TFL Vsebine / Revija SIR*IUS

Cooperation between a qualified internal auditor and a qualified information systems auditor

V prispevku obravnavamo sodelovanje med preizkušenim notranjim revizorjem in preizkušenim revizorjem informacijskih sistemov pri revidiranju organizacijskih procesov v poslovnem okolju, v katerem so poslovni procesi podprti z informacijsko tehnologijo. Izpostavljena je komplementarnost njunih vlog: preizkušeni notranji revizor prinaša poglobljeno razumevanje ciljev organizacije, tveganj pri doseganju ciljev, poslovnih procesov in skladnosti s predpisi, medtem ko se preizkušeni revizor informacijskih sistemov bolj osredotoča na tehnično preverjanje ustreznosti, zanesljivosti in varnosti informacijskih sistemov. Opisane so različne oblike sodelovanja (skupno izvajanje revizije, preizkušeni revizor informacijskih sistemov kot specialist v delu revizije pod vodstvom preizkušenega notranjega revizorja, vzporedne revizije z izmenjavo ugotovitev in samostojna revizija informacijskih sistemov s preizkušenim notranjim revizorjem v podporni metodološki vlogi) ter praktični primeri na področjih, kot so kibernetska varnost, skladnost IT kontrol s predpisi, digitalna transformacija in storitve v oblaku. Članek primerja tudi standarde iz pravil posamezne stroke (notranjerevizijske standarde GIAS in standarde revidiranja informacijskih sistemov ITAF) ter ugotavlja, da so v številnih vidikih usklajeni, med njimi pa je tudi nekaj razlik. Ustrezen in usklajen pristop revidiranja, pri čemer sodelujeta preizkušeni notranji revizor in preizkušeni revizor informacijskih sistemov, z jasno razdelitvijo odgovornosti, poenoteno metodologijo, skupno komunikacijo in stalnim strokovnim izpopolnjevanjem omogoča celovito in učinkovito obvladovanje širokega spektra tveganj (od strateških do tehničnih), izboljšuje zanesljivost in kibernetsko odpornost organizacije ter vodstvu zagotavlja boljše informacije za odločanje.

This article discusses the collaboration between a Qualified Internal Auditor (QIA) and a Qualified Information Systems Auditor (QISA) when auditing organizational processes in environments where business operations are supported by information technology. The complementary roles of these professionals are highlighted: the QIA brings deep and comprehensive knowledge of organizational objectives, associated risks, business processes, and regulatory compliance, while the QISA focuses on the technical assurance of adequacy, reliability and security of information systems. The article describes various forms of cooperation, such as joint audits, the QISA acting as a specialist under the QIA’s leadership, parallel audits with the exchange of findings and insights, as well as independent IT audits with methodological support from the QIA. Practical examples cover areas like cybersecurity, IT control compliance, digital transformation, and cloud services. The article also compares professional standards (internal audit standards-GIAS and IS auditing standards-ITAF), finding them to be mostly aligned, though some differences remain. An integrated, coordinated audit approach with clearly defined responsibilities, unified methodology, joint communication, and ongoing professional development enables comprehensive risk management, enhances organizational reliability and cyber resilience, and provides management with higher quality information for effective decision-making and strategic planning.