Innledning til IT-revisjon 10. 9. 2009



Like dokumenter
COSOs komponeter De fire siste. Risikovurdering. Hva er risiko? Hva mer enn kontrollmiljøet inngår i interkontrollbegrepet iflg COSO?

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL

Bokføringsloven. Transaksjonsdata og faste opplysninger. Er data som forventet? Kontroller i IT-systemer. Bokføringen styres av kravet til

Internkontroll Styring og kontroll. Økonomisk kriminalitet: Straff. Økonomisk kriminalitet. Økonomisk kriminalitet Misligheter

Regnskapet i skyen. Data ut av Norge? Hans Christian Ellefsen, NARF Statsautorisert revisor, CISA, CRISC

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Livsløpstesting av IT-systemer

IT-revisjon i kommunal sektor. Lena Stornæs

Regnskapssystemer. Avgrensning. Regnskapssystemer fortsettelse av forrige forelesning. Prinsippiell struktur Datakvalitet Behandlingsregler

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

Informasjonssikkerhet

Logg inn og introduksjon # 1. Endre passord # 2. Medlemsliste # 3. Registrere et nytt medlem/ny medarbeider # 4. Registrering av tidligere medlem # 5

IKT-revisjon som del av internrevisjonen

Arkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet

En bedre måte å håndtere prosjekt, team, oppgaver og innhold

Internkontroll i Gjerdrum kommune

Technical Integration Architecture Teknisk integrasjonsarkitektur

Applikasjonskontroller ISA315.A97. Er data som forventet? Kontroller i IT-systemer. Applikasjon: En IT-anvendelse med brukerformål

Testrapport. Aker Surveillance. Gruppe 26. Hovedprosjekt ved Høgskolen i Oslo og Akershus. Oslo, Public 2013 Aker Solutions Page 1 of 5

Brukerhåndbok Nett-TV-meter

Kvalitet og programvare. Når bare det beste er godt nok. Produktet prosessen eller begge deler?

Hva er sikkerhet for deg?

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Hva er et styringssystem?

GJENNOMGANG UKESOPPGAVER 9 TESTING

Arkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet

Varsling og rapportering av. sikkerhetshendelser innen tillitstjenester

Datakvalitet og Noark

Et revisjonsblikk på internkontroll

heretter kalt Operatøren.

Styreskolen. Prodekan Lars Atle Kjøde. Universitetet i Stavanger uis.no

Kort om evaluering og testing av It-systemer. Hvordan vurdere, verdsette, velge og teste?

Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

PETTER SPONBERG LEDER IT UTVIKLING I BUNDEBYGG RUNE TUNHØVD LEDER IT UTVIKLING OG KS/HMS I BUNDEBYGG FRA VERKTØYFOKUS TIL ØKT KUNDEVERDI

Netctrl 2.0. Innhold. I dette dokumentet er den nye funksjonaliteten beskrevet.

Kvalitetssystem og kvalitetsplaner for funksjonskontrakter. Vegdrift Rica Hell Hotell, Værnes 13. november 2007 Sjefingeniør Torgeir Leland

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

SCANIA SERVICES Dedikerte tjenester hele veien

Hva, Hvorfor og litt om Hvordan

Teknisk gjeld. Innhold. Hva er teknisk gjeld? NAVs tilnærming Dokumentasjon av teknisk gjeld Oppsummering

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet

Hvordan hente ut listen over et hagelags medlemmer fra Hageselskapets nye portal

Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?

Kokebok for å oppdatere språk og innhold i tekster

INF1000 Prøveeksamen Oppgave 7 og 9

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Digitaliseringsprogrammet - hva blir utfordringene for arkivet?

Botnane Bedriftsutvikling AS

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

En filserver på Internett tilgjengelig når som helst, hvor som helst. Enkelt, trygt og rimelig

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Revisjon av informasjonssikkerhet

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Hvorfor internkontroll?

Kraftig Dual-Core-ytelse for dagens og morgendagens bedrifter

IT er ikke bare for IT-revisorer

Installasjonsveiledning Visma Avendo, versjon 5.2

Visma Reconciliation NYHETER OG FORBEDRINGER

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Ofte stilte spørsmål.

KF Brukerkonferanse 2013

Fremtidens plattform for samvirkende systemer

Vedlegg til skjema for melding om kvalifisert tillitstjeneste Kvalifisert elektronisk tidsstempel

RF-1243 Oppgave over gaver til visse frivillige organisasjoner, gaver til tros- og livssynssamfunn og tilskudd til vitenskapelig forskning

NiSec Network Integrator & Security AS ALT UNDER KONTROLL

Kompetansemål fra Kunnskapsløftet

DOKUMENTASJONSFORVALTNING GEVINSTENE AV RECORDS MANAGEMENT PÅ NORSK. Kristine Synnøve Brorson

Filbehandling. Begreper

Nokios 2013 Forsvarlig håndtering av elevdokumentasjon i grunnskole og videregående skole

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Digitale verktøy eller pedagogikk kan vi velge?

IKT-reglement for Norges musikkhøgskole

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

Akelius Revisjon. Dokumentasjon ved revisjon av små foretak

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

XBRL hva og hvorfor EDU - EDI. XBRL er. Svein A. Løken. Effektivt og pålitelig Alternativer å sende

Kvalitetssikring av IT-systemer på akkrediterte laboratorier (NA Dok. 51)

EFFEKTIVISER OG MODERNISER PERIODEAVSLUTNINGEN

Canon Self-Service. Komme i gang-veiledning. En veiledning som hjelper deg med å registrere og begynne å bruke Canons Self-Service-portal på nettet

TESTRAPPORT INTRANETT, CMA ASSET MANAGEMENT AS. Dataingeniørutdanningen, Høgskolen i Oslo GRUPPE 15. Kenneth Ådalen. Vegard Gulbrandsen

Elektroniske regnskapsdata: Standardiserte formater, XBRL Kryptering og signering Altinn og Brønnøysundregistrene. Risiko

Brukermanual for kommuneansvarlig og testleder

Oppgave 1. i) Kvalitetsmål for regnskapet:

Informasjonsmøte Samarbeidsforum internkontroll

Kvalitative intervjuer og observasjon. Pensum: Dag Ingvar Jacobsen (2005): Hvordan gjennomføre undersøkelser, s

Content Management - fra kaos til kunnskap

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Elektroniske regnskskapsdata: Standardiserte formater, XBRL Kryptering og signering Altinn og Brønnøysundregistrene

Installasjonsveiledning

MA 1410: Analyse (4 vekttall)

Krav. Beskriver tjenestene produktet skal håndtere Kravene kan testes

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler

Regler og informasjon til foresatte om bruk av datautstyr for trinn

Firmaopplysninger Aktivere lisens Legge inn logo Kontoinnstillinger og signatur...

Bedre helse og sikkerhet med EPJ

Transkript:

Innledning til IT-revisjon 10. 9. 2009 Formål, risikoer, sentrale begreper Svein A. Løken Studierektor, IT-revisjon, Handelshøyskolen BI Hva vil du lære? Hva ønsker du at vi skal ta opp? Hvorfor? Forelesningenes struktur 1. Hva ønsker vi fra IT? 2. Risiko for at vi ikke får oppfylt ønskene 3. Tiltak for å styre denne risikoen: kontroller 4. Måle og vurdere denne risikoen 1

Pensum og læremidler I første samling skal jeg ikke være så opptatt tt av pensumbøkene som i senere ITR-forelesninger Referanselesning IIA/ GTAG: Globale veiledninger for teknologirevisjoner På norsk Lite teknisk Gode prinsipper 1. Risiko og trusler SAMLINGENE Teknologisk risiko Hvor stor og hva er riskoen? 2. Styring Tiltak for å kontrollere risiko 3. Revisjon Er organisasjonens bilde av risikoen korrekt? 2

To tilnærminger Positiv IT og kvalitet Oppnå best mulig resultat Negativ Hindre at det oppstår feil Eksempler? Hva er viktigst? Kvalitet som en sammensatt egenskap Hva er målsetninger for IT? Kom med forslag Risiko ik for at målene ikke nås? Hvordan sørge for at målene nås? Overordnede mål og IT Hva er ITs fortjeneste eller skyld? Risiko Teknologisk risiko særpreget for IT Styre IT Styringsrisiko for IT 3

Data Litt informasjonsteori Symboler hentet fra et alfabet Hensiktsmessige alfabet For hvem? Oversettelser? Eksempler på alfabet Redundans Komr du snrt? Redundans og kontroll Informasjon Informasjon = data + tolkningsramme Likhetstegnet er tolkning Hva er viktigst: Tolkningsramme eller data? Hvordan sikrer vi oss at tolkeren (brukeren) har riktige Data? Tolkningsramme? 4

Hvordan får brukeren en tolkningsramme Historisk erfaring Undervisning, jobberfaring, standardrapporter Tolkningsdata Hvordan skal vi gi tolkningsdata? Tenk over tilgangen på tolkningsdata ved Standard rapporter Skjermbilder Spørrerutiner på skjermen Regneark Kan vi bedre situasjonen? Verdi av informasjon Ny informasjon: det uventede Info har verdi når: den er informasjon (og det betyr..,) Vi bruker informasjonen, dvs handler Handlingens konsekvens Informasjonsverdien er en avledet verdi 5

Forutsetninger for infoverdi Forståelig (dvs info) Relevant I tide Hva betyr det? Kvalitetsegenskaper ved data Pålitelige Objektive Representative Hvem velger hvilke data som skal registreres og lagres? Vet vi hva data skal brukes til? Hvis ikke, hva skal vi da lagre (arkivloven) 6

Satsvise systemer Periodisk oppdatering Saldo 1.1 1 + transaksjoner = saldo 31.11 Betyr det at saldoen er viktigere enn transaksjonen? Ja, det gjorde det. Metode for datakomprimering Gamle data, er de noe verdt? Modell for oppdatering Satsvis (uten tap av gammel dataverdi) Sanntid (med tap av gammel dataverdi) Sanntids-systemer Hva skjer hvis vi gjør periodelengden kortere Hvis vi bare har en trans i en periode? Teknisk modell: tabellene Transaksjonstabell og logg Kostnader og andre ulemper ved sanntidssystemer Transaksjoner utløser handlinger Irreversible handlinger? 7

System To komponenter som samvirker mot et felles mål Systemgrensesnitt Der to systemer møtes og der data utveksles Kan være en transaksjonstabell Kan være et skjermbilde Applikasjon(-ssystem) Løser en oppgave for brukeren, f eks purresystem Operativsystem Styrer og kontrollerer datasystemets drift, f eks Windows som håndterer oppstart, størmbrudd, med mer på PCen Det alle vet er itt no verdt Økonomisk verdi av informasjon Konfidensialitet Andre grunner til konfidensialitet Etiske Legale (bl.a. poppl: personopplysningsloven) Lagringskostnader og lagringskapasitet Retten til glemsel: beslutninger om strykning 8

Pålitelige data Vi vet hvor de kommer fra Opprinnelig Behandling Autoriserte prosedyrer Integritet Pålitelige inndata Hva skal registreres? Forutsetninger t Oppdage hendelsen forstå at den skal registreres kunne registrere I tide Fullstendig registrering i Nøyaktig registrering Risikoreduksjon ved å validere data 9

Pålitelig behandling Riktig handling Riktig program Hvorfor feil i programmer? Hva slags feil? Programinstruksjoner Feil i styringstabeller Pålitelig lagring og gjenfinning Bestandig lagringsmedium Nøkler (arkivnøkler og kontrollspor) Fritekst søking Tre hovedbegreper Konfidensialitet Integritet Tilgjengelighet Datasikkerhet Hva er dette? Hva er viktigst? 10

Manglende tilgjengelighet når Tekniske forhold Lagring Transport / levering Menneskelige forhold Kunnskap Annet? Grad av tilgjengelighet Hindere Geografi Tidsforbruk Tekniske forutsetninger Kostnader Coso kontrollmiljø Manglende integritet Når vi ikke vet hvor data kommer fra Vi er ikke sikre på at autorisert prosedyre re er brukt Når vet vi ikke hvor data kommer fra? Hvordan kan vi oppdage det? Ved å overvåke behandlingen / prosessene Kontrollere tilgangen til dataene Ved å kontrollere dataene Korrekte data Formatkrav, signaturer 11

Vår tilnærming til risikoen Metodisk håndtering av risiko Objektivitet: En revisjon skal være uavhengig av hvem som reviderer Viktig for brukerne av revisjonen Metodisk er kostnadsreduserende Metodisk bidrar til læring, bedre revisjon neste gang En risiko beskrives, håndteres ved en kontroll (et kontrolltiltak) Risikomodellen Iboende risiko Egenskaper ved organisasjon og omgivelser Kontroller Styringstiltak for å styre risikoen, måle og korrigere Kontrollrisiko / styringsrisiko Risiko for at kontrollene ikke virker Revisjonen skal bedømme kontrollrisiko Revisjonsrisiko Risiko for at revisjonen feilbedømmer kontrollrisikoen Andre risikomodeller 12

Kontrolltyper Motvirkende kontroller Organisering, kompetanse, rutiner, osv Oppdagende kontroller Avstemminger, resultat-testing, kvalitetsmålinger Gjenvinnende kontroller Metoder for å gjenskape data, forsikring, osv Kontrollkvalitet God design på kontrollen Målrettet mot risikoen Dokumentert Nødvendig for vurdering og testing Iverksatt Dvs at den skal kunne fungere og ha fungert 13

Nivåer Risiko kan håndteres på flere styringsnivåer, eksempel: Direkte mot den enkelte resultatrisiko programfeil: kontroller programmet Test av kontroll Lær opp programmereren slik at hun blir flink, stol på at programmet derfor er riktig, og test at hun er flink Mulige nivåer (flere finnes) dataene selv programmet/rutinen som skaper dataene Organisasjonen som skaper og drifter rutinen Styrets forståelse og styring av IT Fullstendighet Risiko, datafangst Relevante og gyldige transaksjoner Kontrollmiljø Nøyaktighet Datavalidering Pålitelighet Kontroller for at autoriserte rutiner Er gode nok Er iverksatt 14

Risiko, lagring Hva skal oppbevares? Data Dokumentasjon Av og til utdata og rapporter Gjenfinning Orden Arkivnøkler Fulltekstsøk Bestandig og sikker oppbevaring Oppbevaringsmedier Oppbevaringsmiljø Oppbevaringsperiode Formater for leselighet (tilgjengelighet) Beskyttelse mot endring og tap (duplikater, RAID, signering) Biblioteksrutiner ( lagerkontroll ) Risiko, informasjonsdistribusjon Sikkerhet (T, K, I) E-post Transaksjonssystemer Dokumenter Tilgangskontoller til data Tolkningsrisiko Riktig Effektiv Tall, figurer, tekst 15

Fullstendig Nøyaktig Sikkerhet Risiko, behandling Konfidensialitet, integritet og tilgjengelighet Datakommunikasjon Konfidensialitet, integritet og tilgjengelighet Ikke-benektelse 16

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding