Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk

Størrelse: px
Begynne med side:

Download "Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk"

Transkript

1 Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk

2 Innhold Innledning... IT Governance... Kjennetegn ved et godt rammeverk for IT Governance... Forretningsorientert... Prosessorientert... Kontrolltiltak... Vurdering av operasjonell risiko (PO9)... Sikring av systemsikkerhet (DS5)... Katastrofeberedskap (DS4)... Kontrolltiltak ved utkontraktering (DS1 og DS2)... Avvikshåndtering (DS8 og DS10)... Endringshåndtering (AI5 og AI6)......og Kontrollaktiviteter... Oppfølging av målbare parametere... Hvordan oppnå styring og kontroll med IT-bruken i virksomheten?... Ytelsesmålinger... Modenhetsmodell (Maturity modelling)... Veien videre... Referanser

3 Innledning IT Governance ISACA Norway Chapter gir i dette dokumentet en innføring i hva som kjennetegner administrative, ikke-tekniske aspekter så vel som tekniske, operative aspekter ved god IT-styring. Det vil bidra til å gi virksomheten en helhetlig tilnærming til området IT Governance (IT-styring og 1 kontroll). Målgruppen for dokumentet er først og fremst: Beslutningstagere med et Sørge for -ansvar De som beslutter investeringene, de som definerer krav til virksomheten og de forretningsenhetene som bruker IT-tjenestene. Aktører som har et Utføre -ansvar Interne eller eksterne interessenter som tilbyr IT-tjenester. Dette kan være IT-linjeledere, -prosjektledere, -prosessledere, utviklere eller driftspersonell med ansvar for daglig drift. De med et Påse -ansvar Interne og eksterne interessenter som har ansvar for kontroll og risikohåndtering. Dette kan være personell med oppgaver innen sikkerhet, kontroll med behandling av personopplysninger, personell med ansvar for risikohåndtering eller personell med ansvar for intern kontroll og revisjon. ISACA håper at de som leser dette dokumentet vil få en forståelse av de fordeler et godt rammeverk for IT Governance kan gi en virksomhet. Blant annet vil vi trekke frem: Bedre samhandling mellom IT- og forretningsvirksomhet gjennom økt forretningsfokus i IT-virksomheten og at ledelsen får en klarere forståelse for IT-virksomhetens bidrag til forretningsdriften. Klart definert eierskap og ansvarsfordeling basert på prosessorientering i IT-virksomheten. Det medfører blant annet mulighet til å oppnå større verdi av IT-investeringen og å synliggjøre muligheter i IT-virksomheten.. Bedre kommunikasjon både internt, mot tredjepartsleverandører og mot myndigheter gjennom et felles språk, noe som gir bedre forståelse mellom alle involverte parter. Denne type rammeverk bidrar til å møte myndighetenes krav til IT-kontroller gitt i lover, forskrifter og annet regelverk. Dette kan være krav gitt direkte som i Personopplysningsloven med forskrifter. Bokføringsloven og IKT-forskriften eller indirekte i taushetsbestemmelser, bestemmelser og habilitet og opphavsrett. Ansvaret for IT Governance er; som en del av Corporate Governance; lagt til virksomhetens ledelse og styre. IT Governance inkluderer lederskap, organisasjonsstruktur og prosesser som sikrer at virksomhetens bruk av IT understøtter virksomhetsstrategi og -målsetninger. Et godt rammeverk for IT Governance har fokus på følgende egenskaper ved virksomheten: Strategisk tilpasning ( Strategic Alignment ) som sikrer knytningen mellom forretningsstrategien og IT-strategien ved: å definere, vedlikeholde og validere verdien av IT-virksomheten og å innrette IT-virksomheten etter forretningsvirksomheten. Verdiøkende leveransekvalitet ( Value Delivery ) som sikrer kvaliteten på leveransen av de tjenester som forretningssiden i en virksomhet etterspør fra en IT-leverandør. Prosessene skal være optimale med hensyn på økonomisk gevinst i forhold til investering på tjenester og kostnadseffektivitet gjennom leveransesyklusen av IT ved: å sikre at IT-virksomheten leverer i henhold til IT-strategien og å optimalisere forholdet mellom investering/kostnader mot økt produktivitet/ gevinst. Dette bidrar til å synliggjøre verdien av IT. Ressursstyring ( Resource Management ) handler om at optimal investering i og skikkelig håndtering av kritiske IT-ressurser er nøkkelen for å kunne utføre de nødvendige IT-prosessene. Dette vil lede til god understøttelse av forretningsvirksomheten. Ressursene som kan utnyttes er: applikasjoner informasjon infrastruktur mennesker. Risikohåndtering ( Risk Management ) som krever risikobevissthet hos medarbeidere og gir: en klar forståelse av virksomhetens risikovillighet eller risikoappetitt forståelse av krav til etterlevelse åpenhet om viktige risikoer i virksomheten implementering av ansvaret for risikohåndtering i virksomheten Ytelsesmålinger ( Performance Measurement ) som følger og overvåker resultatmål. Balansert målstyring omsetter strategi til konkrete aktiviteter for å oppnå resultatmål som gir merverdi til bedriften. Balansert målstyring kan benyttes til strategiimplementering, prosjektgjennomføring, ressursbruk, prosessytelse og servicenivå. Figur 1: IT Governance: Visualisert som 5 egenskaper ved styring og kontroll av virksomhetens IT- leveranser og -bruk for å oppfylle forretningssidens krav En god organisering og styring av IT vil også komplettere og forbedre oppfyllelse av COSO (the Committee of Sponsoring Organisations of the Treadway Commission) sitt rammeverk (COSO ERM) med hensyn på krav til internkontroll i en virksomhets IT-prosesser. 1 Siden begrepet IT Governance etter hvert er innarbeidet i det norske språket har vi i resten av dokumentet brukt denne betegnelsen fremfor IT-styring og kontroll. 4 5

4 Kjennetegn ved et godt rammeverk for IT Governance Hvordan skal et rammeverk være for å oppnå disse fordelene og tilfredsstille interessentene? Et godt styringssystem skal være forretningsorientert og prosessorientert, basert på kontrolltiltak (prosedyrer og rutiner), samt på oppfølging av målbare parametre. IT Governance er ikke bare En modell for å styre IT avdelingen, men derimot En modell for å styre virksomhetens bruk av IT. Ved å bruke IT Governance skal man med andre ord kunne ivareta både det administrative og det operative, så vel som det ikke-tekniske og det tekniske. Figur 3: Styringssystemer for en virksomhet; COSO og CobiT virkefelt som rammeverk. Forretningsorientert For at IT-virksomheten skal kunne levere tjenester som understøtter forretningsstrategien, må det være et klart definert eierskap til og styring av kravene til forretningsvirksomheten (kunden), og en klar forståelse av hva som skal leveres av IT-funksjonalitet. Forretningssiden må utarbeide mål for sin bruk av IT og kreve en IT- virksomhet som understøtter forretningsstrategien. Dette vil hjelpe IT-virksomheten til å utarbeide egne målsetninger som understøtter forretningens mål. IT- virksomheten får dermed et grunnlag for å estimere behov for IT- ressurser og kapasitet, og leverer IT- tjenester som støtter opp under forretningens mål. IT-virksomheten kan på sin side tilføre virksomheten verdi ved å definere tjenester som understøtter virksomhetens prosesser og forenkler oppnåelse av resultater. Vanligvis fremstilles de forretningsmessige kravene til IT på en generisk måte som kan uttrykkes: Prosessorientert Et prosessorientert rammeverk introduserer en prosessmodell. Prosessmodellen vil være en referanse og gi et felles språk for alle i virksomheten som vurderer og håndterer IT-aktiviteter. I følge ISO kan ITprosessene deles i fire hovedelementer: Plan, Do, Check, Act (PDCA). En prosessmodell legger til rette for å definere eierskap til og ansvar for alle prosesser. Dette bidrar til at alle deler av IT-virksomheten sikres en korrekt håndtering. CobiT og ITIL er eksempler på prosessorientering som deler prosessene i tråd med ISO sin firedelte PDCA modell. ITIL har som en standard fokus på prosesser som beskriver IT leveranser, mens CobiT som et rammeverk 2 forsøker å beskrive administrative og organisatoriske prosesser i tillegg til det prosessorienterte. ITIL deler prosesser inn i fem hovedområder: Tjenestestrategi (Service Strategy) Tjenestedesign (Service Design) Tjenestetransisjon (Service Transition) Tjenestedrift (Service Operations) Kontinuerlig tjenesteforbedring (Continuous Service Improvement) CobiT deler prosessene i fire hovedområder: Planlegging og Organisering (PO), Anskaffelse og Implementering (AI), Driftsleveranser og Støtte (DS) og Monitorering og Evaluering (ME). Figur 2: Forretningsmessige krav til IT Rene forretningsorienterte rammeverk som for eks. COSO ERM vil ofte medføre en silo-tenking hvor alle prosesser gjentas og beskrives for hvert enkelt forretningsområde som en virksomhet har definert i sin organisasjon. Som oftest faller IT-virksomheten utenfor siden dette understøtter alle forretningsenheter med samme IT støtte og tjenester uansett enhet. 2 IT Governance Institute har laget et dokument som sammenstiller CobiT 4.0 med ITIL 3.0. For de som er interessert i å se hvordan de to rammeverkene utfyller hverandre, anbefales denne litteraturen. (CobiT Mapping: Mapping of ITIL v3 with CobiT 4.1). Dokumentet viser at: CobiT har en ledelsesorientert tilnærming til hvilke prosesser som må være tilstede for å bruke IT optimalt uten å detaljere hvordan rutinene/prosedyrene skal utføres, men legger vekt på hva som skal oppnås i den enkelte underprosess/aktivitet. ITIL utfyller dette ved å gi et sett beskrivelser av Best Practices av hvordan prosessene skal utføres i sitt bibliotek. Dokumentet er fortsatt aktuelt selv om både CobiT og ITIL nå finnes i nyere versjoner. 6 7

5 Litt enkelt kan man si at CobiT sine prosessområder PO og ME er forretningsorientert, mens AI og DS er prosessorientert og sammenfaller med ITIL sine mer detaljerte prosessaktiviteter. Hvert hovedområde er delt i prosesser med beskrevne mål for hver prosess eller underprosesser. Til sammen har CobiT definerer følgende 34 prosesser fordelt på de fire hovedområdene: Planlegging og Organisering (POx): PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 AI1 AI2 Definere en IT-strategi Definere en informasjonsarkitektur Definere en informasjonsarkitektur Utforme IT-organisasjonen og IT-prosessene Forvalte IT-investeringer Formidle ledelsens mål og retning Personalledelse Kvalitetsstyring Risikostyring Prosjektstyring Anskaffelse og Implementering (AIx) AI3 AI4 AI5 AI6 AI7 DS1 DS2 Identifisere løsninger Anskaffelse og vedlikehold av applikasjoner Anskaffelse og vedlikehold av teknologisk infrastruktur Utvikle og vedlikeholde prosedyrer Anskaffelse av IT-ressurser Endringsledelse og -håndtering Driftleveranse og Støtte (DSx): DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Installasjon og godkjenning av systemer Definere og styre servicenivået Styre tjenester fra eksterne IT-leverandører Styring av ytelse og kapasitet Sikre kontinuerlig service-/kriseplanlegging Sikre systemsikkerhet Identifisere og fordele kostnader Brukeropplæring Mottak for behandling av hendelser Mottak for behandling av hendelser Håndtering av problemer og hendelser Håndtering av data Fysiske omgivelser Styring av driften Kontrolltiltak Kontrolltiltak er definert som tiltak for å sikre at forretningsmålene blir nådd og at uønskede hendelser unngås. Dette gjøres ved å utarbeide retningslinjer, prosedyrer, rutiner, tekniske og fysiske tiltak samt organisering av virksomheten. Kontrolltiltak kan deles i to hovedgrupper: Generelle kontrolltiltak som er innebygget i prosedyrer og rutiner og som for eksempel kan omfatte: Systemutvikling Endringshåndtering Sikkerhet Drift Applikasjonsmessige kontroller dvs. kontroller som er implementert i forretningsapplikasjonene. Dette kan omfatte: Fullstendighet (Completeness) Nøyaktighet (Accuracy) Gyldighet (Validity) Autorisert (Authorised) Arbeidsdeling (Segration of duties) Nedenfor er det gitt eksempler på kontrolltiltak knyttet til prosesser i IT-virksomheten: Vurdering av operasjonell risiko (PO9) For dagens virksomheter er operasjonell risiko i stor grad knyttet til IT-systemene. Dette henger sammen med at de fleste virksomhetsprosesser er helt avhengig av IT. Det er derfor viktig å ha en systematisk tilnærming til den risiko IT utgjør for virksomheten. Det finnes både norske og utenlandske veiledninger til hvordan risikoanalyser/ risikovurderinger av IT-virksomheten kan gjennomføres. Sikring av systemsikkerhet (DS5) Sikkerhet skal understøtte virksomhetens strategi og være et virkemiddel for risikostyring og kontroll med risiko i virksomheten. Det er viktig å være klar over at lover og forskrifter stiller konkrete krav til sikkerhet, jfr. for eksempel IKT-forskriften og Personopplysningsloven 13 samt Personopplysningsforskriften. Eksempler på krav er Personopplysningsforskriftens krav til forholdsmessig sikring, jfr. forskriften 2-1 og til risikovurdering, jfr Ansvaret for sikkerhet i privat sektor er regulert i aksjeloven og i offentlig sektor gjennom sikkerhetsloven. NS ISO serien er anerkjente standarder for informasjonssikkerhet. Disse kan benyttes som utgangspunkt for implementering av et godt sikkerhetsregime i virksomheten. Krav til sikkerhet vil i praksis innebære krav til både tekniske løsninger, prosesser og rutiner, avklarte ansvarsforhold og gode holdninger hos ansatte og ledelse. Driftleveranse og Støtte (DSx): ME1 ME1 ME1 ME1 Overvåke og vurdere IT-ytelse Vurdere internkontroll Sikre etterlevelse av eksterne krav Styring og kontroll Katastrofeberedskap (DS4) Virksomhetens risikovurdering er et utgangspunkt for å vurdere nødvendige krav til katastrofeberedskap på IT-siden. Viktige elementer i vurderingen er: Hva koster det virksomheten å være uten IT-systemene, hvilke konsekvenser har det for kunder, offentligheten og/eller publikum og hvilke krav stilles gjennom lover og forskrifter? IT-katastrofeberedskap innebærer behov for planverk og tekniske løsninger samt regelmessige øvelser. 8 9

6 Kontrolltiltak Kontrolltiltak ved utkontraktering (DS1 og DS2) Selv om oppgaver utkontrakteres, er det virksomheten selv som står ansvarlig for at oppgavene utføres forsvarlig. Det er nødvendig å ha gode avtaler med leverandør som regulerer leveransen og klargjøre nødvendige kontrolltiltak i leveransen. Tilsvarende må leveransen og kontrolltiltakene følges opp gjennom jevnlige møter med leverandør. Avtale med leverandør skal inneholde virksomhetens rett til revisjon hos leverandøren. Virksomheten må opprettholde tilstrekkelig fagkompetanse i egen organisasjon til å følge opp og sikre at leveransen er i henhold til avtalen. Se for øvrig IKT-forskriften 12 Utkontraktering og Personopplysningsloven med forskrifter som stiller krav til databehandleravtale. Avvikshåndtering (DS8 og DS10) Prosedyrer for avvikshåndtering skal sikre rask gjenopprettelse av IT-systemene. Det er viktig at avvikshåndteringen innrettes for å hindre gjentakelser. Endringshåndtering (AI5 og AI6) Prosedyrer for endringshåndtering skal sikre forsvarlig, formell og dokumentert vurdering, behandling og test av endringen før produksjonssetting.... og Kontrollaktiviteter Det er vanlig å fordele kontrollhandlingene som utføres i Egenkontrollaktiviteter gjøres av den enkelte ansatte for å sikre at prosessaktiviteten er gjennomført i henhold til intensjoner og målsetning. Nøkkelkontrollaktiviteter som sikrer at prosesskjeden ikke går videre til neste fase uten 3 at en viss kvalitet er bakt inn. Man kan således ha mange egenkontroller for å sikre en arbeidsprosess, men et fåtall nøkkelkontroller. Det er viktig i forhold til COSOs krav om innføring og rapportering av Intern Kontroll at man her fokuserer på nøkkelkontrollene, deres kvalitet og det kontrollspor man etablerer som sikrer etterprøving, statistikk, måleparametere og rapporteringsmuligheter. Alle virksomhetens prosesser må inneholde nødvendige sjekkpunkter for å tilfredsstille krav til betryggende kontroll. Det betyr at virksomheten må vurdere behovet for nødvendige kontrolltiltak iverksatt gjennom egne prosedyrer og rutiner. Dokumentene fra IT Governance Institute IT Assurance Guide og CobiT Control Practices beskriver hva som kan være nøkkelkontroller innenfor hver IT prosess og underprosess; og komme med forslag til hvordan kontrolldesignet kan sjekkes. 3 - Et eksempel kan være flypiloten som vi ser gjennomgår en sjekk av flyet for å sikre seg om at det er trygt å fly (egenkontrollaktiviteter), men som først får lov av tårnet til å ta av når en utfylt sjekkliste er signert og overlevert til bakkemannskapet (nøkkelkontroll). Oppfølging av målbare parametere Et grunnleggende behov for all forretningsvirksomhet er å ha en oppfatning om og en forståelse av status på egne IT-ressurser og å bestemme hvilket nivå av styring og kontroll med IT-ressursene man skal legge seg på. Ledelsen bør legge seg på et nivå der kostnadene ved styring og kontroll balanserer nytteverdien for virksomheten. Hvordan oppnå styring og kontroll med IT-bruken i virksomheten? For å kunne forbedre og optimalisere IT-bruken i en virksomhet er man nødt til å finne ut hvilket nivå man holder i dag, hvilket nivå man ønsker å være på i framtiden og legge en plan for å komme dit. Virkemidlene for å oppnå dette kan være en kombinasjon av: Benchmarking av IT-prosessenes dyktighet uttrykt som et nivå på en modenhetsmodell. Mål og måleparametere for IT-prosessene til å definere og måle resultat og ytelse basert på prinsipper for balansert målstyring. Aktiviteter for å sikre kontroll med IT-prosessene Ytelsesmålinger. En tradisjonell måte å gjøre resultatmålinger på er gjennom ytelsesmålinger. Mål og metrikker kan defineres på tre nivåer: IT-mål og måleparametere som definerer hva forretningsvirksomheten forventer av IT-virksomheten og hvordan dette måles. Prosessmål og metrikker som definerer hva IT-prosessen må levere for å støtte IT-virksomhetens målsetninger og hvordan dette måles Aktivitetsmål og metrikker som spesifiserer hva prosessen må inneholde av aktiviteter for å nå ytelseskravene og hvordan dette måles To måleindikatorer som brukes er: Resultatmålinger (outcome measure). Tidligere ble dette kalt Key Goal Indicators (KGI). Det indikerer om mål har blitt nådd og kan bare bli målt etter at en prosess (typisk en prosjektaktivitet) er gjennomført. Ytelsesindikatorer (performance indicators). Tidligere ble dette kalt Key Performance Indicators (KPI). Det indikerer om det er sannsynlig at mål blir nådd og kan måles før utfallet av en aktivitet er klart. Modenhetsmodell (Maturity modelling) En måte å måle status på virksomhetens IT-systemer er å bruke en modell som viser organisasjonens modenhet for forvaltning og kontroll med IT-prosessene. Modenhetsmodellering er basert på en metode for å evaluere virksomheten slik at den kan graderes på en skala for modenhet fra nivå 0 ikke-eksisterende til nivå 5 optimalisert. CobiT tilbyr en slik modell i sitt rammeverk. Til hver enkelt av de 34 prosessene har CobiT definert et modenhetsnivå fra 0 til 5 som et mål på virksomhetens implementering av prosessen. Generelt er nivåene som følger: 0 Ikke-eksisterende > Fullstendig mangel på prosesser. Virksomheten har ikke engang identifisert behovet for prosesser. 1 Ad hoc > Virksomheten har identifisert behov for prosesser. Det er imidlertid ingen standardiserte prosesser. Isteden behandles sakene ad hoc og behandlingen veksler fra sak til sak og fra person til person 10 11

7 som håndterer dem. Det overordnede ledelsesansvaret er pulverisert. 2 Repeterende, men intuitiv > Prosesser har blitt utviklet til et nivå der lignende prosedyrer blir fulgt av ulike mennesker for håndtering av samme type oppgaver. Det er ingen formell opplæring eller kommunikasjon av standard prosedyrer og ansvaret er overlatt til den enkelte. Det er høy grad av tiltro til individuell kunnskap (nøkkelressurser) og derfor sannsynlighet for feil. 3 Definerte prosesser > Prosesser er standardisert og dokumentert og kommunisert gjennom opplæring. Det er stadfestet at disse prosessene skal etterleves, imidlertid er det usannsynlig at avvik vil bli oppdaget. Prosedyrene er i seg selv ikke avanserte, men er en formalisering av eksisterende praksis. 4 Håndtert og målbart > Ledelsen overvåker og måler etterlevelse av prosedyrene og iverksetter tiltak dersom prosedyrene ikke ser ut til å virke effektivt. Prosessene er under konstant forbedring og besørger god praksis. Automasjon og verktøy er brukt på en begrenset og fragmentert måte. 5 Optimalisert > Basert på resultatene av kontinuerlig forbedring og modenhetsmodellering med andre virksomheter, har prosesser blitt raffinert til et nivå som er i tråd med god praksis. IT blir brukt på en integrert måte for å automatisere arbeidsflyt, tilby verktøy til forbedring av kvalitet og effektivitet og gjøre virksomheten i stand til raske tilpasninger. Veien videre Det er viktig at ledelsen i en virksomhet forstår behovet for å kombinere de forskjellige målemetodene. Mange starter opp med ytelsesmålinger uten at man har dokumenterte prosedyrer som beskriver hva man skal gjøre og hva som skal ivareta kontrollaktivitetene i aktivitetene. Det betyr at man aldri kan være sikre på at en aktivitet og prosess er utført på en optimal og gjennomarbeidet måte. For virksomheter som ligger på modenhetsnivå 2 eller lavere vil derfor ytelsesmålinger ha en tvilsom verdi. For virksomheter som tar i bruk modenhetsmåling antar man at de fleste starter med en organisasjon som har et modenhetsnivå under 3, men forhåpentligvis over 2; og at man ønsker å utvikle seg til å være på 3 til 4 på den gitte skalaen som et første mål. Det betyr at prosessene må være dokumentert i prosedyrer og kontrollaktiviteter være beskrevet. Når virksomheten har fått innarbeidet målbare prosesser og kontrollaktiviteter kan man arbeide med å forbedre bruken av IT ytterligere. Her vil etter hvert ytelsesmålingene bli viktige for å sikre at virksomhetens IT aktiviteter er Håndtert og målbare. Mange virksomheter har i dag et slikt modenhetsnivå som mål for sin virksomhet. For de som ønsker å bygge videre til et optimalisert nivå og derved få et konkurransefortrinn som skiller seg ut fra andre virksomheter, er en mulig løsning fra IT Governance Institute beskrevet i dokumentet Enterprise Value: Governance of IT Investments; The Val IT Framework 2.0. Her beskriver man en synergi mellom CobiT som fokuserer på - Gjør vi de riktige aktivitetene på riktig måte - Får vi levert tjenestene med en skikkelig kvalitet Og Val IT som fokuserer på - Gjør vi de riktige tingene - Får vi ut fordelene og besparelsene/verdiene ved det vi gjør. Val IT presenterer tre områder hvor man gjennom å være bevisst på og styrke arbeidsprosessene i disse områdene kan optimalisere IT i en virksomhet slik at den blir et konkurransefortrinn og har en egenverdi som ledelsen kan vurdere. De tre områdene er: Verdistyring (Value Governance) Porteføljestyring (Portfolio Management) Investeringsstyring (Investment Management) For virksomheter som søker en slik optimalisering av IT i sin virksomhet anbefales den nevnte litteraturen fra IT Governance Institute. Det er også tilgjengelig Case Studies som beskriver virksomheter som har forsøkt en slik optimalisering og deres erfaringer. 13

8 Referanser CobiT versjon 4.1 CobiT Assurance Guide CobiT Control Practises Enterprise Value: Governance of IT Investments; The Val IT Framework 2.0 CobiT mapping of ITIL v3 with CobiT 4.1 (July 2008) Aligning CobiT 4.1, ITIL v3 and ISO/IEC for Business Benefit (November 2008) ITIL versjon 3 NS ISO NS ISO 9001 Software Engineering Institute: Capability Maturity Model CISA Review Manual 2008 Helhetlig risikostyring et integrert rammeverk COSO 2 Sikkerhetsloven med forskrifter Aksjeloven med forskrifter Personopplysningsloven med forskrifter IKT-forskriften Bokføringsloven med forskrifter Økonomireglementet i staten Hvitvaskingsloven med forskrifter Kapitalkravsforskriften Høringsnotat Om endring av internkontrollforskriften av 20. juni 1997 nr. 1057, Kredittilsynet COSO (the Committee of Sponsoring Organisations of the Treadway Commission) sitt rammeverk COSO ERM 14

9

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

Foretakets navn : Dato: Underskrift :

Foretakets navn : Dato: Underskrift : Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:

Detaljer

God IT Styring og Kontroll i norske foretak. prosjekt NorSox. Sluttrapport - Del 1: Modell. Standard Norge, desember 2009

God IT Styring og Kontroll i norske foretak. prosjekt NorSox. Sluttrapport - Del 1: Modell. Standard Norge, desember 2009 God IT Styring og Kontroll i norske foretak Sluttrapport - Del 1: Modell Standard Norge, desember 2009 prosjekt NorSox Prosjekt NorSox Sluttrapport Omfatter to separate deler: Del 1 Modell Del 2 Veiledning

Detaljer

Accenture Technology Consulting. Hva skal til for å lykkes med IT Governance? Roger Østvold Leder for Accenture IT Strategi og Transformasjon

Accenture Technology Consulting. Hva skal til for å lykkes med IT Governance? Roger Østvold Leder for Accenture IT Strategi og Transformasjon Accenture Technology Consulting Hva skal til for å lykkes med IT Governance? Roger Østvold Leder for Accenture IT Strategi og Transformasjon 3 Juni 2008 Virksomhetsledere er enige om at IT spiller en viktig

Detaljer

Hvordan beste praksis rammeverk praktiseres aller best

Hvordan beste praksis rammeverk praktiseres aller best Hvordan beste praksis rammeverk praktiseres aller best Felles introduksjon til kurs 1A, 1B og 1C Ingar Brauti, RC Fornebu Consulting AS NOKIOS kurs tirsdag 29. oktober 2013 ingar.brauti@fornebuconsulting.com

Detaljer

Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering?

Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering? Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering? Difi 18 desember 2013 Ingar Brauti, P3M Registered Consultant Med tilpasning og praktisering av

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet Dokumentasjon av balansen IT-revisjon Siste forelesning Rev3576 Klassisk IT-revisjon Cobit ITIL 1 Nøyaktighet og gyldighet har dere drøftet Fullstendighet har de fleste ikke tenkt på (utfordring: gjeld)

Detaljer

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL IT-revisjon Klassisk IT-revisjon Cobit ITIL Dokumentasjon av balansen Nøyaktighet og gyldighet har dere drøftet Fullstendighet har de fleste ikke tenkt på (utfordring: gjeld) Kilder BOL 11, FOR-01.12.2004

Detaljer

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005 Sikkert som banken? Hva IT-tilsyn er godt for Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005 Det jeg skal snakke om Kredittilsynet og IT-tilsyn Hva vi fører tilsyn med, hensikt Tilsynsmetoder,

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Fra teori til praksis

Fra teori til praksis Fra teori til praksis Hvor modne er virksomhetene til å tenke helhetlig styring? Ingar Brauti, RC Fornebu Consulting AS Temamøte nr. 3 NFP 19.9.2014 ingar.brauti@fornebuconsulting.com Torodd Ingar Jan

Detaljer

IKT-revisjon som del av internrevisjonen

IKT-revisjon som del av internrevisjonen IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

IT I PRAKSIS!!!!! IT i praksis 20XX

IT I PRAKSIS!!!!! IT i praksis 20XX IT I PRAKSIS 1 IT i praksis 20XX 2 IT I PRAKSIS FORORD 3 INNHOLD 4 IT I PRAKSIS Styringsmodell for utviklingsprosjekter (SBN) 5 Fra en idé til gevinstrealisering styringsmodell for utviklingsprosesser

Detaljer

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet?

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet? Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet? HelsIT 2011 Roar Engen Leder for arkitekturseksjonen,teknologi og ehelse, Helse Sør-Øst RHF Medforfatter: Jarle

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Strategisk kobling og IT Styring

Strategisk kobling og IT Styring ISACA Årsmøte 2012 Strategisk kobling og IT Styring Øystein Ullnæs Senior rådgiver og Daglig leder Knut Adolphson Senior rådgiver og Fagleder ASP Norge AS / Ambitiongroup ASP Norge AS (1999): et uavhengig

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Service Level Management - ITIL Dato: 12.02.2009 Versjon 1.1 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets Service

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Profesjonalisering av prosjektledelse

Profesjonalisering av prosjektledelse Profesjonalisering av prosjektledelse Ingar Brauti, RC Fornebu Consulting AS Software2013, IT-ledelse i fremtiden Onsdag 13. februar 2013 ingar.brauti@fornebuconsulting.com I fremtiden vil IT funksjonen

Detaljer

Barrierestyring. Hermann Steen Wiencke PREPARED.

Barrierestyring. Hermann Steen Wiencke PREPARED. Barrierestyring Hermann Steen Wiencke PREPARED. Bakgrunn - Ptil Det overordnede fokuset er at barrierer skal ivaretas på en helhetlig og konsistent måte slik at risiko for storulykker reduseres så langt

Detaljer

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Felles medlemsmøte NFKR og NIRF, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Generalsekretær Ellen Brataas, CIA, CISA Formål og visjon Formål

Detaljer

prosjekt NorSox God IT Styring og Kontroll i norske foretak Sluttrapport - Del 2: Veiledning for innføring av god IT-styring og -kontroll

prosjekt NorSox God IT Styring og Kontroll i norske foretak Sluttrapport - Del 2: Veiledning for innføring av god IT-styring og -kontroll God IT Styring og Kontroll i norske foretak Sluttrapport - Del 2: Veiledning for innføring av god IT-styring og -kontroll Standard Norge, desember 2009 prosjekt NorSox Prosjekt NorSox Sluttrapport Omfatter

Detaljer

Mislighetsrisiko ved utkontraktering. NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik

Mislighetsrisiko ved utkontraktering. NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik Mislighetsrisiko ved utkontraktering NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik Agenda Hva innebærer utkontraktering Ansvarsforhold og tiltak Internrevisors rolle og tilnærming Spørsmål

Detaljer

IT Service Management

IT Service Management IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service

Detaljer

Nytten ved å jobbe systematisk med intern kontroll Revisjonsdirektør Solbjørg Lie

Nytten ved å jobbe systematisk med intern kontroll Revisjonsdirektør Solbjørg Lie DFØ Lansering av veileder i internkontroll - 23. mai 2013 Nytten ved å jobbe systematisk med intern kontroll Revisjonsdirektør Solbjørg Lie Organisasjonskart for NAV fra 1.1.2013 Arbeids- og velferdsdirektoratet

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

HVA BETYR MODENHET I PROSJEKT, PROGRAM OG PORTEFØLJE?

HVA BETYR MODENHET I PROSJEKT, PROGRAM OG PORTEFØLJE? HVA BETYR MODENHET I PROSJEKT, PROGRAM OG PORTEFØLJE? Siv. ing. Ingar Brauti, RC (Registered Consultant) +47 911 400 49 ingar.brauti@fornebuconsulting.com Fornebu Consulting AS 20.10.2011 Prosjekt 2011

Detaljer

Strategi: Hvordan lage noe mer enn bare planer? Bergen Næringsråd, Kjapt & Nyttig 6.4.11

Strategi: Hvordan lage noe mer enn bare planer? Bergen Næringsråd, Kjapt & Nyttig 6.4.11 Strategi: Hvordan lage noe mer enn bare planer? Bergen Næringsråd, Kjapt & Nyttig 6.4.11 Bakgrunn vårt tjenestespekter STRATEGI LØSNING LEDERSKAP OG GJENNOMFØRING Strategiske analyser og kartlegging av

Detaljer

Anbefaling til God IT-skikk (nr. 2) Tilgangskontroll Styring av informasjonstilgang

Anbefaling til God IT-skikk (nr. 2) Tilgangskontroll Styring av informasjonstilgang Anbefaling til God IT-skikk (nr. 2) Tilgangskontroll Styring av informasjonstilgang Innhold 1 Innledning... 4 1.1 Formål og definisjon... 4 1.2 Hva er tilgangskontroll... 4 1.3 Målgruppen for dokumentet...

Detaljer

Mislighetsrevisjon Sykehuset Innlandet HF

Mislighetsrevisjon Sykehuset Innlandet HF www.pwc.no Mislighetsrevisjon Sykehuset Innlandet HF 3. juni 2014 Innholdsfortegnelse 1. Mandat og oppdrag... 3 Forbehold... 3 2. Evaluering av rammeverk for å redusere mislighetsrisiko... 4 Formålet...

Detaljer

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem for informasjonssikkerhet et topplederansvar Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering

Detaljer

Integrering av IT i virksomhetens helhetlige risikostyring

Integrering av IT i virksomhetens helhetlige risikostyring Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs

Detaljer

Presentasjon 1, Requirement engineering process

Presentasjon 1, Requirement engineering process Presentasjon 1, Requirement ing process Prosessodeller Hvorfor bruke prosessmodeller? En prosessmodell er en forenklet beskrivelse av en prosess En prosessmodell er vanligvis lagd ut fra et bestemt perspektiv

Detaljer

Styring og intern kontroll.

Styring og intern kontroll. Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg

Detaljer

Hvordan NAV arbeider med internkontroll i et prosessperspektiv. Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet

Hvordan NAV arbeider med internkontroll i et prosessperspektiv. Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet Hvordan NAV arbeider med internkontroll i et prosessperspektiv Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet Internkontrollhistorie i NAV Stort trykk på produksjon etter opprettelsen

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Prosjekt: Utvikling av egenkontrollen i kommunene

Prosjekt: Utvikling av egenkontrollen i kommunene Prosjekt: Utvikling av egenkontrollen i kommunene Hovedprosjekt: Utvikling av egenkontrollen i kommunene, herunder økt bruk av egenkontroll i de statlige tilsynene. Målet for prosjektet: Få til et godt

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) UTFORDRINGER INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) Stavanger april 2012 Olav Molven Virksomheten mangler en felles fremgangsmåte for å vurdere risiko og tilhørende (intern)kontroll. Virksomheten

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

IT I PRAKSIS 2010 STRATEGI, TRENDER OG ERFARINGER I NORGES 500 STØRSTE VIRKSOMHETER

IT I PRAKSIS 2010 STRATEGI, TRENDER OG ERFARINGER I NORGES 500 STØRSTE VIRKSOMHETER IT I PRAKSIS 2010 STRATEGI, TRENDER OG ERFARINGER I NORGES 500 STØRSTE VIRKSOMHETER MORTEN SKODBO RAMBØLL MANAGEMENT CONSULTING EDGAR VALDMANIS - MARKEDSDIREKTØR, DEN NORSKE DATAFORENING IT I PRAKSIS 2010

Detaljer

Kort om internkontroll for deg som er leder

Kort om internkontroll for deg som er leder Veileder Kort om internkontroll for deg som er leder DFØ 04/2013, 1. opplag Forord Som leder har du ansvar for virksomhetens internkontroll og for å tilpasse denne til risiko, vesentlighet og egenart.

Detaljer

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda www.pwc.no Vanlige problemer og utfordringer i møtet med helhetlig risikostyring 5. desember 2011 Agenda 1. Hva er god risikostyring 2. Vanlige utfordringer 3. Trender 2 1 Erfaring med implementering av

Detaljer

SAS-forum 2013. BI Strategi og BICC

SAS-forum 2013. BI Strategi og BICC SAS-forum 2013 BI Strategi og BICC Tormod Kojen BN Bank ASA Agenda Kort om BN Bank Hvilke systemer har vi Modenhetsanalyse BI-strategi BICC 2 BN Bank BN Bank er en landsdekkende bank Innskudd fra kunder:

Detaljer

Veien til ISO 20000 sertifisering

Veien til ISO 20000 sertifisering Mål: 41 40 39 38 37 36 Veien til ISO 20000 sertifisering Forretningsidé Forbedringer 29 Definere kunder/pros. i verktøy 30 30 31 Mister ansatte Branding 32 Satsningsområde 33 Syneligjøre KPI er 34 ITIL

Detaljer

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014 Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014 Paul Torgersen Leder Metier Consulting 20. oktober 2014 Side 2 Innhold Hva er prosjektsuksess? Hva kjennetegner de beste? Mine

Detaljer

Hvordan håndtere gevinster ved innføring av ny teknologi?

Hvordan håndtere gevinster ved innføring av ny teknologi? Hvordan håndtere gevinster ved innføring av ny teknologi? : Prosjekt Digital Innsikt Gardermoen, 6. november 2013 Aleksander Øines, Dette er kommunal sektor: 19 fylkeskommuner 428 kommuner Ca. 500 bedrifter

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES? For Kontrollutvalg 30.11.15 v/rådmann Thor Smith Stickler OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES? Definisjon av internkontroll - PwC Internkontroll er et formalisert kontrollsystem der kontrollaktiviteter

Detaljer

Veileder og verktøy for internkontroll i offentlige anskaffelser. Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960

Veileder og verktøy for internkontroll i offentlige anskaffelser. Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960 Veileder og verktøy for internkontroll i offentlige anskaffelser Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960 Difi har utarbeidet veileder og verktøy implementering av internkontroll Bakgrunn:

Detaljer

IT-forum våren 2004. ITIL et rammeverk for god IT-drift

IT-forum våren 2004. ITIL et rammeverk for god IT-drift IT-forum våren 2004 ITIL et rammeverk for god IT-drift Jon Iden, dr. polit Institutt for prosessutvikling og arbeidsflyt AS Institutt for informasjons- og medievitenskap, UiB Institutt for Prosessutvikling

Detaljer

Nasjonal internrevisjon av medisinsk kodepraksis i helseforetakene

Nasjonal internrevisjon av medisinsk kodepraksis i helseforetakene Nasjonal internrevisjon av medisinsk kodepraksis i helseforetakene DRG forum Høstkonferansen, 11. november 2011 Karl-Helge Storhaug konsernrevisjonen Innhold Bakgrunn og formål Prosess og metode Konklusjoner

Detaljer

Hvorfor porteføljestyring god praksis, Management of Portfolios (MoP )

Hvorfor porteføljestyring god praksis, Management of Portfolios (MoP ) Hvorfor porteføljestyring god praksis, Management of Portfolios (MoP ) DIFI Gevinstrealiseringsseminar 16/12-14 Ingar Brauti, Fornebu Consulting Geir Graff, Asker kommune Liv Dreierstad, Skatteetaten Grete

Detaljer

Fra innkjøpsstrategi til handling et rammeverk som sikrer effektiv og vellykket gjennomføring

Fra innkjøpsstrategi til handling et rammeverk som sikrer effektiv og vellykket gjennomføring Mange organisasjoner opplever i dag et gap mellom strategiske innkjøpsmål og operativ handling. Det gjennomføres en rekke initiativer; herunder kategoristyring, leverandørhåndtering og effektivitet i innkjøpsprosessene

Detaljer

EuroSOX og Ny forskrift for risikostyring og internkontroll

EuroSOX og Ny forskrift for risikostyring og internkontroll EuroSOX og Ny forskrift for risikostyring og internkontroll Hva betyr dette for din bedrift? Advokatfullmektig Kristin Haram 6. februar 2009 Agenda: foretaksstyring, risikostyring og internkontroll Euro-SOX

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

www.pwc.no Utfordringer innen IKTområdet PwC 20. september 2011

www.pwc.no Utfordringer innen IKTområdet PwC 20. september 2011 www.pwc.no Utfordringer innen IKTområdet 20. september 2011 Innhold 1. Risiko i betalingsformidling 2. Kontinuitetsplaner 3. Bankenes ansvar ved utkontraktering 4. Oppsummering 2 Risiko i betalingsformidling

Detaljer

The Optimizer - Hvor gode er dere?

The Optimizer - Hvor gode er dere? The Optimizer - Hvor gode er dere? Ville det ikke vært fint om noen analyserte dokumentbehandlingen i ditt firma og fant løsninger for effektivisering og reduserte kostnader? 2 3 Det er akkurat det Konica

Detaljer

Strategiutvikling EDB Business Partner

Strategiutvikling EDB Business Partner Strategiutvikling EDB Business Partner Vårt utgangspunkt omgivelsene Vi planlegger ut fra at IT-sektoren generelt de neste tre år vil preges høy usikkerhet og fravær av vekst. Offentlig sektor vil fortsatt

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Implementering Fra forbedring til effekt

Implementering Fra forbedring til effekt Implementering Fra forbedring til effekt Robert Lohne Karabin AS www.karabin.no Grad av prosessutvikling Hvor begynner vi? Om å implementere endringer Measurement is the first step that leads to control

Detaljer

Fra ROS analyse til beredskap

Fra ROS analyse til beredskap Fra ROS analyse til beredskap perspektiv fra offshoreindustrien ESRA seminar, 21.mai 2014 PREPARED. Eldbjørg Holmaas NTH - 94 Ind. øk. Arb.miljø og sikkerhet OD (nå Ptil) 1 år - Elektro og sikringssystemer.

Detaljer

Samarbeidsforum internkontroll

Samarbeidsforum internkontroll Samarbeidsforum internkontroll 10. desember 2013 13.12.2013 Direktoratet for økonomistyring Side 1 Samarbeidsforum hjelp til selvhjelp! Bidra til å videreutvikle statlige virksomheters og departementers

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Bergvall Marine OPPGAVE 3. Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679

Bergvall Marine OPPGAVE 3. Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679 2013 Bergvall Marine OPPGAVE 3 Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679 Innhold Oppgave 1.... 2 Oppgave 2.... 7 Oppgave 3.... 9 Oppgave 4.... 10 Kilder:...

Detaljer

KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER

KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER Innholdsfortegnelse 1 Innledning... 3 1.1 Generelt om kvalitetsstyringssystemet ved IMB Maskiner...3 1.2 Om IMB Maskiner...3 1.3 Definisjoner av sentrale begrep

Detaljer

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap Internkontroll i Bergen kommune Liv Røssland Byråd for finans, eiendom og eierskap TILSYNSFUNKSJON KONTROLLFUNKSJON Bystyrets tilsyn og kontroll Byrådets rapportering og informasjon til bystyrets organer,

Detaljer

Kundecase: Forbedring av Request Fulfillment prosess

Kundecase: Forbedring av Request Fulfillment prosess Kundecase: Forbedring av Request Fulfillment prosess Lean + ITIL = Sant? Oslo 30. mai 2012 Roger Tøftum Seniorrådgiver Steria Consulting E-post: rogt@steria.no Steria Telefon: 911 88 573 Ulike ambisjoner

Detaljer

Styret finner vedlagte rammeverk for et helhetlig kvalitetssystem som interessant.

Styret finner vedlagte rammeverk for et helhetlig kvalitetssystem som interessant. BERGEN OG OMLAND HAVNEVESEN Dato: 9. april 2010 BGHAS /10 Bergen og Omland havnestyre Helhetlig kvalitetssystem i BOH KBOL HAV-8610-201003247-3 Bakgrunn I de senere årene har risikostyring og intern kontroll

Detaljer

Organizational Project Management Maturity Model (OPM3)

Organizational Project Management Maturity Model (OPM3) Organizational Project Management Maturity Model (OPM3) Håvard O. Skaldebø, PMP, CCE, (haa-skal@online.no) Styreleder, PMI Norway Oslo Chapter (www.pmi-no.org) Prosjekt 2005, 12.oktober 2005, Hotel Rainbow,

Detaljer

Delseminar 5: Kommunal internkontroll med introduksjonsloven. Rune Andersen IMDi Indre Øst

Delseminar 5: Kommunal internkontroll med introduksjonsloven. Rune Andersen IMDi Indre Øst Delseminar 5: Kommunal internkontroll med introduksjonsloven Rune Andersen IMDi Indre Øst 1 Delseminarets opplegg 14.45 15.10 Innledning som beskriver rammen for kommunal internkontroll med introduksjonsordningen

Detaljer

FORVALTNINGSREVISJON - STYRINGSSYSTEMER I KLÆBU KOMMUNE. Kommunestyret Møtedato: 25.03.2010 Saksbehandler: Eva Bekkavik

FORVALTNINGSREVISJON - STYRINGSSYSTEMER I KLÆBU KOMMUNE. Kommunestyret Møtedato: 25.03.2010 Saksbehandler: Eva Bekkavik FORVALTNINGSREVISJON - STYRINGSSYSTEMER I KLÆBU KOMMUNE Kommunestyret Møtedato: 25.03.2010 Saksbehandler: Eva Bekkavik Utvalgssaksnr. Utvalg Møtedato 12/10 Kommunestyret 25.03.2010 3/10 Kontrollutvalget

Detaljer

Balansert Målstyring (1. generasjons BMS)

Balansert Målstyring (1. generasjons BMS) Balansert Målstyring (1. generasjons BMS) 1 Innhold Balansert Målstyring i offentlig sektor sektor Historien bak Balansert Målstyring Elementene i styringsverktøyet Styringskortet Suksessfaktorer Litteratur:

Detaljer

Risikostyring og intern kontroll i statlige virksomheter

Risikostyring og intern kontroll i statlige virksomheter Risikostyring og intern kontroll i statlige virksomheter Marianne Andreassen Direktør HIBO 26. oktober 2009 26.10.2009 Senter for statlig økonomistyring Side 1 Hvem er SSØ? Virksomhetsidé Som statens ekspertorgan

Detaljer

SPKs virksomhetsstyringspraksis Veien fra virksomhetsidé til fokusert statusrapportering

SPKs virksomhetsstyringspraksis Veien fra virksomhetsidé til fokusert statusrapportering SPKs virksomhetsstyringspraksis Veien fra virksomhetsidé til fokusert statusrapportering Corporater brukerkonferanse 14.-15. september 2010 Christian Fredrik B. Mathisen Finanscontroller SPK Hva skal formidles

Detaljer

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001?

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001? Hvordan komme i gang med å etablere et styringssystem etter ISO 14001? Skal du etablere et styringssystem for ytre miljø, men ikke vet hvor du skal starte? Forslaget nedenfor er forslag til hvordan du

Detaljer

Et skolebygg å være stolt av!

Et skolebygg å være stolt av! Et skolebygg å være stolt av! 11/30/2009 2 Nøkkeltall etablert 1. januar 2002 eier og drifter alle skolebygningene i Oslo Drøyt 1,3 millioner kvm, 78.000 elever og ansatte 174 skoler ( 159 eide, 15 leide

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

Bakgrunn. For ytterligere informasjon, se kontaktinformasjon på slutten av presentasjonen 2015-09-08 2

Bakgrunn. For ytterligere informasjon, se kontaktinformasjon på slutten av presentasjonen 2015-09-08 2 September 015 Bakgrunn Talentbarometeret ble gjennomført i Norge for første gang i perioden mars-mai 015 Spørsmål om om mangfold er inkludert Sluttresultatet er basert på 170 svar fra HR og toppledelse

Detaljer

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt?

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt? EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt? Hvorfor nye direktiver i EU? Formål: Øke tilliten til finansiell rapportering Styrke tilsynet med revisor Sikre at bedriftene

Detaljer

Risikoanalyse mål og mening

Risikoanalyse mål og mening Risikoanalyse mål og mening Risikoanalysen som en del av risikostyringen Hermann Steen Wiencke Managing the future today Proactima AS Konsulentselskap etablert i september 2003 I dag et fagmiljø med over

Detaljer

Oversikt over kurs, beskrivelser og priser Høst 2015. Bedriftsinterne kurs. kurs@qualisoft.no +47 518 70000. Kursnavn Forkunnskaper Dato/Sted

Oversikt over kurs, beskrivelser og priser Høst 2015. Bedriftsinterne kurs. kurs@qualisoft.no +47 518 70000. Kursnavn Forkunnskaper Dato/Sted Oversikt over kurs, beskrivelser og priser Høst 2015 Bedriftsinterne kurs Kursnavn Forkunnskaper Dato/Sted Basiskurs i QualiWare Introduksjon til (BPM) Business Process Management Professional Certificate

Detaljer