Risikovurdering av publiseringsverktøyet Vortex

Størrelse: px
Begynne med side:

Download "Risikovurdering av publiseringsverktøyet Vortex"

Transkript

1 Enhet for internrevisjon UNIVERSITETET I OSLO Risikovurdering av publiseringsverktøyet Vortex Distribuert til: Universitetsdirektør Kopi: Kommunikasjonsdirektør IT-direktør Gjennomført av: Rådgiver Cecilie Thorberg Seniorrådgiver Morten Opsal Revisjonssjef Sveinung Svanberg Blindern, 17. februar

2 Innhold 1. OPPDRAGET Bakgrunn for oppdraget formålet med oppdraget Framgangsmåte Definisjon av risiko Rapportens struktur VURDERINGER Prinsipielle betraktninger Status Vortex og de største risikoer Risikogjennomgang av delområdene Overordnede / generelle risikoer Risikoer Brukervennlighet Risikoer Funksjonalitet Risikoer Ytelse og stabilitet Risikoer Sikkerhet Risiko ved overgang til annet system KONKLUSJON

3 1. OPPDRAGET 1.1. Bakgrunn for oppdraget formålet med oppdraget I månedsskiftet november/desember 2011, mottok EIR en forespørsel/et ønske fra universitetsledelsen: Det er ønskelig at det foretas en risikovurdering av Vortex ift å evaluere sårbarhet knyttet til utvikling og drift av systemet. Etter innledende dialog med universitetsledelsen, Kommunikasjonsavdelingen (KA) og Vortex-gruppa i USIT ble det utarbeidet formål med oppgaven: Formålet med revisjonen er å risikovurdere Vortex som publiseringsløsning for UiO-web. Vortex har også andre funksjoner og leverer løsninger til andre nettsider enn UiO-web. Denne revisjonen avgrenses til å vurdere Vortex sin brukervennlighet funksjonalitet ytelse og stabilitet og sikkerhet for UiO-web på kort og lang sikt. Dette formålet ble akseptert av universitetsledelsen. EIR har i sin vurdering satt «lang sikt» til å være mer enn 3-5 år framover, men «kort sikt» er fram til det samme Framgangsmåte Det er gjennomført en rekke intervjuer med medarbeidere ved USIT og KA, medarbeidere som er tilknyttet IHR-prosjektet, representanter for superbrukere og nettredaktører. Videre har vi hatt telefonmøter med medarbeidere ved Universitetet i Bergen og ved NTNU for å kunne dra nytte av deres erfaringer med publiseringsløsninger. Tilgjengelig og relevant dokumentasjon er gjennomgått, og vi har fått tilsendt nyttig dokumentasjon fra såvel UiB som NTNU. Det er laget referater fra alle intervjuene. Med utgangspunkt i kartleggingen er det utarbeidet en SWOT-analyse 1 og deretter en oversikt over foreliggende risikoer, som er gruppert under de fire ovenstående kulepunktene. I tillegg til disse 4 gruppene har vi definert en femte gruppe med overordnede/generelle risikoer som gjelder alle områder. 1 SWOT-analyse, forkortet fra de 4 begrepene Strengths, Weaknesses, Opportunities og Threats 3

4 1.3. Definisjon av risiko EIR har i sitt arbeid benyttet seg av følgende definisjoner: Risiko kan defineres som "en samling av alle interne og eksterne faktorer som påvirker vår evne til å nå mål eller å oppfylle formålet." Risiko oppstår like mye fra faren for at noe fordelaktig ikke vil skje ("tapte muligheter"), som trusselen for at noe galt vil skje, eller avvik fra forventet resultat. Vi vil peke på at det ikke foreligger et målbilde for Vortex. Dette har vanskeliggjort risikoanalysen. En risikoanalyse bør alltid ta utgangspunkt i et definert mål, som er kjent og allment akseptert. I denne revisjonen er også den andre delen av definisjonen (tapte muligheter) viktig Rapportens struktur Rapporten er bygd opp med 4 hoveddeler: Prinsipielle betraktninger, som ligger utenfor mandatet, men som EIR mener har relevans i en større sammenheng. Status Vortex og de største risikoer. Nærmere om risikovurderingen av delområdene, hvor det i tillegg til de 4 områdene Brukervennlighet, funksjonalitet, ytelse og stabilitet, sikkerhet også inngår en gjennomgang av overordnede risikoer. Betraktninger rundt en evt. overgang til nytt system. Dette ligger også utenfor mandatet. 4

5 2. VURDERINGER 2.1. Prinsipielle betraktninger IHR-prosjektet har utviklet dokumentet Administrative IT-systemer med følgende anbefalinger: Etablering av et entydig definert systemeierskap Etablering av et entydig ansvars- og myndighetskart Etablering av et veikart for administrative IT-systemer Etablering av en strategisk koordineringsgruppe Etablering av en rådgivnings- og sekretariatsfunksjon I dokumentet er det også tegnet opp en modell for sammenheng mellom fagsystemansvar og fellesfunksjonsansvar. Videre er det beskrevet en kategorisering av systemer i 3 nivåer, med nivå 1 som omfatter virksomhetskritiske systemer. Verken publiseringsløsningen Vortex eller nettstedet UiO-web er definert inn i dokumentet, og vil derfor ikke bli omfattet av anbefalingene. Årsaken er at de ikke passer inn blant systemene som inngår i dokumentet og må defineres i en egen klasse. Området kan benevnes som dokumentforvaltning, eller Enterprise Content Management (ECM). 2 EIR mener det er nødvendig å etablere bedre styring på dette området enn hva UiO har per dato. ANBEFALING: UiO trenger å lage en modell som omfatter dokumentforvaltning, og etablere et opplegg som er tilsvarende de anbefalinger som foreslås i dokumentet Administrative IT-systemer. Et slikt kart kan bidra til at UiO gjør bedre valg, både på kort og lang sikt Status Vortex og de største risikoer Vi har gjennomført en SWOT-analyse av Vortex som viser styrker, svakheter, muligheter og trusler på nåværende tidspunkt. Analysen danner grunnlag for de etterfølgende risikovurderingene som omfatter såvel faren for uønskede hendelser som faren for at noe fordelaktig ikke vil skje (tapte muligheter) jfr 1.3 definisjon av risiko. 2 Oversatt fra engelsk, fra GartnerGroup dokument ID: G fra 13.oct.2011, tittel; Magic Quadrant for Enterprise Content Management: ECM, defined as a strategy, can help enterprises take control of their content and, in so doing, boost effectiveness, encourage collaboration and make information easier to share. ECM, defined as software, consists of a set of capabilities and/or applications for content life cycle management that interoperate, but that can also be sold and used separately. 5

6 Strengths S Weaknesses W Brukervennlig ved enkel publisering Stabilt og tydelig driftsmønster Blitt bedre over tid UiO styrer retningen på utvikling av løsningen Dedikerte tekniske ansatte med god kompetanse Feil kan bli (og blir) korrigert raskt Kostnaden for utvikling går til oss selv Tilpasset universell utforming Opportunities O Threats Strategi og langsiktig plan mangler Tatt i bruk uten en reell vurdering Alene i verden om å bruke det Uklare ansvarsforhold Avhengig av en håndfull personer Vanskelig rekruttering Liten fleksibilitet i kapasitet Mangler i funksjonalitet (ikke utviklet så langt) Mindre sannsynlig at sikkerhetshull blir oppdaget grunnet få brukere T UiO kan påvirke utviklingen av løsningen i ønsket retning Manglende strategiske beslutninger rundt publiseringsløsning og organisering Ikke troverdig at utviklingen kan være bedre enn andre løsninger som utvikles av mange Bortfall av personalressurser Ukjent økonomisk bilde Figur 1: SWOT-analyse av Vortex Vi vurderer Vortex til å være en tilfredsstillende publiseringsløsning på kort sikt. Utviklingen av Vortex har vært svært positiv de siste årene, og det ser vi som en styrke i forhold til potensialet for videre utvikling. Det faktum at det har vært stor utviklingsaktivitet parallelt med flytting av UiO sine websider fra gammel løsning, tyder på at web-seksjonen på USIT har hatt noen krevende år, men med gode resultater. Fordelen med en egenutviklet løsning er at fremdrift og retning styres helt av UiO selv, vi er ikke avhengig av andre for å få tilgang til ønsket funksjonalitet. Det kreves imidlertid at vi har nok ressurser til å få utført utviklingsønskene. Sammen med SWOT-analysen ønsker vi i dette avsnittet å presentere de risikoene vi anser som grunnleggende for alle delområdene i rapporten. Felles for alle disse risikoene er at UiO er alene i verden om å utvikle og bruke Vortex som publiseringsverktøy. I dette ligger det problemstillinger som vi har definert som risikoer i Figur 2. 6

7 Risikoer ved at UiO er alene om å bruke Vortex Kort sikt Lang sikt 1. Tilgang til kompetente ressurser 2. Utviklingstakt i forhold til andre produkter på markedet 3. Kun få brukere kan avdekke sikkerhetsfeil 4. Ukjent kostnadsbilde Figur 2: De største risikoene for Vortex som publiseringsløsning AD Risiko 1 Tilgang til kompetente ressurser Vortex er bygd på åpen kildekode med et mye brukt programmeringsspråk (Java). Imidlertid er kjernen i løsningen egenutviklet ved UiO, og det finnes ikke kompetanse på den utenfor UiO. Dette får konsekvenser ved at UiO ikke uten videre kan hente inn ekstern kompetanse i form av fast ansettelse eller ved innleie av konsulenter. Mye kompetanse må bygges internt og det kan ta opp til 2 år før en nyansatt er selvgående. Ved planlagte utviklingsoppgaver som ligger utenfor kjernen er det mulig å benytte ekstern kapasitet til å løse oppgaven. De ressursene som bidrar i utviklingen av Vortex i dag, vurderes som godt kvalifiserte, men de utgjør en liten gruppe. At gruppen består av få personer betyr at det er vanskeligere med spredning av nøkkelkompetanse, og dette fører til større grad av spesialisering hos enkeltpersoner. Et frafall (f.eks. sykdom eller bytte av jobb) kan medføre at oppgaver ikke kan løses på kort sikt. EIR vurderer at tilgang til bemanning og kompetanse i enheten utgjør en høy risiko både på kort og lang sikt. AD Risiko 2 Utviklingstakt i forhold til andre produkter på markedet Det at UiO er alene om å bruke Vortex innebærer at det kun skjer utvikling av løsningen ved UiO, mens det til sammenlikning i andre løsninger (med åpen eller lukket kildekode) vil være utallige utviklere. Noen av komponentene til Vortex består imidlertid av åpne kildekoder som andre også bruker. Utviklingen av komponenter blir overvåket av USIT og evt. tatt i bruk. Vi ser likevel en betydelig usikkerhet i om det begrensede miljøet på UiO vil klare å holde følge med den raske utviklingen i markedet. EIR vurderer faren for ikke å klare å holde følge med utviklingstakten på markedet som moderat på kort sikt, og høy på lang sikt. 7

8 AD Risiko 3 Kun få brukere kan avdekke sikkerhetsfeil UiO er eneste bruker av Vortex, og vil aldri få hjelp eller råd fra andre brukermiljøer om sårbarhetsfunn. UiO må oppdage sårbarhet eller hacking selv, deretter lage en løsning som tetter sårbarheten. I dag ivaretas web-sikkerheten på et godt nivå, men er i hovedsak styrt av en person. Dette er en sårbarhet i seg selv. EIR vurderer risikoen til å være moderat på kort og lang sikt. AD Risiko 4 Ukjent kostnadsbilde Web-seksjonen har pr. i dag god oversikt over kostnadsbildet til Vortex. De har god kontroll på hvilke kostnader som tilhører utvikling og hvilke som tilhører drift. Vi har imidlertid ikke en oversikt over hva andre løsninger ville ha kostet UiO, og vi vet dermed heller ikke om dette er en billig eller dyr løsning sett opp mot alternativene. Andre spørsmål knyttet til dette punktet er hvorvidt Vortex skaper mye merarbeid ute i organisasjonen sett mot andre løsninger og om det at vi ikke kan rekruttere inn personer med kompetanse (både i publiserings- og utviklingsmiljøet) krever mye opplæringsressurser. Men fremfor alt vil usikkerheten ligge i hvor mye ressurser det trengs for å holde følge med utviklingen i et marked som endrer seg raskt. EIR vurderer risikoen til moderat på kort sikt og høy på lang sikt Risikogjennomgang av delområdene Nedenstående risikoer er identifisert gjennom det kartleggingsarbeidet som er utført. Noen av dem er delvis overlappende. I arbeidet er risikoene vurdert og det er konkludert mht hvordan vi oppfatter risikosituasjonen på kort og lang sikt. I dette avsnittet gjengir vi risikoene delt inn i 5 områder: overordnet / generelt brukervennlighet funksjonalitet ytelse og stabilitet sikkerhet Overordnede / generelle risikoer Her følger en oversikt over overordnede risikoer for Vortex som publiseringsløsning for UiO-web: Det foreligger ikke et klart formål for Vortex (eller UiOs web-løsning). Det er risiko for at USIT ikke makter å opprettholde et tilfredsstillende nivå hva gjelder kompetanse og ressurser. Det er risiko for at USIT ikke makter å utvikle Vortex i samme takt, med samme kvalitet og kostnadsramme, som alternativene. Risiko for uklare roller og myndighets-/ansvarsforhold. Risiko for at kostnadsbildet er uklart. 8

9 Risiko for at UiO (som kunde/bruker) ikke har tilstrekkelig bestiller kompetanse til å drive utviklingen. (Dette knytter seg ikke bare til Vortex). Risiko for at kollegiale relasjoner og mangel på sanksjoner fører til at man ikke får ønsket service og kvalitet. Risiko for at UiO-web blir nedprioritert i forhold til andre behov i organisasjonen. Risiko for at fagdirektørene ikke har ønsket fokus på nødvendigheten av at UiOs web-løsning er helhetlig og krever samarbeid og lojalitet til beslutninger. Risiko for at de aktuelle miljøene preges av personalgjennomtrekk. EVALUERING: Det foreligger ikke et definert formål (hensikt) for hva Vortex skal være eller hva det skal utvikles til å bli. Vi vurderer det som en grunnleggende svakhet; ethvert system, prosjekt mm må ha et formål eller en målsetting som er kjent og akseptert, og som angir retning. Når et slikt formål mangler vil ikke innspill fra brukermiljøene ved UiO kunne vurderes opp mot en langsiktig utviklingsplan. Dette kombinert med uklare ansvars- og myndighetsforhold kan gi en uønsket utviklingsretning. En utvikling basert på enkeltbehov og ønsker, som i hovedsak blir prioritert av USIT basert på tilgjengelige ressurser, utgjør en svakhet. Vi viser til andre leddet i foranstående definisjon av risiko (p. 1.3), vedr. tapte muligheter. Det innebærer at selv om man ved UiO er tilfredse med brukervennlighet, stabilitet, funksjonalitet, ytelse og sikkerhet i Vortex ligger det en usikkerhet i forhold til at UiO kunne oppnådd bedre resultater og hatt større trygghet med et annet system. Det samme gjelder kostnadsbildet; er det optimalt med bruk av Vortex, eller vil et annet system gi bedre økonomi? Vortex er utviklet ved USIT og det medfører at kompetansen er meget høy. Medarbeiderne føler eierskap og viser stort engasjement i forhold til systemet. Høy kompetanse, eierskap og engasjement er en god kombinasjon. Samtidig er miljøet sårbart fordi Vortex er unikt for UiO. UiO er eneste bruker. Så langt har Vortexmiljøet vært begunstiget med få fravær og lite gjennomtrekk. På et eller annet tidspunkt kan dette endre seg. Om det skjer innen den tidshorisonten vi har definert som lang sikt (3 5 år), er ikke mulig å avgjøre. Uansett kan det oppstå et rekrutteringsproblem fordi det ikke finnes Vortexkompetanse utenfor UiO. Å være kjøper av elektroniske/digitale tjenester er krevende. Man skal kunne kommunisere med et avansert fagmiljø. Når kjøper og selger dessuten er samarbeidende enheter innen samme institusjon, kan det lett medføre at forholdet ikke blir så profesjonelt som det bør være. Vi mener det er tilfellet mellom KA og USIT spesielt. DELKONKLUSJON: Vortex styrke ligger i første rekke i høy kompetanse og stort engasjement. Dette må dyrkes og videreutvikles. Svakhetene ligger i stor sårbarhet i ressurssituasjonen fordi det ikke eksisterer et Vortex-miljø utenom UiO, samt at det ikke er definert noen langsiktig plan for løsningen som er forankret i organisasjonen. 9

10 ANBEFALINGER: Det tas stilling til hva som skal være målsettingen med Vortex/web-løsningen. Roller, ansvar og fullmakter avklares og gjøres kjent for berørt personale. Det anbefales at det opprettes en forpliktende samarbeidsavtale mellom USIT og KA slik at det er klart hva som skal være partenes bidrag inn i Vortex-arbeidet. Samhandlingen mellom USIT og KA bør styrkes; en avtale vil kunne løse mye, men i tillegg anbefaler vi at samarbeidet evalueres med jevne mellomrom i et felles møteforum. Det gjennomføres en benchmarking-prosess for å få klarlagt fordelene og ulempene med Vortex vs. andre systemer Risikoer Brukervennlighet Nedenfor følger de risikoer vi har kommet frem til ift brukervennlighet for Vortex som UiO s publiseringsløsning: Risiko for at Vortex ikke makter å hevde seg i konkurranse med andre systemer hva gjelder brukervennlighet. Risiko for at kommunikasjonen mellom brukere og utviklere ikke optimaliserer mulighetene i Vortex. Risiko for at brukerne ikke har tilstrekkelige kunnskap og kompetanse til å kunne utnytte Vortex optimalt. Risiko for at brukermiljøene ikke fremmer læring og kunnskapsdeling om systemet. Risiko for at UiO/USIT ikke makter å gi nødvendig brukerstøtte. EVALUERING: EIR har fått sammenfallende tilbakemeldinger fra brukerne på at Vortex har lav brukerterskel for enkel publisering. Behov for dypere kunnskap om Vortex melder seg imidlertid dersom man ønsker å gjøre noe mer. Utfordringen for UiO ligger både i at systemet krever en del kompetanse og at organiseringen for publiseringsarbeidet i dag er spredt på personer. En stor andel av disse har publisering på web som en liten bioppgave. Når UiO i tillegg er alene om å bruke Vortex, vil det ikke være mulig å innhente kompetanse ved nyansettelser eller konsulentbruk. Det er krevende å lære opp så mange ansatte. Brukerdokumentasjon både for superbrukere og nettredaktører ligger på nett. For øvrig har alle mulighet til å melde inn behov og få brukerstøtte gjennom sin lokale web-redaksjon. Dersom en sak ikke kan løses her, blir den tatt videre opp i de sentrale nettredaksjoner/superbruker-nettverk. Det finnes også en e-postadresse hvor alle kan henvende seg. Svakheten ligger ikke i brukerdokumentasjon og støtte som blir gitt pr. idag, men på den store spredningene i publiseringsansvar. Når det gjelder effektiv bruk av systemet har vi fått eksempler på forbedringsønsker fra brukerne som vil spare dem for mye manuelt arbeid. 10

11 ANBEFALING: Vi anbefaler en organisering med færre og mer spesialiserte personer. Vi har kunnskap om at et slikt arbeid er i gang allerede i regi av IHR-prosjektet. EIR anbefaler også at bruker- og utviklingsmiljøet samarbeider om å finne løsninger på de prosessene/oppgavene som brukerne opplever som spesielt tidkrevende Risikoer Funksjonalitet Vi har definert følgende risikoer i forbindelse med funksjonalitet for Vortex som publiseringsløsning: Risiko for at Vortex ikke makter å hevde seg i konkurranse med andre systemer hva gjelder funksjonalitet. Risiko for at organisasjonens behov og ønsker ikke blir forstått/oppfattet. Risiko for at utviklere/brukere ikke har tilstrekkelig oppmerksomhet rettet mot hva som er UiOs reelle behov i forhold til å nå målene med web-løsningen. Risiko for at enkelte miljøer som ikke er fornøyd med eksisterende funksjonalitet, kjøper inn andre løsninger som krever mye ressurser fra USIT mht sikkerhet og drift. EVALUERING: I dag blir Vortex av de fleste brukere sett på som en grei løsning som dekker de viktigste behovene for funksjonalitet. USIT har en web-seksjon som er svært dedikert til arbeidet sitt og som aktivt overvåker hvilke delkomponenter av åpne kildekode som finnes på markedet og som Vortex kan ha nytte av. Dette kombinert med egenutvikling gjør at Vortex har blitt en bra løsning hva gjelder funksjonalitet. Vi har fanget opp mange ulike ønsker og behov for funksjonalitet som ikke er oppfylt, men som er omdiskutert i forhold til nødvendighet. Noe av den ønskede funksjonaliteten kan erstattes av organisering og arbeidsmetodikk, og trenger ikke nødvendigvis en teknisk løsning. Noe funksjonalitet kan også kjøpes inn. Kravene vil, uansett system, alltid være høyere enn det en løsning kan tilby. 11

12 Figur 3: Modell for organisering og styring av Vortex 3 Behovene som blir meldt inn både fra fakulteter, museer og SA, danner noe av grunnlaget for utviklingen av Vortex. KA, som representant for brukermiljøene, er med på å prioritere hvilke behov som meldes inn til utviklingsgruppen. Utviklingsgruppen mottar også behov fra «Prosjekter» som består av andre nettsteder tilknyttet UiO og store prosjekter internt på UiO. UiOs størrelse og kompleksitet tilsier at prosjekter som krever ekstra ressurser fra Vortex-miljøet, vil forekomme relativt ofte. I tillegg konkurrerer behov fra USIT (som f.eks. sikkerhetstiltak) om de samme utviklingsressursene. Behov fra «USIT» og «Prosjekter» kan tildels beslaglegge ressurser som UiOweb kunne ha trengt. Dette kombinert med at kommunikasjonen tilbake til brukerne ikke fungerer optimalt, kan føre til misnøye blant brukere. Det er også rapportert om at innspill om ønsker til funksjonalitet begrenser seg til hva brukerne «tror» at Vortex kan levere. Det er uheldig for utviklingsmiljøet å ha så mange innspill om behov som ikke kan løses med tilgjengelige ressurser. Uten en strategi eller et formål for Vortex, må utviklingsgruppen og webseksjonen gjøre prioriteringer uten å ha en overordnet allment akseptert utviklingsretning å styre etter. Dette ser vi som en svakhet. Vi vet det eksisterer miljøer ved UiO som skaffer seg funksjonalitet som de mener Vortex ikke leverer. Det kan skape mye ekstraarbeid for USIT i form av sikkerhetstiltak, samt ekstra driftskostnader. ANBEFALING: Vi viser til punkt som omhandler målsetting for publiseringsløsningen, «roller, ansvar og myndighet», samarbeidsavtale og benchmarking. 3 Organisasjonskart laget av Web-seksjonen. 12

13 Risikoer Ytelse og stabilitet Nedenfor omtaler vi risikoer ift ytelse og stabilitet for Vortex. RISIKO for at driftsmiljøet ikke sikrer tilfredsstillende stabil drift. Risiko for at driftsmiljøet ikke sikrer tilfredsstillende ytelse (tregt å få opp sider) EVALUERING: Driftsmiljøet som Vortex og UiO-web driftes i, er bygd opp av redundant løsning med servere i et web-hotell. Vortex er kun en del av det totale driftsmiljøet. Driftsmiljøet er komplekst med mange lag og redundante løsninger. EIR har i denne revisjonen ikke gjennomgått driftsmiljøet for å se etter mangler i løsningene. Men det er fra driftsmiljøet uttalt at det ikke finnes noe enkeltpunkt som kan forårsake full driftsstopp. Tjenestekvalitet er et vesentlig fokusområde. Planlagte driftsavbrudd blir meldt i tide og på en tydelig måte. Kapasitetsplanlegging av Vortex skjer i driftsmøter mellom drifts- og webseksjonen. Vi har ikke funnet noen situasjoner hvor verken driftsstabiliteten eller ytelsen i publiseringen har fått negativ kritikk. EIR opplever dagens opplegg som tilfredsstillende, og vi forutsetter at driftsmiljøet vil forbli på et tilfredsstillende nivå både på kort og lang sikt. Når det gjelder ytelse og stabilitet vurderer vi risikoen som lav for begge tidshorisonter. ANBEFALING: Sikring av å opprettholde tilfredsstillende stabilitet og ytelse kan skje ved å etablere SLA med krav til stabilitet. I en slik avtale bør også rapportering på den faktiske situasjonen være med. Ellers mener EIR at en kategorisering av løsningene vil bidra til å sikre området ytterligere, jf avsnitt 2.1 Prinsipielle betraktninger Risikoer Sikkerhet Vi har definert følgende risikoer ift sikkerhet for Vortex som UiO s publiseringsløsning. RISIKO for feil og driftsproblemer ikke blir oppdaget raskt slik at konsekvensene blir større enn nødvendig. RISIKO for at nye tekniske løsninger tas i bruk uten at de er tilfredsstillende testet og risikovurdert. RISIKO for svakheter i tilgangsstyringen. Risiko for uønsket spredning av informasjon. Risiko for at back-up-løsningene ikke sikrer data og fortsatt drift. RISIKO for at systemet ikke sikrer tilfredsstillende sporbarhet og loggdata ved uhell eller ikkeautorisert bruk. RISIKO for at systemdokumentasjonen ikke er tilgjengelig og tilstrekkelig oversiktlig når det er behov for den. 13

14 RISIKO for at uvedkommende kan få tilgang til, og dermed misbruke systemdokumentasjonen. Risiko for at driftsdokumentasjonen ikke er dekkende. RISIKO for at uvedkommende kan få tilgang til maskinrommene. EVALUERING: Verken publiseringsløsningen (Vortex) eller UiOs nettsted er så langt kategorisert ved UiO. De inngår derfor ikke i et klart definert regime for hvordan systemer skal styres og sikres. Vi viser i den sammenheng til avsnitt 2.1. Prinsipielle betraktninger. UiO er alene om å bruke Vortex, og vil derfor aldri få hjelp eller råd fra andre brukermiljøer om sårbarhetsfunn, UiO må oppdage sårbarhet eller hacking selv, deretter lage en løsning som tetter sårbarheten. I dag ivaretas web-sikkerheten på et godt nivå, men er i hovedsak styrt av 1 person. Siden UiO vil fortsette å være alene om å bruke Vortex, vurderer EIR risikoen isolert sett til å være høy både på kort og lang sikt. Men siden det er mange andre sikkerhetsmekanismer bygd inn i UiOs totale IT-infrastruktur vurderes risikoen som moderat. Vortex er bygd slik at det er få sperrer etter at tilgang er gitt. Det kan ved uheldig bruk eksponere informasjon feilaktig og skade konfidensialiteten 4. At både ekstern informasjon og «for-ansatte»- informasjon er laget i samme løsning, skaper også risiko for uheldig/uønsket spredning av informasjon. Det har historien ved UiO vist flere eksempler på. Selv om det er brukerinitierte feil, viser det at risikoen er høy. Lagring av data kan utgjøre en risiko ved at konkret informasjon og metadata lagres på forskjellige maskiner. Ved uheldig sletting av data kompliserer denne delingen tilbakeføringen av data. Systemdokumentasjonen er vesentlig for alle systemer og ekstra viktig siden UiO er alene om løsningen. Systemdokumentasjonen må derfor være så god at personer uten kjennskap til Vortex kan finne fram i den ved en krise. Driftsdokumentasjon finnes ikke spesifikt for drift av Vortex, men inngår i driftsdokumentasjonen for hele driftsmiljøet. Risiko vurderes til lav. Styring av adgang til maskinrommet er på et godt nivå, og risikoen anses som lav. ANBEFALING: Publiseringsløsningen og UiOs nettsted må kategoriseres slik at de inngår i det regimet som er laget for den kategori systemer. Det bør vurderes kraftigere tilgangssperrer for å redusere muligheten for ikke planlagt publisering av informasjon i åpent nett. 4 Konfidensialitet: Sikkerhet for at kun autoriserte personer får tilgang til følsom eller gradert informasjon, og at det på forhånd er foretatt en gyldig identifisering og autorisering av personen. (ref. ISO 27001) 14

15 2.4. Risiko ved overgang til annet system I forbindelse med arbeidet vårt har det dukket opp innspill om hvilke risikoer som er tilknyttet en eventuell overgang til ny publiseringsløsning. Dette er på ingen måte en helhetlig vurdering, men en oppsummering av det som tilfeldig er blitt fanget opp underveis i revisjonsarbeidet: Risiko tilknyttet utvikling av eget konverteringsskript. Risiko for usikkerhet i organisasjonen. Risiko i at vi ikke har et kjent kostnadsbilde. Risiko for at et annet system vil trenge mye spesialtilpasning. Fordelen med at nesten alle UiO sine websider nå er over på ny webløsning, gjør det enklere og ryddigere med konvertering til en eventuell ny løsning. 3. KONKLUSJON Hvordan UiO presenterer seg på nettet får stadig større betydning ikke minst i forhold til vår målsetting: «UiO skal styrke sin internasjonale posisjon som et ledende forskningsuniversitet». Da det spanske forskningsrådet i januar presenterte en rangering av verdens universiteter 5, vakte det oppmerksomhet at UiO hadde falt nedover på rangeringen, og ikke engang var beste universitet i Norge. Årsaken var at rangeringen hadde målt, og lagt stor vekt på, hvordan universitetene presenterer seg på nettet og hvor mange forskningsartikler og annen relevant forskning som er tilgjengelig på nett. Webometrics som hadde gjort undersøkelsen, mener at det å være tilstede på internett er en indikator på forskings- formidlings- og undervisningskvalitet. 6 Dette er kun en av mange rangeringer, men den er en nyttig påminnelse om at web og publisering på nett er viktig. I denne risiko-vurderingen har vi erfart at det ikke foreligger et klart, entydig og kjent formål for UiO s publiseringsløsning. Det er av stor betydning at det kommer på plass slik at best mulige veivalg for løsningen kan gjøres. Dagens løsning er egenutviklet, og Vortex-miljøet i USIT har gjennom sin kompetanse og sitt store engasjement skapt en god fungerende løsning. Men miljøet er lite og sårbart og det knytter seg usikkerhet til om man på lengere sikt klarer å hevde seg i konkurransen med andre løsninger Uniforum, 7.februar

Enhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring

Enhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring Side 1 av 5 Enhet for Intern Revisjon REVISJONSRAPPORT IT-tilgangsstyring Distribusjon: IT-direktøren OPA Kopi: Universitetsdirektøren Gjennomført februar - september 2013 Revisorer: Morten Opsal Blindern,

Detaljer

Universitetet i Oslo

Universitetet i Oslo Universitetet i Oslo Notat Til: Universitetsstyret Dato: 8.06.2011 IHR: Mandat for plangruppen for organisering av UiOs nettsted UiO har utfordringer knyttet til oppdatering og vedlikehold av nettsidene.

Detaljer

Enhet for Intern Revisjon RAPPORT FULLMAKTER ANSVAR ROLLER MYNDIGHET

Enhet for Intern Revisjon RAPPORT FULLMAKTER ANSVAR ROLLER MYNDIGHET Enhet for Intern Revisjon RAPPORT FULLMAKTER ANSVAR ROLLER MYNDIGHET Revisorer: Morten Opsal, Sveinung Svanberg, Blindern, juni 2010 Bakgrunn: En god fullmaktsstruktur, klare ansvarsforhold, klare ansvars-og

Detaljer

Revisjonsrapport. Revisjon: Oppfølging styrevedtak

Revisjonsrapport. Revisjon: Oppfølging styrevedtak Universitetet i Oslo Sentraladministrasjonen/Enhet for Internrevisjon/Lin Anett Haugsland Revisjonsrapport Revisjon: Oppfølging styrevedtak Distribuert til: Universitetsdirektøren Gjennomført av: Revisjonssjef

Detaljer

Driftsmodell for uib.no

Driftsmodell for uib.no Driftsmodell for uib.no Nettstedet uib.no er universitetets offisielle hovedside, med lenker til forskning, utdanning og formidling, så vel som faglige og administrative enheter og tjenester. UiBs nettsider

Detaljer

Prosjekt Internt handlingsrom Universitetet i Oslo Presentasjon for PK-nettverket v/irene Sandlie

Prosjekt Internt handlingsrom Universitetet i Oslo Presentasjon for PK-nettverket v/irene Sandlie Prosjekt Internt handlingsrom Universitetet i Oslo 2010-2013 Presentasjon for PK-nettverket 01.11.13 v/irene Sandlie UiOs strategi 2020 UiO skal styrke sin internasjonale posisjon som et ledende forskningsuniversitet,

Detaljer

RAPPORT. Revisjon: Implementering av kvalitetssystemet for medisinsk og helsefaglig forskning

RAPPORT. Revisjon: Implementering av kvalitetssystemet for medisinsk og helsefaglig forskning RAPPORT Revisjon: Implementering av kvalitetssystemet for medisinsk og helsefaglig forskning Distribuert til: Forskningsdirektør Kopi: Universitetsdirektør Gjennomført av: Seniorkonsulent Hilde Tanggaard

Detaljer

Risikobildet - forvaltningsområder. Fornyet risikogjennomgang høsten 2010, med utgangspunkt i gjennomførte risikovurderinger i 2008 og 2009.

Risikobildet - forvaltningsområder. Fornyet risikogjennomgang høsten 2010, med utgangspunkt i gjennomførte risikovurderinger i 2008 og 2009. Risikobildet - forvaltningsområder Fornyet risikogjennomgang høsten 2010, med utgangspunkt i gjennomførte risikovurderinger i 2008 og 2009. Risikobilde Forvaltningsområdet Utgangspunktet E&Ys risikovurdering

Detaljer

Risikoanalysen beskriver status per 30.04.13 med tiltak/kommentarer for hver enkel risikofaktor.

Risikoanalysen beskriver status per 30.04.13 med tiltak/kommentarer for hver enkel risikofaktor. Felles studentsystem Telefon: 22852738 USIT, Universitetet i Oslo Telefax: 22852970 Postboks 1086, Blindern E-mail: fs-sekretariat@usit.uio.no 0316 Oslo URL: www.fs.usit.uio.no FS-13-089 ALL Til: Styret

Detaljer

Enhet for Intern Revisjon RAPPORT. EKSTERNT FINANSIERTE PROSJEKTER VED UiO

Enhet for Intern Revisjon RAPPORT. EKSTERNT FINANSIERTE PROSJEKTER VED UiO Enhet for Intern Revisjon RAPPORT EKSTERNT FINANSIERTE PROSJEKTER VED UiO Distribusjon: Økonomidirektøren Universitetsdirektøren (gjp) Gjennomført høsten 2010 Revisorer: Kjerstin A. Arntzen og Sveinung

Detaljer

Høring om forslag til ny organisasjons- og beslutningsstruktur ved UiO

Høring om forslag til ny organisasjons- og beslutningsstruktur ved UiO Høring om forslag til ny organisasjons- og beslutningsstruktur ved UiO Høringssvar fra: SFF, Senter for immunregulering Stillingskategori: Vitenskapelig Enhet: Rapport: MED En organisasjons- og beslutningsstruktur

Detaljer

Felles StudieAdministrativt Tjenestesenter - FSAT

Felles StudieAdministrativt Tjenestesenter - FSAT Felles StudieAdministrativt Tjenestesenter - FSAT FSAT-15-026 AS Resultat av SWOT-analyse av FSAT 1. Bakgrunn Stortinget har gjennom Prop. 1 S (2014-2015) vedtatt overordnet mål for FSAT: Felles studieadministrativt

Detaljer

Utfordring, tiltak og status:

Utfordring, tiltak og status: Utfordring, tiltak og status: Organisasjon, bemanning og kompetanse Komplisert og tidkrevende for systemeierskap å få et helhetlig bilde av både utfordringer og ansvarsområde, spesielt i forhold til NISSY.

Detaljer

Notat: Organisering og styring av universitetets IT-virksomhet

Notat: Organisering og styring av universitetets IT-virksomhet Notat: Organisering og styring av universitetets IT-virksomhet Til: Fra: Kopi til: SAB-arbeidsgruppe for organisasjons- og beslutningsstruktur IT-direktøren USITs ledelse Dato: 5. september 2015 Referanse:

Detaljer

FS skal være det ledende studieadministrative systemet i Norge, og langt framme internasjonalt.

FS skal være det ledende studieadministrative systemet i Norge, og langt framme internasjonalt. Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem) Versjon 26. november 2012 1 1. Innledning Samarbeidstiltaket FS er et samarbeid mellom norske universiteter og høgskoler med det formål

Detaljer

Mål og strategier for HMS-arbeidet ved Det medisinske fakultet 2014 2020

Mål og strategier for HMS-arbeidet ved Det medisinske fakultet 2014 2020 Mål og strategier for HMS-arbeidet ved Det medisinske fakultet 2014 2020 Forbedring gjennom klare ansvarsforhold og samarbeid Ledelse Klare ansvarsforhold Universell utforming God infrastruktur Risiko

Detaljer

Skjema for egen evaluering

Skjema for egen evaluering Underlagt taushetsplikt etter energiloven 9-3 jf bfe 6-2. Unntatt fra innsyn etter offentleglova 13. (når utfylt) Skjema for egen evaluering Beskyttelse av driftskontrollsystem Dato for gjennomgang: Ansvarlig

Detaljer

Medlemsmøte i NIRF statlig sektor, Enhet for intern revisjon (EIR) ved Universitetet i Oslo. Morten Opsal, fungerende revisjonssjef

Medlemsmøte i NIRF statlig sektor, Enhet for intern revisjon (EIR) ved Universitetet i Oslo. Morten Opsal, fungerende revisjonssjef Medlemsmøte i NIRF statlig sektor, 27.10.2015 Enhet for intern revisjon (EIR) ved Universitetet i Oslo Morten Opsal, fungerende revisjonssjef Forankring i styret Instruks vedtatt av UiOs styre EIR er styrets

Detaljer

Årsplan 2014 for Underavdeling stab og støtte Møte med USITs seksjonssjefer

Årsplan 2014 for Underavdeling stab og støtte Møte med USITs seksjonssjefer 11. februar 2014 Årsplan 2014 for Underavdeling stab og støtte Møte med USITs seksjonssjefer UiOs føringer og mål! Hovedprioritering Grunnverdier (menneskerett, ytringsfrihet, demokrati, velferdsstat,

Detaljer

Informasjon til styret ved Medisinsk fakultet tirsdag 19. mai 2015.

Informasjon til styret ved Medisinsk fakultet tirsdag 19. mai 2015. Enhet for intern revisjon (EIR) ved UiO, - hvem, - hva, - hvordan Informasjon til styret ved Medisinsk fakultet tirsdag 19. mai 2015. Morten Opsal, fungerende revisjonssjef Forankring i styret Instruksen

Detaljer

Markedsstrategi. Referanse til kapittel 4

Markedsstrategi. Referanse til kapittel 4 Markedsstrategi Referanse til kapittel 4 Hensikten med dette verktøyet er å gi støtte i virksomhetens markedsstrategiske arbeid, slik at planlagte markedsstrategier blir så gode som mulig, og dermed skaper

Detaljer

Universitetet i Stavanger Styret ved Universitetet i Stavanger

Universitetet i Stavanger Styret ved Universitetet i Stavanger Universitetet i Stavanger Styret ved Universitetet i Stavanger US 49/15 Studieportefølje ved UiS, opptaksrammer og dimensjonering av studier 2016 Saksnr: 15/02525-1 Saksansvarlig: Bjarte Hoem, fung. utdanningsdirektør

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

1. FORMÅL 2. PROFESJONELT GRUNNLAG

1. FORMÅL 2. PROFESJONELT GRUNNLAG Vedlikeholdes av: Chief Compliance Officer Side: 1 av 5 1. FORMÅL Internrevisjonen skal fremme og beskytte GIEKs verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsikt. Den skal bidra

Detaljer

US-sak 75/2010 Forhåndsavklaring og registrering av bierverv for ansatte på UMB Dokumenter: a) Saksframlegg b) Vedlegg.

US-sak 75/2010 Forhåndsavklaring og registrering av bierverv for ansatte på UMB Dokumenter: a) Saksframlegg b) Vedlegg. 1302 1901 US-SAK NR: 75/2010 SAKSANSVARLIG: UNIVERSITETSDIREKTØREN SAKSBEHANDLER(E):ELIZABETH DE JONG, CHRISTIAN ELIND ARKIVSAK NR: 2009/1248 UNIVERSITETET FOR MILJØ- OG BIOVITENSKAP ADM.DIREKTØR US-sak

Detaljer

Kunnskapsutvikling i nettverk

Kunnskapsutvikling i nettverk Kunnskapsutvikling i nettverk Noen betraktninger NAPHA Erfaringsseminaret 18.01.2012 Trine Moe og Tor Ødegaard Hvem er vi? Tor Ødegaard: Utdannet som politi (1989) Jobbet i politiet og siden 2007 som seniorinspektør

Detaljer

KARTLEGGING AV FORHOLD RUNDT KOMMUNESTRUKTUR

KARTLEGGING AV FORHOLD RUNDT KOMMUNESTRUKTUR LUND KOMMUNE Arkiv FE-140 Sak 13/674 Saksbehandler Rolv Lende Dato 28.01.2015 Saksnummer Utvalg/komite Møtedato 011/15 Formannskapet 03.02.2015 014/15 Kommunestyret 12.03.2015 KARTLEGGING AV FORHOLD RUNDT

Detaljer

Hvordan har digitalisering av anskaffelser påvirket arbeidshverdagen hos Universitetet i Oslo og hvordan har vi tatt ut gevinstene?

Hvordan har digitalisering av anskaffelser påvirket arbeidshverdagen hos Universitetet i Oslo og hvordan har vi tatt ut gevinstene? Hvordan har digitalisering av anskaffelser påvirket arbeidshverdagen hos Universitetet i Oslo og hvordan har vi tatt ut gevinstene? esignatur Evaluering & tildeling System- og brukerstøtte e-handel efaktura

Detaljer

Et spørsmål om tid! Lars Hopland Nestås Software Security Architect

Et spørsmål om tid! Lars Hopland Nestås Software Security Architect Et spørsmål om tid! Lars Hopland Nestås Software Security Architect Lars Hopland Nestås 2010: Master i informatikk, sikker og trådløs kommunikasjon, spesialisering i datasikkerhet. Universitet i Bergen

Detaljer

Strategi for universitetets IT-virksomhet

Strategi for universitetets IT-virksomhet Allmøte 16. januar 2014 Strategi for universitetets IT-virksomhet IT-direktør Lars Oftedal Universitetsstyret 11. mars 2014 Diskusjonssak Fokus: Strategiske veivalg og prioriteringer for IT-virksomheten

Detaljer

Fastlønn: Feilregistrering av grunnlagsdata.

Fastlønn: Feilregistrering av grunnlagsdata. splan Steg i Input/grunnlag Registrering Output/overføring Grunnlaget for registrering foreligger i form av kontrakt. Kontrakter utarbeides av Personalforvaltning i OSS, på grunnlag av ansettelsesvedtak.

Detaljer

Avtale om utviklingstjenester. Datauttrekk fra datavarehuset ifm UiOs styringskart

Avtale om utviklingstjenester. Datauttrekk fra datavarehuset ifm UiOs styringskart Avtale om utviklingstjenester Datauttrekk fra datavarehuset ifm UiOs styringskart mellom Økonomi og planavdelingen (heretter kalt Kunden) For Kunden (Sted/dato, underskrift, tittel):..., den.... Universitetes

Detaljer

Fra arkivleder til prosjektleder for enhetlig informasjonshåndtering

Fra arkivleder til prosjektleder for enhetlig informasjonshåndtering Fra arkivleder til prosjektleder for enhetlig Kunnskapsorganisering i endring Margareth Sand, Sarpsborg kommune (Felles:) (Enhet:) (Min:) Mange strategier for mappestruktur og navngiving av filer Vi har

Detaljer

Sak: Kvalitetssikringssystem ved Universitetet i Nordland

Sak: Kvalitetssikringssystem ved Universitetet i Nordland Høgskolen i Bodø Saksnummer: Møtedato: Styret 103/10 16.12.2010 Arkivreferanse: 2010/2058/ Sak: Kvalitetssikringssystem ved Universitetet i Nordland Behandling: Vedtak: 1. Styret for Høgskolen i Bodø vedtar

Detaljer

SWOT for skoleeier. En modell for å analysere skoleeiers situasjon og behov

SWOT for skoleeier. En modell for å analysere skoleeiers situasjon og behov 1 SWOT for skoleeier En modell for å analysere skoleeiers situasjon og behov 2 1 Aktivt skoleeierskap og kvalitetsvurdering Nasjonal, kommunal og skolebasert vurdering gir skole- og kommunenivået forholdsvis

Detaljer

Høring om forslag til ny organisasjons- og beslutningsstruktur ved UiO

Høring om forslag til ny organisasjons- og beslutningsstruktur ved UiO Høring om forslag til ny organisasjons- og beslutningsstruktur ved UiO Høringssvar fra: De fast vitenskapelig ansatte i allmenn litteraturvitenskap ved ILOS Stillingskategori: Vitenskapelig Enhet: Rapport:

Detaljer

UiB og Uni Research utredning

UiB og Uni Research utredning U N I V E R S I T E T E T I B E R G E N UiB og Uni Research utredning Rk Møte i arbeidsgruppe 22.1.2016 Anne Lise Fimreite Bakgrunn Universitetsstyret har ansvar for at vedtak som institusjonen fatter

Detaljer

Fagkonferansen 2012, NKRF. Bidrag til forbedring? Evaluering av Revisjon Midt-Norge 2007/2008. Anna Ølnes Revisjon Midt-Norge IKS

Fagkonferansen 2012, NKRF. Bidrag til forbedring? Evaluering av Revisjon Midt-Norge 2007/2008. Anna Ølnes Revisjon Midt-Norge IKS Fagkonferansen 2012, NKRF Bidrag til forbedring? Evaluering av Revisjon Midt-Norge 2007/2008 Anna Ølnes Revisjon Midt-Norge IKS Tema Bakgrunn for evalueringen, anbudsprosess, kriterier for valg av utfører

Detaljer

Evaluering av dagens styringsmodell

Evaluering av dagens styringsmodell US 98/2015 Evaluering av dagens styringsmodell Universitetsledelsen Saksansvarlig: Rektor Saksbehandler(e): Jan Olav Aarflot, Elizabeth de Jong Arkiv nr: 15/03694-1 Forslag til vedtak: 1. Universitetsstyret

Detaljer

IT for et fremragende universitet

IT for et fremragende universitet Møte m/sab arbeidsgruppe 4 29. september 2015 IT for et fremragende universitet Lars Oftedal Spørsmålene Hva kan IT bidra med i form av tjenester, ressurser, løsninger og kompetanse slik at universitetet

Detaljer

N O T A T. Til: Styret Fra: Rektor Om: Oppdatert risikovurdering av fusjonen - sikker drift. Tilråding:

N O T A T. Til: Styret Fra: Rektor Om: Oppdatert risikovurdering av fusjonen - sikker drift. Tilråding: NTNU S-sak 36/15 Norges teknisk-naturvitenskapelige universitet 14.10. Saksansvarlig: Ida Munkeby Saksbehandler: Trond Singsaas/Jens Petter Nygård Arkiv: N O T A T Til: Styret Fra: Rektor Om: Oppdatert

Detaljer

Referat. Møte i styret for FS 3. mars 2014

Referat. Møte i styret for FS 3. mars 2014 Felles studentsystem Telefon: 22840798 USIT, Universitetet i Oslo Telefax: 22852970 Postboks 1086, Blindern E-mail: fs-sekretariat@usit.uio.no 0316 Oslo URL: www.fellesstudentsystem.no Referat Møte i styret

Detaljer

UiO - mot et ledende internasjonalt forskningsuniversitet

UiO - mot et ledende internasjonalt forskningsuniversitet Memorandum til: Universitetsdirektør Gunn-Elin Bjørneboe UiO - mot et ledende internasjonalt forskningsuniversitet Universitetet i Oslo I perioden april til juni i 2008 gjennomførte McKinsey et studie

Detaljer

Personalpolitiske retningslinjer

Personalpolitiske retningslinjer Personalpolitiske retningslinjer Vedtatt av fylkestinget juni 2004 Personalpolitiske retningslinjer. Nord-Trøndelag fylkeskommunes verdigrunnlag: Nord-Trøndelag fylkeskommune er styrt av en folkevalgt

Detaljer

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 27/10/11 SAK NR 053-2011 Erfaringer og endelig oppsummering av internkontroll ved pasientreisekontorene

Detaljer

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet. NOTAT Til: Møtedato: 13.12.07 Universitetsstyret Arkivref.: 200706432-1 Risikostyring ved Universitetet i Tromsø Bakgrunn Som statlig forvaltningsorgan er Universitetet i Tromsø underlagt Økonomiregelverket

Detaljer

Prinsipper for virksomhetsstyring i Oslo kommune

Prinsipper for virksomhetsstyring i Oslo kommune Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres

Detaljer

Evaluering av It-systemer i et forvaltningsperspektiv. Drift, vedlikehold og videreutvikling av IT-systemet

Evaluering av It-systemer i et forvaltningsperspektiv. Drift, vedlikehold og videreutvikling av IT-systemet Evaluering av It-systemer i et forvaltningsperspektiv Drift, vedlikehold og videreutvikling av IT-systemet Bakgrunnen IT-systemer har ofte lenger levetid enn forventet er ofte forretningskritiske utvikler

Detaljer

Etableringsprosjekt Sykehusinnkjøp HF. Status og risiko pr. 15.august 2016

Etableringsprosjekt Sykehusinnkjøp HF. Status og risiko pr. 15.august 2016 Etableringsprosjekt Sykehusinnkjøp HF Status og risiko pr. 15.august 2016 Innhold I II Status pr. 15.august 2016 Risikorapportering pr. 15.august 2016 Arbeidsstrømleder rapport uke 33 Status Arbeidsstrøm

Detaljer

Koordinatorskolen. Risiko og risikoforståelse

Koordinatorskolen. Risiko og risikoforståelse Koordinatorskolen Risiko og risikoforståelse Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva

Detaljer

1. Sammendrag 2. Innledning 3. Nærmere beskrivelse av prosjektet: Vestvågøy kommunes hovedmål i prosjektet 3.1 Prosjektorganisering

1. Sammendrag 2. Innledning 3. Nærmere beskrivelse av prosjektet: Vestvågøy kommunes hovedmål i prosjektet 3.1 Prosjektorganisering Fokuskommuneprosjekt Vestvågøy kommune. Prosjekt i samarbeid med Husbanken og 7 andre kommuner. Innholdsfortegnelse: 1. Sammendrag 2. Innledning 3. Nærmere beskrivelse av prosjektet: Vestvågøy kommunes

Detaljer

SIKRING i et helhetsperspektiv

SIKRING i et helhetsperspektiv SIKRING i et helhetsperspektiv Semac er eid av Nokas Group. Nokas er Nordens ledende sikkerhetskonsern med virksomhet i Norge, Sverige og Danmark. Konsernet leverer sikkerhetsløsninger til over 150.000

Detaljer

UNIVERSITETET I BERGEN

UNIVERSITETET I BERGEN UNIVERSITETET I BERGEN Styre: Styresak: Møtedato: Universitetsstyret 92/16 25.08.2016 Dato: 12.08.2016 Arkivsaksnr: 2014/11584 Universitetet i Bergens infrastrukturutvalg, aktiviteter og planer Henvisning

Detaljer

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF

Detaljer

CargoNet AS. Oppfølging av avvik, hendelser og risikovurderinger

CargoNet AS. Oppfølging av avvik, hendelser og risikovurderinger statens jernbanetilsyn CargoNet AS Oppfølging av avvik, hendelser og risikovurderinger Rapport nr. 2014-10 1 Bakgrunn og mål 3 2 Konklusjon 3 3 Avvik 4 4 Observasjoner 6 5 Andre forhold 6 6 Om revisjonen

Detaljer

Kvalitetsstrategi Overordnet handlingsplan

Kvalitetsstrategi Overordnet handlingsplan Kvalitet i møte mellom pasient og ansatt Kultur og ledelse Kvalitetssystem Kompetanse Kapasitet og organisering KVALITET, TRYGGHET, RESPEKT Sykehuset Innlandet har vektlagt å fokusere på kvalitet og virksomhetsstyring

Detaljer

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT IKT seminar 2011-02-17 August Nilssen Prosjektleder IKT Standard Norge NS-ISO 38500:2008 Tittel: Virksomhetens styring og kontroll av IT Corporate

Detaljer

Rådgivning. Nasjonale føringer. 10. november 2010. Lussi Steinum og Birgit Leirvik

Rådgivning. Nasjonale føringer. 10. november 2010. Lussi Steinum og Birgit Leirvik Rådgivning Nasjonale føringer 10. november 2010 Lussi Steinum og Birgit Leirvik Hva skal vi si noe om? Skolens samfunnsoppgave og rådgivningens funksjon i skolen De siste forskriftsendringene Nye statlige

Detaljer

Bydel Grorud, Oslo kommune

Bydel Grorud, Oslo kommune Bydel Grorud, Oslo kommune 2. Kontaktperson: Hanne Mari Førland 3. E-post: hanne.mari.forland@bgr.oslo.kommune.no 4. Telefon: 92023723 5. Fortell oss kort hvorfor akkurat deres kommune fortjener Innovasjonsprisen

Detaljer

Veiledning til utarbeidelse av årsplan

Veiledning til utarbeidelse av årsplan Veiledning til utarbeidelse av årsplan 2017-2019 Innledning Dette dokumentet er en veiledning til utforming av årsplan 2017-2019. Veiledningen gjelder for alle enheter under universitetsstyret som skal

Detaljer

ILNs styreseminar februar 2017 Om instituttstyrets arbeid, god styrekultur og styremedlemmenes rolle

ILNs styreseminar februar 2017 Om instituttstyrets arbeid, god styrekultur og styremedlemmenes rolle ILNs styreseminar 13. 14. februar 2017 Om instituttstyrets arbeid, god styrekultur og styremedlemmenes rolle 1 Instituttstyrets mandat: Normalregler for instituttene ved Det humanistiske fakultet 2 Instituttstyret

Detaljer

STRATEGISK KOMMUNIKASJONSPLAN 2013 -. (2016)

STRATEGISK KOMMUNIKASJONSPLAN 2013 -. (2016) STRATEGISK KOMMUNIKASJONSPLAN 2013 -. (2016) UMBS VISJON Universitetet for miljø- og biovitenskap skal være et analytisk, innovativt og ledende universitet for biovitenskap, miljø og bærekraftig utvikling.

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

SAKSTIHEL: Omorganisering av HMS og etablering av BHT-funksjon ved UiO

SAKSTIHEL: Omorganisering av HMS og etablering av BHT-funksjon ved UiO UNIVERSITETET I OSLO UNIVERSITETSDIREKTØREN Til Universitetsstyret Fra Universitetsdirektøren Sakstype: Vedtakssak Møtesaksnr.: V-sak 5 Møtenr. 2/2011 Møtedato: 01.03.11 Notatdato: 22.02.11 Arkivsaksnr.:

Detaljer

Sentralstyret Sakspapir

Sentralstyret Sakspapir Sentralstyret Sakspapir Møtedato 05.12.2015 Ansvarlig Arbeidsutvalget Saksnummer SST3 06.11-15/16 Gjelder Utredning av NSOs faglige komiteer 1 2 3 Vedlegg til saken: 1. Mandat for adhockomite for utredning

Detaljer

Økonomistyring i virksomheten

Økonomistyring i virksomheten Økonomistyring i virksomheten Web-basert dokumentasjon Deloitte AS Juni 2008 Før huset bygges må det foreligge en arkitekt tegning fokus på helhet og ikke enkeltfaktorer for å bygge styringsmodell Strategiske

Detaljer

Lederavtale for 2012

Lederavtale for 2012 Lederavtale for 2012 mellom divisjonsdirektør/stabsdirektør XX og administrerende direktør Morten Lang-Ree 1 Sykehuset Innlandet - Visjon og verdigrunnlag Visjon Sykehuset Innlandet skal gi gode og likeverdige

Detaljer

Mål og målgrupper for ny UiO-web

Mål og målgrupper for ny UiO-web Mål og målgrupper for ny UiO-web UiOs virksomhetsidé fra kommunikasjonsplattformen Universitetet i Oslo skal være et vitenskapelig kraftsenter på høyt internasjonalt nivå, som gjennom utvikling og deling

Detaljer

Administrativt ansatt i UoH-sektoren - hvor butter det? v/ Cecilie W. Lilleheil FAP UiO

Administrativt ansatt i UoH-sektoren - hvor butter det? v/ Cecilie W. Lilleheil FAP UiO Administrativt ansatt i UoH-sektoren - hvor butter det? v/ Cecilie W. Lilleheil FAP UiO Administrativt ansatte i UoH-sektoren Hvem er jeg? Og hvem er vi? 21% av medlemsmassen i Forskerforbundet Fordelt

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

UNIVERSITETET I BERGEN

UNIVERSITETET I BERGEN UNIVERSITETET I BERGEN Styre: Styresak: Møtedato: Universitetsstyret 115/15 26.11.2015 Dato: 13.11.2015 Arkivsaksnr: 2014/1649 Strategi 2016-2022, arbeid med oppfølging Henvisning til bakgrunnsdokumenter

Detaljer

Referat. Møte i styret for Cristin 17. november 2010. Blindern, 30.11.2010 Cristin-10-070 AFS

Referat. Møte i styret for Cristin 17. november 2010. Blindern, 30.11.2010 Cristin-10-070 AFS Blindern, 30.11.2010 Cristin-10-070 AFS Referat Møte i styret for Cristin 17. november 2010 Til stede: Leder Curt Rice, UiT Nestleder Ernst Omenaas, Haukeland universitetssykehus Styremedlemmer Trond Singsaas,

Detaljer

Universitetsstyret Universitetet i Bergen. Arklykode Styresak 53) Sak nr 2014/1673 Møte

Universitetsstyret Universitetet i Bergen. Arklykode Styresak 53) Sak nr 2014/1673 Møte Universitetsstyret Universitetet i Bergen Arklykode Styresak 53) Sak nr 2014/1673 Møte 24 09 14 Orientering om framdrift i organisasjonsutviklingsprosjektet Bakgrunn Universitetsstyret vedtok mål og rammer

Detaljer

UNIVERSITETS BIBLIOTEKET I BERGEN

UNIVERSITETS BIBLIOTEKET I BERGEN UNIVERSITETS BIBLIOTEKET I BERGEN STRATEGI 2016 2022 // UNIVERSITETET I BERGEN STRATEGI 2016 2022 UNIVERSITETSBIBLIOTEKET I BERGEN 3 INNLEDNING Universitetsbiblioteket i Bergen (UB) er et offentlig vitenskapelig

Detaljer

SIKRING i et helhetsperspektiv

SIKRING i et helhetsperspektiv SIKRING i et helhetsperspektiv Semac er eid av Nokas Group. Nokas er Nordens ledende sikkerhetskonsern med virksomhet i Norge, Sverige og Danmark. Konsernet leverer sikkerhetsløsninger til over 150.000

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Brukerundersøkelse ved NAV-kontor i Oslo 2014

Brukerundersøkelse ved NAV-kontor i Oslo 2014 Brukerundersøkelse ved NAV-kontor i Oslo 2014 Januar 2015 Oslo kommune Helseetaten Velferdsetaten Arbeids- og velferdsetaten NAV Oslo Forord Høsten 2014 ble det gjennomført en undersøkelse for å kartlegge

Detaljer

Prosedyre for gjennomføring og rapportering av stedlig tilsyn med bruk av tvang og makt overfor enkelte personer med psykisk utviklingshemning

Prosedyre for gjennomføring og rapportering av stedlig tilsyn med bruk av tvang og makt overfor enkelte personer med psykisk utviklingshemning Prosedyre for gjennomføring og rapportering av stedlig tilsyn med bruk av tvang og makt overfor enkelte personer med psykisk utviklingshemning Internserien 14/2010. Saksbehandler: seniorrådgiver Anine

Detaljer

Forstudierapport. Magne Rodem og Jan-Erik Strøm. 18. juni 2006

Forstudierapport. Magne Rodem og Jan-Erik Strøm. 18. juni 2006 Forstudierapport Magne Rodem og Jan-Erik Strøm 18. juni 2006 Innhold 1 Introduksjon 3 2 Bakgrunn for prosjektet 3 2.1 Beskrivelse av problemer og behov........................... 3 2.2 Kort om dagens systemer................................

Detaljer

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Instruks for internrevisjon i Garanti-Instituttet for Eksportkreditt 2005 Side 1 av 5 Internrevisjonsinstruksen setter rammer

Detaljer

Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem)

Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem) Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem) Versjon 10. juni 2013 1 Bakgrunn Samarbeidstiltaket FS er et samarbeid mellom norske universiteter og høgskoler med ansvar for å videreutvikle

Detaljer

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES? For Kontrollutvalg 30.11.15 v/rådmann Thor Smith Stickler OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES? Definisjon av internkontroll - PwC Internkontroll er et formalisert kontrollsystem der kontrollaktiviteter

Detaljer

UTREDNING AV VERRAN KOMMUNE SELVSTENDIGHETSALTERNATIVET. Kommunereformen

UTREDNING AV VERRAN KOMMUNE SELVSTENDIGHETSALTERNATIVET. Kommunereformen UTREDNING AV SELVSTENDIGHETSALTERNATIVET VERRAN KOMMUNE Kommunereformen PROSESS Kommunestyret sitt vedtak av mars 2014 Statsråd Sanner sin invitasjon til alle kommunene Vedtatt mandat, mars 2015 (4K, 4K+)

Detaljer

Strategi Et fremragende universitetsbibliotek for et fremragende universitet!

Strategi Et fremragende universitetsbibliotek for et fremragende universitet! Strategi 2020 Et fremragende universitetsbibliotek for et fremragende universitet! 1 Universitetsbiblioteket Strategi 2010-2020 Visjon Et fremragende universitetsbibliotek for et fremragende universitet!

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

REFERAT. Saksliste. 1. Status endringsønsker 2. Prosjektmøte alternative løsninger

REFERAT. Saksliste. 1. Status endringsønsker 2. Prosjektmøte alternative løsninger Møtetype: SAP HR prioriteringsråd/prosjektmøte alternative løsninger Til stede: Tore Bjørn Hatleskog, UiS, Elisabeth Boye Okkenhaug, HiNT, Wenche Fjørtoft, HiSF, Laila Torp UNINETT FAS/HiST, Arild Halsetrønning,

Detaljer

Nasjonal SUIT Per H. Jacobsen USIT/UiO

Nasjonal SUIT Per H. Jacobsen USIT/UiO Per H. Jacobsen USIT/UiO Samarbeid mellom fem norske universiteter [UiA, UiB, NTNU. UiT og UiO]. Prosjektgruppe med deltagere fra de fem universitetene. Langt på vei basert på UiOs tidligere SUIT-undersøkelser

Detaljer

BOTT Økonomi og HR (ERP)

BOTT Økonomi og HR (ERP) BOTT Økonomi og HR (ERP) Direktørnettverket UiO 22.6.16 Bakgrunn Våren 2015, styresak; organisering av BOTT-samarbeidet anbudsprosess for administrative systemer Høsten 2015; forprosjekt som konkluderte

Detaljer

Enhet for Intern Revisjon REVISJONSRAPPORT. Arkivfunksjonene ved UiO

Enhet for Intern Revisjon REVISJONSRAPPORT. Arkivfunksjonene ved UiO Revisjonsrapport Arkivfunksjonene ved UiO Side 1 av 10 Enhet for Intern Revisjon REVISJONSRAPPORT Arkivfunksjonene ved UiO Distribusjon: OPA esak Gjennomført mai - august 2012 av: Rådgiver Cecilie Thorberg

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

1/5. Dato: Arkivkode: Bilag nr: Arkivsak ID: J.post ID: 21.05.2012 N-011.7 12/3155 12/62920 Saksbehandler: Eirik Lindstrøm

1/5. Dato: Arkivkode: Bilag nr: Arkivsak ID: J.post ID: 21.05.2012 N-011.7 12/3155 12/62920 Saksbehandler: Eirik Lindstrøm 1/5 BÆRUM KOMMUNE KOMMUNEREVISJONEN Dato: Arkivkode: Bilag nr: Arkivsak ID: J.post ID: 21.05.2012 N-011.7 12/3155 12/62920 Saksbehandler: Eirik Lindstrøm Behandlingsutvalg Møtedato Saksnr. Kontrollutvalget

Detaljer

Forskrift om endring i studiekvalitetsforskriften

Forskrift om endring i studiekvalitetsforskriften Forskrift om endring i studiekvalitetsforskriften Hjemmel: Fastsatt av Kunnskapsdepartementet 24. juni 2016 med hjemmel i lov 1. april 2005 nr. 15 om universiteter og høyskoler (universitets- og høyskoleloven)

Detaljer

Fri programvare og 3.parts hosting

Fri programvare og 3.parts hosting NITH 2.0 Internett og intranett Komponentsammensetting for fit-to-use Fri programvare og 3.parts hosting Cloud Computing Målsetning Målene var klare. Det var nødvendig med enklere informasjonsflyt mot

Detaljer

Tiltak for å redusere antall midlertidige tilsettinger - høring

Tiltak for å redusere antall midlertidige tilsettinger - høring Kunnskapsdepartementet Postboks 811 Dep 0032 Oslo Deres ref: 201005790-/AT Vår ref: 207.19/NSS 20. februar 2011 Tiltak for å redusere antall midlertidige tilsettinger - høring Innledning Vi viser til brev

Detaljer

Oslo kommune Kommunerevisjonen

Oslo kommune Kommunerevisjonen Oslo kommune Kommunerevisjonen Kontrollutvalget Dato: 18.03.2013 Deres ref: Vår ref (saksnr.): Saksbeh: Arkivkode 201200102-41 Per Jarle Stene 126.2.2 Revisjonsref: Tlf.: SPØRSMÅL FRA KONTROLLUTVALGSMEDLEM

Detaljer

GAUS Godkjenning av utenlandske studier. FS-Brukerforum 14.4.2015 Agnethe Sidselrud, Martin Sagen

GAUS Godkjenning av utenlandske studier. FS-Brukerforum 14.4.2015 Agnethe Sidselrud, Martin Sagen GAUS Godkjenning av utenlandske studier FS-Brukerforum 14.4.2015 Agnethe Sidselrud, Martin Sagen «Departementet viser til at det er opprettet en database, GAUS, hvor universiteter og høyskoler skal registrere

Detaljer

Resultater fra den første runden med referansemåling (benchmarking) i IMPI-prosjektet (mars 2011)

Resultater fra den første runden med referansemåling (benchmarking) i IMPI-prosjektet (mars 2011) Resultater fra den første runden med referansemåling (benchmarking) i IMPI-prosjektet (mars 2011) Rapport innenfor rammen av det europeiske prosjektet Indicators for Mapping & Profiling Internationalisation

Detaljer

Felles systemanskaffelser NOARK 5 & BOTT Økonomi og HR Orientering

Felles systemanskaffelser NOARK 5 & BOTT Økonomi og HR Orientering Felles systemanskaffelser NOARK 5 & BOTT Økonomi og HR Orientering 23.november 2016 Direktørnettverket NOARK5 og BOTT økonomi og HR 1. Bakgrunn for anskaffelsene 2. Organisering av prosjektene 3. Effekter

Detaljer