IT er ikke bare for IT-revisorer

Størrelse: px
Begynne med side:

Download "IT er ikke bare for IT-revisorer"

Transkript

1 IT er ikke bare for IT-revisorer Nasjonal Fagkonferanse i offentlig revisjon 2014 Kent M. E. Kvalvik

2 Agenda Hvorfor IT-revisjon Endringer i risikobildet IT-risikoer Forventninger til IT i finansiell revisjon Forventninger til IT i operasjonell revisjon Kompetanse og samarbeid Grunnleggende IT-kompetanse Ulike kompetansenivåer Suksessfaktorer for samarbeid Omfang av IT-revisjoner Generelle IT-kontroller Vurdere resultater fra revisjon av IT-kontroller Kost/nytte-vurderinger og revisjonsstrategier 2

3 Kort om Kent Partner og leder av Risk & Advisory Services i RSM tidligere arbeidsgivere er blant annet PwC, BDO, Ernst & Young, DNB Konsernrevisjonen, Schibsted og Olivetti Jobbet med IT siden 1993 puslet med IT siden 1981 fokus på IT-revisjon, -styring og -kontroll siden 1999 Master of Management fra BI i 2009 internrevisjon, risikostyring, innovasjon og IT-ledelse, prosjektledelse Sertifisert CIA, Dipl. IR, CRMA, CGEIT og CRISC Leder IT-nettverket i Norges Interne Revisorers Forening 3

4 Hvorfor IT-revisjon? 4

5 Forståelsen av virksomhetens IT-systemer, og hvordan IT-systemene understøtter virksomheten er sentralt for å kunne se hele risikobildet for revisjonsoppdraget 5

6 Endringer i risikobildet Bruk av informasjonsteknologi gir muligheter for å redusere risiko på en rekke områder men kan samtidig introdusere nye, vesentlige risikoområder og feilkilder Det er lav risiko for tilfeldige feil i kontroller eller ved behandling av data og transaksjoner i IT-systemer men dersom det oppstår en feil, er det derimot ganske sannsynlig at feilen gjelder alle transaksjoner av samme type eller periode 6

7 IT-risiko i virksomhetens prosesser En samlet forståelse av både IT-miljøet, linjeaktiviteter og prosesser er en forutsetning for en effektiv og målrettet revisjon IT-løsningene blir en stadig større og mer integrert del av virksomhetens prosesser All lagring og behandling av data skjer hovedsakelig i IT-systemene Interne kontroller blir i økende grad innebygget i IT-systemene Dokumentasjon og revisjonsbevis ligger i IT-systemene 7

8 Generelle IT-risikoer Kun elektroniske spor og logger Sikkerhetsbrudd Feil i maskin- og programvare Helautomatiske transaksjoner Systematiske feil Tilgangskontroll Færre mennesker involvert Redusert arbeidsdeling 8

9 Noen spørsmål om IT... Er de verdiene riktig sikret? Hvem har ansvaret for at data ikke kommer på avveie? Hva skjer ved et eventuelt virusutbrudd? Hvor lenge kan virksomheten fungere uten IT-systemer? Hvor lang tid tar det før virksomheten lider økonomiske tap som følge av manglende IT-systemer? Hvem godkjenner endringer på IT-systemer? Lagres data i nettskyen (Cloud)? Hvilke data lagres i nettskyen? Har virksomheten en policy for bruk av skytjenester? Er skytjenester vurdert med tanke på tilgjengelighet, konfidensialitet og integritet? Behandler (eller lagrer) virksomheten personsensitiv informasjon (i skyen eller andre steder)? Benytter virksomheten mobile enheter (bærbare PCer, nettbrett, mobiltelefoner)? Blir data av og til hentet tilbake fra sikkerhetskopi? Hvem har tilgang til hva? Arbeidsdeling? Er det kontroll med tilgangene til de ansatte? Blir tilganger til ansatte som slutter trukket tilbake? Støtter IT-systemene brukerne i utførelsen av sine arbeidsoppgaver - og har de fått opplæring? Fungerer kontrollene i IT-systemene slik som arbeidsprosessene forutsetter? 9 Kan brukere endre på sikkerhetsinnstillinger på sin PC? Er det lagt begrensninger på internett-trafikken? Blir internett bruken sjekket for skadelig programvare? Blir alle PC-er installert og konfigurert av IT-funksjonen? Etterleves sikkerhetsanbefalinger fra systemleverandørene? Blir brukere tvunget til å velge passord som er vanskelig å gjette? Hvordan sikres brukerne opplæring og økt bevissthet rundt informasjonssikkerhet? Blir all e-post sjekket før den leveres til e-post server? Vet fjernoppkobling, blir datatrafikken kryptert VPN? Er varslingssystemer for detektering av datainnbrudd tatt i bruk? Er det innført mekanismer som hindrer bruk av uautoriserte minnepinner? Blir informasjon lagret kryptert på portable lagringsmedia? Blir informasjon tilstrekkelig destruert ved kassering/ reparasjon av IT-utstyr? Finnes retningslinjer for bruk av portable lagringsmedier? Hvordan følges det opp at IT-leverandørene leverer avtalt tjenestenivå, og til riktig pris? Er avtalt tjenestenivå i samsvar med virksomhetens behov?

10 IT-miljøet påvirker revisjonsrisikoen Iboende risiko Kontrollrisiko Oppdagelsesrisiko Revisjonsrisiko 10

11 IT er en del av virksomhetens risiko- og kontrollmiljø ISA 315 Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og dens omgivelser har som mål: Revisor har som mål å identifisere og anslå risikoene for vesentlig feilinformasjon, enten de skyldes misligheter eller feil, på regnskaps- og påstandsnivå, gjennom forståelse av enheten og dens omgivelser, herunder enhetens interne kontroll, for dermed å danne grunnlag for utforming og iverksettelse av handlinger for å håndtere de anslåtte risikoene for vesentlig feilinformasjon. 11

12 ISA Informasjonssystemet, herunder tilknyttede forretningsprosesser, som er relevante for finansiell rapportering, og kommunikasjon 18. Revisor skal opparbeide seg en forståelse av de delene av informasjonssystemet, herunder de tilknyttede forretningsprosessene, som er relevante for finansiell rapportering, herunder følgende områder: a) transaksjonsklasser som er vesentlige for regnskapet b) prosedyrene innen både IT-systemer og manuelle systemer -som initierer, registrerer, prosesserer og eventuelt korrigerer transaksjonene, og overfører dem til hovedboken og rapporterer dem i regnskapet c) det tilknyttede regnskapsmaterialet, den underbyggende informasjonen og de spesifikke kontoene i regnskapet som benyttes for å initiere, registrere, prosessere og rapportere transaksjoner, herunder korrigering av feilaktig informasjon og hvordan informasjon overføres til hovedboken. Regnskapsmaterialet kan være i enten manuell eller elektronisk form d) hvordan andre hendelser og forhold som er vesentlige for regnskapet fanges opp e) prosessen som anvendes for å utarbeide enhetens regnskap, herunder vesentlige regnskapsestimater og tilleggsopplysninger f) kontroller knyttet til posteringer, herunder ikke-standard posteringer som benyttes for å registrere transaksjoner som ikke utføres regelmessig, uvanlige transaksjoner eller justeringer 12

13 Aktuelle ISA-er som også gjelder IT-revisjon IT-systemene og -kontroller kan ikke være en «black box» i revisjonen ISA 200 Forståelse, risikohåndtering, revisjonshandlinger, revisjonsbevis og dokumentasjon gjelder også IT-revisjonen ISA 200 Overordnede mål og gjennomføring ISA 300 ISA 315 ISA 330 ISA 500 ISA 300 Planlegging av revisjon ISA 315 Identifisering og vurdering av risikoene ISA 330 Håndtering av anslåtte risikoer ISA 500 Revisjonsbevis 13

14 Krav i internrevisjonsstandarden Standarden for internrevisjon (IIA 1210.A3) sier Interne revisorer skal ha kunnskaper om de viktigste risikoer og kontrolltiltak innenfor informasjonsteknologi, og tilgjengelige teknologibaserte revisjonsteknikker for å utføre sine tildelte arbeidsoppgaver. Det forventes imidlertid ikke at alle interne revisorer skal ha samme ekspertise som en internrevisor som har IT-revisjon som sitt primære ansvarsområde. 14

15 Kompetanse og samarbeid 15

16 Revisors IT-kompetanse I dag Om to år Tid Denne har Terje Tvedt vist frem i over 10 år, og gjelder fortsatt... 16

17 Grunnleggende IT-kompetanse Kunnskap om hvordan IT blir brukt og om relaterte risikoer, og evne til å bruke IT som en ressurs i utføringen av revisjonsarbeid, er grunnleggende for revisorens effektivitet på alle nivåer Sikre tilstrekkelig kunnskap for å overordnet identifisere og forstå IT-risiko ved grunnleggende forståelse for sentrale begreper innen informasjonsteknologi kunnskap om IT-sikkerhet og vanlige sikkerhetsmekanismer forståelse av IT-kontroller og hvordan IT-miljø påvirker finansiell rapportering og operasjonell drift 17

18 IT-kompetanse Revisjonsledere Sikre målrettet bruk av IT, forstå hvordan revisjonsanbefalinger påvirker virksomhetens risikobilde og måloppnåelse ved å inneha grunnleggende IT-kunnskap; pluss nok forståelse til å behandle IT i planlegging, gjennomføring og rapportering forstå trusler og sårbarheter forbundet med automatiserte prosesser nok kunnskap til å kunne vurdere bruk av IT-verktøy i revisjonsvurderinger og tester nok kompetanse til å sikre at revisjonsmedarbeider har tilstrekkelig IT-kunnskap for gjennomføring av revisjoner 18

19 IT-kompetanse Teknisk IT-spesialist Sikre nok teknologisk kompetanse til å vurdere hvordan kontroller i underliggende teknologi påvirker prosessene og kontrollmiljøet Det er på dette nivået en vanligvis forbinder IT-kunnskap med ITrevisjon; tekniske IT-spesialister med dybdekompetanse innen et eller flere teknologiområder Også tekniske spesialister i IT-revisjon må fungere på ledelsesnivå, og relatere sine observasjoner og anbefalinger til virksomhetens risikobilde og måloppnåelse Må ha kunnskap om underliggende teknologi, og være kjent med trusler og sårbarheter forbundet med teknologien Aktuelle sertifiseringer her kan være CISA og CISM fra ISACA, spesifikke produktsertifiseringer fra leverandører og mer avanserte kurs i bruk av automatiserte IT-verktøy 19

20 IT-revisorer og andre revisorer Metoder, rammeverk og verktøy er rimelig enkelt å håndtere Virksomhetsforståelse, kommunikasjon og samarbeid er vanskeligere også for IT-revisorer 20

21 Suksesskriterier IT-revisjon Virksomhetsforståelse og risikovurderinger Revisjonsteamet må se på IT som en av mange risikoområder som må håndteres IT-revisor må forstå virksomheten og revidert enhets målsettinger Integrasjon med revisjonsteam IT-revisor bør være en naturlig del av de fleste revisjonsteamet IT-revisor bør delta på alle planleggingsmøter og statusmøter IT-revisor bør involveres tidlig økt kvalitet økt effektivitet tilfredsstillende helhet Gi verdi Bruk av IT-revisjon må tilpasses beste kost/nytte for revisjonsoppdraget IT-revisjonen bør gi merverdi slik at styring og kontroll med IT-miljøet forbedres Kommunikasjon Jevnlig kommunikasjon fra start til slutt IT-revisor må evne å formidle hvilke konsekvenser IT-revisjonen kan ha for øvrige revisjonsområder Tilpasse kommunikasjon til mottager 21

22 Virksomhetsforståelse og risikovurderinger Revisjonsteamet må se på IT som en av mange risikoområder som må håndteres IT-revisor må forstå virksomheten og revidert enhets målsetninger virksomhetens overordnede system for risikostyring aktuelle regulatoriske krav faktiske verdidrivere 22

23 Integrasjon med revisjonsteam IT-revisor bør være en naturlig del av revisjonsteamet IT-revisor bør delta på alle planleggingsmøter og statusmøter IT-revisor bør involveres tidlig For spesifikke IT-revisjoner bør revisjonsledere med ansvar for berørte enheter og/eller prosesser involveres i planlegging og rapportering 23

24 Kommunikasjon Jevnlig kommunikasjon fra start til slutt, både med øvrig revisjonsteam og revidert enhet IT-revisor må evne å formidle hvilke konsekvenser IT-revisjonen kan ha for øvrige revisjonsområder og prosesser Funn fra mer tekniske IT-revisjoner må kunne relateres til faktisk risiko for virksomheten Tilpasse kommunikasjon til mottager 24

25 Gi verdi Bruk av IT-revisjon må tilpasses beste kost/nytte for revisjonsoppdraget IT-revisjonen må søke å bidra til forbedret styring og kontroll med IT-miljøet, både hos revidert enhet og i virksomheten generelt Involver øvrige revisorer slik at generell IT-kompetanse i internrevisjonen økes 25

26 Omfang av IT-revisjon 26

27 Noen mål med IT-kontroller Sikre og beskytte virksomhetens verdier Data er tilgjengelig, til å stole på og tilstrekkelig beskyttet nøkkelord er konfidensialitet, tilgjengelighet og integritet Ansvarliggjøre brukere Legge til rette for effektiv arbeidsdeling Beskytte brukerne Sikre personopplysninger og identitet Sikre at systemene fungerer sammen Kontrollere automatiserte prosesser Sikre at mer eller mindre komplekse beregninger og behandling av data og transaksjoner skjer på en ensartet måte Sikre revisjonsspor for alle transaksjoner 27

28 Kategorier av generelle IT-kontroller (ITGC) Overordnet styring og kontroll med IT-funksjonen rapportering, kvalitetssystem, risikostyring mv Arbeidsdeling innen IT-funksjonen ansvar og tilganger rundt utvikling, drift og systemeierskap er delt Endringshåndtering initiering, test, godkjenning og produksjonssetting involverer alle relevante parter Tilgangshåndtering bestille, endre og slette brukere, autorisasjoner og tilganger både i systemer og til fysiske installasjoner Sikkerhetskopier og kontinuerlig drift rutiner for backup og restore, håndtere hendelser Overvåkning rapportering av feil på utstyr, infrastruktur og integritet i databaser 28

29 Omfang av finansiell IT-revisjon Omfanget av IT-revisjon skal baseres på en risikovurdering være relevant for vesentlige transaksjonsklasser kun omfatte applikasjoner og infrastruktur som påvirker finansiell rapportering Gjennomgang av generelle IT-kontroller skal underbygge utvalget av applikasjonskontroller og IT-avhengige, manuelle kontroller Connect to rsmi.com and connect 29 with success

30 IT-kontroller i internkontrollmiljøet Sammenhengen mellom generelle IT-kontroller, automatiske kontroller og manuelle kontroller Manuelle kontroller Automatiske kontroller Helt manuelle kontroller IT-avhengige, manuelle kontroller Applikasjonskontroller Manuelle, forebyggende Manuelle, oppdagende Generelle IT-kontroller 30

31 Vurdere resultatene fra revisjon av ITGC Vurdering av effektiviteten til generelle IT-kontroller kan ikke generaliseres, og en svakhet i IT-miljøet behøver ikke bety at man ikke kan bygge revisjonen på interne kontroller Ved avvik i IT-kontrollmiljøet bør man vurdere å identifisere og gjennomgå kompenserende kontroller før man eventuelt endrer revisjonsstrategi til f.eks. substansrevisjon Om man skal bygge på interne, automatiske kontroller, må generelle ITkontroller verifiseres hvert år basert på en risikovurdering og oppdatert gjennomgang av generelle ITkontroller kan man rullere test av deler av kontrollmiljøet endringshåndtering og tilgangskontroll bør (kan) ikke rulleres Connect to rsmi.com and connect 31 with success

32 Ulike revisjonsstrategier Ressursinnsats Revisjonsstrategi 1 Revisjonsstrategi 2 Revisjonsstrategi 3 Revisjonssikkerhet Substanshandlinger Applikasjonskontroller Generelle IT-kontroller 32 Substansbasert Kontrollbasert

33 Omfang av IT-revisjon er også en kost/nytte-vurdering 33

34 Forutsetninger for grafen på forrige side Hver kontroll testes 15 ganger, uansett om det er en applikasjonskontroll eller en generell IT-kontroll Når det testes generelle IT-kontroller, og som er effektive, er det tilstrekkelig med én test av applikasjonskontrollen Ved test av generelle IT-kontroller testes én endringskontroll og én tilgangskontroll, hvilket ikke alltid kanskje er tilstrekkelig Test av en kontroll er like tids-/kostnadskrevende i alle tilfeller, uavhengig av type kontroll, hvilket heller ikke bestandig er tilfelle Antall applikasjonskontroller Direkte tester Test av endringskontroller Test av tilgangskontroller Totalt Alternativ Alternativ Alternativ Alternativ Alternativ Alternativ Forutsetninger og tabell er lånt fra case av Terje Tvedt 34

IKT-revisjon som del av internrevisjonen

IKT-revisjon som del av internrevisjonen IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi

Detaljer

NKRFS fagkonferanse 2014

NKRFS fagkonferanse 2014 NKRFS fagkonferanse 2014 RISIKOVURDERINGER (ISA 315 og ISA 330) Morten Alm Birkelid Daglig leder Hedmark Revisjon IKS 1 Revisors mål RS 315 Identifisere og anslå risikoen for vesentlig feilinformasjon

Detaljer

Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen

Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen Nasjonal fagkonferanse i offentlig revisjon 2014 Agenda Bakgrunn Internkontroll ISSAI Risikobildet Vurderinger mht revisjonshandlinger

Detaljer

Foretakets navn : Dato: Underskrift :

Foretakets navn : Dato: Underskrift : Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi

Detaljer

Akelius Revisjon. Dokumentasjon ved revisjon av små foretak

Akelius Revisjon. Dokumentasjon ved revisjon av små foretak Akelius Revisjon Dokumentasjon ved revisjon av små foretak Dokumentasjon ved revisjon av små foretak DnR kom med en veiledning for dokumentasjon ved revisjon av små foretak i oktober. Veiledningen kan

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Testing av intern IT-sikkerhet

Testing av intern IT-sikkerhet Advisory Testing av intern IT-sikkerhet Siv. ing. Eivind Dees Tellefsen eivind.tellefsen@no.ey.com Dette dokumentet er Ernst & Youngs eiendom. Dokumentet kan ikke benyttes av eller videreformidles til

Detaljer

Nye revisjonsstandarder. NKRF fagkonferanse 2010 14. 15. juni

Nye revisjonsstandarder. NKRF fagkonferanse 2010 14. 15. juni Nye revisjonsstandarder NKRF fagkonferanse 2010 14. 15. juni Nye revisjonsstandarder ISA etter Claritystandard hva innebærer dette? Revisjonsstandard (RS) offentlige tillegg ISA særlige hensyn til offentlig

Detaljer

SA 3801 Revisors kontroll av og rapportering om grunnlag for skatter og avgifter

SA 3801 Revisors kontroll av og rapportering om grunnlag for skatter og avgifter SA 3801 Revisors kontroll av og rapportering om grunnlag for skatter og avgifter (Vedtatt av DnRs styre 4. desember 2007 med virkning for attestasjon av ligningspapirer for perioder som begynner 1. januar

Detaljer

Revisjon av IKT-området i en mindre bank

Revisjon av IKT-området i en mindre bank Revisjon av IKT-området i en mindre bank Bankenes sikringsfond, Høstkonferansen 2010 Vidar A. Løken PwC Innholdet i presentasjonen 1. Hvilken risiko IT innebærer for bankenes interne kontroll 2. Bankens

Detaljer

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster? BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis

Detaljer

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL IT-revisjon Klassisk IT-revisjon Cobit ITIL Dokumentasjon av balansen Nøyaktighet og gyldighet har dere drøftet Fullstendighet har de fleste ikke tenkt på (utfordring: gjeld) Kilder BOL 11, FOR-01.12.2004

Detaljer

Inntektsrevisjon og virksomhetsforståelse

Inntektsrevisjon og virksomhetsforståelse Fellesrapport Inntektsrevisjon og virksomhetsforståelse Tematilsyn 2012 DATO: 22. mars 2013 SEKSJON/AVDELING: TILSYN MED REVISORER OG REGNSKAPSFØRERE/ AVDELING FOR REGNSKAPS- OG REVISORTILSYN 2 Finanstilsynet

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

IT-risikoer og kontroller

IT-risikoer og kontroller IT-risikoer og kontroller Hunton, J.E. kap 3 1 Prosessen risikostyring av IT Identifisere IT-risiko Identifisere (intern-)kontroller for hver risiko Dokumentere interkontrollen 2 1 IT-risikoer Forretningsrisiko

Detaljer

IT-risikoer og kontroller. Prosessen risikostyring av IT. IT-risikoer. Hunton, J.E. kap 3

IT-risikoer og kontroller. Prosessen risikostyring av IT. IT-risikoer. Hunton, J.E. kap 3 IT-risikoer og kontroller Hunton, J.E. kap 3 1 Prosessen risikostyring av IT Identifisere IT-risiko Identifisere (intern-)kontroller for hver risiko Dokumentere interkontrollen 2 IT-risikoer Forretningsrisiko

Detaljer

Prosessen risikostyring av IT. IT-risikoer og kontroller. Forretningsrisiko. IT-risikoer. Revisjonsrisiko. Sikkerhetsrisiko

Prosessen risikostyring av IT. IT-risikoer og kontroller. Forretningsrisiko. IT-risikoer. Revisjonsrisiko. Sikkerhetsrisiko Prosessen risikostyring av IT IT-risikoer og kontroller Hunton, J.E. kap 3 Identifisere IT-risiko Identifisere (intern-)kontroller for hver risiko Dokumentere interkontrollen 1 2 IT-risikoer Forretningsrisiko

Detaljer

Innledning til IT-revisjon 10. 9. 2009

Innledning til IT-revisjon 10. 9. 2009 Innledning til IT-revisjon 10. 9. 2009 Formål, risikoer, sentrale begreper Svein A. Løken Studierektor, IT-revisjon, Handelshøyskolen BI Hva vil du lære? Hva ønsker du at vi skal ta opp? Hvorfor? Forelesningenes

Detaljer

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Evalueringsskjema Foretakets nettbankvirksomhet Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema

Detaljer

RS 200 Formål og generelle prinsipper for revisjon av regnskap

RS 200 Formål og generelle prinsipper for revisjon av regnskap RS 200 Formål og generelle prinsipper for revisjon av regnskap (Gjelder for revisjon av regnskap for perioder som begynner 1. januar 2008 ) Innhold Punkt Innledning 1 Formålet med revisjon av et regnskap

Detaljer

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet Dokumentasjon av balansen IT-revisjon Siste forelesning Rev3576 Klassisk IT-revisjon Cobit ITIL 1 Nøyaktighet og gyldighet har dere drøftet Fullstendighet har de fleste ikke tenkt på (utfordring: gjeld)

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

Utkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS

Utkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS Utkast Revisjonsplan 2015 Internrevisjon Innhold 1 Innledning... 3 2 Rammer for internrevisjonens virksomhet... 3 2.1 Formål og oppgaver... 3 2.1.1 Bekreftelse av intern kontroll og risikostyring... 3

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Regnskapssystemer. Avgrensning. Regnskapssystemer fortsettelse av forrige forelesning. Prinsippiell struktur Datakvalitet Behandlingsregler

Regnskapssystemer. Avgrensning. Regnskapssystemer fortsettelse av forrige forelesning. Prinsippiell struktur Datakvalitet Behandlingsregler Regnskapssystemer fortsettelse av forrige forelesning Prinsippiell struktur Datakvalitet Behandlingsregler Regnskapssystemer Standardsystemer Standard programmer og database Målsøm Standard utvidbar database

Detaljer

ARBEIDSLIVSKRIMINALITET. Hva inneholder den overordnede risikoanalysen for byggherrer og bedrifter i bygg & anleggsbransjen?

ARBEIDSLIVSKRIMINALITET. Hva inneholder den overordnede risikoanalysen for byggherrer og bedrifter i bygg & anleggsbransjen? ARBEIDSLIVSKRIMINALITET Hva inneholder den overordnede risikoanalysen for byggherrer og bedrifter i bygg & anleggsbransjen? RISIKOBILDET Arbeidslivskriminalitet krever nye tiltak RISIKOBILDET Dette er

Detaljer

Agenda. IT i Oslo kommune. IT-revisjon i regnskapsrevisjonen. IT-revisjon i forvaltningsrevisjonen. Oslo kommune Kommunerevisjonen

Agenda. IT i Oslo kommune. IT-revisjon i regnskapsrevisjonen. IT-revisjon i forvaltningsrevisjonen. Oslo kommune Kommunerevisjonen IT-revisjon som integrert del av finansiell revisjon og forvaltningsrevisjon Erfaringer fra i Oslo Gardermoen 26. Oktober 2010 Jan G Thoresen CISA CIA Seniorrådgiver Oslo Kommunerevisjon Agenda IT i Oslo

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

www.pwc.no Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012

www.pwc.no Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012 www.pwc.no Revisjonsplan 2012 og oppsummering interim Agenda Revisjonens målsetning og innhold Overordnet forretningsanalyse - punkter til diskusjon Risikovurdering og revisjonsplan Kommunikasjonsplan

Detaljer

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Fung. økonomidirektør Kirsti R. Aarøen Universitetet i Bergen 14.450 studenter

Detaljer

Håndtering av tilleggsopplysninger i en revisjon av regnskap Reviderte ISA-er og følgeendringer

Håndtering av tilleggsopplysninger i en revisjon av regnskap Reviderte ISA-er og følgeendringer Endelig uttalelse International Standards on Auditing (ISAs ) Håndtering av tilleggsopplysninger i en revisjon av regnskap Reviderte ISA-er og følgeendringer Endringer i de internasjonale revisjonsstandardene

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Styring og intern kontroll.

Styring og intern kontroll. Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg

Detaljer

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF

Detaljer

Integrering av IT i virksomhetens helhetlige risikostyring

Integrering av IT i virksomhetens helhetlige risikostyring Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

Leverandøren en god venn i sikkerhetsnøden?

Leverandøren en god venn i sikkerhetsnøden? Leverandøren en god venn i sikkerhetsnøden? Tone Hoddø Bakås, M. Sc., CISA, CRISC Seniorrådgiver Norsk senter for informasjonssikring Agenda Litt om NorSIS Noen utfordringer Trusler vi ser Tenk på Fallgruver

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

ISA 330 Revisors håndtering av anslåtte risikoer

ISA 330 Revisors håndtering av anslåtte risikoer International Auditing and Assurance Standards Board ISA 330 Internasjonal revisjonsstandard ISA 330 Revisors håndtering av anslåtte risikoer 2009 2 ISA 330 International Auditing and Assurance Standards

Detaljer

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 4 Nasjonal sikkerhetsmåned 6 tema Generell informasjonssikkerhet Beskytte

Detaljer

COSOs komponeter De fire siste. Risikovurdering. Hva er risiko? Hva mer enn kontrollmiljøet inngår i interkontrollbegrepet iflg COSO?

COSOs komponeter De fire siste. Risikovurdering. Hva er risiko? Hva mer enn kontrollmiljøet inngår i interkontrollbegrepet iflg COSO? COSOs komponeter De fire siste Hva mer enn kontrollmiljøet inngår i interkontrollbegrepet iflg COSO? Risikovurdering Risikomodellen er viktig i revisjon Styrer hva vi kontrollerer og hvor mye Riktig omfang

Detaljer

SENSORVEILEDNING. Onsdag 13. mai 2009. kl. 09.00 15.00

SENSORVEILEDNING. Onsdag 13. mai 2009. kl. 09.00 15.00 1 SENSORVEILEDNING TIL EKSAMEN I REVISJON i henhold til rammeplan for treårig revisorutdanning av 1.12. 2005 Onsdag 13. mai 2009 kl. 09.00 15.00 Evt spørsmål og kommentarer kan rettes til: Bror Petter

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Finansiell revisjon revisjonsmandatet og misligheter

Finansiell revisjon revisjonsmandatet og misligheter Finansiell revisjon revisjonsmandatet og misligheter Studiesamling 2014 for fylkeskommunale kontrollutvalg på Vestlandet Cicel T. Aarrestad Revisjonsdirektør og statsautorisert revisor www.rogaland-revisjon.no

Detaljer

IT-risikoer og kontroller

IT-risikoer og kontroller IT-risikoer og kontroller Hunton, J.E. kap 3 Prosessen risikostyring av IT Identifisere IT-risiko Identifisere (intern-)kontroller for hver risiko Dokumentere interkontrollen 1 IT-risikoer Forretningsrisiko

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

ISA 315 (Revidert)Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og dens omgivelser

ISA 315 (Revidert)Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og dens omgivelser International Auditing and Assurance Standards Board ISA 315 Internasjonal revisjonsstandard ISA 315 (Revidert)Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse

Detaljer

Forord Del1 Innledning 1 Om revisjon, god revisjonsskikk og revisjonsstandarder 2 Behovet for revisjon og revisors rammebetingelser

Forord Del1 Innledning 1 Om revisjon, god revisjonsskikk og revisjonsstandarder 2 Behovet for revisjon og revisors rammebetingelser Forord Del1 Innledning 1 Om revisjon, god revisjonsskikk og revisjonsstandarder 1.1 Ulike former for revisjon og avgrensing av hva boken dekker 1.2 Kort historisk oversikt over finansiell revisjon og ekstern

Detaljer

Hvorfor internkontroll?

Hvorfor internkontroll? Dagens tema Definisjon av internkontroll (Coso) Kontrollmiljøet Risikovurdering Informasjon og kommunikasjon Kontrollaktiviterer Overvåking (monitoring) Begrensinger ved internkontroll Hvorfor internkontroll?

Detaljer

God IT-skikk. - Informasjonssikkerhet i Norsvin -

God IT-skikk. - Informasjonssikkerhet i Norsvin - God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være

Detaljer

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede. Agenda Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede 3 Hva er Cybersikkerhet? Cybersikkerhet er beskyttelse av fysiske enheter eller informasjonsaktiva

Detaljer

Betydning (Significance) "Betydning" er knyttet til den påvirkede påstandens vesentlighet. Dokumentasjon (Documentation) "Dokumentasjon" er materiale

Betydning (Significance) Betydning er knyttet til den påvirkede påstandens vesentlighet. Dokumentasjon (Documentation) Dokumentasjon er materiale Ordliste Analytiske kontrollhandlinger (Analytical procedures) "Analytiske kontrollhandlinger" består i analyser av økonomisk informasjon gjennom en undersøkelse av mulige sammenhenger mellom både økonomiske

Detaljer

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren Frede Aas Rognlien Head of Legal and Compliance SEB Enskilda AS 1 MiFID

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

ISA 610 (revidert) Bruk av interne revisorers arbeid

ISA 610 (revidert) Bruk av interne revisorers arbeid International Auditing and Assurance Standards Board ISA 610 Internasjonal revisjonsstandard ISA 610 (revidert) Bruk av interne revisorers arbeid 2012 International Auditing and Assurance Standards Board

Detaljer

ISA 300 Planlegging av revisjon av et regnskap

ISA 300 Planlegging av revisjon av et regnskap International Auditing and Assurance Standards Board ISA 300 Internasjonal revisjonsstandard ISA 300 Planlegging av revisjon av et regnskap 2009 2 ISA 300 International Auditing and Assurance Standards

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

God kommunal revisjonsskikk NKRF Fagkonferanse 09.06.2015

God kommunal revisjonsskikk NKRF Fagkonferanse 09.06.2015 God kommunal revisjonsskikk NKRF Fagkonferanse 09.06.2015 Bjørg Hagen Daglig leder 1 Innhold Infoskriv bakgrunn Kommunal virksomhet Overordna notat God kommunal revisjonsskikk Sentrale lover, forskrifter

Detaljer

Innhold. Forord 11. 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13

Innhold. Forord 11. 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13 Innhold Forord 11 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13 2 De formelle rammebetingelsene 18 2.1 Lover og forskrifter som er relevante i forbindelse med bokføring og utarbeidelse

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

INTERNASJONAL REVISJONSSTANDARD 710 SAMMENLIGNBAR INFORMASJON TILSVARENDE TALL OG SAMMENLIGNBARE REGNSKAPER INNHOLD

INTERNASJONAL REVISJONSSTANDARD 710 SAMMENLIGNBAR INFORMASJON TILSVARENDE TALL OG SAMMENLIGNBARE REGNSKAPER INNHOLD 2 ISA 710 INTERNASJONAL REVISJONSSTANDARD 710 SAMMENLIGNBAR INFORMASJON TILSVARENDE TALL OG SAMMENLIGNBARE REGNSKAPER (Gjelder for revisjon av regnskaper for perioder som begynner 1. januar 2010 eller

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Veiledning om utøvelse av granskers rolle iht. Finansieringsvirksomhetsloven 2-34.

Veiledning om utøvelse av granskers rolle iht. Finansieringsvirksomhetsloven 2-34. Veiledning om utøvelse av granskers rolle iht. Finansieringsvirksomhetsloven 2-34. Formålet med veiledningen Formålet med denne veiledningen er å bidra til en ensartet og konsistent praksis for utøvelsen

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Revisjon av deler av regnskap

Revisjon av deler av regnskap Revisjon av deler av regnskap Revisjon av deler av regnskap Små aksjeselskap kan velge om de vil ha revisjon av årsregnskapet. Det er en viktig beslutning for deg som eier, styreleder eller daglig leder.

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Audit & Advisory 18. september 2012 Agenda 1. Innledning 2. Formålet med revisjonsutvalg og utvalgets

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Felles medlemsmøte NFKR og NIRF, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Generalsekretær Ellen Brataas, CIA, CISA Formål og visjon Formål

Detaljer

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

International Auditing and Assurance Standards Board ISA 265 Internasjonal revisjonsstandard

International Auditing and Assurance Standards Board ISA 265 Internasjonal revisjonsstandard International Auditing and Assurance Standards Board ISA 265 Internasjonal revisjonsstandard ISA 265 Kommunikasjon av mangler i intern kontroll til dem som har overordnet ansvar for styring og kontroll,

Detaljer

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring UTK Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring Konsernrevisjonen Helse Sør-Øst 05.02.2015 INNHOLDSFORTEGNELSE SAMMENDRAG... 3 1. INNLEDNING... 4 1.1 FORMÅL MED REVISJONEN...

Detaljer

EuroSOX og Ny forskrift for risikostyring og internkontroll

EuroSOX og Ny forskrift for risikostyring og internkontroll EuroSOX og Ny forskrift for risikostyring og internkontroll Hva betyr dette for din bedrift? Advokatfullmektig Kristin Haram 6. februar 2009 Agenda: foretaksstyring, risikostyring og internkontroll Euro-SOX

Detaljer

IT-revisjon, Rev2403

IT-revisjon, Rev2403 IT ADVISORY IT-revisjon, Rev2403 Torkil Hindberg, Ansvarlig for IT-revisjon i KPMG 23.03.10 ADVISORY Torkil Hindberg Alder: 31 år Stilling: Senior Manager i IT Advisory i KPMG Ansvarlig for IT-revisjon

Detaljer

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS Revisjonsplan Internrevisjon Innhold 1 Innledning... 3 2 Rammer for internrevisjonens virksomhet... 3 2.1 Formål og oppgaver... 3 2.1.1 Bekreftelse av intern kontroll og risikostyring... 3 2.1.2 Rådgivningsoppgaver...

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

Innhold. Forord 11. 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13

Innhold. Forord 11. 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13 Innhold Forord 11 1 Innledning og sammendrag 13 1.1 Innledning 13 1.2 Sammendrag 13 2 De formelle rammebetingelsene 18 2.1 Lover og forskrifter som er relevante i forbindelse med bokføring og utarbeidelse

Detaljer

Intern kontroll. Intern veiledning. Jørn Johannessen, seksjonssjef plan og økonomi 06.08.12. Revidert 12.12.13 V 2. 0

Intern kontroll. Intern veiledning. Jørn Johannessen, seksjonssjef plan og økonomi 06.08.12. Revidert 12.12.13 V 2. 0 Intern kontroll Intern veiledning Jørn Johannessen, seksjonssjef plan og økonomi 06.08.12 Revidert 12.12.13 2014 V 2. 0 Innhold 1. INNLEDNING... 2 1.1 Definisjon av begrepet... 2 1.2 Hvem utfører intern

Detaljer

EFFEKTIVISER OG MODERNISER PERIODEAVSLUTNINGEN

EFFEKTIVISER OG MODERNISER PERIODEAVSLUTNINGEN EFFEKTIVISER OG MODERNISER PERIODEAVSLUTNINGEN 26.04.2016 LEIF HOLST & BERGUR OLAFSSON AGENDA > Kort om Adra > Utfordringer i periodeavslutningsprosessen > Mål, krav og internkontroll > Trender > Demonstrasjon

Detaljer

International Auditing and Assurance Standards Board ISA 600 Internasjonal revisjonsstandard

International Auditing and Assurance Standards Board ISA 600 Internasjonal revisjonsstandard International Auditing and Assurance Standards Board ISA 600 Internasjonal revisjonsstandard ISA 600 Særlige hensyn ved revisjon av konsernregnskaper (herunder arbeidet til revisorer i konsernenheter)

Detaljer

International Auditing and Assurance Standards Board ISA 200 Internasjonal revisjonsstandard

International Auditing and Assurance Standards Board ISA 200 Internasjonal revisjonsstandard International Auditing and Assurance Standards Board ISA 200 Internasjonal revisjonsstandard ISA 200 Overordnede mål for den uavhengige revisor og gjennomføringen av en revisjon i samsvar med de internasjonale

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Informasjonssikkerhet og digitalisering

Informasjonssikkerhet og digitalisering Informasjonssikkerhet og digitalisering - i nordiske kommuner Peggy S. Heie MBE, CRISC, CISA Norsk senter for informasjonssikring Norsk senter for informasjonssikring En del av den helhetlige nasjonale

Detaljer

Interne revisjoner et sentralt ledelsesverktøy i forbedringsarbeid. Erfaringer etter utføring av mere enn 200 HMS revisjoner

Interne revisjoner et sentralt ledelsesverktøy i forbedringsarbeid. Erfaringer etter utføring av mere enn 200 HMS revisjoner Interne revisjoner et sentralt ledelsesverktøy i forbedringsarbeid Erfaringer etter utføring av mere enn 200 HMS revisjoner v/marit Norberg og Siv Wergeland Kort om oss Bergensbasert konsulentselskap stiftet

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU US 42/2015 Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU Universitetsledelsen Saksansvarlig: Økonomi- og eiendomsdirektør Saksbehandler(e): Jan E. Aldal, Hans Chr Sundby, Siri

Detaljer

Informasjonssikkerhet og ISO 27001

Informasjonssikkerhet og ISO 27001 Informasjonssikkerhet og ISO 27001 Erfaringer fra Asker kommune Asker - Norges største bygd 11. største norske kommune 59.000 innbyggere Beste karakterer på avgangsklassene i 10.klasse 2014 Beste servicekommune

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

Innhold. Del I Introduksjon til virksomhetsstyring og internkontroll

Innhold. Del I Introduksjon til virksomhetsstyring og internkontroll Innhold Del I Introduksjon til virksomhetsstyring og internkontroll Kapittel 1 Oversikt over boken... 16 1.1 Virksomhetsstyring og regnskapsorganisering... 16 1.2 Oversikt over et regnskapsinformasjonssystem...

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Prinsipper Internrevisorer forventes å anvende og opprettholde følgende prinsipper:

Prinsipper Internrevisorer forventes å anvende og opprettholde følgende prinsipper: ETISKE REGLER Introduksjon Formålet med IIAs etiske regler er å fremme en etisk kultur i internrevisjonsprofesjonen. Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har

Detaljer