SIMPOZIJP orec AV by 84DjVq

VIEWS: 6 PAGES: 14

									                                                                            1

Mr. Aurora Volarević:

     Implementacija funkcije revizora informacijskih
          sustava u odjel interne revizije banke

Sadržaj:

    1. Uvod
    2. Poslovne potrebe za revizijom informacijskih sustava
    3. Revizija informacijskih sustava
    4. Revizija informacijskih sustava u svijetu
       4.1. O ISACI kao instituciji
            4.1.1.       Standardi ISACA
            4.1.2.       Etički kodeks ISACA
            4.1.3.       Certifikat CISA
       4.2. Hrvatska podružnica ISACA-e
       4.3. COBIT
    5. Implementacija funkcije revizora informacijskih sustava u
       internu reviziju Zagrebačke banke d.d.
    6. Zaključak




    1. Uvod

Kada manageri, ulagači, vjerovnici i zakonodavna tijela žele donijeti ili
kontrolirati donesene poslovne odluke, neophodne su im pouzdane
informacije. Pojave kao što su protuzakonito djelovanje nekih
organizacija, stečajevi velikih društava i kriza na području štednje i
zajmova, dovode do sve značajnije uloge revizora u takvim
situacijama, kako u sanaciji nakon takvih potresa tako i posebice u
njihovoj prevenciji.
Pred revizore se postavlja zahtjev za proširivanjem usluga na područja
koja prelaze okvire        i metode tradicionalne revizije financijskih
izvještaja, uključujući i usluge kao što su ispitivanje, prognoza i
projekcija kretanja poslovnih parametara.
 Razvitak računalne tehnologije odnosno primjena računala u
poslovanju nameće potrebu novog pristupa reviziji uz uporabu složenih
softverskih alata koji im omogućavaju praćenje sve složenijih poslovnih
informacijskih sustava i pružanje adekvatnog odgovora na sve veće
zahtjeve zainteresiranih strana, bilo uprave poduzeća, potencijalnih
ulagača, vlasnika, državnih financijskih službi ili trećih subjekata.
Potreba za ovakvim pristupom zahtjeva prilagodbu revizora odnosno
postupka obavljanja revizije novim uvjetima i alatima za rad.

 U Zagrebačkoj banci d.d. se način obavljanja revizije kontinuirano
prilagođava novim uvjetima i tehnologijama, uključujući i samu reviziju
informacijskih sustava. U 2000. godini je osnovana i zasebna funkcija
revizora informacijskih sustava unutar Direkcije unutarnje kontrole. U
svom radu u velikoj mjeri koriste se sa ISACA-im (Information System
Audit and Control Association) smjernicama i metodologijom rada, o
čemu će više biti riječi u nastavku.
Materijali u ovom radu vezani uz ISACA-u korišteni su uz suglasnost
ISACA Croatia Chapter.
                                                                            2

    2. Poslovne potrebe za revizijom informacijskih sustava

Porast ukupnog ljudskog znanja i količine poslovnih informacija, kao i
porast razine složenosti poslovanja na globaliziranom tržištu, problemi
su koji se pokušavaju riješiti informatizacijom poslovanja. Težište
primjene računala pomiče se od obrade velikih količina jednovrsnih
podataka (radni sati, plaće, računi) prema računalnoj podršci i
objedinjavanju različitih poslovnih aktivnosti.
Sustavima podrške u odlučivanju i ekspertnim sustavima pokušavaju
se podržati nestrukturirane aktivnosti, npr. aktivnosti planiranja i
odlučivanja. Osnovna pretpostavka za pronalaženje optimalnih
rješenja je sustavni pristup u rješavanju složenih problema, a njega je
moguće primjenjivati samo uz posjedovanje kvalitetnih informacija
dobivenih iz pažljivo projektiranih i kvalitetno izvedenih informacijskih
sustava. U modernom poslovanju, a posebice u bankarskom sektoru i
tržištu vrijednosnicama, pojedini poslovni događaji i transakcije postoje
isključivo u elektronskom obliku, što reviziju bez poznavanja
informacijskih sustava i tehnologija čini vrlo ograničenom, i gotovo
nemogućom.
Vezano uz informacijske sustave, treba razlikovati dva vida revizije:

     Revizija podržana informacijskim sustavima

U uvjetima primjene računala u poslovanju opći cilj i djelokrug revizije
ostaju isti, ali se od revizora zahtjeva prilagodba revizije novom načinu
poslovanja i protoka informacija, kao i uključivanje revizora sa
specijalnim znanjima iz područja informacijskih sustava. Tu imamo
dvije vrste interakcije:
-Utjecaj na strukturu samih informacijskih sustava, u koje se npr.
ugrađuju tzv. "udice" (hooks), koje predstavljaju točke dostupa
podacima i međupodacima za provjere prilikom revizija,
-Posebni programski paketi (npr. ACL - Audit command language) koji
temeljem exspertnih, matematičkih i statističkih sustava ugrađenih u
program olakšavaju sublimiranje i analizu velikog broja informacija
dobivenih iz jednog ili više različitih informacijskih sustava koje
upotrebljava poslovanje.

     Revizija informacijskih sustava

Uslijed sve intenzivnije informatizacije, razumljiva posljedica je da i
takav način obrade podataka, pohranjivanja i razmjene financijskih
informacija može utjecati na klijentov računovodstveni sustav i sustav
internih kontrola.
Stoga je potrebno obavljati kontinuiranu reviziju samih informacijskih
sustava, kako bi se mogla obavljati vjerodostojna revizija pomoću
informacijskog sustava. Revizija informacijskog sustava može se
obavljati kao samostalna revizija ili kao dio revizije poslovnog djela
(npr. u sklopu procjene rizika).


    3. Revizija informacijskih sustava

Pod revizijom informacijskog sustava podrazumijevamo reviziju
cjelokupne informacijske tehnologije u poslovanju i ona je samo dio
cjelokupne interne ili eksterne revizije.
 Revizori informacijskog sustava moraju podržati reviziju u računalnim
aspektima posla, osiguravajući adekvatnu pokrivenost informacijskog
sustava kompanije (aplikacije, serveri, baze podataka, mreža, radne
stanice). Management osigurava da revizija poslovnog djela u
kombinaciji s revizijom informacijskog sustava predstavlja zaokruženu
                                                                            3

cjelinu. Postoji više teorija o granicama između revizora informacijskih
sustava i revizora poslovnog djela. Osnovne kontrole informacijskog
sustava (npr. kontrole pristupa mreži ili bazama podataka) može
obavljati revizor bez većih informatičkih znanja uz adekvatnu pripremu,
dok za kontrolu funkcioniranja sustava, definiranja parametara,
kontrolu razvoja i implementacije aplikacije i sl. revizor mora imati
dodatna informatička znanja o revidiranom segmentu, odnosno mora
biti specijalizirani revizor informacijskog sustava.

Osnovni segmenti revizije informacijskog sustava jesu:

       upravljanje promjenama (change management),
       razvoj, akvizicija i implementacija,
       sigurnost sustava,
       računalne operacije.

    a) UPRAVLJANJE PROMJENAMA

Pod rizikom upravljanja promjenama podrazumijevamo:
- neovlaštenu implementaciju promjena (krađa, vremenska bomba,
   gubitak podataka),
- implementaciju netestiranih promjena (pad sustava, gubitak
   integracijskih podataka)
- promjene nisu implementirane na vrijeme (nisu sukladne sa
   zakonom, poslovni gubitak)
- nepostojanje određenog nivoa sigurnosti,
- neodgovarajuće       održavanje   dokumentacije   (problemi sa
   naknadnim promjenama, gubitak       transparentnosti programske
   logike)

Prilikom revizije načina upravljanja promjenama potrebno je utvrditi da
li su definirani i dokumentirani slijedeći segmenti:
- tipovi promjena,
- traženi elemente promjena,
- ovlaštenja za obavljanje promjena,
- test procedure,
- sve promjene,
- potpisane procedure, odnosno korisničko prihvaćanje promjene,
- napisane procedure za implementaciju, a vezane za pojavu
     pogrešaka tijekom implementacije, te popravljanje istih i
     poboljšanje funkcionalnosti (preduvjeti sigurnosti, backup,
     instalacijske procedure, definirani parametri i migracija podataka,
     odjava odrađenih aktivnosti, te sve to dokumentirano)


b) RAZVOJ, AKVIZICIJA I IMPLEMENTACIJA

Prilikom revizije segmenta razvoja, akvizicije i implementacije potrebno
je kontrolirati da li je definirano slijedeće:
- dugoročna IS strategiju, pri čemu ona mora pratiti               razvoj
     tehnologije,
- uključivanje korisnika,
- kontrolne točke,
- nadzor budžeta i vremena,
- testiranje i potpisivanje procedura,
- edukacija,
- dokumentiranje,
- finalno prihvaćanje,
- migracija podataka,
- implementacija,
                                                                             4

-   post implementacijski nadzor ( performanse, skriveni bagovi,..)


    c) SIGURNOST SUSTAVA

Budući da je rizik neovlaštenog pristupa podacima povezan s
kontrolom pristupa, prilikom revizije sigurnosti sustava potrebno je
kontrolirati slijedeće segmente:
 - Neadekvatne kontrole promjene podataka, razdvajanje ovlaštenja,
(pogreške kao rezultat nedovoljnog znanja, pokušaj promjene
podataka, neovlaštene promjene – potencijalna zlouporaba, krađa)
- Neusklađenost s propisima,
- Otkrivanje podataka,
- Gubitak integriteta podataka.

    d) RAČUNALNE OPERACIJE

Prilikom obavljanja revizije potrebno je utvrditi da li postoji pisana
politika pristupa podacima (pristup podacima se treba bazirati na
stvarnoj potrebi za pristupom, podržavajući vlasništvo podataka,
odvajanje testne od produkcijske okoline, definiranje nadzora i
izvještavanja). Također, potrebno je uvesti softver za kontrolu pristupa
(podržavajući ID i password, automatske procedure za prihvaćanje
promjena, podržavajući zaštitu svih korisnika i obavezno testiranje prije
implementacije, grupe korisnika, resursa, te spremanje i izvještavanje
o startnim statusima userID-a i password-a). Sve transakcije moraju
biti logirane s vremenskom značkom- timestamp-om i userID-om.
Također, potrebno je limitirati korištenje sistemskih alata (utility).


    4. Revizija informacijskih sustava u svijetu

Revizija informacijskih sustava je u svijetu već dugo vremena
specijalizirana grana revizije. Od većeg broja strukovnih udruženja i
organizacija, jedna od najznačajnijih je ISACA, čije preporuke i
smjernice predstavljaju osnovicu pristupa i obavljanja revizije
informacijskih sustava.


4.1. O ISACI kao instituciji

ISACA (Information System Audit and Control Association) je
međunarodna organizacija koja udružuje članove na osnovi
zajedničkog strukovnog interesa. Osnovana je 1969. godine, a danas
ima više od 20 000 članova u 100 država i više od 150 sjedišta u 55
država.
Vizija ISACA-e je da bude prepoznata kao globalni lider u upravljanju,
kontroli i osiguranju IT sustava.
Misija ISACA-e je da podrži ciljeve kompanije kroz razvoj, pružanje i
promicanje       istraživanja, standarda, kompetencija i iskustava za
efikasno upravljanje, kontrolu i osiguranje informacija, sustava i
tehnologije.
ISACA djeluje kroz različite servise kao što je promicanje istraživanja,
standarda, osiguravanje informacija, obrazovanje, izdavanje certifikata
i kroz profesionalno savjetovanje. Organizacija pomaže reviziji
informacijskih sustava, kontroli i sigurnosti sustava, ne samo u
području IT-a, području rizika i sigurnosti, već i u odnosu IT i poslovnog
djela, poslovnih procesa i poslovnog rizika.
                                                                             5

4.1.1. Standardi ISACA-e

Zbog prirode posla revizije informacijskih sustava, te vještina
neophodnih za obavljanje takvih revizija, zahtijevaju se globalno
primjenjivi standardi koji se odnose specijalno na reviziju informacijskih
sustava. Jedan od ciljeva ISACA-e je unapređenje standarda.
Standardi za reviziju informacijskih sustava jesu:

010 Revizijski pravilnik
010.010 Odgovornost, ovlaštenja i pouzdanost
Standard propisuje da odgovornosti, ovlaštenja i pouzdanost funkcije
revizora informacijskih sustava moraju biti detaljno dokumentirane u
revizijskom pravilniku ili u pismu najave.

020 Neovisnost
020.010 Profesionalna neovisnost
Standard propisuje da u svim područjima vezanim uz reviziju, revizor
informacijskih sustava mora biti neovisan od subjekta revidiranja u
stavu i prikazivanju.

020.020 Organizacijski odnosi
Standard propisuje da revizija informacijskih sustava mora biti dovoljno
neovisna od okoline koja se revidira kako bi se omogućilo objektivno
obavljanje revizije.

030 Profesionalna etika i standardi
030.010 Etički kodeks
Standard propisuje da se revizor informacijskih sustava mora ponašati
u skladu s Etičkim kodeksom asocijacije.

030.020 Dužna profesionalna pažnja
Standard propisuje da je revizor informacijskih sustava obavezan
posvetiti dužnu pažnju i pridržavati se revizijskih standarda prilikom
obavljanja revizije.

040 Kompetentnost
040.010 Vještine i znanja
Standard propisuje da revizor informacijskih sustava mora održavati
tehničku kompetentnost kroz odgovarajuću kontinuiranu profesionalnu
edukaciju.

050 Planiranje
050.010 Planiranje revizije
Standard propisuje da revizor informacijskih sustava planira reviziju
informacijskih sustava sukladno ciljevima i u skladu s prihvaćenim
revizijskim standardima.

060 Performanse revizije
060.010 Nadzor
Standard propisuje da bi revizori informacijskog sustava trebali biti
adekvatno nadzirani kako bi se osiguralo da su revizijski ciljevi
postignuti i revizijski standardi primjenjivani.

060.020 Revizijski dokaz
Standard propisuje da tijekom obavljanja revizije, revizor
informacijskog sustava mora osigurati dovoljne, pouzdane, relevantne i
korisne dokaze kojima će se efikasno postići ciljevi revizije. Revizijski
nalazi i zaključci moraju biti podržani odgovarajućom analizom i
interpretacijom dokaza.
                                                                               6

070 Izvještavanje
070.010 Sadržaj i forma izvještaja
Standard propisuje da revizor informacijskih sustava mora napisati
izvještaj u adekvatnoj formi, kako bi informirao korisnike o rezultatima
obavljene revizije. U revizijskom izvještaju moraju biti navedeni obim
revizije, ciljevi, period revidiranja, te opis obavljene revizije. Izvještaj
treba identificirati organizaciju, utvrđene primatelje i sve restrikcije u
protoku informacija. U izvještaju moraju biti navedeni propusti,
zaključci i preporuke te sve rezervacije u mišljenju.

080 Naknadne aktivnosti
080.010 Slijedne radnje
Standard propisuje da revizor informacijskih sustava mora tražiti i
vrednovati zadovoljavajuće informacije vezane uz prethodne propuste,
zaključke i preporuke kako bi ustanovio da su implementirane
odgovarajuće akcije u odgovarajućem vremenskom roku.

4.1.2. Etički kodeks ISACA-e

Pravila Kodeksa profesionalne etike ISACA-e pružaju smjernice za
etičko i profesionalno ponašanje članova asocijacije i ovlaštenih
revizora informacijskog sustava. Članovi su dužni:
 Podržavati uspostavljanje informacijskog sustava te sukladnost s
    standardima, procedurama i kontrolama,
 Postupati u skladu s Standardima revizije informacijskog sustava
    usvojenih od strane asocijacije,
 Služiti interesu zaposlenika, dioničara i javnosti na marljiv, pošten i
    odgovoran način i ne smiju svjesno biti dijelom bilo kakve ilegalne i
    neodgovarajuće aktivnosti,
 Održati povjerljivost informacija prikupljenih tijekom obavljanja
    njihovih dužnosti. Informacije se ne smiju koristiti za osobnu korist
    niti odavati neovlaštenim trećim stranama,
 Obavljati svoje dužnosti na neovisan i objektivan način i izbjegavati
    aktivnosti koje ugrožavaju ili mogu ugrožavati njihovu neovisnost,
 Održavati kompetentnost u srodnim područjima revizije i
    informacijskih sustava kroz sudjelovanje u aktivnostima
    profesionalnog razvoja,
 Koristiti dužnu pažnju u prikupljanju i dokumentaciji dovoljnog
    činjeničnog materijala na osnovu kojeg se baziraju zaključci i
    preporuke,
 Informirati odgovarajuće strane o rezultatima provedene revizije,
 Podržati edukaciju managementa klijenata i javnosti u
    unaprjeđenju njihovog razumijevanja revizije i informacijskih
    sustava,
 Održati visoke standarde u izvedbi i karakteru kako profesionalnih
    tako i osobnih aktivnosti.

4.1.3. Certifikat CISA

ISACA organizira polaganje ispita i izdaje CISA (Certified Information
System Auditor) certifikat. U svijetu ima 12 000 osoba koje su dobile
certifikat. Da bi osoba dobila certifikat mora položiti CISA ispit, mora
imati najmanje 5 godina iskustva u reviziji i mora se ponašati u skladu
s Etičkim kodeksom ISACA-e. Ispitu mogu pristupiti svi pojedinci koji
imaju interes u području revizije informacijskih sustava, kontrole i
sigurnosti. Polaganje ispita se održava jednom godišnje. Polaže se na
9 jezika i na 180 lokacija u svijetu. Održavanje certifikata zahtjeva 20
sati edukacije godišnje. U 2002. godini se po prvi put planira
održavanje ispita u Hrvatskoj.
                                                                              7


4.2. Hrvatska podružnica ISACA-e - ISACA Croatia Chapter


Početkom 2001 međunarodni odbor ISACA-e dozvolio je ime Croatia
Chapter i teritorij cijele Republike Hrvatske, a 15.03.2001 održana je
osnivačka skupština i izabrana su tijela Udruge. Udruga trenutno ima
18 članova, a za slijedeću godinu planira održavanje ispita CISA u
Hrvatskoj.
Prema statutu Udruge svrha Udruge je edukacija i distribucija
informacija svim članovima s ciljem unapređenja stručnih znanja u
području kontrole, nadzora i revizije informacijskih sustava. Udruga
promovira i proširuje svijest o potrebi za kontrolom, nadzorom i
revizijom informacijskih sustava među upravom poduzeća i
organizacija, te javnosti. (Članak 3.)

4.3. COBIT

U praktičnom svakodnevnom radu, nezaobilazna pomoć u primjeni
pravila i metodologije ISACA-e je publikacija COBIT, koja se sastoji od
više dijelova od kojih je jedan i "vodič za reviziju".

ISACA izdaje COBIT publikaciju (Control Objectives for Information
and related Technology-Ciljevi kontrole informacijske i pridružene
tehnologije) koja je dizajnirana za revizore, korisnike te kao kompletan
vodič za managere i vlasnike upravljačkih i poslovnih procesa. Misija
COBIT-a je istraživati, razvijati, publicirati i promovirati autoritativni,
ažurni internacionalni skup općenito prihvaćenih ciljeva kontrole
informacijske tehnologije od strane managera i revizora.
Ciljevi kontrole informacijske i pridružene tehnologije (COBIT), sada u
svom trećem izdanju, pomaže managementu da osigura da njegove
odluke balansiraju između postavljenih ciljeva i upravljanja rizikom.
Korisnicima osigurava da se izbalansira sigurnost i kontrola proizvoda i
usluga koje su tražili, revizorima informatičke tehnologije omogućava
kreiranje efikasnih revizijskih programa, podržava revizijske nalaze i
preporuke te načine        povezivanja kontrolnih ciljeva i      zahtjeva
organizacije.
Poslovna orijentacija je glavna tema COBIT-a. Praksa sve više
uključuje vlasnike poslovnih procesa u smislu da su oni u potpunosti
odgovorni za sve aspekte poslovnog procesa. U suštini, to uključuje i
odgovornost da je sustav kontrola adekvatno uspostavljen.
Posebno, COBIT pruža Modele sazrijevanja za kontrolu nad IT
(Information Technology) procesima, tako da management može
ocijeniti današnje stanje organizacije i gdje bi organizacija voljela biti.
Kritički faktori uspjeha definiraju najvažnije management orijentirane
implementacijske smjernice za postizanje kontrole nad i unutar svojih
IT procesa. Ključni indikatori cilja definiraju mjere koje govore
management-u činjenično - koliko dobro je neki IT proces zadovoljio
svoje poslovne zahtjeve te Ključni indikatori učinka, koji su vodeći
indikatori definiranja kvaliteta učinaka IT procesa u omogućavanju
postizanja ciljeva.

COBIT je izdan u šest publikacija:

   Sažetak (Executive summary)
   Radni okvir (Framework)
   Kontrolni ciljevi (Control objectives)
   Vodič za reviziju (Audit guidelines)
   Smjernice za management (Management guidelines)
   Skup alata za implementaciju (Implementation tool set)
                                                                               8


Management mora osigurati da se sustav internih kontrola u raznim
područjima rada uspostavi na način da podržava poslovne procese, te
osigurati da svaka kontrolna aktivnost podržava postavljene ciljeve i
utjecaj na IT resurse. Radni okvir (Framework) je alat koji vlasnicima
poslovnih procesa olakšava sistematiziranje i razrješavanje
odgovornosti. Utjecaj na IT resurse je naglašen u radnom okviru
zajedno sa zahtjevima za efektivnošću, efikasnosti, povjerljivosti,
integritetom, dostupnosti, sukladnosti (compliance) i pouzdanosti
informacija, koji moraju biti zadovoljeni. Kontrole, koje uključuju politike
i pravilnike, organizacijsku strukturu, praksu i procedure, su
odgovornost managementa.

Management kroz svoje upravljanje kompanijom mora osigurati
prakticiranje dobre volje kod svih individua koji su uključeni u
upravljanje, korištenje, dizajn, razvoj, održavanje ili operativu
informacijskog sustava. Jedan od IT kontrolnih ciljeva je
implementacija sustava internih kontrola unutar pojedinačne IT
aktivnosti.
COBIT IT proces definiran je unutar četiri domene:

1. Planiranje & Organizacija
2. Akvizicija & Implementacija
3. Isporuka & Podrška
4. Nadzor

Ova struktura pokriva sve aspekte informacija i tehnologija za njihovu
podršku. Adresirajući 32 cilja kontrole visoke razine, vlasnik poslovnog
procesa može osigurati primjereni kontrolni sustav u IT okolini.

Vodič IT upravljanja (governance) je također prezentiran unutar
COBIT-a. IT upravljanje osigurava strukturu koja povezuje IT procese,
IT resurse i informacije sa           strategijom i ciljevima kompanije.
Upravljanje IT-om integrira optimalan način planiranja i organizacije,
prikupljanja i implementacije, isporuke i održavanja, te praćenja IT
performansi. Upravljanje IT-om omogućava kompaniji iskorištavanje
pune prednosti svojih informacija, maksimizirajući korisnosti,
kapitaliziranje prilika i dobivanje konkurentskih prednosti.

Vodič za reviziju (audit guideline) definira okvir revizije koji bi trebalo
zadovoljiti obzirom na zadani cilj. Također su definirani okvirni postupci
za konkretne revizije koje treba prilagoditi vlastitom sustavu i
postojećim pravilnicima. Opisani su i sustavi kontrola koje bi trebao
management osigurati kao i preporuke za poboljšanje.

Postupci prilikom obavljanja revizije IT procesa jesu:

1. Prikupljanje i razumijevanje informacija (Obtaining and
   undrestanding) -potrebno je razumjeti rizike i kontrolne mehanizme
   vezane uz zahtjeve poslovanja,
2. Vrednovanje kontrola (Evaluating the controls) -potrebno je
   ocijeniti valjanost postojećih kontrola,
3. Osiguravanje sukladnosti (Assessing compliance) -ocijeniti
   sukladnost postojećih kontrola sa zahtijevanim, te dosljednost i
   neprekidnost,
4. Identificiranje rizika (Substantiating the risk) -supstituirati rizik u
   kontrolnim točkama u kojima nije uspješno smanjen analitičkim
   tehnikama ili ostalim načinima.
                                                                             9

1. Prikupljanje i razumijevanje informacija je revizijski korak u
kojem je potrebno dokumentirati aktivnosti vezane uz kontrolne ciljeve
kao i identificirati postojeće kontrolne mehanizme.

   Potrebno je intervjuirati management i osoblje s ciljem
    razumijevanja:
        -zahtjeva poslovanja i potencijalnih rizika
        -organizacijske strukture
        -pravila i ovlaštenja
        -pravilnika i procedura
        -zakonske regulative
        -kontrolnih funkcija
        -izvještavanja managementu
   Dokumentirati proces –definirati na koje IT resurse točno utječe
    proces koji se revidira. Potrebno je razumjeti revidirani proces,
    Ključne indikatore učinkovitosti (Key performance indicators)
    procesa, kontrole uključene u proces, te moguću povezanost s
    ostalim procesima.

Ključni indikatori učinkovitosti (Key performance indicators)
pokazuju koliko dobro se odvijaju IT procesi u usporedbi s zadanim
ciljevima:
 poboljšani omjer troškovi/učinkovitost IT procesa (trošak spram
     isporučenog)
 povećani broj planova akcija i inicijativa za poboljšavanje procesa
     u IT-u
 povećana iskoristivost IT infrastrukture
 povećano zadovoljstvo vlasnika (pregled i broj pritužbi/reklamacija)
 poboljšana produktivnost osoblja (broj isporučenog) i poboljšani
     moral (anketa)
 povećana raspoloživost znanja i informacija za management tvrtke
 povećana povezanost vladanja tvrtkom i IT-om


Ključni indikatori učinkovitosti u praksi:
-up- time-vrijeme dostupnosti sustava unutar radnog vremena/ukupno
radno vrijeme
-access security-formalna ovlaštenja/stvarna ovlaštenja u sustavu
-control findings-pronađene nepravilnosti/kontrole
-file security-pronađene nepravilnosti/kontrole
-DB        integrity-nepravilnosti    pronađene      s      kontrolnim
programima/kontrole
-Quality system testing-nepravilnosti koje nisu pronađene tijekom
testiranja/osigurano testiranje sustava

2. Vrednovanje kontrola je revizijski korak u kojem je potrebno
ocijeniti efektivnost kontrolnih mehanizama ili stupanj kontrolnih ciljeva
koji je dosegnut. U osnovi odlučiti što i na koji način testirati.

   Potrebno je ocijeniti da li su kontrolni mehanizmi odgovarajući za
    revidirani proces prema postavljenim kriterijima i standardima
    prakse, na osnovu Ključnih faktora uspjeha (Critical success
    factor) kontrolnih mehanizama te prema osobnoj prosudbi revizora.
    Potrebno je provjeriti da li postoji:
        -dokumentacija procesa
        -odgovarajuća isporučivost procesa
        -jasno definirana i efikasna odgovornost
        -nadomjesne (compensating) kontrole ukoliko su potrebne
   Potrebno je ocijeniti stupanj dostignutih kontrolnih ciljeva
                                                                              10

Ključni faktori uspjeha (Critical Success Factors) definiraju najvažnije
management orijentirane korake za implementaciju i kontrolu nad i
unutar IT procesa. Oni su slijedeći:
1. odgovornosti
2. striktni standardi
3. dokumentirani kontrolni procesi
4. kontrola informacija
5. dokumentiranost i mjerljivost (accountability)

Odnosno:
 aktivnosti upravljanja IT-om su integrirane u procese upravljanja
    organizacijom i ponašanje lidera
 upravljanje IT-om se fokusira na ciljeve tvrtke, strateške inicijative,
   uporabu tehnologije za proširivanje poslovanja i na raspoloživost
   dovoljno resursa i kapaciteta kako bi se držao korak sa zahtjevima
   posla
 aktivnosti upravljanja IT-om su definirane s jasnom svrhom,
   dokumentirane i implementirane, temeljem potreba tvrtke i
   jednoznačnosti obračunavanja
 prakse management-a su implementirane za povećanje efikasne i
   optimalne uporabe resursa i povećavanja učinkovitosti procesa IT
 utemeljene su prakse organizacije, koje omogućavaju ozbiljan
   pregled na, kontrolne okoline, snimanje rizika, kao standardne
   prakse utemeljene na stupnju usklađenosti s utvrđenim
   standardima, nadzor i slijeđenje nedostataka kontrole i rizika
 prakse kontrole su definirane kako bi se izbjegli proboji u internoj
   kontroli i upravljanju konfiguracijom
 utemeljen je revizijski odbor za imenovanje i nadgledanje
   nezavisnog revizora, fokusiranog na IT, kada se provodi plan
   revizije te pregledavanje rezultata revizije kao i pregleda trećih
   strana.

Ključni faktori uspjeha u praksi:
 okolina (environment) s ciljem definiranja globalne strategije,
    planiranja pravilnika, metodologije i standarda
 vođenje projektima (project management)- dobar projekt je onaj
    koji se realizira u vremenu kraćem od 12 mjeseci
 ciljevi projekta (project objectives) - koncentrirani na zašto i kako
 korisnik (user) -uključenost i vlašništvo podataka
 predanost managementa (management commitment)- snaga,
    vizija i osobna uključenost
 vodstvo & osoblje (leadership & people) - pojedinačno odlučivanje
    unutar projekta

3. Osiguravanje sukladnosti podrazumijeva da li uspostavljeni
mehanizmi funkcioniraju na način na koji je zahtijevano, dosljedno i
neprekinuto te zaključak o adekvatnost kontrolnih mehanizama.
Potrebno je:

   kontrolirati direktne i indirektne evidencije za odabrani
    uzorak/period kako bi potvrdili sukladnost procedura za direktne i
    indirektne evidencije
   obaviti kontrolu uzorka adekvatnosti isporuke podataka
   definirati nivo testiranja (substantive testing) i dodatnog revizijskog
    posla potrebnog da bi utvrdili adekvatnost IT procesa.

4. Identificiranje rizika je revizijski korak u kojem je potrebno ocijeniti
u kojim točkama kontrolni ciljevi nisu uspostavljeni korištenjem
analitičkih metoda ili ostalim načinima. Cilj je podržati mišljenje i
                                                                                 11

potaknuti management na akciju. Revizor mora biti kreativan u traženju
i prezentiranju tih često osjetljivih i povjerljivih informacija. Potrebno je:

   dokumentirati slabosti kontrolnih mehanizama, te potencijalni rizik
    (npr. krađa)
   identificirati i dokumentirati aktualne i potencijalne utjecaje
   osigurati komparativnu informaciju (pomoću benchmarks-a).

Smjernice za management (Management guidelines) omogućavaju
managementu kompanije da efikasnije rukovodi potrebama i
zahtjevima IT upravljanja. Vodič je usmjeren na djelovanje i
osiguravanje managementu kompanije smjernice za kontrolu nad
dobivanjem adekvatnih informacija i povezanih procesa, nadzor nad
postizanjem organizacijskih ciljeva, te nadzor nad performansama
unutar pojedinog IT procesa te za uspoređivanje organizacijskih
dostignuća.

Kriterij informacija:
 učinkovitost
 efikasnost
 tajnost
 integritet
 raspoloživost
 usklađenost
 pouzdanost

IT resursi
 ljudi
 aplikacije
 tehnologije
 prostori

COBIT je alat koji omogućava managementu premostiti nedostatke
zahtijevanih kontrola, tehničke podrške i poslovnog rizika, te
prezentiranje razine upravljanja rizikom dioničarima. COBIT olakšava
razvoj jasno definiranih procedura kroz IT kontrole unutar čitave
kompanije. Na osnovu postavljenih kriterija funkcioniranja poslovnog
procesa i resursa kojima raspolažemo te zadane domene, COBIT nam
daje smjernice za realizaciju postavljenog cilja.

Ključni indikatori cilja (Key goal indicators) definiraju parametre koji
ukazuju managementu kada pojedini IT proces zadovoljava zahtjeve
poslovanja. Najčešće su prikazani kao:
 dostupnost sustava i usluga
 izostanak integriteta i rizik povjerljivosti
 cost-efficiency procesa i operacija
 potvrda o pouzdanosti, efektivnosti i sukladnosti podataka

Ključni indikatori cilja (poslovna vrijednost):
 prošireni učinci i upravljanje troškovima
 poboljšana dobit na glavnim IT investicijama
 poboljšano vrijeme izlaska na tržište (time to market)
 povećana kvaliteta i inovacije i upravljanje rizikom
 primjerno integrirani i standardizirani procesi poslovanja
 dohvat novih i zadovoljavanje postojećih klijenata
 raspoloživost odgovarajuće širine pojasa (brzina kanala u mreži),
    te IT mehanizma isporuke (produkata/servisa)
 ostvarivanje zahtjeva i očekivanja proračuna i vremena procesa
                                                                           12

   usklađenost sa zakonima, regulacijama, industrijskim standardima
    i ugovornim obavezama
   transparentnost preuzetih rizika i usklađenost s ugovorenim
    profilom rizičnosti organizacije
   komparativna ispitivanja (benchmarking) zrelosti upravljanja IT-om
   kreiranje novih kanala za isporuku servisa

COBIT također sadrži Skup alata za implementaciju koji pruža lekcije
naučene u onim organizacijama koje su brzo i uspješno primijenile
COBIT u svojim radnim okolinama. Slijedećih nekoliko godina,
management organizacija će morati ostvariti povećanu razinu
sigurnosti i kontrole. COBIT je alat, koji omogućava manageru
premošćivanje provalije vezane za zahtjeve kontrole, tehničku
problematiku i poslovni rizik, komuniciranje te postignute razine
kontrole prema vlasnicima tvrtke. COBIT omogućava razvoj jasnih
politika i dobrih praksi IT kontrole u organizacijama cijelog svijeta.
COBIT osigurava i model zrelosti upravljanja IT (Maturity models) za
kontrolu IT procesa. Pomaže management-u u definiranju gdje se
kompanija nalazi danas, kako stoji u odnosu na najbolju kompaniju u
njezinoj branši, u odnosu na internacionalne standarde te gdje
kompanija želi biti u budućnosti.


5. Implementacija funkcije revizora informacijskih sustava u
internu reviziju u Zagrebačkoj banci d.d.

Zagrebačka banka, kao vodeća Banka u Hrvatskoj, neprestano ulaže u
modernizaciju i informatizaciju svoga poslovanja. Time je kroz vrijeme
informatizacije poslovanja sve više utjecala i na rad samostalne
Direkcije unutarnje kontrole.

Tijekom obavljanja revizijskih aktivnosti uočena je potreba za:
      specijalističkim znanjima iz područja informacijskih sustava, za
       potrebe pristupa, prikupljanja i obrade podataka za obavljanje
       revizije,
      čvršćom suradnjom sa Sektorom informatike,
      objedinjavanjem sporadičnih aktivnosti na reviziji informacijskih
       sustava u sistematski, jedinstven pristup, koji će surađivati s
       projektnim timovima tijekom razvoja IS-a, te obavljati
       kontinuiranu validaciju tijekom produkcijskog života,
      učestvovanjem revizora pri specifikaciji i odabiru IS-a, kako bi
       se osiguralo da odabrani program pruža mogućnost revizije i
       ima ugrađen dovoljan broj kontrolnih točaka na odgovarajućim
       mjestima.

U 2000. godini je osnovana i zasebna funkcija revizora informacijskih
sustava unutar Direkcije unutarnje kontrole.

Aktivnosti implementacije funkcije revizora informacijskih sustava
organizirane su u nekoliko faza:

-FAZA 0: Predstavljanje programa i plana aktivnosti managementu i
Sektoru informatike, te dobivanje njihove potpore.

-FAZA I:
   a) kontrola pristupa mreži
   b) kontrola pristupa podacima po svim platformama
   c) kontrola ažurnosti prijava/odjava djelatnika kao korisnika IS-a
   d) postojanje       i     ažurnost     pisanih    procedura       za
        prijavu/odjavu/dodjelu ovlaštenja
                                                                               13




Revizija informacijskih sustava započeta je jednostavnijim kontrolama,
odnosno kontrolama u kojima se smatralo da će biti vrlo malo ili da
uopće neće biti nepravilnosti. Orijentacija je bila na ugrađenim internim
kontrolama u procesu rada. U tim kontrolama promatrana je ažurnost
prijava i odjava djelatnika koji su napustili Banku ili promijenili
organizacijski dio unutar Banke. Orijentacija je također bila i na kontroli
postojanja pisanih procedura i uputa vezanih uz prijavu i odjavu
djelatnika, te prijavu i odjavu ovlaštenja po svim platformama.

-FAZA II:
   e) kontrola ovlaštenja djelatnika SI

Obavljena je kontrola ovlaštenja djelatnika Sektora informatike i
djelatnika koji nisu iz Sektora informatike, ali zbog prirode posla imaju
ovlaštenja da obavljaju select, insert, delete i update nad produkcijskim
podacima. Orijentacija je bila na kontroli pisanih procedura u kojima
treba biti striktno definirano tko smije imati ovlaštenje za select, insert,
delete i update nad produkcijskim podacima.

 Zbog prirode posla nastoji se u Sektoru informatike propuste, za koje
je to moguće, otkloniti za vrijeme obavljanja kontrole u dogovoru s IT
managementom.

-FAZA III:
   f) kontrola načina vođenja projekta

U 2001. godini u Zagrebačkoj banci d.d. osnovan je Sektor za
upravljanje poslovnim promjenama čija je svrha vođenje projekata i
koordiniranje između sponzora projekata i ostalih organizacijskih
dijelova koji će sudjelovati u izradi istih. Uz propisivanje procedure i
pravilnika za vođenje projekata Sektor je krenuo u vođenje prvih
projekata. U ovoj fazi napravljena je kontrola načina vođenja projekata
u početnoj fazi izrade projekta jer se kroz adekvatno propisane
procedure i način vođenja projekata u koje je uključeno više
organizacijskih dijelova mogu i moraju ugraditi odgovarajući kontrolni
mehanizmi, odnosno zadovoljavajuće interne kontrole u procesu rada.

-FAZA IV:
   g) primjena revizijskog softvera

Trenutno se u Zagrebačkoj banci testira revizijski softver ACL (Audit
Command Language) koji između ostalog omogućava kompletniji i
globalniji pristup reviziji. Isti omogućava filtriranje podataka, odabiranje
uzoraka, slikoviti prikaz dobivenih rezultata i što je najvažnije sve upite
detaljno dokumentira, te pruža mogućnost zadavanja slijeda upita što
će skratiti vrijeme pripreme revizije kako poslovnog dijela tako i
Sektora informatike. Revizijski softver ACL omogućava reviziju
poslovnih segmenata i segmenata u Sektoru informatike koja je zbog
načina poslovanja vrlo složeno kontrolirati (npr. kontrolu rada
programa u pojedinim rizičnim segmentima, npr. obračun kamata,
kontrolu i izdvajanje logova i sl.)

Uz kontrole u Sektoru informatike, revizor informacijskih sustava može
poboljšati kvalitetu obavljanja revizije poslovnih dijelova budući da su
sva poslovna područja računalno podržana. Revizijski tim bi se trebao
sastojati od dva revizora poslovnog područja i jednog revizora
informacijskih sustava. Revizor informacijskih sustava bi trebao snimiti
                                                                              14

tehnologiju rada na način da sa drugačijeg (tehničkog aspekta)
identificira ugrađene kontrolne mehanizme i interne kontrole u procesu
rada.

6. Zaključak

Koliko god je očita neminovnost sve šire uporabe informacijskih
sustava u poslovnim procesima, posebice u bankarstvu, toliko je nužno
unapređivanje sustava interne revizije posebice s obzirom na
informatizaciju revizijskih procesa. Ovisnost poslovanja i pojavnost
postojanja informacija isključivo u elektronskom obliku impliciraju
potrebu sustavne validacije i revizije informacijskih sustava kao
krvotoka poslovanja. Validirani informacijski sustav i kontrola nad
načinom njegove uporabe, osim sigurnosti poslovnih procesa bitno
utječe i na smanjenje ukupnog revizijskog rizika. Koristeći se takvim,
pouzdanim informacijama iz informacijskog sustava uz upotrebu
specijaliziranih revizijskih aplikacija, moguće je obrađivati i nadzirati
ogromne količine informacija, karakteristično za poslovanje na
globalnom tržištu. Koristeći u svijetu već duže vrijeme razvijene
standarde i procedure revizije informacijskih sustava, moguće je i u
Hrvatskoj relativno brzo uhvatiti korak s revizijskom strukom.
Zagrebačka banka u skladu s nastojanjem da očuva svoju vodeću
poziciju na tržištu i još više unaprijedi svoje poslovanje, ulaže velike
napore u unapređivanje sustava revizije, posebice revizije
informacijskih sustava. Implementacijom funkcije i osnivanjem tima za
reviziju informacijskih sustava, ti napori su dobili i svoj formalni okvir.
Očekuje se značajan utjecaj na unapređenje revizijskih procesa, na
zadovoljstvo vlasnika, managementa i posebice kvalitetnijih servisa
zaposlenicima i korisnicima bankarskih usluga.


Literatura

   Aurora Volarević: Revizija u uvjetima primjene računala u
    poslovanju, magistarski rad, 2000.
   COBIT Steering Committee and IT Governance Institute: COBIT,
     rd
    3 Edition, 2000.
   Hendrik Ceulemans: Fundamentals and practices of information
    system auditing
   ISACA : 2001 CISA Review technical information manual, 2000.
   Jack C. Robertson: Auditing, eight edition, Times miror higer
    education group,1996.
   S. Rao Vallabhaneni: CISA examination textbooks, second edition,
    SRV profesional publication,1996.
   Statut ISACA-e Croatia Chapter
   William F. Messier Jr.: Revizija, priručnik za revizore i studente,
    Faber &Zgombić Plus, 1998.

								
To top