Halvårsrapport internrevisjon

Like dokumenter
Mandat for internrevisjonsgjennomgang av NMBUs arbeid med avbyråkratiserings- og effektiviseringskuttet

INNKALLING TIL UNIVERSITETSSTYREMØTE

Instruks for internrevisjon NMBU

Saksansvarlig: Mari Sundli Tveit Saksbehandler(e): Kristin Hagen Arkiv nr: 14/ Vedlegg: 1. Halvårsrapport fra internrevisjonen

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Plan for endring av styrings- og ledelsesmodell

Evaluering av dagens styringsmodell

Årsrapport 2012 Internrevisjon Pasientreiser ANS

UNIVERSITETET I OSLO

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

UNIVERSITETET I BERGEN

Forberedelse til etatsstyringsmøtet

Helseforetakenes senter for pasientreiser ANS 1/2016

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Årsrapport 2011 Internrevisjon Pasientreiser ANS

Oslo universitetssykehus HF

Orientering om omorganiseringen

1. FORMÅL 2. PROFESJONELT GRUNNLAG

U N I V E R S I T E T E T I B E R G E N

Prinsipper for virksomhetsstyring i Oslo kommune

Saksframlegg Referanse

Digitaliseringsstrategi

HELSE MIDT-NORGE RHF STYRET. Sak 22/11 Oppfølging og risikovurdering av eiers samlede styringsbudskap 2011

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Konsernrevisjonen Rapport 7/2019. Revisjon av Program for standardisering og IKT-infrastrukturmodernisering (STIM) 2. tertial 2019.

Egenevaluering av internkontrollen

Universitetet i Oslo Enhet for lederstøtte

Digitaliseringsstrategi

Oslo universitetssykehus HF

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

US 40/2017 Evaluering av omorganiseringsprosessen 2016

Digitaliseringsstrategi

ORIENTERING OM RESULTATENE AV ARBEIDSMILJØKARTLEGGINGEN VED NMBU

SAKSFRAMLEGG. Forum: Skate Møtedato:

Status og oppfølging av styrevedtak t.o.m

Styring og ledelse. Stillingsbeskrivelse dekanstillinger

Årsrapport 2016 Internrevisjon Helseforetakenes senter for pasientreiser ANS

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Saksframlegg Referanse

Riksrevisjonen møter styret

UNIVERSITETET I BERGEN

Saksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.

Digitaliseringsstrategi

FS-135/2013 Spørsmål om utarbeiding av profilfilm for NMBU

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren april 2015

Programmandat. Versjon Program for administrativ forbedring og digitalisering

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

Revisjonsrapport analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler

Til: Høgskolestyret Saksbehandler: Atle Helberg/SØR

Behandlet dato Behandlet av Utarbeidet av

UNIVERSITETET I BERGEN

Styresak /2 Protokoll fra møte i revisjonsutvalget 22. november 2013, 5. desember 2013 og 7. februar 2014

Utviklingsprosjekt: Plan for implementering av valgt budsjettløsning ved Sørlandet sykehus. Nasjonalt topplederprogram. Annlaug Øygarden Brekke

FORVALTNINGSREVISJON - STYRINGSSYSTEMER I KLÆBU KOMMUNE. Kommunestyret Møtedato: Saksbehandler: Eva Bekkavik

Styresak. Gunn Hilde Naaden Hirsch. Styresak 85/15 Regional internrevisjon av bierverv

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Programbeskrivelse. Versjon Program for administrativ forbedring og digitalisering

Universitetet i Oslo EIR

Styresak Oppfølging av Internrevisjonsrapport 01/2013:

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Styret Helse Sør-Øst RHF 12. september 2014 SAK NR STATUS REVISJONSPLAN FOR KONSERNREVISJONEN HELSE SØR-ØST

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Vedlegg 2 - illustrasjoner Sak 27/17 Samkjøring av digitaliseringsstrategien og veikartarbeidet. Steffen Sutorius Direktør Oslo,

12. mai Allmøte USIT

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Saksframlegg. Styret Helse Sør-Øst RHF 24. august 2018 SAK NR REVISJONSRAPPORT 12/2017 FORVALTNING AV GAT. Forslag til vedtak:

NTNU O-sak 23/06 Norges teknisk-naturvitenskapelige universitet N O T A T

Oppfølgingsansvar iht internrevisjonen. Tiltak nr i rapport 1/2013. Internrevisjonens anbefaling

Styremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak

Stillingsbeskrivelse og utlysningstekst dekanstillinger

Roller og ansvar for Tjenesterådet Tjenesterådet er opprettet for å sikre god forvaltning av HiOAs administrative tjenesteportefølje.

Universitetet i Stavanger Styret ved Universitetet i Stavanger

Sak: Kvalitetssikringssystem ved Universitetet i Nordland

HELSE MIDT-NORGE RHF STYRET

Internkontroll i Gjerdrum kommune

Rapport Revisjon forskning Revmatismesykehuset AS

Status og oppfølging av styrevedtak t.o.m

Saksframlegg. Sørlandet sykehus HF

Oslo universitetssykehus HF

Styringssystem og internkontroll i SSHF

FØRSTE UTKAST TIL SJEKKLISTE FOR KOMMUNER

Møtedato: 27. april 2011 Arkivnr.: 2010/10/134 Saksbeh/tlf: Namik Resulbegovic, Dato:

Informasjonsmøte Samarbeidsforum internkontroll 2015

Oslo universitetssykehus HF

UNIVERSITETET I BERGEN

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Nettverk for virksomhetsstyring. Møte 6. juni 2014

Fra innkjøpsstrategi til handling et rammeverk som sikrer effektiv og vellykket gjennomføring

1. Sluttrapport fra PwC på oppdrag fra KD 2. Tiltaksplan for oppfølging

Ny styringsmodell for informasjonssikkerhet og personvern

Det matematisk-naturvitenskapelige fakultet Universitetet i Oslo

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

N O T A T. Til: Styret Fra: Rektor Om: Oppdatert risikovurdering av fusjonen - sikker drift. Tilråding:

Resultater fra kartlegging Digitalisering, innovasjon og grønt skifte PA Consulting Group

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Bruk av NMBUs kapitalreserver

Transkript:

US 8/2017 Halvårsrapport internrevisjon Universitetsledelsen Saksansvarlig: Rektor Saksbehandler(e): Jan Olav Aasbø Arkiv nr: 16/04060 Vedlegg: 1. Internrevisjon oppsummering av høstens revisjoner og forslag til revisjonsplan våren 2017 2. Rektors rapport om oppfølging av internrevisjonens rapporter 2016 Forslag til vedtak: 1. Internrevisjonens rapport om oppsummering av høstens revisjoner og forslag til revisjonsplan våren 2017 tas til etterretning. 2. Rektors rapport om oppfølging av internrevisjonens rapporter 2016 tas til etterretning. 10.01.2017 Mari Sundli Tveit Rektor NMBU Universitetsstyret Møtedato 19.01.2017

2 Innledning I denne saken gis det en redegjørelse om: 1. Ledelsens oppfølging av revisjonsrapportene styret ble orientert om i juni 2016 (økonomisk rammeverk, personalfunksjonen, IT funksjonen). 2. Orientering om revisjonsrapportene på de fire områdene US i juni vedtok skulle gjennomgås (budsjett, EU prosjekter, informasjonssikkerhet, involvering av ITfunksjonen i byggeprosjekter). 3. Plan for internrevisjon 1. halvår 2017. 4. Avtalestatus Grunnlaget for denne saken er instruksen universitetsstyret har fastsatt for internrevisjonsvirksomheten og styrets vedtak i juni (US 60/2016): Styret tar internrevisjonens halvårsrapport til etterretning. Rektor etablerer en plan for oppfølging og vil rapportere om oppfølgingstiltakene i tertialrapportene. Styret legger til grunn at internrevisjonens anbefalinger koordineres med pågående organisasjonsutviklingsprosesser. Styret ber om at internrevisor som en del av sin årsrapport gir en status på hvordan anbefalingene i halvårsrapporten er fulgt opp. Styret slutter seg til internrevisjonens forslag om at det gjennomføres følgende revisjon i 2. halvår 2016: Budsjettprosessen, EU prosjekter, IT sikkerhet og Teknologisk tilrettelegging i Campus Ås byggeprosjektene. Da det er første gang det legges fram årsrapport for internrevisjonen, har rektor drøftet med revisor hvordan dette mest hensiktsmessig kan presenteres for US. Vi har kommet fram til at det er hensiktsmessig med to rapporter; (1) Revisors rapport om funn og tilhørende vurderinger/anbefalinger, og (2) Rapport fra rektor om hvordan ledelsen har fulgt opp revisors anbefalinger. Internrevisor vil være til stede i styrets møte. Rektors vurdering: Rektor viser til rektors rapport hvor det framgår at revisjonens funn og anbefalinger stemmer godt overens med ledelsens egne vurderinger og anbefalinger fra Colbjørnsensrapporten. Dermed kan oppfølging koordineres med implementering av ny organisasjonsstruktur der det er mulig slik US har forutsatt. Når det gjelder plan for internrevisjon 1. halvår 2017, deler rektor revisors vurdering at organisasjonen nå synes «mettet» ift å motta ytterligere anbefalinger fra revisjonen, og heller bør vektlegge implementering av tiltak. Det vises også til redegjørelsen i rektors rapport om avtalestatus hvor det orienteres om at den økonomiske rammen i avtalen med PWC er oppbrukt, og at Statens innkjøpssenter har lyst ut en statlig fellesavtale for internrevisjonstjenester som NMBU vil være bundet av. Av også denne grunn kan det være grunnlag for å avvente ytterligere revisjonsgjennomganger. NMBU Universitetsstyret Møtedato 19.01.2017

US-sak 8/2017 Vedlegg 1 Styret ved NMBU Kopi Rektor Oslo, 6. januar 2017 Internrevisjon oppsummering av høstens revisjoner og forslag til revisjonsplan våren 2017 Innledning I henhold til vedtatt internrevisjonsinstruks skal resultatene av utførte revisjonsaktiviteter rapporteres halvårlig til styret. Denne rapporten inneholder en oppsummering av revisjoner utført høsten 2016, og et forslag til revisjonsaktiviteter høsten 2016. I løpet av høsten har vi revidert budsjettprosessen, styring og kontroll med EU-prosjekter, regimet for informasjonssikkerhet og systematikken for teknologisk tilrettelegging i byggeprosjekter. Samtlige av revisjonene omhandler områder hvor NMBU har pågående forbedringsinitiativ, slik at revisjonsfokuset har vært på om man har igangsatt hensiktsmessige grep og er på rett vei. I tillegg til revisjonene har vi gjort en overordnet oppfølging av status på anbefalingene fra vårens revisjoner. Detaljerte revisjonsplaner har vært utarbeidet og avtalt med rektor før oppstart av de enkelte revisjonene, og detaljerte revisjonsrapporter gjennomgås med rektor og relevant ledelse. Nedenfor oppsummerer vi de enkelte revisjonene og status på ledelsens håndtering av våre anbefalinger. Det har i de enkelte revisjonene ikke vært avdekket forhold som har påkrevd umiddelbar rapportering til styret, og det har blitt lagt godt til rette for internrevisors arbeide. Sammendrag - Revisjon av NMBUs budsjettprosess Revisjonens bakgrunn og formål Vårens revisjon av økonomiområdet viste at budsjettprosessen ved NMBU har rom for forbedringer. Revisjonens formål er å gi en uavhengig vurdering av NMBUs budsjettprosess, med vekt på å bidra med konkrete råd om hvordan budsjettprosessen kan forbedres. Observasjoner og vurderinger: Budsjett- og rapporteringsprosessene ved NMBU kjennetegnes av at virksomheten har tradisjon og kultur for god budsjettdisiplin. Fakultetene holder, med få unntak, sine budsjetter og viser således god lokal styring og kontroll over tildelte midler. NMBU praktiserer rammestyring der fakultetene har betydelig frihet til å etablere og utvikle sine budsjetter innenfor tildelte rammer. Rammestyringen bygger på en budsjettmodell for fordeling av midler som er kjent, tydelig og forståelig, og som skaper forutsigbarhet for enhetene i deres budsjettarbeid. Som følge av den historiske budsjettdisiplinen, samt at fakultetene fungerer som semi-autonome enheter med eget styre og ansvar for egen økonomi, har det fra sentralt hold vært begrenset fokus på styring og oppfølging av enhetenes budsjetter og rapportering gjennom året. Det er vår oppfatning at budsjettstyringen på sentralt nivå i virksomheten er en årlig prosess i forkant av budsjettåret, med liten grad av oppfølging gjennom budsjettåret. Revisjonen har avdekket svakheter i budsjettprosessene og innholdet i budsjettene og rapporteringen. Svakhetene er blant annet knyttet til mangelfulle føringer og retningslinjer for budsjettarbeidet fra PricewaterhouseCoopers AS, Postboks 748 Sentrum, NO-0106 Oslo T: 02316 (+47 95 26 00 00), www.pwc.no Org.no.: NO 987 009 713 MVA, Medlem av Den norske Revisorforening

sentralt nivå til enhetene, varierende detaljeringsgrad og kvalitet i enhetsbudsjettene, mangelfull etterlevelse av frister for budsjettinnlevering, at manglende artsbudsjettering og periodisering ikke muliggjør periodisk budsjettoppfølging, samt en umoden bruk av regneark og teknologisk støtteverktøy for budsjettutviklingen. I våre hovedanbefalinger nedenfor har vi skilt mellom anbefalinger vi anser at NMBU bør ta tak i på kort sikt og anbefalinger som bør inngå i et mer langsiktig målbilde for budsjettstyringen. En generell betraktning er at ulik administrativ kultur i de ulike enhetene fra tiden før universitetsdannelsen fortsatt preger budsjettprosessen i dag. Dette har forsinket samordning av aktiviteter der dette vil være hensiktsmessig for alle parter. NMBU bør benytte ny organisering i 2017 til å videreutvikle en mer felles kultur innenfor administrative prosesser. Hovedanbefalinger som bør tas tak i på kort sikt: 1. NMBU bør heve sitt ambisjonsnivå for styring og kontroll i plan- og budsjettprosessen og rapporteringsprosessen, slik at virksomheten på sentralt hold tar et større ansvar for å sikre at enhetsbudsjettene har tilstrekkelig kvalitet og konsistens og derved muliggjør oppfølging og rapportering gjennom året. Svakheter som er avdekket i denne revisjonen handler i stor grad om innhold og utvikling av budsjettene, og gjelder i stor grad på tvers av enhetene. Ved å samordne utvikling og forbedring av budsjettarbeidet på sentralt nivå vil man kunne utnytte synergier ved å være et universitet heller enn en rekke selvstendige fakulteter. Hvor tett sentralt nivå bør følge opp budsjettrapportering fra enhetene er noe man kan ta stilling til når kvalitet og konsistens i budsjettene gjør en slik oppfølging gjennom året mulig, noe det ikke er i dag. 2. ØKO sitt prosesseierskap over budsjettprosessen bør tydeliggjøres. Det bør klargjøres hvilket mandat ØKO har til å legge felles retningslinjer for hvordan budsjettprosessen skal foregå og hvordan budsjett og rapportering skal bygges opp, samt myndigheten til å følge opp at enhetene etterlever de gitte retningslinjene. I denne sammenheng bør ØKO utvikle og kommunisere tydeligere føringer og retningslinjer for prosess og innhold for budsjettarbeidet, samt ha tydelig ansvar for å bidra med støtte og veiledning. ØKO bør også etablere en prosess for kvalitetssikring av enhetsbudsjettene før de legges inn i Agresso. 3. NMBU bør avklare behov for artsbudsjettering på enhetsnivå, og innføre økt standardisering av artsbudsjettering og bruk av periodisering. Lik budsjettstruktur er nødvendig for å avdekke og følge opp budsjettavvik på virksomhetsnivå ved tertialrapportering. 4. Det bør vurderes innført konsekvenser for brudd på frister knyttet til innlevering av budsjett. Et mulig tiltak er å innføre en form for intern benchmarking der ØKO synliggjør informasjon om status for budsjettarbeidet for de ulike enhetene eksempelvis en web-side med grønt eller rødt lys for innlevert eller utestående. Hovedanbefalinger som bør inngå i et langsiktig målbilde for budsjettstyring ved NMBU: 1. Budsjettkompetansen på fakultetsnivå bør økes, og det bør etableres et felles akseptert minstekrav til kompetanse og forståelse for sammenhengen mellom budsjett, regnskap og prognoser. ØKO bør som prosesseier ta en «center of excellence» rolle for å bidra til kompetanseheving. 2. Tiltak bør vurderes for å øke sammenhengen mellom planer og budsjett slik at budsjettene i mindre grad blir bakoverskuende justeringer av fjorårets middeltildeling og i større grad blir innrettet mot planer for neste år. 3. Med tanke på at frist for innleggelse av budsjett i Agresso er utgangen av januar, noe som foregår samtidig med årsavslutning og dermed skaper stort arbeidspress, bør det vurderes om budsjettprosessen kan fremskyndes slik at ferdigstillelse av budsjettene skjer før jul. 4. NMBU bør utvide sin styringsdialog med fakultetene gjennom et nytt styringsdialogmøte i oktober/ tidlig november i tillegg til styringsdialogen som gjennomføres i mai. Dette møtet bør 2

ha fokus på budsjett og tiltaksplan for neste virksomhetsår, og ha til hensikt å sikre felles forståelse for mål- og resultater, tilhørende risiko, budsjett og ressursforbruk, og forplikte fakultetene til gjennomføringen. Sammendrag - Styring og kontroll med EU-prosjekter Revisjonens bakgrunn og formål NMBU ønsker å ytterligere øke andelen EU-prosjekter i årene framover. Disse har omfattende krav til økonomisk dokumentasjon og rapportering, og de underlegges detaljerte revisjoner basert på kravspesifikasjoner fra EU. Regimet er tidkrevende og komplekst, og NMBU er i ferd med å styrke retningslinjer, støtte og koordinering på området. Evalueringens formål er å bidra til å videreutvikle administrative støtteprosesser knyttet til søknad og gjennomføring av EU-prosjekter, slik at EU krav ivaretas og god styring og kontroll integreres i prosessene heller enn at det blir noe som skjer ved prosjektslutt. Observasjoner og vurderinger: NMBU har økt sine ambisjoner knyttet til omfang av EU-prosjekter, men vi opplever at ambisjonsnivået på fakultetsnivå og i faglige miljøer i dag er sprikende, og ofte lavere enn blant ledelsen ved NMBU. Sentral ledelse har nå igangsatt en prosess hvor fakultetene skal utvikle lokale ambisjoner, mål og planer for fremtidig arbeid med EU-prosjekter. Dette er et godt virkemiddel for å forankre et felles målbilde, og målrette arbeidet. Vi ser også at selv om EU-prosjekter har stor prestisje blant forskerne, finnes det en del negative holdninger til EU-prosjekter fordi administrative krav fra EU oppfattes å være krevende og rigide. Historisk har det vært jobbet lite strukturert med planarbeid for EU-prosjekter utover de enkeltvise prosjektsøknadene. Slike «orker ikke» og «får ikke nok hjelp» barrierer er i ferd med å bli tatt tak i gjennom investeringene som er gjort på sentralt hold på området. Det arbeides blant annet med forbedring av administrative støtteprosesser for søknad, gjennomføring og rapportering av EUprosjekter, og det er utviklet kurs og et eget forum for EU-prosjekter. Kapasiteten til sentral spesialistkompetanse på området er også økt og tilgjengeliggjort for fakultetene. Dette er gode tiltak, men det gjenstår en del detaljeringsarbeid med tilhørende utrullings- og opplæringbehov. Behovet understøttes av revisjonsobservasjonene, der vi opplever vi at prosjektlederne fortsatt etterspør bedre administrativ prosjektstøtte til blant annet søknadsprosessen, prosjektoppfølging og økonomirapportering. Hovedanbefalinger: 1. Ferdigstillelse av felles og tydelig prosessmodell for alle de administrative fasene av EUprosjekter. Dette vil legge til rette for at man arbeider på èn felles måte, som er effektiv, god og kjent for alle involverte. I prosessen fremhever vi særlig behov for: o o Tydeliggjøring av rollene til prosjektleder, fakultetsleder og sentral/lokal administrativ støtte. Innføring av formelle kvalitetssikringspunkter (review/godkjennelse) på sentrale hovedpunkter i prosjektlivssyklusen, herunder den innledende vurderingen av om man skal søke, selve søknaden, «grant agreement» ved innvilgelse med mer. 3

o Styrkede rutiner for budsjettering, registreringer og prosjektoppfølging slik at kvalitet og etterlevelse av EU-krav integreres bedre i prosessene. Dette kan på flere områder understøttes med sjekklister. o Økt fokus på å sikre fullstendighet av relevante kostnader, slik at man også får dekket kostnader som i dag ikke tas med (bruk av maskiner/utstyr, forbruksmateriell etc.) 2. Bedre sentral helhetsoversikt over pågående prosjektsøknader og prosjekter, slik at det kan tilrettelegges for erfaringsutveksling på tvers av fakulteter der det er hensiktsmessig. 3. Styrke EU-prosjektkompetansen blant administrativ/økonomisk prosjektstøtte på fakultetsnivå, siden det er der hovedmengden av prosjektstøtte skal ytes. 4. Obligatorisk kurs for alle nye prosjektledere for å få felles forståelse av EU krav, prosessmodell, tilgjengelige prosjektstøtteressurser, tilgjengelige støtteverktøy for gjennomføring etc. Samlet vil foreslåtte tiltak bidra til styrkede prosesser med økt sannsynlighet for tilslag på søknader, mer effektiv gjennomføring, bedre kostnadsdekning i prosjektene og bedre etterlevelse av administrative EU-krav. Tiltakene vil også bidra til at prosjektledere får bedre administrativ støtte til prosjektene, noe som vil kunne redusere negative holdninger til EU-prosjekter blant forskerne. Sammendrag Styring og kontroll med informasjonssikkerhet Revisjonens bakgrunn og formål NBMU har igangsatt et forbedringsprosjekt for informasjonssikkerhetsområdet, med mål å levere et helhetlig styringssystem for informasjonssikkerhet i løpet av 2017. Med dette som kontekst har revisjonen hatt som formål å bidra til NMBUs forbedringsarbeid gjennom å gi en uavhengig vurdering av om igangsatte tiltak er hensiktsmessige, samt gi råd om eventuelt behov for andre eller ytterligere forbedringstiltak. Som en kontekst for vurderingen har vi satt oss inn i de erkjente manglene med eksisterende styringsregime for informasjonssikkerhet. Observasjoner og vurderinger: Ut fra et modenhetsperspektiv kan styringsregimet for informasjonssikkerhet karakteriseres som å ha vært basert på «flinke fagfolk» som tar ansvar og gjør jobben sin, men uten noen virksomhetsovergripende systematikk. Dette har historisk fungert tilfredsstillende, men summen av teknologisk utvikling, trusselbildet, regelverk og myndighetskrav gjør at styringsregimet for informasjonssikkerhet må modnes betraktelig. Det pågående forbedringsprosjektet har brukt tid på å avklare og forankre de overordnede føringene for det nye regimet. Vi vurderer prosjektet som godt i gang med etableringsfasen, at de overordnete avklaringene legger til rette for et godt regime, og at de planene for arbeidet med videre konkretisering virker gode. Overfor styret ønsker vi å fremheve følgende observasjoner: Policy for informasjonssikkerhet (styringsregimet del 1) har fornuftige mål for informasjonssikkerhet, fanger opp de sentrale informasjonsverdiene, har hensiktsmessige klassifiseringskategorier, og legger opp hensiktsmessige prinsipper for organisering/styring. Vi har forståelse for at konkretiseringen av sentrale roller skyves til neste prosjektfase, og har enkelte anbefalinger knyttet til utformingen av disse. 4

Gjennomført kartlegging av informasjons-«assets» ved NMBU vurderes utført etter en god metode, og legger et godt grunnlag for videre vurdering av verdi/kritikalitet, risiko og kontrolltiltak. Det blir viktig at metodikken for det videre arbeidet balanserer faglig forsvarlighet og praktisk anvendbarhet, slik at også ikke-teknologer kan oppnå en intuitiv forståelse for kritikaliteten til ulike informasjonsverdier, særlig sett i lys av at ansvaret og myndighet skal følge det ordinære linjeansvaret. Vi observerer at prosjektgruppen og IT-organisasjonen har god forståelse om at man er på etterskudd på informasjonssikkerhetsområdet og at det kreves raske tiltak. Vi har imidlertid inntrykk av at resten av organisasjonen ikke er tilstrekkelig kjent med utfordringene innen informasjonssikkerhet. Det blir derfor viktig å legge opp til en grundig forankring og opplæring i implementeringsfasen, slik at man realiserer gevinstene i prosjektet og intensjonen i det nye regimet. Vi har som en del av revisjonen testet tilgangsstyring i et utvalg systemer, da dette er et hovedvirkemiddel i beskyttelse av informasjon. Generelt opplever vi tilgangsstyringen som lite strukturert ift håndtering av endringer, periodisk ajouritetskontroll og sanering. Vi observerer også manglende logging, slik at det i ettertid vil være vanskelig å spore eventuell uønsket atferd i systemene. Generelt fremhever vi at det i flere systemer er mange brukere, mange brukere med til dels vide tilganger, og at dette er kombinert med ustrukturert tilgangsstyring og manglende logging. Konkret skaper dette eksempelvis risiko for at karakterer kan endres i FS uten at det kan oppdages i ettertid. I ProffVet observerer vi at sensitiv informasjon er tilgjengelig for flesteparten av brukerne, samtidig som det er svak brukerkontroll. For systemer med viktig og sensitiv informasjon bør det gjøres en rask opprydning i tilganger, innføres logging (om mulig), og styrke systematikken i brukerstyringen. Hovedanbefalinger: 1. Vi er positive til at det legges opp til en CISO-rolle (Chief Information Security Officer). Vi anbefaler at CISO vinkles mot en pådriver-/støtterolle, med ansvar for fag og metodikk, koordinering, regelverksoversikt-/etterlevelse og ledelsesrapportering. Stillingen bør besettes av noen med faglig og ledelsesmessig gjennomslagskraft, da CISO skal realisere informasjonssikkerhetsmålene på tvers av hele NMBU og gjennom linjeledelsen. Dette vil kreve kløkt og innsats over tid. 2. Det vil være viktig å ha en slagkraftig rolle/funksjon/aktivitet for overvåkning og hendelseshåndtering typisk kalt «incident response team». I tillegg til løpende overvåkning, er det viktig at disse i håndteringen og etterforskningen av hendelser også systematiserer organisatorisk læring. Grunnlaget for en slik rolle finnes i dagens ITfunksjon, men den bør videreutvikles og inntas som et element i styringssystemet for informasjonssikkerhet. 3. Det vil være viktig å opprette koordineringsfora for relevante ledere, IT, systemeiere og CISO, slik at styringen av informasjonssikkerhet koordineres og prioriteringer skjer på en samordnet måte. 4. Overgangen fra et umodent regime til et nytt oppsett med nye roller og prosesser, og med ledere som naturlig nok ikke er informasjonssikkerhetsspesialister, medfører behov for en realitetsorientert implementeringsstrategi. For å realisere gevinstene må man ha med seg menneskene i organisasjonen og det vil kreve lederinnsats over tid. 5. Det blir viktig at metodikken for det videre arbeidet med informasjonsklassifisering og risikovurdering balanserer faglig forsvarlighet og praktisk anvendbarhet. PwC vil bidra med råd og eksemplifisering på relevante metodikker fra sammenliknbare institusjoner.s 6. Tilgangsstyring: For systemer med viktig og sensitiv informasjon bør det gjøres en rask opprydning i tilganger, innføres logging (om mulig), og styrke systematikken i brukerstyringen. 5

Sammendrag Styring og kontroll med IT i byggeprosjekter Revisjonens bakgrunn og formål Revisjonens formål er å gi råd om hvordan IT-miljøet på en bedre måte kan involveres i byggeprosjektene ved NMBU, slik at det legges til rette for at byggeprosjektene planlegges og gjennomføres i tråd med IT-ambisjonsnivået/-brukerbehovet. I revisjonen har vi fokusert på roller og ansvar, inkludert samarbeid med eksterne parter, samt etablerte formelle og uformelle arbeidsprosesser. Observasjoner og vurderinger Historisk har involveringen av IT i byggeprosjekter vært basert på sedvane og «flinke folk som har vært her lenge». Prosjektene har i stor grad gått seg til basert på indivuduelle ferdigheter og samarbeidsrelasjoner. Med økt byggeomfang og økt teknisk kompleksitet i byggene er det ikke forsvarlig å fortsette denne tilnærmingen. Det er videre ineffektivt og sårbart da man «begynner på nytt» hver gang, og har stor personavhengighet og lite institusjonalisert kompetanse. Vi observerer at det er en behov for å gå opp en rekke roller internt og i forhold til eksterne. Dette gjelder internt mellom ledere, brukere, eiendomsavdelingen, prosjektgrupper og IT, og eksternt vis-avis rådgivere, departementet og entreprenører/statsbygg. Rolleavklaringen bør kombineres med et tydelig ambisjonsnivå for hvilken kompetanse og kapasitet man skal besitte internt, og hvor denne bør ligge. Avklaringen bør ta utgangspunkt i at ledere og brukere trenger støtte til å se det teknologiske mulighetsrommet og foreta prioriteringer, og at eksterne parter har forventninger til NMBU som kravstiller. IT-avdelingen er per i dag ikke rigget til å ta denne rollen på topp av løpende drift, og temaet bør inntas i strategiarbeidet som er igangsatt rundt IT. I prosjektarbeidet ser vi at det er behov for å strukturere samspillet mellom de relevante interne partene i de ulike prosjektfasene. Eiendomsavdelingen bør sikre at involveringen av IT vurderes i den innledende riggingen av prosjektene, og revurderes dersom det skjer endringer i det teknologiske innslaget i prosjektene. Når det vurderes at IT skal involveres, må IT-avdelingen tilsvarende etablere struktur og systematikk for arbeidet, herunder dokumentasjon og sporbarhet rundt oppgaver, prioriteringer og valg. Eksempelvis gjennom at deltakelsen i de enkelte prosjektene medtas i avdelingens årlige handlingsplaner og tilhørende oppfølgingsregime, og at det etableres rutiner/sjekklister og arkivstrukturer på sentral dokumentasjon. Dette vil redusere personavhengigheten, institusjonalisere kunnskap og legge til rette for effektivitet og læring. Ett av temaene som bør diskuteres særskilt er bruken av koordineringsfora, både faste og prosjektbaserte. Med mange involverte parter, både internt og eksternt, vil det være viktig å sikre representasjon fra IT, med rett person i rett fora til rett tid. Samlokaliseringsprosjektet har en vanskelig styringsmodell, der NMBU til en viss grad er passasjer i prosessen som foregår mellom Kunnskapsdepartementet og Statsbygg. Vi ser imidlertid uansett at IT har vært for lite involvert i brukergrupper som er satt opp av Statsbygg, og heller ikke i prosjekstøtten opp mot Rektor som NMBUs representant i styringsgruppen for prosjektet. Det er igangsatt en rekke kompenserende tiltak for å ta tak i teknologidimensjonen av prosjektet, men styringsmodellen byr på vedvarende utfordringer. Fremover peker vi på viktigheten av å involvere IT i planleggingen og gjennomføringen av overtakelsesfasen av prosjektet. Dette er også etterspurt av Statsbygg. Avslutningsvis fremhever vi at det er lite realistisk å få alt dette på plass på kort sikt. Grepene som anbefales er tradisjonelle internkontrollgrep, men bør vurderes som en organisasjons- 6

utviklingsprosess. Det er mange involverte, og det er behov for økt og ny kompetanse, og endringer i arbeidsform og grensesnitt. Vi antar at man vil måtte basere seg på innleid kompetanse på kort sikt. Det er naturlig, men vi anbefaler at man da benytter muligheten til å lære fra de eksterne, og bygge kunnskap internt. Hovedanbefalinger Revisjonen og oppsummeringen var rådgivningsrettet. Anbefalingene kan oppsummeres til å omhandle: 1. Rolleavklaringer internt og mot eksterne 2. Ambisjonsnivå i forhold til kapasitet og kompetanse, og plasseringen av denne 3. Koordineringsfora, og ITs representasjon i disse. 4. Prosessavklaring: hvordan skal det jobbes fra innledende behovsvurderinger til gjennomføring, oppfølging/endring og overtakelse. 5. Etablere struktur/sporbarhet på viktige oppgaver, beslutninger og dokumentasjon 6. Institusjonalisere læring, både internt og fra eksterne 7. Forberede overtakelsesfasen av samlokaliseringsprosjektet Oppfølging av ledelsens arbeid med internrevisjonsanbefalingene fra vårens revisjoner Styret ba i juni-møtet om at internrevisjonen ved årsslutt gav en oppsummering av status på ledelsens arbeid med internrevisjonsanbefalingene fra våren 2016. Vi har fulgt opp ledelsens arbeid på fire måter; (1) vi har blitt oversendt skriftlige statusplaner per revisjonsområde, med status på tiltakene knyttet til enkeltanbefalingene, (2) statusplanene har blitt diskutert i møte med ledelsen, (3) vi har gjort supplerende verifikasjonstesting av et utvalg tiltak, eksempelvis gjennom å innhente utarbeidete styringsdokumenter og dokumentasjon av innstillinger og vedtak, og (4) vi har gjennom høstens revisjoner direkte observert hvordan det har vært arbeidet med flere av anbefalingene. I sum gir dette oss en tilstrekkelig god oversikt for å ha en formening om status, med begrenset revisjonskostnad. Vårt inntrykk er at ledelsen har tatt systematisk tak i anbefalingene, på en god måte. Mange av anbefalingene er av ikke-kortsiktig karakter, og omhandler kombinasjoner av organisering, kompetanse, kapasitet, arbeidsmåte og teknologi. De griper videre i pågående arbeid med ny organisasjonsmodell. Det er derfor fornuftig at anbefalingene håndteres i et organisasjonsutviklingsperspektiv, og ikke noe som skal «måkes unna» ved å vedta dokumenter. Ledelsens egne avrapportering gir et bilde av en modningsreise, hvor man er godt i gang med å ta tak i anbefalingene. Våre revisjonshandlinger understøtter dette bildet, og vi har gjennom verifikasjonstestingen ikke funnet indikasjoner på feil i avrapporteringen til styret. Vi foreslår at internrevisjonen kommer tilbake med mer detaljert avrapportering etter hvert som de enkelte tiltakene implementeres i organisasjonen. Forslag til revisjoner våren 2017 Vi ser at det pågår en rekke prosesser rettet mot å tydeliggjøre og modne kontrollmiljøet i NMBUs nye styringsmodell. Vi har i vårens og høstens revisjoner gitt en rekke anbefalinger som administrasjonen også jobber systematisk med å innarbeide i organisasjonen. Vi oppfatter derfor at organisasjonen er "mettet" ift å få ytterligere anbefalinger fra internrevisjonen, og at vi heller bør bidra i en mer rådgivende kapasitet innenfor de områdene vi allerede har sett på - eksempelvis gjennom å delta i workshops, vise eksempler på god praksis, være diskusjonspartner ift utforming av løsninger med mer. Vi foreslår derfor at den økonomiske rammen for internrevisjonsarbeid våren 2017 innrettes mot 7

rådgivningsarbeid knyttet til anbefalinger i gjennomførte revisjoner, og oppfølgingsrevisjoner av tidligere revisjonsrapporter. Vi foreslår å ikke påbegynne revisjoner av nye områder. Vi fremhever imidlertid at vi er styrets verktøy, og kan gjennomføre revisjoner av eventuelle tema som styret ønsker belyst. Planforslaget har vært diskutert med Rektor før oversendelse til styret. Med vennlig hilsen PricewaterhouseCoopers AS Jonas Gaudernack PhD, Statsautorisert revisor Tlf: 95 26 07 69 Jonas.gaudernack@no.pwc.com 8

US-sak 8/2017 Vedlegg 2 Norges miljø- og biovitenskapelige universitet REKTORS RAPPORT OM OPPFØLGING AV INTERNREVISJONENS RAPPORTER I 2016 Internrevisjonen har i 2016 gjennomført 7 revisjoner. De tre første revisjonene (økonomisk rammeverk, personalområdet, IT området) ble gjennomført 1. halvår 2016 og lagt fram for Universitetsstyret i juni. De fire siste revisjonene (budsjettprosessen, EU prosjekter, informasjonssikkerhet og IT tilrettelegging i byggeprosjekter) har vært gjennomført av internrevisor i 2. halvår 2016. Internrevisor oppsummerer disse revisjonene i eget notat for US i januar 2017. Da internrevisor la fram revisjonsrapportene i US i juni 2016, ble det fattet følgende vedtak: Styret tar internrevisjonens halvårsrapport til etterretning. Rektor etablerer en plan for oppfølging og vil rapportere om oppfølgingstiltakene i tertialrapportene. Styret legger til grunn at internrevisjonens anbefalinger koordineres med pågående organisasjonsutviklingsprosesser. Styret ber om at internrevisor som en del av sin årsrapport gir en status på hvordan anbefalingene i halvårsrapporten er fulgt opp. Styret slutter seg til internrevisjonens forslag om at det gjennomføres følgende revisjon i 2. halvår 2016: Budsjettprosessen, EU prosjekter, IT sikkerhet og Teknologisk tilrettelegging i Campus Ås byggeprosjektene. Oppfølging av internrevisjonsrapportene for 1. halvår 2016 Ved oppfølging av internrevisjonsrapportene har det vært lagt vekt på en systematisk tilnærming, dvs at man har søkt å knytte oppfølgingstiltakene til organisasjonsutviklingsprosessen og de styrende prosesser (budsjett/årsplan), i kombinasjon med løpende omlegging av rutiner og prosedyrer der dette på en enkel måte lar seg gjennomføre. Rektor har oppfattet at revisjonen som et gjennomgående trekk peker på at NMBUs organisasjon på mange områder ville tjent på å ha utviklet klarere strukturer med prosedyrer som gjelder gjennomgående, som er dokumentert og ikke minst etterlevd. Områdene som ble revidert 1. halvår har utarbeidet oppfølgingsplaner som har blitt gjennomgått i de ulike ledergruppene. IDF har vært orientert om tiltaksplanene. Organisasjonen har vurdert innspillene fra internrevisjonen som relevante (peker på mange av de samme forholdene som Colbjørnsenutvalget har påpekt), godt timet og godt tilpasset NMBUs situasjon når NMBU fra 2017 etablerer ny organisasjonsstruktur. Kort oppsummert har oppfølgingen i de tre områdene bestått i: Økonomisk rammeverk: Prinsipper for organisering av økonomifunksjonen ved fakultetene er fastsatt. Ny budsjettprosess, både ved fakulteter og på sentralnivået, hvor budsjettet i tydeligere grad skal vise hvordan budsjettmidler skal bidra til å realisere NMBUs mål og ambisjoner. Nye krav til den tekniske kvaliteten på budsjettene som enhetene setter opp. Kravene implementeres i årsbudsjettene for 2017. Ny økonomiinstruks er fastsatt, herunder rolleavklaring mellom de ulike nivåer og funksjoner er tydeliggjort. Nye fora for samhandling mellom nivåene på økonomiområdet er etablert.

En rekke tiltak knyttes opp implementeringen av ny organisasjonsmodell, og er under utarbeidelse/forberedelse. Styringssløyfa vil bli gjennomgått. Internrevisjonen anbefalte at repetitive transaksjonsbaserte arbeidsoppgaver i større grad ble sentralisert eller utkontraktert. Dette tiltaket er foreløpig vurdert som ikke aktuelt. Personalområdet: Bemanningsplaner er utarbeidet ifm ny organisasjonsstruktur. Oppgavefordeling mellom nivå 1 og nivå 2 i organisasjonen er fastsatt. Det er etablert spesifikke personalstillinger ved de nye fakultetene. Nye fora for samhandling mellom nivåene på personalområdet er under etablering. Det er utarbeidet et første utkast til styringsdokument for den sentrale personalfunksjonen og myndighetskart. Nytt personalreglement er drøftet og forhandlet med tjenestemannsorganisasjonene. Nytt personaldatasystem er under anskaffelse. Opplæring i bruk av P360 lagt til dokumentsenteret. IT området: Økt tildeling med 1,2 mill. kroner til modernisering av AV utstyr og datasaler i 2017 og ressursstyrking for å arbeide med nytt intranett. IT i SLP/BUT er styrket med midler til planlegging, anskaffelse og realisering av ny ITinfrastruktur og systemer i det nye veterinærbygget. Det er stilt midler til disposisjon for å få plass ny datalagringsløsning fra 2017. Arbeid med å utvikle en gjennomgående 1. og 2. linje IT brukerstøtte er påbegynt, men ikke på plass ennå. Arbeidet med ny IT strategi, IT 2020 (som svar på internrevisjonens påpekning om at det mangler et overordnet styringsdokument på IT området), er i innledende planfase. Oppfølging av internrevisjonsrapportene for 2. halvår 2016 Av de fire internrevisjonsgjennomgangene høsten 2016 er rapport om budsjettprosessen mottatt. Til denne arbeides det med å utarbeide oppfølgingsplan. For de øvrige tre områdene er NMBU orientert om revisjonens funn og anbefalinger. Det vil tilsvarende bli utarbeidet oppfølgingsplanene for disse. Samtlige oppfølgingsplaner vil bli gjennomgått i ledermøtene og i IDF. Rektor vil i tertialrapportene orientere om oppfølging av internrevisjonsrapportene. Plan for revisjonsaktiviteter 1. halvår 2017 Avtalestatus Det er spesielt to forhold som må hensyntas når plan for revisjonsaktiviteter for 1. halvår skal planlegges; (1) Avdekkede behov/vurdering av nytte/organisasjonens kapasitet og (2) Avtalestatus. Med 7 gjennomførte internrevisjonsgjennomganger i 2016 har NMBUs organisasjon fått et omfattende materiale å vurdere og innspill til prosedyrer og rutiner som skal implementeres. Denne implementeringen skal gjennomføres parallelt/kombinert med implementeringen av ny organisasjonsstruktur. Det er derfor en kapasitetsutfordring for organisasjonen å gjennomgå ytterligere internrevisjonsgjennomganger. Nå bør det legges vekt på implementeringen. Rektor har derfor drøftet med internrevisjonen muligheten for at NMBU i 1. halvår 2017 kan ha behov for bistand til implementeringsaktiviteter. Rektor har ikke vurdert at det er avdekket spesielle forhold som medfører et særskilt behov for internrevisjonens gjennomgang 1. halvår 2017. Når det gjelder avtalestatus, ble rammeavtale for internrevisjonsaktiviteter inngått november 2015 med en varighet på 2 år med en maksimal ramme på 1,5 mill. kroner ekskl mva. Med de 7 2

internrevisjonsgjennomgangene US har vedtatt skal gjennomføres i 2016 er kostnadsrammen nå brukt opp. Samtidig har Statens innkjøpssenter lyst ut en statlig fellesavtale for internrevisjonstjenester. Det er obligatorisk for NMBU å knytte seg til denne. Fellesavtalen skal gjelde fra våren 2017. Det er derfor gode grunner til å avvente hva som blir resultatet av fellesavtalen før det legges noe program for internrevisjonen 1. halvår 2017. Dersom det allikevel skulle oppstå behov for kjøp av internrevisjonstjenester før den statlige fellesavtalen er klar, kan NMBU velge å gå til et direktekjøp. For slike anskaffelser ble terskelverdien fra 2017 hevet til 1,1 mill. kroner ekskl mva. Dette kan gi nødvendig fleksibilitet dersom man mener behovet er til stede for kjøp av internrevisjonstjenester mens man venter på resultatet av den statlige fellesavtalen. Ås, 10.01.2017 Mari Sundli Tveit rektor 3

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding