29. MEDNARODNA KONFERENCA O REVIDIRANJU IN KONTROLI INFORMACIJSKIH SISTEMOV
22.9.2021 -23.9.2021

Revizorji informacijskih sistemov in preizkušeni revizorji informacijskih sistemov se pri svojem delu dajanja zagotovil srečujemo z različnimi izzivi. Ker smo nekaj let zapored na naših konferencah posvečali pozornost kibernetski varnosti, se na letošnji vračamo h koreninam. Več kot dvajset predavateljev iz tujine in Slovenije bo predstavilo proces revidiranja informacijskih sistemov, kako sodelujemo z različnimi deležniki in strokovnjaki, na kaj moramo biti pozorni pri dajanju zagotovil ter novosti pri našem delu.

Pripravili smo vrsto zanimivih in aktualnih tem, zato verjamemo, da bo vsak od udeležencev izvedel tiste novosti, ki jih bo lahko koristno uporabil pri svojem delu.

Konferenca je namenjena preizkušenim revizorjem informacijskih sistemov, revizorjem informacijskih sistemov, notranjim revizorjem in pooblaščenim revizorjem, strokovnjakom s področja upravljanja tveganj, varovanja informacij, informacijsko-komunikacijske tehnologije in vodjem IKT, pa tudi uporabnikom IKT-storitev.

Program konference bo objavljen avgusta.

Péter Konrád
IT Internal Audit: Planning for 2022 – Key domains and risks to focus on now

Opis

The year 2020 has been a year of significant challenge and transformation that has presented IT and Internal Audit (IA) with complex operational and risk management challenges that have disrupted the status quo. While our ways of working have changed, organizations are still advancing complex transformational activities that present new challenges to the IT Internal Auditor to stay relevant and provide value to the organization. A challenge IA functions have always had and even more so going deep into 2021, with a limited budget and resources, is how to best prioritize where your Internal Auditors spend their time. KPMG surveyed IT Internal Audit leaders across the globe to help identify areas believed to be highest impact and share ideas on how the IT Internal Audit function can add value and be relevant in the new reality.

Presentation will highlight key risk areas and potential IT Internal Audit activities based on our survey around the following domains:
• Accelerated plans to adopt emerging technology and automation
• Cybersecurity
• Business change
• Core IT operations/critical infrastructure

CV

Péter Konrád is a Senior Manager at KPMG in Hungary's IT Risk Advisory Services department responsible for the IT audit service line. He is also part of KPMG's Central and Eastern European team. In this role Peter serves as coordinator of the regional IT audit quality initiatives.

He works as leading advisor and project leader in IT internal and external audits, legal compliance and SOX reviews. He has considerable knowledge regarding SAP security as well as related process audits. He is experienced in computer aided data analysis and he utilizes this competence during migration validation and migration quality management projects.

Péter was the IT project manager for KPMG's digital audit center for two years. As part of this project he gained experience in the design and implementation of process and audit automation tools.

He has graduated in Business Information Management at the University of Glamorgan and Master of Business Administration at the Corvinus University of Budapest. He is also a Certified Information Security Manager (CISM), a Certified Information Systems Auditor (CISA) and Certified in Risk and Information Systems Control (CRISC). He is also Certified Information Security Management System Lead Auditor based on MSZ ISO/IEC 27001:2014.

Main fields
• Identity and access management
• IT Internal audits
• Segregation of Duties audits
• SAP process/control audit and advisory
• General IT audits
• IT SOX audit
• Data migration reviews

Rolf von Roessing
ITAF 4

CV

Prof.Rolf von Roessing has a business and economics background with a strong IT element. In addition to various international degrees he holds multiple certifications and is considered a senior expert in the global context. He has more than 25 years of experience in line and consulting positions. His areas of expertise include governance, risk management and compliance (GRC) as well as security and business continuity / crisis management. Rolf has been Chairman of Forfa Holding AG since 2008, and assumed a partner / CEO position at the newly founded Forfa Consulting AG in 2017. Prior positions include several years as a partner with KPMG, and previous experience as director with Ernst & Young. Rolf is member of ISACA from 1997 and currently ISACA Chair. He is also honorary Professor, at the Donau-Universität Krems.

Aleš Lisac
Kako uspešno prodajati storitve – nova realnost na področju »prodaje nevidnega«?

CV

Slovenski marketinški strokovnjak Aleš Lisac vam bo pokazal nove zakonitosti pri prodaji storitev. Storitve so »nevidne«, stranka dokler storitev ni opravljena ne more vedeti, ali bo s storitvijo zadovoljna ali ne. Storitev je torej nevidna, dokler ni opravljena. Zato ima prodaja storitev svoje zakonitosti. V času hitrih tektonskih sprememb, pa se moramo vsi, ki prodajamo storitve še dodatno prilagoditi. Nova realnost je priložnost, ker smo vsi vrženi iz ravnotežja. Takrat, ko nismo v ravnotežju smo pripravljeni na spremembe. Sedaj so na spremembe pripravljene stranke, pripravljeni pa moramo biti tudi vsi, ki storitve prodajamo. Aleš vam bo pokazal kako lahko povečamo ugled svoje blagovne znamke, kako se lahko bolje približamo strankam, povedal nam bo kako pogosto in na kakšen način komunicirati s strankami. Po predavanju boste imeli jasen načrt, jasno pot do več in bolj dobičkonosnih strank.

Aleš Lisac je podjetnik od leta 1989, predaval je v 13 državah več kot 160.000 slušateljem. Vodil je podjetja v 5 državah. Aleševa predavanja so vedno poučna in tudi zabavna.

English CV

Slovenian marketing expert Aleš Lisac will present you new laws in the sale of services. The services are "invisible", the customer cannot know whether he will be satisfied with the service or not until the service is performed. The service is therefore invisible until it is performed. Consequently, the sale of services has its own laws. In a time of rapid tectonic changes, however, all of us who sell services need to adapt further. The new reality is an opportunity because we are all thrown out of balance. When we are not in balance we are ready for change. Now customers are ready for change, and so must be we all who sell services. Aleš will show you how we can increase the reputation of our brand, and how we can approach customers in a better way. He will tell us how often and in what way to communicate with customers. After the lecture, you will have a clear roadmap, a clear path to more, and more profitable customers.

Aleš Lisac has been in business since 1989, lecturing in 13 countries to more than 160,000 listeners. He has run companies in five countries. His lectures are always instructive and they are fun, too. Welcome!

Maja Hmelak
Nova gradiva za izboljšanje prodajnega procesa storitev revidiranja informacijskih sistemov in dajanja zagotovil

Opis

Naročniki storitev revizorjev informacijskih sistemov se pri naročanju naših storitev pogosto znajdejo pred različnimi dilemami. Ker ne poznajo našega specifičnega izrazja in storitev, v svojih zahtevah za ponudbo ne naročijo vedno storitev, ki bi jih res želeli oziroma jih dejansko potrebujejo. Včasih naročajo generične storitve velikega obsega, za katere nimajo dovolj sredstev. Včasih naročijo storitve, ki jih ne potrebujejo, zanemarijo pa ključna tveganja v svojem organizacijskem okolju.

Nova gradiva za izboljšanje prodajnega procesa storitev revidiranja informacijskih sistemov in dajanja zagotovil, katerih prvo različico smo objavili na spletnih straneh Slovenskega inštituta za revizijo, vsebujejo neobvezujoče usmeritve, ki naj bi bile bodočim naročnikom v pomoč pri oblikovanju zahtev za ponudbe. Namen predstavitve je predvsem javna razprava med strokovnjaki področja revidiranja informacijskih sistemov in dajanja zagotovil ter zbiranje predlogov o dodatnih vsebinah, ki bi jih lahko vključili v tovrstno neobvezujoče gradivo. Poleg tega bomo na kratko pregledali še prispevke Iz prakse za prakso s področja urejanja odnosov z naročnikom, ki jih je v zadnjih letih pripravil Odbor sekcije preizkušenih revizorjev informacijskih sistemov in opredeljujejo primere dobre prakse pri pripravi listine o poslu, opredelitvi obsega posla revidiranja informacijskih sistemov in dajanja zagotovil, poročanje in drugo.

CV

Mag. Maja Hmelak (PRIS, CISA, CIA) je strokovna sodelavka na Računskem sodišču Republike Slovenije in predsednica Sekcije preizkušenih notranjih revizorjev pri Slovenskem inštitutu za revizijo. Njeno posebno strokovno področje so revizije učinkovitosti, uspešnosti in gospodarnosti delovanja informacijskih tehnologij in revizije informacijskih tehnologij pri notranjerevizijskih poslih.

Manuela Šribar
Sodelovanje preizkušenega revizorja informacijskih sistemov s pooblaščenim revizorjem

Opis

Vsaka revizijska storitev je odvisna od informacijskega sistema revidiranca, nič drugače ne velja za revizijo računovodskih izkazov. Podatki, ključni za izvajanje revizije računovodskih izkazov, prihajajo iz informacijskega sistema revidiranca. Revizor računovodskih izkazov mora opraviti postopke, na podlagi katerih se lahko odloča, koliko lahko takim podatkom zaupa. Revizor računovodskih izkazov običajno nima znanja in izkušenj na področju revidiranja informacijskih sistemov. Z namenom seznanitve tudi s tem področjem najame veščaka s tega področja. Pomembno je, da oba vesta, kakšna so pričakovanja takega sodelovanja. V predstavitvi bodo prikazane predvsem potrebe revizorjev računovodskih izkazov z namenom čim boljše učinkovitosti sodelovanja izključno pri izvajanju storitev revizij računovodskih izkazov.

CV

Manuela Šribar, od leta 2000 zaposlena v družbi BDO Revizija, d. o. o., je pooblaščena revizorka in preizkušena revizorka informacijskih sistemov, licencirana pri Slovenskem inštitutu za revizijo. Pridobila je tudi licenco CISA pri ISACA in je državna notranja revizorka. Je tudi članica Odbora sekcije revizorjev informacijskih sistemov pri Slovenskem inštitutu za revizijo. Vodila in izvajala je številne samostojne revizije informacijskih sistemov, revizije informacijskih sistemov kot del notranjerevizijske funkcije in preglede splošnih ter aplikativnih kontrol za namene revizij računovodskih izkazov domačih in mednarodnih podjetij s področja storitev, trgovine, proizvodnje, elektrogospodarstva, različnih organizacij javnega sektorja in finančnega sektorja. Kot pooblaščena revizorka ima znanje tudi s področja revizij računovodskih izkazov in sorodnih storitev. Pri BDO je vključena v skupino, ki svetuje in pomaga organizacijam zagotoviti skladnost z novo Uredbo o varstvu osebnih podatkov. Je soavtorica slovenskega dela knjige Interpretacija poslovnih poročil in računovodskih izkazov ter avtorica več člankov s področja računovodskih standardov, analize podjetij, gospodarskih prevar in priprave letnih poročil.

Marinka Kamnik
Sodelovanje preizkušenega revizorja informacijskih sistemov z notranjim revizorjem

Opis

Spregovorila bo o potrebi in smiselnosti sodelovanja notranjega revizorja in revizorja informacijskih sistemov. Pri svojem delu se od začetka vodenja službe za notranje revidiranje redno poslužuje zunanjih storitev revizorjev informacijskih sistemov, tako da bo predstavila izkušnje z omenjenim sodelovanjem stroke, in sicer, kdaj se odločimo za sodelovanje, kako ga načrtujemo, kako izberemo ustreznega izvajalca. Ker gre za zunanjega izvajalca, se bo dotaknila vidikov razdelitve vlog in odgovornosti, nadzora nad izvajanjem poslov ter razumevanja revidirancev/zaposlenih v organizaciji, uprave, revizijske komisije in nadzornega sveta. Predstavila bo tudi prepoznane priložnosti tako za notranje revizorje kot tudi za revizorje informacijskih sistemov.

CV

Marinka Kamnik je univerzitetna diplomirana ekonomistka z večletnimi izkušnjami na področju zunanje revizije v mednarodnem podjetju PricewaterhouseCoopers, d. o. o., kjer je bila večinoma vključena v revizije finančnega sektorja. Delovala je tudi kot članica strokovnih ekip pri forenzičnih preiskavah in skrbnih pregledih poslovanja organizacij. V Vzajemni, zdravstveni zavarovalnici, d. v. z., se je zaposlila kot notranja revizorka, od leta 2014 pa je direktorica službe za notranje revidiranje. Je imetnica aktivnih licenc za opravljanje nalog pooblaščenega revizorja in preizkušenega notranjega revizorja, ki ju je izdal Slovenski inštitut za revizijo.

Boštjan Špehonja – Sodelovanje veščakov z revizorji informacijskih sistemov

Opis

Informacijska varnost je področje, na katerem je treba naslavljati tehnologijo, procese in ljudi. Vsako področje je poglavje zase, zato se strokovnjaki različnih vej informacijske varnosti pogosto združujejo, da bi celovito in kar se da učinkovito naslovili informacijsko in kibernetsko varnost. Odličen primer takega sodelovanja so veščaki s poglobljenim znanjem na področju, drugačnem od računovodstva ali revidiranja. Na predavanju bo predstavljeno, kako lahko strokovnjak za kibernetsko varnost s področja varnostnih pregledov in penetracijskih testov učinkovito pomaga revizorju.

CV

Boštjan Špehonja je direktor in lastnik podjetja GO-LIX, d. o. o., ter višji svetovalec informacijske varnosti s kar nekaj mednarodno priznanimi certifikati na področju etičnega hekanja (Certified Ethical Hacker – Master, Certified Network Defense Arcihtect, Security+, CEH Practical, CompTIA Advanced Security Practitioner ce, CompTIA CySA+). Ima širok nabor izkušenj, saj mu je pregled svojega IKT-okolja zaupalo že več kot 150 organizacij, kot so podjetja s kritično infrastrukturo, banke, zavarovalnice, ministrstva in številna druga. Tesno sodeluje s podjetji Pro.Astec in Unistar LC. Izvaja tudi izobraževanja in delavnice o varni uporabi interneta in etičnega hekanja. Predaval je na vseh največjih konferencah informacijske varnosti v Sloveniji. Je soustanovitelj fundacije SICEH (Slovenian Certified Ethical Hackers) ter gostujoči strokovnjak na Univerzi v Mariboru in Gea Collegu. V letu 2018 je odkril ranljivost na uradni strani podjetja Microsoft in si tako prislužil objavo na spletni strani Security Researcher Acknowledgments for Microsoft Online Services. Leta 2020 ga je mednarodno priznana organizacija EC-Council priznala kot prvega v Sloveniji s certifikatom CEH Master, tako da si je prislužil objavo na njihovi uradni strani v rubriki Global Ethical Hacking Leaderboard.

Boštjan Kežmah – Sodelovanje preizkušenega revizorja informacijskih sistemov pri zunanjem izvajanju dajanja zagotovil

Opis

Pri zunanjem izvajanju dajanja zagotovil na področju informacijskih sistemov se srečujemo z mnogo izzivi. Praviloma dajemo zagotovila pri notranji reviziji, ki ima vzpostavljena svoja pravila in pomembne izkušnje, povezane z značilnostmi in delovanjem tako revidiranega področja kot organizacije kot celote, zato je aktivno sodelovanje z notranjo revizijo ključno za optimalno izkoriščenost virov, namenjenih poslu. Področje informacijskih sistemov je specifično prav tako kot druga področja poslovanja, zato ima svoja strokovna pravila. Pri teh revizorji informacijskih sistemov najpogosteje posegamo po okviru upravljanja in vodenja informacijskih sistemov COBIT, pri čemer je treba tako notranji reviziji kot poslovodstvu in nadzornim organom pojasniti, zakaj prav ta okvir, če ga organizacija ni izbrala kot svoj okvir upravljanja in vodenja informacijskih sistemov. Zaradi ustaljenega načina poročanja je praviloma treba doseči dogovor tudi o obliki in nekaterih vsebinskih vidikih poročila, ki ga standardi ne določajo tako podrobno, da bi bilo standardizirano. In ko vse to premostimo, se srečamo še z vprašanjem porevizijskih pregledov in zapiranja priporočil.

CV

Dr. Boštjan Kežmah je aktivni preizkušeni revizor informacijskih sistemov, CISA, CDPSE ter sodni izvedenec in cenilec za informatiko in programsko opremo z izkušnjami upravljanja, varnosti in revizije informacijskih sistemov, elektronskega poslovanja, z metodologijami razvoja varnih informacijskih rešitev in računalniške forenzike. Je predavatelj na dogodkih v Sloveniji in tujini, z bogatimi izkušnjami v zavarovalništvu, bančništvu, energetiki, telekomunikacijah in logistiki na področju elektronskega poslovanja in digitalizacije.

Gašper Krajnc
Ublažitev tveganj neučinkovitih kontrol v informacijskih sistemih

Opis

Predpostavka o učinkovitem delovanju kontrol v informacijskih sistemih z vplivom na finančno poročanje, zlasti v okviru revizij, ki se izvajajo po mednarodnih standardih revidiranja (MRS), predstavlja enega temeljnih elementov, na podlagi katerih pooblaščeni revizorji ob prepoznavanju in ocenjevanju tveganj organizacije in njenega okolja oblikujejo pristop k reviziji. Mnogokrat se ta predpostavka izkaže za napačno, kar bistveno vpliva na revizijski pristop oziroma potrebne revizijske postopke. Na predavanju bodo predstavljene smernice za ocenjevanje najpogostejših neučinkovitosti v splošnem IT-kontrolnem okolju. Predstavljene bodo tudi možnosti za ublažitev identificiranih tveganj s kompenzacijskimi kontrolami ali drugimi faktorji.

CV

Gašper Krajnc v mednarodni svetovalno-revizijski hiši od leta 2013 vodi in izvaja projekte informacijskega svetovanja in različne IT-revizijske posle. Pred tem je kot projektant 10 let načrtoval, razvijal in uvajal informacijske sisteme in rešitve za podporo odločanju v različnih panogah gospodarstva in državni upravi. Ima certifikate s področij analize poslovanja (CBAP), projektnega vodenja (Prince2 Practitioner) in razvoja baz podatkov (Microsoft). Pri organizaciji ISACA je pridobil certifikat CISA in pri Slovenskem inštitutu za revizijo naziv preizkušeni revizor informacijskih sistemov.

Mateja Toplak in Miha Kerin
Vloga nadzornih svetov in revizijskih komisij pri naročanju revizij informacijskih sistemov in pregledovanju revizijskih poročil o informacijskih sistemih

Opis

Predstavljeni bodo postopki od odločitve za izvedbo revizije informacijskega sistema in izvedbe posla do poročanja organom vodenja in nadzora ter naknadnega spremljanja izvajanja revizijskih priporočil. Cilj vsakega sodelovanja notranjega revizorja z zunanjimi izvedenci je, da so priporočila razumljiva za prejemnike in primerna glede na stopnjo razvitosti pregledovanih segmentov in sredstva družbe. Zato bo poudarek na pričakovanjih notranjih revizorjev pri t. i. co-sourcingu z IT-revizorji v postopkih dela, pa tudi na obliki in vsebini poročil o izvedbi posla.

CV

Mateja Toplak je preizkušena notranja revizorka in državna notranja revizorka. Kot strokovna direktorica OE Notranja revizija je zaposlena v Slovenskem državnem holdingu, d. d. Ima več kot 10-letne delovne izkušnje na področju vodenja in izvajanja notranjega revidiranja v družbi. Izvaja tudi preglede poslovanja v družbah v upravljanju Slovenskega državnega holdinga, d. d.
Miha Kerin je kot direktor OE Pravo zaposlen v Slovenskem državnem holdingu, d. d. Že drugi mandat je član nadzornega sveta družbe Elektro Celje, d.d., in več let predsednik revizijske komisije nadzornega sveta v tej družbi. Po izobrazbi je magister znanosti za področje gospodarskega prava.

Nada Čotar
Poročanje o ugotovitvah in informacije poslovodstvu v slovenskem prostoru

Opis

Končni izdelek vsakega revizijskega pregleda je poročilo, ki ga revizorji pripravimo skladno s pravili stroke. Ko posel izvajamo kot notranjerevizijsko storitev, se prilagodimo metodologiji naročnika. Naročniki imajo različne zahteve glede postopkov usklajevanja poročil in predstavitev ugotovitev. Celoten postopek je z razvojem stroke, notranje revizije in sistema upravljanja podjetij doživel številne spremembe. Na področju revizije informacijskega sistema je poseben izziv poročanje o specifičnih tehničnih področjih. Katere aktivnosti pripomorejo k ustrezni obravnavi in razumevanju poročila? Kdo poroča poslovodstvu? Vabljeni k podelitvi izkušenj.

CV

Nada Čotar, univ. dipl. inž. matematike, od leta 1998 CISA in preizkušena revizorka informacijskih sistemov, zaposlena v podjetju Interes, d. o. o., ima več kot 30 let delovnih izkušenj na področju razvoja informacijskih sistemov, administriranja baz podatkov, uvajanja in vodenja projektov prenove informacijskih sistemov in sistemov varovanja informacij. Od leta 1998 sodeluje pri izvedbi revizij informacijskih sistemov, kar vključuje revizije celovitih informacijskih sistemov, posameznih projektov oz. aplikativnih rešitev, revizije upravljanja storitev zunanjih izvajalcev, pregled kvalitete informacijskih sistemov, splošnih kontrol, varovanja in arhiviranja podatkov in neprekinjenega poslovanja, procesa razvoja in upravljanja sprememb, spletnih rešitev, skladnosti z ISO/IEC 27001 in ISO/IEC 27002, skladnosti z uredbo PSD2 in direktivo RTS ter druga sorodna področja. V sodelovanju z Arhivom RS izvaja certifikacije storitev zajema, e-hrambe in spremljevalnih storitev skladno z določili ZVDAGA in pripadajočih podzakonskih aktov ter notranjimi pravili, sodeluje tudi pri izvajanju notranjih presoj skladnosti izvajanja storitev z notranjimi pravili.

Aleksandra Vugrin
Okrepitev sporočilnosti revizijskih poročil z vizualizacijo podatkov

Opis

Zmožnost vizualne predstavitve informacije je eno izmed uporabnejših znanj, ki ni specifično glede na poklic in področje. Redko najdemo znanstveni članek, učbenik, večerna poročila, navodila za uporabo ali razlago kompleksnega informacijskega sistema brez enega samega primera vizualizacije. Zato bomo na predavanju govorili o osnovnih principih in vrstah vizualizacije podatkov na praktičnih primerih ter kako z uporabo vizualizacije podatkov bralcu revizijskih poročili omogočiti kvalitetnejše razumevanje revizijskih ugotovitev. To je še posebej pomembno v poročilih, ki so primarno namenjena odločevalcem.

CV

Mag. Aleksandra Vugrin je magistra oblikovanja vizualnih komunikacij. Svoja dela je razstavljala tako v Sloveniji kot tujini, leta 2015 pa je med drugim prejela tudi mednarodno nagrado Young balkan designer. Od leta 2016 je zaposlena na Računskem sodišču Republike Slovenije, kjer je njena pozornost usmerjena v vizualizacijo podatkov v povezavi z revizijskimi poročili. Računsko sodišče je prav na tem področju v začetku leta 2021 prejelo mednarodno nagrado INTOSAI WGEA za najboljšo vizualno predstavitev okoljevarstvene revizije.

Uroš Žust in Jaka Borišek
Performing an IT risk assessment and developing an IT risk register

Opis

To fulfill their mission, all organizations in the 21st century, rely heavily on information technology (IT). The use of IT provides many opportunities, but on the other hand, presents additional threats that organizations have to face. Risk management in the field of IT plays an important role in ensuring that organization's operations are in line with its mission and that they are secure.
As part of IT risk management, we identify, assess, control and remediate risks, and report on them to all relevant or interested stakeholders. Risks need to be assessed to determine what could happen, what the consequences of the threats might be, and then to decide what needs to be done and how quickly to reduce the risks to a level that is acceptable to our organization.
This lecture presents the process of conducting an IT risk assessment and subsequently creating an IT risk register. A well-designed risk register serves as the foundation for a dynamic risk management process. In this presentation, the presenters highlight the situations organizations usually face in managing IT risks, offer suggestions for establishing a continuous and diligent risk management procedures and establishing an IT risk register.

CV

Uroš Žust is a Broader Assurance Services director for South East Europe at PwC Slovenia. He has more than 15 years of experience working in information systems auditing, cyber security, security reviews, risk and governance, and standards compliance in a wide range of companies and entities such as financial institutions, private and public companies, both in Europe and US where he lived for 5 years and specialized in PCAOB audits and cyber security in the gaming and financial sector.
Uros has a BSc of economics (Business Informatics Major) from the Faculty of Economics, University of Ljubljana and has obtained Preizkušeni Revizor Informacijskih Sistemov (PRIS) at The Slovenian Institute of Auditors, Certified Information Systems Auditor (CISA) and Certified Information Security Manager (CISM) designations issued by ISACA, as well as the Certified Information System Security Professional (CISSP) by ISC2 and Project Management Professional (PMP) by PMI. He is also an ISACA CISA and CISM Accredited Trainer.

Jaka Borišek is a consultant in the Risk Assurance Services department at PricewaterhouseCoopers Slovenia, which he joined in 2019. He is currently in the process of completing a postgraduate Double Degree program at School of Economics and Business, University of Ljubljana (Business Informatics) and Nova Information Management School, Universidade Nova de Lisboa (Information Systems Management). He has experience in the areas of information systems auditing, compliance reviews, risk management procedures, information security and cyber security consulting, technological and financial consulting, which he obtained through cooperation with public and private sector companies in Slovenia and Croatia. He holds Microsoft Azure Fundamentals, Microsoft Security, Compliance, and Identity Fundamentals, and Microsoft Azure Data Fundamentals certifications. In addition to the fields mentioned, he is also interested in cloud-based processes and personal data protection.

Tina Beranič
Uporaba standardov pri revidiranju specifikacije zahtev za programsko opremo

Opis

Jasno opredeljene in zapisane zahteve programske opreme so ključen element, pomemben za uspešen zaključek projektov razvoja programske opreme. Ne glede na zahtevnost, obseg in kritičnost programske opreme je pri razvoju smiselno slediti primerom dobre prakse in smernicam, ki jih zagotavljajo številni dostopni standardi na tem področju. Eden izmed njih je standard ISO/IEC/IEEE 29148, ki vključuje priporočila za izvedbo inženiringa zahtev in vodenje procesov, povezanih z aktivnostmi zbiranja zahtev, ki so opredeljene v standardih ISO/IEC/IEEE 12207 in ISO/IEC/IEEE 15288. V prispevku bo ponujen vpogled v standard ISO/IEC/IEEE 29148, pregledali bomo procese, ki jih standard predstavlja, in poudarili za revizijo pomembne dele tega standarda. Dodatno bomo prikazali izseke primera izvedbe revizijskega posla s tega področja, kar bo na praktičen način prikazalo uporabo standarda ISO/IEC/IEEE 29148 pri revidiranju specifikacij zahtev programske opreme v razvoju.

CV

Dr. Tina Beranič je docentka na Fakulteti za elektrotehniko, računalništvo in informatiko Univerze v Mariboru. Leta 2018 je doktorirala na področju računalništva in informatike, natančneje iz kakovosti programske opreme. Leta 2017 je pridobila naziv CISA in v letu 2020 naziv PRIS. Sodeluje v pedagoškem delu pri predmetih s področja programskega inženirstva ter pri več raziskovalnih in razvojnih projektih, tako evropskih kot projektih iz industrije.

Tevž Delak
Revidiranje izvajalcev bistvenih storitev

Opis

Področje varovanja in varstva osebnih podatkov je v našem okolju že dlje časa. Na predavanju bomo predstavili aktualne zakonske zahteve varstva osebnih podatkov. Pregledali bomo področji vzpostavitve in ustreznega upravljanja varstva osebnih podatkov, nato pa primere organizacijskih, tehničnih in drugih kontrol, ki jih lahko implementiramo pri upravljanju tveganj, varovanju, upravljanju incidentov in na drugih ključnih področjih varstva osebnih podatkov. Prav tako bomo prikazali, katera orodja, standardi in smernice so nam lahko v pomoč pri izvedbi revizijskega pregleda na področju varstva osebnih podatkov.

CV

Tevž Delak je od začetka leta 2018 višji svetovalec v podjetju PRO.astec, d. o. o. Z izzivi na področju informacijske varnosti in revizije informacijskih sistemov se srečuje že dobro desetletje. V timu svetovalcev v podjetju izvaja storitve svetovanja na področjih informacijske varnosti (presojevalec ISO/IEC 27000), neprekinjenega poslovanja (presojevalec ISO 22301), procesov ITSM (ITIL®4 Foundation), varstva osebnih podatkov in revidiranja informacijskih sistemov (CISA), CDPSE.

Monika Janjilović
Kako oglaševati podjetja v digitalnem svetu – družbeni mediji

Opis

Če je nekoč veljalo, da si ustrezno storitev našel na oglasni deski, časopisu ali od ust do ust, danes zaradi tega marsikdo bije bitko z modernim svetom. Analogno je v veliki meri zamenjalo digitalno – tudi v svetu oglaševanja. Kam se obrniti po strokovno pomoč v bazenu ponudnikov? Kje sploh začeti? Ali je res smiselno uporabljati priložnosti spleta? Na slovenski trg so poleg domačih vstopila tudi velika tuja revizijska podjetja, ki so danes močna konkurenca. Delavnica bo ponudila kratek prelet in primerjavo njihovih dobrih in slabih praks, pogledali bomo, kaj narekujejo trendi, katera družbena omrežja so nujna ter zakaj je prenova in optimizacija spletne strani osnovno orodje za dobro poslovanje podjetja. Namen predavanja je podati dobro osnovo za vaše podjetje na področju digitalnega oglaševanja, osnovne zakonitosti, preverili bomo vaše izkušnje in kam so vas pripeljale. Dotaknili se bomo tudi nekaj praktičnih primerov slovenskih podjetij in preverili njihove rešitve.

CV

Monika Janjilović, inž. multim., je lastnica produkcijske hiše New Dimension, ki uspešno posluje od leta 2016. Njihove glavne storitve so videoprodukcija, grafično oblikovanje, ustvarjanje digitalnih kampanj in splošnega digitalnega komuniciranja za mala, srednja in velika podjetja, nevladne organizacije ter državne organe. V New Dimensionu deluje kot kreativna direktorica, producentka in vodja projektov. Pri svojem delu pogodbeno sodeluje s širokim naborom sodelavcev na področju videoprodukcije, digitalnih marketinških kampanj, digitalnih izobraževalnih programov za pospeševanje prodaje, oblikovanja spletnih strani in trgovin ter korporativnih dogodkov za korporacije.

Jaka Kosmač
Revizija kibernetske varnosti – pomembni premiki v Evropi in Sloveniji

Opis

Kibernetska varnost in zavedanje o njenem pomenu se v zadnjih letih vedno bolj krepita v družbi in javnem sektorju, saj smo zaradi vedno večje povezljivosti omrežij in sistemov na tem področju vedno bolj ranljivi. Kibernetski napadi na kritično infrastrukturo so vse pogostejši, s seboj prinašajo velike stroške in vse bolj neposredno vplivajo tudi na zdravje in varnost ljudi, kar je lahko ena izmed stranskih učinkov kibernetskih napadov na zdravstvo. Evropsko računsko sodišče se zaveda, da sta kibernetska varnost in digitalna avtonomnost za Evropsko unijo in njene države članice strateško pomembna tema. S povečevanjem stopnje ogroženosti je treba okrepiti prizadevanja za zaščito kritičnih informacijskih sistemov in digitalne infrastrukture pred kibernetskimi napadi. Vrhovne revizijske institucije kot nadzorne institucije imajo na tem področju svoj dolg in mesto, saj lahko z izvajanjem revizij na področju kibernetske varnosti pravočasno in pomembno pripomorejo k izboljšavam in napredku na tem področju. Konec leta 2020 je Evropsko računsko sodišče izdalo Kompendij revizijskih poročil Kibernetska varnost v EU in njenih državah članicah na temo revidiranja odpornosti kritičnih informacijskih sistemov in digitalne infrastrukture proti kibernetskim napadom. Evropsko računsko sodišče je v kompendiju med drugim povzelo ugotovitve 12 revizijskih poročil vrhovnih revizijskih institucij, objavljenih med letoma 2014 in 2020.
Računsko sodišče je dovolj zgodaj prepoznalo pomen kibernetske varnosti za Republiko Slovenijo in v začetku marca 2021 izdalo revizijsko poročilo Učinkovitost zagotavljanja kibernetske varnosti v Republiki Sloveniji, v katerem je revidiralo učinkovitost Vlade Republike Slovenije, Urada Vlade Republike Slovenije za varovanje tajnih podatkov in Ministrstva za javno upravo pri zagotavljanju kibernetske varnosti Republike Slovenije od 1. januarja 2016 do 30. septembra 2019. Zagotavljane kibernetske varnosti v tem obdobju po mnenju Računskega sodišča kljub pospešenim aktivnostim v letu 2019 ni bilo učinkovito.
Na predavanju bodo uvodoma predstavljene nekatere revizije, ki so jih izvajale evropske vrhovne revizijske institucije na širšem področju kibernetske varnosti, ter revizija učinkovitosti zagotavljanja kibernetske varnosti v Republiki Sloveniji. Glede na vse večji vpliv kibernetske (ne)varnosti na javne finance verjamem, da je to šele začetek razvoja izvajanja revizij na tem področju v vrhovnih revizijskih institucijah.

CV

Jaka Kosmač, univerzitetni diplomirani pravnik s pravniškim državnim izpitom, se je po diplomi zaposlil na Združenju občin Slovenije, kjer je sodeloval pri izvajanju revizij skupne notranjerevizijske službe in pomagal pri organizaciji izobraževanj, srečanj in dogodkov. Kariero je nadaljeval na Komisiji za preprečevanje korupcije, kjer je delo začel kot svetovalec za preventivo in integriteto, kasneje pa je napredoval v vodjo projektov za integriteto, eno leto je vodil tudi področje mednarodnega sodelovanja. Na področju boja proti korupciji je večkrat sodeloval tudi z Organizacijo za gospodarsko sodelovanje in razvoj, ob tem pa med drugim napisal prispevek o lobiranju in imel več predstavitev. Računskemu sodišču se je pridružil leta 2015, in sicer oddelku za revizije smotrnosti poslovanja. V okviru nalog na Računskem sodišču je sodeloval pri zelo raznolikih revizijah smotrnosti, in sicer od okoljskih do IT-revizij. V letu 2018 je pridobil naziv državni revizor. Večkrat je predaval na konferencah o revidiranju in kontroli informacijskih sistemov Slovenskega inštituta za revizijo. Jeseni 2020 je sodeloval pri pripravi in izvedbi spletnega tečaja IT Auditing, ki ga je organiziral Center of Excellence in Finance.

Iztok Jeras
Revidiranje nastavitve podatkovnih baz

Opis

Prispevek bo posvečen opredelitvi izbranih vidikov revidiranja podatkovnih baz, pri čemer ni neposredno namenjen pripravi revizijskega plana, temveč poudarja nekatere specifike področja. Tako je treba pri revidiranju upoštevati pomembnost upravljanja podatkov in tehnično zahtevnost. Arhitektura in strategija podatkovne baze morata ustrezati strategiji podjetja in delovanju poslovnih funkcij. Precejšnjo pozornost je treba posvetiti varnosti in ustreznosti varnostnih politik podatkovne baze, vključujoč uporabniška pooblastila in revizijske sledi. V operativnih postopkih in nastavitvah skušamo preveriti razpoložljivost in odzivnost podatkovne baze ter uporabo različnih orodij za dostop in učinkovitost nadzora. Upravljanje sprememb podatkovne baze je podvrženo temeljitemu testiranju, ki zagotavlja ustrezno celovitost, zaupnost in razpoložljivost informacij. Postopki neprekinjenosti zagotavljajo delovanje podatkovne baze ob katastrofi in/ali izpadu posameznih komponent. V prispevku opredelimo tudi vidike revidiranja podatkovne baze v oblaku. Različne oblike implementacije oblačnih storitev in podatkovne baze zahtevajo tudi različne revizorske pristope, predvsem z vidika odgovornosti ponudnika oblačnih storitev na eni in uporabnika na drugi strani.

CV

Iztok Jeras, univ. dipl. ekon., CISA in PRIS, je prokurist in zaposlen v podjetju Interes, d. o. o. Začel je kot programer, sistemski inženir in skrbnik komunikacijske infrastrukture IBM za Balkan. Kasneje je vodil, svetoval in sodeloval pri večjih projektih, ukvarjal se je z administracijo podatkovne baze Db2 na različnih operacijskih sistemih (OS/390, UNIX, Linux, Windows ), kar zahteva tudi poznavanje delovanja samih operacijskih sistemov in komunikacij. Od leta 1998 izvaja revizije informacijskih sistemov predvsem na bančnem, zavarovalniškem, pa tudi zdravstvenem področju. Opravil je več zahtevnih IT-revizij predvsem s področja bančništva in kartičnega plačilnega prometa. Revizije obsegajo projektno delovanje IT-sistemov, vodenje in potek projektov, revizije sistemskega programja, podatkovnih baz, aplikacij idr., vselej s poudarjenim varnostnim vidikom in uporabo širšega tehničnega znanja. Delo zahteva tudi poglobljeno poznavanje ustreznih standardov, predvsem ISO27001, ISO27002, PCI-DSS, pa tudi uporabo ogrodja za vrednotenje in/ali izgradnjo informacijskih sistemov (COBIT). Skupaj ima več kot 30 let delovnih izkušenj in več kot 20 let izkušenj na področju revizije informacijskih sistemov.

Matjaž Štiglic
Revidiranje upravljanja ranljivosti v informacijskih sistemih

Opis

Pravočasno odkrivanje ranljivosti programske opreme sistemov in naprav ter njihovo ustrezno upravljanje je ena od pomembnejših nalog, pa tudi nočnih mor večine upravljavcev informacijske tehnologije. Izkoriščanje ranljivosti je še vedno med najpogostejšimi vzroki za kršenje informacijske varnosti. Nameščanje varnostnih popravkov (angl. patching) je postopek, s katerim odpravljamo odkrite ranljivosti v programski opremi. Namen prispevka je povzeti pomen upravljanja ranljivosti v programski opremi, podati nekaj napotkov pri vzpostavitvi postopka upravljanja ranljivosti, na koncu pa pogledati še z očmi revizorja, ki se bo lotil pregleda tega področja.

CV

Mag. Matjaž Štiglic, preizkušeni revizor informacijskih sistemov (CISA, CGEIT) Matjaž Štiglic ima dolgoletne izkušnje na informacijskem področju. V letih med 1989 in 2000 je bil zaposlen v RC IRC Celje, kjer je vodil projekte razvoja in uvajanja programske opreme za banke. Med letoma 2000 in 2003 je bil zaposlen v podjetju KPMG Slovenija, d. o. o., od leta 2003 naprej pa dela v lastnem podjetju. Reference v tem obdobju segajo na področja izvajanja IT-revizij, sodelovanja pri projektih ocene vrednosti programske opreme, vodenja sistema varovanja informacij in osebnih podatkov, svetovanja na področju informacijske varnosti, pregleda programske opreme ter storitev zajema in hrambe gradiva v digitalni obliki za Arhiv Republike Slovenije.

Boštjan Delak
Revidiranje kritične infrastrukture

Opis

Kibernetska varnost je iz dneva v dan pomembnejša. V zadnjem letu smo v svetu zabeležili več kibernetskih napadov, med njimi odmevna napada na programsko opremo SolarWind in ameriški naftovod podjetja Colonial Pipeline. V Sloveniji imamo upravljavce kritične infrastukture, ki so, ali pa tudi ne, pripravljeni na tovrstne napade. V prispevku bo predstavljen revizijski pregled upravljanja kibernetske varnosti za področje kritične infrastrukture.

CV

Boštjan Delak je zaposlen kot svetovalec za revizijsko statistiko na Računskem sodišču Republike Slovenije. Ima več kot 39 let delovnih izkušenj, od tega več kot 20 let z analizami informacijskih sistemov in več kot 15 let z revizijami informacijskih sistemov. Je tudi docent za področje informatike in stalni predavatelj na Fakulteti za informacijske študije v Novem mestu, občasno pa predava še na drugih fakultetah v Sloveniji. Njegova raziskovalna področja so analize informacijskih sistemov, skrbni pregledi informacijskih sistemov in upravljanje znanja.

Nastanitev je predvidena v Ramada Resort (hotel Larix); priporočamo čim prejšnjo rezervacijo.

Na konferenco se lahko prijavite s prijavnico, ki jo najdete na naši spletni strani. O sprejetju prijave vas bomo obvestili po elektronski pošti. Opozarjamo vas tudi, da se morate od konference odjaviti, če boste morebiti zadržani, saj vam bomo sicer zaračunali udeležnino. Obvestilo o odjavi pošljite na naslov info@si-revizija.si.

Za udeležnino na konferenci boste odšteli 439,20 € (22-odstotni davek na dodano vrednost je vračunan). Za pooblaščene ocenjevalce vrednosti, aktivne imetnike strokovnega naziva in pooblaščene revizorje ter člane ISACA, znaša udeležnina 373,32 € (22-odstotni davek na dodano vrednost je vračunan) in za kolektivne člane fizične osebe 395,28 € (22-odstotni davek na dodano vrednost je vračunan).

Podatke za plačilo konference boste prejeli po elektronski pošti.

Prijava enega uporabnika

Za prijavo je naprej potrebna registracija v naš sistem SIS. Ob registraciji vnesite svoje ime, priimek, geslo in elektronski naslov. Po uspešni registraciji lahko na portalu ali prek spodnje povezave dostopate do seminarja in se nanj tudi prijavite s klikom na gumb Prijava na seminar.

Prijava več oseb preko podjetja

  • Prva prijava

Za prijavo je naprej potrebna registracija v naš sistem SIS. V sistem naj se registrira ena oseba, ki bo upravljala podatke o podjetju in urejala prijavljene na seminar. Ob registraciji poleg osnovnih podatkov še obvezno izpolnite podatke o podjetju(na to podjetje bomo za vse prijavljene potem izstavili račune). 

Po registraciji na pregledu profila preverite podatke o podjetju in se pomaknite v meni za upravljanje podjetja s klikom na gumb Prijavi se kot upravljalec tega podjetja. Preverite ime podjetja in kliknite Shrani. Prikaže se nadzorna plošča za upravljanje podjetja. S klikom na gumb Uporabniki dostopate do vseh oseb, ki jih upravljate s tem računom. Dodajte potrebne uporabnike. Nato se vrnite na željeni seminar. Na dnu strani bo gumb, ki Vam bo omogočal prijavo prek podjetja. Na tem mestu boste lahko enostavno prijavili uporabnike.

  • Nadaljne prijave

Na dnu pregleda seminarja se bo nahajal gumb za prijavo prek podjetja. Nato se bo izpisal seznam uporabnikov. S klikom na gumb prijava boste uporabnika prijavili na izobraževanje.

Prijava Odjava