for å styre virksomhetens bruk av IT. Ved å etterleve IT Governance skal man med andre ord kunne ivareta både det administrative og det operative, det forretningsorienterte og det prosessorienterte, så vel som det tekniske og ikke-tekniske. Det er viktig å få fram at det engelske begrepet IT Control, slik det er benyttet i boken CobiT Control Practices, betyr at foretaket har en kontrollert styring av foretakets bruk av IT, og ikke bare kontroll av foretakets IT-avdeling. 2.3 Ansvar og roller Begrepet Ansvar i et foretak bør ut fra arbeidsgruppens erfaring ofte deles i tre, og den grunnleggende tanken om Styring og kontroll er at fordelingen bør ligge på adskilte roller (og helst personer) for å unngå uheldige situasjoner hvor virksomheten blir sårbar for manipulasjon eller svik fra enkelte elementer. Både styrende dokumenter og arbeidsrutiner/-instrukser gir ofte en dårlig forståelse av hvilket ansvar som er pålagt forskjellige personer og enheter. Målgruppen for dette dokumentet har erfaringsmessig den samme tredelingen, først og fremst: Beslutningstagere med et Sørge for -ansvar De som beslutter investeringene og tilrettelegger for nødvendig kompetanse og ressurser, de som definerer krav til virksomheten og de forretningsenhetene som bruker IT-tjenestene. Aktører som har et Utføre -ansvar Interne eller eksterne interessenter som tilbyr IT-tjenester. Dette kan være IT-linjeledere, ITprosjektledere, IT-prosessledere, utviklere og driftspersonell med ansvar for daglig drift, eller utkontraktører som tilbyr overtakelse av foretakets IT-drift. 12

13 De med et Påse -ansvar Interne og eksterne interessenter som har ansvar for kontroll og risikohåndtering. Dette kan være personell med oppgaver innen sikkerhet, kontroll med behandling av personopplysninger, personell med ansvar for risikohåndtering eller personell med ansvar for intern kontroll og revisjon. I figur 2.2 nedenfor vises ansvarsfordeling i forhold til aksjelovens 6 fordelt mellom rollene Styret, Daglig ledelse og Intern revisjon. Det vil i forskjellige foretak brukes ulike titler og jobb-beskrivelser for det ansvaret vi viser til. Styret er ansvarlig for å sørge for og påse at det skjer en helhetlig og god styring av virksomheten. Daglig leder skal sikre at organisasjonen kan utføre sine oppgaver og aktiviteter på en tilfredsstillende måte. Dette medfører at styret i sitt årshjul må ha som oppgave å sikre dette. Styrets og daglig leders oppgaver og ansvar, er nøyere beskrevet i kapittel 4. I Del 2, Tillegg C, er lovkrav beskrevet. Figur 2.1: Ansvarsfordeling i forhold til aksjelovens 6 fordelt mellom rollene Styret, Daglig ledelse og Intern revisjon God IT-styring og kontroll forutsetter at roller og ansvar i organisasjonen er definert og kjent. Det bør videre være en klar ansvarsdeling i organisasjonen, slik at man ikke både har ansvar for å utføre og samtidig kontrollere eget arbeid. 2.4 Forretningsmessige krav Et begrep som stadig dukker opp i forbindelse med bruk av IT i et foretak, er at den skal oppfylle Virksomhetens forretningsmessige krav. Med forretningsmessige krav menes det at de IT-aktiviteter som utføres, skal være styrt av forretningens behov og prioriteringer. Forretningssiden er ansvarlig for å beskrive krav til funksjonalitet og informasjon de har behov for til å drive sin virksomhet, men sliter ofte med å uttrykke disse kravene på en konsis måte. CobiT har som en del av sitt rammeverk en generisk beskrivelse av hva disse kravene går ut på og hvordan de kan beskrives. Dette kan brukes i mange sammenhenger og er vist i tabell

14 Tabell 2.1: Forretningsmessige krav til bruk av IT beskrevet på en allmenngyldig måte Krav Målrettethet (Effectiveness) Effektivitet (Efficiency) Konfidensialitet (Confidentiality) Integritet (Integrity) Tilgjengelighet (Availability) Overensstemmelse (Compliance) Pålitelighet (Reliability of Information) Beskrivelse Informasjonen skal være relevant og aktuell for forretningsprosessen og være levert: i rett tid korrekt konsistent på en anvendelig måte Informasjon skal anskaffes og tilgjengeliggjøres gjennom optimal (produktiv og økonomisk) bruk av ressurser. Sikkerhet for at kun autoriserte personer får tilgang til informasjon. Sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter. Sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov. Informasjon skal innfri lover, reguleringer/forskrifter og kontraktsmessige avtaler som forretningsprosessen er underlagt, for eksempel eksterne pålagte krav til informasjon. Informasjonen skal være formålstjenlig/hensiktsmessig: for ledelsen i styringen av virksomheten for ledelsens utførelse av finansielle og lovpålagte rapporteringsoppgaver Forretningsmessige krav kan oppstå på alle nivåer i et foretak. Fra et bedriftslederperspektiv er det viktig at IT understøtter de strategiske endringene virksomheten planlegger, mens fra et mellomledernivå er det mer fokus på at de enkelte løsningene støtter det daglige arbeidet på en god og effektiv måte. IT er av en slik art at store IT-endringer må sees i et 1-3 års perspektiv. En god samkjøring av IT-strategien med forretningsstrategien sikrer at IT kan planlegge for virksomhetens langsiktige forretningsmessige krav og forventninger. 2.5 Operasjonell risiko i forhold til økonomisk risiko Når det gjelder å vurdere og håndtere risiko i et foretak, har det skjedd en utvikling mht. hva myndighetene krever av kontrollaktiviteter. Mens tidligere lover og forskrifter stilte krav om kontroll av økonomisk risiko for børsnoterte selskaper (markedsrisiko og kredittrisiko), så vektlegger de nye EUdirektivene oppfølging av operativ risiko for å synliggjøre et mest mulig helhetlig risikobilde. Dette er vist i tabell Tabell 2.2: Eksempler på forskjellige former for operasjonell risiko TYPER OPERASJONELL RISIKO Risiko relatert til virksomhetsstyring Kontrollrammeverkrisiko Etisk risiko Kriminalitets- og ulovlighetsrisiko Geopolitisk risiko Kulturell risiko Liv- og helserisiko Personellrisiko Informasjonssikkerhetsrisiko Prosess- og holdningsrisiko Informasjonsstyringsrisiko Prosjektstyringsrisiko Leverandørrisiko Renommérisiko Bygg-, anlegg- og driftsmiljørisiko Strategirisiko Lovpålagt og regulatorisk Teknologirisiko etterlevelsesrisiko Klima- og miljørisiko 3 En mer utfyllende tabell med type operasjonell risiko, beskrivelse av skadens art og forslag til tiltak er gitt i Del 2, Tillegg D. 14

15 2.6 IT prosesser En prosess er definert som et sett med aktiviteter som, utført på en innsatsfaktor, vil gi et resultat med en høyere verdi. Med IT-prosesser menes oppgaver som må løses for å få optimal bruk av IT i et foretak. CobiT beskriver IT prosesser innen disse 4 områdene: Planlegging og Organisering (PO) som ivaretar de administrative aktivitetene for å få til en fornuftig bruk og drift av IT Anskaffelse og Implementering (AI) som ivaretar de operative aktivitetene for å anskaffe nye systemer eller oppdatere eksisterende Driftsleveranser og Support (DS) som ivaretar de operative aktivitetene for å sikre effektiv og stabil IT drift Monitorering og Evaluering (ME) som ivaretar de operative og administrative aktivitetene med å følge opp og sikre en optimal bruk av IT ITIL beskriver en del operative prosesser innenfor områdene Anskaffelse og Implementering og Driftsleveranser og Support i CobiTs rammeverk. I mange foretak vil en kombinasjon av CobiTs kontrollfokus og ITIL's fokus på driftsrelaterte prosesser dekke behovet. Dette er nærmere beskrevet i kapittel Modenhetsnivå Mekanismer for IT-styring og kontroll må tilpasses modenheten hos de tilsatte i forhold til prosessene virksomheten utøver. I CobiT deles modenhet inn i seks nivåer. Desto høyere modenhetsnivå en bedrift har på arbeidsprosessene innenfor IT, desto enklere er det å sikre god styring og kontroll innenfor ITområdet. Dette gir bedre kontroll på at arbeidsoppgavene utføres i samsvar med virksomhetens behov, prioriteringer og krav til kvalitetssikring. Figur 2.2 viser modellen Capability Maturity Model fra Software Engineering Institute (SEI). Den er tilpasset og brukt i CobiT for å måle modenhet for ulike IT-prosesser i et foretak. Figur 2.2: Software Engineering Institute (SEI) originale Capability Maturity Model Ett viktig poeng er at man må være på minst nivå 2 i de forskjellige forretningsenhetene for å kunne innføre en god internkontroll. For å kunne rapportere linjemessig oppover om hvilket nivå de befinner seg på i en slik modell, er det nødvendig å etablere et kontrollregime basert på egenkontroll i det daglig arbeid. Figur 2.3 beskriver hvordan modenhetsnivået skal oppfattes for hver enkelt prosess for å tilfredsstille er spesifikt nivå i henhold til CobiT. Et foretaks evne til å forholde seg til gjennomarbeidede prosesser vil øke med høyere modenhet. 15

16 Figur 2.3: CobiT målestokk for ITmodenhet i et foretak. I figur 2.4 på neste side vises CobiTs krav til modenhet for et spesifikt prosessområde. Vi har valgt PO3; Determine Technological Direction innenfor Planlegging og Organisering. Denne vil være til hjelp når styret og foretakets ledelse skal peke ut teknologisk retning og stille krav til modenhet i sine IKT kontrollprosesser. 16

17 MATURITY MODELL PO3 Determine Technological Direction Management of the process of Determine technological direction that satisfies the business requirement for IT of having stable, cost-effective, integrated and standard application systems, resources and capabilities that meet current and future business requirements is: 0 Non-existent when There is no awareness of the importance of technology infrastructure planning for the entity. The knowledge and expertise necessary to develop such a technology infrastructure plan do not exist. There is a lack of understanding that planning for technological change is critical to effectively allocate resources. 1 Initial/Ad Hoc when Management recognises the need for technology infrastructure planning. Technology component developments and emerging technology implementations are ad hoc and isolated. There is a reactive and operationally focused approach to infrastructure planning. Technology directions are driven by the often contradictory product evolution plans of hardware, systems software and applications software vendors. Communication of the potential impact of changes in technology is inconsistent. 2 Repeatable but Intuitive when The need for and importance of technology planning are communicated. Planning is tactical and focused on generating solutions to technical problems, rather than on the use of technology to meet business needs. Evaluation of technological changes is left to different individuals who follow intuitive, but similar, processes. People obtain their skills in technology planning through hands-on learning and repeated application of techniques. Common techniques and standards are emerging for the development of infrastructure components. 3 Defined when Management is aware of the importance of the technology infrastructure plan. The technology infrastructure plan development process is reasonably sound and aligned with the IT strategic plan. There is a defined, documented and wellcommunicated technology infrastructure plan, but it is inconsistently applied. The technology infrastructure direction includes an understanding of where the organisation wants to lead or lag in the use of technology, based on risks and alignment with the organisation s strategy. Key vendors are selected based on the understanding of their long-term technology and product development plans, consistent with the organisation s direction. Formal training and communication of roles and responsibilities exist. 4 Managed and Measurable when Management ensures the development and maintenance of the technology infrastructure plan. IT staff members have the expertise and skills necessary to develop a technology infrastructure plan. The potential impact of changing and emerging technologies is taken into account. Management can identify deviations from the plan and anticipate problems. Responsibility for the development and maintenance of a technology infrastructure plan has been assigned. The process of developing the technology infrastructure plan is sophisticated and responsive to change. Internal good practices have been introduced into the process. The human resources strategy is aligned with the technology direction, to ensure that IT staff members can manage technology changes. Migration plans for introducing new technologies are defined. Outsourcing and partnering are being leveraged to access necessary expertise and skills. Management has analysed the acceptance of risk regarding the lead or lag use of technology in developing new business opportunities or operational efficiencies. 5 Optimised when A research function exists to review emerging and evolving technologies and benchmark the organisation against industry norms. The direction of the technology infrastructure plan is guided by industry and international standards and developments, rather than driven by technology vendors. The potential business impact of technological change is reviewed at senior management levels. There is formal executive approval of new and changed technological directions. The entity has a robust technology infrastructure plan that reflects the business requirements, is responsive and can be modified to reflect changes in the business environment. There is a continuous and enforced process in place to improve the technology infrastructure plan. Industry good practices are extensively used in determining the technological direction. Figur 2.4: Eksempel på en modenhetsbetraktning innen ett prosessområde iht. publikasjonen CobiT Research Kontrollmiljø En kontroll er et prosessteg som adresserer en spesifikk risiko knyttet til kontrollmålsetningen. Formålet er derfor ikke å utføre kontrollen i seg selv, men å adressere den spesifikke risikoen som er knyttet til aktivitetene som utføres. Vi trekker her frem to typer kontrollaktiviteter: 17

18 Egenkontrollaktiviteter; som utføres av den enkelte medarbeider for å sikre at den enkelte prosessaktiviteten er gjennomført i henhold til krav til utførelse og kvalitet. Nøkkelkontrollaktiviteter; som sikrer at prosesskjeden ikke går videre til neste steg uten at fastsatte krav til utførelse og kvalitet er innfridd. 4 For nøkkelkontroller er det viktig at en medarbeider ikke kontrollerer seg selv, men at den blir utført av en annen (uavhengig) person. Det legges derfor vekt på at de medarbeidere som utfører IT prosessene, utøver egenkontrollaktiviteter for å være sikre på at den enkelte oppgaven er riktig gjennomført i henhold til krav om utførelse og kvalitet. Ledelsen skal fokusere på enkelte nøkkelkontroller for å kontrollere samlet risiko og kvalitet på viktige punkter i IT-prosessen før neste steg i prosessen utføres. 2.9 Kontrollaktiviteter På engelsk brukes begrepet Control Activities. På norsk brukes ofte begrepene kontrolltiltak og kontrollaktivitet synonymt. Kontrolltiltak er definert som tiltak for å sikre at forretningsmålene blir nådd, og at uønskede hendelser unngås. Dette gjøres ved å utarbeide retningslinjer, prosedyrer, rutiner, tekniske og fysiske tiltak samt organisering av foretaket. Kontrolltiltak kan deles i to hovedgrupper innen IT: Generelle IT-kontroller knyttet til IT-funksjonen og IT-prosesser (General Computer Controls for prosessene i kapittel 2.6) Applikasjonskontroller knyttet til anvendelse av og kvalitet på informasjon (Application Controls) Generelle IT-kontroller skal være innebygget i operative rutiner og prosedyrer. Disse kan samles under, ref. IT Governance Institute (ITGI): anskaffelse og systemutvikling endringshåndtering IT-drift tilgang til program og data Kontroller knyttet til anvendelse og kvalitet på informasjon er kontroller som er implementert i forretningsapplikasjonene. Disse skal sikre: fullstendighet (Completeness) nøyaktighet (Accuracy) gyldighet (Validity) autorisert (Authorised) arbeidsdeling eller adskilte roller og ansvar (Segregation of duties) Generelle IT-kontroller etableres for å sikre at informasjon som genereres i systemene, er til å stole på. Sammen med applikasjonsmessige kontroller skal de sikre integriteten til informasjonen som benyttes til å lede, styre og rapportere i foretaket. Dette er bearbeidet videre i Del 2 av dette dokumentet. Gode kontrolltiltak må både være designeffektive og operasjonelle. Med designeffektive menes at kontrolltiltak faktisk kontrollerer det de skal kontrollere. Med operasjonelle menes at de utføres slik de er beskrevet. Man bør i det enkelte tilfelle vurdere krav til å dokumentere utførelse av kontrollhandlinger. I kritiske sammenhenger vil dette sikre sporbarhet og muliggjøre etterprøvbarhet i forhold til at pålagte kontrollaktiviteter er utført i henhold til vedtatte rutiner. Dette kan være nødvendig i de tilfeller Styret er pålagt å bekrefte at selskapet faktisk utfører pålagte kontrollhandlinger. Et eksempel på dette er at det er forskjell på å kontrollere om en fullmakt er signert eller om den er signert av riktig/autorisert person. 4 Et eksempel kan være flypiloten som vi ser gjennomgår en sjekk av flyet for å sikre seg om at det er trygt å fly (egenkontrollaktiviteter), men som først får lov av tårnet til å ta av når en utfylt sjekkliste er signert og overlevert til bakkemannskapet (nøkkelkontroll). 18

19 3 Praktisk bruk av dette dokumentet Den praktiske innføringen av et godt regime for Styring og kontroll er gitt i Del 2 av dette dokumentet. Det er mange forskjellige miljøer og personer som må engasjeres for å få til en slik praktisk og pragmatisk innføring av nye og forbedrede prosesser for styring og kontroll. Noen er formelle, mens andre er uformelle. I dette dokumentet har vi forsøkt å gi en beskrivelse av balanseringen mellom de administrative, ikke-tekniske aspektene og de operative, tekniske aspektene som foretaket må ivareta når man etablerer gode styrings- og kontrollmodeller på flere nivåer i en virksomhet. 3.1 CobiTs forretningsorienterte tilnærming ledelsens ansvar Med utgangspunkt i CobiT som rammeverk snakker vi som tidligere nevnt her om: Planlegging og Organisering Anskaffelse og Implementering Driftsleveranser og Support Monitorering og Evaluering For at IT-virksomheten skal kunne levere tjenester som understøtter forretningsstrategien, må det være et klart definert eierskap til de kravene som styret og daglig ledelse setter til styring og kontroll av virksomheten. Samtidig må det finnes en klar forståelse av de kvalitetsmessige kravene og forventningene til IT. Fagavdelinger i de ulike forretningsområdene må utarbeide mål for sin bruk av IT og kreve at ITvirksomheten understøtter forretningsstrategien. Dette vil hjelpe IT-enheten til å utarbeide egne målsetninger som understøtter forretningsmålene. For offentlige foretak vil det være normative/forvaltningsmessige krav som regulerer bruk av IT og derved leveransekrav til tjenesteleverandøren. Uansett om dette er offentlig eller privat virksomhet, vil IT-enheten dermed få et grunnlag for å estimere behov for IT-ressurser og kapasitet og således levere IT-tjenester som støtter opp under virksomhetens mål. 3.2 CobiTs prosessorienterte gjennomføring linjens ansvar Her legges det til grunn et prosessorientert rammeverk med en tilhørende prosessmodell. Prosessmodellen vil være en referanse som gir et felles språk for alle i foretaket som håndterer ITaktiviteter. I følge internasjonal ISO-standarder kan gjennomføringen av IT-prosessene deles inn i fire hovedelementer: Plan, Do, Check, Act (PDCA), på norsk: Planlegge, Utføre, Evaluere og Handle. En prosessmodell legger til rette for å definere eierskap til og ansvar for alle prosesser. Dette bidrar til at alle deler av IT-virksomheten sikres en korrekt håndtering. CobiT og ITIL er begge eksempler på prosessorientering som deler prosessene i samsvar med ISOs firedelte PDCA-modell. ITIL har fokus på prosesser som beskriver IT-leveranser, mens CobiT, som et rammeverk, forsøker å beskrive administrative og organisatoriske prosesser med fokus på kontrollmål i tillegg til det prosessorienterte. 5 5 IT Governance Institute har laget et dokument som sammenstiller CobiT 4.1 med ITIL 3.0 og ISO/IEC For de som er interessert i å se hvordan de tre rammeverkene utfyller hverandre, anbefales denne litteraturen. ( Aligning CobiT 4.1, ITIL V3 and ISO/IEC for Business Benefit og CobiT Mapping: Mapping of ITIL v.3 with CobiT 4.1 ). Dokumentene viser at: CobiT har en ledelsesorientert tilnærming til hvilke prosesser som må være tilstede for å bruke IT optimalt uten å detaljere hvordan rutinene/prosedyrene skal utføres, men legger vekt på hva som skal oppnås i den enkelte underprosess/aktivitet ITIL og ISO utfyller dette ved å gi et sett beskrivelser av Best Practices på hvordan prosessene skal utføres innen IT driftstjenester (ITIL v3) og informasjonssikkerhet (ISO/IEC 27002). 19

20 NS-ISO/IEC Informasjonsteknologi sikkerhetsteknikk administrasjon av informasjonssikkerhet Denne standarden etablerer retningslinjer og generelle prinsipper for å initiere, implementere, vedlikeholde og forbedre styringen av informasjonssikkerhet i en virksomhet. ITIL ITIL er nå etablert som en ISO standard under betegnelsen NS-ISO/IEC part 1 and 2; Information Technology Service Management. ITIL deler de prosessorienterte tjenesteprosessene inn i fem hovedområder: Tjenestestrategi (Service Strategy) Tjenestedesign (Service Design) Tjenestetransisjon (Service Transition) Tjenestedrift (Service Operations) Kontinuerlig tjenesteforbedring (Continuous Service Improvement) CobiT Som nevnt tidligere deler CobiT prosessene i fire forretningsorienterte hovedområder: Planlegging og Organisering Anskaffelse og Implementering Driftsleveranser og Support Monitorering og Evaluering De to midterste prosessområdene i CobiT dekkes delvis av ITIL. Hvordan de to rammeverkene dekker hverandre er vist i figur 3.1 nedenfor. 8 prosesser er full omtalt i ITIL, 17 er delvis omtalt og 9 er ikke nevnt i ITIL's beskrivelser. Figur 3.1: IT-prosesser beskrevet i CobiT som ITIL v.3 dekker helt eller delvis i sitt rammeverk Det man først må gjøre er å foreta en kartlegging av involverte parter internt i virksomheten, og eventuelt eksterne parter, for å se hvem som gjør hva i en slik prosess, og hvilket ansvar vedkommende har. Er det et utføre -ansvar, et sørge for -ansvar eller et påse -ansvar? I tillegg finnes doumentet Control objectives for Sarbanes-Oxley hvor det er gjort en sammenstilling mellom COSO 1 og CobiT

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

Intern kontroll i finansiell rapportering

Intern kontroll i finansiell rapportering Intern kontroll i finansiell rapportering EBL Spesialistseminar i økonomi 22. oktober 2008 Margrete Guthus, Deloitte Temaer Regelsett som omhandler intern kontroll Styrets ansvar for intern kontroll med

Detaljer

Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk

Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk Innhold Innledning... IT Governance... Kjennetegn ved et godt rammeverk for IT Governance... Forretningsorientert... Prosessorientert...

Detaljer

Styring og intern kontroll.

Styring og intern kontroll. Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

En praktisk anvendelse av ITIL rammeverket

En praktisk anvendelse av ITIL rammeverket NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter

Detaljer

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt?

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt? EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt? Hvorfor nye direktiver i EU? Formål: Øke tilliten til finansiell rapportering Styrke tilsynet med revisor Sikre at bedriftene

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

FM kompetanseutvikling i Statoil

FM kompetanseutvikling i Statoil FM kompetanseutvikling i Statoil Erick Beltran Business developer Statoil FM FM konferansen Oslo, 13 Oktober 2011 Classification: Internal (Restricted Distribution) 2010-06-06 Erick Beltran Ingenierio

Detaljer

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

FM kompetanseutvikling i Statoil

FM kompetanseutvikling i Statoil FM kompetanseutvikling i Statoil Erick Beltran Business developer Statoil FM Kompetanse for bedre eiendomsforvaltning Trondheim, 6 Januar 2010 Classification: Internal (Restricted Distribution) 2010-06-06

Detaljer

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012 Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong

Detaljer

EuroSOX og Ny forskrift for risikostyring og internkontroll

EuroSOX og Ny forskrift for risikostyring og internkontroll EuroSOX og Ny forskrift for risikostyring og internkontroll Hva betyr dette for din bedrift? Advokatfullmektig Kristin Haram 6. februar 2009 Agenda: foretaksstyring, risikostyring og internkontroll Euro-SOX

Detaljer

www.steria.no 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt

www.steria.no 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt En praktisk tilnærming til tjenestekatalog Svein Erik Schnell, Senior Consultant Steria AS Tine Hedelund Nielsen, Consultant Steria AS Steria Agenda

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Standarder for Asset management ISO 55000/55001/55002

Standarder for Asset management ISO 55000/55001/55002 Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby

Detaljer

IT Service Management

IT Service Management IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service

Detaljer

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) Veritech as Magnus Robbestad Kurs ISO 9001 :2015 1 Historien til ISO 9001 1988 1994 2000 2008 2015 1988 Dokumenterte prosedyrer 1994 2000 Risikobasert

Detaljer

prosjekt NorSox God IT Styring og Kontroll i norske foretak Sluttrapport - Del 2: Veiledning for innføring av god IT-styring og -kontroll

prosjekt NorSox God IT Styring og Kontroll i norske foretak Sluttrapport - Del 2: Veiledning for innføring av god IT-styring og -kontroll God IT Styring og Kontroll i norske foretak Sluttrapport - Del 2: Veiledning for innføring av god IT-styring og -kontroll Standard Norge, desember 2009 prosjekt NorSox Prosjekt NorSox Sluttrapport Omfatter

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) Ragnvald Sannes (ragnvald.sannes@bi.no) Institutt for ledelse og organisasjon, Handelshøyskolen BI Hva er IT Governance

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Accenture Technology Consulting. Hva skal til for å lykkes med IT Governance? Roger Østvold Leder for Accenture IT Strategi og Transformasjon

Accenture Technology Consulting. Hva skal til for å lykkes med IT Governance? Roger Østvold Leder for Accenture IT Strategi og Transformasjon Accenture Technology Consulting Hva skal til for å lykkes med IT Governance? Roger Østvold Leder for Accenture IT Strategi og Transformasjon 3 Juni 2008 Virksomhetsledere er enige om at IT spiller en viktig

Detaljer

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Felles medlemsmøte NFKR og NIRF, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Generalsekretær Ellen Brataas, CIA, CISA Formål og visjon Formål

Detaljer

HVA BETYR MODENHET I PROSJEKT, PROGRAM OG PORTEFØLJE?

HVA BETYR MODENHET I PROSJEKT, PROGRAM OG PORTEFØLJE? HVA BETYR MODENHET I PROSJEKT, PROGRAM OG PORTEFØLJE? Siv. ing. Ingar Brauti, RC (Registered Consultant) +47 911 400 49 ingar.brauti@fornebuconsulting.com Fornebu Consulting AS 20.10.2011 Prosjekt 2011

Detaljer

NIRF Finansnettverk. Trond Erik Bergersen 24.1.2013

NIRF Finansnettverk. Trond Erik Bergersen 24.1.2013 NIRF Finansnettverk Trond Erik Bergersen 24.1.2013 Trond Erik Bergersen Hvem er det? IT revisor hva er det? 2 Rollefordeling Hovedstyret Sentralbankledelsen Hovedstyrets revisjonsutvalg Linjeorganisasjon

Detaljer

www.pwc.no Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

www.pwc.no Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010 www.pwc.no Oppfølging av Internkontroll Innhold - oppfølging av internkontroll 1. Internkontroll hva er det? 2. Fremgangsmåte for oppfølging av internkontroll Teori Utvalgte regulatoriske krav Roller 3.

Detaljer

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda www.pwc.no Vanlige problemer og utfordringer i møtet med helhetlig risikostyring 5. desember 2011 Agenda 1. Hva er god risikostyring 2. Vanlige utfordringer 3. Trender 2 1 Erfaring med implementering av

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering?

Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering? Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering? Difi 18 desember 2013 Ingar Brauti, P3M Registered Consultant Med tilpasning og praktisering av

Detaljer

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon

Detaljer

IKT-revisjon som del av internrevisjonen

IKT-revisjon som del av internrevisjonen IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS Revisjonsplan Internrevisjon Innhold 1 Innledning... 3 2 Rammer for internrevisjonens virksomhet... 3 2.1 Formål og oppgaver... 3 2.1.1 Bekreftelse av intern kontroll og risikostyring... 3 2.1.2 Rådgivningsoppgaver...

Detaljer

Veien til ISO 20000 sertifisering

Veien til ISO 20000 sertifisering Mål: 41 40 39 38 37 36 Veien til ISO 20000 sertifisering Forretningsidé Forbedringer 29 Definere kunder/pros. i verktøy 30 30 31 Mister ansatte Branding 32 Satsningsområde 33 Syneligjøre KPI er 34 ITIL

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

RS402 Revisjon i foretak som benytter serviceorganisasjon

RS402 Revisjon i foretak som benytter serviceorganisasjon Advisory RS402 Revisjon i foretak som benytter serviceorganisasjon Aina Karlsen Røed, senior manager Leder av IT-revisjon i Ernst & Young, Advisory Dette dokumentet er Ernst & Youngs eiendom. Dokumentet

Detaljer

Integrering av IT i virksomhetens helhetlige risikostyring

Integrering av IT i virksomhetens helhetlige risikostyring Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

Public roadmap for information management, governance and exchange. 2015-09-15 SINTEF david.norheim@brreg.no

Public roadmap for information management, governance and exchange. 2015-09-15 SINTEF david.norheim@brreg.no Public roadmap for information management, governance and exchange 2015-09-15 SINTEF david.norheim@brreg.no Skate Skate (governance and coordination of services in egovernment) is a strategic cooperation

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Service Level Management - ITIL Dato: 12.02.2009 Versjon 1.1 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets Service

Detaljer

ISO 9001:2015 Endringer i ledelsesstandarder

ISO 9001:2015 Endringer i ledelsesstandarder ISO 9001:2015 Endringer i ledelsesstandarder 210 kollegaer Oslo (HK) Bergen / Ågotnes Stavanger Haugesund Trondheim Göteborg VÅRE VERDIER HENSIKT MED STANDARD REVISJONER

Detaljer

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet Dokumentasjon av balansen IT-revisjon Siste forelesning Rev3576 Klassisk IT-revisjon Cobit ITIL 1 Nøyaktighet og gyldighet har dere drøftet Fullstendighet har de fleste ikke tenkt på (utfordring: gjeld)

Detaljer

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL IT-revisjon Klassisk IT-revisjon Cobit ITIL Dokumentasjon av balansen Nøyaktighet og gyldighet har dere drøftet Fullstendighet har de fleste ikke tenkt på (utfordring: gjeld) Kilder BOL 11, FOR-01.12.2004

Detaljer

Styret finner vedlagte rammeverk for et helhetlig kvalitetssystem som interessant.

Styret finner vedlagte rammeverk for et helhetlig kvalitetssystem som interessant. BERGEN OG OMLAND HAVNEVESEN Dato: 9. april 2010 BGHAS /10 Bergen og Omland havnestyre Helhetlig kvalitetssystem i BOH KBOL HAV-8610-201003247-3 Bakgrunn I de senere årene har risikostyring og intern kontroll

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Innhold. Forord 11. 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13

Innhold. Forord 11. 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13 Innhold Forord 11 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13 2 De formelle rammebetingelsene 18 2.1 Lover og forskrifter som er relevante i forbindelse med bokføring og utarbeidelse

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Policy for Eierstyring og Selskapsledelse

Policy for Eierstyring og Selskapsledelse Policy for Eierstyring og Selskapsledelse Innholdsfortegnelse 1.1 Formål... 2 1.2 Verdiskapning... 2 1.3 Roller og ansvar... 3 1.3.1 Styrende organer... 3 1.3.2 Kontrollorganer... 4 1.3.3 Valgorganer...

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

IInternasjonale prosesser vedrørende metodevurderinger

IInternasjonale prosesser vedrørende metodevurderinger IInternasjonale prosesser vedrørende metodevurderinger Seminar i metodevurdering Torsdag 29. januar 2015 Øyvind Melien, sekretariatet nasjonalt system, Helsedirektoratet World Health Organization Resolusjon

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

IT I PRAKSIS!!!!! IT i praksis 20XX

IT I PRAKSIS!!!!! IT i praksis 20XX IT I PRAKSIS 1 IT i praksis 20XX 2 IT I PRAKSIS FORORD 3 INNHOLD 4 IT I PRAKSIS Styringsmodell for utviklingsprosjekter (SBN) 5 Fra en idé til gevinstrealisering styringsmodell for utviklingsprosesser

Detaljer

Instruks for administrerende direktør. Sykehuset Innlandet HF. Vedtatt i styremøte 30. mai 2012

Instruks for administrerende direktør. Sykehuset Innlandet HF. Vedtatt i styremøte 30. mai 2012 Instruks for administrerende direktør Sykehuset Innlandet HF Vedtatt i styremøte 30. mai 2012 1. Formål med instruksen Denne instruksen omhandler administrerende direktørs oppgaver, plikter og rettigheter.

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Instruks for administrerende direktør HELSE SØR-ØST RHF 2014-2016

Instruks for administrerende direktør HELSE SØR-ØST RHF 2014-2016 Instruks for administrerende direktør HELSE SØR-ØST RHF 2014-2016 Vedtatt i styremøte 13. mars 2014 1. Formål med instruksen Denne instruksen omhandler administrerende direktørs oppgaver, plikter og rettigheter.

Detaljer

www.pwc.no Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012

www.pwc.no Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012 www.pwc.no Revisjonsplan 2012 og oppsummering interim Agenda Revisjonens målsetning og innhold Overordnet forretningsanalyse - punkter til diskusjon Risikovurdering og revisjonsplan Kommunikasjonsplan

Detaljer

IT-forum våren 2004. ITIL et rammeverk for god IT-drift

IT-forum våren 2004. ITIL et rammeverk for god IT-drift IT-forum våren 2004 ITIL et rammeverk for god IT-drift Jon Iden, dr. polit Institutt for prosessutvikling og arbeidsflyt AS Institutt for informasjons- og medievitenskap, UiB Institutt for Prosessutvikling

Detaljer

April 2014. Kampen mot korrupsjon og misligheter Granskning og Forensic Services

April 2014. Kampen mot korrupsjon og misligheter Granskning og Forensic Services April 2014 Kampen mot korrupsjon og misligheter Granskning og Forensic Services Er du forberedt? Påtalemyndigheter og lovgivere over hele verden blir stadig mer aktive når det kommer til å håndheve korrupsjonslovgivningen.

Detaljer

DOKUMENTASJON AV BALANSEN OG INTERNKONTROLL ADRA AS

DOKUMENTASJON AV BALANSEN OG INTERNKONTROLL ADRA AS DOKUMENTASJON AV BALANSEN OG INTERNKONTROLL ADRA AS Morten Jensen CISA Alliance & Partner Manager > Internasjonal produsent av programvare > 25 års erfaring med periodeavslutningsoppgaver > Over 3000 kunder

Detaljer

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens

Detaljer

INSTRUKS FOR ADMINISTRERENDE DIREKTØR I HELSE NORD RHF

INSTRUKS FOR ADMINISTRERENDE DIREKTØR I HELSE NORD RHF INSTRUKS FOR ADMINISTRERENDE DIREKTØR I HELSE NORD RHF Formatert: Midtstilt Vedtatt i styremøte, den 22. januar 2002 sak 5-2002. Endret i styremøte, den 31. august 2004 sak 58-2004. Endret i styremøte,

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF

Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF Nasjonal fagkonferanse i offentlig revisjon Gardermoen 29. oktober 2014 Innledning Innhold Hva er beholdt fra 92-rammeverket,

Detaljer

EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) I NSB- KONSERNET

EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) I NSB- KONSERNET EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) I NSB- KONSERNET 1. Redegjørelse for eierstyring og selskapsledelse Denne redegjørelsen er satt opp iht. inndelingen i norsk anbefaling for eierstyring

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

DNV GL Fagseminar 7. januar 2015 09/01/2015

DNV GL Fagseminar 7. januar 2015 09/01/2015 (Bærekraft) & interessenter hvem, hva, hvordan& hvorfor Jørgen Hanson, principal consultant Sustainability reporting and training, DNV GL 1 SAFER, SMARTER, GREENER ISO 1 En mulighet: CSR Performance Ladder.

Detaljer

Metier tar tempen på prosjektnorge - 2015

Metier tar tempen på prosjektnorge - 2015 Metier tar tempen på prosjektnorge - 2015 Otto Husby Prosjektdirektør Metierundersøkelsen 2015 Hensikt: Etablere en rettesnor for prosjektintensive virksomheter. Hvordan ligger vi an i forhold til andre,

Detaljer

Independent audit av kvalitetssystemet, teknisk seminar 25-26 november 2014

Independent audit av kvalitetssystemet, teknisk seminar 25-26 november 2014 Independent audit av kvalitetssystemet, teknisk seminar 25-26 november 2014 Valter Kristiansen Flyteknisk Inspektør, Teknisk vedlikehold Luftfartstilsynet T: +47 75 58 50 00 F: +47 75 58 50 05 postmottak@caa.no

Detaljer

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Audit & Advisory 18. september 2012 Agenda 1. Innledning 2. Formålet med revisjonsutvalg og utvalgets

Detaljer

Korrupsjon og misligheter i kommunal sektor revisors rolle

Korrupsjon og misligheter i kommunal sektor revisors rolle Rica Nidelven, 11. juni 2013 14.00 15.00 Korrupsjon og misligheter i kommunal sektor revisors rolle Anders Berg Olsen 2013, Anders Berg Olsen, HiST Handelshøyskolen i Trondheim. Dette materialet er beskyttet

Detaljer

Saksredegjørelse. Fig 1. Foretakets modell for virksomhetsstyring og intern kontroll

Saksredegjørelse. Fig 1. Foretakets modell for virksomhetsstyring og intern kontroll Saksredegjørelse Bakgrunn Administrerende direktør ønsker et økt fokus på intern styring og kontroll som ledd i arbeidet med å sikre at virksomheten drives i tråd med lover, retningslinjer og fastsatte

Detaljer

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

SIU Retningslinjer for VET mobilitet

SIU Retningslinjer for VET mobilitet SIU Retningslinjer for VET mobilitet Gardermoen, 16.09.2014 Oppstart- og erfaringsseminar Tore Kjærgård Carl Endre Espeland 2 Kort om Erasmus+ EUs utdanningsprogram for perioden 2014 2020 Budsjett: 14,7

Detaljer

Er evnen like stor som viljen i Norge?

Er evnen like stor som viljen i Norge? multiconsult.no Verdiskapende FM Er evnen like stor som viljen i Norge? Margrethe Foss, Multiconsult Margrethe.foss@multiconsult.no Mob: 40645053 multiconsult.no Verdiskapende FM Er evnen like stor som

Detaljer

RETNINGSLINJER FOR UTØVELSE AV EIERSTYRING INKLUSIV BRUK AV STEMMERETT

RETNINGSLINJER FOR UTØVELSE AV EIERSTYRING INKLUSIV BRUK AV STEMMERETT BAKGRUNN RETNINGSLINJER FOR UTØVELSE AV EIERSTYRING INKLUSIV BRUK AV STEMMERETT SKAGEN AS (SKAGEN) er et forvaltningsselskap for verdipapirfond og forvalter SKAGEN fondene. Gjennom sine investeringer blir

Detaljer

KIS - Ekspertseminar om BankID

KIS - Ekspertseminar om BankID www.nr.no KIS - Ekspertseminar om BankID Dr. Ing. Åsmund Skomedal Forsknings sjef, DART, Norsk Regnesentral asmund.skomedal@nr.no 18. mars 2009 Tema til diskusjon Agenda punkter Kritisk analyse av digitale

Detaljer

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring UTK Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring Konsernrevisjonen Helse Sør-Øst 05.02.2015 INNHOLDSFORTEGNELSE SAMMENDRAG... 3 1. INNLEDNING... 4 1.1 FORMÅL MED REVISJONEN...

Detaljer

Erfaringer fra NIRF`s kvalitetskontroll

Erfaringer fra NIRF`s kvalitetskontroll Erfaringer fra NIRF`s kvalitetskontroll Jørgen Bock Kvalitetskomitemedlem NIRF Nestleder styret Statsautorisert revisor Krav til ekstern kvalitetskontroll Iht internrevisjonens standarder skal det gjennomføres

Detaljer

IT-ledelse 25.jan - Dagens

IT-ledelse 25.jan - Dagens IT-ledelse 25.jan - Dagens 1. Virksomheters anvendelse av IT-baserte informasjonssystemer 2. Alle nivåer i bedriftshierarkier støttes av informasjonssystemer Operasjonelt nivå, Mellomleder nivå, Toppledelse

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Neste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER

Neste generasjon ISO standarder ISO 9001 og ISO 14001. Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER Neste generasjon ISO standarder ISO 9001 og ISO 14001 Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS 1 SAFER, SMARTER, GREENER Et nytt perspektiv For å sikre at kvalitetsstyring blir

Detaljer

Never Waste a good crisis Compliance i en krisesituasjon

Never Waste a good crisis Compliance i en krisesituasjon www.pwc.com Never Waste a good crisis Compliance i en krisesituasjon Kjersti Aksnes Gjesdahl «Never waste a good crisis» En klisje med god grunn Anledning til å endre, gjennomføre og operasjonalisere tiltak

Detaljer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014 Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014 Paul Torgersen Leder Metier Consulting 20. oktober 2014 Side 2 Innhold Hva er prosjektsuksess? Hva kjennetegner de beste? Mine

Detaljer

Rapporterer norske selskaper integrert?

Rapporterer norske selskaper integrert? Advisory DnR Rapporterer norske selskaper integrert? Hvordan ligger norske selskaper an? Integrert rapportering er å synliggjøre bedre hvordan virksomheten skaper verdi 3 Norske selskaper har en lang vei

Detaljer

Innhold. Forord 11. 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13

Innhold. Forord 11. 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13 Innhold Forord 11 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13 2 De formelle rammebetingelsene 18 2.1 Lover og forskrifter som er relevante i forbindelse med bokføring og utarbeidelse

Detaljer

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen Tilsynssaker vedrørende kontrollfunksjonen Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen Kontrollfunksjonen er et viktig prioriteringsområde ved stedlige

Detaljer

Revisjon av styring og kontroll

Revisjon av styring og kontroll Revisjon av styring og kontroll Møte nettverk virksomhetsstyring 12. desember 2014 Direktoratet for økonomistyring Side 1 Agenda 09:00 09:15 10:00 10:15 11:00 11.30 Velkommen og innledning v/ DFØ Revisjon

Detaljer

Mislighetsrisiko ved utkontraktering. NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik

Mislighetsrisiko ved utkontraktering. NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik Mislighetsrisiko ved utkontraktering NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik Agenda Hva innebærer utkontraktering Ansvarsforhold og tiltak Internrevisors rolle og tilnærming Spørsmål

Detaljer

System integration testing. Forelesning Systems Testing UiB Høst 2011, Ina M. Espås,

System integration testing. Forelesning Systems Testing UiB Høst 2011, Ina M. Espås, System integration testing Forelesning Systems Testing UiB Høst 2011, Ina M. Espås, Innhold Presentasjon Hva er integration testing (pensum) Pros og cons med integrasjonstesting Når bruker vi integration

Detaljer

Hvordan vurdere/revidere overordnet styring og kontroll

Hvordan vurdere/revidere overordnet styring og kontroll www.pwc.no Hvordan vurdere/revidere overordnet styring og kontroll Jonas Gaudernack DFØ - Desember 2014 Dekomponering av problemstillingen -> grunnleggende spørsmål 1. Hvorfor vurdere styring og kontroll

Detaljer