Informacijska tehnologija (IT) prevzema ključno vlogo v poslovnem in zasebnem življenju. Sodobne organizacije si ne predstavljamo brez zanesljivega, učinkovitega in varnega informacijskega sistema, kar velja tako za velika kot tudi srednja in mala podjetja. Redni notranji in zunanji pregledi širšega okolja IT v podjetju so izjemno pomembni, če ne nujni za zagotavljanje nemotenega poslovanja podjetja pa tudi za dolgoročni obstoj, saj lahko incidenti, povezani z IT, povzročijo veliko neposredno in posredno poslovno škodo. Revizija informacijskega sistema je sistematičen strokoven pregled tehničnega in organizacijskega vidika zagotavljanja informacijske podpore v podjetju, katerega namen je preveriti skladnost delovanja IT s predpisi, standardi in dobrimi praksami. Pregled praviloma temelji na analizi tveganj in pregledu kontrol, na podlagi katerih ugotovimo, ali je delovanje IT v podjetju skladno s poslovnimi cilji in vizijo, učinkovito, varno in zanesljivo ter ali so postopki v primeru incidentov primerni glede na tveganja, povezana z delovanjem in uporabo informacijskih sistemov v podjetju. Z revizijo IT bo podjetje oziroma revidirana enota pridobilo(a) neodvisno mnenje glede skladnosti s predpisi, standardi in dobrimi praksami.
Revizor informacijskih sistemov z veljavno licenco Slovenskega inštituta za revizijo (SIR) je strokovno usposobljen za izvajanje revizijskega pregleda ter izpolnjuje najvišje strokovne in etične standarde. Pri izvajanju revizijskega pregleda informacijskega sistema upošteva veljavno zakonodajo in standarde revidiranja, sledi uveljavljenim mednarodnim postopkom organizacije ISACA, upošteva razširjene in mednarodno sprejete standarde organizacije ISO in dobre prakse ter na podlagi teh poda priporočila za izboljšanje na področjih, za katera je opravil revizijski pregled.
Vrste revizijskih pregledov:
- revizija celotnega okolja IT (letna, zunanja, notranja),
- revizija posameznega področja (npr. varnosti),
- posebna revizija, katere namen je izdaja mnenja glede izpolnjevanja določenih pogojev in/ali ciljev,
- revizija rezultatov projektov IT
Ostala področja delovanja revizorjev informacijskih sistemov:
- nadzor projektov IT,
- sodelovanje pri akreditacijah programske opreme po ZVDAGA,
- pregledi programske opreme,
- pregledi izdelkov in postopkov s področij revidiranja IT,
- pomoč pri vzpostavitvi okolja IT, ki izpolnjuje zastavljene cilje s področij revidiranja (npr. zagotavljanja varnosti, neprekinjenega poslovanja, upravljanja IT),
- pomoč in svetovanje.
V sklopu revizijskega pregleda lahko pregledamo naslednja področja:
- upravljanje IT,
- neprekinjeno poslovanje
- zagotavljanje varnosti.
Kdo najame revizorja informacijskih sistemov in zakaj ga najame:
Finančni revizor – izdaja mnenja o tveganjih, povezanih z delovanjem informacijskih sistemov v podjetju. Lahko tudi kot veščak pri delu notranjerevizijske službe (NRS).
Nadzorni svet – pregled dejanskega stanja in pridobitev neodvisnega mnenja o učinkovitosti informacijskega sistema družbe kot tudi skladnosti delovanja s predpisi, standardi in dobrimi praksami.
Uprava – pridobitev neodvisnega mnenja o izvajanju IT-podpore v podjetju, skladnosti postopkov s predpisi, standardi in dobrimi praksami.
Vodja informatike – pridobitev neodvisnega mnenja o delovanju službe informatike v podjetju, delu podizvajalcev in pogodbenikov ter tveganjih, povezanih z delovanjem IT.
Projektni svet/vodja projekta – pridobitev mnenja o izdelkih projekta, ki so povezani z informacijsko-komunikacijsko tehnologijo.
Javna uprava – za vse organe, ki bi želeli pridobiti mnenje o dejanskem stanju področja IT, kar se navezuje na varnost, neprekinjeno poslovanje in učinkovitost delovanja.
Kako poteka revizijski pregled informacijskega sistema?
- Revizor informacijskih sistemov pripravi in uskladi listino o revizijskem poslu, ki določa cilje, namen in obseg revizije. Listina o revizijskem poslu je neke vrste pogodba med revizorjem informacijskih sistemov in naročnikom revizije.
- Revizor opravi informativni sestanek z vodstvom in pregleda osnovno dokumentacijo.
- Na podlagi pregleda revizor zahteva dodatno dokumentacijo, pripravi in izvede teste, opravi intervjuje z osebjem ter izvede druge postopke skladno s standardi revidiranja.
- Revizor informacijskih sistemov sestavi poročilo.
- Poročilo predstavi odgovornim za področje IT, ki lahko podajo pojasnila ugotovitev in komentarje o njih.
- Glede na podane komentarje se lahko zahtevajo dodatni dokazi ali izvedejo dodatni testi.
- Sestavi se končna različica poročila, ki se predstavi naročniku. Poročilo praviloma vsebuje tudi priporočila.
- V primeru, da je bil v listini o revizijskem poslu opredeljen tudi porevizijski pregled, se le-ta izvede in sestavi se poročilo o pregledu.
Katero dokumentacijo potrebujemo za revizijski pregled?
Dokumentacija je odvisna od ciljev, namena, obsega in področja revizije. Za pregled celotnega okolja IT v podjetju boste potrebovali naslednjo dokumentacijo:
Splošni dokumenti
- organizacijska shema,
- seznam zaposlenih z delovnim mestom in opisom nalog,
- strategija podjetja.
Področje upravljanja
- potrjena strategija IT za obdobje, v katerem se izvaja revizijski pregled,
- letni načrt za preteklo in prihodnje leto,
- shema IT-infrastrukture,
- seznam programske in strojne opreme,
- ocena tveganj, povezanih z IT,
- seznam zunanjih izvajalcev (pogodbe in dogovori o ravni storitve (ang. Service Level Agreement – SLA),
- poročila o predhodnih pregledih,
- seznam certifikatov (npr. ISO)
Področje varnosti
- skupna varnostna politika in/ali varnostne politike za posamezna področja,
- seznam varnostnih tveganj,
- seznam incidentov,
- poročila o obravnavi incidentov.
Področje neprekinjenega poslovanja
- načrt neprekinjenega poslovanja,
- poročila o izvedenih testih za področje neprekinjenega poslovanja.
Kakšen je strošek revizije
Na podlagi ciljev, namena, obsega in področja revizije se oceni čas za izvedbo revizijskega pregleda, ki praviloma zajema:
- priprave, ki vključujejo uvodni sestanek, pregled dokumentacije in korespondenco z revidirano enoto,
- delo na terenu,
- sestavitev in uskladitev revizijskega poročila,
- predstavitev rezultatov revizije ter
- porevizijski pregled (po dogovoru z revidirano enoto).
Za ceno ure preizkušenega revizorja informacijskih sistemov se uporabljajo smernice za oblikovanje cen revizijskih storitev.
Sekcijo preizkušenih revizorjev informacijskih sistemov vodi petčlanski odbor, ki ga izvolijo aktivni preizkušeni revizorji informacijskih sistemov na volilnem zasedanju. Trenutni odbor je bil izvoljen 16. oktobra 2024. Sestavljajo ga
Predsednica:
dr. Tina Beranič
Člani:
Slavko Kavšek
Manuela Šribar
mag. Matjaž Štiglic
Če imate v povezavi z revizijo informacijskih sistemov kakšna vprašanja, nam jih lahko zastavite v naslednjem obrazcu.
Poročilo o delu za leto 2023
Poročilo o delu sekcije za leto 2023.
Program dela za leto 2024
Projekt 1
Izvedba izobraževanja za pridobitev strokovnega naziva preizkušeni revizor informacijskih sistemov.
Strokovni vodja projekta: člani odbora
Rok: stalna naloga
Projekt 2
Aktivno sodelovanje s člani ostalih sekcij Inštituta ter drugimi sorodnimi inštitucijami ter sorodnimi združenji
Strokovni vodja projekta: Manuela Šribar
Rok: stalna naloga
Projekt 3
Izvedba 32. mednarodne konference o revidiranju in kontroli informacijskih sistemov.
Strokovni vodja projekta: dr. Boštjan Delak
Rok: september 2023
Projekt 4
Aktivno sodelovanje pri razvoju stroke s strokovnimi objavami in razvojem strokovnega okvirja za revidiranje informacijskih sistemov
Strokovni vodja projekta: mag. Maja Hmelak
Rok: stalna naloga
Projekt 5
Sodelovanje z akademskimi inštitucijami.
Strokovni vodja projekta: dr. Boštjan Delak
Rok: stalna naloga
Projekt 6
Aktivno vključevanje v oblikovanje zakonodaje za področje delovanja preizkušenih revizorjev informacijskih sistemov.
Strokovni vodja projekta: mag. Maja Hmelak
Rok: stalna naloga
Projekt 7
Sodelovanje z vsemi člani sekcije in njihovo vključevanje v delo sekcije
Strokovni vodja projekta: mag. Maja Hmelak
Rok: stalna naloga