Konferenčni del:
torek, 28., in sreda, 29. september 2010

Delavnici:
četrtek, 30. september 2010

Programski in organizacijski odbor konference
- Boža Javornik, CISA, CISM, predsednica
- Peter Grasselli, CISA, CISSP, član
- Mag. Igor Karnet, CISA, CISM, CIA, CGEIT, član
- Mag. Boštjan Kežmah,CISA, član
- Stane Moškon, CISA, CISM član
- Dr. Borut Jereb, CISA, CISM, član
- Nataša Žabkar, CISA, član
- Dr. Aleš Živkovič, CISA, član

I. Informacije o konferenci

Udeležnina z DDV znaša 432,00 € vanjo so vračunani gradivo, skupna večerja in okrepčila med odmori. Za imetnike strokovnih nazivov, ki jih podeljuje Slovenski inštitut za revizijo, ki so do dneva prijave na konferenco vložili zahtevo za objavljanje svojih podatkov v reviji Revizor oziroma na naših spletnih straneh, in za osebe, ki imajo na dan prijave na konferenco veljavno dovoljenje za opravljanje nalog revizorja, pooblaščenega revizorja oziroma pooblaščenega ocenjevalca vrednosti, znaša udeležnina skupaj z gradivom 367,20 €. 20-odstotni davek na dodano vrednost je vračunan v obeh primerih.

Udeležnino nakažite na poslovni račun Slovenskega inštituta za revizijo, številka je 02085-0015504554, pri Novi Ljubljanski banki, d. d., do 20. septembra 2010. V polje za sklicevanje na številko vpišite 00 22-10.

Prosimo tudi, da nam prijave pošljete na naslov: Slovenski inštitut za revizijo, Dunajska cesta 106, 1000 Ljubljana, po telefaksu (01) 568-63-32 ali po elektronski pošti . Prijavnice najdete tudi na spletni strani: www.si-revizija.si.

Nastanitev je predvidena v hotelu Grand Hotel Primus na Ptuju; priporočamo rezervacijo do 7. 9. 2010, po telefonu 02-74 94 500 ali elektronski pošti . Ob rezervaciji navedite, da ste udeleženec konference Slovenskega inštituta za revizijo.

Udeležba
Pričakujemo, da se bodo konference udeležili člani slovenskega odseka ISACA in člani sekcije za revizijo informacijskih sistemov (odslej IS) pri Slovenskem inštitutu za revizijo. Glede na teme, ki bodo obravnavane na konferenci, priporočamo udeležbo pooblaščenim revizorjem, revizorjem in preizkušenim notranjim revizorjem. Vprašanja o varnem delovanju IS, zlasti vprašanja o dobrem načinu kontroliranja in obvladovanja razvoja informacijskih rešitev v praksi, ki bodo obravnavana na konferenci, pa so zanimiva za vse vodilne delavce organizacijskih enot za računalniško obravnavanje podatkov, katerih skrb je oblikovanje notranjih kontrol, ki zagotavljajo varno in neprekinjeno delovanje IS ter obvladovanje poslovnih in operativnih tveganj na področjih informatike v bančništvu, zavarovalništvu, državni upravi, trgovini in proizvodnji.
Nekatera predavanja na konferenci bodo v angleškem jeziku.

Po določbah pravilnikov o priznanju dodatnega izobraževanja se za konferenco prizna 16 ur.
Oznaka konference:
* za pooblaščene revizorje: B
* za pooblaščene ocenjevalce vrednosti: B

II. Informacije o delavnicah

Udeležnina za vsako delavnico znaša 342,00 €. V ceno je vračunan davek na dodano vrednost. Vanjo so všteti učno gradivo ter okrepčila med odmori. Za imetnike strokovnega naziva, ki so do dneva prijave na konferenco vložili zahtevo za objavljanje svojih podatkov v reviji Revizor oziroma na naših spletnih straneh, in za osebe, ki imajo na dan prijave na konferenco veljavno dovoljenje za opravljanje nalog revizorja, pooblaščenega revizorja oziroma pooblaščenega ocenjevalca vrednosti, znaša udeležnina skupaj z gradivom 290,70 €. 20-odstotni davek na dodano vrednost je vračunan).

Udeležnino nakažite na poslovni račun Slovenskega inštituta za revizijo, številka je 02085-0015504554, pri Novi Ljubljanski banki, d. d., do 20. septembra 2010. V polje za sklicevanje na številko za delavnico Uporaba orodij za podporo upravljanja procesov IT vpišite 00 23-10, za delavnico Revidiranje neprekinjenega poslovanja pa 00 24-10.

Delavnica I: Uporaba orodij za podporo upravljanja procesov IT
Izvajalci: mag. Aleš Košir in Tadej Vodopivec s sodelavci, HERMES SoftLab, d. o. o.

Udeleženci se bodo na delavnici praktično seznanili z uporabo TechExcelovega orodja za podporo življenjskemu ciklu razvoja uporabniških rešitev (aplikacij). Delo bo potekalo v skupinah. Orodje bodo uporabljali na način SaaS (software-as-a-service) s spletnim brskalnikom; to pomeni, da bo izvajalec delavnice predhodno poskrbel za namestitev in nastavitev vse potrebne programske opreme na svoji opremi ter dostopnost storitve prek interneta.

Udeleženci bodo spoznali, kako v orodju lahko uporabljajo varne elektronske podpise s kvalificiranim digitalnim potrdilom ter kaj s tem pridobijo. Za zaključek bomo podali še pogled revizorja na vzorčni primer procesa IT.
Po določbah pravilnikov o priznanju dodatnega izobraževanja se za delavnico prizna 7 ur.
Oznaka delavnice:
* za pooblaščene revizorje: B
* za pooblaščene ocenjevalce vrednosti: B

Delavnica II: Revidiranje neprekinjenega poslovanja
Izvajalca: mag. Samo Gaberšček in Peter Grasselli, CISA, CISSP

Letošnji izbruh islandskega vulkana je popolnoma nepričakovano Evropi, pa tudi marsikomu v Sloveniji, predstavil izzive za neprekinjeno poslovanje. Programi neprekinjenega poslovanja imajo v nekaterih organizacijah že dolgo zgodovino in so preizkušeni ob izrednih dogodkih, drugje pa so na začetku svojega razvoja.

Ker zahteva uvedba ukrepov s področja neprekinjenega poslovanja dodatne vire, kot so delo zaposlenih in materialna sredstva, je pomembno, da so izhodišča za oblikovanje programa neprekinjenega poslovanja usklajena z zahtevami regulatorjev, s poslovnimi potrebami in strategijo organizacije. Prav to pa so vprašanja, s katerimi se najpogosteje srečujemo pri revidiranju tega področja.

Udeleženci bodo s predstavitvijo, predvsem pa ob izvedbi praktičnih vaj na konkretnih primerih, dopolnili svoje znanje glede dobre prakse s področja neprekinjenega poslovanja ter načina njegovega pregledovanja.

Cilj delavnice je seznaniti udeležence s standardi in dobro prakso s področja neprekinjenega poslovanja ter z načinom revidiranja tega področja.

Podrobneje bodo obravnavani
- življenjski cikel programa upravljanja neprekinjenega poslovanja,
- načrtovanje pregleda programa upravljanja neprekinjenega poslovanja in
- izvedba pregleda upravljanja neprekinjenega poslovanja.

Po določbah pravilnikov o priznanju dodatnega izobraževanja se za delavnico prizna 7 ur.
Oznaka delavnice:
* za pooblaščene revizorje: B
* za pooblaščene ocenjevalce vrednosti: B

Podrobnosti iz vsebine prispevkov na konferenci in delavnici si lahko ogledate tudi na naših spletnih straneh: www.si-revizija.si ali www.si-revizija.si/isaca

Program konference

Iz vsebine konference

Zagotavljanje varnega delovanja IS postaja vse pomembnejša sestavina upravljanja poslovnih sistemov. Po mednarodnih standardih revidiranja je ocena zanesljivosti IS ena od pomembnih sestavin pri revidiranju računovodskih izkazov. Da je tako tudi v Sloveniji, lahko sklepamo iz izvedbenih predpisov nadzornikov na področju bančništva, zavarovalništva in drugih finančnih storitev, kjer je ocena IS pomembna obvezna sestavina letnega poročila, ki ga je treba predložiti regulatorjem. Slovenski inštitut za revizijo in slovenski odsek ISACA si prizadevata, da bi se začeli zavedati pomena obvladovanja tveganj v zvezi z delovanjem IS v vseh okoljih. Na dosedanjih konferencah so bile predstavljene nekatere strokovne podlage za kontrolo in revizijo IS ter nekatere izkušnje v svetu. Letos smo nosilne teme posvetili upravljanju tveganj s poudarkom na operativni in informacijski varnosti, več je prispevkov s področja revizijske prakse, nekaj prispevkov pa bo naravnanih k izzivom
Da se boste laže odločili za udeležbo na 18. konferenci, vam bomo v nadaljevanju predstavili predavanja na njej.

Vrednost IT 2.0: nova zora
(Val IT 2.0: A New Dawn)
Anil K. Jogani, CGEIT, CISA, MBA, FCA, Prince 2 practitioner

Ustvarjanje vrednosti uporabe IT za deležnike postaja izziv za vse direktorje. Posamezniki, ki so vključeni v proces odločanja za posamezno investicijo, morajo imeti na razpolago sodila, da bodo zaupali v predloge, ki jih bodo dali v odločanje upravam. Nova različica Val IT je prav tak pripomoček. Predavanje bo predstavilo, kako pripomoček uporabiti za pripravo podlag za odločitve, kako je treba pripraviti komunikacijo v zvezi s predlogom, da bodo najvišje vodstvo in drugi deležniki prepoznali ustrezno dodano vrednost predloga za spremembo v IS z uporabo nove tehnologije.

Postopek pregleda ter analize stroškov in investicij IS v podjetju
Mag. Boštjan Delak, CISA, CIS; ITAD, revizija in svetovanje, d. o. o.,
Cerklje na Gorenjskem

IS je v sodobnih podjetjih vpet v vse procese, ki se izvajajo. Za preverjanje kakovosti obstoječih procesov IS in z njimi povezanih kontrol obstajajo določene metodologije, orodja, okviri in prijemi. Zunanji pregledi stroškov in investicij za področje IS in s tem povezanimi analizami so redki, če ne celo zanemarjeni.

Prispevek v prvem delu predstavlja teoretičen prijem – možne osnove za izvajanje analize tega področja v okviru metodologije COBIT, Val IT, Risk IT in drugih.

V drugem delu prispevka so navedena nekatera razmerja med stroški in investicijami za področje IS ter celotno vrednostjo stroškov in investicij v podjetjih, tako v svetu kot tudi v Sloveniji.

V tretjem delu prispevka je predstavljen možen način analiziranja in pregledovanja stroškov in investicij IS v podjetju z različnih vidikov (sredstev – strojne opreme, sistemske programske opreme, programske opreme, zaposlenih; projektov, storitev, stroškov, investicij, obvladovanja tveganj IS, zunanjega izvajanja ...). Tak način je vključen v Univerzalnem celovitem pristopu izvedbe skrbnega pregleda IS. Predstavljene so tudi izkušnje analiz stroškov in investicij s tem načinom.

Dobre prakse pri pripravi strategije IT na tujih univerzah in vloga strategije pri reviziji IS
Dr. Aleš Živkovič, CISA, UM FERI Maribor

Strategija IT je eden najpomembnejših dokumentov menedžmenta za področje informacijsko-komunikacijskih tehnologij (IKT) podjetja. Kljub temu je v praksi pogosto obravnavana kot nujno zlo in kot taka nemalokrat sploh ne obstaja. V prispevku bomo predstavili dobre prakse pri oblikovanju strategije IT, ki temeljijo na analizi več strategij tujih univerz in izkušenj pri revidiranju IS. Povzeli bomo ključne vsebinske dele, ki bi jih strategija morala imeti, in predlagali izhodišča za oblikovanje le-teh.

Ker je strategija IT eden izmed izhodiščnih dokumentov pri reviziji IS, bomo predstavili tudi naloge preizkušenih revizorjev IS, ki izhajajo iz zahteve po dokumentiranosti strategije IT.

Vloga etike v upravljanju IT
Rok Šketa, MBA, CGEIT

Upravljanje in revizija IT se osredotočata na procesne in tehnične kontrole, manj pozornosti pa posvečata kulturi podjetja in zmožnosti etičnega odločanja zaposlenih. Nejasni etični temelji lahko kljub vsem kontrolam privedejo do propada podjetja zaradi popolnega odstopanja poslovanja od vizije podjetja. Na drugi strani pa zdravi etični temelji, katerih se zaposleni lahko oprimejo pri svojih odločitvah, pripeljejo do velikega uspeha in uresničevanja vizije podjetja.

Prispevek opozarja na pomembnost vrednostnih in etičnih sistemov strokovnjakov IT ter predlaga večji poudarek kontrolam, ki so povezane z njimi, pri upravljanju in reviziji IT. Predvsem je treba preseči mnenje, da je skladnost z zakonodajo in optimizacija poslovnih procesov zadostno zagotovilo, da bo IT delovala skladno z vizijo in strategijo podjetja, saj lahko odločanje na podlagi neustreznih, nezrelih ali nejasnih etičnih meril privede ne glede na vse procesne kontrole do neželenih posledic tako za podjetje in posameznike kot tudi za družbo v celoti.

Revidiranje virtualnega sveta: novo obdobje računalništva v oblaku, socialnega omreženja in povezanega sveta
(Auditing Virtual World: the new era of Cloud computing, social networking and an interconnected Globe)
Rolf von Roessing, CISA, CISM, CGEIT

Predavanje bo predstavilo spremembe, ki jih mora revizor vgraditi v razmišljanje pri načrtovanju revizije v virtualnem okolju, računalništva v oblaku in vključevanja socialnih omrežij pri prodaji storitev. Izvedba ocene tveganj se v tako kompleksnem okolju najprej sooči s problemom, kaj je znotraj sistema, ki se revidira, in kaj zunaj. Predavatelj bo predstavil praktični način, kako ravnati v posameznih primerih, kje se revizijski prijemi in tehnike menjajo ter kje ostajajo nespremenjeni.

Podobnosti in razlike v metodologijah za ocenjevanje operativnih tveganj in metodologijah za neprekinjeno poslovanje
Renato Burazer, CISA; CISM; CGEIT; CISSP; AREM, d. o. o.

Naredili bomo primerjavo načinov in metodologij, ki jih uporabljajo:

Udeleženci bodo pridobili vpogled v razlike in vzporednice med navedenimi metodologijami. Prikazani bodo primeri oziroma izseki posamičnih načinov, najboljše prakse in priporočila s tega področja. Prispevek bo udeležencem omogočil, da bodo lahko posamične aktivnosti na področju ocenjevanja operativnih tveganj ustrezno razumeli, ovrednotili in povezali v smiselno celoto

Tveganja in priložnosti, ki jih prinašajo socialna omrežja
Maja Hmelak, CISA, CIA, Deloitte; mag. Pavel Golob, CISA, Eurojust

Socialna omrežja so v zadnjih dveh letih postala del naših življenj. S sodobnimi prenosnimi napravami so dostopna vedno in povsod. Uporabnikom omogočajo nove načine sodelovanja, izmenjavanja informacij in komuniciranja. Med njimi so izredno priljubljena. Tudi organizacije so začele prepoznavati in izkoriščati možnosti, ki jih dajejo socialna omrežja za komunikacijo in promocijo ter so pogosto presenečene, kako primeren način dostopa do strank, zaposlenih in drugih deležnikov omogočajo socialna omrežja.

Tako kot vse nove tehnologije pa prinašajo tudi socialna omrežja tako priložnosti kot tveganja. Na ravni posameznikov pomenita veliko tveganje zlasti kraja in zloraba identitete. Odprta ostajajo tudi vprašanja, kako upravljavci socialnih omrežij varujejo osebne podatke, ter vprašanja s tem povezanih pravic posameznikov. Za organizacije je pomembno tveganje, da zaposleni v socialnih omrežjih razkrivajo zaupne podatke o njej ter s tem škodujejo njenemu ugledu. Povečano je tudi tveganje socialnega inženiringa, ki je ob obilici razpoložljivih podatkov o zaposlenih organizacije lažji kot kdajkoli. Organizacije se poleg tega soočajo z različnimi vprašanji. Ali zaposlenim dovoliti dostop do socialnih omrežij in, če ga dovoliti, kakšnega? Od kod omogočiti takšen dostop? Ali socialna omrežja na delovnem mestu vplivajo na produktivnost zaposlenih?

V prispevku bova predstavila v letu 2010 najbolj priljubljena socialna omrežja ter priložnosti in tveganja, ki jih posamezno socialno omrežje prinaša. Povzela bova tudi nekatere dileme glede varovanja osebnih podatkov na eni ter zagotavljanja prilagojenih informacijskih storitev na drugi strani. Nazadnje bova predstavila nekatere konkretne preizkuse in preglede, ki jih lahko opravi revizor IS za identifikacijo tveganj posameznih socialnih omrežij.

Virtualizacija IT – povečanje učinkovitosti in zmanjševanje stroškov
Dejan Klančar, dipl. inž. rač., NOVAKBM, d. d.

Virtualizacija – beseda oziroma bolje rečeno tehnologija, ki je v zadnjih nekaj letih postala vodilna tema pogovorov med strokovnjaki informacijske tehnologije (odslej IT), gradnik IS, v katerega se vlaga ogromno finančnih sredstev, ter velikokrat obljubljena rešitev za vse težave, ki pa v nekaterih primerih v resnici to ni.

V prispevku bomo poskušali na obravnavano temo pogledati s praktičnega vidika ter objektivno predstaviti prednosti in slabosti, ki jih virtualizacijska tehnologija prinaša tako na področju upravljanja in povečevanja zanesljivosti IS kot tudi na področju varčevanja finančnih in energetskih sredstev.

Pogledali si bomo smernice uporabe in razvoja tehnologije (računalništvo v oblaku, namizna /desktop/ virtualizacija in tako naprej) ter kaj lahko pričakujemo v bodočnosti.

Preprečevanje odtekanja podatkov
Mag. Borut Žnidar, CISM, CISSP, Astec, d. o. o.

Zaščita pred izgubo podatkov (Data Loss Protection, DLP) so postopki in pripadajoči sistemi, ki preprečujejo uhajanje občutljivih podatkov iz podjetja. Sistemi DLP identificirajo, pregledujejo in ščitijo podatke pri uporabi (na primer na delovnih postajah), pri prenosu (na omrežju) in v mirovanju (podatkovne shrambe), pri čemer uporabljajo metode natančnega pregleda vsebine, preverjanje konteksta preiskovane informacije in centralno upravljanje sistema. Na poslovni strani je treba vpeljati postopek zaščite pred izgubo podatkov, ki prek analize, politike, izobraževanja in vpeljave omogoča dosego poslovnega cilja sistema DLP – zaščito pred uhajanjem in izgubo pomembnih poslovnih podatkov. Pogledali bomo poslovne in regulativne razloge za uporabo sistemov DLP, načine njihove vpeljave in možnosti rešitev, ki jih dobimo na trgu.

Kako do varnih aplikacij prek razvoja rešitev za varovanje IS (Software Development Life Cycle, SDLC)
Mag. Boštjan Kežmah, CISA, preizkušeni revizor informacijskih sistemov

Z izboljšavami procesov razvoja IS se pomen kratice SDLC dopolnjuje, saj je sprva predstavljala le proces razvoja IS oz. programske opreme (Systems Development Life Cycle ali Software Development Life Cycle), v zadnjih letih pa se vse pogosteje povezuje tudi z razvojem rešitev za varovanje IS. (Security Development Life Cycle ali tudi Security Development Lifecycle, SDL). Pričakovali bi, da je težko zasnovati proces razvoja rešitev za varovanje IS, ki se bo enostavno zlil s katerimkoli procesom razvoja programske opreme. Kljub temu obstaja več procesov, ki obljubljajo prav to. Skozi očala inženirstva varnosti programske opreme bomo primerjali dva procesna načina: Microsoft Security Development Lifecycle (SDL) in Comprehesive, Lightweight Application Security Process (CLASP) združenja OWASP ter identificirali povezavo s standardi in priporočili revizije IS združenja ISACA ter kontrolnim okvirom COBIT.

Učinkovito upravljanje revizijskih sledi
Dr. Andrej Rakar in dr. Mina Žele, CISA, Astec, d. o. o.

V primeru varnostnega incidenta, kot je na primer zloraba pravic ali nepooblaščen dostop do sistemov in informacij, je pomembno, da je organizacija zmožna preveriti dostope do podatkov in sistemov oziroma ugotoviti, kdo je izvedel aktivnosti, ki so pripeljale do varnostnega incidenta, ter kdaj jih je izvedel in na kakšen način. S tem namenom mora organizacija zagotavljati nadzor nad varnostnimi dogodki oziroma beležiti in upravljati revizijske sledi. V prispevku bo prikazan postopek sistematične vzpostavitve beleženja revizijskih sledi, ki omogoča ustrezno sledljivost ter je usklajeno z varnostnimi zahtevami organizacije, zakonodajo in pogodbenimi obveznostmi. Zaradi kompleksnosti današnjih IS pa je za učinkovito upravljanje revizijskih sledi nujno potrebna celovita rešitev, ki omogoča centralno upravljanje, nadziranje in poročanje o varnostnem stanju IS. Orodja SIEM (Security Information and Event Management) so trenutno najučinkovitejša rešitev za zbiranje in integracijo varnostnih dogodkov iz mrežnih naprav in sistemov. Omogočajo, da ima organizacija v vsakem trenutku na enem mestu pregled nad aktivnostmi uporabnikov in je v primeru varnostnih kršitev tudi ustrezno obveščena.

Revidiranje, goljufije in zlorabe z uporabo računalnika
Marko Kavčič, CISA, KPMG poslovno svetovanje, d. o. o.
Matjaž Pušnik, CISA, KPMG poslovno svetovanje, d. o. o.

Zaradi izgube podatkov je bilo od leta 2005 do danes prizadetih več kot 700 milijonov ljudi. Skrb zbujata rast izgube podatkov in način sprejemanja izgub podatkov v družbah v našem okolju. Neprimerno urejena okolja v družbah omogočajo priložnosti za zlorabe in goljufije. Kako naj vodstvo družb ali revizorji odkrijejo takšne priložnosti ter primerno uredijo okolje in tako zmanjšajo takšna tveganja?

Prikazana bodo področja, na katerih je bila rast izgube podatkov največja. Katera so tista področja, na katerih je bilo največ incidentov, kakšni so vzroki za izgubo podatkov, kateri mediji so najbolj ranljivi ... Predstavljeni bodo področja, kjer lahko revizor zazna možnosti za zlorabe oziroma sledi že izvedenih zlorab, in napotki za primerno ureditev okolja.

Vloga revizorja IS pri zagotavljanju varnosti in kakovosti e-bančnih storitev
Mag. Lucija Zupan, Nova Ljubljanska banka, d. d.
Mag. Aleš Košir in Tadej Vodopivec, oba HERMES SoftLab, d. o. o.

Pri načrtovanju, razvoju in izvedbi rešitev za elektronsko bančništvo so se tako banke kot proizvajalci rešitev že na samem začetku zavedali pomena varnosti, saj so tveganja zelo očitna. Manj očitna pa je pot, ki nas pripelje do bolj varne in kakovostne e-bančne storitve ob optimalnem vložku. Revizor IS lahko s preverjanjem ključnih točk pomaga banki iskati pravo pot in jo opozarja, kadar skrene z nje.

V prispevku bomo predstavili te ključne točke. Upoštevali bomo različne poslovne modele zagotavljanja rešitev – notranji razvoj, razvoj po naročilu, uporabo izdelkov vrste COTS in uporabo programske opreme kot storitve (SaaS). V obravnavo bomo vključili tudi vidik podpore in vzdrževanja. Navedli bomo tudi dokumente, ki jih revizor lahko uporabi za določitev sodil pri revidiranju e-bančnih storitev in rešitev. Revizor s tem znanjem ima pomembno vlogo pri zagotavljanju varnosti in kakovosti e-bančnih storitev.

Uporaba zrelostnega modela COBIT pri revizijskem poročanju
Franci Tajnik, CISA, CISM VLS Computers, d. o. o.

Modeliranje zrelosti za upravljanje in kontrolo procesov IT temelji na metodi vrednotenja organizacije, tako da jo je mogoče razvrščati na lestvici zrelosti od neobstoječe (0) do optimizirano (5). Ta način izhaja iz zrelostnega modela, ki ga je Software Engineering Institute (SEI) opredelil za zrelost zmogljivosti za razvoj programske opreme (Capability Maturity Model, CMM). V prispevku bodo dani odgovori na vprašanja, ki so se pojavila, ko sem pripravljal oceno po zrelostnem modelu v sklopu revizijskega poročila banke. Kako razvrstiti posamezen kontrolni cilj na lestvico, da ocena ne bi bila subjektivna? Kako zagotoviti, da bodo ocene različnih revizorjev in za različna revizijska poročila primerljive? Kako je potrebno pripraviti revizijsko poročilo, da bo ocena po zrelostnem modelu povezana z oceno kontrol po kontrolnih ciljih COBIT?

Karierni razvoj revizorjev IS v Sloveniji
Mag. Igor Karnet, CISA, CISM, CGEIT, CIA

Prispevek obravnava področje kariernega razvoja revizorjev IS. Predstavljena so najpomembnejša področja, ki vplivajo na karierni razvoj, pa tudi trenutno stanje na področju kariernega razvoja revizorjev IS, ki je bilo ugotovljeno z anketno raziskavo. Vsebovani so napotki, kako lahko revizorji IS pripomorejo k uspešnejšemu razvoju svoje kariere, pa tudi, kako jim pri tem lahko pomagajo revizijske službe, torej njihovi delodajalci.

Primer praktičnega načina revidiranja zunanjega izvajanja storitev IT
Alen Mitrovič, CISA, Banka Slovenije

Zunanje izvajanje storitev IT je vedno aktualna in vroča poslovna tema, tako v krogih vodilnih v IT kot v vodstvih podjetij samih. Zunanje izvajanje storitev je v prvi vrsti poslovna odločitev in je za podjetje lahko rešitev, ki prinaša velike prednosti, izboljšuje operativno odličnost poslovanja in vnaša transparentnost poslovanja informatike v podjetje. Obenem zunanje izvajanje storitev vpeljuje v poslovanje družbe dodatna tveganja, katerih neuspešno obvladovanje in realizacija lahko pripeljeta do občutnih finančnih posledic in negativnega vpliva na operativno delovanje in ugled družbe. Tveganja, ki jih prinaša zunanje izvajanje storitev ali pa celotnega poslovnega procesa, ki ga podpira IT, morajo vodstva družb znati prepoznavati in ustrezno upravljati. Velikokrat je lahko v pomoč tako notranja kot zunanja revizija poslovanja, ki bo na tveganja, povezana z zunanjim izvajanjem storitev IT, lahko nepristransko in neodvisno opozorila.

Prispevek povzema primer praktičnega načina notranjega revidiranja zunanjega izvajanja storitev IT, in sicer na temelju prepoznavanja procesa zunanjega izvajanja storitev IT ter iz njega izhajajočih pomembnih tveganj.

Največje pasti pogodb z zunanjimi izvajalci – primer dobre prakse
Marko Anžič, preizkušeni revizor informacijskih sistemov, Deloitte, d. o. o.
Martin Podobnik, univ. dipl. prav., Deloitte, d. o. o.
Nakup informacijskih tehnologij in storitev pomeni v številnih organizacijah čedalje večji strošek, zunanji izvajalci informacijskih storitev pa postajajo čedalje pomembnejši dobavitelji. Ker so informacijske tehnologije in storitve različnih vrst in ker so nekatere storitve novost za organizacije, ki jih kupujejo, so pogodbe za nakup informacijskih tehnologij in storitev pogosto pomanjkljive. Nedorečena pogodbena določila, asimetrija informacij in veliki stroški, ki so povezani z menjavo zunanjega dobavitelja, lahko postavljajo kupce informacijskih tehnologij in storitev v slab položaj. Tveganja, ki izhajajo iz takšnega razmerja, je najlaže obvladati tako, da že pred sklenitvijo pogodb podrobno preučimo vsa pogodbena določila in njihove implikacije.

V prispevku bova navedla in analizirala nekaj konkretnih primerov pogodbenih določil, ki so del pogodb z zunanjimi izvajalci informacijskih storitev v Sloveniji, ter njihove konkretne posledice, pomanjkljivosti in prednosti. Pri tem bova osredotočena tako na pravne kot tudi na poslovne vidike pogodbenih razmerij. Ponudila bova tudi nasvete za zmanjševanje stroškov.

Pregled in primerjava orodij za podporo obvladovanju tveganj
Mag. Aleš Košir, HERMES SoftLab, d. o. o.
Mag. Andrej Orel, Marand Inženiring, d. o. o.

Področje obvladovanja tveganj se v zadnjih petih letih razvija izjemno intenzivno. Na podlagi dobre prakse nastajajo splošni in posebni mednarodni standardi s tega področja. Hkrati se razvijajo tudi domača in tuja informacijska orodja, ki podpirajo procese obvladovanja tveganj.
Ker je teh orodij dovolj veliko in so med njimi bistvene razlike, bomo ta orodja identificirali, proučili in navedli njihove poglavitne lastnosti ter jih taksonomsko uredili v smiselno pregleden sistem, ki bo olajšal odločanje o njihovi izbiri.

Priprave na sprejetje novih standardov poročanja storitvenih organizacij – ISAE 3402 in SSAE 16
Damir Savanović, preizkušeni revizor informacijskih sistemov

SAS 70 je z nekaterimi pomembnimi spremembami od njegove prve objave aprila 1992 zadostil potrebam storitvenih organizacij, uporabniških podjetij in uporabniških revizorjev pri poročanju o učinkovitosti delovanja notranjih kontrol v procesu računovodskega poročanja. Vendar pa je vse večji pomen učinkovitosti notranjih kontrol in procesa poročanja skupaj z globalizacijo in regulativnimi zahtevami spodbudil objavo dveh novih standardov, ki bosta nadomestila do sedaj veljavni SAS 70. Storitvene organizacije se sedaj sprašujejo, kako bosta nova standarda vplivala na njihovo poslovanje in kaj morajo storiti, da se bodo ustrezno pripravili na prehod na nova standarda.

Izzivi pri revidiranju investicij / stroškov IT
Mag. Aleksandra Plahuta, magistra znanosti; državna revizorka, Računsko sodišče Republike Slovenije
Renato Burazer, CISA, CISSP, CISM, CGEIT; direktor AREM, d. o. o.

Na osnovi analize strukture investicij in stroškov skupine proračunskih uporabnikov v Sloveniji bomo pokazali ključna področja, na katerih slovenski proračunski uporabniki investirajo največ. Skladno s tem so to tudi področja, na katerih so možni največji prihranki ali vpliv na učinkovitost izrabe virov v IS. Rezultat analiz nam bo podal osnovo za razmislek in načrtovanje fokusa vseh revizij in sorodnih storitev, saj je mogoče zaradi nadaljevanja gospodarske krize pričakovati močne pritiske na učinkovitost izrabe virov tudi v bodoče. V prispevku bomo prikazali ključna področja investicij proračunskih uporabnikov v preteklosti pa tudi v prihodnosti. Predstavili bomo primere in izzive pri načrtovanju in izvedbi revizijskih nalog, ki bi pozitivno vplivale na učinkovitost izrabe virov.

Prijavnica za konferenco
Prijavnica za delavnico I
Prijavnica za delavnico II