Primeri povpraševanja

Kako pripraviti poziv k oddaji ponudbe za izvedbo posla revidiranja oziroma dajanja zagotovil o informacijskem sistemu?

Na Slovenski inštitut za revizijo se pogosto obračajo stranke, ki bi želele zaprositi za ponudbo za »revizijo informacijskega sistema«, vendar niso povsem prepričane, kako tak poziv pripraviti. V nadaljevanju smo pripravili nekaj odgovorov na pogosto zastavljena vprašanja o pripravi takega poziva in dilemah, ki lahko pri tem nastanejo. Ali imate vprašanje, na katerega v vodiču nismo odgovorili? Veseli bomo vaših predlogov na elektronsko pošto info@si-revizija.si.

Vzorčni primer povpraševanja za izvedbo revizije projekta uvedbe informacijske rešitve

Vzorčni primer povpraševanja za izvedbo popisa informacijskega okolja



 

Katere vrste »revizij informacijskih sistemov« poznamo?
Kateri standardi veljajo za posle dajanja zagotovil oziroma revidiranja IS?
Kaj je razlika med standardi ITAF™: Okvir strokovnega ravnanja za dajanje zagotovil/revidiranje IS, COBIT, ISO/IEC 27001:2013?
Katere licence naj zahtevam od ponudnikov poslov poslov dajanja zagotovil oziroma revidiranja IS?
Katere vsebine moram vključiti v povabilo k ponudbi za izvedbo posla dajanja zagotovil oziroma revidiranja IS?
Kaj so področje, predmet in cilj posla dajanja zagotovil oziroma revidiranja IS?
Kako naj ravnam, če nimam natančno popisanih informacijskih sistemov organizacije oziroma ne znam natančno zapisati, kaj naj posel dajanja zagotovil oziroma revidiranja IS vključuje?
Po čem bo PRIS presojal predmet in področje, ki ga revidira?
Kaj naj vključim v pogodbo o reviziji informacijskega sistema?
Kako naj določim okvirno ceno posla revidiranja oziroma dajanja zagotovil?

 


 

Katere vrste »revizij informacijskih sistemov« poznamo?

Pogovorno se izraz »revizija informacijskih sistemov« uporablja za najrazličnejše vrste nalog. Standard ITAF™: Okvir strokovnega ravnanja za dajanje zagotovil/revidiranje IS, 3. izdaja, ki ga morajo PRIS upoštevati pri svojem delu, pa dejansko loči le:

  • posle dajanja zagotovil oziroma revidiranja IS, katerih rezultat je strokovno mnenje ali sklep in
  • posle svetovanja in posvetovanja, katerih rezultat je lahko na primer ocena določenega področja ter oblikovanje priporočil; ti posli so lahko zelo informativni, vendar jih zaradi različnih razlogov, povezanih z načinom njihove izvedbe, ne štejemo med posle revidiranja in dajanja zagotovil.

Standard ITAF™: Okvir strokovnega ravnanja za dajanje zagotovil/revidiranje IS, 3. izdaja poleg tega loči še med revizijami, pregledi in dogovorjenimi postopki. Čeprav standard v tem delu dopušča več oblik dogovorov med naročnikom in PRIS se je uveljavila praksa, da se revizija in pregled, ki sta posla dajanja zagotovil oziroma revidiranja IS zaključita z izdajo mnenja, posli svetovanja in posvetovanja pa se organizirajo kot dogovorjeni postopki in se ne zaključijo z izdajo mnenja.

V praksi se je uveljavilo tudi, da se posli revidiranja zaključijo z mnenjem v tako-imenovani pozitivni obliki. Primer mnenja v pozitivni obliki predstavljamo  nadaljevanju.

 

Primer 1
Po našem mnenju je bil projekt prenove IS podjetja ABC  učinkovito voden in uspešno izveden.


Posli dajanja zagotovil – pregledi, se v praksi praviloma zaključijo z mnenjem v tako-imenovani negativni obliki. Primer mnenja v negativni obliki predstavljamo  nadaljevanju.

Primer 2
Pri pregledu uvedenih kontrolnih mehanizmov in postopkov varovanja IS, organizacije ABC nismo opazili ničesar, na podlagi česar bi lahko sklepali, da le ti na dan …(datum) niso bili v vseh pomembnih pogledih skladni z zahtevami standarda ISO/IEC 27001:2013.


V nadaljevanju tega vodiča po pogosto zastavljenih vprašanjih bomo govorili predvsem o poslih dajanja zagotovil in revidiranja IS, vendar je mogoče večino nasvetov smiselno uporabiti tudi pri pripravi zahtev za ponudbo poslov svetovanja.

na vrh

 

Kateri standardi veljajo za posle dajanja zagotovil oziroma revidiranja IS?

Izvedba posla dajanja zagotovil oziroma revidiranja IS naj bi potekala v skladu s standardom ITAF™: Okvir strokovnega ravnanja za dajanje zagotovil/revidiranje IS, 3. izdaja. Odgovori o konkretnih postopkih, ki jih navajamo v nadaljevanju, so usklajeni z zahtevami tega standarda.

na vrh

 

Kaj je razlika med standardi ITAF™: Okvir strokovnega ravnanja za dajanje zagotovil/revidiranje IS, COBIT, ISO/IEC 27001:2013?

ITAF™: Okvir strokovnega ravnanja za dajanje zagotovil/revidiranje IS opredeljuje postopke dela v poslih dajanja zagotovil oziroma revidiranja IS.

Metodologija  COBIT (izdaja ameriška stanovska organizacija revizorjev informacijskih sistemov ISACA) in je namenjen vzpostavitvi učinkovitega in primerno nadzorovanega upravljanja informacijskih tehnologij. Metodologija COBIT se v poslih dajanja zagotovil oziroma revidiranja IS dajanja zagotovil pogosto uporablja kot normativno merilo za presojo različnih vidikov upravljanja informacijskih tehnologij, saj za posamezne procese upravljanja opisuje predvidene izhodne informacije, indikatorje učinkovitosti,  oceno zrelosti in številne druge elemente.

Standard ISO / IEC 27001:2013 Sistemi za upravljanje varovanja informacij izdaja Mednarodna organizacija za standardizacijo in je namenjen organizacijam, ki želijo vzpostaviti in vzdrževati kakovosten in celovit sistem upravljanja informacijske varnosti. Tudi ta standard je mogoče na enostaven način uporabiti kot normativno merilo za presojo posameznih vidikov upravljanja informacijske varnosti.

Standard ISO 22301:2019 Sistem za upravljanje neprekinjenega poslovanja – zahteve izdaja Mednarodna organizacija za standardizacijo in je namenjen organizacijam, ki želijo vzpostaviti in vzdrževati kakovosten in celovit sistem upravljanja neprekinjenega poslovanja organizacije s poudarkom na poslovnem delu.

na vrh

 

Katere licence naj zahtevam od ponudnikov poslov poslov dajanja zagotovil oziroma revidiranja IS?

Revizorji informacijskih sistemov, ki so opravili izpit pri ameriški stanovski organizaciji revizorjev informacijskih sistemov ISACA, so nosilci naziva Certified Information Systems Auditor oziroma  CISA ali  Certified Information Security Auditor CIS-A, ki ga izdaja CIS Gmbh, Dunaj. Revizorji, ki so se dodatno šolali še pri Slovenskem inštitutu za revizijo, so poleg tega še nosilci naziva preizkušeni revizor informacijskih sistemov – PRIS. CISA  ali CIS-A sta  pogoja za pridobitev naziva PRIS.

PRIS mora pri opravljanju svojega dela poleg etičnih in strokovnih standardov, h katerim ga zavezuje naziv CISA ali CIS-A, upoštevati tudi vsebino vrste dokumentov, ki jih zahteva slovensko poslovno okolje. Zajema jih Hierarhija pravil revidiranja informacijskih sistemov (Uradni list RS. št. 40/2011 z dne 27. 5. 2011, št. 65/08 z dne 20. 3. 2015). Na ta način se čimer se zagotavlja postopkovna in vsebinska kakovost dela. Za nosilce nazivov CISA ali CIS-A vsi ti dokumenti niso obvezujoči.

PRIS mora pri svojem delu spoštovati Kodeks poklicne etike preizkušenega revizorja informacijskih sistemov, morebitne kršitve pa obravnava Strokovni svet v skladu s Pravilnikom o pogojih za uvrščanje na sezname aktivnih preizkušenih imetnikov strokovnega naziva iz člena 9/II-7 ZRev-2.

PRIS morajo poleg znanj s področja  informacijskih tehnologij, njihovega upravljanja in mednarodnih standardov njihovega revidiranja imeti tudi znanja iz slovenskega poslovnega in pravnega okolja in poznavanje bolj razširjenih standardov pri razvoju in vzdrževanju programske opreme v slovenskem prostoru, na primer ISO/IEC 27001.2013 in druge ISO 22301:2019. PRIS morajo biti poleg tega vešči pisanja in izražanja v slovenskem jeziku, predvsem uporabe razumljivega strokovnega jezika.

Naročnik bi moral poleg tega od PRIS pričakovati na primer:

  • razumevanje zasnove in organizacije slovenske telekomunikacijske infrastrukture,
  • znanja o lokalnih dobaviteljih informacijskih storitev,
  • poznavanje najbolj razširjenih lokalno uporabljanih rešitev, zlasti rešitev, ki so jih razvili slovenska podjetja,
  • poznavanje lokalnih predpisov ki urejajo revidiranje, elektornsko poslovanje, varstvo podatkov in tudi sama področja poslovanja, ki so predmet revizije in
  • znanja o slovenskih poslovnih praksah.

 

Seznam aktivnih PRIS, torej PRIS, ki izkazujejo neprestano izpopolnjevanje (šolanje in spremljanje novosti) je na voljo na spletnem naslovu.

V nadaljevanju tega vodiča po pogosto zastavljenih vprašanjih bomo za revizorje informacijskih sistemov uporabljali izraz PRIS.

na vrh

 

Katere vsebine moram vključiti v povabilo k ponudbi za izvedbo posla dajanja zagotovil oziroma revidiranja IS?

Pri pripravi ponudbe za izvedbo posla dajanja zagotovil oziroma revidiranja IS je nujno, da ima PRIS jasno predstavo o  pričakovanjih naročnika in o obsegu posla, ki ga bo moral opraviti. Naročnik mora zato čim bolj natančno in konkretno opisati svoja pričakovanja.

Opis pričakovanega posla dajanja zagotovil oziroma revidiranja IS, ki je preveč splošen, lahko vodi v napačno razumevanje pričakovanj in v nenadzorovano rast obsega posla in s tem porabe virov. Hkrati je možno, da bodo ponudbe za izvedbo revizijskega posla vsebovale omejitve, ki naročniku morda ne bodo ustrezale.

 

Primer 3:
Naročnik pozove k ponudbi za »Revizijo informacijskega sistema podjetja ABC«.

Iz opisa ni razviden predmet posla, torej  kaj naročnik šteje v »informacijski sistem podjetja ABC«. Informacijski sistem podjetja ABC so lahko morda le poslovne informacijske rešitve za podporo računovodstvu, delu s kadri, vodenje zalog in podobno. Morda je v izraz »informacijski sistem« v tem kontekstu vključena tudi tehnološka infrastruktura, na kateri te informacijske rešitve delujejo, na primer strojna oprema in orodja za upravljanje zbirk podatkov. Če da, do katere mere? Morda naročnik želi, da PRIS vključi računalniško vodene proizvodne naprave (SCADA) in naprave interneta stvari (IoT), ki jih uporablja organizacija. Morda je vključeno telekomunikacijsko omrežje oziroma vanj povezana strojna in programska oprema. Morda ima naročnik tudi rešitve v oblaku, …

Iz opisa poleg tega ni razvidno področje na katero naj se PRIS osredotoči. Naročnika morda skrbi varnost, morda ga zanima področje učinkovitosti notranjih kontrol, morda pa ga zanimata skladnost s predpisi in skladnost z mednarodnimi standardi.

 

Dobre prakse 1:
Primeri pozivov k ponudbi za izvedbo posla dajanja zagotovil oziroma revidiranja IS, iz katerih sta jasna predmet in področje posla in obdobje, na katero se posel nanaša:

»Revizija varnosti informacij v obračunski rešitvi BillingO mobilnega operaterja TeleFon v letih 2020 in 2021«

»Revizija postopkov in mehanizmov varovanja pred kibernetskimi napadi ponudnika platform za spletno igralništvo InfoGame v letu 2021«

»Pregled učinkovitosti kontrol v informacijski rešitvi Krediti za kreditno poslovanje banke BankaBan v letih 2020 in 2021«

»Revizija učinkovitosti delovanja orodja za upravljanje zbirk podatkov Oracle po nadgradnji na različico 19c«

»Revizija varnosti informacij informacijskega sistema SAP na Vesoljski upravi Republike Slovenje ob njegovem prenosu v infrastrukturo v oblaku«

»Revizija uspešnosti uvedbe informacijskega sistema SAP v podjetju Noži in rezila Kranj«

Primeri pozivov k ponudbi za izvedbo svetovalnega posla na področju informacijskih sistemov, iz katerih sta jasna predmet in področje posla in obdobje, na katero se posel nanaša:
»Popis in ocena tveganj na področju informacijskih sistemov v podjetju Orodje Liv v letu 2021«.

»Ocena pripravljenosti na napad z izsiljevalsko programsko kodo v Splošni bolnišnici Radlje ob Dravi«


Priporočamo, da povabilo k ponudbi za izvedbo posla dajanja zagotovil oziroma revidiranja IS vključuje najmanj opredelitev vrste posla, predmeta in področja posla in obdobja, na katero se posel nanaša. Poleg tega je smiselno, da povabilo vključuje zahteve za obseg posla, trditve, na podlagi katerih bo PRIS presojal obravnavano zadevo, oziroma merila/sodila, po katerih se bo obravnavana zadeva presojala in  licence, ki naj bi jih ponudnik imel in morebitna druga zahtevana strokovna znanja in izkušnje.

Naročnik in PRIS se lahko dogovorita za katerokoli vrsto, predmet, področje in obseg posla, nujno pa je, da je dogovorjeno v listini o poslu (pogodbi) nedvoumno zapisano in da PRIS dogovorjeno  izvede tako, da je opravljeno delo razvidno iz revizijskega poročila in mnenja.

Vse naštete izraze opisujemo v nadaljevanju.

na vrh

 

Kaj so področje, predmet in cilj posla dajanja zagotovil oziroma revidiranja IS?

Predmet posla dajanja zagotovil oziroma revidiranja IS so lahko med drugim:

  • informacijske rešitve,
  • tehnološka infrastruktura, na kateri informacijske rešitve delujejo (na primer fizična strojna oprema, operacijski sistemi, orodja za upravljanje zbirk podatkov, infrastruktura v oblaku, na kateri se informacijske rešitve izvajajo, orodja za virtualizacijo in podobno),
  • posamezne komponente informacijskih rešitev, na primer posamezni moduli, posamezne nadgradnje strojne ali aplikativne programske opreme in podobno,
  • projekti uvedbe ali nadgradnje informacijskih rešitev in tehnološke infrastrukture, na kateri delujejo ter
  • organizacijski procesi in postopki, ki jih informacijske rešitve podpirajo.

Področje posla dajanja zagotovil oziroma revidiranja IS so na primer lahko učinkovitost, varnost, uspešnost, skladnost ali kak drug vidik delovanja/izvedbe predmeta posla.

Cilj posla dajanja zagotovil oziroma revidiranja IS je končni rezultat posla, na primer mnenje o določeni uradni trditvi ali drugi zadevi, poročilo o njej, pridobitev pregleda nad določenim poslovnim procesom, pridobitev osnove za ocenitev organizacijskih tveganj ali karkoli drugega se dogovorita naročnik in PRIS.

na vrh

 

Kako naj ravnam, če nimam natančno popisanih informacijskih sistemov organizacije oziroma ne znam natančno zapisati, kaj naj posel dajanja zagotovil oziroma revidiranja IS vključuje?

Včasih  informacijske rešitve ali druge tehnološke komponente, ki bodo predmet posla, ob pripravi zahteve za ponudbo še niso znane, saj naročnik nima informacij o informacijskih rešitvah, ki podpirajo posamezne organizacijske procese (na primer kadar naroči posel dajanja zagotovil ob prevzemu ali združitvi z drugo organizacijo, kadar je naročnik posla funkcija notranje revizije, ki šele pripravlja prvi popis informacijskega okolja, so posamezne procesne ali tehnološke rešitve šele v fazi uvedbe, in podobno).

V takih primerih je seveda smiselno naprej pripraviti popis informacijskih rešitev, ki podpirajo posamezne organizacijske procese, tehnološke infrastrukture, na kateri delujejo (na primer fizična strojna oprema, operacijski sistemi, orodja za upravljanje zbirk podatkov in podobno), ključnih skupin uporabnikov, ki jih uporabljajo in kritičnosti podatkov, ki jih obdelujejo.  V primeru, da organizacija nima  notranjih virov, s katerimi bi tak popis pripravila, lahko to v obliki svetovalnega posla izvede PRIS.

V kolikor informacijske rešitve še niso vzpostavljene temveč zgolj načrtovane, ali so v fazi uvedbe, je prav tako mogoče, da PRIS izvede revizijski posel, pri čemer in se osredotoči na raven zasnove kontrol in tako poda oceno bodočega stanja v zvezi z opredeljenimi kontrolami področja.

Če predhodna natančna opredelitev predmeta posla res ni mogoča, naj poziv k ponudbi za izvedbo revizije informacijskega sistema opredeljuje vsaj organizacijske procese, ki jih te rešitve podpirajo oziroma bi jih morale podpirati.

Po drugi strani pa je smiselno oceniti tveganja in se na podlagi te ocene odločiti o ciljih, področju in namenu naročila dajanja zagotovil.

Dobre prakse 2:
Primeri pozivov k ponudbi za izvedbo revizije informacijskega sistema, iz katerih je opisno predstavljen predmet na katerega se posel nanaša:

»Revizija varnosti informacij v informacijskih rešitvah za delo s strankami mobilnega operaterja TeleFon v letih 2020 in 2021«

»Revizija učinkovitosti kontrol v informacijskih rešitvah, ki se uporabljajo na področju kreditnega poslovanja v banki BankaBan v letih 2020 in 2021«

na vrh

 

Po čem bo PRIS presojal predmet in področje, ki ga revidira?

Če je le mogoče, bi že poziv k pripravi ponudbe za revizijo informacijskega sistema lahko vključeval merila/sodila, po katerih naročnik želi, da se obravnavana zadeva presoja. V primeru, da se bodo le ta dogovorila naknadno, naj poziv to izrecno navede.

Listina o poslu že mora navajati trditve, na podlagi katerih bo PRIS presojal obravnavano zadevo, in/ali merila/sodila, po katerih se bo obravnavana zadeva presojala.

Trditve je potrebno navesti takrat, ko PRIS izraža mnenje o določeni uradni trditvi poslovodstva. V primeru takega posla potrditvenega poročanja bo mnenje PRIS ali da je obravnavana zadeva  skladna, delno skladna ali neskladna z uradno trditvijo poslovodstva. Merilo/sodilo je uradna trditev poslovodstva.

V poslih, kjer PRIS ne bo izrazil mnenja o uradni trditvi poslovodstva, lahko naročnik zahteva, da PRIS kot merila/sodila presoje:

  • uporabi splošno sprejete standarde, vodila in okvire dobrih praks (Primeri standardov, vodil in okvirov, na katerih bi lahko temeljili revizijski programi, so lahko Standard informacijske varnosti ISO/IEC 27001:2013, ki ga izdaja Mednarodna organizacija za standardizacijo, Globalna vodila za revizijo tehnologij (GTAG), ki jih izdaja Inštitut notranjih revizorjev, Kontrolni okvir za informacijske tehnologije COBIT, ki ga izdaja ISACA, in podobno.) ali pa
  • jih postavi sam v sodelovanju z naročnikom posla.

Pri uporabi splošno sprejetih standardov kot sodil je potrebno predhodno proučiti, ali je za presojo obravnavane zadeve dejansko relevanten celoten standard. Nekateri priljubljeni standardi in okviri dobrih praks so bili pisani za organizacije z več sto tisoč zaposlenimi in praviloma niso primerni za presojo v majhnih slovenskih organizacijah. V takih primerih je smiselno vnaprej določiti, katere dele standarda naj PRIS pri tem poslu uporabi za presojo, ali v zahtevo za ponudbo vključiti določilo, da se bosta naročnik in PRIS o konkretni uporabi standarda dogovorila pred začetkom posla.

Kadar PRIS uporablja svoja merila, po katerih se bo obravnavana zadeva presojala, jih mora razkriti ali v listini o poslu in podrobno opisati v načrtu revizijske naloge in v poročilu o poslu. Področje izbire meril/sodil  za izvedbo posla dajanja zagotovil in revidiranja IS smo obravnavali Siriusu 2/2015.

na vrh

 

Kaj naj vključim v pogodbo o reviziji informacijskega sistema?

Pogodbo o reviziji informacijskega sistema pogosto imenujemo kar Listina o poslu, vsebovala pa naj bi najmanj (Področje listin o poslu dajanja zagotovil in revidiranja IS smo obravnavali Siriusu 3/2015.):

  • podatke o pogodbenih strankah,
  • vrsta posla,
  • področje in predmet posla,
  • trditve in merila/sodila,
  • obseg posla,
  • cilj posla,
  • obdobje ali datum, na katero se posel nanaša,
  • opredelitev neodvisnosti PRIS, ki je opredeljena kot osvobojenost od okoliščin, ki ogrožajo objektivnost ali zaznano objektivnost PRIS-a, ki jo jo je treba v listini o poslu posebej izpostaviti in opisati,
  • opredelitev rezultatov posla – poročilo in kjer je to smiselno tudi mnenje oziroma sklep o obravnavani zadevi,
  • odgovornost poslovodstva in zadolžitve PRIS-a v zvezi s preprečevanjem in odkrivanjem nepravilnosti ter poročanjem o njih (opredeljene smiselno glede na naravo posla),
  • opredelitev prejemnikov osnutka poročila in končnega poročila,
  • temeljne podatke o poslu, na primer predvideni začetek in zaključek ter predvideni datum izdaje poročila ali osnutka poročila o poslu,
  • odgovornosti naročnika (na primer za posredovanje pravilnih informacij in podobno) in
  • standardne določbe glede na veljavno zakonodajo (V javnem sektorju morajo na primer vse pogodbe vsebovati tudi standardno protikorupcijsko klavzulo, ki jo določa Zakon o integriteti in preprečevanju korupcije; ZIntPK, Uradni list RS, št. Uradni list RS, št. 69/11 – uradno prečiščeno besedilo.).

 

Nekatere dodatne dobre prakse so lahko še:

  • obdobje izvedbe posla (zlasti obdobje terenskega dela),
  • vsebinske zahteve po obliki poročanja, na primer zahteva, da mora PRIS poleg razkritij v poročilo vključiti tudi z razkritjem povezana tveganja, priporočila za izboljšanje, odziv zaposlenih, ki so odgovorni za področje, ki ga razkritje zadeva ali druge zahteve glede na potrebe organizacije,
  • opredelitev komunikacijskih kanalov, na primer ključne kontaktne osebe znotraj revidirane organizacije / naročnika ter nivo obveščanja za kontaktno osebo (ali je vključena v vsako komunikacijo, tedensko obveščena o poteku posla in podobno),
  • opredelitev članov PRIS ekipe in njihovih funkcij znotraj ekipe, oziroma veščakov, ki jih PRIS vključi v ekipo za specifične aktivnosti,
  • način poročanja v primeru, da revizor že med samim izvajanjem revizije odkrije nezakonite ali zelo tvegane aktivnosti,
  • pristojnosti v primeru sporov,
  • ravnanje v primeru nastopa višje sile,
  • dogovor o varovanju zaupnosti informacij,
  • dogovor o hrambi revizijske dokumentacije.

na vrh

 

Kako naj določim okvirno ceno posla revidiranja oziroma dajanja zagotovil?

Cena posla revidiranja oziroma dajanja zagotovil je odvisna od več različnih dejavnikov. Nekatere med njimi naštevamo v nadaljevanju.

Ali ima organizacija popisano informacijsko okolje?
V organizacijah, ki nimajo popisanega informacijskega okolja, pogosto ne morejo natančno določiti predmeta oziroma področja, ki naj bi ga posel zajemal. PRIS poleg tega ne more natančno določiti ne tveganj, ki so povezana s predmetom oziroma področjem revidiranja, ne tveganj samega posla. Ker potrebuje dodatne človek / dni za popis informacijskega okolja, ti vpliva na ceno posla.

Kako kompleksno je poslovanje organizacije?
Posli revidiranja oziroma dajanja zagotovil v organizacijah, ki so pri poslovanju pomembno odvisne od informacijskih tehnologij (na primer banke, zavarovalnice, tehnološka podjetja in igralnice) praviloma zahtevajo več časa in s tem povzročajo višje stroške.

Ali mora PRIS izdati mnenje oziroma podati zagotovilo?
Dogovorjeni postopki, ki se ne zaključijo z izdajo zagotovila, so pogosto cenejši, saj so za PRIS manj tvegani in praviloma zahtevajo nekoliko manjši obseg dela.

Kako tehnično zahteven in specifičen je predmet posla?
PRIS praviloma razpolagajo z obširnim znanjem s področja informacijskih tehnologij, vendar pa pogosto naletijo tudi na tehnologije in z njimi povezana vprašanja, ki njihovo znanje presegajo. Takrat morajo prositi za pomoč veščake, kar praviloma povzroči dodatne stroške. Kadar je mogoče vključitev veščaka vnaprej predvideti, mora biti s tem seznanjen tudi naročnik.

Kako široko je opredeljen predmet posla?
Kadar je predmet posla opredeljen tako, da zajema več različnih tehnologij oziroma informacijskih sistemov, bo praviloma to zahtevalo več dela in s tem vplivalo na ceno.

Primer 4:
Naročnik pozove k ponudbi za »Pregled upravljanja uporabniških dostopov v informacijskem sistemu podjetja ABC«.

Iz zgornje opredelitve predmeta posla je sicer v veliki meri jasno, kaj naročnik želi, potrebno pa se je zavedati, da bi brez dodatnih omejitev predmeta posla to pomenilo,  da mora PRIS pregledati najmanj

  • formalno opredeljene in dejansko zapisane postopke za
  • dodeljevanje, odvzemanje in spreminjanje obsega
  • navadnih, storitvenih in administrativnih uporabniških dostopov na
  • vseh informacijskih rešitvah organizacije, zbirkah podatkov, na katerih te delujejo, operacijskih sistemih strežnikov, domenskem strežniku, informacijski rešitvi za virtualizacijo, rešitvi za elektronsko pošto, v vseh elementih komunikacijskega omrežja, na vseh napravah interneta stvari, na informacijskih sistemih, ki upravljajo operacije organizacije ter praviloma tudi ločeno v
  • razvojnih, testnih in produkcijskih okoljih.

Tako široko opredeljen predmet posla, lahko pomembno vpliva na ceno storitve.

na vrh

 

Vzorčni primer povpraševanja za izvedbo revizije projekta uvedbe informacijske rešitve

Vzorčni primer povpraševanja za izvedbo popisa informacijskega okolja


Slovenski inštitut za revizijo

Dunajska cesta 106
1000 Ljubljana

tel: +386 1 568 55 54
email: info@si-revizija.si