ISACA :: Slovenski odsek :: Navigacija

Revizija informacijskih sistemov – kaj in kako?
Podrubrike:
1. Revizija informacijskih sistemov – priložnost za kariero!
2. Osnovni pojmi revizije informacijskih sistemov
3. Pomen revizije informacijskih sistemov

Revizor informacijskih sistemov – priložnost za kariero!

Požarni zidRevizija se je tekom let močno spreminjala. Poleg zahtev lastnikov in potreb širše javnosti je na njeno spreminjanje verjetno imela največji vpliv uporaba računalnikov za vodenje sprva računovodskih evidenc, kasneje pa je informacijska tehnologija bistveno spremenila poslovne procese, zlasti njihove upravljalne funkcije. Revidiranje brez informacijskih znanj je postalo domala nemogoče. Zahtevani nivo znanj o uporabi informacijske tehnologije in zlasti tveganj, ki so s tem povezana je tako velik, da ga revizorji računovodskih izkazov, kot interni revizorji preprosto niso in ne morejo na hitro osvojiti. Tako interni revizorji, kot revizorji računovodskih izkazov so ugotovili, da ne morejo podati zanesljive ocene delovanja kontrolnih sistemov v okolju računalniške obravnave podatkov in so imeli na razpolago dve možnosti: povečati obseg preizkušanja podatkov ali najeti strokovnjaka, kateremu bodo zaupali in jim bo preveril uspešnost kontrolnega sistema.

Revizorji informacijskih sistemov so tako posamezniki z veliko specialističnih znaj s področja uporabe informacijske tehnologije, dolgoletnimi izkušnjami s področja uporabe, razvoja in upravljanja z informacijskimi sistemi, usposobili pa so se tudi za dodatno ocenjevanje tveganj pri poslovanju in varnem delovanju informacijskega sistema. Spremenjena vloga internih revizorjev, ko vedno bolj ocenjujejo kontrolne sisteme (za razliko od nekoč, ko so predvsem kontrolirali) v smislu njihove uspešnosti in učinkovitosti so v dejavnostih, katerih poslovna uspešnost je visoko odvisna od uspešnosti in učinkovitosti uporabe informacijske tehnologije, privedla do stanja, ko je denimo v internih revizijah finančnih institucij po svetu že polovica revizorjev, revizorjev informacijskih sistemov.

Nastavitve požarnega ziduV Sloveniji je potreba po revizorjih informacijskih sistemov vedno bolj prisotna. Tudi revizija letnih izkazov, ki predstavlja v nekaterih primerih zakonsko obvezo nemalokrat vsebuje tudi pregled revizorja informacijskih sistemov. Zato smo člani Slovenskega odseka ISACA skupaj s Slovenskim inštitutom za revizijo v Sloveniji vspostavili sistem opravljanja izpitov za naziv preizkušeni revizor informacijskih sistemov. Prvi pogoj za pridobitev tega naziva je opravljen izpit CISA, ki ga v celem svetu enkrat letno organizira mednarodna organizacija revizorjev informacijskih sistemov (ISACA). Izpit je možno opravljati v več jezikih, žal ne v slovenščini. Izpit traja štiri ure, vsebuje 200 "multi choice" vprašanj, za uspeh pa je potrebno doseči 75% uspešnost. Po opravljenem izpitu CISA je potrebno izdelati še dve seminarski nalogi za dodatna dva izpita. Za dodelitev naziva je potrebno dokazati tudi delovne izkušnje, za naziv preizkušeni revizor je potrebna visoka izobrazba, za mednarodni naziv CISA (Certified Information System Auditor), pa izobrazba ni nujno visoka so pa ostrejši pogoji glede izkušenj. Za ohranitev obeh nazivov je potrebno redno dodatno usposabljanje.

Vsebine izpita CISA pokrivajo gledano s stališča revizije vsa področja informacijske dejavnosti in vse vrste informacijske in komunikacijske tehnologije.

Predvidoma je v Ljubljani v mesecu februarju pripravljalni seminar in v maju pregledni seminar za udeležence izpita CISA in CISM, ki je hkrati tudi priložnost, da se zainteresirani seznanijo s širino znanj, ki jih je potrebno obvladati za izpit.


Revizija je tudi pri nas v Sloveniji čedalje bolj uveljavljeno področje dela. Revizija informacijskih sistemov je v tujini samostojna veja revidiranja in tudi dopolnilo revizije računovodskih izkazov. Pri nas si šele utira svojo pot, združuje znanja s področja revizije in tehnološka znanja s področja informatike in računalništva.

Osnovni pojmi

  1. Revizija – pregled z namenom prepričati se, da je pregledovano urejeno v skladu z zakoni, pravili, standardi in dobrimi navadami.
  2. Informacijski sistem – sistem zbiranja, urejanja, obdelovanja, hranjenja in prikazovanja podatkov ter njihovo preoblikovanje v informacije, največkrat s pomočjo računalniške tehnologije.

StandardiRevizija informacijskih sistemov je torej pregled sestavin in povezav zbiranja, urejanja, obdelovanja, hranjenja podatkov in njihovega preoblikovanja v informacije z namenom prepričati se, da so pregledovani informacijski sistemi urejeni v skladu s pravili (zakoni, predpisi, standardi, ...) in dobrimi navadami na področju informatike in informacijske tehnologije. Revidiranje informacijskih sistemov je najbolje opredeljeno s standardi, ki jih je v letu 1994 objavilo mednarodno združenje EDP Auditors Foundation, Inc. Standardi se uporabljajo za revidiranje informacijskih sistemov, ki jih izvajajo njeni člani in vsi imetniki spričeval za preizkušene revizorje informacijskih sistemov.

Cilja teh standardov sta:

  • informirati revizorje o najnižji še sprejemljivi kakovosti izvedbe dela, skladno s strokovno odgovornostjo, kot je opisana v kodeksu poslovne etike;
  • informirati poslovodstvo in druge, ki jih to zanima, o tem, kaj pričakuje stroka od dela poklicnih strokovnjakov.


Splošni standardi

Neodvisnost: Revizor IS mora biti v vseh zadevah v zvezi z revidiranjem neodvisen od revidiranca. Funkcija revidiranja IS mora biti dovolj neodvisna od revidiranega področja, tako da je možno opravljati dela nepristransko.

Strokovna usposobljenost: Revizor mora biti strokovno usposobljen, imeti mora veščine in znanja, ki so potrebna za revidiranje. Z nenehnim izobraževanjem mora ohranjati strokovno usposobljenost in pridobivati nova znanja in veščine za opravljanje dela.

Izvedba dela: Revizijo IS je potrebno načrtovati in nadzirati, da zagotovimo doseganje ciljev revidiranja in usklajenost s temi standardi. Med revidiranjem mora revizor pridobivati dokaze, ki po vsebini in obsegu potrjujejo ugotovitve in sklepe v njegovem poročilu. V vseh pogledih mora izkazovati potrebno strokovno skrbnost ter hkrati upoštevati ustrezne standarde revidiranja.

Poročanje o vsebini revizije: V poročilih mora revizor navesti cilje revidiranja, obravnavano obdobje, naravo in obseg revizije. Pri ugotovitvah in sklepih opravljene revizije je potrebno navesti vse pridržke in trditve, ki se nanašajo na revizijo.


Metodologija

COBITCilji in postopki revidiranja informacijskih sistemov so bili skozi čas podani v različnih publikacijah. Leta 1996 je organizacija revizorjev informacijskih sistemov (ISACA) izdala publikacijo COBIT (Control Objectives for Information and Related Technology in jo v kasnejših letih še izpopolnila v drugi in tretji izdaji), v kateri so zbrani in urejeni cilji in postopki revidiranja informacijskih sistemov.

Opredelitev pojma kontrola in kontrolni cilj:

  • Kontrola je skupek pravil, postopkov in organizacijskih struktur uvedenih z namenom zagotoviti uresničitev poslovnih ciljev in preprečiti neljube dogodke ali jih vsaj zaznati in pravočasno ukrepati ( popraviti škodo ).
  • Kontrolni cilj je izjava o želenem rezultatu oziroma namenu, ki ga dosežemo z vpeljavo kontrolnih postopkov v aktivnosti na področju informacijske tehnologije.

Da zadovoljijo poslovne cilje, morajo informacije izpolnjevati določena merila, ki so:

  • učinkovitost – ustrezati morajo poslovnim procesom in biti pravočasne, pravilne in uporabne
  • zmogljivost – pripravljene morajo biti z optimalno uporabo sredstev informacijske tehnologije
  • zaupnost – varovane morajo biti pred razkritjem nepooblaščenim osebam
  • popolnost – biti morajo natančne in zadostne za obravnavan poslovni proces
  • razpoložljivost – biti morajo vedno na voljo
  • skladnost – biti morajo skladne z zakoni, predpisi, pogodbami, ki urejajo področje poslovnih procesov
  • zanesljivost – za odločanje.

Sredstva s katerimi informacijska tehnologija dostavlja podatke potrebne za poslovne procese so:

  • podatki – računalniške rešitve (aplikacije – avtomatizirani postopki poslovnih funkcij)
  • tehnologija (strojna in sistemska programska oprema, sistemi za opravljanje baz podatkov, računalniške mreže ...),
  • pomožne računalniške naprave,
  • ljudje, njihovo znanje in izkušnje.

Delo z računalnikomPo metodologiji COBIT so cilji revidiranja informacijske tehnologije razdeljeni v štiri domene in na 34 procesov. Za vsak proces je izdelana metodologija pregleda, opisano je katere poslovne zahteve omogoča proces, kako mora biti izvedena kontrola procesa in kaj je potrebno proučiti oziroma pregledati. Domene ciljev revidiranja informacijske tehnologije:

  • načrtovanje in organiziranje informacijskih sistemov, strateško planiranje, definiranje informacijske arhitekture, tehnoloških usmeritev, upravljanje investicij
  • pridobivanje, izbor, izvedba in uvajanje informacijskih sistemov, vzdrževanje
  • upravljanje in zagotavljanje delovanja, pomoč, servisi, varnost, zagotavljanje neprekinjenosti poslovanja, izobraževanje in usposabljanje uporabnikov
  • opazovanje in nadzor procesov

Naročnik revizije in revizor informacijskih sistemov skupaj določita cilje revizije. Cilj revizije je lahko celovit pregled uporabe informacijske tehnologije, aplikacij, skladnosti z zakoni, pregled varnosti in zaščit, pregled postopkov za zagotavljanje neprekinjenosti poslovanja, pregled razvoja novih informacijskih sistemov v povezavi s kontrolo kvalitete, pregled usposobljenosti kadrov, ki uporabljajo informacijsko tehnologijo.V posebnih primerih pa se lahko dogovorita le za preciznejši pregled ozkega področja oziroma cilja po metodologiji COBIT, na primer pregled postopkov pri vzdrževanju programske opreme.


Pomen revizije informacijskih sistemov pri upravljanju poslovnih sistemov

Revizija informacijskih sistemov lahko vodstvu poslovnih sistemov odgovori na vprašanja, ali uporaba računalniške tehnologije zagotavlja:

  • Pomen revizije ISrešitve, ki podpirajo dolgoročne poslovne cilje,
  • učinkovitost razvojnih projektov in prenov informacijskih sistemov,
  • funkcionalnost računalniških rešitev za izvajanje in upravljanje poslovnih procesov,
  • ustreznost izrabe računalniške tehnologije,
  • delovanje računalniške podpore brez prekinitev oziroma vzpostavitve ponovnega delovanja brez izgub podatkov v primernem času,
  • preprečevanje zlorab, poneverb, kraj in razkritij poslovnih skrivnosti.

Vodstva poslovnih sistemov lahko naročijo revizije informacijskih sistemov kot sestavni del revizije računovodskih izkazov ali kot samostojno revizijo.



© Slovenski odsek ISACA 2022. Vse pravice pridržane!  |  Zadnja sprememba: 29. 7. 2016

To spletno mesto ne uporablja piškotkov!  |  Politika zasebnosti  |  Sporočite nam svoje mnenje.

Nekatere strani in obrazci za delovanje uporabljajo JavaScript.