Embed Size (px)
Citation preview
Mr. Aurora Volarević:
Implementacija funkcije revizora informacijskih sustava u odjel interne revizije banke
Sadržaj:
1. Uvod2. Poslovne potrebe za revizijom informacijskih sustava3. Revizija informacijskih sustava4. Revizija informacijskih sustava u svijetu
4.1. O ISACI kao instituciji4.1.1. Standardi ISACA4.1.2. Etički kodeks ISACA4.1.3. Certifikat CISA
4.2. Hrvatska podružnica ISACA-e4.3. COBIT
5. Implementacija funkcije revizora informacijskih sustava u internu reviziju Zagrebačke banke d.d.
6. Zaključak
1. Uvod
Kada manageri, ulagači, vjerovnici i zakonodavna tijela žele donijeti ili kontrolirati donesene poslovne odluke, neophodne su im pouzdane informacije. Pojave kao što su protuzakonito djelovanje nekih organizacija, stečajevi velikih društava i kriza na području štednje i zajmova, dovode do sve značajnije uloge revizora u takvim situacijama, kako u sanaciji nakon takvih potresa tako i posebice u njihovoj prevenciji.Pred revizore se postavlja zahtjev za proširivanjem usluga na područja koja prelaze okvire i metode tradicionalne revizije financijskih izvještaja, uključujući i usluge kao što su ispitivanje, prognoza i projekcija kretanja poslovnih parametara. Razvitak računalne tehnologije odnosno primjena računala u poslovanju nameće potrebu novog pristupa reviziji uz uporabu složenih softverskih alata koji im omogućavaju praćenje sve složenijih poslovnih informacijskih sustava i pružanje adekvatnog odgovora na sve veće zahtjeve zainteresiranih strana, bilo uprave poduzeća, potencijalnih ulagača, vlasnika, državnih financijskih službi ili trećih subjekata. Potreba za ovakvim pristupom zahtjeva prilagodbu revizora odnosno postupka obavljanja revizije novim uvjetima i alatima za rad.
U Zagrebačkoj banci d.d. se način obavljanja revizije kontinuirano prilagođava novim uvjetima i tehnologijama, uključujući i samu reviziju informacijskih sustava. U 2000. godini je osnovana i zasebna funkcija revizora informacijskih sustava unutar Direkcije unutarnje kontrole. U svom radu u velikoj mjeri koriste se sa ISACA-im (Information System Audit and Control Association) smjernicama i metodologijom rada, o čemu će više biti riječi u nastavku. Materijali u ovom radu vezani uz ISACA-u korišteni su uz suglasnost ISACA Croatia Chapter.
1
2. Poslovne potrebe za revizijom informacijskih sustava
Porast ukupnog ljudskog znanja i količine poslovnih informacija, kao i porast razine složenosti poslovanja na globaliziranom tržištu, problemi su koji se pokušavaju riješiti informatizacijom poslovanja. Težište primjene računala pomiče se od obrade velikih količina jednovrsnih podataka (radni sati, plaće, računi) prema računalnoj podršci i objedinjavanju različitih poslovnih aktivnosti. Sustavima podrške u odlučivanju i ekspertnim sustavima pokušavaju se podržati nestrukturirane aktivnosti, npr. aktivnosti planiranja i odlučivanja. Osnovna pretpostavka za pronalaženje optimalnih rješenja je sustavni pristup u rješavanju složenih problema, a njega je moguće primjenjivati samo uz posjedovanje kvalitetnih informacija dobivenih iz pažljivo projektiranih i kvalitetno izvedenih informacijskih sustava. U modernom poslovanju, a posebice u bankarskom sektoru i tržištu vrijednosnicama, pojedini poslovni događaji i transakcije postoje isključivo u elektronskom obliku, što reviziju bez poznavanja informacijskih sustava i tehnologija čini vrlo ograničenom, i gotovo nemogućom.Vezano uz informacijske sustave, treba razlikovati dva vida revizije:
Revizija podržana informacijskim sustavima
U uvjetima primjene računala u poslovanju opći cilj i djelokrug revizije ostaju isti, ali se od revizora zahtjeva prilagodba revizije novom načinu poslovanja i protoka informacija, kao i uključivanje revizora sa specijalnim znanjima iz područja informacijskih sustava. Tu imamo dvije vrste interakcije:-Utjecaj na strukturu samih informacijskih sustava, u koje se npr. ugrađuju tzv. "udice" (hooks), koje predstavljaju točke dostupa podacima i međupodacima za provjere prilikom revizija,-Posebni programski paketi (npr. ACL - Audit command language) koji temeljem exspertnih, matematičkih i statističkih sustava ugrađenih u program olakšavaju sublimiranje i analizu velikog broja informacija dobivenih iz jednog ili više različitih informacijskih sustava koje upotrebljava poslovanje.
Revizija informacijskih sustava
Uslijed sve intenzivnije informatizacije, razumljiva posljedica je da i takav način obrade podataka, pohranjivanja i razmjene financijskih informacija može utjecati na klijentov računovodstveni sustav i sustav internih kontrola. Stoga je potrebno obavljati kontinuiranu reviziju samih informacijskih sustava, kako bi se mogla obavljati vjerodostojna revizija pomoću informacijskog sustava. Revizija informacijskog sustava može se obavljati kao samostalna revizija ili kao dio revizije poslovnog djela (npr. u sklopu procjene rizika).
3. Revizija informacijskih sustava
Pod revizijom informacijskog sustava podrazumijevamo reviziju cjelokupne informacijske tehnologije u poslovanju i ona je samo dio cjelokupne interne ili eksterne revizije. Revizori informacijskog sustava moraju podržati reviziju u računalnim aspektima posla, osiguravajući adekvatnu pokrivenost informacijskog sustava kompanije (aplikacije, serveri, baze podataka, mreža, radne stanice). Management osigurava da revizija poslovnog djela u kombinaciji s revizijom informacijskog sustava predstavlja zaokruženu
2
cjelinu. Postoji više teorija o granicama između revizora informacijskih sustava i revizora poslovnog djela. Osnovne kontrole informacijskog sustava (npr. kontrole pristupa mreži ili bazama podataka) može obavljati revizor bez većih informatičkih znanja uz adekvatnu pripremu, dok za kontrolu funkcioniranja sustava, definiranja parametara, kontrolu razvoja i implementacije aplikacije i sl. revizor mora imati dodatna informatička znanja o revidiranom segmentu, odnosno mora biti specijalizirani revizor informacijskog sustava.
Osnovni segmenti revizije informacijskog sustava jesu:
upravljanje promjenama (change management), razvoj, akvizicija i implementacija, sigurnost sustava, računalne operacije.
a) UPRAVLJANJE PROMJENAMA
Pod rizikom upravljanja promjenama podrazumijevamo:- neovlaštenu implementaciju promjena (krađa, vremenska bomba,
gubitak podataka),- implementaciju netestiranih promjena (pad sustava, gubitak
integracijskih podataka)- promjene nisu implementirane na vrijeme (nisu sukladne sa
zakonom, poslovni gubitak)- nepostojanje određenog nivoa sigurnosti,- neodgovarajuće održavanje dokumentacije (problemi sa
naknadnim promjenama, gubitak transparentnosti programske logike)
Prilikom revizije načina upravljanja promjenama potrebno je utvrditi da li su definirani i dokumentirani slijedeći segmenti:- tipovi promjena,- traženi elemente promjena,- ovlaštenja za obavljanje promjena,- test procedure,- sve promjene,- potpisane procedure, odnosno korisničko prihvaćanje promjene, - napisane procedure za implementaciju, a vezane za pojavu
pogrešaka tijekom implementacije, te popravljanje istih i poboljšanje funkcionalnosti (preduvjeti sigurnosti, backup, instalacijske procedure, definirani parametri i migracija podataka, odjava odrađenih aktivnosti, te sve to dokumentirano)
b) RAZVOJ, AKVIZICIJA I IMPLEMENTACIJA
Prilikom revizije segmenta razvoja, akvizicije i implementacije potrebno je kontrolirati da li je definirano slijedeće:- dugoročna IS strategiju, pri čemu ona mora pratiti razvoj
tehnologije,- uključivanje korisnika,- kontrolne točke,- nadzor budžeta i vremena,- testiranje i potpisivanje procedura,- edukacija,- dokumentiranje,- finalno prihvaćanje,- migracija podataka,- implementacija,
3
- post implementacijski nadzor ( performanse, skriveni bagovi,..)
c) SIGURNOST SUSTAVA
Budući da je rizik neovlaštenog pristupa podacima povezan s kontrolom pristupa, prilikom revizije sigurnosti sustava potrebno je kontrolirati slijedeće segmente:- Neadekvatne kontrole promjene podataka, razdvajanje ovlaštenja,
(pogreške kao rezultat nedovoljnog znanja, pokušaj promjene podataka, neovlaštene promjene – potencijalna zlouporaba, krađa)- Neusklađenost s propisima,- Otkrivanje podataka,- Gubitak integriteta podataka.
d) RAČUNALNE OPERACIJE
Prilikom obavljanja revizije potrebno je utvrditi da li postoji pisana politika pristupa podacima (pristup podacima se treba bazirati na stvarnoj potrebi za pristupom, podržavajući vlasništvo podataka, odvajanje testne od produkcijske okoline, definiranje nadzora i izvještavanja). Također, potrebno je uvesti softver za kontrolu pristupa (podržavajući ID i password, automatske procedure za prihvaćanje promjena, podržavajući zaštitu svih korisnika i obavezno testiranje prije implementacije, grupe korisnika, resursa, te spremanje i izvještavanje o startnim statusima userID-a i password-a). Sve transakcije moraju biti logirane s vremenskom značkom- timestamp-om i userID-om. Također, potrebno je limitirati korištenje sistemskih alata (utility).
4. Revizija informacijskih sustava u svijetu
Revizija informacijskih sustava je u svijetu već dugo vremena specijalizirana grana revizije. Od većeg broja strukovnih udruženja i organizacija, jedna od najznačajnijih je ISACA, čije preporuke i smjernice predstavljaju osnovicu pristupa i obavljanja revizije informacijskih sustava.
4.1. O ISACI kao instituciji ISACA (Information System Audit and Control Association) je međunarodna organizacija koja udružuje članove na osnovi zajedničkog strukovnog interesa. Osnovana je 1969. godine, a danas ima više od 20 000 članova u 100 država i više od 150 sjedišta u 55 država.Vizija ISACA-e je da bude prepoznata kao globalni lider u upravljanju,kontroli i osiguranju IT sustava.Misija ISACA-e je da podrži ciljeve kompanije kroz razvoj, pružanje ipromicanje istraživanja, standarda, kompetencija i iskustava za efikasno upravljanje, kontrolu i osiguranje informacija, sustava i tehnologije.ISACA djeluje kroz različite servise kao što je promicanje istraživanja, standarda, osiguravanje informacija, obrazovanje, izdavanje certifikata i kroz profesionalno savjetovanje. Organizacija pomaže reviziji informacijskih sustava, kontroli i sigurnosti sustava, ne samo u području IT-a, području rizika i sigurnosti, već i u odnosu IT i poslovnog djela, poslovnih procesa i poslovnog rizika.
4
4.1.1. Standardi ISACA-e
Zbog prirode posla revizije informacijskih sustava, te vještina neophodnih za obavljanje takvih revizija, zahtijevaju se globalno primjenjivi standardi koji se odnose specijalno na reviziju informacijskih sustava. Jedan od ciljeva ISACA-e je unapređenje standarda. Standardi za reviziju informacijskih sustava jesu:
010 Revizijski pravilnik010.010 Odgovornost, ovlaštenja i pouzdanostStandard propisuje da odgovornosti, ovlaštenja i pouzdanost funkcije revizora informacijskih sustava moraju biti detaljno dokumentirane u revizijskom pravilniku ili u pismu najave.
020 Neovisnost020.010 Profesionalna neovisnostStandard propisuje da u svim područjima vezanim uz reviziju, revizor informacijskih sustava mora biti neovisan od subjekta revidiranja u stavu i prikazivanju.
020.020 Organizacijski odnosiStandard propisuje da revizija informacijskih sustava mora biti dovoljno neovisna od okoline koja se revidira kako bi se omogućilo objektivno obavljanje revizije.
030 Profesionalna etika i standardi030.010 Etički kodeksStandard propisuje da se revizor informacijskih sustava mora ponašati u skladu s Etičkim kodeksom asocijacije.
030.020 Dužna profesionalna pažnjaStandard propisuje da je revizor informacijskih sustava obavezan posvetiti dužnu pažnju i pridržavati se revizijskih standarda prilikom obavljanja revizije.
040 Kompetentnost040.010 Vještine i znanjaStandard propisuje da revizor informacijskih sustava mora održavati tehničku kompetentnost kroz odgovarajuću kontinuiranu profesionalnu edukaciju.
050 Planiranje050.010 Planiranje revizijeStandard propisuje da revizor informacijskih sustava planira reviziju informacijskih sustava sukladno ciljevima i u skladu s prihvaćenim revizijskim standardima.
060 Performanse revizije060.010 NadzorStandard propisuje da bi revizori informacijskog sustava trebali biti adekvatno nadzirani kako bi se osiguralo da su revizijski ciljevi postignuti i revizijski standardi primjenjivani.
060.020 Revizijski dokazStandard propisuje da tijekom obavljanja revizije, revizor informacijskog sustava mora osigurati dovoljne, pouzdane, relevantne i korisne dokaze kojima će se efikasno postići ciljevi revizije. Revizijski nalazi i zaključci moraju biti podržani odgovarajućom analizom i interpretacijom dokaza.
5
070 Izvještavanje 070.010 Sadržaj i forma izvještajaStandard propisuje da revizor informacijskih sustava mora napisati izvještaj u adekvatnoj formi, kako bi informirao korisnike o rezultatima obavljene revizije. U revizijskom izvještaju moraju biti navedeni obim revizije, ciljevi, period revidiranja, te opis obavljene revizije. Izvještaj treba identificirati organizaciju, utvrđene primatelje i sve restrikcije u protoku informacija. U izvještaju moraju biti navedeni propusti, zaključci i preporuke te sve rezervacije u mišljenju.
080 Naknadne aktivnosti080.010 Slijedne radnjeStandard propisuje da revizor informacijskih sustava mora tražiti i vrednovati zadovoljavajuće informacije vezane uz prethodne propuste, zaključke i preporuke kako bi ustanovio da su implementirane odgovarajuće akcije u odgovarajućem vremenskom roku.
4.1.2. Etički kodeks ISACA-e
Pravila Kodeksa profesionalne etike ISACA-e pružaju smjernice za etičko i profesionalno ponašanje članova asocijacije i ovlaštenih revizora informacijskog sustava. Članovi su dužni: Podržavati uspostavljanje informacijskog sustava te sukladnost s
standardima, procedurama i kontrolama, Postupati u skladu s Standardima revizije informacijskog sustava
usvojenih od strane asocijacije, Služiti interesu zaposlenika, dioničara i javnosti na marljiv, pošten i
odgovoran način i ne smiju svjesno biti dijelom bilo kakve ilegalne i neodgovarajuće aktivnosti,
Održati povjerljivost informacija prikupljenih tijekom obavljanja njihovih dužnosti. Informacije se ne smiju koristiti za osobnu korist niti odavati neovlaštenim trećim stranama,
Obavljati svoje dužnosti na neovisan i objektivan način i izbjegavati aktivnosti koje ugrožavaju ili mogu ugrožavati njihovu neovisnost,
Održavati kompetentnost u srodnim područjima revizije i informacijskih sustava kroz sudjelovanje u aktivnostima profesionalnog razvoja,
Koristiti dužnu pažnju u prikupljanju i dokumentaciji dovoljnog činjeničnog materijala na osnovu kojeg se baziraju zaključci i preporuke,
Informirati odgovarajuće strane o rezultatima provedene revizije, Podržati edukaciju managementa klijenata i javnosti u
unaprjeđenju njihovog razumijevanja revizije i informacijskih sustava,
Održati visoke standarde u izvedbi i karakteru kako profesionalnih tako i osobnih aktivnosti.
4.1.3. Certifikat CISA
ISACA organizira polaganje ispita i izdaje CISA (Certified Information System Auditor) certifikat. U svijetu ima 12 000 osoba koje su dobile certifikat. Da bi osoba dobila certifikat mora položiti CISA ispit, mora imati najmanje 5 godina iskustva u reviziji i mora se ponašati u skladu s Etičkim kodeksom ISACA-e. Ispitu mogu pristupiti svi pojedinci koji imaju interes u području revizije informacijskih sustava, kontrole i sigurnosti. Polaganje ispita se održava jednom godišnje. Polaže se na 9 jezika i na 180 lokacija u svijetu. Održavanje certifikata zahtjeva 20 sati edukacije godišnje. U 2002. godini se po prvi put planira održavanje ispita u Hrvatskoj.
6
4.2. Hrvatska podružnica ISACA-e - ISACA Croatia Chapter
Početkom 2001 međunarodni odbor ISACA-e dozvolio je ime Croatia Chapter i teritorij cijele Republike Hrvatske, a 15.03.2001 održana je osnivačka skupština i izabrana su tijela Udruge. Udruga trenutno ima 18 članova, a za slijedeću godinu planira održavanje ispita CISA u Hrvatskoj.Prema statutu Udruge svrha Udruge je edukacija i distribucija informacija svim članovima s ciljem unapređenja stručnih znanja u području kontrole, nadzora i revizije informacijskih sustava. Udruga promovira i proširuje svijest o potrebi za kontrolom, nadzorom i revizijom informacijskih sustava među upravom poduzeća i organizacija, te javnosti. (Članak 3.)
4.3. COBIT
U praktičnom svakodnevnom radu, nezaobilazna pomoć u primjeni pravila i metodologije ISACA-e je publikacija COBIT, koja se sastoji od više dijelova od kojih je jedan i "vodič za reviziju".
ISACA izdaje COBIT publikaciju (Control Objectives for Information and related Technology-Ciljevi kontrole informacijske i pridružene tehnologije) koja je dizajnirana za revizore, korisnike te kao kompletan vodič za managere i vlasnike upravljačkih i poslovnih procesa. Misija COBIT-a je istraživati, razvijati, publicirati i promovirati autoritativni, ažurni internacionalni skup općenito prihvaćenih ciljeva kontrole informacijske tehnologije od strane managera i revizora.Ciljevi kontrole informacijske i pridružene tehnologije (COBIT), sada u svom trećem izdanju, pomaže managementu da osigura da njegove odluke balansiraju između postavljenih ciljeva i upravljanja rizikom. Korisnicima osigurava da se izbalansira sigurnost i kontrola proizvoda i usluga koje su tražili, revizorima informatičke tehnologije omogućava kreiranje efikasnih revizijskih programa, podržava revizijske nalaze i preporuke te načine povezivanja kontrolnih ciljeva i zahtjeva organizacije. Poslovna orijentacija je glavna tema COBIT-a. Praksa sve više uključuje vlasnike poslovnih procesa u smislu da su oni u potpunosti odgovorni za sve aspekte poslovnog procesa. U suštini, to uključuje i odgovornost da je sustav kontrola adekvatno uspostavljen. Posebno, COBIT pruža Modele sazrijevanja za kontrolu nad IT (Information Technology) procesima, tako da management može ocijeniti današnje stanje organizacije i gdje bi organizacija voljela biti. Kritički faktori uspjeha definiraju najvažnije management orijentirane implementacijske smjernice za postizanje kontrole nad i unutar svojih IT procesa. Ključni indikatori cilja definiraju mjere koje govore management-u činjenično - koliko dobro je neki IT proces zadovoljio svoje poslovne zahtjeve te Ključni indikatori učinka, koji su vodeći indikatori definiranja kvaliteta učinaka IT procesa u omogućavanju postizanja ciljeva.
COBIT je izdan u šest publikacija:
Sažetak (Executive summary) Radni okvir (Framework) Kontrolni ciljevi (Control objectives) Vodič za reviziju (Audit guidelines) Smjernice za management (Management guidelines) Skup alata za implementaciju (Implementation tool set)
7
Management mora osigurati da se sustav internih kontrola u raznim područjima rada uspostavi na način da podržava poslovne procese, te osigurati da svaka kontrolna aktivnost podržava postavljene ciljeve i utjecaj na IT resurse. Radni okvir (Framework) je alat koji vlasnicima poslovnih procesa olakšava sistematiziranje i razrješavanje odgovornosti. Utjecaj na IT resurse je naglašen u radnom okviru zajedno sa zahtjevima za efektivnošću, efikasnosti, povjerljivosti, integritetom, dostupnosti, sukladnosti (compliance) i pouzdanosti informacija, koji moraju biti zadovoljeni. Kontrole, koje uključuju politike i pravilnike, organizacijsku strukturu, praksu i procedure, su odgovornost managementa.
Management kroz svoje upravljanje kompanijom mora osigurati prakticiranje dobre volje kod svih individua koji su uključeni u upravljanje, korištenje, dizajn, razvoj, održavanje ili operativu informacijskog sustava. Jedan od IT kontrolnih ciljeva je implementacija sustava internih kontrola unutar pojedinačne IT aktivnosti.COBIT IT proces definiran je unutar četiri domene:
1. Planiranje & Organizacija2. Akvizicija & Implementacija3. Isporuka & Podrška 4. Nadzor
Ova struktura pokriva sve aspekte informacija i tehnologija za njihovu podršku. Adresirajući 32 cilja kontrole visoke razine, vlasnik poslovnog procesa može osigurati primjereni kontrolni sustav u IT okolini.
Vodič IT upravljanja (governance) je također prezentiran unutar COBIT-a. IT upravljanje osigurava strukturu koja povezuje IT procese, IT resurse i informacije sa strategijom i ciljevima kompanije. Upravljanje IT-om integrira optimalan način planiranja i organizacije, prikupljanja i implementacije, isporuke i održavanja, te praćenja IT performansi. Upravljanje IT-om omogućava kompaniji iskorištavanje pune prednosti svojih informacija, maksimizirajući korisnosti, kapitaliziranje prilika i dobivanje konkurentskih prednosti.
Vodič za reviziju (audit guideline ) definira okvir revizije koji bi trebalo zadovoljiti obzirom na zadani cilj. Također su definirani okvirni postupci za konkretne revizije koje treba prilagoditi vlastitom sustavu i postojećim pravilnicima. Opisani su i sustavi kontrola koje bi trebao management osigurati kao i preporuke za poboljšanje.
Postupci prilikom obavljanja revizije IT procesa jesu:
1. Prikupljanje i razumijevanje informacija (Obtaining and undrestanding) -potrebno je razumjeti rizike i kontrolne mehanizme vezane uz zahtjeve poslovanja,
2. Vrednovanje kontrola (Evaluating the controls) -potrebno je ocijeniti valjanost postojećih kontrola,
3. Osiguravanje sukladnosti (Assessing compliance) -ocijeniti sukladnost postojećih kontrola sa zahtijevanim, te dosljednost i neprekidnost,
4. Identificiranje rizika (Substantiating the risk) -supstituirati rizik u kontrolnim točkama u kojima nije uspješno smanjen analitičkim tehnikama ili ostalim načinima.
8
1. Prikupljanje i razumijevanje informacija je revizijski korak u kojem je potrebno dokumentirati aktivnosti vezane uz kontrolne ciljeve kao i identificirati postojeće kontrolne mehanizme.
Potrebno je intervjuirati management i osoblje s ciljem razumijevanja:
-zahtjeva poslovanja i potencijalnih rizika -organizacijske strukture-pravila i ovlaštenja-pravilnika i procedura-zakonske regulative-kontrolnih funkcija-izvještavanja managementu
Dokumentirati proces –definirati na koje IT resurse točno utječe proces koji se revidira. Potrebno je razumjeti revidirani proces, Ključne indikatore učinkovitosti (Key performance indicators) procesa, kontrole uključene u proces, te moguću povezanost s ostalim procesima.
Ključni indikatori učinkovitosti (Key performance indicators) pokazuju koliko dobro se odvijaju IT procesi u usporedbi s zadanim ciljevima: poboljšani omjer troškovi/učinkovitost IT procesa (trošak spram
isporučenog) povećani broj planova akcija i inicijativa za poboljšavanje procesa
u IT-u povećana iskoristivost IT infrastrukture povećano zadovoljstvo vlasnika (pregled i broj pritužbi/reklamacija) poboljšana produktivnost osoblja (broj isporučenog) i poboljšani
moral (anketa) povećana raspoloživost znanja i informacija za management tvrtke povećana povezanost vladanja tvrtkom i IT-om
Ključni indikatori učinkovitosti u praksi:-up- time-vrijeme dostupnosti sustava unutar radnog vremena/ukupno radno vrijeme-access security-formalna ovlaštenja/stvarna ovlaštenja u sustavu-control findings-pronađene nepravilnosti/kontrole-file security-pronađene nepravilnosti/kontrole-DB integrity-nepravilnosti pronađene s kontrolnim programima/kontrole-Quality system testing-nepravilnosti koje nisu pronađene tijekom testiranja/osigurano testiranje sustava
2. Vrednovanje kontrola je revizijski korak u kojem je potrebno ocijeniti efektivnost kontrolnih mehanizama ili stupanj kontrolnih ciljeva koji je dosegnut. U osnovi odlučiti što i na koji način testirati.
Potrebno je ocijeniti da li su kontrolni mehanizmi odgovarajući za revidirani proces prema postavljenim kriterijima i standardima prakse, na osnovu Ključnih faktora uspjeha (Critical success factor) kontrolnih mehanizama te prema osobnoj prosudbi revizora. Potrebno je provjeriti da li postoji:
-dokumentacija procesa-odgovarajuća isporučivost procesa -jasno definirana i efikasna odgovornost-nadomjesne (compensating) kontrole ukoliko su potrebne
Potrebno je ocijeniti stupanj dostignutih kontrolnih ciljeva
9
Ključni faktori uspjeha (Critical Success Factors) definiraju najvažnije management orijentirane korake za implementaciju i kontrolu nad i unutar IT procesa. Oni su slijedeći:1. odgovornosti2. striktni standardi3. dokumentirani kontrolni procesi4. kontrola informacija5. dokumentiranost i mjerljivost (accountability)
Odnosno: aktivnosti upravljanja IT-om su integrirane u procese upravljanja organizacijom i ponašanje lidera upravljanje IT-om se fokusira na ciljeve tvrtke, strateške inicijative,
uporabu tehnologije za proširivanje poslovanja i na raspoloživost dovoljno resursa i kapaciteta kako bi se držao korak sa zahtjevima posla
aktivnosti upravljanja IT-om su definirane s jasnom svrhom, dokumentirane i implementirane, temeljem potreba tvrtke i jednoznačnosti obračunavanja
prakse management-a su implementirane za povećanje efikasne i optimalne uporabe resursa i povećavanja učinkovitosti procesa IT
utemeljene su prakse organizacije, koje omogućavaju ozbiljan pregled na, kontrolne okoline, snimanje rizika, kao standardne prakse utemeljene na stupnju usklađenosti s utvrđenim standardima, nadzor i slijeđenje nedostataka kontrole i rizika
prakse kontrole su definirane kako bi se izbjegli proboji u internoj kontroli i upravljanju konfiguracijom
utemeljen je revizijski odbor za imenovanje i nadgledanje nezavisnog revizora, fokusiranog na IT, kada se provodi plan revizije te pregledavanje rezultata revizije kao i pregleda trećih strana.
Ključni faktori uspjeha u praksi: okolina (environment) s ciljem definiranja globalne strategije,
planiranja pravilnika, metodologije i standarda vođenje projektima (project management)- dobar projekt je onaj
koji se realizira u vremenu kraćem od 12 mjeseci ciljevi projekta (project objectives) - koncentrirani na zašto i kako korisnik (user) -uključenost i vlašništvo podataka predanost managementa (management commitment)- snaga,
vizija i osobna uključenost vodstvo & osoblje (leadership & people) - pojedinačno odlučivanje
unutar projekta
3. Osiguravanje sukladnosti podrazumijeva da li uspostavljeni mehanizmi funkcioniraju na način na koji je zahtijevano, dosljedno i neprekinuto te zaključak o adekvatnost kontrolnih mehanizama. Potrebno je:
kontrolirati direktne i indirektne evidencije za odabrani uzorak/period kako bi potvrdili sukladnost procedura za direktne i indirektne evidencije
obaviti kontrolu uzorka adekvatnosti isporuke podataka definirati nivo testiranja (substantive testing) i dodatnog revizijskog
posla potrebnog da bi utvrdili adekvatnost IT procesa.
4. Identificiranje rizika je revizijski korak u kojem je potrebno ocijeniti u kojim točkama kontrolni ciljevi nisu uspostavljeni korištenjem analitičkih metoda ili ostalim načinima. Cilj je podržati mišljenje i
10
potaknuti management na akciju. Revizor mora biti kreativan u traženju i prezentiranju tih često osjetljivih i povjerljivih informacija. Potrebno je:
dokumentirati slabosti kontrolnih mehanizama, te potencijalni rizik (npr. krađa)
identificirati i dokumentirati aktualne i potencijalne utjecaje osigurati komparativnu informaciju (pomoću benchmarks-a).
Smjernice za management (Management guidelines) omogućavaju managementu kompanije da efikasnije rukovodi potrebama i zahtjevima IT upravljanja. Vodič je usmjeren na djelovanje i osiguravanje managementu kompanije smjernice za kontrolu nad dobivanjem adekvatnih informacija i povezanih procesa, nadzor nad postizanjem organizacijskih ciljeva, te nadzor nad performansama unutar pojedinog IT procesa te za uspoređivanje organizacijskih dostignuća.
Kriterij informacija: učinkovitost efikasnost tajnost integritet raspoloživost usklađenost pouzdanost
IT resursi ljudi aplikacije tehnologije prostori
COBIT je alat koji omogućava managementu premostiti nedostatke zahtijevanih kontrola, tehničke podrške i poslovnog rizika, te prezentiranje razine upravljanja rizikom dioničarima. COBIT olakšava razvoj jasno definiranih procedura kroz IT kontrole unutar čitave kompanije. Na osnovu postavljenih kriterija funkcioniranja poslovnog procesa i resursa kojima raspolažemo te zadane domene, COBIT nam daje smjernice za realizaciju postavljenog cilja.
Ključni indikatori cilja (Key goal indicators) definiraju parametre koji ukazuju managementu kada pojedini IT proces zadovoljava zahtjeve poslovanja. Najčešće su prikazani kao: dostupnost sustava i usluga izostanak integriteta i rizik povjerljivosti cost-efficiency procesa i operacija potvrda o pouzdanosti, efektivnosti i sukladnosti podataka
Ključni indikatori cilja (poslovna vrijednost): prošireni učinci i upravljanje troškovima poboljšana dobit na glavnim IT investicijama poboljšano vrijeme izlaska na tržište (time to market) povećana kvaliteta i inovacije i upravljanje rizikom primjerno integrirani i standardizirani procesi poslovanja dohvat novih i zadovoljavanje postojećih klijenata raspoloživost odgovarajuće širine pojasa (brzina kanala u mreži),
te IT mehanizma isporuke (produkata/servisa) ostvarivanje zahtjeva i očekivanja proračuna i vremena procesa usklađenost sa zakonima, regulacijama, industrijskim standardima
i ugovornim obavezama
11
transparentnost preuzetih rizika i usklađenost s ugovorenim profilom rizičnosti organizacije
komparativna ispitivanja (benchmarking) zrelosti upravljanja IT-om kreiranje novih kanala za isporuku servisa
COBIT također sadrži Skup alata za implementaciju koji pruža lekcije naučene u onim organizacijama koje su brzo i uspješno primijenile COBIT u svojim radnim okolinama. Slijedećih nekoliko godina, management organizacija će morati ostvariti povećanu razinu sigurnosti i kontrole. COBIT je alat, koji omogućava manageru premošćivanje provalije vezane za zahtjeve kontrole, tehničku problematiku i poslovni rizik, komuniciranje te postignute razine kontrole prema vlasnicima tvrtke. COBIT omogućava razvoj jasnih politika i dobrih praksi IT kontrole u organizacijama cijelog svijeta.COBIT osigurava i model zrelosti upravljanja IT (Maturity models) za kontrolu IT procesa. Pomaže management-u u definiranju gdje se kompanija nalazi danas, kako stoji u odnosu na najbolju kompaniju u njezinoj branši, u odnosu na internacionalne standarde te gdje kompanija želi biti u budućnosti.
5. Implementacija funkcije revizora informacijskih sustava u internu reviziju u Zagrebačkoj banci d.d.
Zagrebačka banka, kao vodeća Banka u Hrvatskoj, neprestano ulaže u modernizaciju i informatizaciju svoga poslovanja. Time je kroz vrijeme informatizacije poslovanja sve više utjecala i na rad samostalne Direkcije unutarnje kontrole.
Tijekom obavljanja revizijskih aktivnosti uočena je potreba za: specijalističkim znanjima iz područja informacijskih sustava, za
potrebe pristupa, prikupljanja i obrade podataka za obavljanje revizije,
čvršćom suradnjom sa Sektorom informatike, objedinjavanjem sporadičnih aktivnosti na reviziji informacijskih
sustava u sistematski, jedinstven pristup, koji će surađivati s projektnim timovima tijekom razvoja IS-a, te obavljati kontinuiranu validaciju tijekom produkcijskog života,
učestvovanjem revizora pri specifikaciji i odabiru IS-a, kako bi se osiguralo da odabrani program pruža mogućnost revizije i ima ugrađen dovoljan broj kontrolnih točaka na odgovarajućim mjestima.
U 2000. godini je osnovana i zasebna funkcija revizora informacijskih sustava unutar Direkcije unutarnje kontrole.
Aktivnosti implementacije funkcije revizora informacijskih sustava organizirane su u nekoliko faza:
-FAZA 0: Predstavljanje programa i plana aktivnosti managementu i Sektoru informatike, te dobivanje njihove potpore.
-FAZA I:a) kontrola pristupa mrežib) kontrola pristupa podacima po svim platformamac) kontrola ažurnosti prijava/odjava djelatnika kao korisnika IS-ad) postojanje i ažurnost pisanih procedura za prijavu/odjavu/dodjelu ovlaštenja
12
Revizija informacijskih sustava započeta je jednostavnijim kontrolama, odnosno kontrolama u kojima se smatralo da će biti vrlo malo ili da uopće neće biti nepravilnosti. Orijentacija je bila na ugrađenim internim kontrolama u procesu rada. U tim kontrolama promatrana je ažurnost prijava i odjava djelatnika koji su napustili Banku ili promijenili organizacijski dio unutar Banke. Orijentacija je također bila i na kontroli postojanja pisanih procedura i uputa vezanih uz prijavu i odjavu djelatnika, te prijavu i odjavu ovlaštenja po svim platformama.
-FAZA II:e) kontrola ovlaštenja djelatnika SI
Obavljena je kontrola ovlaštenja djelatnika Sektora informatike i djelatnika koji nisu iz Sektora informatike, ali zbog prirode posla imaju ovlaštenja da obavljaju select, insert, delete i update nad produkcijskim podacima. Orijentacija je bila na kontroli pisanih procedura u kojima treba biti striktno definirano tko smije imati ovlaštenje za select, insert, delete i update nad produkcijskim podacima.
Zbog prirode posla nastoji se u Sektoru informatike propuste, za koje je to moguće, otkloniti za vrijeme obavljanja kontrole u dogovoru s IT managementom.
-FAZA III:f) kontrola načina vođenja projekta
U 2001. godini u Zagrebačkoj banci d.d. osnovan je Sektor za upravljanje poslovnim promjenama čija je svrha vođenje projekata i koordiniranje između sponzora projekata i ostalih organizacijskih dijelova koji će sudjelovati u izradi istih. Uz propisivanje procedure i pravilnika za vođenje projekata Sektor je krenuo u vođenje prvih projekata. U ovoj fazi napravljena je kontrola načina vođenja projekata u početnoj fazi izrade projekta jer se kroz adekvatno propisane procedure i način vođenja projekata u koje je uključeno više organizacijskih dijelova mogu i moraju ugraditi odgovarajući kontrolni mehanizmi, odnosno zadovoljavajuće interne kontrole u procesu rada.
-FAZA IV:g) primjena revizijskog softvera
Trenutno se u Zagrebačkoj banci testira revizijski softver ACL (Audit Command Language) koji između ostalog omogućava kompletniji i globalniji pristup reviziji. Isti omogućava filtriranje podataka, odabiranje uzoraka, slikoviti prikaz dobivenih rezultata i što je najvažnije sve upite detaljno dokumentira, te pruža mogućnost zadavanja slijeda upita što će skratiti vrijeme pripreme revizije kako poslovnog dijela tako i Sektora informatike. Revizijski softver ACL omogućava reviziju poslovnih segmenata i segmenata u Sektoru informatike koja je zbog načina poslovanja vrlo složeno kontrolirati (npr. kontrolu rada programa u pojedinim rizičnim segmentima, npr. obračun kamata, kontrolu i izdvajanje logova i sl.)
Uz kontrole u Sektoru informatike, revizor informacijskih sustava može poboljšati kvalitetu obavljanja revizije poslovnih dijelova budući da su sva poslovna područja računalno podržana. Revizijski tim bi se trebao sastojati od dva revizora poslovnog područja i jednog revizora informacijskih sustava. Revizor informacijskih sustava bi trebao snimiti tehnologiju rada na način da sa drugačijeg (tehničkog aspekta) identificira ugrađene kontrolne mehanizme i interne kontrole u procesu rada.
13
6. Zaključak
Koliko god je očita neminovnost sve šire uporabe informacijskih sustava u poslovnim procesima, posebice u bankarstvu, toliko je nužno unapređivanje sustava interne revizije posebice s obzirom na informatizaciju revizijskih procesa. Ovisnost poslovanja i pojavnost postojanja informacija isključivo u elektronskom obliku impliciraju potrebu sustavne validacije i revizije informacijskih sustava kao krvotoka poslovanja. Validirani informacijski sustav i kontrola nad načinom njegove uporabe, osim sigurnosti poslovnih procesa bitno utječe i na smanjenje ukupnog revizijskog rizika. Koristeći se takvim, pouzdanim informacijama iz informacijskog sustava uz upotrebu specijaliziranih revizijskih aplikacija, moguće je obrađivati i nadzirati ogromne količine informacija, karakteristično za poslovanje na globalnom tržištu. Koristeći u svijetu već duže vrijeme razvijene standarde i procedure revizije informacijskih sustava, moguće je i u Hrvatskoj relativno brzo uhvatiti korak s revizijskom strukom. Zagrebačka banka u skladu s nastojanjem da očuva svoju vodeću poziciju na tržištu i još više unaprijedi svoje poslovanje, ulaže velike napore u unapređivanje sustava revizije, posebice revizije informacijskih sustava. Implementacijom funkcije i osnivanjem tima za reviziju informacijskih sustava, ti napori su dobili i svoj formalni okvir. Očekuje se značajan utjecaj na unapređenje revizijskih procesa, na zadovoljstvo vlasnika, managementa i posebice kvalitetnijih servisa zaposlenicima i korisnicima bankarskih usluga.
Literatura
Aurora Volarević: Revizija u uvjetima primjene računala u poslovanju, magistarski rad, 2000. COBIT Steering Committee and IT Governance Institute: COBIT, 3rd Edition, 2000. Hendrik Ceulemans: Fundamentals and practices of information system auditing ISACA : 2001 CISA Review technical information manual, 2000. Jack C. Robertson: Auditing, eight edition, Times miror higer education group,1996. S. Rao Vallabhaneni: CISA examination textbooks, second edition, SRV profesional
publication,1996. Statut ISACA-e Croatia Chapter William F. Messier Jr.: Revizija, priručnik za revizore i studente, Faber &Zgombić Plus, 1998.
14
