Norsox. Dokumentets to deler



Like dokumenter
Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk

God IT Styring og Kontroll i norske foretak. prosjekt NorSox. Sluttrapport - Del 1: Modell. Standard Norge, desember 2009

Intern kontroll i finansiell rapportering

Bygging av en sikkerhetsarkitektur -Security Architecture another pie in the sky. En kort presentasjon

prosjekt NorSox God IT Styring og Kontroll i norske foretak Sluttrapport - Del 2: Veiledning for innføring av god IT-styring og -kontroll

Styring og intern kontroll.

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

Gjelder fra: Godkjent av: Camilla Bjørn

Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering?

Gjelder fra: Godkjent av: Fylkesrådet

Ny styringsmodell for informasjonssikkerhet og personvern

EFFEKTIVISER OG MODERNISER PERIODEAVSLUTNINGEN

Virksomhetsstyring i Bane NOR SF

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Angående overlapp mellom styrets rolle og adm. dir. sin rolle

EuroSOX og Ny forskrift for risikostyring og internkontroll

Forvaltningsrevisjon IKT sikkerhet og drift 2017

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt?

Styring og ledelse av informasjonssikkerhet

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Sammenligning av ledelsesstandarder for risiko

Egenevalueringsskjema

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter

Integrering av IT i virksomhetens helhetlige risikostyring

Betryggende kontroll Internkontrollen til rådmannen

Hva kjennetegner god Risikostyring?

Hvordan beste praksis rammeverk praktiseres aller best

Innhold. Forord Innledning og sammendrag Innledning Sammendrag 13

Årsrapport 2012 Internrevisjon Pasientreiser ANS

«Kommunestyrets overordnede tilsynsansvar» -

Erfaringer fra NIRF`s kvalitetskontroll

KONTROLLSTRATEGI REISER UTEN REKVISISJON

Revisjon av informasjonssikkerhet

Veien til ISO sertifisering

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Sikkerhetsforum 2018

Veiledning- policy for internkontroll

Revisors utfordringer i kommunale og interkommunale selskaper ved Statsautorisert revisor Trond Dolvik. Bakke Hjelmaas Larsen

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Neste generasjon ISO standarder ISO 9001

Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

IT I PRAKSIS!!!!! IT i praksis 20XX

Foretakets navn : Dato: Underskrift :

God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger

Styret i Sykehusinnkjøp HF 08.februar 2017

Policy for Eierstyring og Selskapsledelse

Hvordan NAV arbeider med internkontroll i et prosessperspektiv. Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet

Standarder for risikostyring av informasjonssikkerhet

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

IT-revisjon i kommunal sektor. Lena Stornæs

Hvordan håndtere gevinster ved innføring av ny teknologi?

Kommunestyrets overordnede tilsynsansvar

Med kvalitet menes: WIKIPEDIA. STORE NORSKE LEKSIKON

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Innhold. Forord Innledning og sammendrag Innledning Sammendrag 13

Et revisjonsblikk på internkontroll

IKT-revisjon som del av internrevisjonen

Sesjon 2 Motiver dine medarbeidere gjennom internkontroll. Mona Stormo Andersen Kai Roger Jensen Hege Brinchmann

Egenevaluering av internkontrollen

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Profesjonalisering av prosjektledelse

Riksrevisjonens innføring, tilpasning og bruk av nye internasjonale regnskapsstandarder (ISSAI) Mai 2012 ISF II

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

Risikomodenhet en enkel modell. Ayse Nordal & Ole Martin Kjørstad K&R DAGENE

Styremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

NIRF Finansnettverk. Trond Erik Bergersen

Styret finner vedlagte rammeverk for et helhetlig kvalitetssystem som interessant.

Internkontroll i Gjerdrum kommune

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Standarder for Asset management ISO 55000/55001/55002

Tema: Internkontroll. Styrets risiko- og kontrolloppfølging: de nye EU-kravene?

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet?

Prosjekt: Utvikling av egenkontrollen i kommunene

Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter

Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012

Itled 4021 IT Governance Introduksjon

Hvordan høyne kvaliteten på egne tjenester hvem skal bli fornøyd?

FinAut som en del av Compliance

Accenture Technology Consulting. Hva skal til for å lykkes med IT Governance? Roger Østvold Leder for Accenture IT Strategi og Transformasjon

Overordnete føringer for å ivareta kompetansestyringen må utarbeides.

PLAN FOR FORVALTNINGSREVISJON

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Avinor - god virksomhetsstyring i et samfunnsperspektiv

Styreskolen. Prodekan Lars Atle Kjøde. Universitetet i Stavanger uis.no

SAS-forum BI Strategi og BICC

Styring og ledelse av stiftelser Rune Haglund Partner Advokatfirma Arntzen de Besche

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Profesjonalisering av prosjektledelse

Godkjent av: Styret. direktør. Dokumentnavn: Instruks for administrerende. 16. juni direktør. 1. Formål

Endringer i revidert ISO 50001

IT I PRAKSIS 2010 STRATEGI, TRENDER OG ERFARINGER I NORGES 500 STØRSTE VIRKSOMHETER

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

Transkript:

Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten. Del 2: Et sett med praktiske verktøy for å forstå og innføre God IT Styring og Kontroll i virksomheten 1

Skjematisk Internkontroll Del 1 Metodikk En knytning mot allerede eksisterende dokumentasjon om Corporate Governance Lett å forstå, Prinsipp: sunn fornuft satt i system Forankret i krav stillet til styrene om å ha kontroll med selskapenes virksomhet, regnskapsføring og formuesforvaltning 2

Innhold Del 1 Ledelsessammendrag 1 Innledning 1.1 Bakgrunn 1.2 Public Interest Entities 1.3 Omfang 2 God og helhetlig virksomhetsstyring 2.1 Corporate Governance 2.2 IT Governance 2.3 Ansvar og roller 2.4 Forretningsmessige krav 2.5 Operasjonell risiko i forhold til økonomisk risiko 2.6 IT prosesser 2.7 Modenhetsnivå 2.8 Kontrollmiljø 2.9 Kontrollaktiviteter 3 Praktisk bruk av dette dokumentet 3.1 CobiTs forretningsorienterte tilnærming ledelsens ansvar 3.2 CobiTs prosessorienterte gjennomføring linjens ansvar 3.3 Tilleggene i Del 2 4 Oppgaver og ansvar for styret og daglig ledelse 4.1 Styrets oppgaver og ansvar 4.2 Daglig ledelse oppgaver og ansvar 4.3 Implementering av God IT Styring og Kontroll 5 Oversikter normative referanser, kilder og hjelpemateriell Innhold Del 1 Ledelsessammendrag 1 Innledning 1.1 Bakgrunn 1.2 Public Interest Entities 1.3 Omfang 2 God og helhetlig virksomhetsstyring 2.1 Corporate Governance 2.2 IT Governance 2.3 Ansvar og roller 2.4 Forretningsmessige krav 2.5 Operasjonell risiko i forhold til økonomisk risiko 2.6 IT prosesser 2.7 Modenhetsnivå 2.8 Kontrollmiljø 2.9 Kontrollaktiviteter 3 Praktisk bruk av dette dokumentet 3.1 CobiTs forretningsorienterte tilnærming ledelsens ansvar 3.2 CobiTs prosessorienterte gjennomføring linjens ansvar 3.3 Tilleggene i Del 2 4 Oppgaver og ansvar for styret og daglig ledelse 4.1 Styrets oppgaver og ansvar 4.2 Daglig ledelse oppgaver og ansvar 4.3 Implementering av God IT Styring og Kontroll 5 Oversikter normative referanser, kilder og hjelpemateriell 3

Bakgrunn Utgangspunktet for prosjektet er at Norge, som EØS-medlem, skal innføre tre EU-direktiver i norsk lovverk, 4., 7. og 8. selskapsdirektiv. Disse direktivene påvirker nasjonal lovgivning med hensyn til følgende lover: Regnskapsloven, bokføringsloven, aksjeloven, allmennaksjeloven m.m., gjeldende fra medio i 2010. Kravet som ligger i Aksjelovens 6.12, tredje ledd, om at Styret skal holde seg orientert om selskapets økonomiske stilling og plikter, samt påse at dets virksomhet, regnskap og formuesforvaltning er gjenstand for betryggende kontroll, står fast. I forbindelse med Aksjelovens 6.12 har man til nå fokusert på de to siste elementene om regnskap og formuesforvaltning hvor den eksterne revisor gir sin revisjonsberetning. Prosjekt NorSox vil rette fokuset mot de nye krav som stilles til styret i bla Regnskapsloven 3-3b. Redegjørelse om foretaksstyring. Denne skal innholde opplysninger om: Angivelse av de anbefalinger og regelverk om foretaksstyring som foretaket er omfattet av eller som selskapet for øvrig velger å følge. Samt beskrivelse av hovedelementene i foretakets systemer for internkontroll og risikostyring knyttet til regnskapsprosessen. 4

Teknisk nivå Styrenivå Ledelsesnivå 12/8/2009 Rammeverk - skjematisk Standarder ISO 38500 COSO COBIT ITIL ISO 2700x 2000x ISO 900x Retningslinjer Standarder Org og ledelse Kontrollmiljø Applikasjoner Utvikling System 5

Styrets årshjul Evaluate Monitor Direct Bakgrunn STYRET Sørge for -ansvar Styrets ansvar Ihht. Aksjeloven 6.12 INTERNREVISJON Påse -ansvar -Reviderer Egenkontroll -Initierer Internkontroll avrapporteringprosessen Virksomhetens Ansvar 6.14 m fl. ADM. DIR Utføre -ansvar -Egenkontroll -Internkontroll 6

NS-ISO 38500 COSO ERM CobiT, ITIL, ISO Puplic Interest entities I den forklarende teksten som medfølger direktivene står det at begrepet skal omfatte selskaper notert på børs, men også kan omfatte andre foretak som på grunn av størrelse, virksomhet eller andre årsaker er av interesse for allmennheten. 7

IT Governance - Er ikke IT Management, men inkluderer IT management og fokuserer på Styrt og kontrollert bruk av IT i selskapet. Ser mye på ansvar og roller i forhold til dialog mellom dem som sørger for, utfører og påser at oppgavene i IT prosesseneblir utført. Virksomhetens fundament - IT Governance Strategic alignment Strategisk tilpassing sikrer at foretningssidens behov ivaretas, at Konsernledelsens og myndighetenes ønsker om styring møtes. Føringer legges ved strategiske IT-planer Value delivery Leveransekvalitet sikrer leveranser av de IKT tjenestene som Virksomheten trenger. Hele leveranseprosessen skal være optimal med hensyn på verdiøkende tjenester og kostnadseffektivitet. Tjenestene/leveransene deles inn i IT Drift, Applikasjonsdrift, Nettverksdrift og Utvikling/Prosjekt Performance measurement Ytelsesog kapasitetsmåling måler leverte tjenester opp mot krav stilt i SLA innen IT Drift, Applikasjonsdrift, Nettverksdrift og implementerings-prosjekter IT Governance Resource Management Risk management Risikostyring krever forståelse hos Virksomhetens ledelse med hensyn på å etablere et Akseptabelt Risikonivå. Videre må behovet for Egenkontroll, Compliance, Beredskap og Risikostyring imøtekommes. Resource management Ressursstyring ivaretar forståelse for ressursbruk i virksomheten av Hardware, IT personell, Applikasjoner og Informasjon kombinert med kunnskap som følger opp hvert av IT Governance områdene. 8

IT prosesser og modenhet CobiT Control Objectives for Information and related Technology blir brukt som utgangspunkt for å forklare hvordan god IT Styring og Kontroll kan utføres beskrevet i 34 IT prosesser. Modenhet i en organisasjon som viser hvor godt man har innført, forstått og etterlever prosessene er mulig å måle i form av Modenhet På en skala fra 0 til 5, må man ha passert nivå 2 for at internkontroll kan bidra til bedre styring i virksomheten, IT Governance fordeling av prosesser (Primære og sekundære fokusområder) Strategic alignment dekker: PO1, PO2, PO3, PO4, PO5, PO6, PO7, PO8, PO9, PO10 AI1, AI2, AI4, AI7 DS1, DS3, DS4, DS7 ME1, ME3, ME4 Value delivery dekker: PO2, PO3, PO5, PO8, PO10 AI1, AI2, AI4, AI5, AI6, AI7 DS1, DS2, DS3, DS4, DS6, DS7, DS8, DS9, DS10, DS11 ME1, ME2, ME4 Performance measurement dekker PO5, PO7, PO10 AI7 DS1, DS2, DS3, DS4, DS6, DS8, DS10 ME1, ME4 IT Governance Resource Management Risk management dekker: PO1, PO2, PO3, PO4, PO6, PO7, PO8, PO9, PO10 AI1, AI2, AI4, AI7 DS2, DS3, DS4, DS5, DS7, DS9, DS10, DS11, DS12 ME1, ME2, ME3, ME4. Resource management dekker: PO1, PO2, PO3, PO4, PO5, PO7, PO10 AI1, AI3, AI4, AI5, AI6, AI7 DS1, DS2, DS3, DS4, DS6, DS7, DS9, DS11, DS12, DS13 ME1, ME4 9

Å være i Kontroll Egenkontrollaktiviteter; som utføres av den enkelte medarbeider for å sikre at den enkelte prosessaktiviteten er gjennomført i henhold til krav til utførelse og kvalitet. Nøkkelkontrollaktiviteter; som sikrer at prosesskjeden ikke går videre til neste steg uten at fastsatte krav til utførelse og kvalitet er innfridd.[1] For nøkkelkontroller er det viktig at en medarbeider ikke kontrollerer seg selv, men at den blir utført av en annen (uavhengig) person. Det legges derfor vekt på at de medarbeidere som utfører IT prosessene, utøver egenkontroll-aktiviteter for å være sikre på at den enkelte oppgaven er riktig gjennomført i henhold til krav om utførelse og kvalitet. Ledelsen skal fokusere på enkelte nøkkelkontroller for å kontrollere samlet risiko og kvalitet på viktige punkter i IT-prosessen før neste steg i prosessen utføres. [1] Et eksempel kan være flypiloten som vi ser gjennomgår en sjekk av flyet for å sikre seg om at det er trygt å fly (egenkontrollaktiviteter), men som først får lov av tårnet til å ta av når en utfylt sjekkliste er signert og overlevert til bakkemannskapet (nøkkelkontroll). IT Modenhetsmodell 10

CobiT som hjelpemiddel Vi trenger noe som både ivaretar både forretningssiden og fagpersonell. CobiTs forretningsorienterte tilnærming ledelsens ansvar For at IT-virksomheten skal kunne levere tjenester som understøtter forretningsstrategien, må det være et klart definert eierskap til de kravene som styret og daglig ledelse setter til styring og kontroll av virksomheten. Samtidig må det finnes en klar forståelse av de kvalitetsmessige kravene og forventningene til IT CobiT som hjelpemiddel Vi trenger noe som både ivaretar både forretningssiden og fagpersonell. CobiTs prosessorienterte gjennomføring linjens ansvar Her legges det til grunn et prosessorientert rammeverk med en tilhørende prosessmodell. Prosessmodellen vil være en referanse som gir et felles språk for alle i foretaket som håndterer IT-aktiviteter. I følge internasjonal ISO-standarder kan gjennomføringen av IT-prosessene deles inn i fire hovedelementer: Plan, Do, Check, Act (PDCA), på norsk: Planlegge, Utføre, Evaluere og Handle. 11

Monitorere og Evaluere 12/8/2009 Planlegge og Organisere CobiTs prosesser dekket av ITIL v3 Driftsleveranse og Support Anskaffe og Implementere Del 2 Verktøy En samling verktøy og beskrivelse av hvordan disse kan brukes på forskjellige nivåer i en virksomhet Starter med Styret. Deretter etablering av Intern Kontroll i selve virksomheten Basert på prosjektdeltakernes erfaringer av hva som virker 12

Innhold Del 2 Tillegg A: Prosesser for innføring av et rammeverk for helhetlig og god ITstyring og kontroll A1: Planlegging og Organisering A2: Anskaffelse og Implementering A3: Driftsleveranser og Support A4: Monitorering og Evaluering Tillegg B: Sjekklister B1: Sjekkliste for Styret uansett størrelse av foretak B2: Sjekklister med referanse til COSO Tillegg C: Relevante paragrafer fra lovtekster Tillegg D: Tabell over Operasjonell risiko Innhold Del 2 Tillegg A: Prosesser for innføring av et rammeverk for helhetlig og god ITstyring og kontroll A1: Planlegging og Organisering A2: Anskaffelse og Implementering A3: Driftsleveranser og Support A4: Monitorering og Evaluering Tillegg B: Sjekklister B1: Sjekkliste for Styret uansett størrelse av foretak B2: Sjekklister med referanse til COSO Tillegg C: Relevante paragrafer fra lovtekster Tillegg D: Tabell over Operasjonell risiko 13

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding