IT revizija

Published on July 15th, 2010 | by Nermin Catovic

0

IT Revizija u Hrvatskoj i Sloveniji




Information Systems Audit and Control Association – ISACA je jedna od najutjecajnijih internacionalnih organizacija za reviziju i kontrolu informacionih sistema. Sjedište organizacije je u Sjedinjenim američkim državama i okuplja oko 100.000 članova u više od 185 formiranih odjela u preko 75 zemalja svijeta. Cilj odjela je da educiraju članove, podijele materijale i znanja. Članovi ISACA-e su često zaposleni u različitim poslovnim područjima kao što su finansijske ili bankarske institucije, revizorske i računovodstvene kompanije, javni ili privatni sektor, proizvodni, ili prodajni sektori, a imaju različito znanje i iskustva. Vizija ISACA-e je da postane globalni lider u području menadžmenta, kontrole i revizije informacionih tehnologija.

IT revizija u Bosni i Hercegovini i regionu (Slovenije, Hrvatske i Srbije) dosta se razliku od ostalih razvijenih zapadnih zemalja. Dok Slovenija kao i Hrvatska imaju formirane ISACA odjele, Srbija i BiH jos uvijek nemaju.

Osnovni cilj odjela ISACA-e kao što je slovenski, jeste da promoviše odlična rješenja zaštite informacionih sistema kao i visoko kvalitetnu reviziju informacionih tehnologija i sistema. Slovenski odjel ISACA-e osnovan je 1994. godine kao 137 odjel ove internacionalne organizacije. Pored navedenih ciljeva koji promovišu najbolje prakse u oblasti revizije informacionih tehnologija, internacionalno certificiranje kao što je CISA (Certified Information System Auditor) i CISM ( Certified Information Security Manager) zauzima primarni cilj organizacije u Sloveniji.Stručnjaci informacionih tehnologija iz nekoliko područja poslovanja prepoznali su važnost revizije i kontrole informacionih sistema, čime su inicirali stvaranje hrvatskog odjela ISACA-e u martu 2001. godine. Cilj hrvatskog odjela ISACA-e je educiranje i distribucija svih relevantnih informacija članovima diljem Hrvatske sa plemenitom željom za širenjem stručnog znanja u oblasti kontrole, supervizije i revizije informacionih sistema.

U 2005. godini, Hrvatski Parlament je donio Zakon o Računovodstvu a u čijem se 14.Članu (stav 3) spominju zakonske odluke koje se tiču implementacije revizije informacionih tehnologija kao dijela finansijske revizije.

(3) Pravna osoba koja se u svojem poslovanju koristi informatičkom tehnologijom dužna je ovlaštenim revizorima i osobama koje su oni ovlastili omoguditi pristup svim programima i elektroničkim zapisima, uključujudi izliste i preslike na elektroničkim medijima, te na zahtjev revizora pružiti pomod u izvođenju programa i dati informacije o služenju tim programima.

Zakonske regulative IT revizije u Hrvatskoj

Glavni cilj revizije informacijskih sustava provedbe kao savjetodavno poslovne funkcije, je da nezavisna, vanjski stručnjaci u dogovorenim područjima ispitivanja performansi i verifikacije u skladu sa poslovnim zahtjevima koji procjenjuju razinu kvalitete informacijskih sustava.

Glavni cilj implementacije revizije informacionih sistema kao savjetodavne poslovne funkcije jeste da nezavisni, eksterni stručnjaci u dogovorenim područjima ispitivanja performansi i verifikacije u skladu sa poslovnim potrebama procijene nivo kvaliteta informacionog sistema. Procjena kvaliteta informacionog sistema bazira se na principu procjene različitih rizika (poslovnih, tehnoloških, sigurnostnih) koji menadžmentu daju mogućnost da procijeni preporuke o poboljšanju poslovnih vrijednosti implementacijom informacionih tehnologija. Takve vrste revizije su rijetke i takav vid revizije informacionog sistema preporučuje se samo najuspješnijim kompanijama i njihovim menadžerima.

Najčešći način revizije informacionih sistema jeste praćenje regulatornih zakona koji su propisani kroz bankarske i finansijske sektore. U Hrvatskoj, Narodna Banka je donijela okvire i zakonske regulative koji se tiču interne i eksterne revizije informacionih sistema. “Odlukom o primjerenom upravljanju informacijskim sustavom” od 17. jula 2007. godine propisan je okvir za oko 40 članaka/dijelova pod kojima je moguće procijeniti kvalitet informacionog sistema i obaviti reviziju.

Tom su odlukom definisani detaljnije objašnjeni najčešće korišteni pojmovi i područja revizije, poput softverske, hardverske komponente, informacionog sistema i tehnologija, informacionih imovina, korisnika, rizika i resursa informacionog sistema, upravljanja sistemom, pristupom sistemu, e-bankarstva, malicioznih programski kodova, incidenata itd.

Tom su odlukom detaljno propisana i područja provjere čime je donesen i okvir za revizije informacionih sistema:

  • okvir za upravljanje informacionim sistemom,
  • upravljanje rizikom informacionog sistema,
  • unutarnja revizija informacionog sistema,
  • sigurnost informacionog sistema,
  • održavanje informacionog sistema,
  • upravljanje kontinuitetom poslovanja,
  • razvoj informacionog sistema i eksternalizacija,
  • elektronsko bankarstvo.

http://www.hnb.hr/propisi/odluke-nadzor-kontrola/nadzor-nad-bankama/h-odluka-informacijski-sustav.pdf.

Kao i većina centralnih banaka, Hrvatska Narodna Banka je imala vodeću ulogu u kontroli i sprječavanju određenih rizika. U slučaju operativnih rizika, naglašava se nadzorna i kontrolna uloga  regulatora koji čini Odjel za informacione sisteme banke. Odjel za izravni nadzor informacijskih sustava banaka sa svojom profesionalnom nadzornom ulogom je potreban da bi se implementirao informacioni sistem i proučavali/nadzirali izvještaji koji eksterni revizori kreiraju tokom revizija.

U decembru 2004. Centralna Narodna Banka je odredila područja revizije informacionih sistema u bankama, nakon čega su se nizom uputa, analiza i studija stekli uvjeti da Odluka o primjerenom upravljanju informacijskim sustavom stupi na snagu i krene u punu primjenu početkom 2008. godine. Obaveznici provođenja revizije informacionih sistema u Hrvatskoj su, barem za sada, predstavnici iz bankarskog i dijela financijskog sektora.

Odlukom o primjerenom upravljanju informacijskim sustavom Hrvatska narodna banka je početkom 2008. godine odredila područja informacionog sistema unutar kojih bi eksterni revizori trebali pregledati određene kontrole, procijeniti nivo rizika i dati preporuke za njihovim upravljanjem. Cilj ove, kao uostalom i svake revizije informacionih sistema, jeste procijeniti rizike kojima je poslovanje izloženo uporabom informacionih sistema, razvrstati ih po važnosti, o hitnim mjerama odmah obavijestiti menadžment i dati preporuke na koji način i uz koja financijska sredstva održavati prihvatljiv (poželjan) nivo rizika kojom se ne bi ugrozilo poslovanje.

Prihvatljiv nivo rizika se odnosi na onaj intenzitet rizika koji još uvijek ne ugrožava odvijanje važnih poslovnih funkcija i procesa, odnosno ostvarenje zacrtanih poslovnih ciljeva.
Tom je odlukom, dakle, propisano 18 područja eksterne revizije informacijskih sustava. To konkretno znači da pri provedbi revizije, eksterni revizori informacijskog sustava unutar tako zadanih područja trebaju odrediti skup kontrola, ali i tehnike i načine testiranja njihove pouzdanosti i učinkovitosti. Na taj su način moguće razlike unutar strukture i, naravno, sadržaja izvještaja revizora informacionog sistema (čiju su kopiju revizori dužni dostaviti i u HNB), no, u konačnici tržište, a posebno regulatori koji mogu lako procijeniti kvalitetu revizorskog posla i svojim zakonskim ovlaštenjima ciljano poboljšavati njihov rad.

Reference:

  • ISACA Slovenia [Online]. Available: http://isaca.si/predstavitev.php [Accessed: June. 12, 2010].
  • Zakon o Reviziji Republike Hrvatske, December 2005. [Online]. Available: http://narodne-novine.nn.hr/clanci/sluzbeni/290259.html [Accessed: June. 12, 2010].
  • M.Spremic, “Kako provesti reviziju informacionih sistema – regulative i metode, PPT
  • ISACA Croatia, http://www.isaca.hr

Tags: , , , , , , , , , ,


About the Author

Osnivač portala itrevizija.ba i pristalica edukacije kroz besplatne članke, materijale i međusobne diskusije. Zainteresovan za područja IT revizije, informacione sigurnosti, zaštite podataka, implementacije ISO standarda, kontinuiteta poslovanja i projekt menadžmenta.



Comments are closed.

Back to Top ↑

UA-16409049-1