NASJONAL SIKKERHETSMYNDIGHET. Veilederen setter sikkerhetsrevisjoner i sammenheng med styringssystemet for sikkerhet VEILEDER SIKKERHETSREVISJON
|
|
- Ann Holte
- 7 år siden
- Visninger:
Transkript
1 NASJONAL SIKKERHETSMYNDIGHET Veilederen setter sikkerhetsrevisjoner i sammenheng med styringssystemet for sikkerhet VEILEDER SIKKERHETSREVISJON
2 INNHOLD 1. Formål og målgruppe Om veilederen Målgruppe Veilederens oppbygning Standarder og rammeverk Sikkerhetsloven om sikkerhetsrevisjon God praksis, men ingen metodiske krav til sikkerhetsrevisjon Oppfølging og kontroll Om oppfølging og kontroll Bakgrunn for gjennomføring av sikkerhetsrevisjoner Særskilt om ledelsens evaluering Om internkontroll, sikkerhetsrevisjon, internrevisjon, eksternrevisjon Krav til uavhengighet og skillet mellom kontrollerende og utøvende virksomhet Langsiktig planlegging Revisjonsprogram Overordnet plan for sikkerhetsrevisjoner Valg av revisjoner på bakgrunn av risiko Detaljgrad og omfang Avlysning eller utsettelse av revisjoner En sikkerhetsrevisjon Om fasene i en sikkerhetsrevisjon Planlegging- den enkelte revisjon Om planlegging Beskrive omfang Formål med sikkerhetsrevisjonen Eksterne krav og interne føringer revisjonskriterier Faktiske forhold - Revisjonsbevis Metodevalg Kompetanse Gjennomføring Om gjennomføring Varsling av sikkerhetsrevisjon Åpningsmøtet Innhenting av informasjon (revisjonsbevis) Sluttmøte Rapportering Vurdering og konklusjon Beskyttelse av informasjon Forslag til tiltak Utarbeide rapport Oppfølging Kildeliste Figurer Tabeller Vedlegg Vedlegg A: Mal for revisjonsprogram Vedlegg B: Mal for revisjonsplan Vedlegg C: Mal for revisjonsvarsel, e-post Vedlegg D: Mal for agenda til åpningsmøte Vedlegg E: Mal for agenda til sluttmøte Vedlegg F: Mal for rapport
3 OM VEILEDEREN Det er et grunnleggende prinsipp innenfor arbeidet med forebyggende sikkerhet å gjennomføre kontrollaktiviteter og kvalitetssikring av etablerte tiltak. En sikkerhetsrevisjon er ett av flere verktøy som kan brukes for oppfølging og kontroll i et styringssystem for sikkerhet. Veilederen kan brukes for sikkerhetsrevisjoner i større virksomheter, og vil også være et utgangspunkt for planlegging i mindre virksomheter. Tilhørende verktøy vil være et hjelpemiddel til å få en større grad av objektivitet i gjennomføring av undersøkelsen Utgangspunktet for veilederen er god praksis innen internrevisjon. Den skal være en støtte for å planlegge og gjennomføre sikkerhetsrevisjoner, herunder fasene i en sikkerhetsrevisjon og de vurderingene og oppgavene som bør gjøres.
4 DEL I GENERELT OM SIKKERHETSREVISJONER 1. Formål og målgruppe 1.1. Om veilederen Formålet med denne veilederen er å gi råd til virksomheter om hvordan sikkerhetsrevisjoner (1) kan gjennomføres. Utgangspunktet for veilederen er god praksis innen internrevisjon. Veilederen og tilhørende verktøy vil være et hjelpemiddel til å få en større grad av objektivitet i gjennomføring av undersøkelsen. Det er et grunnleggende prinsipp innenfor arbeidet med forebyggende sikkerhet å gjennomføre kontrollaktiviteter og kvalitetssikring av etablerte tiltak. Dette gjelder generelt for virksomheter som har egen interesse i å beskytte sine verdier og er spesielt vektlagt både i sikkerhetsloven og i anerkjente standarder for informasjonssikkerhet. For å få en bedre sikkerhetstilstand er det å gjennomføre sikkerhetsrevisjoner både et virkemiddel i seg selv og et viktig vurderingsgrunnlag for å kunne gjøre riktige prioriteringer i sikkerhetsarbeidet fremover. Denne veilederen er en utdypning av temaet sikkerhetsrevisjoner i veileder for sikkerhetsstyring. 2. Målgruppe Målgruppen for veilederen er virksomheter som har verdier som trenger beskyttelse. Veilederen er rettet mot ansatte som har i oppgave å gjennomføre sikkerhetsrevisjoner, samt ledere som har behov for å tilrettelegge for gjennomføring av sikkerhetsrevisjoner. Det kan være sikkerhetsleder eller andre ansatte som har en rolle i sikkerhetsarbeidet i en virksomhet. Veilederen skal være en støtte for å planlegge og gjennomføre sikkerhetsrevisjoner, herunder fasene i en sikkerhetsrevisjon og de vurderingene og oppgavene som bør gjøres. Veilederen er relevant for alle virksomheter uavhengig av sektor og størrelse. 1. Revisjon er en metodikk for undersøkelse som benyttes i tilknytning til styringssystemer, regnskap, produkter, prosesser, oppfølging av kontrakter mv. En revisjon skal på en objektiv og faktabasert måte vurdere om systemet, prosessen osv. tilfredsstiller gitte krav. Ved gjennomføringen av en revisjon må man bruke ulike metoder for å undersøke og dokumentere at tiltak retter seg mot den risikoen det er ment å redusere, samt at tiltak er etterlevd og at de gjennomføres som forutsatt. Det store norske leksikon, revisjon 4 Formål og målgruppe
5 2.1. Veilederens oppbygning Veilederen er delt inn i tre deler der første er om veilederen og målgruppen generelt. Del to tar for seg bakgrunnen for sikkerhetsrevisjoner, herunder standarder og rammeverk, hvordan sikkerhetsrevisjoner bidrar til bedre styring og kontroll av sikkerheten samt viktigheten av å skille kontrollerende og utøvende virksomhet. Del tre omhandler gjennomføring av sikkerhetsrevisjoner, alle stegene fra planlegging til rapport og oppfølging av avvik. 5 Målgruppe
6 DEL II BAKGRUNN FOR SIKKERHETSREVISJONER 3. Standarder og rammeverk 3.1. Sikkerhetsloven om sikkerhetsrevisjon Sikkerhetsloven har ingen bestemmelser som bruker begrepet sikkerhetsrevisjon, men det er i lovens 5 c) krav til at enhver virksomhet som er underlagt sikkerhetsloven skal regelmessig kontrollere sikkerhetstilstanden i virksomheten. Forskrift om sikkerhetsadministrasjon angir i 4-4 at sikkerhetsrevisjon skal gjennomføres og brukes som grunnlag for ledelsens evaluering. Videre er det et spesifikt krav i forskrift for informasjonssikkerhet 5-24 at sikkerhetsrevisjon skal gjennomføres minst en gang årlig for informasjonssystemer som håndterer sikkerhetsgradert informasjon. Det er viktig å være bevisst på at sikkerhetslovens krav er minimumskrav, og at virksomheten kan ha ytterligere behov for sikring. Hensikten er at sikkerhetsarbeidet skal være en kontinuerlig prosess med kvalitetssikring og forbedring. Kunnskap fra sikkerhetsrevisjoner er et viktig bidrag til virksomhetens risikovurderinger. SIKKERHETSLOVENS FORSKRIFTER OM SIKKERHETSREVISJON Forskrift om sikkerhetsadministrasjon 4-4 Virksomheten skal løpende kontrollere at sikkerhetstiltak som er pålagt eller besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Avvik som avdekkes ved sikkerhetsrevisjon skal fremlegges for virksomhetens leder for avklarering av tiltak som skal iverksettes. ( )Resultatet av sikkerhetsrevisjonen skal benyttes som et av grunnlagene for evalueringen. Resultatet av sikkerhetsrevisjonen og ledelsens evaluering skal dokumenteres. Forskrift om informasjonssikkerhet 5-24 siste ledd Systemeier og virksomhetens leder skal minst en gang i året gjennomføre sikkerhetsrevisjon av informasjonssystemet Forskrift om objektsikkerhet 3-1 siste ledd Som grunnlag for fastsettelse av sikkerhetstiltak skal objekteier foreta risikovurdering og sikkerhetsrevisjon etter forskrift om sikkerhetsadministrasjon kapittel 4 Tabell 1 Sikkerhetslovens forskrifter om sikkerhetsrevisjon 6 Standarder og rammeverk
7 3.2. God praksis, men ingen metodiske krav til sikkerhetsrevisjon Ved gjennomføring av revisjoner fra eksterne tilsyn eller av internrevisjonsenheten i en virksomhet legges normalt revisjonsstandarder til grunn, eksempelvis ISO eller IIAs internasjonale standarder for profesjonell utøvelse av internrevisjon (2). Dette er generelle standarder. Mens en internrevisjonsenhet i en virksomhet normalt vil forholde seg til en profesjonell standard er ikke dette et krav for at en revisjon skal kunne defineres som en god nok sikkerhetsrevisjon. Det er ikke fastsatt egne krav til hvordan sikkerhetsrevisjoner bør gjennomføres, men det kan være hensiktsmessig å se til ulike retningslinjer og standarder for å få gode råd og innspill (3). Ofte er det sikkerhetsleder (4) som følger opp at virksomheten for øvrig etterlever eksterne krav, interne retningslinjer og at hensiktsmessige tiltak for sikkerhet er implementert. Sikkerhetsrevisjoner bidrar til at virksomhetens leder får visshet om at styringssystemet for sikkerhet fungerer og at de viktigste risikoene er tilfredsstillende håndtert. Vissheten styrkes ved at den som gjennomfører sikkerhetsrevisjonen har tilstrekkelig kompetanse eventuelt har med seg medarbeidere med den riktige kompetansen. I tillegg bør sikkerhetsrevisjonen gjennomføres av personer med tilstrekkelig kompetanse som ikke direkte er involvert i nylig gjennomført eller pågående arbeid på området som skal undersøkes. Dette for å sikre objektivitet. 4. Oppfølging og kontroll 4.1. Om oppfølging og kontroll En av sikkerhetsleders funksjoner er jevnlig å kontrollere og følge opp at de etablerte sikkerhetstiltakene fungerer som planlagt og etterleves av medarbeiderne. Igjennom ulike metoder for oppfølging og kontroll kan virksomheten få økt kvalitet på gjennomføringen av tiltakene. Resultatet vil tjene som innspill til planleggingsfasen og på den måten bidra til kontinuerlig forbedring. 2. I internasjonale standarder (ISO 19011) stilles det krav om gjennomføring av planlagte internrevisjoner også andre standarder har tilsvarende krav. The Institute of Internal Auditors (IIA) er interesseorganisasjonen for alle som arbeider med eller har interesse av fagområdene internrevisjon, governance (virksomhetsstyring), risikostyring, compliance og kontroll. 3. ISO gir føringer for hva en internrevisjon minimum skal inneholde. 4. Det er virksomhetens leder som er ansvarlig for en tilfredsstillende forebyggende sikkerhet i virksomheten, mens sikkerhetsleder ofte vil ha det faglige ansvaret på vegne av virksomhetens leder 7 Oppfølging og kontroll
8 Planlegging Rapportering Sikringsrisikovurdering Styringshjul for sikkerhet Oppfølging og kontroll Tiltak Figur 1 Illustrasjon av et styringssystem for sikkerhet (5) Virksomheters behov avhenger av faktorer som virksomhetens størrelse, geografisk spredning, modenhetsnivå og omfanget av verdier som krever særskilt beskyttelse. Det er derfor avgjørende at kontrollaktiviteter som skal gjennomføres planlegges grundig og at virksomheten tydelig definerer kontrollens formål. Oppfølging og kontroll kan eksempelvis være måling av sikkerheten, gjennomføring av øvelser, avviksrapportering, evalueringer og sikkerhetsrevisjoner. Dette er virkemidler som virksomheten kan ta i bruk. For et fagområde kan gjennomføring av øvelse være et godt alternativ for å få synliggjort behov for forbedring, mens på et annet område får man et godt bilde på bakgrunn av avviksrapportering. Måling av sikkerheten vil også si noe om status på enkelte områder. Enkelte forhold bør imidlertid kontrolleres nærmere - gjennom en sikkerhetsrevisjon. En sikkerhetsrevisjon er en systematisk, uavhengig og dokumentert prosess for å fremskaffe informasjon om faktiske forhold og bedømme dette objektivt for å vurdere i hvilken grad det er svakheter på området i forhold til det som er forventet. (6) 4.2. Bakgrunn for gjennomføring av sikkerhetsrevisjoner For en virksomhet er det flere grunner til at det bør gjennomføres sikkerhetsrevisjoner. En sikkerhetsrevisjon vil være et verktøy som bistår virksomhetens leder til å ha styring og kontroll med den forebyggende sikkerheten i virksomheten. I tillegg kan sikkerhetsleder, som leder for sikkerhetsrevisjonene, gi ledelsen råd om alternative korrigerende tiltak som bør iverksettes. Sikkerhetsrevisjonene vil også kunne bidra til å øke forståelsen for og kunnskapen om forebyggende sikkerhet i en virksomhet. 5. Veileder i sikkerhetsstyring, NSM (2015) 6. Definisjon av revisjonsbegrepet hentet fra ISO 19011: Oppfølging og kontroll
9 BEGRUNNELSE FOR Å GJENNOMFØRE SIKKERHETSREVISJONER: Vurderer om praksis er i tråd med krav i lov og forskrift En objektiv gjennomgang av spesifikke forhold Kvalitetssikring av at sikkerheten er tilfredsstillende ivaretatt i systemer eller prosesser Bekrefter om tiltak på bakgrunn av sikringsrisikovurderinger følges opp Følger opp tidligere avdekkede svakheter eller problemområder Sjekker om sikkerhetspolicyen og/eller rutiner følges Vurderer om leverandører ivaretar krav til sikkerhet nedfelt i avtale Gir økt modenhet innen forebyggende sikkerhet i virksomheten, herunder økt forutsigbarhet, mindre brannslukking (7) Reduserer risiko for at det oppstår vesentlige feil og mangler Øker tilliten og legitimiteten både internt og eksternt (kunder) Tabell 2 Begrunnelse for å gjennomføre sikkerhetsrevisjoner 7. Trenger vi en internrevisjon Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon, DFØ (2015) 9 Oppfølging og kontroll
10 4.3. Særskilt om ledelsens evaluering I ledelsens evaluering legger sikkerhetsleder frem virksomhetens sikkerhetstilstand for virksomhetens leder. Sikkerhetsrevisjoner vil være et av flere grunnlag for ledelsens evaluering som skal gjennomføres minst en gang i året. (8) Sikkerhetsrevisjoner Risikovurderinger: Verdier, Risiko, Sårbarhet Avviksmeldinger Virksomhetsrapportering Virksomhetens sikkerhetstilstand denne perioden Alternative anbefalinger Ledelsens evaluering for perioden Tiltak Øvelser System for håndtering av uønskede hendelser Eksternt tilsyn Figur 2 Ledelsens evaluering og sikkerhetsrevisjoner For å kunne gi et godt bilde på virksomhetens sikkerhet, må sikkerhetsleder ha et godt og balansert grunnlag. Sikkerhetsrevisjoner skal være en del av dette grunnlaget sammen med andre typer undersøkelser og vurderinger som er gjort i perioden siden forrige evaluering. 8. Om sikkerhetsrevisjon og ledelsens evaluering, forskrift om sikkerhetsadministrasjon Oppfølging og kontroll
11 SIKKERHETSREVISJONER SOM BIDRAG TIL LEDELSENS EVALUERING Objektivt bilde på et avgrenset område Systematikk Oversikt over forhold som kan falle mellom stoler Målrettet og effektiv sikkerhet Overholdelse av lover og regler Tabell 3 Sikkerhetsrevisjoner som bidrag til ledelsens evaluering (9) 5. Om internkontroll, sikkerhetsrevisjon, internrevisjon, eksternrevisjon Sikkerheten i en virksomhet har flere forsvarslinjer (10).Den første forsvarslinjen er de kontrollene som gjøres i linjen og er innarbeidet i daglige oppgaver. Den andre linjen er kontrolloppgaver som utføres av stab- og kontrollfunksjoner. Undersøkelser som gjennomføres av f.eks. sikkerhetsleder, typisk sikkerhetsrevisjoner kan plasseres inn i denne linjen. Neste linje vil for enkelte virksomheter være internrevisjonen (11), mens det for virksomheter uten denne funksjonen vil kunne være en type administrative kontroller, kontroller som gjennomføres av andre ansatte enn de som jobber med sikkerhet. Formålet med både internrevisjon og administrative kontroller er å gi ledelsen objektive vurderinger av styringen av virksomheten, også om første og andre forsvarslinje fungerer. I tillegg til forsvarslinjene internt i virksomheten vil de fleste virksomheter ha en ekstern revisor. For statlige virksomheter vil det være Riksrevisjonen, mens det for private virksomheter vil være et privat revisjonsselskap. I tillegg kommer statlige tilsynsorganer som eksempelvis Nasjonal sikkerhetsmyndighet, Direktoratet for samfunnssikkerhet og beredskap og Nasjonal kommunikasjonsmyndighet. 9. Trenger vi en internrevisjon Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon, DFØ (2015) 10. Veileder for compliance funksjonen, Norges Interne Revisorers Forening, September Om etablering og krav til internrevisjon, se Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon, DFØ (2015) 11 Om internkontroll, sikkerhetsrevisjon, intern- revisjon, eksternrevisjon
12 RESTRISIKO Fjerdelinjekontroll Eksternrevisjon Tredjelinjekontroll Internrevisjon Andrelinjekontroll Sikkerhetsstaben/ sikkerhetsleder Førstelinjekontroll Ledere og medarbeidere i linjen RISIKO Figur 3 Illustrasjon av ulike kontrollnivåer for å sikre styring og kontroll (12) 6. Krav til uavhengighet og skillet mellom kontrollerende og utøvende virksomhet Det skal i utgangspunktet skilles mellom kontrollerende og utøvende myndighet (13). Ved gjennomføringen av en sikkerhetsrevisjon betyr dette at den som skal gjennomføre revisjonen ikke bør ha tilknytning til den avdelingen, prosessen eller systemet som skal undersøkes. En av sikkerhetsleders hovedoppgaver er å forvalte styringssystemet for sikkerhet, i tillegg til å skulle gi råd, koordinere og kontrollere det forebyggende sikkerhetsarbeidet som utøves i virksomheten. For å ivareta skillet mellom utøvende og kontrollerende myndighet betyr dette at sikkerhetsleder ikke skal gjennomføre revisjoner av styringssystemet for sikkerhet i seg selv, kun kontrollere de kravene som stilles til de utøvende funksjonene igjennom styringssystemet for sikkerhet. En moden sikkerhetsorganisasjon, herunder en erfaren sikkerhetsleder vil være interessert i å bli evaluert for å ta læring og bli bedre. En mulighet for å få en objektiv vurdering kan være å søke til andre fagmiljø for å få noen derfra til å gjennomføre en sikkerhetsrevisjon. Hvis en objektiv undersøkelse er 12. Inspirert av veileder i internkontroll fra DFØ (2013) og Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon, DFØ (2015) 13. Om fordeling av oppgaver, forskrift om sikkerhetsadministrasjon Krav til uavhengighet og skillet mellom kontrollerende og utøvende virksomhet
13 vanskelig å få til kan sikkerhetsleder gjennomføre evalueringer av eget arbeid. På grunn av manglende objektivitet vil det da ikke kunne defineres som en sikkerhetsrevisjon, men en evaluering. Ved å følge samme fremgangsmåte som for en sikkerhetsrevisjon vil dette kunne bidra til at evalueringen blir så objektiv som mulig. 13 Krav til uavhengighet og skillet mellom kontrollerende og utøvende virksomhet
14 DEL III GJENNOMFØRING AV SIKKERHETSREVISJONER 7. Langsiktig planlegging Revisjonsprogram 7.1. Overordnet plan for sikkerhetsrevisjoner Det er sjelden kapasitet til, eller hensiktsmessig, å revidere samtlige sikkerhetsområder samlet. Derfor anbefales det at virksomheten setter opp en overordnet plan for hvilke tema innen sikkerhet som skal gjennomgås i en gitt periode, eksempelvis ett år. Begrepet som ofte brukes for denne overordnede planen er revisjonsprogram. Revisjonsprogrammet bør integreres i virksomhetens styrende dokumenter, og godkjennes av virksomhetens leder. For en virksomhet med få verdier og god oversikt kan det være nok med en årlig gjennomgang av rutiner sammen med stikkprøver, mens en annen type virksomhet krever at det gjennomføres flere mer omfattende sikkerhetsrevisjoner Valg av revisjoner på bakgrunn av risiko Valg av revisjoner og mål for den enkelte revisjon besluttes på bakgrunn av eventuelle lovpålagte krav, en vurdering av den risiko området står overfor og hvor vesentlig området er for virksomheten. For å finne hvilke tema som bør revideres bør det tas utgangspunkt i allerede tilgjengelig informasjon, herunder informasjon om kjente sårbarheter eller indikasjoner på en sårbarhet. 14 Langsiktig planlegging Revisjonsprogram
15 GRUNNLAG FOR VALG AV REVISJONER Lovpålagte krav Resultater fra ledelsens evaluering Meldte avvik og forbedringsforslag Hvor har det tidligere oppstått eller oppstår det ofte feil og avvik Status i forhold til måloppnåelse Hvilken konsekvens har manglende måloppnåelse, hvor er konsekvensen mest alvorlig? Sikringsrisikovurderinger Hvilke verdier har virksomheten, hvilke trusler truer verdien og hvilke sårbarheter har verdien gitt disse truslene Organisatoriske endringer Er det endringer i personale. Er det endringer i roller og ansvar som krever spesiell kompetanse? Er det innført nye systemer og/eller nye rutiner som medfører endringer i hvordan oppgaver løses Tabell 4 Grunnlag for valg av revisjoner På bakgrunn av innspill fra sikkerhetsleder er det virksomhetens leder som vedtar hvilke revisjoner som skal gjennomføres. Revisjoner vil i tillegg til å avdekke sårbarheter eller bekrefte kjente sårbarheter, bidra til økt kunnskap om områder der ledelsen mener den burde vite mer Detaljgrad og omfang Hvor detaljert og omfattende revisjonsprogrammet bør være må virksomheten selv vurdere. Programmet bør kunne bidra til systematisk oppfølging i tillegg til å være dokumentasjon på hvilke områder som ansees som viktige. Mindre virksomheter kan gjennomgå hele virksomhetens sikkerhetsarbeid i en revisjon, mens det for større virksomheter kan være nødvendig å utforme revisjonsprogrammet slik at sikkerhetsrevisjoner ( delrevisjoner ) fordeles utover året. Ut fra programmet skal virksomhetens leder enkelt få oversikt over hvilke tema som er aktuelle, formålet med sikkerhetsrevisjonen, hva funnene vil måles opp i mot og når sikkerhetsrevisjonen er planlagt gjennomført. 15 Langsiktig planlegging Revisjonsprogram
16 FORHOLD SOM PÅVIRKER REVISJONSPROGRAMMETS OMFANG OG DETALJGRAD: Virksomhetens størrelse Budsjett, årsverk, omfang av verdier Kompleksitet Organisering Leveranser Systemer Regelverk Lokasjoner Risiko Forvalter skjermingsverdig informasjon eller objekt Potensielle trusler Kjente sårbarheter Modenhet på forebyggende sikkerhet Etablert styringssystem for sikkerhet Sikkerhetskultur Tabell 5 Forhold som påvirker revisjonsprogrammets omfang og detaljgrad Det er viktig at sikkerhetsleder minner seg selv på viktigheten av en åpen prosess i planleggingen. Revisjoner må koordineres både i forhold til hverandre og i forhold til andre aktiviteter som er planlagt gjennomført i virksomheten. Her er det hensynet til helhetlig styring som spiller inn. Det er også viktig at de som blir berørt av programmet, både direkte og indirekte blir informert. HUSKELISTE VED UTARBEIDELSE AV REVISJONSPROGRAM Relevante deler av programmet må formidles til de som blir berørt For den enkelte revisjon må det defineres mål, omfang, ressurser og tidsramme En revisjonsansvarlig må på plass Revisjonene må koordineres i forhold til hverandre og andre aktiviteter i virksomheten Sikre at aktivitetene dokumenteres og at dokumentasjonen oppbevares korrekt Tabell 6 Huskeliste ved utarbeidelse av revisjonsprogram 7.4. Avlysning eller utsettelse av revisjoner Dersom virksomheten velger å utsette eller avlyse enkelte sikkerhetsrevisjoner må det begrunnes, herunder også dokumenteres. Årsaker til avvik fra programmet kan eksempelvis være endringer i ressurssituasjonen som krever en strammere prioritering eller at nye tiltak er iverksatt som det er for tidlig å se noen effekt av. Det kan også oppstå ad-hoc situasjoner som krever at det er 16 Langsiktig planlegging Revisjonsprogram
17 andre sikkerhetsrevisjoner som bør gjennomføres enn det som opprinnelig var planlagt. I arbeidet med revisjonsprogrammet har sikkerhetsleder en oppfatning av hvor mye ressurser det er behov for å få gjennomført programmet. For å få noe mer forutsigbarhet, både for sikkerhetsleder og fagfunksjoner, kan det være en fordel å ha nedfelt i eksempelvis en retningslinje at sikkerhetsleder skal ha tilgang til fagressurser ved gjennomføring av sikkerhetsrevisjoner. 8. En sikkerhetsrevisjon 8.1. Om fasene i en sikkerhetsrevisjon En sikkerhetsrevisjon består i grove trekk av tre deler. Revisjonen må planlegges. Den skal gjennomføres og rapporteres, herunder følges opp. Den enkelte revisjon bør ha en plan for gjennomføring revisjonsplanen. Det er her metoder, ansvar og krav til rapportering fastsettes. Revisjonen må avgrenses og det må avsettes riktige ressurser. Når planen er lagt kan informasjonsinnhentingen starte. Dette er gjennomføringsfasen. Her skal det innhentes informasjon som sier noe om en aktivitet, prosess eller organisatorisk enhet fungerer som forutsatt eller ikke. I denne fasen samles det inn fakta, også kalt revisjonsbevis (14). I rapporteringsfasen vurderes fakta opp mot kriteriene for undersøkelsen (revisjonskriterier (15) ) og det utarbeides en rapport. FASENE I EN SIKKERHETS REVISJON: INNSATS UTFALL Planlegging Gjennomføring, informasjonsinnhenting Revisjonsprogram, overordnet informasjon om: Tema/omfang Formål Revisjonskriterier Revisjonsteam Periode for gjennomføring Risiko ved gjennomføring Revisjonsplan Valgt metode Ressurser Revisjonsplan (konkretisering av informasjon fra revisjonsprogrammet) Tema/ Omfang Formål Ressurser Tidsbruk Revisjonskriterier Revisjonsbevis Metodevalg Aktiviteter Fakta om området som er undersøkt (revisjonsbevis) 14. Revisjonsbevis er data som revisor benytter for å dokumentere de faktiske forholdene som revisjonen omhandler, og for å underbygge revisors vurderinger og anbefalinger. Både kvantitative og kvalitative data kan brukes som revisjonsbevis, se «Retningslinjer for forvaltningsrevisjon», Riksrevisjonen (2012) 15. Revisjonskriterier er en samlebetegnelse på de normene og standardene som er relevante på området for den aktuelle forvaltningsrevisjonen. Revisjonskriteriene er sammen med faktabeskrivelsen grunnlaget for revisors vurderinger, se «Retningslinjer for forvaltningsrevisjon», Riksrevisjonen (2012) 17 En sikkerhetsrevisjon
18 FASENE I EN SIKKERHETS REVISJON: INNSATS UTFALL Rapportering Vurdering Rapport Revisjonskriterier Revisjonsbevis Innhold fra revisjonsplan, revisjonskriterier, revisjonsbevis, vurderinger, konklusjoner og avvik Vurderinger, konklusjoner/ avvik Skriftlig rapport med sammendrag, hovedkonklusjoner og eventuelt anbefalinger Grunnlag for ledelsens evaluering Oppfølging Hovedkonklusjoner eventuelt anbefalinger Status på lukking av avvik eventuelt gjennomførte tiltak Tabell 7 Fasene i en sikkerhetsrevisjon 8.2. Planlegging- den enkelte revisjon Om planlegging Det er den som er ansvarlig for å gjennomføre undersøkelsen/ revisjonen som har ansvar for planleggingen. Som regel tilsier dette at sikkerhetsleder står for hele revisjonsprogrammet, herunder også gjennomføring av den enkelte sikkerhetsrevisjon. I en virksomhet med både sikkerhetsleder og dedikerte sikkerhetsmedarbeidere kan det legges inn i programmet hvem som er ansvarlig for den enkelte revisjon. Selv om rammene for revisjonen er gitt i revisjonprogrammet må omfanget, hvem som skal gjennomføre og hvem som blir berørt av revisjonen spesifiseres. I tillegg må tidsrammen detaljeres ytterligere i planen til den enkelte sikkerhetsrevisjon. FORHOLD SOM MÅ SPESIFISERES I REVISJONSPLAN Tema/ Omfang Formål Ressurser Tidsbruk Revisjonskriterier Revisjonsbevis Metodevalg Aktiviteter Tabell 8 Forhold som må spesifiseres i revisjonsplan 18 En sikkerhetsrevisjon
19 Beskrive omfang I revisjonprogrammet er det gitt føringer for hvilke tema/fagområder som skal gjennomgås. I enkelte tilfeller er programmet mer konkret og beskriver hva som kan være utfordringen med området. Dette bør uansett kunne hentes ut i fra dokumentasjon fra arbeidet med revisjonsprogrammet. Valg av tema må begrunnes. I planleggingsfasen er det også viktig å tydeliggjøre hva oppdraget faktisk består i. En sikkerhetsrevisjon kan eksempelvis fokusere på ett fagområde innen sikkerhet eksempelvis fysisk sikring, en del av organisasjonen, en prosess eller en geografisk enhet. EKSEMPLER PÅ OMRÅDER FOR SIKKERHETSREVISJON Styringssystem for sikkerhet Beskyttelse av informasjon Personellsikkerhet Fysisk sikkerhet Før ansettelse Under ansettelse Ved endring eller avsluttet ansettelse Lederforankring Sikkerhetsorganisasjon Sikringsrisikovurdering Sikkerhetsdokumentasjon Opplæring og kompetanse Etterlevelse Retningslinjer Merking av informasjon Sjekk/kontroll Betingelser for tilgang Tydelige autorisasjonsskiller Daglig sikkerhetsmessig ledelse Opplæring Status på klarering og autorisasjon Rutiner for utklarering Fysiske skiller Adgangskontroll Beskyttelse av utstyr Beskyttelse av informasjon Plassering av utstyr 19 En sikkerhetsrevisjon
20 EKSEMPLER PÅ OMRÅDER FOR SIKKERHETSREVISJON Styring av leverandører Planlegging av systemer Beskyttelse mot skadevare Styring av nettverkssikkerhet Informasjonssystemsikkerhet Håndtering av utstyr Informasjonsutveksling Tilgangsstyring Anskaffelser Sikkerhet i prosesser Hendelseshåndtering Beredskap Overensstemmelse med eksterne krav og interne overordnede føringer Overvåkning Godkjenningsstatus informasjonssystemer Administrasjon av brukertilgang Brukeransvar Styring av nettverkstilgang Styring av tilgang til driftssystemer Styring av tilgang til informasjon Sikkerhetskrav til anskaffelsen Informasjonsbehandling Sikkerhetsavtaler Leverandørklareringer Rapportering av hendelser Håndtering av hendelser Nødplaner Øvelser Risikovurdering Identifisert gjeldende krav Hindre misbruk av utstyr Sikkerhetspolicy Teknisk overensstemmelse Tabell 9 Eksempler på områder for sikkerhetsrevisjon (16) 16. For mer om sikkerhetsrevisjon om styringssystem for sikkerhet, se veileder for sikkerhetsstyring, NSM 20 En sikkerhetsrevisjon
21 Formål med sikkerhetsrevisjonen Formålet med revisjonen kan også hentes fra revisjonsprogrammet. Revisjonsprogrammet er overordnet så sikkerhetsleder kan ha behov for å konkretisere det som ønskes oppnådd med sikkerhetsrevisjonen. Er det som står i revisjonsprogrammet uklart må det søkes avklaringer hos de som jobber med fagområdet eller de som har foreslått temaet. Det er viktig å ha klart for seg hva usikkerheten er knyttet til og hva de trenger mer informasjon om. For den enkelte sikkerhetsrevisjon må risiko knyttet til gjennomføringen av sikkerhetsrevisjonen vurderes, eksempelvis risiko for å trekke feil konklusjon eller at vesentlige forhold ikke avdekkes gjennom undersøkelsen. En sikkerhetsrevisjon kan antyde en trend eller gi en indikasjon på en tilstand. Det er alltid en viss risiko for at utvalget ikke gjenspeiler en helhet Eksterne krav og interne føringer revisjonskriterier En sikkerhetsrevisjon må støtte seg på noen kriterier, det betyr eksempelvis rettslig grunnlag som sikkerhetsloven, en standard som ISO/IEC eller tiltak besluttet på bakgrunn av en sikringsrisikovurdering. I revisjonsprogrammet bør det kort henvises til hvilke revisjonskriterier den enkelte sikkerhetsrevisjon vurderes opp i mot, som utdypes i planleggingen av den enkelte revisjon Faktiske forhold - Revisjonsbevis Revisjonsbevis er de faktaopplysninger som er nødvendige for å kunne svare på revisjonens formål. Mens revisjonskriterier er målestokken for undersøkelsen er revisjonsbevisene den informasjonen som dokumenterer om det er et avvik eller ikke. Risikoen ved sikkerhetsrevisjonen kan ha påvirkning på hvor mye bevis som er nødvendig. Er det risiko for å få feilinformasjon så er det behov for mer bevis. Hva sikkerhetsleder mener det vil være behov for av informasjon (revisjonsbevis) for å kunne svare på problemstillingen vil ha betydning for valg av metode Metodevalg Det finnes flere metoder for å innhente data eller fakta i en undersøkelse som en sikkerhetsrevisjon. Hva man velger avhenger av formålet med sikkerhetsrevisjonen, hvor dypt det er behov for å gå for å dokumentere eventuelle funn og ikke minst hvilken metode som er best egnet og som sikkerhetsleder har kompetanse til å få gjennomført. Der det tas i bruk mer enn en metode så vil det være et bredere grunnlag for å trekke en konklusjon. 21 En sikkerhetsrevisjon
22 METODE Dokumentgjennomgang Statistikk/ kvantitative data Spørreundersøkelse og intervju Prosessgjennomgang Stikkprøver Observasjon BRUKSOMRÅDER Gjennomgang av dokumenter som er utarbeidet i forbindelse med utførelsen av arbeidsoppgaver. Dette kan være saksmapper, planer, interne notater, brev, rapporter osv. Gjennomgang av informasjon fra flere kilder og/eller gjennomgang av større mengder med informasjon hvor formålet er å identifisere systematiske feil eller store enkeltfeil. Eksempler kan være trender i avviksrapporter, gjennomgang av logger og antall saker. Kvantitative data må i de fleste tilfeller analyseres. Det vi si at revisor analyserer data fra relevante kilder. For eksempel vil registerdata kunne benyttes. Også ferdige resultater fra andres undersøkelser kan brukes. Informasjon hentes inn ved å stille muntlige spørsmål (intervju) eller skriftlige spørsmål (spørreskjema). Dette kan for eksempel gjøres som en enkel web-undersøkelse for å nå mange. Intervju med enkeltpersoner kan være en hensiktsmessig oppfølging av en spørreundersøkelse. Intervjuer kan benyttes til å innhente faktaopplysninger, bekrefte og utdype data eller gjøre supplerende undersøkelser. Intervju kan for eksempel være egnet til å beskrive hendelser, støtte opp under en dokumentanalyse, eller til å kartlegge mulige årsaker til sårbarheter. Spørreskjema kan brukes for å samle inn både kvalitative og kvantitative data fra et større antall personer. Spørreskjema er eksempelvis godt egnet til å kartlegge for eksempel ansattes holdninger til sikkerhet og kjennskap til ulike bestemmelser. Som hovedregel kan kun verifiserte intervjudata brukes i revisjonen. Ofte skriver en revisor et referat fra intervjuet som den som ble intervjuet leser igjennom og gir skriftlig tilbakemelding på. Gjennomgang av en prosess fra start til slutt. Eksempelvis følges en sak fra denne oppstår til den er ferdigstilt. For eksempel en sikkerhetsgradert anskaffelse. I denne type undersøkelse ser man på hvilke potensielle risikoer som ligger i det enkelte prosess-steg og vurderer om iverksatte tiltak fungerer og at risikoene derfor er på et akseptabelt nivå. Et antall saker velges ut for gjennomgang. For eksempel kan det omfatte å kun påse at sjekklister er signert og datert og at autorisasjoner foretatt. Her observerer man personer, gjenstander eller hendelser for å være sikker på at rutiner følges. Dette egner seg best ved rutiner knyttet til fysiske tiltak eksempelvis håndtering av fysisk varemottak. Tabell 10 Eksempler på metoder og bruksområder 22 En sikkerhetsrevisjon
23 Kompetanse Den som har ansvaret for å gjennomføre en sikkerhetsrevisjon må ha tilstrekkelig faglig kjennskap til området som skal revideres. Dersom den som har ansvaret ikke har inngående kjennskap til området, så må denne kompetansen finnes andre steder i organisasjonen og bistå med sin fagkunnskap. Revisjonsansvarlig bør ha kompetanse innen planlegging av et oppdrag, datainnsamling, herunder metoder og troverdighet til kilder, dokumentanalyse og god til å kommunisere, både muntlig og skriftlig. VIKTIGE KOMPETANSEOMRÅDER FOR SIKKERHETSREVISJONSARBEID: Kjennskap til styringssystemet for sikkerhet Kjenne til eksterne krav og interne overordnede føringer innen sikkerhet Vite hvordan virksomheten er organisert og hva som er de viktigste leveransene og kjerneprosessene Forstå virksomhetens sosiale kodeks og kultur, herunder sikkerhetskultur spesielt Kunne styre mindre prosjekter Kunne bruke ulike metoder for informasjonsinnhenting God muntlig og skriftlig fremstillingsevne Tabell 11 Viktig kompetanseområder for sikkerhetsrevisjonsarbeid Listen med kompetanseområder antyder det at dette er en oppgave for sikkerhetsleder. Sikkerhetsleder får ofte god virksomhetskunnskap i og med at det er en funksjon som må samarbeide med alle funksjoner for å ha et riktig nivå på den forebyggende sikkerheten. Det kan likevel være behov for å delta på kurs i eksempelvis internrevisjon for å få en grunnleggende kompetanse i gjennomføring av revisjoner Gjennomføring Om gjennomføring Sikkerhetsrevisjoner gjennomføres vanligvis av et team, minimum to personer. Teamet kan bestå av en hovedansvarlig og en fagrådgiver. I en liten organisasjon vil ansvaret kanskje tillegge sikkerhetsleder alene. Ansvaret innebærer å gjennomføre sikkerhetsrevisjonen og utarbeidelse av rapport. Fagrådgiver vil være en som har god kompetanse på området som skal kontrolleres. Her er det viktig å skille mellom kontrollerende og utøvende roller. Kontrollene bør gjennomføres av personer som ikke deltar direkte i arbeidet som skal undersøkes. 23 En sikkerhetsrevisjon
24 Varsling av sikkerhetsrevisjon Revisjonsprogrammet viser at det skal gjennomføres en undersøkelse, men det er ikke så detaljert at det sier noe om dato for oppstart av undersøkelsen. For å sikre at de som bør være tilstede når undersøkelsen gjennomføres er det nødvendig å varsle i god tid. Varselet bør sendes slik at de som skal delta og involveres har mulighet til å justere allerede planlagte aktiviteter eventuelt be om utsettelse. Dersom de som skal gjennomføre sikkerhetsrevisjonen har behov for å få tilsendt eller ha informasjon tilgjengelig ved oppstart, må varselet sendes slik at mottager har tid til å innhente denne dokumentasjonen. Som en del av varselet bør det også legges ved en plan for undersøkelsen, herunder hvem revisor ønsker å møte, hva som skal være tilgjengelig av dokumentasjon, andre forhold som legges til rette. En uvarslet sikkerhetsrevisjon kan være hensiktsmessig ved eksempelvis gjennomføring av stikkprøver. Det er imidlertid gode grunner for å utvise varsomhet ved bruk av uvarslede sikkerhetsrevisjoner da det ofte skaper negative følelser både hos de som blir undersøkt, men også deres kolleger som indirekte blir berørt. Det skaper mistillit mellom sikkerhetsleder og organisasjonen for øvrig. Forebyggende sikkerhet har behov for tillit for å kunne bygge en god sikkerhetskultur og ikke skape en kultur basert på usikkerhet knyttet til det å bli utsatt for uvarslede inspeksjoner. Kontrollens formål og hva virksomheten ønsker å oppnå er derfor avgjørende i valget av tilnærming Åpningsmøtet Før oppstart av selve undersøkelsen må det avholdes et åpningsmøte. Dette er nødvendig for å informere de funksjonene som påvirkes av undersøkelsen, slik at usikkerhet og muligheten for misforståelser forebygges. Hvor formelt et åpningsmøte skal være må den enkelte virksomhet vurdere. Er det eksempelvis behov for økt bevissthet knyttet til funksjonen sikkerhetsleder har, så kan det være hensiktsmessig med et åpningsmøte der den som vil kan delta. Det viktigste er likevel at leder for den funksjonen eller prosessen som skal revideres blir informert, da gjerne i et kort møte, slik at lederen kan ta dette videre og informere sine ansatte som vil bli berørt. FORSLAG TIL PUNKTER TIL ÅPNINGSMØTET Revisjonsleder presenterer revisjonsgruppen Orienterer om bakgrunnen for og hensikten med undersøkelsen Tidsplan gjennomgås Praktiske spørsmål omkring gjennomføring kan avklares Manglende dokumentasjon kan etterspørres Tabell 12 Forslag til punkter til åpningsmøtet 24 En sikkerhetsrevisjon
25 Innhenting av informasjon (revisjonsbevis) Omfanget av faktainnsamlingen avhenger av hvilke metoder som er valgt for å samle inn informasjon. Uavhengig av metodevalg må faktainnsamlingen planlegges slik at informasjonen som samles inn faktisk er informasjonen det er behov for og ikke overskuddsinformasjon. Nok informasjon er sjelden mangelvare, men i en sikkerhetsrevisjon er det ikke nok, men riktig informasjon for å kunne svare ut sikkerhetsrevisjonens formål som er viktig. Uavhengig av metode det viktig å vite hva man skal se etter for ikke å rote seg bort i forhold som er interessante, men ikke relevante i denne sammenhengen. Både ved intervju og spørreundersøkelser er det å stille de riktige spørsmålene en egen prosess som må være godt planlagt Sluttmøte Det må vurderes om det er behov for et sluttmøte for å presentere funnene. Det anbefales at de som har vært mest involvert i sikkerhetsrevisjonen får tilbud om et møte. Dette er en arena der leder for sikkerhetsrevisjonen presenterer revisjonsbevisene, fakta fra datainnsamlingen, eksempelvis at ansatte ikke går med adgangskort synlig, at rutinene ikke er oppdaterte eller at autorisasjonssamtaler ikke er dokumentert. Alle faktaopplysningene må dokumenteres. Et godt gjennomført sluttmøte er en viktig arena for å gi sikkerhetsarbeidet i virksomheten riktig prioritet videre. Forut for møtet må revisjonsteamet oppsummere resultatene og ha en agenda. Sluttmøtet gjennomføres etter faktainnsamlingen Rapportering Vurdering og konklusjon Etter faktainnsamlingen og sluttmøtet må informasjonen analyseres og vurderes opp mot revisjonskriteriene. Er valgt metode en spørreundersøkelse må svarene bearbeides og tolkes. Det kan være fornuftig å ta inn et punkt i rapporten om feilkilder, siden tolkning alltid vil ha et subjektivt element. Det er viktig å vise hva man veier både for og mot en konklusjon slik at leser av rapporten forstår hvordan sikkerhetsleder/revisor har tenkt. Dette er også viktig for dokumentasjon av sikkerhetsrevisjonen. Revisjonsteamet kan dele funn i avvik og observasjoner, der avvik er brudd på gjeldene lover, regelverk og prosedyrer, mens observasjoner er områder som anbefales forbedret. Er det gjennomført både innsamling av statistikk og intervjuer så må funn fra begge metoder presenteres separat i faktadelen, men at funnene i vurderingsdelen kan støtte hverandre eventuelt ikke støtte hverandre. En sikkerhetsrevisjon skal ikke være en fasit. Det er en undersøkelse som vil gir en indikasjon på status. Indikasjonen kan være sterk, men der den er svak kan det være behov for ytterligere undersøkelser. 25 En sikkerhetsrevisjon
26 Beskyttelse av informasjon Dersom virksomheten behandler sikkerhetsgradert informasjon er det viktig at sikkerhetsgradert informasjon oppbevares i tråd med regelverket og at det brukes kommunikasjonskanaler som er godkjente for riktig nivå. Opplysninger som er ugraderte, men sensitive må også beskyttes tilstrekkelig av alle involverte parter. Siden revisjonen vil kunne avdekke sårbarheter i virksomhetens sikkerhetssystemer er det viktig å tidlig vurdere hvorvidt innhenting av opplysninger eller rapporteringen krever skjerming. Når rapporten er avgitt er det hovedmottaker som avgjør videre formidling av innholdet Forslag til tiltak Siden sikkerhetsrevisjonen skal fungere som et verktøy for kontinuerlig forbedring kan revisjonsteamet gi anbefalinger til tiltak som bidrar til å forbedre systemer og prosesser for forebyggende sikkerhet. Sikkerhetsleder vil i tillegg til å finne avvik samtidig prøve å se etter årsaken til avviket og derav ha en formening om hvordan dette kan forbedres. På denne måten kan sikkerhetsrevisjonen brukes som et verktøy der virksomheten hjelpes til å se hvorfor sikkerheten ikke er god nok, hvordan den kan forbedres og hvordan tiltakene bør følges opp. En forutsetning for å få dette til er god kommunikasjon mellom sikkerhetsleder og de som er berørt av revisjonen. Virksomheten må ha tillit til sikkerhetsleder. Det er også derfor viktig at sikkerhetsleder ikke er alene med å foreslå tiltak, men at de som blir berørt av avviket er med i utformingen. I tillegg til å bygge tillit vil dette bidra til at de som eier avviket får et eierskap til tiltaket samt en større forståelse for hvorfor og hvordan avviket bør lukkes (17) Utarbeide rapport Det er viktig med en rød tråd gjennom oppdraget, fra planlegging til endelig rapport. Før endelig rapport bør det sendes et utkast til gjennomgang til de berørte partene, først og fremst for å bekrefte fakta, men også for å få synspunkter på vurderinger og anbefalinger. Sikkerhetsrevisjoner fokuserer i stor grad på avvik og svakheter, noe som kan bidra til at leseren av rapporten får et skjevt bilde av den forebyggende sikkerheten på det undersøkte området. Rapporten bør derfor være balansert og inneholde både tilfredsstillende og ikke tilfredsstillende observasjoner. For mottaker av rapporten kan det være et like stort behov for å få bekreftet hva som fungerer tilfredsstillende som hva som ikke fungerer. Det er viktig at de som har blitt kontrollert gis en mulighet til å bli hørt og at eventuelle misforståelser fra begge sider avklares før endelig rapport avgis. 17. Sikkerhetsrevisjoner - dagens situasjon og videre utvikling, Håkon Ruud Fartum, SINTEF Teknologiledelse, avdeling for Sikkerhet og pålitelighet, En sikkerhetsrevisjon
27 KJENNETEGN PÅ EN GOD RAPPORT Nøyaktig Objektiv Tydelig Konstruktiv Tidsaktuell Leservennlig Tabell 13 Kjennetegn på en god rapport Ved endelig rapport bør avdekkede avvik i utgangspunktet være kjent for virksomheten, og det bør stå en frist for å gi tilbakemelding på innhold og konklusjoner. Revisjonsleder har ansvaret for å sende endelig rapport til ledelsen for de funksjonene som har blitt kontrollert. Det kan være hensiktsmessig å informere nivået over kontrollert nivå. Endelig rapport bør godkjennes av sikkerhetsleder. FORSLAG TIL INNHOLD I EN RAPPORT Konklusjon Innledning: Formål med revisjonen Tema for revisjonen Omfang Revisjonskriterier Avvik og observasjoner Revisjonskriterier, revisjonsbevis, vurderinger og konklusjoner Vurdering Synliggjøre mulige konsekvenser Forslag til korrigerende tiltak Prioritet Ansvar for utbedring Tidsfrist for utbedring Tabell 14 Forslag til innhold i en rapport Hvis sikkerhetsrevisjonen viser ingen eller små avvik og tilliten til undersøkelsen er høy, viser dette at sikkerheten på det undersøkte området kan vurderes som tilfredsstillende. Hvis det avdekkes avvik, må dette rapporteres i de kanaler som har behov for denne type informasjon. Det kan være virksomhetens leder, kontraktsparter, overordnet virksomhet eller andre som det er bestemt skal informeres i slike tilfeller, eksempelvis NSM dersom det avdekkes sikkerhetstruende hendelser. (18) 18. Forskrift om sikkerhetsadministrasjon kapittel 5 og NSMs rundskriv 1/11 27 En sikkerhetsrevisjon
28 Dersom det avdekkes vesentlige avvik bør sikkerhetsleder ta dette direkte med virksomhetens leder. (19) 8.5. Oppfølging Gjennomførte revisjoner skal følges opp av sikkerhetsleder ved å etterspørre status for tiltakene. Sikkerhetsleder kan følge opp med kontroll av hvorvidt nødvendige tiltak blir iverksatt som en del av styringssystemet for sikkerhet. Når tiltakene er iverksatt og implementert vil sikkerhetsrevisjonen lukkes og følges opp som sikkerheten forøvrig igjennom styringssystemet for sikkerhet. 19. Forskrift om sikkerhetsadministrasjon En sikkerhetsrevisjon
29 DEL IV LISTER OG VEDLEGG 9. Kildeliste KILDE UTGITT TITTEL URL Direktoratet for økonomistyring (DFØ) 2015 Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon 2013 Veileder i internkontroll internrevisjon/ publikasjoner/veiledere/internkontroll/ Veileder_internkontroll.pdf Evalueringsportalen fallgruver i intervjusituasjonen artikkel/ Store norske leksikon Revisjon The International Organization for Standardization ISO 19011:2011 ISO/IEC 27001:2013 ISO/IEC 27002: SINTEF Teknologiledelse, Sikkerhet og pålitelighet 2002 Sikkerhetsrevisjoner dagens situasjon og videre utvikling project/hfc/documents/notat-haakon-fartum.pdf Norges Interne Revisorers Forening 2015 veileder for compliance funksjonen veileder-for-compliancefunksjonen/ Nasjonal sikkerhetsmyndighet 2015 Veileder i sikkerhetsstyring dokumenter/veiledninger/veileder-i-sikkerhetsstyring--endelig.pdf Direktoratet for e-helse Norm for informasjonssikkerhet, fakta ark 06 faktaark-06-sikkerhetsrevisjon Direktoratet for forvaltning og IKT (DIFI) Internkontroll i praksis (beta) 29 Kildeliste
30 KILDE UTGITT TITTEL URL Finanstilsynet 2009 Rundskriv 03/2009 Veiledning til forskrift om risikostyring og internkontroll Riksrevisjonen 2012 Kompetansesenter for IT i helse- og sosialsektoren (KITH) 2002 Datatilsynet Figurer Retningslinjer for forvaltningsrevisjon IT-revisjon, rapport 22/02 Internkontroll og informasjonssikkerhetveileder Artikkelarkiv/Rundskriv/2009/1-kvartal/ Veiledning-til-forskrift-om-risikostyringog-internkontroll/ Sider/Forvaltningsrevisjon.aspx WebPage 673.aspx Sikkerhet-internkontroll/ Figur 1 Illustrasjon av et styringssystem for sikkerhet 8 Figur 2 Ledelsens evaluering og sikkerhetsrevisjoner 10 Figur 3 Illustrasjon av ulike kontrollnivåer for å sikre styring og kontroll Tabeller Tabell 1 Sikkerhetslovens forskrifter om sikkerhetsrevisjon 6 Tabell 2 Begrunnelse for å gjennomføre sikkerhetsrevisjoner 9 Tabell 3 Sikkerhetsrevisjoner som bidrag til ledelsens evaluering 11 Tabell 4 Grunnlag for valg av revisjoner 15 Tabell 5 Forhold som påvirker revisjonsprogrammets omfang og detaljgrad 16 Tabell 6 Huskeliste ved utarbeidelse av revisjonsprogram 16 Tabell 7 Fasene i en sikkerhetsrevisjon 18 Tabell 8 Forhold som må spesifiseres i revisjonsplan 18 Tabell 9 Eksempler på områder for sikkerhetsrevisjon 20 Tabell 10 Eksempler på metoder og bruksområder 22 Tabell 11 Viktig kompetanseområder for sikkerhetsrevisjonsarbeid 23 Tabell 12 Forslag til punkter til åpningsmøtet 24 Tabell 13 Kjennetegn på en god rapport 27 Tabell 14 Forslag til innhold i en rapport Vedlegg A. Mal for revisjonsprogram B. Mal for revisjonsplan C. Mal for revisjonsvarsel, e-post D. Mal for agenda til åpningsmøte E. Mal for agenda til sluttmøtet 30 Figurer
31 Vedlegg A: Mal for revisjonsprogram Nr. (X/20XX) Tema Formål 1 Tema for revisjonen Hvorfor skal dette undersøkes, hva forventes det å få svar på Revisjonskriterier Omfang Risiko Hvilke krav/ forventninger kan stilles til område som skal undersøkes? Beskriv omfang i forhold til hvilke deler av organisasjonen som berøres, hvorfor akkurat disse delene (avgrensing) Beskrivelse av risiko knyttet til gjennomføring av revisjonen Revisjonsleder/ fagrevisor Periode for gjennomføring Hvem er ansvarlig for gjennomføring og hvem skal bistå med hvilke roller Forventet oppstart og forventet ferdigstillelse (rapport) 31 Vedlegg
32 Vedlegg B: Mal for revisjonsplan PLAN FOR SIKKERHETSREVISJON... Revisjonsnummer:x/2017 Godkjent: dd.mm.yyyy Sikkerhetsleder (sign): Revisjonsleder (sign): Mandat for sikkerhetsrevisjonen: Tema: (hentes fra programmet) Risikovurdering: (hentes fra programmet) Formål: (hentes fra programmet) Omfang: (hentes fra programmet) Revisjonsteam Revisjonskriterier Navn (Peder Aas) Rolle (ex Revisjonsleder) Navn Rolle Navn Rolle Beskriv om det er krav gitt i lov og forskrift eksempelvis sikkerhetslovens krav om dokumenthåndtering, kontraktsrettslige forpliktelse, eksempelvis nedfelt spesielle krav til sikkerhet som leverandør, vurdering av styringssystemer eller annet grunnlag for kontroll. Metodevalg Hvilke metode skal benyttes og hvorfor. Hvilke metode vil best oppfylle formålet også sett opp mot risiko eksempelvis motstand i virksomheten, kanskje uvarslet inspeksjon bidrar til sterkere motstand. Aktivitetsplan Aktivitet Ansvar Frist Sende revisjonsvarsel Gjennomføre åpningsmøte Sende spørreundersøkelse Gjennomføre dybdeintervjuer Gjennomføre sluttmøte Sende utkast til rapport Gjennomføre møte for å omforenes om tiltak Sende sluttrapport Ferdigstille dokumentasjon Revisjonsleder Revisjonsleder Fagrevisor Revisjonsleder og fagrevisor Revisjonsleder Revisjonsleder Revisjonsleder og revidert part Revisjonsleder Revisjonsleder og fagrevisor 32 Vedlegg
33 Vedlegg C: Mal for revisjonsvarsel, e-post Til: Kopi: Fra: Emne: Leder for enhet som blir berørt Sikkerhetsleder (om ikke revisjonsleder), revisjonsteam Revisjonsleder Varsel om sikkerhetsrevisjon: x/2017 "Tema/ Navn på revisjon" Virksomhetens leder har besluttet at det skal gjennomføres sikkerhetsrevisjon om tema (se revisjonsprogram). Bakgrunnen for å gjennomføre sikkerhetsrevisjon på dette området er (se revisjonsprogram om risiko og formål). Kriterier for sikkerhetsrevisjonen er (se revisjonsprogram). Undersøkelsen vil omfatte (se revisjonsprogram - omfang) Tidsplanen for gjennomføringen av revisjonen er som følger: (hent fra revisjonsplan). Om revisjonen baserer seg i stor grad på intervjuer kan det legges ved en plan for når et enkelt intervju skal gjennomføres. Dersom det skal gjennomføres andre undersøkelser med dybdeintervjuer i etterkant kan det legges inn en setning om at man vil sende ut en oversikt over intervjuer senere. Med vennlig hilsen, Navn Rolle Kontaktdetaljer 33 Vedlegg
34 Vedlegg D: Mal for agenda til åpningsmøte Åpningsmøte for sikkerhetsrevisjon: (navn på revisjon) Agenda: 1. Hensikten med møtet Orientere om sikkerhetsrevisjoner generelt og denne revisjonen spesielt. Arena for å stille spørsmål om sikkerhetsrevisjoner slik at de involverte har forståelse for hensikt og rammer for revisjoner. 2. Orienteringspunkter: Bakgrunnen for, temaet for, formålet med og omfanget av sikkerhetsrevisjonen Revisjonsgrunnlaget 3. Presentasjon av revisjonsteamet 4. Tidsplan 5. Spørsmål 34 Vedlegg
35 Vedlegg E: Mal for agenda til sluttmøte Sluttmøte for sikkerhetsrevisjon: (navn på revisjon) Agenda: 1. Hensikten med møtet Alle involverte skal være orientert om funnene i revisjonen. Dette er også en arena for å avklare eventueller misforståelser 2. Orienteringspunkter: Bakgrunnen for, temaet for, formålet med og omfanget av sikkerhetsrevisjonen Revisjonsgrunnlaget 3. Gjennomgå funnene i revisjonen 4. Spørsmål og avklaringer (kan tas fortløpende under punkt 3) Praktiske forhold: Det kan være hensiktsmessig å registrere deltakere på sluttmøte for å gjengi dette i revisjonsrapporten. 35 Vedlegg
36 Vedlegg F: Mal for rapport Husk å vurdere om rapporten skal være unntatt offentlighet eller om den bør sikkerhetsgraderes. SIKKERHETSREVISJON Nummer Tittel Dato for godkjenning Konklusjoner Her skrives det inn en oppsummering av de viktigste funnene. Avvik (A) er forhold som må korrigeres for at praksis blir i overensstemmelse med eksterne krav eller interne føringer. Observasjoner (O) er forhold som ikke er avvik, men som påpekes fordi det er grunnlag for forbedring. Dette kan også være forhold som kan føre til avvik dersom det ikke iverksettes tiltak. AVVIK A1 Legg inn avvik fra sikkerhetsrevisjonen A2 A3 A4 OBSERVASJONER O1 Legg inn observasjoner fra sikkerhetsrevisjonen O2 O3 En sikkerhetsrevisjon er en systematisk, uavhengig og dokumentert prosess for å fremskaffe informasjon om faktiske forhold og bedømme dette objektivt for å vurdere i hvilken grad det er svakheter på området i forhold til det som er forventet. Sikkerhetsrevisjoner gir informasjon til virksomhetens leder om praksis samsvarer med eksterne krav og interne føringer. Informasjonen skal som grunnlag for interne forbedringer. 36 Vedlegg
37 I. Innledning I.i. Formålet med sikkerhetsrevisjonen (hent fra revisjonsplan) I.ii. Tema for sikkerhetsrevisjonen(hent fra revisjonsplan) I.iii. Omfang for sikkerhetsrevisjonen (hent fra revisjonsplan) I.iv. Periode for gjennomføring (hent fra revisjonsplan) I.v. Revisjonskriterier (hent fra revisjonsplan) I.vi. Metode for gjennomføring II. Avvik II.i. Avvik 1: Tittel på avvik Revisjonskriterier Revisjonsbevis Vurdering Anbefalinger II.ii. Avvik 2: Tittel på avvik Revisjonskriterier Revisjonsbevis Vurdering III. Observasjoner III.i. Observasjon 1: Tittel på observasjonen Revisjonskriterier (om finnes) Revisjonsbevis Vurdering Anbefalinger III.ii. Observasjon 2 III.iii. Observasjon 3 37 Vedlegg
38 (NSM) Postboks Sandvika
Instruks (utkast) for Internrevisjonen Helse Sør-Øst
Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3
DetaljerInstruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av
Instruks for Konsernrevisjonen Helse Sør-Øst Erstatter instruks av 26.02.2009 Fastsatt av styret i Helse Sør-Øst RHF 07.02.2012 Innhold 1 Konsernrevisjonens formål... 3 2 Organisering, ansvar og myndighet...
DetaljerRSK 001 Standard for forvaltningsrevisjon
Forslag til revidert 06.10.10 RSK 001 Standard for forvaltningsrevisjon Innhold Avsnitt Innledning 1-5 Krav til revisor 6-9 Bestilling 10-11 Revisjonsdialogen 12-17 Prosjektplan 18-19 Problemstilling(er)
DetaljerInstruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012
Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3
DetaljerUtkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,
Utkast instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 08.12.2010 Innhold 1 Internrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver...
DetaljerForvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter
Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter Prosjektplan/engagement letter September 2013 Innhold 1. Innledning... 3 1.1 Bakgrunn... 3 1.2 Formål og problemstillinger... 3 2. Revisjonskriterier...
Detaljer1. FORMÅL 2. PROFESJONELT GRUNNLAG
Vedlikeholdes av: Chief Compliance Officer Side: 1 av 5 1. FORMÅL Internrevisjonen skal fremme og beskytte GIEKs verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsikt. Den skal bidra
DetaljerInstruks for konsernrevisjonen Helse Sør-Øst
Instruks for konsernrevisjonen Helse Sør-Øst Godkjent av revisjonskomiteen Helse Sør-Øst RHF 26.02.2009 Innhold 1 Konsernrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver... 3
DetaljerBilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt
Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Instruks for internrevisjon i Garanti-Instituttet for Eksportkreditt 2005 Side 1 av 5 Internrevisjonsinstruksen setter rammer
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerRevisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
DetaljerFULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017
FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017 - I n t r o d u k s j o n - Det er et krav i de internasjonale standarder for profesjonell utøvelse av internrevisjon utgitt av
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerPlan for forvaltningsrevisjon 2008-2012. Stokke kommune
Plan for forvaltningsrevisjon 2008-2012 Stokke kommune 1 Innhold 1 INNLEDNING... 3 1.0 INNLEDNING... 3 1.1 PLAN FOR FORVALTNINGSREVISJON... 3 1.3 OVERORDNET RISIKO- OG VESENTLIGHETSVURDERING... 4 1.4 METODE
DetaljerMalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF
MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF
DetaljerNSB Gjøvikbanen AS Persontransport. Sikkerhetsstyring TILSYNSRAPPORT 2012-32
statens jernbanetilsyn ja,nbane toubane parkoqtnol, NSB Gjøvikbanen AS Persontransport Sikkerhetsstyring TILSYNSRAPPORT 2012-32 1 Om revisjonen 3 2 Hovedfunn 3 3 Avvikssammendrag 4 4 Avvik 4 Avvik 1. Det
DetaljerSaksframlegg Referanse
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang
DetaljerStrategi for Informasjonssikkerhet
Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerVeiledning- policy for internkontroll
Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som
DetaljerTeknisk kontrollorgan. SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT
statens jernbanetilsyn ;ernoa', : :;,3,1,-,Æ,,E; Teknisk kontrollorgan SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT Rapport nr. 2012-30 Teknisk kontrollorgan SINTEF IKT, Senter for jernbanesertifisering
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerNye krav til internrevisjon i staten. Ola Otterdal, Forvaltnings- og analyseavdelingen, Direktoratet for økonomistyring
Nye krav til internrevisjon i staten Ola Otterdal, Forvaltnings- og analyseavdelingen, Direktoratet for økonomistyring Agenda 1. Bakgrunn 2. Nye krav til vurdering og innretning 3. Veiledning for vurdering
DetaljerRetningslinjer for risikostyring ved HiOA Dato siste revisjon:
Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere,
DetaljerForvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter
Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap Prosjektplan/engagement letter September 2013 Innhold 1. Innledning... 3 1.1 Bakgrunn... 3 1.2 Formål
DetaljerÅrsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring
UTK Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring Konsernrevisjonen Helse Sør-Øst 05.02.2015 INNHOLDSFORTEGNELSE SAMMENDRAG... 3 1. INNLEDNING... 4 1.1 FORMÅL MED REVISJONEN...
DetaljerCompliance funksjonen utøvelse og praktisk angrepsvinkel
Compliance funksjonen utøvelse og praktisk angrepsvinkel Presentasjon i Complianceutvalget i VFF den 10. april 2013 Kate A. Pauli Lovpålagt funksjon Verdipapirforetak og forvaltningsselskaper for verdipapirfond
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerPolicy for informasjonssikkerhet og personvern i Sbanken ASA
Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer
DetaljerVeiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:
Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende
DetaljerHELSE NORD RHF ENDRING
Saksbehandler: Tor Solbjørg, tlf. 75 51 29 02 Vår dato: Vår referanse: Arkivnr: 9.10.2009 200800560-13 134 Vår referanse må oppgis ved alle henvendelser Deres dato: Deres referanse: STYRESAK 90-2009 INSTRUKS
DetaljerDirektiv Krav til sikkerhetsstyring i Forsvaret
Direktiv Krav til sikkerhetsstyring i Forsvaret Forsvarssjefen fastsetter Direktiv Krav til sikkerhetsstyring i Forsvaret til bruk i Forsvaret Oslo, 10. desember 2010 Harald Sunde General Forsvarssjef
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerHOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014
HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014 1. Innledning og formål Instruksen er fastsatt av Finansdepartementet den 19. november
DetaljerÅrsrapport 2011 Internrevisjon Pasientreiser ANS
Årsrapport 2011 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjon av systemforvaltning... 4 Formål og omfang... 4 Tidsrom for gjennomføring og ressursbruk... 4 Funn og anbefalinger...
DetaljerHøgskolen i Sør-Trøndelag Høgskolestyret. Sak: Henvisning til HiSTs måltavle (http://www.hist.no/content.ap?thisid=131)
Høgskolen i Sør-Trøndelag Høgskolestyret Vedtakssak Dato: 22.02.09 Til: Høgskolestyret Fra: Rektor Sak: HS-V-002/09 Intern kontroll og revisjon, retningslinjer for Høgskolen i Sør- Trøndelag Saksbehandler/-sted:
DetaljerHelseforetakenes senter for pasientreiser ANS 1/2016
Helseforetakenes senter for pasientreiser ANS 1/2016 RAPPORT Oppfølging av revisjoner som ble gjennomført i 2013-14 Revisjonsrapport 1/2016 Internrevisjon Side 1 av 13 Tidsrom for revisjonen Mai-juni 2016
DetaljerVeiledning om ledelsens gjennomgåelse. Innhold. Utgitt første gang: 19.6.2012 Oppdatert: 15.01.2015
Veiledning om ledelsens gjennomgåelse Utgitt første gang: 19.6.2012 Oppdatert: 15.01.2015 Innhold 1 Bakgrunn... 2 2 Hensikt... 2 3 Omfang... 2 4 Sentrale krav... 2 5 Generelt om ledelsens gjennomgåelse...
DetaljerSPISSKOMPETANSE GIR BEDRE INTERNREVISJON
30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerNSB Revisjon. Intern assesserende enhet (AsBo) RAPPORT NR
NSB Revisjon Intern assesserende enhet (AsBo) RAPPORT NR. 2016-22 1 Bakgrunn mål... 3 2 Konklusjon... 3 3 Avvik... 4 4 Observasjoner... 7 5 Andre forhold... 7 6 Om tilsynet... 7 6.1 Administrative data...
DetaljerMotiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser
Motiv: Oslofjorden Foto: Vann- og avløpsetaten Informasjon om sikkerhetsgraderte anskaffelser Vedlegg til sikkerhetsgraderte anskaffelser Innhold 1 Generelt... 2 2 Sikkerhetsavtale... 2 2.1.1 Generelt...
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerNorsk Skogsertifisering
Rapport fra resertifisering Systemsertifisering 2016.04.26/27 Sertifiseringsomfang: Rådgivning, opplæring og revisjon med det formål at avtaletilknyttede skogeiendommer skal tilfredsstille kravene til
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende
Detaljerephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE
ephorte: 2018/61949 Overlevert: 22.08.2018 OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE Innholdsfortegnelse 1 Om kartleggingen... 2 1.1 Innledning... 2 1.2 Formål... 2 1.3 Gjennomføring...
DetaljerRetningslinje for Organisatorisk læring innen Sikkerhetsstyring
Retningslinje for Organisatorisk læring innen 1. Hensikt Som infrastrukturforvalter har Jernbaneverket ansvaret for sikker utforming og sikker drift av infrastrukturen, herunder etablering og implementering
DetaljerUniversitetet i Oslo EIR
Universitetet i Oslo EIR Til Fra Universitetsstyret Enhet for intern revisjon Sakstype: Orienteringssak Møtesaksnr.: O-sak 6 Møtenr.: 6/2017 Møtedato: 24. oktober 2017 Notatdato: 05. oktober 2017 Arkivsaksnr.:
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerEtableringsplan. Internkontroll for informasjonssikkerhet og personvern
Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...
DetaljerSpørreundersøkelse om informasjonssikkerhet
Spørreundersøkelse om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er fagperson for informasjonssikkerhet i
DetaljerInternrevisjon et samarbeid på tvers
Internrevisjon et samarbeid på tvers Med anbefaling om «Best practice» For Universitetet i Stavanger Universitetet i Agder Universitetet i Nordland Høgskolen i Bergen Regler og krav Reglementet for Økonomistyring
DetaljerVerktøy for design av forvaltningsrevisjonsprosjekter
Verktøy for design av forvaltningsrevisjonsprosjekter Nasjonal fagkonferanse i offentlig revisjon 17-18 oktober 2006 Lillin Cathrine Knudtzon og Kristin Amundsen DESIGNMATRISE HVA HVOR- DAN GJENNOMFØR-
DetaljerÅrsrapport 2014 Internrevisjon Pasientreiser ANS
Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert
DetaljerOlje- og energidepartementet
Olje- og energidepartementet 1 Olje- og energidepartementets forvaltning og gjennomføring av budsjettet for 2009 1.1 Generelt om resultatet av revisjonen Tabell 1.1 (tall i mill. kroner)* Utgifter Inntekter
DetaljerOppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken
DetaljerRetningslinje for Organisatorisk læring innen Sikkerhetsstyring
Retningslinje for Organisatorisk læring innen 1. Hensikt Som infrastrukturforvalter har Bane NOR ansvaret for sikker utforming og sikker drift av infrastrukturen, herunder etablering og implementering
DetaljerJernbaneverket. TILSYNSRAPPORT NR. 2014-20 Leverandørstyring
Jernbaneverket TILSYNSRAPPORT NR. 2014-20 Leverandørstyring 1 Bakgrunn og mål... 3 2 Konklusjon... 3 3 Avvik... 4 4 Observasjoner... 4 5 Andre forhold... 5 6 Om revisjonen... 5 6.1 Administrative data...
DetaljerMuseene i Sør-Trøndelag AS Orkla Industrimuseum Thamshavnbanen. Revisjon
Museene i Sør-Trøndelag AS Orkla Industrimuseum Thamshavnbanen Revisjon TILSYNSRAPPORT NR. 2018-09 Statens jernbanetilsyn Tilsynsrapport nr. 2018-09 Side 2 av 8 1 Bakgrunn og mål... 3 2 Konklusjon... 3
DetaljerForvaltningsrevisjon. performance auditing value for money audit. Trondheim 7. juni 2012
Forvaltningsrevisjon performance auditing value for money audit Trondheim 7. juni 2012 formål Deltakerne skal få kjennskap til: forvaltningsrevisjonsprosessen bl.a. bestilling, planlegging og gjennomføring,
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerØkonomidirektør og sjefssamling 2015
Økonomidirektør og sjefssamling 2015 Avd. dir. Arne Lunde, Bergen 23.04.15 Hva er intern kontroll 14 Intern kontroll Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerDigital kommunikasjon som hovedregel endringer i eforvaltningsforskriften
Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet
DetaljerFylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen
Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -
DetaljerBANE NOR SF. Revisjon risikovurderinger TILSYNSRAPPORT NR
BANE NOR SF Revisjon risikovurderinger TILSYNSRAPPORT NR. 2019-05 1 Bakgrunn og mål... 3 2 Konklusjon... 3 3 Avvik... 4 4 Observasjoner... 4 5 Andre forhold... 4 5.1 Kontroll av risikovurderinger... 4
DetaljerTrondheim byarkiv v/elin E. Harder. Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv
Trondheim byarkiv v/elin E. Harder Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv Foto: Foto: Carl-Erik Geir Hageskal Eriksson Norsk arkivråd, Trondheim 23.03.2010
DetaljerTEMAER: FORVALTNINGSREVISJON (FR) ET OVERBLIKK SELSKAPSKONTROLL (SK) ET OVERBLIKK
TEMAER: FORVALTNINGSREVISJON (FR) ET OVERBLIKK SELSKAPSKONTROLL (SK) ET OVERBLIKK DISPOSISJON OVER EMNENE 1) FØR 1993: INGEN REGLER OM FR OG SK 2) ETTER 1993: REVISJONEN SKAL UTFØRE FR, JFR. KOML 60 NR.
DetaljerRHF og HF omfattes av sikkerhetsloven
Helse Sør-Øst RHF Gode og likeverdige helsetjenester til alle som trenger det, når de trenger det, uavhengig av alder, bosted, etnisk bakgrunn, kjønn og økonomi. RHF og HF omfattes av sikkerhetsloven Oppfølging
DetaljerOSLO HAVN KF TILSYNSRAPPORT
statens jernbanetilsyn jerrbane teubane park og tvo OSLO HAVN KF TILSYNSRAPPORT Rapport nr. 2012-22 OSLO HAVNKF TILSYNSRAPPORT Rapport nr.: Saksnr: Revisjonsperiode: Foretak: Kontaktperson: Revisjonslag:
DetaljerErfaringer fra NIRF`s kvalitetskontroll
Erfaringer fra NIRF`s kvalitetskontroll Jørgen Bock Kvalitetskomitemedlem NIRF Nestleder styret Statsautorisert revisor Krav til ekstern kvalitetskontroll Iht internrevisjonens standarder skal det gjennomføres
DetaljerJernbaneverket. TILSYNSRAPPORT NR. 2013-16 Arbeid i og ved spor leverandørstyring, prosjekt ombygging av Råde stasjon
statens jernbanetilsyn je,- åre Jernbaneverket TILSYNSRAPPORT NR. 2013-16 Arbeid i og ved spor leverandørstyring, prosjekt ombygging av Råde stasjon 1 Bakgrunn og mål 3 2 Konklusjon 3 3 Avvik 4 4 Observasjoner
DetaljerHvordan komme i gang med å etablere et styringssystem etter ISO 14001?
Hvordan komme i gang med å etablere et styringssystem etter ISO 14001? Skal du etablere et styringssystem for ytre miljø, men ikke vet hvor du skal starte? Forslaget nedenfor er forslag til hvordan du
DetaljerRisikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016
Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016 Client name - Event - Presentation title Page 1 AGENDA 1 2 Rammeverk for helhetlig risikostyring
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerCYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?
CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL? Annette Tjaberg Assisterende direktør Nasjonal sikkerhetsmyndighet Oslo 14. november 2017 SLIDE 1 IKT-RISIKOBILDET SLIDE 2 DET
Detaljer1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.
Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerLedelse og kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgssektoren
Ledelse og kvalitetsforbedring Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgssektoren Hvorfor ny forskrift? Uklarhet knyttet til ansvar, ledelse og organisering For lite systematikk for
DetaljerNytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring
Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai 2013 Side 1 Program Tid Tema Hvem 08:45-09:00 Registrering og kaffe 09:00 09:05 Velkommen Roger Bjerke, avdelingsdirektør Forvaltnings-
DetaljerRiksrevisjonens erfaringer fra sikkerhetsrevisjoner
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen
DetaljerRevisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst
Revisjonsplan 2014-2015 Konsernrevisjonen Helse Sør-Øst Godkjent av styret i Helse Sør-Øst RHF 13.03.2014 Distribusjon Revisjonsplanen distribueres til styret og styrets revisjonsutvalg, administrerende
DetaljerPrinsipper for virksomhetsstyring i Oslo kommune
Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres
DetaljerNSB AS. Oppfølging av avvik og uønskede hendelser
statens jernbanetilsyn NSB AS Oppfølging av avvik og uønskede hendelser Rapport nr. 2014-02 1 Bakgrunn og mål 3 2 Konklusjon 3 3 Avvik 4 4 Observasjoner 6 5 Andre forhold 6 6 Om revisjonen 6 6.1 Administrative
DetaljerSammenligning av ledelsesstandarder for risiko
Sammenligning av ledelsesstandarder for risiko av Martin Stevens Kvalitet & Risikodagene 2018 14. Juni 2018 Litt om meg Internrevisor i Gjensidige Hvorfor opptatt av risikostyring? - Bakgrunn fra finansiell
DetaljerNy forskrift om krav til kvalitetsforbedring i helse- og omsorgstjenesten
Ny forskrift om krav til kvalitetsforbedring i helse- og omsorgstjenesten Møte med ledende helsesøstre i 10. Mars 2017 Vibeke Larvoll Seniorrådgiver 1 Internkontroll (DFØ) https://www.youtube.com/watch?v=woifccsqogs
DetaljerLedelse og. kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helseog omsorgssektoren
Ledelse og kvalitetsforbedring Forskrift om ledelse og kvalitetsforbedring i helseog omsorgssektoren Kari Annette Os, seniorrådgiver Avd kvalitetsforbedring og pasientsikkerhet Helsedirektoratet Forskrifter
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerStyring og ledelse. 10.nov 2018 Fylkeslege Anne-Sofie Syvertsen 1
Styring og ledelse - om betydningen for pasientsikkerhet og kvalitet - om en egen forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten 10.nov 2018 Fylkeslege Anne-Sofie Syvertsen 1
DetaljerRevisjon. Versjonsnummer: Gyldig fra dato: Sikkerhetsklassifikasjon: Dokument type: Dokument nr: Jens Solli Hallgeir Øya Jens Solli, Jens Solli,
Revisjon Versjonsnummer: Gyldig fra dato: Dokument type: Dokument nr: 3 10.01.2014 S-KA-0067 Utarbeidet av (dato/sign): Kontrollert av (dato/sign): Faglig ansvarlig (dato/sign): Godkjent av (dato/sign):
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerEgenevaluering av internkontrollen
Egenevaluering av internkontrollen Veiledning - egenevalueringsverktøy internkontroll Bakgrunn God praksis for internkontroll er beskrevet i flere rammeverk. COSO (Committee of Sponsoring Organizations
DetaljerInternkontroll i Gjerdrum kommune
Tatt til orientering i Gjerdrum kommunestyre 14.12.2016 Internkontroll i Gjerdrum kommune Formålet med dokumentet Formålet med dette dokumentet er å beskrive internkontrollen i Gjerdrum kommune. Dokumentet
DetaljerNKRF Årsmøte 2009 Revisors vurdering av internkontroll
NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?
DetaljerProsedyre. Prosedyre for konflikthåndtering - Veiledning og prosedyre for oppfølging av konflikter i arbeidslivet - Gjelder for: Alle ansatte
Prosedyre Prosedyre for konflikthåndtering - Veiledning og prosedyre for oppfølging av konflikter i arbeidslivet - Gjelder for: Alle ansatte Vedtatt av: Administrasjonsutvalget Dato: 03.10.2016 JpID: 16/29587
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
DetaljerNorm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar
Detaljer