TFL Vsebine / TFLGlasnik

1. UVOD 

V članku so na kratko predstavljene novosti podlag za delo notranjih revizorjev v Sloveniji od decembra 2024 do septembra 2025, ki se nanašajo na drugo in tretjo raven Hierarhije pravil notranjega revidiranja¹. V letu 2024 so bili sprejeti Globalni standardi notranjega revidiranja (Global Internal Audit Standards), ki veljajo od leta 2025. The Institute of Internal Auditors (IIA) je od decembra 2024 do priprave tega članka izdal nekaj dokumentov, v članku pa so na kratko predstavljeni še dokumenti združenja The European Confederation of Institutes of Internal Auditing (ECIIA).

Članek odraža mnenja avtorice z dolgoletnimi izkušnjami na področju notranjega revidiranja.

2. HIERARHIJA PRAVIL NOTRANJEGA REVIDIRANJA

Od začetka leta 2025 notranji revizorji uporabljamo Globalne standarde notranjega revidiranja IIA-ja, ki so uvrščeni v Hierarhijo pravil notranjega revidiranja (v nadaljevanju Hierarhija). Ker poleg omenjenih standardov v obvezni del Hierarhije spadajo še dodatni dokumenti, so bile potrebne spremembe Hierarhije. Strokovni svet Slovenskega inštituta za revizijo je 28. januarja 2025 sprejel prvo spremembo Hierarhije (objava v Uradnem listu RS, št. 7/2025) in 2. julija 2025 še drugo spremembo (objava v Uradnem listu RS, št. 51/2025), s katero so na prvi ravni dodane tematske zahteve, ki jih sprejema IIA. V 2025 sta bili izdani dve tematski zahtevi, ki začneta veljati leto po objavi. Tematska zahteva za kibernetsko varnost je bila izdana 5. februarja 2025, povzetek vsebine pa je objavljen v ločenem članku. Tematska zahteva za tretje stranke je bila objavljena 15. septembra 2025.

3. GLOBALNE SMERNICE

V drugo raven Hierarhije pravil notranjega revidiranja med drugim spadajo Globalne smernice (angl. Global Guidance), ki jih je izdal IIA in so dostopne na spletni strani IIA. V obdobju, ki ga zajema ta članek, je bilo izdanih več globalnih smernic, za večino je to druga ali celo tretja izdaja. Pri novih dokumentih gre predvsem za uskladitev z Globalnimi standardi notranjega revidiranja. V nadaljevanju našteti dokumenti so bili vsebinsko predstavljeni na konferenci notranjih revizorjev (nekateri tudi v vsakokratni reviji SIR*IUS) v organizaciji Slovenskega inštituta za revizijo v letu, ko so bili izdani, zato jih na tem mestu ne predstavljamo ponovno:

• Revidiranje kapitalske ustreznosti in stres testi za banke, 3. izdaja (Auditing Capital Adequacy and Stress Testing for Banks), je dokument za finančni sektor, ki je prvič izšel leta 2018, v drugi verziji leta 2022.
• Revidiranje kibernetskih incidentov (odziv in okrevanje), 2. izdaja (Auditing Cyber Incident Response and Recover), je dokument, ki je v prvi verziji še kot Globalna smernica za revizijo tehnologij izšel junija 2022.
• Revidiranje kibernetske varnosti (preventiva in odkrivanje), 2. izdaja (Auditing Cybersecurity Operations: Prevention and Detection), je dokument, ki je v prvi verziji še kot Globalna smernica za revizijo tehnologij izšel junija 2022.
• Revidiranje modelnega upravljanja tveganj, 2. izdaja (Auditing Model Risk Management), je dokument, ki je v prvi verziji še kot Dodatno navodilo izšel marca 2018.
• Revidiranje upravljanja identitete in dostopa, 2. izdaja (Auditing Identify and Access Management), je dokument, ki je v prvi verziji še kot Dodatno navodilo izšel junija 2021.
• Revidiranje upravljanja informacijskih tehnologij in njihovega vodenja, 3. izdaja (Auditing IT Governance), je dokument, ki je kot Dodatno navodilo izšel januarja 2018.
• Priprava načrta dela notranje revizije, ki je zasnovan na tveganjih, 2. izdaja (Developing a risk-based Internal Audit Plan), je dokument, ki je v prvi verziji kot Dodatno navodilo izšel maja 2020.

V nadaljevanju so na kratko predstavljeni naslednji dokumenti:

• Revidiranje računalniške infrastrukture in dejavnosti informacijske tehnologije (angl. Auditing Computing Infrastructure and IT Operations) je globalna smernica, ki je izšla julija 2025.
• Kompetenčni okvir notranjega revidiranja (angl. Internal Auditing Competency Framework) je globalna smernica, izšla junija 2025.
• Usklajevanje in zanašanje na druge: sodelovanje z drugimi ponudniki storitev dajanja zagotovil (angl. Coordination and Reliance: Working with Other Assurance Provider) je globalna smernica, ki je izšla maja 2025.

3.1. Revidiranje računalniške infrastrukture in dejavnosti informacijske tehnologije

Revidiranje računalniške infrastrukture in dejavnosti informacijske tehnologije (angl. Auditing Computing Infrastructure and IT Operations)² je globalna smernica, ki je izšla julija 2025.

Računalniška infrastruktura vključuje strojno in programsko opremo ter omrežne naprave. Dejavnosti informacijske tehnologije pa so usmerjene v zagotavljanje zanesljivega in učinkovitega delovanja te infrastrukture. Notranja revizija lahko preverja vzpostavitev in delovanje notranjih kontrol za obvladovanje varnostnih tveganj, pri čemer si običajno pomaga z uveljavljenimi okviri za IT revizije:

• COBIT 2019 Framework: Governance and Management Objectives from ISACA;³
• NIST Special Publication (SP) 800-53, Revision 5: Security and Privacy Controls for Information Systems and Organizations from the National Institute of Standards and Technology (also referred to as NIST 800-53r5);⁴
• NIST Framework for Improving Critical Infrastructure Cybersecurity Version 2.0 (also referred to as the NIST Cybersecurity Framework Version 2.0 or NIST CSF); ⁵
• CIS Controls Version 8.1 from the Center for Internet Security.⁶

Računalniška infrastruktura vključuje strojno opremo (strežniki, podatkovni centri, končne naprave: računalniki, telefoni), programsko opremo (operacijski sistemi, aplikacije), omrežne naprave (usmerjevalnike, požarne zidove) in shranjevanje podatkov (baze podatkov, podatkovna skladišča).

IT operacije pa obsegajo: upravljanje storitev (zanesljivo delovanje), upravljanje sprememb, upravljanje ranljivosti in popravkov, kibernetsko varnost in odzivanje na incidente, upravljanje dostopov in način obnove po katastrofi.

Notranjo revizijo na področju, ki ga opisuje dokument, je treba začeti z oceno tveganj ter določitvijo ciljev in obsega, v nadaljevanju pa pri izvajanju lahko uporabimo enega od uveljavljenih okvirov.

Dokument priporoča uporabo umetne inteligence za analizo podatkov, zaznavanje anomalij in avtomatizacijo odzivov.

V zaključnem delu dokumenta so za posamezne teme (npr. upravljanje dostopov, upravljanje sprememb, kibernetska varnost in odzivanje na incidente) navedene reference pogosto uporabljenih okvirov (npr. NIST, COBIT, CIS).

3.2. Kompetenčni okvir notranjega revidiranja

Kompetenčni okvir notranjega revidiranja⁷ (angl. Internal Auditing Competency Framework) je globalna smernica, ki je izšla junija 2025 in nadomešča dokument, izdan leta 2022.

Je orodje, ki omogoča:

• pregled kompetenc, kot jih določajo Globalni standardi notranjega revidiranja IIA;
• okvir kompetenc, ki opredeljuje pomembne skupine znanj in veščin ter pričakovanja glede ravni usposobljenosti;
• poglavje za pomoč pri uporabi predloga okvira kompetenc za prepoznavanje in ocenjevanje ustreznih kompetenc, spodbujanje stalnega strokovnega razvoja ter zagotavljanje skladnosti z zahtevami Globalnih standardov notranjega revidiranja.

V dokumentu je pojasnjeno, da se pričakovanja glede kompetenc razlikujejo glede na vloge, ki jih imajo posamezniki, vključeni v delo notranje revizije: od vodje notranje revizije, notranjih revizorjev do poslovodstva in organa nadzora. Pričakovanja glede kompetenc so vključena v štiri področja Globalnih standardov notranjega revidiranja IIA-ja (od etike in strokovnosti, upravljanja in vodenja funkcije notranje revizije do izvajanja storitev notranjega revidiranja).

Kompetenčni okvir zajema štiri področja:

• kompetence, povezane z notranjo revizijo;
• strokovne kompetence;
• kompetence, povezanez upravljanje in obvladovanjem tveganj;
• kompetence, povezane s področji, na katerih se lahko izvaja notranja revizija.

Okvir pri vsaki kompetenci navaja podkategorije, to so področja znanj in veščin, potrebna za delo v notranji reviziji. Dodane so tudi ravni usposobljenosti in značilnosti za ocenjevanje kompetenc, ki opisujejo, kako se gradijo pričakovanja glede usposobljenosti (manj zahtevno za začetnika, najvišja stopnja zahtevnosti za izkušenega notranjega revizorja).

Dokumentu je priložena predloga v Excelu z vsemi pojasnjenimi osnovami za ocenjevanje kompetenc: pregled posamezne kompetence in opis pričakovanj za štiri vrste notranjih revizorjev, od začetnika do strokovnjaka. V posameznih zavihkih so tabele, v katerih se lahko ocenjuje posameznika in notranjo revizijo kot celoto. Pričakovanja glede posameznih vsebin in ravni znanja so zelo natančno opisana; pričakovana raven je odvisna od različnih dejavnikov - najmanj od števila notranjih revizorjev ter zrelosti in kompleksnosti organizacije. Predstavlja ogrodje, na katerem lahko notranji revizor gradi svoje znanje.

3.3. Usklajevanje in zanašanje na druge: sodelovanje z drugimi ponudniki storitev dajanja zagotovil

Usklajevanje in zanašanje na druge: sodelovanje z drugimi ponudniki storitev dajanja zagotovil (angl. Coordination and Reliance: Working with Other Assurance Provider) je globalna smernica, ki je izšla maja 2025.⁸

Dokument nadomešča nekaj že izdanih dokumentov Usklajevanje in zanašanje na druge: priprava mape zagotovil, Usklajevanje upravljanja tveganj in dajanja zagotovil, Zanašanje na druge dajalce zagotovil.

Tudi ta dokument ima dve prilogi: dokument, ki nam je v pomoč pri oceni drugih dajalcev zagotovil, in primer mape zagotovil (tudi s praznim zavihkom, ki ga lahko takoj uporabimo). Prvi dokument vsebuje opis kriterijev, ki jih za ocenjevanje drugih dajalcev zagotovil predvidevajo Globalni standardi notranjega revidiranja IIA-ja: vloge, odgovornosti, organizacijsko neodvisnost, usposobljenost in nepristranskost izvajalcev ter potrebno strokovno skrbnost pri delu. Kriteriji se ocenjujejo s štiristopenjsko lestvico: ni zanašanja, nizka, srednja, visoka stopnja zanašanja. Pri vsaki kombinaciji je dodan natančen opis oziroma pričakovanje.

Globalna smernica najprej opiše standard, povezan z usklajevanjem in zanašanjem na druge, potem pa vlogo vodje notranje revizije pri tem. Druge dajalce zagotovil (notranje in zunanje) je treba najprej prepoznati. Dokument navaja najpogostejše notranje funkcije: skladnost, upravljanje podatkov, okolje, varstvo in zdravje, informacijska varnost, pravna in finančna funkcija. Med zunanje spadajo zunanja revizija, pravni svetovalci, svetovalne družbe, dajalci zagotovil glede informacijske varnosti.

Dajalce zagotovil je treba oceniti in ugotoviti, do katere ravni se lahko (če sploh) nanje zanašamo, jih redno spremljati ter po potrebi prilagajati raven zagotovila.

Končni izdelek naj bi zmanjševal podvajanje dela, pokazal vrzeli v pokritju ključnih tveganj in povečeval skupno dodano vrednost različnih dajalcev zagotovil.

Celoten članek je dostopen za naročnike!