PODPORA NOTRANJI REVIZIJI · CO-SOURCING · aPRIS · CISA

Podpora notranji reviziji

Co-sourcing notranje revizije pri pregledu informacijskih sistemov. Po naročilu notranje revizije izvedemo posamezno revizijsko nalogo ali njen del — od planiranja in analize tveganja do poročanja — skladno s standardi notranjega revidiranja (IIA), okvirom za dajanje zagotovil na področju informacijskih sistemov (ITAF) in dogovorjenimi sodili. Ugotovitve predamo notranji reviziji, ki jih vključi v svoje poročanje upravi in nadzornemu organu.

Notranji reviziji zagotavljamo podporo pri pregledih informacijskih sistemov za redne notranje revizije po letnem načrtu dela ali za izredne notranje revizije. Kot zunanji izvajalec po naročilu notranje revizije izvedemo posamezno revizijsko nalogo ali njen del — od planiranja, analize tveganja, do poročanja — skladno s standardi notranjega revidiranja (IIA), okvirom za dajanje zagotovil na področju informacijskih sistemov (ITAF) in dogovorjenimi sodili. Rezultate predamo notranji reviziji, ki jih vključi v svoje poročanje upravi in nadzornemu organu.

Kdaj je podpora notranji reviziji smiselna in kdaj obvezna

Notranja revizija je za nekatere organizacije obvezna funkcija. Notranje revidiranje predpisuje predvsem zakonodaja v reguliranih sektorjih in v javnem sektorju, kjer morajo zavezanci vzpostaviti stalno in neodvisno funkcijo notranje revizije, ki neposredno poroča najvišjim organom upravljanja. Izvedba revizijskih nalog s področja informacijskih sistemov pri tem pogosto zahteva specializirano tehnično znanje, ki presega kadrovske zmožnosti notranje revizije.

Co-sourcing podpora postane smiselna takrat, ko notranja revizija nima notranjega strokovnega znanja za pregled posameznega področja informacijskega sistema — na primer pri pregledu upravljanja identitet in dostopov, omrežij, razvojnih okolij, oblačnih storitev ali pri testiranju tehničnih kontrol. Smiselna je tudi ob enkratni specializirani nalogi, ki ne upravičuje stalne zaposlitve specialista, ali kadar je obseg dela v danem letnem ciklu prevelik za interne kapacitete.

Standardi notranjega revidiranja od notranjih revizorjev zahtevajo strokovno usposobljenost in skrbnost ter stalno strokovno izpopolnjevanje. Na hitro razvijajočih se tehničnih področjih informatike postaja vzdrževanje tega znanja vse bolj zahtevno. Zunanja podpora notranji reviziji pomaga ohranjati ustrezno raven strokovnosti in objektivnosti pri pregledu visoko tehničnih področij, hkrati pa ne posega v neodvisnost in odgovornost notranje revizije, ki ostane nosilka revizijske funkcije.

Naš pristop in metodologija

Podporo izvajamo skladno z Globalnimi standardi notranjega revidiranja (Global Internal Audit Standards), ki so del Mednarodnega okvira strokovnega ravnanja in jih objavlja Inštitut notranjih revizorjev (IIA — The Institute of Internal Auditors), ter se vključimo v obstoječi revizijski proces in metodologijo notranje revizije naročnika. Ne vzpostavljamo vzporednega procesa, temveč delujemo znotraj okvira, ki ga notranja revizija že uporablja. Tehnični pregled informacijskih sistemov opremo na okvir za dajanje zagotovil na področju informacijskih sistemov (ITAF — Information Technology Assurance Framework) in okvir COBIT, ki ju vzdržuje ISACA, pri pregledu informacijske varnosti na ISO/IEC 27001 in ISO/IEC 27002, pri obvladovanju tveganj na ISO/IEC 27005 ter pri neprekinjenosti poslovanja na ISO 22301. Sodila in obseg vsake naloge vnaprej uskladimo z notranjo revizijo v obliki listine o poslu.

Revizijsko nalogo izpeljemo v štirih fazah, ki si sledijo v jasnem zaporedju:

Uskladitev z notranjo revizijo

Zajema prevzem revizijske naloge iz letnega načrta notranje revizije, uskladitev obsega, sodil in načina vključitve v obstoječo metodologijo naročnika. V tej fazi razmejimo odgovornosti med zunanjim izvajalcem in notranjo revizijo ter potrdimo pričakovano obliko izhoda.

Analiza tveganj in načrtovanje

Ocena tveganja obravnavanega področja informacijskega sistema, priprava revizijskega programa in opredelitev testiranja kontrol. Analiza tveganja usmeri obseg in globino testiranja tja, kjer so tveganja najvišja, in zagotovi smotrno porabo razpoložljivih virov.

Izvedba in dokazovanje

Pregled dokumentacije, intervjuji z odgovornimi osebami, testiranje kontrol in zbiranje dokazov. Pri tem testiramo tako ročne kot samodejne kontrole, vključno s tehničnimi kontrolami informacijskega sistema. Vsako ugotovitev podpremo z dokazi, ki ostanejo sledljivi in postanejo del revizijske sledi notranje revizije.

Poročanje notranji reviziji

Predaja ugotovitev v obliki, ki jo notranja revizija standardno uporablja, tako da jih lahko neposredno vključi v svoje poročilo. Notranja revizija ostane nosilka poročanja upravi in nadzornemu organu. Na zahtevo notranje revizije sodelujemo tako na zaključnem sestanku kot pri predstavitvi poročila upravi in nadzornemu organu.

Področja podpore notranji reviziji

Podpora je lahko usmerjena v celovito revizijsko nalogo ali v ozko opredeljen tematski pregled. Običajna področja sodelovanja, ki jih oddaja notranja revizija v soizvajanje, so:

Revizija splošnih IT kontrol
Pregled upravljanja dostopov, sprememb, varnostnih kopij, neprekinjenosti poslovanja in obvladovanja incidentov v okviru revizijske naloge notranje revizije.
Tematske revizije informacijskih sistemov
Ozko opredeljene naloge, kot so pregled upravljanja identitet in dostopov, oblačnih storitev, razvojnega okolja ali zunanjega izvajanja, kjer notranja revizija potrebuje specializirano tehnično znanje.
Pregled skladnosti informacijskega sistema
Pregled skladnosti s predpisi in standardi kot del revizijske naloge notranje revizije, vključno z upoštevanjem notranjih aktov naročnika.
Podpora pri načrtovanju revizij informacijskih sistemov
Sodelovanje pri oceni tveganj na področju informacijskih sistemov in pripravi letnega revizijskega načrta na področju IS.
Testiranje tehničnih kontrol
Testiranje samodejnih in tehničnih kontrol informacijskega sistema, kot so pregled konfiguracij, analiza dnevniških zapisov in vdorni testi, kadar revizijska naloga zahteva tehnično poglobitev.
Strokovni pregled tujih revizijskih ugotovitev
Neodvisno drugo mnenje o ugotovitvah, ki jih je pripravil drug izvajalec ali interna ekipa.

Pri tehnično najzahtevnejšem testiranju kontrol, kot so vdorni testi in poglobljene specializirane analize, po potrebi sodelujemo s preverjenimi podizvajalci. Tudi v takih primerih ostaja usklajevanje, nadzor in predaja rezultatov v naši pristojnosti, notranja revizija pa prejme enoten in sledljiv izhod.

Rezultati

Ključna značilnost zunanje podpore notranji reviziji je, da se izhod vključi v dokumentacijo notranje revizije naročnika. Praviloma ne pripravljamo samostojnega revizijskega poročila, temveč gradivo v obliki in strukturi, ki jo notranja revizija standardno uporablja, lahko pa skladno z dogovorom z NR pripravimo tudi celotno poročilo.

Ugotovitve v dogovorjeni strukturi
Običajno v petih delih (sodila, dejansko stanje, vzrok, posledica, priporočilo) ali v drugačni strukturi, ki jo notranja revizija že uporablja.
Delovna revizijska dokumentacija z dokazi
Sledljiva podlaga, ki postane del revizijske sledi notranje revizije.
Načrt ukrepov
Po dogovoru pripravimo prednostni razpored priporočil, ki notranji reviziji olajša spremljanje izvedbe priporočil.
Oblika, primerna za nadaljnje poročanje
Gradivo predamo tako, da ga notranja revizija lahko brez dodatne predelave vključi v svoje poročanje upravi in nadzornemu organu.

Vsebina, obseg in oblika izhoda se uskladijo z notranjo revizijo v fazi prevzema naloge, tako da se rezultati neposredno vključijo v njen revizijski proces.

Kvalifikacije in neodvisnost

Strokovne kvalifikacije

Revizijske naloge na področju informacijskih sistemov izvajajo kvalificirani strokovnjaki z nazivi:

aPRIS
Aktivni preizkušeni revizor informacijskih sistemov — kvalifikacija Slovenskega inštituta za revizijo, vezana na slovenski regulatorni okvir, stalno strokovno izpopolnjevanje in članstvo v SIR.
CISA
Certified Information Systems Auditor — mednarodna kvalifikacija ISACA, mednarodno priznana v reguliranih sektorjih.
ISO/IEC 27001 vodilni presojevalec
Kvalifikacija za presojo sistemov upravljanja informacijske varnosti, ki dopolnjuje revizijsko delo s formalnim okvirom presojevalca.

Vse kvalifikacije so povezane z obveznostjo stalnega strokovnega izpopolnjevanja in spoštovanjem strokovnih kodeksov etike, vključno s kodeksom poklicne etike na področju notranjega revidiranja.

Neodvisnost in nepristranskost

Pri co-sourcingu notranja revizija ostane nosilka revizijske funkcije, načrta in poročanja. Naša podpora ne nadomesti njene presoje, niti odgovornosti — delujemo po njenem naročilu in znotraj njene metodologije. Razmejitev odgovornosti potrdimo že v fazi prevzema naloge, tako da ostane vloga notranje revizije kot stalne in neodvisne funkcije nespremenjena.

Neodvisnost ni samo pravna lastnost, temveč predvsem izvedbeno pravilo. Pred prevzemom vsake naloge presodimo, ali obstajajo okoliščine, ki bi lahko vplivale na nepristranskost pregleda — pretekli poslovni odnosi z naročnikom, sodelovanje pri zasnovi obravnavanih sistemov, finančni ali osebni interesi. Če take okoliščine obstajajo, jih razkrijemo in po potrebi naročilo zavrnemo. Ker pri pregledu tehnično zahtevnih področij nimamo predhodne vpletenosti v njihovo zasnovo, lahko zunanja podpora objektivnost pregled celo okrepi.

Zaupnost informacij, ki jih prejmemo pri izvedbi revizijske naloge, je trajna obveza in se ne preneha z zaključkom posla. Delovno revizijsko dokumentacijo hranimo ločeno od ostale poslovne dokumentacije in je dostopna le revizijski ekipi ter, v dogovorjenem obsegu, notranji reviziji naročnika.

Povpraševanje za podporo notranji reviziji

Sprejemamo vaša povpraševanja za predračun ali svetovanje glede obsega podpore. Pri vašem povpraševanju kratko opišite:

  • — vrsto in dejavnost organizacije,
  • — področje informacijskega sistema, ki ga revizijska naloga obravnava,
  • — ali gre za redno nalogo iz letnega načrta ali izredno revizijo,
  • — okvirno časovnico in obseg sodelovanja.

E-pošta: info@cepris.si

Pogosta vprašanja

Kakšna je razlika med podporo notranji reviziji in zunanjo revizijo informacijskih sistemov?

Podpora notranji reviziji pomeni, da revizijsko nalogo izvedemo po naročilu in za potrebe notranje revizije naročnika — ugotovitve predamo NR, ki jih vključi v svoje poročanje upravi in nadzornemu organu. Delujemo znotraj metodologije NR in njenega revizijskega procesa.

Zunanja revizija informacijskih sistemov je samostojna storitev, pri kateri kot neodvisni izvajalec izvedemo revizijo na podlagi neposredne pogodbe z organizacijo, pogosto za regulatorno predpisano nalogo, in poročamo neposredno naročniku. Pri zunanji reviziji naročnik nima vpliva na sodila in roke, kadar jih določa predpis.

V obeh primerih gre za isto strokovno opravilo, razlikuje se vloga naročnika in pot poročanja.

Kaj pomeni co-sourcing pri notranji reviziji?

Co-sourcing je oblika sodelovanja, pri kateri notranja revizija del svojih nalog odda zunanjemu strokovnjaku, vendar ohrani odgovornost za revizijsko funkcijo, načrt in končno poročanje. Zunanji izvajalec prispeva specializirano znanje na področju informacijskih sistemov.

Za razliko od popolnega zunanjega izvajanja (outsourcing), kjer bi zunanji izvajalec prevzel celotno funkcijo, pri co-sourcingu notranja revizija ostane nosilka procesa. Izvajalec deluje znotraj njene metodologije, sodila in obseg pa se uskladijo vnaprej. Takšen model notranji reviziji omogoča, da pokrije tehnično zahtevna področja brez stalne zaposlitve specialista.

Kdaj se notranja revizija odloči za zunanjo podporo pri reviziji informacijskih sistemov?

Notranja revizija se za zunanjo podporo pri reviziji informacijskih sistemov odloči, kadar revizijska naloga zahteva specializirano tehnično znanje — na primer pregled upravljanja identitet in dostopov, oblačnih storitev, razvojnih okolij ali drugo testiranje tehničnih kontrol.

Pogosti razlogi so tudi enkratna ali sezonska narava naloge, ki ne upravičuje stalne zaposlitve specialista, preobsežen letni načrt glede na notranje kapacitete NR, potreba po objektivnosti pri pregledu področij, ki so jih razvili interni oddelki. Oviro lahko predstavlja tudi zahteva po stalnem strokovnem izpopolnjevanju, ki ga je na hitro razvijajočih se tehničnih področjih težko zagotavljati interno. Zunanja podpora notranji reviziji omogoča, da ohrani pokritost in kakovost pregleda brez širjenja lastne ekipe. Zunanji strokovnjak pomeni tudi pomembno dodano vrednost pri prenosu dobrih praks v organizacijo.

Komu poročate o ugotovitvah — notranji reviziji ali upravi?

Pri podpori notranji reviziji poročamo notranji reviziji naročnika, ne neposredno upravi ali nadzornemu organu. Ugotovitve predamo v obliki in strukturi, ki jo notranja revizija standardno uporablja, tako da jih lahko neposredno vključi v svoje revizijsko poročilo.

Notranja revizija ostane nosilka komunikacije z upravo in nadzornim organom ter prevzame odgovornost za končno poročilo. Ta razmejitev je bistvena, saj ohranja enotno pot poročanja znotraj organizacije in spoštuje vlogo notranje revizije kot stalne funkcije, ki odgovarja neposredno najvišjim organom upravljanja.

Ali zunanja podpora zmanjša neodvisnost notranje revizije?

Pri co-sourcingu notranja revizija ohrani svojo neodvisnost in odgovornost — zunanji izvajalec deluje po njenem naročilu in znotraj njene metodologije, ne nadomesti njene presoje ali poročanja.

Nasprotno, zunanja podpora lahko okrepi objektivnost pri pregledu tehnično zahtevnih področij, ki so jih razvili ali jih upravljajo interni oddelki organizacije. Zunanji izvajalec nima predhodne vpletenosti v zasnovo obravnavanih sistemov, zato je njegova presoja teh področij lahko bolj nepristranska kot presoja, ki bi jo opravil interni strokovnjak, povezan z istimi sistemi. Pred prevzemom vsake naloge presodimo okoliščine, ki bi lahko vplivale na našo objektivnost, in jih po potrebi razkrijemo.

Ali lahko prevzamete celotno funkcijo revizije informacijskih sistemov namesto notranje revizije?

Naša storitev je zasnovana kot podpora obstoječi notranji reviziji (co-sourcing), ne kot prevzem celotne funkcije. Notranja revizija ostane nosilka revizijskega načrta, metodologije in poročanja.

Kadar organizacija nima vzpostavljene notranje revizije ali potrebuje samostojno izvedbo revizijske naloge, je primernejša storitev revizija informacijskih sistemov, ki jo izvedemo kot neodvisni zunanji izvajalec na podlagi neposredne pogodbe. Popolno zunanje izvajanje celotne funkcije notranje revizije odpira posebna vprašanja strokovnosti na področju notranje revizije, ki presegajo okvir ožje storitve - revidiranja informacijskih sistemov.

Lahko pa zagotovimo podporo notranji reviziji pri pripravi letnega načrta notranjih revizij ali pri analizi tveganja na področju informacijskega sistema.

V kakšni obliki predate rezultate, da jih notranja revizija lahko uporabi?

Rezultate predamo v takšni obliki, da jih lahko notranja revizija neposredno vključi v svojo dokumentacijo. Ugotovitve strukturiramo v dogovorjeni obliki — običajno v petih elementih: sodila, dejansko stanje, vzrok, posledica in priporočilo — ali v drugačni strukturi, ki jo notranja revizija standardno uporablja in na uveljavljeni dokumentni predlogi notranje revizije.

Po dogovoru pripravimo načrt ukrepov s prednostnim razporedom priporočil. Cilj je, da notranja revizija prejme gradivo, ki ga lahko brez dodatne predelave uporabi pri poročanju upravi in nadzornemu organu.