TFL Vsebine / TFLGlasnik

1. UVOD

V prispevku so na kratko predstavljene novosti podlag za delo notranjih revizorjev v Sloveniji od decembra 2022 do septembra 2023, ki se nanašajo na drugo in tretjo raven Hierarhije pravil notranjega revidiranja¹. Sprememb pri Mednarodnih standardih strokovnega ravnanja pri notranjem revidiranju (v nadaljevanju: standardi) in izvedbenih navodilih/smernicah za izvajanje v tem obdobju ni bilo, so pa napovedane, zato se na to nanaša zgolj kratek komentar prvega objavljenega osnutka standardov.

Nekatera pravila notranjega revidiranja, uvrščena v Hierarhijo pravil notranjega revidiranja, so dostopna na spletnem naslovu slovenskega Inštituta za revizijo (v nadaljevanju: SIR).

Članek odraža mnenja avtorice z dolgoletnimi izkušnjami na področju notranjega revidiranja.

2. MEDNARODNI STANDARDI STROKOVNEGA RAVNANJA PRI NOTRANJEM REVIDIRANJU

IIA, Mednarodni inštitut notranjih revizorjev, je v začetku letošnjega leta objavil predlog novih standardov. Odbor sekcije preizkušenih notranjih revizorjev pri SIR-u se je seznanil s predlogom. Ker novi standardi v precejšnji meri prehajajo od priporočil (angl. should) na obvezno uporabo (angl. must) in bodo pomembno vplivali na delo preizkušenih notranjih revizorjev, je odbor ocenil, da je treba – predvsem zaradi predlaganih nepotrebnih dodatnih obremenitev notranjih revizorjev – podati pripombe na kompleksnejše predloge. Poleg dodatnih obremenitev (kup dokumentov naj bi notranja revizija pripravila vnaprej, npr. metodologijo usklajevanja z notranjimi in zunanjimi izvajalci storitev dajanja zagotovil, ne glede na to, ali druge izvajalce sploh ima ali ne) je v predlogu dokumenta preveč zahtev po zgolj skladnosti, ne glede na to, ali notranja revizija dodaja vrednost ali ne. Notranji revizorji v slovenskem prostoru smo vrsto let intenzivno delali na prepoznavnosti stroke, na razumevanju našega dela in na izvajanju svetovalnih poslov kot pomembni osnovi za t. i. mesta za mizo², zato predlog novih osnov za delo vidimo kot korak nazaj. Sprašujemo se, ali je pomembneje biti prepoznan kot uspešen in učinkovit dajalec zagotovil ali zgolj kot notranji revizor, ki je skladen s predpisi. Pripombe odbora sekcije preizkušenih notranjih revizorjev so dostopne na spletni strani SIR-a.³

3. DODATNA NAVODILA

V drugo raven Hierarhije pravil notranjega revidiranja med drugim spadajo Dodatna navodila (angl. Supplemental Guidance). Predstavljena vsebina je zgolj povzetek dodatnega navodila in ne uradni prevod. V nadaljevanju je predstavljen dokument, izdan v zadnjem letu, in sicer Auditing Network and Communications Management, ki spada med Globalne smernice za revizijo tehnologij (angl. Global Technology Audit Guide, GTAG).

3.1. Revidiranje upravljanja omrežij in omrežno komuniciranje

Revizija upravljanja omrežij in omrežnega komuniciranja (Auditing Network and Communications Management)⁴ je dodatno navodilo, ki je izšlo januarja 2023.

Dokument se ukvarja z ekosistemom omrežnega komuniciranja v organizaciji. Ker ponuja pregled notranjih kontrol in mednarodno uveljavljenih okvirov za izvedbo posla, pomaga notranjemu revizorju pri razumevanju in poznavanju specifičnih orodij s tega področja. Omrežje namreč omogoča komunikacijo s strankami, dobavitelji in drugimi deležniki, (lahko) npr. podpira t. i. e-trgovino in dobavo storitev. Notranji revizorji se pri revidiranju tega področja lahko ukvarjajo tudi z zaupnostjo, celovitostjo in razpoložljivostjo ter prav tako z varnostjo podatkov.

Glede na to, da mora vsak načrt notranjega revizorja upoštevati strategije, cilje in tveganja organizacije, ki so za posel pomembni, je treba pri načrtovanju (ne glede na to, za kakšno organizacijo gre) upoštevati cilje:

• zagotoviti, da so cilji, tveganja in notranje kontrole omrežij in omrežnega komuniciranja povezani s strategijo in cilji organizacije; zahteve, pričakovanja in viri morajo biti konkretizirani v politikah, postopkih in finančnih ter tehničnih planih; upravljanje domen (vzpostavljen popis obstoječega stanja);
• vzpostavljeno upravljanje omrežnega komuniciranja (izmenjava podatkov, uporaba oblačnih storitev);
• dostopi do omrežja so zagotovljeni le za pooblaščene račune, urejen proces spremljanja dostopov in način dostopanja do zunanjih omrežij;
• redno spremljanje dogodkov; skupaj z odgovornimi za kibernetsko varnost se analizirajo vse »neobičajne« aktivnosti.

Poleg naštetega je treba pri načrtovanju upoštevati še druge kontrolne cilje, kot so kontrole dostopa, kibernetska varnost, oddaljeni dostopi in podobno. Notranjim revizorjem so ob tem na voljo druga dodatna navodila (npr. revidiranje odzivanja in okrevanja po kibernetskem incidentu, revidiranje delovanja kibernetske varnosti: preprečevanje in odkrivanje, revidiranje mobilnega računalništva)⁵.

Ker je vsaka organizacija povezana z omrežjem, je takoj izpostavljena tveganjem zaupnosti, celovitosti in razpoložljivosti podatkov. Zato je treba vzpostaviti notranje kontrole, ki varujejo informacijske sisteme, zagotavljajo dostopnost storitev deležnikom in doseganje ciljev organizacije.

Dodatno navodilo podrobno opisuje vsakega od navedenih ciljev.

Poleg tega vsebuje opredelitve različnih pojmov, ki jih je treba vključiti v posel na področju dajanja zagotovila o upravljanju omrežij in komunikacij, npr. IP (angl. internet protocol) naslov, domena, ponudniki storitev (angl. ISP – internet service providers), omrežje, arhitektura in drugi. Dodatne obrazložitve posameznih pojmov so razvidne tudi iz obsežnega pojmovnika, ki je sestavni del dodatnega navodila.

Pri poslu na tem področju lahko notranji revizor uporablja različne mednarodno uveljavljene okvire:

• COBIT 2019⁶ vsebuje 40 ciljev, ki so razdeljeni na 1202 aktivnosti;
• NIST 800-53,7 298 kontrol in 709 podkontrol;
• CIS Controls verison 8,8 ki vsebuje 18 kontrol.

V nadaljevanju dodatnega navodila so prikazane posamezne skupine kontrol omrežnega ekosistema.

V delu, ki obravnava upravljanje in tveganja, je posebna pozornost namenjena kombinaciji vgrajenih notranjih kontrol in človeškega dejavnika. Razvito kontrolno okolje namreč pomeni tudi redno spremljanje uspešnosti ERM-ja (angl. enterprise risk management – upravljanje tveganj v organizaciji). Pri obvladovanju tveganj je treba zagotavljati tako vidik skladnosti kot tudi poslovni vidik (kdo ima dostop, do katerih informacij). T. i. arhitekt organizacije (angl. enterprise architect) mora okolje načrtovati, upoštevaje vse zahteve in omejitve. Notranji revizor v tem delu lahko preveri finančne vire (ali obstajajo, so ustrezno razporejeni) in različna poročila (npr. kakšni so trendi, kazalniki). Preveri lahko obstoj osnovne konfiguracije in načrt implementiranja novih tehnologij (angl. roadmap).

Organizacija mora imeti pregled nad vso opremo (angl. software in hardware) in občasno preverjati stanje (npr. ob letnem popisu). Osebje, ki bdi nad omrežjem, mora imeti ustrezna znanja in veščine, določena raven znanja o uporabi omrežja pa mora biti na voljo vsem uporabnikom (angl. end users).

Pomemben je tudi finančni vidik; analiziranje stroškov omrežja lahko npr. razkrije pomembne in/ali tvegane dobavitelje, upoštevati je treba nadgradnje, stroške vzdrževanja, reševanje incidentov.

Celoten članek je dostopen za naročnike!