God IT Styring og Kontroll i norske foretak Sluttrapport - Del 1: Modell Standard Norge, desember 2009 prosjekt NorSox
Prosjekt NorSox Sluttrapport Omfatter to separate deler: Del 1 Modell Del 2 Veiledning for innføring av god IT-styring og -kontroll Publisert: Desember 2009 Prosjekteier: Standard Norge Prosjekt partnere: IKT-Norge, Norsk Akkreditering, Software Innovation ASA og Standard Norge. Prosjektsekretariat: Standard Norge Publiseringsansvarlig: Standard Norge Strandveien 18 Postboks 242 1326 Lysaker info@standard.no www.standard.no ISBN 978-82-7202-668-3 Standard Norge 2009 Generelt om rettigheter for anvendelse av innhold i sluttrapport NorSox. Som prosjekteier er Standard Norge den som forvalter alle rettigheter knyttet til sluttdokumentet fra prosjekt NorSox. Ved alle former for gjengivelse av det omtalte sluttdokument fra prosjekt NorSox del 1 og del 2, skal den som gjengir påse at kravet i åndsverkloven 3 om å navngi opphavsmannen / kildehenvisning blir ivaretatt. Spesielt for del 1: Rettigheter vdr figur 4.1: This guideline includes content from COBIT 4.1, which is used by permission of ISACA. 1996-2007 IT Governance Institute. All rights reserved. COBIT is a registered trademark of ISACA and the IT Governance Institute." For COBIT 4.1 Figures: "Source: COBIT 4.1 1996-2007 IT Governance Institute. All rights reserved. Used by permission." For the SASBA, CISM Review Manual Figures: "Source: SASBA Institute, CISA Review Manual 2009. 2008 ISACA. All rights reserved. Used by permission." 2
God IT Styring og Kontroll i norske foretak Prosjekt NorSox Sluttrapport Del 1 Modell 3
Dette dokumentet, sluttrapport fra prosjekt NorSox (bestående av Del 1 og Del 2) gir ledelse og styre i alle typer virksomheter grunnlag til å forstå hvordan etablere gode og helhetlige prinsipper for foretaksledelse med tilhørende systemer for helhetlig internkontroll, alt med fokus på at IT er en integrert del av virksomheten som understøtter foretakets forretningsstrategi. Del 2 er en veiledning til hvordan etablere God IT Styring og Kontroll. Prosjekt NorSox Standard Norge er prosjekteier og sekretariat for prosjektet. Prosjektet NorSox er et BIA-prosjekt (Brukerstyrt Innovasjonsarena) i regi av Norges Forskningsråd. Partnere i prosjektet har vært: IKT-Norge Norsk Akkreditering Software Innovation ASA Standard Norge Prosjektets mandat utrykker dette slik: Lage nøytrale og forståelige prinsipper for god og helhetlig virksomhetsstyring med særskilt fokus på IKT. Retningslinjer basert på disse prinsippene vil bidra til at virksomheter innfører god risikostyring og internkontroll med utgangspunkt i det operative risikobildet. Prinsippene omfatter rammeverk, prosesser, oppgaver, adferd og andre forhold som bidrar til å sikre at virksomheten opererer i samsvar med relevante lover, forskrifter og internasjonale standarder. Retningslinjene skal tilfredsstille lovmessige krav og forskrifter som gjelder for styring av virksomheter av allmenn interesse: Dvs. børsnoterte selskaper, statlig eide virksomheter, offentlige/departementale foretak, finansvirksomhet, SMB-virksomheter m.m. Utgangspunktet for prosjektet er at Norge, som EØS-medlem, skal innføre tre EU-direktiver i norsk lovverk, 4., 7. og 8. selskapsdirektiv. Disse direktivene påvirker nasjonal lovgivning med hensyn til følgende lover: Regnskapsloven, bokføringsloven, aksjeloven, allmennaksjeloven m.m., gjeldende fra medio i 2010. Kravet som ligger i Aksjelovens 6.12, tredje ledd, om at Styret skal holde seg orientert om selskapets økonomiske stilling og plikter, samt påse at dets virksomhet, regnskap og formuesforvaltning er gjenstand for betryggende kontroll, står fast. I forbindelse med Aksjelovens 6.12 har man til nå fokusert på de to siste elementene om regnskap og formuesforvaltning hvor den eksterne revisor gir sin revisjonsberetning. Prosjekt NorSox vil rette fokuset mot de nye krav som stilles til styret i bla Regnskapsloven 3-3b. Redegjørelse om foretaksstyring. Denne skal innholde opplysninger om: Angivelse av de anbefalinger og regelverk om foretaksstyring som foretaket er omfattet av eller som selskapet for øvrig velger å følge. Samt beskrivelse av hovedelementene i foretakets systemer for internkontroll og risikostyring knyttet til regnskapsprosessen. Prosjekt NorSox anbefaler et helhetlig system for internkontroll og risikostyring. Målet for loverendringene og presiseringene er krav om bedre total selskapsstyring. Prosjektet har utarbeidet dette sluttdokumentet gjennom en prosess som er basert på konsensus. Arbeidet har foregått i en arbeidsgruppe med en referansegruppe som kvalitetssikrer innholdet. Arbeidsgruppen: Jan T. Bjørnsen, Ageto Rådgivning AS (Leder) Ole J. Kvammen, Security & Risk Management AS Rune Berggren, IBM Norge as Øyvind Schønemann, Infocom Group AS Vibeke Gjøsdal, Security & Risk Management AS Sekretariat: August Nilssen, Standard Norge Referansegruppen: Roar Gulbrandsen, PricewaterhouseCoopers (leder) Inger Mette Gulbrandsen, Det Norske Veritas Gaute Lien, ISACA Norge Alf M. Hanssen, Norske Interne Revisorers Forening Jan Kirkerud, Software Innovation ASA Per Morten Hoff, IKT Norge Knut Lindelien, Standard Norge 4
NorSox Et dokument om God IT Styring og Kontroll Ledelsen både i privat og offentlig sektor blir i dag utfordret til å etablere God IT Styring og Kontroll eller IT Governance i sin virksomhet. Det er særlig myndigheter, eiere og ansatte som stiller strengere krav til tydeliggjøring av ansvar og konsekvenser. Dette gjelder spesielt dersom virksomheten ikke kan dokumentere god styring og kontroll. Prosjektet NorSox, i regi av Standard Norge, har laget dette dokumentet for å gi styremedlemmer og den ansvarlige ledelsen et grunnlag til å forstå nok til å plassere Internkontroll og styring innen IT på dagsorden. Dokumentet henvender seg til alle som har eller vil få verv i styrer, eller har et lederansvar i en virksomhet. Det bygger på internasjonalt anerkjente standarder og internasjonale rammeverk. Det betyr at man må forholde seg til noen termer og begrep som er helt sentrale for å forstå hvordan god styring og kontroll kan bygges opp. God IT Styring og Kontroll er en måte å forklare viktigheten av å ha styring og kontroll (ofte omtalt som intern kontroll ) over virksomhets bruk av IT. Dette er knyttet tett sammen med generelle krav om god virksomhetsstyring ( Corporate Governance ). For å beskrive hvilke prosesser som må på plass for å styre og kontrollere bruk av IT, anvendes CobiT som en anerkjent de facto standard. Her beskrives 34 prosesser, fordelt innen 4 hovedområder, for å ivareta bruk, organisering, administrering og drift av IT. De 4 områdene er: Planlegging og Organisering som ivaretar de administrative aktivitetene for å få til en styrt og kontrollerbar bruk og drift av IT Anskaffelse og Implementering som ivaretar de operative aktivitetene for å anskaffe nye systemer eller oppdatere eksisterende Driftsleveranser og Support som ivaretar de operative aktivitetene for å sikre effektiv og stabil IT drift Monitorering og Evaluering som ivaretar de operative og administrative aktivitetene med å følge opp og sikre en optimal bruk av IT Dette gjøres for at virksomhetens krav til IT skal: være målrettet være effektiv sikre konfidensialitet sikre integritet sikre tilgjengelighet oppfylle lovpålagte krav være robust ( Resilient ) Dette dokumentet fra NorSox binder sammen COSO, CobiT, ITIL og ISO-standarder ved å beskrive IT Styring og Kontroll innenfor temaer som strategiske tilpassinger, leveransekvalitet, risikostyring, ressursstyring og ytelsesmåling. I de nye lovtekstene er begrepet Foretak blitt benyttet konsekvent. Imidlertid er Virksomhetsstyring et innarbeidet begrep hos mange i dag. Når NorSox i dette dokumentet bruker begge begrepene om hverandre, så menes de å omfatte både private virksomheter, aksjeselskaper, offentlige foretak/etater og organisasjoner. 5
Ledelsessammendrag Formål Formålet med dette dokumentet er, som vist i mandatet, å utarbeide en modell som kan hjelpe styret og administrasjon i ulike bedrifter og foretak med å etterleve lovbestemte krav og God praksis knyttet til helhetlig virksomhetsstyring med særskilt fokus på IKT-miljøet. Sterk forankring hos styret og den daglige ledelse er avgjørende for å lykkes med å bygge prosesser for internkontroll om skal sikre god foretaksstyring (Corporate Governance). Det er også viktig at styret og daglig leder innser/erkjenner at det kreves spesiell kompetanse for å bygge kontroller inn i IKTprosesser. Se kapittel 2 for en mer detaljert beskrivelse av COSO, CobiT og Governance. Styring og kontroll Det finnes mange likheter mellom Corporate Governance (for å styre alle enheter i foretaket) og IT Governance ( styre tverrliggende IT-aktivitet som understøtter alle funksjoner i forretningsenhetene) i et foretak. Men det er også noen viktige forskjeller. IT Governance Institute har gitt følgende visuelle fremstilling av hvordan et foretak bør bygge opp sitt styrings- og kontrollmiljø, og hvordan IT bærer mange av kontrollaktivitetene fordi dette understøtter alle virksomhetsprosesser. Figur 0.1: Styrings- og Kontrollmiljøet i et foretak; COSO og CobiT som rammeverk Styrets oppgaver og ansvar Styrets oppgave er å: evaluere forretningsmuligheter peke ut en retning (forretningsmessig og teknologisk) se til at internkontroll er etablert og fungerer etter sin hensikt Dette betyr at styret må ha en visjon om å etablere god styring og kontroll ved å ha regelmessig oppfølging av den strategiske retningen og samhørigheten mellom forretning og IT som finnes i foretaket, og den verdiøkende aktiviteten som foregår i forretningsenhetene og i IT-funksjonen. Dette må ivaretas gjennom løpende risikostyring for å sikre at: foretaket ikke eksponeres for en uakseptabel risiko man kan håndtere alvorlige hendelser de ressurser som foretaket har til rådighet er tilstrekkelige For utfyllende dokumentasjon, se kapittel 4. Lovpålagte krav er nøyere beskrevet i Del 2, tillegg C, hvor kravet fra Aksjelovgivningen, Regnskapsloven m.fl. er beskrevet. Ledelsens oppgaver og ansvar Det er viktig at foretakets ledelse forstår at både COSO ERM og CobiT er viktige verktøy som utfyller hverandre, og at man ikke velger en for snever verktøykasse for å innføre gode styrings- og kontrollprinsipper i foretaket. Gjør man det, vil man fort oppdage at de enkelte rammeverk og 6
standarder enkeltvis ikke er komplette som et altomfattende verktøy for tilfredsstillende styring og kontroll. Dette er vist i figur 0.2 nedenfor 1. For nærmere detaljer se kapittel 4. Figur 0.2: Illustrasjon over innbyrdes plassering av de forskjellige rammeverk og standarder Å få på plass god styring og kontroll slik de nye lovendringene legger opp til, krever et våkent og aktivt styre som setter dette på sin agenda. Det er viktig at styrets medlemmer instruerer daglig ledelse i å iverksette tiltak. Man må balansere innføringen av tiltakene på en slik måte at styring og kontroll inngår som en naturlig del av den daglige virksomheten, og ikke blir sett på som et merarbeid. Det er derfor viktig å huske at oppgavene er sammensatte og består av: et administrativ, ikke-teknisk aspekt som krever at det avsettes tid og ressurser til planlegging og organisering hos foretakets ledelse et operativt, teknisk aspekt som krever vilje og gjennomføringsevne samt forankring i ledelsen slik at ressurser blir avsatt statiske og langsiktige teknologiske / forretningsmessige perspektiv for virksomheten dynamiske evner til hurtig omstilling og vilje til å ta i bruk ny teknologi og nye forretningsmuligheter De administrative aspektene er omtalt videre i dette dokumentets Del 1, mens de operative aktivitetene er beskrevet i Del 2. Her finnes praktiske hjelpemidler, blant annet inneholder Tillegg B2 en sjekkliste som styret kan bruke for å starte på årshjuloppgavene innen IT Styring og Kontroll. Årshjulopgaver Styrets oppgave innen IT Governance er gjerne uttrykt i begrepene Evaluate, Direct og Monitor. Figuren nedenfor viser hvordan de tre oppgavene blir plassert i et årshjul. Ved å styre og kontrollere disse oppgavene gis det direktiver til daglig ledelse som kan ivareta planlegging og organisering av alle de øvrige prosessene. Styret må legge inn aktivitetene i sitt årshjul, og dette må koordineres med ledelsens årshjul for virksomheten totalt. For mer detaljert beskrivelse, se kapittel 4 samt eksempel A1 og B1 i Del 2 av dokumentet. Figur 0.3: Styrets oppgaver relatert til et årshjulperspektiv 1 For utfyllende dokumentasjon, se kildehenvisning i kap. 8 7
Innholdsfortegnelse Ledelsessammendrag... 6 1 Innledning... 9 1.1 Bakgrunn... 9 1.2 Public Interest Entities... 9 1.3 Omfang... 10 2 God og helhetlig virksomhetsstyring... 11 2.1 Corporate Governance... 11 2.2 IT Governance... 11 2.3 Ansvar og roller... 12 2.4 Forretningsmessige krav... 13 2.5 Operasjonell risiko i forhold til økonomisk risiko... 14 2.6 IT prosesser... 15 2.7 Modenhetsnivå... 15 2.8 Kontrollmiljø... 17 2.9 Kontrollaktiviteter... 18 3 Praktisk bruk av dette dokumentet... 19 3.1 CobiTs forretningsorienterte tilnærming ledelsens ansvar... 19 3.2 CobiTs prosessorienterte gjennomføring linjens ansvar... 19 3.3 Tilleggene i Del 2... 21 4 Oppgaver og ansvar for styret og daglig ledelse... 21 4.1 Styrets oppgaver og ansvar... 21 4.2 Daglig ledelse oppgaver og ansvar... 22 4.3 Implementering av God IT Styring og Kontroll... 22 5 Oversikter normative referanser, kilder og hjelpemateriell... 24 8
1 Innledning 1.1 Bakgrunn Dette dokumentet har lagt til grunn aksjelovens og allmennaksjelovens paragrafer om styrets og daglig leders ansvar for at virksomheten drives på en forsvarlig måte, samt de nye endringene som er foreslått innført i Regnskapsloven hvor det pålegges foretak å etablere et system for intern kontroll knyttet til regnskapsprosessen (Se forslag til endring i Regnskapsloven 3-3b pkt 4 i Del 2 av dokumentet). Det er særlig kravet i Aksjelovens 6-12 tredje ledd om styrets plikt til å påse at selskapets virksomhet drives på en forsvarlig måte som er fundamentet for dokumentet. Denne paragrafen har eksistert lenge, men til nå har fokuset vært på rapportering av regnskap og formuesforvaltning som ivaretas ekstern revisors årsberetning. NorSox og EU vektlegger nå i større grad viktigheten av at selskapene skal kunne vise hvordan de håndterer operasjonell risiko forbundet med den virksomheten de driver. Framover betyr dette at selskapsstyring, herunder IT styring og kontroll, må synliggjøres i årsberetningen. Disse krav kommer som følge av at Norge skal implementere følgende EU direktiver: Fjerde selskapsdirektiv 78/660/EØF Regnskapsdirektivet; endres nå ved nytt direktiv 2006/46/EF Syvende selskapsdirektiv 83/349/EØF Konsernregnskapsdirektivet; endres nå ved direktiv 2006/46/EF samt henvisninger til fjerde direktiv Åttende selskapsdirektiv Gjeldende direktiv er 84/253/EØF; erstattes av 2006/43/EF Prosjekt NorSox i Standard Norge skal utvikle et nasjonalt kompetansenettverk samt lage en modell for innføring av helhetlig foretaksstyring og kontroll med hovedfokus på God IT-styring og kontroll. Sluttdokumentet er basert på vedtatte krav i norsk lov, internasjonale standarder og anbefalte internasjonale rammeverk. Dokumentet er bygget opp i to deler. Del 1 beskriver selve modellen for God IT-styring og kontroll. Del 2 beskriver verktøyet som kan nyttes for å etablere styring og kontroll både i store og små foretak. Modellen vil være knyttet opp mot Årshjulet med oppgaver, tidsfrister og ansvar som binder sammen aktiviteter beskrevet i tilleggene i Del 2. 1.2 Public Interest Entities I tillegg til de norske lovkravene legges det til grunn den åpningen EU-direktivene gir medlemslandene til å tolke begrepet "Public Interest Enities 2. I den forklarende teksten som medfølger direktivene står det at begrepet skal omfatte selskaper notert på børs, men også kan omfatte andre foretak som på grunn av størrelse, virksomhet eller andre årsaker er av interesse for allmennheten. Se forøvrig kapittel 6 for detaljert beskrivelse. 2 EU Definisjon av Public Interest Entities EU Direktive 2006-43-EC Audit, Article 2, Item 13 definerer Public Interest Entities på følgende måte: 13. public-interest entities means entities governed by the law of a Member State whose transferable securities are admitted to trading on a regulated market of any Member State within the meaning of point 14 of Article 4(1) of Directive 2004/39/EC, credit institutions as defined in point 1 of Article 1of Directive 2000/12/EC of the European Parliament and of the Council of 20 March 2000 relating to the taking up and pursuit of the business of credit institutions (1) and insurance undertakings within the meaning of Article 2(1) of Directive 91/674/EEC. Member States may also designate other entities as public-interest entities, for instance entities that are of significant public relevance because of the nature of their business, their size or the number of their employees. 9
Det enkelte medlemsland blir gitt stor frihet til å definere hva som inngår i begrepet ut over børsnoterte selskaper. Man legger vekt på at dette kan omfatte virksomheter og foretak som på grunn av sin størrelse, sin virksomhet eller sin posisjon, bør ha God styring og kontroll selv om de ikke nødvendigvis er børsnoterte. Eksempler på andre typer foretak som kan underlegges de samme krav til helhetlig risikostyring og kontroll, kan derfor være: helseforetak statlige virksomheter departementer (større) ikke børsnoterte foretak basert på kriterier som omsetning, antall ansatte eller lignende samvirkeforetak / foretak med begrenset ansvar (BA), (eksempel: NORTURA, COOP o.l.) 1.3 Omfang Prosjekt NorSox i Standard Norge har sammen med flere interesseorganisasjoner gjennom dette dokumentet forsøkt å beskrive hvordan God foretaksstyring og kontroll i praksis kan innføres i norske foretak. Dette gjøres ut fra et sterkt ønske om å motivere styret og administrasjon til å iverksette tiltak som leder til at bedriften oppfyller lovkrav og følger internasjonale standarder og god praksis. Prosjektet anbefaler at foretak, store så vel som små, bør benytte muligheten til å vurdere sine prinsipper for helhetlig foretaksstyring med spesielt fokus på helhetlig risikostyring, helhetlig intern kontroll og etterlevelse av lover, forskrifter og bedriftsintern policy. I et slikt perspektiv vil IT-styring og kontroll (IT Governance) få et sterkt fokus. Norsk utvalg for eierstyring og selskapsledelse (NUES) anbefaler for eksempel at rammeverket COSO ERM (Enterprise Risk management) benyttes som rammeverk for overordnet selskapsstyring (Corporate Governance). NorSox vil anbefale at man i den daglige operative virksomheten i tillegg benytter andre anerkjente internasjonale standarder og rammeverk som CobiT, ITIL og ISO standarder. Her nevnes spesielt IT Governance (NS-ISO/IEC 38500), kvalitetstyring (NS-EN ISO 9000-serien), sikkerhet (NS-ISO/IEC 27000-serien) og Service Management (NS-ISO/IEC 20000- serien). Dette dokumentet fra NorSox beskriver de prosesser og aktiviteter som må utføres av linjeorganisasjonen for å sikre et godt og helhetlig styrings- og kontrollmiljø. Forretningsorienterte rammeverk, som for eks. COSO ERM, sier lite spesifikt om IT. Som oftest faller IT-prosessene utenfor modellen til COSO ERM, siden IT ofte understøtter alle forretningsenheter med samme IT tjenester. Det er derfor viktig å kombinere flere rammeverk for å få en styrt, målbar og optimal organisasjon. Dette er vist i figur 1.1 nedenfor. Figur 1.1: En praktisk innføring av IT Governance som en naturlig del av Corporate Governance basert på Ansvarstrekantene innen en virksomhet. For å oppnå god styring og kontroll over leveransekvaliteten, kan den enkelte virksomhet anvende ITIL som God praksis. For å dokumentere IKT-prosesser og integrere CobiTs krav til kontroll innen 10
områdene Anskaffelser og Driftsleveranser på en strukturert og pragmatisk måte er ITIL også godt egnet. Krav til informasjonssikkerhet kan basere seg på NS-ISO/IEC 27002 standarden, som viser hvordan man skal ivareta informasjonssikkerhet i en virksomhet. Del 1 av dette dokumentet kan benyttes sammen med det arbeidet som er utført av Norsk utvalg for eierstyring og selskapsledelse (NUES), og den beskrivelse de gir av overordnet foretaksstyring. Del 2 av dokumentet gir veiledning om praktiske, pragmatiske og velprøvde metoder og prosesser som kan brukes for å realisere god foretaksstyring og kontroll, samt hovedprosessene i de anbefalte verktøy for å etablere og innføre god helhetlig IT-styring og kontroll. Disse finnes i følgende tillegg: Tillegg A; prosesser for store og små foretak Tillegg B; sjekkliste for å starte opp prosessen hos Styret og Daglig ledelse i foretakene Tillegg C; relevante lovtekster og paragrafer Tillegg D; beskrivelse av operasjonelle risikoaspekter 2 God og helhetlig virksomhetsstyring I dette dokumentet benytter man en del sentrale begreper som må forklares for å forstå hva God foretaksstyring og kontroll dreier seg om. Det finnes mange likheter, men også forskjeller, mellom Corporate Governance (å styre alle enheter i foretaket) og IT Governance (styring av tverrliggende IT-prosesser som understøtter alle funksjoner i et foretak). IT Governance Institute har gitt en visuell beskrivelse av hvordan et foretak bør bygge opp sitt styrings- og kontrollmiljø, og hvordan IT bærer mye av kontrollaktivitetene siden dette understøtter alle forretningsprosesser. NorSox har valgt å bruke samme filosofi og viser dette i figur 0.1 tidligere i dette dokumentet. 2.1 Corporate Governance Corporate Governance definerer krav til styring og kontroll fra myndigheter, eiere og ansatte til styret og virksomhetens ledelse (selskapsledelse). I dette ligger ansvars- og rolledeling mellom de ulike organer innenfor en organisert virksomhet. Corporate Governance er også samspillet mellom virksomhetens organer og andre interessenter (som f.eks. kunder, samarbeidspartnere, leverandører, ansatte, fagforeninger og samfunnet ). COSO ERM legger vekt på følgende elementer for å etablere god styring og kontroll i et foretak: internt miljø etablering av målsettinger identifisering av hendelser risikovurderinger risikohåndtering kontrollaktiviteter informasjon og kommunikasjon oppfølging I dette dokumentet fokuseres det primært på elementene styring, (i form av å sette forretningsmessig retning og gi overordnede retningslinjer), overordnet kontroll og verifikasjon av kvalitet på kontroller (at de faktisk gjennomføres). IT Governance er et svært viktig virkemiddel for styring og kontroll i form av å få korrekt informasjon om forretningsdriften og virksomheten til riktige organer til rett tid for å kunne fatte gode beslutninger. Forankring av IT Governance er et viktig element i Corporate Governance. I dette inngår det å sikre at det finnes en adekvat informasjonsarkitektur med verktøy og administrative policyer, prosesser og rutiner, som benyttes både til styring, kontroll og verifikasjon. 2.2 IT Governance Begrepet IT Governance, eller God IT-styring og kontroll på norsk, trenger en forklaring slik at man ser hvordan begrepet skiller seg fra øvrige styrings- og kontrollaktiviteter som en virksomhet utøver. 11
NS-ISO/IEC 38500:2008 har bidratt til å tydeliggjøre begrepet IT Governance ved å beskrive det som en del av ledelsessystemet for bedriftsledelsen. Standarden beskriver dette i 6 prinsipper: Responsibility Strategy Acquisition Performance Conformance Human Behaviour Styret og ledelsen skal for hver av prinsippene gjøre en evaluering, peke ut en retning og monitorere/følge opp at foretaket utfører aktiviteter som bedrer styrings- og ledelsesmiljøet. Med andre ord handler IT Governance om forretningsmessig ledelse og styring av IT-ressursene på vegne av interessenter som forventer avkastning på investeringene sine. Det er ikke tilstrekkelig at ITenheten tar hånd om IT-behovene, det må sikres god forretningsmessig styring og bruk av IT. Det å kontrollere risiko og forvisse seg om at lover og forskrifter overholdes, er sentrale komponenter i forbindelse med god styring og kontroll. Men for bedriften er det viktigst å fokusere på levering verdi og måling av ytelse. IT Governance (ref CobiT) består derfor av: Value Delivery; leveransekvalitet Risk Management; risikostyring Resource Management; ressursstyring (av Infrastruktur, Data, Applikasjoner og IT-personell) Performance Measurement; Kapasitets- og ytelsesmålinger Strategic Alignment; Strategisk tilpassing (i forhold til forretningsenhetenes krav, lover og forskrifter) De 3 første punktene er operative og tekniske aspekter vedrørende styring og kontroll, de 2 siste punktene har et mer administrativt, ikke-teknisk og forretningsmessig fokus. IT Governance er derfor ikke bare Et regelsett for å styre IT-avdelingen, men derimot Et rammeverk for å styre virksomhetens bruk av IT. Ved å etterleve IT Governance skal man med andre ord kunne ivareta både det administrative og det operative, det forretningsorienterte og det prosessorienterte, så vel som det tekniske og ikke-tekniske. Det er viktig å få fram at det engelske begrepet IT Control, slik det er benyttet i boken CobiT Control Practices, betyr at foretaket har en kontrollert styring av foretakets bruk av IT, og ikke bare kontroll av foretakets IT-avdeling. 2.3 Ansvar og roller Begrepet Ansvar i et foretak bør ut fra arbeidsgruppens erfaring ofte deles i tre, og den grunnleggende tanken om Styring og kontroll er at fordelingen bør ligge på adskilte roller (og helst personer) for å unngå uheldige situasjoner hvor virksomheten blir sårbar for manipulasjon eller svik fra enkelte elementer. Både styrende dokumenter og arbeidsrutiner/-instrukser gir ofte en dårlig forståelse av hvilket ansvar som er pålagt forskjellige personer og enheter. Målgruppen for dette dokumentet har erfaringsmessig den samme tredelingen, først og fremst: Beslutningstagere med et Sørge for -ansvar De som beslutter investeringene og tilrettelegger for nødvendig kompetanse og ressurser, de som definerer krav til virksomheten og de forretningsenhetene som bruker IT-tjenestene. Aktører som har et Utføre -ansvar Interne eller eksterne interessenter som tilbyr IT-tjenester. Dette kan være IT-linjeledere, ITprosjektledere, IT-prosessledere, utviklere og driftspersonell med ansvar for daglig drift, eller utkontraktører som tilbyr overtakelse av foretakets IT-drift. 12
De med et Påse -ansvar Interne og eksterne interessenter som har ansvar for kontroll og risikohåndtering. Dette kan være personell med oppgaver innen sikkerhet, kontroll med behandling av personopplysninger, personell med ansvar for risikohåndtering eller personell med ansvar for intern kontroll og revisjon. I figur 2.2 nedenfor vises ansvarsfordeling i forhold til aksjelovens 6 fordelt mellom rollene Styret, Daglig ledelse og Intern revisjon. Det vil i forskjellige foretak brukes ulike titler og jobb-beskrivelser for det ansvaret vi viser til. Styret er ansvarlig for å sørge for og påse at det skjer en helhetlig og god styring av virksomheten. Daglig leder skal sikre at organisasjonen kan utføre sine oppgaver og aktiviteter på en tilfredsstillende måte. Dette medfører at styret i sitt årshjul må ha som oppgave å sikre dette. Styrets og daglig leders oppgaver og ansvar, er nøyere beskrevet i kapittel 4. I Del 2, Tillegg C, er lovkrav beskrevet. Figur 2.1: Ansvarsfordeling i forhold til aksjelovens 6 fordelt mellom rollene Styret, Daglig ledelse og Intern revisjon God IT-styring og kontroll forutsetter at roller og ansvar i organisasjonen er definert og kjent. Det bør videre være en klar ansvarsdeling i organisasjonen, slik at man ikke både har ansvar for å utføre og samtidig kontrollere eget arbeid. 2.4 Forretningsmessige krav Et begrep som stadig dukker opp i forbindelse med bruk av IT i et foretak, er at den skal oppfylle Virksomhetens forretningsmessige krav. Med forretningsmessige krav menes det at de IT-aktiviteter som utføres, skal være styrt av forretningens behov og prioriteringer. Forretningssiden er ansvarlig for å beskrive krav til funksjonalitet og informasjon de har behov for til å drive sin virksomhet, men sliter ofte med å uttrykke disse kravene på en konsis måte. CobiT har som en del av sitt rammeverk en generisk beskrivelse av hva disse kravene går ut på og hvordan de kan beskrives. Dette kan brukes i mange sammenhenger og er vist i tabell 2.1. 13
Tabell 2.1: Forretningsmessige krav til bruk av IT beskrevet på en allmenngyldig måte Krav Målrettethet (Effectiveness) Effektivitet (Efficiency) Konfidensialitet (Confidentiality) Integritet (Integrity) Tilgjengelighet (Availability) Overensstemmelse (Compliance) Pålitelighet (Reliability of Information) Beskrivelse Informasjonen skal være relevant og aktuell for forretningsprosessen og være levert: i rett tid korrekt konsistent på en anvendelig måte Informasjon skal anskaffes og tilgjengeliggjøres gjennom optimal (produktiv og økonomisk) bruk av ressurser. Sikkerhet for at kun autoriserte personer får tilgang til informasjon. Sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter. Sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov. Informasjon skal innfri lover, reguleringer/forskrifter og kontraktsmessige avtaler som forretningsprosessen er underlagt, for eksempel eksterne pålagte krav til informasjon. Informasjonen skal være formålstjenlig/hensiktsmessig: for ledelsen i styringen av virksomheten for ledelsens utførelse av finansielle og lovpålagte rapporteringsoppgaver Forretningsmessige krav kan oppstå på alle nivåer i et foretak. Fra et bedriftslederperspektiv er det viktig at IT understøtter de strategiske endringene virksomheten planlegger, mens fra et mellomledernivå er det mer fokus på at de enkelte løsningene støtter det daglige arbeidet på en god og effektiv måte. IT er av en slik art at store IT-endringer må sees i et 1-3 års perspektiv. En god samkjøring av IT-strategien med forretningsstrategien sikrer at IT kan planlegge for virksomhetens langsiktige forretningsmessige krav og forventninger. 2.5 Operasjonell risiko i forhold til økonomisk risiko Når det gjelder å vurdere og håndtere risiko i et foretak, har det skjedd en utvikling mht. hva myndighetene krever av kontrollaktiviteter. Mens tidligere lover og forskrifter stilte krav om kontroll av økonomisk risiko for børsnoterte selskaper (markedsrisiko og kredittrisiko), så vektlegger de nye EUdirektivene oppfølging av operativ risiko for å synliggjøre et mest mulig helhetlig risikobilde. Dette er vist i tabell 2.2 3 Tabell 2.2: Eksempler på forskjellige former for operasjonell risiko TYPER OPERASJONELL RISIKO Risiko relatert til virksomhetsstyring Kontrollrammeverkrisiko Etisk risiko Kriminalitets- og ulovlighetsrisiko Geopolitisk risiko Kulturell risiko Liv- og helserisiko Personellrisiko Informasjonssikkerhetsrisiko Prosess- og holdningsrisiko Informasjonsstyringsrisiko Prosjektstyringsrisiko Leverandørrisiko Renommérisiko Bygg-, anlegg- og driftsmiljørisiko Strategirisiko Lovpålagt og regulatorisk Teknologirisiko etterlevelsesrisiko Klima- og miljørisiko 3 En mer utfyllende tabell med type operasjonell risiko, beskrivelse av skadens art og forslag til tiltak er gitt i Del 2, Tillegg D. 14
2.6 IT prosesser En prosess er definert som et sett med aktiviteter som, utført på en innsatsfaktor, vil gi et resultat med en høyere verdi. Med IT-prosesser menes oppgaver som må løses for å få optimal bruk av IT i et foretak. CobiT beskriver IT prosesser innen disse 4 områdene: Planlegging og Organisering (PO) som ivaretar de administrative aktivitetene for å få til en fornuftig bruk og drift av IT Anskaffelse og Implementering (AI) som ivaretar de operative aktivitetene for å anskaffe nye systemer eller oppdatere eksisterende Driftsleveranser og Support (DS) som ivaretar de operative aktivitetene for å sikre effektiv og stabil IT drift Monitorering og Evaluering (ME) som ivaretar de operative og administrative aktivitetene med å følge opp og sikre en optimal bruk av IT ITIL beskriver en del operative prosesser innenfor områdene Anskaffelse og Implementering og Driftsleveranser og Support i CobiTs rammeverk. I mange foretak vil en kombinasjon av CobiTs kontrollfokus og ITIL's fokus på driftsrelaterte prosesser dekke behovet. Dette er nærmere beskrevet i kapittel 3. 2.7 Modenhetsnivå Mekanismer for IT-styring og kontroll må tilpasses modenheten hos de tilsatte i forhold til prosessene virksomheten utøver. I CobiT deles modenhet inn i seks nivåer. Desto høyere modenhetsnivå en bedrift har på arbeidsprosessene innenfor IT, desto enklere er det å sikre god styring og kontroll innenfor ITområdet. Dette gir bedre kontroll på at arbeidsoppgavene utføres i samsvar med virksomhetens behov, prioriteringer og krav til kvalitetssikring. Figur 2.2 viser modellen Capability Maturity Model fra Software Engineering Institute (SEI). Den er tilpasset og brukt i CobiT for å måle modenhet for ulike IT-prosesser i et foretak. Figur 2.2: Software Engineering Institute (SEI) originale Capability Maturity Model Ett viktig poeng er at man må være på minst nivå 2 i de forskjellige forretningsenhetene for å kunne innføre en god internkontroll. For å kunne rapportere linjemessig oppover om hvilket nivå de befinner seg på i en slik modell, er det nødvendig å etablere et kontrollregime basert på egenkontroll i det daglig arbeid. Figur 2.3 beskriver hvordan modenhetsnivået skal oppfattes for hver enkelt prosess for å tilfredsstille er spesifikt nivå i henhold til CobiT. Et foretaks evne til å forholde seg til gjennomarbeidede prosesser vil øke med høyere modenhet. 15
Figur 2.3: CobiT målestokk for ITmodenhet i et foretak. I figur 2.4 på neste side vises CobiTs krav til modenhet for et spesifikt prosessområde. Vi har valgt PO3; Determine Technological Direction innenfor Planlegging og Organisering. Denne vil være til hjelp når styret og foretakets ledelse skal peke ut teknologisk retning og stille krav til modenhet i sine IKT kontrollprosesser. 16
MATURITY MODELL PO3 Determine Technological Direction Management of the process of Determine technological direction that satisfies the business requirement for IT of having stable, cost-effective, integrated and standard application systems, resources and capabilities that meet current and future business requirements is: 0 Non-existent when There is no awareness of the importance of technology infrastructure planning for the entity. The knowledge and expertise necessary to develop such a technology infrastructure plan do not exist. There is a lack of understanding that planning for technological change is critical to effectively allocate resources. 1 Initial/Ad Hoc when Management recognises the need for technology infrastructure planning. Technology component developments and emerging technology implementations are ad hoc and isolated. There is a reactive and operationally focused approach to infrastructure planning. Technology directions are driven by the often contradictory product evolution plans of hardware, systems software and applications software vendors. Communication of the potential impact of changes in technology is inconsistent. 2 Repeatable but Intuitive when The need for and importance of technology planning are communicated. Planning is tactical and focused on generating solutions to technical problems, rather than on the use of technology to meet business needs. Evaluation of technological changes is left to different individuals who follow intuitive, but similar, processes. People obtain their skills in technology planning through hands-on learning and repeated application of techniques. Common techniques and standards are emerging for the development of infrastructure components. 3 Defined when Management is aware of the importance of the technology infrastructure plan. The technology infrastructure plan development process is reasonably sound and aligned with the IT strategic plan. There is a defined, documented and wellcommunicated technology infrastructure plan, but it is inconsistently applied. The technology infrastructure direction includes an understanding of where the organisation wants to lead or lag in the use of technology, based on risks and alignment with the organisation s strategy. Key vendors are selected based on the understanding of their long-term technology and product development plans, consistent with the organisation s direction. Formal training and communication of roles and responsibilities exist. 4 Managed and Measurable when Management ensures the development and maintenance of the technology infrastructure plan. IT staff members have the expertise and skills necessary to develop a technology infrastructure plan. The potential impact of changing and emerging technologies is taken into account. Management can identify deviations from the plan and anticipate problems. Responsibility for the development and maintenance of a technology infrastructure plan has been assigned. The process of developing the technology infrastructure plan is sophisticated and responsive to change. Internal good practices have been introduced into the process. The human resources strategy is aligned with the technology direction, to ensure that IT staff members can manage technology changes. Migration plans for introducing new technologies are defined. Outsourcing and partnering are being leveraged to access necessary expertise and skills. Management has analysed the acceptance of risk regarding the lead or lag use of technology in developing new business opportunities or operational efficiencies. 5 Optimised when A research function exists to review emerging and evolving technologies and benchmark the organisation against industry norms. The direction of the technology infrastructure plan is guided by industry and international standards and developments, rather than driven by technology vendors. The potential business impact of technological change is reviewed at senior management levels. There is formal executive approval of new and changed technological directions. The entity has a robust technology infrastructure plan that reflects the business requirements, is responsive and can be modified to reflect changes in the business environment. There is a continuous and enforced process in place to improve the technology infrastructure plan. Industry good practices are extensively used in determining the technological direction. Figur 2.4: Eksempel på en modenhetsbetraktning innen ett prosessområde iht. publikasjonen CobiT Research 4.1 2.8 Kontrollmiljø En kontroll er et prosessteg som adresserer en spesifikk risiko knyttet til kontrollmålsetningen. Formålet er derfor ikke å utføre kontrollen i seg selv, men å adressere den spesifikke risikoen som er knyttet til aktivitetene som utføres. Vi trekker her frem to typer kontrollaktiviteter: 17
Egenkontrollaktiviteter; som utføres av den enkelte medarbeider for å sikre at den enkelte prosessaktiviteten er gjennomført i henhold til krav til utførelse og kvalitet. Nøkkelkontrollaktiviteter; som sikrer at prosesskjeden ikke går videre til neste steg uten at fastsatte krav til utførelse og kvalitet er innfridd. 4 For nøkkelkontroller er det viktig at en medarbeider ikke kontrollerer seg selv, men at den blir utført av en annen (uavhengig) person. Det legges derfor vekt på at de medarbeidere som utfører IT prosessene, utøver egenkontrollaktiviteter for å være sikre på at den enkelte oppgaven er riktig gjennomført i henhold til krav om utførelse og kvalitet. Ledelsen skal fokusere på enkelte nøkkelkontroller for å kontrollere samlet risiko og kvalitet på viktige punkter i IT-prosessen før neste steg i prosessen utføres. 2.9 Kontrollaktiviteter På engelsk brukes begrepet Control Activities. På norsk brukes ofte begrepene kontrolltiltak og kontrollaktivitet synonymt. Kontrolltiltak er definert som tiltak for å sikre at forretningsmålene blir nådd, og at uønskede hendelser unngås. Dette gjøres ved å utarbeide retningslinjer, prosedyrer, rutiner, tekniske og fysiske tiltak samt organisering av foretaket. Kontrolltiltak kan deles i to hovedgrupper innen IT: Generelle IT-kontroller knyttet til IT-funksjonen og IT-prosesser (General Computer Controls for prosessene i kapittel 2.6) Applikasjonskontroller knyttet til anvendelse av og kvalitet på informasjon (Application Controls) Generelle IT-kontroller skal være innebygget i operative rutiner og prosedyrer. Disse kan samles under, ref. IT Governance Institute (ITGI): anskaffelse og systemutvikling endringshåndtering IT-drift tilgang til program og data Kontroller knyttet til anvendelse og kvalitet på informasjon er kontroller som er implementert i forretningsapplikasjonene. Disse skal sikre: fullstendighet (Completeness) nøyaktighet (Accuracy) gyldighet (Validity) autorisert (Authorised) arbeidsdeling eller adskilte roller og ansvar (Segregation of duties) Generelle IT-kontroller etableres for å sikre at informasjon som genereres i systemene, er til å stole på. Sammen med applikasjonsmessige kontroller skal de sikre integriteten til informasjonen som benyttes til å lede, styre og rapportere i foretaket. Dette er bearbeidet videre i Del 2 av dette dokumentet. Gode kontrolltiltak må både være designeffektive og operasjonelle. Med designeffektive menes at kontrolltiltak faktisk kontrollerer det de skal kontrollere. Med operasjonelle menes at de utføres slik de er beskrevet. Man bør i det enkelte tilfelle vurdere krav til å dokumentere utførelse av kontrollhandlinger. I kritiske sammenhenger vil dette sikre sporbarhet og muliggjøre etterprøvbarhet i forhold til at pålagte kontrollaktiviteter er utført i henhold til vedtatte rutiner. Dette kan være nødvendig i de tilfeller Styret er pålagt å bekrefte at selskapet faktisk utfører pålagte kontrollhandlinger. Et eksempel på dette er at det er forskjell på å kontrollere om en fullmakt er signert eller om den er signert av riktig/autorisert person. 4 Et eksempel kan være flypiloten som vi ser gjennomgår en sjekk av flyet for å sikre seg om at det er trygt å fly (egenkontrollaktiviteter), men som først får lov av tårnet til å ta av når en utfylt sjekkliste er signert og overlevert til bakkemannskapet (nøkkelkontroll). 18
3 Praktisk bruk av dette dokumentet Den praktiske innføringen av et godt regime for Styring og kontroll er gitt i Del 2 av dette dokumentet. Det er mange forskjellige miljøer og personer som må engasjeres for å få til en slik praktisk og pragmatisk innføring av nye og forbedrede prosesser for styring og kontroll. Noen er formelle, mens andre er uformelle. I dette dokumentet har vi forsøkt å gi en beskrivelse av balanseringen mellom de administrative, ikke-tekniske aspektene og de operative, tekniske aspektene som foretaket må ivareta når man etablerer gode styrings- og kontrollmodeller på flere nivåer i en virksomhet. 3.1 CobiTs forretningsorienterte tilnærming ledelsens ansvar Med utgangspunkt i CobiT som rammeverk snakker vi som tidligere nevnt her om: Planlegging og Organisering Anskaffelse og Implementering Driftsleveranser og Support Monitorering og Evaluering For at IT-virksomheten skal kunne levere tjenester som understøtter forretningsstrategien, må det være et klart definert eierskap til de kravene som styret og daglig ledelse setter til styring og kontroll av virksomheten. Samtidig må det finnes en klar forståelse av de kvalitetsmessige kravene og forventningene til IT. Fagavdelinger i de ulike forretningsområdene må utarbeide mål for sin bruk av IT og kreve at ITvirksomheten understøtter forretningsstrategien. Dette vil hjelpe IT-enheten til å utarbeide egne målsetninger som understøtter forretningsmålene. For offentlige foretak vil det være normative/forvaltningsmessige krav som regulerer bruk av IT og derved leveransekrav til tjenesteleverandøren. Uansett om dette er offentlig eller privat virksomhet, vil IT-enheten dermed få et grunnlag for å estimere behov for IT-ressurser og kapasitet og således levere IT-tjenester som støtter opp under virksomhetens mål. 3.2 CobiTs prosessorienterte gjennomføring linjens ansvar Her legges det til grunn et prosessorientert rammeverk med en tilhørende prosessmodell. Prosessmodellen vil være en referanse som gir et felles språk for alle i foretaket som håndterer ITaktiviteter. I følge internasjonal ISO-standarder kan gjennomføringen av IT-prosessene deles inn i fire hovedelementer: Plan, Do, Check, Act (PDCA), på norsk: Planlegge, Utføre, Evaluere og Handle. En prosessmodell legger til rette for å definere eierskap til og ansvar for alle prosesser. Dette bidrar til at alle deler av IT-virksomheten sikres en korrekt håndtering. CobiT og ITIL er begge eksempler på prosessorientering som deler prosessene i samsvar med ISOs firedelte PDCA-modell. ITIL har fokus på prosesser som beskriver IT-leveranser, mens CobiT, som et rammeverk, forsøker å beskrive administrative og organisatoriske prosesser med fokus på kontrollmål i tillegg til det prosessorienterte. 5 5 IT Governance Institute har laget et dokument som sammenstiller CobiT 4.1 med ITIL 3.0 og ISO/IEC 27002. For de som er interessert i å se hvordan de tre rammeverkene utfyller hverandre, anbefales denne litteraturen. ( Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit og CobiT Mapping: Mapping of ITIL v.3 with CobiT 4.1 ). Dokumentene viser at: CobiT har en ledelsesorientert tilnærming til hvilke prosesser som må være tilstede for å bruke IT optimalt uten å detaljere hvordan rutinene/prosedyrene skal utføres, men legger vekt på hva som skal oppnås i den enkelte underprosess/aktivitet ITIL og ISO utfyller dette ved å gi et sett beskrivelser av Best Practices på hvordan prosessene skal utføres innen IT driftstjenester (ITIL v3) og informasjonssikkerhet (ISO/IEC 27002). 19
NS-ISO/IEC 27002 Informasjonsteknologi sikkerhetsteknikk administrasjon av informasjonssikkerhet Denne standarden etablerer retningslinjer og generelle prinsipper for å initiere, implementere, vedlikeholde og forbedre styringen av informasjonssikkerhet i en virksomhet. ITIL ITIL er nå etablert som en ISO standard under betegnelsen NS-ISO/IEC 20000 part 1 and 2; Information Technology Service Management. ITIL deler de prosessorienterte tjenesteprosessene inn i fem hovedområder: Tjenestestrategi (Service Strategy) Tjenestedesign (Service Design) Tjenestetransisjon (Service Transition) Tjenestedrift (Service Operations) Kontinuerlig tjenesteforbedring (Continuous Service Improvement) CobiT Som nevnt tidligere deler CobiT prosessene i fire forretningsorienterte hovedområder: Planlegging og Organisering Anskaffelse og Implementering Driftsleveranser og Support Monitorering og Evaluering De to midterste prosessområdene i CobiT dekkes delvis av ITIL. Hvordan de to rammeverkene dekker hverandre er vist i figur 3.1 nedenfor. 8 prosesser er full omtalt i ITIL, 17 er delvis omtalt og 9 er ikke nevnt i ITIL's beskrivelser. Figur 3.1: IT-prosesser beskrevet i CobiT som ITIL v.3 dekker helt eller delvis i sitt rammeverk Det man først må gjøre er å foreta en kartlegging av involverte parter internt i virksomheten, og eventuelt eksterne parter, for å se hvem som gjør hva i en slik prosess, og hvilket ansvar vedkommende har. Er det et utføre -ansvar, et sørge for -ansvar eller et påse -ansvar? I tillegg finnes doumentet Control objectives for Sarbanes-Oxley hvor det er gjort en sammenstilling mellom COSO 1 og CobiT 4.0. 20