Poročila
DELOVANJE SLOVENSKEGA ODSEKA ISACA
Boža Javornik , Franci Tajnik
Podjetja se pogosto poslužujejo revizorjev informacijskih sistemov za pridobitev neodvisnega mnenja o varnostnih vidikih delovanja njihovega informacijskega sistema, kot tudi za oceno njegove uspešnosti in učinkovitosti. Hitrost spreminjanja tehnologije na področju informacijskih sitemov je tako velika in tako vseobsežna, da so tveganja neuspeha pri odločitvah za naložbe v razvoj na področju informacijskih sistemov vedno večja. Odvisnost poslovanja od rešitev v informacijskem sistemu je pogosto tako visoka, da lahko že kratkotrajni izpadi sistema povzročijo podjetju veliko škodo.
Revizija informacijskih sistemov lahko vodstvu poslovnih sistemov odgovarja na vprašanja, ali uporaba računalniške tehnologije zagotavlja:
■	rešitve, ki podpirajo dolgoročne poslovne cilje,
■	učinkovitost razvojnih projektov in prenov informacijskih sistemov,
■	funkcionalnost računalniških rešitev za izvajanje in upravljanje poslovnih procesov,
m ustreznost izrabe računalniške tehnologije,
■	delovanje računalniške podpore brez prekinitev oziroma vzpostavitve ponovnega delovanja brez izgub podatkov v primernem času,
■	preprečevanje zlorab, poneverb, kraj in razkritij poslovnih skrivnosti.
Kompleksnost sodobne informacijske tehnologije povzroča najvišjim vodstvom vedno več problemov, kako vodilnim na področju informatike jasno opredeliti svoja pričakovanja glede kvalitete delovanja informacijskega sistema, še težje pa jim je preverjati izpolnjevanje ustreznih obveznosti. Omenjeni problem je v svetu prisoten že dlje časa in je v določenem smislu prispeval k razvoju dejavnosti revidiranja informacijskih sistemov,
Mednarodno združenje za revizijo in kontrolo informacijskih sistemov
Ker so kompleksnost in formacijske g tehnologije ocenili kot ključni dejavnik uspeha, so revizorji informacijskih sistemov že v letu 1969 ustanovili mednarodno združenje, katerega naslednik je Information System Audit and Control Association (ISACA - mednarodno Združenje za revizijo in kontrolo informacijskih sistemov). ISACA ima več kot 20.000 članov v 100 državah sveta.1 Svoje aktivnosti je usmerila v razvoj stroke • oblikovanja najboljše prakse kontroliranja in revidiranja informacijskih sistemov, hkrati pa jc vzpostavila sistem podeljevanja nazivov CISA (Certified Information System Auditor), ki v svetu pomeni dokazilo strokovne usposobljenosti in izkušenosti za izvajanje nalog revidiranja informacijskih sistemov.
Mednarodno združenje izdaja svoj dvomesečnih Audit Journal, ki ga člani dobivajo brezplačno. V njem so obravnavana strokovna vprašanja zaščit in varnosti informacijskih sistemov, ter konkretni pristopi pri revidiranju v
1 tvmviMrca.org
posameznih primerih. Mednarodno združenje ima lastno raziskovalno organizacijo, ki financira različne razvojne pro jekte z namenom pridobivanja strokovnih podlag za izboljšanje prakse varovanja, upravljanja in kontroliranja informacijskih sistemov kot tudi njihovega revidiranja.
Mednarodna organizacija organizira letno več strokovnih konferenc po posameznih regijah, kjer se obrav navajo aktualna vprašanja zaščit in revidiranja. V letu 1998 je bila mednarodna konferenca v svetovnem merilu v Bruslju v času od 12-15 julija 1998.
Glavna področja obravnave: ■ Obvladovanje problema Leto 2000 a Revizija IS in zaščit v različnih okoljih a Obvladovanje IS
a Specifična vprašanja zaščit v povezavi s poslovnimi tveganji posamičnih dejavnosti.
Delovanje Slovenskega odseka ISACA
Slovenski odsek ISACA je bil ustanovljen leta 1995 kot 137 odsek te mednarodne organizacije'. Glavni namen odseka je podobno kol pri mednarodni organizaciji promovirati dobre rešitve pri zaščitah delovanja informacijskih sis temov, kot tudi kakovost izvajanja revidiranja kontrol v informacijskem sistemu. Eden od pomembnih ciijev organizacije je pospeševanje najboljše prakse revidiranja informacijskih sistemov, ki jo zagotavlja sistem certificiranja CISA.
Z aktivnostmi na tem področju je Slovenski inštitut za revizijo priče! v letu 1993, ko je organiziral prvo mednarodno konferenco na temo revidiranja informacijskih sistemov. Od tedaj je mednarodna konferenca vsako leto, večkrat med letom (praviloma prvi torek v mesecu) pa so različna strokovna predavanja o vprašanjih varnosti in revizije informacijskih sistemov.
Na rednih mesečnih sestankih slovenskega odseka so bila v 1997 izvedena predavanja: a Standardi revidiranja informacijskih sistemov a Revizija informacijskih sistemov v bankah « Sodelovanje revizorja informacijskih sistemov s pooblaščenim revizorjem a Administracija zaščit a Pravni vidiki zaščite podatkov.
• vtww.si-ravteija.si/isaca/
1990 -StDvilka 4 -letnik Vi
i tpombt jul NFORM ATI KA
Poročila
v letu 1998 so bila obravnavana še naslednja vprašanja:
■	Analiza tveganj, kot osnova za določitev področij revidiranja in prioritet pri revidiranju
■	Tveganja in kontrole pri izgradnji podatkovnih skladišč
■	Elementi pasivnega in aklivnega ožičenja
■	Postavitev zaščite pri vključevanju v globalna omrežja
■	Zaščite v okolju Windows NT,
Slovenski inštitut za revizijo in Slovenski odsek ISACA sta v septembru tega leta organizirala že šesto mednarodno konferenco o revidiranju informacijskih sistemov.
Izobraževanje in preverjanje znanja
Mednarodno združenje ISACA jc v letu 1978 uvedlo sistem preverjanja znanj in podeljevanja licenc CISA (Certiftcd Information System Auditors). Od tedaj je omenjeni naziv pridobilo več kot 18.000 posameznikov po vsem svetu. Ta strokovni naziv je uveljavljen v svetu in je zagotovilo visoke strokovne usposobljenosti; s tem posameznikom omogoča boljše možnosti zaposlovanja, vodstvom podjetij in drugim institucijam pa daje zagotovilo visokega nivoja izvajanja natog revidiranja in zaščit informacijskega sistema. Naziv se podeljuje za tri leta, za njegovo obnovitev pa je potrebno dodatno usposabljanje v minimalnem obsegu 120 ur.
Slovenski odsek se je odločil, da prevzame način preverjanja usposobljenosti po programu CISA, poleg tega pa je bil na Strokovnem svetu Slovenskega inštituta za revizijo sprejet pravilnik o podeljevanju naziva preizkušeni revizor informacijskih sistemov. Za ta naziv je poleg izpita CISA potrebno opraviti Še dva izpita, imeti visoko izobrazbo in pet let delovnih izkušenj. V Ljubljani je izpitni center od leta 1996. Izpiti so v angleščini ali v enem od svetovnih jezikov. Do sedaj je izpit CISA uspešno opravilo 13 članov odseka.
Mednarodni izpit za pooblaščene revizorje informacijskih sistemov organizira in izvaja mednarodna organizacija za kontrolo in revidiranje informacijskih sistemov ISACA - Information Systems Audit and Contro) Association. V Sloveniji bo junija 1999 ta izpit izveden že četrtič. Izvaja se enkrat letno, na isti dan po celem svetu. Izpit traja 4 ure, poteka pa v celoti v tujem jeziku. Omogočeno je opravljanje izpita v angleškem, nemškem, italijanskem trt nekaterih drugih jezikih. Izpit vsebuje 200 vprašanj s 4 odgovori, med katerimi je samo eden pravilen. Za uspešen zaključek izpita je potrebnih 75% pravilnih odgovorov, kar pomeni vsaj 150 od 20O vprašanj. Večina literature je v angleškem jeziku. Koliko časa potrebuje posameznik za pridobitev potrebnega znanja, je povsem odvisno od stopnje predhodno pridobljenega znanja angleščine in še več od praktičnih izkušenj s področja računalništva, informatike, revidiranja in kontrole informacijskih sistemov.
Slovenski inštitut za revizijo je kolegom, ki so opravili izpit CISA in oba dodatna izpita, podelil naziv preizkušeni revizor informacijskih sistemov. Imena nosilcev nazivov so objavljena v strokovni reviji Revizor in na domači Stranj Slovenskega odseka ISACA. Preizkušeni revizorji sodelujejo v Sekciji za revidiranje informacijskih sistemov pri Slovenskem inštitutu za revizijo, kjer delujejo tudi druga profesionalna združenja s področja revizije, financ, računovodstva, ocenjevanja sredstev in davkov.
Prednosti izpita CISA so naslednje:
■	svetovno priznana strokovnost oz. usposobljenost,
■	najvišja stopnja priznanja strokovnosti v Sloveniji,
■	zajema vsa področja računalništva in informatike,
■	zakonsko omogoča samostojnost pri svojem delu (npr. v revizijskih družbah),
■	poznavanje svetovnih tehnik, meril in postopkov,
■	konkurenčna prednost (predvsem pri revizijskih družbah oz, zunanjih revizorjih),
■	široko področje uporabe znanja,
• nujno potrebno znanje praktično v vseh organizacijah.
Izpit CISA je splošno priznan standard odličnosti, je edini splošno priznani program certificiranja revizorjev informacijskih sistemov, kontrolnih in varnostnih profesionalcev. Imeti naziv CISA za delo na področju revidiranja informacijske tehnologije je ravno tako pomembno kot imeti naziv MUA, če delate na poslovnem področju.
Vabilo k sodelovanju
Z vstopom Slovenije v Evropsko unijo se bomo informatiki šc bolj kot danes soočili z mednarodno konkurenco. Kako pokazati poslovnim partnerjem, da na področju informatike kaj veljamo in za njimi nič ne zaostajamo pri znanju, razvoju in uvajanju informacijsko tehnologije? Zlahka jih prepričamo z opravljenimi mednarodnimi preverjanji znanj na tem področju. Priporočamo vam, da tudi vi opravite izpit CISA in sebi in ostalim sodelavccm dokažete, da vaše znanje poznavanja vseh področij informacijske tehnologije nič ne zaostaja za znanji mednarodnih strokovnjakov s tega področja.
Vse izkušene informatike vabimo, da se aktivno vključijo v naš odsek. Sestanki so v predavalnici Slovenskega inštituta za revizijo na Dunajski 106 v Ljubljani vsak prvi torek v mesecu. Pred sestankom odseka je strokovno predavanje, ki ga praviloma izvajajo naši člani. Vse informacije dobite na domači stran/
www.si-revizija.si
iqx>mb> îM NFORM ATI KA
1998 - številka 4 letnik Vf