tehnologija na proces revizije - ef.uns.ac.rs · Principi na kojima se bazira COBIT 5 70 4.2.1. ... 9.3. Međuodnos ... ali se situacija poslednjih decenija radikalno pro-

Naziv izdanja: Aktuelni uticaji informacionih tehnologija na proces revizije

Autor: Prof. dr Mirko Andrić

Prof. dr Dejan Jakšić dr Kristina Mijić

Recenzenti: Prof. dr Đerđi Petkovič, redovni profesor Ekonomskog fakulteta u Subotici

Prof. dr Branko Krsmanović, redovni profesor Fakulteta poslovne ekonomije u Bijeljini

Prof. dr Ljiljana Bonić, vanredni profesor Ekonomskog fakulteta u Nišu

Izdavač: Univerzitet u Novom Sadu Ekonomski fakultet u Subotici www.ef.uns.ac.rs

Glavni i odgovorni urednik: Prof. dr Nenad Vunjak

Tehnička realizacija: Milivoje Grahovac

ISBN: xxxxxxxxxxx

Izdato: Subotica, 2015. godine

Tiraž: 100 primeraka

Štampa: Proleter, Bečej

CIP

Sva prava zadržana. Nijedan deo ove knjige ne može biti reprodukovan, presnimavan ili prenošen bilo kojim sredstvom - elektronskim, mehaničkim, kopiranjem, snimanjem,

skeniranjem ili na bilo koji drugi način bez prethodne pismene saglasnosti autora i izdavača.

Na osnovu odluke sa 30. sednice Nastavno-naučnog veća održane 02.10.2015.

godine, "Aktuelni uticaji informacionih tehnologija na proces revizije" autora prof. dr Mirka Andrića, prof. dr Dejana Jakšića i dr Kristine Mijić postalo je zvanično učilo Ekonomskog fakulteta u Subotici i odobreno je njegovo izdavanje i upotreba.

III Predgovor

Uvod Savremeni ekonomski uslovi postavljaju pred revizore visoke zahte-ve u pogledu očekivanog kvaliteta revizorskog rada. Na pouzdanosti finansijskih izveštaja počiva čitav sistem finansijskih tržišta što pos-redno znači da nezavisno i kompetentno mišljenje o finansijskim izveštajima ima veliku informativnu vrednost. Sa druge strane, okru-ženje u kojem treba izraziti mišljenje je za revizore sve složenije budući da se kompanije globalizuju, proširuju obim i vrste svojih aktivnosti, obrađuju svoje podatke elektronskim putem i dr.

Pri tome treba imati u vidu da se revizorima stalno nameću cenovni i vremenski pritisci da sa ograničenim resursima što efikas-nije sprovedu procedure uveravanja i izraze mišljenje. Preuzimanje odgovornosti za izraženo mišljenje je nezahvalno budući da je revi-zoru teško da stekne razumno uverenje da su nalazi dovoljni i adek-vatni za izražavanje mišljenja. U vreme kada se hiljade računovods-tvenih transakcija odvija gotovo simultano, nije lako biti siguran u sopstvene zaključke. Osim toga, revizor se kod različitih klijenata sreće sa različitim informatičkim okruženjem, na šta još treba dodati činjenicu da se informacione tehnologije izuzetno brzo menjaju što klijenti prate sa više ili manje uspeha. Iste softverske platforme mogu kod različitih preduzeća dati različit kvalitet računovodstvene obrade u zavisnosti od uspešnosti procedura prilagođavanja softvera potre-bama preduzeća, obučenosti osoblja, otporu promenama i sl.

Primetno je i odsustvo regulative koja se bavi specifičnim oblastima testiranja informacionog sistema od strane revizora. Umes-to o regulativi, u ovoj oblasti više možemo govoriti o dobroj poslov-noj praksi i primeni smernica nego o jasnim pravilima. Osim toga, regulativa koja postoji često je kontradiktorna i kompleksna za implementaciju. Različiti regulatori izdaju različite okvire profesio-nalne prakse. Pri tome treba imati u vidu da se revizija informacio-nog sistema razlikuje u zavisnosti od toga da li se izvodi kao deo eksterne, interne ili državne revizije. Razlikuje se u smislu delokruga rada, ali i okvira izvođenja budući da postoji različita regulativa za svaku od tradicionalnih vrsta revizije. U svemu ovome, zaista je teš-ko pronaći pravi pristup i steći adekvatna znanja što je dovelo do

IV Aktue ln i u t i ca j i i n formac ion ih tehno log i j a na p roces rev i z i j e

izdvajanja revizora informacionih sistema kao posebne vrste specija-lista koji danas imaju svoje profesionalne organizacije na globalnom i lokalnom nivou, svoju sertifikaciju i kontinuiranu edukaciju.

Ova monografija ima za cilj da pomogne u početnoj orijentaci-ji prilikom sprovođenja ispitivanja informacionih sistema od strane revizora kroz objedinjavanje saznanja iz graničnih oblasti revizije i informacionih tehnologija. Potrebna znanja za snalaženje revizora u savremenom informatičkom okruženju su u našoj zemlji veoma oskudna, što se svakako može reći i za revizijsku praksu. Zbog toga je ova monografija namenjena svima onima kojima su neophodna šira okvirna znanja koja dalje trebaju biti nadopunjena specifičnim znanjima i alatima za sprovođenje konkretnih revizorskih procedura.

V Sadržaj

Sadržaj

Deo I Računovodstvene implikacije i kontrolni sistem u okruženju informacionih tehnologija 1. Revizija danas – promene kao posledica IT okruženja 3 1.1. Gradivni elementi informacionog sistema 8 1.2. Arhitektura informacionog sistema kao odgovor na izazove 9 1.2.1. Samostalni računari 9 1.2.2. Računarske mreže 11 1.2.3. Onlajn sistemi 13 1.2.4. Sistemi za upravljanje podacima 22 1.2.5. Ekspertni sistemi 24 1.2.6. Operativni sistemi 27 1.2.7. Aplikativni programi 28 1.3. Raznovrsnost metoda unos i obrada podataka kroz računovodstveni sistem 292. Kako implementirati računovodstveni softver 33 2.1. Računovodstveni softver u funkciji upravljanja preduzećem 34 2.2. Kvalitativni zahtevi računovodstvenog softvera 37 2.3. Strategijski plan implementacije računovodstvenog softvera 403. Interne kontrole i IT okruženje 47 3.1. Vrste internih kontrola u okruženju informacionih tehnologija 47 3.2. Opšte kontrole 48 3.3. Aplikativne kontrole 574. COBIT 5 – savremena regulativa IT kontrola 68 4.1. COBIT kao referentni okvir za IT interne kontrole 68 4.2. Principi na kojima se bazira COBIT 5 70 4.2.1. Princip 1. COBIT 5 kao okvir za integraciju 71

VI Aktue ln i u t i ca j i i n formac ion ih tehno log i j a na p roces rev i z i j e

4.2.2. Princip 2. COBIT 5 zasnovan na stvaranju vrednosti za stejkholdere 71 4.2.3. Princip 3. COBIT 5 fokusiran na poslovni kontekst 73 4.2.4. Princip 4. COBIT 5 zasnovan na „instrumentima za ostvarenje ciljeva“ 79 4.2.5. Princip 5. razdvajanje upravljanja i rukovođenja 83 4.3. Referentni model IT procesa 84 Deo II Specijalizacija revizijskih zahteva za razmatranjem informacionih sistema

5. Delokrug rada revizije informacionih sistema 93 5.1. Uticaj informacionih tehnologija na savremeno poslovanje 93 5.2. Potreba za revizijom informacionih sistema 94 5.3. Pojam revizije informacionog sistema 98 5.4. Vrste revizije i položaj revizije informacionog sistema 103 5.5. Dužnosti i potrebne kvalifikacije revizora informacionog sistema 1096. Regulativa IT revizije 113 6.1. Radni okvir za reviziju informacionih sistema 114 6.2. Okvir za IT uveravanje (ITAF) 124 6.3. Smernice za IT uveravanje na bazi COBIT-a 136 6.4. Kodeks profesionalne etike IT revizora 1397. Proces IT revizije 142 7.1. Planiranje revizije informacionog sistema na osnovu procene rizika 142 7.1.1. Razumevanje poslovanja organizacije 143 7.1.2. Definisanje IT revizijskog univerzuma 146 7.1.3. Procena rizika u funkcionisanju informacionog sistema 148 7.1.4. Izrada plana revizije informacionog sistema na bazi procene rizika 153 7.2. Sticanje razumevanja predmeta ispitivanja 157

VII Sadržaj

7.3. Identifikacija ključnih kontrola na bazi ocene rizika informacionog sistema 160 7.4. Materijalnost u reviziji informacionog sistema 164 7.5. Procena revizijskog rizika 166 7.6. Izrada plana i programa revizije 172 7.7. Prikupljanje dokaza izvođenjem revizijskih testova 175 7.8. Formiranje zaključaka revizije 180 7.9. Izveštavanje o rezultatima revizije informacionog sistema 182 7.10. Naknadne aktivnosti revizije na praćenju implementacije preporuka 187 Deo III Savremeni trendovi računovodstva i revizije u okruženju informacionih tehnologija 8. Revizijski softver i alati 191 8.1. Primena kompjutera kao revizijskog alata 191 8.2. Revizorski softverski paketi 198 8.3. Unapređenja procesa revizije razvijanjem softverskog rešenja na bazi upravljanja poslovnim procesima 201 8.3.1. Ograničenja efikasnog i kvalitetnog sprovođenja revizije finansijskih izveštaja 202 8.3.2. Identifikovanje obeležja revizije finansijskih izveštaja kao poslovnog procesa 204 8.3.3. Metodološki koraci upravljanja revizijom finansijskih izveštaja kao poslovnim procesom 206 8.3.4. Rezultati istraživanja efikasnosti i kvaliteta revizije finansijskih izveštaja primenom softverskog rešenja za upravljanje poslovnim procesom 215 9. Revizijski pristup kontinuiranog uveravanja u vrednovanju IT internih kontrola 219 9.1. Menadžerski pristup kontinuiranom uveravanju putem kontinuiranog monitoringa

220

9.2. Pojam, uloga i ciljevi kontinuirane revizije 221

VIII Aktue ln i u t i ca j i i n formac ion ih tehno log i j a na p roces rev i z i j e

9.3. Međuodnos kontinuiranog monitoringa i kontinuirane revizije 224 9.4. Povezivanje kontinuirane revizije i kontinuiranog monitoringa sa procesom upravljanja rizikom 22710. Implementacija XBRL u funkciji unapređenja finansijskog izveštavanja 229 10.1. Pojmovno određenje i cilj XBRL standarda 230 10.2. Komponente XBRL-a 233 10.3. Metode i faze implementacija XBRL-a u proces finansijskog izveštavanja 235 10.4. Prednosti finansijskog izveštavanja primenom XBRL-a 238 Zaključna razmatranja 241Literatura 245

2 Aktue ln i u t i ca j i i n formac ion ih tehno log i j a na p roces rev i z i j e

3 R ačunovodstvene imp l ikac i j e i kon t ro ln i s is tem u . . .

11.. RReevviizziijjaa ddaannaass –– pprroommeennee kkaaoo ppoosslleeddiiccaa IITT ookkrruužžeennjjaa Kompjuteri su ne tako davno bili potpuno nepoznati u računovods-tvenom okruženju, ali se situacija poslednjih decenija radikalno pro-menila. Danas je teško zamisliti da je uopšte moguće uspešno orga-nizovati proces računovodstvenog evidentiranja bez primene nekog tehnološkog nivoa informacionih i telekomunikacionih tehnologija.1 Ove tehnologije ušle su u sve pore privrednog života i nametnule se kao „conditio sine qua non“ opstanka na tržištu svakog privrednog subjekta.

Način na koji se obrađuju računovodstvene transakcije ima ključan uticaj na konačan računovodstveni produkt – finansijske izveštaje. Finansijski izveštaji treba da predstavljaju rezultat realizo-vanih transakcija u izveštajnom periodu. Oni treba da daju istinitu i objektivnu informaciju o finansijskoj poziciji, rezultatima poslovanja i novčanim tokovima.2

Glavni cilj eksterne revizije je povećanje poverenja u finansij-ske izveštaje kroz nepristrano i kompetentno izražavanje mišljenja o iskazanoj prezentaciji finansijskih informacija. Finansijski izveštaj je važan izvor informacija za donošenje poslovnih odluka. Imajući u vidu da računovodstveni proces može dovesti do namernih ili nena-mernih grešaka koje mogu uticati na kvalitet finansijskih izveštaja, i samim tim na odluke koje se na bazi tih izveštaja donose, postoji izražena potreba da se finansijski izveštaji verifikuju kroz proces eksterne revizije.3

Primena savremenih dostignuća informacionih i telekomuni-kacionih tehnologija nametnula je potrebu revizorima da razmotre

1 Andric M., Mijic K., Jaksic D., Vukovic B. (2011). Implementation of Accounting

Software as a Support to Company Management. TTEM. Sarajevo: DRUNPP, str. 471 2 Andric M., Mijic K., Jaksic D. (2011). Financial Reporting and Characteristics of

Impairment of Assets in the Republic of Serbia According to IAS/IFRS and National Regulatioon. Belgrade: Economic Annals, str. 101 3 Jaksic D., Mijic K., Andric M. (2012). Analysis of Variations in the Performance

of Audit Firms In the Republic of Serbia. Belgrade: Economic Annals, str. 71


njihov uticaj na proces računovodstvenog evidentiranja i formiranja mišljenja o finansijskim izveštajima. Za revizora koji vrši reviziju u IT okruženju važno je da razume karakteristike tog okruženja budući da različite informacione i telekomunikacione tehnologije stavljaju revizora pred različite izazove, ponekad mu olakšavajući posao, a ponekad ga usložnjavajući.

Upotreba kompjutera u procesiranju računovodstvenih podata-ka uticala je i na potrebne veštine i nivo kompetentnosti koji se zah-tevaju od revizora. U promenljivim uslovima rada, revizor mora da odgovori rastućim potrebama. Složeno informatičko okruženje u kome se izvodi revizija ne sme da dovede do formiranja revizorskog mišljenja na nivou uveravanja koji je manji od razumnog, kako se to zahteva opšteprihvaćenim standardima revizije. Ako revizija želi da zadrži svoje mesto centralnog mehanizma za obezbeđenje stabilnosti finansijskih tržišta, revizori i u IT okruženju moraju obezbediti kvali-tetne revizorske izveštaje koje će sadržati mišljenje koje povećava kredibilitet finansijskih izveštaja do prihvatljivog nivoa.

Ipak, revizor mora imati u vidu da specifično računovodstveno i kontrolno okruženje na koje utiču informacione tehnologije zahteva i specifične revizijske pristupe. Neke od osnovnih specifičnosti sav-remenog okruženja u kojem se procesiraju računovodstvene infor-macije su sledeće:4

A. Decentralizacija obrade i skladištenja podataka U kompjuterske sisteme većine klijenata uvedene su računar-

ske mreže što dozvoljava distribuiranu obradu na lokalnim termina-lima. U ovim okruženjima, problemi koji se tiču obrade i skladištenja računovodstvenih podataka mogu biti značajno drugačiji od onih gde je prisutna centralna obrada. Naime, u distribuiranim sistemima pos-toji potencijalna opasnost da će lokalna obrada biti izvršavana mimo standardnih kontrola koji se uvode iz centra. npr. softver na nivou magacina.


Software as a Support to Company Management. TTEM. Sarajevo: DRNUPP, str. 472


B. Problemi u praćenju revizijskog traga Kompjuterska obrada podataka polako, ali nepovratno, dovodi

do evolucije medijuma koji se javljaju kao nosioci podataka i infor-macija; to znači da promenu doživljava i jedan od glavnih „predmeta rada“ revizora - dokumentacija klijenta. Postepeno se sužava obim papirnih dokumenata kao nosilaca podataka koji su neposredno omogućavali da revizor kontroliše odnosno rekonstruiše revizijski trag.

U velikom broju kompjuterizovanih računovodstvenih sistema većina podataka se kreira i čuva na kompjuterskim diskovima. Pone-kad oni mogu biti čuvani samo za kratko vreme čime se uvode zna-čajna ograničenja u testiranju podataka. U drugim kompjuterskim sistemima, posebno onim naprednijim, moguće je da neki obrađeni podaci uopšte ne budu memorisani. Dalje, postoje brojne situacije u računovodstvenom evidentiranju kada je kompjuter programiran da sam inicira određene transakcije. Ovo uključuje, na primer, obračun i evidentiranje kamate koja se pridodaje glavnici ili, recimo, otpis zaliha ili potraživanja nakon isteka određenog perioda i sl. U takvim okolnostima dolazi do odsustva ulazne i izlazne dokumentacije koji su značajni za aktivnosti revizora. To dovodi do eliminisanja revizij-skog traga, koji je jedno od najvažnijih sredstava za detekciju greša-ka u zapisima računovodstvenih transakcija. Revizijski trag, naime, omogućuje rekonstrukciju (ili otkriva da ona nije moguća) celog pro-cesnog lanca od konačnog rezultata, iskazanog u finansijskim izveš-tajima, do izvorne dokumentacije koja sadrži dokaze o nastanku i sadržini poslovnih događaja.

U širem kontekstu treba tretirati i činjenicu da se podaci i informacije o transakcijama u uslovima kompjuterske obrade poda-taka mogu menjati bez fizičkog traga. Veliku sigurnost u manuelnim (tj. nekompjuterskim) sistemima pruža činjenica da su ispisi u sva-kom trenutku vizuelno dostupni. U slučaju da neko pokuša da pro-meni upisane podatke ili ih odstrani, to će ostaviti posledice koje se lako vizuelno opažaju. Takvu zaštitu ne možemo zamisliti u slučaju kompjuterskih zapisa, jer se oni mogu izbrisati bez vidljivog traga. Sa aspekta revizije, ovo predstavlja ozbiljan nedostatak i smetnju.


C. Lakoća pristupa podacima i kompjuterskim programima i problemi vezani za medije za skladištenje podataka

Kompjuterskim programima i podacima je često moguće pris-tupiti kroz kompjutere koji se nalaze na udaljenim lokacijama. Shod-no tome, u odsustvu adekvatnih kontrola javlja se povećan potenci-jalni rizik od neovlašćenog pristupa i izmene podataka i programa od strane osoba unutar i izvan preduzeća. Osim toga povećana je i opas-nost da kompjuterski programi i računovodstveni podaci budu izlo-ženi aktivnostima hakera i zaraženi kompjuterskim virusom.

Dodatni problem predstavlja i činjenica da veće količine poda-taka i programa mogu biti memorisane na kompjuterskim diskovima i eksternim memorijama koje su lako prenosive. Ukoliko ne postoji odgovarajuća zaštita, ovi mediji su visoko podložni rizicima gubitka, krađe ili uništenja.

D. Specifičnosti kompjuterske obrade računovodstvenih

podataka Obrada računovodstvenim podataka uz upotrebu kompjutera

ima neke specifičnosti koje su značajne za revizora. Te specifičnosti su sledeće:

Konzistentnost izvođenja operacija. Kompjuteri imaju repeti-

tivne i matematičke sposobnosti koje nisu svojstvene čoveku - oni izvode operacije uvek na način na koji su programirane.5 Ako su korektno programirani, kompjuterizovani računovodstveni sistemi su mnogo pouzdaniji od manuelnih. To omogućuje revizoru da stekne poverenje u ispravnost računovodstvenih podataka na osnovu manjeg obima revizijskih testova nego kod manuelnih sistema. Revizor takođe treba da bude svestan potencijalne opasnosti da kompjuter može biti programiran da u specifičnim uslovima obradi transakcije na nerutinski način, dok sve druge transakcije procesira korektno. Zbog toga je neophodno nadgledanje rada programera i testiranje kompjuterskih programa. Ako program greši, greška je velika.


Software as a Support to Company Management. TTEM. Sarajevo: DRUNPP, str. 472


Detaljni zapisi. Kompjuteri imaju sposobnost održavanja deta-ljnijih i aktuelnijih zapisa (npr. detaljnija lista zaliha po proizvodima i sl.). Do ovih detaljnijih podataka kao i sumarnih prikaza je po pot-rebi moguće lako doći. Ova mogućnost je od velikog značaja za revi-zore pri izvođenju kontrolnih i suštinskih testova.

Programske kontrole. Priroda kompjuterske obrade omoguću-je internim kontrolama da budu ugrađene u kompjuterski sistem kli-jenta. Na primer:

▪ pristup kompjuteru, podacima, programima ili datotekama može biti ograničen upotrebom lozinki.

▪ moguće je ostvariti korektnu i čestu proveru usaglašenosti knjiženja, recimo, obaveza prema dobavljačima na kontu dobavljača i dnevniku nabavke. U manuelnim sistemima su smanjene mogućnosti usaglašavanja zbog vremenskih i tro-škovnih ograničenja.

▪ izveštaji o odbijenom evidentiranju i izuzecima mogu biti generisani automatski. Izveštaji o odbijenom evidentiranju ukazuju na to zbog čega je kompjuterski program odbio da evidentira neki pokušaj unosa podatka. Izveštaji o izuzeci-ma ukazuju na evidentirane događaje koji prelaze neka prethodno determinisana ograničenja. Ovi izveštaji imaju veliku važnost za revizora, jer ukazuju na greške i uslove koje su kompjuteri programirani da prepoznaju, čime se smanjuje verovatnoća greški u računovodstvenim podaci-ma.

Istovremeno evidentiranje na više računa i u više datoteka.

Mogućnosti kompjutera mogu biti iskorišćene za istovremeno evi-dentiranje poslovnih događaja na više računa tj. u više datoteka.6 Na ovaj način se podržava proces evidencije i skraćuje vreme izvođenja operacija.7 Na primer, ukoliko se jedna nabavka unese u kompjuter, poslovni događaj će se automatski evidentirati i na računu (datoteci) obaveza prema dobavljačima i na računu (datoteci) zaliha. Revizor mora da obrati posebnu pažnju na simultano evidentiranje, jer tran- 6 Ibid, str. 472

7 Ibid, str. 472


sakcija koja je pogrešno uneta u kompjuterizovani računovodstveni sistem rezultira pogrešnim iznosima na više različitih računa (datote-ka).

1.1. Gradivni elementi informacionog sistema Iz ugla gledanja računovodstvene i revizijske profesije, informacioni sistem postoji kada je kompjuter bilo kog tipa ili veličine uključen u obradu računovodstvenih informacija. Očigledno je da je ovakvim definisanjem pojam informacionog sistema sužen na njegovu raču-novodstvenu komponentu. Ograničavanje pojma se može smatrati opravdanim budući da računovođe i revizore ne interesuje celokupni informacioni sistem klijenta već samo onaj njegov deo koji utiče na proces računovodstvenog evidentiranja i finansijske izveštaje klijen-ta.

Prikaz 1 Informacioni sistem Gotovo sve organizacije u nekoj formi koriste kompjutere za

obradu računovodstvenih informacija. Stepen primene varira od jed-


ne ili dve samostalne aplikacije (kao na primer, fakturisanje i obra-čun plata) do mnoštva aplikacija koje su potpuno integrisane u sistem kompjuterskog vođenja dvojnog knjigovodstva, uključujući i kom-pjutersko generisanje finansijskih izveštaja po potrebi.

1.2. Arhitektura informacionog sistema kao odgovor na izazove Kompjuterska obrada računovodstvenih podataka u savremenim uslovima iziskuje složen ambijent. U cilju lakšeg sticanja potrebnih znanja i boljeg razumevanja, kompjuterski informacioni sistem se može dekomponovati na sledeće elemente:

▪ samostalni računari ▪ računarske mreže ▪ onlajn sistemi ▪ sistemi za upravljanje podacima ▪ ekspertni sistemi ▪ operativni sistemi i ▪ aplikativni programi

1.2.1. Samostalni računari Personalni kompjuteri, „predstavljaju ekonomične i moćne kompju-tere opšte namene, koji se tipično sastoje od: procesora, memorije, jedinice displeja, memorijske jedinice, tastature i konektora za štam-pač i komunikacije.“8 Oni imaju široku primenu, pa se tako mogu koristiti i za obradu računovodstvenih podataka i generisanje infor-macija u formi raznih izveštaja. U takvim okolnostima, oni postaju objekat interesovanja revizora.

Iako se u praksi najčešće sreću kao umreženi, ponekad se sva računovodstvena evidencija vodi samo na jednom (samostalnom) računaru (npr. advokatske kancelarije, lekarske ordinacije i sl.). Samostalni računari predstavljaju najjednostavniju formu informaci-onih sistema. Na samostalnom računaru može raditi jedan korisnik ili više korisnika u različito vreme. 8 IFAC. (1998). Međunarodni standardi revizije-prevod. Beograd: SRRS. str. 322


IT okruženje u kome se koristi samostalni računar ima specifi-čnosti u odnosu na druga IT okruženja. Određene kontrole i mere sigurnosti koje se koriste u velikim kompjuterskim sistemima nisu uvek praktično primenljive pri korišćenju samostalnih računara.

1. Neadekvatna segregacija dužnosti. Okruženje samostalnih

računara karakteristično je po tome što se najčešće javlja kod malih preduzeća ili kod preduzeća koja se nalaze na niskom nivou automatizacije što dovodi do toga da jedan korisnik obavlja dve ili više od sledećih funkcija u računo-vodstvenom sistemu:

2. Pojednostavljenost operativnog sistema. Operativni sistem samostalnih računara slabije iskorišćen od onih u većim sistemima. Sa jedne strane, to je pozitivno jer je olakšano njegovo korišćenje, ali, sa druge strane, simplifikacija ope-rativnog sistema kroz oduzimanje funkcija dovodi do kon-trolnih ograničenja i povećanog rizika.

3. Nemogućnost pristupa programima i podacima sa udalje-nih lokacija. Nemogućnost pristupa programima i podaci-ma sa udaljenih lokacija je faktor koji smanjuje rizik od mogućnih grešaka u računovodstvenim podacima i izvešta-jima. Jedini način pristupa je dolaženje u kontakt sa samos-talnim računarom na lokaciji na kojoj je smešten.

4. Fizički pristup svim podacima. Velika slabost kontrolnog sistema samostalnih računara je u tome što osoba koja ima pristup računaru potencijalno ima pristup operativnom sis-temu i svim programima i podacima datog preduzeća. U klijent/server arhitekturi podaci se čuvaju na centralnom kompjuteru, a mogućnost pristupa je regulisana funkcijama operativnog sistema i DMBS-a što za posledicu ima nemo-gućnost pristupa podacima sa svih terminala. Ove kontrole nije moguće sprovesti na samostalnom računaru. To prakti-čno znači da osoba koja zna lozinke ima mogućnost neo-graničenog pristupa i izmene podataka i programa.

Osnovni problem u okruženju samostalnih računara, kao što

smo videli, leži u slabostima opštih kontrola. Ponekad se ovi nedos-taci mogu nadomestiti kvalitetnim aplikativnim kontrolama ili orga-


nizovanjem rada nezavisne kontrolne funkcije u preduzeću. Međutim menadžment najčešće dolazi do zaključka da je, sa stanovišta dopun-skih troškova necelishodno uvoditi dodatne kontrole. U takvim okol-nostima, nameće se potreba sprovođenja većeg obima revizijskih postupaka provera što iz uglova revizora i klijenta predstavlja nepo-voljnu okolnost.

1.2.2. Računarske mreže Računarske mreže se mogu definisati kao skup međusobno poveza-nih računara, perifernih uređaja i drugih resursa koji se distribuiraju na različite lokacije sa ciljem njihovog približavanja krajnjim koris-nicima, u skladu sa funkcijama koje se na njima vrše. One se zasni-vaju na razvoju i informacionih i telekomunikacionih tehnologija.

Uobičajeno je da se mreže, prema geografskom području na kojem se rasprostiru, klasifikuju na lokalne i široke mreže.

1. Lokalni terminali su obično povezani u lokalne računarske

mreže tj. LAN (LAN - Local Area Networks). LAN mreže se razvijaju sa ciljem razmene i deljenja resursa u okviru organizacije (kancelarije ili zgrade), uključujući tu i podat-ke, softver, prostor za skladištenje podataka, periferijalne uređaje i telekomunikacionu opremu. One omogućuju decentralizaciju kompjuterskog sistema.

2. Široke tj. WAN mreže (WAN - Wide Area Networks) služe za prenos informacija preko širokog geografskog područja kao npr. između objekata, gradova i država. One omoguću-ju onlajn pristup aplikacijama preko udaljenih terminala. LAN mreže mogu biti povezane u jednu WAN mrežu. Spe-cifični primeri širokih mreža su mreže dodatne vrednosti i internet (i na njegovim karakteristikama zasnovane intranet i ekstranet mreže).

Mreže dodatne vrednosti - VAN mreže (VAN - Value-Added

Networks) su mreže koje su namenjene isključivo prenosu podataka i kojima upravljaju privatne firme koje postavljaju mrežu i naplaćuju njeno korišćenje. VAN mreže se široko koriste kod EDI transakcija, ukoliko su one organizovane preko provajdera (vlasnika VAN mre-


že), a kod nas se sreću kod organizacije elektronskog platnog prome-ta banaka koje su povezane u JUPAK mrežu Zavoda za obračun i plaćanja. Termin „dodatna vrednost“ odnosi se na doprinos koje ove mreže pružaju iznad uobičajenih telekomunikacionih usluga.

Internet je „mreža svih mreža“ koja povezuje poslovne, držav-ne, naučne i obrazovne organizacije, kao i pojedince u celom svetu.

Internet tehnologija se, pored povezivanja preduzeća sa okru-ženjem, može iskoristiti i za razmenu informacija unutar organizaci-je. Mnoga preduzeća danas grade internu mrežu koja se zasniva na internet karakteristikama. Ta mreže se zovu intranet mreže.

Intranet je unutrašnja privatna mreža firme koja se zasniva na internet i veb tehnologiji. Ona stiče sve veću popularnost zbog činje-nice da ne zahteva specijalan hardver i softver, laka je za upotrebu i prenosiva je na različite računarske platforme. Primenom internet tehnologije na poslovne aplikacije, preduzeća mogu komunicirati i distribuirati informacije uz bezbednost neovlašćenog pristupa spolja. Dok je internet otvoren prema svima, intranet je privatna mreža koja je zaštićena od javnosti pomoću fajervola - sigurnosnog sistema sa softverom koji je specijalizovan za sprečavanje narušavanja privat-nosti mreže. Intranetom se mogu prenositi sve vrste dokumenata koji se koriste u unutrašnjoj komunikaciji zaposlenih radnika preduzeća – spiskovi kupaca, proizvoda, cenovnici, priručnici za primenu politika preduzeća i dr.

Neke firme dozvoljavaju ograničen pristup intranetu od strane korisnika van preduzeća (spoljnih korisnika). Na primer, brokerske firme mogu svojim korisnicima dozvoliti pristup informacijama o njihovom portfoliju, a koje se nalaze na intranetu brokerske firme. Privatne intranet mreže kojima se dozvoljava ograničen pristup spo-ljnim korisnicima zovu se ekstranet mreže. I u ovom slučaju, za zaš-titu i kontrolu pristupa se koristi sistem fajervol. Ekstranet je poseb-no koristan za povezivanje preduzeća sa pouzdanim poslovnim part-nerima i pružanje informacija o raspoloživosti proizvoda, njihovim cenama i uslovima isporuka.

Problematika mreža je za revizora posebno značajna zbog činjenice da mrežno povezivanje resursa kompjuterskih sistema u velikoj meri određuje stepen bezbednosti sistema i mogućnost pris-tupa podacima i programima preduzeća. Mreže su ranjive u smislu porasta verovatnoće neovlašćenog korišćenja informacionih i tele-


komunikacionih resursa preduzeća. Shodno tome, mrežna rešenja moraju uvažiti kritičnu prirodu protoka informacija kroz mrežu raz-vojem i primenom specijalnih sigurnosnih mera.

Aplikacije u mrežnim okruženjima su izloženije neovlašćenom pristupu i izmeni. U takvim okolnostima, potrebno je uvesti odgova-rajuće kontrole kako bi se smanjio rizik od virusa, neovlašćenog pris-tupa i potencijalnog uništenja revizijskog traga. Prilikom razmatranja kontrolnih struktura klijenta, revizor treba da sagleda kakve računar-ske mreže postoje, šta ih čini i kakve kontrole sigurnosti podataka one pružaju. Pored razgovora sa odgovornim osobama u preduzeću i posmatranja njihovih aktivnosti, značajan izvor korisnih informacija mogu biti i upitnici internih kontrola. Pitanja na koja revizor treba da obrati posebnu pažnju su: uloga menadžmenta, segregacija poslova u domenu računarskih mreža (sa posebnim naglaskom na radno mesto administratora mreže i opisom njegovog posla), načini pribavljanja i instalacije softvera, procedure za redovno održavanje i dokumento-vanje izmena u mreži, logička sigurnost podataka i programa, fizička sigurnost kompjuterske opreme i zaštita od virusa.

1.2.3. Onlajn sistemi Onlajn kompjuterski sistemi predstavljaju takve kompjuterske siste-me koji omogućuju korisnicima da pristupe podacima i programima direktno preko terminala.

Terminal je uređaj preko kojeg korisnik pristupa resursima mreže kako bi ih koristio. Organizacija terminala je konfigurisana prema specifičnim poslovima koje korisnik na datim terminalima želi obavljati.

Onlajn sistemi omogućuju korisnicima (koji se u onlajn sistem uključuju preko terminala) da direktno iniciraju razne aktivnosti. Te aktivnosti su sledeće:

▪ „unos transakcija (na primer, podataka o prodaji u prodav-

nici, podizanje gotovine iz banke i izdavanje materijala u proizvodnju);

▪ vršenje upita (na primer, informacija o saldu na tekućem računu klijenta);


▪ dobijanje traženih izveštaja (na primer, lager lista zaliha sa negativnim količinama);

▪ ažuriranje matičnih datoteka (na primer, unos novih računa kupaca i promena šifre konta u glavnoj knjizi);

▪ aktivnosti elektronske trgovine (na primer, naručivanje i plaćanje dobara preko interneta).“9

Terminalski uređaji mogu obavljati razne funkcije u zavisnosti

od logičkih, prenosnih, memorijskih i osnovnih mogućnosti. Vrste terminalskih uređaja su:

a) Terminali opšte namene (primarno namenjeni osoblju pre-

duzeća) u koje spadaju:

▪ Osnovni model sa tastaturom i monitorom. Koristi se za unos podataka bez bilo kakve validacije (provere ispra-vnosti ulaznih podataka) unutar terminala i za prikaz podataka dobijenih od centralnog kompjutera na moni-tor. Dakle, budući da nema memoriju i procesor, ovaj terminal se koristi isključivo za unos upita i podataka i prikaz odgovora na upit i poruka dok se sva obrada vrši na centralnom kompjuteru. Na primer, prilikom unosa narudžbenice, svi podaci koji su uneti na terminalu se prosleđuju centralnom kompjuteru koji proverava valja-nost šifre proizvoda, a rezultat te operacije se prikazuje na ekranu terminala.

▪ Inteligentni terminal. Funkcije osnovnog modela upot-punjene su dodatnim funkcijama ispitivanja valjanosti podataka unutar terminala, vođenja dnevnika o transak-cijama (transakcionih logova) i ostalih lokalnih obrada. U prethodnom primeru sa narudžbenicama, tačan broj karaktera u šifri proizvoda (kontrola unosa) bio bi veri-fikovan od strane inteligentnog terminala, dok bi cen-tralni kompjuter verifikovao postojanje šifre proizvoda u matičnoj datoteci proizvoda.

9 Smernica IAPS 1002, preuzeto sa sajta www.ifac.org, pristupljeno dana 15.

novembra 2010. godine


▪ Računari. Računari koriste standardne funkcije inteli-gentnog terminala koje su proširene dodatnim proces-nim i memorijskim mogućnostima. Nastavljajući gornji primer, sve procedure verifikacije šifre proizvoda bi se izvršavale na računaru.

b) Terminali specijalne namene u koje spadaju:

▪ Terminali na mestu prodaje (POS terminali). Koriste se za automatizaciju procesa evidentiranja transakcija u maloprodajnim objektima i njihovog prosleđivanja cen-tralnom kompjuteru. POS je skraćenica izvornog engle-skog termina point-of-sale što ukazuje na to da se evi-dentiranje transakcija prodaje vrši neposredno na pro-dajnom mestu. Uključivanjem POS terminala u infor-macioni sistem preduzeća stvaraju se preduslovima za centralizovano upravljanje nabavkom, proizvodnjom, zalihama, cenama, distribucijom i prodajom. Ako se na mestu prodaje vrši i plaćanje elektronskim putem, tada govorimo o EPOS (Electronic point-of-sale) terminalu. Mehanizam funkcionisanja EPOS-a zasniva se na pove-zanosti terminala lociranih na prodajnim ili uslužnim mestima sa kompjuterskim centrima određenih finansij-skih institucija. Ovi terminali se aktiviraju određenom elektronskom karticom koja služi za identifikaciju kup-ca i izvršavanje transakcije prenosom sredstava sa raču-na kupca na račun prodavca.

▪ Samouslužni bankarski šalteri (ATM10 terminali). Koris-te se za iniciranje, proveru valjanosti, evidentiranje, prenos i izvođenje bankarskih transakcija. U zavisnosti od dizajna sistema, određene funkcije se izvode od stra-ne samouslužnih bankarskih šaltera, dok se druge izvo-de onlajn od strane centralnog kompjutera. Prvi oblici samouslužnih šaltera - bankomati, bili su namenjeni podizanju gotovine u fiksnom iznosu. Ova funkcija je

10

ATM - Authomated Teller Machines


vremenom unapređivana, a postepeno su dodavane i nove. Zbog nastojanja da pruže sve raznorodne usluge klasičnog bankarskog šaltera, ovi uređaji su sa pravom preimenovani u samouslužne bankarske šaltere. ATM terminali omogućuju korišćenje sledećeg asortimana usluga: deponovanje i podizanje gotovine, izdavanje čekovnih knjižica, deponovanje i unovčavanje dokume-nata plaćanja, naručivanje i primanje izveštaja, transfer sredstava sa jednog računa na drugi, pa čak i korišćenje kredita određivanjem limita prekoračenja. Priroda tran-sakcija koje se mogu realizovati putem samouslužnih bankarskih šaltera uticala je na potrebu njihovog razma-tranja ne samo kod revizije banaka već i kod drugih kli-jenata koji svoje poslovne aktivnosti obavljaju uz njiho-vo korišćenje.

▪ Mobilni uređaji. Danas postoji mnoštvo mobilnih uređa-ja preko kojeg je moguće pristupati podacima preduzeća i sprovoditi poslovne operacije. U ovu grupu uređaja spadaju mobilni telefoni, tableti, PDA uređaji i dr.

▪ Sistemi koji reaguju na glas (glasovni sistemi). Upotreb-ljavaju se za interakciju korisnika i kompjutera putem telekomunikacija. Ovaj sistem se zasniva na verbalnim instrukcijama koje korisnik izdaje kompjuteru. Kupac komunicira sa sistemom koristeći uređaje koji generišu tonove. Najčešće se za komunikaciju koriste tasteri korisnikovog telefona. Uobičajene aplikacije ove grupe terminala uključuju kućno i kancelarijsko bankarstvo.

Specifičnosti onlajn sistema: ▪ Onlajn pristup podacima i programima putem telekomuni-

kacionih veza pruža veće mogućnosti neovlašćenim licima da pristupe podacima i programima. Organizacijama koje imaju vezu sa internetom zahtevaju bolje kontrole, kao što su fajervol, kako bi se smanjio rizik od neovlašćenog pris-tupa podacima i programima.

▪ Upotreba elektronske trgovine i EDI-a za razmenu doku-menata između dve organizacije rezultira gubljenjem tradi-


cionalnog papirnog revizijskog traga, uključujući fakture i narudžbenice.

Specifične forme primene onlajn sistema su: ▪ sisteme elektronske razmene podataka (EDI), ▪ elektronskog prenosa sredstava (EFT) i ▪ elektronske trgovine putem interneta Elektronska razmena podataka Kompjuterske aplikacije su projektovane da generišu veliki

broj poslovnih dokumenata. Ovi dokumenti se obično štampaju i kopiraju pre nego što se proslede poslovnim partnerima poštom ili telefaksom. Poslovni partner po prispeću dokumenata unosi njihov sadržaj u računar. Ceo ovaj proces razmene dokumentacije između poslovnih partnera je dugotrajan, skup i nepouzdan. U eri informati-zacije i razvoja telekomunikacija čini se neprirodnim da dokumenta putuju u papirnom obliku kada se podaci mogu proslediti trenutno, elektronskim putem. Ova ideja je iskorišćena kao polazna osnova za razvoj komunikacije između poslovnih partnera. Tako je nastao sis-tem elektronske razmene podataka (Electronic Data Interchange) koji se po početnim slovima originalnog, engleskom naziva i kod nas skraćeno zove – EDI.

EDI je prema EANCOM-u11 prenos struktuiranih podataka po dogovorenim standardima za poruke sa jednog računara na drugi elektronskim sredstvima uz minimum ljudskih intervencija.

1. EDI je prenos podataka. EDI je dvosmerni prenos odnosno

razmena podataka. Predmet razmene su poslovni dokumenti u domenu trgovine, finansija i knjigovodstva, građevinars-tva, carine, logistike, penzija, transporta i špedicije. Neki od najznačajnijih dokumenata su: faktura, narudžbenica, izveštaj o otpremi robe, cenovnik, stanje računa, nalog za plaćanje, carinska deklaracija i dr.

11

EANCOM – Evropsko udruženje za numerisanje i komunikacije


2. EDI je prenos struktuiranih podataka. EDI poruka mora biti strogo struktuirana prema sintaksnim pravilima i semantici pojedinih polja, kako bi mogla biti obrađena od strane računara na mestu prijema. Elektronska pošta npr. nema unapred definisanu strukturu dokumenata koji se razmenju-ju, te ne zadovoljava kriterijume EDI-a.

3. Prenos poruke se vrši po dogovorenim standardima. Većina definicija EDI-a navodi standarde kao jednu od osnovnih odrednica. S obzirom na mnoštvo različitih hardverskih platformi i softverskih rešenja, bez uspostavljanja standar-dizacije EDI ne bi bio moguć.

U svetu postoji više različitih EDI standarda. Uviđajući značaj

uređenosti ove oblasti, u aktivnosti standardizacije EDI-a uključile su se i Ujedinjene nacije. Tako 1987. godine nastaju UN/EDIFACT (Electronic Data Interchange for Administration, Commerce and Transport) standardi koji su danas najšire, međunarodno prihvaćeni.

UN/EDIFACT predstavlja skup pravila, standarda i uputstava za elektronsku razmenu podataka između informacionih sistema na nacionalnom i međunarodnom nivou, u oblasti administracije, trgo-vine i transporta. UN/EDIFACT je stvoren sa namerom da postane standard za poslovnu dokumentaciju u svim delatnostima.

4. Prenos EDI poruke vrši se sa jednog računara na drugi.

Razmena dokumenata između računara koji se nalaze kod poslovnih partnera vrši se posredstvom aplikacija koje su instalirane na računarima partnera.

5. EDI je razmena elektronskim putem. Elektronska razmena podataka nije samo razmena dokumenata u elektronskom obliku već podrazumeva prenos podataka elektronskim putem. U tom smislu, prenos podataka na disketama, dis-kovima i drugim eksternim memorijskim medijumima ne može se smatrati EDI-em. EDI zahteva upotrebu elektron-skim medijuma za prenos – telekomunikacionih mreža.

Doprinos koji ostvarenju ciljeva EDI-a može pružiti njegova

integracija sa jedinstvenim sistemom numeričkog označavanja – EAN, a na čemu insistira međunarodna organizacija EAN Internatio-


nal, svakako je ogromna, ali dalja elaboracija ove problematike izlazi iz determinisanih okvira ove monografije.

U svakom slučaju, zadatak eksternog revizora ne odnosi se na razmatranje koristi koje preduzeće klijent ostvaruje uvođenjem EDI-a. Revizor treba da poseduje opšta znanja o EDI-u, te da u okviru svog institucionalizovanog zadatka razmotri kontrolne procedure i oblik integracije EDI-a u informacioni sistem klijenta i sve dalje reperkusije odabranog oblika integracije na sistem računovodstvenog informisanja.

U vezi sa tim, postoje četiri osnovna oblika (nivoa) integracije EDI-a:

▪ papirni sistem ▪ integracija sa bazom podataka ▪ integracija sa postojećim aplikacijama i ▪ razvoj novih aplikacija baziranih na EDI-u Papirni sistem služi isključivo za prikupljanje i prenos podata-

ka. Stepen integracije je minimalan, jer se pristigli podaci štampaju i potom, putem tastature, unose u sistem.

Integracija sa bazom podataka se vrši tako što pristigle poruke formiraju tzv. prostu datoteku (flat file) koja se potom integriše u bazu podataka. Proces preuzimanja podataka iz proste datoteke i nji-hovo smeštanje u bazu podataka odvija se po strogo determinisanim koracima i teče od analize sadržaja transakcija u prostoj datoteci do njegove transformacije u oblik koji je podesan za uključivanje u bazu podataka.

Integracija sa postojećim aplikacijama je slična prethodnom obliku, s tim što se transakcije ne smeštaju direktno u bazu podataka, već se kao posrednik javljaju postojeće aplikacije koje se nadograđu-ju modulima za preuzimanje EDI transakcija.

Razvoj novih aplikacija baziranih na EDI-u podrazumeva dizajniranje i implementaciju novih aplikacionih programa i procesa koji se isključivo orijentišu ka EDI-u.

Elektronski prenos sredstava Tradicionalni sistemi plaćanja zasnivaju se na papirnim doku-

mentima koji putuju između poslovnih partnera i finansijskih posre-


dnika. Jasno je da su oduvek tradicionalni instrumenti plaćanja bili neadekvatni i skupi. Ljudi su toga bili svesni, ali, u datim okolnosti-ma, oni su bili najbolja alternativa. Na sreću, današnji nivo razvoja informacionih i telekomunikacionih tehnologija ponudio je kvalitet-no rešenje problema papirnog plaćanja njegovom supstitucijom sa elektronskim prenosom sredstava.

Po definiciji, elektronski prenos sredstava - EFT (Electronic Funds Transfer) je prenos sredstava koji je iniciran kroz elektronski terminal, telefon ili kompjuter, u cilju dalje naredbe, instrukcije ili odobrenja finansijskoj instituciji da izvrši odobrenje ili zaduženje nekih računa.

U teoriji postoji dilema da li se EFT može smatrati oblikom EDI-a, budući da i elektronski prenos sredstava karakteriše prenos isključivo podataka o plaćanju (nema fizičkog toka sredstava). Uva-žavajući specifičnosti EFT-a, možemo reći da je EFT poseban nivo automatizacije procesa, koji odlikuje izuzetno visok nivo provere autentičnosti, autorizacije, tačnosti i sigurnosti (veći nego kod EDI-a). EFT, dakle, nije EDI, ali mu je vrlo blizak.

Elektronski prenos sredstava danas postoji u različitim pojav-nim oblicima. On je određen mnoštvom veza između banaka i nebankarskih učesnika kao i međubankarskim odnosima.

Međunarodni sistem elektronskog plaćanja i elektronskog pre-nosa podataka organizovan je kroz mrežu SWIFT (Society for Worldwide Interbank Financial Telecommunication - Svetsko udru-ženje za međubankarske finansijske telekomunikacije). Tehnologija prijema i slanja poruka u SWIFT-u precizno je definisana, standardi-zovana i maksimalno bezbedna. Funkcionisanje sistema počinje onog trenutka kad banka iz jedne zemlje, na osnovu naloga nalogodavca formatizuje poruku (npr. nalog za plaćanje ili upit o stanju na računu) i prenese je terminalom ili putem mikrokompjutera do nacionalnog koncentratora, koji prosleđuje transakciju komunikacionom mrežom do operativnog centra koji šalje poruku dalje do operativnog centra i nacionalnog koncentratora druge zemlje u kojoj se nalazi sedište banke kojoj je poruka upućena.

Kompjuterizacija sistema elektronskog plaćanja prouzrokuje modifikaciju sredstava plaćanja. Kao najpogodnija sredstva plaćanja u EFT-u, javljaju se finansijske transakcijske kartice.


Najčešće korišćenje finansijske transakcijske kartice su kartica sa magnetnom trakom i kartica sa čipom.

Kartica sa magnetnom trakom služi isključivo za identifikaciju korisnika. S obzirom na oskudnost memorijskog prostora za formira-nje zapisa, kartica sa magnetnom trakom je pogodna za onlajn režim rada. U onlajn sistemu, kartica se koristi za autorizaciju transakcije. Odobrena transakcija se dalje izvršava prenosom sredstava sa računa kupca na račun prodavca u međuodnosu banaka. Zbog toga je neop-hodna permanentna veza terminala i banaka. Ovaj sistem je skup, ali se njime obezbeđuje visok stepen ažurnosti i bezbednosti. Obrada se vrši trenutno, a crne liste (liste nepoželjnih korisnika) se drže u cen-tralnog banci podataka i redovno ažuriraju.

Kartica sa čipom (pametna tj. inteligentna kartica) ima sta-ndardne dimenzije i debljinu, ali se od ostalih kartica razlikuje po tome što ima ugrađenu memoriju i procesor. Ovi dodatni elementi omogućuju da se na karticu upišu podaci o stanju sredstava na raču-nu, te da se to stanje ažurira na kartici nakon svake transakcije. S obzirom na mnoštvo informacija koje u sebi nosi, kartica sa čipom ne zahteva onlajn vezu terminala sa centralnim kompjuterom banke. Zbog toga se pametna kartica može koristiti u oflajn režimu. Proces plaćanja teče tako što se kartica umeće u predviđeni prostor na ter-minalu i sa nje se očitavaju podaci o korisniku i raspoloživim sreds-tva. Nakon identifikacije korisnika i autorizacije prenosa sredstava, transakcija (podizanje gotovine ili plaćanje) se izvršava, što rezultira novim, umanjenim saldom sredstava na transakcionoj kartici.

Elektronska trgovina putem interneta Elektronska trgovina se može definisati kao „upotreba infor-

macione tehnologije kao što su kompjuteri i telekomunikacije u cilju automatizacije kupovine i prodaje dobara i usluga.“12

Mogu se izdvojiti dve aktivnosti koje utiču na računovodstve-nu evidenciju: naručivanje i plaćanje.

12

Laudon K. C., Laudon J.P. (1998). Information Systems and the Internet. SAD: The Dryden Press. str. 324


Naručivanje Naručivanje se pomoću interneta može vršiti na različite nači-

ne. U najjednostavnijem obliku, kupac na sajtu samo prikuplja informacije o proizvodima i uslugama, dok naručivanje vrši na tradi-cionalan način (porudžbenicom, preko telefona, e-maila…). U slože-nijem sistemu, narudžba se generiše preko internet sajta tako što se proizvodi koje kupac odabira smeštaju u „potrošačku korpu“.

Plaćanje Najosetljivije pitanje u elektronskoj trgovini putem interneta

svakako predstavlja razvijanje pouzdanog i bezbednog sistema pla-ćanja. Sistemi plaćanja se najčešće zasniva na korišćenju transakcij-skih kartica ili elektronskog novca.

Transakcijske kartice se mogu koristiti za onlajn plaćanja. Pri tome se broj transakcijske kartice razmenjuje kao informacija između trgovca i kupca što kod ljudi stvara bojazan od zloupotrebe. Internet je mreža koja je dostupna svima, ali koja ne pruža skoro nikakvu sigurnost. Ukoliko se ne koriste bezbednosni serveri, koji obavljaju prenos podataka uz njihovu enkripciju, podaci koji putuju od internet pregledača do servera nisu šifrirani, te se mogu relativno lako zlou-potrebiti. Zbog toga su razvijene metode koji omogućavaju bezbed-nost onlajn transakcija.

Ukoliko klijent poslove kupoprodaje obavlja putem interneta, revizor treba da razmotri oblik organizovanja ovih aktivnosti (transa-kcijske kartice, elektronski novac, potrošačka korpa…), kao i da sagleda implikacije odabranog oblika elektronske trgovine na raču-novodstveno obuhvatanje transakcija i problem sigurnosti sistema.

1.2.4. Sistemi za upravljanje podacima U kompjuterizovanom računovodstvenom sistemu poslovne knjige (dnevnici, glavna i pomoćne knjige) ne postoje u tradicionalnom obliku. Umesto toga, zapisi o transakcijama su organizovani u obliku tabela (sistem baze podataka). Putem baza podataka se stvara sistem visokog stepena integracije u kojem korisnici dele zajedničke podat-ke.

Sistemi baze podataka se sastoje iz dve osnovne komponente: baze podataka i sistema za upravljanje bazama podataka.


Baza podataka je skup međusobno povezanih matičnih datote-ka koje se integrisane sa ciljem da se smanji redundantnost podataka, a koji se koriste od strane više aplikativnih programa. U tome je i osnovna razlika u odnosu na tradicionalni sistem gde svaka aplikaci-ja ima odvojene datoteke za zapis podataka.

Softver koji se koristi za stvaranje, održavanje i rad sa bazom podataka se zove sistem za upravljanje bazama podataka (engl. skra-ćenica je DBMS13). DBMS predstavlja vezu aplikativnih programa sa podacima koji su smešteni u bazi podataka. On upravlja skladište-njem, prikazom, izmenom, održavanjem i kontrolom podataka u bazi podataka. DBMS softver sadrži:

▪ jezik za opis podataka (DDL) koji se koristi za kreiranje i

izmenu baze podataka. Njime se definišu osnovne karakte-ristike podataka (npr. da li se radi o atributivnom ili nume-ričkom tipu podatka) i opisuje veza između podataka, kao i veza podataka sa bazom podataka.

▪ jezik za manipulaciju podacima (DML) koji predstavlja jezik za rad sa podacima (npr. naredba DELETE), a koje koriste aplikativni programi da bi pristupili podacima u bazi podataka.

▪ jezik za postavljanje upita (Query jezik), jezik za postavlja-nje upita kojim se omogućuje pristup podacima i izbor podataka iz postojeće baze (npr. naredba SELECT). Jezik za postavljanje upita može se koristiti i autonomno od apli-kativnih programa, za postavljanje ad-hok upita (što i revi-zor može koristiti u postupcima prikupljanja dokaza).

Sistemi baza podataka mogu biti izuzetno pouzdani što rezulti-

ra procenom kontrolnog rizika na nižem nivou. Suprotno tome, rizik prevare ili greške se može povećati ako se sistemi baze podataka koriste bez adekvatnih kontrola.

Koncept integralne baze podataka je nedvosmisleno toliko specifičan da zahteva prilagođavanje revizije u odnosu na uslove kla-sičnog (manuelnog) računovodstva. Pri tome se ne radi toliko o raz-lici u osnovnim kontrolnim pristupima, jer su oni identični ili bar 13

DBMS - Database Management System


analogni sa revizijom manuelnih sistema, već o dodatnim zahtevima kontrole i proširenju (uvođenju novih) tehnika revizije.

1.2.5. Ekspertni sistemi Kompjuterski eksperti nastoje da iznađu što više oblasti u kojima se kompjuteri mogu koristiti kao podrška u suočavanju sa uočenim pro-blemima.

Primena kompjutera u pojedinim oblastima uočena je davno, pre svega u domenu onog dela stvarnosti koji se može lako modelo-vati i kvantifikovati. Osnovni zadatak klasične obrade podataka je tačna i brza obrada podataka, u okruženju koje karakterišu sledeće pretpostavke:

▪ računar rešava samo dobro definisane, matematički opisane

probleme; ▪ problemi su takve prirode da se procedure njihovog rešava-

nja znaju unapred (struktuirani su); ▪ uloga računara se svodi na obradu zadatih podataka po

zadatom postupku (algoritmu) i to vrlo brzo i sa velikom količinom podataka.

Međutim, ne mogu se svi problemi u obradi podataka svesti

pod ove pretpostavke. Savremeno poslovanje zahteva suočavanje sa nestruktuiranim i polustruktuiranim problemima gde postupak reša-vanja ne može biti poznat unapred.

Razvoj hardvera, softvera i informatičkih znanja omogućio je širenje primene kompjutera i na područja ljudske ekspertize (veštač-ke inteligencije).

Ekspertni sistem je inteligentan računarski program koji koristi znanje i postupke zaključivanja za rešavanje problema koji su toliko teški da je za njihovo rešavanje u značajnoj meri potrebna ljudska stručnost. Znanje koje je potrebno za rad programa takvog nivoa i korišćeni postupci zaključivanja mogu se posmatrati kao model stru-čnosti najboljih praktičara u toj oblasti.

Ilustracija ekspertnog sistema data je na sledećoj slici.


Prikaz 2 Komponente ekspertnog sistema Korisnički interfejs omogućuje komunikaciju između korisni-

ka i mašine za zaključivanje. Mašina za zaključivanje upotrebljava korisnički interfejs za ispitivanje korisnika o činjenicama u vezi pra-vila u bazi znanja, prezentaciju zaključaka korisniku, i u saradnji sa modulom za objašnjavanje - objašnjavanje rezonovanja sistema.

Mašina za zaključivanje je kompjuterski program koji upravlja donošenjem zaključaka na osnovu elemenata baze znanja i baze podataka. Mašina za zaključivanje kombinuje odgovore korisnika (koje on daje putem korisničkog interfejsa) sa pravilima koja se nala-ze u bazi znanja. U izvođenju ovog zadatka ona vrednuje korisnikove odgovore, generiše dodatna pitanja (ako je potrebno) i zaključuje na bazi pravila koja su zadovoljenja.

Baza znanja je skup pravila, činjenica i informacija koja se koriste za formulisanje rešenja, rešavanje problema i pomoć korisni-ku u postizanju ciljeva. Baza znanja je slična poljima u bazi podataka u smislu sadržavanja informacija koje će se koristiti u daljoj obradi. Postoje tri tehnike za organizaciju informacija u bazi znanja. To su: if-then-else pravila, uramljivanje tj. frejming i semantičke mreže.


Modul za objašnjavanje pomaže korisniku da razume zašto se postavljanju određena pitanja i zašto se predlažu određena rešenja od strane ekspertnog sistema.

Globalna baza podataka je radna memorija za beleženje opisa statusa problema, ulaznih podataka za određeni problem i relevantne istorije dotadašnjeg rada. Baza podataka je analogna zabeleškama stručnjaka o toku rešavanja problema.

Iz ugla revizije, ekspertni sistemi imaju dvojaku primenu. Oni se javljaju:

▪ u formi objekata (mete) revizije (ukoliko se koriste kao deo

kompjuterskog sistema klijenta) i ▪ kao pomoćno sredstvo (alat) u izvođenju revizije (ako ih

revizor koristi kao olakšicu u radu). 1. Ekspertni sistemi postaju objekt revizije kada su uključeni u

obradu značajnih računovodstvenih podataka preduzeća klijenta. Ovi sistemi su posebno našli primenu u računo-vodstvenom ciklusu prodaja/prihodi. Kao primer možemo uzeti ekspertni sistem osiguravajuće organizacije koji pro-cenjuje da li potencijalni osiguranik ispunjava uslove za dobijanje polise osiguranja i kolika je očekivana premija osiguranja (faktori koji se uzimaju u obzir kod polise život-nog osiguranja su godine starosti, visina uplate, prethodni poslovni odnosi potencijalnog osiguranika sa osiguravaju-ćim zavodom i dr.).

2. S obzirom na zahtevanu stručnost (ekspertizu) revizora, ekspertni sistemi se mogu koristiti za modelovanje rezono-vanja revizora. Ekspertni sistemi se koriste kao podrška radu revizora u fazi preliminarne procene materijalnosti i revizijskog rizika i u fazi izvođenja kontrolnih testova (provera interne kontrolne strukture, kompjuterskih infor-macionih sistema, računovodstvenih ciklusa nabav-ka/plaćanje i prodaja/prihodi) i pomoćnih testova (provera otpisa potraživanja, dugoročnih rezervisanja i dr.).


1.2.6. Operativni sistemi Operativni sistemi su programi koji nadgledaju ili upravljaju radom kompjuterskog sistema. Operativni sistemi nadgledaju izvršavanje aplikativnih programa i smeštanje podataka u memoriju kompjutera. Zahvaljujući njima, značajno je olakšan proces nastajanja i funkcio-nisanja aplikativnih programa.

Položaj koji operativni sistemi imaju u okviru računarskog sis-tema ilustrovani su narednim prikazom.

Prikaz 3 Odnos hardvera, operativnog sistema, aplikativnog softvera i korisnika

Iz slike se jasno vidi da korisnik hardveru sistema može pris-

tupiti direktno - pomoću operativnog sistema ili indirektno - dava-njem instrukcija putem aplikativnog programa koji sa hardverom komunicira uz posredovanje operativnog sistema. U oba slučaja pris-tup hardveru nije mogu bez aktivne uloge operativnog sistema.

Operativni sistem je značajan elemenat sistema internih kon-trola zbog sledećeg:


▪ Softver operativnog sistema sadrži i sigurnosne funkcije nadgledanja, kao što su kreiranje zapisa (logova14) o tome ko se i kad uključio u rad sistema, koje je programe pokre-nuo i kada se odjavio iz sistema, kao i pokušaje neovlašće-nog pristupa sistemu.

▪ Mogućnost da pojedinci koji imaju pristup operativnom sistemu klijenta i dovoljno znanja izmene način funkcioni-sanja aplikativnih programa ili sadržaj datoteka bez korišćenja aplikativnih programa predstavlja veliki prob-lem. Stoga revizor mora obratiti pažnju kako na neovlašće-ne izmene aplikativnog programa, tako i na neovlašćeno konfigurisanje operativnog sistema.

1.2.7. Aplikativni programi Aplikacije (aplikativni programi) su kompjuterski programi koji su namenjeni neposrednom zadovoljavanju informacionih potreba kori-snika.

Preduzeća se mogu opredeliti za samostalan razvoj ili kupovi-nu gotovih softverskih paketa. Osnovna prednost samostalnog razvo-ja leži u prilagođenosti računovodstvenih programa specifičnim pot-rebama preduzeća. Aplikacije se razvijaju od strane kompjuterskog osoblja - sistemskih analitičara i programera uz pridržavanje nekog od prihvaćenih modela razvoja (model životnog ciklusa, prototipskog razvoja, spiralnog modela ili modela objektno orijentisanog razvoja).

U kompjuterizovanim sistemima procesiranje računovodstve-nih podataka se vrši putem aplikativnih programa koji se sastoje iz preciznih instrukcija kompjuteru kako da izvede specifične korake (programske procedure) kojima se postižu željeni efekti. Postoje dve vrste ovih procedura:

▪ programske računovodstvene procedure. Ovde se radi o procedurama kojim se izvršava računovodstvena funkcija preduzeća. Kao primer možemo uzeti izračunavanje pores-kih obaveza, memorisanje podataka u kompjuter i kreiranje i štampanje uplatnica za poreze.

14

Logovi koje kreira operativni sistem imaju izuzetan značaj za proces revizije, pre svega za kontrole pristupa i procesa.


▪ programske kontrolne procedure. Priroda kompjuterske obrade omogućuje internim kontrolama da budu ugrađene u kompjuterski sistem klijenta. Ove kontrolne procedure osi-guravaju kompletnost, tačnost i autorizaciju obrade i skla-dištenja podataka. Na primer, podacima, programima ili datotekama može biti ograničen upotrebom lozinki; Mogu-će je ostvariti korektnu i čestu proveru usaglašenosti knji-ženja, recimo, obaveza prema dobavljačima na kontu doba-vljača i dnevniku nabavke.

Računovodstveni programski paketi su, najčešće, međusobno

povezani, konzistentni, interaktivni moduli. Programski paketi se obično prodaju po modulima. Povezivanje ovih modula u jedinstven sistem obrade rešava se integrisanjem. Pokretanje programa se ostva-ruje putem menija, izborom odgovarajućeg programa.

1.3. Raznovrsnost metoda unos i obrada podataka kroz računovodstveni sistem Postoje različite metode unosa i obrade podataka:

1. paketni unos/paketna obrada 2. onlajn unos/paketna obrada i 3. onlajn unos/obrada u realnom vremenu. Primena svake od ovih metoda je opravdana u određenim

okolnostima. 1. Paketni unos/paketna obrada podataka Metod paketni unos/paketna obrada je pogodan kada aplikacije

trebaju obraditi veliku količinu sličnih transakcija, a ne postoji potre-ba da to bude urađeno neposredno po nastanku transakcije (npr. fak-turisanje poslate robe ne mora biti izvršeno odmah po slanju robe već može i sutradan; blagajničko poslovanje, knjiženje promena na raču-nima kod banke, evidencija prijema robe u skladište i dr.).


Tipičan sistem paketnog unosa i obrade podataka može uklju-čiti sledeće korake:

Prikaz 4 Prikaz sistema paketnog unosa/paketne obrade podataka 1. Izvorni dokumenti, kao što su radni nalozi, popisne liste ili

fakture se kumuliraju u toku nekog vremenskog perioda (dana, nedelje, meseca) tako da formiraju paket dokumena-ta.

2. Akumulirani paket izvornih dokumenata se nastoji konver-tovati u mašinski čitljivu formu.

3. U toku unosa vrši se validacija inputa. 4. Podaci koji uspešno prođu proces validacije, konvertuju se

u mašinski čitljivu formu. Neuspešni unosi rezultiraju krei-ranjem izveštaja o greškama.

5. Periodično se vrši ažuriranje matičnih datoteka. Prvo se čita matična, a potom transakciona datoteka. Ukoliko se one slažu, vrši se ažuriranje matične datoteke (na primer, na osnovu fakture i identifikacije kupca u njoj, vrši se eviden-tiranje povećanja potraživanja u datoteci kupca i povećanje prihoda u datoteci prihoda od prodaje).

6. Poslednji korak je generisanje izlaza. Izlaz može uključiti izveštaje kao što su dnevnik ili glavna knjiga, štampanje na transakcionim dokumentima (npr. čekovima) ili dati samo kontrolnu informaciju o uspešnosti ili neuspešnosti ažurira-nja matičnih datoteka.

Sistemi sa paketnim unosom i paketnom obradom su pogodni

za uspešnu kontrolu i reviziju. U ovim sistemima velika je verovat-noća da postoji tradicionalni revizijski trag. Isto tako, oni imaju mnoštvo tačaka u koja se može kontrolisati sistem (izvorni dokumen-


ti, transakcione datoteke, štampani izlazi), kao i mogućnost provere unosa i obrade pomoću kontrolnih zbirova. (npr. obračun zarada).

2. Onlajn unos/paketna obrada (onlajn unos sa odloženom

obradom) Neki noviji kompjuterski sistemi su zadržali periodičnu paket-

nu obradu ali su omogućili unos individualnih transakcija bez odla-ganja, u momentu njihovog nastanka. Prednost ovakvog sistema leži u mogućnosti neposredne validacije individualne transakcije. Valida-cija može biti izvršena od strane centralnog kompjutera ili, u nekim slučajevima, od strane terminala na kome se unos vrši. Detektovanje transakcije sa greškom rezultira kreiranjem poruke o grešci koja se štampa ili prikazuje na monitoru terminala. Operator na terminalu mora promptno reagovati na poruku o grešci ispravkama koje trebaju dovesti do prihvatanja transakcije. Mašinski čitljive validne transak-cije se smeštaju u transakcionu datoteku, koja se zove još i transakci-oni log. U transakcionom logu se u toku predviđenog perioda kumu-liraju transakcije koje se potom obrađuju u smislu ažuriranja matič-nih datoteka.

Uobičajeni sistem onlajn unos/paketna obrada ima sledeći oblik:

Prikaz 5 Prikaz sistema onlajn unos/paketna obrada podataka Najčešća primena ovog sistema je kod prijema narudžbi i u

radu onlajn sistema sa terminalima specijalne namene u oflajn reži-mu.


Nije teško zamisliti jedan sistem prijema narudžbi koji funkci-oniše tako što službenik preduzeća prima porudžbine putem telefona. Budući da ne postoji potreba kreiranja izvornog dokumenta (nepot-rebno se gubi vreme), podaci mogu biti odmah uneti u računar. Pro-ces validacije najčešće vrši centralni kompjuter koji proverava da li je traženi proizvod raspoloživ na zalihama i da li je potencijalni kupac prihvatljiv za preduzeće (recimo kupac ima nagomilane nepla-ćene obaveze prema klijentu revizije). Na ovom primeru se vidi i prednost onlajn unosa u odnosu na paketni - kupac očekuje i dobija odgovor bez odlaganja što nije moguće uraditi pri metodi paketnog unosa. Za sistem je zadovoljavajuće rešenje da narudžbenica ne bude prosleđena na izvršavanje odmah nego, recimo, na kraju radnog dana. Narudžbenice koje nastanu u određenom periodu se na kraju zajednički obrađuju (ažuriranju se matične datoteke).

O radu onlajn sistema sa terminalima specijalne namene će kasnije u radu biti više reči. Ovde kao primer možemo uzeti POS terminal (terminal na mestu prodaje). Za ovaj terminal je karakteris-tično da se unos vrši u momentu prodaje (tako se sva neslaganja sa kupcima mogu odmah usaglasiti) dok se prenos podataka o dnevnom prometu prosleđuje centralnom kompjuteru na kraju dana ili, zbog rasterećenja mreže, u toku noći.

3. Onlajn unos/obrada u realnom vremenu Ovaj metod je najkompleksniji. On uključuje unos transakcije

u momentu nastanka i njenu neposrednu obradu. Pri obradi u real-nom vremenu, ažuriranje matičnih datoteka se vrši odmah po unosu individualne transakcije u sistem. Time se osigurava nenarušena aktuelnost matičnih datoteka.

Tradicionalno, sistem onlajn unosa sa obradom u realnom vremenu ima sledeći izgled:


Prikaz 6 Prikaz sistema onlajn unos/obrada u realnom vremenu Primena ovog sistema je neophodna u redovnom bankarskom

poslovanju i pri elektronskom prenosu sredstava (EFT) u onlajn režimu. Naravno postoje i druge varijante primene u kojima dati sis-tem predstavlja optimalno rešenje.

Što se bankarskog poslovanja tiče, zbog složenosti posla, rad bankarskih šaltera se ne može zamisliti bez ovog sistema. Svi termi-nali koji se nalaze na šalterima banaka moraju imati neprestanu vezu sa centralnim kompjuterom kome šalju i od koga primaju najsvežije podatke. Zamislimo situaciju u kojoj komitent banke ima određena novčana sredstva na svom računu. Ako banka ne bi ažurirala stanje na njegovom računu neposredno po podizanju gotovine (informacija o tome se čuva na centralnom kompjuteru), komitent bi mogao na šalteru jedne ekspoziture da podigne sav novac na računu, a zatim ode na drugi šalter i ponovo podigne isti iznos (iako sredstava na računu realno nema).

22.. KKaakkoo iimmpplleemmeennttiirraattii rraaččuunnoovvooddssttvveennii ssooffttvveerr U današnje vreme ne može se zamisliti realizacija procesa obrade računovodstvenih podataka bez upotrebe računovodstvenog softvera. Prvobitna uloga računovodstvenog softvera ogledala se u povećanju efikasnosti i efektivnosti procesa računovodstvene obrade podataka. Primena računovodstvenog softvera u odnosu na manuelni proces obrade obezbeđuje skraćenje vremena potrebnog za obradu podataka,


smanjuje rizik od nastanka grešaka, omogućuje jednostavnije kreira-nje finansijskih izveštaja i dr. U toku razvoja i inovacija na području računovodstvenog softvera došlo je do njegove šire upotrebe. Raču-novodstven softver u današnje vreme pruža veliki doprinos u uprav-ljanju preduzećem kroz mogućnost generisanja izveštaja za potrebe menadžmenta preduzeća.

Odluka o izboru računovodstvenog softvera donose se na osnovu definisanog strategijskog plana implementacije računovods-tvenog softvera. Ukoliko preduzeća ne vrše implementaciju na osno-vu definisanog plana onda je prisutan veliki rizik od neuspeha proce-sa implementacije računovodstvenog softvera koji sa sobom nosi visoke troškove za preduzeće. U svakom slučaju, da bi preduzeće koristilo pogodnosti koje pruža računovodstveni softver, nije dovolj-no samo kupiti računovodstveni softver.

2.1. Računovodstveni softver u funkciji upravljanja preduzećem Računovodstvene informacije predstavljaju transformisane podatke i pokazatelje koji imaju smisaoni sadržaj, formu i namenjene su eksternim i internim korisnicima u funkciji donošenja poslovnih odluka.15 Osnovna pretpostavka korišćenja informacija iz računovod-stvenog informacionog sistema za donošenje odluka jeste da infor-macije poseduju kvalitativne karakteristike kao što su relevantnost, razumljivost, pouzdanost i blagovremenost. Proces donošenja poslo-vnih odluka je kompleksne prirode i prolazi kroz faze identifikovanja problema, prikupljanja i obradu informacija, analize mogućih reše-nja, donošenje i implementacija odluke. Računovodstveni softver pruža podršku u svim fazama odlučivanja. Tako npr. izveštaji mogu pomoći u procesu identifikovanja problema, upiti omogućavaju pri-kupljanje podataka, dok analitički alati računovodstvenog informaci-onog sistema nalaze primenu u analizi potencijalnih rešenja.

Menadžment predstavlja način upravljanja preduzećem putem planiranja, organizovanja, vođenje, donošenje odluka i kontrole. 15

Andric M., Mijic K., Jaksic D., Vukovic B. (2011). Implementation of Accounting Software as a Support to Company Management. TTEM Sarajevo: DRUNPP. str. 472


Menadžment preduzeća može se posmatrati kroz tri nivoa: strateški ili vrhovni, taktički i operativni menadžment. Strategijski menadž-ment se realizuje od strane generalnog direktora i top menadžera. Upravljanje na strateškom nivou podrazumeva donošenje odluka o dugoročnim ciljevima i politici poslovanja preduzeća. Glavne karak-teristike dugoročnih odluka strategijskog menadžmenta jesu:16

▪ dolazi do pokretanja vrlo značajnih iznosa sredstava, ▪ menja se proizvodno – prodajni kapacitet preduzeća, ▪ menja se proizvodno – prodajni program preduzeća i ▪ određuje se dugoročni rentabilitet i dugoročna finansijska

sigurnost preduzeća. Odluke strategijskog menadžmenta neposredno određuju rast i

razvoj preduzeća. Reč je o odlukama o proširenju kapaciteta, izgrad-nji ili kupovini pogona sa novim asortimanom, rekonstrukciji posto-jećih fabrika, zatvaranju fabrike ili pogona i slično.

Menadžment taktičkog nivoa čine sektorski direktori i njihovi pomoćnici. Upravljanje na taktičkom nivou podrazumeva donošenje kratkoročnih odluka kako najbolje iskoristiti raspoložive resurse pre-duzeća u pravcu ostvarenja posebnih ciljeva. Primeri odluka na takti-čkom nivou jesu odluke o cenama, trgovačkim i finansijskim diskon-tima, veličini porudžbine i dr.17 Odluke donete od strane taktičkog menadžmenta moraju biti u skladu sa strategijskim odlukama predu-zeća. Operativni nivo upravljanja, za razliku od prethodnih nivoa, ne bavi se donošenjem odluka, nego su aktivnostima usmerenim na sprovođenje planova u akcije, raspoređivanje pojedinačnih zadataka i sl.

Posredstvom računovodstvenog softvera mogu se dobiti raču-novodstvene informacije za potrebe menadžmenta preduzeća iz finansijskog i upravljačkog računovodstva. Informacije iz finansij-skog računovodstva su opšteg karaktera i prezentuju se u vidu seta finansijskog izveštaja, konsolidovanog izveštaja, poreskog bilansa i

16

Stevanović, N., Malinić, D., Milićević, V. (2006). Upravljačko računovodstvo. Beograd: Ekonomski fakultet. str. 14 – 15. 17

Ibid, str. 15


specijalnih bilansa. Detaljne informacije prezentuju se u izveštajima upravljačkog računovodstva kao što su interni finansijski izveštaji, izveštaji o troškovima i performansama po užim organizacionim delovima i dr.

Svi navedeni računovodstveni izveštaji sa aspekta upravljač-kog menadžmenta mogu imati kontrolnu, dispozitivnu i kontrolno – dispozitivnu ulogu.18 Računovodstveni izveštaji koji sadrže informa-cije na bazi stvarno nastalih tokova vrednosti u preduzeću imaju ulo-gu kontrolnog instrumenta u oceni ostvarenja ciljeva preduzeća i planova. Izveštaji iz računovodstvenog informacionog sistema koji sadrže projektovane, planske tokove vrednosti preduzeća imaju ulo-gu dispozitivnog (usmeravajućeg) instrumenta u upravljačkim proce-sima menadžmenta. Kategoriju kontrolno – dispozitivnih računovod-stvenih izveštaja predstavljaju izveštaji koji imaju kao primarnu kon-trolnu ulogu, a zatim mogu ukazati i na potrebne izmene u preduze-ću.

Strateški menadžment se u najvećoj meri koristi računovods-tvenim izveštajima iz upravljačkog računovodstva, koji imaju kon-trolno – dispozitivan karakter, kao i finansijskim izveštajima. Speci-jalni izveštaji strategijskog upravljačkog računovodstva podrazume-vaju izveštaje o proizvodima koji zarađuju prihod ili ostvaruju gubi-tak, izveštaj o uzročnicima povećanja opštih troškova, izveštaji o efektima akcija na uspeh, izveštaje za alternativno odlučivanje, izveštaje o ostvarenim rezultatima u odnosu na planirane vrednosti i dr. Ukoliko se kao problem u preduzeću identifikuje ostvarenje nega-tivnog finansijskog rezultata, strategijski menadžment treba da done-se odluku o izlaženju iz zone gubitka, kroz ukidanje određenih orga-nizacionih jedinica. Prvi korak jeste prikupljanje informacija o rezul-tatima poslovanja organizacionih jedinica, odnosno profitnih i inves-ticionih centara. Strategijski menadžment na osnovu uvida u interne bilanse uspeha i izveštaja koji pokazuje odnos plana i ostvarenja vrši analizu uspešnosti poslovanja pojedinih organizacionih jedinica. Takođe, menadžment preduzeća prikuplja i informacije iz eksternih izvora o stanju na tržištu, mogućnosti promene orijentacije segmena- 18

Malinić, S. (2009). Dometi računovodstvnog informacionog sistema u upravljanju krizom preduzeća. 13. Kongres Računovodstvo, revizija i finansije u uslovima glo-balne krize. Banja Vrućica: Savez računovođa i revizora Republike Srpske. str. 49


ta na druga tržišta i sl. Sagledavanjem rezultata poslovanja strategij-ski menadžment će doneti odluku o ukidanju organizacionih jedinica koje ostvaruju negativan finansijski rezultat i nisu u mogućnosti da realne planove ispune. Strategijsko upravljačko računovodstvo proši-reno informacijama iz eksternih izvora omogućuje donošenje pouz-danih odluka od strane strategijskog menadžmenta.

Ključna determinanta efikasnog i pouzdanog poslovnog odlu-čivanja na svim nivoima menadžmenta jeste kvalitet računovodstve-nih informacija. Kvalitet računovodstvene obrade podataka i računo-vodstvenih informacija određen je kvalitetom računovodstvenog sof-tvera.

2.2. Kvalitativni zahtevi računovodstvenog softvera U cilju efikasne obrade računovodstvenih podataka i efikasne upot-rebe računovodstvenog softvera u procesu poslovnog odlučivanja, računovodstveni softver treba da ispunjava kvalitativne zahteve. Pod kvalitativnim zahtevima računovodstvenog softvera podrazumevaju se:19

1. Funkcionalnost 2. Pouzdanost 3. Upotrebljivost 4. Efikasnost 5. Pogodnost za održavanje 6. Prenosivost Funkcionalnost predstavlja sposobnost računovodstvenog sof-

tvera da obezbedi rad svih svojih funkcija pod određenim uslovima. Funkcionalnost upućuje na činjenicu šta bi računovodstveni softver trebao da radi kako bi ispunio zahteve korisnika računovodstvene aplikacije. Funkcionalnost računovodstvene aplikacije se može pos-matrati sa stanovišta tačnosti, kompatibilnosti i sigurnosti. Sa aspekta

19

Krsmanović, B., Polić, S. (2008). Informacione tehnologije u računovodstvu i reviziji. Banja Luka: Finrar, str. 151


tačnosti, računovodstvena aplikacija treba da obezbedi ispravan rad aplikacije, kroz kontrolu tačnosti obrade podataka, kompletnost rea-lizacije zadatih instrukcija, otkrivanje gubitka podataka i dr. Računo-vodstvena aplikacija treba da bude kompatibilna sa informacionim sistemom preduzeća. Stepen funkcionalnosti direktno zavisi i od kompatibilnosti rada računovodstvene aplikacije sa drugim softver-skim rešenjima informacionog sistema organizacije. U slučaju posto-janja nekompatibilnosti rada između računovodstvene aplikacije i nekog drugog softvera, kao rešenje može se instalirati tzv. međusof-tver koji će obezbediti integraciju aplikacija. Računovodstveni sof-tver je funkcionalan ukoliko obezbeđuje sigurnost u radu kroz ugra-dnju internih kontrola koje imaju funkciju da onemoguće nastanak grešaka prilikom korišćenja računovodstvene aplikacije.

Pouzdanost predstavlja karakteristiku računovodstvene aplika-cije da obezbedi konzistentnost izvođenja operacija pod različitim nepovoljnim uslovima rada. Ova osobina realizacije računovodstve-nih zadataka od strane softverskog računovodstvenog rešenja se bit-no razlikuje od manuelnog izvršenja, jer računovodstveni softver uvek na isti način izvršava svoje operacije. Ukoliko je računovods-tvena aplikacija pouzdana, odnosno pravilno projektovana i ima odgovarajući sistem internih kontrola, mogućnost nastanka grešaka je minimalna ili skoro svedena na nulu. Pouzdanost računovodstvene aplikacije ne zavisi od nje same, nego i od uslova u kojima ona funk-cioniše, kao što su preopterećenost memorijskog prostora informaci-onog sistema, postojanje programa koji narušavaju rad računovods-tvene aplikacije i dr.

Upotrebljivost kao karakteristika računovodstvenog softvera se odnosi na sposobnost programa da bude razumljiv i lako upotreb-ljiv od strane korisnika. Da bi se omogućila upotrebljivost računo-vodstvene aplikacije kao prvi uslov postavlja se usaglašenost raču-novodstvenog programa sa važećom računovodstvenom regulativom, zakonima i standardima. Sa druge strane, računovodstvena aplikacija treba da bude pogodna za učenje, što znači da omogući korisniku da nauči kako da koristi sve raspoložive i njemu potrebne funkcije koje pruža softver. Takođe se pod upotrebljivošću podrazumeva i atrakti-vnost aplikacije, koja se ogleda kroz lakoću pristupa, dobru pregled-nost opcija, višedimenzionalnost prikaza i dr.


Dijalog korisnika sa računovodstvenim softverom realizuje se posredstvom ekrana. U cilju jednostavnog korišćenja računovodstve-na aplikacija treba da sadrži različite boje polja prema nameni, zvuč-ne signale koji će uz tekstualnu poruku obavestiti korisnika o nastaloj grešci ili uspešno realizovanoj proceduri, kao i blinkovanje kursora kao indikaciju na naredno polje koje zahteva unos podataka. Upotre-bljivost računovodstvene aplikacije se povećava ukoliko se ostvaruje dijalog sa korisnikom posredstvom poruka. Poruke koje računovods-tvena aplikacija saopštava korisniku treba da bude kratke, jasne, jed-noznačne i da ne stvaraju dilemu kod korisnika. Poruke prema nameni se mogu posmatrati kao pitanja iz programa, poruke upozo-renja, poruke o nastalog grešci i poruke zahvalnosti.

Efikasnost predstavlja karakteristiku koja podrazumeva da računovodstveni softver izvršava svoje operacije na način da koristi njegove upotrebe prevazilaze troškove implementacije, funkcionisa-nja i održavanja. Direktna korist izvršenja operacija primenom raču-novodstvenog softvera ogleda se kroz smanjenje vremenskog perioda realizacije, odnosno kroz smanjenje vremenskog trajanja unosa, obrade i dobijanja traženih podataka. Pored posmatranja efikasnosti kroz vremensku dimenziju, efikasnost se može posmatrati i sa troš-kovnog aspekta kroz korišćenja resursa informacionog sistema za potrebe računovodstvene aplikacije.

Pogodnost za održavanje odnosi se na mogućnost modifikacije računovodstvenog softvera, u zavisnosti od promena zahteva koris-nika i okruženja (npr. promena zakonskih propisa, računovodstvenih standarda i sl.). U situaciji kada je predviđena adaptacija programa od strane korisnika, proizvođač računovodstvenog softvera je u oba-vezi da u okviru dokumentacije opisa računovodstvenog softvera navede metode i uslove za samostalnu adaptaciju. Pogodnost se može sagledati kroz analizu potencijalnih nedostataka računovods-tvenog softvera, radi preduzimanja potrebnih izmena i ispitivanja modifikovanog programa sa aspekta zadovoljenja novonastalih zah-teva.

Poslednja kvalitativna karakteristika se odnosi na mogućnost računovodstvenog softvera da se prenosi iz jednog okruženja u dru-go. Prenosivost softvera se može odnositi na mogućnost funkcioni-sanja u različitom organizacionom, hardverskom i softverskom okru-ženju. Računovodstveni softveri se ne kreiraju isključivo za podršku


pojedinačnih delatnosti, nego se u većini slučajeva vrši projektovanje univerzalnih softvera, kako bi se mogli koristiti u različitim organi-zacijama. Svakako da je ostavljen prostor za implementaciju specifi-čnih funkcija koje program treba da izvršava u skladu sa potrebama preduzeća koja posluju u različitim delatnostima. Hardverska preno-sivost se odnosi na mogućnost da se računovodstvena aplikacija instalira i koristi u različitom hardverskom okruženju (mainframe računari, mikro računari i dr.). Pod softverskom prenosivošću podra-zumeva se da je računovodstveni softver kompatibilan sa različitim operativnim sistemima (Windows, Mac OS, Linux i dr.) i ostalim aplikativnim programima.

Pored kvaliteta računovodstvenog softvera, kao preduslov efi-kasne upotrebe računovodstvenog softvera ističe se izbor računovod-stvene aplikacije prema potrebama konkretnog preduzeća. Kako bi preduzeća odabrala računovodstveni softver prema svojim zahtevima i mogućnostima, potrebno je razviti strategijski plan implementacije računovodstvenog softvera.

2.3. Strategijski plan implementacije računovodstvenog softvera Efikasna upotreba računovodstvenog programa zasniva se na pretpo-stavci adekvatne implementacije računovodstvenog softvera.20 Odlu-ka o implementaciji računovodstvenog softvera se donosi od strane menadžmenta ili vlasnika preduzeća. Nije dovoljno samo doneti odluku o ugradnji računovodstvenog softvera, kako bi se pozitivne strane njegovog funkcionisanja ispoljile. Razvoj ili kupovina i ugra-dnja računovodstvenog programa iziskuje veoma visoke troškove. Pored visokih troškova nabavke, implementaciju računovodstvenog programa karakteriše i visok rizik, ali i potencijalna isplativost proje-kta.

Osnovno pravilo prilikom odlučivanja o implementaciji raču-novodstvenog softvera jeste da on mora da zadovolji zahteve predu-zeća, tj. da bude projektovan prema potrebama preduzeća. Zbog toga 20



je potrebno definisati strategijski plan implementacije računovods-tvenog softvera od strane menadžmenta preduzeća. Strategijski plan računovodstvenog softvera predstavlja dokument u kojem su defini-sani zahtevi koje računovodstveni program treba da ispuni, način usklađivanja računovodstvenog programa sa strategijom i ciljevima preduzeća, način nabavke, ugradnje i korišćenja računovodstvenog programa, kao i rizici implementacije i njegovog korišćenja.21 Predu-zeća koja vrše ugradnju računovodstveni softvera, a da pri tome nisu usvojili strategijski plan, ne vode brigu o poslovnim procesima i svo-jim potrebama. Prisutne su situacije u kojima se preduzeća odlučuju za računovodstveni program koji poseduju njihovi poslovni partneri, najbolja preduzeća u okviru grane delatnosti ili se odlučuju za najno-vije verzije. Pri tome preduzeća ne sagledavaju da li takav računo-vodstveni program odgovara stvarnim potrebama preduzeća. Nepro-mišljena implementacija se tretira kao „tehnološki sluga” i predstav-lja samo trošak za organizaciju, jer su troškovi implementacije i odr-žavanja veći od koristi koja se ostvaruje upotrebom računovodstve-nog programa.

Strategijsko planiranje računovodstvenog programa odnosi se na uspostavljanje strategije razvoja i korišćenja aplikacije u procesu računovodstvene obrade podataka. Značaj računovodstvenog pro-grama može varirati u zavisnosti od veličine preduzeća, njegovih potreba i finansijskih mogućnosti za implementaciju sistema. Bez obzira na vrstu računovodstvenog programa koji se implementira, neophodno je da program omogući realizaciju računovodstvenih pro-cesa na efikasniji način. Strategija planiranja implementacije računo-vodstvenog softvera prolazi kroz sledeće faze:

22 1. Planiranje i inkorporiranje zadataka, 2. Intervju, 3. Identifikovanje kritičnih faktora uspeha,

21

Panian, Ž., & Spremić, M. (2007). Korporativno upravljanje i revizija informacijskih sustava. Zagreb: Zgombic & Partneri. str. 29 22

Krsmanović, B., Polić, S. (2008). Informacione tehnologije u računovodstvu i reviziji. Banja Luka: Finrar. str. 87-88


4. Analiza i donošenje odluke o implementaciji konkretne vrs-te računovodstvenog programa.

Planiranje i inkorporiranje zadataka podrazumeva:23 ▪ Determinisanje projektnih ciljeva i obima projekta imple-

mentacije računovodstvenog softvera (koji obim računo-vodstvenih funkcija će biti obuhvaćen za realizaciju prime-nom informacionog sistema).

▪ Obezbeđivanje pokroviteljstva nad projektom od strane člana upravnog odbora.

▪ Identifikovanje osoba za intervju. ▪ Definisanje projektnog tima u kojem treba da budu uklju-

čeni menadžeri, stručnjaci iz oblasti informacionih sistema, računovodstva, revizije i sl.

▪ Uspostavljanje plana zakazivanja i sadržaja intervjua, defi-nisanje načina analize faza rada i sl.

Članovi projektnog tima sprovode intervju budućih korisnika

računovodstvenog programa. Radnici u računovodstvenoj službi daju odgovore na pitanja koja se odnose na zahteve koje očekuju da raču-novodstveni informacioni sistem ispuni. Time se određuju potrebne funkcije za obradu računovodstvenih podataka. Sa druge, strane menadžment upućuje članove projektnog tima o vrstama informacija koje treba da se generišu putem računovodstvenog softvera za potre-bu donošenja poslovnih odluka. Kao najbolji način za organizaciju prikupljenih informacija ističe se dijagram toka informacija koji će na najlakši način omogućiti izbor računovodstvenog informacionog sistema.

Projektni tim u saradnji sa strategijskim menadžmentom treba da identifikuje kritične faktore uspeha, koji moraju biti postignuti, kako bi preduzeće napredovalo ka definisanim ciljevima. Analizira-jući kritične faktore uspeha strategijski menadžment definiše svoje potrebe za informacijama iz računovodstvenog informacionog siste-ma. Metoda kritičnih faktora uspeha definiše potrebne informacije,

23

Ibid, str. 87 – 88


ograničavajući pri tome trošak prikupljanja podataka koji nisu neop-hodni. U nastavku je dat primer informacija koje treba da se koriste prilikom upravljanja kritičnim faktorima uspeha:

Tabela 1 Kritični faktori uspeha i potrebne informacije iz

računovodstvenog informacionog sistema24

KRITIČNI FAKTORI USPEHA POTREBNE INFORMACIJE

Minimalni troškovi držanja zaliha materijala

▪ Nivo potrošnje materijala u danu, nedelji i na mesečnom nivou

Ostvarenje kvota za datum isporuke proizvoda

▪ Planirana – predviđena proizvodnja

▪ Nivo zaliha Stabilnost na finansijskom tržištu ▪ Racio cena / zarada

Na osnovu prikupljenih informacija o funkcijama koje korisni-

ci očekuju, sprovodi se analiza i donosi odluka o izboru konkretne vrste računovodstvenog softvera koji će se implementirati u preduze-će. Analiza računovodstvenog softvera koji će se koristiti u nared-nom vremenskom periodu treba da se izvršava sa tri aspekta:25

▪ sa aspekta ispunjenja zahteva korisnika i mogućnosti pre-

duzeća, ▪ sa aspekta kompatibilnosti računovodstvenog programa sa

informacionim sistemom preduzeća i ▪ sa aspekta usklađenosti računovodstvenog programa sa kul-

turom preduzeća. Preduzeće treba da se odluči za računovodstveni program koji

će u potpunosti odgovarati zahtevima i potrebama preduzeća. Tako-đe, preduzeća se odlučuju za računovodstveni program za čiju naba-

24

Andric M., Mijic K., Jaksic D., Vukovic B. (2011). Implementation of Accounting Software as a Support to Company Management. TTEM Sarajevo: DRUNPP. str. 475 25

Romney, M. B., Steinbart, P. J. (2009). Accounting Information System. New Jersey: Prentice Hall. str. 29


vku i održavanje preduzeće poseduje finansijska sredstva. U situaciji kada potrebe preduzeća mogu da zadovolje dva ili više različitih računovodstvenih programa, sprovodi se analiza troškova i koristi. Projektni tim se odlučuje za računovodstveni program čijom upotre-bom će se ostvariti najveći pozitivan efekat.

Računovodstveni softver predstavlja deo informacionog siste-ma preduzeća. Pouzdanost rada računovodstvenog programa zavisi od pouzdanosti same aplikacije, ali i od kompatibilnosti sa ostalim resursima informacionog sistema. Pitanje kompatibilnosti računo-vodstvene aplikacije postavlja se kada se kupuje računovodstveni softver kao nezavisna aplikacija i instalira u okviru postojećeg informacionog sistema preduzeća. Analiza kompatibilnosti je od izu-zetnog značaja iz razloga da se ne naruši integritet rada programa i podataka. Sa druge strane, ovakva analiza se ne vrši kada preduzeća implementiraju ERP sistem. ERP sistem predstavlja informacioni sistem u kome su integrisani sve poslovne oblasti i procesi u predu-zeću. U okviru ERP sistema integrisani su brojni moduli, kao što su marketing, ljudski resursi, nabavka, proizvodnja, prodaja, finansijsko knjigovodstvo i dr. Prilikom implementacije ERP rešenja preduzeća uvode celokupan informacioni sistem koji sadrži i modul za računo-vodstvo.

Implementacija računovodstvenog softvera dovodi do izmene načina realizacije aktivnosti računovodstvene službe i izmene načina komunicira koje se obavlja i u vidu razmene elektronskih izveštaja. Time se prilikom implementacije računovodstvenog softvera menja kultura preduzeća.

Prilikom donošenja odluke o vrsti računovodstvenog softvera, prvo pitanje koje se postavlja jeste da li računovodstveni softver kupiti na tržištu ili vršiti samostalno razvijanje korisničke računo-vodstvene aplikacije. Računovodstveni softveri kupljeni na tržištu kao gotova softverska rešenja nazivaju se računovodstveni paketi i razvijaju se od strane preduzeća, koja su specijalizovana i registrova-na za razvoj, testiranje i distribuciju softvera. Računovodstvene apli-kacije kupljene na tržištu sadrže standardizovane računovodstvene funkcije, koja preduzeća mogu prilagoditi prema svojim potrebama u najvećoj meri. Nakon kupovine računovodstvenog softvera preduze-ća mogu odmah izvršiti instalaciju programa i njegovu upotrebu. Nabavka ove vrste računovodstvenih softvera omogućuje nabavku


po povoljnijim uslovima nego kada bi se razvijala aplikacija po sops-tvenim potrebama. Isporuka softvera praćena je dokumentacijom o proizvodu, njegovim funkcijama, načinom korišćenja i dr. Takođe preduzeću kao kupcu programa stoji na raspolaganju softverska podrška, servis i druge usluge koje nudi prodavac računovodstvene aplikacije.

Pored brojnih prednosti, generalizovani računovodstveni pro-grami ipak nisu idealni i nose sa sobom i određene nedostatke, kao što su:26

▪ Ograničenost broja funkcija i nemogućnost samostalnog

proširivanja funkcija računovodstvenog programa od strane preduzeća kupca.

▪ Proizvođač nudi usluge servisa, održavanja i zamene pro-grama novijim verzijama, što za organizaciju korisnika znači i dodatne troškove.

▪ Usled korišćenja većeg broja različitih softverskih rešenja može doći do narušavanja pouzdanosti funkcionisanja informacionog sistema, jer postoji mogućnost da programi različitih proizvođača i različitih namena nisu kompatibilni.

Alternativu u odnosu na kupovinu računovodstvenog softvera

predstavlja samostalan razvoj aplikacije od strane organizacije koja će ujedno biti i korisnik računovodstvenog softvera. Preduzeća se odlučuju za samostalni razvoj računovodstvenog softvera ukoliko imaju specifičnosti u poslovanju i obradi podataka koje ne mogu da budu rešene ili nisu obuhvaćene funkcijama standardizovanog raču-novodstvenog softvera. Kao prednost samostalnog razvoja ističe se mogućnost samostalne modifikacije računovodstvene aplikacije. Takođe, kao prednost može se navesti mogućnost licenciranja apli-kacije i plasiranja računovodstvenog programa na tržište i po toj osnovi sticanje dodatnih prihoda preduzeća.

Sa druge strane, kao negativne karakteristike korisničke raču-novodstvene aplikacije mogu se navesti: 26



▪ Visoki troškovi i angažovanje značajnih resursa. ▪ Veoma dugačak period razvoja i testiranja računovodstvene

aplikacije. ▪ Zbog želje za što bržom implementacijom, mogućnost nas-

tanka greške u funkcionisanju računovodstvenog softvera je velika, jer se ne posvećuje dovoljno pažnje pitanju testi-ranja pouzdanosti rada aplikacije.

Razlike računovodstvenog softvera kao gotovog softverskog

rešenja i korisničke aplikacije mogu se predstaviti primenom upore-dnog prikaza.

Tabela 2 Razlike između računovodstvenog softvera

kupljenog na tržištu i korisničkog računovodstvenog softvera27

Kriterijumi Računovodstveni softver kupljen na tržištu

Korisnički računovodstveni softver

Funkcije Sadrži standardne računovodstvene funkcije

Podešen prema specifičnim zahtevima preduzeća

Troškovi izrade Manji troškovi kupovine od troškova razvoja

Visoki troškovi razvoja i testiranja

Modifikacija Održavanje i modifikacija se vrši od strane dobavljača

Mogućnost samostalne modi-fikacije od strane preduzeća

Odluka o izbori računovodstvenog softvera treba da sadrži vrs-

tu računovodstvenog softvera, stručni tim za instalaciju sistema, vreme instalacije, način migracije računovodstvenih podataka iz prethodnog sistema u naredni, vreme početka rada u novoj računo- 27



vodstvenoj aplikaciji. Takođe, potrebno je planirati način održavanja računovodstvenog aplikacije, definisati kurseve za obuku kadrova i sl.

U praksi su prisutne i situacije u kojima dolazi do neuspeha implementacije i upotrebe računovodstvenog softvera, iako je posto-jao strategijski plan. Tada preduzeća gube novčana sredstva koja su uložili za ugradnju računovodstvenog programa i izlažu se visokom poslovnom riziku. Najčešći razlozi za neuspeh projekata implemen-tacije računovodstvenog programa jesu organizacione, a ne tehničke prirode i u suštini se odnose na:28

▪ Nedovoljnu podršku od strane menadžmenta preduzeća i

nedovoljno dobro poznavanje poslovne prakse informatike. ▪ Nedostatak resursa. ▪ Neuključivanje svih relevantnih korisnika u projekat. ▪ Otpor promenama koje donosi uvođenje računovodstvenog

informacionog sistema. ▪ Loša analiza poslovnih procesa. ▪ Nejasno definisana odgovornost za sprovođenje projekta i

dr.

33.. IInntteerrnnee kkoonnttrroollee ii IITT ookkrruužžeennjjee

3.1. Vrste internih kontrola u okruženju informacionih tehnologija Pod pojmom kontrola podrazumevaju se „sve aktivnosti koje predu-zima menadžment u cilju povećanja šansi da će ciljevi preduzeća biti postignuti“.29 Kontrola je sistem kojim se sprečavaju, otkrivaju i ispravljaju neželjeni događaji i procesi u informacionom sistemu.30 U 28

Panian, Ž., & Spremić, M. (2007). Korporativno upravljanje i revizija informacij-skih sustava. Zagreb: Zgombic & Partneri. str. 33. 29

Cascarino R. (2007). Guide to Information System Auditing. SAD: John Wiley & Sons. str. 57 30

Paninan Ž. (2001). Kontrola i revizija informacijskih sustava. Zagreb: Sinergija-nakladništvo. str. 19


konkretnoj revizijskoj praksi revizor će se nužno susretati sa širokom paletom problematičnih situacija prilikom kojih će težište njegove pažnje biti usmereno na proveravanje da li su u funkcionalnost kom-pjuterskog sistema ugrađeni odgovarajući i, pre svega, efektivni kon-trolni mehanizmi, te da li oni stvarno deluju.

Greške i nepravilnosti koje nastaju pri kompjuterskoj obradi podataka mogu značajno uticati na pouzdanost podataka, njihovu (ne)pravilnu obradu, sigurnost imovine i kompjuterskih zapisa i efek-tivnost klijenta u ostvarivanju proklamovanih ciljeva.

Smanjenje verovatnoće nastanka greški i nepravilnosti pri obradi podataka je jedna od bitnih odgovornosti menadžmenta. Kao odgovor, menadžment mora da pokaže spremnost za razvijanje svih ključnih elemenata kontrolne strukture:

▪ opštih i ▪ aplikativnih kontrola.31 Aplikativne kontrole su specifične za pojedine računovodstve-

ne aplikacije. Opštim kontrolama se stvara okruženje u okviru kojeg funkcionišu aplikativne kontrole.

3.2. Opšte kontrole Revizori obično počinju razmatranje internih kontrola kompjuterskog sistema pregledom opštih kontrola. Ovakav pristup je efikasniji s obzirom da efektivnost specifičnih aplikativnih kontrola u velikoj meri zavisi od postojanja i efektivnosti opštih kontrola nad svim aktivnostima kompjuterskog informacionog sistema. Na primer, revizor će imati malo koristi od revizijskog dokaza o delotvornosti kontrola ugrađenih u kompjuterske programe ako okruženje omogu-ćuje programerima da lako izvrše neovlašćene izmene programa bez vidljivog traga. Ukoliko nedostaju kontrole nad modifikacijom pro-grama, revizor ne može imati uvid u to da li je program koji on testi-ra isti onaj program koji klijent dokumentuje i koristi za obradu podataka u toku godine. 31

Jakšić D. (2002). Segregacija kompjuterskih dužnosti. Revizor. Beograd: Institut za ekonomiku i finansije. str. 42


Najznačajnije opšte kontrole su: ▪ organizacione kontrole, ▪ operacione kontrole, ▪ kontrole razvoja i dokumentovanja sistema, i ▪ kontrole sigurnosti.32 Organizacione kontrole. Kako i u drugim aktivnostima, tako i

na području kompjuterskih informacionih sistema efikasnost, svrsis-hodnost i pouzdanost njihovog delovanja zavisi od kvalifikovanosti osoblja i jasne segregacije dužnosti.

Jasno razdvajanje odgovornosti poslova između zaposlenih radnika preduzeća ima za cilj da spreči da jedna osoba obavlja inkompatibilne funkcije. Segregacija dužnosti u kompjuterskom okruženju nije, niti treba biti, identična sa segregacijom u manuel-nom sistemu. Ipak, potreba za segregacijom dužnosti postoji i u kompjuterskom okruženju. Kao primer, možemo uzeti raspodelu dužnosti između osnovnih kompjuterskih aktivnosti razdvajanja sis-temskog razvoja od operativnih aktivnosti i razdvajanje administrira-nja bazom podataka od drugih kompjuterskih funkcija.

Razdvajanje sistemskog razvoja od operativnih aktivnosti.33 Segregacija sistemskog razvoja (razvoja novih sistema i održavanja postojećih) od operativnih aktivnosti ima veliki značaj. Veza između ovih grupa dužnosti treba biti krajnje formalna. Stručnjaci za razvoj i održavanje sistema kreiraju kompjuterski sistem za potrebe korisni-ka. Sa druge strane, korisnici u svakodnevnom radu upotrebljavaju kompjuterski sistem, ali ne učestvuju u njegovom dizajnu. Ove funk-cije su inherentno inkompatibilne. Ukoliko privilegovani pojedinac ima i pristup kompjuterskom sistemu i detaljno saznanje o logici aplikativnih programa i ugrađenim kontrolama, on može vršiti neov-lašćene izmene u aplikativnom programu i izbegavati kontrole.

32

Mijić K., Jakšić D. (2010). Primena kompjuterskih alata i tehnika prema fazama procesa revizije finansijskih izveštaja. Revizor. Beograd: Institut za ekonomiku i finansije. str. 73 33



Ove izmene mogu biti samo privremene. Vraćanjem aplikativnih programa u prvobitno stanje nestaje bilo kakav trag o izvršenim izmenama.

Razdvajanje administriranja bazom podataka od drugih kom-pjuterskih funkcija.34 Administrator baze podataka je odgovoran za brojne kritične zadatke koji se odnose na sigurnost podataka, uklju-čujući tu i dodelu pristupa korisnicima, nadgledanje korišćenja baze podataka i planiranje budućih proširenja. Delegiranje ovih odgovor-nosti na druge moglo bi rezultirati narušavanjem integriteta baze podataka.

Da bi mogao da odgovori obavezama, administrator baze podataka mora u potpunosti poznavati bazu podataka. Dakle, on ima i znanje i mogućnost da izvrši zloupotrebu. Prevazilaženje problema se vrši pomoću naknadnog odobravanja aktivnosti administratora baze podataka od strane korisnika. Dokaz o svemu što administrator baze podataka uradi treba biti odštampan i prekontrolisan.

34

Ibid, str. 85


Pri vrednovanju organizacionih kontrola revizor treba da razmotri sledeće: DA NE Komentari

Razdvajanje administriranja baze podataka od drugih kompjuterskih funkcija.

√

Razdavanje programiranja od sistemske analize.

√

Osoblje nije dovoljno brojno da se omogući razdvajanje.

Razdavanje programiranja i sistemske analize od operativnih funkcija.

√

Razdavanje funkcije bibliotekara od operativnih/programskih/sistemskih funkcija. √

Datoteke se čuvaju na fik-snim diskovima.

Funkcija kontrole obrade podataka odvojena je od korisničkih i operativnih funkcija.

√

Razdvajanje razvoja novih sistema od održavanja postojećih.

√

Podela programskih dužnosti i dužnosti sis-temskih analitičara pomoću programskog i sistemskog modula.

√

Sistemska funkcija suviše mala da bi omogućila adekvatnu segregaciju.

Organizacioni plan za internu kontrolu u kompjuterskom sistemu. √ Nije primenljivo.

Program interne revizije uključuje pregled segregacije dužnosti između kompjuterskih aktivnosti.

√ Nema odeljenja interne revizije.

Spoljna kontrolna grupa izvršava nezavisan pregled

√ Locirana u korisničkom odeljenju.

Redovna rotacija dužnosti. √ Politika napredovanja sprečava prelazak osoblja na inkompatibilne funkcije. √

Praksa osoblja je strukturisana kroz sistemski i proceduralni priručnik.

√

Prikaz 7 Ilustracija popunjenog upitnika interne kontrole za

procenu kontrolnog rizika funkcionisanja organizacionih kontrola i prakse osoblja


Operacione kontrole. Operacione kontrole predstavljaju politi-ke i postupke kojima se reguliše način izvođenja operativnih i kon-trolnih aktivnosti u kompjuterskom sistemu. Menadžment klijenta revizije zadužen je za razvoj operacionih politika i procedura. Osno-vna svrha donošenja i implementacije operacionih politika i procedu-ra jeste da one doprinesu efikasnijem postizanju ciljeva organizacije u vidu maksimizacije kontrole i profita.

I pored značaja operacionih kontrola, i danas postoje brojne organizacije koje nemaju uopšte implementirane politike i procedure. Druge, pak, imaju politike i procedure, ali one nisu date u pismenoj formi čime je revizoru otežano da uporedi stvarne aktivnosti sa oče-kivanim. Za revizora i njegov sud važno je ne samo da utvrdi posto-janje politika i procedura kompjuterske obrade podataka, već i da li postoji primeren sistem praćenja njihove primene i, u vezi s tim, otkrivanja odstupanja prakse od politike i procedura.

Najvažnije standardne procedure su:35

Procedure izvođenja aktivnosti:

Lica koja rade na kompjuteru moraju slediti procedure koje su dokumentovane u operativnim priručnicima. Generalno, ove procedure se odnose na redosled korišćenja programa, upotrebu kompjuterske opreme i datoteka i specifične aktivnosti kao npr. završetak rada na kompjuteru, odjavljivanje ili njegovo restartovanje.

Pregled loga aktivnosti:

Treba predvideti ko će i kada biti zadužen za pregleda-nje loga aktivnosti koje kreira operativni sistem i na koji način će izveštavati o svojim zaključcima.

Održavanje urednosti:

Procedure za održavanje reda odnose se na spremanje i odlaganje kompjuterskih resursa kako bi se prostorija za kompjutere održavala urednom. Ove procedure tre-baju biti dizajnirane tako da smanje rizik gubitka ili uniš-tenja programa i podataka i da spreče da poverljivi izla-zni izveštaji ne dospeju u ruke neovlašćenih osoba.

Adekvatno nadgledanje:

Standardne procedure trebaju uključiti i nadgledanje i pregled operativnih aktivnosti.

35



Procedure za ostvarenje fizičke sigurnosti i procedure za slučaj opasnosti:

Kompjutersko odeljenje treba da ima planove i procedu-re za zaštitu programa, podataka i opreme od požara, krađe, poplave, pada sistema ili prekida na komunikaci-jama. Tipično, ove procedure obuhvataju dupliranje programa i podataka i njihovo smeštanje na udaljenu lokaciju.

Kontrole razvoja i dokumentovanja sistema. Kvalitet jednog

kompjuterskog sistema u velikoj meri zavisi od adekvatnosti proce-dura za njegov razvoj i dokumentovanje, kao i kontrola koje imaju za cilj da se utvrđene procedure sprovedu u praksi. Ponekad se kompju-terski sistemi razvijaju bez odgovarajućih procedura, što može prou-zrokovati velike probleme kako samom preduzeću tako i revizoru. Kao primer, možemo uzeti nepostojanje odgovarajuće koordinacije i kontrole procesa razvoja sistema što može rezultirati implementaci-jom programskih procedura koje nisu u skladu sa računovodstvenom politikom preduzeća (recimo, automatski otpis potraživanja koja su starija od 60 umesto 90 dana). Ovakvi nedostaci u ekstremnim okol-nostima mogu dovesti do trajnog gubitka poslovne sposobnosti pre-duzeća. Zbog toga je preduzeće zainteresovano da se razvoj sistema i njegovo dokumentovanje obavi po strogim pravilima dobre poslovne prakse.

Rizik neadekvatnog razvoja i dokumentovanja kompjuterskog sistema može biti značajno smanjen ukoliko se u preduzeću uvedu kontrole razvoja i dokumentovanja sistema. Realizacijom ovih kon-trola povećavaju se šanse da će kompjuterski sistem nakon imple-mentacije pouzdano funkcionisati.

Osim u naknadnoj proveri postojanja i funkcionisanja kontrola razvoja i dokumentovanja sistema, revizor može imati značajnu ulo-gu i u samom procesu razvoja i dokumentovanja. Učešće eksternih revizora je dobrodošlo u smislu davanja predloga za poboljšanja sis-tema ili, na primer, njegovog testiranja. Kasnije insistiranje na apli-kativnim kontrolama je lošije sa stanovišta kompleksnosti izmena i troškova. Dakle, s obzirom na znanja koja poseduju, poželjno je u ugradnju aplikativnih kontrola uključiti i eksterne revizore.

Kontrole sigurnosti sistema. Pod sigurnošću računovodstvenog sistema podrazumeva se „zaštita kompjuterske opreme, programa i


podataka od uništenja kao posledice hardverskih, softverskih i ljud-skih grešaka, kao i zloupotrebe kompjutera.“36 Kompjuterski sistemi su izuzetno osetljivi na mogućnost neovlašćene upotrebe. Problem se eksponencijalno uvećava pri višekorisničkom radu sa bazama poda-taka u onlajn sistemu. Za onlajn sisteme je karakteristično mnoštvo terminala i telekomunikacioni prenos podataka. Povezani terminali su mnogo ranjiviji od samostalnih mikrokompjutera, jer je sistemu moguće pristupiti sa većeg broja lokacija. Prirodno, time se povećava opasnost od neovlašćenog pristupa sistemu i zloupotrebe podataka. Neovlašćena osoba koja ima pristup udaljenom terminalu i koja poz-naje lozinke lako može pristupiti sistemu i izvršiti zloupotrebu. Stoga je revizor zainteresovan za razmatranje strukture i funkcionisanja sistema i ugrađenih kontrolnih mehanizama.

Da bi mogao da izda revizorski izveštaj u koji se korisnici mogu pouzdati, revizor mora planirati da sagleda sigurnost kompju-terskog informacionog sistema i da je testira.

Kontrole sigurnosti sistema prema njihovoj funkciji mogu se podeliti na: (1) kontrole fizičkog pristupa sistemu i (2) logičke kon-trole sigurnosti.37

Ograničenje fizičkog pristupa sistemu. Ograničenje fizičkog pristupa sistemu odnosi se, pre svega, na onlajn sisteme, budući da je u uslovima postojanja samostalnih mikrokompjutera (kod kojih se celokupna računovodstvena evidencija vrši samo na jednom kompju-teru) fizičko ograničavanje teško izvodljivo. Objekti ograničenja fizičkog pristupa su serveri, terminali i biblioteke programa i datote-ka. U klijent/server arhitekturi posebne mere sigurnosti moraju biti usmerene ka zaštiti servera od neovlašćenog fizičkog pristupa budući da se na njima nalazi veći deo računovodstvenih podataka, kao i ka terminalima, budući da su najizloženiji neovlašćenom pristupu.

Za ograničavanje fizičkog pristupa najčešće se koriste:38

36

Donald A. Watne, Peter B.B. Turney (1990). Auditing EDP Systems, SAD, str. 267 37

Jakšić D. (2001). Kontole sigurnosti kompjuterskih sistema. Revizor. Beograd: Institut za ekonomiku i finansije. str. 41 38

Ibid, str. 42


▪ zaključavanje prostorija, ▪ zaključavanje opreme, ▪ upotreba magnetski kodirane kartice, ▪ sprečavanje dovoda struje i sl. Logičke kontrole sigurnosti. Kompjuterski sistemi moraju biti

adekvatno zaštićeni od neovlašćenog pristupa i namernog ili slučaj-nog uništenja ili izmene sistemskog softvera, aplikacija i podataka. Obezbeđivanje resursa isklјučivo ograničavanjem fizičkog pristupa nije delotvorno, jer bi osoba koja jednom uspe da neovlašćeno pris-tupi sistemu u bilo kojoj tački, imala mogućnost neograničenog pris-tupa svim podacima i programima. Zbog mnoštva terminala i koris-nika, postoji realna pretpostavka da će sigurnost sistema biti naruše-na. U takvim okolnostima neophodno je razmotriti uvođenje i drugih vidova kontrola kojima će se očuvati bezbednost sistema.

Te kontrole zovu se logičke kontrole sigurnosti. U logičke kontrole sigurnosti spadaju:

1. autorizacija, 2. identifikacija, 3. enkripcija, 4. kreiranje logova operativnog sistema i 5. antivirusna zaštita. Autorizacija Za potrebe svakodnevnog poslovanja nije neophodno da se sa

svakog terminala i od strane svakog korisnika može pristupiti svim programima i podacima. Ako se uzmu u obzir i rizici koje takva organizacija sistema nosi, jasno je da se kao bolje rešenje nameće varijanta da kompjuterski sistem podrži korisnike samo u izvođenju aktivnosti iz njihovog delokruga poslova. Restrikcija programa i podataka samo na osobe koje su ovlašćene za njihovo korišćenje naziva se autorizacija.

Identifikacija autorizovanih korisnika i davanje dozvole za rad u velikoj meri vrši se putem operativnog sistema i DBMS-a.

Moguće operacije za koje korisnik može biti autorizovan su:


▪ samo čitanje podataka, ▪ čitanje i upis podataka, ▪ modifikacija programa i podataka,39 ▪ čitanje i brisanje programa i podataka itd. Podaci o korisnicima, programima i podacima kojima korisnik

može pristupiti, te operacijama koje nad njima može izvršiti čuvaju se u autorizacionoj tabeli. Svaki put kada se želi pristupiti nekom programu ili podatku sistem, uvidom u autorizacionu tabelu, prove-rava da li za to postoji odobrenje.

Odeljenje Računovodstvo Odeljenje za fakturisanje

Korisnik Petrović Goran

Janković Ivana

Mitrović Radivoje

Kiš Imre

Golić Stanko

Lozinka zvono sat april mleko zvezda Ovlašćenje: Čitanje DA DA DA DA DA Zapisivanje DA NE DA DA NE Modifikacija DA NE NE DA NE Brisanje DA NE NE NE NE

Prikaz 8 Autorizaciona tabela Identifikacija Da bi se autorizacija mogla izvršiti, mora postojati neka identi-

fikacija. Pod identifikacijom korisnika od strane sistema obično se podrazumeva unošenje lozinke od strane korisnika. Lozinke su sva-kako najjeftiniji i najpoznatiji, ali ne i jedini, a posebno ne najbolji način za prepoznavanje korisnika. Nepovoljna strana upotrebe lozin-ki je što neovlašćeno posedovanje lozinki i njihova zloupotreba ne ostavljaju nekakav trag. Sistem nije u stanju da prepozna neovlašće-no posedovanje lozinke. Korisnici se mogu razlikovati i po tzv. bio-metrijskim karakteristikama, digitalnom potpisu i dr.

39

Jakšić D. (2001). Kontole sigurnosti kompjuterskih sistema. Revizor. Beograd: Institut za ekonomiku i finansije. str. 42


Enkripcija Koncept povezivanja računarskih resursa u jedinstven kompju-

terski sistem zasniva se na razmeni podataka između računara. Posto-ji realna opasnost da neovlašćena osoba dođe u posed podataka u toku njihovog prenosa. Zbog toga je neophodno iznaći način da se podaci u toku prenosa zaštite. Ukoliko je informacija koja se prenosi poverljiva, najbolji vid zaštite je da se izvrši njeno kodiranje (enkrip-cija) na mestu odašiljanja. Osnovni smisao enkripcije je da se poruka koja se prenosi transformiše u oblik koji je nerazumljiv za presretača bez posedovanja odgovarajućeg logičkog ključa.

Kodiranje podataka ima višestruku primenu u kontroli prenosa podataka. Enkripcija je posebno značajna pri korišćenju EDI-a, EFT-a i trgovine putem interneta.

Kreiranje logova operativnog sistema Nezamenljivu ulogu u otkrivanju neovlašćene upotrebe siste-

ma ima i operativni sistem koji treba da kreira log priključenja na sistem. Više uzastopnih neuspešnih pokušaja pristupa sistemu, pored evidentiranja u logu treba da rezultira i isključenjem terminala sa koga je pokušan pristup ili, recimo, kod upotrebe bankomata, zarob-ljavanjem transakcijske kartice u unutrašnjost bankomata. Logovi se periodično štampaju i statistički obrađuju kako bi se otkrili eventual-ni negativni trendovi.

S obzirom da su kontrole sigurnosti izuzetno kompleksne, revizor treba pažljivo da planira svoje aktivnosti kako ne bi zanema-rio neke od ključnih aspekata potencijalnih pretnji narušavanja sigur-nosti sistema. Uobičajeno je da postoji standardni program za stica-nje razumevanja funkcionisanja logičkih kontrola sigurnosti koji tre-ba da obuhvati sve ono što je bitno da revizor zna o logičkoj sigurno-sti sistema prilikom njenog vrednovanja.

3.3. Aplikativne kontrole Kao što je već rečeno, integralni deo kontrolnog sistema koji je spe-cifičan za okruženje kompjuterskih informacionih sistema, pored opštih čine i aplikativne kontrole. Dok se opšte kontrole odnose na


celokupni ambijent u kome se kompjuterski sistem razvija i koristi, aplikativne kontrole čine kontrole na nivou kompjuterskih programa.

Aplikativne kontrole su dizajnirane tako da osiguraju da su sve transakcije odobrene od strane ovlašćenih osoba, da su u potpunosti i tačno obrađene i memorisane, da je integritet podataka u datotekama sačuvan i da su imovina i sa njom povezani dokumenti i zapisi zašti-ćeni od fizičkog gubitka, krađe ili neovlašćene manipulacije.40

Aplikativne kontrole imaju za cilj da osiguraju efektivnost i efikasnost funkcionisanja kompjuterskog sistema, kao i potpunost, tačnost i sigurnost obrade podataka. Prema tradicionalnoj podeli, u osnovne aplikativne kontrole spadaju:41

▪ kontrole unosa, ▪ kontrole obrade i ▪ kontrole izlaza. Cilj revizora pri razmatranju aplikativnih kontrola je da prove-

ri da li aplikativne kontrole ostvaruju postavljene kontrolne cilјeve i, ukoliko je potrebno, da da preporuke za njihovo poboljšanje.

Da bi se postigli postavljeni kontrolni cilјevi, potrebno je da postoje zadovoljavajuće kontrole nad svim elementima sistema - unosom, obradom i izlazom. Ovi cilјevi odnose se na pouzdanost, integritet i raspoloživost zapisa koje kompjuterski sistem obrađuje.

Kontrole unosa. Današnji informacioni sistemi ne mogu toleri-sati netačne ulazne podatke. U tom smislu, nužno je da preduzeća formulišu i uvedu kontrole koje trebaju da spreče da pogrešni podaci uđu u kompjuterski sistem ili bar da otkriju i otklone uočene greške čime će sistemu povratiti narušeni integritet. Ove kontrole nazivaju se kontrole unosa.

Kontrole unosa trebaju biti dizajnirane tako da pruže razumno uveravanje da su podaci koji se unose radi obrade pravilno odobreni i konvertovani u mašinski-čitljivu formu. Njih ne treba posmatrati izo-lovano, kako od opštih tako ni od ostalih aplikativnih kontrola. Sve 40

Vincent M. O'R. (1990). Montgomery's Auditing. SAD: John Wiley&Sons, str. 344 41

Andrić M., Jakšić D. (2001). Aplikativne kontrole. Revizor. Beograd: Institut za ekonomiku i finansije. str. 26


one u osnovi imaju istu svrhu i ponekad su komplementarne ili se pak efekti njihovih primena preklapaju.

Postoji mnoštvo raspoloživih sredstava i tehnika za unos poda-taka u kompjuterski sistem od strane operatera ili krajnjeg korisnika. Neki od najčešćih su: tastatura, monitor osetljiv na dodir, učitavanje magnetnih zapisa, prepoznavanje karaktera pisanih magnetnim mas-tilom, optičko prepoznavanje karaktera, unos podataka glasom i pre-uzimanje podataka izvan sistema (npr. EDI). Bez obzira na to koji metod unosa klijent odabere, revizor treba da stekne sigurnost da je odabrani sistem unosa pouzdan i da pruža neophodnu podršku kon-trolnoj funkciji menadžmenta.

Osiguranje kompletnosti ulaznih podataka nužno iziskuje kombinaciju većeg broja različitih kontrola unosa. U protivnom, ne može se računati na efikasnost kontrola i integritet podataka.

Najznačajnije kontrole unosa podataka su:42 ▪ kontrole validnosti ▪ paketne kontrole ▪ provere pomoću kontrole cifre i ▪ kontrole verifikacije. Kontrole validnosti Kontrole validnosti ulaznih podataka imaju za cilj da otkriju

greške u transakcijskim podacima pre nego što oni budu obrađeni od strane sistema. Smisao validacije je da se pogrešni podaci detektuju što pre, kako ne bi narušile integritet baze podataka.

Postoje četiri oblika kontrola validnosti unosa koji se odnose na četiri nivoa integriteta podataka:

1. integritet polja, 2. integritet zapisa, 3. referencijalni integritet i 4. integritet datoteka.

42



Kontrola validnosti ostvaruje se kroz primenu različitih ogra-ničenja. Ograničenja predstavljaju pravila za očuvanje integriteta.

1. Kontrole validacije za očuvanje integriteta polja. Kontrole

validacije za očuvanje integriteta polja su programske procedure kojima se ispituju karakteristike podataka u polju. U kompjuterskoj terminologiji polje predstavlja osnovnu (najmanju) jedinicu podataka koja ima nekog smisla (npr. šifra radnika, adresa kupca itd.).

Uobičajene kontrole validacije koje pripadaju ovoj grupi su: a) provera nedostajanja podatka, b) numeričko-alfabetska provera podatka, c) provera ograničenja vrednosti podatka, d) provera raspona vrednosti podatka, e) provera validnosti. a) Provera nedostajanja podatka. Ovom kontrolom se prove-

rava da li postoji sadržaj u nekom polju. Cilj je da se utvrdi da li je propušteno evidentiranje nekog podatka bez koga zapis ne sme biti evidentiran (npr. mora postojati ključ za razlikovanje zapisa; faktura mora glasiti na neki iznos itd.). Program treba da onemogući prihva-tanje ovakvih zapisa od strane sistema.

b) Numeričko-alfabetska provera podatka. Ovom kontrolom se proverava da li je u polje unet korektan tip podatka (npr. ime i prezime radnika je alfabetski podatak - on ne sme sadržati brojeve; količina robe, cena robe i zarada radnika su numerički podaci - oni ne mogu sadržati slova itd.).

c) Provera ograničenja vrednosti podatka. Ovom validacio-nom kontrolom se osigurava da vrednosti koja je uneta u polje ne prekoračuje utvrđeni limit (npr. zaduženje kupca ne sme da pređe nivo koji je definisan poslovnom politikom preduzeća).

d) Provera raspona vrednosti podatka. Provera raspona vred-nosti podatka je neophodna kako bi se sprečilo da se u neko polje unese vrednost koja je van dozvoljenog odnosno prihvatljivog opse-ga (npr. vrednost bodova za obračun zarade, stopa amortizacije, poreza itd.).


e) Provera validnosti. Proverom validnosti unete vrednosti u polju se upoređuju sa listom prihvatljivih vrednosti. Ukoliko se vred-nosti ne slažu, sistem odbija prihvatanje podatka (npr. pokušaj knji-ženja na kontu koji ne postoji u kontnom planu).

2. Integritet zapisa. Procedurama validacije za očuvanje inte-

griteta zapisa proverava se međuodnos vrednosti podataka u poljima koji čine jedan zapis. Na primer, kod obračuna zarada šifra složenosti posla i visine zarade su prošli proveru integriteta polja, međutim zarada je nerealno visoka za datu složenost posla (što se otkriva pro-verom integriteta zapisa).

3. Referencijalni integritet. Za kreiranje relacija između poda-taka u različitim tabelama, koriste se spoljni (strani) ključevi. Reci-mo, pri unošenju narudžbe, šifra narudžbenice se povezuje sa šifrom kupca i sa šiframa roba koje se naručuju. Šifra narudžbenice predsta-vlja primarni ključ, dok su šifra kupca i šifre roba strani ključevi. Referencijalni integritet treba da osigura da svi strani ključevi posto-je kao primarni ključevi u drugim tabelama (drugim rečima, ne može se dozvoliti prihvatanje narudžbe pre nego što se u evidenciji predu-zeća ne pronađu osnovni podaci o datom kupcu niti naručivanje roba koje preduzeće nema u svom asortimanu; isto tako, prilikom brisanja zapisa treba sprečiti brisanje kupaca za koje postoje narudžbe ili prema kojem preduzeće ima potraživanja i sl.).

4. Integritet datoteka. Smisao provere integriteta datoteka je izbor prave datoteke za unos podataka kako se ne bi desilo da se ula-zni podaci upišu u pogrešnu datoteku. To se postiže proverom eksternih i internih labela i verzija datoteke. Za identifikaciju datote-ka koje su smeštene na spoljnim nosačima memorije mogu se koristi-ti eksterne labele (informacije o serijskom broju i nazivu datoteke se ručno ispisuju na etiketi nosača memorije). Eksterno etiketiranje je tipična manuelna procedura koja je, stoga, podložna greškama. Pogodnije rešenje je da operativni sistem kreira interne labele koje se smeštaju u formi zaglavlja na početak svake datoteke bez obzira na njenu fizičku lokaciju. Da bi se osigurao unos u pravu datoteku, ins-trukcijama aplikacije se upoređuju naziv i serijski broj pozvane dato-teke (koji se čuvaju u formi labele) sa programskim zahtevima. Uko-liko se otkrije nepodudarnost, sistem šalje poruku o grešci i suspen-duje dalju obradu. Provera verzije datoteke je neophodna ukoliko je


za arhiviranje datoteka koristi pristup deda-otac-sin. Budući da pos-toje različite verzije datoteka, ovom formom validacije se osigurava da se podaci smeštaju u poslednju (aktuelnu) verziju.

Kontrole validnosti se mogu ostvariti putem:43 ▪ aplikativnih programa, ▪ na nivou DBMS-a. Ugradnja ograničenja integriteta u instrukcije aplikativnog

programa nije optimalno rešenje iz najmanje dva krupna razloga. Kao prvo, s obzirom da jedan podatak koristi više aplikativnih pro-grama, za očuvanje integriteta je neophodno da se ograničenje ugradi u svaki aplikativni program kojim se pristupa datom podatku. Ogra-ničenje se tako ponavlja više puta pa ostaje nedoumica da li je ono svuda korektno realizovano. Poseban problem predstavlja izmena integriteta jer to zahteva intervenciju u svim aplikativnim programi-ma u kojima se zadato ograničenje javlja. Drugi krupan razlog je što je podacima u bazi moguće pristupiti i mimo aplikativnih programa tj. neposredno, korišćenjem operativnog sistema.

Nedostaci očuvanja integriteta putem aplikativnih programa mogu biti prevaziđeni ugradnjom ograničenja na nivou DBMS-a. Ovakav način sprečavanja dovođenja sadržaja baze podataka u koli-ziju sa pravilima ponašanja i poslovanja u realnom sistemu čini se mnogo podesnijim jer ograničenja u DBMS-u predstavljaju centralni mehanizam koji ne može zaobići nijedan aplikativni program. Stoga, revizor pri vrednovanju korektnosti podataka u bazi posebnu pažnju mora posvetiti segregaciji dužnosti (i u okviru nje, postojanju admi-nistratora baze podataka koji ima isključivu odgovornost za integritet baze podataka i kontroli njegovog rada).

Paketne kontrole Paketnom kontrolom se proverava da li su svi podaci koji tre-

baju biti uneseni u sistem zaista i uneti, da li su uneti pravilno i da li su neki podaci neovlašćeni pridodati. Takođe, paketnom kontrolom 43



se vrši provera pravilnosti prenosa (prepisa) podataka sa izvornih dokumenata u kompjuterski sistem.

Paketna kontrola se vrši u određenim vremenskim intervalima (npr. na kraju radnog dana za sve unose u toku dana). Optimalna veličina jednog skupa zapisa koji se pri unosu tretiraju kao paket (npr. skup prijemnica) je od 50 do 100. Za svaki paket odgovorno lice sastavlja kontrolni listić.

Kontrolni listić može imati sledeći sadržinu:

broj paketa

broj pretho-dnog

paketa

kompleti-rao (ID

odgovor-nog lica)

dd/mm/gg mešoviti

zbir datuma

broj doku-mena-

ta

brojevi konta

mešoviti zbir

konta

šifra robe

mešoviti zbir šifri

ukupna vred-nost

1 2 3 4 5 6 7 8

Prikaz 9 Kontrolni listić za paketni unos

Listići za paketnu kontrolu se zasnivaju na izračunavanju kon-

trolnih zbirova. Izračunavanje kontrolnih zbirova predstavlja dodatni posao u toku pripreme podataka za unos. Postoje tri vrste kontrolnih zbirova:44

▪ finansijski zbir, ▪ mešoviti zbir i ▪ ukupan broj zapisa. Finansijski zbir (u primeru, u koloni 8) predstavlja sumu vred-

nosti jednog podatka (npr. ukupna narudžba kupaca ili ukupna vred-nost promene zaliha) koja se uobičajeno izračunava u toku obrade podataka i koja, posmatrana samostalno, ima neku informacionu vre-dnost.

Mešoviti zbir (u primeru, u kolonama 4, 6 i 7) je sumarna vre-dnost podataka koja sama za sebe nema nikakvu logiku (npr. zbir 44



svih datuma na dokumentima, zbir svih brojeva konta na kojima se vrši knjiženje i sl.). Njihova namena je isključivo kontrolna.

Kontrolni listić može da sadrži i broj dokumenata koji čine paket (u primeru, kolona 5) na osnovu kojih se kontrolni listić sastav-lja ili, ako ima više stavki na jednom dokumentu - ukupan broj stavki (recimo, na fakturi ili prijemnici koje sadrže specifikaciju više proiz-voda).

Popunjavanjem kontrolnog listića se ne završava proces pake-tne kontrole. Naime, kontrolni listić se povezuje sa izvornim doku-mentima na koje se odnosi. Pri unosu podataka sa izvornih dokume-nata, unose se i podaci sa kontrolnog listića (očekivane vrednosti). Kompjuter potom izvršava proveru usaglašenosti podataka sa izvor-nih dokumenata i kontrolnog listića. Pri proveri se može pojaviti nes-laganje kao posledica propuštanja evidentiranja nekog dokumenta ili stavki na dokumentu, dvostrukog evidentiranja, unosa pogrešne vre-dnosti podatka ili nepravilnog izračunavanja na kontrolnom listiću.

Provere pomoću kontrolne cifre Provera pomoću kontrole cifre je kontrola očuvanja nenaruše-

nog integriteta nekog stalnog broja. Ova kontrola se koristi za praće-nje nepromenjene vrednosti podatka u slučajevima kada bi greška imala ozbiljne posledice, kao na primer, kod broja konta, šifre kupca, broja računa kod banke, matičnog broja građana, bar-koda na proiz-vodu i sl. Kontrolna cifra, stoga, nije pogodna za praćenje izmene promenljivih vrednosti kao što su finansijski podaci (npr. trenutno stanje na računu dobavljača).

Upotrebom kontrolne cifre se isključivo proverava da li je doš-lo do greške pri unosu cifara nekog permanentnog broja (npr. prili-kom prepisa sa izvornog dokumenta), ali ne i da li je uneti broj zaista i onaj pravi (kontrolnom cifrom je nemoguće otkriti da je knjiženje izvršeno na kontu pogrešnog kupca). U takvim slučajevima, preporu-čuje se primena drugih kontrola unosa kao što je, na primer, kontrola verifikacijom.


Primer izračunavanja kontrole cifre dat je u sledećem prikazu (obično se koristi tehnika „Modul 11“45). Šifra radne jedinice bez kontrole cifre je 9214. Izračunavanje:

1. Pomnožiti svaku cifru sa opadajućim prirodnim brojevima (redni broj cifre minus 1)

9 2 1 4 x x x x 5 4 3 2

2. Sabrati dobijene proizvode 45 + 8 + 3 + 8 = 643. Podeliti zbir sa 11 64 : 11 = 5 (ostatak 9)4. Od broja 11 oduzeti ostatak (dobijena

vrednost je kontrolna cifra) 11 - 9 = 2 (kont. cifra)

5. Šifra radne jedinice sa kontrolnom cifrom 9 2 1 4 2

6. Dokaz: pomnožiti sa opadajućim priro-dnim brojevima

x x x x x 5 4 3 2 1

7. Sabrati dobijene proizvode 45 + 8 + 3 + 8 + 2 = 668. Podeliti zbir sa 11 (ostatak mora biti 0) 66 : 11 = 6 (ostatak 0)

Šifra radne jedinice sa kontrolnom cifrom je 92142.

Prikaz 10 Provera pomoću kontrole cifre pomoću „Modula 11“ Kontrolna cifra se pridodaje broju za čiju proveru služi, i to

obično kao poslednja cifra46. Logička veza između broja i kontrolne cifre se proverava putem programskih instrukcija u toku unosa poda-tka kako bi se osiguralo da nije bilo grešaka pri ukucavanju podata-ka. Kada se unese broj sa kontrolnom cifrom, sistem proverava valjanost unetog podatka. Na ovaj način je moguće otkriti većinu grešaka pri prepisu brojeva (unošenje pogrešne cifre, zamena mesta cifara i sl.). Recimo, unošenje jedne pogrešne cifre uvek za rezultat ima pojavu pogrešnog ostatka. Moguće je da se desi da pogrešan unos dve cifre ne bude prepoznat, ali je verovatnoća takvog slučaja u domenu teorije (1%).

45

Izuzetak je npr. bar-kod kod koga se kontrolna cifra izračunava na drugačiji način. 46

Izuzetak je npr. kontrolna cifra kod broja tekućeg računa koja se nalazi u sredini.


Tabela 3 Uticaj pogrešnog unosa prve cifre na prihvatanje unosa broja od strane sistema

Šifra radne jedinice

Ukupan zbir

Ostatak Vrednost koja se upo-ređuje sa kontrolnom

cifrom Status

92142 64 9 2 ispravno47 82142 59 4 7 pogrešno 72142 54 10 1 pogrešno 62142 49 5 6 pogrešno 52142 44 0 0 pogrešno 42142 39 6 5 pogrešno 32142 34 1 10 pogrešno 22142 29 7 4 pogrešno 12142 24 2 9 pogrešno

Provera kontrolnom cifrom pomoću „Modula11“ ima i neka

ograničenja. Pre svega moguće je da se kao kandidat za kontrolnu cifru pojavi dvocifren broj (ako bi šifra radne jedinice bez kontrolne cifre bila 3214, kontrolna cifra bi trebala biti broj „10”). Problem se razrešava izbegavanjem dodeljivanja ove šifre ili korišćenjem karak-tera „a” umesto broja „10”.

Kontrola verifikacijom Kontrola verifikacijom je metod naknadnog otkrivanja grešaka

operatora koje nastaju pri unosu (ukucavanju) podataka u sistem. Verifikaciju sprovodi drugi operator koji ponovo unosi podatke sa izvornih dokumenata. Nakon ponovnog unosa operator zadužen za verifikaciju upoređuje svoj unos sa originalnim, otkriva eventualne razlike i inicira neposrednu ili naknadnu korekciju.

47

Dobijena vrednost u koloni 4 jednaka je kontrolnoj cifri (tj. poslednjoj cifri u šifri radne jedinice).


Verifikacija je izuzetno efikasna u otkrivanju grešaka unosa. Međutim, ponovni unos svih podataka je preskup i dugotrajan. Stoga se preporučuje verifikacija samo značajnijih podataka ili onih kod kojih se najčešće javlja greška. Verifikaciju je moguće ograničiti i samo na one operatore koji imaju visoku učestalost grešaka.

Kontrole obrade. Kompjuterska obrada podataka predstavlja unutrašnju aktivnost kompjutera kojom se izvode operacije nad podacima putem programskih instrukcija. Greške koje mogu nastati pri obradi podataka vezuju se za pogrešna izračunavanja, pogrešnu programsku logiku, korišćenje pogrešne datoteke ili pogrešnog zapi-sa u datoteci, automatsko izvršavanje transakcija koje nije u skladu sa politikom menadžmenta i dr.

Kontrole izlaza. Obradom podataka u kompjuterskom sistemu, ne iscrpljuje se mogućnost nastanka greški koje se u krajnjoj instanci mogu odraziti na finansijske izveštaje. Zbog toga preduzeće mora da uvede i kontrole izlaza. Kontrole izlaza treba da osiguraju ostvarenje dva ključna cilja:48

▪ tačnosti i kompletnosti izlaza i ▪ distribucije izlaza samo ovlašćenom osoblju. U cilju automatizacije poslovanja, preduzeće može iskoristiti

podatke u kompjuterskom sistemu tako što će ih direktno štampati na računovodstvene dokumente kao što su ček, faktura, narudžbenica, prijemnica i sl. Kao izlaz kompjuterskog sistema mogu se pojaviti i izveštaji sa poverljivim podacima kao, na primer, spiskovi sa zara-dama zaposlenih ili spiskovi kupaca. Pristup svim ovim autputima od strane neovlašćenih lica može rezultirati gubitkom imovine ili oda-vanjem poslovnih tajni. Zato preduzeće mora ustanoviti procedure za distribuciju autputa samo ovlašćenim osobama.

48



44.. CCOOBBIITT 55 –– ssaavvrreemmeennaa rreegguullaattiivvaa IITT kkoonnttrroollaa

4.1. COBIT kao referentni okvir za IT interne kontrole U svakoj organizaciji koja svoj rad bazira na korišćenju savremenih informacionih i telekomunikacionih tehnologija postoji izražena pot-reba za nekom formom smernica za uspostavljanje i upravljanje ovim tehnologijama koje se zasnivaju na iskustvima i dobroj poslov-noj praksi. Postoje različiti praktični okviri koji mogu biti primenjeni prilikom implementacije i vrednovanja internih kontrola vezanih za funkcionisanje informacionog sistema. U revizijskoj praksi najčešće se koristi COBIT. Praktična iskustva koja su preporučena u formi COBIT49 okvira, rezultat su objedinjavanja znanja brojnih stručnjaka i definisana su tako da bude primenljiva u bilo kojem tipu organiza-cije, od komercijalnih do neprofitnih ili državnih.

COBIT je dizajniran za tri grupe interesenata:50 ▪ menadžment – kao pomoć u balansiranju rizika i investira-

nja u kontrolu u često nepredvidljivom IT okruženju, ▪ IT korisnike – za dobijanje mišljenja i/ili pružanje saveta

menadžmentu o IT sigurnosti i IT kontrolama koje se spro-vode interno ili od trećih strana i

▪ revizore – za materijalizovanje njihovog mišljenja i/ili savetovanja menadžmenta u pogledu internih kontrola.

U oblikovanju informacionog sistema jedne organizacije

COBIT 5 okvir polazi od interesa stejkholdera informacionih siste-ma. Na taj način postiže se optimalan odnos između ciljeva organi-zacije i primene informacionih tehnologija. 49

COBIT – akronim od eng. Control Objectives for Information and related Technology (Kontrolni ciljevi za informacione i srodne tehnologije) 50

Hrvatska akademska i istraživačka mreža, COBIT metodologija, www.cert.hr, pristupljeno dana 7. novembra 2011. godine, str. 9


Prikaz 11 Definisanje arhitekture informacionog sistema prema poslovnim ciljevima

51 Polazište za izbor informacionih tehnologija koje će biti pri-

menjene u preduzeću i načina na koji će informacioni sistem biti organizovan jesu strategija, misija i ciljevi preduzeća. Uvođenje i ocena kvaliteta informacionog sistema ne zasniva se na celokupnim potencijalima informacionih tehnologija već na realnim potrebama konkretne organizacije, čime se izbegava predimenzioniranje i prida-vanje prevelikog značaja informacionim tehnologijama.

Implementacija COBIT-a očituje se na različite načine:52 ▪ upravama kompanija pomaže da razumeju koncept uprav-

ljanja informacionim sistemima, ▪ definiše odgovornosti koje su potrebne za normalno funk-

cionisanje sistema, ▪ usklađuje sistem s regulatornim obavezama i ▪ organizuje aktivnosti unutar informacionog sistema na pri-

hvatljiv način.

51

Hrvatska akademska i istraživačka mreža, COBIT metodologija, www.cert.hr, pristupljeno dana 7. novembra 2011. godine, str. 7 52

Hrvatska akademska i istraživačka mreža, COBIT metodologija, www.cert.hr, pristupljeno dana 7. novembra 2011. godine, str. 2


Operacionalizacija primene COBIT 5 okvira ostvaruje se kroz metodologiju razvijanja strateških ciljeva organizacije preko infor-matičkih procesa do nivoa kontrolnih ciljeva i aktivnosti. Budući da je COBIT poslovno orijentiran, on omogućuje harmonizaciju infor-macionog sistema sa poslovnim zahtevima u svrhu postizanja poslo-vnih ciljeva. U tom smislu, COBIT na jednoj strani definiše skup generičkih, uobičajenih poslovnih ciljeva, a na drugoj strani informa-tičke procese. Na osnovu toga, kreira se matrica korelacije koja pri-kazuje odnos poslovnih ciljeva i potrebnih informatičkih procesa koji omogućuju realizaciju tih poslovnih ciljeva. U sledećoj iteraciji, vrši se svođenje informatičkih procesa do nivoa sistematizovanih kon-trolnih ciljeva što, sa jedne strane, pruža smernice za implementaciju i održavanje informacionih sistema i definisanje politika i dobrih praksi razvoja informacionih sistema u organizaciji, a sa druge stra-ne, daje parametre za revizorsku ocenu uspešnosti informacionih sis-tema.

COBIT pruža jedan generički model informacionih procesa koji se mogu pojaviti u jednom informacionom sistemu i na taj način opisuje model funkcionisanja informacionog sistema za potrebe upravljanja i razumevanja IT funkcije u preduzeću. Da bi se usposta-vilo uspešno upravljanje informacionim sistemom, nužno je da se kroz IT funkciju implementiraju potrebne kontrole koje su putem COBIT-a definisane za sve informatičke procese. Budući da su kon-trolni ciljevi unutar COBIT-a organizovani po IT procesima, tada okvir zapravo daje stvarnu vezu između primenjenih kontrola, proce-sa i upravljanja informacionim sistemima.

4.2. Principi na kojima se bazira COBIT 5 COBIT 5 okvir zasniva se na sledećih 5 principa:

1. Okvir za integraciju 2. Zasnovan na stvaranju vrednosti za stejkholdere 3. Fokusiran na poslovni kontekst 4. Zasnovan na „instrumentima za ostvarenje ciljeva“ 5. Razdvajanje upravljanja i rukovođenja


4.2.1. Princip 1. COBIT 5 kao okvir za integraciju Danas postoji mnogo okvira i standarda koji se bave problemima uređenja IT funkcije u preduzećima. COBIT 5 je veoma koristan upravo zbog činjenice da je otvoren za integraciju sa različitim okvi-rima i standardima tako da sa njima čini jedinstvenu sredinu. COBIT 5 omogućuje integraciju:

a) različitih proizvoda unutar strukture COBIT 5 okvira

(COBIT 5: Okvir, COBIT 5: Vodič za procese, COBIT 5: Vodič za implementaciju53 i dr.),

b) drugih radnih okvira koje izdaje ISACA: Standardi IT revi-zije, ITAF54, Val IT, Risk IT i dr,

c) drugih relevantnih standarda i okvira (ITIL, ISO, TOGAF, PMBOK, PRINCE2 i dr.).

4.2.2. Princip 2. COBIT 5 zasnovan na stvaranju vrednosti za stejkholdere Osnovni cilj svakog preduzeća je kreiranje vrednosti za stejkholdere. Organizacije imaju različite stejkholdere, pa zbog toga kreiranje vre-dnosti nije jednostavno niti jednoznačno budući da različiti stejkhol-deri imaju različite, ponekad međusobno suprotstavljene ciljeve.

Donošenje odluka tako da se na najbolji način zadovolje i pomire različiti interesi stejkholdera predstavlja samu suštinu uprav-ljanja organizacijom. Sva ova pitanja mogu se predstaviti kroz tri generička cilja upravljanja: stvaranje koristi, optimizacija resursa i optimizacija rizika.

53

Eng. COBIT 5: The Framework, COBIT 5: Process Refernce Guide, COBIT 5: Implementation Guide 54

ITAF - eng. IT Assurance Framework (Okvir za uveravanje u IT)


Tabela 4 Potrebe internih i eksternih stejkholdera55

INTERNI STEJKHOLDERI POTREBE INTERNIH STEJKHOLDERA

Upravni odbor, generalni direktor, finansijski direktor, direktor informatičke funkcije, vlasnici procesa, menadžeri rizika, interni revizori, IT korisnici i dr.

• Kako da najbolje iskoristim IT? • Kako da upravljam performansama

IT? • Kako da na najbolji način iskoristim

nove tehnologije za ostvarenje novih strateških mogućnosti?

• Kako da znam da li radim u skladu sa važećom regulativom?

• Kako da na najbolji način struktuiram IT sektor?

• Koje potrebe za informacijama postoje? • Da li sam svesnih svih IT rizika? • Da li se IT aktivnostima upravlja na

efikasan način? • Kako da kontrolišem troškove IT? • Da li imam dovoljno zaposlenih u IT?

Kako da razvijem i održim njihove sposobnosti?

• Koliko su bezbedne informacije koje procesiram?

EKSTERNI STEJKHOLDERI POTREBE EKSTERNIH STEJKHOLDERA

Vlasnici, poslovni partneri, regulato-ri/država, eksterni korisnici, eksterni revizori, konsultanti, organizacije za standardizaciju i dr.

• Kako da znam da li organizacija radi u skladu sa pravilima i regulativom? • Kako da znam da li je moj poslovni partner siguran i pouzdan? • Kako da znam da li organizacija ima efektivan sistem internih kontrola?

Tako bi se, na primer, pitanje: „Da li radim u skladu sa važe-

ćom regulativom?“ moglo podvesti pod upravljanje „Optimizacijom rizika“.

55

ISACA. (2011). COBIT 5: The Framework – Exposure Draft. SAD: ISACA. str. 22-23


4.2.3. Princip 3. COBIT 5 fokusiran na poslovni kontekst Polazište za implementaciju i vrednovanje informacionog sistema, prema COBIT 5 okviru, nalazi se u potrebama njegovih korisnika. U tom smislu, u COBIT-u je razvijen sistem ciljeva na različitim nivo-ima koji se naziva kaskadom ciljeva. Kaskada ciljeva funkcioniše na sledeći način: iz potreba stejkholdera izvode se poslovni ciljevi, iz poslovnih ciljeva IT ciljevi, a na osnovu IT ciljeva se prepoznaju informatički procesi za koje se definišu kontrolni ciljevi. Tako se za svaku potrebu stejkholdera sistematizuju IT kontrolne aktivnosti koji se moraju ostvariti kako bi potreba stejkholdera bila zadovoljena.

Prikaz 12 Kaskada ciljeva 1. Prevođenje ciljeva upravljanja na poslovne ciljeve Prvi korak u kaskadi ciljeva je definisanje poslovnih ciljeva i

njihovo povezivanje sa ciljevima upravljanja. Poslovni ciljevi mogu se razviti primenom metodologije BSC56. BSC omogućuje definisa-nje poslovnih ciljeva koji su karakteristični za određenu organizaciju. Ova lista nije konačna već se može prilagođavati. COBIT 5 je defini-sao 17 generičkih poslovnih ciljeva koji se nalaze u četiri BSC dimenzije. Za svaki poslovni cilj izvršeno je mapiranje sa ciljem upravljanja na sledeći način: ako je poslovni cilj direktno odnosno snažno povezan sa određenim ciljem upravljanja obeležava se slo-vom P (primarno), ako ima dati poslovni cilj ima manji značaj za ostvarenje cilja upravljanja obeležava se slovom S (sekundarno).

56

BSC – eng. Balanced Scorecard.


Ciljevi upravljanja BSC

dimenzije Poslovni ciljevi Ostvarenjekoristi

Optimizacija rizika

Optimizacija resursa

Fina

nsije

1. Stvaranje vrednosti investicija za stejkholdere

P

2. Portfolio kompetitivnih proizvoda i usluga

P S

3. Upravljanje poslovnim rizicima (zaštita imovine)

P S

4. Usaglašenost sa eksternim zakonima i propisima

P

5. Finansijska transparentnost P S S

Potro

šači

6. Orijentacija za potrošačima P S 7. Kontinuitet i raspoloživost usluga

P

8. Brz odgovor na promene u poslovnom okruženju

P S

9. Strateško odlučivanje zasnova-no na informacijama

P P P

10. Optimizacija troškova isporuke P S

Inte

rno

11. Optimizacija funkcionalnosti poslovnih procesa

P P

12. Optimizacija troškova poslovnih procesa

P P

13. Upravljanje programima pro-mena u poslovanju

P P

14. Operativna produktivnost i produktivnost zaposlenih

P P

15. Usaglašenost sa internim politikama

P

Uče

nje

i ra

st

16. Obučenost i motivacija zaposlenih

S S P

17. Razvijanje kulture inovacija proizvoda i poslovanja

P

Prikaz 13 Mapiranje poslovnih ciljeva organizacije sa

ciljevima upravljanja57

57

ISACA. (2011). COBIT 5: The Framework – Exposure Draft. SAD: ISACA. str. 25


Na primer, obučenost i motivacija zaposlenih (cilj br. 16) u najvećoj meri doprinose optimalnom korišćenju raspoloživih ljudskih i drugih resursa, a dodatna korist ostvaruje se time što će, ako bolje obuči i motiviše zaposlene, preduzeće biti u mogućnosti da ostvari dodatne poslovne koristi i da na bolji način upravlja rizikom.

Matrica se može čitati i vertikalno. Na primer, ako preduzeće ima problema u načinu na koji upravlja rizikom, onda treba da se fokusira na ostvarenje sledećih poslovnih ciljeva (primarnih):

3. Upravljanje poslovnim rizicima (zaštita imovine) 4. Usaglašenost sa eksternim zakonima i propisima 7. Kontinuitet i raspoloživost usluga 9. Strateško odlučivanje zasnovano na informacijama 13. Upravljanje programima promena u poslovanju 15. Usaglašenost sa internim politikama Unapređenju upravljanja rizikom u nešto manjoj meri doprine-

će i fokusiranost na sledeće ciljeve (sekundarne): 5. Finansijska transparentnost 16. Obučenost i motivacija zaposlenih 2. Prevođenje poslovnih ciljeva na IT ciljeve Za ostvarenje poslovnih cilja potrebna je primena određene

forme informacionih tehnologija. Informacione tehnologije nisu same sebi svrha. Informacioni sistem treba razvijati tako da podrži ostvarenje konkretnih poslovnih ciljeva. Zbog toga je kroz COBIT razvijena matrica koja povezuje poslovne ciljeve sa IT ciljevima, odnosno definiše na koje ciljeve treba da se fokusira informacioni sistem preduzeća kako bi se ostvario određeni poslovni cilj. Mapira-nje poslovnih ciljeva i IT ciljeva prikazano je u narednoj tabeli:


Prikaz 14 Matrica poslovnih ciljeva i IT ciljeva


Primena prethodne matrice može se objasniti na primeru defi-nisanja zahteva za istinitim i objektivnim finansijskim izveštava-njem. Ovaj zahtev može se prepoznati unutar cilja upravljanja „Optimizacija rizika“, BSC dimenzija „Finansije“, kao poslovni cilj „Usaglašenosti sa eksternim zakonima i propisima“.

Realizacija ovog poslovnog cilja, kada se prevede na zahteve informacionih tehnologija, znači da je za njegovo ostvarenje primar-no neophodno realizovati sledeće:

2. Usaglašenost IT sa eksternim zakonima i propisima i podr-

ška usaglašenosti finansijskog izveštavanja sa eksternim zakonima i propisima

10. Bezbednost informacija, IT infrastrukture i aplikacija Usaglašenost sa eksternim zakonima i propisima, u nešto

manjoj meri (sekundarno), zahteva od informacionog sistema slede-će:

4. Upravljanje IT poslovnim rizicima 7. Pružanje IT usluga u skladu sa potrebama poslovanja 14. Raspoloživost pouzdanih i korisnih informacija 15. Usaglašenost IT sa internim politikama Posmatranje matrice iz drugog ugla omogućuje da se utvrdi

kako poboljšanje određenog aspekta informacionog sistema može da se odrazi na ostvarenje poslovnih ciljeva organizacije.

3. Prevođenje IT ciljeva na informatičke procese Za realizaciju IT ciljeva neophodno je sprovesti odgovarajuće

informatičke procese. Definisanje koji informatički procesi su neop-hodni da bi se ostvarili određeni IT ciljevi dato je u okviru COBIT-a u formi matrice.

58

58

ISACA. (2011). COBIT 5: The Framework – Exposure Draft. SAD: ISACA. str. 55-56


Radi pojašnjenja, može se uzeti unapređenje finansijskog izve-štavanja preduzeća kao poslovni cilj. Kao što smo videli, u okviru IT ciljeva koji treba da omoguće kvalitetno finansijskog izveštavanje, kao primarni IT ciljevi pojavljuju se:

2. „Usaglašenost IT sa eksternim zakonima i propisima i podr-

ška usaglašenosti finansijskog izveštavanja sa eksternim zakonima i propisima“

10. Bezbednost informacija, IT infrastrukture i aplikacija Pomoću matrice se može očitati da se ostvarenje ovih ciljeva

zasniva na sledećim aktivnostima u oblasti informacionih tehnologi-ja:

▪ EDM3 – Obezbeđenje optimizacije rizika ▪ APO1 – Definisanje okvira za rukovođenje IT funkcijom ▪ APO12 – Rukovođenje rizikom ▪ DSS7 – Rukovođenje sigurnošću ▪ MEA2 – Monitoring sistema internih kontrola ▪ MEA3 – Monitoring i ocena usaglašenosti sa eksternim

propisima Za svaki od ovih informatičkih procesa u okviru COBIT-a

definisani su kontrolni ciljevi odnosno aktivnosti koje trebaju biti realizovane kako bi se informatički proces mogao smatrati uspešno uspostavljenim u datom preduzeću.

Za kraj još jedna bitna napomena. Primenu tabela za prevođe-nje poslovnih ciljeva na IT ciljeve i IT ciljeva na informatičke proce-se i posle kontrolne ciljeve ne treba shvatati prosto mehanički. Kas-kada ciljeva daje samo smernice za logiku i promišljanje kako pove-zati IT funkciju sa ciljevima preduzeća u jednu celinu. U svakoj pojedinačnoj situaciji treba uvažiti sve specifičnosti preduzeća, nje-gove ciljeve, prioritete, organizaciju i okolnosti u kojima posluje.


4.2.4. Princip 4. COBIT 5 zasnovan na „instrumentima za ostvarenje ciljeva“ Za realizaciju upravljanja IT funkcijom neophodno je korišćenje određenih poluga odnosno instrumenata. Prema COBIT 5 okviru, instrumenti za ostvarenje ciljeva mogu se grupisati u 7 kategorija:59

1. Procesi 2. Principi i politike 3. Organizaciona struktura 4. Veštine i kompetentnost 5. Kultura i ponašanje 6. Infrastruktura 7. Informacije Kategorije COBIT 5 okvira primenljive su na instrumente za

ostvarenje ciljeva i na nivou preduzeća, ali njihova namena je da omoguće sagledavanje načina na koji se utiče na ostvarenje IT cilje-va. U skladu sa tim, u COBIT 5 okviru date su bliže definicije kate-gorije instrumenata:60

Procesi su organizovani skupovi aktivnosti koje treba da omo-

guće ostvarenje određenih IT ciljeva. Principi i politike su sredstva za prevođenje željenog ponaša-

nja u praktičke smernice za svakodnevno postupanje. Organizaciona struktura je sredstvo raspodele odgovornosti za

odlučivanje u okviru preduzeća. Veštine i kompetentnost su karakteristike ljudskih resursa koje

treba da omoguće sprovođenje neophodnih aktivnosti.

59

ISACA. (2011). COBIT 5: The Framework – Exposure Draft. SAD: ISACA. str. 28 60

Ibid, str. 28


Kultura i ponašanje odnose se na pojedince koji su zaposleni u preduzeću.

Infrastruktura se odnosi na IT arhitekturu, tehnologiju i aplika-

cije. Informacije su sredstvo za funkcionisanje preduzeća i uprav-

ljanje preduzećem, često i ključni produkt preduzeća. Instrumenti za ostvarenje ciljeva čine jedinstven sistem u

kome postoji međusobna interakcija. Tako je za funkcionisanje jed-nog instrumenta neophodan input od drugog instrumenta (npr. za organizacionu strukturu su neophodni ljudi sa odgovarajućom vešti-nom, kompetentnošću i organizacionom kulturom, za uspostavljanje organizacione kulture su potrebni propisani principi i politike, za formiranje principa i politika su neophodne odgovarajuće informaci-je i dr.).

Kod upravljanja IT funkcijom nužno je uzeti u obzir ovu isprepletanost instrumenata. Na primer, za uspostavljanje procesa IT bezbednosti neophodno je doneti odgovarajuće politike i procedure, ali te politike i procedure neće biti pravilno osmišljene ako u predu-zeću ne postoje odgovarajuća znanja i veštine. Osim toga, ni najbolje politike neće biti adekvatno primenjene ako u preduzeću ne postoji odgovarajuća organizaciona kultura i ponašanje. Zbog toga je neop-hodno raditi na ostvarenju IT ciljeva kroz unapređenje svih kategori-ja instrumenata.

Različiti instrumenti za ostvarenje ciljeva imaju određene zajedničke karakteristike koje mogu poslužiti za bolje razumevanje instrumenata i njihovu pravilnu primenu. Te zajedničke karakteristi-ke su sledeće:61

a) stejkholderi, b) ciljevi i metrika, c) životni ciklus, d) dobra poslovna praksa i e) atributi.

61

Ibid, str. 30


Stejkholderi. Svaki instrument za ostvarenje ciljeva ima svoje stejkholdere, odnosno one koji čine deo instrumenata, primenjuju instrumente ili na njih instrumenti utiču. Na primer, stejkholderi poli-tika su zaposleni koji primenjuju te politike i kreatori datih politika koji treba da sagledaju efekte primene. Sa stanovišta da li su stejk-holderi deo preduzeća, oni mogu biti interni i eksterni. Na primer, stejkholderi IT sigurnosti podataka banke su i njeni klijenti budući da banka čuva podatke o stanju na računu i brojeve kreditnih kartica.

Ciljevi i metrika. Svaki instrument ima svoje ciljeve koje treba da zadovolji. Na primer, ciljevi procesa su efekti koji proističu iz realizacije procesa, informacije imaju određene kvalitativne karakte-ristike koje treba da zadovolje (tačnost, objektivnost, relevantnost, pravovremenost...) i drugo. Radi praćenja stepena realizacije ciljeva, u COBIT 5 okviru je razrađena odgovarajuća metrika koja se odnosi na to kako se instrument primenjuje (metrika performansi) i koliko se ostvaruje cilj za dati instrument (metrika ishoda).

Životni ciklus. Svaki instrument ima svoj životni ciklus koji počinje inicijalnim uvođenjem instrumenta i preko njegovog operati-vnog korišćenja ide sve do napuštanja. Na primer, određena aplikaci-ja kao deo infrastrukture koristi se neko vreme dok se ne zameni drugom aplikacijom, određena organizaciona struktura se uspostav-lja, a potom menja itd.

Dobra poslovna praksa. Za svaki instrument postoji dobra pos-lovna praksa u smislu primera i predloga za njihovu primenu. Dobra poslovna praksa je najčešće formulisana u obliku standarda, okvira, propisa i sl. Dobra poslovna praksa iz ugla COBIT 5 okvira može biti interna i eksterna. Dobra interna poslovna praksa regulisana je nekim segmentom COBIT 5 okvira (npr. RACI šeme), a dobra eksterna poslovna praksa nije deo COBIT 5 okvira ali je sa njime usaglašena (npr. Međunarodni standardi interne revizije, ISO sta-ndardi i sl.).

Atributi. Atribut je osobina koja se može pripisati instrumentu sa stanovišta njegove uspešnosti u ostvarenju ciljeva. Ocena kvaliteta instrumenata vrši se primenom modela za ocenu dostignuća.

Model za ocenu dostignuća U okviru COBIT 5 okvira razvijen je model za ocenu dostig-

nuća. Model je postojao i u prethodnoj verziji COBIT-a (COBIT


4.1), ali je sada on značajno unapređen. Model pravi razliku između dva nivoa kvaliteta instrumenata:

1. Osnovni nivo – Za instrument se u principu može reći da

ostvaruje ciljeve zbog kojih je uveden. 2. Viši (napredni) nivo – Instrument zadovoljava ne samo

minimalne zahteve za ostvarenje ciljeva već je značajno unapređen sa stanovišta najbolje prakse, pa se instrument koristi na efikasan i optimalan način.

U okviru ova dva nivoa za ocenu performansi instrumenata,

postoji ukupno šest atributa kojima može biti opisan određeni ins-trument:

0 – Nepotpun 1 – Uveden 2 – Rukovođen 3 – Uspostavljen 4 – Predvidljiv 5 – Optimizovan Ovi atributi se mogu objasniti na primeru definisanja politika

kao načina ostvarenja ciljeva preduzeća. Politike mogu biti vredno-vane kao:

0 – Nepotpune – U preduzeću ne postoje sve politike koje bi

trebale biti definisane. 1 – Uvedene – Preduzeće je donelo sve neophodne politike za

upravljanje procesima. 2 – Rukovođene – Postupcima donošenja i primene politika se

rukovodi na ispravan način odnosno politike se planiraju, donose, nadziru i prilagođavaju na pravi način.

3 – Uspostavljene – Politike su donete i njima se upravlja na način koji omogućuje da politike ostvare ciljeve zbog kojih su uvedene.

4 – Predvidljive – Uspostavljene politike se u sprovođenju kreću u okvirima unapred predviđenih, relativno uskih gra-nica.


5 – Optimizovane – Predvidljive politike se kontinuirano una-pređuju u cilju povećanja uspešnosti ostvarenja ciljeva.

Svaka ocena uspešnosti instrumenata podrazumeva i da su svi

nivoi ispod tog ostvareni. Na primer, informacije kao instrument ne mogu biti ocenjene kao predvidljive (standardizovanog kvaliteta) ako pre toga nije obezbeđeno da informacije postoje i da se njima uprav-lja na način da se zadovolje informacione potrebe stejkholdera.

4.2.5. Princip 5. razdvajanje upravljanja i rukovođenja U cilju jasnog razdvajanja nadležnosti i odgovornosti, COBIT 5 okvir pravi razliku između upravljanja i rukovođenja.

Upravljanje (governance) je mehanizam za uspostavljanje smernica i nadgledanje usaglašenosti aktivnosti preduzeća sa postav-ljenim ciljevima. Rukovođenje (management) je izvršna funkcija u smislu svakodnevnog donošenja odluka radi ostvarenja ciljeva pre-duzeća.62 Na vrhu piramide odgovornosti nalaze se vlasnici i drugi ključni stejkholderi. Oni delegiraju upravni odbor koji usmerava rad menadžmenta. Menadžment daje instrukcije i donosi odluke kojima se stvaraju uslovi za sprovođenje akcija. O akcijama se mora redov-no izveštavati menadžment. Menadžment daje agregirane informaci-je o svome radu upravnom odboru budući da upravni odbor nadzire njihov rad. Sa druge strane, upravni odbor treba da obezbedi transpa-rentnost rada preduzeća kako bi vlasnici i druge stejkholderi mogli da donesu ključne upravljačke odluke.63

Razdvajanje pojmova upravljanja i rukovođenja je bitno kod definisanja odgovornosti za IT procese i ostvarenje IT ciljeva. Nai-me, referentni model COBIT 5 procesa razdvaja sve IT procese u dve grupe:64

1. Domen upravljanja u koji spada Domen vrednovanja, usme-

ravanja i monitoringa

62

Ibid, str. 13 63

Ibid, str. 35 64

Ibid, str. 37


2. Domen rukovođenja u koji spadaju četiri preostala domena: Domen planiranja i organizacije, Domen izgradnje, nabav-ke i implementacije, Domen korišćenja i podrške i Domen Monitoringa i vrednovanja.

Upravljačke strukture preduzeća u delu IT funkcija imaju gla-

vni zadatak da obezbede da IT funkcija doprinese optimizacije vred-nosti, rizika i resursa za preduzeće, kao i transparentnosti rada, a to se postiže kroz usmeravanje rada menadžmenta u vezi da IT funkci-jom i nadgledanje koliko uspešno menadžment koordinira i ostvaruje sve IT aktivnosti i procese. Sa druge strane, menadžment ima ključnu ulogu u planiranju, uvođenju, održavanju i nadgledanju rada IT fun-kcije.

4.3. Referentni model IT procesa Informatički procesi predstavljaju deo ukupnih procesa u preduzeću. Imajući u vidu njihovu brojnost, u COBIT 5 okviru je izvršena nji-hova sistematizacija, a zatim su bliže definisane karakteristike koje proces treba da ima kako bi se mogla smatrati uspešno realizovanim.

Sistematizacija IT procesa Sistematizacija IT procesa vrši se na nekoliko nivoa (oblasti,

domeni, pojedinačni IT procesi). Na najvišem nivou, izvršeno je gru-pisanje nadležnosti za IT procesa na dve oblasti:

I) Upravljanje IT procesima II) Rukovođenje IT procesima U okviru navedenih oblasti, definisano je pet domena informa-

tičkih procesa: 1. Domen vrednovanja, usmeravanja i monitoringa 2. Domen planiranja i organizovanja 3. Domen izgradnje, nabavke i implementacije 4. Domen korišćenja i podrške i 5. Domen monitoringa i vrednovanja.


Ovi domeni su povezani sa oblastima upravljanja i rukovođe-nja na sledeći način:

Tabela 5 Oblasti i domeni COBIT-a 5

Oblast Domen

Upravljanje 1. Domen vrednovanja, usmeravanja i monitoringa Rukovođenje 2. Domen planiranja i organizovanja

3. Domen izgradnje, nabavke i implementacije 4. Domen korišćenja i podrške i 5. Domen monitoringa i vrednovanja

Za svaki domen su definisani pojedinačni informatički procesi.

Pregled informatičkih procesa dat je u sledećoj tabeli:

Tabela 6 Domeni i IT procesi u COBIT 5

Domen IT proces

Oznaka IT procesa Naziv IT procesa

Domen vrednovanja, usmeravanja i monitoringa

EDM1 Uspostavljanje i održavanje okvira za upravljanje EDM2 Obezbeđenje optimizacije vrednosti EDM3 Obezbeđenje optimizacije rizika EDM4 Obezbeđenje optimizacije resursa EDM5 Osiguranje transparentnosti za stejkholdere

Domen planiranja i organizovanja

APO1 Definisanje okvira za rukovođenje IT funkcijom APO2 Definisanje strategije APO3 Rukovođenje arhitekturom preduzeća APO4 Rukovođenje inovacijama APO5 Rukovođenje portfoliom APO6 Rukovođenje budžetom i troškovima APO7 Rukovođenje ljudskim resursima APO8 Rukovođenje odnosima APO9 Rukovođenje sporazumima o vršenju usluga APO10 Rukovođenje snabdevačima APO11 Rukovođenje kvalitetom APO12 Rukovođenje rizikom


Domen izgradnje, nabavke i implementacije

BAI1 Rukovođenje programima i projektima BAI2 Definisanje zahteva BAI3 Identifikovanje i izgradnja rešenja BAI4 Rukovođenje raspoloživošću i kapacitetom BAI5 Omogućavanje organizacionih promena BAI6 Upravljanje promenama BAI7 Prihvatanje i tranzicija promena BAI8 Rukovođenje znanjem

Domen korišćenja i podrške

DSS1 Rukovođenje operacijama DSS2 Rukovođenje imovinom DSS3 Rukovođenje konfiguracijom DSS4 Rukovođenje zahtevima za uslugom i

incidentima DSS5 Rukovođenje problemima DSS6 Rukovođenje kontinuitetom DSS7 Rukovođenje sigurnošću DSS8 Rukovođenje kontrolama poslovnih procesa

Domen monitoringa i vrednovanja

MEA1 Monitoring i ocena performansi MEA2 Monitoring sistema internih kontrola MEA3 Monitoring i ocena usaglašenosti sa eksternim

propisima Definisanje karakteristika IT procesa Za svaki IT proces, COBIT 5 okvirom su utvrđene sledeće

karakteristike: 1. Opis i svrha IT procesa 2. Veza sa IT ciljevima i metrika za IT ciljeve 3. Kontrolni ciljevi datog IT procesa 4. Za svaki kontrolni cilj IT procesa:

a. odgovornosti za IT proces putem RACI šeme b. inputi i autputi c. aktivnosti koje trebaju biti realizovane kako bi se dati

kontrolni cilj IT procesa realizovao Ilustracija definisanja karakteristika IT procesa biće data na

primeru informatičkog procesa MEA03 – Monitoring i ocena usagla-šenosti sa eksternim propisima.


1. Opis i svrha IT procesa. Monitoring i ocena usaglašenosti sa eksternim propisima vrši se radi vrednovanja da li se IT procesi i poslovni procesi za čiju realizaciju se koristi IT vrše u skladu sa zakonima, propisima i ugovorima. Potrebno je uveriti se da su eksterni propisi koje treba primeniti identifikovani i da su na pravi način ispunjeni zahtevi datih propisa.

2. Veza sa IT ciljevima i metrika za IT ciljeve. Neophodno je definisati sa kojim IT ciljevima je dati informatički proces povezan, odnosno na ostvarenje kojih ciljeva se odražava sprovođenje datog IT procesa. Za svaki identifikovani IT cilj je neophodno definisati metriku koja treba da pomogne u utvrđivanju stepena ostvarenja IT ciljeva budući da je to i pokazatelj u kojoj meri dati IT proces uspeš-no sprovodi. Za IT proces MEA03. Monitoring i ocena usaglašenosti sa eksternim propisima, definisani su sledeći IT ciljevi i metrika:

Tabela 7 Metrika za sagledavanje ostvarenja IT ciljeva

IT cilj Metrika

2. Usaglašenost IT i podrška usaglašenosti poslovanja sa eksternim zakonima i propisima

▪ Troškovi zbog neusaglašenosti IT, uključujući sudske sporove i kazne

▪ Broj neusaglašenosti IT o kojim je izvešten upravni odbor

▪ Broj neusaglašenosti IT koji su izazva-li javne komentare i narušili reputaciju preduzeća

▪ Broj slučajeva nepoštovanja ugovora 3. Kontrolni ciljevi IT procesa. Za IT proces je neophodno

definisati zahteve koje treba ostvariti kako bi se moglo reći da se dati IT proces uspešno sprovodi. Za IT proces MEA03. Monitoring i oce-na usaglašenosti sa eksternim propisima su u COBIT-u 5 definisani sledeći kontrolni ciljevi:65

65

Ibid, str. 201


Tabela 8 Kontrolni ciljevi IT procesa

Oznaka kontrolnog

cilja IT procesa

Opis kontrolnog cilja IT procesa

MEA03.01 Identifikovati eksterne propise koje treba primeniti MEA03.02 Optimizovati odgovor na eksterne zahteve

MEA03.03 Potvrditi usaglašenosti politika, principa, standarda, procedura i metodologija sa eksternim propisima

MEA03.04 Nadzirati mehanizam održavanja usaglašenosti sa eksternim propisima

4a. Za svaki kontrolni cilj IT procesa definisati odgovornost

putem RACI šeme. RACI šema služi za identifikaciju i grafički pri-kaz nivoa i vrste odgovornosti za određene procese. Reč RACI je akronim sledećih reči:

(R)esponsible – Osoba koja je odgovorna za sprovođenje IT

procesa (A)ccountable – Osoba koja obezbeđuje dokumentuje sprovo-

đene IT procesa (C)onsulted – Osoba koja treba biti konsultovana o IT procesu (I)nformed – Osoba koju treba informisati i sprovođenju IT

procesa 4b. Za svaki kontrolni cilj IT procesa definisati inpute i autpu-

te Za svaki kontrolni cilj IT procesa neophodno je definisati veze

sa drugim procesima i dokumentima u preduzeću. Tako, na primer, za kontrolni cilj MEA 03.03-Potvrditi usaglašenost politika, princi-pa, standarda, procedura i metodologija sa eksternim propisima, COBIT-om 5 su definisani sledeći inputi i autputi:


Tabela 9 Inputi i autputi za kontrolni cilj IT procesa MEA03.03

Inputi Autputi Iz... Opis Prema Opis

BAI05.06 Rezultati revizije usaglašenosti Interno

Identifikovane neusaglašenosti

DSS01.05 Izveštaji o polisama osiguranja EDM01.03

Potvrde o usaglašenosti

DSS02.05 Rezultati revizija o poštovanju licenci

DSS03.05 Odstupanja od licenci 4c. Za svaki kontrolni cilj IT procesa definisati aktivnosti koje

trebaju biti realizovane kako bi se dati kontrolni cilj IT procesa reali-zovao.

Na kraju, potrebno je definisati koje aktivnosti trebaju biti

sprovedene kako bi se određeni kontrolni cilj IT procesa zadovoljio. Na primer, za kontrolni cilj MEA03.03 - Potvrditi usaglašenosti poli-tika, principa, standarda, procedura i metodologija sa eksternim propisima, definisane su sledeće aktivnosti:

1. Redovno razmatrati politike, standarde, procedure i meto-

dologije organizacije vezane sa procesiranje informacija kako bi se obezbedila usaglašenost sa relevantnom regula-tivom.

2. Ukazivati na probleme neusaglašenosti u politikama, sta-ndardima i procedurama.

3. Periodično vrednovati poslovne i IT procese kako bi se osi-guralo poštovanje propisa i ugovora.

4. Redovan pregled oblasti sa čestim slučajevima nepoštova-nja propisa.



93 Spec i ja l i z ac i ja rev i z i j sk ih z ah teva z a raz mat ran jem . . .

55.. DDeellookkrruugg rraaddaa rreevviizziijjee iinnffoorrmmaacciioonniihh ssiisstteemmaa

5.1. Uticaj informacionih tehnologija na savremeno poslovanje Informacione tehnologije predstavljaju hardversku podršku i obezbe-đuju infrastrukturu za implementaciju i funkcionisanje informacionih sistema. Informacioni sistemi, kao skup ljudskih, hardverskih, sof-tverskih resursa, resursa podataka i komunikacionih mreža, obezbe-đuju informacije neophodne za donošenja odluka i rešavanja proble-ma poslovanja, kao i svakodnevno poslovanje preduzeća. Informaci-oni sistemi igraju važnu ulogu u preduzeću, u pravcu održavanja konkurentnog položaja preduzeća u njegovom okruženju, kao i u pravcu pospešivanja tržišne pozicije. Produktivnost i efikasnost, kao ključ uspeha preduzeća, mogu biti pospešeni uvođenjem savremeni-jih informacionih sistema unutar organizacije. Upravo zbog toga, u današnje vreme veliki broj kompanija ulaže značajna finansijska i druga sredstva u razvoj i funkcionisanje informacione infrastrukture poslovanja. Upotrebom informacionih sistema u poslovanju preduze-ća značajno povećavaju produktivnost i efikasnost obavljanja svojih svakodnevnih radnih operacija.66 Naime, prelaskom sa manuelnog izvršenja pojedinih radnih operacija, na izvršenje primenom računa-ra, dolazi pre svega do smanjenja vremena i troškova neophodnih za realizaciju radnih zadataka i smanjenja rizika nastanka greške izaz-vane ljudskim delovanjem, što je svakako pozitivna strana upotrebe informacionih sistema.

Iako se informacione tehnologije koriste već nekoliko deceni-ja, njihova uloga u poslovanju se menjala kroz tri faze. U prvoj fazi informacione tehnologije su se koristile isključivo za potrebu podrš-ke rutinskim aplikacijama, obradu podataka i baze podataka i u ovoj fazi su se one smatrale samo troškom poslovanja organizacije. Sredi-nom osamdesetih godina dvadesetog veka nastupa druga faza prime- 66

Mijić K. (2009). Profesionalni i etički aspekt revizije informacionih sistema. Subotica: Anali Ekonomskog fakulteta u Subotici. str. 245


ne informacionih tehnologija, koju karakteriše primena informacione i telekomunikacione tehnologije, u pravcu povezivanja poslovnih funkcija, pružanju podrške prilikom donošenja odluka, kvalitetnijih informatičkih usluga i dr. Treća faza počinje sredinom devedesetih godina kada dolazi do pojave da intenzivna primena informacionih tehnologija u poslovanju dovodi do poboljšanja rezultata poslovanja, koje se ispoljava kroz niže troškove, rast, diferenciranje, ostvarivanje bolje konkurentske prednosti i dr.67

Upotreba informacionih tehnologija u današnje vreme je osno-va uspeha i razvoja preduzeća. Jednostavno, poslovni procesi su pos-tali zavisni od informacionih tehnologija. Upotreba informacionih tehnologija dovodi do smanjenja rizika greške izazvane ljudskom prirodom, što je svakako pozitivno. Međutim, ova pozitivna strana delovanja informacionih tehnologija u poslovanju preduzeća može biti umanjena ukoliko programi sadrže greške. Da bi se smanjio rizik informacionih tehnologija u poslovanju preduzeća u informacione sistem se ugrađuju odgovarajuće interne kontrole koje treba da spre-če nastanak grešaka, bilo namerne ili nenameran prirode. Međutim, i pored postojanja internih kontrola, uvek se postavlja pitanje da li su one na efikasan način postavljene, da li su pouzdane, da li su u skla-du sa zakonskim i drugim propisima i drugo.

Informacione tehnologije su u velikoj meri uticale na način na koji preduzeća prikupljaju, čuvaju i koriste informacije za poslovno odlučivanje. Osim toga, zbog značaja procesa zasnovanih na upotrebi kompjutera, razvijene su i kontrolne metodologije i postupci koji treba da osiguraju integritet informacija.

5.2. Potreba za revizijom informacionih sistema Poslovni subjekti se u sprovođenju aktivnosti susreću sa različitim rizicima, uključujući i rizik od neuspešne implementacije i primene informacionih tehnologija, koji svakako da ima uticaj na finansijski

67

Jakšić D., Mijić K. (2009). Delokrug rada revizije informacionih sistema. Banja Luka: Finrar. str. 6


aspekt poslovanja organizacije. Najčešći razlozi koji dovode do neu-IT projekata su organizacione, a ne tehničke prirode i odnose se na:68

▪ Nedovoljnu podršku od strane menadžmenta preduzeća i

nedovoljno dobro poznavanje poslovne prakse informatike, ▪ Nedostatak resursa, ▪ Loše definisan projekat IT, ▪ Neuključivanje svih relevantnih korisnika u projekat, ▪ Otpor promenama koje donose novine, pa tako i uvođenje

IT, ▪ Loša analiza poslovnih procesa, ▪ Nejasno definisana odgovornost za sprovođenje projekta, ▪ Produženje vremenskog perioda implementacije, koje

dovodi do porasti troškova i dr. Za uspešnu primenu informacionih tehnologija u preduzeću

svakako su nužna značajna finansijska sredstva. Međutim, sposob-nost finansiranja ne garantuje uspešnost implementacije informacio-nih sistema budući da je zavisna i od brojnih drugih faktora. Imple-mentacija informacionih sistema ne može se samo zasnivati na goto-vim rešenjima koje preduzeće kupuje na tržištu, već zahteva i prila-gođavanje potrebama preduzeća. Ti zahtevi moraju biti razvijeni iz opšte strategije preduzeća. Informacioni sistem nije sam sebi svrha, već treba da podrži preduzeće u ostvarenju njegovih ciljeva.

Ono što dodatno usložnjava problem informacionih tehnologi-ja je što njihova implementacija nije jednokratan čin. Opšte je pozna-to da danas ne postoji oblast koja se brže menja od informacionih tehnologija. Jednom razvijen informacioni sistem vrlo brzo mora biti ažuriran zbog promena koje dolaze iz okruženja u vidu razvoja novih proizvoda, poslova ili procesa sa jedne strane, ili novih otkrića u oblasti informacionih tehnologija sa druge strane. Dinamičnost informacionih sistema i poremećaj u bilo kojoj tački njegove prime-ne (npr. korišćenje netestiranog softvera, pad sistema uz gubljenje podataka bez mogućnosti oporavka, slaba zaštita sistema od virusa i sl.) može dovesti do značajnih povećanja troškova, gubljenja povere- 68

Panian Ž., Spremić M. (2007). Korporativno upravljanje i revizija informacijskih sustava. Zagreb: Zgombić i partneri, str. 6


nja klijenata, a u ekstremnim situacijama i do ugrožavanja opstanka preduzeća.

Sve ovo dovodi do potrebe za monitoringom funkcionisanja informacionog sistema u preduzeću. Ovaj monitoring može imati formu interne ili eksterne provere što ne menja njegovu suštinu. Ono što je bitno je da je za uspešan monitoring informacionog sistema neophodna nezavisnost i kompetentnost onoga ko vrednuje informa-cioni sistem.

Nezavisnost monitoringa je zahtev koji ima za cilj da spreči da na konačnu ocenu o uspešnosti informacionog sistema utiču lični odnosi procenitelja (lični, porodični, finansijski i sl.). Kompetentnost monitoringa informacionih sistema je visok zahtev budući da se on odnosi na dve oblasti: a) sposobnost definisanja i sprovođenja proce-dura provere i b) tehnička znanja o funkcionisanju informacionog sistema. Prva grupa znanja spada u oblast tradicionalnih revizorskih znanja, a druga grupa u oblast informatičkih znanja. Jasno je da se ovde radi o specifičnom unapređenju revizije koje može egzistirati samo ako postoji jasno izražena potreba za tim. Možemo reći da je u savremenom poslovnom svetu ta potreba prepoznata i od strane menadžmenta i od strane revizora i to kroz:

▪ Potrebu menadžmenta da se uveri u funkcionalnost infor-

macionog sistema zbog visoke zavisnosti od njegove opera-tivnosti,

▪ Uviđanje revizora da se na današnjem nivou informatizaci-je poslovanja ne može postići razumno uveravanje u funk-cionisanje sistema internih kontrola bez uvida u efikasnost i efektivnost internih kontrola povezanih sa funkcionisanjem informacionih sistema.

Odgovoran menadžment ne može ostati neosetljiv na rizike

funkcionisanja informacionog sistema i zavisnost celokupnog poslo-vanja od njene uspešnosti. Prepustiti funkcionisanje informacionih sistema stihiji svakako nije dobra odluka, a svako preuzimanje rizika se pre ili kasnije pojavljuje kao stvaran problem. Menadžment se mora uveriti u to da informacioni sistem služi definisanim poslovnim interesima preduzeća i da je u stanju da im se prilagođava ne gubeći na funkcionalnosti i pouzdanosti.


Sa druge strane, revizori u okviru delokruga svog rada imaju definisanu obavezu da razmatraju sistem internih kontrola. To impli-citno podrazumeva i razmatranje internih kontrola koje postoje u okruženju informacionih i telekomunikacionih tehnologija. Razmat-ranje sistema internih kontrola uz istovremeno ignorisanje njegovog dela koji je integrisan u informacioni sistem neće dati zadovoljavaju-će rezultate. Iako to nije nimalo lak zadatak za revizore, koji su već ionako opterećeni zahtevima širokog obrazovanja u oblasti revizije i računovodstva, u savremenim uslovima nije moguće vršiti reviziju bez uvida u informacioni sistem i bez poznavanja informacionih teh-nologija. Ta činjenica je prepoznata od strane revizijske profesije.

IT revizija kao proces uveravanja u IT funkciju organizacije mora se bazirati na sledećim pretpostavkama:69

a) Postojanje tri strane

1. strane koja je odgovorna za IT funkciju 2. revizora i 3. strane koja je zainteresovana za IT funkciju i kojoj se

podnosi izveštaj o IT reviziji. b) Postojanje predmeta ispitivanja u okviru IT funkcije za koju

je moguće steći uveravanje (npr. aplikacije, IT procesi i dr.).

c) Postojanje kriterijuma za vrednovanje predmeta ispitivanja (standardi, benčmarking, regulativa i dr.).

d) Mogućnost sprovođenja procesa IT revizije e) Formiranje zaključaka i njihova prezentacija od strane revi-

zora Osobe koje su odgovorne za IT funkciju rukovode određenim

domenom poslovanja koji je predmet interesovanja IT revizije. IT revizor kroz proces uveravanja u kojem vrednuje predmet ispitivanja prema unapred definisanim kriterijumima dolazi do određenih zak-ljučaka koji se u obliku mišljenja u pismenoj formi dostavljaju stejk-holderima koji su odgovorni za određene poslovne funkcije na koje

69

IT Gonvernance Institute, IT Assurance Guide: Using COBIT, 2007, www.isaca.org, pristupljeno dana: 9.12.2011. godine, str. 17


uspešnost rada predmeta ispitivanja ima uticaj i tako stiču neophodna saznanja sa uspešno sprovođenje svojih nadležnosti.

5.3. Pojam revizije informacionog sistema Kada se govori o uticaju informacionih tehnologija na reviziju koris-te se dva različita pristupa. Jedan od njih govori o pojavi revizije sa kompjuterom, a drugi o reviziji kroz kompjuter.70 Revizija sa kom-pjuterom71 podrazumeva proces korišćenja informacionih tehnologija od strane revizora. Informacione tehnologije u reviziji imaju ulogu da preuzmu izvršenje određenih revizijskih postupaka koji bi se ina-če izvršavali ručno odnosno manuelno. Kako se informacione tehno-logije koriste u svim sferama poslovanja, tako one imaju i značajnu ulogu u reviziji i na taj način se napušta klasična manuelna revizija poznata kao revizija oko kompjutera. Primena informacionih tehno-logija u reviziji nije više opcija za revizore, u smislu da li će oni svoj posao obavljati primenom računara ili manuelno. Informacione teh-nologije su postale nužnost u ovoj profesiji. Preduzeća su uvela informacione sisteme u sferu računovodstva, tj. na revizorima je da računovodstvene podatke u elektronskoj formi obrade i konvertuju kroz svoje postupke. Upotreba informacionih tehnologija u reviziji dovodi do povećanja efikasnosti i efektivnosti samog revizorskog postupka. Značajne koristi koje se ostvaruju primenom informacio-nih tehnologija u reviziji su sledeće72:

▪ Kompjuterski generisani radni papiri su efikasniji i konzis-

tentniji, ▪ Dolazi do značajnog skraćenja vremena potrebnog za

manuelno sabiranje i upoređivanje iznosa, ▪ Kalkulacije, upoređivanja i drugi rezultati manipulacije sa

podacima su tačniji, ▪ Analize podataka su mnogo više efikasnije,

70

Mijić K. (2009). Profesionalni i etički aspekt revizije informacionih sistema. Subotica: Anali Ekonomskog fakulteta u Subotici. str. 246 71

Bodnar G. H., Hopwood W S. (2001). Accounting Informations System, SAD: Prentice Hall. str. 648 72

Ibid, str. 651


▪ Informacije mogu biti lakše i brže generisane i analizirane, ▪ Čuvanje i pregled radnih papira je mnogo jednostavniji, ▪ Produktivnost i motivacija se povećavaju kao posledica

skraćivanja vremena provedenog za obavljanje administra-tivnih poslova,

▪ Troškovi revizije se smanjuju, zbog mogućnosti da se revi-zijske aplikacije koriste u velikom broju revizije kod istog ili kod različitih klijenata,

▪ Povećava se nezavisnost od klijenta. Drugi vid uticaja informacionih sistema na reviziju jeste poja-

va revizije kroz kompjuter, poznate i kao revizija u okruženju infor-macionih tehnologija, revizija kompjuterskih informacionih sistema ili revizija informacionih tehnologija. Revizija kroz kompjuter ima za cilj da ispita informacionu infrastrukturu preduzeća, sa ciljem da se utvrdi da li preduzeće raspolaže odgovarajućim sistemom interne kontrole i da li je on pouzdan tj. da li obezbeđuje bezbednost u sva-kodnevnom poslovanju.

Informacioni sistem može se definisani kao uređeni skup ljudi, procesa, podataka i informacionih i telekomunikacionih tehnologija koji služe unapređenju svakodnevnih poslovnih aktivnosti kroz podr-šku u donošenju poslovnih odluka. Na osnovu toga, revizija informa-cionih sistema se može definisati kao svaka revizija koja obuhvata preispitivanje automatizovanog sistema obrade podataka i njihovog odnosa sa povezanim neautomatizovanim procesima.

Pojam revizije kompjuterskih informacionih sistema se može predstaviti i na drugačiji način. Naime, revizija informacionih siste-ma je proces prikupljanja i vrednovanja dokaza o tome da li informa-cioni sistem preduzeća funkcioniše na odgovarajući predviđeni način, održava li integritet podataka, omogućuje li delotvorno ostva-rivanje postavljenih ciljeva i da li se raspoloživa sredstva koriste na efikasan način. Revizija informacionih sistema mora omogućiti ostvarenje celog spektra revizorskih ciljeva koji se mogu grupisati u četiri oblasti:73

73



▪ Zaštita podataka i informacionih resursa, ▪ Obezbeđenje istinitosti i objektivnosti finansijskog izvešta-

vanja ▪ Obezbeđenje efikasnosti i efektivnosti funkcionisanja

informacionih sistema i ▪ Obezbeđenje funkcionisanja sistema internih kontrola u

skladu sa definisanim pravilima. Zaštita informacione imovine koju čine hardver, softver, baze

podataka i drugo se ostvaruje uvođenjem internih kontrola u infor-macione sisteme. Revizijom informacionih sistema se vrši provera efikasnosti internih kontrola ugrađenih u informacione sisteme, tj. da li one na efikasan način štite informacionu imovinu preduzeća.

Informacioni sistemi imaju ulogu skladištenja i transformacije podataka u informacije koje će biti razumljive i upotrebljive. Integri-tet podataka podrazumeva da su podaci potpuni, jasni, nedvosmisleni i istiniti. Ukoliko je ugrožen integritet podataka, preduzeće neće biti u mogućnosti da stvori objektivnu sliku o sebi tj. o svome poslova-nju. Očuvanje integriteta podataka je jedan od osnovnih zadataka informacionih sistema.

Kada je reč o efikasnosti i efektivnosti informacionih sistema to se pre svega odnosi na sposobnost da informacioni sistemi omo-guće ostvarivanje postavljenih ciljeva preduzeća uz što niže troškove tj. uz što niži utrošak sredstava. Revizija efikasnosti informacionih sistema se vrši u post-implementacionoj fazi i za njen uspeh revizor mora biti upoznat sa karakteristikama preduzeća i njegovog okruže-nja, kao i sa postavljenom strategijom i ciljevima. Zahtev za efektiv-nošću informacionih sistema se postavlja upravo zbog činjenice da su i informacioni resursi retki tj. oskudni i da je neophodno da je tro-šak funkcionisanja informacionog sistema manji od koristi koju on pruža preduzeću.

Revizija kompjuterskih informacionih sistema ima za cilj i da oceni usaglašenost funkcionisanja sistema internih kontrola sa zako-nima i internom regulativom preduzeća. Revizijom se utvrđuje da li je sistem internih kontrola koji je uspostavljen radi upravljanja rizi-cima, kontrole i rukovođenja informatičkim procesima adekvatan i da li funkcioniše na način kojim se obezbeđuje:


▪ da su informatički rizici na odgovarajući način identifiko-vani i kontrolisani,

▪ da su međusobni odnosi članova rukovodstva nadležnim za IT funkciju uspostavljeni na odgovarajući način,

▪ da su bitne finansijske, upravljačke i operativne informacije i izveštaji povezanim sa funkcionisanjem informacionog sistema pravovremeni, tačni i potpuni,

▪ da zaposleni na informatičkim poslovima obavljaju aktiv-nosti u skladu sa propisanim propisima, procedurama i sta-ndardima,

▪ da su informatički resursi i podaci obezbeđeni od prevara i kriminalnih radnji,

▪ da su sredstva ekonomično nabavljena, da se efikasno i racionalno koriste i da su adekvatno zaštićena,

▪ da su programi, planovi i ciljevi IT funkcije ostvareni, ▪ da su IT kontrolni procesi kvalitetni i da se stalno unapre-

đuju. Predmet revizije kompjuterskih informacionih sistema tj.

potencijalne oblasti informacionih sistema koje podležu reviziji su:74 a) Kontrole na nivou celog entiteta b) Fizički objekti c) Mrežna i komunikaciona infrastruktura d) Operativni sistem e) Međusoftver f) Baze podataka g) Aplikacije a) Kontrola na nivou celog entiteta – kontrole koje su prisutne

na nivou cele organizacije i predstavljaju osnovu kontrolnog okruže-nja. Kao primer ovih kontrola mogu se izdvojiti politike i mehanizmi organizacije usklađeni sa različitim državnim propisima.

b) Fizički objekti – fizički objekat i centar podataka u kojem je smeštena računarska oprema organizacije. 74

Davis C., Schiller M., Wheeler K. (2007). Revizija informacionih tehnologija. Beograd: Savez računovođa i revizora Srbije. str. 20


c) Mrežna i komunikaciona infrastruktura – omogućava dru-gim sistemima i korisnicima da komuniciraju sa datim sistemom, kada im je fizički pristup istom onemogućen. Ovaj nivo obuhvata različite uređaje za rad na mreži i sa mrežama kao što su fajervol sis-temi, svičevi, ruteri i dr.

d) Operativni sistem – obezbeđuje osnovno operativno okru-ženje za funkcionisanje aplikativnih sistema tj. softvera. Primeri ope-rativnih sistema su Linux, Unix, Windows, Mac OS i dr.

e) Međusoftver – softver ili program koji obezbeđuje integra-ciju dva zasebna programa, koja nisu bila projektovana da međusob-nu komuniciraju. Kao primer mogu se navesti programi koji omogu-ćuju povezivanje baze podataka i veb servera ili baze podataka i neke softverske aplikacije i dr.

f) Baza podataka – aplikacija koja organizuje i omogućava pri-stup podacima, koji se koriste od strane različitih aplikacija.

g) Aplikacija – program koji se koristi za izvršenje različitih zahteva korisnika.

Reviziju informacionih sistema vrše timovi odnosno sektori za

ovu vrstu revizije. Timovi za reviziju informacionih sistema treba da se sastoje od ovlašćenih revizora koji imaju dovoljno opštih znanja o informacionim tehnologijama i od stručnjaka iz oblasti informacio-nih tehnologija, koji imaju tehnička znanja i koji će bolje razumeti problematiku funkcionisanja informacionih sistema i pružiti pomoć u izboru alata za pregled tehnologije i u njenom testiranju.

Potrebni su određeni koraci da bi se postupak revizije infor-macionih sistema. Prvi korak je uvek planiranje koje treba da usmeri proces revizije informacionog sistema ka organizaciji angažmana tako da se ostvari cilj revizije. U fazi planiranja ključna je ocena rizi-ka vezanih za funkcionisanje informacionog sistema što predstavlja osnovu za izradu plana i programa revizijskog testiranja. Planom revizije moraju se predvideti adekvatni revizijski resursi i vremenski raspored aktivnosti uveravanja. Proces revizije zahteva od revizora informacionog sistema da prikuplja dokaze i na osnovu njih ocenjuje jačinu i slabosti postojećih kontrola, te da pripremi revizorski izveš-taj kojim bi se rukovodstvo na objektivan način informisalo o stanju i funkcionisanju određenih aspekata informacionog sistema. U postu-pku revizije moguće je predvideti i naknadne postupke revizije koji


imaju za cilj da se revizor uveri da je rukovodstvo sprovelo neopho-dne korektivne mere koje su predviđene revizorskim izveštajem.

5.4. Vrste revizije i položaj revizije informacionog sistema U skladu sa tradicionalnom podelom revizije prema cilju i položaju prema entitetu koji je predmet ispitivanja, postoje:

▪ eksterna revizija, ▪ interna revizija i ▪ državna revizija. Eksterna revizija ima za cilj izražavanje mišljenja o istinitosti i

objektivnosti finansijskih izveštaja preduzeća. Ovo mišljenje daje se u cilju zaštite korisnika finansijskih izveštaja od korišćenja pogrešnih informacija u procesu odlučivanja.

Osnovni cilj koji se postavlja pred internu reviziju jeste da se izrazi mišljenje o adekvatnosti i efektivnosti sistema upravljanja rizi-kom i internim kontrolama.75 Celokupan sistem upravljanja rizikom je glavna preokupacija interne revizije koja se fokusira na one kon-trole koje su ključne za ostvarivanje ciljeva organizacije. Rad inter-nih revizora traje kontinuirano, dakle u toku čitave kalendarske godi-ne. Interni revizori rade za i u korist organizacije i oni svoje izveštaje o stepenu pouzdanosti i efikasnosti funkcionisanja sistema internih kontrola podnose upravi organizacije.

Državna revizija predstavlja reviziju javnog sektora koja se obavlja od strane vrhovne revizorske institucije, a izveštaj o radu podnosi se parlamentu tj. skupštini76. Država kroz budžet vrši prikup-ljanje i trošenje novčanih sredstava i to svakako da privlači veliku pažnju građana i pravnih lica, jer oni kroz plaćanje različitih poreza, taksi i dr. učestvuju u formiranju novčane mase za budžet. Cilj revi-

75

Pickett K. H. S. (2007). Osnovni priručnik za internu reviziju, Beograd: Savez računovođa i revizora Srbije. str. 31 76

Andrić M., Krsmanović B., Jakšić D. (2009). Revizija – teorija i praksa, Subotica: Ekonomski fakultet u Subotici. str. 37


zije javnog sektora jeste da se izvrši kontrola prikupljanja i trošenja sredstava koja su u nadležnosti državnih organa i institucija, odnosno da se sagleda da li su sredstva utrošena u skladu sa planom trošenja koji je odobren od strane najvišeg predstavničkog organa zemlje i da li su utrošena na najcelishodniji način.

Uvođenjem pojma revizije informacionih sistema postavlja se pitanje njenog položaja u okviru tradicionalnih vrsta revizije.

Iako se čini da revizija informacionih sistema ima potpuno drugačiji predmet istraživanja od tradicionalnih vrsta revizije (čak i da izlazi iz okvira profesije revizije), ona u suštini predstavlja opera-cionalizaciju sprovođenja jednog dela tradicionalnih revizija kroz obuhvat podataka u elektronskoj formi i ispitivanje sistema internih kontrola koje su povezane sa radom informacionih sistema. Aktiv-nost internih, eksternih i javnih revizora se proširuje i na nivo revizi-je informacionih sistema, koja postaje integralni deo svake od ovih vrsta revizije.77

Prikaz 15 Položaj revizije informacionih sistema u odnosu na druge vrste revizije

78

77


Jakšić D., Mijić K. (2009). Delokrug rada revizije informacionih sistema. Banja Luka: Finrar. str. 10


Položaj revizije informacionih sistema u eksternoj reviziji Primena informacionih tehnologija za računovodstvenu obradu

podataka kod klijenata revizije dovela je do usložnjavanja aktivnosti eksternih revizora. Unos, obrada i čuvanje podataka u elektronskoj formi nameću potrebu i za ugradnjom internih kontrola u informaci-one sisteme. Pošto eksterni revizor u okviru delokruga rada ima zadatak da ispita i računovodstveni sistem i interne kontrole, on mora da razmotri i informatičku komponentu ovih sistema. U ovakvoj situaciji on je upućen na neophodnost sticanja znanja iz oblasti informacionih tehnologija, kako bi se uverio da li je sistem internih kontrola pouzdan.

Uvođenje informacionih tehnologija od strane klijenata revizi-je nije doveo do promene osnovnog cilja revizije finansijskih izvešta-ja. Eksterni revizori i dalje treba da izraze mišljenje o usaglašenosti finansijskih izveštaja sa računovodstvenom regulativom. Ipak, ne može se reći da se razvojem informacionih tehnologija ništa nije promenilo. Ostvarivanje cilja eksterne revizije zahteva prilagođava-nje postupaka prikupljanja revizijskih dokaza kojim trebaju biti obu-hvaćeni i računovodstveni podaci u elektronskoj formi, kao i opšte i aplikativne kontrole koje treba da obezbede integritet računovods-tvenih podataka.

Razmatranje informacionog sistema u okviru eksterne revizije mnogo je uže od razmatranja informacionog sistema u internoj revi-ziji. Eksterni revizori ispituju samo one kontrole informacionog sis-tema koje su relevantne za verifikaciju istinitosti i objektivnosti finansijskih izveštaja. Prilikom revizije informacionog sistema u okviru eksterne revizije, IT revizor primenjuje regulativu koja se odnosi na eksternu reviziju. To određuje i način izveštavanja o uoče-nim problemima. Ukoliko su otkrivene slabosti u funkcionisanju sis-tema internih kontrola, revizor sastavlja pismo rukovodstvu o slabos-tima, a ako su propusti u funkcionisanju internih kontrola informaci-onog sistema doveli do propusta u knjiženjima, onda se efekti tih propusta iskazuju u revizorskom izveštaju.


Položaj revizije informacionih sistema u internoj reviziji Interna revizija ima širok delokrug rada koji značajno izlazi iz

okvira računovodstvene funkcije preduzeća i obuhvata i sve druge oblasti poslovanja u kojem mogu postojati interne kontrole. To dovodi i do značajnog proširenja shvatanja pojma informacionog sistema. Cilj revizije informacionih sistema u internoj reviziji može biti kompjuterski podržana interna kontrola u bilo kojem segmentu poslovanja preduzeća.

Zbog širine potencijalnih područja, planiranje interne revizije zasniva se na proceni rizika i izboru predmeta ispitivanja koji ima najveći značaj za preduzeće.79 U tako definisanom planu rada revizija nekog dela informacionog sistema može biti samostalni cilj ili se prilikom sprovođenja drugih ciljeva interne revizije može pojaviti potreba da se ispita deo informacionog sistema koji je povezan sa datim ciljem.

Širina delokruga interne revizije utiče na to da revizija infor-macionih sistema u okviru interne revizije na najzahtevniji i najsadr-žajniji način razmatra informacioni sistem.80 Zbog toga se kada se govori o reviziji informacionih sistema često misli na ispitivanje informacionog sistema u okviru zadataka interne revizije. Za razliku od eksterne revizije kod koje je delokrug rada uži ali problem pred-stavlja mnoštvo različitih informatičkih rešenja kod različitih klijena-ta, kod interne revizije je predmet ispitivanja jedan informacioni sis-tem, ali u okviru njega gotovo sve može biti predmet revizorskog interesovanja. Zbog same činjenice da su interni revizori zaposleni u organizaciji, oni su i najbolje upoznati sa informacionim sistemom organizacije i na efikasniji način mogu da izvrše reviziju informacio-nih tehnologija, tj. da ispitaju interne kontrole kompjuterskog infor-macionog sistema, nego što bi to uradili eksterni revizori.

79

Andrić M., Jakšić D. (2005). Uloga inerne revizije u savremenim uslovima. Revi-zor. Beograd: Institut za ekonomiku i finansije. str. 56. 80

Jakšić D., Mijić K. (2009). Delokrug rada revizije informacionih sistema. Banja Luka: Finrar. str 11


Najznačajnije aktivnosti revizora informacionog sistema u okviru interne revizije su:81

▪ Učešće u izradi godišnjeg plana revizije u skladu sa usvo-

jenom metodologijom, zasnovanom na identifikovanju rizika kojima je izložena organizacija, u delu koji se odnosi na reviziju informacionog sistema.

▪ Obavljanje pojedinačnih revizija informacionog sistema i učešće u obavljanju drugih vrsta revizija, radi sagledavanja načina funkcionisanja sistema internih kontrola na način koji obezbeđuje: adekvatno upravljanje rizicima, odnosno da su prisutni rizici u korišćenju informacionog sistema blagovremeno identifikovani, procenjeni i adekvatno kon-trolisani, razvoj projekata i tehnoloških rešenja radi zado-voljenja poslovnih zahteva i potreba organizacije, zaštitu ukupne informatičke imovine, a posebno, poverljivost i integritet informacija, zaštitu od slučajnih ili namernih oštećenja, izmena ili gubljenja, tako da je obezbeđen konti-nuitet poslovanja organizacije u slučaju nepredviđenih incidenata, da su sredstva informacionog sistema nabavlje-na ekonomično i u skladu sa zakonom, da se koriste efikas-no i racionalno, praćenje i kontrolu efikasnosti procesa informacionog sistema, kao i njihovu usaglašenost sa poli-tikama i zakonskom regulativom.

▪ Učešće u projektima koji za posledicu imaju promene unu-tar informacionog sistema organizacije.

▪ Izrada izveštaja o obavljenim revizijama i davanje preporu-ka za unapređenje uspostavljenog sistema internih kontrola, kao i praćenje aktivnosti koje se odnose na primenu prepo-ruka.

▪ Obavljanje specifičnih (vanrednih) revizija, analiza i ispiti-vanja, koja se odnose na informacioni sistem, po nalogu najvišeg rukovodstva.

▪ Obavljanje konsultantskih aktivnosti radi pružanja podrške ostvarivanju ciljeva i unapređenju poslovanja organizacije,

81

Bogovac M. (2007). Proces revizije informacionog sistema. Beograd: Fakultet organizacionih nauka. str. 72


sa akcentom na upravljanje rizicima i internim kontrolama u oblasti informacionog sistema.

▪ Učešće u periodičnom izveštavanju rukovodstva o ostvare-nju godišnjeg plana interne revizije.

▪ Saradnja sa drugim organizacionim jedinicama i pribavlja-nje relevantnih informacija o rezultatima njihovog rada koji se odnose na upravljanje rizicima i sistem internih kontrola u oblasti informacionog sistema.

▪ Učešće u izradi analiza, informacija i izveštaja, predloga i mišljenja o stručnim pitanjima za potrebe najvišeg ruko-vodstva.

▪ Učešće u pripremi zakonske regulative koja se odnosi na internu reviziju u oblasti revizije informacionog sistema.

▪ Učešće u izradi uputstava i standardne dokumentacije koji se koriste u postupku obavljanja revizije informacionog sis-tema.

Revizija informacionih sistema u okviru interne revizije spro-

vodi se po pravilima i regulativi interne revizije. Revizijsko ispitiva-nje internih kontrola povezanih sa funkcionisanjem informacionog sistema nije više izvedeni cilj kao kod eksterne revizije, već može biti osnovni cilj revizijskog angažmana. O rezultatima u vrednovanju internih kontrola sastavlja se izveštaj interne revizije sa zapažanjima i preporukama. Procedure interne revizije predviđaju i naknadne aktivnosti za utvrđivanje da li su preduzete mere na otklanjanju nedostataka utvrđenih u postupku interne revizije.

Odnos revizije informacionih sistema i državne revizije Javna ili kako se još naziva državna revizija predstavlja revizi-

ju javnih rashoda, koja se obavlja od strane Vrhovnog državnog revi-zora, dok se izveštaj podnosi parlamentu tj. skupštini.82 Država kroz budžet vrši prikupljanje i trošenje novčanih sredstava i to svakako da privlači veliku pažnju građana i pravnih lica, jer oni kroz plaćanje različitih vrsta poreza, taksi i dr. učestvuju u formiranju novčane 82

Andrić M., Krsmanović B., Jakšić D. (2004). Revizija – teorija i praksa. Bečej: Proleter. str. 37


mase za budžet. Cilj revizije javnih rashoda jeste da se izvrši kontro-la trošenja finansijskih sredstava koja su u nadležnosti državnih organa i institucija i da se sagleda da li su sredstva utrošena u skladu sa planom trošenja, koji je odobren od strane najvišeg predstavnič-kog organa zemlje.83

Informacioni sistemi u javnom sektoru mogu biti izuzetno kompleksni budući da mogu biti prostorno dislocirani i uključivati mnoštvo subjekata koji koriste iste podatke. Osim toga, posebno je značajno pitanje poverljivosti i integriteta podataka kojim raspolažu državne službe. Shodno tome, jedan od značajnih zadataka državnih revizora može biti povezan sa proverom funkcionisanja informacio-nih sistema javnog sektora. Time se revizija informacionih sistema integriše u aktivnosti državne revizije i čini njen sastavni deo. Kao i kod interne revizije, revizija informacionih sistema može biti defini-sana kao osnovni cilj revizijskog angažmana ili može proisteći iz revizijskog angažmana koji ima drugačiji cilj, ali se ne može sprove-sti bez uvida u funkcionalnost informacionog sistema.

Revizija informacionih sistema se vremenom razvijala kao poseban skup znanja koji se izučava u kontekstu tradicionalnih vrsta revizije, ali i nezavisno od njih. Ono što dodatno usložnjava razume-vanje delokruga revizije informacionih sistema je to što ona ima sop-stveno profesionalno organizovanje (ISACA), sertifikaciju (npr. CISA), sopstvenu regulativu (kodeks etike, standarde, smernice i procedure revizije informacionih sistema koji su izdati od strane organizacije ISACA). Treba ipak imati u vidu da su profesionalno organizovanje, sertifikacija i regulativa IT revizije komplementarni sa profesionalnim organizovanjem, sertifikacijom i regulativom eksterne, interne i državne revizije.

5.5. Dužnosti i potrebne kvalifikacije revizora informacionog sistema Za vršenje revizije informacionog sistema potrebno je izuzetno mno-go raznovrsnih znanja. Revizor informacionog sistema mora imati

83



znanje revizorskog posla u okviru angažmana kako bi prepoznao rizike, definisao i sproveo aktivnosti i na pravi način formirao zak-ljučke. Zadaci koji mogu biti stavljeni pred revizora informacionog sistema mogu biti raznovrsni, posebno u okviru interne revizije, budući da revizor informacionog sistema može da vrednuje poštova-nje procedura, efektivnost ili efikasnost informacionog sistema. Osim toga, informacione tehnologije se brzo menjaju i znanje je pot-rebno stalno ažurirati kako bi se odgovorilo savremenim izazovima.

U skladu sa delokrugom posla, osnovne dužnosti revizora informacionog sistema su sledeće:84

▪ Obavljanje revizorskih aktivnosti na složenom profesional-

nom nivou. ▪ Rukovođenje ili praćenje performansi celokupnog IT orga-

nizacije. ▪ Pružanje savetodavnih usluga rukovodstvu organizacije i

ostalim zaposlenima, obezbeđujući ključne doprinose raz-voju godišnjeg revizorskog plana.

▪ Utvrđivanje rizika tehnologija i nezavisna procena efikas-nosti i efektivnosti infrastrukture informacionih tehnologija i kontrola aplikacija, uključujući zaštitu i interne kontrole.

▪ Uvođenje organizacionih i profesionalnih etičkih standarda. ▪ Identifikovanje i procena oblasti organizacionog rizika i

davanje ključnih doprinosa razvoju godišnjeg revizorskog plana.

▪ Izvršenje revizorskih procedura, uključujući identifikovanje i definisanje nalaza, biranje kriterijuma, procenjivanje i analiziranje dokaza, kao i dokumentovanje klijentskih pro-cesa i procedura.

▪ Vođenje intervjua, pregled dokumenata, pripremu i vršenje istraživanja, sastavljanje zbirnih izveštaja, i priprema rad-nih papira.

▪ Utvrđivanje, prikazivanje i dokumentovanje revizorskih nalaza i preporuka, bez uticaja organizacionog dela koji je predmet revizije.

84



▪ Objašnjavanje ili pomoć u objašnjavanju rezultata revizor-skih i savetodavnih projekata kroz pisane izveštaje i usme-ne prezentacije operativnom i najvišem rukovodstvu.

▪ Razvoj i održavanje produktivnih odnosa između klijenta i zaposlenih, ličnim kontaktima i grupnim sastancima.

▪ Razmatranje mogućnosti profesionalnog usavršavanja, koje uključuje eksterne i interne obuke, članstvo u profesional-nim udruženjima, kao i razmenu informacija sa saradnici-ma.

▪ Obezbeđenje ili pomoć u obezbeđenju obuke, usavršavanja i rukovođenju drugih zaposlenih u Internoj reviziji u vrše-nju revizije i drugim pitanjima vezanim za reviziju.

▪ Planiranje i vršenje kontrola klijent/server platformi (Novell, NT, Unix, Sysbase, mainframe) i procenjivanje IT internih kontrola i utvrđivanje potrebnih promena u sarad-nji sa rukovodstvom.

▪ Utvrđivanje porekla podataka, analiziranje i provera zaštite korišćenjem odgovarajućeg softvera.

▪ Kontaktiranje sa IT poslovnim partnerima da bi se obezbe-dilo potpuno razumevanje toka podataka, potpunosti poda-taka i bezbednosti sistema.

▪ Procenjivanje elemenata kontrole informacionih tehnologi-ja da bi se utvrdili IT rizici vezani za poverljivost, potpu-nost i pristupačnost poslovnih informacija.

▪ Obavljanje drugih poslova. U cilju ispunjenja svojih dužnosti, revizor informacionog sis-

tema treba da ima sledeće kvalifikacije, znanja, veštine i sposobnosti za revizora IS:85

▪ Fakultetska diploma, CISA sertifikat i radno iskustvo u

reviziji, računovodstvu, poslovnim analizama ili ocenjiva-nju programa, od čega su dve godine u poslovima revizije informacionih sistema.

85

Ibid, str. 36


▪ Odgovarajuće znanje i veštine u vršenju interne revizije i principima računovodstva, principima upravljanja i načinu poslovanja.

▪ Poznavanje međunarodnih standarda revizije i Etičkog kodeksa.

▪ Poznavanje terminologije, pojmova i načina upravljanja informacionim sistemima.

▪ Poznavanje pravila, procedura, propisa i zakona o informa-cionim sistemima.

▪ Veština vršenja kvalitetne kontrole rezultata revizorskog rada.

▪ Veština prikupljanja i analize složenih podataka, procenji-vanja informacija i sistema, i logičko zaključivanje.

▪ Potrebne veštine u planiranju i upravljanju projektima, i sposobnost rada pod pritiskom zbog približavanja planira-nog vremena završetaka revizije

▪ Pregovaračke veštine i veštine u rešavanju problema. ▪ Odgovarajuće veštine korišćenja računara za obradu teksta,

izradu tabela i drugog poslovnog softvera potrebnog za pri-premu izveštaja, beleški, zaključaka i analiza.

▪ Odgovarajuće veštine usmene i pisane komunikacije, uključujući veštine pažljivog slušanja kao i jasnog i preciz-nog predstavljanja nalaza i preporuka.

▪ Sposobnost uspostavljanja i očuvanja skladnih radnih odnosa sa saradnicima, zaposlenima i eksternim kontakti-ma, kao i sposobnost efikasnog rada u profesionalnom timu.

▪ Odgovarajuća znanja distribuiranih tehnologija (npr. Unix/Sybase i Windows NT), tehnologija zasnovanih na internetu, i osnovnih kontrola infrastrukture.

▪ Odgovarajuće veštine u procenjivanju efikasnosti internih kontrola nad ključnim IT rizicima, utvrđivanje značajnijih propusta, analiziranje transakcija i drugih korišćenja infor-macija i otkrivanje promena u ključnim rizicima i/ili efika-snosti kontrola.

▪ Veštine pripreme odgovarajućih preporuka koje ukazuju na propuste.


▪ Poznavanje opšte prihvaćenih standarda revizije informaci-onih sistema, načina zaštite i kontrole IS.

▪ Sposobnost brzog učenja novih načina rada i, ukoliko je potrebno, sposobnost samostalnog rada.

▪ Iskustvo u industrijskoj reviziji ili računovodstvu, u vođe-nju revizije informacionih sistema i drugim srodnim oblas-tima.

▪ Iskustvo u radu sa mrežama (Novell, Windows NT). ▪ Poznavanje sistemskih sigurnosnih paketa (RACF). ▪ Tehničko poznavanje barem jedne platforme (Unix/Sybase,

Windows NT). ▪ Poznavanje koncepta kontrole informacionih tehnologija i

metodologija razvoja sistema.

66.. RReegguullaattiivvaa IITT rreevviizziijjee Regulativa revizije informacionih sistema je izuzetno složena i raz-novrsna. Kao prvo, treba imati u vidu da na pravni okvir za izvođenje revizije informacionog sistema utiče u domenu koje od tradicionalnih vrsta revizije (eksterna revizija, interna revizija, državna revizija) se izvodi ispitivanje informacionog sistema. Naime, sva regulativa koja je važeća za određenu tradicionalnu vrstu revizije po analogiji se primenjuje i na reviziju informacionog sistema kao njenog sastavnog dela. Uobičajeno je da se neki deo ove regulative bavi pitanjem uve-ravanja u funkcionalnost informacionog sistema budući da to pred-stavlja važan deo svake revizije. Osim toga, profesionalne organiza-cije revizora izdaju i dodatnu literaturu koja se bavi specifičnim pita-njima revizije u okruženju informacionih tehnologija (npr. GTAG koji izdaje Institut internih revizora).

Međutim, budući da revizija informacionih sistema ima brojne osobenosti koje zahtevaju posebnu pažnju, profesionalne organizaci-je koje se ekskluzivno bave pitanjima revizije informacionih sistema počele su da izdaju regulativu kojom tretiraju ovu oblast. Najaktivni-ja po ovom pitanju je ISACA (Information Systems Audit and Con-trol Association). Od brojne regulative koju ova organizacija izdaje, najvažniji deo čine:


▪ Radni okvir za reviziju informacionih sistema ▪ Okvir za IT uveravanje ▪ Smernice za IT uveravanje na bazi COBIT-A ▪ Kodeks profesionalne etike IT revizora Shodno tome, ovoj regulativi je neophodno posvetiti dužnu

pažnju.

6.1. Radni okvir za reviziju informacionih sistema Specifična priroda revizije informacionih sistema i znanja potrebnih za uspešnu reviziju zahtevaju postojanje posebnog okvira za IT revi-ziju. Profesionalna organizacija ISACA izdala je radni okvir za revi-ziju informacionih sistema86 kojeg čine:

1. Standardi, 2. Smernice i 3. Alati i tehnike za reviziju informacionog sistema. 1. Standardima su definisani obavezni zahtevi koji moraju biti

ostvareni prilikom IT revizije. 2. Smernice pomažu IT revizorima u primeni standarda IT

revizije. Dok standardi daju odgovor na pitanje šta treba raditi, smer-nice daju odgovor na pitanje kako, tj. na koji način sprovesti reviziju informacionih sistema koja će obezbediti poštovanje standarda revi-zije IS.

3. Alati i tehnike predstavljaju primere aktivnosti koje IT revi-zor može slediti u svom radu.

Od revizora informacionih sistema, posebno članova ISACA

organizacije, očekuje se da se pridržavaju prezentovanih standarda revizije informacionih sistema, a da se u radu potpomažu smernica-ma, alatima i tehnikama.

86

ISACA. (2010). IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. SAD: ISACA


1. Standardi revizije informacionog sistema Standardi revizije informacionih sistema su obavezni za pri-

menu, a smernice i alati i tehnike predstavljaju pomoć u radu uz mogućnost da IT revizor probleme reši na drugačiji način od onog koji je dat u smernicama i procedurama.

Okvir za reviziju informacionih sistema treba se koristiti prili-kom definisanja godišnjih planova IT revizije, kao i prilikom konkre-tnih revizijskih angažmana. Ako se IT revizija sprovodi u skladu sa datim okvirom, tada se u izveštaju revizije informacionog sistema može navesti da je revizija vršena „u skladu sa standardima revizije informacionih sistema“.

Osnovni ciljevi koji su se želeli postići prilikom izdavanja sta-ndarda revizije informacionih sistema od strane međunarodne orga-nizacije ISACA su sledeći:

▪ da se revizori informacionih sistema informišu o minimal-

nom prihvatljivom nivou izvođenja revizije koji zadovolja-va profesionalne obaveze revizije, i

▪ da se korisnici usluga revizije informišu o očekivanim rezultatima rada revizije.

Postoji ukupno 16 standarda revizije informacionih sistema:87

Tabela 10 Pregled standarda revizije informacionog sistema

Oznaka standarda Naziv standarda S1 Povelja revizije S2 Nezavisnost S3 Profesionalna etika i standardi S4 Kompetentnost S5 Planiranje S6 Sprovođenje revizijskog angažmana S7 Izveštavanje S8 Naknadne aktivnosti S9 Neregularnosti i nezakonitosti

87

ISACA. (2010). IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. SAD: ISACA. str. 9-26


S10 Upravljanje informacionim tehnologijama S11 Korišćenje procene rizika u planiranju revizije S12 Materijalnost u reviziji S13 Korišćenje rada drugog eksperta S14 Revizijski dokaz S15 IT kontrole S16 Elektronska trgovina

S1 Povelja revizije 1. Svrha, odgovornost i transparentnost funkcije IT revizije ili

angažmana IT revizije treba biti jasno dokumentovana u povelji revi-zije ili pismu o angažmanu.

2. Povelja revizije ili pismo o angažmanu treba biti odobreno od strane odgovarajućeg nivoa u organizaciji.

S2 Nezavisnost 1. Profesionalna nezavisnost – IT revizor treba biti pojavno i

faktički nezavisan od subjekta revizije u svim pitanjima koja se odnose na izvođenje revizije.

2. Organizaciona nezavisnost – IT revizor treba biti organiza-ciono nezavisan od subjekta revizije.

S3 Profesionalna etika i standardi 1. IT revizor se treba pridržavati Kodeksa profesionalne etike. 2. IT revizor se treba ponašati u skladu sa dužnom profesio-

nalnom pažnjom što uključuje i poštovanje i primenu odgovarajućih profesionalnih standarda u radu.

S4 Kompetentnost 1. IT revizor mora biti kompetentan što podrazumeva posedo-

vanje sposobnosti i znanja za sprovođenje angažmana. 2. IT revizor treba da održava profesionalnu kompetentnost

kroz kontinuiranu edukaciju i obuku. S5 Planiranje 1. IT revizor treba da planira reviziju informacionog sistema

na način koji će omogućiti ostvarivanje ciljeva revizije, uz poštova-nje zakona i standarda IT revizije.


2. IT revizor treba da razvije i dokumentuje pristup revizije zasnovan na rizicima.

3. IT revizor treba da razvije i dokumentuje plan revizije koji će sadržati detaljne informacije o ciljevima revizije i potrebnim resursima za njihovo ostvarenje.

4. IT revizor treba da razvije i dokumentuje program i/ili plan revizije koji će sadržati detaljne informacije o prirodi, vremenu i obimu revizijskih procedura.

S6 Sprovođenje revizijskog angažmana 1. Supervizija – Potrebno je nadzirati rad revizora kako bi se

moglo steći razumno uveravanje da su ciljevi revizije ostvareni i da su standardi revizije informacionih sistema dosledno primenjeni u toku revizije.

2. Dokazi – IT revizor treba da prikupi dovoljne, relevantne i pouzdane dokaze. Nalazi i zaključci revizije trebaju biti zasnovani na analizi i interpretaciji prikupljenih dokaza.

3. Dokumentacija – Proces revizije treba biti adekvatno doku-mentovan, što znači da dokumentacija revizije treba da sadrži dokaze o sprovedenim aktivnostima i da omogući formiranje zaključaka revizije.

S7 Izveštavanje 1. Po završetku sprovedenih postupaka, IT revizor treba da

napravi izveštaj u odgovarajućoj formi. Izveštaj treba da jasno identi-fikuje organizaciju, korisnike izveštaja i ograničenja u izveštavanju.

2. U revizorskom izveštaju trebaju biti navedeni: delokrug revizije, ciljevi, period koji je ispitivan, kao i priroda, vreme i obim aktivnosti revizora.

3. U revizorskom izveštaju treba da sadrži nalaze, zaključke i preporuke, kao i sve nepravilnosti i ograničenja obima koja su utvr-đena u toku postupka revizije.

4. Rezultati revizije koji su dati u izveštaju moraju biti zasno-vani na dovoljnim i adekvatnim dokazima.

5. Izveštaji revizije informacionog sistema moraju biti potpi-sani, datirani i distribuirani u skladu sa poveljom revizije ili pismom o angažmanu.


S8 Naknadne aktivnosti 1. Nakon dostavljanja izveštaja sa nalazima i preporukama

revizije informacionog sistema, IT revizor treba da zahteva i da vre-dnuje relevantne informacije kako bi utvrdio da li su preduzete odgovarajuće aktivnosti od strane menadžmenta u skladu sa zaključ-cima revizorskog izveštaja.

S9 Neregularnosti i nezakonitosti 1. Prilikom planiranja i sprovođenja revizije, IT revizor treba

da razmotri rizik postojanja nepravilnosti i nezakonitosti. 2. IT revizor treba pristupiti poslu sa profesionalnim skeptici-

zmom. 3. IT revizor treba da stekne razumevanje organizacije i nje-

nog okruženja, uključujući i interne kontrole. 4. IT revizor treba da stekne dovoljne i adekvatne dokaze kako

bi utvrdio da li menadžment ili druga lica u organizaciji imaju sazna-nja o stvarnim, očekivanim ili navodnim neregularnostima i nezako-nitostima u radu.

5. Prilikom sprovođenja procedura za sticanje razumevanja organizacije i njenog okruženja, IT revizor treba da razmotri i posto-janje neuobičajenih ili neočekivanih odnosa koji mogu ukazati na rizike postojanja neregularnosti i nezakonitosti.

6. IT revizor treba da dizajnira i sprovede procedure testiranja adekvatnosti interne kontrole i rizika da menadžment zaobiđe kontro-le.

7. Nakon što utvrdi postojanje greške, IT revizor treba da raz-motri da li je greška posledica neregularnosti ili nezakonitosti u radu. Ukoliko postoje indikacije za to, IT revizor treba da razmotri impli-kacije na druge aspekte revizije, posebno na Prezentaciju menadž-menta.

8. IT revizor treba da traži pisanu prezentaciju menadžmenta najmanje jednom godišnje, ili češće u zavisnosti od revizijskog anga-žmana. U pismu prezentacije menadžment treba da potvrdi sledeće:

▪ da je svestan svoje odgovornosti za dizajniranje i imple-

mentaciju internih kontrola koje imaju za cilj prevenciju i detekciju nepravilnosti i nezakonitosti,


▪ da pruži informacije IT revizoru o rezultatima procene rizi-ka o postojanju materijalnih grešaka koje su posledica neregularnosti i nezakonitosti,

▪ da pruži informacije IT revizoru o sopstvenim saznanjima u pogledu postojanja neregularnosti i nezakonitosti od strane menadžmenta i zaposlenih koje imaju značajnu ulogu u funkcionisanju internih kontrola,

▪ da pruži informacije IT revizoru o saznanjima u pogledu postojanja neregularnosti i nezakonitosti na koje su ukazali zaposleni, bivši zaposleni, regulatorna tela i drugi.

9. Ukoliko IT revizor dođe do saznanja o postojanju neregu-

larnosti ili nezakonitosti, on o tome treba obavestiti odgovarajući nivo menadžmenta u što kraćem roku.

10. Ukoliko IT revizor dođe do saznanja o postojanju neregu-larnosti ili nezakonitosti u koje je uključen menadžment ili osobe koje imaju značajnu ulogu u funkcionisanju internih kontrola, on o tome treba da obavesti osobe koje su zadužene za upravljanje organi-zacijom.

11. IT revizor treba da ponudi savete odgovarajućem nivou menadžmenta ili licima koja su zadužena za upravljanje organizaci-jom u pogledu materijalnih slabosti u dizajnu i implementaciji inter-nih kontrola u vezi sa prevencijom i detekcijom neregularnosti i nezakonitosti koje je IT revizor otkrio u toku sprovođenja revizijskog angažmana.

12. Ukoliko se IT revizor nađe u vanrednoj situaciji u kojoj nije u mogućnosti da sprovede aktivnosti otkrivanja grešaka ili neza-konitosti, IT revizor treba da razmotri svoju pravnu i profesionalnu odgovornost, u smislu obaveštavanja lica zaduženih za upravljanje ili regulatornih tela ili povlačenja iz angažmana.

13. IT revizor treba da dokumentuje svu komunikaciju, plano-ve, rezultate, vrednovanja i zaključke u vezi sa materijalnim neregu-larnostima i nezakonitostima o kojima je obavestio menadžment, lica zadužena za upravljanje, regulatorna tela i druge.


S10 Upravljanje informacionim tehnologijama 1. IT revizor treba da razmotri i vrednuje da li je IT funkcija

usaglašena sa misijom, vizijom, vrednostima, ciljevima i strategijom organizacije.

2. IT revizor treba da pregleda da li IT funkcija ima jasnu izja-vu o očekivanim performansama (efektivnosti i efikasnosti) i da vre-dnuje u kojoj meri je ona ostvarena.

3. IT revizor treba da pregleda i vrednuje efektivnost korišće-nja IT resursa i procese upravljanja performansama informacionog sistema.

4. IT revizor treba da pregleda i vrednuje usaglašenost sistema sa zahtevima u pogledu zakonitosti, okruženja, kvaliteta informacija i sigurnosti.

5. IT revizor treba da koristi pristup zasnovan na rizicima pri-likom vrednovanja IT funkcije organizacije.

6. IT revizor treba da pregleda i vrednuje kontrolno okruženje u organizaciji.

7. IT revizor treba da pregleda i vrednuje rizike koji mogu negativno da utiču na IT okruženje.

S11 Korišćenje procene rizika u planiranju revizije 1. IT revizor treba da primeni odgovarajuću tehniku ili pristup

zasnovan na rizicima za izradu generalnog plana revizije informacio-nog sistema i za utvrđivanje prioriteta u cilju efektivne alokacije resursa revizije.

2. Prilikom planiranja pojedinačnog angažmana, IT revizor treba da identifikuje i proceni rizike u oblasti koja je predmet kon-kretnog ispitivanja.

S12 Materijalnost u reviziji 1. Prilikom utvrđivanja prirode, vremena i obima revizijskih

procedura, IT revizor treba da razmotri materijalnost u reviziji i nje-nu vezu sa revizijskim rizikom.

2. U postupku planiranja revizije, IT revizor treba da razmotri postojanje potencijalnih slabosti ili odsustva internih kontrola i da razmotri da li date slabosti ili odsustvo kontrola mogu dovesti do značajnih problema u funkcionisanju informacionog sistema.


3. IT revizor treba da razmotri da li beznačajne slabosti u fun-kcionisanju internih kontrola ili odsustvo internih kontrola kada se uzme u obzir njihov kumulativni efekat, mogu značajno uticati na informacioni sistem.

4. U izveštaju revizije informacionih sistema trebaju biti obe-lodanjene neefektivne kontrole ili odsustvo kontrola.

S13 Korišćenje rada drugog eksperta 1. IT revizor treba da koristi rad drugog eksperta kada proceni

da je to neophodno. 2. IT revizor treba da proceni i vrednuje profesionalne kvalifi-

kacije, kompetentnost, iskustvo, resurse, nezavisnost i procese kon-trole kvaliteta drugog eksperta pre njegovog angažovanja.

3. IT revizor treba da proceni, pregleda i vrednuje rad eksperta i da definiše u kom obimu i do kog nivoa će se pouzdati u rad drugog eksperta.

4. IT revizor treba da utvrdi u utvrdi da li aktivnosti koje je sproveo ekspert predstavljaju adekvatnu osnovu za ostvarenje ciljeva revizije. Odluka o ovom pitanju mora biti jasno dokumentovana.

5. IT revizor treba da sprovede dodatne revizijske testove kada zaključi da postupci koje je sproveo ekspert ne pružaju dovoljan i adekvatan dokaz.

6. IT revizor treba da obelodani odgovarajuće revizorsko miš-ljenje i ukaže na ograničenja obima ako nije obezbeđen dodatni dokaz kroz revizijske testove.

S14 Revizijski dokaz 1. IT revizor treba da prikupi dovoljne i adekvatne dokaze koji

trebaju da budu osnova za formiranje zaključaka revizije. 2. IT revizor treba da vrednuje dovoljnost dokaza prikupljenih

u toku revizije. S15 IT kontrole 1. IT revizor treba da vrednuje i nadgleda IT kontrole koje

čine sastavni deo okruženja internih kontrola organizacije. 2. IT revizor treba da pruži savete menadžmentu u vezi sa

dizajnom, implementacijom, aktivnostima i unapređenju IT kontrola.


S16 Elektronska trgovina 1. IT revizor treba da vrednuje odgovarajuće kontrole i proceni

rizik prilikom pregleda okruženja elektronske trgovine kako bi se uverio da su transakcije elektronske trgovine adekvatno kontrolisane.

2. Smernice za reviziju informacionog sistema Smernice za reviziju informacionih sistema daju uputstva revi-

zorima kako da primenjuju propisane standarde. Radnim okvirom ISACA za reviziju informacionih sistema

definisana je ukupno 41 smernica:88 G1. Korišćenje rada drugih revizora G2. Pribavljanje revizorskih dokaza G3. Korišćenje tehnika revizije uz pomoć računara G4. Poveravanje usluga revizije informacionog sistema dru-

gim organizacijama G5. Povelja o reviziji G6. Koncepti materijalnosti u reviziji informacionog sistema G7. Profesionalizam G8. Dokumentovanje revizije G9. Revizorsko razmatranje neregularnosti G10. Revizijsko uzorkovanje G11. Efekti značajnih IT kontrola G12. Odnosi u organizaciji i nezavisnost G13. Korišćenje ocene rizika u planiranju revizije G14. Pregled aplikativnih sistema G15. Planiranje revizije G16. Uticaj trećih strana na IT kontrole organizacije G17. Uticaj nerevizijskog angažovanja na nezavisnost revizora

informacionog sistema G18. Upravljanje informacionom tehnologijom G20. Izveštavanje G21. Pregled ERP sistema G22. Pregled elektronske trgovine B2C

88



G23. Pregled životnog ciklusa razvoja sistema G24. Internet bankarstvo G25. Pregled VPM mreža (Virtual Private Network) G26. Pregled BPR projekata G27. Mobilne komunikacije G28. Kompjuterska forenzika G29. Pregled nakon implementacije G30. Stručnost G31. Privatnost G32. Revizija kontinuiteta poslovanja posmatrana iz IT per-

spektive G33. Opšte razmatranje korišćenja Interneta G34. Obaveze, ovlašćenja i odgovornosti G35. Aktivnosti naknadne revizije G36. Biometrijske kontrole G37. Proces upravljanja konfiguracijama G38. Kontrole pristupa G40. Pregled prakse rukovođenja sigurnošću G41. Povrat na investicije u sigurnost (ROSI) G42. Kontinuirano uveravanje 3. Alati i tehnike za reviziju informacionog sistema Alati i tehnike revizije informacionog sistema koje je razvila

ISACA daju praktične primere mogućih procesa koje revizor infor-macionog sistema može sprovoditi tokom revizije. Revizor informa-cionog sistema donosi odluku o primeni svake pojedinačne procedu-re prema specifičnim okolnostima u kojima se nalazi, što uglavnom podrazumeva prilagođavanje predloženih alata i tehnika konkretnim okolnostima angažmana revizije. Alati i tehnike koji su prezentovani kao deo ovog radnog okvira, dakle, pružaju korisne informacije za reviziju, ali nisu ni u kom slučaju obavezujući.

Alati i tehnike revizije informacionog sistema koji su prezen-tovani kao deo radnog okvira revizije su:89

89



P1. Ocena rizika informacionog sistema P2. Digitalni potpisi P3. Otkrivanje upada u sistem P4. Virusi i ostali zlonamerni kodovi P5. Samoprocena kontrolnih rizika P6. Fajervol P7. Neregularnosti i ilegalne radnje P8. Procena sigurnosti – testiranje upada u sistem i analiza

slabosti P9. Procena upravljanja kontrola u metodologijama šifriranja

podataka P10. Kontrola izmena u poslovnim aplikacijama P11. Elektronski transferi novca (EFT)

6.2. Okvir za IT uveravanje (ITAF) Za razumevanje delokruga primene Okvira za IT uveravanje bitno je razlikovanje pojma revizije i uveravanja.90 Pod pojmom „uveravanja“ podrazumeva se svaka usluga kojom osoba koja pruža uveravanje iznosi određenu tvrdnju kojom preuzima odgovornost za potvrđiva-nje činjeničnog stanja.

Shodno tome, pojam „uveravanja“ ima šire značenje od „revi-zije“.91 On u sebe integriše i reviziju pa u tom smislu ITAF92 okvir mogu primenjivati osobe koje pružaju bilo koju uslugu uveravanja o IT sistemima, aplikacijama i infrastrukturi. Osnovna pomoć koju ITAF okvir pruža prilikom uveravanja ogleda se u sledećem:93

90

Jakšić D., Mijić K. (2012). Uticaj ekonomsko-finansijske krize na poslovanje revi-zijskih firmi u Srbiji. Anali Ekonomskog fakulteta u Subotici. Subotica: Ekonomski fakultet u Subotici. str. 305 91

Jaksic D., Andric M. (2009). The Necessity of Audit Assurance Service. Contemporary Issues in Accounting and Management Research and Education. Podgorica: Ekonomski fakultet. str. 113 92

ITAF – eng. IT Assurance Framework 93

ISACA. (2008). ITAF: A Professional Practices Framework for IT Assurance. SAD: ISACA. str. 1


▪ pruža smernice za organizovanje, sprovođenje i izveštava-nje u angažmanima IT uveravanja,

▪ definisanje termina i koncepata koji su specifični za IT uve-ravanje,

▪ uspostavljanje standarda kojima se bliže definišu uloge i odgovornosti, kao i potrebno znanje i veštine za sprovođe-nje angažmana IT uveravanja.

ITAF okvir ima sličnu strukturu kao i ISACA standardi revizi-

je informacionih sistema. Njega konstituišu tri elementa: 1. Standardi IT uveravanja 2. Smernice za IT uveravanje i 3. Alati i tehnike za IT uveravanje. 1. Standardi IT uveravanja Standardi IT uveravanja definišu obavezujuće zahteve prili-

kom pružanja nekog vida IT uveravanja. Ovi Standardi dele se u tri grupe:

i) opšte standarde ii) standarde izvođenja i iii) standarde izveštavanja. i) Opšti standardi Opšti standardi predstavljaju „osnovne principe pod kojim

rade osobe koje pružaju usluge IT uveravanja. Opšti standardi pri-menjuju se na sve angažmane IT uveravanja i odnose se na pitanja profesionalne etike, nezavisnosti, objektivnosti i dužne pažnje, kao i znanja kompetentnosti i veština.“94 U opšte standarde spadaju:

a) nezavisnost i objektivnost b) razumna očekivanja c) razumevanje od strane menadžmenta

94

Ibid, str. 10


d) obuka i stručnost e) poznavanje predmeta ispitivanja f) dužna profesionalna pažnja g) adekvatnost kriterijuma h) raspoloživost kriterijuma i i) izbor kriterijuma. a) Nezavisnost i objektivnost. Osoba koja sprovodi anga-

žman IT uveravanja treba ostati nezavisna i nepristrasna u svim situ-acijama u toku angažmana. Veoma je važno da osoba bude ne samo nezavisna, već i da drugi imaju takav uticaj.

b) Razumna očekivanja. Osoba koja sprovodi angažman IT uveravanja treba da postigne razuman nivo očekivanja da je moguće završiti angažman o usaglašenosti sa ovim standardima IT uverava-nja i/ili nekim drugim primenljivim okvirom (profesionalnim sta-ndardima, regulatornim zahtevima ili standardima za određene delat-nosti).

c) Razumevanje od strane menadžmenta. Osoba koja spro-vodi angažman IT uveravanja treba da stekne uverenje da je mena-džment svestan svojih odgovornosti u pogledu pružanja tačnih, rele-vantnih i pravovremenih informacija koje se od njega mogu zahtevati u toku sprovođenja angažmana.

d) Obuka i stručnost. Da bi osobe koje sprovode angažman IT uveravanja mogle profesionalno da pruže zahtevanu uslugu, one moraju kolektivno posedovati neophodna znanja i stručnosti o postu-pku IT uveravanja.

e) Poznavanje predmeta ispitivanja. Za uspešno sprovođe-nje angažmana IT uveravanja, tim za uveravanje mora kolektivno posedovati adekvatna znanja o predmetu ispitivanja.

f) Dužna profesionalna pažnja. Osobe koje su uključene u angažman IT uveravanja treba da planiraju, sprovode i izveštavaju o rezultatima svog rada sa dužnom profesionalnom pažnjom.

g) Adekvatnost kriterijuma. Za vrednovanje predmeta ispi-tivanja o angažmanu IT uveravanja potrebno je izabrati odgovarajuće kriterijume. Adekvatnost kriterijuma za vrednovanje podrazumeva zadovoljavanje sledećih uslova:


▪ Objektivnost. Kriterijum treba biti izabran nepristrasno kako ne bi uticao na nalaze IT uveravanja i naveo korisnike izveštavanja IT uveravanja na pogrešne zaključke i akcije.

▪ Merljivost. Kriterijum treba da bude tako izabran da omo-gući konzistentno vrednovanje predmeta ispitivanja i dola-ženje do istih zaključaka od strane različitih stručnih osoba.

▪ Razumljivost. Kriterijum treba da bude potpun tako da omogući da sva pitanja koja mogu značajno uticati na zak-ljučke IT uveravanja budu razmotreni u toku angažmana.

h) Raspoloživost kriterijuma. Sa kriterijumima na osnovu

kojih se vrši vrednovanje predmeta ispitivanja prilikom angažmana IT uveravanja trebaju biti upoznati i korisnici izveštaja IT uveravanja kako bi mogli da razumeju uslove sprovođenja angažmana i razume-ju nalaze i zaključke uveravanja. Raspoloživost je ostvarena pod sle-dećih uslovima:

▪ Kriterijum za vrednovanje je javno dostupan. Javno ras-

položivi kriterijumi postoje kada ih izdaje država kroz regulativu ili neka profesionalna organizacija, kao na primer ISACA, IFAC, IIA i sl.

▪ Kriterijum za vrednovanje je prezentovan svim korisni-cima. Ako kriterijumi nisu javno dostupni, neophodno je predstaviti ih kroz konačan izveštaj o IT uveravanju u formi pisanih izjava.

i) Izbor kriterijuma. Prilikom izbora kriterijuma koji će

biti korišćen za vrednovanje predmeta ispitivanja, bitan je izvor kri-terijuma, odnosno autoritet koji stoji iza njega, a koji određuje nivo obaveznosti primene ili ukazuje na kvalitet njihovog sadržaja. Posto-je različiti izvori kriterijumi za vrednovanje IT sistema:

▪ kriterijumi koje uspostavlja ISACA, ▪ kriterijumi koje uspostavljaju druga ekspertska tela, ▪ kriterijumi koji se uspostavljaju kroz zakone i propise i

dr.


Za kriterijume koje definiše država kroz zakone jasno je da moraju biti primenjeni. Međutim, postoje mnoge oblasti interesova-nja IT uveravanja koje nisu regulisane na ovaj način (npr. izmene aplikacija, aplikativne kontrole, donošenje IT strategija i sl.), pa se u tim okolnostima treba koristiti nekim drugim okvirom koji je uglav-nom zasnovan na dobroj poslovnoj praksi.

ii) Standardi izvođenja Standardi izvođenja bliže objašnjavaju očekivani način spro-

vođenja IT uveravanja. ITAF okvirom su definisani sledeći standardi izvođenja:

a) planiranje i supervizija b) sticanje zadovoljavajućeg dokaza c) organizacija angažmana i d) prezentacija. a) Planiranje i supervizija. Angažman IT uveravanja treba

biti adekvatno planiran, a odgovorna osoba za angažman mora da obezbedi nadgledanje rada svih koji su uključeni u sprovođenje angažmana. Pitanja koja trebaju biti obuhvaćena planiranjem su:95

▪ cilj angažmana planiranja, ▪ kriterijum za vrednovanje predmeta ispitivanja, ▪ nivo uveravanja koji će biti pružen (npr. konsultantska

usluga, pregled ili revizija), ▪ definisanje predmeta ispitivanja, ▪ mogući izvori informacija i dokaza uključujući i definisanje

kako će dokazi biti prikupljani i obrađeni (npr. generalizo-vani softver),

▪ znanja koja su neophodna za sprovođenje angažmana i način njihovog sticanja,

▪ preliminarni zaključci o rizicima uveravanja i revizijskim rizicima, kao i način upravljanja tim rizicima,

▪ potreba za ekspertima, 95



▪ priroda, vreme i obim zadataka uveravanja (npr. revizijski program sa testovima revizije),

▪ procena vremena potrebnog za sprovođenje angažmana i definisanje budžeta vremena i budžeta troškova.

Planiranje i supervizija moraju biti dokumentovani u radnim

papirima. Iz radnih papira mora biti vidljivo kako su sprovedeni pos-tupci planiranja, testiranja i izveštavanja i kako su ovi procesi pre-gledani, koordinisani i nadgledani.

b) Sticanje zadovoljavajućeg dokaza. U postupku IT uve-

ravanja neophodno je prikupiti zadovoljavajuće dokaze na osnovu kojih je moguće formirati mišljenje. Dokaz se može smatrati zadovo-ljavajućim ako je adekvatan sa stanovišta kvantiteta (dovoljnost dokaza) i kvaliteta (relevantnost i pouzdanost dokaza). Obim potreb-nog dokaznog materijala zavisi od predmeta ispitivanja, kao i od vrs-te usluge uveravanja odnosno nivoa uveravanja koje se angažmanom pruža.

c) Organizacija angažmana. Organizacija angažmana IT

uveravanja treba biti vremenski i po zahtevima usaglašena sa potre-bama korisnika usluge uveravanja. To znači da cilj angažmana IT uveravanja treba da proističe iz potreba korisnika, da se vreme izveš-tavanja mora vremenski usaglasiti sa procesom donošenja odluka korisnika i da se odgovornosti u okviru angažmana moraju raspodeli-ti u skladu sa dužnom profesionalnom pažnjom.

d) Prezentacija. U postupku angažmana IT uveravanja,

posebno IT revizije, neophodno je dobiti pisanu izjavu prezentacije od strane odgovornih lica po sledećim pitanjima:96

▪ izjavu lica koje je odgovorno za predmet ispitivanja da je

svesno svoje odgovornosti i da je prihvata, ▪ izjavu lica koje je odgovorno za predmet ispitivanja da pri-

hvata kriterijume za vrednovanje predmeta ispitivanja,

96

Ibid, str. 14


▪ listu tvrdnji o predmetu ispitivanja definisanih na osnovu kriterijuma za vrednovanje,

▪ izjavu od strane lica odgovornog za predmet ispitivanja da je omogućilo uvid u sve što može biti u suprotnosti sa tvrd-njama o predmetu ispitivanja,

▪ izjavu od strane lica odgovornog za predmet ispitivanja da je omogućilo pristup svim relevantnim informacijama, kompjuterskim zapisima, fajlovima i dr. u vezi sa predme-tom ispitivanja,

▪ izjavu u vezi sa događajima koji su se desili nakon završet-ka revizorskog rada na terenu, a pre izdavanja revizorskog izveštaja,

▪ druga pitanja koje osoba koja je odgovorna za angažman IT uveravanja smatra bitnim za pismenu prezentaciju od strane osobe koja je odgovorna za predmet ispitivanja.

iii) Standardi izveštavanja ITAF okvirom nisu eksplicitno definisani nazivi i sadržina

pojedinačnih standarda izveštavanja, već su objašnjene karakteristike izveštaja u različitim uslugama IT uveravanja, kao i minimalni zah-tevi izveštaja.

Izveštaj o sprovedenoj IT reviziji ili uveravanju može se zna-čajno razlikovati u zavisnosti od tipa angažmana što je predstavljeno na narednom prikazu:

Tabela 11 Vrste izveštaja IT uveravanja u zavisnosti od potreba

korisnika97

Potrebe korisnika

Konsultantska usluga Atestacija Dogovoreni

postupak Nivo

uveravanja koji se pruža:

Nema uveravanja Uveravanje Nema uveravanja

97



Ko će koristiti izveštaj:

Ograničena upotreba prethodno definisanog kruga

korisnika

Široka distribucija

Ograničeno na one sa kojima su

ugovoreni postupci provera

Šta izveštaj sadrži: Detaljne informacije Ograničene

informacije

Nalazi na osnovu sprovedenih ugovorenih postupaka

U angažmanima atestacije (koja uključuje i reviziju) zaključci

se odnose na ograničenu oblast IT funkcije i one se saopštavaju sa određenim nivoom uveravanja što podrazumeva visok nivo odgovor-nosti za osobu koja formira i prezentuje zaključke u formi izveštaja. Izveštaji o sprovedenoj atestaciji dostupni su širokom krugu korisni-ka.

Usluge IT konsaltinga ne podrazumevaju nikakav vid uvera-vanja u kvalitet zaključaka, već nude samo preporuke u formi detalj-nih informacija koji se stavljaju na raspolaganje relativno uskom krugu korisnika koji su zahtevali uslugu konsaltinga.

Ukoliko angažman na IT uveravanju podrazumeva sprovođe-nje određenih, unapred dogovorenih postupaka provera, tada takav angažman ne podrazumeva nikakav nivo uveravanja već se o rezulta-tima sprovedenih postupaka izveštava ograničena grupa korisnika sa kojoj je i dogovoreno koji postupci provera će konkretno biti sprove-deni.

Minimalni zahtevi izveštaja o IT uveravanju definišu šta kroz svaki izveštaj treba da sadrži. Da bi se mogao smatrati ispravnim, u izveštaju je neophodno prezentovati sledeće:98

▪ identifikovati kome se izveštaj upućuje, ▪ identifikovati prirodu i ciljeve IT uveravanja, ▪ identifikovati entitet ili deo entiteta čiji rad je obuhvaćen

izveštajem o IT uveravanju,

98



▪ identifikovati predmet ispitivanja ili tvrdnje o predmetu ispitivanja o kojima se izveštava,

▪ opisati obim IT uveravanja koji uključuje i sažetu izjavu o pitanjima koja nisu obuhvaćena angažmanom i o pitanjima koja jesu obuhvaćena, kako bi se izbegle sumnje i nejasno-će u pogledu obuhvata angažmana,

▪ identifikovati vremenski okvir koji je pokriven izveštajem, ▪ identifikovati vremenski okvir u kojem je sprovedena revi-

zija, ▪ ukazati na profesionalne standarde IT uveravanja koji su

korišćeni prilikom sprovođenja angažmana, ▪ dati opis odgovornosti menadžmenta za predmet ispitiva-

nja, ▪ izneti zaključke na nivou uveravanja koje se angažmanom

pruža, ▪ ukazati na eventualno postojanje ograničenja koji su uočeni

u toku angažmana (po pitanju obima revizije, vremena za sprovođenje, dostupnosti informacija i sl.),

▪ ukazati na eventualno postojanje ograničenja u distribuciji izveštaja,

▪ prikazati datum izveštaja, ▪ prikazati mesto gde se izveštaj izdaje, ▪ prikazati ko izdaje izveštaj (ime ili organizaciju IT revizo-

ra), ▪ potpisati i ispečatirati izveštaj. 2. Smernice za IT uveravanje Smernice za IT uveravanje bliže objašnjavaju i upućuju na

sam proces angažmana IT uveravanja. Za razliku od standarda, nji-hova primena nije obavezna, ali se „snažno preporučuje“99, što ter-minološki znači da bi smernice trebalo primeniti kad god je to mogu-će, a svako odstupanje od njihove primene mora biti obrazloženo snažnim argumentima. Smernice za IT uveravanje dele se u 4 grupe:

99

Ibid, str. 3


Sekcija Grupa smernica 3200 Pitanja na nivou preduzeća 3400 Procesi IT menadžmenta 3600 Procesi IT revizije i uveravanja 3800 Menadžment IT revizijom i uveravanjem

Za svaku od smernica IT uveravanja, u ITAF okviru je dato

pojašnjenje domena smernica, kao i veza sa drugom regulativom koje izdaje ISACA organizacija. Na taj način, pruženo je bolje razu-mevanja procesa IT uveravanje uz konkretizaciju primene regulative IT uveravanja u cilju lakšeg snalaženja i integrisanja različitih regu-latornih i radnih okvira.

Na primer, u okviru grupe smernica 3600 – Procesi IT revizije i uveravanja, jedan od procesa je i revizija opštih kontrola koja je bliže definisana smernicom 3630 - Revizija IT opštih kontrola. Za smernice postoje i dodatna, detaljnija uputstva, tako da je u okviru revizije opštih kontrola data i podsmernica 3630.17 – Identifikacija i autentikacija. Kroz tabelarni prikaz dat u ITAF okviru, prezentovano je šta je ovom podsmernicom obuhvaćeno i koju dodatnu ISACA regulativu revizor treba imati u vidu kada vrši proveru sistema u delu identifikacije i autentikacije:

IT procesi ISACA regulativa 3630 – Revizija IT opštih kontrola 3630.1...3630.16 3630.17 Identifikacija i autentikacija Smernice u ovoj sekciji pružaju informacije osobama koje sprovode angažman IT revizije i uveravanja o različitim načinima dizajniranja i rukovođenja procesom identifikacije i pristupa aplikacijama. Identifikacija i autentikacija vrši se primenom različitih tehnika utvrđivanja identiteta radi razvoja sistema sigurnosti.

G36 – Biometrijske kontrole G37 – Rukovođenje konfigurisanjem COBIT 4.1: PO1, PO3, PO5, PO6, PO8, PO9, PO10, AI2, AI3, AI5, AI6, DS1, DS3, DS4, DS5, DS7, DS9, DS10, DS11, ME1, ME2, ME3

Prikaz 16 Proces uveravanja kod identifikacije i autentikacije100

100

ISACA. (2008). ITAF: A Professional Practices Framework for IT Assurance. SAD: ISACA. str. 40-41


Sekcija 3200 – Pitanja na nivou preduzeća Ova grupa smernica treba da pomogne osoba koje sprovode

angažman IT uveravanja da bolje razumeju kako način upravljanja određenim pitanjima na nivo preduzeća utiče na proces IT uverava-nja. U skladu sa tim, u ovoj grupi definisane su sledeće smernice:

Sekcija Domen smernica

3210 Uticaj politika, praksi i standarda na nivou organizacije na IT funkciju

3230 Uticaj IT uveravanja na nivou preduzeća na IT funkciju

3250 Uticaj prethodnih angažmana IT uveravanja na tekuće plano-ve i aktivnosti IT uveravanja

3270 Dodatna pitanja na nivou preduzeća i njihov uticaj na IT fun-kciju

Sekcija 3400 – Procesi IT menadžmenta Ova grupa smernica omogućuje osobama koje sprovode anga-

žman IT uveravanja da bolje razumeju kako različiti aspekti rukovo-đenja IT funkcijom mogu uticati na angažman IT uveravanja. Smer-nice u ovoj oblasti su sledeće:


3410 IT upravljanje

3412 Determinisanje uticaja aktivnosti organizacije na IT uve-ravanje

3415 Korišćenje rada drugih eksperata u sprovođenju IT uve-ravanja

3420 IT projektni menadžment 3425 IT informaciona strategija 3427 IT informacioni menadžment 3430 IT planovi i strategija (budžeti, sredstva, metrika) 3450 IT procesi 3470 IT menadžment rizika 3490 IT podrška usaglašenosti sa regulativom


Sekcija 3600 – Procesi IT revizije i uveravanja Ove smernice fokusirane su na pristupe, metodologiju i tehni-

ke revizije. One treba da pomognu revizoru da prepozna i razume postupke koje treba da sprovede, sa posebnim naglaskom na kontrol-ne testove. Smernice u ovoj grupi su:


3605 Pouzdavanje u rad specijalista i drugih

3607 Integrisanje aktivnosti IT revizije i uveravanja sa drugim aktivnostima revizije

3610 Korišćenje COBIT-a u procesu IT uveravanja 3630 Revizija IT opštih kontrola 3650 Revizija aplikativnih kontrola 3653 Revizija tradicionalnih aplikativnih kontrola 3655 Revizija ERP sistema 3657 Revizija alternativnih strategija razvoja softvera 3660 Revizija specifičnih zahteva 3661 Revizija po posebnim državnim zahtevima 3662 Revizija po posebnim zahtevima delatnosti 3670 Revizija sa CAAT 3680 Izveštavanje u IT reviziji 3690 Izabrana pitanja od interesa za uveravanje

Sekcija 3800 – Menadžment IT revizijom i uveravanjem Ova grupa smernica pomaže u razumevanju koje su to infor-

macije neophodne za uspešno rukovođenje angažmanom IT revizije i uveravanja. Ove smernice se pre svega bave pitanjima organizacije procesa IT revizije i uveravanja u smislu, planiranja angažmana, nje-govog sprovođenja, dokumentovanja i izveštavanja o nalazima.


3810 Funkcija IT revizije i uveravanja 3820 Planiranje i dimenzioniranje ciljeva IT revizije i uveravanja 3830 Planiranje i dimenzioniranje aktivnosti IT revizije i uveravanja 3835 Planiranje i dimenzioniranje procene rizika 3840 Rukovođenje izvršenjem procesa IT revizije i uveravanja 3850 Integrisanje procesa revizije i uveravanja


3860 Sakupljanje dokaza 3870 Dokumentovanje posla IT revizije i uveravanja 3875 Dokumentovanje i potvrđivanje nalaza IT revizije i uveravanja 3880 Vrednovanje rezultata i formiranje preporuka 3890 Efektivno izveštavanje IT revizije i uveravanja 3892 Izveštavanje o preporukama IT revizije i uveravanja 3894 Izveštavanje kod savetodavnih i konsultantskih IT pregleda 3) Alati i tehnike za IT uveravanje Alati i tehnike za IT uveravanje trebali bi biti dopunski materi-

jal za angažman IT revizije i uveravanja, u smislu: ISACA publikaci-ja, članaka, revizijskih programa, upitnika, primera, šablona, instruk-cija i drugo. Nažalost, ovaj deo ITAF okvira do danas još nije razvi-jen, već je samo predviđeno da se sistematizacija pomoćnih alata i tehnika razgradi u nekom narednom periodu.

6.3. Smernice za IT uveravanje na bazi COBIT-a Osnovni cilj Smernica za IT uveravanje na bazi COBIT-a101 je da pomognu u organizaciji sprovođenja procesa uveravanja kada se kao okvir za interne kontrole koristi COBIT. Poželjno je da organizacija u kojoj se sprovodi angažman IT uveravanja koristi COBIT i za upravljanje IT funkcijom jer se tada mnogo lakše i uspešnije može primetiti COBIT radni okvir i u postupku uveravanja budući da su sve aktivnosti i internih akti usklađeni oko istog okvira u jednu skla-dniju celinu, ali primena Smernica je moguća čak i ako se COBIT ne koristi za upravljanje IT funkcijom.

Smernice za IT uveravanje na bazi COBIT-a imaju za cilj da na efektivan i efikasan način doprinesu pripremi plana revizije, spro-vođenju angažmana i izveštavanju o rezultatima uveravanja. Ovaj cilj se postiže tako što su u okviru Smernica dati detaljni kontrolni testovi koji su grupisani prema informatičkim procesima i kontrol-nim ciljevima koji su definisani COBIT okvirom.

101

IT Gonvernance Institute (2007). IT Assurance Guide: Using COBIT. www.isaca.org, pristupljeno dana: 9.12.2011.


Treba ipak imati u vidu da se Smernicama ne daju detaljni programi koji se neposredno mogu primeniti u bilo kom okruženju već se nudi logika i iskustvo sprovođenja IT uveravanja koje treba da pomogne u deriviranju revizijskog programa prilagođenog konkret-noj organizaciji.

Smernice se mogu koristiti za bilo koji vid uveravanja u zako-nitost rada, efektivnost i efikasnost IT funkcije bez obzira na to ko ga sprovodi i za koje svrhe. Tako ove Smernice mogu koristiti interni revizori, eksterni revizori, osobe odgovorne za uspostavljanje i odr-žavanje IT funkcije, konsultanti i dr.

Osnovni zahtevi u postupku uveravanja definisani Smernica-ma su:

▪ Testiranje internih kontrola sistematizovanih prema kon-

trolnim ciljevima, ▪ Testiranje ishoda primene internih kontrola (operativne efi-

kasnosti), ▪ Dokumentovanje slabosti u internim kontrolama i njihovog

uticaja. U okviru Smernica prezentovan je i proces IT uveravanja koji

treba da ima sledeće faze:102 1. Faza planiranja 2. Faza definisanja konačnog obima IT uveravanja 3. Izvršna faza angažmana IT uveravanja Ovi procesi imaju svoje podprocese koji mogu biti predstav-

ljeni na narednoj šemi na sledeći način:

102

Ibid, str. 15


Faza planiranja angažmana IT uveravanja Sprovođenje procene rizika Procena pretnji, ranjivosti i uticaja na poslovanje Dijagnostikovanje operativnih i projektnih rizika Identifikovanje ključnih informatičkih procesa (pomoću matrica poslovnih ciljeva, IT ciljeva i informatičkih procesa)

Faza definisanja konačnog obima IT uveravanja Utvrđivanje ključnih parametara za sprovođenje angažmana IT uveravanja Dokumentovanje IT arhitekture Izbor kontrolnog okvira Prilagođavanje i sistematizacija informatičkih procesa Prepoznavanje komponenti IT sistema koji su mogu biti obuhvaćeni anga-žmanom uveravanja Prilagođavanje i sistematizacija ključnih komponenti IT sistema koji su predmet daljeg ispitivanja Prepoznavanje kontrolnih ciljeva koji mogu biti obuhvaćeni angažmanom uveravanja Prilagođavanje i sistematizacija kontrolnih ciljeva

Izvršna faza angažmana IT uveravanja Sticanje konačnog razumevanja predmeta IT uveravanja Konačno definisanje ključnih kontrolnih ciljeva i kontrolnih testova Testiranje internih kontrola povezanih sa kontrolnih ciljevima Alternativno (dodatno) testiranje ishoda primene internih kontrola (operati-vne efikasnosti) Dokumentovanje slabosti u internih kontrolama i njihovog uticaja Formulisanje zaključaka i preporuka i izveštavanje o rezultatima IT uvera-vanja

Prikaz 17 Mapa puta IT uveravanja103

Budući da se proces IT uveravanja bazira na integraciji princi-

pa COBIT-a gde se izbor domena IT uveravanja vrši na bazi identifi-kacije predmeta ispitivanja sa sistemom poslovnih ciljeva, IT ciljeva, informatičkih procesa i IT kontrolnih ciljeva, najveći deo Smernica bavi se definisanjem kontrolnih testova za pojedinačne kontrolne ciljeve kao segmenata informatičkih procesa. Tako su za svaki kon-trolni cilj definisani: opis kontrolnog cilja, ključni parametri za

103

Ibid, str. 18, 19, 31


ostvarenje kontrolnog cilja, ključni rizici za ostvarenje kontrolnog cilja, kontrolni testovi za kontrolni cilj.

Razvijanje kontrolni testova iz kontrolnih ciljeva biće prikaza-no na primeru kontrolnog cilja ME03.03 Potvrditi usaglašenosti poli-tika, principa, standarda, procedura i metodologija sa eksternim propisima:

Kontrolni cilj Parametri za ostva-

renje kontrolnog cilja

Rizici ostvarenja kontrolnog cilja

ME03.03 Potvrditi usaglašenosti politika, principa, standarda, procedura i metodologija sa eksternim propisima

Dobra praksa u upravljanju regula-tornim zahtevima u okviru organizacije

Finansijski gubici i kazne Smanjenje zadovoljstva kupaca i partnera Slučajevi koji nisu otkriveni negativno će uticati na perfor-manse i reputaciju Povećana verovatnoća pravnih sporova

Kontrolni testovi Pregled IT politika, standarda, procedura i metodologija u organizaciji i utvrđivanje da li se one redovno i pravovremeno ažuriraju kako bi se izbegle neusaglašenosti (pravne i regulatorne).

Prikaz 18 Definisanje kontrolnih testova za kontrolni cilj ME03.03104

6.4. Kodeks profesionalne etike IT revizora Etika predstavlja skup moralnih načela, principa, pravila ponašanja i vrednosti. Svako moderno društvo i profesija od opšteg javnog inte-resa zasniva se na etičkom ponašanju njegovih članova. Razlozi zbog kojih se vrši donošenje kodeksa etike na nivou društva i drugih orga-nizacionih oblika (profesionalne organizacije, preduzeća i dr.) jesu 104

IT Gonvernance Institute (2007). IT Assurance Guide: Using COBIT. www.isaca.org, pristupljeno dana: 9.12.2011., str. 240


definisanje prihvatljivih pravila ponašanja, obaveza i odgovornosti članova, promovisanje i obezbeđenje visokog kvaliteta u funkcioni-sanju i mogućnost bržeg razvoja i sazrevanja organizacije.

Osnovni zahtev koji se postavlja pred revizora jeste nezavis-nost ponašanja i rada revizora, koja se ogleda u samostalnom plani-ranju revizije, procenjivanju materijalnosti i izražavanju mišljenja. Nezavisnost revizora može biti ugrožena ukoliko je revizor stekao materijalnu korist od klijenta u vidu novčanih sredstava i poklona, ili ukoliko je vršio zajednički poduhvat sa klijentom revizije. Revizor ne može biti u potpunosti nezavisan iz razloga što revizor naplaćuje vršenje svojih usluga od korisnika revizorskog izveštaja. Kako je revizorska firma profitno orijentisana organizacija, revizor treba da vodi računa da težnja za maksimizacijom profita ne naruši etička pravila i ugled revizije kao profesije. Takođe revizor mora primarno voditi računa o cilju koji želi da postigne, a ne o interesima, željama i specifičnim zahtevima nalogodavca, jer interesi nalogodavca mogu biti u protivrečnosti sa revizorskim standardima i principima poslo-vanja. Izveštaj revizora, koji zajedno sa finansijskim izveštajem služi u svrhu donošenja poslovnih odluka, ne bi trebao, osim činjenica, da sadrži revizorske lične kritike i sugestije. Kako bi se ispunio zahtev za nezavisnošću revizora i prilikom izražavanja mišljenja i pisanja izveštaja, vrste i forma mišljenja je propisana međunarodnim sta-ndardima revizije.

U toku sprovođenja revizije informacionih sistema, revizor mora da se pridržava pravila ponašanja za eksterne ili interne revizo-re, u zavisnosti od prirode angažmana, kao i kodeksa revizora infor-macionih sistema.105 Međunarodna organizacija za reviziju i kontrolu informacionih sistema - ISACA izdala je kodeks etike prema kojem revizori informacionih sistema treba da:106

▪ Podržavaju implementaciju standarda, procedura i kontrola

u okruženju informacionih sistema. 105


Hunton J. E., Bryant S. M., Bagranoff N. A. (2004). Core Concepts of Informati-on Technology Auditing. SAD: John Wiley & Sons. str. 21


▪ Sprovode svoje aktivnosti sa dužnom profesionalnom paž-njom i u skladu sa profesionalnim standardima.

▪ Služe interesu korisnika na zakonit i častan način, uz odr-žavanje visokog nivoa rada, ne čineći ništa što bi negativno uticalo na ugled i značaj profesije.

▪ Poštuju privatnost i poverljivost informacija do kojih dođu u toku angažmana, izuzev kada to od njih zahtevaju odgo-varajući državi organi. Ove informacije ne smeju se upot-rebiti za sticanje lične koristi.

▪ Održavaju kompetentnost u svojoj oblasti rada i prihvataju samo one angažmane za koje poseduju znanje i profesio-nalne sposobnosti.

▪ Informišu odgovarajuća lica o rezultatima svog rada, kroz davanje svih značajnih informacija.

▪ Podržavaju profesionalnu edukaciju korisnika svojih usluga u cilju boljeg razumevanja sigurnosti i kontrola informaci-onih sistema.

Realizacija poslovnih procesa uz pomoć informacionih siste-

ma dovodi do pojave nelegalnih aktivnosti, poznatih pod nazivom računarski kriminal. Pod računarskim kriminalom se podrazumeva upotreba informacionih sistema radi vršenja kriminalnih radnji, kao što su krađa intelektualne svojine, sabotiranje baze podataka organi-zacije ili čitavog informacionog sistema, piraterija softvera, hakeri-sanje ili neovlašćen pristup računarskoj mreži organizacije i dr.107 Revizori informacionih sistema u toku vršenja verifikacije informa-cionih sistema mogu naići na neke od oblika računarskih zločina, ali oni nisu kompetentne osobe za donošenje odluka da li je neka aktiv-nost nelegalna i da li podleže grupi kriminalnih dela. Razlog je u tome što revizori informacionih sistema nemaju dovoljno znanja iz oblasti prava, kao ni ovlašćenja za donošenje takvih vrsta odluka. Ukoliko se susretnu sa delima za koja smatraju da mogu predstavljati neki vid zločina, oni su dužni da o tome obaveste nadležne organe i pravne službe koje će o tome sprovesti istragu.

107



77.. PPrroocceess IITT rreevviizziijjee

7.1. Planiranje revizije informacionog sistema na osnovu procene rizika Nivo integracije informacionih tehnologija u svakodnevne procese u preduzećima doveo je do zavisnosti poslovanja od funkcionisanja informacionih sistema.108 Zbog toga i provera pouzdanosti informa-cionih sistema u današnjem okruženju sve više dobija na značaju. Ovim poslom se bave revizori, interni i eksterni, svaki u domenu svoga interesovanja. Eksterna revizija usmerena je na verifikaciju istinitosti i objektivnosti finansijskih izveštaja i po prirodi posla zain-teresovana je za proveru funkcionisanja internih kontrola koje utiču na ispravnost podataka u finansijskim izveštajima. Interna revizija ima mnogo širu ulogu i predmet njenog interesovanja su sve interne kontrole koje su značajne za uspešno poslovanje preduzeća, uključu-jući tu i interne kontrole koje su ugrađene u funkcionalnost informa-cionih sistema.109

U cilju operacionalizacije planiranja revizije informacionog sistema, moguće je celokupni proces planiranja podeliti u četiri faze:

1. razumevanje poslovanja organizacije, 2. definisanje IT revizijskog univerzuma, 3. procena rizika i 4. izrada IT revizijskog plana.110 Prolazak kroz sve faze planiranja je neophodan kako bi plan

revizije informacionog sistema na najadekvatniji način doprineo uspešnosti celokupnog poslovanja organizacije.

108

Jakšić D., Mijić K. (2010). Planiranje revizije informacionih sistema na osnovu procene rizika. Revizor. Beograd: Institut za ekonomiku i finansije. str. 39 109

Jakšić, D., Mijić, K. (2009). Delokrug rada revizije informacionih sistema. Banja Luka: Finrar. str 6-12 110

Institute of Internal Auditors (2008). GTAG 11 – Developing the IT Audit Plan. www.theiia.org. pristupljeno dana 3. avgusta 2010. str. 3


7.1.1. Razumevanje poslovanja organizacije Polazište kod formulisanja plana revizije informacionog sistema je shvatanje da informacione tehnologije nisu same sebi cilj već je nji-hova osnovna uloga da podrže poslovne procese u organizaciji, te da prepoznavanje značaja internih kontrola informacionog sistema proi-stiče iz poznavanja poslovnih procesa koji trebaju biti zaštićeni kroz adekvatne kontrolne mehanizme.111 Zbog toga je u cilju pravilnog definisanja stepena oslanjanja na informacione tehnologije neophod-no poći od pristupa „od gore prema dole“ tj. od strategije i ciljeva organizacije prema informacionim tehnologijama. Pri tome ne treba zaboraviti da je svaka organizacija specifična i da se plan IT revizije mora krojiti prema organizaciji što onemogućava primenu gotovih rešenja već zahteva praćenje osnovnih smernica dobrog planiranja.

Razumevanje poslovanja kao faza procena IT planiranja, dakle obuhvata:

a) sticanje razumevanja organizacije i b) sticanje razumevanja IT funkcije u organizaciji. a) Sticanje razumevanja organizacije Razumevanje preduzeća obuhvata sagledavanje ciljeva, delat-

nosti, organizacije, poslovnih procesa i resursa. Osnovni izvori informacija za sticanje razumevanja mogu biti: strategija, misija i vizija organizacije, strateški i godišnji planovi, organizaciona struk-tura, regulativa i dr. Centralno mesto u razumevanju organizacije ima prepoznavanje ključnih poslovnih procesa u cilju sagledavanja kriti-čnih faktora za ostvarivanje ciljeva organizacije. Problemi u funkci-onisanju ključnih poslovnih procesa mogu dovesti u pitanje opstanak organizacije i zbog toga je neophodna kontrola uslova njihovog sprovođenja. Identifikovanjem ključnih poslovnih procesa stvaraju se uslovi za identifikaciju značajnih aplikacija i informacione infrastru-kture (operativnih sistema, mreža, baza podataka, hardvera i dr.) bez kojih se ti poslovni procesi ne mogu sprovesti.

111

Jakšić D., Mijić K. (2010). Planiranje revizije informacionih sistema na osnovu procene rizika. Revizor. Beograd: Institut za ekonomiku i finansije. str. 40


b) Sticanje razumevanja IT funkcije u organizaciji Sticanje razumevanja načina na koji je IT funkcija uspostav-

ljena u organizaciji može obuhvatiti različite faktore, kao što su: 1. Nivo centralizacije sistema 2. Primenjene tehnologije 3. Stepen prilagođavanja sistema 4. Politike, procedure i standardi rada IT funkcije 5. Nivo i načini autsorsinga IT funkcije 6. Nivo pouzdavanja u informacione tehnologije.112 1. Nivo centralizacije sistema Poslovni model organizacije treba da opredeli i nivo centrali-

zacije IT funkcija u preduzeću. Potpuna centralizacija ili decentrali-zacija se u praksi razvijenih organizacija retko sreću. Najčešće se radi o kombinovanom modelu u kome su određene funkcije centrali-zovane (npr. administracija mrežom, administracija bazom podataka, razvoj aplikacija, politika oporavka sistema, upravljanje centrom podataka i sl.), dok su druge funkcije decentralizovane (npr. unos podataka, ažuriranje lozinki i sl.).113 Nivo centralizacije funkcija izu-zetno je bitan za definisanje plana IT revizije budući da se revizijom centralizovanih IT funkcija postižu mnogo širi i sveobuhvatniji efekti i na taj način bolje koriste ograničeni resursi IT revizije. Korist od doprinosa prioritetnog razmatranja centralnih IT funkcija vidljiv je, na primer, prilikom testiranja aplikacija. U organizaciji može posto-jati na desetine aplikacija. Ako su opšte kontrole centralizovane, efe-kat verifikacije opštih kontrola uzima se u obzir prilikom testiranja aplikacija tako da se ne moraju kod IT revizije svake aplikacije raz-matrati opšte kontrole za datu aplikaciju.

2. Primenjene tehnologije Za potrebe definisanja plana IT revizije neophodno je sagleda-

ti koja informatička rešenja (aplikativni programi, sistemi za uprav- 112

Institute of Internal Auditors (2008). GTAG 11 – Developing the IT Audit Plan. www.theiia.org. pristupljeno dana 3. avgusta 2010. str. 6-8 113



ljanje bazama podataka, mrežni resursi i dr.) se koriste u organizaciji. Što je veća raznovrsnost primenjenih informatičkih tehnologija, veći je i rizik da sistem neće funkcionisati na zadovoljavajući način. Na primer, lakše je izvršiti reviziju homogenog okruženja jednog opera-tivnog sistema, jednog sistema baze podataka i ERP sistema, nego kada se u organizaciji koriste različiti operativni sistemi i različite platforme baza podataka za različite aplikacije.

3. Stepen prilagođavanja sistema Gotova softverska rešenja možda ne omogućuju organizaciji

da iz njih izvuče maksimalnu funkcionalnost, ali sa stanovišta pouz-danosti rada i nivoa rizika implementacije predstavljaju najbolje rešenje. Prilagođavanje aplikacija potrebama korisnika i dalje održa-vanje sistema povećavaju rizik od grešaka i od IT revizora zahtevaju viši nivo tehničkih znanja, kao i duži period upoznavanja sa specifič-nostima sistema.

4. Politike, procedure i standardi rada IT funkcije Upravljanje IT funkcijom u preduzeću zahteva definisanje

politika, procedura i standarda za svakodnevni rad u informacionom sistemu. Interna regulativa može se razviti primenom nekog od međunarodno prihvaćenih okvira za upravljanje IT funkcijom, kao što su COBIT, ITIL, ISO 27002 i sl. Ukoliko postoji odgovarajuća interna regulativa koja uređuje oblast rada informacionog sistema, IT revizor treba da se sa njom upozna. Odsustvo pisane regulative ote-žava razumevanje funkcionisanja IT funkcije i povećava rizik nefun-kcionalnosti sistema.

5. Nivo i načini autsorsinga IT funkcije Složenost informacionih tehnologija i teškoće u praćenju nji-

hovog razvoja često dovode do toga da organizacije poveravaju određene IT funkcije uslužnim organizacijama u oblasti informacio-nih i telekomunikacionih tehnologija (npr. implementacija i održava-nje softvera). Prilikom definisanja plana IT revizije potrebno je sagledati koje IT funkcije su izmeštene iz organizacije i na koji način to utiče na IT rizike.


6. Nivo pouzdavanja u informacione tehnologije Neke organizacije svoju konkurentnost zasnivaju na intenziv-

noj primeni informacionih tehnologija i u takvim organizacijama IT revizija ima veliki značaj. Nivo informatizacije poslovnih procesa utiče na definisanje potencijalnog delokruga rada IT revizije. Na primer, razvoj veb aplikacija kao isključivog načina prodaje proizvo-da organizacije znači da prodaja putem interneta predstavlja ključni poslovni proces za datu organizaciju i da IT revizor treba da planira da testira njenu funkcionalnost. Suprotno tome, ako preduzeće ima internet aplikaciju koja u malom procentu učestvuje u ukupnoj pro-daji, onda to za datu organizaciju nije ključni poslovni proces i on ne mora biti uzet u plan izvršenja IT revizija.

7.1.2. Definisanje IT revizijskog univerzuma Izbor revizija koje će biti uključene u plan izvođenja revizija infor-macionog sistema u određenom periodu predstavlja jedan od najzna-čajnijih poslova u upravljanju IT revizijom. Planovi IT revizije pru-žaju mogućnost za kvantifikaciju i opravdavanje resursa koji su pot-rebni za realizaciju plana (finansijskih, kadrovskih, tehničkih i dr.). Izbor pogrešnih oblasti za IT reviziju može obesmisliti sprovođenje revizije informacionog sistema u organizaciji.

Spisak potencijalnih oblasti koje mogu biti predmet ispitivanja revizije informacionog sistema se naziva IT revizijskim univerzu-mom. Određivanje revizijskog univerzuma bazira se na saznanjima o strateškom planu organizacije, strateškom planu IT funkcije, pregle-du organizacione strukture i nadležnosti, kroz razgovor sa odgovor-nim menadžmentom i sl. Oblasti koje su obuhvaćene IT revizijskim univerzumom mogu biti brojne i raznovrsne. Definisanje IT revizij-skog univerzuma vrši se nezavisno pre procene rizika zato što revizor treba da sagleda šta sve može biti predmet revizije pre nego što izvrši rangiranje potencijalnih predmeta revizije prema njihovom značaju za ostvarivanje ciljeva organizacije. Prilikom pravljenja liste potenci-jalnih oblasti revizije potrebno je imati u vidu i probleme koji mogu nastati zbog lošeg određivanja predmeta revizije. To su:114

114



a) veličina predmeta IT revizije, b) pravljenje plana prema raspoloživim resursima IT revizije, c) definisanje predmeta bez razmatranja odgovornosti i d) preklapanje planova IT revizije sa drugim planovima inter-

ne revizije. a) Veličina predmeta IT revizije Predmeti IT revizije trebaju biti tako definisati da je određenu

reviziju moguće sprovesti u prihvatljivom vremenskom periodu i uz prihvatljivo angažovanje ljudskih resursa. Uobičajeno se smatra raci-onalnim da predmet IT revizije bude takav da je reviziju moguće završiti u roku od dve do četiri nedelje uz angažovanje dva do tri revizora sa odgovarajućim tehničkim znanjima.

Definisanje suviše širokog predmeta revizije može dovesti do usmeravanja celokupne IT revizije na samo jednu oblast. Na primer, ako se za predmet revizije uzme SAP, revizija može trajati predugo ili može rezultirati smanjenim kvalitetom rada. Sa druge strane, određivanje suviše uskih oblasti za reviziju može dovesti do neracio-nalnog gubitka vremena budući da, osim rada na terenu, postoji zna-čajan obim revizijskih procedura koje moraju biti ispoštovane (plani-ranje revizije, pregled rada revizora, pisanje revizorskog izveštaja, naknadne procedure provere i sl.).

b) Pravljenje plana prema raspoloživim resursima IT

revizije Ako se kao polazište prilikom definisanja IT revizijskog uni-

verzuma uzmu u obzir samo postojeći ljudski resursi IT revizije, za očekivati je da će prilikom pravljenja plana IT revizije doći do pogrešnog fokusiranja. Plan IT revizije treba biti pravljen prema realnim potrebama organizacije, a ako se prilikom sagledavanja kri-tičnih oblasti IT revizije utvrdi da nedostaju revizori sa specifičnim revizijskim i informatičkim kvalifikacijama, neophodno je razmotriti potrebu ad-hok angažovanja eksternog stručnjaka ili zapošljavanja nove radne snage, u zavisnosti od obima utvrđene potrebe.

Na primer, ukoliko IT revizori imaju znanja samo o načinu funkcionisanja aplikacija, oni će se u svom radu usmeriti na testira-nje aplikacija uz zanemarivanje tehničkih informatičkih oblasti kao što su administriranje mrežom ili zaštita podataka. Za izbalansirani


pristup IT reviziji, idealno rešenje je da u okviru službe interne revi-zije u organizaciji, sa jedne strane, postoje revizori sa opštim revizij-skim znanjima i dobrim poznavanjem aplikativnih kontrola, a sa dru-ge strane, da postoje i IT stručnjaci sa visokim tehničkim znanjima koji će moći da sprovedu neophodna testiranja IT infrastrukture.

c) Definisanje predmeta bez razmatranja odgovornosti Prilikom definisanja potencijalnih oblasti za IT reviziju, potre-

bno je definisati granice predmeta revizije tako da se jasno zna koji menadžer je odgovoran za funkcionisanje date oblasti. Ukoliko se kao predmet revizije definiše oblast za koju niko nije odgovoran ili postoji preplitanje odgovornosti, tada će biti gotovo nemoguće spro-vesti revizijske procedure, adresirati zaključke revizorskog izveštaja i primeniti preporuke IT revizije u cilju prevazilaženja problema.

d) Preklapanje planova IT revizije sa drugim planovima

interne revizije Ponekad se određeni aspekti informacionih sistema razmatraju

prilikom internih revizija koje nisu uobičajene IT revizije (npr. prili-kom provere politike prodaje sagledavaju se interne kontrole u apli-kaciji koje onemogućuju neovlašćene izmene cenovnika, prodaju sa popustima koji nisu definisani politikom prodaje i sl.). Prilikom pravljenja plana IT revizije, potrebno je dati plan usaglasiti sa celo-kupnim planom interne revizije kako ne bi bilo nepotrebnih prekla-panja.

Postojanje svesti o problemima koji mogu nastati prilikom planiranja i sprovođenja IT revizije omogućava njihovo izbegavanje i utiče na efektivnost i efikasnost postupaka i zaključaka revizije informacionog sistema.

7.1.3. Procena rizika u funkcionisanju informacionog sistema Osnovni element plana revizije informacionog sistema je procena rizika da funkcionisanje informacionog sistema negativno utiče na rezultate poslovanja organizacije. Cilj procene rizika je optimizacija revizijskih resursa kroz definisanje prioriteta prilikom planiranja i izvođenja IT revizija. Na osnovu razumevanja poslovanja organizaci-


je, poslovnih procesa i informatičke podrške poslovanju, revizor može identifikovati i kategorizovati vrste rizika i odabrati područja koja će biti predmet revizije.

Prikaz 19 Proces revizije informacionog sistema115

Procena rizika u cilju izbora oblasti revizije ima za cilj da:

a) omogući efektivnu i efikasnu alokaciju ograničenih resursa IT revizije,

b) pruži razumno uveravanje da je izbor oblasti za IT reviziju sproveden na najbolji mogućni način,

c) ustanovi osnove za efektivno upravljanje funkcijom IT revizije,

d) pruži uvid u to kako pojedina pitanja koja su povezana sa funkcionisanjem informacionih sistema utiču na organiza-ciju.116

115

Senft S., Gallegos F. (2009). Information Technology Control and Audit, 3rd Edition. SAD: An Auerback Book. str. 78 116



Nakon definisanja IT revizijskog univerzuma potrebno je vre-dnovati svaku potencijalnu oblast IT revizije sa stanovišta uticaja na organizaciju i verovatnoće nastanka negativnog događaja. U tom procesu, revizor:

a) identifikuje oblasti kod postoji visok rezidualni rizik, b) identifikuje interne kontrole kojima se utiče na smanjenje

datog inherentnog rizika i c) procenjuje nesigurnosti koje postoje u vezi sa kritičnim

internih kontrolama.117 Ako je veća verovatnoća nastanka negativnog događaja i ako

nastanak događaja ima značajne posledice po poslovanje organizaci-je, veći je rizik i shodno tome, veća je šansa da data oblast bude izab-rana kao predmet angažmana revizije informacionog sistema u nare-dnom periodu. S obzirom da se kategorizacija rizika zasniva na sub-jektivnoj proceni revizora, treba imati u vidu da ova oblast pruža mogućnost za manipulaciju i izbegavanje problematičnih oblasti ako je nezavisnost revizora prethodno ugrožena.

Osnovna pretpostavka na kojoj se zasniva planiranje i izbor revizija informacionog sistema je da će bolji rezultati biti postignuti ako postoji definisana metodologija koja se dosledno sprovodi prili-kom prikupljanja i vrednovanja informacija. Postoje različite meto-dologije za procenu IT rizika, od jednostavnih (kod kojih se rizik izražava kao nizak, srednji i visok) do veoma kompleksnih (zasnova-nih na naučnim proračunima). Bez obzira na složenost, svaki model se u određenoj meri mora pouzdati u subjektivan profesionalni sud IT revizora prilikom vrednovanja različitih rizika.

Prilikom odlučivanja koja metodologija za procenu rizika je najbolja, revizor treba da razmotri sledeća pitanja:

▪ vrstu informacije koja treba biti prikupljena (u nekim sis-

temima se koriste samo finansijske informacije, što za revi-ziju informacionog sistema često nije odgovarajuće),

117

Ibid, str. 45


▪ trošak softvera i drugih licenci za primenu određene meto-dologije,

▪ raspoloživost potrebnih informacija za izbor metodologije, ▪ mišljenje drugih korisnika metodologije, ▪ spremnost menadžmenta da prihvati datu metodologiju i dr. Nijedna metodologija nije opšteprihvaćena kao najbolja i jedi-

na koju treba koristiti. Izbor metodologije procene rizika može se menjati periodično u skladu sa promenama u okruženju.

Bez obzira na različitost, metodologije za procenu rizika se najčešće zasnivaju na sistemu bodovanja kod kojih se prioriteti IT revizije određuju na osnovu faktora rizika. Faktori rizika određeni su tehničkom kompleksnošću, promenama u sistemu i materijalnošću. Faktori rizika se mogu množiti sa odgovarajućim ponderima koji određuju značaj svakog faktora rizika za datu oblast IT revizije. Sabiranjem ponderisanih faktora rizika dobija se ukupan rizik za svaku oblast IT revizije.

Redn

i bro

j

Faktor Rizik Ponder Ponderisani rizik

1.

Udeo u ukupnom sistemu Deo odeljenja Celo odeljenje Više odeljenja U celoj organizaciji U organizaciji i eksterno

1 2 3 4 5

5 10

2.

Finansijska izloženost sistema Veoma mala (<100.000 RSD) Mala (100.000 - 1 mil. RSD) Srednja (1 mil RSD - 5 mil. RSD) Visoka (5 mil RSD -10 mil. RSD) Veoma visoka (>10 mil. RSD)

1 2 3 4 5

5 15

3.

Vrsta aplikacije Gotova aplikacija Softverska kuća pravi i održava

1 2

2 4


Softverska kuća pravi, organizacija održava Zajednički razvoj, dobavljač održava Zajednički razvoj, organizacija odr-žava

3 4 5

4.

Način vrednovanja aplikacije Korisnik/IS/Konsultant Korisnik/IS Konsultant IS Korisnik

1 2 3 4 5

1 5

5.

Troškovi i kompleksnost aplikaci-je Zanemarljivi Mali Srednji Visoki Veoma visoki

1 2 3 4 5

2 10

6.

Metodologija evaluacije Vrednovani softverska kuća i aplika-cija Vrednovana aplikacija Vrednovana softverska kuća Nije vrednovano, kupljeno uslovno Nije vrednovano, kupljeno bezuslo-vno

1 2 3 4 5

3 9

7.

Izbor aplikacije Izbor nekog od poznatih sistema (npr. SAP) Izbor od nekoliko softverskih kuća sa reputacijom Izbor sistema sa kojim je organizaci-ja upoznata Izbor od nekoliko ponuđenih, manje poznatih softverskih kuća Izbor od jedne ponuđene, manje poznate softverske kuće

1 2 3 4 5

1 3

8.

Efekat na poslovanje Nema neposrednih efekata Problemi korisnika u radu Gubitak poverenja

1 2 3

1 2


Gubitak prihoda Gubitak informaci-ja/reputacije/prihoda

4 5

Ukupan rizik 58

Prikaz 20 Kvantifikacija rizika procesa nabavke računovodstvenog softvera

118 Nakon toga se vrši upoređivanje ukupnog rizika kako bi se

potencijalne oblasti IT revizije rangirale i između njih uspostavila hijerarhija. Na osnovu toga, dobija se lista oblasti IT revizije po redosledu značaja tj. rizika.

Redni broj Oblast revizije Ponderisani

faktor rizika 1. Revizija lokalne mreže 81 2. Revizija veb aplikacije 66 3. Revizija nabavke računovodstvenog softvera 58 4. Revizija baze podataka 52 5. Revizija data centra 40 6. Revizija bekapa sistema 37 7. ...

Prikaz 21 Rangiranje rizika

7.1.4. Izrada plana revizije informacionog sistema na bazi procene rizika U fazi planiranja, svakoj reviziji treba da budu dodeljeni odgovaraju-ći resursi na osnovu detaljnog planiranja angažovanja, obima i delo-kruga posla koji treba da bude obavljen. Standard izvođenja 2230 naglašava da „interni revizori treba da utvrde odgovarajuće resurse za ostvarenje ciljeva angažovanja. Angažovanje kadrova treba da se bazira na oceni prirode i složenosti svakog angažovanja, vremenskog raspoloženja i raspoloživosti resursa“.119 118

Prema: ISACA. (2010). IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. SAD: ISACA. str. 224 119

Institut Internih Revizora. (2006). Profesionalna praksa interne revizije. Beo-grad: Savez računovođa i revizora Srbije. str. 19


Shodno tome, prilikom planiranja revizije informacionog sis-tema potrebno je sagledati i realne mogućnosti revizora da sprovedu revizije informacionog sistema zbog vremenskih, kadrovskih, troš-kovnih i drugih ograničenja. Lista oblasti IT revizije može biti veo-ma dugačka (nekoliko desetina ili stotina oblasti), pa je neophodno utvrditi koliko realno revizija informacionog sistema može biti spro-vedeno u toku godine na osnovu raspoloživih resursa.120 Metodološ-ki, sagledavanje mogućnosti revizije vrši se kroz uzimanje u obzir broja raspoloživih radnih sati za revizije informacionog sistema (broj osoblja se množi sa brojem radnih dana da bi se dobili ukupni radni sati na godišnjem nivou koji se umanjuju za vreme potrebno za obu-ku kadrova i druge aktivnosti).

Za izvršenje planiranih revizija informacionog sistema u 2015. godini (za dva revizora)

izvršena je sledeća raspodela raspoloživog vremena:

▪ za realizaciju planiranih IT revizija (150 x 2) 300

dana 68,20 %

▪ podrška IT revizora internoj i eksternoj reviziji (40 x 2) 80

dana 18,20 %

▪ planirano vreme za stručno usavršavanje (18 x 2) 36

dana 8,18 %

▪ planirano vreme za praćenje realizacije korektivnih mera (12 x 2) 24

dana 5,42 %

Ukupno: 440 dana 100,00%

Prikaz 22 Plan raspoloživog vremena u 2015. godini Sa druge strane, nastoji se definisati koliko je vremena potreb-

no za svaku pojedinačnu reviziju informacionog sistema (koliko revizora treba biti uključeno i koliko vremena treba da provedu na konkretnoj reviziji). Revizije informacionog sistema se uzimaju u plan sprovođenja po redosledu prioriteta dokle god postoji raspoloži-vi fond vremena na godišnjem nivou.

120



Redni broj Oblast revizije Ponderisani

faktor rizika Broj radnih

dana za reviziju

Ukupno

1. Revizija lokalne mreže 81 110 110 2. Revizija veb aplikacije 66 30 140

3. Revizija nabavke računovodstvenog softvera 58 20 160

4. Revizija baze podataka 52 80 240 5. Revizija data centra 40 60 300 - - - - -

Prikaz 23 Mogućnosti sprovođenja revizije informacionog sistema na osnovu raspoloživog vremena

Kao dodatak godišnjem planu revizije, trebalo bi da bude prip-

remljen i plan i raspored pojedinačnih revizija koje proističu iz tog plana. U zavisnosti od prirode i obima revizije koja treba da se obavi, takav raspored može pokrivati mesec, kvartal ili duži period. Plan IT revizije kao deo aktivnosti interne revizije treba integrisati u opšti plan interne revizije za naredni period. Pri tome treba voditi računa da se angažmani revizora rasporede na celu poslovnu godinu, i da se sprovode po redosledu koji daje najbolje rezultate (npr. početkom godine testiranje opštih kontrola, a u drugom delu godine testiranje aplikacija).

Unutar odeljenja interne revizije, rasporedi se ponekad poseb-no pripremaju i za individualne članove osoblja revizije u skladu sa personalnim veštinama, iskustvom, interesovanjima i mogućnostima i revidiraju se na mesečnoj bazi kako bi reflektovali sve promene i prilagođavanja u rasporedu kadra, vremena i drugih resursa zasnova-na na tim promenama.

Jan.

Feb.

Mar

.

Apr.

Maj

Jun

Jul

Avg.

Sep.

Okt

.

Nov

.

Dec

.

Revizija lokalne mreže

Revizija data centra


Revizija baze podataka

Revizija veb aplikacije

Revizija nabavke računovods-tvenog softvera

Napomena: U junu nisu planirane IT revizije, budući da je opštim planom interne revizije predviđeno testiranje politika prodaje koje uključuje i razmatranje

aplikativnih kontrola ugrađenih u modul nabavke.

Prikaz 24 Godišnji plan revizije informacionog sistema Konačni plan i budžet se podnose nadzornom odboru i komite-

tu za reviziju na odobrenje, ali je praćenje i prilagođavanje budžeta stalni zadatak i neprekidan proces za celu godinu, s obzirom na to da je potrebno neprestano se prilagođavati promenama u okruženju i samoj organizaciji. Interna revizija treba da prati promene na terenu i o tome periodično podnosi izveštaje nadzornom odboru i komitetu za reviziju na nivou izveštaja o rezultatima revizije koja je trenutno u toku i predloženim promenama u budžetu na osnovu promena na terenu. U okviru globalnog godišnjeg plana određuje se preliminarno vreme i okvir za obavljanje svake pojedinačne revizije, a izmene se unose radi efikasnijeg iskorišćavanja postojećih resursa revizija u toku, promene fokusa revizijskog angažovanja, promene osoblja i drugih prioriteta menadžmenta. Godišnji plan interne revizije se koristi kao formalan osnov za odlučivanje o tome koje revizije će biti izvedene u datom periodu, pri čemu rukovodioci interne revizije ipak moraju biti svesni stalne potrebe za tekućim prilagođavanjem godiš-njeg plana. Planiranje revizije informacionog sistema nije statičan proces koji se obavlja isključivo na početku procesa planiranja revi-zije, već je to proces koji treba da se odvija kontinuirano, odnosno, ukoliko dođe do promene okolnosti, a postupci revizije pokažu neo-čekivane rezultate, strategija revizije ili program revizije moraju da


budu redefinisani, u skladu sa novim saznanjima do kojih revizor dolazi u procesu revizije.121 7.2. Sticanje razumevanja predmeta ispitivanja Nakon dugoročnog planiranja revizije informacionog sistema koje ima za cilj da se izvrši izbor oblasti informacionog sistema koji će biti predmet revizijskih ispitivanja, neophodno je sprovesti i planira-nje na nivou pojedinačnog revizijskog angažmana. Cilj planiranja na nivou revizijskog angažmana je da pomogne revizoru u izboru pris-tupa i testova koji treba da mu pomognu u sagledavanju stvarnog stanja i formiranju pouzdanih zaključaka o oblasti informacionog sistema koji ima značajan uticaj na poslovanje entiteta.

Planiranje revizije informacionog sistema značajno se razliku-je u zavisnosti od toga da li se ispitivanje informacionog sistema vrši kao deo eksterne revizije ili interne revizije. Kod eksterne revizije, predmet ispitivanja je određen ciljem revizije informacionog sistema iz čega sledi da su za eksternu reviziju bitne one opšte i aplikativne kontrole koje utiču na ispravnost računovodstvenog evidentiranja i sledstveno tome na istinitost i objektivnost finansijskih izveštaja. Proces planiranja revizije informacionog sistema kao dela interne revizije je mnogo složeniji i razlikuje se od jednog do drugog revizij-skog angažmana, pri čemu sagledavanje predmeta ispitivanja iz raz-ličitih aspekata ima ključni značaj za uspeh procesa revizije.

Da bi uspešno planirao angažman, revizor informacionog sis-tema treba da izvrši sledeće korake:122

▪ da razume poslovnu misiju, ciljeve, svrhu i procese, koji

obuhvataju mnogobrojne informacije i zahteve obrade, kao što su raspoloživost, integritet, bezbednost i pouzdanost,

121

Jakšić D., Mijić K. (2010). Planiranje revizije informacionih sistema na osnovu procene rizika. Revizor. Beograd: Institut za ekonomiku i finansije. str. 50 122



▪ da identifikuje definisana dokumenta, kao što su politike, standardi, smernice, procedure i organizaciona struktura,

▪ da oceni rizike i analize rukovodstva o uticaju na privatnost podataka,

▪ da izvrši analizu rizika, ▪ da izvrši pregled internih kontrola, ▪ da odredi delokrug i ciljeve revizije, ▪ izabere revizorski pristup ili revizorsku strategiju i ▪ dodeli revizorske resurse konkretnoj reviziji i obezbedi

logistiku. Tokom planiranja revizije, revizor informacionog sistema

mora da razume sveobuhvatno okruženje koje posmatra. To podra-zumeva potpuno razumevanje predmeta ispitivanja u smislu poslov-nih procesa, korišćenih hardverskih i softverskih rešenja, ljudskih resursa i pravne regulative koja uređuje oblast ispitivanja.

Koraci koje revizor IT treba da preduzme uključuju:123 ▪ obilazak ključnih organizacionih lokacija i IT uređaja, ▪ čitanje raspoloživih materijala uključujući stručne publika-

cije, godišnje izveštaje i nezavisne izveštaje o finansijskim analizama,

▪ preispitivanje dugoročnih strateških planova, ▪ razumevanje poslovnih činjenica kroz intervjue sa ključnim

rukovodiocima, ▪ pregled prethodnih izveštaja. U delu sagledavanja referentne regulative za reviziju informa-

cionog sistema, treba imati u vidu da je čine akti iz dve oblasti: a) pravni zahtevi vezani za predmet ispitivanja i b) pravni zahtevi vezani za reviziju.

123

Ibid, str. 45


a) Pravnu regulativu koja se odnosi na predmet ispitivanja čine eksterna i interna regulativa. U vezi sa eksternom regulativom, moguće je postojanje zakona koji se direktno usmerena na funkcioni-sanje informacionih sistema, kao što je na primer američki, koji zah-teva procenu IT kontrola u organizaciji. Sarbanes-Oxley Act obezbe-đuje pravila upravljanja, regulative i standarda za specifične i javne kompanije. Osim toga, postoje i određena zakonska rešenja koja ure-đuju druge oblasti poslovanja, ali indirektno utiču na ispravnost fun-kcionisanja informacionog sistema (npr. propisi o finansijskom izve-štavanju, poresko zakonodavstvo propisi o bankarskom poslovanju i sl.).

U vezi sa internom regulativom, svaka organizacija može doneti određene odluke, politike i pravilnike koji utiču na predmet ispitivanja revizije informacionog sistema. Ovde takođe možemo razlikovati regulativu kojom se direktno uređuje informatička funkci-ja preduzeća (npr. odluka da će se primenjivati COBIT kao okvir za interne kontrole) i regulativu koja indirektno uređuje funkcionisanje informacionog sistema (npr. politika prodaje ugrađena u aplikacije i sl.).

Koraci određivanja nivoa usaglašenosti organizacije sa ekster-nim zahtevima su:124

▪ Identifikovanje svih relevantnih eksternih zahteva vezanih

za: podatke u elektronskom obliku, autorska prava, elek-

tronsko poslovanje, digitalne potpise itd., kompjuterske sisteme i kontrole, način na koji se kompjuteri, programi i podaci čuvaju, i organizaciju ili aktivnosti vezane za informatičke uslu-

ge. ▪ Dokumentovanje značajnih zakona i regulative. ▪ Ocenjivanje da li su rukovodstvo organizacije i organizaci-

oni deo informacione tehnologije razmotrili relevantne spo-ljne zahteve u pogledu pravljenju planova i definisanju politika, standarda i procedura.

124



▪ Pregled internih dokumenata odeljenja informacionog sis-tema, njihovih funkcija i aktivnosti da bi se utvrdila uskla-đenost sa zakonima.

▪ Provera adekvatnosti uvedenih procedura koje se odnose na ove zahteve.

b) Prilikom planiranja angažmana, revizor treba da na osnovu

razumevanja predmeta ispitivanja prepozna i regulativu revizije informacionog sistema koja je značajna za konkretan angažman. U širem smislu, ova regulativa obuhvata regulativu eksterne revizije ili regulativu interne revizije, u zavisnosti u kom svojstvu se izvodi revizija informacionog sistema, a potom i regulativu koja se odnosi na reviziju informacionog sistema (ISACA standardi, smernice, alati i tehnike revizije informacionog sistema, ITAF i dr.).

7.3. Identifikacija ključnih kontrola na bazi ocene rizika informacionog sistema Rizik informacionog sistema može se definisati kao verovatnoća da će u toku rada informacionog sistema, kao posledica neadekvatnog razvoja sistema ili njegovog pogrešnog korišćenja, doći do neželje-nih događaja. Rizici u informacionom sistemu mogu biti zaista raz-novrsni i radi jednostavnosti upravljanja sa njima moguće ih je klasi-fikovati u određene kategorije mada je priroda rizika toliko amorfna da nijedna klasifikacija nije u stanju da u potpunosti jasno opiše moguće rizike od grešaka u radu informacionih sistema i posledice koje te grešne mogu izazvati. Klasifikacije rizika, dakle, ne rezultira toliko preciznim kategorijama rizika, koliko treba da pomogne u nji-hovom što lakšem identifikovanju, opisivanju i upravljanju. Primer klasifikacije rizika u području IT sigurnosti dat je na sledećoj slici:

Tabela 12 Rizici IT sigurnosti

Oblast rizika Vrste rizika

Postojanje politike sigurnosti informacija u pisanoj formi

▪ Zaposleni nisu upoznati sa postojanjem politike sigurnosti. ▪ Narušavanje sigurnosti zbog pogrešnog razumevanja politike

od strane zaposlenih.


▪ Zaposleni nemaju razvijeni nivo svesti o politikama sigurnosti. ▪ Zaposleni narušavaju politiku sigurnosti zbog nejasnih i nede-

finisanih dužnosti. ▪ Narušavanje sigurnosti zbog neažurirane politike i procedura

zaštite. ▪ Narušavanje sigurnosti zbog toga što rukovodstvo ne podrža-

va politiku (npr. nepostojanje disciplinskog postupka). Nabavka informatičke opreme

▪ Nabavljanje neodgovarajuće opreme. ▪ IT budžeti nisu usklađeni sa strateškim planovima. ▪ Neovlašćena instalacija novog softvera.

Fizička zaštita i sigurnost

▪ Neovlašćeni fizički pristup zbog nedostatka kontrola ulaza. ▪ Krađa informatičke imovine. ▪ Prestanak ili neadekvatno napajanje električnom energijom. ▪ Oštećenje kablova. ▪ Prenosni računari i mobilni telefoni mogu biti ukradeni.

Operativne procedure i odgovornosti

▪ Pad sistema zbog neovlašćenih promena. ▪ Nemogućnost podnošenja izveštaja o incidentima zbog nedos-

tatka procedura. ▪ Narušavanje sigurnosti ili kršenje zakona. ▪ Neovlašćena modifikacija fajlova ili sistemskog okruženja. ▪ Unos neovlašćenog i netestiranog koda aplikacije ili malicioz-

nog koda ▪ Neovlašćena izmena operativnih podataka.

Upravljanje korisničkim pristupom

▪ Nepostojanje jedinstvene identifikacije i autentikacije korisnika. ▪ Neovlašćeni pristup zbog nepostojanja procesa upravljanja

lozinkama. ▪ Izbor loših lozinki. ▪ Nezaštićeno rukovanje lozinkama. ▪ Izostanak redovnog pregleda pristupa i dodeljenih privilegija.

Sigurnost sistemskih fajlova

▪ Oštećenje operativnih sistema. ▪ Ažuriranje i unošenje promena u operativni sistem bez

ovlašćenja. ▪ Nepostojanje bekapa prethodnih verzija. ▪ Nedostatak formalnog prihvatanja testiranja od strane korisni-

ka. ▪ Neovlašćeni pristup test podacima. ▪ Oštećenje računarskih programa/ neovlašćeni pristup bibliote-

kama izvornih programa.


Upravljanje kontinuitetom poslovanja

▪ Nepostojanje planova/strategija za upravljanje kontinuitetom poslovanja.

▪ Nedoslednost planova za kontinuitet poslovanja. ▪ Nedovoljna informisanost kada treba aktivirati plan. ▪ Pogrešna procena rizika i uticaja. ▪ Nepostojanje procedura za postupanje u hitnim slučajevima. ▪ Nepostojanje jasno definisanih odgovornosti.

Data tabela obuhvata samo neke od rizika vezanih za sigurnost

informacionog sistema, ali može biti korisna za razumevanje prirode rizika u konkretnom preduzeću.

Analiza rizika je deo faze planiranja revizije koja treba da pomogne u identifikovanju rizičnih oblasti u funkcionisanju infor-macionog sistema tako da revizor može da odredi koje ključne kon-trole treba testirati kako bi se da bi se dati rizici sagledali.

Prilikom identifikovanja rizika mora se poći od poslovnih ciljeva budući da su rizici informacionog sistema povezani sa utica-jem informacionog sistema na poslovanje preduzeća, odnosno odre-đeni aspekt informacionog sistema treba testirati ako je on bitan za ostvarenje rezultata preduzeća. Svedeno na nivo internih kontrola koje su predmet revizijskog ispitivanja, veću verovatnoću da bude testirana treba da ima ona interna kontrola čije funkcionisanje ima veći značaj za poslovanje preduzeća.

U tom smislu, za revizore je neophodno dobro poznavanje veza između rizika i kontrola. Revizori informacionog sistema mora-ju biti osposobljeni da na osnovu poznavanja poslovnih procesa i ciljeva identifikuju poslovne rizike i kontrole koje se koriste za pre-vazilaženje datih rizika. Procena rizika je izuzetno kompleksna faza revizije informacionog sistema koja zahteva mnogo promišljanja budući da je neophodno poznavati poslovanje preduzeća i poslovne procese, regulatorne zahteve, vezu informacionih tehnologija sa pos-lovnim ciljevima, kao i način na koji sistem internih kontrola funkci-oniše u organizaciji kako bi se mogli izvesti značajni rizici i ključne interne kontrole. Pored razumevanja poslovnih rizika i kontrola, revizori informacionog sistema moraju biti svesni činjenice da odre-đeni rizici proističu i iz samog procesa revizije.


Procena rizika obezbeđuje sledeće koristi procesu revizije informacionog sistema:

a) Pomaže revizorima u određivanju ciljeva revizije. b) Pomaže revizorima u izboru oblasti koje će biti predmet

revizije. c) Pomaže revizorima u izboru i oceni internih kontrola. d) Pomaže revizorima u identifikovanju slabosti informacio-

nog sistema na koje treba ukazati rukovodstvu. e) Daje informacionu podlogu za odluke revizora. Procena rizika može biti kvantitativna i kvalitativna. Kvantita-

tivna procena rizika je praktičnija budući da faktore rizika dovodi u određenu matematičku vezu koja olakšava izračunavanje kombino-vanog uticaja različitih faktora. Najjednostavniji oblik kvantitativne procene svodi se na to da se za svaku pretnju odnosno rizik informa-cionog sistema množe uticaj date pretnje (U) i verovatnoća njenog nastanka (V). Ovakav način kvantifikacije omogućuje upoređenje različitih rizika u cilju njihove komparacije i izbor onog rizika koji je u datim okolnostima najveći i na koji shodno tome u postupku revizi-je treba obratiti povećanu pažnju.

Kvalitativna procena rizika podrazumeva da se faktori rizika umesto u brojevima ili procentima iskazuju atributivno, odnosno izrazima: visok, srednji ili nizak rizik. Ovakav pristup onemogućava matematička izračunavanja, ali je u suštini jednostavniji od kvantita-tivnog budući da je teško rizike izraziti u preciznim vrednostima. Na kraju krajeva, svaka procena rizika je subjektivna, pa i čak kad pos-toji neko izračunavanje, polazne vrednosti u formulama su uvek sub-jektivne prirode.

Revizor informacionog sistema obično se koncentriše na viso-ko-rizične probleme povezane sa poverljivošću, dostupnošću ili inte-gritetom osetljivih i kritičnih informacija, kao i informacionih siste-ma i procesa koji generišu, upravljaju i čuvaju ove informacije. Prili-kom pregleda ovih rizika, revizor informacionog sistema će često ocenjivati efektivnost procesa upravljanja rizicima koji organizacija koristi.


7.4. Materijalnost u reviziji informacionog sistema Problematika materijalnosti u reviziji informacionog sistema defini-sanja je ISACA standardom revizije informacionog sistema S12 – Materijalnost u reviziji i ISACA smernicom za reviziju informacio-nog sistema G6 – Koncepti materijalnosti u reviziji informacionog sistema.

ISACA radni okvir za reviziju informacionog sistema zahteva od revizora informacionog sistema da u toku faze planiranja revizij-skog angažmana razmotri uticaj materijalnosti na utvrđivanje priro-de, vremena i obima revizijskih procedura testiranja, kao i uticaj na zaključke revizije.

Procena materijalnosti se zasniva na profesionalnom sudu revizora i uključuje razmatranje uticaja i/ili potencijalnog uticaja gre-šaka, propusta ili nezakonitosti na sposobnost organizacije da postig-ne poslovne ciljeve koje mogu nastati kao posledica slabosti internih kontrola u oblasti koja je predmet revizijskog interesovanja. Defini-sanje praga materijalnosti greške za određene interne kontrole znači da ako se u postupku revizorskog testiranja utvrdi viši nivo greške data interna kontrola se smatra nefunkcionalnom, a ispod tog nivoa, ako i postoji neka greška, smatra se da ona nije značajna i da interna kontrola dobro funkcioniše.

Postoji značajna razlika u oceni materijalnosti u slabostima sistema internih kontrola kod eksterne revizije i kod revizije infor-macionog sistema. Kod eksterne revizije se ocenjuje konačan uticaj greške na finansijske izveštaje. Budući da se greška može kvantifi-kovati kao konkretan iznos u finansijskom izveštaju, i materijalnost se stoga može izražavati u monetarnim jedinicama. Kod revizije informacionog sistema, ako se cilj revizije odnosni na sisteme ili aktivnosti procesiranja finansijskih transakcija, moguće je koristiti finansijske mere za ocenu materijalnosti. Međutim, prilikom revizije informacionog sistema moraju se često koristiti drugačija merila za procenu materijalnosti budući da revizori informacionog sistema čes-to vrše reviziju nefinansijskih objekata kao što su: kontrole fizičkog


pristupa, logičke kontrole pristupa, kontrole izmene programa, gene-risanja lozinki i sl125.

Ocena materijalnosti vrši se u toku angažmana dva puta: 1. u fazi planiranja procesa revizije informacionog sistema i 2. u fazi formiranja zaključaka. U postupku planiranja revizije, revizor informacionog sistema

treba da razmotri da li postoje potencijalne slabosti u sistemu internih kontrola, kao i da razmotri da li date slabosti mogu dovesti do zna-čajnih problema u funkcionisanju informacionog sistema. Procena materijalnosti vrši se na nivou svake interne kontrole. Pri tome treba imati u vidu da i manje značajne slabosti u funkcionisanju internih kontrola ili odsustvo internih kontrola, kada se uzme u obzir njihov kumulativni efekat, mogu značajno uticati na informacioni sistem.

Shodno tome, prilikom procene materijalnosti, revizor infor-macionog sistema treba da uzme u obzir sledeće:126

▪ agregirani nivo greške koji je prihvatljiv menadžmentu,

revizoru informacionog sistema, odgovarajućim regulator-nim telima i drugim zainteresovanim stranama,

▪ mogućnost da kumulativni efekat manjih grešaka postane materijalan.

Tako, na primer, „podešavanje parametara logičke sigurnosti

koji programerima omogućavaju neautorizovan pristup izvornim kodovima svih programa može biti materijalna greška. Suprotno tome, dodeljena prava pristupa malom broju beznačajnih programa revizor informacionog sistema može smatrati nematerijalnim.“127

125

ISACA. (2010). IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. SAD: ISACA. str. 42-43 126

Ibid, str. 43 127



Procena materijalnosti nije nimalo jednostavna i zahteva mno-go subjektivnosti i rasuđivanja. Problem procene materijalnosti se može prikazati kroz povezanost opštih i aplikativnih kontrola. Prili-kom ocene koliko je neka opšta kontrola materijalna, treba imati u vidu njen mogući uticaj na aplikativne kontrole, odnosno da li odsus-tvo opšte kontrole može da rezultira neefikasnošću aplikativnih kon-trola. Na primer, ukoliko ne funkcioniše sistem kontrole pristupa putem bankomata, tada bilo ko može uneti pogrešne podatke preko bankomata ili preuzeti poverljive podatke, što znači da je kontrola rada bankomata veoma materijalna i da se ne sme biti prihvatljiv visok nivo greški i nepouzdanosti.

Parametri koji se mogu koristiti prilikom procene materijal-nosti u reviziji informacionog sistema su:128

▪ kritična važnost poslovnih procesa koji su podržani infor-

macionim sistemom, ▪ kritična važnost baze podataka, ▪ broj i vrsta razvijenih aplikacija, ▪ broj korisnika informacionog sistema, ▪ broj menadžera koji koriste informacioni sistem, ▪ trošak informacionog sistema (hardver, softver, ljudski

resursi...), ▪ potencijalni trošak greške (smanjenje prodaje, aktiviranje

garancija, negativni publicitet...), ▪ posledice gubitka kritične i vitalne informacije i dr.

7.5. Procena revizijskog rizika Definisanje obima testiranja i postupaka testiranja predstavlja jednu od ključnih odluka u reviziji informacionog sistema. Obim i izbor postupaka u najvećoj meri zavisi od procene revizijskog rizika. Regulatorni okvir za ocenu revizijskog rizika u reviziji informacio-nog sistema dat je u ISACA smernici za reviziju informacionog sis-tema G13 – Korišćenje ocene rizika u planiranju revizije i ISACA

128

ISACA. (2010). IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. SAD: ISACA str. 43


alatima i tehnikama za reviziju informacionog sistema P1 – Ocena rizika informacionog sistema.

Revizijski rizik je definiše kao rizik od donošenja pogrešnih zaključaka o predmetu ispitivanja od strane revizora. Veći revizijski rizik znači da je mišljenje koje revizor izražava manje pouzdano. Zbog toga je neophodno da revizijski rizik bude što niži, ali imajući pri tome u vidu cost/benefit analizu odnosno da troškovi revizije ne smeju da prevaziđu koristi. Neophodno je stoga da se definiše realan nivo pouzdanosti u zaključke revizije koji će opravdati ulaganja u angažman revizije i omogućiti da se ograničeni revizijski resursi usmere i u druge oblasti ispitivanja.

Procena prihvatljivog nivoa revizijskog rizika vrši se na nivou pojedinačnih internih kontrola i zavisi od materijalnosti date interne kontrole za funkcionisanje informacionog sistema. Između materijal-nosti i revizijskog rizika postoji recipročna odnosno obrnuta zavis-nost. To znači da ako je za neku internu kontrolu predviđen niži nivo materijalnosti, onda je revizijski rizik viši, pa revizor treba da spro-vede veći obim revizijskih postupaka testiranja kako bi se uverio da data interna kontrola uspešno funkcioniše. Suprotno tome, ako je definisan viši nivo materijalnosti za određenu internu kontrolu, to znači da revizor može sebi da dozvoli viši nivo revizijskog rizika, odnosno da se sa manjim obimom revizijskog testiranja može izvesti adekvatan zaključak revizije.

Kao primer možemo uzeti poštovanje pisanih procedura za izmenu aplikacija kao internu kontrolu koja je predmet revizorskog interesovanja. Ako se smatra da je data interna kontrola izuzetno značajna za dati informacioni sistem i ostvarenje poslovnih ciljeva preduzeća, te da se shodno tome, nepoštovanje pisanih procedura u više od dva slučaja smatra neprihvatljivim, tada postoji visok rizik da je data interna kontrola neadekvatno sprovođena i revizor mora da sprovede puno postupaka testiranja kako bi se uverio da pisane pro-cedure nisu prekršene u više od dva slučaja. Sa druge strane, ako se prilikom procene materijalnosti zaključi da će se izmene aplikacije smatrani adekvatnim ako se otkrije da date procedure nisu poštovane u recimo manje od 30 slučajeva, a u svim ostalim su pisane procedu-re poštovane, tada je manji rizik da data interna kontrola ne funkcio-niše, pa je shodno tome, prihvatljivo sprovesti manje postupaka testi-ranja kako bi se data interna kontrola smatrala uspešnom.


Revizijski rizik se može dekomponovati na tri vrste rizika:129 a) inherentni rizik, b) kontrolni rizik i c) detekcioni rizik. a) Inherentni rizik Inherentni rizik predstavlja podložnost predmeta revizijskog

ispitivanja grešci koja može biti materijalna, a koja postoji bez uzi-manja u obzir da li su definisane neke interne kontrole za dato pod-ručje ili ne. Na primer, onlajn sistemi su visoko rizični s obzirom da eventualni propusti u njihovom funkcionisanju mogu imati ogroman uticaj na opstanak i poslovanje preduzeća. Sa druge strane, okruženje samostalnih računara je inherentno malo rizično, s obzirom na slab uticaj na organizaciju.

Kod revizije informacionog sistema, treba imati u vidu da se često inherentan rizik mora proceniti kao veoma visok, budući da se radi o složenim, međusobno isprepletanim elementima čije funkcio-nisanje zahteva puno znanja i interakcija, a eventualne greške mogu imati velike posledice po organizaciju (npr. greške u ERP sistemu, neovlašćen pristup bazama podataka, elektronske transakcije u inter-net bankarstvu, migracija podataka, bekap podataka i dr.). Na visok nivo inherentnog rizika utiče i činjenica da kada se revizija informa-cionog sistema izvodi u okviru interne revizije, za predmet revizor-skog ispitivanja se biraju oblasti koje su visoko rizične i, shodno tome, značajne za preispitivanje.

Procena inherentnog rizika kod revizije informacionog sistema vrši se na opštem i detaljnom nivou. Procena inherentnog rizika na opštem nivou znači da data procena utiče na veliki broj internih kon-trola vezanih za informacioni sistem. Na opštem nivou, na procenu inherentnog rizika utiču:130

▪ integritet, znanje i iskustvo menadžmenta informacionog sistema,

129

ISACA. (2010). IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. SAD: ISACA. str. 65 130

Ibid, str. 65


▪ promene u menadžmentu informacionog sistema, ▪ pritisci koji mogu uticati na menadžment informacionog

sistema da prikrije bitnu informaciju (kritični procesi za preduzeće, aktivnosti hakera i sl.),

▪ priroda poslovanja i sistema preduzeća (npr. planovi za uvođenje elektronske trgovine, kompleksnost sistema, nepostojanje integrisanog sistema),

▪ faktori koji utiču na delatnost preduzeća (npr. promene u tehnologijama, raspoloživost informatičkog osoblja),

▪ nivo uticaja trećih strana na kontrole sistema koji je pred-met revizije (npr. integracija kanala distribucije, autsorsing informatičkih procesa, zajednička ulaganja i direktan pris-tup kupaca informacionom sistemu).

Procena inherentnog rizika na detaljnom nivou znači da data

procena utiče na mali broj odnosno pojedinačnu internu kontrolu. Na detaljnom nivou, na nivo procenjenog inherentnog rizika utiču:131

▪ kada je revizija vršena poslednji put i kakvi su bili nalazi

revizije, ▪ kompleksnost sistema, ▪ nivo neophodnih manuelnih intervencija, ▪ podložnost gubitku ili pogrešnoj upotrebi resursa koje kon-

troliše informacioni sistem (npr. zalihe, zarade), ▪ verovatnoća preopterećenja poslom u toku perioda koji je

predmet ispitivanja revizije, ▪ aktivnosti koje nisu deo svakodnevnih rutina u informatič-

kim procesima, ▪ integritet, iskustvo i veštine menadžmenta i osoblja koje su

zadužene za date kontrole informacionog sistema. b) Kontrolni rizik Kontrolni rizik je „rizik da se u oblasti koja je predmet revizij-

skog ispitivanja može pojaviti materijalna greška koju sistem internih

131

Ibid, str. 65


kontrola neće pravovremeno sprečiti ili otkriti i ispraviti.“132 Kon-trolni rizik procenjuje se na osnovu uverenja revizora o pouzdanosti sistema internih kontrola. Procena kontrolnog rizika vrši se na nivou pojedinačnih kontrola i može biti preliminarna i konačna.

Preliminarna procena kontrolnog rizika vrši se u fazi planira-nja procesa revizije informacionog sistema. Cilj ove procene je da se odredi obim, priroda i vreme revizijskog testiranja. Viši nivo preli-minarnog kontrolnog rizika znači da revizor pretpostavlja da je inter-na kontrola koja je predmet razmatranja verovatno nepouzdana i da će konačne zaključke o postojanju nepravilnosti u informatičkim procesima morati bazirati na suštinskim testovima. Nizak nivo pre-liminarnog kontrolnog rizika znači da revizor ceni da je interna kon-trola verovatno dobra i da se zaključci revizije o postojanju nepravil-nosti u najvećoj meri mogu bazirati na kontrolnim testovima.

Na primer, kod eksterne revizije, ako se preispituje obračun amortizacije, revizor može na bazi upitnika steći saznanje da se obračun amortizacije vrši uz pomoć računara na pouzdan način te da, shodno tome, na bazi test podataka planira proveru aplikacije za obračun amortizacije. Suprotno, revizor može zaključiti da je aplika-cija za obračun amortizacije nepouzdana (nezaštićena, neintegrisana, netransparentna, ne održava se i sl.) što će zahtevati da se prilikom eksterne revizije uzme veliki broj analitičkih kartica osnovnih sred-stava kako bi se proverio obračun.

Slično tome, kod interne revizije, revizor može preispitivati da li se lozinke za pristup računarima redovno ažuriraju od strane zapos-lenih. Na bazi upitnika, revizor može steći saznanje da se koriste napredne funkcije operativnog sistema koje zahtevaju redovno ažuri-ranje pa će revizor proceniti kontrolni rizik za datu internu kontrolu kao nizak i planirati kontrole testove za uveravanje u održavanje lozinki putem operativnog sistema. Sa druge strane, revizor u fazi planiranja može steći saznanje da se za ažuriranje lozinki primenjuju pismene politike koje zahtevaju od zaposlenih da redovno ažuriraju lozinke, ali da dati zahtevi nisu ugrađeni u funkcionisanje operativ-nog sistema, što će u procesu revizije podrazumevati viši kontrolni rizik i zahtevati drugačije revizijske testove za prikupljanje informa-

132

Ibid, str. 65


cija o ažuriranju lozinki. Revizor može steći saznanje i da u preduze-ću ne postoje nikakve pisane procedure o obaveznosti ažuriranja lozinki od strane zaposlenih što će informacioni sistem učiniti još nepouzdanijim, a procenu kontrolnog rizika još višom.

Konačna procena kontrolnog rizika vrši se nakon sprovedenih kontrolnih testova. Tada revizor sa većom sigurnošću može formirati zaključak o tome u kojoj meri su testirane interne kontrole pouzdane, što će uticati na nastavak procesa revizije kao i na prezentaciju nala-za kao konačnog produkta procesa revizije informacionog sistema.

c) Detekcioni rizik Detekcioni rizik je „rizik da revizor informacionog sistema

postupcima suštinskog testiranja neće otkriti materijalne greške.“133 Procena detekcionog rizika zavisi od prirode informatičkog procesa koji se ispituje. Na primer, ako revizor treba da isčitava logove ope-rativnog sistema kako bi otkrio nepravilnosti, postoji visok rizik da revizor na ovaj način neće uspeti da otkrije materijalnu grešku. Sa druge strane, ako revizor ispituje da li postoji plan za oporavak sis-tema, tada je revizijski test uveravanja relativno jednostavan i mala je verovatnoća da će revizor pogrešno zaključiti da li plan oporavka sistema postoji ili ne postoji.

Prilikom planiranja obima suštinskog testiranja, treba imati u vidu međuzavisnost prihvatljivog revizijskog rizika, inherentnog rizika i kontrolnog rizika. Ova međuzavisnost može se iskazati sle-dećom formulom:

PRR = IR x KR x DR gde je: PRR – prihvatljiv revizijski rizik IR – inherentan rizik KR – kontrolni rizik DR – detekcioni rizik

133

Ibid, str. 66


Ovu formulu više treba shvatiti kao odnose komponenti rizika nego kao matematičku formulu za izračunavanje. U ispravnoj inter-pretaciji, ona znači da što je viši nivo inherentnog rizika i kontrolnog rizika za datu internu kontrolu, tada se prihvatljiv revizijski rizik može smanjiti kroz niži detekcioni rizik, odnosno većim obimom suštinskog testiranja. Ukoliko je manja verovatnoća da neka interna kontrola ne funkcioniše, tada se sa manjim obimom suštinskog testi-ranja može doći do prihvatljivog nivoa pouzdanosti zaključaka revi-zije.

7.6. Izrada plana i programa revizije Plan i program revizije predstavlja spisak revizijskih testova koji će biti sprovedeni, obim tih testova i vreme kada će biti sprovedeni. Plan i program revizije je rezultat prethodnog procesa planiranja. Moglo bi se reći da celokupni proces planiranja ima za cilj da se dođe do liste revizijskih testova koji će u konkretnom angažmanu biti sprovedeni.

Revizijski testovi mogu se podeliti na dve grupe, to su: ▪ kontrolni testovi, odnosno testovi usaglašenosti i ▪ suštinski testovi, odnosno detaljni testovi. Kontrolnim testovima utvrđuje se da li se kontrole koje su

povezane sa informacionim sistemom sprovode na efektivan i efika-san način. Cilj sprovođenja kontrolnog testa je uveravanje od strane revizora da se određena interna kontrola sprovodi na način na koji je revizor očekivao i na osnovu koje je preliminalno definisano kon-trolni rizik. Na primer, kada proverava da li se rezervne kopije pro-grama i podataka čuvaju na izdvojenoj lokaciji koja je fizički zašti-ćena od neovlašćenog pristupa, revizor treba da utvrdi postojanje rezervnih kopija na zaštićenoj lokaciji.

Sprovođenjem suštinskih testova utvrđuje se integritet stvarne obrade podataka. Na primer, revizor informacionog sistema može da testira obračun izlaza zaliha materijala po prosečnoj ceni na bazi uzorka analitičkih kartica materijala kako bi se uverio da se prosečna cena izračunava po pravilnom algoritmu i da se, u slučaju naknadnog


prijema fakture za zavisne troškove nabavke vrši korekcija prethod-nih izlaza na bazi preračunatih prosečnih cena.

Između kontrolnih i suštinskih testova postoji odnos komple-mentarnosti. To znači da se uveravanje može steći ili kroz kontrolne ili kroz suštinske testove i da je neophodno pronaći njihovu optimal-nu kombinaciju koja će rezultirati optimalnim korišćenjem revizij-skih resursa uz formiranje revizijskog zaključka sa prihvatljivim nivoom rizika greške. Odnos kontrolnih i suštinskih testova može biti prikazan na sledeći način:

Prikaz 25 Odnos kontrolnih i suštinskih testova u reviziji informacionog sistema

134 Razvijanje revizijskih testova koji će biti sprovedeni na bazi

stečenog razumevanja o predmetu ispitivanja može se vršiti na slede-ći način:

134



▪ korišćenjem revizijskih programa prethodnih godina, ▪ pomoću regulatornog okvira za reviziju informacionog sis-

tema (npr. Smernice za IT uveravanje na bazi COBIT-a, ISACA alati i tehnike za reviziju informacionog sistema, GTAG),

▪ pomoću javno dostupnih standardnih programa revizije, ▪ pomoću literature za reviziju informacionog sistema, ▪ kombinovanjem prethodnih izvora. Definisanje revizijskih testova biće prikazano na primeru

korišćenja Smernica za IT uveravanje na bazi COBIT-a:

Kontrolni cilj Parametri za

ostvarenje kon-trolnog cilja

Rizici ostvarenja kontrolnog cilja

ME03.03 Potvrditi usaglašenosti politika, principa, standarda, procedura i metodologija sa eksternim propisima

Dobra praksa u upravljanju regula-tornim zahtevima u okviru organizacije

Finansijski gubici i kazne Smanjenje zadovolj-stva kupaca i partnera Slučajevi koji nisu otkriveni negativno će uticati na performanse i reputaciju Povećana verovatno-ća pravnih sporova

Kontrolni testovi

Pregled IT politika, standarda, procedura i metodologija u organizaciji i utvrđivanje da li se one redovno i pravovremeno ažuriraju kako bi se izbegle neusaglašenosti (pravne i regulatorne).

Prikaz 26 Definisanje revizijskih testova za kontrolni cilj ME03.03

135

135

IT Gonvernance Institute. (2007). IT Assurance Guide: Using COBIT. www.isaca.org, pristupljeno dana: 9.12.2011. godine, str. 240


7.7. Prikupljanje dokaza izvođenjem revizijskih testova ISACA standard revizije informacionog sistema S6 – Sprovođenje revizijskog angažmana propisuje da „revizor informacionog sistema treba da prikupi dovoljne, relevantne i pouzdane dokaze.”136 Slično tome, ISACA standard revizije informacionog sistema S14 – Revi-zijski dokaz eksplicitno zahteva sledeće: „Revizor informacionog sistema treba da prikupi dovoljne i adekvatne dokaze koji trebaju da budu osnova za formiranje zaključaka revizije. Revizor informacio-nog sistema treba da vrednuje dovoljnost dokaza prikupljenih u toku revizije.”

137 Način zadovoljavanja zahteva ovih standarda razrađen je u

ISACA smernici revizije informacionog sistema G2 - Pribavljanje revizorskih dokaza. Revizijskim dokazom se može smatrati svaka informacija koja pomaže revizoru u ostvarenju postavljenih ciljeva. Pri tome, revizor treba imati u vidu da se prikupljanje dokaza ključni korak u svakom postupku revizije, te da se dokazi mogu prikupiti na različite načine i iz različitih izvora.

Osnovne osobine koje treba da zadovolji dokazni materijal u reviziji su:

a) dovoljnost, b) relevantnost i c) pouzdanost. Dovoljnost dokaznog materijala u reviziji znači da je revizor

prikupio dovoljno dokaza da bi mogao formirati mišljenje o predme-tu ispitivanja. Iako dovoljnost predstavlja meru kvantiteta dokaza, u suštini dovoljnost je teško kvantifikovati i brojčano izraziti i ova ocena se mora zasnivati na subjektivnoj proceni revizora koja zavisi od specifičnosti konkretnog revizijskog angažmana (procene materi-jalnosti, revizijskog rizika, prirode revizijskih testova i dr.).

136

ISACA. (2010). IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. SAD: ISACA. str. 14 137

Ibid, str. 23


Relevantnost revizijskog dokaza podrazumeva da se određena informacija može smatrati revizijskim dokazom samo ako pomaže revizoru da rasvetli okolnosti i stekne uverenje o karakteristikama koje su predmet revizijskog ispitivanja.

Pouzdanost revizijskog dokaza je nivo sigurnosti u zaključke koji se donose na bazi sprovedenih revizijskih testova. Različiti pos-tupci za prikupljanje dokaza u reviziji imaju različit nivo pouzdanos-ti. Procena pouzdanosti revizijskih dokaza zasniva se na sledećim parametrima:138

▪ nezavisnost izvora dokaza – Dokaz dobijen iz spoljašnjeg

izvora je pouzdaniji od internog izvora iz organizacije. ▪ kvalifikacije pojedinca koji obezbeđuje informacije/dokaze

– Bez obzira da li je izvor informacija interni ili spoljašnji, revizor informacionog sistema treba da uzme u obzir kvali-fikacije osobe koja mu daje informacije.

▪ objektivnost dokaza – Objektivni dokaz je pouzdaniji nego dokaz koji zahteva neko zaključivanje ili interpretaciju. Na primer, sticanje saznanja o aplikaciji na osnovu razgovora sa određenim zaposlenima ima mnogo manji stepen pouz-danosti od neposrednog testiranja aplikacije.

▪ izbor trenutka za prikupljanje dokaza – Revizor informaci-onog sistema treba da uzme u obzir vremenski period u kojem informacije postoje ili su dostupne za testiranje. Na primer, revizorski dokaz koji se obrađuje u elektronskoj razmeni podataka možda neće biti moguće ponovo pribaviti nakon određenog vremenskog perioda ako se promene u fajlovima ne arhiviraju. Na raspoloživost dokumentacije može uticati politika čuvanja dokumentacije u preduzeću.

Osnovni postupci za prikupljanje dokaza koji su definisani

regulatornim okvirom revizije informacionog sistema su sledeći:139

138

Bogovac M. (2007). Proces revizije informacionog sistema. Beograd: Fakultet organizacionih nauka. str. 49 139

ISACA. (2010). IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. SAD: ISACA. str. 31


▪ Ispitivanje ▪ Posmatranje ▪ Inspekcija ▪ Konfirmacije ▪ Ponovno izvođenje ▪ Nadgledanje (monitoring) Ispitivanje je postupak prikupljanja dokaza putem pismenih i

usmenih izjava lica koja mogu dati objašnjenja o predmetu revizij-skog ispitivanja. Kao primer može poslužiti tehnika intervjuisanja. „Intervjui su izuzetno značajni i zato treba da budu unapred priprem-ljeni i dobro organizovani, da prate definisati tok razgovora i da budu dokumentovani u obliku beleški sa intervjua. IT revizor treba uvek da ima na umu da je svrha ovakvog intervjua da prikupi revizorske dokaze, i da su ovi intervjui po svojoj prirodi informativni i ne treba da imaju optužujući ton.“140

Posmatranje kao postupak revizije podrazumeva posmatranje zaposlenih u izvođenju aktivnosti. Posmatranje može pomoći revizo-ru informacionog sistema u identifikovanju:141

▪ stvarnih funkcija – Posmatranje je najbolji test kojim se

proverava da li pojedinac koji obavlja konkretnu aktivnost zapravo osoba koja je autorizovana za obavljanje određene funkcije. To omogućava revizoru informacionog sistema da na licu mesta proveri razumevanje politika i procedura i njihovu primenu u praksi.

▪ stvarnih procesa/procedura – Prolazak kroz pro-ces/proceduru omogućava revizoru informacionog sistema da prikupi dokaze o usaglašenosti i uoči odstupanja, ako postoje.

▪ razumevanja sigurnosti – Treba proveriti kako zaposleni razumeju potrebe i značaj sigurnosti, kako bi se proverilo razumevanje i primena dobrih preventivnih i detektivnih

140

Bogovac M. (2007). Proces revizije informacionog sistema. Beograd: Fakultet organizacionih nauka. str. 50 141



sigurnosnih mera od strane zaposlenih kako bi se zaštiti imovina i podaci kompanije.

Inspekcija podrazumeva pregled dokumentacije i elektronskih

zapisa. Kao primer inspekcije možemo uzeti analizu organizacione strukture radi uvedi u adekvatnost segregacije dužnosti, pregled poli-tika i procedura za funkcionisanje informacionog sistema, uvid u ispise i izveštaje iz informacionog sistema i dr.

Konfirmacija podrazumeva prikupljanje pisanih izjava od tre-ćih strana koje mogu pružiti značajne informacije o posmatranim aspektima informacionog sistema. Konfirmacija se može koristiti prilikom razmatranja informacionog sistema u postupku eksterne revizije radi uveravanja u ispravnost obračuna tako što će se poslov-nim partnerima poslati zahtev za potvrđivanjem salda (npr. klijenti-ma lizing društva za obračun kamata po lizingu) ili recimo kada je izvršen autsorsing neke informatičke funkcije i sl.

Ponovno izvođenje kao postupak prikupljanja dokaza podra-zumeva da revizor ponovo izvodi neku operaciju koju izvodi i infor-macioni sistem kako bi se uverio u ispravnost rada. Na primer, korišćenje tehnike test podataka i paralelne simulacije, testiranje obračuna zarada i sl.

Nadgledanje (monitoring) se može koristiti u reviziji informa-cionog sistema za prikupljanje dokaza kada revizor nadgleda funkci-onisanje informacionog sistema korišćenjem neke od naprednih pris-tupa (npr. tehnika ugrađenog revizijskog modula, kontinuirana revi-zija i dr.).

ISACA smernicom G2 definisani su i sledeći načini prikuplja-

nja dokaza:142 1. Posmatranje procesa i fizičkog postojanja 2. Dokumentacioni dokaz 3. Reprezentacije 4. Analize

142



Primeri za date načine prikupljanja dokaza prikazani su u sle-dećoj tabeli:

Tabela 13 Načini prikupljanja dokaza u reviziji

informacionog sistema

Načini prikupljanja dokaza Primeri za načine prikupljanja dokaza

Posmatranje procesa i fizičkog postojanja

a) Skladištenje arhive na odvojenoj lokaciji b) Sistem fizičke sigurnosti u prostorijama sa

ključnom IT infrastrukturom

Dokumentacioni dokaz

a) Rezultati ekstrakcije podataka b) Zapisi transakcija c) Listing programa d) Fakture e) Logovi aktivnosti i kontrolni logovi f) Dokumentacija o razvoju sistema

Reprezentacije a) Pisane politike i procedure b) Dijagrami tokova c) Usmene i pismene izjave

Analize

a) Upoređivanje performansi informacionog sis-tema sa drugim organizacijama i prethodnim periodima

b) Upoređivanje stope grešaka u aplikaciji, tran-sakcijama i kod korisnika

Dokazi se mogu prikupiti korišćenjem manuelnih procedura,

tehnikama revizije uz pomoć kompjutera ili njihovim kombinova-njem. Na primer:

▪ u preduzeću se mogu koristiti manuelne procedure za pro-

veru kontrolnih totala prilikom unosa podataka u sistem. Revizor informacionog sistema može prikupiti zadovolja-vajući revizijski dokaz pregledom i testiranjem dokumen-tovanosti sprovedenih manuelnih procedura.

▪ detaljni zapisi o transakcijama mogu biti raspoloživi samo u elektronskoj formi. U tom slučaju, revizor informacionog sistema treba da koristi tehnike revizije uz pomoć kompju-tera.


7.8. Formiranje zaključaka revizije Nakon sprovođenja revizijskih testova, sledeći zadatak revizora je da razmotri rezultate testiranja u cilju formiranja zaključaka o perfor-mansama informacionog sistema. Zaključci koje formira revizor mogu zadirati u izuzetno osetljiva pitanja rukovođenja i odgovornos-ti. Zbog toga revizor može očekivati da će njegovi nalazi biti čitani veoma pažljivo i da mogu biti predmet velikog sporenja i otpora od strane osoba koje su imenovane kao odgovorne za nefunkcionalnosti informacionog sistema. Shodno tome, revizor mora biti siguran da će sve zaključke formirati na bazi adekvatnog dokaznog materijala kako bi mogao da odbrani svoje stavove.

Ocena internih kontrola vezanih za informacioni sistem vrši se sa stanovišta ostvarenja kontrolnih ciljeva koji su prepoznati u fazi planiranja revizije. Prilikom vrednovanja da li su neke kontrole nee-fektivne, revizor se koristi nivoima materijalnosti koji su definisani u fazi planiranja za svaku internu kontrolu, a koji ukazuju na to da li će kontrolni ciljevi biti postignuti ako data kontrola ne funkcioniše kako bi trebalo. U tom cilju, brojnost i priroda grešaka u funkcionisanju interne kontrole se upoređuju sa pragom materijalnosti. Ako revizor zaključi da su brojnost i priroda grešaka iznad nivoa materijalnosti za datu internu kontrolu, onda se interna kontrola smatra neadekvatnom, odnosno zaključuje se da kontrolni ciljevi ne mogu biti ostvareni. Da bi se data kontrola unapredila, neophodno je u revizorskom izveštaju obelodaniti identifikovane neadekvatne interne kontrole.

Za formiranje mišljenja o kvalitetu internih kontrola može se koristiti i Model za ocenu dostignuća koji je definisan u radnom okviru internih kontrola COBIT 5. Prema ovom okviru, interna kon-trola može dobiti jednu od sledećih ocena:143

0 – Nepotpuna 1 – Uvedena 2 – Rukovođena 3 – Uspostavljena 4 – Predvidljiva 5 – Optimizovana

143

Detaljnije videti u poglavlju 4.2.4. ove monografije


Nepotpuna interna kontrola smatra se neadekvatnom i o njoj je potrebno izvestiti nadležne kroz revizorski izveštaj i predložiti mere za njeno unapređenje. Ako interna kontrola dobije ocenu jedan, to znači da se za nju može reći da je zadovoljavajuća u smislu da ostva-ruje osnovni cilj zbog koje je uvedena. Ako interna kontrola dobije ocenu višu od jedan to znači da revizor informacionog sistema, a i nadležni organi mogu biti veoma zadovoljni načinom na koji data interna kontrola funkcioniše.

U slučaju kada revizor informacionog sistema utvrdi da postoji neka interna kontrola koja je slaba, potrebno je razmotriti i da li pos-toji neka kompenzujuća interna kontrola. Kompenzujuća interna kon-trola je kontrola koja nadoknađuje nefunkcionisanje ispitivane inter-ne kontrole budući da kontroliše istu oblast. Ako postoji kompenzu-juća kontrola i ako ona dobro funkcioniše, onda neadekvatnost pret-hodno testirane kontrole nije značajna.

U toku razmatranja internih kontrola revizor informacionog sistema može uočiti i postojanje tzv. preklapajućih kontrola. To su kontrole koje se odnose na istu oblast. Ponekad je postojanje prekla-pajućih kontrola neophodno, zbog toga što je određena oblast veoma značajna i visoko rizična. U drugim situacijama, one predstavljaju nepotrebno rasipanje informatičkih i ljudskih resursa pa se može predložiti eliminisanje nepotrebnih aktivnosti.

Pre konačnog formiranja zaključaka i njihovog javnog obelo-danjivanja, revizor informacionog sistema bi trebalo da još jednom potvrdi ili, bolje rečeno, proveri svoje viđenje slabosti u funkcionisa-nju informacionog sistema sa nadležnim rukovodiocima. Ukoliko se postigne saglasnost o nalazima revizije, bilo bi poželjno da se sa nad-ležnim licima usaglase rokovi za sprovođenje mera na otklanjanju nedostataka144.

Ovakav pristup predstavlja dobru poslovnu praksu rada revizo-ra. Budući da se u izveštaju revizora mogu navesti mere za otklanja-nje nedostataka, kao i rokovi i odgovorna lica za sprovođenje datih mera, prethodno usaglašavanje oko ovih osetljivih pitanja olakšaće prihvatanje revizorskog izveštaja.

144



7.9. Izveštavanje o rezultatima revizije informacionog sistema Po završetku sprovedenih postupaka, revizor informacionog sistema treba da sačini pisani izveštaj koji je namenjen rukovodstvu. Revi-zorski izveštaj je konačan i ključan produkt procesa revizije. Ruko-vodstvo kojem su namenjeni revizorski izveštaji ne mora biti upoz-nato sa procesom revizije i sprovedenim testovima, ali treba biti upo-znato sa rezultatima procesa revizije, odnosno sa revizijskim nalazi-ma. Revizorski izveštaj je jedini pisani dokumenat koji izlazi iz pro-cesa revizije i u kojem se sublimira celokupni proces i smisao revizi-je, te mu se zbog toga mora posvetiti izuzetna pažnja.

Izveštaj o nalazima revizije informacionog sistema, prema profesionalnim zahtevima definisanim u ISACA smernici revizije informacionog sistema G20 - Izveštavanje, treba da ima sledeće ele-mente:145

▪ naziv izveštaja, ▪ adresat, ▪ opis delokruga revizije, naziv entiteta ili dela entiteta koji

je obuhvaćen predmetom ispitivanja, uključujući: identifikaciju ili opis područja aktivnosti revizije, kriterijum koji je korišćen za formiranje zaključaka

revizije i uveravanja o informacionom sistemu, vremenski period na koji se odnosi rad revizora, izjavu da održavanje efektivne strukture interne kontrole

predstavlja odgovornost menadžmenta. ▪ identifikaciju svrhe za koju se izveštava o informacionom

sistemu, ▪ preporuke za korektivne akcije i odgovore menadžmenta,

kad se to smatra neophodnim, ▪ izraženo mišljenje o tome da li su kontrolne procedure efe-

ktivne, ▪ mesto i vreme izdavanja, ▪ potpis odgovornog lica i dr.

145

Ibid, str. 87-88


Kod izveštavanja o nalazima sprovedene revizije informacio-nog sistema treba imati u vidu da se revizija informacionog sistema obavlja kao sastavni deo eksterne revizije ili interne revizije, te da se izveštaji o funkcionisanju informacionog sistema moraju formirati po zahtevima eksterne odnosno interne revizije što u velikoj meri odre-đuje način prezentacije zaključaka revizije informacionog sistema.

Ako se informacioni sistem preispituje u okviru eksterne revi-zije, tada se izveštavanje o njegovim slabostima vrši kroz pismo rukovodstvu o slabostima, a ako se informacioni sistem razmatra kroz internu reviziju, tada se zaključci o informacionom sistemu daju u glavnom revizorskom izveštaju. Razlike u izveštavanju proističu iz razlika u prirodama procesa eksterne i interne revizije.

Budući da je cilj eksterne revizije izražavanje mišljenja o finansijskim izveštajima, u glavnom revizorskom izveštaju se daje mišljenje o istinitosti i objektivnosti finansijskih izveštaja, a otkriva-nje i obaveštavanje o slabostima u funkcionisanju sistema internih kontrola predstavlja dodatnu vrednost procesa eksterne revizije koje se kroz pismo o slabostima daju na uvid menadžmentu u cilju njego-vog unapređenja.

146 Kako informacioni sistem predstavlja integralni deo sistema

internih kontrola budući da su u funkcionisanje informacionog siste-ma ugrađene broje kontrole, u Pismu rukovodstvu se posebno može apostrofirati način funkcionisanja informacionog sistema. Izveštava-nje o slabostima u informacionom sistemu ne zahteva, dakle, posto-janje separatnog izveštaja, već je integrisano u Pismo rukovodstvu o svim slabostima u sistemu internih kontrola. Pri tome treba imati u vidu, da eksternom revizijom nije obuhvaćeno preispitivanje celoku-pnog informacionog sistema već onog dela opštih i aplikativnih kon-trola koje utiču na istinitost i objektivnost finansijskih izveštaja.

Pismo rukovodstvu u kojem se ukazuju na slabosti u funkcio-nisanju informacionog sistema mogu imati sledeću formu:

146

Andrić M., Krsmanović B., Jakšić D. (2013). Revizija – teorija i praksa, Suboti-ca: Ekonomski fakultet u Subotici. str 249


"Dunav" a.d. Novi Sad PISMO RUKOVODSTVU Poštovana gospodo, Nakon izvršene revizije finansijskih izveštaja "Dunav" a.d

Novi Sad, dostavljamo vam naše mišljenje o značajnijim slabostima koje su uočene u reviziji finansijskih izveštaja za period 01.01.2014-31.12.2014. godine.

(Izvod dela koji se odnosi na informacione tehnologije)

Sigurnost informacionog sistema ZAPAŽANJA PREPORUKE 1. Društvo nije izradilo i usvojilo for-

malne politike i procedure koje se tiču pitanja vezanih za informacionu sigurnost.

2. Društvo nije dokumentovalo vlas-ništvo nad podacima.

3. Klasifikacija dokumentacije obzirom na tajnost nije konzistentno odre-đena. U praksi često nije poznato kojoj kategoriji pripada dokument.

4. Preduzeće nije implementiralo sis-tem za automatsko gašenje požara u sistemskoj sobi. Za gašenje požara koristi se ručni aparat.

Rukovodstvo bi trebalo doneti i usvojiti politike i procedure upravljanja sigur-nošću informacionog sistema. Rukovodstvo bi trebalo izvršiti klasifika-ciju podataka obzirom na organizacionu odgovornost vlasništva nad podacima koji nastaju i koriste se u određenim poslovnim procesima. Poslovna bi dokumentacija trebala biti označena shodno usvojenoj klasifikaciji obzirom na tajnost povezanih informa-cija. U sistemskim sobama preporučujemo uvođenje sistema za automatsku dete-kciju i gašenje požara koji je baziran na plinovima koji nisu škodljivi za čoveka, elektronsku opremu, te za okolinu, poput FM-200, aero-K aerosol-u i sl.

Implementacija i upravljanje aplikativnim softverom ZAPAŽANJA PREPORUKE U toku revizije uočili smo da nje promenama u Društvu ne sprovo-di se sveobuhvatno niti konzistentno - u Solution Manager-u čuva se manji broj dokumenata od ukupnog broja promena koje su izvršene. Tokom perioda revizije nismo uspeli pribaviti

Rukovodstvo bi trebalo osigurati konzistentno sprovođenje usvojenih procedura upravljanjem promenama aplikacionih sistema, te osigurati revizorski trag implementiranih promena.


formalnu dokumentaciju za testni uzorak implementiranih promena u SAP sistemu (zahteve za promenom, testne planove, izveštaj o testiranju i odobrenja nadležnih osoba vezanih uz prenos promene u produkcijsko okruženje) vezanu uz upravljanje promenama za SAP aplikaciju. Operacije informacionog sistema ZAPAŽANJA PREPORUKE Na pregledanim interfejsima za prenos podataka iz postojećih IT sistema u SAP sistem, primećen je velik broj transakcija koje sadrže greške, što zahteva doradu interfejsa kako bi se prenos podataka odvijao nesmetano, bez potreba za dodatnim ispravkama. Poslovna posledica grešaka u prenosu podataka je povećana potreba za ručnim ispravkama podataka koji se prenose. Iako smo uspeli pribaviti dokaze o integracionom testiranju, Preduzeće nije dostavilo dokaze o prenosu testi-ranih sistema u produkcijski rad za vreme trajanja perioda revizije. Preduzeće nije definisalo procedure koje bi se poštovale prilikom pravlje-nja rezervnih kopija baze podataka i aplikacije. Izrada rezervnih kopija se ne vrši automatski, već se pokreće ručno, od strane operatera zaduženih za izradu rezervne kopije.

Rukovodstvo bi trebalo osigurati evidentiranje i autorizaciju ručno provedenih korekcija podataka u SAP produkcijskom okruženju. Rukovodstvo bi trebalo osigurati konzistentno sprovođenje usvojenih procedura upravljanjem promenama aplikacionih sistema, te shodno tome, nakon uspešno sprovedenog testiranja prihvatljivosti formalno odobriti implementaciju na produkcijski sistem. Procesi pravljenja rezervnih kopija tre-bali bi biti automatizovani kako bi se smanjio rizik ljudske greške, odnosno proceduralnog propusta.


Plan za nastavak poslovanja u slučaju katastrofe ZAPAŽANJA PREPORUKE Tokom revizije utvrdili smo da Druš-tvo nema definisan plan za nastavak poslovanja u slučaju katastrofe. Uopšteno, ne postoji sekundarna lokacija gde se smeštaju bekap trake i podaci koji bi omogućili vraćanje na neometan nastavak poslovanja u slučaju katastrofe u zgradi centrale. Takođe, ne postoji ni plan za nastavak poslovanja kojim bi se utvrdila strategija oporavka za kompletno poslovno okruženje u slučaju veće havarije. Plan za nastavak poslovanja je po svom konceptu širi nego plan za oporavak sistema. Fokus plana za oporavak sistema odnosi se uglavnom na informaciono okruženje, dok je cilj plana za nastavak poslovanja oporavak kritičnih poslovnih procesa Društva. Pod sadašnjim uslovima postoji zna-čajan rizik da u slučaju katastrofe Društvo ne bi bilo u stanju da oporavi informacioni sistem i ključne poslovne operacije bez značajnijih gubitaka.

Preporučujemo da se izradi “Analiza uticaja na poslovanje“ kako bi se odredilo koliki je maksimalni period vremena u kome Preduzeće može poslovati u slučaju katastrofe bez značajnijeg uticaja na najvažnije poslovne funkcije. Analiza uticaja na poslovanje bi trebalo da odredi strategiju oporavka usluga koje podržavaju najznačajnije poslovne funkcije. Tada se može pripremiti “Plan nastavka poslovanja” koji bi obuhvatio i informacioni sistem Preduzeća i druge, neračunarske sisteme. Drugi sistemi, kao što su telefoni, faks uređaji i drugi, treba da budu uključeni u "Plan nastav-ka poslovanja". Pomenuti plan bi tako postao set pojedinačnih planova koji bi se odnosili na korisničke procedure i servisne linije. Izrađene individualne planove trebalo bi redovno testirati da bi se identifikovali problemi u toku oporavka najvažnijih sistema i kako bi se utvrdilo da se oporavak može uspešno izvršiti u predviđenom vremenskom roku.

Nadamo se da će uočene slabosti biti otklonjene u što kraćem vremenskom peri-odu na vaše i naše zadovoljstvo. S poštovanjem, Novi Sad, 17.09.2015. godine. Ovlašćeni revizor, Zdravko Mitrović

Kod interne revizije, glavni cilj angažmana je formiranje zak-

ljučaka o internim kontrolama i u tom smislu se nalazi obelodanjuju


u glavnom revizorskom izveštaju u skladu sa profesionalnim zahte-vima interne revizije za formiranje revizorskog izveštaja.

Specifičnost izveštaja interne revizije o informacionom siste-mu predstavlja deo koji se odnosi na preporuke za unapređenje kon-trolnih procedura. Naime, izveštajem interne revizije se definišu odgovornosti za uočene slabosti u sistemu internih kontrola i predvi-đaju mere i rokovi za njihovo otklanjanje. Na ovaj način se nastoji obezbediti implementacija nalaza revizije kroz obavezivanje odgo-vornog rukovodstva da će na određeni način i u definisanim rokovi-ma preduzeti neophodne korektivne mere. Revizor mora biti oprezan kad u izveštaju predlaže mere i rokove za sprovođenje naknadnih akcija. On mora imati u vidu i objektivna ograničenja za implemen-taciju, u smislu broja zaposlenih, budžeta troškova i dr.

Ukoliko se revizor nije mogao usaglasiti sa nadležnim ruko-vodiocima u pogledu funkcionisanja internih kontrola, tada je neop-hodno u revizorskom izveštaju navesti oba stanovišta i razloge nes-laganja. Od višeg nivoa uprave ili revizorskog komiteta kojima se podnosi revizorski izveštaj očekuje se da nepristrasno vrednuju oba stanovišta i sami presude ko je u pravu.

7.10. Naknadne aktivnosti revizije na praćenju implementacije preporuka Prema ISACA standardu revizije informacionog sistema S8 – Nak-nadne aktivnosti, „nakon dostavljanja izveštaja sa nalazima i prepo-rukama revizije informacionog sistema, revizor informacionog sis-tema treba da zahteva i da vrednuje relevantne informacije kako bi utvrdio da li su preduzete odgovarajuće aktivnosti od strane mena-džmenta u skladu sa zaključcima revizorskog izveštaja.“147

U slučaju kada u izveštaju daje preporuke za unapređenje informacionog sistema uz identifikaciju odgovornih lica i rokova za njihovo sprovođenje, revizor informacionog sistema treba, dakle, da sprovede i naknadne aktivnosti kako bi se uverio da su preporuke implementirane u skladu sa izveštajem. Naknadnim aktivnostima

147



revizora informacionog sistema smatra se „proces sagledavanja ade-kvatnosti, efektivnosti i pravovremenosti akcija koje je preduzeo menadžment po primedbama i preporukama u izveštaju, uključujući i one koje su dali eksterni revizori i drugi.“148

Uobičajeno se smatra da naknadne aktivnosti na praćenju implementacije preporuka postoje samo kad se revizija informacio-nog sistema vrši kao deo interne revizije, ali moguće je da u skladu sa uslovima angažmana eksterni revizor informacionog sistema poveri praćenje svojih preporuka internim revizorima informacionog sistema149 na način na koji je to definisano ISACA smernicom revizi-je informacionog sistema G35 - Aktivnosti naknadne revizije.

Priroda, vreme i obim naknadnih aktivnosti zavise od nalaza revizije i efekata korektivnih akcija. Uobičajeno je da revizor infor-macionog sistema zahteva od nadležnih osoba da ga obaveste o pre-duzetim akcija nakon isteka rokova koji su definisani u revizorskom izveštaju. Obaveštenja odgovornih osoba bi trebala biti data u pisme-noj formi sa dovoljnim nivoom informativnosti i detaljnosti da revi-zor može da se uveri u stanje. Ponekad nadležne osobe mogu odlučiti da uz pisanu izjavu o statusu korektivnih mera dostave i dodatnu dokumentaciju iz koje se revizor može uveriti da su korektivne mere adekvatno preduzete što je svakako poželjno.

Po dobijanju informacija od nadležnih osoba, revizor informa-cionog sistema može se zadovoljiti odgovorima ili, ukoliko je predu-zimanje korektivnih mera izuzetno značajno za preduzeće ili postoji sumnja da su korektivne mere zaista i preduzete, može se smatrati neophodnim da se sprovedu dodatni postupci revizorskog testiranja.

Završni korak naknadnih aktivnosti revizije je formiranje izve-štaja o statusu korektivnih akcija u kojem je potrebno obelodaniti koje korektivne mere su sprovedene na adekvatan način, a koje nisu. Ovaj izveštaj se dostavlja revizorskom komitetu ili drugom nadlež-nom organu preduzeća. U izveštaju je posebno potrebno naglasiti slučajeve u kojem su odgovorna lica izjavila da su korektivne mere preduzete, a naknadnim revizijskim aktivnostima je utvrđeno da to ne odgovara činjeničnom stanju.

148

Ibid, str. 180 149

Ibid, str. 182


191 Savremen i t rendov i računovodstva i r ev i z i j e . . .

88.. RReevviizziijjsskkii ssooffttvveerr ii aallaattii

8.1. Primena kompjutera kao revizijskog alata U savremenim uslovima poslovanja, pred revizora se iznova postav-ljaju zahtevi za efikasnijim i efektivnijim sprovođenjem procedura revizije.150 Taj zahtev se u današnje vreme najuspešnije rešava korišćenjem računara od strane revizora uz primenu specijalizovanih revizijskih alata i tehnika.

Predviđanja da će se računar sve češće javljati kao revizijsko sredstvo proizilaze iz spoznaje njegovih karakteristika kao sredstva za procesiranje podataka i informacija. Njegove karakteristike kao što su brzina, preciznost, sposobnost masovnog računanja i moguć-nost memorisanja obimnih skupova podataka to bez svake sumnje potvrđuju. Osim toga, koristeći kompjuter, revizor može pristupiti kompjuterskim zapisima i generisati informacije koje mu u protiv-nom nisu dostupne. Tome još treba dodati i nepobitnu činjenicu da je testiranje i revizija integralnih skupova podataka tako obimna aktiv-nost da je upotreba računara sa ekonomsko-troškovnog stanovišta najpovoljnija. Na osnovu svega izloženog jasno je da revizor može korišćenjem računara kao alata u znatnoj meri proširiti i produbiti kako intenzivnost, tako i efikasnost revizije. U tu svrhu su razvijeni alati i tehnike revizije uz pomoć kompjutera.

Najznačajnije tehnike revizije uz pomoć kompjutera su: 1. test podaci, 2. integrisani test podaci, 3. paralelna simulacija i 4. onlajn revizijski monitor.151

150

Mijić K., Jakšić D. (2010). Primena kompjuterskih alata i tehnika prema fazama procesa revizije finansijskih izveštaja. Revizor. Beograd: Institut za ekonomiku i finansije. str. 65 151

Jakšić D., Mijić K. (2009). Integracija kompjuterski podržanih alata i tehnika u procesu revizije. Revizor. Beograd: Institut za ekonomiku i finansije. str. 11


Neke od ovih tehnika, kao npr. test podaci statički proveravaju funkcionisanje kompjuterskog sistema (tj. programi se ne koriste od strane klijenta dok ih revizor testira). Druge tehnike, kao npr. para-lelna simulacija testiraju funkcionisanje sistema dok se on koristi od strane klijenta.

Kompjuterski alati i tehnike mogu se koristiti u svim fazama revizijskog procesa. Osnovna pretpostavka za izbor alata ili tehnike za sprovođenje revizijskih postupaka jeste postojanje adekvatnog nivoa znanja revizora iz oblasti informatike i dostupnosti informaci-onih tehnologija.152

1. Test podaci Za realizaciju testiranja uz pomoć test podataka, revizor mora

kreirati izmišljene podatke koji će biti obrađeni od strane klijentovog kompjuterskog sistema, pod nadzorom revizora. Test podaci trebaju da sadrže podatke za koje se očekuje da budu obrađeni od strane sis-tema, kao i podatke koje sistem treba da odbaci jer nisu u skladu sa kontrolnim procedurama. Recimo, kod obračuna zarada, validan test podatak može biti realan broj časova efektivnog rada jednog radnika. Revizor želi da utvrdi da li se pravilno izračunava bruto zarada, obustave na zaradu (porezi i doprinosi) i preostali neto iznos zarade. Unos test podataka sa greškom bio bi pokušaj dodavanja nepostoje-ćeg radnika na platni spisak ili, recimo, radnika sa nerealno velikim brojem radnih časova. Za podatke sa greškom revizor očekuje od kompjuterskog sistema da javi nepravilnost i onemogući unos.

152

Mijić K., Jakšić D. (2010). Primena kompjuterskih alata i tehnika prema fazama procesa revizije finansijskih izveštaja. Revizor. Beograd: Institut za ekonomiku i finansije. str. 78


Prikaz 27 Test podaci Postupci vezani za test podatke su sledeći:153 1. pregleda se dokumentacija klijenta i utvrđuju njegove

interne kontrole, 2. kreiraju se simulirane transakcije, uključujući i primere

pogrešnih kako bi se testirale identifikovane interne kontro-le,

3. simulirane transakcije se unose na revizorove radne papire zajedno sa pretpostavljenim kompjuterskim rezultatima,

4. simulirane transakcije se obrađuju od strane kompjuterskog programa, a dobijeni rezultati se upoređuju sa prethodno pripremljenim (očekivanim).

U praksi se može desiti da revizoru od strane klijenta bude

podmetnut program koji dobro funkcioniše, ali da to nije onaj pro-gram koji klijent koristi u toku godine. Revizor i ovakvu mogućnost mora imati u vidu. Stoga je neophodno preventivno preduzeti odre- 153



đene mere opreza kao što je, na primer, iznenadno testiranje. Među-tim, problem iznenadnog izvođenja tehnike test podataka je u tome što ova tehnika zahteva dosta vremena, a klijent se nenajavljeno pre-kida u izvršavanju svakodnevnih poslova obrade transakcija. Jedno od mogućih rešenja je da se pri iznenadnoj poseti iskopiraju progra-mi klijenta (što iziskuje minimalno vreme), a pri nekoj od narednih poseta, kada klijentu to više odgovara, izvrši testiranje upotrebom test podataka. Ovako dobijeni rezultati se upoređuju sa rezultatima prethodno iskopiranog programa. Time se istovremeno potvrđuju i ispravnost obrade transakcija i korišćenje istovetne verzije programa.

I pored niza pogodnosti, testiranje primenom test podataka ima i ograničenja. Neka od njih su:

▪ uspešni rezultati test podataka ne znače neminovno da su

interne kontrole efektivne, jer se test podacima ne mogu obuhvatiti sve greške koje se mogu javiti u kompjuterskom sistemu,

▪ i pored svih mera predostrožnosti, revizor ne može biti siguran da li je program koji testira baš onaj koji klijent svakodnevno koristi (npr. kod ad-hok izmene programa tj. izvođenja ilegalne transakcije i vraćanja programa u pret-hodno stanje),

▪ za kreiranje test podataka je potrebno mnogo vremena, jer se test podacima moraju specijalno pripremati za svaku aplikaciju, što nužno izaziva i povećane troškove.

2. Integrisani test podaci Integrisani test podaci predstavljaju varijaciju tehnike test

podataka.154 Razlika je u tome što se, umesto provere funkcionisanja kompjuterskog informacionog sistema klijenta dok ga klijent ne kori-sti, kod primene integrisanih test podataka simulirani podaci pridoda-ju pravim podacima radi zajedničke obrade. Kao i kod test podataka, dobijeni kompjuterski rezultati se upoređuju sa prethodno izračuna-tim, očekivanim rezultatima. Da bi se izbegla kontaminacija stvarnih podataka klijenta, potrebno je osmisliti sistem razdvajanja i razliko- 154



vanja simuliranih podataka, kako bi se oni mogli ukloniti iz kompju-terskog sistema klijenta po završetku testiranja.

Prednost primene integrisanih test podataka je u tome što omogućuju revizoru da testira obradu podataka u stvarnim uslovima rada. Isto tako, pogodnost je i što kompjuter klijenta nije u potpunos-ti imobilisan u obavljanju svakodnevnih poslova za vreme dok se testiranje vrši (kao što je to slučaj kod tehnike test podataka).

Prikaz 28 Integrisani test podaci 3. Paralelna simulacija Za razliku od test podataka i integrisanih test podataka gde

revizor vrši testiranje pomoću simuliranih podataka, u paralelnoj simulaciji revizor koristi stvarne podatke. U paralelnoj simulaciji stvarni podaci se obrađuju i klijentovim i revizorovim programom, a zatim se dobijeni rezultati međusobno upoređuju radi otkrivanja raz-lika.

Prednost primene paralelne simulacije je u tome što revizijski programi mogu koristiti dodatne kontrole (kod test podataka revizor se mora ograničiti samo na kontrole u klijentovom programu). Zna-čajan nedostatak paralelne simulacije leži u visokom trošku pisanja jedinstvenih programa za svaku reviziju. Revizor, međutim, može koristiti univerzalne programe (delimično prilagođene) za paralelnu


simulaciju koje će koristiti za one procedure koje se ponavljaju u svakoj reviziji. Paralelna simulacija može biti izuzetno korisna za proveru izračunavanja amortizacije, kamate, poreza, visine odbitaka od zarada zaposlenih i dr.

Prikaz 29 Paralelna simulacija 4. Onlajn revizijski monitor Test podaci, integrisani test podaci i paralelna simulacija mogu

biti najbolja alternativa kada se vrši testiranje kontrola u sistemima u kojima se unos i obrada podataka vrše u paketnom obliku. Međutim, sistemi onlajn unosa i obrade u realnom vremenu (OLRT sistemi) zasnivaju se na drugačijim principima, principima koji zahtevaju specifične oblike testiranja. Test tehnika koja je razvijena za testira-nje upravo ovih sistema naziva se onlajn revizijski monitor. Ona obezbeđuje konstantno prisustvo revizora u obradi transakcija kroz ugradnju revizorskog programskog koda u klijentove programe za obradu transakcija. Revizorov kod je prisutan tokom cele godine ili bar u nekom dužem vremenskom periodu. Njegovo zadatak je da prati transakcije koje ulaze u kompjuterski sistem i da vrši uzorkova-nje u nepravilnim intervalima. Kriterijum za selekciju transakcija varira u zavisnosti od revizijskog plana.

U cilju integracije revizijskog koda u OLRT sistem, kompju-terski programi klijenta - operativni i aplikativni - moraju predvideti tačke u programu u kojima se revizijski kod može nesmetano prik-ljučiti. O tome se mora voditi računa na vreme (najbolje je, ukoliko


je moguće, u toku razvoja programa klijenta). Tačke u programu kli-jenta u kojima je moguće realizovati integraciju revizijskih program-skih modula u normalne procesne aktivnosti klijenta zovu se revizij-ske udice.155

Primena revizijskih modula treba omogućiti revizoru da selek-tuje one transakcije koje su interesantne za reviziju, kao što su tran-sakcije određene vrste ili transakcije sa neuobičajenim vrednostima (vrednostima iznad ili ispod neke zadate vrednosti). Recimo, klijent je informisao revizora da njegova računovodstvena politika zabranju-je davanje proizvoda na odloženo plaćanje preduzećima koja imaju neizmirene obaveze koje su starije od 90 dana, i da se preduzeće u svome radu toga striktno pridržava.

Za snimanje realnog stanja, revizor može koristiti onlajn revi-zijski monitor što podrazumeva sledeće korake:

1. Pri unosu transakcije u sistem klijenta, vrše se uobičajene

kontrolne procedure. 2. Nakon unosa, program klijenta dolazi do tačke (revizijske

udice) u kojoj se kontrola rada programa prenosi na revizij-ski modul. U našem primeru, instrukcijama revizijskog modula, a na osnovu šifre kupca, vrši se pretraga baze podataka kako bi se utvrdilo da li kupac ima obaveze pre-ma preduzeću koje su starije od 90 dana.

3. Ukoliko se otkriju transakcije koje zadovoljavaju zadati kri-terijum, izvršava se neka od prethodno programiranih revi-zijskih metoda. Dve najznačajnije revizijske metode koje se mogu koristiti u onlajn revizijskom monitoru su:

a) kreiranje revizijskog loga i b) obeležavanje transakcija.

Kreiranje revizijskog loga. Kod ove metode, identifikovane

transakcije ili događaji se zapisuju u poseban fajl koji je pod kontro-lom revizora (revizijski log). Revizor može kasnije odštampati log. 155



Na podacima iz loga mogu se vršiti različite tehnike analize i testira-nja.

Obeležavanje transakcija. Obeležavanje transakcija podrazu-meva viši nivo automatizacije testiranja nego što se to postiže kreira-njem revizijskog loga. Ovom metodom se selektovana transakcija markira dodavanjem indikatora (oznake). Prisustvo oznake omogu-ćuje praćenje transakcije kroz dalju obradu od strane sistema. Sistem je programiran tako da kreira zapis ili štampani izveštaj o nastavku procesiranja transakcija. U našem primeru, to bi značilo da se podaci o narudžbi kupca koji ima obaveze starije od 90 dana obeležavaju i za njih se prati dalji proces obrade. Revizor želi da vidi šta se sa porudžbinom kupca desilo - da li je klijent uočio da kupac ima neiz-mirene obaveze pa narudžba nije nikad izvršena ili je preduzeće odstupilo od svoje računovodstvene politike i datom kupcu izašlo u susret.

4. Po izvršenju instrukcija revizijskog modula, kontrola rada

se vraća programu klijenta koji nastavlјa normalno procesi-ranje od mesta gde je stao.

Onlajn revizijski monitor ima brojne prednosti. Kao prvo,

može se koristiti u radu na sistemima koji procesiraju transakcije neposredno po njihovom nastanku. Kao drugo, monitor se može koristiti, a da pri tome nisu narušene normalne procesne rutine kli-jenta. Nedostatak ovog pristupa može doći do izražaja ako klijent sazna koje transakcije su predmet interesovanja revizora. On tada može prilagoditi svoje ponašanje i izbeći otkrivanje nepravilnosti. Zato informacija o kriterijumima selekcije transakcija predstavlja poslovnu tajnu i od revizora se očekuje da se prema njoj odnosi sa dužnom pažnjom.

8.2. Revizorski softverski paketi U savremenim uslovima uz podršku informacionih tehnologija naj-veći deo revizorskog ispitivanja izvodi se korišćenjem softvera za reviziju bilo da se on realizuje na klijentovom ili vlastitom računaru. Efikasnost revizije uz takvu podršku je visoko povećana, a omogu-ćava revizoru da testira glavne datoteke, uputstva za korišćenje dato-


teka, istorijske podatke i pojedinačna knjiženja, tj. omogućava mu da testira sve podatke pohranjene u računaru.156

Generalizovani revizorski softver efikasno služi u: ▪ planiranju revizije, upravlјanju procesom revizije, ▪ kontroli osoblјa koje izvodi reviziju, ▪ kreiranju testova, ▪ izvođenju analitičkih procedura, ▪ dokumentovanju obavlјene aktivnosti u reviziji, tako u

principu može softverska sredstva koristiti za izvođenje tes-tova.157

Savremeni revizorski softveri projektovani su za obračunava-

nje, sumiranje, razvrstavanje, poređenje podataka i izradu specifika-cija za potrebu formiranja revizorskog mišlјenja.

U svetu gde je revizija razvijena u pravilu je najintenzivnija implementacija informacionih tehnologija. Revizija ne zaostaje u primeni novih dostignuća. Već je razvijeno i praktično funkcioniše više softvera za reviziju (ACL, IDEA i dr.).

Mnoge revizorske firme u svetu su razvile programe za testi-ranje valјanosti klijentovih programa, kao i za izvođenje brojnih revizorskih procedura. Ovakvi softveri za reviziju su pogodni za upo-trebu u različitim kompjuterskim sistemima. Generalizovani revizor-ski softver može biti usmeren da izvodi operacije procesiranja jedna-ke onima koje izvodi klijentov sistem obrade podataka. Ukoliko su rezultati procesiranja i revizorskog softvera i klijentovih programa identični može se zaklјučiti da klijent nema nepravilnosti u procesi-ranju.

Revizorski softver najviše se koristi za pretraživanje podataka klijenta koji su revizoru neophodni za testiranje. U izvođenju ovih funkcija programi revizije pretražuju podatke u klijentovim datote-

156

Andrić M., Jakšić D. (2001). Uticaj informacionih i telekomunikacionih tehnolo-gija na reviziju računovodstvenih izveštaja. Anali Ekonomskog fakulteta u Subotici. Subotica: Ekonomski fakultet u Subotici. str. 119. 157

Mijić K., Jakšić D. (2010). Primena kompjuterskih alata i tehnika prema fazama procesa revizije finansijskih izveštaja. Revizor. Beograd: Institut za ekonomiku i finansije. str. 69


kama udovolјavajući različitim zadacima revizije. Ovi softveri se koriste za:

a) Ispitivanje klijentovih knjiženja po pitanju kvaliteta, potpu-

nosti i sigurnosti U reviziji manuelnih sistema, revizori ispituju kvalitet, pouz-

danost i sigurnost klijentovih zapisa, putem vizuelnih opservacija. U elektronskim sistemima revizori ne mogu imati fizički kontakt sa kompjuterskim knjiženjima, pa se softver za reviziju koristi da pre-gleda klijentove datoteke od interesa za reviziju. Na primer računi potraživanja se mogu pregledati ispitivanjem salda.

b) Preformatiranje podataka i izvođenje analiza Revizorski softverski paketi mogu se koristiti za preformulisa-

nje podataka klijentovih datoteka u format koji je podesniji revizori-ma. Podaci klijentovih datoteka mogu se štampati u formatu koji odgovara radnim papirima revizije. Uz to je moguće izvoditi analiti-čke procedure raznih računovodstvenih stavki.

c) Biranje uzorka za reviziju Uzorci mogu biti izabrani iz klijentovih datoteka nasumice, ili

nekim drugim kriterijumom specificiranom od strane revizora. Uzo-rak podrazumeva deo populacije i kao takav treba da je reprezentati-van, odnosno da takav treba da je reprezentativan, odnosno da odra-žava karakteristike populacije koju predstavlјa. Izbor takvog uzorka je jednostavan ali istovremeno i testiran sa stanovišta njegovih obe-ležja.

d) Poređenje podataka odvojenih datoteka Kada su isti podaci sadržani u dve ili više datoteka programi

revizije upoređuju takve podatke u odvojenim datotekama, i identifi-kuju sva eventualna odstupanja. Npr. promene na računima potraži-vanja u jednom vremenskom periodu mogu se porediti sa promena-ma na žiro-računu i datotekama u kojima se ažurira prodaja.

Primena novih revizorskih softvera eliminiše najveći deo pos-

lova ispitivanja kontrolnih procedura i razvijanje pojedinačnih raču-narskih programa. Za korišćenje revizorskog softvera potrebno je


odgovarajuće znanje revizora iz oblasti informacionih i telekomuni-kacionih tehnologija, ali i saradnja sa klijentovim osoblјem. Primena revizorskog softvera ne sme potisnuti u drugi plan suštinu, cilјeve revizije niti kompetentnost revizora vezanu za računovodstvo i revi-ziju. Znanje iz informacionih oblasti treba shvatiti u smislu održava-nja kompentnosti.

8.3. Unapređenja procesa revizije razvijanjem softverskog rešenja na bazi upravljanja poslovnim procesima Cilj revizijske firme može se posmatrati sa stanovišta korisnika finansijskih izveštaja i sa stanovišta vlasnika revizijske firme. Svrha revizijske firme iz perspektive korisnika finansijskih izveštaja ogleda se u obezbeđivanju kvalitetnog sistema finansijskog izveštavanja, koji će omogućiti efikasnu alokaciju ograničenih resursa i zadovoljiti pojedinačni i opšti javni interes. Sa druge strane, vlasnici revizijskih firmi imaju za cilj dugovečnost poslovanja, uz ostvarivanje što boljeg rezultata.158 Revizija finansijskih izveštaja predstavlja veoma značaj-nu uslugu svake revizijske firme, jer obezbeđuje približno polovinu ukupnog poslovnog prihoda.159 Da bi se ostvarile dobre performanse poslovanja revizijske firme, neophodno je da se revizijski angažman sprovodi na efikasan i kvalitetan način poštujući zahteve revizijske regulative. Obzirom da je vreme za sprovođenje revizije ograničeno, efikasnost kao mera performanse revizije finansijskih izveštaja se unapređuje skraćenjem vremena i troškova sprovođenja revizijskih aktivnosti, a povećanjem pouzdanosti, relevantnosti i dovoljnosti dokaza na kojima se zasniva mišljenje revizora.160 Pretpostavka za kvalitetnu realizaciju procesa revizije jeste sprovođenje svih revizij-

158

Mijić, K., Jakšić, D., Vuković, B. (2014). Uticaj saturacije revizorskog tržišta na poslovanje novih firmi. Ekonomski pogledi. Vol. 16. Br. 3. str. 27. 159

Opširnije videti: IAB Editorial. (2012). World Survey: M&A Overview. Interna-tional Accounting Bulletin IAB 501. 02/2012. str. 7 160

Mijić K., Vuković B. (2013). Kako unaprediti efikasnost i kvalitet procesa revizi-je finansijskih izveštaja? VIII Kongres računovođa i revizora Crne Gore. Bečići: Institut sertifikovanih računovođa Crne Gore. str. 208


skih aktivnosti prema definisanim Međunarodnim standardima revi-zije i zakonskom regulativom.

U cilju unapređenja efikasnosti i kvaliteta sprovođenja revizij-skih angažmana revizorske firme koriste različite softvere, koji zamenjuju manuelnu realizaciju i automatizuju samo određene revi-zijske aktivnost.

8.3.1. Ograničenja efikasnog i kvalitetnog sprovođenja revizije finansijskih izveštaja Kompleksnost postupka revizije finansijskih izveštaja otežava adek-vatnu realizaciju revizijskog angažmana. Kao problemi adekvatne realizacije revizije finansijskih izveštaja mogu se identifikovati sle-deći:161

▪ Postojanje velikog broja revizijskih zadataka koje treba rea-lizovati, a koji su definisani profesionalnom i zakonskom regulativom revizije.

▪ Između revizijskih aktivnosti postoji utvrđen redosled i odnos međuzavisnosti, u pogledu postojanja pravila sek-vencijalne, paralelne realizacije zadataka i nemogućnosti početka realizacije naredne aktivnosti ukoliko aktivnosti koje prethode nisu okončane.

▪ Nije dovoljno samo sprovesti revizijske zadatke, nego je neophodno i dokumentovanje celokupnog postupka revizi-je. Dokumentovanje revizijskih aktivnosti, kao i dokumen-tovanje svih revizijskih dokaza predstavlja garanciju o načinu i kvalitetu sprovođenja revizijskog angažmana.

▪ Vreme za sprovođenje revizijskog angažmana je ograniče-no. Brojne revizijske aktivnosti utvrđene planom i progra-mom revizije se moraju realizovati u određenom vremen-skom periodu. Nesprovođenje revizijskih zadataka u defini-sanom vremenskom okviru za posledicu može imati izda-vanje revizijskog izveštaja koji nije podržan sa dovoljno kompetentnih dokaza, ili kasno izdavanje revizijskog izveš-

161

Mijić K. (2014). Integracija procesa revizije finansijskih izveštaja u funkciji una-pređenja performansi revizijske firme. Subotica: Anali Ekonomskog fakulteta u Subotici. Br. 32. str. 428-429.


taja koje gubi ulogu i značaj u procesu poslovnog odluči-vanja.

▪ Revizija se sprovodi od strane revizijskog tima u kojem treba da se definiše jasna segregacija dužnosti, odgovornos-ti, kao i da se obezbedi koordinacija u radu, nadzor i pre-gled realizacije postupaka.

▪ Ovlašćeni revizor preuzima odgovornost za kvalitet spro-vedenog revizijskog angažmana i kvalitet izdatog revizij-skog izveštaja. Ovlašćeni revizor nije uključen u realizaciju svih revizijskih aktivnosti, može nastati problem sticanja uveravanja u rad revizorskog tima i preuzimanja odgovor-nosti za sprovođenje revizije. U cilju rešavanja navedenog problema, neophodno je uspostaviti adekvatan sistem nad-zora i kontrole sprovođenja revizijskog angažmana koji će omogućiti ovlašćenom revizoru uvid i kontrolu rada revi-zorskog tima.

▪ Nesprovođenje svih revizijskih aktivnosti propisanih regu-lativom može uzrokovati izricanje disciplinskih mera i san-kcija za revizorsku firmu od strane ovlašćenih nadzornih organa za kontrolu kvaliteta rada revizorskih firmi. Pored toga, prisutna je i mogućnost gubitka reputacije revizorske firme, koja se stiče poverenjem klijenata u kvalitet pružanja revizorskih usluga i značajna je za održavanje poslovnih odnosa sa klijentima.

Prilikom rešavanja problema adekvatnog sprovođenja revizije

finansijskih izveštaja u praksi se koriste različiti pristupi zasnovani na manuelnim postupcima ili na primeni softverskih aplikacija. Obzi-rom da realizacija revizijskih aktivnosti manuelnim putem ne dopri-nosi efikasnosti i povećava rizik nastanka grešaka, u reviziji se sve više koriste revizijski softveri koji automatizuju realizaciju revizij-skih testova kao što su sprovođenje analitičkih postupaka, uzorkova-nje, utvrđivanje duplih i nedostajućih podataka i sl. Osim programa za automatizaciju revizijskih testova, u reviziji finansijskih izveštaja


koriste se i programi za obradu dokumenata, komunikaciju i slično.162 Korišćenje različitih softverskih rešenja koja nisu međusobno inte-grisana, zahteva od revizora poznavanje rada u većem broju progra-ma i može dovesti do narušavanja integriteta podataka i integriteta u funkcionisanju softvera. Takođe, navedena softverska rešenja ne pra-te reviziju na sveobuhvatan način kao kontinuiran proces, nego pot-pomažu rad revizora u pojedinim aktivnostima revizijskog angažma-na, što onemogućuje uvid u celinu procesa revizije, pa je moguće da se ne sprovedu sve revizijske aktivnosti. U takvim okolnostima pri-sutan je visok rizik narušavanja kvaliteta revizije finansijskih izvešta-ja, odnosno realizacije revizije ne uvažavajući u potpunosti metodo-logiju i zahteve procesa revizije. Kako bi se omogućilo adekvatno upravljanje revizijom finansijskih izveštaja na efikasan i kvalitetan način, potrebno je implementirati u revizorsku firmu softversko reše-nje koje će omogućiti upravljanje i realizaciju celokupnom revizijom finansijskih izveštaja na način da su sve revizijske aktivnosti sprove-dene i dokumentovane u skladu sa regulativom.

8.3.2. Identifikovanje obeležja revizije finansijskih izveštaja kao poslovnog procesa Revizija finansijskih izveštaja predstavlja poslovni proces na nivou revizijske firme. Obzirom na specifične karakteristike revizije finan-sijskih izveštaja u pogledu postajanja velikog broja jasno definisanih aktivnosti, segregacije dužnosti, jednoobrazne dokumentacije i slič-no, može se zaključiti da revizija finansijskih izveštaja ispunjava definiciju i kriterijume poslovnog procesa.163 Prema Hameru, poslov-ni proces bilo koje organizacije se definiše kao skup aktivnosti pri kojima se iskorišćavaju ulazi (inputi) i stvaraju izlazi (autputi) dono-seći vrednost potrošaču.164 U reviziji finansijskih izveštaja, revizij- 162

Opširnije videti: Mijić K., Jakšić D. (2010). Primena kompjuterskih alata i tehni-ka prema fazama procesa revizije finansijskih izveštaja. Revizor. Beograd: Institut za ekonomiku i finansije. str 65-86 163

Mijić K., Vuković B. (2013). Kako unaprediti efikasnost i kvalitet procesa revizi-je finansijskih izveštaja? VIII Kongres računovođa i revizora Crne Gore. Bečići: Institut sertifikovanih računovođa Crne Gore. str. 211 164

Hammer, M., Champy, J. (1993). Reengineering the Corporation: A Manifesto for Business Revolution. London: Harper Collins. str. 34


skim aktivnostima se obrađuju informacije o klijentu revizije i dobi-jaju revizijski dokazi koji služe za formiranje revizijskog mišljenja kao krajnjeg produkta procesa revizije. Revizijsko mišljenje u formi revizijskog izveštaja stvara vrednost za donosioce poslovnih odluka kroz povećanje pouzdanosti finansijskih informacija za poslovno odlučivanje.

Revizija finansijskih izveštaja kao poslovni proces ispunjava kriterijuma (obeležja) poslovnog procesa, prema kojima svaki poslo-vni proces mora da ima:165

▪ svrhu - revizija finansijskih izveštaja ima svoju svrhu u

vidu izražavanju revizijskog mišljenja i zadovoljavanja informacionih potreba donosioca poslovnih odluka

▪ vlasnika procesa - ovlašćeni revizor snosi krajnju odgovor-nost za reviziju finansijskih izveštaja i identifikuje se kao vlasnik procesa revizije finansijskih izveštaja

▪ početak i kraj procesa - revizija finansijskih izveštaja zapo-činje aktivnostima prihvatanja klijenta, a završava se izda-vanjem revizorskog izveštaja,

▪ ulaze i izlaze procesa - kao ulazi u procesu revizije finan-sijskih izveštaja javljaju se informacije o klijentu, čijom obradom se dobijaju revizijski dokazi kao izlazi, koji služe za formiranje krajnjeg izlaza procesa revizije, odnosno revizijskog mišljenja

▪ propisan redosled realizacije aktivnosti - proces revizije finansijskih izveštaja sastoji se od redosleda aktivnosti definisanog profesionalnom i zakonskom regulativom.

▪ mogućnost merenja uspešnosti realizacije procesa - revizija finansijskih izveštaja je uspešno završena ako je izdato adekvatno mišljenje u predviđenom vremenskom periodu koje će služiti za poslovno odlučivanje.

▪ učesnike i korisnike procesa - revizija finansijskih izveštaja kao poslovni proces ima definisane unutrašnje učesnike procesa u vidu revizijskog tima i spoljne učesnike kao što

165

Mijić K. (2014). Integracija procesa revizije finansijskih izveštaja u funkciji una-pređenja performansi revizijske firme. Subotica: Anali Ekonomskog fakulteta u Subotici. Br. 32. str. 430.


su klijent revizije, njegovi poslovni partneri, kao i korisnike procesa koje predstavljaju naručioci revizijskog angažmana i drugi korisnici revizijskog izveštaja.

Obzirom da revizija finansijskih izveštaja predstavlja poslovni

proces, pred revizijske firme se postavlja mogućnost da se revizijom finansijskih izveštaja upravlja na sveobuhvatan način na bazi poslov-nih procesa. Pri iznalaženju adekvatnog rešenja za upravljanje revizi-jom, procesu revizije finansijskih izveštaja potrebno je pristupiti kao skupu aktivnosti kojima se upravlja kroz metodologiju i softversko rešenje za upravljanje poslovnim procesima.

8.3.3. Metodološki koraci upravljanja revizijom finansijskih izveštaja kao poslovnim procesom Softversko rešenje za upravljanje poslovnim procesima predstavlja „novu generaciju softverskih rešenja koje pruža mogućnost organi-zacijama da realizuju koncept upravljanja poslovnim procesima pri-menom informacionih tehnologija. Softverska rešenja za upravljanje poslovnim procesima integrišu ljude, informacione tehnologije i podatke u realizaciji poslovnih procesa.“166 Osnovna obeležja softve-ra za upravljanje poslovnim procesima ogledaju se u definisanju i praćenju realizacije aktivnosti poslovnog procesa, automatskom krei-ranju dokumenata i njihovom arhiviranju, kao i obezbeđivanju siste-ma kontrole i monitoringa realizacije procesa od strane ovlašćenih lica.

Softverska rešenja za upravljanje poslovnim procesima imaju ulogu da obezbede ostvarivanje postavljenih organizacionih ciljeva. Izbor adekvatnog softverskog rešenja za upravljanje poslovnim pro-cesom treba da se rukovodi potrebama organizacije, a ne trendom i modelom softvera koji koriste konkurentske organizacije.167 Detaljni-je posmatrano uloga softverskih rešenja za upravljanje poslovnim

166

Chang, J. (2006). Business Process Management Systems. Boca Raton: Auerbach Publication. str. 50 167

Jakšić D., Mijić K. (2012). The Methodology of Business Process Management Using Software Solution. II International Symposium Engineering Management and Competitiveness. Zrenjanin: Tehnološki fakultet. str. 57


procesima u realizaciji ciljeva ostvaruje se kroz realizaciju pojedina-čnih ciljeva, odnosno ostvarivanjem:168

▪ efikasnosti realizacije procesa i procesnih aktivnosti, ▪ efikasnog iskorišćenje resursa, ▪ tržišne efikasnosti, ▪ segregacije dužnosti, ▪ motivacije zaposlenih. Kako bi revizorske firme ostvarile navedene prednosti uprav-

ljanja procesom revizije finansijskih izveštaja primenom softverskog rešenja za upravljanje poslovnim procesima, nije dovoljno samo da se na nivou revizijske firme donese odluka o uvođenju softverskog rešenja. Postupak implementacije i upravljanja procesom revizije finansijskih izveštaja primenom softverskog rešenja podrazumeva investiranje, koje će predstavljati samo trošak za revizijsku firmu ako se ne izvrši uspešna implementacija. Uspešno upravljanje procesom revizije finansijskih izveštaja primenom softverskog rešenja zasniva se na sledećim metodološkim koracima:

1. Specifikacija procesa revizije finansijskih izveštaja 2. Rešavanje problema adekvatnosti softvera za upravljanje

procesom revizije finansijskih izveštaja 3. Dizajn modela za realizaciju procesa revizije finansijskih

izveštaja primenom softverskog rešenja 4. Uvođenje softverskog rešenja u revizorsku firmu 5. Realizacija, monitoring i administriranje procesa revizije

finansijskih izveštaja

168

Muehlen M. (2002). Workflow-Based Process Controlling. Berlin: Logos Verlag. str. 111


Prikaz 30 Kontinuirani metodološki koraci upravljanja procesom revizije finansijskih izveštaja primenom softverskog rešenja

za upravljanje poslovnim procesima169

Specifikacija poslovnog procesa revizije finansijskih izveš-

taja Specifikacija poslovnog procesa revizije finansijskih izveštaja

podrazumeva definisanje njegove strukture i atributa po pitanju iden-tifikacije:

▪ aktivnosti procesa revizije finansijskih izveštaja - određi-

vanje revizorskih aktivnosti, redosleda i odnosa međuzavi-snosti

▪ učesnika u reviziji finansijskih izveštaja - definisanje segregacije dužnosti i ovlašćenja između članova revizor-skog tima (ovlašćeni revizor, revizor rukovodilac i revizor pripravnik)

169



▪ vremena realizacije aktivnosti procesa revizije finansijskih izveštaja

▪ dokumentacije i toka dokumentacije - određivanje doku-mentacije i obaveznog sadržaja revizijskog dosijea.

Adekvatnost softvera za upravljanje procesom revizije

finansijskih izveštaja Na tržištu postoji veliki izbor softvera za upravljanje poslov-

nim procesima koji se razlikuju prema funkcionalnim karakteristi-kama, tehničkoj infrastrukturi, upotrebljivosti, cenovnom aspektu i vidovima podrške koje pružaju dobavljači. Problem adekvatnosti softvera za upravljanje procesom revizije finansijskih izveštaja moguće je rešiti upravo analizom navedenih faktora izbora softvera. Postupak rešavanja problema adekvatnosti izbora softverskog rešenja za upravljanje procesom revizije predstavljen je na sledećem prikazu.


Prikaz 31 Koraci za rešavanje problema izbora adekvatnog softvera za upravljanje procesom revizije

1. Funkcionalnost softverskog rešenja za upravljanje poslov-

nim procesima podrazumeva da softversko rešenje ispunjava sve definisane zahteve poslovnog procesa revizije finansijskih izveštaja. Prilikom analize funkcionalnosti u razmatranje se uzimaju sledeće sposobnosti softverskog rešenja:

▪ Funkcije modelovanja: Modelovanje svih atributa procesa revizije, Semantička provera modela.


▪ Funkcije realizacije procesa revizije model zasnovan na internet tehnologiji, integrisanje svih aktivnosti procesa revizije, automatizacija određenih aktivnosti procesa revizije

(kreiranje dokumenata, arhiviranje, procena i alokacija materijalnosti, izračunavanje analitičkih pokazatelja i sl.),

integracija sa drugim softverima potrebnim za proces revizije (baze podataka, programi za obradu teksta, pro-grami za elektronsku poštu i sl.),

raspodela dužnosti i ovlašćenja između članova revizij-skog tima na osnovu identifikacije i autorizacije.

▪ Funkcije monitoringa i analize sprovođenja monitoringa od strane generalnog direktora

revizijske firme, merenje i izveštavanje o performansama aktivnosti i

celokupnog procesa revizije. ▪ Funkcije optimizacije prilagodljivost modela specifičnim zahtevima procesa

revizije, unapređenje postojećeg modela.

2. Razmatranje tehničke infrastrukture kao podrške u funkcio-

nisanju softverskog rešenja za upravljanje poslovnim procesom zas-niva se na sledećim osnovnim aspektima:

▪ hardverska i softverska podrške za server, ▪ hardverska i softverska podrška za klijent računare, ▪ internet servisi, ▪ baze podataka i sl. 3. Upotrebljivost softverskog rešenja za upravljanje poslovnim

procesima odnosi se na jednostavnost po pitanju razumevanja, učenja i prihvatanja softverskog rešenja od strane korisnika. Prilikom raz-matranja upotrebljivosti u obzir se uzima sledeća grupa pitanja:

▪ Da li članovi revizorskog tima pristupaju softveru putem

identifikacije?


▪ Da li postoji uputstvo za upotrebu integrisano u softver-skom rešenju?

▪ Da li postoji uputstvo za upotrebu on line? 4. Odlučivanje o izboru softverskog rešenja za upravljanje

poslovnim procesima se vrši na osnovu analize cenovnih komponenti softverskog rešenja:

▪ cena softverskog rešenja, ▪ cena licence, ▪ troškovi održavanja, ▪ troškovi obuke članova revizorskog tima. 5. Odluka o izboru određene vrste softverskog rešenja zasniva

se i na analizi proizvođača i distributera softverskog rešenja koja obuhvata razmatranje pitanja:

▪ Da li dobavljač pruža podršku? ▪ Da li dobavljač organizuje obuku? Dizajniranje modela integrisanog upravljanja revizijom

finansijskih izveštaja Osnovna svrha faze dizajniranja integrisanog modela automa-

tizovanog upravljanja procesom revizije finansijskih izveštaja jeste da se kreira efikasan model i testira njegova pouzdanost. Postupak dizajniranja modela integrisanog upravljanja revizijom finansijskih izveštaja primenom softverskog rešenja prolazi kroz nekoliko eta-pa:170

▪ grafičko dizajniranje modela, ▪ kreiranje formi (korisničkog interfejsa), ▪ kreiranje radnih papira revizije, ▪ definisanje redosleda realizacije revizijskih aktivnosti,

170



▪ kreiranje korisnika i određivanje segregacije dužnosti i ovlašćenja,

▪ kompletiranje razvoja softverskog rešenja za upravljanje revizijom finansijskih izveštaja,

▪ simulacija kreiranog modela. Faza dizajniranja završava se pozitivnom ocenom testiranja

(simulacije) modela primenom test podataka. Simulirani podaci ili test podaci predstavljaju izmišljene podatke u vezi revizijskih anga-žmana koji se obrađuju primenom kreiranog modela, radi testiranja ispravnosti kreiranog modela. Test podaci treba da sadrže podatke koji se očekuju da budu obrađeni od strane modela, kao i podatke koje model treba da odbaci, jer nisu u skladu sa postavljenim kon-trolnim procedurama. Rezultat sprovedene simulacije može da ukaže na nepravilnosti u kreiranom modelu koje je potrebno korigovati i ponovo testirati. Kada rezultat određenog broja simulacija ukaže na ispravnost modela, onda se može vršiti uvođenje softverskog rešenja za upravljanje procesom revizije u revizijsku firmu u cilju upravlja-nja realnim revizijskim angažmanima.

Uvođenje softverskog rešenja u revizijsku firmu Uvođenje softverskog rešenja za upravljanje procesom revizije

podrazumeva instalaciju softverskog rešenja na server i klijent raču-nare i sprovođenje finalnih procedura u cilju omogućavanja efikasne i kvalitetne realizacije revizije. Postupak uvođenja softverskog reše-nja u revizorsku firmu zasniva se na sledećim aktivnostima:

▪ instalacija, konfiguracija i testiranje, ▪ dokumentovanje procesa revizije finansijskih izveštaja, ▪ obuka zaposlenih i obezbeđivanje uputstva za upotrebu, ▪ testiranje zaposlenih i ▪ kontinuirana obuka i pomoć isporučioca softverskog reše-

nja.


Realizacija i monitoring Nakon što se softversko rešenje adekvatno implementira u

revizorsku firmu, sledi realizacija revizorskih angažmana primenom softverskog rešenja. U toku upotrebe softverskog rešenja za uprav-ljanje poslovnim procesom revizije finansijskih izveštaja potrebno je obezbediti kontinuirani monitoring prethodno definisanih performan-si procesa revizije. Monitoring realizacije revizijskih angažmana zasniva se na merenju i analizi performansi procesa kao što su npr. vreme realizacije celokupnog revizijskog angažmana, vreme realiza-cije pojedinih revizijskih aktivnosti, vreme realizacije revizijskih aktivnosti po revizoru, broj nedostajuće dokumentacije i sl. Osnovna svrha monitoringa performansi procesa revizije jeste da se na osnovu analize performansi procesa revizije, uoče nedostaci i mogućnosti unapređenje postojećih performansi procesa. Proces unapređenja postojećih performansi podrazumeva funkciju administriranje odno-sno izmenu postojećeg modela.

Aktivnosti razvoja integrisanog modela automatizovanog

upravljanja procesom revizije finansijskih izveštaja

Cilj

1. Specifikacija procesa revizije finansijskih izveštaja

Definisati strukturu i atribute procesa revizije finansijskih izveštaja specifičnog

na nivou revizijske firme.

2. Rešavanje problema adekvatnosti softvera za

upravljanje procesom revizije finansijskih izveštaja

Izbor najpovoljnijeg softvera koji u potpunosti ispunjava zahteve upravljanja procesom revizije finansijskih izveštaja.

3. Dizajn modela integrisanog upravljanja revizijom finansijskih izveštaja primenom softverskog

rešenja

Kreiranje, testiranje i izrada pouzdanog, efektivnog i efikasnog modela

integrisanog upravljanja revizijom finansijskih izveštaja.


4. Uvođenje softverskog rešenja u revizijsku firmu

Adekvatna implementacija modela integrisanog upravljanja revizijom

finansijskih izveštaja u revizijsku firmu u što kraćem vremenu, uz obezbeđivanje obuke zaposlenih i smanjivanje rizika od otpora zaposlenih usled uvođenja novih

tehnologija.

5. Realizacija, monitoring i administriranje

Realizacija revizijskih angažmana i kontinuirano praćenje, merenje, analiza i

unapređenje performansi realizacije procesa revizije finansijskih izveštaja.

Prikaz 32 Pregled aktivnosti i ciljeva aktivnosti razvoja modela automatizovanog upravljanja procesom revizije finansijskih izveštaja

primenom softverskog rešenja171

8.3.4. Rezultati istraživanja efikasnosti i kvaliteta revizije finansijskih izveštaja primenom softverskog rešenja za upravljanje poslovnim procesom U cilju istraživanja da li se unapređuje efikasnost i kvalitet realizacije revizije finansijskih izveštaja primenom softverskog rešenja za upra-vljanje poslovnim procesima, razvijen je i testiran model integrisa-nog upravljanja revizijom finansijskih izveštaja primenom softver-skog rešenja. Istraživanje je sprovedeno komparativnom analizom pokazatelja efikasnosti i kvaliteta realizacije 248 revizijska angaž-mana, od kojih su 124 revizijska angažmana sprovedena bez primene i 124 primenom modela integrisanog upravljanja revizijom.

Efikasnost kao performansa procesa revizije unapređuje se skraćenjem vremena realizacije revizijskih aktivnosti i troškova kroz smanjenje vremena angažovanja revizijskog tima. Efikasnost kao performansa procesa revizije je merena na bazi vremena potrebnog za realizaciju aktivnosti:

171



▪ pregleda revizijskog dosijea i ▪ izrade revizorskog izveštaja. Kvalitet procesa revizije finansijskih izveštaja predstavlja spo-

sobnost revizora da detektuje neslaganja u finansijskim izveštajima i da o tome izrazi adekvatno mišljenje.172 Dokaz da se proveri kvalitet revizijskog angažmana i ispita da li su sve aktivnosti realizovane u skladu sa utvrđenim regulatornim okvirom predstavlja revizijski dosije.173 Kvalitet realizacije procesa revizije istražen je pregledom kompletnosti revizorskih dosijea (broja nedostajuće dokumentacije).

Za potrebu istraživanja da li se unapređuje efikasnost (skraći-vanjem vremena realizacije) i kvalitet (smanjenjem broja nedostajuće dokumentacije) postavljene su sledeće hipoteze:

H1: Ne postoji statistički značajna razlika u aritmetičkoj sredi-

ni vremenskog perioda realizacije aktivnosti pregleda revizijskog dosijea kod revizijskih angažmana sprovedenih bez i primenom sof-tverskog rešenja za upravljanje poslovnim procesima. (H0 : 1= 2)


ni vremenskom periodu realizacije aktivnosti izrade nacrta izveštaja kod revizijskih angažmana sprovedenih bez i primenom softverskog rešenja za upravljanje poslovnim procesima. (H0 : 1= 2)


ni broja nedostajuće dokumentacije revizijskih angažmana sprovede-nih bez i primenom softverskog rešenja za upravljanje poslovnim procesima. (H0 : 1= 2)

Testiranje hipoteza vršeno je primenom parametarskog Stu-

dentov t-testa kojim se utvrđuju razlike između aritmetičkih sredina

172

DeAngelo, L. (1981). Auditor Size and Audit Quality. Journal of Accounting and Economics. str. 186 173

Opširnije videti: Eilifsen, A., Willekens, M. (2008). In the name of trust - Some thoughts about trust, audit quality and audit regulation in Europe. Auditing, Trust and Governance. New York: Routledge, str. 3-4


dva nezavisna uzorka. Nakon sprovedenog testiranja dobijeni su sle-deći rezultati:

Tabela 14 Rezultati studetnovog t-testa

174

Pregled revizijskog dosijea

Način realizacije revizijskog angažmana

Broj aktivnosti Pregleda

revizijskog dosijea

Prosečno vreme (aritme-tička sredina -

u min.)

Standardna devijacija

Standardna greška

aritmetičke sredine

t p

Bez primene softvera za uprav-ljanje poslovnim

procesom 124 66,12 16,325 1,466

22,066 0,000Primenom softvera za upravljanje pos-lovnim procesom

124 33,23 2,988 0,268

Izrada nacrta revizijskog izveštajaNačin realizacije

revizijskog angaž-mana

Broj aktiv-nosti Izrade

nacrta izveštaja

Prosečno vreme (aritme-tička sredina -

u min.)

Standardna devijacija

Standardna greška


t p

Bez primene sof-tvera za upravljanje

poslovnim procesom

124 34,11 4,918 0,442

7,634 0,000Primenom softvera za upravljanje pos-lovnim procesom

124 29,84 3,833 0,344

Kompletnost revizijskog dosijeaNačin realizacije

revizijskog angažmana

Broj pre-gledanih

revizijskih dosijea

Prosečan broj nedostajuće

dokumentacijeStandardna devijacija

Standardna greška


t p

Bez primene sof-tvera za upravljanje

poslovnim procesom

124 1,57 2,108 0,189

7,119 0,000 Primenom softvera za upravljanje pos-lovnim procesom

124 0,19 0,516 0,046

174



Analiza dobijenih rezultata ukazuju na sledeće: 1. Prosečno vreme za realizaciju aktivnosti pregleda revizij-

skog dosijea bez primene softverskog rešenja za upravljanje poslov-nim procesima iznosi 66,12 minuta, a primenom softverskog rešenja 33,23 minuta. Kako je dobijeni rezultat Studentovog t-testa 22,609 veći od granične vrednosti od 1,96 uz nivo značajnosti od 0,000 (p<0,05) prva hipoteza se odbacuje. Prema tome, prihvata se alterna-tivna hipoteza da postoji statistički značajna razlika u aritmetičkoj sredini vremenskog perioda realizacije aktivnosti pregleda revizij-skog dosijea bez i sa primenom softverskog rešenja za upravljanje poslovnim procesima.

2. Prosečno vreme za realizaciju aktivnosti izrade nacrta revi-

zijskog izveštaja bez primene softverskog rešenja za upravljanje pos-lovnim procesima iznosi 34,11 minuta, a primenom softverskog rešenja 29,84 minuta. Obzirom da je dobijeni rezultat Studentovog t-testa 7,634 veći od granične vrednosti od 1,96 uz nivo značajnosti od 0,000 (p<0,05) druga hipoteza se odbacuje. Dakle, postoji statistički značajna razlika u aritmetičkoj sredini vremenskog perioda realizaci-je aktivnosti izrade nacrta revizijskog izveštaja bez i sa primenom softverskog rešenja za upravljanje poslovnim procesima.

3. Prosečan broj nedostajuće dokumentacije po revizijskom

dosijeu bez primene softverskog rešenja za upravljanje poslovnim procesima iznosi 1,57, a sa primenom softverskog rešenja 0,19. Obzirom da je dobijeni rezultat Studentovog t-testa 7,119 veći od granične vrednosti od 1,96 uz nivo značajnosti od 0,000 (p<0,05) treća hipoteza se odbacuje. Dakle, postoji statistički značajna razlika u prosečnom broju nedostajuće dokumentacije po revizijskom dosi-jeu u zavisnosti da li je revizijski angažmana realizovan bez ili sa primenom softverskog rešenja za upravljanje poslovnim procesima.

Efikasnost realizacije revizije finansijskih izveštaja primenom

softverskog rešenja za upravljanje poslovnim procesima se unapre-đuje, obzirom da se značajno skraćuje vreme realizacije revizijskih


aktivnosti.175 Skraćenjem vremena realizacije revizijskih aktivnosti, smanjuje se vreme angažovanja revizijskog tima, a time i troškovi revizijskog angažmana. Smanjenje broja nedostajuće dokumentacije kada se revizijski angažman sprovodi primenom softverskog rešenja za upravljanje poslovnim procesima, predstavlja dokaz da su revizij-ske procedure sprovedene u skladu sa regulativom i da se kvalitet revizije unapređuje.

99.. RReevviizziijjsskkii pprriissttuupp kkoonnttiinnuuiirraannoogg uuvveerraavvaannjjaa uu vvrreeddnnoovvaannjjuu IITT iinntteerrnniihh kkoonnttrroollaa Današnji uslovi privređivanja značajno se razlikuju od nekadašnjih. Tome su u velikoj meri doprinele informacione tehnologije i njihova široka primena u poslovne svrhe. Savremeni pristup evidencije pos-lovnih transakcija pomerio se od manuelnog ka elektronskom siste-mu, što je dovelo do toga da se dokumenti i transakcije ne moraju evidentirati u papirnoj formi. Ovo je u velikoj meri olakšalo procesi-ranje transakcija, tako što se kroz umrežavanje računarskih sistema, transakcije sa raznih strana unose u jedinstvenu bazu podataka.

Pozitivni efekti implementacije dostignuća u sferi informatiza-cije su očigledni. Međutim, treba imati u vidu i da su informacione tehnologije podložne izuzetno visokom nivou rizika, kao i rizicima koji nisu postojali pre njihovog uvođenja. Jasno je da u savremenim uslovima poslovanja postoji zavisnost preduzeća od primene infor-macionih resursa što dovodi i do potrebe uveravanja u adekvatnost njihovog funkcionisanja. Ovo uveravanje u savremenim uslovima poslovanja treba biti kontinuirano, u smislu da se uveravanje ne vrši periodičnu već da postoji stalan proces nadzora nad funkcionisanjem

175



informacionog sistema preduzeća.176 Kontinuirane forme uveravanja su kontinuirani monitoring i kontinuirana revizija.

9.1. Menadžerski pristup kontinuiranom uveravanju putem kontinuiranog monitoringa Kontinuirani monitoring se odnosi na procese koje sprovodi mena-džment kako bi se uverio da politike, procedure i poslovni procesi koji se odvijaju u preduzeću funkcionišu efektivno i efikasno. Na osnovu ovoga, menadžment iskazuje želju da sopstvenim tehnikama ispita efektivnost pomenutih procedura. Time se direktno upućuje na postojanje menadžerske odgovornosti za procenom adekvatnosti i efikasnosti kontrolnih mehanizama na nivou preduzeća.

Principi koji su relevantni za kontinuirani monitoring su jed-nostavni i obuhvataju sledeće:

▪ definisanje kontrolnih tačaka u okviru datih poslovnih pro-cesa,

▪ identifikovanje kontrolnih ciljeva za svaku kontrolnu tačku, ▪ uspostavljanje serije automatizovanih testova koji će inici-

rati da li su pojedine transakcije prošle kontrolu, ili nisu ispunile definisane uslove koji su u skladu sa relevantnim kontrolnim ciljevima,

▪ uzimanje u obzir svih transakcija koje treba da prođu testo-ve, a transakcije koje je potrebno uzeti u obzir su one koje su upravo, ili nedavno generisane u preduzeću,

▪ ispitivanje svih pojedinačnih transakcija koje nisu prošle kontrolne testove,

▪ korigovanje već obrađenih transakcija u bazi podataka (vrlo često ako je pogrešan unos usledio slučajno) i

▪ korigovanje slabosti internih kontrola.177 176

Jakšić D. (2010). Revizijski pristup kontinuiranog uveravanja u vrednovanju IT inernih kontrola. Strategijski menadžment i sistemi podrške odlučivanju u strategij-skom menadžmentu. Subotica: Ekonomski fakultet u Subotici. str. 84 177

Coderre D. (2005). Global Technology Audit Guide 3 – Continuous Auditing: Implications for Assurance, Monitoring and Risk Assessment. SAD: The Institute of Internal Auditors. str. 9


Kontinuirani monitoring identifikuje tri osnovna polja na kojima se dati pregled ostvaruje od strane menadžmenta:

1. Kontinuirani monitoring nad internim kontrolama 2. Kontinuirani monitoring nad transakcijama i 3. Makro-nivo: trendovi i rezultati monitoringa.178

9.2. Pojam, uloga i ciljevi kontinuirane revizije Uveravanje se može postići revizijskim procedurama. Jedan od osnovnih problema tradicionalnog pristupa reviziji je vremenski ras-korak između događaja čiji efekti značajno utiču na preduzeće i revi-zijskih procedura detekcije.179 Savremeni uslovi poslovanja zahtevaju pravovremenost informacije za odlučivanje. U protivnom, naknadna saznanja mogu biti zakasnela i onemogućiti preduzeće da preduzme adekvatnu akciju. Time se uspostavlja jasan zahtev za implementaci-jom drugačijeg koncepta revizije u poslovne sisteme koji će pružiti kontinuirano uveravanje. Ovaj pristup naziva se kontinuirana revizi-ja.

Kontinuirana revizija se implementira u okvire interne revizije kako bi vršila ispitivanja i provere da li sistemi internih kontrola na nivou organizacije ispunjavaju kriterijume koji su relevantni za efi-kasnu identifikaciju propusta i grešaka u procesiranju poslovnih tran-sakcija. Razlika u odnosu na tradicionalni pristup je kontinuirano ispitivanje transakcija u momentu njihovog nastanka i izdavanje revizorskih izveštaja simultano i u realnom vremenu.

Kontinuirana revizija ima za cilj da korisnicima usluga revizije obezbedi kontinuirano uveravanje u tačnost i pouzdanost podataka generisanih primenom informacionih tehnologija, kao i da pruži oce- 178

Leishman M., Brouwers P. P., Farineau D. (2009). Continuous Audi-ting/Continuous Monitoring – Using Technology to Drive Value by Managing Risk and Improving Performance. UK: KPMG International. str. 7 179

Jakšić D. (2010). Revizijski pristup kontinuiranog uveravanja u vrednovanju IT inernih kontrola. Strategijski menadžment i sistemi podrške odlučivanju u strategij-skom menadžmentu. Subotica: Ekonomski fakultet u Subotici. str. 85


nu o tome da li sistemi internih kontrola u oblasti informacionih teh-nologija funkcionišu na adekvatan način.

Kontinuirana revizija je stalno prisutna aktivnost kojom se neprekidno prate kontrole procesiranja poslovnih transakcija i vrši kontinuirana procena rizika. Različite su vrste grešaka koje mogu nastati, a svim ovim mehanizmima cilj jeste da ih eliminišu i podignu nivo tačnosti i ispravnosti funkcionisanja internih kontrola do najvi-ših nivoa pouzdanosti. Revizorska uveravanja predstavljaju stavove kojima se garantuje adekvatnost i efektivnost internih kontrola.

Pristup kontinuiranog uveravanja je prisutan u teoriji i praksi revizije već određeno vreme. Može se primetiti da je ova problema-tika izuzetno kompleksna i još uvek nedovoljno sagledana. Kako u praksi ne postoje dve potpuno jednake organizacione strukture, o kontinuiranoj reviziji se može govoriti sa različitih stanovišta, u zavi-snosti od individualnih shvatanja pojma od strane pojedinih organi-zacija. Različitost koja postoji u stavovima se ne odnosi na suštinske komponente termina i procesa kontinuirane revizije, već samo u načinima njene primene i pristupa koje pojedinačni entitet zastupa.180

Različiti teoretičari su sa svog aspekta shvatanja pojma dali sebi svojstvenu definiciju pojma kontinuirane revizije. Možda je naj-obuhvatnija i najrazumljivija definicija kontinuirane revizije da je to „vrsta revizije koja svoje rezultate ostvaruje simultano, ili tokom kraćeg vremenskog perioda, identifikujući ključne događaje koji su se u okviru njega dogodili… kontinuirana revizija može biti efikasna samo onda ako se implementira (1) u potpuno automatizovanim pro-cesima i (2) u procesima koji imaju instant pristup relevantnim pos-lovnim događajima i njihovim ishodima. Jedini način na koji se ovaj pristup revizije može primeniti jeste kontinuirana revizija u on-line sistemima.”181

Kontinuirana revizija predstavlja deo integralne strukture interne revizije koja je oformljena sa ciljem da se konstantno prati rad internih kontrola. Ovakav pristup reviziji zahteva specifičnu 180


Onions R. L. (2003). Towards a Paradigm for Continuous Auditing. UK: University of Salford. str. 4


metodologiju rada koja se formalizuje u revizijskim izveštajima o funkcionisanju IT internih kontrola.

Dve osnovne grupe aktivnosti koje se nalaze u delokrugu rada kontinuirane revizije obuhvataju:

1. kontinuiranu procenu rada sistema internih kontrola i 2. kontinuiranu procenu rizika.182 Kontinuirana procena rada sistema internih kontrola je aktiv-

nost koju sprovode revizori kako bi bili u mogućnosti da obezbede uveravanja o kvalitetu funkcionisanja sistema kontrola na nivou organizacije. Kroz kontinuirane procene efektivnosti kontrolnih mehanizama, revizori pružaju uveravanje revizorskom komitetu i vrhovnom menadžmentu da li ili ne, kontrolni mehanizmi u organi-zaciji funkcionišu na odgovarajući način. Kontinuirana revizija teži da svojim alatima otkrije, identifikuje i eliminiše sve probleme, sla-bosti i odstupanja koja su u okviru organizacije nastala.

Kontinuirana procena rizika se odnosi na aktivnosti koje se koriste od strane revizora radi identifikovanja postojanja i utvrđiva-nja nivoa rizika. Kontinuirani proces procene rizika vrši se putem ispitivanja i testiranja kretanja trenda, kao i postupka upoređivanja nivoa rizika. Poređenje i analiza trenda se mogu ostvariti različitim pristupima, i to:

▪ u okviru pojedinačnog procesa ili sistema ▪ poređenjem sopstvenih performansi koje je entitet ostvari-

vao u tekućem periodu sa istim pokazateljem u ranijem periodu

▪ ili u odnosu na neke druge procese ili sisteme koji se vrše u okviru organizacije u tekućem ili ranijem periodu.183

182

Coderre D. (2005). Global Technology Audit Guide 3 – Continuous Auditing: Implications for Assurance, Monitoring and Risk Assessment. SAD: The Institute of Internal Auditors. str. 11 183

Ibid, str. 7


9.3. Međuodnos kontinuiranog monitoringa i kontinuirane revizije Polazeći od specifičnosti kontinuirane revizije i kontinuiranog moni-toringa, postavlja se pitanje da li se preduzeće opredeljuje za jednu od mogućnosti kontinuiranog uveravanja ili obe mogu i treba da egzistiraju istovremeno, odnosno da li je kontinuirana revizija potre-bna ukoliko u preduzeću postoji kontinuirani monitoring. U odgovo-ru na ova pitanja mora se poći od sličnosti, razlika i preklapanja delokruga između kontinuiranog uveravanja i kontinuirane revizije. Osnovne različitosti su sledeće:

▪ Kontinuirani monitoring je striktno menadžerska aktivnost,

dok je kontinuirana revizija aktivnost koja je osnovana i usmeravana od strane internog revizorskog tima, radi stica-nja detaljnijih informacija o nivou rizika i efikasnosti kon-trolnih mehanizama.

▪ Nivo na kojem se obavlja monitoring se nalazi više na ope-rativnom nivou nego što je to slučaj sa kontinuiranom revi-zijom, koja je više fokusirana na ključne kontrole koje obe-zbeđuju uveravanja koja se nalaze na ciljnom revizorskom nivou.

▪ Kao što i samo ime upućuje, kontinuirani monitoring se u praksi obavlja mnogo češće, na primer iz sata u sat, dnevno ili pak nedeljno, dok se interna revizija više fokusira na ispitivanje trendova kroz nešto duže vremenske periode.

▪ Kontinuirani monitoring može postati ključna komponenta strukture internih kontrola u preduzeću, i tehnologija koja se u okviru monitoringa upotrebljava, može služiti za plani-ranje poslovnih resursa (Enterprise Resource Planning - ERP), ili za opšte informacije o okruženju kojima nedostaju takvi kontrolni mehanizmi.184

184

Leishman M., Brouwers P. P., Farineau D. (2009). Continuous Audi-ting/Continuous Monitoring – Using Technology to Drive Value by Managing Risk and Improving Performance. UK: KPMG International. str. 4


Iako su delokruzi rada i odgovornosti menadžmenta i kontini-rane revizije različiti, ipak ne egzistiraju u potpunosti nezavisno. Aktivnosti menadžmenta i kontinuriane revizije u određenim seg-mentima se preklapaju, ali nikako na teret, nego samo na korist i jed-noj i drugoj strani. U delu „zajedničkih” aktivnosti, značajno delova-nje jedne strane, dovodi do manjeg obima delovanja druge strane. Ovo ne znači da se može izabrati koja od ovih strana je efektivnija i efikasnija. Pristup zahteva istovremeno implementiranje i kontinui-rane revizije i monitoringa, ali ne bezuslovno, kako bi se sa jedne strane mogao sprovesti individualan proces provere efikasnosti rada internih kontrola, a sa druge strane, postoji mogućnost njihove međusobne saradnje.

Prikaz 33 Inverznost odnosa kontinuiranog monitoringa i kontinuirane revizije

185 Na osnovu prethodnog prikaza uočava se da postoji inverzan

odnos između adekvatnosti kontinuiranog monitoringa i aktivnosti

185



upravljanja rizikom te u kojoj meri revizori moraju sprovoditi detalj-na testiranja i ispitivanja kontrola i procene rizika. Nivo i obim revi-zorskih aktivnosti, koji će internoj reviziji biti delegiran, u velikoj meri zavisi od nivoa do kojeg menadžment izvodi procedure konti-nuiranog monitoringa.

Međutim, moramo biti svesni činjenice da uvođenje kontinui-rane revizije ne izaziva posledičnu vezu implementacije i kontinuira-nog monitoringa i obrnuto.186 Revizija može nezavisno da postoji i bez monitoringa, i nije objektivni preduslov njenog postojanja u pre-duzeću. Sa druge strane, bez kontinuiranog monitoringa, delokrug rada kontinuirane revizije biće veći, nego što bi bio uz postojanje i delovanje monitoringa.

Prikaz 34 Kontinuirano uveravanje, kontinuirana revizija i kontinuirani monitoring

187 186


Coderre D. (2005). Global Technology Audit Guide 3 – Continuous Auditing: Implications for Assurance, Monitoring and Risk Assessment. SAD: The Institute of


Revizori u postupku kontinuirane revizije treba da zastupaju proaktivni pristup, čime bi se osnažio menadžment upravljanja rizi-kom, i ukazalo na potencijalno izvorište grešaka, koje mogu sistem sputati, i dati lošu sliku o radu, kako menadžmentu tako i eksternim korisnicima. Budući da je veliki deo odgovornosti dodeljen upravo internim revizorima, njihov značaj je neprocenjiv za organizaciju kao celinu. Međutim, pozicija internih revizora ne sme se preceniti, koja bi ih dovela do nivoa da se interna revizija smatra za vlasnika aktiv-nosti i procesa koje sprovodi. Nezavisnost i objektivnost rada inter-nih revizora bi u tom slučaju bila narušena. Dakle, interna revizija ne sme biti sebična, da smatra sebe nedodirljivom funkcijom u preduze-ću, nego se mora smatrati kao vrlo važna, među jednakim aktivnos-tima.

U onim organizacijama u kojima menadžment sprovodi u pot-punosti kontinuirani monitoring, aktivnosti interne revizije ne moraju da budu u tolikoj meri detaljne, jer je veliki deo tog posla menadž-ment unapred obavio. Umesto toga, revizor treba da obavlja neke druge procedure, kako bi odredio da li se iste mogu direktno odnositi na procese kontinuiranog monitoringa. Takve procedure obuhvataju:

1. pregled identifikovanih grešaka 2. testiranje efektivnosti internih kontrola putem procedura

koje sprovodi menadžment, kao što su: 188

a. obrada logova / revizorski tragovi b. kontrola ukupne usklađenosti c. izmena sistemskih test parametara.

9.4. Povezivanje kontinuirane revizije i kontinuiranog monitoringa sa procesom upravljanja rizikom Implementaciju kontinuiranog monitoringa i kontinuirane revizije, sa troškovnog i tehničkog aspekta, mogu sprovoditi samo velike orga- Internal Auditors. str. 10 188



nizacije. Ovo nastaje kako zbog složenosti poslovanja tako i zbog težnje da njihovim uvođenjem doprinose povećanju uverenja u odr-živi nivo efektivnosti rada internih kontrola, a na osnovu toga i orga-nizacije u celini.189

Odluka o uvođenju kontinuirane revizije je veoma složena i visoko rizična. Kako bi se donela „ispravna” odluka koja će rezultira-ti efikasnim i efektivnim radom kontinuirane revizije, neophodno je definisati pristup implementaciji kontinuirane revizije. Pristupi mogu biti različiti, a najčešće se mogu odnositi na definisanje pilot pro-grama, koji počinju od identifikovanja najjednostavnijih aktivnosti, koje se mogu vremenom usložnjavati i doprinositi detaljnijoj proveri internih kontrola. Bez obzira na to koji pristup organizacija odabere, mora definisati ključne korake implementacije koji će omogućiti da takva postavka obezbedi efektivno merenje ostvarenog rezultata.

Željeni rezultat CA/CM190 nije samo pravovremena procena efikasnosti kontrolnih procedura, već izvođenja niza evaluativnih procesa koji se izvode korišćenjem različitih alata i manuelnih pro-cedura, od kojih su neki zasnovani na obradi u realnom vremenu, dok je frekventnost drugih metoda zasnovana na poslovnom ciklusu i proceni nivoa poslovnog rizika.

Ključni momenat jeste integracija kontinuirane revizije i moni-toringa, a zatim planiranje poslovnih resursa i sanacija sistema zas-novana na utvrđenim odstupanjima kao i programi za unapređenje internih kontrola. Proces planiranja poslovnih resursa obezbeđuje organizaciji garancije da sprovodi efikasne i efektivne kontrole kako bi minimiziralo nivo finansijskih, upravljačkih, operativnih rizika i prevara. Organizacije definišu šta je i na koji način neophodno pre-gledati, odnosno predmet monitoringa, kako ga sprovoditi i u kojoj meri. Monitoring se pojavljuje kao ponavljajuća aktivnost, koja u svojoj učestalosti, može, shodno onome što je u tom trenutku rele-vantno za preduzeće, definisati šta i kako nadgledati.

189


Continuous Auditing/Continuous Monitoring – Kontinuirana revizi-ja/Kontinuirani monitoring


Na osnovu kontinuiranih aktivnosti, organizacijama je omogu-ćeno da identifikuju:

▪ greške u poslovnim transakcijama, putem kojih se utvrđuju

poslovne aktivnosti, čiju je funkcionalnost potrebno pre-gledati, umanjiti ili eliminisati ukoliko u potpunosti odstu-pa od zahteva za funkcionalnošću

▪ finansijska odstupanja nastala na osnovu zloupotrebe sred-stava, nastalih potencijalnih prevara i nedoličnog ponašanja osoblja zaposlenih na mestima na kojima su im takva sreds-tva dostupna

▪ regulatorna usklađenost i neefikasnost radnih i poslovnih tokova

▪ mogućnosti za unapređenjem performansi organizacije.191

1100.. IImmpplleemmeennttaacciijjaa XXBBRRLL uu ffuunnkkcciijjii uunnaapprreeđđeennjjaa ffiinnaannssiijjsskkoogg iizzvveeššttaavvaannjjaa Upotreba informacionih tehnologija u proces računovodstvene obra-de podataka je neminovna. Prednosti koje se ostvaruju obradom računovodstvenih podataka u okruženju informacionih tehnologija su značajne. Pre svega, dolazi do smanjenja vremena i troškova potreb-nih za unos, obradu podataka i generisanje finansijskih izveštaja. U odnosu na manuelni proces obrade, rizik nastanka greške u okruženju informacionih tehnologija je manji i time se povećava pouzdanost finansijskih izveštaja. Inovacije na području razvoja i primene informacionih tehnologija u računovodstvu imaju za cilj da povećaju efikasnost računovodstvene obrade podataka i unapredi kvalitet finansijskog izveštavanja. Kao najnovije dostignuće na ovom pod-ručju ističe se pojava XBRL standarda za finansijsko izveštavanje.

191

Leishman M., Brouwers P. P., Farineau D. (2009). Continuous Audi-ting/Continuous Monitoring – Using Technology to Drive Value by Managing Risk and Improving Performance. UK: KPMG International. str. 8


Kako bi se identifikovale prednosti finansijskog izveštavanja na bazi XBRL-a , potrebno je sagledati specifičnosti finansijskog izveštavanja u IT okruženju, kao i moguće je izvršiti sagledavanjem specifičnosti finansijskog izveštavanja u IT okruženju i XBRL-a.

10.1. Pojmovno određenje i cilj XBRL standarda Računovodstveni informacioni sistem omogućava kreiranje izveštaja u različitim formatima. Tako npr. za potrebe eksternog finansijskog izveštavanja koristi se pdf format, a za potrebe internog finansijskog izveštavanja, izveštaji se kreiraju u formatu radnih listova odnosno xls formatu ili u formatu dokumenta tj. doc formatu. Za potrebe izve-štavanja na internet sajtovima, izveštaji se mogu kreirati i u html formatu. Kreiranje izveštaja u različitim formatima dovodi do troše-nja dodatnog vremena za konvertovanje izveštaja u navedene forma-te.

Pored kreiranja izveštaja u različitim formatima, izveštaji se kreiraju i u različitoj formi prema potrebama korisnika. Naime, za eksterne korisnike se kreiraju izveštaji koji sadrže zbirne informacije, za razliku od internih izveštaja koji sadrže analitičke informacije. Takođe, za potrebe državnih organa (npr. poreski izveštaj) kreira se specifična forma. Time, se informacije iz glavne knjige računovods-tvenog informacionog sistema na različite načine prikazuju kroz izveštaje za različite korisnike. Tradicionalni pristup kreiranja izveš-taja u okruženju informacionih tehnologija uzrokuje dodatne troško-ve kreiranja izveštaja prema posebnim zahtevima korisnika.

Kao još jedan nedostatak ističe se činjenica da izveštaji sastav-ljani u navedenim formatima nisu prepoznatljivi od strane korisniko-vih aplikacija za obradu i analizu podataka. Korisnik ovih izveštaja treba manuelnim putem za vrši unos podataka iz izveštaja u svoju aplikaciju radi analiza i donošenja odluka. Sa druge strane, korisnik može da izvrši konvertovanje izveštaja u format (npr. excel) koji je prepoznatljiv od strane pojedinih aplikacija i kao takav se može importovati u aplikaciju. Bez obzira da li korisnika vrši manuelni unos informacija u aplikaciju, ili vrši konvertovanje izveštaja u neki


drugi format, obe aktivnosti zahtevaju dodatno vreme za pripremu informacija za dalju analizu.

U nastavku je dat prikaz tradicionalnog sistema izveštavanja u okruženju informacionih tehnologija.

Prikaz 35 Tradicionalno finansijsko izveštavanje u okruženju informacionih tehnologija

192 Nedostatak tradicionalnog sistema izveštavanja u okruženju

informacionih tehnologija ogleda se u nepostojanju standarda za identifikovanje sadržaja podataka u izveštajima. U klasičnim elek-tronskim izveštajima ne postoje markeri (tagovi) vrednosti pozicija 192

Romney, M. B., i Steinbart, P. J. (2009). Accounting information systems. Upper Saddle River NJ: Pearson Education. str. 558


koji upućuju na sadržaj kako bi se podaci iz izveštaja mogli automat-ski koristiti od strane aplikacija. Tako npr. ne postoji mogućnost da aplikacija za analizu podataka automatski identifikuje sumu potraži-vanja u izveštaju kreiranom u html, pdf ili nekom drugom formatu.

Navedeni problemi rešavaju se uvođenjem XBRL standarda finansijskog izveštavanja (eXtensible Business Reporting Language) kao sastavnog dela računovodstvenog informacionog sistema. XBRL predstavlja način komunikacije, odnosno razmene informacija izme-đu informacionih sistema. Cilj uvođenja XBRL standarda jeste da se poveća produktivnost i transparentnost finansijskog izveštavanja i da se potencijalnim investitorima, analitičarima i drugim korisnicima omogući da pronađu, razumeju i analiziraju finansijske informacije na efikasniji način.

Osnovna svrha XBRL standarda jeste da se finansijski izvešta-ji mogu automatski prepoznati i čitati od strane informacionih siste-ma. XBRL funkcioniše po principu bar kod sistema za svaki pojedi-načni podatak u finansijskim izveštajima. XBRL izveštaji sadrže jedinstvene tagove koji opisuju sve vrste podataka u finansijskim izveštajima, veze između njih, pripadnost određenoj grupi, kao i način računanja. Putem XBRL standarda, korisnici mogu informacije iz finansijskih izveštaja automatski oblikovati u formu koja je njima potrebna.

Američki institut ovlašćenih javnih računovođa (American Institute of Certified Public Accountants - AICPA) je 1998. godine kreirao XBRL standard, na osnovu ideje Čarlsa Hofmana o primeni XML jezika u finansijskom izveštavanju. U cilju promocije i realiza-cije ove ideje osnovana je Međunarodna XBRL organizacija koja se danas sastoji oko 300 organizacija koje učestvuju u razvoju XBRL–a.


10.2. Komponente XBRL-a Osnovne komponente XBRL su:193

▪ specifikacije, ▪ taksonomije i ▪ dokumenta. XBRL specifikacija predstavlja set normativnih pravila za raz-

voj XBRL dokumenta i taksonomije. XBRL specifikacijom definisa-ni su XML elementi i atributi koji se koriste prilikom kreiranja dokumenta.194 Programeri smatraju da je specifikacija ključni ele-ment u kreiranju elektronskih dokumenta. Zahvaljujući specifikaciji korisnici finansijskih izveštaja mogu da upoređuju finansijske izveš-taje različitih preduzeća i da kreiraju izveštaje prema svojim potre-bama. Upotreba specifikacije nije limitirana na nivou finansijskih izveštaja, ona se može koristiti u svrhu elektronskog izveštavanja različitih informacija glavne knjige, kao i nefinansijskih informacija preduzeća.

XBRL taksonomija je standardni opis informacija prezentova-nih u finansijskim izveštajima. Sadržaj podataka koji se nalaze u XBRL dokumentu, kao i veze između njih, definisani su na osnovu taksonomije. Na osnovu XBRL taksonomije za podatke u finansij-skom izveštaju se definišu tagovi, odnosno veze sa glavnom knjigom računovodstvenog informacionog sistema. Taksonomije se mogu razvijati od strane domicilnih XBRL organizacija ili od strane Međunarodne XBRL organizacije. Taksonomije se mogu posmatrati kao:195

▪ taksonomije u fazi razvoja, ▪ usaglašene taksonomije i ▪ odobrene taksonomije.

193

Youngwon Shin, R. (2003). XBRL, Financial Reporting, and Auditing. datum dostupnosti: 10/08/ 2010 http://www.nysscpa.org 194

Deshmukh, A. (2006). Digital Accounting. Hershey PA: Pennsylvania State University. str. 65 195

Deshmukh, A. (2006). Digital Accounting. Hershey PA: Pennsylvania State University. str. 66


Usaglašene taksonomije se razvijaju od strane XBRL organi-zacija i u skladu su sa XBRL specifikacijom. Pre nego što usaglašene taksonomije budu priznate od strane Međunarodne XBRL organiza-cije, one podležu testiranju i rezultati mogu ukazati i na potrebu nekih izmena. Odobrene taksonomije razvijene su u skladu sa XBRL specifikacijom, kao i u skladu sa zvaničnim XBRL uputstvom za razvoj taksonomije i prate najbolju praksu propisanu od strane Međunarodne XBRL organizacije. U kategoriju odobrenih taksono-mija ubrajaju se taksonomija finansijskog izveštavanja u Sjedinjenim Američkim Državama i Kini. Status usaglašenih taksonomija imaju taksonomija za finansijsko izveštavanje prema MSFI, taksonomija za Japan, Indiju, Francusku, Brazil, Tajvan i Španija. Za zemlje kao što si Irska, Tajland, Južna Koreja i Novi Zeland taksonomije se nalaze u fazi razvoja.196

Taksonomije se razvijaju na nivou države, a zatim i na nivou privrednih grana. Tako je npr. razvijen Okvir taksonomija za finan-sijsko izveštavanje u Sjedinjenim Američkim Državama, koji pred-stavlja skup taksonomija koje se primenjuju u finansijskom izvešta-vanju različitih sektora. Kao primeri konkretnih taksonomija mogu se navesti taksonomija za komercijalni i industrijski sektor, takso-nomija za bankarski sektor, kao i taksonomija za sektor osiguranja i dr.

XBRL dokumenta predstavljaju skup podataka koji su tagova-ni na osnovu određene taksonomije. XBRL dokumenta, ne predstav-ljaju ništa drugo, nego dokumenta, odnosno izveštaje konkretnog preduzeća sastavljenih na osnovu XBRL standarda. Taksonomija opisuje pozicije izveštaja, dok XBRL dokumenta sadrže konkretne vrednosti pozicija. Sadržaj XBRL dokumenta se može čitati od stra-ne ljudi, ali i od strane informacionih sistema. Korisnik XBRL dokumenta ne vidi tagove dokumenta koji su prepoznatljivi od strane informacionog sistema. U nastavku je dat prikaz XBRL dokumenta za korisnika i informacioni sistem.

196

XBRL International. Taxonomy information. datum dostupnosti: 10/08/2010 http://www.xbrl.org


Prikaz 36 XBRL dokument za korisnika197

10.3. Metode i faze implementacija XBRL-a u proces finansijskog izveštavanja XBRL se u praksi implementira primenom jednog od dva metoda. Prvi metod implementacije podrazumeva da preduzeća kupuju pro-gramski paket i vrše njegovu implementaciju. Pre izbora XBRL pro-gramskog paketa, preduzeća treba da se konsultuju sa postojećim dobavljačem računovodstvenog softvera kako bi sagledali da li pos-tojeći računovodstveni softver ima sposobnost generisanja XBRL izveštaja. Drugi metod implementacije zasniva se na korišćenju aut-sorsing usluge kompanije koja je u potpunosti odgovorna za proces implementacije.198

Oba metoda implementacije imaju prednosti i nedostatke. Samostalno uvođenje XBRL standarda je jeftinije i preduzeće ima potpunu kontrolu nad procesom implementacije. Međutim, ovaj 197

XBRL International. How XBRL works. datum dostupnosti: 10/08/2010 http://www.xbrl.org 198

Opširnije videti: PricewaterhausCoopers (2008), XBRL steps toward an imple-mentation plan, NY: PricewaterhausCoopers. str. 9


metod zahteva duži vremenski period, zbog potrebe obuke kadrova u preduzeću za implementaciju XBRL standarda.

Ukoliko se preduzeće odluči da angažuje drugo preduzeće, smanjuje se rizik neadekvatne implementacije, jer je uslužno predu-zeće u potpunosti specijalizovano za XBRL i ne postoji potreba za internom obukom kadrova u preduzeću. Ukoliko se preduzeće odluči za ovaj način, onda ne poseduje kontrolu nad procesom implementa-cije.

Ako je preduzeće ograničeno u pogledu raspoloživih finansij-skih sredstava, onda se preduzeće odlučuje za samostalnu implemen-taciju XBRL – a. Sa druge strane, ukoliko je vremenski period za implementaciju kratak i preduzeće ne raspolaže odgovarajućim kad-rovima sposobnih za implementaciju XBRL, onda se preduzeće odlučuje za autsorsing funkciju XBRL izveštavanja.

Proces implementacije XBRL realizuje se prema sledećim fazama:199

▪ Identifikovanje projektnog tima – članovi projektnog tima

za implementaciju XBRL–a treba da budu stručnjaci iz oblasti računovodstva i informatike. Računovođe treba da osiguraju da koncepti finansijskog izveštavanja odgovaraju elementima u XBRL taksonomiji. Stručnjaci iz oblasti informatike su zaduženi za tehnički deo implementacije XBRL alata i razvoj taksonomije specifične za preduzeće.

▪ Proceniti obim izveštavanja i determinisati taksonomiju –

projektni tim treba da definiše obim izveštavanja koji pod-razumeva izbor forme izveštavanja (npr. u SAD 10-K - godišnji finansijski izveštaji, 10-Q – kvartalni finansijski izveštaji i dr.). Takođe, treba determinisati taksonomiju koja će se koristiti u finansijskom izveštavanju. Preduzeća u zavisnosti od pripadnosti određenom sektoru privrede koriste taksonomiju za komercijalni i industrijski sektor, bankarski sektor, taksonomiju za osiguravajuća preduzeća ili taksonomiju za preduzeća koja se bave investiranjem.

199

Financial Executives Research Foundation (2005), Financial reporting in XBRL age: A step-by-step XBRL implementation, FERF, Florham Park NJ, str. 12-17


▪ Kreiranje šablona finansijskog izveštaja – odgovarajuća forma finansijskog izveštaja (10-K, 10-Q) treba da se uskladi sa taksonomijom određenog sektora i zahtevima specifičnim za preduzeće. Prilikom upoređivanja taksono-mije sa zahtevima preduzeća u pogledu finansijskog izveš-tavanja, može doći do potrebe da se taksonomija modifiku-je. Obično se taksonomija modifikuje u domenu napomena uz finansijske izveštaje. Za modifikaciju taksonomija mogu se koristiti različiti XML alati za modifikaciju ili XBRL specijalizovani alati za modifikaciju taksonomije.

▪ Kreiranje konkretnog XBRL dokumenta i validacija doku-

menta - nakon kreiranja šablona, preduzeće treba da prime-nom XBRL alata kreira XBRL dokument, odnosno XBRL finansijski izveštaj koji sadrži konkretne vrednosti. Cilj validacije XBRL dokumenta jeste da se utvrdi da li izveštaj sadrži greške. Provera ispravnosti XBRL dokumenta može se vršiti automatskim ili manuelnim putem. Automatski način podrazumeva primenu softverskih alata, koji npr. verifikuju da li postoji ravnoteža u bilansu stanja, da li su svi elementi izveštaja tagovani itd. Manuelnim proces veri-fikacije XBRL izveštaja podrazumeva čitanje XBRL dokumenta u XML kodu, kako bi se proverilo da li su ele-menti pravilno tagovani. Najveći broj grešaka koji se javlja u XBRL dokumentima je kalkulativne prirode.

▪ Objavljivanje XBRL finansijskog izveštaja – nakon valida-

cije XBRL finansijskih izveštaja, kompanije treba da budu spremne za objavljivanje XBRL finansijskih izveštaja u skladu sa rokovima. XBRL finansijski izveštaji se uobiča-jeno podnose isti dan kada i zvanični finansijski izveštaji postaju javno dostupni.


10.4. Prednosti finansijskog izveštavanja primenom XBRL-a Primena XBRL standarda u proces finansijskog izveštavanja pruža značajne koristi kako kreatorima, tako i korisnicima finansijskih izveštaja. Prednosti finansijskog izveštavanja zasnovanog na XBRL standardu ogledaju se u sledećem:200

▪ proces sastavljanja finansijskih izveštaja se automatizuje, ▪ obezbeđuje se efikasna integracija informacija u preduzeću, ▪ finansijski izveštaji se kreiraju uz niže troškove i kraći

vremenski period, ▪ unos podataka iz izveštaja u informacioni sistem vrši se na

efikasniji način, ▪ analiza finansijskih izveštaja vrši se na brži i jednostavniji

način, ▪ obezbeđuje se međunarodni pristup finansijskim izveštaji-

ma i lakša uporedivost finansijskih izveštaja, Preduzeća i druge organizacije koje koriste XBRL automatizu-

ju proces sastavljanja finansijskih izveštaja, čak i u uslovima decen-tralizovane organizacije računovodstvenog informacionog sistema. Informacije iz različitih organizacionih delova preduzeća mogu se na jednostavan način integrisati primenom XBRL-a. Na osnovu integri-sanih podataka preduzeća, sastavljaju se različiti interni i eksterni finansijskih izveštaji. Time se skraćuje vreme i troškovi pripremanja finansijskih izveštaja. Automatizacija procesa integracije informacija primenom XBRL standarda povećava pouzdanost finansijskih izveš-taja, jer se eliminiše rizik nastanka greške koji je prisutan kod manu-elne integracije informacija.

Prijem i unos podataka iz izveštaja u informacioni sistem rea-lizuje se na brži način ako su izveštaji kreirani na bazi XBRL-a. Raz-log tome je u činjenici da su podaci XBRL dokumenta prepoznatljivi od strane informacionog sistema i da se mogu automatski importova-

200

Willis, M., Tesniere, B., & Jones, A. (2002). Corporate communications for the 21st century. London: PricewaterhausCoopers. str. 12


ti u informacioni sistem. Time se eliminiše manuelni proces unosa podataka u informacioni sistem.

Zahvaljujući sposobnosti informacionih sistema da prepoznaju sadržaj XBRL dokumenta, analiza finansijskih izveštaja vrši na jed-nostavniji način. Programi za analizu finansijskih izveštaja kreiranih putem XBRL-a zasnivaju se na automatskoj obradi informacija po unapred utvrđenim kriterijuma od strane korisnika. Dakle, podaci iz XBRL izveštaja se automatski importuju u informacioni sistem, odnosno aplikaciju za analizu i zatim se automatizuje analiza infor-macija. Kao rezultat ispoljavaju se informacije potrebne korisnicima za poslovno odlučivanje. Upotreba XBRL standarda skraćuje vreme potrebno za tehnički deo analize finansijskih izveštaja i povećava vreme za interpretaciju rezultata sprovedenih analiza. Na sledećem prikazu grafički su prikazane prednosti izveštavanja primenom XBRL standarda u odnosu na tradicionalni sistem finansijskog izveš-tavanja u okruženju informacionih tehnologija.

Prikaz 37 Finansijsko izveštavanje primenom XBRL standarda Sastavljanjem XBRL finansijskih izveštaja i njihovim prezen-

tovanjem putem Interneta povećava se transparentnost finansijskih


izveštaja. Informacije iz finansijskih izveštaja preduzeća kreiranih primenom XBRL, mogu se upoređivati između zemalja sa usvojenim različitim računovodstvenim standardima. Zahvaljujući tome, veći broj eksternih korisnika je u mogućnosti da pristupi finansijskim izveštajima u cilju donošenja pouzdanih poslovnih odluka. Standar-dizacija informacija u finansijskim izveštajima pruža mogućnost za privlačenje stranih investitora i time se pospešuje međunarodno pos-lovanje.

Kvalitet finansijskog izveštavanja od presudnog je značaja za korisnike finansijskih izveštaja u cilju donošenja pouzdanih poslov-nih odluka. Upotreba informacionih tehnologija u procesu finansij-skog izveštavanja dovodi do povećanja kvaliteta finansijskog izveš-tavanja. Razvoj i upotreba XBRL standarda finansijskog izveštavanja dovodi do povećanja produktivnosti, pouzdanosti i transparentnosti procesa finansijskog izveštavanja.

XBRL se zasniva na primeni xml jezika u proces finansijskog izveštavanja. Osnovna prednost finansijskih izveštaja kreiranih pre-ma XBRL standard jeste razumljivost informacija od strane informa-cionih sistema. Takođe, XBRL taksonomijom obezbeđuje se da podaci preduzeća budu standardizovani. Primena XBRL u proces finansijskog izveštavanja pruža prednosti kreatorima i korisnicima finansijskih izveštaja. Kreatori finansijskih izveštaja primenom XBRL-a mogu automatizovati proces konsolidacije informacija, kre-iranja izveštaja, distribucije finansijskih izveštaja. Sa druge strane, korisnici finansijskih izveštaja mogu automatizovati procese analize finansijskih izveštaja i time značajno smanjiti vreme potrebno za sprovođenje analitičkih procedura. Automatizacijom navedenih pro-cesa, smanjuje se obim manuelnih procedura, kao i rizik nastanka greške. Time se povećava pouzdanost finansijskih izveštaja i obez-beđuje donošenje poslovnih odluka manjeg stepena rizika.

Obelodanjivanje finansijskih izveštaja na bazi XBRL-a na Internet sajtovima preduzeća ili državnog registra finansijskih izveš-taja pospešuje se međunarodno poslovanje. Kako bi se unapredilo međunarodno poslovanje i međunarodna razmena pouzdanih XBRL finansijskih izveštaja potrebno je aktivno učešće nacionalnih XBRL organizacija i države u procesu kreiranja i implementacije XBRL taksonomije.

241 Zak l jučna razmat ran ja

ZZaakklljjuuččnnaa rraazzmmaattrraannjjaa U današnje vreme poslovanje se ne može zamisliti bez implementa-cije informacionih sistema u poslovne procese, čija primena značajno utiče na poboljšanje izvršenja poslovnih procesa. Razvoj i sve šira primena informacionih sistema u procese računovodstvene obrade podataka uticala je i na reviziju kao profesiju. Zbog činjenice da kli-jent revizije vrši obradu i sastavljanje finansijskih izveštaja u elek-tronskoj formi, nužno se nameće potreba da revizor u svom radu koristi takođe informacione tehnologije. Upotrebom revizorskih sof-tverskih alata u velikoj meri se povećava produktivnost i efikasnost sprovođenja revizorskih procedura.

Pored primene revizijskih aplikacija u procese sprovođenja revizije, informacioni sistem postaje i predmet interesovanja revizora sa aspekta pouzdanosti funkcionisanja sistema internih kontrola. Na taj način dolazi do pojave revizije informacionih sistema. Iako se za predmet istraživanja postavlja informacioni sistem, uvidom u cilj i delokrug rada revizije informacionih sistema, može se zaključiti da nije reč o novoj vrsti revizije, nego o integralnom delu tradicionalnih vrsta revizije.

Sa etičkog aspekta upotreba informacionih sistema u poslovne procese je u potpunosti opravdana činjenicom da se pomoću savre-menih tehnoloških dostignuća obezbeđuje veći kvalitet u radu. Opravdanost postojanja i vršenja revizije informacionih sistema sa etičkog stanovišta se objašnjava činjenicama da ona obezbeđuje pou-zdanost u radu informacionih sistema, očuvanje integriteta klijento-vih aplikacija i podataka prezentovanih u formi različitih vrsta izveš-taja. Revizija informacionih sistema predstavlja sredstvo obezbeđe-nja pouzdanog, kvalitetnog, sigurnog poslovanja i verodostojnog izveštavanja.

Adekvatna implementacija računovodstvenog softvera pred-stavlja preduslov efikasne i efektivne upotrebe računovodstvenog softvera. Implementacija računovodstvenog softvera mora se reali-zovati u skladu sa planom implementacije i potrebama preduzeća. U suprotnom, računovodstveni softver će predstavljati samo trošak za preduzeće, dok se pozitivne strane njegove upotrebe neće u potpuno-sti ispoljiti.


Implementacija kvalitetnog računovodstvenog softvera saob-razno potrebama preduzeća pruža mogućnost preduzeću da realizuje brojne prednosti upotrebe računovodstvenog softvera u poslovne svrhe. Pored povećanja efikasnosti i efektivnosti procesa obrade podataka, u današnje vreme kao značajna uloga računovodstvenog softvera ističe se njegova primena u procesu upravljanja preduzećem. Računovodstveni softver poseduje sposobnost generisanja izveštaja koji sadrže detaljne informacije za potrebe poslovnog odlučivanja na različitim nivoima menadžmenta. Poslovno odlučivanje bez upotrebe računovodstvenog softvera je otežano i visoko rizično. Uvođenje računovodstvenog softvera obezbeđuje uz niske troškove i kratko vreme pripreme izveštaja sve što je potrebno za poslovno odlučiva-nje: pravovremene, pouzdane i detaljne informacije. Time se pove-ćava kvalitet i smanjuje rizik poslovnog odlučivanja.

Uticaj informacionih tehnologija na revizijske procese je dvo-jak. Sa jedne strane, informacioni sistemi se javljaju kao objekt revi-zijskog ispitivanja, a sa druge strane i revizori mogu povećati efikas-nost rada tako što će u proces revizije implementirati revizijske alate i tehnike. Iako je posao revizije naizgled otežavan činjenicom da se ona danas sprovodi u visoko informatizovanom okruženju, to u prak-si ne mora biti slučaj ako se revizor „naoruža“ savremenim informa-tičkim i revizijskim znanjima koja će mu omogućiti da značajno poveća produktivnost kroz sposobnost naprednog manipulisanja velikim količinama podataka i njihovim propuštanjem kroz revizij-ske softvere.

Kada su u pitanju procedure kontinuirane revizije i monitorin-ga, važno je shvatiti da se, po definiciji, radi o automatizovanim pro-cesima koji se izvode u okviru informacionih tehnologija koje su u preduzeću implementirane. Međutim, ni u jednoj organizaciji ne možemo se susresti sa kontrolama koje su u potpunosti automatizo-vane, odnosno 100% automatizacija kontrolnih procedura nije nigde moguća. Jedan deo dokumentacije uvek postoji u papirnom obliku, i upravo, da bi se taj deo mogao pokriti kontrolama, postoje manuelne kontrole. Paralelno sa njima, revizija i monitoring moraju da vrše ispitivanje svih internih kontrola iz razloga što i manuelni i IT sistem internih kontrola nose potencijalni rizik neadekvatnog funkcionisa-nja. Prema tome kontinuirana revizija i monitoring moraju da napra-

243 Zak l jučna razmat ran ja

ve pravilan balans između nivoa automatizovanih i nivoa manuelnih metoda provera.

Kontinuirana revizija ne vrši proveru celokupnog sistema internih kontrola, nego samo njegovih delova, i to onih koje su u tom trenutku relevantne za menadžment sa stanovišta upravljanja rizi-kom. Osim toga, kontinuirana revizija se izvodi stalno, ali izveštava-nje nije toliko često budući da potreba za izveštajima postoji ako su identifikovani problemi. Imajući to u vidu, može se zaključiti da tro-škovi implementacije kontinuiranog uveravanja, iako visoki, mogu biti ograničeni postepenim i ciljanim uvođenjem. Doprinos koji se ovim putem ostvaruje relevantan je za pravovremeno informisanje segmenata preduzeća i njihovih menadžera u cilju donošenja poslov-nih odluka od krucijalnog značaja.


245 Literatura

Literatura

[1] Andric M., Mijic K., Jaksic D. (2011). Financial Reporting and Characteristics of Impairment of Assets in the Republic of Ser-bia According to IAS/IFRS and National Regulatioon. Belgra-de: Economic Annals.

[2] Andric M., Mijic K., Jaksic D., Vukovic B. (2011). Implemen-tation of Accounting Software as a Support to Company Management. TTEM. Sarajevo: DRUNPP.

[3] Andrić M., Jakšić D. (2001). Aplikativne kontrole. Revizor. Beograd: Institut za ekonomiku i finansije.

[4] Andrić M., Jakšić D. (2001). Uticaj informacionih i telekomu-nikacionih tehnologija na reviziju računovodstvenih izveštaja. Anali Ekonomskog fakulteta u Subotici. Subotica: Ekonomski fakultet u Subotici.

[5] Andrić M., Jakšić D. (2002). Revizorske procedure za procenu kontrolnog rizika. Anali Ekonomskog fakulteta u Subotici. Subotica: Ekonomski fakultet u Subotici.

[6] Andrić M., Jakšić D. (2005). Uloga inerne revizije u savreme-nim uslovima. Revizor. Beograd: Institut za ekonomiku i finansije.

[7] Andrić M., Krsmanović B., Jakšić D. (2009). Revizija – teorija i praksa, Subotica: Ekonomski fakultet u Subotici.

[8] Bodnar G. H., Hopwood W S. (2001). Accounting Information System, SAD: Prentice Hall.

[9] Bogovac M. (2007). Proces revizije informacionog sistema. Beograd: Fakultet organizacionih nauka.

[10] Bosilj Vuksic V., Hernaus, T. Kovacic A. (2008). Upravljanje poslovnim procesima. Zagreb: Školska knjiga.

[11] Brooks D. Goldman M. and Lanza R. (2005). Buyer’s Guide to Audit Anti-Fraud and Assurance Software Ekaros Analytical Inc. Vancouver Canada 2005.

246 Aktue ln i u t i ca j i i n formac ion ih tehno log i j a na p roces rev iz i j e

[12] Canadian Institute of Chartered Accountants (1994). Applica-tion of Computer Assisted Audit Tools and Techniques Using Microcomputers Canadian Institute of Chartered Accountants.

[13] Canadian Institute of Chartered Accountants. (1999). Continu-ous Auditing. Canadian Institute of Chartered Accountants.

[14] Cascarino R. (2007). Guide to Information System Auditing. SAD: John Wiley & Sons.

[15] Chang, J. (2006). Business Process Management Systems. Boca Raton: Auerbach Publication.

[16] Coderre D. (2005). Global Technology Audit Guide 3 – Conti-nuous Auditing: Implications for Assurance, Monitoring and Risk Assessment. SAD: The Institute of Internal Auditors.

[17] Coderre D. G. (2009). Computer-Aided Fraud Prevention and Detection: A Step-by-Step Approach. SAD: John Wiley and Sons.

[18] Davis C., Schiller M., Wheeler K. (2007). Revizija informaci-onih tehnologija. Beograd: Savez računovođa i revizora Srbije.

[19] Deshmukh, A. (2006). Digital Accounting. Hershey PA: Pennsylvania State University.

[20] Donald A. Watne, Peter B.B. Turney (1990). Auditing EDP Systems, SAD.

[21] Eilifsen, A., Willekens, M. (2008). In the Name of Trust - Some Thoughts about Trust, Audit Quality and Audit Regula-tion in Europe. Auditing, Trust and Governance. New York: Routledge.

[22] Financial Executives Research Foundation (2005), Financial Reporting in XBRL Age: A Step-by-step XBRL Implementati-on, FERF: Florham Park.

[23] Hammer, M., Champy, J. (1993). Reengineering the Corpora-tion: A Manifesto for Business Revolution. London: Harper Collins.

[24] Hrvatska akademska i istraživačka mreža. (2011). COBIT metodologija, www.cert.hr.

247 Literatura

[25] Hunton J. E., Bryant S. M., Bagranoff N. A. (2004). Core Con-cepts of Information Technology Auditing. SAD: John Wiley & Sons.

[26] IAB Editorial. (2012). World Survey: M&A Overview. Inter-national Accounting Bulletin IAB 501. 02/2012.

[27] Institut Internih Revizora. (2006). Profesionalna praksa interne revizije. Beograd: Savez računovođa i revizora Srbije.

[28] Institute of Internal Auditors (2005). Global Technology Audit Guides. Altamonte Springs Florida: Institute of Internal Audi-tors.

[29] Institute of Internal Auditors (2008). GTAG 11 – Developing the IT Audit Plan. www.theiia.org.

[30] Institute of Internal Auditors. (2007). Guide to the Assessment of IT Risk (GAIT). Altamonte Springs Florida: Institute of Internal Auditors.

[31] Institute of Internal Auditors. (2007). Standards for the Profes-sional Practice of Internal Auditing. Altamonte Springs Flori-da: Institute of Internal Auditors.

[32] ISACA. (2008). ITAF: A Professional Practices Framework for IT Assurance. SAD: ISACA.

[33] ISACA. (2010). IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professio-nals. SAD: ISACA.

[34] ISACA. (2011). COBIT 5: The Framework – Exposure Draft. SAD: ISACA. str. 11

[35] IT Gonvernance Institute (2007). IT Assurance Guide: Using COBIT. www.isaca.org.

[36] Jackson R. A. (2004). Get the Most out of Audit Tools. Inter-nal Auditor. Altamonte Springs Florida: Institute of Internal Auditors.

[37] Jaksic D. (2009). Implementation of Computer Assisted Audit Techniques in Application Controls Testing. The International Scientific Journal of Management Information Systems. Subo-tica: Ekonomski fakultet u Subotici.


[38] Jaksic D., Andric M. (2009). The Necessity of Audit Assuran-ce Service. Contemporary Issues in Accounting and Manage-ment Research and Education. Podgorica: Ekonomski fakultet.

[39] Jaksic D., Mijic K., Andric M. (2012). Analysis of Variations in the Performance of Audit Firms In the Republic of Serbia. Belgrade: Economic Annals.

[40] Jakšić D. (2001). Kontole sigurnosti kompjuterskih sistema. Revizor. Beograd: Institut za ekonomiku i finansije.

[41] Jakšić D. (2001). Revizijske procedure za procenu kontrolnog rizika u okruženju kompjuterskih informacionih sistema. Subo-tica: Ekonomski fakultet u Subotici.

[42] Jakšić D. (2002). Segregacija kompjuterskih dužnosti. Revizor. Beograd: Institut za ekonomiku i finansije.

[43] Jakšić D. (2010). Revizijski pristup kontinuiranog uveravanja u vrednovanju IT inernih kontrola. Strategijski menadžment i sistemi podrške odlučivanju u strategijskom menadžmentu. Subotica: Ekonomski fakultet u Subotici.

[44] Jakšić D., Mijić K. (2009). Delokrug rada revizije informacio-nih sistema. Banja Luka: Finrar.

[45] Jakšić D., Mijić K. (2009). Integracija kompjuterski podržanih alata i tehnika u procesu revizije. Revizor. Beograd: Institut za ekonomiku i finansije.

[46] Jakšić D., Mijić K. (2010). Planiranje revizije informacionih sistema na osnovu procene rizika. Revizor. Beograd: Institut za ekonomiku i finansije.

[47] Jakšić D., Mijić K. (2012). The Methodology of Business Pro-cess Management Using Software Solution. II International Symposium Engineering Management and Competitiveness. Zrenjanin: Tehnološki fakultet.

[48] Jakšić D., Mijić K. (2012). Uticaj ekonomsko-finansijske krize na poslovanje revizijskih firmi u Srbiji. Anali Ekonomskog fakulteta u Subotici. Subotica: Ekonomski fakultet u Subotici.

249 Literatura

[49] Jakšić D., Mijić K. (2013). The Determination of the Selection Factors of BPMS for the Financial Statement Audit Process. III International Symposium Engineering Management and Com-petitiveness. Zrenjanin: Tehnološki fakultet.

[50] Jeston, J., & Nelis, J. (2008). Business Process Management - 2nd edition. Great Britain: Elsevier Ltd.

[51] Jeston, J., & Nelis, J. (2008). Management by Process - a Roa-dmap to Sustainable Business Process Management. Hungary: Elsevier Ltd.

[52] Kaplan J. (1995). An Auditor’s Guide to Electronic Audit Resources. Internal Auditor. Altamonte Springs Florida: Insti-tute of Internal Auditors.

[53] Krsmanović, B., Polić, S. (2008). Informacione tehnologije u računovodstvu i reviziji. Banja Luka: Finrar.

[54] Laudon K. C., Laudon J.P. (1998). Information Systems and the Internet. SAD: The Dryden Press.

[55] Leishman M., Brouwers P.P., Farineau D. (2009). Continuous Auditing/Continuous Monitoring – Using Technology to Drive Value by Managing Risk and Improving Performance. UK: KPMG International.

[56] Malinić, S. (2009). Dometi računovodstvnog informacionog sistema u upravljanju krizom preduzeća. 13. Kongres Računo-vodstvo, revizija i finansije u uslovima globalne krize. Banja Vrućica: Savez računovođa i revizora Republike Srpske.

[57] Mijić K. (2009). Profesionalni i etički aspekt revizije informa-cionih sistema. Subotica: Anali Ekonomskog fakulteta u Subo-tici. str. 245

[58] Mijić K. (2014). Integracija procesa revizije finansijskih izveš-taja u funkciji unapređenja performansi revizijske firme. Subo-tica: Anali Ekonomskog fakulteta u Subotici. Br. 32. str. 427-439.

[59] Mijić K., Jakšić D. (2010). Primena kompjuterskih alata i teh-nika prema fazama procesa revizije finansijskih izveštaja. Revizor. Beograd: Institut za ekonomiku i finansije.


[60] Mijić, K., Jakšić, D., Vuković, B. (2014). Uticaj saturacije revizorskog tržišta na poslovanje novih firmi. Ekonomski pogledi. Vol. 16. Br. 3. str. 27-38.

[61] Mijić K., Vuković B. (2013). Kako unaprediti efikasnost i kva-litet procesa revizije finansijskih izveštaja?. VIII Kongres računovođa i revizora Crne Gore. Bečići: Institut sertifikovanih računovođa Crne Gore.

[62] Milanovic G. Lj. (2011). Understanding Process Performance Measurement System. Business Systems Research.

[63] Muehlen, M. (2002). Workflow-Based Process Controlling. Berlin: Logos Verlag.

[64] Novin A. N. and Pearson M. A. “Educating Internal Auditors” Internal Auditor Institute of Internal Auditors December 1994 pp. 54–57.

[65] Onions R. L. (2003). Towards a Paradigm for Continuous Auditing. UK: University of Salford.

[66] Panian Ž., Spremić M. (2007). Korporativno upravljanje i revi-zija informacijskih sustava. Zagreb: Zgombić i partneri.

[67] Paninan Ž. (2001). Kontrola i revizija informacijskih sustava. Zagreb: Sinergija-nakladništvo.

[68] Pickett K. H. S. (2007). Osnovni priručnik za internu reviziju, Beograd: Savez računovođa i revizora Srbije.

[69] PricewaterhausCoopers (2008), XBRL Steps Toward an Implementation Plan, NY: PricewaterhausCoopers.

[70] Ravesteyn J., Versendaal J. (2007). Success Factors of Busi-ness Process Management Systems. ACIS Proceedings of the 18th Australian Conference on Information Systems. Australia: Toowoomba.

[71] Romney M. B., Steinbart P. J. (2009). Accounting information systems. Upper Saddle River NJ: Pearson Education.

[72] Senft S., Gallegos F. (2009). Information Technology Control and Audit, 3rd Edition. SAD: An Auerback Book.

[73] Seokjin K., Behnam N. (2009). The Dynamics of Quality Costs in Continuous Improvement. International Journal of Quality and Reliability Management.

251 Literatura

[74] SRRS. (1998). Međunarodni standardi revizije. Beograd: SRRS.

[75] Stevanović, N., Malinić, D., Milićević, V. (2006). Upravljačko računovodstvo. Beograd: Ekonomski fakultet.

[76] van der Aalst, W., & van Hee, K. (2002). Workflow Manage-ment, Models, Methods and Systems. London: MIT Press.

[77] Verver J. G. (1994). Principles of Computer Assisted Audit Techniques. IIA International Conference. Toronto.

[78] Vincent M. O'R. (1990). Montgomery's Auditing. SAD: John Wiley&Sons.

[79] Weske, M. (2007). Business Process Management - Concepts, Languages, Architectures. Berlin: Springer-Verlag.

[80] Willis, M., Tesniere, B., & Jones, A. (2002). Corporate Com-munications for the 21st century. London: PricewaterhausCoopers.

[81] XBRL International. How XBRL Works. http://www.xbrl.org [82] XBRL International. Taxonomy Information.

http://www.xbrl.org [83] Youngwon Shin, R. (2003). XBRL, Financial Reporting, and

Auditing. http://www.nysscpa.org


Documents

tehnologija na proces revizije - ef.uns.ac.rs · Principi na kojima se bazira COBIT 5 70 4.2.1. ... 9.3. Međuodnos ... ali se situacija poslednjih decenija radikalno pro-