SIR*IUS - številka 5, letnik 2021

Dr. Marjan Odar

Uvodnik

Prepričan sem bil, natančneje, upal sem, da se to jesen ne bomo več toliko ukvarjali z epidemijo in njenimi posledicami. Kako sem se motil! Te dni imamo po več kot letu in pol prvo konferenco, ki je ne bomo izvedli le virtualno. Velika večina si želi neposrednih stikov, pogovorov, izmenjave mnenj in vsega, kar spada zraven. Res upam, da bomo vsaj še nekaj dogodkov, seveda z upoštevanjem vseh omejitev in priporočil, izpeljali na vsaj delno klasičen način.

Dr. Tina Beranič, Miroslav Beranič

Uporaba standardov pri revidiranju inženiringa zahtev programske opreme

Inženiring zahtev je ključni začetni korak pri razvoju programske opreme. Gre za skupek procesov, katerih namen je pretvorba ugotovljenih potreb deležnikov v primerno oblikovane specifikacije zahtev programske opreme. Te predstavljajo vhod in so izhodišče za nadaljnje korake v razvoju programske opreme. Neprimerno in nepopolno oblikovane zahteve lahko povzročijo številne ovire ter vplivajo na uspešnost projekta razvoja programske opreme. Zato je smiselno, da pri pripravah zahtev programske opreme sledimo obstoječim dobrim praksam, smernicam in standardom. Eden izmed slednjih je tudi standard ISO/IEC/IEEE 29148:2018. Aktualna verzija v domeno inženiringa zahtev programske opreme uvršča tri procese življenjskega cikla, opredeljene v sorodnih standardih. V prispevku so predstavljeni omenjeni standard in z njim močno prepletena standarda. Prikazan je njihov pomen pri izvedbi revizijskega posla preverjanja skladnosti inženiringa zahtev s standardom ISO/IEC/IEEE 29148:2018. V teoretičnem delu prispevka najprej predstavimo pojma programska oprema in programsko inženirstvo ter življenjski cikel programske opreme. Sledi obravnava domene in procesov inženiringa zahtev, pri čemer s praktičnimi primeri preverjanja skladnosti opravil v aktivnostih procesa prikažemo eno izmed možnih poti revidiranja inženiringa zahtev programske opreme.

Dr. Boštjan Kežmah

Pregled kibernetske varnosti

Pojem kibernetske varnosti ni soglasno določen, zato pregled tega področja zahteva jasno določitev ciljev, omejitev in predvsem sodil pregleda. Pri sodilih je razen splošnih okvirov upravljanja in vodenja informacijskih sistemov, kot sta COBIT 2019 in ITIL, ali standardov, kot je SIST EN ISO/IEC 27001:2017, smiselno uporabiti tudi podrobnejše izvedbene tehnične smernice in dobre prakse, kot so na primer okvir NIST in CIS-ove kontrole. Le z dovolj podrobnimi sodili je mogoče utemeljeno, brez proste presoje, izvesti pregled ter strokovno utemeljiti ugotovitve in priporočila. Ne glede na uporabljene smernice je pregled kibernetske varnosti povezan s podrobnimi tehničnimi kontrolami, pri pregledu katerih mora smiselno sodelovati ustrezno usposobljen strokovnjak.

Iztok Jeras

Revidiranje podatkovnih baz

Opredeliti skušamo nekaj vidikov revidiranja podatkovnih baz, vendar pa pričujoči članek ni neposredno namenjen pripravi revizijskega plana, ampak poudarja nekaj posebnosti področja. Pri revidiranju podatkovnih baz je treba upoštevati pomembnost upravljanja podatkov in tehnično zahtevnost sistema za upravljanje podatkovnih baz. To pomeni tako ustrezno ovrednotenje (klasifikacijo) podatkov oz. informacij kot tudi tehnično podkovanost revizorja informacijskih sistemov (v nadaljnjem besedilu: IS) za preverjanje upravljanja podatkovne baze (tehnične značilnosti, orodja …). Revizor IS mora pridobiti zagotovila, da strategija informacijske tehnologije (v nadaljnjem besedilu: IT) in arhitektura podatkovne baze ustrezata strategiji podjetja in delovanju poslovnih funkcij. Precejšnjo pozornost je treba posvetiti varnosti in ustreznosti varnostnih politik podatkovne baze, vključno z uporabniškimi pooblastili in revizijskimi sledmi. Z operativnimi postopki in nastavitvami skušamo preveriti in izboljšati razpoložljivost in odzivnost podatkovne baze, uporabo različnih orodij za dostop in učinkovitost nadzora. Upravljanje sprememb podatkovne baze je podvrženo temeljitemu testiranju, s katerim zagotavljamo ustrezno celovitost, zaupnost in razpoložljivost informacij. Postopki neprekinjenosti zagotavljajo delovanje oz. obnovitev podatkovne baze ob katastrofi in/ali izpadu posameznih komponent. V članku so opredeljeni tudi vidiki revidiranja podatkovne baze v oblaku. Različne oblike implementacije oblačnih storitev in podatkovne baze zahtevajo tudi različne revizorske pristope, predvsem z vidika razmejitev odgovornosti ponudnika oblačnih storitev na eni in uporabnika/naročnika na drugi strani.

Jaka Kosmač

Revizija kibernetske varnosti v javnem sektorju – pomembni premiki v Evropi in Sloveniji

Kibernetska varnost in zavedanje o njenem pomenu se v zadnjih letih vedno bolj krepi v družbi in javnem sektorju, saj smo zaradi vedno večje povezljivosti omrežij in sistemov na tem področju tudi ranljivejši. Kibernetski napadi na kritično infrastrukturo so vse pogostejši, s seboj prinašajo velike stroške ter vse bolj neposredno vplivajo na zdravje in varnost ljudi, kar je lahko ena izmed stranskih posledic kibernetskih napadov na zdravstvo. Evropsko računsko sodišče se zaveda, da sta kibernetska varnost in digitalna avtonomija za Evropsko unijo in njene države članice strateško pomembna tema. Z zviševanjem stopnje ogroženosti je treba krepiti prizadevanja za zaščito kritičnih informacijskih sistemov in digitalne infrastrukture pred kibernetskimi napadi. Vrhovne revizijske institucije kot nadzorne institucije imajo na tem področju svoj dolg in mesto, saj lahko z izvajanjem revizij pri kibernetski varnosti pravočasno in pomembno pripomorejo k izboljšavam in napredku na tem področju. Evropsko računsko sodišče je konec leta 2020 izdalo Kompendij revizijskih poročil o kibernetski varnosti v Evropski uniji in njenih državah članicah, v katerem je med drugim povzelo ugotovitve 12 revizijskih poročil vrhovnih revizijskih institucij, objavljenih med letoma 2014 in 2020. Tudi Računsko sodišče Republike Slovenije je dovolj zgodaj prepoznalo pomen kibernetske varnosti za Republiko Slovenijo, tako da je v začetku marca 2021 izdalo revizijsko poročilo Učinkovitost zagotavljanja kibernetske varnosti v Republiki Sloveniji. V prispevku so predstavljene pomembnejše revizije, ki so jih izvajale evropske vrhovne revizijske institucije na širšem področju kibernetske varnosti, ter revizija učinkovitosti zagotavljanja kibernetske varnosti v Republiki Sloveniji.

Aleksandra Vugrin

Vizualizacija podatkov kot pomoč pri interpretaciji revizijskih poročil

Glavna naloga vizualizacije podatkov v revizijskih poročilih je razlaga revidirancu oz. bralcu. Prispevek v dveh delih obravnava kreiranje in oblikovanje vizualizacije podatkov. V prvem delu je predstavljena metoda oblikovalskega mišljenja, s katero rešujemo probleme prikaza, tako da bralca postavimo v središče. Določimo glavno sporočilo vizualizacije, pridobimo širši nabor zamisli in jih s prototipom testiramo še pred končnim oblikovanjem. V drugem delu prispevka na praktičnem primeru grafa pokažemo, kako lahko katero koli vizualizacijo naredimo jasnejšo in z odstranitvijo nepotrebnega balasta pridobimo izčiščeno osnovno. V prispevku obravnavamo še, kaj so predpozorni atributi – vizualne lastnosti, ki jih ljudje uporabljamo za zaznavo sprememb v vzorcu. Njihovo uporabo za usmerjanje bralčeve pozornosti ponovno prikažemo na primeru istega grafa. V zadnjem delu prispevka smo temu primeru dodali še komentar, ki bralcu informacijo postavi v kontekst, s katerim vizualizacija postane zgodba.

Dr. Renato Vrenčur

Zavarovanja plačil z globalnimi odstopi terjatev v zavarovanje v poslovni in sodni praksi – 2. del

Poslovna praksa zahteva uporabo različnih instrumentov zavarovanja obveznosti. S tem se okrepi upnikov položaj ob neplačevitosti dolžnika, še zlasti v stečaju ali izvršbi. Izbira ustreznega zavarovanja je zelo pomembna. V prispevku so poudarjene nekatere sodobne oblike zavarovanja (fiduciarna zavarovanja, še posebej fiduciarni odstop terjatev v zavarovanje). Nekateri instrumenti zavarovanja so izrazito akcesorne narave (na primer zastavna pravica na terjatvah), medtem ko drugi predstavljajo tipične neakcesorne modele zavarovanja (na primer fiduciarna zavarovanja). Poznavanje omenjene pravne narave obravnavanih instrumentov je več kot nujno za ustrezno izbiro in uporabo posameznih modelov v praksi.

Iz prakse za prakso

Pisne predstavitve

IZ PRAKSE ZA PRAKSO (PR-REV 4-5/21) Revizijski svet je na svoji seji obravnaval problematiko pisnih predstavitev, kadar revizor prilagodi revizorjevo poročilo o računovodskih izkazih.

Iz prakse za prakso

Obravnava davka na dodano vrednost v ocenah vrednosti nepremičnin

IZ PRAKSE ZA PRAKSO (PR-OC-6-5/21) Problematiko upoštevanja davka na dodano vrednost v ocenah vrednosti nepremičnin je obravnaval Odbor sekcije pooblaščenih ocenjevalcev vrednosti in sprejel naslednjo strokovno razlago.

Iz prakse za prakso

Vloga revizijske komisije v postopku imenovanja vodje notranje revizije

IZ PRAKSE ZA PRAKSO (PR-NR 5-5/21) Revizijska komisija je dolžna spremljati notranjo revizijo in s tem tudi imenovanje vodje notranje revizije. Nadzornemu svetu predlaga soglasje k imenovanju. Vlogo revizijske komisije v postopku imenovanja vodje notranje revizije je obravnaval Odbor sekcije preizkušenih notranjih revizorjev in v tej zvezi zavzel naslednjo strokovno razlago.

Iz prakse za prakso

Računovodenje prodajnih pogodb z obvezo ali možnostjo kasnejšega ponovnega odkupa prodanih sredstev

IZ PRAKSE ZA PRAKSO (PR-RAC 6-5/21) Odbor sekcije preizkušenih računovodij in računovodij je na svoji seji obravnaval problematiko računovodenja prodajnih pogodb z obvezo ali možnostjo kasnejšega ponovnega odkupa prodanih sredstev in o tem pripravil strokovno razlago.

Iz prakse za prakso

Davčna obravnava variabilnega nadomestila pri prevzemu podjetja

IZ PRAKSE ZA PRAKSO (PR-DAV 4-5/21) Problematiko o davčni obravnavi variabilnega nadomestila, ki izhaja iz nakupa odvisne družbe, je obravnaval Odbor sekcije preizkušenih davčnikov in sprejel strokovno razlago.

Novosti in obvestila

Kandidati, ki so uspešno zaključili izobraževanje pri Inštitutu