Kazalo
  1. Predstavitev
  2. Odbor sekcije
  3. Pravila stroke
  4. Koristne informacije
  5. Aktivni PRIS
  6. Koristne povezave

Revizorji informacijskih sistemov »

Koristne informacije

Kdo je revizor informacijskih sistemov?
Katere so vrste revizijskih pregledov?
Katera so ostala področja delovanja revizorjev informacijskih sistemov?
Kaj lahko pregledamo v sklopu revizijskega pregleda?
Kdo in zakaj najame preizkušenega revizorja informacijskih sistemov?
Kako poteka revizijski pregled informacijskega sistema?
Katero dokumentacijo potrebujemo za revizijski pregled?
Kakšen je strošek revizije?

 

 

Kdo je revizor informacijskih sistemov?

Revizor informacijskih sistemov z veljavno licenco Slovenskega inštituta za revizijo (SIR) je strokovno usposobljen za izvajanje revizijskega pregleda ter izpolnjuje najvišje strokovne in etične standarde. Pri izvajanju revizijskega pregleda informacijskega sistema upošteva veljavno zakonodajo in standarde revidiranja, sledi uveljavljenim mednarodnim postopkom organizacije ISACA, upošteva razširjene in mednarodno sprejete standarde organizacije ISO in dobre prakse ter na podlagi teh poda priporočila za izboljšanje na področjih, za katera je opravil revizijski pregled.

 

Katere so vrste revizijskih pregledov?

  • revizija celotnega okolja IT (letna, zunanja, notranja),
  • revizija posameznega področja (npr. varnosti),
  • posebna revizija, katere namen je izdaja mnenja glede izpolnjevanja določenih pogojev in/ali ciljev,
  • revizija rezultatov projektov IT

 

Katera so ostala področja delovanja revizorjev informacijskih sistemov?

  • nadzor projektov IT,
  • sodelovanje pri akreditacijah programske opreme po ZVDAGA,
  • pregledi programske opreme,
  • pregledi izdelkov in postopkov s področij revidiranja IT,
  • pomoč pri vzpostavitvi okolja IT, ki izpolnjuje zastavljene cilje s področij
  • revidiranja (npr. zagotavljanja varnosti, neprekinjenega poslovanja, upravljanja IT),
  • pomoč in svetovanje.

 

Kaj lahko pregledamo v sklopu revizijskega pregleda?

  • upravljanje IT,
  • neprekinjeno poslovanje
  • zagotavljanje varnosti.

 

Kdo in zakaj najame preizkušenega revizorja informacijskih sistemov?

  • Finančni revizor – izdaja mnenja o tveganjih, povezanih z delovanjem informacijskih sistemov v podjetju. Lahko tudi kot veščak pri delu notranjerevizijske službe (NRS).
  • Nadzorni svet – pregled dejanskega stanja in pridobitev neodvisnega mnenja o učinkovitosti informacijskega sistema družbe kot tudi skladnosti delovanja s predpisi, standardi in dobrimi praksami.
  • Uprava – pridobitev neodvisnega mnenja o izvajanju IT-podpore v podjetju, skladnosti postopkov s predpisi, standardi in dobrimi praksami.
  • Vodja informatike – pridobitev neodvisnega mnenja o delovanju službe informatike v podjetju, delu podizvajalcev in pogodbenikov ter tveganjih, povezanih z delovanjem IT.
  • Projektni svet/vodja projekta – pridobitev mnenja o izdelkih projekta, ki so povezani z informacijsko-komunikacijsko tehnologijo.
  • Javna uprava – za vse organe, ki bi želeli pridobiti mnenje o dejanskem stanju področja IT, kar se navezuje na varnost, neprekinjeno poslovanje in učinkovitost delovanja.

 

Kako poteka revizijski pregled informacijskega sistema?

1. Revizor informacijskih sistemov pripravi in uskladi listino o revizijskem poslu, ki določa cilje, namen in obseg revizije. Listina o revizijskem poslu je neke vrste pogodba med revizorjem informacijskih sistemov in naročnikom revizije.
2. Revizor opravi informativni sestanek z vodstvom in pregleda osnovno dokumentacijo.
3. Na podlagi pregleda revizor zahteva dodatno dokumentacijo, pripravi in izvede teste, opravi intervjuje z osebjem ter izvede druge postopke skladno s standardi revidiranja.
4. Revizor informacijskih sistemov sestavi poročilo.
5. Poročilo predstavi odgovornim za področje IT, ki lahko podajo pojasnila ugotovitev in komentarje o njih.
6. Glede na podane komentarje se lahko zahtevajo dodatni dokazi ali izvedejo dodatni testi.
7. Sestavi se končna različica poročila, ki se predstavi naročniku. Poročilo praviloma vsebuje tudi priporočila.
8. V primeru, da je bil v listini o revizijskem poslu opredeljen tudi porevizijski pregled, se le-ta izvede in sestavi se poročilo o pregledu.

 

Katero dokumentacijo potrebujemo za revizijski pregled?

Dokumentacija je odvisna od ciljev, namena, obsega in področja revizije. Za pregled celotnega okolja IT v podjetju boste potrebovali naslednjo dokumentacijo:

 

Splošni dokumenti

  • organizacijska shema,
  • seznam zaposlenih z delovnim mestom in opisom nalog,
  • strategija podjetja.

 

Področje upravljanja

  • potrjena strategija IT za obdobje, v katerem se izvaja revizijski pregled,
  • letni načrt za preteklo in prihodnje leto,
  • shema IT-infrastrukture,
  • seznam programske in strojne opreme,
  • ocena tveganj, povezanih z IT,
  • seznam zunanjih izvajalcev (pogodbe in dogovori o ravni storitve (ang. Service Level Agreement – SLA),
  • poročila o predhodnih pregledih,
  • seznam certifikatov (npr. ISO)

 

Področje varnosti

  • skupna varnostna politika in/ali varnostne politike za posamezna področja,
  • seznam varnostnih tveganj,
  • seznam incidentov,
  • poročila o obravnavi incidentov.

 

Področje neprekinjenega poslovanja

  • načrt neprekinjenega poslovanja,
  • poročila o izvedenih testih za področje neprekinjenega poslovanja.

 

Kakšen je strošek revizije?

Na podlagi ciljev, namena, obsega in področja revizije se oceni čas za izvedbo revizijskega pregleda, ki praviloma zajema:

  • priprave, ki vključujejo uvodni sestanek, pregled dokumentacije in korespondenco z revidirano enoto,
  • delo na terenu,
  • sestavitev in uskladitev revizijskega poročila,
  • predstavitev rezultatov revizije ter
  • porevizijski pregled (po dogovoru z revidirano enoto).
Za ceno ure preizkušenega revizorja informacijskih sistemov se uporabljajo Smernice za oblikovanje cen storitev revidiranja informacijskih sistemov, ki jih je sprejel strokovni svet Inštituta.