Portal TFL

TFL Vsebine / TFLGlasnik

Redni pregled pooblastil: skladnost ni nujno varnost

O PUBLIKACIJI in AVTORJU
ŠTEVILKA in LETO IZDAJE
Kazalo 19 / 2026
Sirius 202504
AVTOR
Iz prakse za prakso
Datum
16.06.2026
Rubrika
Članki
Vir
Revija Sir*ius št. 3/2026
Pravna podlaga
ni določena
Povezave
Podsistem TAX
Podsistem FIN
Podsistem LEX
Povzetek
Iz prakse za prakso (PR-RIS 2-1/26) Organizacije skladno s standardi vse pogosteje izvajajo redne preglede uporabniških pooblastil. Pregled je dokumentiran, potrditve so zbrane, revizijska sled obstaja. Z vidika dokumentiranih informacij je zahteva izpolnjena.
BESEDILO

IZHODIŠČE

Namen pregleda pooblastil ni le dokazati, da je organizacija izvedla redno preverjanje pooblastil, temveč preveriti, ali imajo uporabniki še vedno samo tista pooblastila, ki jih potrebujejo za opravljanje svojega dela.

Če lastnik oziroma skrbnik prejme dolg seznam uporabnikov in tehničnih pooblastil brez dodatnega konteksta, je verjetnost kakovostne presoje majhna. V takem primeru pregled hitro postane administrativna vaja, v kateri se pooblastila potrdijo brez presoje, ker ni dovolj časa, znanja ali informacij za drugačno odločitev.

Posledica je skladnost na papirju, ne pa tudi dejansko zmanjšanje varnostnega tveganja.

STROKOVNA RAZLAGA

Pri pregledih pooblastil je smiselno preiti iz pristopa pregledati vse v pristop, ki temelji na tveganju. Posebno pozornost je treba nameniti privilegiranim dostopom, dostopom do kritičnih sistemov, dostopom do občutljivih podatkov, zunanjim uporabnikom ter uporabnikom z neobičajnimi kombinacijami pooblastil.

Kakovost presoje se bistveno poveča, če ima lastnik pooblastil razen seznama uporabnikov vpogled še v poslovni kontekst. To pomeni vsaj informacijo o uporabnikovi organizacijski enoti, delovnem mestu oziroma vlogi, nadrejenem, vrsti dostopa, datumu zadnje prijave in po možnosti podatek o dejanski uporabi dodeljenih pooblastil. Pooblastilo, ki ni bilo uporabljeno zadnjih 90 ali 180 dni, ni nujno neupravičeno, je pa jasen signal za dodatno preverjanje.

Manjši, bolj ciljno usmerjen nabor pooblastil pogosto privede do boljših odločitev kot obsežen seznam, ki ga lastniki potrdijo brez dejanske presoje. Pregled pooblastil mora biti oblikovan tako, da omogoča odločitev, ne le potrditev.

Opomnik pri pripravi revizijskega načrta

Image a345ce49-2936-46f7-b7a0-ebe28a780f14

Pri pregledu pooblastil je namesto povečevanja obsega smiselno zmanjšati šum. Z vidika tveganja so pomembni kritičnimi sistemi in privilegirani dostopi. Pri potrjevanju je smiselno lastnikom prikazati manj podatkov, vendar pa prave: kdo je uporabnik, zakaj naj bi dostop potreboval, katera pooblastila ima in ali jih dejansko uporablja. Kadar je to mogoče, je smiselno izpostaviti anomalije – na primer nenavadna pooblastila, ki se razlikujejo od drugih zaposlenih na istem delovnem mestu v isti organizacijski enoti. Tak pregled ima bistveno večjo revizijsko in varnostno vrednost kot obsežna tabela potrjenih dostopov. Stoodstotna potrditev vseh pooblastil brez sprememb ni nujno dokaz dobrega delovanja sistema notranjih kontrol, ampak je lahko kazalnik neučinkovite kontrole.