ORGAN FOR NORGES INTERNE REVISORERS FORENING

Størrelse: px
Begynne med side:

Download "ORGAN FOR NORGES INTERNE REVISORERS FORENING"

Transkript

1 ORGAN FOR NORGES INTERNE REVISORERS FORENING iu

2 Styrets leder har ordet ), i I 0 I A satse pa videreutdanning I Den som mener at man er ferdig utlaert, er ikke utlaert. Bare ferdig» I I Norges Interne Revisorers Forening (NIRF) har de siste arene fremhe~ Ivet behovet for at vi rna synliggj0re var kompetanse innen intern revi~ sjan og relaterte fagomrader. Sertifisering og diplomering er i sa mate M et godt «kvalitetsmerke)}, og signaliserer at man har tilegnet seg et til fredsstillende niva av ferdigheter og kompetanse. Samtidig vet vi, at i en verden i sa star endringstakt sam vi har. vii dagens kunnskap matte supple res og vedlikeholdes kontinuerlig. A benytte garsdagens kunnskap pa morgendagens problemer gir liten nyttever~ di. Dermed skulle var kompetanse vcere sikret ajourhold og alltid va'!re «aktuell». Mer om dette kan du lese pa var web side: Hasten er laeretid! H:Zisten er tradisjonelt en tid vi benytter til patyll av kunnskap og ferdigheter,- enten dette gjelder faghg kompetanse eller sosial kompetanse. I denne utgaven av Internrevisoren kan du lese mer om det brede tilbudet som NIRF har til deg denne h0sten. Husk it sam Ie CPD poeng Vi er i vart fgrste ar hvor bade Diplomerte Intern Revisorer (DIPL I.R.) og Certified Internal Auditor's (CIA) skal samle videreutdanningspoeng. For a opprettholde tittelene ma den enkelte person dokumentere ved~ likehold av sin kompetanse ved a gjennomfgre etterutdanning innenfor relevante fagomrader tilsvarende I 00 CPD~poeng (Continued Professional Development) i Ielpet av en tre-ars peri ode. Og et mini~ mum av 10 timer hvert ar. Pa forrige medlemsm0te viste programkomiteens leder til hvordan NIRFs egne kurser kunne bidra til a oppfylje dette kravet. Kurser, medlemsmgter og internrevisjonskonferansen var aktiviteter hvor man opptjente poeng. Men, som det fremgar av utsendt reglement. ogsa ak~ tiviteter utenfor NIRF (og i egen virksomhet) kan v::ere poengskapen~ de. Innrapportering av CPD poeng er planlagt via NIRFWEB i januar/ februar 200 I med etteriolgende stikkpn1)ve (15-25%) fra Diplomeringsnemnden i mars/april. Med dette fglger NIRF opp en alminnelig trend innenfor revisoryrket mht krav til dokumentert vedlikehold av sin kompetanse. Det samme finner vi for CIA's, Statsautoriserte revisorer, Registrerte Revisorer. Certified Information System Auditors og Kvalitetsrevisorer. Forberedelseskursene til CIA eksamen er allerede gjennomf0rt og det f0rste mediemsm0tet med vekt pa eriaringsutveksling er avholdt hos Norsk Hydro. Annen uke i oktober avholdes den tradisjonsrike Internrevisjonskonferansen i Sandefjord med de muligheter det gir for lnnblikk i utviklingen innen internasjonal og nasjonal internrevisjon. Ellers ser vi at 0kt evne til effektiv kommunikasjon og mellommenneskelig samspill tilbys gjennom spesialkurs for interne revisorer sam men med fagkurs rundt temaene e-business, COBIT. risikoanalyse og operasjonell revisjon star pa agendaen. Les mer lnne i bladet Hold deg orientert over NIRFWEB Det er var malsetting a gi mer og mer informasjon fra foreningen via var NIRFWEB : skal siste nytt fra foreningen, omtale og bilder fra medlemsm0ter og kurser, samt annen foreningsinformasjon legges ut til dere aile. Dette er en malsetting som er en stor utfordring med Yare begrensede ressurser. Sa har du interesse og kunne tenke deg a v::ere med i dette arbeidet, ta kontakt med oss. Lag din egen bookmark med var web adresse og sjekk den opp jevnlig. Jeg closker dere aile en l::ererik halst. Hans Martin Vikdal President JhiTERhil,EV!SOREN 3 00

3 NORGES INTERNE REVISORERS FORENING Norges Interne Revisorers Forening har i dag ca. 460 medlemmer. NIRF er et National Institute av The Institute of Internal Auditors, sam pa verclensbasis har mer enn medlemmer. NIRF gir foreningens medlemmer og fagmiljo generelt, tilbud om kompetw anseutvikling sam setter den enkelte i stand til a utfore intern revisjon med en kvalitet scm gjor profesjonen til en sentral bidragsyter for bedre kontroh og styring av organisasjoner og virksomheter. KONTAKTPERSONER: President: Hans Martin Vikdal, CIA, DipU.R. PricewaterhouseCoopers Konferansekomiteen: Eirik Kvam Norsk Hydro PR komiteen: Ellen Braathen, Dipl.I.R" CIA Oslo Kommune Byra.dslederens Avd. Seksjon Intern Revision Til.: Programkomiteen: Berge Jahan Bergesen, CIA Trygdedirekt0rens incernrevisjan Tlf: / Redaksjonskomiteen: Espen Opjordsmoen PricewaterhauseCoopers Tlf.: Foreningssekretrer: Vibeke Arnet Til.: Internrevisoren: Organ for Norges Interne Revisorers Forening. N!RF Antal! utgive!ser pro ar: 4 Opplag: 600 Neste nummer: Medio desember 2000 Frist far innlevering av artikler. brev fra leserne m.m., er satt til 28. november 2000 Arsabonnement: Kr.! 50.- Annonsepriser: III side kl: /2 side kl: /4 side ki,750 Grafisk produksjon: GRYTTING AS, Oslo Trykl" GRYTTING AS, Orkanger Forsideill.: Grytting S Styrets leder har ordet IT-revisjon for «vanlige» intern revisorerl Information Systems Audit and Control Association (ISACA) Norway Chapter Ny Anbefaling til God IT-skikk (GITS) Hva er «hot» for IT-revisorer og -sikkerhetspersonell i ar Non Stop Sikkerhet - holdningsskapende arbeid somgir mersmak! Rammeverk IT sikkerhet COBIT 3: Et imponerende verk er na fullf0rt Ernst.& Young - Business Risk Services (www.ey.no) Kursoversikt Metodisktilnrermingtilunders0kelser av produktivitet og effektivitet i forvaltningsrevisjon Foreningsnytt Pa tampen

4 ... --_._ ,. I.J.I.lI,..._.._ L.:.Ll..~..,,'._'... ' 'l'_!' ''''_~. ",. '.-"-~..._---"" _......_..-""'...-"'> ",...""'''''''' ~<~, ,...---"""",-,..._..._.... _... ""' _.. "._.. '" n... " -~~::: ':":~":-::~-"'.. T....,"' ' il::;:>... ~!ders Skail Kommune, BYrldslederens avd., ~Jon, TCor Intemrevlsjon Helga Stjemen Storhaug,?~!tygdledlire!ttelrenslntemrevisjon Svelnung Svanberg Posten Norge BA Tlf.: VISIT THE II A ON THE WEB Arukier I blader suk for forfouerens egne synspunkter, og er ikke m~dvendigvis i samsvaf med NlRFs offisielle synspunkt 4 RNREVISOREN :2 ' 00

5 lema 11. R ey fsj Q n~,,',~o Il,.revisjon for «vanlige» intern revisorer? Av Frank A/vern ) Sover du i timen? Relativt upaaktet av NIRFs medlemmer har Norge vzrr vertskap for et storr internasjonair arrangement for bl.a. interne revisorer. Med om lag 400 personer fra mer enn 30 land som pl0yde seg gjennom et tettpakket program i nesten en uke, satte Norge rekord for dette arrangementet i mars i ar. leg synes jeg h0rer du stiller sp0fsmalet Harjeg sovet i timen? Tja, akkurat det velger jeg a avstii a besvare sann direkte, men la meg heller komme med forklaringen. leg snakker om EuroCACS 2000, eher mer spesifikt The 15th Annual European Conference on Computer Audit, Control and Security som brosjyren spesifiserer dec. joda, det stemmer at jegfikk konferanseprogrammet j posten fra NIRF, men dette er jo IT-revisjon. jeg arbeider bare med operasjonell revisjon, jeg. Auda! Pmv igjen. jeg arbeider med operasjonell revisjon, det er Knut som tar seg av disse teknislle IT-greiene for hele intemrevisjonen v!b: Bedre? Nei, som dere skj0nner - jeg har personlig svzn liten sans for disse to «forklaringene». Krav om starre kompetanse om god styring og kontroll pa ISIITomradet er her allerede leg overdriver noe her for a spisse poenget mitt. Som interne revisorer har vi imidlertid et klan ansvar for a ha et fokus pa risikohandteringen i var virksomhet. Det er na en gang blitt slik at informasjonssystemer og informasjonsteknologi bade har 0kende iboende risiki og ikke minst na blir mer og mer kritiske for var mulighet for a kunne styre mot maloppn;lelse generelt. Til og med var konservative moderforening IIA har for lengst tatt noen konsekvenser her. Ta en titt pa hjemmesiden deres. Les Competency Framework for Internal Auditors. Sjekle hvordan IS/IT vokser i ClA-vektingen. Meldingen er ldar: vi rna 0ke var generelle kompetanse om IS/IT for a kunne kommunisere med ledelsen om et omrade med potensiell sror risiko. Sp0rsmalet er dermed ikke om vi skal forholde oss til denne utfordringen, men snarere hvordan. Med dette som utgangspunkt har Internrevisoren i denne utgaven fors0kt a gi noen konkrere pekere inn i materien for a kunne hjelpe oss i gang med a 0ke var egen kompetanse. Det var innlysende a henvende seg til kollegaer i revisorhuset i Pilestredet, ISACA Norway Chapter, for a!a hjelp og tips. Vi har snakk:er med Here sentrale personer i foreningen og fors0ker gjennom artilder de neste sidene a fa et blikk: inn i hva ISACA stiir for, hva IT-revisorer er Opptatt av na og hvor vi har felles interesser. IT sikkerhet er et slikt fellesomriide, og vi har v::ert sa heldige :i fa Norsk Tipping og Sparebanken Hedmark til a dele sine erfaringer nar det gjelder kontrollmilj0ers betydning for IT sikk:erhet og hvordan vi kan pavirke dette i positiv retning. COBIT kan vrere nakkelen Ogsa IT-revisorens folie er i endring. ISACA sentralt fokuserer na knallhardt pa IT Governance og forholdet til Enterprise Governance i sitt arbeid. ISACA etablerte i 1998 et eget institutt, IT Governance Institute, for dette form:i1et. IIA bruker i sin definisjon begrepet Corporate Governance, men det er n0yaktig samme sak som Enterprise Governance. Da er der kanskje betryggende a vite at COSO ogsa ligger i bunnen av den forst:ielse og merodildc som stadig videreutvildes i ISACA-verdenen. Hille minst finner vi igjen COSOs grunntanker i det verkt0yet ISACA klart sarser mest pa - COBIT. Den st0rste spalteplassen i temautgaven har vi nemlig viet COBIT. Detre skyldes kort og godt at vi mener det lean v<ere den beste m~hen for oss (wanlige» intern revisorer a tilnzrme oss denne utfordringen pa. De forbedringene som na er kommet i den tredje utgaven av dette styrings- og kontrollrammeverket for IS/IT viser at IT-revisorene og «vi)) mer og mer snaldcer samme spr;lk. Her er det balansering av risiko og maloppnaelse for abe penga, og intro- GOVERNANCE INSTITUTEduksjonen av Balanced Scorecard-tankegangen b0r jo heller Hille vrere en ulempe. Antaller virksomheter som rar i bruk balansen malstyring i en eller annen form er stadig 0kende, ogsa innenfor offenrlig sekror. IT Governance Institute scar som utgiver av dette rammeverket na, noe som igjen viser at ISACA mener alvor med sin strategi om a fa tilpasset eget «stammespralc)) til et spr:ik som yare (felles!) 0versre ledere fakrisk forstar. ISACAs president sa pa EuroCACS i Oslo at foreningen legger COBIT inn som selve grunnmuren i besttebelsene med IT Governance. CO BIT 3rd Edition represenrerer et langt steg fta egen «IT-femmeter» og inn mot midtbanen fot a si det pa den maten. Vi som «vanlige» intern revisorer rna ta mot til oss og stille pa midtbanen selv ogsa. Programkomireen var har tenkt a f0lge opp, og da vil undertegnede bare avrunde med en oppfordring som en notabilitet vel allerede har sagt nar dette kommer pa trylck: LET THE GAMES BEGIN!! INTERt'-lREVISOREN 3 00 S

6 Olema: IT-Revisjon Information Systems Audit and Control Association (ISACA) Norway Chapter Av Tore B. MODO', President ISACA Norway Chapter ISACA cr en verdcnsomspennende organisasjan med mer enn medlemmer i ca 100 land. Foreningen ble grunnlagr i Hovedsekretariatet ligger i Chicago, USA. ISACA Norway Chapter ble opprettet i Foreningen har pro ca 350 medlemmer og har felles sekrerariar med NIRF og NBRF i Pilestredet 75 D i Oslo. Foreningens medlemmer har rradisjonelr v:rrt personer med IT-revisor bakgrunn, men over tid har foreningen blitt supplert med medlemmer som arbeider med IT-sikkerhet og IT-kvalitet. Ogsa personer fra ITutviklingsmilj0ene har etter Iwert blitt medlemmer. Et viktig tilbud til medlemmene er ucdannelse og videreutdannelse. Gjennom et strukturert opplegg i samarbeid med DnR, gis medlemmene gjennom 5-6 samlinger en grundig innfming i IT-revisjon slik at man stiller best mulig rustet til it ca CISA-eksamen (Certified Information Systems Auditor). Kravene for a besra eksamen er store, og stryk-prosenten til den engelskspdildige eksamen er relativt h0y; ca 52 % i Norge og 48% imernasjonalt. En del land har valgr a overscrrc eksamen til eger spriik, mens den norske foreningen har valgt den engelske. 99 personer i Norge innehar eisa-dtrden. A besra eksamen er imidlertid bare f0fsre (finn - for a fa tittelen rna man ha Era 3-5 ars praksis fra definerte fagomrader. Mange kjenner ogsa foreningen sam utgiver av God IT-Skikk (GITS). Det er vel anerkjent at GITS-ene hal' en god nasjonal forankring som retningsgivende «best practice) innenfor IT-omdidet. ISACA Norway Chapter urgir ogsa medlemsbladet DataZ som kommer ut 4 ganger i aret. Styret i ISACA Norway Chapter besrar av President, Visepresident, Past President, kassererer og sekret<er samt lederne av komiteene Forskning, Utdanning, Standard og PRiMedlem. I mars i ar arrangertc forcningen EuroCACS som samlet ca 400 personer fra mer enn 30 land. Neste ars arrangement er lagt til Paris, mens Budapest er valgt som vertskap i Tre sentrale personer po EUroCACS i mars, fro venstre: Tore B. MOOD, President ISACA Norway Chapter, Paul A. Williams, InternOlional President ISACA og Arne ja/janhej/e, MaaGs (orgjenger i presidentstolen i de! norske c/japterel (Folo:John Lerskou) 0 I r '1 ij I Av Svein ErikA/dol, leder ISACAs Stondordkomite Standardkomiteen i ISACA har urarbeidet (,Anbejizling til God IT-sf:i/d: for endrillgsadmillistmsjon». Dette er et Stort og kompleksr omdde sam i mange virksomheter ikke har n0dvendig fokus. Ofte resulterer dette i driftsforstyrrdser sam kunne vxrt unngiitt dersom lcdelsen hadde san tilstrekkclige hav til innf0ring av endringene. Fravxr av en generdt akseprert standard for endringsadminisnasjon hal' v::cn en medvirkende 11.1' sale til at mange ikke har gjennomfort nod- vendige tilrak, og vi i Srandardkomiteen haper at vi gjennom dettc dokumenrct kan bidra til at handtcring av endringcr i St0rre grad scrres i foklls.,<god IT-skikk - Endringsadminisrrasjon» er utarbcidet for ledere, kontrollinstanser og medarbeidere med ansvar for a gjennomf0re endringer som vii pavirke virksomhetcns daglige drift. Anbcfalingen omt:1rtcr aile ty~ per endringer i objekter som er en del av- el~ ler hal' en indirekte pavirkning pa virksomhetens IT~milj0, og dekiter sa vel planlagte som ikke planlagte endringer (uforursigbare endringer) som matte oppsra som f01ge av ytre ikke-komrollerbare hendelser. Dec poengteres at aile endringer b0f vxrc autorisen, planlagt, prioritcrt, risikovurdert, dokumentert, testet og godkjent. Et viktig element er at endringene iverksettes pa en slik mare at eventllelle fei! og avvik ikke pavirkcr andre deler av virksomhetens systemcr, dag-

7 lig produksjon eher leveranser til og fra virlcsomhetens kunder og samarbeidsparrnere. Med denne utgivelsen har foreningen na girt ut i alt seks Anbefalinger: Nr. 0 - Grunnleggende retningslinjer for God IT-skikk Nr. 1 - Dokumenrasjon av IT-systemer Nr. 2 - Tilgangskonrroll IT-systemer Nr. 3 - Konrinuitet i den operasjonelle drift av senrrale og desenrrale IT-systemer Nr. 4 - Endringsadministrasjon Nr. 5 - Bruk av Inrernett. Ta konrakt med var felies foreningssekretrer,' Vibeke Arnet i DnR for a fa informasjon om papir- dler elektronisk utgave av disse GITS-ene (telefon , eller e-post Standardkomiteen arbeider videre med nyc GITS-er. N:ermest i loypa ligger dllbefolillg til God IT-skikk vedromzde allskaffelse av IT-systemenl. I tillegg er det plan Iagt a urarbeide retningslinjer for e-handel. Det er forelopig usild(ert nar disse vii foreligge. I det videre arbeid med GITS vii vi i sterkere grad samordne struktur og innhold med COBIT. Derte gjelder bade kommende og tidligere publiserte GITS - nar revisjon av disse iverksettes. Hva er «hot» for IT-revisorer og -sikkerhetspersonell i ar 2000? Internrevisoren ba Jan G Thoresen lage et sammendrag av EuroCACSkonferansen for OS5. Malsettingen med et slikt sammendrag er a formidle et blikk inn i hva som opptar dagens IT-revisorer og -sikkerhetspersonell_ DataZ nr 2/2000 gir en omfattende beskrivelse av mye av det som skjedde «den uken Oslo var ISACAs hovedstad».ta kontakt med Vibeke pa telefon sa far du kanskje et eksemplar tilsendt! Arets konferanse var sterkt preget av storsatsingen COBIT - Control Objectives for Information and Related Technology fra ISACAIIT-Gavernance Instirute. Mange presenrasjoner var i ulik grad baserr pa madellen. Samtidig gikk en f01jetang am COBIT-basert styringssystem for informasjonssikkerhet. Ellers kan nevnes British Standard on Information Security Management (BS 7799) sam et hoyakruelt verkt0y. Strsm I - Kjernekompetanse Strommen deld<et grunnleggende kompetanse innen IT-revisjon og kontroll og skalligge pa et overordnet niva. Stildmrd er innforing i generell revisjons-metodild{, overordnet forstaelse og begrepsforldaringer. Urvildingen av internett og WEB-teknologi presenterer kontinuerlig aktuelle problemstillingcr som nok mange f0ier et behov for a beherske. Emncne public key inji-a-sh"ucture (Sten Lannerstf0m) og digita- Ie signaturei' Gohn Mitchell) ga uventet stor respons. Risiko er et fundamentalt begrep i all revisjon. Her ble emnet dekket gjennom presentasjonene Risikodrevet revisjomplanleggillg (Archie Watt) ag Metoder for risikoalia!:yse (George Sifri). Informasjonssikkerhet bie dekket av presenrasjonen etablering av et styringssystem for infonnasjonssikkerhet (Peter Bittedi). Forste del i foljetongen sam fulgte aile stf0mmene. Ellers ble f0lgende revisjonsemner presentert: Metodisk revisjonstilntr.rming (Archie Watt), systemutvildings-prosessen (Chares Mansour), endringshandterillg (Chares Mansour) og drifiskolltinuitetsplanlegging Gean Jaques De Gheyndt). Strsm 2 it-revisjon Stf0mmen dekket beste pral{5is i et lltvalg av relevante revisjonsemner. Revisjoll av ERP-applikasjoner (Enterprise resource planning). Johan Hermans tok INTERNREVISOREN 3'007

8 o Tema: IT-Revision her app problemstillinger vedrorende revisjon av denne type integrerre 10sninger. Revisjon av Datasenteret 00ho Mitchell) dekket sentrale utfordringer for en revisor i moderne komplekse og disrribuerre 105- ninger. COBIT ble rrukker inn sam planleggings- og styringsverkt0y. Problemsti//inger ved revisjon av finansinstitlfsjoner (Brendan Morgan) fokuserre pa hovedutfordringene for europeiske banker - ehandel, Euro. rightsizing og teknologiendringer. Internet banking var saledes sterkr vekdagt. Revisjon flv illtrtl- og extranets. Marc Sel foredrc her nettverkssikkerhet og ga bade en innf0ring i basisrek gi og fordypning i teknologiske muligheter. Revisjon flv braml1llllrej: Marc Sel haldt et hoyt teknisk niva og fokuserte pa teknildccr for a sikre internetcraffikk. Problemstilfinger ved revisjoll av WEB-basert applil,asjonstltviklitlg (George Sifri) dekket farskjellen fra tradisjanellutvilding ag fakuserte srerkr pa fisiko - WEB-prosjekrer er d0dsmarsj prosjekrcr! Hvordan revidere styringssystem for infon-nasjons-si/tkerbet. Peter Bittetli inrrocluscrrc en merodikk som flerter CSA og tradisjonelle revisjonshandlinger basert pa prinsipper fra BS 7799 eller COBIT. Revisjon av misfigbetskontro!! og}llridislt revisjon. Helge Kvamme tak opp forebygging av 0konomisk kriminalitet, retningslinjer for revisjon og teknikker for bevissiknng. Stn<lm 3 Informasjonssikkerhet Defre var fordypning i problemstillinger [undt informasjonssikkerhet og omhandlet telmiske omrader pa detaljert niva. MaIgmppen var erfarne IT-revisorer. ne av brudd, typiske problcmcr under behandlingen og hvilkcn lxringsprosess organisasjonen bor gjcnnomf0re i enertid. lmplementering av databeslryttelseslovgivning. Vernon Poole redegjorde for forhold a ta hensyn til for a kunne encrlevc THE DATA PROTECTION ACT BS 7799 ble referet sam verkwy. AdministrtlSjon av styrbzgssystem for infomlasjolls-sikkerhet (ISMS). Peter Wood innledet rned skreld{-historier fra det virkelige liv og fulgte med en omfattende gjennomgang av BS 7799 (hvis prinsipper utgjor kjernen) ag teknikker for administrasjon og innsalg til egen organisasjon. WEB-sikl?erhet. Sten Lannerstf0m gjennomgikk prinsipper for WEB-sildkerhet og elektroniske transal{sjoner og redegjarde mer dclajen mndt komplekse emner som Secure Sockets Layer, Virtual Private Networks og Private Key Infrastructure. Sikring av datautvdsling pa Internett. Thomas Keishu gjennomgikk prinsipper for- og svaldleter ved informasjonsutveksling, sarbarhet og ulike kategorier datal{riminalitet, rnerodikk for risikovurdering og ymse rnoniltalc Oppdage innh enging. Arnt Brox gay en definisjon av begrepet samt beskrivelse av funksjonalitet, srandarder og arkitektur i ulike Intrusion Detection Systems (IDS). Informasjonsi/.:kerhet - risil.:oanalyse og ledelse. Leslie Roberts fokuserte pa verdien- og riktig bruk av risiko-analyser. Presemasjonen inlduderce et nettbank casestudy. Sikring av JYsisk injillstj'ltlztm: Illustrert med hendelser fra virldigheten redegjorde Michael Bacon for trusler av type ekstremt vxr, sef0mbrudd, innbrudd, sereik, bomber, elektroniske vapen og odeleggende kjemikalier. Sikkerhetsbrudd - eslmlering e!r res polls. Leslie Roberts definerte sikkerheesbmdd som komprominering eller tap av konfidensialitee, integrieet og tilgjcngelighet til informasjon. Hun rcdcgjorde for de vanligste rype- fjroblemstillingene i forholdet mellom business og ISIIT var sentrale Strf2jm 4 ISIIT Business Strommen dekket problemstillinger i forhaldet meiiam business ag ISIIT. Styring av IT-kompetanse. Med bla CO BITsatsingen fra IT Governance som fundamem redegjarde ISACAs presidem Paul Williams for ulike prablemindikatorer, ITrelatcrte risikoomdder og prinsipper for vedlikehold og bevaring av kjernekompemnse. Paneldiskusjon: IT Governance. Her styrte Willams selv en diskusjonsrunde runclt storsatsingcn IT Governance og forholdet til Enterprise Governance. Deltagere i paneler var ISACAs internasjonale «tungvek [ere~). StyringsSJ1stem for informasjonssikkerhethvorfor bty seg? Michal Bacon poengterte paradigmeskiftet ifb med den nye geografisk spredte informasjonsteknologien og skisserte et konsept for a m0te de nyc utfordringene. Prism for ikke Ii etter/eve lovverl,et, E-handel impliserer gjerne konrraktsinngaelse vha museklildc Cordula Nicklaus sammenlignet sveitsisk og EU-Iovverk pa omddene kontrakter, internett- og elektronisk post, forbrukervern, internasjonal privatjuss, konkurranse og andsverk, heruncler konsekvenser ved lovbrudd. KOlltJ"o/lnuilenes verdi for seniorledelsen - hva COBIT gil": Peter Bitterli demonstrerte hvordan IT kan styres av generelt akseptert beste praksis, hvordan foretakets IT-satsing kan St0ne forretningsmaiene, at dets ressufset benyttes ansvarlig og at risiko blir forsvarlig styrt. Hva vi "'rte av Y2K Hugh Penri-Williams redegjarde for amfanger av Y2K-arbeider i Ncate! og hvilke positive erfaringer som korn ut av prosjektet. Konh'ollinji-ash1tktur i det nye artusenet. Robert Johnson fokuserce pa den raske endringen i teknologi og at dette strategisk serr hat endret risiko fra teknologi til forretningsprosess. Johnson forcsio videre grunnelementene i en moderne kontrollinfrastruktur. Workshop I: Audit, control and security of UNIX Per Skov delte sin lange erfaring med bruk av Unix og med revidering av slike maskinplattformer. Workshop 2: Audit, control and security of Windows 2000 Steve Bailey rok for seg nyhetene i produktet som Microsoft har lovet skal v~re et revolusjonrerende nytt operativsystem, med fokus pa nyhetene pa sild{erhets- og revisjonssiden. Workshop 3: The data centre John Mitchell ag Derek Oliver tok for seg den teknologiske utvildingen som har snudd opp ned pa mange etablerte j(sannheten> nar det gjelder datasenteret. Kablingen av COBIT ag BS 7799 ble fremhevet til a vrere en optimal tilnrerming pa denne komplekse virkeligheten. En egen runde pfllisensieringsproblematildc gay mange tilh0rere en real tankevekker. Workshop 4: Network attacks & countermeasures Alan Gherardi og Sean Wheeler tok for seg nettverksproblematikken ved a a) diskutere de mest vanlige sarbarhetene, b) vise konselcvenser av sarbarheter dersom de utnyttes aven inntrenger, same c) foresla mottiltak for a sikre systemene.

9 Tema; IT-Reyision 0 Non Stop Sikkerhet - holdningsskapende arbeid som gir mersmak! Hilde Grunt er Sikkerhetsradgiver IT ved NorskTipping AS pa Hamar. Hun er h0gskolekandidat EDB fra 0stfold distriktsh0gskole (na H0gskolen i 0stfold) og CISA (Certified Information Systems Auditor) og har tidligere arbeidet, som it-sikkerhetsradgiver i KPMG i og sam f0ystekonsulent i! Trygderevisjonen EDB med fokus pa IT-revisjon. i Siden rnai 1999 har alle pi Norsk Tipping spist Non Stop sent og tidlig. Vi hat delt lit Non Stop i poser, vi har hart Non Stop utplassert pa srrategiske steder pa huser og vi har spist Non Stop i rn0tef. Hvordan det har gatt rned gjennomsnittsvekra p:'i huser vet jeg ikke. men intensjonene bak denne frarsingen i sjokolade er de allef beste: Vi har 0nsker a sette holdninger til sikkerher pa dagsordenen. Non Stop Sikkerhet er navner pa van holdningsskapende arbeid i tilknytning til slkkerher. Maler er ;1 bygge opp en bevissthcr i organisasjonen om hvorfor en scabil og god sikkerher er vikrig for Norsk Tipping, og hvordan den enkelre er en vikrig brildce i forhold til den rotale sikkerheten gjennom sitt ansvar og oppgaver i det daglige arbeidet. Bakgrunnen for Non Stop Sikkerhet Norsk Tipping har valgt a bli sertifisert etter World Lottery Association's (\X1LA) Security Control Standards. WLA er en organisasjon med 148 stadige spillselskaper fordelt pa 81 land som medlemmer. Sikkerhetsstandardene tar urgangspunkt i at sikkerhet er et bredt og sammensatt omrade, og de stiller krav til hvordan vi skal sikre virksomhetens verdier pa en tiifredsstillende mate gjennom blant anner organisatoriske og personellmessige forhold, risikostyring, fysisk sikring og informasjons- og IT-sikkerher. WLAs sikkerhersstandarder - som i stor grad er dekker de samme omradene som BS7799 som er en britisk standard innenfor informasjons- og IT-sikkerhet slar Idart 1.st at sikkerhet er mer enn Hisesysremer, brannmurer, tilgangskomroll og sikkerhetskopiering. Sikkerhet er sv<crt sammensatt, og skal totalsild<erheten v<cre pa plass rna aile brikkene va:re med, og aile avdelinger rna bidra ble Norsk Tipping som det f0fste spillselskap i verden sikkerhetssertifisert erter \xrlas sikkerhetssrandarder. Sertifiseringsperioden er pa 3 ar, og i mal 2000 sto vi Foran en revisjon. Vi hadde behoy for a sette i verk tiitak for at vi skulle kunne bli resertifisert. Samtidig var der vikrig for oss at vi ikke bare satte fokus pa enkelttiltak fer sertifiseringen, men ogsa pa hva sikkerhet er og skal v<cre for Norsk Tipping AS. En sikkerhetssertifisering er ikke er mal i seg selv, men et virkemiddel for a oppna 0nsker sikkerhet. Sikkerhct er ikke noe vi kan oppna gjennom a ta er skippertak hvert tredje ar, det er noe vi rna jobbe med hele tiden som en integrert del av virksomheten, bade i linjen og i prosjekrer. Valg av strategi «Sikkerher er 80 % holdninger og 20 % tekniskc innrerninger". Dette er et kjem Non Stop Sikkerhet Non Stop Sikkerhet -/ Norsk TI'pping- sikkerhetscvd. postulat blant folk som jobber med sild<erhet. Dec kan forsras silk at det ikke hjelper med all verdens cekniske innrerninger hvis de kan boikottes av den som ikke gidder bruke og vedlikeholde ceknologien og rurinene. Sikkerhet er avhengig av de ansattes holdninger, og deres akscpt av hva som cr 011sket sikkerhetsniva. I tillegg er det selvf01- gelig n0dvendig mcd kunnskap om hva det faktisk inneba:rer av praktiske arbeidsoppgaver og forventinger til adferd. Denne fo1' stiielsen av hva gir god sildcerher var utslagsgivende for ar vi valgte a fokusere sterkt pa det holdningsskapende arbcidct, i tillegg til at vi sane i verk n0dvendige tekniske tiltak. Sikkerhet er ikke viktig i seg sj0l Det er for lett a si at sikkerhet er viktig uren at dene urdypes mermer med a si hvor viktig, og po. hvilken matc. Et viktig forankringspunkt for det holdningsskapende arbeidet hal' v<crt Norsk Tippings forretningside og srrategiplaner. Vi hal' nedfestct at var virksomhet skal kjennetegnes av h0y sikkerhet, og vii ville bruke Non Stop Sikkcrhet rilnctropp.1 synliggj0re betydningen av sikkerhet for virksomheten.

10 o Tema: IT-Revisjon Hva skal til for a endre holdninger? ~De hiindfaste 20 %-ene av sikkerheren er det relative greit a h:indtere. Holdninger er vanskeligere a forholde seg til, og holdningsskapende arbeid rna angripes pa en annen matc. Dec som preger Yare holdninger er b1.a. f.tkra-kunnskap, edske verdier, forsraelse av hva som er viktig for bedriften, lederstil og bedriftskultur. Sam ansvarlige for sikkerhcten 0nsker vi ass dessuten ikke bare ansatte med passive, fiktige holdninger. Vi onsker ass ak (ive medarhcidere som utvikler bedriften viclere ogsa i relasjon til sikkerher. Dec er en stor mfordring a skape holdninger, og en stor del av det forberedende arbeidet gikk lit pa a idemifisere hvordan vi best kunne oppna det vi 0nsket has oss. Hva en stik prosess inneholder kan beskrives med f0lgende hovedtrinn: CD Oppmerksomhet ~ Forstaelse Du kan ikke ha holdninger ril noe du ilcice kjenner til] F0rste punkt er a silcre ar den enkelte er kjem med omradet og hvilke krav og forvenrninger det er til den enkelte ansatre. Verdi ---7 Eierskap ---7 Forpliktelse Nar den grunnleggende forsraelsen er pa plass gar veien videre gjennom det a synliggjene verdien for den enkelte. «What's in ir for me)). Da kan der V:Ere mulig a f0le er eierskap, og som en f01ge av der ville forplikre seg ril a etterleve krav og forventninger. Kommunikasjon ~ Utvikling Er nesre trinn dreier seg om a skape proaktive medarbeidere som formidler budskapet og er med a utvikle systemet og rutinene videre " Skape holdningerog aktive medarbeidere? Eierskap (J.,lihv<lt'l Forsto.else (1<'J.. tm.... t~) Non Step Sikkerhet / Norsk TiPPing-!il;k~rhetsal'd, Hvordan na aile? Van mal i f0rste omgang har v<ert a fa flese mulig til a forplikte seg til a eeterleve kravene og i rillegg fa noen sentrale akmrer som proakrive ressurspersoncr i dce videre sikkerhersarbeidet. For a na et slik mal er valg av biide innhold og form sv<en vikrig. Vi innsa tidlig at aktiv deltagelse og samspill en forursetning for a kunne na pa innsiden avenkelrmenneskene. Gjennom aktiv delrakelse og dialog kan vi fa en felles forsraelse av trusselbilder, og hva sikkerhet er for oss. Dec innebrerer ogsa en forstaelse av at trusselbildet endres over dd, og dermed ogsa behover for sikkerhets- og kontrolltiltak. Setr i lys av at sikkerhec er 80 % holdninger og forsraelsen av hva som kreves for a fa proakrive medarbeidere, sier der seg selv ar et felles opplegg for aile ikke passer. Det a skape oppmerksomhec og gi en forstaelse av hva sikkerhet er, kan gj0res relativt likt for aile. A synliggj0re verdien, skape eierskap og et 0nske om a etterleve kravene krever derimot ulike angrepsvinlder for ulike maigrupper. Her er det n0dvendig a ta urgangspunkr i dec enkelte mennesket og dets kunnskap og virkelighetsoppfatning i st0rst mulig grad. I forbindelse med Non Stop Sikkerhet brukte vi lang tid pa forberedelsene. Van viktigste verkt0y var en kommunikasjonsplan. Her ble ulike malgruppers informasjonsbehov dokumenten. og n0dvendige rilrak og aktivireter planlagt. Vikrige elemenrer i kommunikasjonsplanen var akrivireter i tillmytning til ledergruppen, mellomledere og andre n0kkelpersoner. Samarbeid med fagforeningene var ogsa viktig, da sikkerhetstilrak blanr anner dreier seg om vern avenkeltindividet mot uberettiget misranke ved sikkerhersbrudd, Behovene for informasjon varierer sterkt innenfor den rotale malgruppa. En del av planleggingen - og forankringsprosessen - gildc lit pa a finne ut hvilke behov og fokusomradet de ulike gruppene hadde, Hva er de opptan av generelt, og hvilke trusler er de opptan av? HvilIce forveminger har de til sikkerhersavdelingens arbeid? SIcaI du kommunisere sa er det er krav at det gjeres pa en mate som er relevant for monakeren, noe som igjen inneb<erer at man rna kjenne malgruppen. I forbindelse med yare forberedelser ble vi bare mer og mer klar over at planleggingen av Non Srop Sikkerhet iklce handlet om planlegging av hvordan fa folk til a forsta og f0lge sikkerhetsrutinene. Det handlet om a bli kjem med bedriften og planlegge kommunikasjon utfra dec! Holdningssleapende arbeid handler om a selge et budskap slik at mortakeren tror nok pii budskapet til a endre adferd. Det lean du oppna gjennom god kommunikasjon. Hvis du har gan pa kornmunikasjonskurs sa har du h0ft dec air sammen] Du rna gi bade dec visuelle, det auditive og kognitive mennesket noe a jobbe med. Du rna selge budskapet ditt, vise hva den enkelte kan fa ut av dec du snakker om. Hvis du har vrert pa kurs innen prosjekdedelse sa har du ogsa h0ft at du rna rydeliggj0re det du skal fram ril, tegne malet, «rhe big picrure)). Det er ikke annerledes innenfor holdningsskapende arbeid. Non Stop Sikkerhet - gjennomfllring i tre faser Etter en l1<ermere vurdering av de ansane og tiden vi hadde til radigher, bestemte vi oss for a dele opplegger i tre: ledere, «spesiaifunksjonefj) og ((den store hop). ((SpesialfunksjonefJ) er samlebetegnelsen vi ga ulike n0kkelfunksjoner innen IT-drift, utvikling. 0konomi og markedsfering. Rammene for Non Srop Sikkerhets ansattsamlinger var identisk. Det ble brukt fire timer totalt. hvorav en halvtime ble bruin til felles imroduksjon og tilsvarende tid til felles oppsummering og avslutning. Resren av riden ble brukr til gruppearbeid. Bakgrunnen for denne oppdelingen av tiden var ar deltakerne ikke bare skulle h0re, men ogsa gjere. Incroduksjonen satre fokus pa hva sikkerhet er, og hva det beryr for virksomheren. Dette for a skape et felles grunnlag. Dec videre arbeidet var utformet ulikc for de ro hovedgruppene, men begge hadde til formal a synliggj0fe verdien av sikkerher, og gjennom dec sk.;lpe et eierskap hos delraicerne. I: ledere Lederne var f0rst i ilden. Denne gruppen 0nsket vi a engasjere og involvere i diskusjoner rundt hva sikkerhet. trusler og risiko er. Dene ble bl.a. gjon gjennom gruppearbeid hvor de skulle hence fram det de mener er de mest kririske truslene for var virksomhet. og hva de mener kan gj0res forebyggende. Diskusjonene ble derener dran videre til a se n<ermere pa hva som er den enkeltes ansvar som leder i forhold til sikkerher. Resultatet av samlingene med lederne ble en samlet rappon om ledernes egen vurdering av Icritiske trusler. AIle ledere matte i tillegg delta pa samlingene med Hsine») ansane. Dette bade for a rydeliggj0re ansvar, og dessuten gi Iederne en anledning til a fa bedre innsikr innenfor silckerhet i tilknyming til eget ansvarsomdide. 2: «Spesialfunksjonen) Spesialfunksjonen arbeidet ogsa relarivt (fadisjoneir for denne rypen arbeid: Det bie gjennomf0ft gruppearbcid med fokus pa kridske trusler. I smiigrupper skulle kritiske i 0 INTERNREVI$OREN 3 00

11 Tema: IT-Revision 0 Risikoanalyse (he/sesjekk) Konsekvens t Forstoppelse 5IWnlDshet '... Sannsynlighet Non Stoll Sikker/1et NorskTiPPing- $ikkerhetsovd. Det store Sikkerhetsspillet Non SlOp SikkerlJ~t -/ Norsk Tipping- sikk rheuavd. trusler innenfor et begrensct omrade identifiseres og begrunnes. Hvillce omradcr som ble tart opp var besiuttcr av avdelingsleder og sikkerhetsavdelingen i fellesskap. Gruppene skulle ogsa knytte fisiko opp mot forretningsicieen, same vurdere fisiko og Status pa omnider og komme med forslag til tihak. En eksrraoppgave vat a gi innspill til hva som er 011sket av sikkerhetsavdelingen pi omddet. Valg av omnicier engasjertc og ga konkrcrc innspill til tihak hvorav noeo ble gjennomf0f( umiddelbart, mens andre ble tatt med i kommende handlingsplaner. 3:«Den store hop» Arbcidcr som ble gjon med de 0vrige ansatte bie gjennomfort pa en ganske annen mate. Her vat spill i fokus, som seg hot og bot. Det store sikkerhetsspillct er kanskje ikke det nyeste spiller til Norsk Tipping, men sa fryktelig gammeh: er det iicke. Det bie lansen som en del av Non Stop Sikkerhet og er et brertspill med oppgavcr knyner rilulike sider ved sikkerhet. Oct spillcs i grupper pa 4-6 personer og oppgavenc loses av dclrakcrne j fellesskap. Sammensetningen av spill-grupper krevde god plan legging slik at vi storst mulig grad skulle P.i gode diskusjoner. For det vat jo diskusjonene som vat viktigsr, ikke det a komme forst i mal. Men spill er spill, og vi oppdagcr at konkurransemennesker spiller for a vi nne uansen! Oppgavene dekkcr bade 1ihva er rutinene fod> og «hvorfor skal vi v<ere opptatt av». Enkelte oppgaver var vanskeligere enn andre, og noen skapte store diskusjoner. I oppsummeringen etrer spiller var spesidr vanskelige oppgaver cher oppgaver som forarsaket store diskusjoner oppe i plenum. Spiller var ikke plankekjoring, og kunne godt ha vocrt brukr for aile pa huset. For som en av lederne oppsummerte etrer en god diskusjon: ((Deere ene sporsmalet har vocrt verdt hele dagcn!» Oppnadde vi det vi ville? Etter a ha gjcnnomfort Non Stop Sikkerhet sitter vi igjen med sv<ert positive rilbakemeldinger fra deltakernc. I tillegg fikk vi gjennomf0l"t de tiltakene vi matte for sikkerhets-sertifiseringens del. Sa da kontrollen ble gjennomfort i mai vi kunne konstatere at vi er det forste sratlige spillselskap i verden som bade er sikkerherssertifisert og resertifisert. Det er vi stolte av! Spill-deltakernes evaluering viser det vi pa Norsk Tipping alltid har visst: Spill er goy! Responsen var veldig posieiv. Dee var veldig gledelig og oppmumrende, samtidig skyldes nok de sva:rt positive tilbakemeldingene til en viss grad at forventningene ilci{e var sa voldsomt store. Som en spill-del taker uttrykte det: njeg hadde gruet meg til fire rimer med sikkerhet, men dem~ har jo va:rr goy (». De som jobbet kon1<ret med trusselvurderinger innenfor avgrensede omdider val' ogsa SVOCrt fomoyd. De fik1< jobbe i grupper satt sam men litt pa tvers av dee de er vam til, og de fikk loy til a bruke rid til noe de f..'lkrisk er interesserr i, men som det ikke alltid blir anledning til a jobbe med p:l en sa omfanendc mate. Ekstra positive bur opplevelsen av at foresliitte tileak blir iverksat( umiddelbart. Tilbakemeldinger fra ledere viser at de ogsa vurderre arbeidsformen som spennende og givende, bade for egne samlinger og de 0vrige ansane. Vi fikk mange tilbakemeldinger om ar de hadde locrt en god del om virksomheten i egen avdeling. Mest oppmunrrende for oss er at samdige grupper vurderte det de hadde gjort som nyttig og imeressanr, og dessuten <:H1sket a arbeide videre med sikkerhet. Jo, vi kan konstatere at Non Stop Sikkerhet ga mersmak! Dec var uvenret goy, og aile var storr sen forn0yd, men har vi egendig oppnadd noe? Det kan v<ere vanskelig a vice om man 0PPnar noe som heist med sakalt holdningsskapende arbeid. Vi hadde ikke foretatt konkrete konrroller pi forhand som vi kunne ga rilbalee til etterpa for a male en endring. Men vi hal' sett tegn pi at det har hatt en effekt som varer fortsarr, n<ermere en ar ener gjennomf0ringen. Gule lapper med passord er borte og dec hal' V;Ert en 0kning av ettersp0rsel etter informasjon og aksjon fra sikkerhetsavdelingen. Dec beryr at vi har nadd dl de siste stasjonene - kommunikasjon og tl( vikling - i sirkelen som viser hvordan vi skaper holdninger og aktive medarbeidere. I tillegg har vi blitt godt kjenr med organisasjonen. Vi kjenner enkeltpersoner og avdelinger bedre na, og de kjenner oss. Til sammen gir dette ogsa er enesraende grunnlag a jobbe videre ut fra. Non Stop Sikkerhet non stop Vi oppnadde mye av det vi ville, og kan hvi Ie pa vare laurbocr. Men jeg tror ikke vi simi Iwile sa skrekl{elig lenge. Dec er bare a erkjenne at holdningsskapende arbeid er en konrinuerlig prosess. Dilemmaet er IlYor mye, og pa hvilken mate vi skal jobbe i organisasjonen. For mye og for lite skjemmer air, heter det, og dec gjelder holdningsskapende arbeid ogsa. Jeg tror det vikdgsre vi kan gjore i en periode na er a foige opp de omdidene vi satre pi! agendaen i forste runde, og desstl(en jobbe videre gjennom ledere/mellomledere. Ledemes kunnskap og holdninger er sv<ert viktig fordi hverdagen forvalres av linjen og prosjektene som pagar. Utfordringen for oss som jobber med sikkerher og kvalitet er Ii gi ledere der grunnlaget og de hjelpemidlene de rrenger for at de simile V;Ere med a ha fokus pa sikkerhet og kvalitet sam en integrert del av sin arbeid. Dec beryl' at holdningsskapende arbeid er ell kontinuerlig prosess som ma tilpasses virksomherens behov til cnhver tid. Da passer det jo godt med navner Non Stop Sikkerher! INTEP,NREvISORE!'-J 3 00 I I

12 o Tema; IT-Revisjon Anne Marie Dalen (38). Fagsjef it sikkerhetsansvarlig i Sparebanken Hedmark. Utdanning; Administrativ databehandling fra Distriktsh",gskolen pa Rena. Prosjektledelse fra 131 Gj",vik. Fagkurs innenfor administrasjon fra Bankakademiet. Nyttige kurs i m",teledelse og prosessledelse fra Kvinneuniversitetet i L"'ten. Beredskap og IT sikkerhet - hvordan kan vi organisere det? I VaT organisasjon hvor hele virksomheten er basert pa IT rna vi fa innarheidet IT sikkerher som en naturlig del i hele organisasjonen. For a fa til detre hat vi bascrt oss pi a lage cokel organisering med kjare og tydelige mal, og ved a bygge opp en klar rolle og ansvarsfordeling i organisasjonen innenfor IT sikkerheten. Hvordan kan man sa ill detre til? Vi har utarbeidet en egen modell for rammeverk IT sikkerhet has oss. Rammeverk IT sikkerher gir en beskrivelse av malsetninger og ansvars- og rollefordelingen i var organisasjon. Vi har valgt a dele vart beredskapsarbeid inn i fire faser; Ii> Forebyggende fase G Reaksjonsfase ED Reservedrifrs 1se Reetableringsfase Rammeverk IT sikkerhet er forebyggende fase for IT virksomhcten var. De 0vrige rre fuser er en del av Vat kontinuitersplan hvor det blir utarheidet en kriseplan for hver fase for var IT virksomher og teknisk IT. Hver kriseplan bescar av egne kriseteam og et sett med teamoppgaver. Teamoppgavene er lager rued ranke pa konsekvensene og er beskrevet slik at man rna vurdere situasjonen utfra den hendelsen som er oppsratt. Videre rar jeg for meg forebyggende fase som besrar av vart rammeverk IT sikkerhet. Rammeverk IT sikkerhet Rammeverk IT sildcerher bygger pa coso modellen. Der er delt opp i fire nivaer rued IT sikkerhersmal pa toppen. Neste niva gir en beskrivelse av var sikkerhetsorganisasjon hvor roller, ansvar og risikovurdering beskrives. Defettcr beskrives rammcne for IT sikkerhet. Pa nederste niva f0lger de enkelte rudner, handb0ker og oppl:eringsopplegg som etableres. IT sikkerhetsmal IT sikkerhetsmal er delt opp i seks kategorier. Innenfor hver kategori er maiene beskrever kort og konsist. Vi har definert IT sikkerhetsmalene yare innenfor kategoriene organisasjon og ledelse; rysisk sikkerhet; informasjons- og systemsikkerhet; systemurvikling, drift og vedlikehold; kominuitet og ansvar. For a finne fram til yare malformuleringer under hver kategori benyttet vi Cobit som verkt0y. Det ga en oversikt over de omriider som b0r ivarecas innenfor IT sikkerhetsomradet. IT Sikkerhetsorganisasjonen IT sikkerhetsorganisas;on definerer de ulike ansvarsomddene og rouene som er knyttet til IT sikkerhet i Sparebanken Hedmark. Det uttrykkes at bankens ledelse har ansvaret for bankens rotale sikkerhet. IT sikkerhetsarbeidet i Sparebanken Hedmark baserer seg pi ulike roller innen forvaltningen av bankens IT-systemer. Til mange av disse rollene vii der naturlig ligge en rekke andre oppgaver enn bare IT sikkerher, og rollene beskriver ansvarsforde Engen for IT-systemene i banken pa en rekke omnider. Hovedprinsippene kan kort oppsummeres med at aile IT-systemer, bade applibsjoner, produkter, tjenester og IT infrastrukrur simi ha en ansvarlig eier. Systemeieren har ansvaret for at sitt system er riktig sileret gjennom egnede beskyttelsesrilrak. Tiltak som settes i verk for a beskyne bankens IT-systemer skal alltid sta i forhold ril hvor kridske systemene er for virksomheten, hvilke trusler sysremene er utsatt for og hvor sannsynlig det er at noen av disse truslene vii realisere seg. Systemeier er derfor ansvarlig for a identifisere risikoen knyttet til det enkelte systemet og basert pa det, og sette i verk n0dvendige beskyttelsestilrak. Roller og ansvar IT sikkerhetsorganisasjonen beskriver en helt klar rolle og ansvarsfordeling i organisasjonen. Det beskriver hvem som har ansvaret og hva vedkommende skal og kan utf0re. IT sikleerhersorganisasjonen er beskrevet fra ledelsens ansvar pa toppen og ned til den enkelte medarbeiders ansvar for hvordan man bruker systemene. Risikovurdering Det er beskrevet hvem sam har ansvaret for og hvordan man skal bidra til risikoreduserende tiirak. Ved identifisering av trusler! risikoer skal systemeier finne frem til rotalrisikoer i systemet. Man skal ha et bevisst forhold til at tekniske avgrensninger kun blir en del av rotalrisikoer i et system. 12 fnternrevisoren 3 00

13 lema: II-RevisjonO Orgarisasjoll 09 ledelw Fysisk llikkllrhet.lnformllsjalli og symomsiklwrhm ~ Systomutvikllo!l drift, vedillmhoid Kontinuilut An!MIr Rammeverk IT Sikkerhet Rammene er delt inn i forebyggende IT sikkerhet. operativ IT sikkerhet. handtering av IT sikkerhetshendelser og beredskap. IT sikkerhetsrutiner Her beskrives de enkelte rutiner som er n0dvendige for a tilfredsstille hav til rutiner innenfor omdidet. Pa dette niva utarbeides agsa applaeringsapplegg ag handb0ker tilrettelegges. Krnv iii rullner RISIKO VURDEAING IT SIKKERHETSORGANISASJON OVERVAK1NG o Hilndbolwf.Oppkering Lok:Jln rul(nllt KONTROLL MILJO Holdningsskapende arbeid Haldningsskapende arbeid skal rillegges veln pa aile niva i organisasjonen. Gode haldninger slcal f01ge sam en f0d trad gjennorn hele IT sikkerhetsarbeidet. I bank bygger hele forretningsdriften pa IT. La oss ta utgangspunkt i at 80-90% av sikkerhet innenfor bank i dag utgj0r IT sikkerhet. Innenfor dette igjen er 80% haldninger ag 20% teknikk. Veldig mye dreier seg saiedes om andre ring enn direkte de tekniske «(dupedittef>}. Hvis de tekniske komponentene skal gi beskyttelse rna vi rned IT sikkerhet ta dette pa alvor og fa hele organisasjonen til a forholde seg til det. Der hjelper ikke a ha gade autentiseringsl0sninger hvis brukeren fofteller passordet til hvem som helst! Det rna fokuseres pa holdningsskapende arbeid pa tvers i hele organisasjonen. Dette vii bidra til gode holdninger. verdier og god kulwr i organisasjonen rundt sikkerhet. Ved en slik gjennomgang identifiserte man filvedlegg til e-post som en (russel rued hensyn til virus. Systemeier vurderte hvilke typer filvedlegg det var behav far ass a morea. Han fant lit at behovet for mange av filvedleggene var tilnrermct null og satre i gang tiltak for a hindre at ikke 011skelige filvedlegg skulle komme inn ivan nettverk. Systemeier srengte for muligheten til a metra en rekke filvedlegg. Det risikoredusercnde rilraket hindret Sparebanken Hedmark i fa inn I love you viruscr. Informasjon og kommunikasjon Dec er viktig a fa til et sarnspill rnellorn nivaene i organisasjonen. Oct er lagt vekt pa a ra et sarnarbeide i prosessene rundt IT sikkerhcr. Rammer IT sikkerhet Her beskrives gjeldende rammer for IT sikkerhet. Rammer IT sikkerhet gjelder far aile bankens IT-systerner med tilh0rende infrastruktur som behandler data. Ramrnene stiller minstekrav til bankens systemer. infrastruktur og rutiner rundt dette. Flere av bankens systemer vii pa ett eher Iere omrader stille h0yere hav til sikkerhetsl0sning enn det som er beshevet her. I disse tilfellene er systemeier ansvarlig for a utarbeide n0dvendige regler og sette i verk ti!tak basen pa en risikovurdering av systemet. Hvordan far man sa gode holdninger og innff21rt et rammeverk IT sikkerhet i organisasjonen? Vi 0nsker a gjennomf0re en holdningskampanje hvor aile rnedarbeiderne kan bli kjent med rarnmeverk IT sikkerhet pa en positiv mate. Vi 0nsker at yare medarbeidere skal ta IT sikkerhet «under huden)) slik at det biir en naturlig del av arbeidsoppgavene som utf0res. Ved a gjennomf0- re en holdningskampanje vii vi 0ke forsraelsen for van arbeid rundt IT sikkerhet samtidig som vi tar gjon kjent og innf0ft van nye rammeverk IT sikkerhet i organisasjonen INHRNREVISOREN

14 o Tema: IT-Revision Governance, Control and Audit for Information and Related Technology er na det fulle navnet pa det sam mange internrevisorer etter hvert kjenner som COBiT. NiRF har gitt medlemmene mange anledninger til a «smake pa» COBiT de par siste arene. Svein A. l"'ken hadde en halv dag om COBiT som verkt"'y for internrevisjonen pi fjorarets arskonferanse i Sandefjord, og i siste utgave av Internrevisoren fikk vi lese om engasjerte deltakere pa medlemsm"'tet i mars sam ansker mer informasjon om COBIT. BI.. kurset i Operasjonell revisjon og administrativ kvalitetssikring har dessuten de siste arene tau for seg COBIT som del av pensum der. Som nevnt foran er na COBIT 3rd Edition kommet. For a gi leserne et blikk inn i hva som har skjedd i denne siste store oppdateringen av {{vet".. ket» tok vi kontakt med Olav Nyr",nning i ISACA. Olav, som er leder for it-revisjonen i ibm, er form ann i ISACAs forskningskomite, og har statt svrert sen trait ifm utarbeidelsen av COBH i norsk sprakdrakt.vi ba han ogsa trekke noen trader tilbake i tiden og utfordret han ift hjelp til NIRFmedlemmer. (OBIT 3: Et imponerende verk er na fullfert Olav Nyronning intervjuet av Frank A/vern Begynnelsen e Olav, kan du f0rst si litt kort om hvorfor og hvordan dette arbeidet med COBIT startet opp? ISACA (Information Systems Audit and Control Association) hal' de siste 30 arene, pa verdensbasis, vxrt den ledende medlemsbaserte organisasjonen innen IT-kontroll, -sikkerhet og -revisjon, og har i nesten like lang tid, gjennom ISACF {Information Systems Audit and Control Foundation, ISACAs forskningsstiftelse) utarbeidet og urgitt Control Objectives for IT. Pii begynnelsen av 90-tallet ble det igangsarr et arbeide for a renovere deere produktet. Erkjennelsen og erfaringene var at dersom virksomheter skallyldces og overleve sa er malreeret styring og komroll med informasjon og informasjonsteknologi (IT) av kritisk betydning. Detre medforre et omfattende arbeid, i regi av ISACA. Dec ble gjennomfort en becydelig forskningsinnsacs og gitt praktiske bidrag fra ledende virksomheter innen induscrien, det offentlige, revisjonsselskaper, IT-selskaper ctc., for fremskaffe et rammeverk for styring, komroll og revisjon av IT-virksomheten. Produktet skulle ha en cydelig forretningsmessig orientering. Allerede etablerte internasjonalt anerkjenre standarder og praksiser ble Iagt til grunn, COSO-modellen kan kanskje trekkes frem spesielt. Fra og med 1996 har ISACF utgitt produktet, som fild, navnet COBIT (Control Objectives for Information and Related Technology). 1.,2. og 3. utgave har kommet pa lopende bttnd, og i stadig mer utvidede og mamyttige versjoner. Na foreligger den 3. utgaven (COBIT 3rd Edition), og denne bestar av folgende produkter: Executive Summary, Framework, Control Objectives, Audit Guidelines, Implememation Toolset og Management Guidelines. Med dette er «(produkt 1milien COBIT" (se figuren nedenfor) slik den var tenkt fra starten av full fort, selv om vi helt sikkert far oppdateringer fremover ogsa. ISACA etablerre i 1998 IT Governance Institute, for a ha et organ som i storre grad skal hjelpe bedriftsledere til a ivareta deres ansvar med a styre IT-virksomheten pa en effektiv og lonnsom mate. Det er dette instituttet og forskningsstiftelsen som fra og med 3rd Edition sdir for utgivelsen av COBIT. COBIT og Norge co Vi hal' merket oss at Norway er tatt med spesielt under «takk til...»)-opplistingen Foran i COBIT. Hvordan har dette seg? De to bedriftene du her sikter til, Fellesdata og Novit, har vxrt med og gj0re utviklingen av COBIT mulig, ved a st0tte prosjektet 0konomisk - og de[te blir lagt rnerke Hvorfor valgte det norske chapteret a ga 10s pa et kjempestort oversettelsesarbeid? Etter a ha mtt noen smakebiter pa CO BIT, gjennom diverse konferanser, moter og litteratur, var det mange som sa at her kom det noe matnyttig, ikke bare for kontroll og revisjon, men ogsa hjelpemiddel for ledelsen til a fa infonnasjonsteknologien under kontroll. En innsa at for a fa noe fart pa bruken av dette i Norge sa burde det oversettes til norsk. 14INTERHfI.EVISOP,EN 3 00

IKT-revisjon som del av internrevisjonen

IKT-revisjon som del av internrevisjonen IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi

Detaljer

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Felles medlemsmøte NFKR og NIRF, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Generalsekretær Ellen Brataas, CIA, CISA Formål og visjon Formål

Detaljer

Dokumentasjon av IT-systemer

Dokumentasjon av IT-systemer Anbefaling til God IT-skikk (nr. 1) Dokumentasjon av IT-systemer 1. juni 1995 Norway Chapter Denne anbefaling er utgitt av Information Systems Audit and Control Association Norway Chapter i samarbeid med

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

Foreningens navn er NORGES INTERNE REVISORERS FORENING, medlem av The Institute of Internal Auditors Inc. Navnet kan forkortes til NIRF.

Foreningens navn er NORGES INTERNE REVISORERS FORENING, medlem av The Institute of Internal Auditors Inc. Navnet kan forkortes til NIRF. Vedtekter i NIRF VEDTEKTER NORGES INTERNE REVISORERS FORENING (NIRF) (Sist endret på ordinær generalforsamling 19. juni 2012) 1 Foreningens navn og sete Foreningens navn er NORGES INTERNE REVISORERS FORENING,

Detaljer

Erfaring fra opplæringsprogrammer

Erfaring fra opplæringsprogrammer 05.11.2014 Erfaring fra opplæringsprogrammer Anne Marie Dalen Øverhaug Sikkerhetsleder NSB Fellestjenester IT Bakgrunn Tre større opplæringsprogrammer 2002 Sparebanken Hedmark Non Stop Sikkerhet for 700

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Fung. økonomidirektør Kirsti R. Aarøen Universitetet i Bergen 14.450 studenter

Detaljer

NORGES INTERNE REVISORERS FORENING HVEM ER VI? HVORFOR ER VI TIL? HVA KAN VI TILBY?

NORGES INTERNE REVISORERS FORENING HVEM ER VI? HVORFOR ER VI TIL? HVA KAN VI TILBY? NORGES INTERNE REVISORERS FORENING HVEM ER VI? HVORFOR ER VI TIL? HVA KAN VI TILBY? www.nirf.org Norges Interne Revisorers Forening NORGES INTERNE REVISORERS FORENING HVEM ER VI? HVORFOR ER VI TIL? HVA

Detaljer

VEDTEKTER Sist oppdatert 9. juni 2015

VEDTEKTER Sist oppdatert 9. juni 2015 VEDTEKTER Sist oppdatert 9. juni 2015 VEDTEKTER NORGES INTERNE REVISORERS FORENING (NIRF) (Sist endret på ordinær generalforsamling 9. juni 2015) 1 Foreningens navn og sete Foreningens navn er NORGES INTERNE

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Styring og intern kontroll.

Styring og intern kontroll. Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg

Detaljer

Rune Ask. og er i dag en av de ledende innen organisatorisk sikkerhet.

Rune Ask. og er i dag en av de ledende innen organisatorisk sikkerhet. Rune Ask Tittel: Seniorrådgiver - Informasjonssikkerhet Utdanningsnivå: Ingeniør Født: 1957 OPPSUMMERING AV KOMPETANSE- OG FAGOMRÅDER Rune har 35 års erfaring innen informasjonssikkerhet og IT. Han har

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Et skolebygg å være stolt av!

Et skolebygg å være stolt av! Et skolebygg å være stolt av! 11/30/2009 2 Nøkkeltall etablert 1. januar 2002 eier og drifter alle skolebygningene i Oslo Drøyt 1,3 millioner kvm, 78.000 elever og ansatte 174 skoler ( 159 eide, 15 leide

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Vedlegg 1 til retningslinje 088 - Norsk olje og gass anbefalte retningslinjer for felles modell for arbeidstillatelser.

Vedlegg 1 til retningslinje 088 - Norsk olje og gass anbefalte retningslinjer for felles modell for arbeidstillatelser. Vedlegg 1 til retningslinje 088 - Norsk olje og gass anbefalte retningslinjer for felles modell for arbeidstillatelser Original versjon Nr: 088 Etablert: 15.01.2013 Revisjon nr: 1 Rev. dato: 03.06.2015

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012 Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong

Detaljer

Møte med ledelsen i Jernbaneverket om status for sikkerhetsgodkjenningen TILSYNSRAPPORT. Rapport nr 06-09

Møte med ledelsen i Jernbaneverket om status for sikkerhetsgodkjenningen TILSYNSRAPPORT. Rapport nr 06-09 Møte med ledelsen i Jernbaneverket om status for sikkerhetsgodkjenningen TILSYNSRAPPORT Rapport nr 06-09 Møte med ledelsen i Jernbaneverket TILSYNSRAPPORT Rapport nr.: 06-09 Arkivkode: 09/131 SF2-64 Møtedato:

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014

FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014 FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014 Sissel H. Jore Sissel H. Jore -Hvem er jeg? Master og PhD Samfunnssikkerhet og risikostyring, UIS. Avhandlingens tittel:

Detaljer

Prosjekt: Utvikling av egenkontrollen i kommunene

Prosjekt: Utvikling av egenkontrollen i kommunene Prosjekt: Utvikling av egenkontrollen i kommunene Hovedprosjekt: Utvikling av egenkontrollen i kommunene, herunder økt bruk av egenkontroll i de statlige tilsynene. Målet for prosjektet: Få til et godt

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Innhold. Vestfold fylkeskommune skal... 3. Del 1 Kommunikasjonsstrategi...4. Kommunikasjonsstrategien skal...4

Innhold. Vestfold fylkeskommune skal... 3. Del 1 Kommunikasjonsstrategi...4. Kommunikasjonsstrategien skal...4 Innhold Innledning... 3 Vestfold fylkeskommune skal... 3 Del 1 Kommunikasjonsstrategi...4 Kommunikasjonsstrategien skal...4 Verdier og prinsipper... 4 Åpenhet... 4 Medvirkning... 4 Inkludering... 4 Aktiv...

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Endringsoppgave: Medarbeidersamtalen

Endringsoppgave: Medarbeidersamtalen Endringsoppgave: Medarbeidersamtalen Nasjonalt topplederprogram Berit Kalgraff Molde, høst 2015 1. Bakgrunn og organisatorisk forankring for oppgaven «En medarbeidersamtale (MAS) er en godt forberedt,

Detaljer

Informasjonssikkerhet og ansatte

Informasjonssikkerhet og ansatte Informasjonssikkerhet og ansatte 1 PhD stipendiat Eirik Albrechtsen Inst. for industriell økonomi og teknologiledelsen Norges teknisk naturvitenskaplige universitet (NTNU) Tema Hvordan opplever brukere

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

«UTVIKLENDE LEDELSE»

«UTVIKLENDE LEDELSE» «UTVIKLENDE LEDELSE» Et lederutviklingsprogram i regi av Din Utvikling as KORT BESKRIVELSE >>> Utviklende ledelse er et lederprogram for ledere på alle nivåer. VI regner med at du som leder har et ønske

Detaljer

Hvordan påvirker et varsel om tilsyn interne prioriteringer?

Hvordan påvirker et varsel om tilsyn interne prioriteringer? Hvordan påvirker et varsel om tilsyn interne prioriteringer? Tove Muravez, IT & Admin Manager 23. April 2013 1 DISPOSISJON Tilsynsvarsel trussel eller mulighet? Umiddelbare aksjoner Hvordan tar vi dette

Detaljer

BIBSYS kommunikasjonsstrategi 2010-2011

BIBSYS kommunikasjonsstrategi 2010-2011 BIBSYS kommunikasjonsstrategi 2010-2011 Innledning BIBSYS Kommunikasjonsstrategi gir de overordnede føringene for hvordan forvaltningsorganet skal utøve sin kommunikasjonsvirksomhet. Målgruppen for BIBSYS

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

EuroSOX og Ny forskrift for risikostyring og internkontroll

EuroSOX og Ny forskrift for risikostyring og internkontroll EuroSOX og Ny forskrift for risikostyring og internkontroll Hva betyr dette for din bedrift? Advokatfullmektig Kristin Haram 6. februar 2009 Agenda: foretaksstyring, risikostyring og internkontroll Euro-SOX

Detaljer

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid Audit & Advisory 18. september 2012 Agenda 1. Innledning 2. Formålet med revisjonsutvalg og utvalgets

Detaljer

www.pwc.no Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

www.pwc.no Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010 www.pwc.no Oppfølging av Internkontroll Innhold - oppfølging av internkontroll 1. Internkontroll hva er det? 2. Fremgangsmåte for oppfølging av internkontroll Teori Utvalgte regulatoriske krav Roller 3.

Detaljer

Kolsåstrollet Barnehage

Kolsåstrollet Barnehage 1 Kolsåstrollet Barnehage Plan for strategisk utvikling 2015-2019 Veien videre Vi strekker oss mot stjernene gjennom å gjøre hver dag verdifull 1 Kolsåstrollet barnehage Veien videre 2015-2019 Kolsåstrollet

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Hvordan utvikle og beholde medarbeidere? Olav Johansen

Hvordan utvikle og beholde medarbeidere? Olav Johansen Hvordan utvikle og beholde medarbeidere? Olav Johansen Menova 3. november 2015 Olav Johansen 2013 - dd Høyskolelektor, institutt for ledelse og organisasjon, Markedshøyskolen 2013 - dd Daglig Leder, Senter

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Styret Helse Sør-Øst RHF 18. desember 2014

Styret Helse Sør-Øst RHF 18. desember 2014 Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 18. desember 2014 SAK NR 094-2014 ANTIKORRUPSJONSPROGRAM I HELSE SØR-ØST Forslag til vedtak: 1. Styret vedtar vedlagte antikorrupsjonsprogram

Detaljer

www.pwc.no Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012

www.pwc.no Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012 www.pwc.no Revisjonsplan 2012 og oppsummering interim Agenda Revisjonens målsetning og innhold Overordnet forretningsanalyse - punkter til diskusjon Risikovurdering og revisjonsplan Kommunikasjonsplan

Detaljer

Styresak. Emma Manin Styresak 071/13 O ISO 14001 Status for miljøarbeidet

Styresak. Emma Manin Styresak 071/13 O ISO 14001 Status for miljøarbeidet Styresak Går til: Foretak: Styremedlemmer Helse Stavanger HF Dato: 28.08.2013 Saksbehandler: Saken gjelder: Arkivsak 0 Emma Manin Styresak 071/13 O ISO 14001 Status for miljøarbeidet Bakgrunn: De regionale

Detaljer

Øvrevoll Hosle IL Hovedstyret

Øvrevoll Hosle IL Hovedstyret Øvrevoll Hosle IL Hovedstyret Hovedstyremøte Søndag 14.06.15 kl. 19.00 23.00 Saksnummer Sak Ansvarlig 34 Godkjenning av protokoll og innkalling Skule 35 Regnskap pr april Sverre, Siw 36 Trenerkontrakter

Detaljer

Storulykkeforskriften

Storulykkeforskriften Storulykkeforskriften Utkast til mal for sikkerhetsrapport Vibeke Henden Nilssen, DSB Lars Drolshammer, Miljødirektoratet Generelt om sikkerhetsrapport Krav i storulykkeforskriften: 9 Sikkerhetsrapport

Detaljer

Møtereferat (Utdrag Ytre miljø)

Møtereferat (Utdrag Ytre miljø) Direktørens kontor Møtereferat (Utdrag Ytre miljø) Deltakere: Representanter fra adm. direktørs ledergruppe Miljørådgiver Birte Helland Aud Riise (FHTV) Linda M. Schouw (FHVO) Systemansvarlige fra de enkelte

Detaljer

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Integrering av IT i virksomhetens helhetlige risikostyring

Integrering av IT i virksomhetens helhetlige risikostyring Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs

Detaljer

Dagens. Faglærers bakgrunn IMT 1321 IT-LEDELSE. Faglærer : Tom Røise 11.Jan. 2010. IMT1321 IT-Ledelse 1

Dagens. Faglærers bakgrunn IMT 1321 IT-LEDELSE. Faglærer : Tom Røise 11.Jan. 2010. IMT1321 IT-Ledelse 1 Dagens Presentasjon av lærer Presentasjon av emnet Fremdriftsplan for emnet IT-systemenes rolle i virksomheter - modell over sentrale sammenhenger - 6 strategiske forretningsmål som bakgrunn for innføring

Detaljer

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi Standard Norges frokostseminar: «IT-sikkerhet og standardisering»

Detaljer

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda www.pwc.no Vanlige problemer og utfordringer i møtet med helhetlig risikostyring 5. desember 2011 Agenda 1. Hva er god risikostyring 2. Vanlige utfordringer 3. Trender 2 1 Erfaring med implementering av

Detaljer

Veiledning om ledelsens gjennomgåelse. Innhold. Utgitt første gang: 19.6.2012 Oppdatert: 15.01.2015

Veiledning om ledelsens gjennomgåelse. Innhold. Utgitt første gang: 19.6.2012 Oppdatert: 15.01.2015 Veiledning om ledelsens gjennomgåelse Utgitt første gang: 19.6.2012 Oppdatert: 15.01.2015 Innhold 1 Bakgrunn... 2 2 Hensikt... 2 3 Omfang... 2 4 Sentrale krav... 2 5 Generelt om ledelsens gjennomgåelse...

Detaljer

IT-sikkerhet ved outsourcing. 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef

IT-sikkerhet ved outsourcing. 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef IT-sikkerhet ved outsourcing 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef Risiko Før: Nå: Av forvaltningskapitalen er: 0,5% kontanter 99,5% representert som tall i datamaskinene 2 Sammenheng sikkerhet,

Detaljer

Erfaringer fra NIRF`s kvalitetskontroll

Erfaringer fra NIRF`s kvalitetskontroll Erfaringer fra NIRF`s kvalitetskontroll Jørgen Bock Kvalitetskomitemedlem NIRF Nestleder styret Statsautorisert revisor Krav til ekstern kvalitetskontroll Iht internrevisjonens standarder skal det gjennomføres

Detaljer

Never Waste a good crisis Compliance i en krisesituasjon

Never Waste a good crisis Compliance i en krisesituasjon www.pwc.com Never Waste a good crisis Compliance i en krisesituasjon Kjersti Aksnes Gjesdahl «Never waste a good crisis» En klisje med god grunn Anledning til å endre, gjennomføre og operasjonalisere tiltak

Detaljer

Asker kommune. 2. Navn på prosjektet: 3. Kort beskrivelse av prosjektet: 4. Kontaktperson: 5. E-post:

Asker kommune. 2. Navn på prosjektet: 3. Kort beskrivelse av prosjektet: 4. Kontaktperson: 5. E-post: Asker kommune 2. Navn på prosjektet: Blikk for muligheter! Innovasjonsstrategi 2015-2015 3. Kort beskrivelse av prosjektet: Kommunestyret i Asker vedtok 3. februar 2015 Asker kommunes Innovasjonsstrategi

Detaljer

NORGES SEILFORBUND PROTOKOLL FRA STYREMØTE 5/13 VEDTAKSAKER: Tirsdag 28. mai 2013 Kl. 12.00 Bærum Seilforening

NORGES SEILFORBUND PROTOKOLL FRA STYREMØTE 5/13 VEDTAKSAKER: Tirsdag 28. mai 2013 Kl. 12.00 Bærum Seilforening NORGES SEILFORBUND PROTOKOLL FRA STYREMØTE 5/13 Tirsdag 28. mai 2013 Kl. 12.00 Bærum Seilforening Til stede fra Styret: Ikke til stede: Administrasjonen: Tor Møinichen (TM), Vidar Utne (VU), Grethe Halvorsen

Detaljer

Månedsrapport september 2004

Månedsrapport september 2004 Månedsrapport september 2004 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

Svarer du på vegne av et lag / forening, som enkeltperson, institusjon eller er du ansatt i kommunen?

Svarer du på vegne av et lag / forening, som enkeltperson, institusjon eller er du ansatt i kommunen? 52 svar Vis alle svar Publiser analytics amsaetra@gmail.com Rediger dette skjemaet Sammendrag Svarer du på vegne av et lag / forening, som enkeltperson, institusjon eller er du ansatt i kommunen? 17,6

Detaljer

lsi!~mesteravlesere og kj(ijkkenhjelp Kjeere medarbeiderei normisjon Mars 2012

lsi!~mesteravlesere og kj(ijkkenhjelp Kjeere medarbeiderei normisjon Mars 2012 Kjeere medarbeiderei Mars 2012 normisjon region enfold Den andre helgen i februar var aile leir, forening og fellesskaps- ledere invitert til Lederhelg pa Sj0glimt. Leir og Acta- ledere var samlet hele

Detaljer

Oversikt over kurs, beskrivelser og priser Høst 2015. Bedriftsinterne kurs. kurs@qualisoft.no +47 518 70000. Kursnavn Forkunnskaper Dato/Sted

Oversikt over kurs, beskrivelser og priser Høst 2015. Bedriftsinterne kurs. kurs@qualisoft.no +47 518 70000. Kursnavn Forkunnskaper Dato/Sted Oversikt over kurs, beskrivelser og priser Høst 2015 Bedriftsinterne kurs Kursnavn Forkunnskaper Dato/Sted Basiskurs i QualiWare Introduksjon til (BPM) Business Process Management Professional Certificate

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

Teori om sikkerhetsteknologier

Teori om sikkerhetsteknologier Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................

Detaljer

Oslo kommune Kommunerevisjonen

Oslo kommune Kommunerevisjonen Oslo kommune Kommunerevisjonen Kontrollutvalget Dato: 17.09.2012 Deres ref: Vår ref (saksnr.): Saksbeh: Arkivkode 201200769-1 Kari Breisnes 126.2.2 Revisjonsref: Tlf.:916 79943 KOMMUNENS VARSLINGSORDNING

Detaljer

BIBSYS handlingsplan for informasjonsarbeidet i 2009

BIBSYS handlingsplan for informasjonsarbeidet i 2009 BIBSYS handlingsplan for informasjonsarbeidet i 2009 BIBSYS handlingsplan for informasjonsarbeidet i 2009 2 BIBSYS handlingsplan for informasjonsarbeidet i 2009 Innledning Et av satsningsområdene for BIBSYS

Detaljer

KVALITATIVE TILBAKEMELDINGER FRA INSPIRASJONSDAG FALSTAD 2013

KVALITATIVE TILBAKEMELDINGER FRA INSPIRASJONSDAG FALSTAD 2013 KVALITATIVE TILBAKEMELDINGER FRA INSPIRASJONSDAG FALSTAD 2013 I tre av spørsmålene på evalueringsskjemaet etterspurte vi om konkrete tilbakemeldinger på deltagernes: 1) forventninger til dagen, 2) refleksjoner

Detaljer

SAS-forum 2013. BI Strategi og BICC

SAS-forum 2013. BI Strategi og BICC SAS-forum 2013 BI Strategi og BICC Tormod Kojen BN Bank ASA Agenda Kort om BN Bank Hvilke systemer har vi Modenhetsanalyse BI-strategi BICC 2 BN Bank BN Bank er en landsdekkende bank Innskudd fra kunder:

Detaljer

Sesjon 2 Motiver dine medarbeidere gjennom internkontroll. Mona Stormo Andersen Kai Roger Jensen Hege Brinchmann

Sesjon 2 Motiver dine medarbeidere gjennom internkontroll. Mona Stormo Andersen Kai Roger Jensen Hege Brinchmann Sesjon 2 Motiver dine medarbeidere gjennom internkontroll Mona Stormo Andersen Kai Roger Jensen Hege Brinchmann Hvordan motivere gjennom internkontroll uvant å tenke, lettere å få til! 1. Hva er kontroll?

Detaljer

IT Service Management

IT Service Management IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

Tom Røise. IMT 2243 : Systemutvikling 1. Forelesning IMT2243 27. Januar 2009. Prosjektstyring. Deltemaer innen prosjektstyring

Tom Røise. IMT 2243 : Systemutvikling 1. Forelesning IMT2243 27. Januar 2009. Prosjektstyring. Deltemaer innen prosjektstyring Forelesning IMT2243 27. Januar 2009 Tema : Prosjektstyring i systemutviklingsprosjekter Prosjektplanlegging (inkl. mal for Forprosjektrapport) Øvingstimene : Planleggingverktøy - MS-Project ( A209 ) Pensum

Detaljer

Vardeveien Lederutvikling 2015 En god og verdifull investering i deg selv eller nøkkelmedarbeidere i din organisasjon. Mål:

Vardeveien Lederutvikling 2015 En god og verdifull investering i deg selv eller nøkkelmedarbeidere i din organisasjon. Mål: Vardeveien Lederutvikling 2015 er et program for ledere som tør og vil utvikle seg i samspill med andre ledere. Hvert kull består av maksimum 14 ledere med ulik bakgrunn, som i seg selv skaper unik dynamikk

Detaljer

Kursholder. Roar Eriksen Cand. Psychol. Lade ledelse og organisasjonsutvikling ladeledelse@gmail.com Tlf 99 22 44 13

Kursholder. Roar Eriksen Cand. Psychol. Lade ledelse og organisasjonsutvikling ladeledelse@gmail.com Tlf 99 22 44 13 Kursholder Roar Eriksen Cand. Psychol Lade ledelse og organisasjonsutvikling ladeledelse@gmail.com Tlf 99 22 44 13 Oversikt - Introduksjon, mål for dagen - En kognitiv forståelsesmodell - Meg selv i samtalen

Detaljer

Gode råd til sikkerhetsansvarlige

Gode råd til sikkerhetsansvarlige Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet

Detaljer

Utviklingsprosjekt: Fungerer avdeling Apotekdrift etter sin hensikt?

Utviklingsprosjekt: Fungerer avdeling Apotekdrift etter sin hensikt? Utviklingsprosjekt: Fungerer avdeling Apotekdrift etter sin hensikt? Nasjonalt topplederprogram Bente Hayes Oslo, 10.april 2015. 1 Bakgrunn og organisatorisk forankring for prosjektet Sykehusapotekene

Detaljer

Sjekkliste for leder. Samtalens innhold (momentliste)

Sjekkliste for leder. Samtalens innhold (momentliste) OPPLEGG FOR MEDARBEIDERSAMTALE Mål, status og utvikling 1. Innledning og formålet med samtalen 2. Rammer for medarbeidersamtalen innhold og forberedelse 3. Hvordan gjennomføre den gode samtalen? 4. Oppsummeringsskjema

Detaljer

ORD FRA PRESIDENTEN. Med end ring som det eneste sikre i fremtidsbildet. internasjonal utvikling - CFIA og nye standarder

ORD FRA PRESIDENTEN. Med end ring som det eneste sikre i fremtidsbildet. internasjonal utvikling - CFIA og nye standarder ORD FRA PRESIDENTEN Med end ring som det eneste sikre i fremtidsbildet J uletiden er kommet og vi nrefmer ass et nytt arsskifte. Oer er rid for a pleie de «mykere» verdier i liver og lade opp sammen med

Detaljer

REVISJONSUTVALGETS ÅRSRAPPORT FOR 2014

REVISJONSUTVALGETS ÅRSRAPPORT FOR 2014 REVISJONSUTVALGETS ÅRSRAPPORT FOR 2014 1. Innledning Revisjonsutvalget i Helse Nord RHF besto ved inngangen til 2014 av Inger Lise Strøm (leder), Kari Jørgensen, Inge Myrvoll og Kari Baadstrand Sandnes.

Detaljer

Møte med ledelsen i Oslo Sporvognsdrift AS

Møte med ledelsen i Oslo Sporvognsdrift AS Møte med ledelsen i Oslo Sporvognsdrift AS TILSYNSRAPPORT Rapport nr 9-07 Møte med ledelsen i Oslo Sporvognsdrift AS TILSYNSRAPPORT Rapport nr.: 9-07 Arkivkode: 06/570 SF2-64 Møtedato: 21.06.2007 Foretak:

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.

Detaljer

Revisjon av styring og kontroll

Revisjon av styring og kontroll Revisjon av styring og kontroll Møte nettverk virksomhetsstyring 12. desember 2014 Direktoratet for økonomistyring Side 1 Agenda 09:00 09:15 10:00 10:15 11:00 11.30 Velkommen og innledning v/ DFØ Revisjon

Detaljer

Koordinatorskolen. Risiko og risikoforståelse

Koordinatorskolen. Risiko og risikoforståelse Koordinatorskolen Risiko og risikoforståelse Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva

Detaljer

Strategi for sikkerhets- og kvalitetskultur i Rogaland fylkeskommune

Strategi for sikkerhets- og kvalitetskultur i Rogaland fylkeskommune Strategi for sikkerhets- og kvalitetskultur i Rogaland fylkeskommune Godkjent av fylkesrådmannen i Rogaland fylkeskommune 24. september 2012 Versjon 1.2 1 Innledning RFK ønsker å ha en kultur der systematisk

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.1

Detaljer

Å VINNE I SALG BESTE PRAKSIS GRUPPE FOR LEDERE MED SALGSANSVAR

Å VINNE I SALG BESTE PRAKSIS GRUPPE FOR LEDERE MED SALGSANSVAR Å VINNE I SALG BESTE PRAKSIS GRUPPE FOR LEDERE MED SALGSANSVAR Bygg et veikart for å løfte din salgsorganisasjon til et nytt nivå Finn ut hvordan du blir morgendagens vinner innen salg og salgsledelse

Detaljer

Lansering av ny versjon av KF Lokal tjenestekatalog

Lansering av ny versjon av KF Lokal tjenestekatalog Lansering av ny versjon av KF Lokal tjenestekatalog Kommuneforlaget lanserer nå en ny versjon(4.4.) av KF Lokal tjenestekatalog, heretter kalt lokal tjenestekatalog. Mange av endringene kommer som resultat

Detaljer

Revisjon av IKT-området i en mindre bank

Revisjon av IKT-området i en mindre bank Revisjon av IKT-området i en mindre bank Bankenes sikringsfond, Høstkonferansen 2010 Vidar A. Løken PwC Innholdet i presentasjonen 1. Hvilken risiko IT innebærer for bankenes interne kontroll 2. Bankens

Detaljer