INFORMACIONA BEZBEDNOST I PRIMENA CAATT …pepogledi.org/Arhiva/2013_02/03 Stanislav Polic - Informaciona... · Pravno-Ekonomski Pogledi, br. 2/13 Informaciona bezbednost i primena

Pravno-Ekonomski Pogledi, br. 2/13

Informaciona bezbednost i primena CAATT alata u IT reviziji

Stanislav R. Polić

Prof. Dr Stanislav R. Polić1 Visoka škola strukovnih studija za ekonomiju i upravu, Beograd

INFORMACIONA BEZBEDNOST I PRIMENA CAATT ALATA U IT REVIZIJI

Sažetak: Prelazak na digitalne poslovne evidencije u svim sverama poslovanja je u mnogome unapredilo poslovanje, pre svega pojavom elektronskih poruka, elektronskog poslovanja i uvođenjem interfejsa “računar – računar”. U isto vreme rastu rizici i pretnje od zloupotrebe novih tehnologija dovodeći do pojave cyber kriminila. U takvim novim tehnološkim uslovima procesi klasične revizije postaju praktično nemoguće aktivnonosti tako da nov metodološki pristup i upotreba specijalizovanih softvera, odnosno CAATT2 alata, postaje obavezujući način rada pod nazivom IT revizija. Preduslov za takav način rada je podizanje nivoa znanja i veština iz informacionih tehnologija, na svim hijerarhijskim nivoima poslovne organizacije, uključujući u to i glavni menadžment, a posebno interne IT revizore koji jedino sa korišćenjem odgovarajućih CAATT alata mogu da pristupe rešavanje postavljenih revizorskih zadataka u digitalnom okruženju. Klju čne reči: interna revizija, CAATT alati, digitalna ekonomija, bezbednost, interne

kontrole, informacija,

Uvod

Inovacije u proizvodnji i distribuciji informacija uzrokuju revolucionarne promene u

savremenom društvu i nastanak nove tehno–ekonomske paradigme3 rada u okruženju

"digitalne ekonomije". U digitalnoj ekonomiji informacija postaje najznačajniji resurs,

a proiozvodi informatičkog društva poprimaju formu digitalnih tokova koji “struje”

računarskim mrežama, nesputani nacionalnim granicama. Savremenim inovacijama u

oblasti platnih sistema dovršava se proces dematerijalizacije novca, tako da i sam novac

poprima formu digitalnih tokova u računarskim mrežama. Digitalni novac postaje

1 [email protected] 2 CAATT - Computer-Assisted Audit Techniques and Tools 3 Paradigma (iz strogrčkog παράδειγµα parádeigma, sastavljeno od dva pojma παρὰ parà “pored“ i δεικνύµι deiknymi “pokazati“, “učini razumljivim“; plural paradigme označava primer, uzor, uzorak. Paradigma je skup osnovnih pretpostavki ili pravila koje uzimamo zdravo za gotovo (eng. default) u cilju poimanja stvarnosti i njenih fenomema. Pojednostavljeno, paradigma je uobičajeni način rada. Izvor wikipedia



Stanislav R. Polić

pogodan način za "mikroplaćanja" i omogućiće komodifikaciju4 informacija. Nova

forma novca dovešće do krupnih promena u ekonomskoj sferi kao i do radikalne

transformacije bankarskog sektora. To zahteva odlučnu akcija ka digitalnim

veštinama pošto je to najefikasniji način da se obezbedi potrebna efikasnost rada.

Digitalna “revolucija” direktno utiče na sve delove svetske ekonomije, odnosno

privrede, sa poslovnim organizacijama kojima je potrebno da u svakom sektoru

razumeju i shvate mogućnosti koje im pruža digitalna revolucija. To varira od

integracije informacione, odnosno digitalne tehnologije u poslovnim procesima raznih

delatnosti, finansijskim uslugama i u online trgovini na malo. U svim sektorima, to je

kombinacija visoko kvalifikovanih tehnoloških profesionalaca, tehnološke “pameti“

poslovnih lidera i nadležnih krajnjih korisnika informacione tehnologije koji

omogućavaju efikasno učešće u digitalnoj ekonomiji poslovne organizacije.

U svetu je implementacija primene novih informacionih tehnologija u stalnom porastu.

Pri tom je prisutna modifikacija dosadašnjeg dominantnog interfejsa, čovek - računar u

specifičan interfejs računar - računar, uz neposredni nadzor ljudskog faktora. Očekuje

se da ovakav pristup postane standard 21 veka. Procena je da se već od kraja 2004

godine, 70% svetskog poslovanja, u razvijenim tržišnim ekonomijama odvija na nov

tehnološki način – posredstvom Interneta, na direktan ili indirektan način.

Proces stvaranja i razvoja potpuno novih poslovnih modela u svim oblastima poslovnih

delatnosti, sada se velikim delom bazira isključivo na informacionim tehnologijama.

Takav proces razvoja povećane automatizacije poslovanja kontinuirano traje već više od

šezdeset godina. Automatizacijom poslovnih procesa vrši se memorisanje velikih

količina podataka, koji u praktičnom radu dobijaju svoju svrhu adekvatnim korišćenjem

od strane poslovnih menadžera. Krajem dvadesetog veka su se u okruženju

informacionih tehnologija pojavili novi informatički pojmovi kao što su (eng. data

warehouse - DW5, meta-data6, data mart7, data mining8, XML 9, repository10 i

4 komodifikacija podrazumeva uključivanje nekarakterističnih objekata trgovanja, dobara i usluga (ili stvari koje se obično ne smatraju robom ili uslugama) u proizvod za trgovanja kroz kupoprodajni odnos. 5 DW - Data Warehouse – “skladište podataka” predstavlja posebno organizovane baze podataka koje predstavljaju integraciju relacionih baza podataka velikih kapaciteta pogodnih za različite vrste upita u poslovnom obaveštavanju, približavajući korisnika sistemu za podršku odlučivanju (eng. Decision Support System-DSS) - (sistem za podršku odlučivanju). Izvor rečnik: Foldoc. 6 meta-data - meta podaci, podaci oko podataka. U obradi podataka meta-data je definicija podataka koja obezbeđuje informacije u vezi sa podacima ili dokumentacijom o drugim podacima upravljanim unutar jedne aplikacije ili okruženja. Na primer; meta-podaci moraju dokumentovati podatke o



Stanislav R. Polić

drugi). Ovi pojmovi su postali standardne komponente u arhitekturi i strategiji

upravlјanja većine poslovnih procesa savremenog biznisa. Pojmovi su međusobno

isprepletani i vrlo često se međusobno nadovezuju jedan na drugi.

Savremeni pojam “meta podaci” (eng. meta-data) predstavlja novi metod rada, koji

doprinosi kvalitetnijem upravljanju i kontroli svih memorisanih podataka u okviru

postavljenog informacionog sistema, a predmet je stalne kontrole i monitoringa od

strane menadžmenta11 poslovnih organizacija. Sam pojam “meta-data” je direktno

povezan sa mnogim drugim, već ukazanim pojmovima iz oblasti informacionih

tehnologija, pre svega sa pojmom “data warehouse” - "skladištem podataka" koji

predstavlja posebnu, najčešće istorijsku bazu poslovnih podataka u kojoj su podaci

memorisani i permanentno dostupni korisniku, a po potrebi i procesima eksterne i

interne revizije. Za kvalitetan pristup ovim podacima menadžeri bi trebalo da poseduju

znanja za korišćenje određenih raspoloživih softverskih alata kao što je na primer “data

mining“ , specijalizovani softverski alat koji omogućava efikasnu analizu podataka u

bazama podataka, pre svega u data warehouse.

Korišćenjem softverskog alata data mining, moguće je da se analiziraju trendovi ili

anomalije u memorisanim podacima bez analize značenja samih podataka. U sklopu

ponuđenih novih alata na softverskom tržištu, menadžeri se nalaze pred specifičnim

elementima podataka ili atributima, (ime, veličinu, tip podatka, itd) i podatke o slogu ili strukturi podataka (dužina, polja, kolone itd) i podatke o podacima (gde su oni locirani, kako su udruženi, pravo svojine nad njima, itd). Meta podaci mogu uključiti u sebe opisne informacije o kontekstu, kvalitetu i uslovima ili karakteristikama podataka Izvor rečnik foldoc. 7 Data mart - Baza podataka. Specijalan tip DW primarno dizajnirana da adresira specifične funkcije ili potrebe jednog odeljenja-departmenta, kao opozicija DW koja ima tradicionalno značenje da adresira potrebe organizacije iz perspektive kompanije. Dopunsko tumačenje, data mart često koristi agregirane ili sumarne podatke da bi se poboljšale performanse upita. Međutim, važno je održavati sposobnost pristupa za poređenje baza podataka da bi omogući, ako je neophodno, analize do kraja (eng drill-down). 8 Data mining - "Rudnik podataka"; Baza podataka. Analiza podataka u bazi podataka korišćrenjem alata koji gledaju trend ili anomalije bez analize značenja samih podataka. Rudnk podataka je promovisan od strane IBM-a koji u okviru ovih alata drži određene povezane patente. 9 XML - (eng EXtensible Markup Language Language, text (XML)); Ekstezivni napredni jezik, Jezik, tekst (XML). Inicijativa od strane W3C (eng. World Wide Web Consortium) (konzorcijuma široke svetske mreže) XML je definisan kao "ekstremno jednostavan-prost" jezik-dejalekt od SGML (eng. Standard Generalized Markup Language) (stadardan uopšteni povišeni jezik) podesan za korišćenje u svetski širokoj mrezi - Web-u. 10 Repository - (eng. data dictionary, database). Repozitorijum, rečnik podataka, baza podataka; struktura podataka koja memoriše meta podatake (meta data) naprimer podatke oko podataka,. Podatak "rečnik podataka" ima nekoliko značenja i korišćenja. Najopštiji od njih je skup opisa podataka koji može biti deljen od nekoliko aplikacija. To najčešće označava tabelu u bazi podataka koja memoriše nazive, tip polja, dužinu i druge karakteristike polja u tabelama baza podataka. 11 Izvod iz članka Ralph Kimball “Meta Meta Data Data ”(DBMS, March 1998): www.dbmsmag.com/9803d05html



Stanislav R. Polić

izazovom, kako da nove tehnološke mogućnosti stave u funkciju svojih svakodnevnih

potreba, imajući pri tom u vidu poslovno okruženje koje primenjuje savremeno

elektronsko poslovanje.

1. Pojam digitalne ekonomije

U tržišno razvijenim ekonomijama praktično ne postoji poslovni subjekt koji u većoj ili

manjoj meri ne primenjuje savremenu informacionu tehnologiju. Opšta je konstatacija

da informaciona tehnologija postaje paradigma savremenog poslovanja. Istovremeno,

današnje poslovanje se iz raznih razloga suočava sa različitim oblicima krize. Svetska

literatura, prateći događanja u svetskoj praksi je puna primera potrebe za delovanje

interne revizije u novim, savremenim tehnološkim uslovima.

U svetskoj terminologiji, termin digitalni se najčešće odnosi na cifre odnosno brojeve,

međutim, u rečniku kompjuterske nauke ovaj termin se odnosi na predstavljanje

podataka (informacija) posredstvom brojeva 0 i 1, tako da memorisane informacije

mogu da budu pisane, čitane i memorisane korišćenjem mašina, odnosno računara.

Prefiks “e”, na primer (e-accounting12) se odnosi na elektroniku, značenje korišćeno za

primenu elektronskih uređaja, na primer, kompjutera. Digitalno računovodstvo ili

elektronsko računovodstvo, kao korespodentna analogija, se odnosi na predstavljanje

računovodstvenih informacija u digitalnom formatu , koje tako postavljene mogu da

budu prihvaćene u elektronskom memorisanju, obradi i prenošenju. Bitno je uočiti da

digitalno računovodsto nema standardnu definiciju već se samo odnosi na promene u

računovodstvu koje su nastale usled korišćenja kompjutera i mrežne tehnologije.

Računovodstvo, koje predstavlja, uslovno rečeno, svojevrsnu “umetnost i nauku”

merenja performansi poslovanja se razvijalo paralelno sa poslovanjem, a posebno sa

pojavom najnovijih savremenih informacionih tehnologija. Memorijske kartice,

mainframes13 kompjuteri, baze podataka i savremena skladišta podataka - DW,

12 Izvor wikipedia 13 mainframe – Termin koji se originalno odnosi na kabinet koji sadrži centralni procesor ili "mainframe" u posebnoj prostoriji. Posle pojave manjih računara početkom sedamdesetih godina prošlog veka, tradicionalni “big iron” mašine su opisivane kao "mainframe" kompjuteri ili skraćeno



Stanislav R. Polić

personalni kompjuteri – PC14 i produktivnost softvera, specijalno računovodstvenog

softvera i ERP15 rešenja, lokalne mreže - LAN16 i raspostranjene mreže - WAN17

između mnogih drugih stvari su ostavile svoj znak u računovodstvenoj teoriji i praksi.

Na primer, mehanizmi unosa podataka18, memorisanja podataka i mehanizmi obrade,

izveštavanje, interne kontrole, revizorske pretrage kao i skup potrebnih veština za

računovođe su u kontinuiranom, spiralnom neprekidnom kretanju i poboljšanju u

proteklih nekoliko dekada19.

2. Koren digitalnog računovodstva

Prisutan je stav da se računovodstvo, sve do nedavno, u praksi, često povezivalo sa

pojmom “usporavanje progresa”, sa značenjem da računovodstvo daje direktan otpor

i da predstavlja ono što se opire razvoju u poslovanju i primeni novih tehnologija. Isto

tako, zanimljivo je uočiti da je inicijalno računovodstvo uvek na samoj oštrici sečiva

(cutting edge) revolucije informacionih tehnologija. Sami koreni digitalnog

računovodstva mogu da budu istraživani počev od ekonomske depresije u Americi

koja se dogodila tokom drugog svetskog rata. Poreska regulative je u to vreme postala

kompleksna, a drugi svetski rat je uveo različite logističke probleme i probleme

upravljanja podacima. Detalji finansijskih transakcija i lokacije dobara nisu pouzdano

obrađivane, čak uz prisutnu veliku armiju stručnih referenata. Po svojoj prirodi, ovaj rad

mainframe. Termin se odnosi pretežno na računare koji su dizajnirani za batch – paketnu obradu a manje za interaktivno korišćenje. Izvor: rečnik Foldoc 14 PC - Personal Computer - personalni računar 15 ERP - Enterprise Resource Planning; Planiraranje resursa preduzeća. Pod ovim se podrazumeva bilo koji softver projektovan da automatizuje poslovne procese srednjih ili velikih preduzeća. U taj proces planiranja može da bude uključena proizvodnja, distribucija, kadrovi, upravljanje projektma, zarade i finansije. ERP sistem je računovodstveno orijentisan informacioni sistem za identifikovanje i planiranje širokih resursa preduzeća koji su potrebni za nabavku, proizvodnju, distribuciju, računovostvo i procesa naručivanja od strane potrošača. ERP sistem je originalno proširenje prethodnog sistema planiranja proizvodnim resursima (eng. Manufacturer Resource Planning - MRP II ) pošto u sebe inkorporira široke obime ukupnih potreba. Jedan ERP sistem se takođe razlikuje od tipičnog MPR II sistema u tehničkim zahtevima, takvim kao što su relacione baze podataka, korišćenje objektno orijentisanih programskih jezika i softverskih inženjerskih alata potpomognutim kompjuterskim tehnikama za razvoj softverskih rešenja, klijent / server arhiktekturom i otvorenoj sistemskoj portabilnosti. Izvor: rečnik Foldoc 16 LAN - Local Area Network - lokalna mreža 17 WAN - Wide Area Network 18 data – entry - unos podataka 19 Izvor: http://books.google.



Stanislav R. Polić

je bio dosadan, loše plaćen, a zahtevao je visok stepen tačnosti. U tom trenutku su

izuzetno dobro došle nove “mehaničke mašine” za automatsko tabeliranje. Tokom

proteklih dekada mašine za tabeliranje su se razvile u nove tehnologije koje proizvode

sve novije i sve šire poslovne aplikacije, neslučenih razmera čak i za njihove

najvatrenije pobornike. Potpuno identično, kao i digitalno računovodstvo, elektronsko

računovodstvo (e-accounting20) nema standardnu definiciju nego se samo odnosi na

promene u računovodstvu usled kompjuterizacije i boljeg korišćenja mrežne

tehnologije. Istovremeno je elektronsko računovodstvo (e-accounting) opisano kao

jedna online21 aplikacija zasnovana na Internet tehnologiji koja se koristi za poslovnu

računovodstvenu funkciju. Na isti način kao elektronska pošta - (e-mail), koja

predstavlja jednu elektronsku verziju tradicionalne pošte, elektronsko računovodtvo (e-

accounting) predstavlja samo “elektronski omogućeno” zakonito vođenje

računovodstva i računovodstvenih procesa, koji se mogu softverski pretraživati a koji su

do sada bili tradicionalno ručni i zasnovani na papiru, ili klasičnoj automatizaciji

poslovanja.

Elektronsko računovodstvo (e-accounting) uključuje izvršavanje regularne, odnosno

redovne računovodstvene funkcije, računovodstvena istraživanja, računovodstveni

trening i edukaciju, kroz različite računovodstvene alate zasnovane na kompjuteru /

Internetu, takve kao što su digitalne garniture alata (digital tool kits), korišćenje

različitih Internet resursa, međunarodnih materijala zasnovanih na web-u, baze podataka

različitih instituta i poslovnih organizacija (kompanija) koje su zasnovane, odnosno

pristupačne na Internetu, web veze (web links), računovodstveni softver zasnovan na

Internetu i elektronske alate za finansijske tabele22 da bi se obezbedilo efikasno

donošenje poslovnih odluka. Savremeno online računovodstvo kroz aplikacije koje se

izvršavaju posredstvom web-a, takozvani cloud computing23 je tipično zasnovano na

20 Izvor wikipedia 21 online – direktan pristup, odnosno konekcija kompjuteru ili kompjuterskoj mreži. 22 electronic financial spreadsheet tools, elektronski alati za proračune finanasijskih tabela 23 Cloud computing - se odnosi na obezbeđivanje računarskih resursa na zahtev korisnika, preko računarske mreže. Pod tim se podrazumevaju razne aplikacije (uključujući i računovodstvene), korišćenje baza podataka, fajl servisa, e-mail i slično. U tradicionalnom modelu informacionih tehnologija, na računaru korisnika se nalaze i podaci i softver, u cloud computing, računari korisnika mogu da gotovo ne sadrže softver ili podatke (verovatno samo minimalne elemente operativnog sistema i web pretraživača). Takav računar kod korisnika služi kao nešto više od terminala za procese koji se dešavaju daleko na mreži računara. Zajednička skraćenica za pružene usluge cloud računarstva (ili čak i prikupljanje svih postojećih cloud usluge) je “cloud - oblak”. Izvor wikipedia.



Stanislav R. Polić

jednostavnoj svakodnevnoj odgovornosti, nultim administrativnim pristupom , da bi

se pomoglo poslovnom usredsređivanju, odnosno koncetraciji samo na osnovne

aktivnosti računovodstva i da bi se izbegli nevidljivi pripadajući troškovi sa

tradicionalnim računovodstvenim softverima, takvim kao što su instalacija,

nadopunjavanje, odnosno poboljšanje (upgrade), razmena fajlova podataka, razni

prepisi (back up), obnavljanje u slučaju katastrofe (recovery) i drugo.

U tradicionalnim sistemima koncept dokumenta, sloga i poslovnih knjiga nas podesćaju

na papir, zato što je to medijum koji se bolje uočava od strane ljudskog mozga. Sa druge

strane, postoje jasno memorisani sirovi poslovni podaci u elektronskim sistemima. Ako

je potrebno, informacione tehnologije prezentiraju tako memorisane podatke u

zahtevanom formatu. Podaci uzimaju formu knjige ako neko želi da ih vidi u tom

formatu, oni uzimaju formu sloga ako računovođa želi da ih vidi u formatu sloga. Svake

godine, institut AICPA24 vrši istraživanja da bi saznao efekte razvoja informacionih

tehnologija u svetskom poslovanju, specijalno u računovodstvenim aplikacijama.

Ova istraživanja od strane instituta AICPA su izvršavana počev od 1990 godine, a svake

godine istraživanja određuju procenu najvažnijih tehnoloških aplikacija i inovacija za

sledeću godinu. Takvim prilazom se od strane instituta AICPA svake godine određuje

lista aplikacija koje su dominantne i prioritetne po svom značaju i ta lista se naziva

“glavnih 10 tehnologija u godini posmatranja”.

Da bi na adekvatan način ispratili moguće rizike u poslovnom izveštavanju, uključujući

važeću paradigmu rada sa informacionim tehnologijama, u Sjedinjenim Američkim

Državama je tokom 1987. godine formirаn poseban "Komitet sponzorskih orgаnizаcijа"

- COSO25 sаstаvljen od pet nаjvаžnijih orgаnizаcijа koje se bаve problemom

računovodstvene profesije i pouzаdаnosti finаnsijskih izveštаjа i to: Američki institut

Jаvnih Sertifikovаnih Rаčunovođа - AICPA , Američkа Asocijаcijа Rаčunovođа

AAA 26, Institut finаnsijskih izvršnih kadrova - FEI 27, Institut internih revizorа - IIA 28 i

Institut Uprаvljаnjа Računovodstvom - IMA 29. Formirаnа COSO orgаnizаcijа je

24 AICPA - American Institute of Certified Public Accountants - Američki institut za ovlašćene javne računovođe 25 COSO - Committee of Sponsoring Organisations - Komitet sponzorskih orgаnizаcijа 26 AAA – American Accounting Association - Američkа аsocijаcijа rаčunovođа 27 FEI – Financial Executives Institute - Institut finаnsijskih izvršnih kadrova 28 IIA – Institute of Internel Auditors – Institut internih revizora 29 IMA – Institute of Menagement Accountants - Institut uprаvljаnjа računovodstvom



Stanislav R. Polić

nezаvisnа od svojih osnivаčа i imа zаdаtаk dа definiše potrebno unаpređenje internih

kontrol а u poslovnim orgаnizаcijаmа. U tom smislu, COSO je izdao poseban

priručnik, "Interne kontrole integrisаni okvir" koji je prihvаćen kаo nezvаničаn svetski

stаndаrd nа osnovu kojeg je moguće uprаvljаnje i ublаžаvаnje rizik а u poslovnim

orgаnizаcijаmа.

Kаko informaciona tehnologija postаje pаrаdigmа sаvremenog svetskog poslovаnjа,

menаdžment zаdužen zа informacione tehnologije i bezbednost postаje odgovorаn i

obavezan da obezbedi dа se nа podesаn nаčin uprаvljа informаcionim resursimа,

posebno internim kontrolаmа u okviru Informаcionih Sistemа u poslovnoj orgаnizаciji.

Tom prilаzu izuzetno mnogo mogu dа pomognu uprаvo definisаne COSO preporuke.

U okviru svog integrisаnog okvirа, COSO je definisаo pet komponenti vezаnih zа

interne kontrole i to: (kontrolno okruženje, procenu rizik а, kontrolne аktivnosti,

informаcije i komunikаcije i nаdzor – monitoring). Svаkа od tih definisаnih komponenti

koje pripаdаju COSO okviru su vаžne dа bi se postigli postаvljeni ciljevi pouzdаnosti

finаnsijskih izveštаjа. Kаdа su ove komponente prisutne i funkcionаlne u potrebnom

obimu u poslovnoj orgаnizаciji, tаdа menаdžment može dа imа rаzumnu sigurnost i

uverenje dа su finаnsijski obrаčuni pripremljeni nа pouzdаn nаčin, а sprovedene interne

kontrole mogu dа budu ocenjene kаo efikаsne i efektivne.

Sаm nаdzor može dа bude urаđen nа dvа nаčinа; kroz аktivnosti u toku samog procesa

rada ili kroz odvojeni proces ocene. Sistemi internih kontrol а su obično tаko

struktuirаni dа donekle nаgledаju sаmi sebe. Povećаnje stepenа i delotvornosti tekućeg

monitoringа dovodi do mаnje potrebe zа posebnim ocenаmа. U prаksi se obično

"prаve" kombinаcije tekućeg održаvаnjа i posebnih ocenа koje će osigurаti dа sistem

internih kontrolа sаčuvа svoju efikаsnost i objektivnost tokom vremenа. Osnovni cilj

je obezbediti podesne i kvalitetne računovodstvene informacije.

Podesnа informаcijа je relevаntnа, pouzdаnа i blаgovremenа. Nа slici 1 je prikаzаno

kаko tа tri elementа za ocenu podesnosti informаcijа funkcionišu zаjedno. U centru

dijаgrаmа gde je informаcijа relevаntnа, pouzdаnа i blаgovremenа, ocenjivаč može

dа posveti svoju pаžnju nа to dа li je rаspoloživo dovoljno informаcijа zа rаzumаn

zаključаk pri donošenju poslovnih odluka. Informаcije koje ne аdekvаtno prikаzuju ovа

tri elementа mogu dа budu podesne do nekog stepenа, аli sаme ne mogu dа podrže

rаzumne zаključke gledаjući kontinuitet efikаsnosti interne kontrole. Nа primer;



Stanislav R. Polić

Relevantna

Blagovremena

Pouzdana

Potrebne blagovremene

informacije

Potrebne pouzdane

informacije

relevantne blagovremene

pouzdane

Potrebne relevantne informacije

informаcijа može dа bude relevаntnа i pouzdаnа аli još uvek nedovoljno

blаgovremenа dа podrži zаključke gledаjući unutаr potrebnog rаzmаtrаnjа, kontrolnu

efikаsnosti informacija tokom vremenа. Alternаtivno, informаcijа može dа bude, bitnа i

blаgovremenа, аli generisаnа od mаnje pouzdаnog izvorа podataka.

Nа krаju, informаcijа može dа bude, blаgovremenа i pouzdаnа аli neаdekvаtno

relevаntnа dа bi se pristupilo zаključivаnju vezаno zа efikаsnost i efektivnost potrebnih

internih kontrolа. Kаo što pokаzuje slikа 1, u tаkvoj situаciji biće potrebno, dа se

zаhtevаju dopunske informаcije dа bi se obezbedio zаhtevаni stepen podesnosti,

odnosno pouzdanosti informacija finansijskog izveštavanja poslvne organizacije.

Preduzimanjem blagovremenih preventivnih akcija za zaštitu poslovnih informacija i

informacionih sistema, poslovne organizacije smanjuju svoju izloženost mogućim

opasnostima i smanjuju verovatnoću negativnih ishoda u budućnosti30.

3. Revizija informacionih tehnologija

Revizija informacione tehnologije ili revizija informacionog sistema predstavlja jednu

ocenu kvaliteta kontrola unutar infrastrukture informacione tehnologije. Jedna IT

revizija je proces prikupljanja i ocene evidencije informacionog sistema poslovne

organizacije, prakse i operacija. Ocena dobijenih evidencija određuje da li su

informacioni sistemi obezbeđena sredstva, da li je održavan integritet podataka i

operativna efikasnost i efektivnost da bi se dostigli ciljevi ili objektivnost poslovne

organizacije. Ova razmatranja mogu da budu izvršavana u konjukciji sa revizijom

finansijskih obračuna, internom revizijom ili drugim formama angažovanog atestiranja.

IT revizija je takođe poznata kao revizija automatske obrade podataka-ADP31 i kao

kopjuterska revizija. Formalno se zove revizija elektronske obrade podataka – EDP32.

30 UNSW IT Security Standards & Guidelines, Division of information services, Effective from March 2004 31 ADP - Automated Data Processing 32 EDP - Electronic Data Processing



Stanislav R. Polić

Slika 1 Prikaz elemenata podesnosti informacija

3.1. Svrha IT revizije

Jedna IT reviziji ne bi trebalo da bude pobrkana sa revizijom finansijskih obračuna. Iako

tu može da bude neke apstraktne sličnosti, primarna svrha finansijske revizije je da

oceni da li se poslovna otrganizacija pridržava standardne računovodstvene prakse.

Primarna funkcija IT revizije je da oceni sistemsku efikasnost i sigurnosne protokole,

osobito da oceni sposobnost poslovne organizacije da zaštiti svoja informatička sredstva

i najpodesniju podelu informacija samo na autorizovane strane. Agenda IT revizije

može da bude sumirana prema sledećim pitanjima:

� Da li su kompjuterski sistemi poslovne organizacije, kada je to zahtevano,

raspoloživi svo vreme za poslovanje? (Raspoloživost – Availability)

� Da li su informacije u sistemima poslovne organizacije obelodanjene samo

autorizovanim korisnicima? (Poverljivost - Confidentiality),

� Da li su informacije obezbeđene od strane informacionog sistema uvek tačne,

pouzdane i blagovremene? (Integritet - Integrity)

Fokus IT revizije u determinisanju rizika koji su bitni za informaciona sredstva i proceni

kontrola da bi se smanjili ili ublažili ti rizici. Kroz implementiranje kontrola, efekat

rizika može da bude minimiziran, ali ne mogu da budu kompletno eliminisani svi rizici.

3.2. Tipovi IT revizije

Različiti autoriteti su kreirali različite taksonomije da bi napravili razliku o različitim

tipovima IT revizije. Goodman & Lawless formulišu da postoje tri specifično

sistematizovana pristupa da bi se izvršila jedna IT revizija i to:



Stanislav R. Polić

� Revizija procesa tehnoloških inovacija. Cilj ove revizije je da konstruiše profil

rizika za postojeće i nove projekte. Revizija će proceniti dužinu i dubinu

iskustva poslovne organizacije u njenim izabranim tehnologijama kao i njeno

prisustvo na relevantnim tržištima, svakog projekta poslovne organizacije,

� Revizija poređenja inovacija: Ova revizija, kao što samo ime implicira, znači

izvršavanje jedne analize inovacionih sposobnost poslovne organizacije koje će

biti podvrgnute reviziji, u poređenju sa njenim konkurentima. To zahteva ocenu

sposobnosti istraživanja i razvoja poslovne organizacije, kao i praćenje opisa

dosadašnjeg rada u aktualnoj proizvodnji novih proizvoda.

� Revizija tehnološke pozicije. Ova revizija razmatra tehnologije koje poseduje

tekuće poslovanje i da li ima potrebu da ih dogradi. Tehnologija je

okarakterisana u suštini ili kao "osnovna", "ključna", "napredna", ili "novo

pojavljena".

Drugi opisuju spektar IT revizije sa pet kategorija revizije i to:

� Sistemi i aplikacije: To je proces jedne revizija koja bi trebala da potvrdi da su

sistemi i aplikacije podesno, efikasno i adekvatno kontrolisani da bi osigurali

punovažan, pouzdan, blagovremen i bezbedan ulaz, obradu i izlaz na svim

nivoima sistemskih aktivnosti u poslovnoj organizaciji.

� Sredstva obrade informacija: To je proces jedne revizija koja bi trebala da

potvrdi da su sredstva obrade kontrolisana da bi osigurala blagovremenu, tačnu i

efikasnu obradu aplikacija unutar normalnih i potencijalno poremećenih uslova

rada.

� Razvoj sistema: To je proces jedne revizija koja bi trebala da potvrdi da sistem

koji se razvija zadovoljava ciljeve poslovne organizacije i da osigurava da se

sistem razvija u saglasnosti sa opšte prihvačenim standardima za razvoj sistema.

� Upravljanje informacionom tehnologijom i arhiktektu rom poslovne

organizacije: To je proces jedne revizija koja bi trebala da potvrdi da je IT

menadžment razvio jednu organizacionu strukturu i procedure da bi osigurao

kontrolu i efikasno okruženje za obradu informacija.



Stanislav R. Polić

� Klijent server , telekomunikacije, Intranet33 i Ekstranet34: To je proces jedne

revizija koja bi trebala da potvrdi da su uspostavljene potrebne kontrole kod

klijenta (kompjter koji prima usluge), kod servera i u mrežnoj konekciji klijenata

i servera.

Neki istraživači spajaju sve IT revizije kao jedan suštinski tip ili kao samo dva tipa i to:

revizija koja bavi "opštim kontrolama" ili revizija "aplikativnih kontrola".

3.3. Oblasti pokrivanja IT revizije

IT revizija pokriva oblast u kojoj obitavaju i deluju IT kontrole, a iste mogu da bude

klasifikovane prema nameni pa ih definišemo kao opšte kontrole ili kao aplikativne

kontrole.

� Opšte kontrole, (takođe poznate kao infrastrukturalne kontrole) se primenjuju

na sve sistemske komponente, procese i podatke za datu poslovnu organizaciju

ili sistemsko okruženje. Opšte kontrole uključuju ali nisu ograničene samo na:

bezbednosnu politiku vezano za informacije, administraciju, pristup,

autentičnost, prepise (back up) povračaj podataka (recovery) i održavanje

poslovnog kontinuiteta.

� Aplikativne kontrole se odnose na polje individualnih poslovnih procesa ili

aplikacionih sistema. To uključuje takve kontrole kao što je editovanje podataka,

transakciono prijavljivanje (logging) i izveštaj o greškama. Funkcija kontrole je

veoma relevantna, odnosno bitna za procenu projekata i njihove efikasnosti.

Kontrole mogu da budu klasifikovane prema tipu kontrole koje mogu da budu

preventivne, detektivne ili korektivne, odnosno reaktivne.

33 Intranet koristi istu tehnologiju kao i web - sajt, ali je pristup ograničen samo za interne korisnike. To je mreža koja nije raspoloživa za svet izvana poslovne organizacije. Ako je Intranet mreža konektovana na Internet, Intranet će “obitavati” iza posebnog zaštitnog zida (vatrenog zida) (eng. firewall) a ako on omogući pristup kroz Internet, onda on postaje Ekstranet. Firewall pomaže kontrolu pristupa između Intraneta i Interneta dozvoljavajući pristup Intranetu samo ljudiima koji su članovi iste poslovne organizacije. 34 Extranet je vrlo sličan sa intranetom izuzev što su korisnici klijenti, kupci ili dobavljači. To je u stvari intranet koji je praktično dostupan samo autorizovanim spoljnim licima (eng. outsider). Aktuelni server (kompjuter koji opslužuje web stranice) će obitaviti iza firewall-a. Firewall pomaže kontroli pristupa između intraneta i interneta, odnosno dozvoljenih pristupa intranetu samo onim spoljnim korisnicima koji su za to, podesno autorizovani. Nivo prava pristupa može biti podešen na različite nivoe, za pojedinačne ili grupne spoljne korisnike.



Stanislav R. Polić

� Preventivne kontrole sprečavaju greške, omaške ili događanja bezbedonosnih

incidenata. Primeri uključuju antivirus softvere, firewall35-ove (vatrene zidove) i

prevenciju od upada u informacioni sistem.

� Detektivne kontrole detektuju greške ili incidente koji su izbegli preventivne

kontrole. Na primer, detektivne kontrole mogu da identifikuju brojeve

neaktivnih naloga prava pristupa ili brojeve naloga prava pristupa koji su

označene za monitoring sumljivih aktivnosti.

� Korektivne kontrole ispravljaju greške, omaške ili incidente čim su isti

detektovani u poslovnoj organizaciji. To varira od jednostavnih korekcija koje

su nastale pogrešnim unosom podataka (data-entry errors) do obnavljanja celog

informacionog sistema, (eng recovery) zbog incidenata, aktivnosti remećenja ili

uništenja.

U digitalnom svetu, efikasno upravljanje poslovnim informacijama, informacionim

sistemima i komunikacijama je od ključnog, kritičnog značaja za uspeh i opstanak

poslovne organizacije. Ova kritičnost nastaje zbog:

� Dramatično povećane zavisnosti poslovne organizacije od informacija,

informacionih sistema i komunikacija koje pružaju informacije;

� Obima i cene sadašnjih i budućih investicija u poslovne informacije; i

� Potencijala koji donosi nova informaciona tehnologija koja će dramatično da

promeni rad poslovnih organizacija i poslovnu praksu kroz kreiranje novih

mogućnosti, uz smanje potencijalnih troškova.

Mnoge poslovne organizacije prepoznaju potencijalne koristi koje informaciona

tehnologije može da pruži. Međutim, uspešna poslovna organizacija će da razume i da

uspostavi upravljanje rizicima koji su direktno povezani sa primenom novih

informacionih tehnologija. Izvršni menadžment bi morao da ima poštovanje i

razumevanje za osnovne rizika i moguća ograničenja koja su vezana za primenu

informacione tehnologije, kako bi se obezbedio efikasan pravac razvoja i adekvatne

kontrole. Ovo izlaganje ima za cilj da pomogne računovodstvenim stručnjacima u

upravljanju sprovođenja politike i procedura bezbednosti u ukupnom okviru internih

35 firewall – uobičajeni akronim za "zaštitni vatreni zid " kojim se mreža i mrežni serveri štite od neautorizovanog ulaza, posebno prisutnih u Internet okruženju. To je “protivpožarni zid“ zapravo elektronska hardverska i softverska zaštita. Pošto u našem jeziku ne postoji termin za ovaj pojam, u daljem tekstu će se koristiti engleski termin. (prema elektronskom rečniku Foldoc)



Stanislav R. Polić

kontrola. Pri tom su neophodne dodatne tehničke smernice za upravljanje rizicima kod

primene informacionih tehnologija.

3.4. CAATT alati

U okviru poslovnih procesa interne IT revizije, svako razmišljanje o poslovnoj

inteligenciji - BI36, upućuje na razmišljanje o posebnom podatkovnom data warehous-u

mulitidimenzionalnim modelima podataka i sofisticiranom načinu za pripremanje ad

hock izveštaja. Iako nove softverske tehnike i informatički resursi vrlo dobro služe u

praksi, one se nedovoljno dobro obraćaju ukupnom cilju poslovne inteligencije - BI.

Poslovna inteligencija bi trebalo da obezbeđuje donosioce, pre svega poslovnih odluka

(eng. decision makers), sa tačnim informacijama koje su im potrebne za razumevanje,

upravljanje, direktnu organizaciju i na osnovu toga – donošenje pravih

dokumentovanih poslovnih odluka. Evidentno je da se sa ovakvim prilazom samo

približavamo vrhu “ledenog brega“ ove problematike. Poslovna inteligencija ima svoj

značaj pre svega za menadžment poslovnih organizacija. Sa stanovišta potreba

menadžmenta, u okviru memorisane strukture podataka, jedan od najčešćih oblika

memorisanja je tekst. Unutar teksta, moguće je uočiti projektni status informacija,

marketing izveštaje, detalje o industrijskoj regulativi, konkurentskim propagandnim

kampanjama kao i opise novih tehnologija u patentiranim aplikacijama. U praksi nije

jednostavno preuzeti ovaj tip informacija, kao i posebne, izuzetno važne detalje, na čije

smo korišćenje navikli u našim tradicionalnim sistemima poslovne inteligencije. Zato je

potrebno proširiti cilj poslovne inteligencije na šire područje sa zahtevom da uključi u

sebe razradu tekstualnih informacija. Savremena informaciona tehnologija to

omogućava što upućuje signal poslovnom menadžmentu da je sada pravo vreme da se

blagovremeno ukljući i primeni te savremene procese, iz više suštinskih razloga:

36 BI - Business Intelligence - Poslovna inteligencija. Definicija poslovne ineligencije: Poslovna inteligencija je novi termin koji u sebe inkorporira široke varijante poslovnih procesa i tehnologije za ostvarivanje i analizu specifičnih informacija kako bi se sa njima pomoglo stvaraocima biznisa, pre svega menadžerima da ispituju kvalitet svojih poslovnih odluka. Poslovna inteligencija može da bude "zabeležena" unutar raznih izveštaja i takvih aktivnosti kao što su six-sigma (naučno vizuelno programiranje u okruženju NASA), u okviru raznih statističkih analiza, dataminig-a i finansijskih predviđanja. Izvor: rečnik Foldoc



Stanislav R. Polić

� Prvo, na svetskom tržištu su sada na raspolaganju mnogi softverski alati za

analizu teksta i izdvajanju ključnih informacija sa kojim je moguće formirati

prečišćena warehouse dokumenata, u koji se memorišu korisne selektovane

"inteligentne" poslovne informacije. Stalan i stabilan napredak u

kompjuterizaciji lingvistike od 1960 godine (pre svega u engleskom govornom

području) omogućava da imamo ostavljen širok skup alata za izdvajanje ključnih

tekstualnih delova, kategorizaciju dokumenata, indeksiranje prema tipu,

omogućavajući u isto vreme dobro pretraživanje kroz ključne reči, automatsko

sumiranje teksta i grupisanje sličnih dokumenata. Ovi alati su ključ za uspešnu

integraciju teksta u infrastrukturu poslovne inteligencije.

� Drugo, Internet i www37 su obezbedili i stalno proširuju ogromnu količinu

poslovnih informacija, čineći ih lako pristupačnim. Sa novim, savremenim,

"pravim" softverskim alatima menadžment može da pronađe ključne potrebne

informacije oko finansijskih, marketinških i tehnoloških planova konkurencije.

U sklopu takvih novih tehnologija i tehnoloških rešenja, proces interne IT revizije mora

da nađe i nalazi svoje mesto. U praksi postoje mnogi različiti izvori memorisanih

podataka koji su bitni za revizorske informacije i revizorsku pretragu. Do tih

informacija interni IT revizori dolaze korišćenjem namenskih softvera. Mnogi softverski

paketi koji su danas korišćeni od strane revizora obezbeđuju višestruku funkcionalnost

u različitim oblastima revizorskog delovanja. Pri tom treba istaći da neki od softvera

koji su prisutni na tržištu, nisu projektovani direktno za potrebe revizora, ali su po

svojoj prirodi takvi, da su pogodni za korišćenje i od strane revizora, upravo zato što

obezbeđuju analizu rizika , analizu i kontrolu upravljanja, ili kontrolu monitoringa koji

je potreban u revizorskom radu. To je osnovni razlog zašto ti alati mogu da budu vrlo

korisni za revizora38.

Druga bitna karakteristika savremenog digitalnog poslovanje zahteva razmatranje i

ocenjivanje novog pojavnog oblika rada, takozvane “cloud” računarske paradigme koja

predstavlja novi pojavni okvir na tržištu računovodstvenih usluga. Za bezbedan rad

usluga cloud computing bi morala da se pobrine IT revizija Novi pristup je da se

37www - World-Wide Web - web je deo nečeg specifičnog, deo {web site}, reč nastala 10.05.1996 izvor rečnik Foldoc 38 Dr Branko O. Krsmanović, Dr Stanislav R. Polić, Informacione tehnologije u računovodstvu i reviziji, Banja Luka, Bjeljina, 2008



Stanislav R. Polić

uspostavi opšti okvir koristeći kontrolne liste koje slede tok podataka i životnog ciklusa

poslovnih procesa. Kontrolne liste su napravljene na osnovu “cloud” raspoređivanje i

modela usluga posredstvom novih “cloud” mogućnosti.

3.4.1. Definicija CAATT

Mnoge revizorske organizacije su gledali na mikrokompjuter kao na novi alat revizije,

alat koji može da bude korišćen ne samo od strane revizora informacionog sistema več

od strane svih revizora. Ovo izlaganje u kratko daje kratak pregled koristi CAATT alata

i ističe metodologije za razvoj i korišćenje CAATT alata u organizaciji revizije. Danas

revizori moraju da postanu mnogo više trenirani sa novim veštinama i oblastima

ekspertiza da bi bili mnogo korisniji i produktivniji. Sa migracijom na nove tehnologije,

od revizora će da bude zahtevano da koriste asistenciju kompjuterskih tehnika da bi

vršili reviziju elektronskih transakcija i aplikativnih kontrola. Zakoni slični US

Sarbones Oxley ACT-u iz 2002 godine su “pritisnuli” mnoga revizorska odeljenja da

pronađu nove puteve da povežu specifične alate u kompleksan poslovni sistem (Baker

2005). Kroz uprezanje snage kompjutera, revizori mogu da pboljšaju svoju sposobnost

da kritično raznatraju podatke i informacije i da upravljaju svojim vlastitim

aktivnostima mnogo racionalnije i brže. Danas, usled prisutnog kritičnog nedostataka

ovih veština i talenta na tržištu radne snage revizori postaju mnogo vredniji i tržišno

interesantniji.

U današnje vreme automatizacije informacija i decentralizacije donošenja odluka,

revizori imaju mali izbor mogućnosti da li ili ne da prihvate korišćenje kompjuterski

zasnovanih alata i tehnika. To je više pitanje da li će i koliko korišćenje CAATT alata

da bude značajno efikasno i da li će implementacija da bude upravljana i racionalno

kontrolisana ili će ostati samo slučajna. Mnoge organizacije imaju pokušaj da

implementiraju CAATT alate ali su doživele neuspeh. Kroz razumevanje podesnog

korišćenja i snage kompjuterski zasnovanih revizorskih alata i tehnika, revizori mogu da

izvršavaju svoje funkcije mnogo efikasnije. To razumevanje počinje sa poznavanjem

CAATT alata, uključujući njihov početak, aktuelnost, potencijalno korišćenje,

ograničenja i zamke.



Stanislav R. Polić

3.4.2. Evolucija CAATT alata

Danas mikro kompjuterski zasnovani revizorski alati i tehnike imaju svoj koren u

CAATT alatima zasnovanim još na mainframe kompjuterima, koji su po pravilu, što je

izneneđujuće, suštinski zasnovani na revizorskim ručnim alatima i tehnikama. Ti

mainframe alati su primarno korišćeni da provere da li ili ne, kontrole za jednu

aplikaciju ili kompjuterski sistem rade kako je očekivano. Tokom 70 godina prošlog

veka razvio se drugi tip CAATT alata, koji gleda da poboljša funkcionalnost i

efikasnost pojedinačnih revizora. Ovi CAATT alati obezbeđuju revizore sa sposobnošću

da ekstrahuju i analiziraju podatke da bi obavili reviziju organizacionih entiteta, radije

nego da razmatranju kontrole samo jedne aplikacije. Treći tip CAATT alata je

najskorijeg datuma i korišćen je u automatizovanim alatima revizije i on se direktno

fokusira na funkciju revizije i sastoji se od alata i tehnika koje ciljaju na poboljšanju

efikasnosti organizacije revizije kao celine.

Knjige pisane o kompjuterskim kontrolama i reviziji tokom 70 godina prošlog veka ne

uključuju sekcije kompjuterizacije krajnjeg korisnika ili, u najboljem slučaju, pominju

revizorski softver samo u prolazu. Činjenica je da je tada najveći deo revizora izbegavao

rad sa kompjuterom i tretiraju ih kao neprozirnu crnu kutiju. Tadašnje metodlogije

revizije razmatraju ulazno izlazne kontrole, ali široko ignorišu kontrole obrade

posredstvom informacionog sistema.

Primenjena metodologija je takozvana revizija oko kompjutera. Glavni revizorski alati

uključuju upitnike, kontrolne dijagrame (flowchart) i matrice aplikativnih kontrola.

Softver revizije je specijalno pisan u programskom jezikom opšte namene koji se koristi

primarno da verifikuje kontrole a paralelna simulacija je samo počela da dobijaja povod.

Revizorski softverski paketi su razmatrani kao specijalizovani programski jezici da

zadovolje potrebe revizora i zahteve velikog posla programskih ekspertiza. Paketi su

zavisni od familije mainfram računara i zbog toga su bili ograničeni, nisu bili fleksibilni

u prilazu podacima i kompletno su batch orijentisani.



Stanislav R. Polić

Od 1980 godine, jedan od najopštije korišćenih alata za verifikaciju, odnosno proveru

jednog aplikativnog sistema je takozvani “test deck”, integrisani test mogućnosti - ITF39

i razmatranje revizije kontrola fajl sistema - SCARF40, razmatranje revizije fajli

uzoraka – SARF41 (Mair, Wood, and Davis 1978). Druge tehnike uključuju paralelne

simulacija, najrazumniji test i izveštaj izuzetaka i sistematiku transakcija uzoraka.

Neke organizacije su postigle vrlo efektivne rezultate sa ovim tipovima alata revizije u

tokom 90 godina prošlog veka. Činjenica je, u skladu sa izveštajem, Instituta Internih

Revizora – IIA42 iz 1991 godine, sistemske provere i kontrola - SAC43, 22 % anketiranih

revizora je odgovorilo da još koriste test deck, 11 % su još koristili ITF a 11 procenata

su još koristili ugrađene module revizije (Fondacija za istraživanje Instituta Internih

revizora).

Tabela 1 Revizorski alati i tehnike (revizija kompjuterskog sistema)

1970 1980 1990 2000 Programiranje jezika aplikacija

3 generacija programiranja jezika aplikacije

4 generacija programiranja jezika aplikacije

WEB omogućen softver (XBRL44)

Prva generacija revizorskog softvera

Druga generacija revizorskog softvera (interaktivni i batc)

Treća generacija softvera revizije (PC zasnovan interaktivnii batch)

Kontinuirana revizija

Primer paralelne simulacije Eksenzivne paralelne simulacije

Obuhvatna analiza podataka i testiranjr

Digitalna analiza

Test deck, Integrisani test mogućnosti ITF

Test deck /ITF Revizorski softver Revizorski siguran softver

Testiranje ulaza - izlaza SCARF/SARF(opis u tekstu) Razmatranje, pregled internih kontrola – ICR45

Automatizacija ICR Upitnici

Automatizacija ICR Upitnici

Kontrola samo procene

Upitnici (kontrola, dijagrami - floechars)

Program dijagrama (floecharting)

Tok procesa (isticanje revizije podataka)

Vizulizacija softvera

Prvi kommpjuterski zasnovan monetorni sistem Jedinica uzorkovanja

Više razvijen dolar Jedinica uzorkovanja

Različito uzorkovanje Opcije uključuju uslojavljanje

Manje isticanje u uzorkovanju

Kontrolne matrice Poboljšanje kontrola Ekspertni sistemi Neuronske mreže i matrice veštačka inteligencija

3.4.3. Razvoj softvera revizije

Prvi softverski paket revizije, Auditape System, koji je implementiran od strane Stringer

plana testiranja revizije (Tucker 1994), već obezbeđuje ograničene sposobnosti za

39 ITF – Integratred Test Facilities 40 SCARF – System Control Audit Review File 41 SARF – Sample Audit Review File 42 IIA – Institute of Internal Auditor 43 SAC – Systems Auditability and Control 44 XBRL - eXtensible Business Reporting Language 45 ICR - Internal Controls Review



Stanislav R. Polić

paralelne simulacije. Sistem omogućava ograničeno ponovno izračunjavanje rezultata

obrađenih podataka zasnovanih samo na nekoliko polja podataka.

U odgovoru na Auditape System, mnoge računovodstvene, revizorske i softverske firme

su razvile revizorske softverske pakete koji podržavaju paralelnu simulacije unutar

familija kompjuterskih rešenja, nasuprot ograničenja fajli i tipova podataka.

Razmnožavanje softvera za reviziju i razbijanje varijanti podataka i tipova podataka

koja će da budu podvrgnuti reviziji vodi u projektovanje uopštenog, odnosno

generalizovanog revizorskog komandnog jezika - CPL46, ACL47, implementacije

nekoliko prototipova i ponovljenih poziva za zajedničko implementaciju napora od

strane svih zainteresovanih.

U kasnim 80 godinama prošlog veka i ranim 90 godinama prisutan je dolazak i

razmnožavanje kompjuterizacije krajnjeg korisnika pa pojava mikrokompjutera postaje

glavna vodeća snaga u kompjuterizovanom svetu. Ovi faktori kreiraju uslove unutar

kojih revizorski softver istražuje rezultate koji mogu da budu transformisani u

revizorsku praksu (Will1980).

Sada postaje lakše i ekonomičnije korišćenje mikrokompjutera za procenu kontrola

nad ulaznim podacima, nad obradom aktuelnih podataka i nad proverom informacija

generisanih kao izlaz. Činjenica je, praktično svi elektronski podaci su sada postali

pristupačni revizorima bilo gde, u bilo koje vreme.

Kompjuterska pomoć tehnici revizije – CAATT donosi korišćenje kompjuterskih

aplikacija kao što su ACL, IDEA48, VIRSA49, SAS50, SQL51, Excel52, Crystal Reports53,

46 CPL – Common Program Language 47 ACL – Audit Command Language– revizorski komandni jezik izvor wikipedia 48 IDEA - Interactive Data Extraction and Analysis, vrsta revizorskog softvera 49 VIRSA Systems sistem koji pomaže upravljanju rizikom. Virsa je poslovna organizacija iz Kalifornije koja je kupljena od strane SAP-a. Pre kupvine SAP, PwC, Virsa su formiralle saradnju, pod nazivom “Triad Alliance” koja obezbeđuje potrebnu sigurnost. 50 SAS - Statistical Analysis System 51 SQL – Structured Query Language – Struktuirani jezik za upite. Ili database bilo koji sistem za upravljanje bazom podataka – DBMS – (Database Management System) koji može da odgovori na upite klijenata koji su formatirani u SQL jeziku. Dva popularna primera ovog načina rada su Microsoft SQL Server i Sybase SQL Server. 52 Excel – program za izradu tabela (spreadsheet) poslovne organizacije Microsoft, deo softverskog rešenja kamcelarijskog poslovamka Microsoft Office, alat koji se izvodi na Microsoft Windows operativnom sistemu. Excel je verovatno najšire korišćen spreadsheet program na svetu, izvor rečnik foldoc. 53 Crystal Reports - Crystal Reports je poslovna inteligencija (business intelligence), odnosno aplikacija korišćena da dizajnira, projektuje i generiše izveštaje iz širokog ranga izvora podataka. Ovaj



Stanislav R. Polić

Business Objects54, Access55 i Word56. Pomoću ovih aplikacija se automatizuju i

olakšavaju revizorski procesi. Korišćenje CAATT alata pomaže internim revizorima da

osiguraju da je podesno pokriveno razmatranje aplikativnih kontrola, posebno kada

postoji hiljade ili možda milioni transakcija koje se dešavaju za vremene perioda

testiranja. U toj situaciji bi bilo nemoguće da se dobiju odgovarajuće informacije u

formatu koji bi mogao da bude razmatran bez korišćenja automatizovanih alata. Zato

primenjeni CAATT alati obezbeđuju sposobnost analize širokog volumena podataka.

Dobro projektovana podrška internoj reviziji, od strane CAATT testiranja, će izvršavati

kompletno razmatranje svih transakcija, uočavajući moguće abnormalnosti, takve kao

što su dupliciranje pojedinih transakcija, ili kontrola prema unapred određenim

kontrolnim parametrima pomoću kojih se utvrđuje pojava konfliktnih situacija.

U eri globalizacije svetskog poslovanja, kada se gube prostorni i vremenski okviri, kada

se događaji više ne mere danima i satima nego sekundama, revizija kao poslovni proces

u poslovnim organizacijama dobija sve više na značaju i to u oba poslovna ambijenta; u

internom i u eksternom poslovnom okruženju. Uočava se da čovek od pamtiveka

izgrađuje svoj informacioni sistem i na njegovoj osnovi upravlja svojim odlukama.

Tokom svog istorijskog razvoja, naporedo sa kumuliranjem drugih opštih, naučnih i

tehničkih znanja, čovek je naporedo sa tim razvijao tehnologiju kojom je hteo da

poboljša načine sa kojim je usavršavao i kvalitetnije formirao svoja dopunska saznanja,

kako bi kvalitetnim informacijama obogatio vlastiti informacioni sistem.

U sklopu te; sve brže spirale napretka, kumuliranjem opštih znanja i naučnih dostignuća

završio se prethodni milenijum, u kojem je poslednja dekada obeležila izuzetano

dinamičan, može se slobodno reči "furiozni" razvoj savremenih ERP57 informacionih

softverski proizvod je originalno kreiran od strane poslovne organizacije - Crystal Services Inc. Izvor wikipedia 54 Business Objects - Business Objects (a.k.a. BO, BOBJ) predstavlja softversku poslovnu organizaciju iz Francuske, odnosno poslovnu organizaciju koja je specijalizovana za poslovnu inteligenciju (business intelligence) (BI). Počev od 2007. godine poslovna organizacija je deo poslovne organizacije SAP. Glavni (admiralski) proizvod poslovne organizacije je BusinessObjects XI sa komponentama koje obezbeđuju upravljanje performansama, planiranje, izveštavanje, upite i analize i upravljanje informacijama poslovnih organizacija. Izvor wikipedia. 55 Access – sistem za upravljanje relacionim bazama podataka poslovne organizacije Microsoft, 56 Word – program za obradu teksta, poslovne organizacije Microsoft, deo softverskog rešenja kamcelarijskog poslovamja Microsoft Office, 57 ERP - Enterprise Resource Planning; Planiraranje resursa preduzeća. Pod ovim se podrazumeva bilo koji softver projektovan da automatizuje poslovne procese srednjih ili velikih preduzeća. U taj proces planiranja može da bude uključena proizvodnja, distribucija, kadrovi, upravljanje projektma, zarade i



Stanislav R. Polić

tehnologija. Na osnovu iznetog, možemo prihvatiti opštu konstataciju da je prethodna

dekada razvoja obeležena kao period intenzivnog razvoja savremenih integrisanih

informacionih sistema, koji su poslovnom menadžmentu omugućili kvalifikovano

upravljanje poslovnim procesima, u realnom vremenu, sa informacijama "upravo na

vreme" (eng. "just in time")58.

Bez takvih "pravih" informacija savremeni menadžment praktično više ne može da radi,

da odlučuje, da bude aktivni učesnik na finansijskim i robnim tržištima. Bez kvalitetne i

kvalifikovane informacije u poslovnom svetu se više ništa ne dešava. Dinamika

razmene poslovnih transakcija putem elektronskih poruka, koje u sebi, skoro uvek, nose

i sve potrebne prateće poslovne informacije, je savremena realnost.

U sklopu toga, korisno je razmotriti rad internih revizora u kompaniji sa posebnim

osvrtom na rad internih revizora, posebnoi imajući u vidu da je rad internih revizora

predviđen našim zakonom o računovodstvu i reviziji.59

Obim i cilj aktivnosti poslovnih organizacija je u svojoj kompleksnosti narastao do te

mere, da menadžeri, prilikom donošenja poslovnih odluka, moraju da se oslanjaju na

mnogobroje izveštaje i analize. To je svrsishodno samo ako su analize poslovnih

podataka sprovedene uz adekvatne i efektivne interne kontrole. To je istovremeno

uslovilo da su problemi suštine revizije internih kontrola direktno vezani za aktivnosti

informacionih tehnologija, kako sa poslovnog tako i sa operativnog stanovišta. Značaj

tehnologije analize poslovnih podataka je samim tim u direktnoj korelaciji sa

uticajem informacionih tehnologija na internu reviziju i tehnologiju rada interne revizije

u upravljanju mogućim rizicima poslovnog subjekta.

Analize podataka na tradicionalan način, zahtevaju jako mnogo vremena, da bi

upotrebna vrednost same analize bila relevantna za donošenje poslovnih odluka.

Primenom savremenih digitalnih tehnoloških mogućnosti, sada je rezultat analiza

finansije. ERP sistem je računovodstveno orijentisan informaconi sistem za identifikovanje i planiranje širokih resursa preduzeća koji su potrebni za nabavku, proizvodnju, distribuciju, računovostvo i procesa naručivanja os strane potrošača. ERP sistem je originalno proširenje Planiranja proizvodnim resursima (eng. Manufacturer Resource Planning - MRP II ) sistema pošto u sebe inkorporira široke obime ukupnih potreba. Jedan ERP sistem se takođe razlikuje od tipičnog MPR II sistema u tehničkim zahtevima, takvim kao što su relacione baze podataka, korišćenje objektno orijentisanih programskih jezika i softverskih inženjerskih alata podpomognitim kompjuterskim tehnikama za razvoj softverskih rešenja, klijent / server arhiktekturom i otvorenoj sistemskoj portabilnosti. Izvor foldoc. 58 Dr Stanislav Polić, IT menadžment, Genex Group, interno izdanje Beograd 2002 59 Zakon o računovodstvu i reviziji 25.05.2006, član 4



Stanislav R. Polić

moguće dobiti u deliću realnog vremena (real time). U takva, nova, savremena

tehnološka rešenja spade i primena Altmanovog Z score testa.

Z - skor formula se koristi u računovodstvenoj praksi za predviđanje mogućeg stečaja

poslovnih organizacija. Prvi rad na ovu temu je objavljena tokom 1968 godine od strane

Edvard I. Altmana, koji je, u to vreme bio profesor finansija na Univerzitetu u Njujorku.

Njegova formula može da se koristi za predviđanje verovatnoće da će neka poslovna

organizacija otići u stečaj u roku od dve godine. Formula Z - score se koriste za

predviđanje korporativnih podrazumevanih vrednosti i jednostavna je za izračunavanje

kontrolne mere za potencijalne nevolje (distress) finansijskih statusa poslovnih

organizacija u akademskim studijama. Formula Z - skore koristi podatke iz višestrukih

tipova poslovnih prihoda iz bilansa uspeha i vrednosti podataka bilansa stanja za

merenje finansijskog “zdravlja” poslovne organizacije60.

3.4.4. Pojam virtuelizacije u informatici

U najširem smislu, virtuelizacija je koncept kojim se označavaju tehnike i metodi za

apstrakciju računarskih resursa.

Virtuelizacija se definiše kao metodologija razdvajanja resursa računara u više

zasebnih radnih okruženja, primenom tehnologija kao što su hardversko ili softversko

particionisanje, timesharing61, delimična ili potpuna mašinska simulacija, emulacija i

mnoge druge.

Mada je definisan kao takav, pojam virtuelizacije nije ograničen samo na

particionisanje, razdvajanje nečega na više manjih celina. Virtuelizacija obuhvata i

proces apstrakcije koji je logčki suprotan: spajanje više fizički razdvojenih celina u

60 Izvor wikipedia 61 time sharing time sharing - U računarstvu, pojam time sharing predstavlja deljenje jednog računarskog resursa među mnogim korisnicima putem multiprogramming [računarski multiprogramming je raspodela kompjuterskog sistema i njegovih resursa istovremeno za više od jedne aplikacije, posla ili korisniku ("program" u ovoj nomenklaturi)] i multitaskinga [u računarstvu, multitasking je metod gde su višestruki zadaci, takođe poznati kao procesi, izvode tokom istog vremenskog perioda]. Uvođenje time sharing je prvo nastalo tokom 1960 godine, a kao masovna pojava i kao istaknuti model računarstva tokom 1970 godine. Pojava time sharing, predstavlja veliku tehnološku promenu u istoriji računarstva. Izvor wikipedia



Stanislav R. Polić

jednu. Na primer, kada se nekoliko hard diskova predstavlja kao jedna logička celina,

ili kada je nekoliko računara umreženo da bi se koristili kao jedan veliki računar62.

Virtuelizacija je danas već dokazana softverska praksa koja ima veliki uticaj na IT

infrastrukturu i na način na koji se računari upotrebljavaju. Današnji moćni računarski

sistemi koji su zasnovani na x86 arhitekturi projektovani su za izvršavanje jednog

operativnog sistema i malog broja aplikacija na njemu. Ovo dovodi do veoma slabog

iskorišcenja većine računara.

Virtuelizacija omogućava pokretanje većeg broja virtuelnih mašina na je jednoj

fizičkoj mašini, tako da one dele raspoložive resurse na nekoliko razdvojenih okruženja.

Virtuelne mašine mogu istovremeno pokrenuti različite operativne sisteme i različite

aplikacije na istom fizičkom računaru. Izrazom Virtualna mašina (VM63) označava se

softverska implementacija računara, koja izvršava programe ni isti način kao i prava

mašina. U ovom izlaganju biće opisane neke osnovne tehnike i metode virtuelizacije,

kao i najčešće praktične primene.

U novoj digitalnoj ekonomiji , koja postaje uobičajeni način rada savremenog

poslovanja, s obzirom na povezanost mobilnog telefona i web-a, fizički proizvodi i

razne usluge su direktno, u svako doba, sa bilo kog mesta, dostupne potrošačima ili

korisnicima. Proizvodi ili usluge su odmah spremni da se stave na raspolaganje. U

takvim poslovnim okolnostima, digitalna ekonomija bazira na mnogim standardima, od

kojih su većina od njih otvoreni (open) i slobodni za korišćenje, kao što su TCP/IP za

Internet, zatim EDI i EDIFACT koji je migrirao na standard ebXML. Kod obeležavanja

i indentifikacije artikala prisutni su EAN64 i EANCOM65 standardi koji su migrirali pod

62 Grid computing, Parallel Virtual Machine 63 VM - Virtual Machine , Virtualna mašina predstavlja emuliranu računarsku sredina koja radi unutar operativnog sistema i koja se ponaša kao operativni sistem i može da izvršava računarske programe koji su kompajlirani, odnosno prevedeni za tu virtualnu sredinu. Moderne virtualne mašine se realizuje bilo softverskom emulacijom hardvera ili procesom virtuelizacija.. U većini slučajeva, to se sprovodi zajedno. Izvor wikipedia 64 EAN - European Article Number, evropski broj artikala; EAN - 13 bar kod (prvobitno, originalno nazvan Evropski Broj Artikla, ali sada preimenovana u Međunarodni Broj Artikla (International Article Number) iako je zadržao dosadašnju skraćenicu EAN) predstavlja cifru od 13 karaktera (12 i 1 kontrolni broj za potvrdu) barcoding standard koji je nadskup originalne 12-to cifrene Universalna Šifra Proizvoda (Universal Product Code - UPC) sistema razvijenog u Sjedinjenim Državama. Standard EAN - 13 barcode je definisan po standardima međunarodne organizacije Global Standards One - GS1. Barcoding standard je (Korištenje barkod simbola za identifikovanje stavki, odnosno artikala. Bar kodiranje (šifriranje) je najčešći oblik za automatsku identifikaciju koji se koristi u tehnologijama za automatsko sakupljanje podataka. Bar kodovi prate gotovo sve: od robe u maloprodaji, podatke u medicinskoj dokumentaciji)



Stanislav R. Polić

nazivom GS166. U okviru digitalne ekonomije, po pitanju bezbednosti, prisutni su i

zaštite na bazi standardizovanih kripto sistema, hach funkcija67, standardi javnog i

tajnog ključa kod digitalnog potpisa i drugi.

Sigurno da u okviru kratkog izlaganja ne mogu da budu obuhvaćeni svi potrebni

detalji, ali izlaganje nudu određene osnovne pravce za dalja istraživanja i

proučavanja iz ove oblasti.

U globalnom informacionom društvu, gde informacije putuju kroz “cyberspace68” na

rutinski način, široko je prihvaćen značaj informacija kao poslovnog resursa. Pored

toga, informacije, informacioni sistemi i komunikacije koje dostavljaju informacije su

zaista prisutni “alati” u poslovnim organizacijama, kod korisnika različitih platformi, od

lokalnih do širokih WAN mreža69, preko servera do mainframe računara. Poslovne

organizacije zavise od blagovremenih, tačnih, potpunih, važnih, doslednih, relevantnih

i pouzdanih podataka. Shodno tome, izvršni menadžment poslovne organizacije ima

punu odgovornost da osigura da poslovna organizacija obezbeđuje sve svoje korisnike

sa bezbednim okruženjem informacionog sistema.

U poslovnoj praksi postoji mnogo direktnih i indirektnih koristi od upotrebe

informacionih sistema. Istovremeno su tu prisutni mnogi direktni i indirektni rizici u

65 EANCOM – EAN + Communication, identifikacija artikala po EAN standardu namenjena EDI transferu podataka. 66 GS1 – Global Standards One; opšti standardi, predstavlja fondaciju koja je osnovana 1977 godine. GS1 je međunarodna neprofitna asocijacija posvećena razvoju i implementaciji globalnih standarda i rešenja da se poboljša efikasnost i vidljivost u lancima snabdevanja i tražnje na globalnom nivou i na više sektora. Sistem GS1 standarda je najkorišćeniji sistem standarda na svetu u lancu snabdevanja (supply-chain). GS1, je nekad bio poznat pod nazivom "EAN International, a novi naziv 'GS1' je usvojen tokom 2005 godine. Izvor wikipedia 67 U kriptografiji, kriptografska hash funkcija je transformacija koja uzima jedan ulaz i vraća string - niz fiksne veličine, koji je nazvan hash vrednost. Hash funkcija koja poseduje tu osobinom se koristi za različite računarske svrhe; uključujući i kriptografiju. Hash vrednost je koncizni prikaz dugačke poruke ili dokumenta u kome je ona izračunata. Rezime poruke (eng. message digest) predstavlja vrstu "digitalnog otiska prsta" dugačkih dokumenata. Kriptografska hash funkcija se koristi da se uradi provera integriteta poruke i digitalnog potpisa u različitim aplikacijama informacione bezbednosti, takvim kao što su kontrole autentičnosti i integriteta elektronskih poruka. Izvor wikipedia 68 cyber - computers and information systems, cyber je prefiks koji potiče od pojma cybermetics (kibernetski) i slobodnije znač direktno korišćenje kompjutera. Cyberspace – kibernetski svet, izraz predstavlja metaforičku apstrakciju koja se koristi u filozofiji i kompjuterizaciji. Kibernetski svet predstavlja virtualnu realnost koja obuhvata sve što se dešava unutar i van kompjutera, a vezano je za kompjutersku tehnologiju. Izvor: wikipedia 69 WAN - wide area networks - mreža na velikom području. Pošto su lokalne mreže (Local Area Network - LAN mreža) povezuju računare koji su na relativno malom rastojanju, problem povezivanja korporacijskih filijala koje se nalaze na raznim geografskim lokacijama rešava se pomoću WAN mrežama. WAN mrežr prestavljaju skup više povezanih LAN mreža, koje se nalaze na različitim geografskim lokacijama. Izvor wikipedia.



Stanislav R. Polić

vezi sa korišćenjem informacionih sistema. Prisutni rizici su doveli do pojave

određenog “jaza” između potrebe da se zaštite informacioni sistemi i stepena

primenjene zaštite. Sam uočeni “jaz” je izazvan usled više različitih razloga kao što su:

� Opšta upotreba savremene tehnologije;

� Međusobna povezanost informacionih sistema;

� Eliminacija pitanja udaljenosti, vremena i prostora kao posebnog ograničenja;

� Neujednačenost tehnoloških promena;

� Decentralizacija upravljanja i decentralizacija internih kontrola ;

� Uočena atraktivnost sprovođenje elektronskih nekonvencionalnih napada u

odnosu na konvencionalne fizičke napade na poslovnu organizacija i

� Spoljni faktori kao što su zakonodavni, pravni, kao i regulatorni zahtevi ili

pojava novog tehnološkog razvoja.

Neuspeh u sprovođenju politike bezbednosti poslovne organiizacije može da dovede do

gubitaka u obe oblasti, do primarnih finansijskih gubitke i/ili do nematerijalnih

gubitaka, kao što je neovlašćeno otkrivanje konkurentnih ili osetljivih poslovnih

informacija. Pretnje informacionim sistemima poslovne organiizacije mogu da nastanu

od namernog ili nenamernog delovanja i mogu da dolaze iz unutrašnjih - insajderskih

ili spoljnih izvora. Pretnje mogu da, između ostalog, proizilaze iz, tehničkih uslova

(greški u programima (eng bugs), zbog oštećenja diskova (eng crashes)), prirodnih

katastrofa (požara, poplava), nepovoljnih uslova okruženja (udari električne struje),

ljudskih faktora (nedostatka obuke, pojedinačnih grešaka i propusta), neovlašćenih

pristupa (hacking), ili programskih virusa. Pored ovih, postoje i druge pretnje, kao što

su poslovne zavisnosti (oslanjanje na usluge treće strane u komunikacionom transportu,

drugim poslovima poverenim trećim licima (outsourced70) i slično) koji potencijalno

mogu da rezultiraju određenim gubitkom kontrole upravljanja i nadzora. Svi ovi rizici

su u stalnom porastu i dobijaju na značaju. Adekvatne mere za bezbednost poslovnih

informacija pomažu da se obezbedi nesmetano funkcionisanje informacionog sistema

poslovne organizacije i zaštiti poslovne organizacija od mogućih gubitka ili neprilika

izazvanih neuspšešnom politikom bezbednosti.

70 outsource – Poslovna aktivnost kada se plaća drugoj poslovnoj organizaciji da obezbedi ulogu koju poslovna organizacija može inače imati u svom posedu zapošljavajući svoje sopstveno osoblje da bi to izvela (na primer razvoj softvera).



Stanislav R. Polić

Bezbednosna politika vezana za informacione tehnologije je jedna stvar, realnost je

nešto sasvim drugo. U praksi se jednostavno dešava da menadžment poslovne

organizacije ne “dobija“ uvek prave bezbednosne informacije!

Istovremeno je potrebno obezbediti pravac upravljanja i podršku bezbednosti

informacija u skladu sa poslovnim zahtevima i relevantnim zakonima i standardima.

Upravljanje bi trebalo da odredi jasan pravac politika bezbednosti u skladu sa

poslovnim ciljevima i da pokaže i pruži podršku i posvećenost informacionoj

bezbednosti kroz pitanje i održavanje politike zaštite informacija u celoj poslovnoj

organizaciji. To između ostalog obuhvata:

� Tajnost; Pristup podacima bi trebalo da bude ograničen samo na one koji imaju

određene nadležnosti da vide te podatke,

� Integritet; Zahtev da sva sistemska sredstva rade pravilno , prema specifikaciji i

na način na koji trenutni korisnik veruje da će da bude u pogonu,

� Dostupnost; Proces da se informacija, kada je to potrebno, dostavljaju samo

pravoj osobi.

U poslednjih nekoliko godina, profesionalna revizorska udruženja su razvila nove

revizorske standarde (audit standards) i izjave. Ova mesta, odnosno udruženja vrše sve

veći pritisak na interne revizora da spreče i otkriju moguću prevaru. To odvraćanje i

otkrivanje prevare, gubitaka i zlostavljanja nije novo u procesu interne revizije, ali

zahteva mnogo veću količinu vremena i energije internih revizora. Danas ispitivači i

istražitelji prevara takođe pronalaze veću potražnju za svojim uslugama, kao i poslovne

organizacije koje se suočavaju sa vrlo teškim ekonomskim vremenima i loše je ako

mogu sebi priuštiti da imaju izgubljen ili ukraden profit. Da bi se stvari dalje

komplikovale, od internih revizora i istraživača prevare se sada traži da spreče i

otkriju , odnosno detektuju prevaru koja je nastala i u elektronskom okruženju gde

papirne pretrage i ručni fajlovi ne mogu da postoje. Tradicionalne tehnike nisu više

adekvatne za takav zadatak.

Jedna od glavnih uloga interne revizije je da se obezbedi upravljanje sa visokim

stepenom sigurnosti, pre svega da su unutrašnje kontrole na mestu i da rade kako treba,

odnosnoi kako je očekivano. Interni revizori su to odavno postigli kroz primenu "dužne

profesionalne pažnje" tokom procesa interne revizije. U ostvarivanju takvog računa,



Stanislav R. Polić

interni revizori bi trebalo da budu uvek na oprezu za mogućnost kriminalnih aktivnosti,

malverzacija, sukoba interesa, neefikasnosti i drugih zloupotreba.

Revizorski standardi zahtevaju od revizora da imaju dovoljno znanja o prevarama i da

bude u stanju da identifikuje moguće indikatore prevare. Ako su detektovane, odnosno

otkrivene kontrolne slabosti, trebalo bi da se obave dodatni testovi, uključujući testove

za identifikaciju indikatora prevara.

Uprkos sve većem angažovanju internih i eksternih revizora u reviziji poslovanja i

finansijskog “zdravlja” neke poslovne organizacije, autsajderi (policija, bivši zaposleni,

itd) su i dalje glavni izvor potrebnih informacija vezanih za otkrivanje prevare. Sve ovo

dovodi do krajnje uznemirujućih pitanja: S obzirom na ogromnu cenu i često relativno

jednostavne šeme korišćene za izvršenje prevare, zašto su interni revizori i istraživači

prevare sve više neuspešni u sprečavanju i otkrivanju prevare? Odgovor leži u

prepoznavanju da:

(1) analiza podataka poslovne organizacije je jedini najefikasniji način za

sprečavanje i otkrivanje prevare i

(2) kompjuteri i softver za analizu podataka su uglavnom nedovoljno iskorišćeni u

otkrivanju simptoma prevare u analizi podataka poslovne organizacije.

Na stručnim skupovima su česta pitanje internih revizora i istraživača prevara o

njihovom korišćenju specijalitzovanog asistiranja računara kao revizorskog alata i

tehnika - CAATT. Odgovor je najčešće "da, mi svo vreme koristimo CAATT alate".

Upitani da objasne njihovo korišćenje CAATT alata, odgovor prečesto zvuči ovako:

"Mi smo izdvojili informacije, stavili podatke u tabeli, sortirali podatake, izradili

izveštaje, a zatim ručno pregledati kopiju papira." Ovo je uobičajeni način "korišćenja

CAATT alata" u glavama mnogih revizora.

Za mnoge revizorske organizacije, to predstavlja važne prve korake - dobijanje traženih

podataka i stvaranje uslova da se isti pročitaju elektronskim putem. Istorijski gledano,

pitanje pristupa podacima je bio najveći izazov i prepreka za interne revizore koji žele

da koriste CAATT alate. Danas postoje, programski alati (utilities) i opcije za izdvajanje

(extraction) i preuzimanje, odnosno prepisivanje podataka, čineći manji problem

pristupu podataka. Dakle, s obzirom da su mnoge poslovne organizacije prevazišli ovu

prepreku i da su podaci dostupni u elektronskom formatu, zašto ih jednostavno ne

sortirati i odštampati ih za korišćenje? Kada se podaci pristupačni, softver za



Stanislav R. Polić

ekstrakciju, odnosno izdvajanje podataka i analizu omogućava korisnicima da sa više

moći i snage analiziraju i razumeju podatke nego ikada pre. Interni revizori i istraživači

prevare (fraudinvestigators) koji se ograničavaju samo na sortiranje i štampanje su

izostavili mogućnost korišćenja izvora bogatstva (bonanza) vezano za efikasnosti

dostupnih kompjuterizovanih alata i tehnika.

Razna istraživanja su pokazala da danas:

� 94% internih revizora imaju pristup softveru za ekstrakciju i analizu podataka,

prema tome, u stvari, oni imaju neki oblik CAATT alata učitan (loaded) na svom

sistemu.

� 93% internih revizora misle da će se upotreba računara u poslovanju povećati u

narednim godinama.

� 70% internih revizora samo do nekog stepena koriste CAATT alate.

� 50% svih prevara je pronađeno kroz analize podataka, za razliku od dojava

informatora ili slučajnog obelodanjivanjima i procenat pronalaženja na ovaj

način raste.

Elektronsko okruženje u kome posluju poslovne organizacije, zajedno sa sprovedenim

programskim kontrolama u tom okruženju, predstavljaju niz kompleksnih sistema, sa

varjansama u realnom vremenu i aplikacijama širom sveta. Veliki je izazov za interne

revizore da kvalitetno procene te procese i kontrole. Međutim, elektronsko okruženje

takođe pruža širok spektar mogućnosti za korišćenje moćnog interaktivnog revizorskog

softvera i naprednih tehnika revizije.

Tako, dok poslovno okruženje rapidno postaje sve složenija, već postoji povećani niz

revizorskih softvera, alata i tehnika projektovanih sa ciljem da pomognu u istrazi

prevara. Malo njih bi osporili, u tekućem poslovnom okruženju, da je softvera za

vađenje, odnosno izdvajanje podataka i analizu od ključnog značaja za efikasno i

efektivno poslovanje revizorskih organizacija. Više nego ikada ranije, interni revizori i

istražitelji prevare imaju pristup podacima i softverskim alatima koji prevodi podatke u

potrebne informacije, stvarajući uslove i mogućnost da konvertuju podatke u znanje i

veštine, a zatim, da se to znanje transformiše u akcije i preporuke. U otkrivanju i

sprečavanju moguće prevara, interni revizori i istražitelji mogu čak i proaktivno da

traže simptome prevara i vođenje potrebnih istraga.



Stanislav R. Polić

Korišćenje softvera za analize podataka ne znači samo da interni revizori mogu da

sprovode rutine interne revizija brže i lakše; oni sada takođe mogu da obavljaju revizije

kao vrednost - za – novac (value - for - money).

Ekonomija igra veliku ulogu u tekućem okruženju interne revizije. Upravljanje se

pritom angažuje u svim oblastima poslovne organizacije sa ciljem da bude efikasnije i

efektivnije, uključujući u to i procese interne revizije. Kao rezultat toga, interni revizori

moraju da poseduju više od jednog prolaznog poznanstva sa snagom i korisnošću

revizorskih alata kao što su komandni jezik za reviziju - ACL71 i softver za Interaktivnu

ekstrakciju, odnosno izdvajanje podataka i analiza - IDEA72. Revizori bi trebalo da budu

sposobni da istinski koriste i razumeju podatke vršeći potrebnu analizu, kao što su:

� Stvaranje obračunatih izraza koji nisu direktno dostupni u datotekama,

odnosno fajlovima, kao što su pronalaženje ukupne vrednost zaliha množenjem

količine puta jedinične cene za svaku stavku,

� Izbor zapisa na osnovu korisnički definisanih kriterijuma, kao što je selekcija

svih zapisa sa ratom plaćanja većom od 5.000 $ mesečno,

� Klasifikacija podataka u skladu sa numeričkim rangom ili vrednosti karaktera

u polju, kao što su iznosi po filijalama ili pregledi po fakturama koji su stariji od

30, 60, 90 i 120 dana u odnosu na poslednji određeni datum,

� Stvaranje još naprednijih meta podataka (meta-data), na primer, regresionih i

trend analiza koje pojašnjavaju šta će se dešava u daljem poslovanju,

� Razvoj znanja o tome šta podaci i pojedina polja zaista predstavljaju i kako ti

podaci mogu da se koriste za rešavanje specifičnih pitanja

Samo izlaganje ima za cilj da posluži kao stimulacija za sva lica koja su zainteresovana

da pristupe proučavanju i edukaciji iz oblasti softverskih alata u cilju poboljšanja

sopstvenih sposobnosti da pristupe podacima i korišćenju softvera za ekstrakciju i

analizu podataka u cilju otkrivanje i sprečavanje prevara i rasipničkih primera iz prakse.

Fokus je na dobijanju i čišćenju podataka i na primeni analitičkih , aplikacionih tehnika

za detekciju prevare.

Teorija i primeri u praksi predstavljaju dovoljan stimulans da se pristupi istraživanju

mogućih prevara uz korišćenje i ovladavanje snagom računara i namenskim softverom

71 ACL - Audit Command Language 72 IDEA - Interactive Data Extraction and Analysis



Stanislav R. Polić

za analizu podataka, pomoću kojih je moguće da se lakše otkrije prevara, rasipanja i

zloupotrebe. U više od 60 studija slučaja koji su prisutni kroz primere u literaturi su

prikazane primene raznih tehnika, od kojih je svaka detaljno objašnjena.

U mnogim slučajevima, kombinuju se nekoliko različitih tehnika da bi se otkrile

moguće prevare. Mora se naglasiti da je potrebna inteligentna upotreba ovih

savremenih softverskih tehnika od strane internih revizora, a ne da se slepo sledi

zahtevani pristup prema unapred definsanim receptima iz "kuvara" (cookbook). Oni koji

počine prevaru mogu da budu veoma inovativni u skrivanju svojih dela. Interni revizori

i ispitivači prevare moraju da budu podjednako kreativan i snalažljiv u svojim

pretragama.

Savremena praksa pretpostavlja da revizorske organizacije i interni revizori koriste

CAATT alate i da poseduju osnovno razumevanje upotrebe i važnosti CAATT alata u

internoj reviziji. Saveti o tome kako da se razviju sposobnosti CAATT alata u

poslovnim organizacijama, pitanja i tehnika pristupa podacima, kao i ispitivanje samog

integriteta podataka su razmatrani u literature a kao pogodno štivo se navodi: Interna

revizija; efikasnost kroz automatizaciju73 Ova knjiga će pružiti korisnicima početno

razumevanje primene CAATT alata u internoj revizije i osnove za korišćenje ekstrakcije

podataka i tehnika analiza za detekciju mogućih prevara. Još jedan koristan izvor

informacija je Primena kompjutera u sprečavanju i otkrivanju kriminalnih radnji, sa

programom ACL74. Ova literatura sadrži detalje o tehnikama analize, uključujući

napredne tehnike digitalne analize, od kojih su mnogi u cilju identifikovanja prevara,

rasipanja i zloupotreba. Knjiga takođe uključuje CD koji sadrži elektronsku verziju

softvera za obavljanje analiza za otkrivanje mogućih anomalija i prevara.

Zaklju čak

CAATT alati se navode kao izuzetno važan softvera za internu reviziju i analizu

podataka. Međutim, fokus internih revizora bi trebalo da bude na podacima, a ne na

73 David Coderre, Internal Audit; Efficiency through Automation 74 David Coderre, Computer Aided Fraud Prevention and Detection



Stanislav R. Polić

samoj tehnologiji rada: interni revizori bi trebalo da razumeju podatke i da definišu

potrebna pitanja za analizu podataka i da učine revizorski proces potpuno nezavisnim

od primenjenih alata. U radu su iznete samo osnovne informacije koje se odnosi na

upotrebu savremenih informatičkih tehnologija od strane internih revizora. Interni

revizori mogu da iskoriste CAATT alate da poboljšaju efikasnost i efektivnost interne

revizije. Sa pravim alatima, obukom i metodologijom, CAATT alat omogućava da se

ubrza proces interne revizije i obezbeđuje pristup podacima koji bi inače ostali

neiskorišćeni.

Važno je napomenuti da ne postoji generički model za tehnološke alate koji bi važio za

sve poslovne organizacije. Takođe je važno da se prepozna rastuća direktna zavisnost

procesa interne revizije od informacionih tehnologija. Prisutna zavisnost omogućava da

se obrade i/ili da se podrže gotovo sve poslove aktivnosti interne revizije. Danas

tehnološke teme čine sve veći procenat potrebnog stručnog znanja i veština internih

revizora. Iako je tehnološka pozadina važna za razumevanje novih razvoja i pravaca

delovanja, to je još uvek od male koristi bez stalnog sticanja novih znanja. Efikasna

upotreba softverskih alata u revizorskim tehnologijama je od ključnog značaja za uspeh

celokupnih aktivnosti interne revizije, ali predstavlja samo jedan korak u pravcu

razumevanja tehnoloških promena koje bi trebalo da se primene u ukupnom poslovanju

i revizorskoj profesiji. Novih tehnologija će stalno menjati oblik i pristup poslu internih

kontrola tako da procesi revizije, pristupi i tehnike moraju da se promene i prilagode

novom okruženju. Danas postoji još jedna važna uloga internih revizora i revizorske

profesije a to je da su u obavezi da ohrabre i podrže napore pružalaca usluga

informacionih sistema i nove tehnologije za poboljšanje i praćenje kvaliteta i

karakteristike informacionih sistema. Važna uloga internih revizora je ne samo da

razumeju i promene koje se dešavaju sa tehnologijama, već i da objasne efekte ovakvih

promena drugim učesnicima u poslovanju. I na kraju, važno je uočiti značaj

interpersonalnog kontakta u internoj reviziji, pošto tastatura i e.mail nikada neće

zameniti potrebu za interpersonalnim veštinama.

Stanislav Polic, PhD

INFORMATION SECURITY AND IMPLEMENTATION



Stanislav R. Polić

CAATT TOOLS IN IT AUDIT

Summary: Switching to digital business records in all spheres of business has significantly improved the business, especially the appearance of electronic messages and e-business by introducing "computer to computer" interfaces. At the same time, the growth of the risks and threats of misuse of new technologies are leading to the appearance of cyber criminal. In such new technological environment, the processes of the classic audits are becoming impracticable activities so that the new methodological approach and the use of specialized software tools (e.g. CAATT) becomes binding mode as the IT audit. A prerequisite for this kind of work is improvement of the knowledge and skills in information technology at all business organization hierarchy levels including the top management and in particular internal IT auditors will only be able to access to resolving set of auditing tasks in digital environment with appropriate CAATT tools. Keywords: internal audit, CAATT tools, digital economy, security, internal controls,

information.

Literatura

1. Ralph Kimball “Meta Meta Data Data ”(DBMS, March 1998):

www.dbmsmag.com/9803d05html

2. Dr Branko O. Krsmanović, Dr Stanislav R. Polić, Informacione tehnologije u

računovodstvu i reviziji, Banja Luka, Bjeljina, 2008

3. David Coderre, Internal Audit; Efficiency through Automation, 2009, John & Sons

4. David Coderre, Computer Aided Fraud Prevention and Detection 2009, John &

Sons

5. UNSW IT Security Standards & Guidelines, Division of information services,

Effective from March 2004

6. Zakon o računovodstvu i reviziji 25.05.2006, član 4

7. Dr Stanislav Polić, IT menadžment, Genex Group, interno izdanje Beograd 2002

8. www.wikipedia.org

9. http://foldoc.org/

10. http://books.google

Rad primljen u Redakciju 05.07.2013.

Documents

INFORMACIONA BEZBEDNOST I PRIMENA CAATT …pepogledi.org/Arhiva/2013_02/03 Stanislav Polic - Informaciona... · Pravno-Ekonomski Pogledi, br. 2/13 Informaciona bezbednost i primena