Norsox. Dokumentets to deler

Transkript

1 Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten. Del 2: Et sett med praktiske verktøy for å forstå og innføre God IT Styring og Kontroll i virksomheten 1

2 Skjematisk Internkontroll Del 1 Metodikk En knytning mot allerede eksisterende dokumentasjon om Corporate Governance Lett å forstå, Prinsipp: sunn fornuft satt i system Forankret i krav stillet til styrene om å ha kontroll med selskapenes virksomhet, regnskapsføring og formuesforvaltning 2

3 Innhold Del 1 Ledelsessammendrag 1 Innledning 1.1 Bakgrunn 1.2 Public Interest Entities 1.3 Omfang 2 God og helhetlig virksomhetsstyring 2.1 Corporate Governance 2.2 IT Governance 2.3 Ansvar og roller 2.4 Forretningsmessige krav 2.5 Operasjonell risiko i forhold til økonomisk risiko 2.6 IT prosesser 2.7 Modenhetsnivå 2.8 Kontrollmiljø 2.9 Kontrollaktiviteter 3 Praktisk bruk av dette dokumentet 3.1 CobiTs forretningsorienterte tilnærming ledelsens ansvar 3.2 CobiTs prosessorienterte gjennomføring linjens ansvar 3.3 Tilleggene i Del 2 4 Oppgaver og ansvar for styret og daglig ledelse 4.1 Styrets oppgaver og ansvar 4.2 Daglig ledelse oppgaver og ansvar 4.3 Implementering av God IT Styring og Kontroll 5 Oversikter normative referanser, kilder og hjelpemateriell Innhold Del 1 Ledelsessammendrag 1 Innledning 1.1 Bakgrunn 1.2 Public Interest Entities 1.3 Omfang 2 God og helhetlig virksomhetsstyring 2.1 Corporate Governance 2.2 IT Governance 2.3 Ansvar og roller 2.4 Forretningsmessige krav 2.5 Operasjonell risiko i forhold til økonomisk risiko 2.6 IT prosesser 2.7 Modenhetsnivå 2.8 Kontrollmiljø 2.9 Kontrollaktiviteter 3 Praktisk bruk av dette dokumentet 3.1 CobiTs forretningsorienterte tilnærming ledelsens ansvar 3.2 CobiTs prosessorienterte gjennomføring linjens ansvar 3.3 Tilleggene i Del 2 4 Oppgaver og ansvar for styret og daglig ledelse 4.1 Styrets oppgaver og ansvar 4.2 Daglig ledelse oppgaver og ansvar 4.3 Implementering av God IT Styring og Kontroll 5 Oversikter normative referanser, kilder og hjelpemateriell 3

4 Bakgrunn Utgangspunktet for prosjektet er at Norge, som EØS-medlem, skal innføre tre EU-direktiver i norsk lovverk, 4., 7. og 8. selskapsdirektiv. Disse direktivene påvirker nasjonal lovgivning med hensyn til følgende lover: Regnskapsloven, bokføringsloven, aksjeloven, allmennaksjeloven m.m., gjeldende fra medio i Kravet som ligger i Aksjelovens 6.12, tredje ledd, om at Styret skal holde seg orientert om selskapets økonomiske stilling og plikter, samt påse at dets virksomhet, regnskap og formuesforvaltning er gjenstand for betryggende kontroll, står fast. I forbindelse med Aksjelovens 6.12 har man til nå fokusert på de to siste elementene om regnskap og formuesforvaltning hvor den eksterne revisor gir sin revisjonsberetning. Prosjekt NorSox vil rette fokuset mot de nye krav som stilles til styret i bla Regnskapsloven 3-3b. Redegjørelse om foretaksstyring. Denne skal innholde opplysninger om: Angivelse av de anbefalinger og regelverk om foretaksstyring som foretaket er omfattet av eller som selskapet for øvrig velger å følge. Samt beskrivelse av hovedelementene i foretakets systemer for internkontroll og risikostyring knyttet til regnskapsprosessen. 4

5 Teknisk nivå Styrenivå Ledelsesnivå 12/8/2009 Rammeverk - skjematisk Standarder ISO COSO COBIT ITIL ISO 2700x 2000x ISO 900x Retningslinjer Standarder Org og ledelse Kontrollmiljø Applikasjoner Utvikling System 5

6 Styrets årshjul Evaluate Monitor Direct Bakgrunn STYRET Sørge for -ansvar Styrets ansvar Ihht. Aksjeloven 6.12 INTERNREVISJON Påse -ansvar -Reviderer Egenkontroll -Initierer Internkontroll avrapporteringprosessen Virksomhetens Ansvar 6.14 m fl. ADM. DIR Utføre -ansvar -Egenkontroll -Internkontroll 6

7 NS-ISO COSO ERM CobiT, ITIL, ISO Puplic Interest entities I den forklarende teksten som medfølger direktivene står det at begrepet skal omfatte selskaper notert på børs, men også kan omfatte andre foretak som på grunn av størrelse, virksomhet eller andre årsaker er av interesse for allmennheten. 7

8 IT Governance - Er ikke IT Management, men inkluderer IT management og fokuserer på Styrt og kontrollert bruk av IT i selskapet. Ser mye på ansvar og roller i forhold til dialog mellom dem som sørger for, utfører og påser at oppgavene i IT prosesseneblir utført. Virksomhetens fundament - IT Governance Strategic alignment Strategisk tilpassing sikrer at foretningssidens behov ivaretas, at Konsernledelsens og myndighetenes ønsker om styring møtes. Føringer legges ved strategiske IT-planer Value delivery Leveransekvalitet sikrer leveranser av de IKT tjenestene som Virksomheten trenger. Hele leveranseprosessen skal være optimal med hensyn på verdiøkende tjenester og kostnadseffektivitet. Tjenestene/leveransene deles inn i IT Drift, Applikasjonsdrift, Nettverksdrift og Utvikling/Prosjekt Performance measurement Ytelsesog kapasitetsmåling måler leverte tjenester opp mot krav stilt i SLA innen IT Drift, Applikasjonsdrift, Nettverksdrift og implementerings-prosjekter IT Governance Resource Management Risk management Risikostyring krever forståelse hos Virksomhetens ledelse med hensyn på å etablere et Akseptabelt Risikonivå. Videre må behovet for Egenkontroll, Compliance, Beredskap og Risikostyring imøtekommes. Resource management Ressursstyring ivaretar forståelse for ressursbruk i virksomheten av Hardware, IT personell, Applikasjoner og Informasjon kombinert med kunnskap som følger opp hvert av IT Governance områdene. 8

9 IT prosesser og modenhet CobiT Control Objectives for Information and related Technology blir brukt som utgangspunkt for å forklare hvordan god IT Styring og Kontroll kan utføres beskrevet i 34 IT prosesser. Modenhet i en organisasjon som viser hvor godt man har innført, forstått og etterlever prosessene er mulig å måle i form av Modenhet På en skala fra 0 til 5, må man ha passert nivå 2 for at internkontroll kan bidra til bedre styring i virksomheten, IT Governance fordeling av prosesser (Primære og sekundære fokusområder) Strategic alignment dekker: PO1, PO2, PO3, PO4, PO5, PO6, PO7, PO8, PO9, PO10 AI1, AI2, AI4, AI7 DS1, DS3, DS4, DS7 ME1, ME3, ME4 Value delivery dekker: PO2, PO3, PO5, PO8, PO10 AI1, AI2, AI4, AI5, AI6, AI7 DS1, DS2, DS3, DS4, DS6, DS7, DS8, DS9, DS10, DS11 ME1, ME2, ME4 Performance measurement dekker PO5, PO7, PO10 AI7 DS1, DS2, DS3, DS4, DS6, DS8, DS10 ME1, ME4 IT Governance Resource Management Risk management dekker: PO1, PO2, PO3, PO4, PO6, PO7, PO8, PO9, PO10 AI1, AI2, AI4, AI7 DS2, DS3, DS4, DS5, DS7, DS9, DS10, DS11, DS12 ME1, ME2, ME3, ME4. Resource management dekker: PO1, PO2, PO3, PO4, PO5, PO7, PO10 AI1, AI3, AI4, AI5, AI6, AI7 DS1, DS2, DS3, DS4, DS6, DS7, DS9, DS11, DS12, DS13 ME1, ME4 9

10 Å være i Kontroll Egenkontrollaktiviteter; som utføres av den enkelte medarbeider for å sikre at den enkelte prosessaktiviteten er gjennomført i henhold til krav til utførelse og kvalitet. Nøkkelkontrollaktiviteter; som sikrer at prosesskjeden ikke går videre til neste steg uten at fastsatte krav til utførelse og kvalitet er innfridd.[1] For nøkkelkontroller er det viktig at en medarbeider ikke kontrollerer seg selv, men at den blir utført av en annen (uavhengig) person. Det legges derfor vekt på at de medarbeidere som utfører IT prosessene, utøver egenkontroll-aktiviteter for å være sikre på at den enkelte oppgaven er riktig gjennomført i henhold til krav om utførelse og kvalitet. Ledelsen skal fokusere på enkelte nøkkelkontroller for å kontrollere samlet risiko og kvalitet på viktige punkter i IT-prosessen før neste steg i prosessen utføres. [1] Et eksempel kan være flypiloten som vi ser gjennomgår en sjekk av flyet for å sikre seg om at det er trygt å fly (egenkontrollaktiviteter), men som først får lov av tårnet til å ta av når en utfylt sjekkliste er signert og overlevert til bakkemannskapet (nøkkelkontroll). IT Modenhetsmodell 10

11 CobiT som hjelpemiddel Vi trenger noe som både ivaretar både forretningssiden og fagpersonell. CobiTs forretningsorienterte tilnærming ledelsens ansvar For at IT-virksomheten skal kunne levere tjenester som understøtter forretningsstrategien, må det være et klart definert eierskap til de kravene som styret og daglig ledelse setter til styring og kontroll av virksomheten. Samtidig må det finnes en klar forståelse av de kvalitetsmessige kravene og forventningene til IT CobiT som hjelpemiddel Vi trenger noe som både ivaretar både forretningssiden og fagpersonell. CobiTs prosessorienterte gjennomføring linjens ansvar Her legges det til grunn et prosessorientert rammeverk med en tilhørende prosessmodell. Prosessmodellen vil være en referanse som gir et felles språk for alle i foretaket som håndterer IT-aktiviteter. I følge internasjonal ISO-standarder kan gjennomføringen av IT-prosessene deles inn i fire hovedelementer: Plan, Do, Check, Act (PDCA), på norsk: Planlegge, Utføre, Evaluere og Handle. 11

12 Monitorere og Evaluere 12/8/2009 Planlegge og Organisere CobiTs prosesser dekket av ITIL v3 Driftsleveranse og Support Anskaffe og Implementere Del 2 Verktøy En samling verktøy og beskrivelse av hvordan disse kan brukes på forskjellige nivåer i en virksomhet Starter med Styret. Deretter etablering av Intern Kontroll i selve virksomheten Basert på prosjektdeltakernes erfaringer av hva som virker 12

13 Innhold Del 2 Tillegg A: Prosesser for innføring av et rammeverk for helhetlig og god ITstyring og kontroll A1: Planlegging og Organisering A2: Anskaffelse og Implementering A3: Driftsleveranser og Support A4: Monitorering og Evaluering Tillegg B: Sjekklister B1: Sjekkliste for Styret uansett størrelse av foretak B2: Sjekklister med referanse til COSO Tillegg C: Relevante paragrafer fra lovtekster Tillegg D: Tabell over Operasjonell risiko Innhold Del 2 Tillegg A: Prosesser for innføring av et rammeverk for helhetlig og god ITstyring og kontroll A1: Planlegging og Organisering A2: Anskaffelse og Implementering A3: Driftsleveranser og Support A4: Monitorering og Evaluering Tillegg B: Sjekklister B1: Sjekkliste for Styret uansett størrelse av foretak B2: Sjekklister med referanse til COSO Tillegg C: Relevante paragrafer fra lovtekster Tillegg D: Tabell over Operasjonell risiko 13