ORGAN FOR NORGES INTERNE REVISORERS FORENING

Størrelse: px
Begynne med side:

Download "ORGAN FOR NORGES INTERNE REVISORERS FORENING"

Transkript

1 ORGAN FOR NORGES INTERNE REVISORERS FORENING iu

2 Styrets leder har ordet ), i I 0 I A satse pa videreutdanning I Den som mener at man er ferdig utlaert, er ikke utlaert. Bare ferdig» I I Norges Interne Revisorers Forening (NIRF) har de siste arene fremhe~ Ivet behovet for at vi rna synliggj0re var kompetanse innen intern revi~ sjan og relaterte fagomrader. Sertifisering og diplomering er i sa mate M et godt «kvalitetsmerke)}, og signaliserer at man har tilegnet seg et til fredsstillende niva av ferdigheter og kompetanse. Samtidig vet vi, at i en verden i sa star endringstakt sam vi har. vii dagens kunnskap matte supple res og vedlikeholdes kontinuerlig. A benytte garsdagens kunnskap pa morgendagens problemer gir liten nyttever~ di. Dermed skulle var kompetanse vcere sikret ajourhold og alltid va'!re «aktuell». Mer om dette kan du lese pa var web side: Hasten er laeretid! H:Zisten er tradisjonelt en tid vi benytter til patyll av kunnskap og ferdigheter,- enten dette gjelder faghg kompetanse eller sosial kompetanse. I denne utgaven av Internrevisoren kan du lese mer om det brede tilbudet som NIRF har til deg denne h0sten. Husk it sam Ie CPD poeng Vi er i vart fgrste ar hvor bade Diplomerte Intern Revisorer (DIPL I.R.) og Certified Internal Auditor's (CIA) skal samle videreutdanningspoeng. For a opprettholde tittelene ma den enkelte person dokumentere ved~ likehold av sin kompetanse ved a gjennomfgre etterutdanning innenfor relevante fagomrader tilsvarende I 00 CPD~poeng (Continued Professional Development) i Ielpet av en tre-ars peri ode. Og et mini~ mum av 10 timer hvert ar. Pa forrige medlemsm0te viste programkomiteens leder til hvordan NIRFs egne kurser kunne bidra til a oppfylje dette kravet. Kurser, medlemsmgter og internrevisjonskonferansen var aktiviteter hvor man opptjente poeng. Men, som det fremgar av utsendt reglement. ogsa ak~ tiviteter utenfor NIRF (og i egen virksomhet) kan v::ere poengskapen~ de. Innrapportering av CPD poeng er planlagt via NIRFWEB i januar/ februar 200 I med etteriolgende stikkpn1)ve (15-25%) fra Diplomeringsnemnden i mars/april. Med dette fglger NIRF opp en alminnelig trend innenfor revisoryrket mht krav til dokumentert vedlikehold av sin kompetanse. Det samme finner vi for CIA's, Statsautoriserte revisorer, Registrerte Revisorer. Certified Information System Auditors og Kvalitetsrevisorer. Forberedelseskursene til CIA eksamen er allerede gjennomf0rt og det f0rste mediemsm0tet med vekt pa eriaringsutveksling er avholdt hos Norsk Hydro. Annen uke i oktober avholdes den tradisjonsrike Internrevisjonskonferansen i Sandefjord med de muligheter det gir for lnnblikk i utviklingen innen internasjonal og nasjonal internrevisjon. Ellers ser vi at 0kt evne til effektiv kommunikasjon og mellommenneskelig samspill tilbys gjennom spesialkurs for interne revisorer sam men med fagkurs rundt temaene e-business, COBIT. risikoanalyse og operasjonell revisjon star pa agendaen. Les mer lnne i bladet Hold deg orientert over NIRFWEB Det er var malsetting a gi mer og mer informasjon fra foreningen via var NIRFWEB : skal siste nytt fra foreningen, omtale og bilder fra medlemsm0ter og kurser, samt annen foreningsinformasjon legges ut til dere aile. Dette er en malsetting som er en stor utfordring med Yare begrensede ressurser. Sa har du interesse og kunne tenke deg a v::ere med i dette arbeidet, ta kontakt med oss. Lag din egen bookmark med var web adresse og sjekk den opp jevnlig. Jeg closker dere aile en l::ererik halst. Hans Martin Vikdal President hans.m.vikda/@no.pwcglobal.com JhiTERhil,EV!SOREN 3 00

3 NORGES INTERNE REVISORERS FORENING Norges Interne Revisorers Forening har i dag ca. 460 medlemmer. NIRF er et National Institute av The Institute of Internal Auditors, sam pa verclensbasis har mer enn medlemmer. NIRF gir foreningens medlemmer og fagmiljo generelt, tilbud om kompetw anseutvikling sam setter den enkelte i stand til a utfore intern revisjon med en kvalitet scm gjor profesjonen til en sentral bidragsyter for bedre kontroh og styring av organisasjoner og virksomheter. KONTAKTPERSONER: President: Hans Martin Vikdal, CIA, DipU.R. PricewaterhouseCoopers Konferansekomiteen: Eirik Kvam Norsk Hydro PR komiteen: Ellen Braathen, Dipl.I.R" CIA Oslo Kommune Byra.dslederens Avd. Seksjon Intern Revision Til.: Programkomiteen: Berge Jahan Bergesen, CIA Trygdedirekt0rens incernrevisjan Tlf: / Redaksjonskomiteen: Espen Opjordsmoen PricewaterhauseCoopers Tlf.: Foreningssekretrer: Vibeke Arnet Til.: Internrevisoren: Organ for Norges Interne Revisorers Forening. N!RF Antal! utgive!ser pro ar: 4 Opplag: 600 Neste nummer: Medio desember 2000 Frist far innlevering av artikler. brev fra leserne m.m., er satt til 28. november 2000 Arsabonnement: Kr.! 50.- Annonsepriser: III side kl: /2 side kl: /4 side ki,750 Grafisk produksjon: GRYTTING AS, Oslo Trykl" GRYTTING AS, Orkanger Forsideill.: Grytting S Styrets leder har ordet IT-revisjon for «vanlige» intern revisorerl Information Systems Audit and Control Association (ISACA) Norway Chapter Ny Anbefaling til God IT-skikk (GITS) Hva er «hot» for IT-revisorer og -sikkerhetspersonell i ar Non Stop Sikkerhet - holdningsskapende arbeid somgir mersmak! Rammeverk IT sikkerhet COBIT 3: Et imponerende verk er na fullf0rt Ernst.& Young - Business Risk Services ( Kursoversikt Metodisktilnrermingtilunders0kelser av produktivitet og effektivitet i forvaltningsrevisjon Foreningsnytt Pa tampen

4 ... --_._ ,. I.J.I.lI,..._.._ L.:.Ll..~..,,'._'... ' 'l'_!' ''''_~. ",. '.-"-~..._---"" _......_..-""'...-"'> ",...""'''''''' ~<~, ,...---"""",-,..._..._.... _... ""' _.. "._.. '" n... " -~~::: ':":~":-::~-"'.. T....,"' ' il::;:>... ~!ders Skail Kommune, BYrldslederens avd., ~Jon, TCor Intemrevlsjon Helga Stjemen Storhaug,?~!tygdledlire!ttelrenslntemrevisjon Svelnung Svanberg Posten Norge BA Tlf.: VISIT THE II A ON THE WEB Arukier I blader suk for forfouerens egne synspunkter, og er ikke m~dvendigvis i samsvaf med NlRFs offisielle synspunkt 4 RNREVISOREN :2 ' 00

5 lema 11. R ey fsj Q n~,,',~o Il,.revisjon for «vanlige» intern revisorer? Av Frank A/vern ) Sover du i timen? Relativt upaaktet av NIRFs medlemmer har Norge vzrr vertskap for et storr internasjonair arrangement for bl.a. interne revisorer. Med om lag 400 personer fra mer enn 30 land som pl0yde seg gjennom et tettpakket program i nesten en uke, satte Norge rekord for dette arrangementet i mars i ar. leg synes jeg h0rer du stiller sp0fsmalet Harjeg sovet i timen? Tja, akkurat det velger jeg a avstii a besvare sann direkte, men la meg heller komme med forklaringen. leg snakker om EuroCACS 2000, eher mer spesifikt The 15th Annual European Conference on Computer Audit, Control and Security som brosjyren spesifiserer dec. joda, det stemmer at jegfikk konferanseprogrammet j posten fra NIRF, men dette er jo IT-revisjon. jeg arbeider bare med operasjonell revisjon, jeg. Auda! Pmv igjen. jeg arbeider med operasjonell revisjon, det er Knut som tar seg av disse teknislle IT-greiene for hele intemrevisjonen v!b: Bedre? Nei, som dere skj0nner - jeg har personlig svzn liten sans for disse to «forklaringene». Krav om starre kompetanse om god styring og kontroll pa ISIITomradet er her allerede leg overdriver noe her for a spisse poenget mitt. Som interne revisorer har vi imidlertid et klan ansvar for a ha et fokus pa risikohandteringen i var virksomhet. Det er na en gang blitt slik at informasjonssystemer og informasjonsteknologi bade har 0kende iboende risiki og ikke minst na blir mer og mer kritiske for var mulighet for a kunne styre mot maloppn;lelse generelt. Til og med var konservative moderforening IIA har for lengst tatt noen konsekvenser her. Ta en titt pa hjemmesiden deres. Les Competency Framework for Internal Auditors. Sjekle hvordan IS/IT vokser i ClA-vektingen. Meldingen er ldar: vi rna 0ke var generelle kompetanse om IS/IT for a kunne kommunisere med ledelsen om et omrade med potensiell sror risiko. Sp0rsmalet er dermed ikke om vi skal forholde oss til denne utfordringen, men snarere hvordan. Med dette som utgangspunkt har Internrevisoren i denne utgaven fors0kt a gi noen konkrere pekere inn i materien for a kunne hjelpe oss i gang med a 0ke var egen kompetanse. Det var innlysende a henvende seg til kollegaer i revisorhuset i Pilestredet, ISACA Norway Chapter, for a!a hjelp og tips. Vi har snakk:er med Here sentrale personer i foreningen og fors0ker gjennom artilder de neste sidene a fa et blikk: inn i hva ISACA stiir for, hva IT-revisorer er Opptatt av na og hvor vi har felles interesser. IT sikkerhet er et slikt fellesomriide, og vi har v::ert sa heldige :i fa Norsk Tipping og Sparebanken Hedmark til a dele sine erfaringer nar det gjelder kontrollmilj0ers betydning for IT sikk:erhet og hvordan vi kan pavirke dette i positiv retning. COBIT kan vrere nakkelen Ogsa IT-revisorens folie er i endring. ISACA sentralt fokuserer na knallhardt pa IT Governance og forholdet til Enterprise Governance i sitt arbeid. ISACA etablerte i 1998 et eget institutt, IT Governance Institute, for dette form:i1et. IIA bruker i sin definisjon begrepet Corporate Governance, men det er n0yaktig samme sak som Enterprise Governance. Da er der kanskje betryggende a vite at COSO ogsa ligger i bunnen av den forst:ielse og merodildc som stadig videreutvildes i ISACA-verdenen. Hille minst finner vi igjen COSOs grunntanker i det verkt0yet ISACA klart sarser mest pa - COBIT. Den st0rste spalteplassen i temautgaven har vi nemlig viet COBIT. Detre skyldes kort og godt at vi mener det lean v<ere den beste m~hen for oss (wanlige» intern revisorer a tilnzrme oss denne utfordringen pa. De forbedringene som na er kommet i den tredje utgaven av dette styrings- og kontrollrammeverket for IS/IT viser at IT-revisorene og «vi)) mer og mer snaldcer samme spr;lk. Her er det balansering av risiko og maloppnaelse for abe penga, og intro- GOVERNANCE INSTITUTEduksjonen av Balanced Scorecard-tankegangen b0r jo heller Hille vrere en ulempe. Antaller virksomheter som rar i bruk balansen malstyring i en eller annen form er stadig 0kende, ogsa innenfor offenrlig sekror. IT Governance Institute scar som utgiver av dette rammeverket na, noe som igjen viser at ISACA mener alvor med sin strategi om a fa tilpasset eget «stammespralc)) til et spr:ik som yare (felles!) 0versre ledere fakrisk forstar. ISACAs president sa pa EuroCACS i Oslo at foreningen legger COBIT inn som selve grunnmuren i besttebelsene med IT Governance. CO BIT 3rd Edition represenrerer et langt steg fta egen «IT-femmeter» og inn mot midtbanen fot a si det pa den maten. Vi som «vanlige» intern revisorer rna ta mot til oss og stille pa midtbanen selv ogsa. Programkomireen var har tenkt a f0lge opp, og da vil undertegnede bare avrunde med en oppfordring som en notabilitet vel allerede har sagt nar dette kommer pa trylck: LET THE GAMES BEGIN!! INTERt'-lREVISOREN 3 00 S

6 Olema: IT-Revisjon Information Systems Audit and Control Association (ISACA) Norway Chapter Av Tore B. MODO', President ISACA Norway Chapter ISACA cr en verdcnsomspennende organisasjan med mer enn medlemmer i ca 100 land. Foreningen ble grunnlagr i Hovedsekretariatet ligger i Chicago, USA. ISACA Norway Chapter ble opprettet i Foreningen har pro ca 350 medlemmer og har felles sekrerariar med NIRF og NBRF i Pilestredet 75 D i Oslo. Foreningens medlemmer har rradisjonelr v:rrt personer med IT-revisor bakgrunn, men over tid har foreningen blitt supplert med medlemmer som arbeider med IT-sikkerhet og IT-kvalitet. Ogsa personer fra ITutviklingsmilj0ene har etter Iwert blitt medlemmer. Et viktig tilbud til medlemmene er ucdannelse og videreutdannelse. Gjennom et strukturert opplegg i samarbeid med DnR, gis medlemmene gjennom 5-6 samlinger en grundig innfming i IT-revisjon slik at man stiller best mulig rustet til it ca CISA-eksamen (Certified Information Systems Auditor). Kravene for a besra eksamen er store, og stryk-prosenten til den engelskspdildige eksamen er relativt h0y; ca 52 % i Norge og 48% imernasjonalt. En del land har valgr a overscrrc eksamen til eger spriik, mens den norske foreningen har valgt den engelske. 99 personer i Norge innehar eisa-dtrden. A besra eksamen er imidlertid bare f0fsre (finn - for a fa tittelen rna man ha Era 3-5 ars praksis fra definerte fagomrader. Mange kjenner ogsa foreningen sam utgiver av God IT-Skikk (GITS). Det er vel anerkjent at GITS-ene hal' en god nasjonal forankring som retningsgivende «best practice) innenfor IT-omdidet. ISACA Norway Chapter urgir ogsa medlemsbladet DataZ som kommer ut 4 ganger i aret. Styret i ISACA Norway Chapter besrar av President, Visepresident, Past President, kassererer og sekret<er samt lederne av komiteene Forskning, Utdanning, Standard og PRiMedlem. I mars i ar arrangertc forcningen EuroCACS som samlet ca 400 personer fra mer enn 30 land. Neste ars arrangement er lagt til Paris, mens Budapest er valgt som vertskap i Tre sentrale personer po EUroCACS i mars, fro venstre: Tore B. MOOD, President ISACA Norway Chapter, Paul A. Williams, InternOlional President ISACA og Arne ja/janhej/e, MaaGs (orgjenger i presidentstolen i de! norske c/japterel (Folo:John Lerskou) 0 I r '1 ij I Av Svein ErikA/dol, leder ISACAs Stondordkomite Standardkomiteen i ISACA har urarbeidet (,Anbejizling til God IT-sf:i/d: for endrillgsadmillistmsjon». Dette er et Stort og kompleksr omdde sam i mange virksomheter ikke har n0dvendig fokus. Ofte resulterer dette i driftsforstyrrdser sam kunne vxrt unngiitt dersom lcdelsen hadde san tilstrekkclige hav til innf0ring av endringene. Fravxr av en generdt akseprert standard for endringsadminisnasjon hal' v::cn en medvirkende 11.1' sale til at mange ikke har gjennomfort nod- vendige tilrak, og vi i Srandardkomiteen haper at vi gjennom dettc dokumenrct kan bidra til at handtcring av endringcr i St0rre grad scrres i foklls.,<god IT-skikk - Endringsadminisrrasjon» er utarbcidet for ledere, kontrollinstanser og medarbeidere med ansvar for a gjennomf0re endringer som vii pavirke virksomhetcns daglige drift. Anbcfalingen omt:1rtcr aile ty~ per endringer i objekter som er en del av- el~ ler hal' en indirekte pavirkning pa virksomhetens IT~milj0, og dekiter sa vel planlagte som ikke planlagte endringer (uforursigbare endringer) som matte oppsra som f01ge av ytre ikke-komrollerbare hendelser. Dec poengteres at aile endringer b0f vxrc autorisen, planlagt, prioritcrt, risikovurdert, dokumentert, testet og godkjent. Et viktig element er at endringene iverksettes pa en slik mare at eventllelle fei! og avvik ikke pavirkcr andre deler av virksomhetens systemcr, dag-

7 lig produksjon eher leveranser til og fra virlcsomhetens kunder og samarbeidsparrnere. Med denne utgivelsen har foreningen na girt ut i alt seks Anbefalinger: Nr. 0 - Grunnleggende retningslinjer for God IT-skikk Nr. 1 - Dokumenrasjon av IT-systemer Nr. 2 - Tilgangskonrroll IT-systemer Nr. 3 - Konrinuitet i den operasjonelle drift av senrrale og desenrrale IT-systemer Nr. 4 - Endringsadministrasjon Nr. 5 - Bruk av Inrernett. Ta konrakt med var felies foreningssekretrer,' Vibeke Arnet i DnR for a fa informasjon om papir- dler elektronisk utgave av disse GITS-ene (telefon , eller e-post rellisomett@isaca.no). Standardkomiteen arbeider videre med nyc GITS-er. N:ermest i loypa ligger dllbefolillg til God IT-skikk vedromzde allskaffelse av IT-systemenl. I tillegg er det plan Iagt a urarbeide retningslinjer for e-handel. Det er forelopig usild(ert nar disse vii foreligge. I det videre arbeid med GITS vii vi i sterkere grad samordne struktur og innhold med COBIT. Derte gjelder bade kommende og tidligere publiserte GITS - nar revisjon av disse iverksettes. Hva er «hot» for IT-revisorer og -sikkerhetspersonell i ar 2000? Internrevisoren ba Jan G Thoresen lage et sammendrag av EuroCACSkonferansen for OS5. Malsettingen med et slikt sammendrag er a formidle et blikk inn i hva som opptar dagens IT-revisorer og -sikkerhetspersonell_ DataZ nr 2/2000 gir en omfattende beskrivelse av mye av det som skjedde «den uken Oslo var ISACAs hovedstad».ta kontakt med Vibeke pa telefon sa far du kanskje et eksemplar tilsendt! Arets konferanse var sterkt preget av storsatsingen COBIT - Control Objectives for Information and Related Technology fra ISACAIIT-Gavernance Instirute. Mange presenrasjoner var i ulik grad baserr pa madellen. Samtidig gikk en f01jetang am COBIT-basert styringssystem for informasjonssikkerhet. Ellers kan nevnes British Standard on Information Security Management (BS 7799) sam et hoyakruelt verkt0y. Strsm I - Kjernekompetanse Strommen deld<et grunnleggende kompetanse innen IT-revisjon og kontroll og skalligge pa et overordnet niva. Stildmrd er innforing i generell revisjons-metodild{, overordnet forstaelse og begrepsforldaringer. Urvildingen av internett og WEB-teknologi presenterer kontinuerlig aktuelle problemstillingcr som nok mange f0ier et behov for a beherske. Emncne public key inji-a-sh"ucture (Sten Lannerstf0m) og digita- Ie signaturei' Gohn Mitchell) ga uventet stor respons. Risiko er et fundamentalt begrep i all revisjon. Her ble emnet dekket gjennom presentasjonene Risikodrevet revisjomplanleggillg (Archie Watt) ag Metoder for risikoalia!:yse (George Sifri). Informasjonssikkerhet bie dekket av presenrasjonen etablering av et styringssystem for infonnasjonssikkerhet (Peter Bittedi). Forste del i foljetongen sam fulgte aile stf0mmene. Ellers ble f0lgende revisjonsemner presentert: Metodisk revisjonstilntr.rming (Archie Watt), systemutvildings-prosessen (Chares Mansour), endringshandterillg (Chares Mansour) og drifiskolltinuitetsplanlegging Gean Jaques De Gheyndt). Strsm 2 it-revisjon Stf0mmen dekket beste pral{5is i et lltvalg av relevante revisjonsemner. Revisjoll av ERP-applikasjoner (Enterprise resource planning). Johan Hermans tok INTERNREVISOREN 3'007

8 o Tema: IT-Revision her app problemstillinger vedrorende revisjon av denne type integrerre 10sninger. Revisjon av Datasenteret 00ho Mitchell) dekket sentrale utfordringer for en revisor i moderne komplekse og disrribuerre 105- ninger. COBIT ble rrukker inn sam planleggings- og styringsverkt0y. Problemsti//inger ved revisjon av finansinstitlfsjoner (Brendan Morgan) fokuserre pa hovedutfordringene for europeiske banker - ehandel, Euro. rightsizing og teknologiendringer. Internet banking var saledes sterkr vekdagt. Revisjon flv illtrtl- og extranets. Marc Sel foredrc her nettverkssikkerhet og ga bade en innf0ring i basisrek gi og fordypning i teknologiske muligheter. Revisjon flv braml1llllrej: Marc Sel haldt et hoyt teknisk niva og fokuserte pa teknildccr for a sikre internetcraffikk. Problemstilfinger ved revisjoll av WEB-basert applil,asjonstltviklitlg (George Sifri) dekket farskjellen fra tradisjanellutvilding ag fakuserte srerkr pa fisiko - WEB-prosjekrer er d0dsmarsj prosjekrcr! Hvordan revidere styringssystem for infon-nasjons-si/tkerbet. Peter Bittetli inrrocluscrrc en merodikk som flerter CSA og tradisjonelle revisjonshandlinger basert pa prinsipper fra BS 7799 eller COBIT. Revisjon av misfigbetskontro!! og}llridislt revisjon. Helge Kvamme tak opp forebygging av 0konomisk kriminalitet, retningslinjer for revisjon og teknikker for bevissiknng. Stn<lm 3 Informasjonssikkerhet Defre var fordypning i problemstillinger [undt informasjonssikkerhet og omhandlet telmiske omrader pa detaljert niva. MaIgmppen var erfarne IT-revisorer. ne av brudd, typiske problcmcr under behandlingen og hvilkcn lxringsprosess organisasjonen bor gjcnnomf0re i enertid. lmplementering av databeslryttelseslovgivning. Vernon Poole redegjorde for forhold a ta hensyn til for a kunne encrlevc THE DATA PROTECTION ACT BS 7799 ble referet sam verkwy. AdministrtlSjon av styrbzgssystem for infomlasjolls-sikkerhet (ISMS). Peter Wood innledet rned skreld{-historier fra det virkelige liv og fulgte med en omfattende gjennomgang av BS 7799 (hvis prinsipper utgjor kjernen) ag teknikker for administrasjon og innsalg til egen organisasjon. WEB-sikl?erhet. Sten Lannerstf0m gjennomgikk prinsipper for WEB-sildkerhet og elektroniske transal{sjoner og redegjarde mer dclajen mndt komplekse emner som Secure Sockets Layer, Virtual Private Networks og Private Key Infrastructure. Sikring av datautvdsling pa Internett. Thomas Keishu gjennomgikk prinsipper for- og svaldleter ved informasjonsutveksling, sarbarhet og ulike kategorier datal{riminalitet, rnerodikk for risikovurdering og ymse rnoniltalc Oppdage innh enging. Arnt Brox gay en definisjon av begrepet samt beskrivelse av funksjonalitet, srandarder og arkitektur i ulike Intrusion Detection Systems (IDS). Informasjonsi/.:kerhet - risil.:oanalyse og ledelse. Leslie Roberts fokuserte pa verdien- og riktig bruk av risiko-analyser. Presemasjonen inlduderce et nettbank casestudy. Sikring av JYsisk injillstj'ltlztm: Illustrert med hendelser fra virldigheten redegjorde Michael Bacon for trusler av type ekstremt vxr, sef0mbrudd, innbrudd, sereik, bomber, elektroniske vapen og odeleggende kjemikalier. Sikkerhetsbrudd - eslmlering e!r res polls. Leslie Roberts definerte sikkerheesbmdd som komprominering eller tap av konfidensialitee, integrieet og tilgjcngelighet til informasjon. Hun rcdcgjorde for de vanligste rype- fjroblemstillingene i forholdet mellom business og ISIIT var sentrale Strf2jm 4 ISIIT Business Strommen dekket problemstillinger i forhaldet meiiam business ag ISIIT. Styring av IT-kompetanse. Med bla CO BITsatsingen fra IT Governance som fundamem redegjarde ISACAs presidem Paul Williams for ulike prablemindikatorer, ITrelatcrte risikoomdder og prinsipper for vedlikehold og bevaring av kjernekompemnse. Paneldiskusjon: IT Governance. Her styrte Willams selv en diskusjonsrunde runclt storsatsingcn IT Governance og forholdet til Enterprise Governance. Deltagere i paneler var ISACAs internasjonale «tungvek [ere~). StyringsSJ1stem for informasjonssikkerhethvorfor bty seg? Michal Bacon poengterte paradigmeskiftet ifb med den nye geografisk spredte informasjonsteknologien og skisserte et konsept for a m0te de nyc utfordringene. Prism for ikke Ii etter/eve lovverl,et, E-handel impliserer gjerne konrraktsinngaelse vha museklildc Cordula Nicklaus sammenlignet sveitsisk og EU-Iovverk pa omddene kontrakter, internett- og elektronisk post, forbrukervern, internasjonal privatjuss, konkurranse og andsverk, heruncler konsekvenser ved lovbrudd. KOlltJ"o/lnuilenes verdi for seniorledelsen - hva COBIT gil": Peter Bitterli demonstrerte hvordan IT kan styres av generelt akseptert beste praksis, hvordan foretakets IT-satsing kan St0ne forretningsmaiene, at dets ressufset benyttes ansvarlig og at risiko blir forsvarlig styrt. Hva vi "'rte av Y2K Hugh Penri-Williams redegjarde for amfanger av Y2K-arbeider i Ncate! og hvilke positive erfaringer som korn ut av prosjektet. Konh'ollinji-ash1tktur i det nye artusenet. Robert Johnson fokuserce pa den raske endringen i teknologi og at dette strategisk serr hat endret risiko fra teknologi til forretningsprosess. Johnson forcsio videre grunnelementene i en moderne kontrollinfrastruktur. Workshop I: Audit, control and security of UNIX Per Skov delte sin lange erfaring med bruk av Unix og med revidering av slike maskinplattformer. Workshop 2: Audit, control and security of Windows 2000 Steve Bailey rok for seg nyhetene i produktet som Microsoft har lovet skal v~re et revolusjonrerende nytt operativsystem, med fokus pa nyhetene pa sild{erhets- og revisjonssiden. Workshop 3: The data centre John Mitchell ag Derek Oliver tok for seg den teknologiske utvildingen som har snudd opp ned pa mange etablerte j(sannheten> nar det gjelder datasenteret. Kablingen av COBIT ag BS 7799 ble fremhevet til a vrere en optimal tilnrerming pa denne komplekse virkeligheten. En egen runde pfllisensieringsproblematildc gay mange tilh0rere en real tankevekker. Workshop 4: Network attacks & countermeasures Alan Gherardi og Sean Wheeler tok for seg nettverksproblematikken ved a a) diskutere de mest vanlige sarbarhetene, b) vise konselcvenser av sarbarheter dersom de utnyttes aven inntrenger, same c) foresla mottiltak for a sikre systemene.

9 Tema; IT-Reyision 0 Non Stop Sikkerhet - holdningsskapende arbeid som gir mersmak! Hilde Grunt er Sikkerhetsradgiver IT ved NorskTipping AS pa Hamar. Hun er h0gskolekandidat EDB fra 0stfold distriktsh0gskole (na H0gskolen i 0stfold) og CISA (Certified Information Systems Auditor) og har tidligere arbeidet, som it-sikkerhetsradgiver i KPMG i og sam f0ystekonsulent i! Trygderevisjonen EDB med fokus pa IT-revisjon. i Siden rnai 1999 har alle pi Norsk Tipping spist Non Stop sent og tidlig. Vi hat delt lit Non Stop i poser, vi har hart Non Stop utplassert pa srrategiske steder pa huser og vi har spist Non Stop i rn0tef. Hvordan det har gatt rned gjennomsnittsvekra p:'i huser vet jeg ikke. men intensjonene bak denne frarsingen i sjokolade er de allef beste: Vi har 0nsker a sette holdninger til sikkerher pa dagsordenen. Non Stop Sikkerhet er navner pa van holdningsskapende arbeid i tilknytning til slkkerher. Maler er ;1 bygge opp en bevissthcr i organisasjonen om hvorfor en scabil og god sikkerher er vikrig for Norsk Tipping, og hvordan den enkelre er en vikrig brildce i forhold til den rotale sikkerheten gjennom sitt ansvar og oppgaver i det daglige arbeidet. Bakgrunnen for Non Stop Sikkerhet Norsk Tipping har valgt a bli sertifisert etter World Lottery Association's (\X1LA) Security Control Standards. WLA er en organisasjon med 148 stadige spillselskaper fordelt pa 81 land som medlemmer. Sikkerhetsstandardene tar urgangspunkt i at sikkerhet er et bredt og sammensatt omrade, og de stiller krav til hvordan vi skal sikre virksomhetens verdier pa en tiifredsstillende mate gjennom blant anner organisatoriske og personellmessige forhold, risikostyring, fysisk sikring og informasjons- og IT-sikkerher. WLAs sikkerhersstandarder - som i stor grad er dekker de samme omradene som BS7799 som er en britisk standard innenfor informasjons- og IT-sikkerhet slar Idart 1.st at sikkerhet er mer enn Hisesysremer, brannmurer, tilgangskomroll og sikkerhetskopiering. Sikkerhet er sv<crt sammensatt, og skal totalsild<erheten v<cre pa plass rna aile brikkene va:re med, og aile avdelinger rna bidra ble Norsk Tipping som det f0fste spillselskap i verden sikkerhetssertifisert erter \xrlas sikkerhetssrandarder. Sertifiseringsperioden er pa 3 ar, og i mal 2000 sto vi Foran en revisjon. Vi hadde behoy for a sette i verk tiitak for at vi skulle kunne bli resertifisert. Samtidig var der vikrig for oss at vi ikke bare satte fokus pa enkelttiltak fer sertifiseringen, men ogsa pa hva sikkerhet er og skal v<cre for Norsk Tipping AS. En sikkerhetssertifisering er ikke er mal i seg selv, men et virkemiddel for a oppna 0nsker sikkerhet. Sikkerhct er ikke noe vi kan oppna gjennom a ta er skippertak hvert tredje ar, det er noe vi rna jobbe med hele tiden som en integrert del av virksomheten, bade i linjen og i prosjekrer. Valg av strategi «Sikkerher er 80 % holdninger og 20 % tekniskc innrerninger". Dette er et kjem Non Stop Sikkerhet Non Stop Sikkerhet -/ Norsk TI'pping- sikkerhetscvd. postulat blant folk som jobber med sild<erhet. Dec kan forsras silk at det ikke hjelper med all verdens cekniske innrerninger hvis de kan boikottes av den som ikke gidder bruke og vedlikeholde ceknologien og rurinene. Sikkerhet er avhengig av de ansattes holdninger, og deres akscpt av hva som cr 011sket sikkerhetsniva. I tillegg er det selvf01- gelig n0dvendig mcd kunnskap om hva det faktisk inneba:rer av praktiske arbeidsoppgaver og forventinger til adferd. Denne fo1' stiielsen av hva gir god sildcerher var utslagsgivende for ar vi valgte a fokusere sterkt pa det holdningsskapende arbcidct, i tillegg til at vi sane i verk n0dvendige tekniske tiltak. Sikkerhet er ikke viktig i seg sj0l Det er for lett a si at sikkerhet er viktig uren at dene urdypes mermer med a si hvor viktig, og po. hvilken matc. Et viktig forankringspunkt for det holdningsskapende arbeidet hal' v<crt Norsk Tippings forretningside og srrategiplaner. Vi hal' nedfestct at var virksomhet skal kjennetegnes av h0y sikkerhet, og vii ville bruke Non Stop Sikkcrhet rilnctropp.1 synliggj0re betydningen av sikkerhet for virksomheten.

10 o Tema: IT-Revisjon Hva skal til for a endre holdninger? ~De hiindfaste 20 %-ene av sikkerheren er det relative greit a h:indtere. Holdninger er vanskeligere a forholde seg til, og holdningsskapende arbeid rna angripes pa en annen matc. Dec som preger Yare holdninger er b1.a. f.tkra-kunnskap, edske verdier, forsraelse av hva som er viktig for bedriften, lederstil og bedriftskultur. Sam ansvarlige for sikkerhcten 0nsker vi ass dessuten ikke bare ansatte med passive, fiktige holdninger. Vi onsker ass ak (ive medarhcidere som utvikler bedriften viclere ogsa i relasjon til sikkerher. Dec er en stor mfordring a skape holdninger, og en stor del av det forberedende arbeidet gikk lit pa a idemifisere hvordan vi best kunne oppna det vi 0nsket has oss. Hva en stik prosess inneholder kan beskrives med f0lgende hovedtrinn: CD Oppmerksomhet ~ Forstaelse Du kan ikke ha holdninger ril noe du ilcice kjenner til] F0rste punkt er a silcre ar den enkelte er kjem med omradet og hvilke krav og forvenrninger det er til den enkelte ansatre. Verdi ---7 Eierskap ---7 Forpliktelse Nar den grunnleggende forsraelsen er pa plass gar veien videre gjennom det a synliggjene verdien for den enkelte. «What's in ir for me)). Da kan der V:Ere mulig a f0le er eierskap, og som en f01ge av der ville forplikre seg ril a etterleve krav og forventninger. Kommunikasjon ~ Utvikling Er nesre trinn dreier seg om a skape proaktive medarbeidere som formidler budskapet og er med a utvikle systemet og rutinene videre " Skape holdningerog aktive medarbeidere? Eierskap (J.,lihv<lt'l Forsto.else (1<'J.. tm.... t~) Non Step Sikkerhet / Norsk TiPPing-!il;k~rhetsal'd, Hvordan na aile? Van mal i f0rste omgang har v<ert a fa flese mulig til a forplikte seg til a eeterleve kravene og i rillegg fa noen sentrale akmrer som proakrive ressurspersoncr i dce videre sikkerhersarbeidet. For a na et slik mal er valg av biide innhold og form sv<en vikrig. Vi innsa tidlig at aktiv deltagelse og samspill en forursetning for a kunne na pa innsiden avenkelrmenneskene. Gjennom aktiv delrakelse og dialog kan vi fa en felles forsraelse av trusselbilder, og hva sikkerhet er for oss. Dec innebrerer ogsa en forstaelse av at trusselbildet endres over dd, og dermed ogsa behover for sikkerhets- og kontrolltiltak. Setr i lys av at sikkerhec er 80 % holdninger og forsraelsen av hva som kreves for a fa proakrive medarbeidere, sier der seg selv ar et felles opplegg for aile ikke passer. Det a skape oppmerksomhec og gi en forstaelse av hva sikkerhet er, kan gj0res relativt likt for aile. A synliggj0re verdien, skape eierskap og et 0nske om a etterleve kravene krever derimot ulike angrepsvinlder for ulike maigrupper. Her er det n0dvendig a ta urgangspunkr i dec enkelte mennesket og dets kunnskap og virkelighetsoppfatning i st0rst mulig grad. I forbindelse med Non Stop Sikkerhet brukte vi lang tid pa forberedelsene. Van viktigste verkt0y var en kommunikasjonsplan. Her ble ulike malgruppers informasjonsbehov dokumenten. og n0dvendige rilrak og aktivireter planlagt. Vikrige elemenrer i kommunikasjonsplanen var akrivireter i tillmytning til ledergruppen, mellomledere og andre n0kkelpersoner. Samarbeid med fagforeningene var ogsa viktig, da sikkerhetstilrak blanr anner dreier seg om vern avenkeltindividet mot uberettiget misranke ved sikkerhersbrudd, Behovene for informasjon varierer sterkt innenfor den rotale malgruppa. En del av planleggingen - og forankringsprosessen - gildc lit pa a finne ut hvilke behov og fokusomradet de ulike gruppene hadde, Hva er de opptan av generelt, og hvilke trusler er de opptan av? HvilIce forveminger har de til sikkerhersavdelingens arbeid? SIcaI du kommunisere sa er det er krav at det gjeres pa en mate som er relevant for monakeren, noe som igjen inneb<erer at man rna kjenne malgruppen. I forbindelse med yare forberedelser ble vi bare mer og mer klar over at planleggingen av Non Srop Sikkerhet iklce handlet om planlegging av hvordan fa folk til a forsta og f0lge sikkerhetsrutinene. Det handlet om a bli kjem med bedriften og planlegge kommunikasjon utfra dec! Holdningssleapende arbeid handler om a selge et budskap slik at mortakeren tror nok pii budskapet til a endre adferd. Det lean du oppna gjennom god kommunikasjon. Hvis du har gan pa kornmunikasjonskurs sa har du h0ft dec air sammen] Du rna gi bade dec visuelle, det auditive og kognitive mennesket noe a jobbe med. Du rna selge budskapet ditt, vise hva den enkelte kan fa ut av dec du snakker om. Hvis du har vrert pa kurs innen prosjekdedelse sa har du ogsa h0ft at du rna rydeliggj0re det du skal fram ril, tegne malet, «rhe big picrure)). Det er ikke annerledes innenfor holdningsskapende arbeid. Non Stop Sikkerhet - gjennomfllring i tre faser Etter en l1<ermere vurdering av de ansane og tiden vi hadde til radigher, bestemte vi oss for a dele opplegger i tre: ledere, «spesiaifunksjonefj) og ((den store hop). ((SpesialfunksjonefJ) er samlebetegnelsen vi ga ulike n0kkelfunksjoner innen IT-drift, utvikling. 0konomi og markedsfering. Rammene for Non Srop Sikkerhets ansattsamlinger var identisk. Det ble brukt fire timer totalt. hvorav en halvtime ble bruin til felles imroduksjon og tilsvarende tid til felles oppsummering og avslutning. Resren av riden ble brukr til gruppearbeid. Bakgrunnen for denne oppdelingen av tiden var ar deltakerne ikke bare skulle h0re, men ogsa gjere. Incroduksjonen satre fokus pa hva sikkerhet er, og hva det beryr for virksomheren. Dette for a skape et felles grunnlag. Dec videre arbeidet var utformet ulikc for de ro hovedgruppene, men begge hadde til formal a synliggj0fe verdien av sikkerher, og gjennom dec sk.;lpe et eierskap hos delraicerne. I: ledere Lederne var f0rst i ilden. Denne gruppen 0nsket vi a engasjere og involvere i diskusjoner rundt hva sikkerhet. trusler og risiko er. Dene ble bl.a. gjon gjennom gruppearbeid hvor de skulle hence fram det de mener er de mest kririske truslene for var virksomhet. og hva de mener kan gj0res forebyggende. Diskusjonene ble derener dran videre til a se n<ermere pa hva som er den enkeltes ansvar som leder i forhold til sikkerher. Resultatet av samlingene med lederne ble en samlet rappon om ledernes egen vurdering av Icritiske trusler. AIle ledere matte i tillegg delta pa samlingene med Hsine») ansane. Dette bade for a rydeliggj0re ansvar, og dessuten gi Iederne en anledning til a fa bedre innsikr innenfor silckerhet i tilknyming til eget ansvarsomdide. 2: «Spesialfunksjonen) Spesialfunksjonen arbeidet ogsa relarivt (fadisjoneir for denne rypen arbeid: Det bie gjennomf0ft gruppearbcid med fokus pa kridske trusler. I smiigrupper skulle kritiske i 0 INTERNREVI$OREN 3 00

11 Tema: IT-Revision 0 Risikoanalyse (he/sesjekk) Konsekvens t Forstoppelse 5IWnlDshet '... Sannsynlighet Non Stoll Sikker/1et NorskTiPPing- $ikkerhetsovd. Det store Sikkerhetsspillet Non SlOp SikkerlJ~t -/ Norsk Tipping- sikk rheuavd. trusler innenfor et begrensct omrade identifiseres og begrunnes. Hvillce omradcr som ble tart opp var besiuttcr av avdelingsleder og sikkerhetsavdelingen i fellesskap. Gruppene skulle ogsa knytte fisiko opp mot forretningsicieen, same vurdere fisiko og Status pa omnider og komme med forslag til tihak. En eksrraoppgave vat a gi innspill til hva som er 011sket av sikkerhetsavdelingen pi omddet. Valg av omnicier engasjertc og ga konkrcrc innspill til tihak hvorav noeo ble gjennomf0f( umiddelbart, mens andre ble tatt med i kommende handlingsplaner. 3:«Den store hop» Arbcidcr som ble gjon med de 0vrige ansatte bie gjennomfort pa en ganske annen mate. Her vat spill i fokus, som seg hot og bot. Det store sikkerhetsspillct er kanskje ikke det nyeste spiller til Norsk Tipping, men sa fryktelig gammeh: er det iicke. Det bie lansen som en del av Non Stop Sikkerhet og er et brertspill med oppgavcr knyner rilulike sider ved sikkerhet. Oct spillcs i grupper pa 4-6 personer og oppgavenc loses av dclrakcrne j fellesskap. Sammensetningen av spill-grupper krevde god plan legging slik at vi storst mulig grad skulle P.i gode diskusjoner. For det vat jo diskusjonene som vat viktigsr, ikke det a komme forst i mal. Men spill er spill, og vi oppdagcr at konkurransemennesker spiller for a vi nne uansen! Oppgavene dekkcr bade 1ihva er rutinene fod> og «hvorfor skal vi v<ere opptatt av». Enkelte oppgaver var vanskeligere enn andre, og noen skapte store diskusjoner. I oppsummeringen etrer spiller var spesidr vanskelige oppgaver cher oppgaver som forarsaket store diskusjoner oppe i plenum. Spiller var ikke plankekjoring, og kunne godt ha vocrt brukr for aile pa huset. For som en av lederne oppsummerte etrer en god diskusjon: ((Deere ene sporsmalet har vocrt verdt hele dagcn!» Oppnadde vi det vi ville? Etter a ha gjcnnomfort Non Stop Sikkerhet sitter vi igjen med sv<ert positive rilbakemeldinger fra deltakernc. I tillegg fikk vi gjennomf0l"t de tiltakene vi matte for sikkerhets-sertifiseringens del. Sa da kontrollen ble gjennomfort i mai vi kunne konstatere at vi er det forste sratlige spillselskap i verden som bade er sikkerherssertifisert og resertifisert. Det er vi stolte av! Spill-deltakernes evaluering viser det vi pa Norsk Tipping alltid har visst: Spill er goy! Responsen var veldig posieiv. Dee var veldig gledelig og oppmumrende, samtidig skyldes nok de sva:rt positive tilbakemeldingene til en viss grad at forventningene ilci{e var sa voldsomt store. Som en spill-del taker uttrykte det: njeg hadde gruet meg til fire rimer med sikkerhet, men dem~ har jo va:rr goy (». De som jobbet kon1<ret med trusselvurderinger innenfor avgrensede omdider val' ogsa SVOCrt fomoyd. De fik1< jobbe i grupper satt sam men litt pa tvers av dee de er vam til, og de fikk loy til a bruke rid til noe de f..'lkrisk er interesserr i, men som det ikke alltid blir anledning til a jobbe med p:l en sa omfanendc mate. Ekstra positive bur opplevelsen av at foresliitte tileak blir iverksat( umiddelbart. Tilbakemeldinger fra ledere viser at de ogsa vurderre arbeidsformen som spennende og givende, bade for egne samlinger og de 0vrige ansane. Vi fikk mange tilbakemeldinger om ar de hadde locrt en god del om virksomheten i egen avdeling. Mest oppmunrrende for oss er at samdige grupper vurderte det de hadde gjort som nyttig og imeressanr, og dessuten <:H1sket a arbeide videre med sikkerhet. Jo, vi kan konstatere at Non Stop Sikkerhet ga mersmak! Dec var uvenret goy, og aile var storr sen forn0yd, men har vi egendig oppnadd noe? Det kan v<ere vanskelig a vice om man 0PPnar noe som heist med sakalt holdningsskapende arbeid. Vi hadde ikke foretatt konkrete konrroller pi forhand som vi kunne ga rilbalee til etterpa for a male en endring. Men vi hal' sett tegn pi at det har hatt en effekt som varer fortsarr, n<ermere en ar ener gjennomf0ringen. Gule lapper med passord er borte og dec hal' V;Ert en 0kning av ettersp0rsel etter informasjon og aksjon fra sikkerhetsavdelingen. Dec beryr at vi har nadd dl de siste stasjonene - kommunikasjon og tl( vikling - i sirkelen som viser hvordan vi skaper holdninger og aktive medarbeidere. I tillegg har vi blitt godt kjenr med organisasjonen. Vi kjenner enkeltpersoner og avdelinger bedre na, og de kjenner oss. Til sammen gir dette ogsa er enesraende grunnlag a jobbe videre ut fra. Non Stop Sikkerhet non stop Vi oppnadde mye av det vi ville, og kan hvi Ie pa vare laurbocr. Men jeg tror ikke vi simi Iwile sa skrekl{elig lenge. Dec er bare a erkjenne at holdningsskapende arbeid er en konrinuerlig prosess. Dilemmaet er IlYor mye, og pa hvilken mate vi skal jobbe i organisasjonen. For mye og for lite skjemmer air, heter det, og dec gjelder holdningsskapende arbeid ogsa. Jeg tror det vikdgsre vi kan gjore i en periode na er a foige opp de omdidene vi satre pi! agendaen i forste runde, og desstl(en jobbe videre gjennom ledere/mellomledere. Ledemes kunnskap og holdninger er sv<ert viktig fordi hverdagen forvalres av linjen og prosjektene som pagar. Utfordringen for oss som jobber med sikkerher og kvalitet er Ii gi ledere der grunnlaget og de hjelpemidlene de rrenger for at de simile V;Ere med a ha fokus pa sikkerhet og kvalitet sam en integrert del av sin arbeid. Dec beryl' at holdningsskapende arbeid er ell kontinuerlig prosess som ma tilpasses virksomherens behov til cnhver tid. Da passer det jo godt med navner Non Stop Sikkerher! INTEP,NREvISORE!'-J 3 00 I I

12 o Tema; IT-Revisjon Anne Marie Dalen (38). Fagsjef it sikkerhetsansvarlig i Sparebanken Hedmark. Utdanning; Administrativ databehandling fra Distriktsh",gskolen pa Rena. Prosjektledelse fra 131 Gj",vik. Fagkurs innenfor administrasjon fra Bankakademiet. Nyttige kurs i m",teledelse og prosessledelse fra Kvinneuniversitetet i L"'ten. Beredskap og IT sikkerhet - hvordan kan vi organisere det? I VaT organisasjon hvor hele virksomheten er basert pa IT rna vi fa innarheidet IT sikkerher som en naturlig del i hele organisasjonen. For a fa til detre hat vi bascrt oss pi a lage cokel organisering med kjare og tydelige mal, og ved a bygge opp en klar rolle og ansvarsfordeling i organisasjonen innenfor IT sikkerheten. Hvordan kan man sa ill detre til? Vi har utarbeidet en egen modell for rammeverk IT sikkerhet has oss. Rammeverk IT sikkerher gir en beskrivelse av malsetninger og ansvars- og rollefordelingen i var organisasjon. Vi har valgt a dele vart beredskapsarbeid inn i fire faser; Ii> Forebyggende fase G Reaksjonsfase ED Reservedrifrs 1se Reetableringsfase Rammeverk IT sikkerhet er forebyggende fase for IT virksomhcten var. De 0vrige rre fuser er en del av Vat kontinuitersplan hvor det blir utarheidet en kriseplan for hver fase for var IT virksomher og teknisk IT. Hver kriseplan bescar av egne kriseteam og et sett med teamoppgaver. Teamoppgavene er lager rued ranke pa konsekvensene og er beskrevet slik at man rna vurdere situasjonen utfra den hendelsen som er oppsratt. Videre rar jeg for meg forebyggende fase som besrar av vart rammeverk IT sikkerhet. Rammeverk IT sikkerhet Rammeverk IT sildcerher bygger pa coso modellen. Der er delt opp i fire nivaer rued IT sikkerhersmal pa toppen. Neste niva gir en beskrivelse av var sikkerhetsorganisasjon hvor roller, ansvar og risikovurdering beskrives. Defettcr beskrives rammcne for IT sikkerhet. Pa nederste niva f0lger de enkelte rudner, handb0ker og oppl:eringsopplegg som etableres. IT sikkerhetsmal IT sikkerhetsmal er delt opp i seks kategorier. Innenfor hver kategori er maiene beskrever kort og konsist. Vi har definert IT sikkerhetsmalene yare innenfor kategoriene organisasjon og ledelse; rysisk sikkerhet; informasjons- og systemsikkerhet; systemurvikling, drift og vedlikehold; kominuitet og ansvar. For a finne fram til yare malformuleringer under hver kategori benyttet vi Cobit som verkt0y. Det ga en oversikt over de omriider som b0r ivarecas innenfor IT sikkerhetsomradet. IT Sikkerhetsorganisasjonen IT sikkerhetsorganisas;on definerer de ulike ansvarsomddene og rouene som er knyttet til IT sikkerhet i Sparebanken Hedmark. Det uttrykkes at bankens ledelse har ansvaret for bankens rotale sikkerhet. IT sikkerhetsarbeidet i Sparebanken Hedmark baserer seg pi ulike roller innen forvaltningen av bankens IT-systemer. Til mange av disse rollene vii der naturlig ligge en rekke andre oppgaver enn bare IT sikkerher, og rollene beskriver ansvarsforde Engen for IT-systemene i banken pa en rekke omnider. Hovedprinsippene kan kort oppsummeres med at aile IT-systemer, bade applibsjoner, produkter, tjenester og IT infrastrukrur simi ha en ansvarlig eier. Systemeieren har ansvaret for at sitt system er riktig sileret gjennom egnede beskyttelsesrilrak. Tiltak som settes i verk for a beskyne bankens IT-systemer skal alltid sta i forhold ril hvor kridske systemene er for virksomheten, hvilke trusler sysremene er utsatt for og hvor sannsynlig det er at noen av disse truslene vii realisere seg. Systemeier er derfor ansvarlig for a identifisere risikoen knyttet til det enkelte systemet og basert pa det, og sette i verk n0dvendige beskyttelsestilrak. Roller og ansvar IT sikkerhetsorganisasjonen beskriver en helt klar rolle og ansvarsfordeling i organisasjonen. Det beskriver hvem som har ansvaret og hva vedkommende skal og kan utf0re. IT sikleerhersorganisasjonen er beskrevet fra ledelsens ansvar pa toppen og ned til den enkelte medarbeiders ansvar for hvordan man bruker systemene. Risikovurdering Det er beskrevet hvem sam har ansvaret for og hvordan man skal bidra til risikoreduserende tiirak. Ved identifisering av trusler! risikoer skal systemeier finne frem til rotalrisikoer i systemet. Man skal ha et bevisst forhold til at tekniske avgrensninger kun blir en del av rotalrisikoer i et system. 12 fnternrevisoren 3 00

13 lema: II-RevisjonO Orgarisasjoll 09 ledelw Fysisk llikkllrhet.lnformllsjalli og symomsiklwrhm ~ Systomutvikllo!l drift, vedillmhoid Kontinuilut An!MIr Rammeverk IT Sikkerhet Rammene er delt inn i forebyggende IT sikkerhet. operativ IT sikkerhet. handtering av IT sikkerhetshendelser og beredskap. IT sikkerhetsrutiner Her beskrives de enkelte rutiner som er n0dvendige for a tilfredsstille hav til rutiner innenfor omdidet. Pa dette niva utarbeides agsa applaeringsapplegg ag handb0ker tilrettelegges. Krnv iii rullner RISIKO VURDEAING IT SIKKERHETSORGANISASJON OVERVAK1NG o Hilndbolwf.Oppkering Lok:Jln rul(nllt KONTROLL MILJO Holdningsskapende arbeid Haldningsskapende arbeid skal rillegges veln pa aile niva i organisasjonen. Gode haldninger slcal f01ge sam en f0d trad gjennorn hele IT sikkerhetsarbeidet. I bank bygger hele forretningsdriften pa IT. La oss ta utgangspunkt i at 80-90% av sikkerhet innenfor bank i dag utgj0r IT sikkerhet. Innenfor dette igjen er 80% haldninger ag 20% teknikk. Veldig mye dreier seg saiedes om andre ring enn direkte de tekniske «(dupedittef>}. Hvis de tekniske komponentene skal gi beskyttelse rna vi rned IT sikkerhet ta dette pa alvor og fa hele organisasjonen til a forholde seg til det. Der hjelper ikke a ha gade autentiseringsl0sninger hvis brukeren fofteller passordet til hvem som helst! Det rna fokuseres pa holdningsskapende arbeid pa tvers i hele organisasjonen. Dette vii bidra til gode holdninger. verdier og god kulwr i organisasjonen rundt sikkerhet. Ved en slik gjennomgang identifiserte man filvedlegg til e-post som en (russel rued hensyn til virus. Systemeier vurderte hvilke typer filvedlegg det var behav far ass a morea. Han fant lit at behovet for mange av filvedleggene var tilnrermct null og satre i gang tiltak for a hindre at ikke 011skelige filvedlegg skulle komme inn ivan nettverk. Systemeier srengte for muligheten til a metra en rekke filvedlegg. Det risikoredusercnde rilraket hindret Sparebanken Hedmark i fa inn I love you viruscr. Informasjon og kommunikasjon Dec er viktig a fa til et sarnspill rnellorn nivaene i organisasjonen. Oct er lagt vekt pa a ra et sarnarbeide i prosessene rundt IT sikkerhcr. Rammer IT sikkerhet Her beskrives gjeldende rammer for IT sikkerhet. Rammer IT sikkerhet gjelder far aile bankens IT-systerner med tilh0rende infrastruktur som behandler data. Ramrnene stiller minstekrav til bankens systemer. infrastruktur og rutiner rundt dette. Flere av bankens systemer vii pa ett eher Iere omrader stille h0yere hav til sikkerhetsl0sning enn det som er beshevet her. I disse tilfellene er systemeier ansvarlig for a utarbeide n0dvendige regler og sette i verk ti!tak basen pa en risikovurdering av systemet. Hvordan far man sa gode holdninger og innff21rt et rammeverk IT sikkerhet i organisasjonen? Vi 0nsker a gjennomf0re en holdningskampanje hvor aile rnedarbeiderne kan bli kjent med rarnmeverk IT sikkerhet pa en positiv mate. Vi 0nsker at yare medarbeidere skal ta IT sikkerhet «under huden)) slik at det biir en naturlig del av arbeidsoppgavene som utf0res. Ved a gjennomf0- re en holdningskampanje vii vi 0ke forsraelsen for van arbeid rundt IT sikkerhet samtidig som vi tar gjon kjent og innf0ft van nye rammeverk IT sikkerhet i organisasjonen INHRNREVISOREN

14 o Tema: IT-Revision Governance, Control and Audit for Information and Related Technology er na det fulle navnet pa det sam mange internrevisorer etter hvert kjenner som COBiT. NiRF har gitt medlemmene mange anledninger til a «smake pa» COBiT de par siste arene. Svein A. l"'ken hadde en halv dag om COBiT som verkt"'y for internrevisjonen pi fjorarets arskonferanse i Sandefjord, og i siste utgave av Internrevisoren fikk vi lese om engasjerte deltakere pa medlemsm"'tet i mars sam ansker mer informasjon om COBIT. BI.. kurset i Operasjonell revisjon og administrativ kvalitetssikring har dessuten de siste arene tau for seg COBIT som del av pensum der. Som nevnt foran er na COBIT 3rd Edition kommet. For a gi leserne et blikk inn i hva som har skjedd i denne siste store oppdateringen av {{vet".. ket» tok vi kontakt med Olav Nyr",nning i ISACA. Olav, som er leder for it-revisjonen i ibm, er form ann i ISACAs forskningskomite, og har statt svrert sen trait ifm utarbeidelsen av COBH i norsk sprakdrakt.vi ba han ogsa trekke noen trader tilbake i tiden og utfordret han ift hjelp til NIRFmedlemmer. (OBIT 3: Et imponerende verk er na fullfert Olav Nyronning intervjuet av Frank A/vern Begynnelsen e Olav, kan du f0rst si litt kort om hvorfor og hvordan dette arbeidet med COBIT startet opp? ISACA (Information Systems Audit and Control Association) hal' de siste 30 arene, pa verdensbasis, vxrt den ledende medlemsbaserte organisasjonen innen IT-kontroll, -sikkerhet og -revisjon, og har i nesten like lang tid, gjennom ISACF {Information Systems Audit and Control Foundation, ISACAs forskningsstiftelse) utarbeidet og urgitt Control Objectives for IT. Pii begynnelsen av 90-tallet ble det igangsarr et arbeide for a renovere deere produktet. Erkjennelsen og erfaringene var at dersom virksomheter skallyldces og overleve sa er malreeret styring og komroll med informasjon og informasjonsteknologi (IT) av kritisk betydning. Detre medforre et omfattende arbeid, i regi av ISACA. Dec ble gjennomfort en becydelig forskningsinnsacs og gitt praktiske bidrag fra ledende virksomheter innen induscrien, det offentlige, revisjonsselskaper, IT-selskaper ctc., for fremskaffe et rammeverk for styring, komroll og revisjon av IT-virksomheten. Produktet skulle ha en cydelig forretningsmessig orientering. Allerede etablerte internasjonalt anerkjenre standarder og praksiser ble Iagt til grunn, COSO-modellen kan kanskje trekkes frem spesielt. Fra og med 1996 har ISACF utgitt produktet, som fild, navnet COBIT (Control Objectives for Information and Related Technology). 1.,2. og 3. utgave har kommet pa lopende bttnd, og i stadig mer utvidede og mamyttige versjoner. Na foreligger den 3. utgaven (COBIT 3rd Edition), og denne bestar av folgende produkter: Executive Summary, Framework, Control Objectives, Audit Guidelines, Implememation Toolset og Management Guidelines. Med dette er «(produkt 1milien COBIT" (se figuren nedenfor) slik den var tenkt fra starten av full fort, selv om vi helt sikkert far oppdateringer fremover ogsa. ISACA etablerre i 1998 IT Governance Institute, for a ha et organ som i storre grad skal hjelpe bedriftsledere til a ivareta deres ansvar med a styre IT-virksomheten pa en effektiv og lonnsom mate. Det er dette instituttet og forskningsstiftelsen som fra og med 3rd Edition sdir for utgivelsen av COBIT. COBIT og Norge co Vi hal' merket oss at Norway er tatt med spesielt under «takk til...»)-opplistingen Foran i COBIT. Hvordan har dette seg? De to bedriftene du her sikter til, Fellesdata og Novit, har vxrt med og gj0re utviklingen av COBIT mulig, ved a st0tte prosjektet 0konomisk - og de[te blir lagt rnerke Hvorfor valgte det norske chapteret a ga 10s pa et kjempestort oversettelsesarbeid? Etter a ha mtt noen smakebiter pa CO BIT, gjennom diverse konferanser, moter og litteratur, var det mange som sa at her kom det noe matnyttig, ikke bare for kontroll og revisjon, men ogsa hjelpemiddel for ledelsen til a fa infonnasjonsteknologien under kontroll. En innsa at for a fa noe fart pa bruken av dette i Norge sa burde det oversettes til norsk. 14INTERHfI.EVISOP,EN 3 00

15 lema; II-Rey;sionO het fat de natske ISACA-medlemmene. Overserrer Marte Salberg ble engasjert til a fareta aversettelsen, det er far 0vrig hun sam tidligere har aversarr COSO-madellen til narsk. FatSkningskamiteen i ISACA hadde hele tiden et tett samarbeide med Salbetg, spesielt vedt0rende fagumykk, ag fungerte sam kvaliretssikrer. Dette var for 0vrig atskillig mer arbeidskrevende enn vi hadde trodd pa fathand. Oversettelsesarbeidet startet sa smart app hosten 1997 ag ble ferdigstilt varen Pa slurten av arbeidet var det ogsa eksterne kvalitetssikrere i arbeid. EO Hva med forhoidet til God IT-skikk (GITS)? Her forstar vi at COBIT vii medf0re endringer i disse? ISACA Norway Chapter, sam agsa hat statt bak utarbeidelsen av God IT-skikk, innsa at en eventuell samordning mellom God IT-skiklc ag COBIT matte vurdetes. Forskningskomiteen fikk derfor i oppdrag fra Sryret a foreta en vurdering av nectopp dette. Dette arbeidet ble gjennomf0rt na i 2000, og rap parten er sa fersk. at denne enna ild{e sryrebehandlet. Det rna imidlertid v~re loy til a ga sa langt som a si at komiteen anbef."der at ISACA gar inn for a samordne og harmonisere GITS-ene bade etter struktur ag innhald i COBIT. Samtidig ser vi at GITS-ene har ratt en god nasjonal forankring sam «best practice» innenfor IT-omriidet. Vi legger vekt pa at dette skal fortsette og ser viktigheten av a opprettholde begrepet «God IT-skikk). COBITs byuk og utbredelse EO Vet vi i dag om COBIT fuktisk biir den verdensstandarden den er tenkt a bli? ISACA I ISACF har uttalt at det er deres hap at COBIT pa sikr skal bli en generelt Forskningskomitt:!en i ISACA Norway Chapter foretok vinteren 1997 en sp0rreunders0kelse blant medlemmene for a h0re deres mening om dette. Resultatet av unders0kelsen viste at det nesten var en enstemmig medlemsmasse som mente at det butde brukes av ISACAs kapital, sam var akkumulert over mange ar, til a foreta oversettelse av de mest sentrale delene av COBIT. Pa denne maten ville ja medlemmene virkelig ra valuta for medlemskontingenten. Sryret i foreningen vedtok a igangsecte oversettelsesarbeidet, errer a ha unders0kt mulighetealcseptert standard pa dette omradet. Det er klart at med den utbredelsen ISACA har sam organisasjan, og den farankringen som COBIT har, bade i internasjonale standarder og med prosjektdeltal{ere fra de fleste verdensdeler i utviklingsarbeidet, sa bor dette va:re mulig. Om det skal bli slik er ogsa avhengig av markedsf0ring. Jeg tror blant annet at versjon 3 med bl.a. Management Guidelines, vil gj0re nedslagsfeltet mye starre. COBIT markedsfares na ogsa sam en «apen standard» ved a gj0fe den apent tilgjengelig via interne med rettighetshaverne, ISACF. Det oversatte materialet skulle stilles gratis til radigna en apen standard tilgjengelig nett. Det refereres stadig til mange store internasjonale virksomheter som har tatt COBIT i bruk, bl.a.: Daimlet-Cblrysler, The United States Federal Financial Institutions Examination Council (FFIEC), The Centtal Bank of Argentina og The State of Oregon. Her i Norge er det noen som ogsa er godt i gang. Med fare for a utelate noen som har tatt COBIT i bruk, kan nevnes: DnB, Fellesdata, Fokus Bank, Kreditk.assen, Forsvaret, Rikstrygdeverket, Statoil og i undervisningen ved BI. EO Er det riktig a si at COBIT «konkurrerer» med konsulentselskapenes egne modeller for styring og kontroll av ISIIT? FIere av de store innen revisjon- og konsulentbransjen har V<ert sterkt representert ved utvildingen av COBIT, ag de vii nak rilpasse seg COBIT i sin egen metodiklc, noe annet ville vel v~re lite ldokt. Pa den andre siden er det viktig at COBIT blir matkedsfort ag anerkjent. Selv am virksomhetene fortsatc vil ha stort behov for konsulentbistand innen dette omradet, er det viktig at oppdragsgiverne er kjent med COBIT ag den filasafien sam her forfektes. Det er viktig at de vet hva slags bistand de skal ettersp0rre, og har kompetanse til a vurdere konsulentenes cad og arbeid. Det endelige malet rna ja v~re at de skal v~re mest mulig selvhjulpen. COBIT 3rd Edition N:1 er altsa den tredje og siste planlagte «byggeblokken» kommet. Hva er det som er sa revolusjonerende med 3rd Edition? Management Guidelines er det nye. Mens COBIT hittil kanskje har v~rt et verkt0y mest for intern kontroll og revisjon av IT og dets omgivelser, sa er utvidelsen med Management Guidelines virkelig et skritt fat a hjelpe ledelsen til a fii IT-virksamheten sin under kontroll. Et kjernesp0rsmiil ledelsen har nar det blir sp0rsmiil om bevilgninger til kontroll og sikkerhet innen IT er: «Hva er det riktige nivaet pa kontroll av IT-virksomheten slik at dette bidrar til a na bedriftens mal?» Svaret skal kunne gis ved bruk av COBIT Management Guidelines. Management Guidelines er konsistent med ag bygger pa de eksisterende CO BIT Framework, Control Objectives og Audit Guidelines. Det vii si at det er de samme prosessene med vinklingen mot informasjonskriterier og IT-ressurser som ligger til grunn. Det er jo kontrollmalene knyttet til disse prosessene som er kjernen i eobit. EO COBIT sam ledelsesverktoy er altsa sterkt vekclagt her. Kan du forldare hvordan de nye Management Guidelines er tenia brukt? Sam nevnt Foran er dette f0rst og fremst et ledelsesvetktoy, til hjelp for a kantrollete og sryre sin IT-virlcsomhet, inldusiv optimalisering av kontrollkostnadene innen IT-omradet Det vanligste sp0rsmiilet fra ledelsens side nar det blir sp0fsmal om midler til kontrolltiltak er: «Hvor langt skal vi ga, og er nytten smrre enn kostnaden?) Management Guidelines hovedelementer: EO kan brukes sam et tedskap fat ledelsen til a foreta «benchmarking» av sryring med informasjonsteknologien i virksomheten, bade sett i forhold til andre bedrifter (best practices), internasjonale standarder og egne maisettinger - altsa et self-assessment verkmy e viser hva som er de kritiske sulcsessfaktorene for a na malet (Critical Success Factors) e gir forslag til maleindikatorer for malsettingsoppnaelse (Key Gaal Indicators) e gir forslag til maleindikawrer for ytelsesmalinger (Key Performance Indicators). Balanced Scarecard-madellen til Kaplan&Norton introduseres na for f0rste gang i COBIT. Selvam BSC-madellen ogsa presenteres kort i Management Guidelines vii det nok v~re en fordel a v~re kjent med denne tankematen pa forhand. Jeg kan ogsa nevne at Gartner Group denne gangen er en av to hovedsponsorer (PricewaterhouseCoopers er den andre), noe som bekrefter og forsterker den satsingen pa ledelsesverkt0yet som vi INTEP,HREVISOREN 3 00 IS

16 o Tema: IT-Revisjon sa i mviklingen fra den f0fsre og til den andre utgaven av COBIT. setv om en na ved Management Guidelines henvender seg til virksomherenes ledelse i st0rre grad enn tidligere, er det vikdg a understreke at det er de 4 hovedomdidene og 34 prosessene i COBIT for 0vrig som ligger i bunnen. En kan gjerne si at COBIT har flirt en ny og verdi0kende dimensjon gjennom disse retningslinjene. CD IT Governance Institute presiserer at COBIT er en «apen standard». Hva er det konkret alle kao laste ned og bruke fritt? Til og med versjon 2 av COBIT val" alle delene med unnrak av Audit Guidelines apenr tilgjengelig for aile. Dec vii si at de kan gratis hentes pa imernct[ (wwuj.isaca.org). Audit Guidelines matte bestilles og berales, Sp0f ikke meg hvorfor. Dette gjelder originalversjonen pa engelsk. Nar det gjelder versjon 3 sa er det kun de omtalte Management Guidelines som er tilgjengelig p.t. Ogsa disse kan allerede na lastes ned helt fritt fra internett. Alle filene er i PDF-format fra Adobe Acrobat Reader, som ogsa kan lastes fritt ned. Nar det gjelder den norske oversettelsen sa er det vel besvart og begrunnet tilstrekkelig foran at deete er fritt tilgjengelig for medlemmene av ISACA Norway Chapter. Dersom ISACA-medlemmene ogsa 0nsker Audit Guidelines pa norsk rna de dokumentere ae de har kj0pt originalversjonen. Det er mulig at det kan bli noe lemping pa dette kravet na med versjon 3, det rar vi vice etterhvert. Hvordan komme i gang a bruke dette? II AIle vi som har pmvd COBIT har opplevd en solid brukerterskel. Hvilke did har du til NIRF-medIemmer som for lengst har erkjent internrevisjonens behoy for en systematisk tilmerming til IS/IT, men som ildce riktig har kommet i gang? Det vii vel alltid vrere en viss brukerterskel hvis en mangler basiskunnskaper pa omradec, sa dec rna vel den enkelte gj0re noe med selv. Pa den andre siden sa b0r jo COBIT nettopp kunne vrere en hjelp til fremdriften mod a bygge opp egen kompetanse. Ved systematisk a benytte COBIT ved vurdering av den interne kontrollen innen IT-omddet i virksomhetene vet en at en har internasjonal,(ryggdekning)) for det arbeider en gj0r. Sil rar en bygge opp egen IT-kompetanse etter behov, og til sa er gjon kanskje benytte noe konsulentbistand. II Hvilken hjelp kan ISACA Norway Chapter gi her? Er det for eksempel planer om medlemsm0ter hos dere om CO BIT 3 som NIRF-medlemmer kan ra delta pa? Vedr. COBIT 3 sa er det altsa bare Management Guidelines som har kommet enna (kam i juli d.a.), det 0vrige er annansert til a komme i september. Med dette som utgangspunkt har dette enna ikke vrert pa dagsordenen i ISACA Norway Chapter. Jeg tror at jeg likevel kan forskuttere at dette blir et cerna fremover. II Niir kommer COBIT 3 i norsk spriikdral,,? Det skal bli spennende a se hvor mye endringer dec er i de delene av COBIT som allerede er oversatt. Dette har vi p.t. ikke tilgjengelig, men det er ganske klan at de delene av COBIT som allerede er oversatt til norsk sa raskt som mulig rna justeres med endringene i versjon 3. Har lest at det er 16 nye detaljerte konrrollmal, men hvor mye endringer det er i teksten-for 0vrig vet jeg ikke noe om p.t. Nar det gjelder Management Guidelines sa er dette en Star sak, som styret i ISA CA Norway Chapter ma ta stilling til. Det er bade et ressurs- og kostnadssp0rsmal. Control Objectives og Audit Guidelines ble oversatt for ISACA-medlemmenes penger. Nilr det gjelder Management Guidelines er jeg ikke sa sikker pa at en slik kostnadsf0ring vii vrere riktig. Det er ledelsen i de enkelte virksomheter som har det stelrste behovet for dette. Kanskje private og / eher offemlige sponsorer kan vrere interessert i a bidra? Det klart at det ville vxn SYfert nytrig a fa oversatt denne delen av CO BIT, den b0r jo ha et nedslagsfelt som er mye storre enn de 0vrige delene. Dersom en finner frem til ressurscr og nansiering for oversetting er jeg ganske sikker pa at ISACA Norway Chapter onsker a bidra til at en slik oversercelse blir foretart, i nrer framtid. Sa langr inrervjuet med Olav Nyronning i ISACA. Etterpli har vi fatt bekreftet at Svein Loken vii ta for seg COBlT 3rd Edition i en grundig radagers gjennom~ gang i november. Dette er en del av CISAopplegget som DnR og ISACA kj0rer sam men, men denne delen kj0res selvstendig og er apen for aile. Se for 0vrig egen annonse am deete. 16 INHRNREVISOREN 3-00

17 lema: II-Revisjon 0 Sammendrag Med lnnlcdning til dcn norskc ovcrsettelsen (Excel/lin? Summary) Framework Jl'ith High Level Colllro/ Objccliw!s D:C\.-Uh\ ~ Sumnw-y EXCCUliw OVl!f\1CW C'I~ StUdio,.I'AQS - Power PoInIl'1=IU.Uons -Implemcm~ll(mGUlde - ' Implementation Tool Set ~ M.Il3gclrem Aw.,.""""~ J)Jagllo>l1CS $ltconlwt D'.CJI()SIIl:':!, I I I I Mah~kUTni1ii(Oi}ti1e}~,j/ i " Kontrollm1'll Retningslinjer for revisjon (Colltra! Objectil'l!s) (Audit Guidelines), I I I Criticaf Stlcce~i; PaC/firs Rey1~er!{)rma;ic(r1rl(ficdiiirs K~y. Goa(lmlicators Benchmarks «(COBITs produktfamilie». Her er markert i markt det sam representerer tillegget i 3rd Edition. Videre fremgar det hvq ISACA Norway Chapter har oversatt til norsk sa /angt Merk for ovrig at innholdet i Framework i sin he/het er gjengitt i de tre bokene sam er aversatt - I e ition Governance Control and Audit for Information and Related Technology COBIT (Control Objectives for Information and Related Technology) tar utgangspunkt i risiko for a systematisere styring og kontroll knyttet til informasjon og IT Modulen vii ta for seg ulike temaer som: (1) Nyheter i 3rd edition (2) Standarder og metodisk IT-revisjon, (3) Omfanget av IT-revisjon, (4) COBIT som autoritet, (5) COBITs rammeverk, (6) Forholdet mellom temaene i CISA-modulene og COBIT-modulen, Erfaringene fra COBIT er vel dig positive og flere virksomheter tar dette i bruk som ett viktig verkt0y for a fa til bedre styring og ledelse av IT-prosessene. II1II Foreleser: Tid Pris: Pameldingsfrist: sivilokonom Svein A. Loken november 2000 kr 5 000,- 25. oktober 2000 Noermere informasjon hos Inger-Johanne Maa0, Den norske Revisorforening, tlf Pamelding til Den norske Revisorforening, v/lnger-johanne, fax , eller postboks 5864 Majorstuen, 0308 OSLO. Alternativ pa mail: ijmaaoe@revisornett.no ~ Den norske Revisorforening a SERVICEKONTOR Information Systems Audit and Control Assosiation

18 En mulighet til a bli kjent med en internasjonell og spennende virksomhet? Medarbeider sllkes til SAS CORPORATE INTERNAL AUDIT SAS Corporate Internal Audit - Internrevisjon - er en organisatorisk enhet innenfor SAS Avdelingen utgj0r 9 medarbeidere fordelt pa kontorene i CPH, OSL og STO. Avdelingen utf0rer operasjonell revisjon pa vegne av selskapets ledelse. Avdelingen har ogsa et eget ansvar utfra en risikovurdering at foreta en gjennomgang og evaluering av tilstrekkeligheten, hensiktsmessigheten og effektiviteten av organisasjonens etablerte interne kontrollsystemer, herunder verifisering av at kontrollsystemenes kvalitet fungerer som forutsatt. Vi anvender avanserte IT-verkt0Y i det daglige arbeide og arbeidet 10ses hovedsakelig i team. Vi skal na ansette to medarbeidere; en ved kontoret i Stocl(holm og en ved kontoret i K0benhavn. Arbeidet vii medf0re reiseaktivitet innen for SAS virksomhet. Du bllr ha flligende kvalifikasjoner: Formell bakgrunn bllr vrere en av nedenstaende; Certified Internel Auditor (CIA) evt statsautorisert revisor Diplomert intern revisor CISCA Videre bpr du ha: Kundeorientert fokus Vi 0nsker at du er innenfor aldersgruppen fra 25 til 40 ar. e Gode analytiske evner - er strukturert God samarbeidsevne og utadvendt holdningserviceinnstillt. Initiativrik, ideskapende og forandringsvillig Avl0nnes etter individuell vurdering. Ytterligere opplysninger om stillingen kan taes ved henvendelse til konsernrevisjonsjef Jarle N. Aarseth pa tlf eller eller via mail: jarle@sas.nolnteresserte fra Danmark kan og kontakte CIA Peter Toft Berg tlf: eller via mail: peter-toft.berg@sas.dk S0knadsfrist: Snarest S0knad sendes til SAS, OSLIA/S0K, 0080 Oslo. SAS er et av Europas ledende flyse/skaper med (undt ansatte og en omsetning pa vel 40 milliarder kroner. SAS har gjennom Star Alliance et verdensomspennende samarbeid med flysels/wpene Air Canada, Air New Zealand, All Nippon Airways, Ansett Australia, Austrian Airlines, British Midland, Laude Air, Lufthansa, Mexicana Airlines, Singapore Airlines, Thai, Tyrolean, United Airlines og Varig. T/I sammen flyf disse se/skapene til 815 destinasjoner i mer enn 130 land Jorden rundt.

19 ~ W@ruJ ~ruj~~itti l2lyvind Sunde er manager i Ernst & Young AS. Han er utdannet kommunalkan~ didat ved NKSH (mi HJi>gskolen i Oslo),og er diplomert internre~ visor. Han har lang erfaring fra kommunal revisjon, og vay bl.a. i 0 ar direktji>r for NKRF servicekontor (Norges Kommunerevisorforbund). HJi>sten 1999 ble han ansatt i revisjonsavdelingen i Ernst & Young,og er til daglig Imyttet til fagomradet Business Risk Management (BRS). Denne seksjonen tilbyr tjenester innen operasjonell revisjon (Internal Audit Services) og risikohandtering (Risk Management). Intern revisjon. Ikke akkurat ord som setter verden i brann. Har interne revisorer er image som utilmermelige og uf0lsomme personer som gransker ruriner, og konrrollerer uvesentlige omdider? Dec er i tilfelle d0ffit til a bli historic. Intern revisjon i dec 21 arlmndre skal voere dynamisk, fokusert pa virksomhetenes mal, og ytc merverdi. Realiteren i dag er at intern revisjon er et seed mellom disse ytterpunkter. Interne revisjonsteam ser behovet for fokus p,l virksomherens risiko og a yte merverdi, men oppnilr ikke alltid ii ra styre og leddse tilstrekkelig engasjerte. Konsekvensen er ofte et gap mellom ledelsens forventninger til hva den interne revisjonen gjor, og der som faktisk blir gjort. Ledelsen er heller ikke klar over hvordan revisjonen kan v~re en posiriv bidragsyter fra dag til dag. Selv om virksomhetene forlanger at intern revisjonen skal yte bidrag til strategisk risi~ kohandtering sa vel som tradisjonell silcring av det interne kontrollmiljoet, strever mange med a m0te disse kravene. Ernst & Young (UK) har gjennomfort en undersokelse blant sryremedlemmer for a identifisere hvilke tilnxrminger ulike virksomheter vurderte for a utnyne den interne revisjonsfunksjonen bedre. Gjennom en slik unders0kelse blir ogsa utfordringene mer konkretisert, sa som: mange industrisektorer erfarer press pa kostnadskun lilt det er 0kt behov for kvalitetsvurderinger og visshet om at virksomheten leverer kvalitet i sine produkter og tjenester intern kontroll hal' blin mer viktig, og derigjennom okt behov for a stole pa den interne revisjonens arbeid virksomhetene rna reagere raskere pa endringene i markedet, og interne revisjonsenheter ma tilsvarende a innrene seg etter disse forandringene

20 Dagens IR utfordringer Vanlige hindringer Morgendagens IR vinnere Inn rettet mot virksomhetens formal og malsettinger ~sibilite't, med tilgang til kompetansen til Figur 1 revisorer er,rbe"ecit po Iramtidig lederskap Unders0kelsen viste bl.a. at interne revisjonsenheter ilcice er dyktigc 110k til a VUfclerc IT-sysremer. Enda mer markert var svake resulrater knyttet til strategiske risikovurderinger og policy-vurderinger. If01ge unders0kelsen syncs hellcr ikke interne revisjonsavdelinger a ha 110clvenclig ekspertise og ressurser til a ffi0te slike behoy. Deere er kanskje ikke sa overraskende fordi dec trengs berydelige investeringer interne for a utvikle en slik kapasitet og kompetanse. Ellers er dec ogsa en generell trend at interne revisjonsavdelinger er ursate for kosrnadsreduksjoner, som skyver mulige investeringer enna mer ut i tid. Hva mener sa styremedlemrnene om framtiden? Konldusjonen er: A utvilde en mer strategisk intern revisjonsfunksjon. Det viktigste, kritiske millet for en intern revisjon er ii innrette arbeidet mer direkte mot virksomhetens formal og malsettinger, og fa et mer strategisk forhold til virksomheten som et hele. Dernest rna den interne revisjonen 0ke bidraget til risikohandtering (risk management) i betydning a ha st0rre risikodekning og kontroll, sa vel som utvilding av kunnskap om risikohandtering over hele virksomheten. Maksimere internrevisjonens strategiske verdi Blant de utfordringer dagens interne revisjonsavdelinger still' overfor, nevnes for det f0rste forventingene til det at revisjonen skal tilfejre virksomhetene merverdi. Dette skjer dels ved at revisjonen kan bli en strategisk samarbeidspartner for led elsen, dels ved 0kt kunnskap og kompetanse hos revisorene, og dels ved a bidra til effektivisering av prosessene i virksornheten. Dernest forventes det mer omfattende risikodekning. Dette innebxrer at revisjonen hat et spesielt fokus mot viktige prosesser med h0y risiko, og at det gis varsef om risikoforhold pa et sa tidlig stadium som mulig. Etter hvert som IT blir mer og mer integrert i aile forretnings-. komrnunikasjons- og transaksjonsprosesser, skaper detre nye risikoomrader hvor der kteves spesialkompetanse. Der er ogsa en forventning at revisorene i st0rre grad enn tidligere deftar i risikovurderinger overfor ulike deler av virksomhetens ledelse, sa vel den strategiske som den operative, finansielle og markedsmessige. I tillegg til at det stilles nye krav til de interne revisorene, stilles de samme revisorene overfor generelle kravom mer effektiv drift og om kostnadsreduksjoner. Dette lean oppnas ved bruk av hensiktsmessige revisjonsverkt0y, 0kt bruk av teknologiske 10sninger og kunnskapsoverf0ring. Dernest ma revisorene ha eksplisitt fokus p11 risiko, dvs at mange tradisjonelle oppgayer ma vike. Et ledd i denne utvildingen kan vxre at revisorene blir en katalysator i utviklingen av «(control risk self assessment» i virksomhetene. De interne revisjonsavdelingene som greier a im0tekomme dagens utfordringer, blir morgendagens vinnere; interne revisorer som hal' fokus pa kjernevirksomhetens mal, er fokusert pa risikoomrader, er fleksible og med riktig kompetanse, og samtidig holder tritt med endringer bade i viricsomhetene og i omverdenen. Som tidligere nevnt krever dette normalt store investeringer i revisjonsavdelingene. Det gjelder bade i medarbeidere, i en hensiktsmessig metodikk, effektive revisjonsverkt0y og kunnskapssystemer. Figuren ovenfor kan illustrere hva en intern revisjon ma priori [ere for 11 oppna en strategisk verdi. 20 jf JTEP.I'JR[VISOP.EN 3'00

IKT-revisjon som del av internrevisjonen

IKT-revisjon som del av internrevisjonen IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi

Detaljer

Erfaring fra opplæringsprogrammer

Erfaring fra opplæringsprogrammer 05.11.2014 Erfaring fra opplæringsprogrammer Anne Marie Dalen Øverhaug Sikkerhetsleder NSB Fellestjenester IT Bakgrunn Tre større opplæringsprogrammer 2002 Sparebanken Hedmark Non Stop Sikkerhet for 700

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Dokumentasjon av IT-systemer

Dokumentasjon av IT-systemer Anbefaling til God IT-skikk (nr. 1) Dokumentasjon av IT-systemer 1. juni 1995 Norway Chapter Denne anbefaling er utgitt av Information Systems Audit and Control Association Norway Chapter i samarbeid med

Detaljer

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Felles medlemsmøte NFKR og NIRF, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Generalsekretær Ellen Brataas, CIA, CISA Formål og visjon Formål

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Sammenligning av ledelsesstandarder for risiko

Sammenligning av ledelsesstandarder for risiko Sammenligning av ledelsesstandarder for risiko av Martin Stevens Kvalitet & Risikodagene 2018 14. Juni 2018 Litt om meg Internrevisor i Gjensidige Hvorfor opptatt av risikostyring? - Bakgrunn fra finansiell

Detaljer

«UTVIKLENDE LEDELSE»

«UTVIKLENDE LEDELSE» «UTVIKLENDE LEDELSE» Et lederutviklingsprogram i regi av Din Utvikling as KORT BESKRIVELSE >>> Utviklende ledelse er et lederprogram for ledere på alle nivåer. VI regner med at du som leder har et ønske

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

Kjære unge dialektforskere,

Kjære unge dialektforskere, Kjære unge dialektforskere, Jeg er imponert over hvor godt dere har jobbet siden sist vi hadde kontakt. Og jeg beklager at jeg svarer dere litt seint. Dere har vel kanskje kommet enda mye lenger nå. Men

Detaljer

Hvordan utvikle og beholde medarbeidere? Olav Johansen

Hvordan utvikle og beholde medarbeidere? Olav Johansen Hvordan utvikle og beholde medarbeidere? Olav Johansen Menova 3. november 2015 Olav Johansen 2013 - dd Høyskolelektor, institutt for ledelse og organisasjon, Markedshøyskolen 2013 - dd Daglig Leder, Senter

Detaljer

Foreningens navn er NORGES INTERNE REVISORERS FORENING, medlem av The Institute of Internal Auditors Inc. Navnet kan forkortes til NIRF.

Foreningens navn er NORGES INTERNE REVISORERS FORENING, medlem av The Institute of Internal Auditors Inc. Navnet kan forkortes til NIRF. Vedtekter i NIRF VEDTEKTER NORGES INTERNE REVISORERS FORENING (NIRF) (Sist endret på ordinær generalforsamling 19. juni 2012) 1 Foreningens navn og sete Foreningens navn er NORGES INTERNE REVISORERS FORENING,

Detaljer

Informasjonssikkerhet og ansatte

Informasjonssikkerhet og ansatte Informasjonssikkerhet og ansatte 1 PhD stipendiat Eirik Albrechtsen Inst. for industriell økonomi og teknologiledelsen Norges teknisk naturvitenskaplige universitet (NTNU) Tema Hvordan opplever brukere

Detaljer

VEDTEKTER Sist oppdatert 9. juni 2015

VEDTEKTER Sist oppdatert 9. juni 2015 VEDTEKTER Sist oppdatert 9. juni 2015 VEDTEKTER NORGES INTERNE REVISORERS FORENING (NIRF) (Sist endret på ordinær generalforsamling 9. juni 2015) 1 Foreningens navn og sete Foreningens navn er NORGES INTERNE

Detaljer

Din Suksess i Fokus Akademiet for Kvinnelige Gründere

Din Suksess i Fokus Akademiet for Kvinnelige Gründere Ut av Jojodietter med din markedsføring og økonomisk bergogdalbane Uke 3 Be om brev til dine venner, familie og følgere. Vanlig brev i posten. Nå kommer vi til en strategi som er helt utenfor det digitale,

Detaljer

«Litterasitetsutvikling i en tospråklig kontekst»

«Litterasitetsutvikling i en tospråklig kontekst» «Litterasitetsutvikling i en tospråklig kontekst» Hvordan opplever minoritetsspråklige voksne deltakere i norskopplæringen å kunne bruke morsmålet når de skal lære å lese og skrive? Masteroppgave i tilpasset

Detaljer

En viktig oppgave er å sende innkalling i god til alle involverte.

En viktig oppgave er å sende innkalling i god til alle involverte. Innkalling til et møte En viktig oppgave er å sende innkalling i god til alle involverte. Doodle Dersom dato ikke er avtalt på forrige møte, så er et tips å sende ut en Doodle med alternative datoer, vertskap

Detaljer

Endringsoppgave: Fra en gruppe ledere, til en ledergruppe

Endringsoppgave: Fra en gruppe ledere, til en ledergruppe Endringsoppgave: Fra en gruppe ledere, til en ledergruppe Nasjonalt topplederprogram Anne Kathrine Karlsen Sarpsborg, 5. april 2017 1. Bakgrunn og organisatorisk forankring for endringen Senter for laboratoriemedisin

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Vardeveien Lederutvikling 2016 En god og verdifull investering i deg selv eller nøkkelmedarbeidere i din organisasjon. Mål:

Vardeveien Lederutvikling 2016 En god og verdifull investering i deg selv eller nøkkelmedarbeidere i din organisasjon. Mål: Vardeveien Lederutvikling 2016 er et program for ledere som tør og vil utvikle seg i samspill med andre ledere. Hvert kull består av inntil 14 ledere med ulik bakgrunn, som i seg selv skaper unik dynamikk

Detaljer

Totaltilfredshet. Total 19 av 37 = 51.4%

Totaltilfredshet. Total 19 av 37 = 51.4% - 1 - tilfredshet 19 av 37 = 51.4% Utsag n: : i Alt i alt hvor fornøyd var du med møtet i forbindelse med revidering av Utviklingsplanen? x 3,3 - 2 - Hvorfor var du misfornøyd med møtet? (skriv inn) tilfredshet

Detaljer

Asker kommune. 2. Navn på prosjektet: 3. Kort beskrivelse av prosjektet: 4. Kontaktperson: 5. E-post:

Asker kommune. 2. Navn på prosjektet: 3. Kort beskrivelse av prosjektet: 4. Kontaktperson: 5. E-post: Asker kommune 2. Navn på prosjektet: Blikk for muligheter! Innovasjonsstrategi 2015-2015 3. Kort beskrivelse av prosjektet: Kommunestyret i Asker vedtok 3. februar 2015 Asker kommunes Innovasjonsstrategi

Detaljer

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Fung. økonomidirektør Kirsti R. Aarøen Universitetet i Bergen 14.450 studenter

Detaljer

Søknadsskjema Kurs: Tilbake til livet Instruktør: Vibeke C. Hammer

Søknadsskjema Kurs: Tilbake til livet Instruktør: Vibeke C. Hammer Ansvarlig Helse Lær å påvirke egen helse Søknadsskjema Kurs: Tilbake til livet Instruktør: Vibeke C. Hammer Takk for at du har valgt å søke om å bli med på Tilbake til Livet, et kurs i The Phil Parker

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Fra urolig sjø til stille havn Forhandlingskurs

Fra urolig sjø til stille havn Forhandlingskurs Fra urolig sjø til stille havn Forhandlingskurs Om forhandlingskursene Vi forhandler hele tiden, ofte uten at vi tenker over det. Dessverre har vi ikke alltid den beste strategien for hånden og det fører

Detaljer

NORGES INTERNE REVISORERS FORENING HVEM ER VI? HVORFOR ER VI TIL? HVA KAN VI TILBY?

NORGES INTERNE REVISORERS FORENING HVEM ER VI? HVORFOR ER VI TIL? HVA KAN VI TILBY? NORGES INTERNE REVISORERS FORENING HVEM ER VI? HVORFOR ER VI TIL? HVA KAN VI TILBY? www.nirf.org Norges Interne Revisorers Forening NORGES INTERNE REVISORERS FORENING HVEM ER VI? HVORFOR ER VI TIL? HVA

Detaljer

Sjekkliste for leder. Samtalens innhold (momentliste)

Sjekkliste for leder. Samtalens innhold (momentliste) OPPLEGG FOR MEDARBEIDERSAMTALE Mål, status og utvikling 1. Innledning og formålet med samtalen 2. Rammer for medarbeidersamtalen innhold og forberedelse 3. Hvordan gjennomføre den gode samtalen? 4. Oppsummeringsskjema

Detaljer

Styring og intern kontroll.

Styring og intern kontroll. Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg

Detaljer

Verdibasert ledelse. HMS faglig forum 23.10.09

Verdibasert ledelse. HMS faglig forum 23.10.09 Verdibasert ledelse HMS faglig forum 23.10.09 Refleksjon(er) (bruk 1 minutt!) Hvilke problemstillinger rir deg akkurat nå! Hvordan har du det som menneske? Hvordan kan din leder støtte deg i dette arbeidet?

Detaljer

lsi!~mesteravlesere og kj(ijkkenhjelp Kjeere medarbeiderei normisjon Mars 2012

lsi!~mesteravlesere og kj(ijkkenhjelp Kjeere medarbeiderei normisjon Mars 2012 Kjeere medarbeiderei Mars 2012 normisjon region enfold Den andre helgen i februar var aile leir, forening og fellesskaps- ledere invitert til Lederhelg pa Sj0glimt. Leir og Acta- ledere var samlet hele

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Vedlegg 1 til retningslinje 088 - Norsk olje og gass anbefalte retningslinjer for felles modell for arbeidstillatelser.

Vedlegg 1 til retningslinje 088 - Norsk olje og gass anbefalte retningslinjer for felles modell for arbeidstillatelser. Vedlegg 1 til retningslinje 088 - Norsk olje og gass anbefalte retningslinjer for felles modell for arbeidstillatelser Original versjon Nr: 088 Etablert: 15.01.2013 Revisjon nr: 1 Rev. dato: 03.06.2015

Detaljer

Men som i så mye annet er det opp til deg hva du får ut. av det! Agenda

Men som i så mye annet er det opp til deg hva du får ut. av det! Agenda Agenda Møtebooking Men som i så mye annet er det opp til deg hva du får ut Salgsfunksjonen Nøkkelen til suksess R = A x K av det! Møtebooking Salgsteknikk Kortstokk Hvem har kontroll? Hvorfor korte samtaler?

Detaljer

Cellegruppeopplegg. IMI Kirken høsten 2014

Cellegruppeopplegg. IMI Kirken høsten 2014 Cellegruppeopplegg IMI Kirken høsten 2014 OKTOBER - NOVEMBER Godhet - neste steg Samtaleopplegg oktober - november 2014 Kjære deg, Denne høsten vil vi igjen sette et sterkt fokus på Guds godhet i IMI

Detaljer

Internkontroll i Gjerdrum kommune

Internkontroll i Gjerdrum kommune Tatt til orientering i Gjerdrum kommunestyre 14.12.2016 Internkontroll i Gjerdrum kommune Formålet med dokumentet Formålet med dette dokumentet er å beskrive internkontrollen i Gjerdrum kommune. Dokumentet

Detaljer

UTKAST. Strategi for Sikkerhets- og kvalitetskultur i Rogaland fylkeskommune. Samhandlingsregler. Versjon 0.8 8. august 2012

UTKAST. Strategi for Sikkerhets- og kvalitetskultur i Rogaland fylkeskommune. Samhandlingsregler. Versjon 0.8 8. august 2012 UTKAST Strategi for Sikkerhets- og kvalitetskultur i Rogaland fylkeskommune Versjon 0.8 8. august 2012 1 Innhold Innledning RFKs overordnede verdier Målsetninger Tre års mål (2015) Fem års mål (2017) Ti

Detaljer

Så hva er affiliate markedsføring?

Så hva er affiliate markedsføring? Så hva er affiliate markedsføring? Affiliate markedsføring er en internettbasert markedsføring hvor Altshop belønner deg for hver kunde som du rekrutterer til Altshop. Vi vil ta godt hånd om dem for deg

Detaljer

Om arbeidet i fagforeningenes lokale etterutdanningsutvalg. (rev. august 2015)

Om arbeidet i fagforeningenes lokale etterutdanningsutvalg. (rev. august 2015) Kompetanseutvikling i forbundet Kom-i-gang-brosjyrer Dette er en serie av hjelpemidler for arbeidet med etterutdanning lokalt i distriktene og klubbene. Oversikt over alle dokumentene finner du på forbundets

Detaljer

Endringsoppgave: Medarbeidersamtalen

Endringsoppgave: Medarbeidersamtalen Endringsoppgave: Medarbeidersamtalen Nasjonalt topplederprogram Berit Kalgraff Molde, høst 2015 1. Bakgrunn og organisatorisk forankring for oppgaven «En medarbeidersamtale (MAS) er en godt forberedt,

Detaljer

Fortelling 3 ER DU MIN VENN?

Fortelling 3 ER DU MIN VENN? Fortelling 3 ER DU MIN VENN? En dag sa Sam til klassen at de skulle gå en tur ned til elva neste dag. Det var vår, det var blitt varmere i været, og mange av blomstene var begynt å springe ut. Det er mye

Detaljer

Internrevisjon i en digital verden

Internrevisjon i en digital verden Internrevisjon i en digital verden IIA Norge årskonferanse, Fornebu 29. 30. mai 2017 Services 1 Industry 4.0 Big Data 3D Printing Internet of Things Digitisation 2 Exponential organizations Disruption

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

ENDRINGSFOKUSERT VEILEDNING OG ENDRING I LEVESETT. ved psykolog Magne Vik Psykologbistand as

ENDRINGSFOKUSERT VEILEDNING OG ENDRING I LEVESETT. ved psykolog Magne Vik Psykologbistand as ENDRINGSFOKUSERT VEILEDNING OG ENDRING I LEVESETT ved psykolog Magne Vik Psykologbistand as Stang ber østkantfolk lære av vestkanten Oslos ferske ordfører Fabian Stang har gjort omsorg til sitt varemerke.

Detaljer

ROBERT Frank? Frank! Det er meg. Å. Heisann! Er Frank inne? HANNE Det er ikke noen Frank her. ROBERT Han sa han skulle være hjemme.

ROBERT Frank? Frank! Det er meg. Å. Heisann! Er Frank inne? HANNE Det er ikke noen Frank her. ROBERT Han sa han skulle være hjemme. VEPSEN Av: William Mastrosimone En tilsynelatende uskyldig misforståelse utvikler seg til et psykologisk spill mellom Hanne og inntrengeren Robert, som ender i et stygt voldtekstforsøk. Hanne er i leiligheten

Detaljer

qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx cvbnmqwertyuiopasdfghjklzxcvbnmq

qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx cvbnmqwertyuiopasdfghjklzxcvbnmq qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx cvbnmqwertyuiopasdfghjklzxcvbnmq Medarbeidersamling Gausdal Høifjellshotell wertyuiopasdfghjklzxcvbnmqwertyui

Detaljer

Vardeveien Lederutvikling 2015/16 En god og verdifull investering i deg selv eller nøkkelmedarbeidere i din organisasjon. Mål:

Vardeveien Lederutvikling 2015/16 En god og verdifull investering i deg selv eller nøkkelmedarbeidere i din organisasjon. Mål: Vardeveien Lederutvikling 2015/16 er et program for ledere som tør og vil utvikle seg i samspill med andre ledere. Hvert kull består av maksimum 12 ledere med ulik bakgrunn, som i seg selv skaper unik

Detaljer

Vegvesenboka. Ledelse, styring og organisering. <Navn> <Avdeling, sted>

Vegvesenboka. Ledelse, styring og organisering. <Navn> <Avdeling, sted> Vegvesenboka Ledelse, styring og organisering Vegvesenboka Nasjonal transportplan: Nasjonale mål for transportpolitikken Tilby et effektivt, tilgjengelig, sikkert og miljøvennlig

Detaljer

Kokebok for å oppdatere språk og innhold i tekster

Kokebok for å oppdatere språk og innhold i tekster Klart du kan! Kokebok for å oppdatere språk og innhold i tekster Denne kokeboka er laget for deg som skal gå igjennom og forbedre tekster du bruker i jobben din. Du som bør bruke den er Vegvesenansatt,

Detaljer

Vedlegg 1 Informant/Temaområde Fra fag til leder Å lede andre Stress Veiledning, støtte og oppl. Informant 1. På lag. Alltid moro. Lojal oppover.

Vedlegg 1 Informant/Temaområde Fra fag til leder Å lede andre Stress Veiledning, støtte og oppl. Informant 1. På lag. Alltid moro. Lojal oppover. Vedlegg 1 Informant/Temaområde Fra fag til leder Å lede andre Stress Veiledning, støtte og oppl. Informant 1 Ikke intensjoner om å bli leder. Spurt. Veldig eierskap. Min «baby». Jentene hans. Var som en

Detaljer

KVALITATIVE TILBAKEMELDINGER FRA INSPIRASJONSDAG FALSTAD 2013

KVALITATIVE TILBAKEMELDINGER FRA INSPIRASJONSDAG FALSTAD 2013 KVALITATIVE TILBAKEMELDINGER FRA INSPIRASJONSDAG FALSTAD 2013 I tre av spørsmålene på evalueringsskjemaet etterspurte vi om konkrete tilbakemeldinger på deltagernes: 1) forventninger til dagen, 2) refleksjoner

Detaljer

HR analysen. Ny versjon 2009. Brukermal. Ledere

HR analysen. Ny versjon 2009. Brukermal. Ledere HR analysen Ny versjon 2009 Brukermal Ledere Side 2 - Pålogging Side 3 - Velge roller Side 4 - Struktur Side 8 - Lese besvarelser Side 10 - Legge ut undersøkelser/ medarbeidersamtale Side 15 - Fag/Handlingsplan

Detaljer

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv «Å tro at det ikke finnes virus på Mac er dessverre litt

Detaljer

Slik jobber vi med kommunikasjon. Per Tøien Kommunikasjonssjef

Slik jobber vi med kommunikasjon. Per Tøien Kommunikasjonssjef Slik jobber vi med kommunikasjon Per Tøien Kommunikasjonssjef Jeg har tenkt å si noe om premissene for vår jobbing med kommunikasjon Premissene for det daglige arbeidet ligger i hva vi har bestemt oss

Detaljer

Opplæringsprogram for ledere i Re Næringsforening

Opplæringsprogram for ledere i Re Næringsforening Opplæringsprogram for ledere i Re Næringsforening Lederprogrammet del 1 Formålet med våre butikker: Vi ønsker å drive spennende, attraktive og lønnsomme butikker som blir foretrukket av kundene Hva driver

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Serviceledelse i praksis. getleadingedge.no

Serviceledelse i praksis. getleadingedge.no Serviceledelse i praksis getleadingedge.no Henning Friberg Henning Friberg har bred erfaring fra servicebransjen og har blant annet ledet servicebedrifter i inn og utland. Å sikre at serviceleveransen

Detaljer

Intervjuguide HR ansvarlig

Intervjuguide HR ansvarlig Vedlegg I Intervjuguide HR ansvarlig Vi er tre jenter som fullfører vår bachelorgrad i HR og personalledelse på Markedshøyskolen. I forbindelse med bacheloren vår skriver vi om onboarding, og hvilken effekt

Detaljer

PLATON EXECUTIVE BRIEFINGS

PLATON EXECUTIVE BRIEFINGS PLATON EXECUTIVE BRIEFINGS Våren 2014 Deltakelse er gratis! Meld deg på via no.platon.net/pb Påmelding Deltakelse er gratis (NOK 500,-. faktureres ved å utebli uten å gi beskjed) Deltakelse er gratis!

Detaljer

God tekst i stillingsannonser

God tekst i stillingsannonser God tekst i stillingsannonser I dag skal vi studere stillingsannonsen nærmere la oss inspirere av gode eksempler utfordre klisjeene og se på alternative formuleringer gå gjennom en sjekkliste for kvalitetssikring

Detaljer

Personlig Effektivitets- Program PEP Gjør det nå!

Personlig Effektivitets- Program PEP Gjør det nå! Personlig effektivitet i prosjektarbeid Steinar Westland, PMP Personlig Effektivitets- Program Gjør det nå! Institute for Business Technology - IBT Startet av Kerry Gleeson i 1983 Etablert i Norge i 1985,

Detaljer

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland Introduksjon Arnfinn Roland CISSP PECB Professional Trainer Certified ISO Lead Auditor, Lead Implementer ISO 27001 ISO 22301

Detaljer

Lærebok. Opplæring i CuraGuard. CuraGuard Opplæringsbok, - utviklet av SeniorSaken -

Lærebok. Opplæring i CuraGuard. CuraGuard Opplæringsbok, - utviklet av SeniorSaken - Lærebok Opplæring i CuraGuard 1 Med dette heftet gis en innføring i hvordan bruke CuraGuard og andre sosiale medieplattformer med fokus på Facebook. Heftet er utviklet til fri bruk for alle som ønsker

Detaljer

DONORBARN PÅ SKOLEN. Inspirasjon til foreldre. Storkklinik og European Sperm Bank

DONORBARN PÅ SKOLEN. Inspirasjon til foreldre. Storkklinik og European Sperm Bank DONORBARN PÅ SKOLEN Inspirasjon til foreldre KJÆRE FORELDER Vi ønsker med dette materialet å gi inspirasjon til deg som har et donorbarn som skal starte på skolen. Mangfoldet i familier med donorbarn er

Detaljer

Takk for at du har valgt å søke om å bli med på Tilbake til Livet, et kurs i The Phil Parker Lightning Process.

Takk for at du har valgt å søke om å bli med på Tilbake til Livet, et kurs i The Phil Parker Lightning Process. Ansvarlig Helse Lær å påvirke egen helse Søknadsskjema Kurs: Tilbake til livet Takk for at du har valgt å søke om å bli med på Tilbake til Livet, et kurs i The Phil Parker Lightning Process. Kurset er

Detaljer

LOLA REPORTER BOK. En didaktisk metode for å utforske bærekraftig innovasjon. Navn: Klasse: År: Looking for Likely Alternatives

LOLA REPORTER BOK. En didaktisk metode for å utforske bærekraftig innovasjon. Navn: Klasse: År: Looking for Likely Alternatives LOLA Looking for Likely Alternatives REPORTER BOK En didaktisk metode for å utforske bærekraftig innovasjon Navn: Klasse: År: Målbeskrivelse: Forestill deg at du er en journalist som leter etter måter

Detaljer

Litterasitetsutvikling i en tospråklig kontekst

Litterasitetsutvikling i en tospråklig kontekst Litterasitetsutvikling i en tospråklig kontekst Hvordan opplever minoritetsspråklige voksne deltakere i norskopplæringen å kunne bruke morsmålet når de skal lære å lese og skrive? Masteroppgave i Tilpasset

Detaljer

EuroSOX og Ny forskrift for risikostyring og internkontroll

EuroSOX og Ny forskrift for risikostyring og internkontroll EuroSOX og Ny forskrift for risikostyring og internkontroll Hva betyr dette for din bedrift? Advokatfullmektig Kristin Haram 6. februar 2009 Agenda: foretaksstyring, risikostyring og internkontroll Euro-SOX

Detaljer

LEDER- OG PERSONALUTVIKLING

LEDER- OG PERSONALUTVIKLING LEDER- OG PERSONALUTVIKLING TEAMUTVIKLING, LEDELSE OG KOMMUNIKASJON BAKGRUNN, OPPLEGG OG GJENNOMFØRING INNLEDNING Lederrollen er en av de mest krevende og komplekse oppgaver i bedriften. Etter hvert som

Detaljer

Hvordan gjennomføre et tilbakemeldingsmøte i egen enhet? Kontakt informasjon tlf: 40 00 58 96 sensus@sensus.no www.sensus.no

Hvordan gjennomføre et tilbakemeldingsmøte i egen enhet? Kontakt informasjon tlf: 40 00 58 96 sensus@sensus.no www.sensus.no Hvordan gjennomføre et tilbakemeldingsmøte i egen enhet? Hensikt med å bruke en medarbeiderundersøkelse? Tilføre ledere og medarbeidere kompetanse på det å forstå faktorer i arbeidet som bidrar til trivsel,

Detaljer

Leker gutter mest med gutter og jenter mest med jenter? Et nysgjerrigpersprosjekt av 2. klasse, Hedemarken Friskole 2016

Leker gutter mest med gutter og jenter mest med jenter? Et nysgjerrigpersprosjekt av 2. klasse, Hedemarken Friskole 2016 Leker gutter mest med gutter og jenter mest med jenter? Et nysgjerrigpersprosjekt av 2. klasse, Hedemarken Friskole 2016 1 Forord 2. klasse ved Hedemarken friskole har hatt mange spennende og morsomme

Detaljer

IBM3 Hva annet kan Watson?

IBM3 Hva annet kan Watson? IBM3 Hva annet kan Watson? Gruppe 3 Jimmy, Åsbjørn, Audun, Martin Kontaktperson: Martin Vangen 92 80 27 7 Innledning Kan IBM s watson bidra til å gi bankene bedre oversikt og muligheten til å bedre kunne

Detaljer

Veiledning om ledelsens gjennomgåelse. Innhold. Utgitt første gang: 19.6.2012 Oppdatert: 15.01.2015

Veiledning om ledelsens gjennomgåelse. Innhold. Utgitt første gang: 19.6.2012 Oppdatert: 15.01.2015 Veiledning om ledelsens gjennomgåelse Utgitt første gang: 19.6.2012 Oppdatert: 15.01.2015 Innhold 1 Bakgrunn... 2 2 Hensikt... 2 3 Omfang... 2 4 Sentrale krav... 2 5 Generelt om ledelsens gjennomgåelse...

Detaljer

Et skolebygg å være stolt av!

Et skolebygg å være stolt av! Et skolebygg å være stolt av! 11/30/2009 2 Nøkkeltall etablert 1. januar 2002 eier og drifter alle skolebygningene i Oslo Drøyt 1,3 millioner kvm, 78.000 elever og ansatte 174 skoler ( 159 eide, 15 leide

Detaljer

Fagerjord sier følgende:

Fagerjord sier følgende: Arbeidskrav 2A I denne oppgaven skal jeg utføre en analyse av hjemmesiden til Tattoo Temple (http://www.tattootemple.hk) basert på lenker. Analysen er noe basert på et tidligere gruppearbeid. Hjemmesiden

Detaljer

Å VINNE I SALG BESTE PRAKSIS GRUPPE FOR LEDERE MED SALGSANSVAR

Å VINNE I SALG BESTE PRAKSIS GRUPPE FOR LEDERE MED SALGSANSVAR Å VINNE I SALG BESTE PRAKSIS GRUPPE FOR LEDERE MED SALGSANSVAR Bygg et veikart for å løfte din salgsorganisasjon til et nytt nivå Finn ut hvordan du blir morgendagens vinner innen salg og salgsledelse

Detaljer

Jobbsøking. Tema i Grønn gruppe - januar 2007 JOBBSØKING... 2

Jobbsøking. Tema i Grønn gruppe - januar 2007 JOBBSØKING... 2 Jobbsøking Tema i Grønn gruppe - januar 2007 JOBBSØKING... 2 1. Stillingsannonser... 2 Hvorfor lese stillingsannonsen grundig?... 2 Hva må jeg se etter i annonsen?... 2 2. Slik finner du de ledige jobbene...

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

Prosjektteknikk. Prosjektteknikk. Evaluering prosjektteknikk. Hvorfor teamarbeid? Team. Hvorfor teamarbeid?

Prosjektteknikk. Prosjektteknikk. Evaluering prosjektteknikk. Hvorfor teamarbeid? Team. Hvorfor teamarbeid? Prosjektteknikk Skal gjennomføre et prosjektarbeid med Legoroboter som skal programmeres i Java Skal arbeide i Team (4 medlemmer) Skal settes opp en Arbeidskontrakt Skal gjennomføre Teammøter med innkalling

Detaljer

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv «Å tro at det ikke finnes virus på Mac er dessverre litt

Detaljer

Taler og appeller. Tipshefte. www.frp.no

Taler og appeller. Tipshefte. www.frp.no Taler og appeller Tipshefte Fremskrittspartiets Hovedorganisasjon Karl Johans gate 25-0159 OSLO Tlf.: 23 13 54 00 - Faks: 23 13 54 01 E-post: frp@frp.no - Web: www.frp.no www.frp.no Innledning: I dette

Detaljer

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering

Detaljer

Retningslinje for risikostyring for informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra

Detaljer

AB-Konferansen 2011 Delseminar L)

AB-Konferansen 2011 Delseminar L) AB-Konferansen 2011 Delseminar L) WORKSHOP: EQUASS krever resertifisering hvert annet år. Hvordan jobbe med kontinuerlig forbedring i AB for å møte sertifiseringskravene? v/andreas Tømmerbakke, bransjeforeningen

Detaljer

Skriv vinnende tilbud

Skriv vinnende tilbud Skriv vinnende tilbud Workshop Sales 15.-16.09.2009 Introduksjon Hva vi skal gjennom i dag Kort introduksjon Hva er kunden opptatt av, og hva kan vi gjøre for å øke vår mulighet for suksess Tema 2: Utforming

Detaljer

Resultat og tilbakemeldinger fra vårt utsendte evalueringsskjema. Totalt 18 tilbakemeldinger Spørsmål 1:

Resultat og tilbakemeldinger fra vårt utsendte evalueringsskjema. Totalt 18 tilbakemeldinger Spørsmål 1: Evaluering Resultat og tilbakemeldinger fra vårt utsendte evalueringsskjema. Totalt 18 tilbakemeldinger Spørsmål 1: - Opplever dere at Frogner håndball har et godt tilbud til barna? Ja- 16 Nei- 1 Tja-

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Innhold. Vestfold fylkeskommune skal... 3. Del 1 Kommunikasjonsstrategi...4. Kommunikasjonsstrategien skal...4

Innhold. Vestfold fylkeskommune skal... 3. Del 1 Kommunikasjonsstrategi...4. Kommunikasjonsstrategien skal...4 Innhold Innledning... 3 Vestfold fylkeskommune skal... 3 Del 1 Kommunikasjonsstrategi...4 Kommunikasjonsstrategien skal...4 Verdier og prinsipper... 4 Åpenhet... 4 Medvirkning... 4 Inkludering... 4 Aktiv...

Detaljer

Strategi for sikkerhets- og kvalitetskultur i Rogaland fylkeskommune

Strategi for sikkerhets- og kvalitetskultur i Rogaland fylkeskommune Strategi for sikkerhets- og kvalitetskultur i Rogaland fylkeskommune Godkjent av fylkesrådmannen i Rogaland fylkeskommune 24. september 2012 Versjon 1.2 1 Innledning RFK ønsker å ha en kultur der systematisk

Detaljer

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter Prosjektplan/engagement letter September 2013 Innhold 1. Innledning... 3 1.1 Bakgrunn... 3 1.2 Formål og problemstillinger... 3 2. Revisjonskriterier...

Detaljer

Som arrangør og prosjektleder: Hvordan bedre håndtere ulike mennesketyper og utfordrende situasjoner? v/trond Atle Smedsrud

Som arrangør og prosjektleder: Hvordan bedre håndtere ulike mennesketyper og utfordrende situasjoner? v/trond Atle Smedsrud Som arrangør og prosjektleder: Hvordan bedre håndtere ulike mennesketyper og utfordrende situasjoner? v/trond Atle Smedsrud Men først; hvem er jeg Trond Atle Smedsrud Jobbet i NFIF, Bislett Games, Progresult

Detaljer

Søknadsskjema Kurs: Bedre liv Instruktør: Vibeke C. Hammer

Søknadsskjema Kurs: Bedre liv Instruktør: Vibeke C. Hammer Ansvarlig Helse Lær å påvirke egen helse Søknadsskjema Kurs: Bedre liv Instruktør: Vibeke C. Hammer Takk for at du har valgt å søke om å bli med på Bedre liv, et kurs i The Phil Parker Lightning Process.

Detaljer

Søknadsskjema Kurs: Bedre liv Instruktør: Vibeke C. Hammer

Søknadsskjema Kurs: Bedre liv Instruktør: Vibeke C. Hammer Ansvarlig Helse Lær å påvirke egen helse Søknadsskjema Kurs: Bedre liv Instruktør: Vibeke C. Hammer Takk for at du har valgt å søke om å bli med på Bedre liv, et kurs i The Phil Parker Lightning Process.

Detaljer

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Audit & Advisory 18. september 2012 Agenda 1. Innledning 2. Formålet med revisjonsutvalg og utvalgets

Detaljer

Sosial kapital og sosiale nettverk

Sosial kapital og sosiale nettverk Skolelederforbundet 22.10.2010 Sosial kapital og sosiale nettverk - Om hvordan organisasjoner (skoler?) virkelig fungerer Harald Engesæth AFF Sosial kapital referer til de ressurser som er innebygget

Detaljer

Utviklingsprosjekt: Fungerer avdeling Apotekdrift etter sin hensikt?

Utviklingsprosjekt: Fungerer avdeling Apotekdrift etter sin hensikt? Utviklingsprosjekt: Fungerer avdeling Apotekdrift etter sin hensikt? Nasjonalt topplederprogram Bente Hayes Oslo, 10.april 2015. 1 Bakgrunn og organisatorisk forankring for prosjektet Sykehusapotekene

Detaljer