INFORMACIONA BEZBEDNOST I PRIMENA CAATT ALATA U IT REVIZIJI

Transcription

1 Prof. Dr 1 Visoka škola strukovnih studija za ekonomiju i upravu, Beograd INFORMACIONA BEZBEDNOST I PRIMENA CAATT ALATA U IT REVIZIJI Sažetak: Prelazak na digitalne poslovne evidencije u svim sverama poslovanja je u mnogome unapredilo poslovanje, pre svega pojavom elektronskih poruka, elektronskog poslovanja i uvođenjem interfejsa računar računar. U isto vreme rastu rizici i pretnje od zloupotrebe novih tehnologija dovodeći do pojave cyber kriminila. U takvim novim tehnološkim uslovima procesi klasične revizije postaju praktično nemoguće aktivnonosti tako da nov metodološki pristup i upotreba specijalizovanih softvera, odnosno CAATT 2 alata, postaje obavezujući način rada pod nazivom IT revizija. Preduslov za takav način rada je podizanje nivoa znanja i veština iz informacionih tehnologija, na svim hijerarhijskim nivoima poslovne organizacije, uključujući u to i glavni menadžment, a posebno interne IT revizore koji jedino sa korišćenjem odgovarajućih CAATT alata mogu da pristupe rešavanje postavljenih revizorskih zadataka u digitalnom okruženju. Ključne reči: interna revizija, CAATT alati, digitalna ekonomija, bezbednost, interne kontrole, informacija, Uvod Inovacije u proizvodnji i distribuciji informacija uzrokuju revolucionarne promene u savremenom društvu i nastanak nove tehno ekonomske paradigme 3 rada u okruženju "digitalne ekonomije". U digitalnoj ekonomiji informacija postaje najznačajniji resurs, a proiozvodi informatičkog društva poprimaju formu digitalnih tokova koji struje računarskim mrežama, nesputani nacionalnim granicama. Savremenim inovacijama u oblasti platnih sistema dovršava se proces dematerijalizacije novca, tako da i sam novac poprima formu digitalnih tokova u računarskim mrežama. Digitalni novac postaje 1 [email protected] 2 CAATT - Computer-Assisted Audit Techniques and Tools 3 Paradigma (iz strogrčkog παράδειγµα parádeigma, sastavljeno od dva pojma παρὰ parà pored i δεικνύµι deiknymi pokazati, učini razumljivim ; plural paradigme označava primer, uzor, uzorak. Paradigma je skup osnovnih pretpostavki ili pravila koje uzimamo zdravo za gotovo (eng. default) u cilju poimanja stvarnosti i njenih fenomema. Pojednostavljeno, paradigma je uobičajeni način rada. Izvor wikipedia

2 pogodan način za "mikroplaćanja" i omogućiće komodifikaciju 4 informacija. Nova forma novca dovešće do krupnih promena u ekonomskoj sferi kao i do radikalne transformacije bankarskog sektora. To zahteva odlučnu akcija ka digitalnim veštinama pošto je to najefikasniji način da se obezbedi potrebna efikasnost rada. Digitalna revolucija direktno utiče na sve delove svetske ekonomije, odnosno privrede, sa poslovnim organizacijama kojima je potrebno da u svakom sektoru razumeju i shvate mogućnosti koje im pruža digitalna revolucija. To varira od integracije informacione, odnosno digitalne tehnologije u poslovnim procesima raznih delatnosti, finansijskim uslugama i u online trgovini na malo. U svim sektorima, to je kombinacija visoko kvalifikovanih tehnoloških profesionalaca, tehnološke pameti poslovnih lidera i nadležnih krajnjih korisnika informacione tehnologije koji omogućavaju efikasno učešće u digitalnoj ekonomiji poslovne organizacije. U svetu je implementacija primene novih informacionih tehnologija u stalnom porastu. Pri tom je prisutna modifikacija dosadašnjeg dominantnog interfejsa, čovek - računar u specifičan interfejs računar - računar, uz neposredni nadzor ljudskog faktora. Očekuje se da ovakav pristup postane standard 21 veka. Procena je da se već od kraja 2004 godine, 70% svetskog poslovanja, u razvijenim tržišnim ekonomijama odvija na nov tehnološki način posredstvom Interneta, na direktan ili indirektan način. Proces stvaranja i razvoja potpuno novih poslovnih modela u svim oblastima poslovnih delatnosti, sada se velikim delom bazira isključivo na informacionim tehnologijama. Takav proces razvoja povećane automatizacije poslovanja kontinuirano traje već više od šezdeset godina. Automatizacijom poslovnih procesa vrši se memorisanje velikih količina podataka, koji u praktičnom radu dobijaju svoju svrhu adekvatnim korišćenjem od strane poslovnih menadžera. Krajem dvadesetog veka su se u okruženju informacionih tehnologija pojavili novi informatički pojmovi kao što su (eng. data warehouse - DW 5, meta-data 6, data mart 7, data mining 8, XML 9, repository 10 i 4 komodifikacija podrazumeva uključivanje nekarakterističnih objekata trgovanja, dobara i usluga (ili stvari koje se obično ne smatraju robom ili uslugama) u proizvod za trgovanja kroz kupoprodajni odnos. 5 DW - Data Warehouse skladište podataka predstavlja posebno organizovane baze podataka koje predstavljaju integraciju relacionih baza podataka velikih kapaciteta pogodnih za različite vrste upita u poslovnom obaveštavanju, približavajući korisnika sistemu za podršku odlučivanju (eng. Decision Support System-DSS) - (sistem za podršku odlučivanju). Izvor rečnik: Foldoc. 6 meta-data - meta podaci, podaci oko podataka. U obradi podataka meta-data je definicija podataka koja obezbeđuje informacije u vezi sa podacima ili dokumentacijom o drugim podacima upravljanim unutar jedne aplikacije ili okruženja. Na primer; meta-podaci moraju dokumentovati podatke o

3 drugi). Ovi pojmovi su postali standardne komponente u arhitekturi i strategiji upravlјanja većine poslovnih procesa savremenog biznisa. Pojmovi su međusobno isprepletani i vrlo često se međusobno nadovezuju jedan na drugi. Savremeni pojam meta podaci (eng. meta-data) predstavlja novi metod rada, koji doprinosi kvalitetnijem upravljanju i kontroli svih memorisanih podataka u okviru postavljenog informacionog sistema, a predmet je stalne kontrole i monitoringa od strane menadžmenta 11 poslovnih organizacija. Sam pojam meta-data je direktno povezan sa mnogim drugim, već ukazanim pojmovima iz oblasti informacionih tehnologija, pre svega sa pojmom data warehouse - "skladištem podataka" koji predstavlja posebnu, najčešće istorijsku bazu poslovnih podataka u kojoj su podaci memorisani i permanentno dostupni korisniku, a po potrebi i procesima eksterne i interne revizije. Za kvalitetan pristup ovim podacima menadžeri bi trebalo da poseduju znanja za korišćenje određenih raspoloživih softverskih alata kao što je na primer data mining, specijalizovani softverski alat koji omogućava efikasnu analizu podataka u bazama podataka, pre svega u data warehouse. Korišćenjem softverskog alata data mining, moguće je da se analiziraju trendovi ili anomalije u memorisanim podacima bez analize značenja samih podataka. U sklopu ponuđenih novih alata na softverskom tržištu, menadžeri se nalaze pred specifičnim elementima podataka ili atributima, (ime, veličinu, tip podatka, itd) i podatke o slogu ili strukturi podataka (dužina, polja, kolone itd) i podatke o podacima (gde su oni locirani, kako su udruženi, pravo svojine nad njima, itd). Meta podaci mogu uključiti u sebe opisne informacije o kontekstu, kvalitetu i uslovima ili karakteristikama podataka Izvor rečnik foldoc. 7 Data mart - Baza podataka. Specijalan tip DW primarno dizajnirana da adresira specifične funkcije ili potrebe jednog odeljenja-departmenta, kao opozicija DW koja ima tradicionalno značenje da adresira potrebe organizacije iz perspektive kompanije. Dopunsko tumačenje, data mart često koristi agregirane ili sumarne podatke da bi se poboljšale performanse upita. Međutim, važno je održavati sposobnost pristupa za poređenje baza podataka da bi omogući, ako je neophodno, analize do kraja (eng drill-down). 8 Data mining - "Rudnik podataka"; Baza podataka. Analiza podataka u bazi podataka korišćrenjem alata koji gledaju trend ili anomalije bez analize značenja samih podataka. Rudnk podataka je promovisan od strane IBM-a koji u okviru ovih alata drži određene povezane patente. 9 XML - (eng EXtensible Markup Language Language, text (XML)); Ekstezivni napredni jezik, Jezik, tekst (XML). Inicijativa od strane W3C (eng. World Wide Web Consortium) (konzorcijuma široke svetske mreže) XML je definisan kao "ekstremno jednostavan-prost" jezik-dejalekt od SGML (eng. Standard Generalized Markup Language) (stadardan uopšteni povišeni jezik) podesan za korišćenje u svetski širokoj mrezi - Web-u. 10 Repository - (eng. data dictionary, database). Repozitorijum, rečnik podataka, baza podataka; struktura podataka koja memoriše meta podatake (meta data) naprimer podatke oko podataka,. Podatak "rečnik podataka" ima nekoliko značenja i korišćenja. Najopštiji od njih je skup opisa podataka koji može biti deljen od nekoliko aplikacija. To najčešće označava tabelu u bazi podataka koja memoriše nazive, tip polja, dužinu i druge karakteristike polja u tabelama baza podataka. 11 Izvod iz članka Ralph Kimball Meta Meta Data Data (DBMS, March 1998):

4 izazovom, kako da nove tehnološke mogućnosti stave u funkciju svojih svakodnevnih potreba, imajući pri tom u vidu poslovno okruženje koje primenjuje savremeno elektronsko poslovanje. 1. Pojam digitalne ekonomije U tržišno razvijenim ekonomijama praktično ne postoji poslovni subjekt koji u većoj ili manjoj meri ne primenjuje savremenu informacionu tehnologiju. Opšta je konstatacija da informaciona tehnologija postaje paradigma savremenog poslovanja. Istovremeno, današnje poslovanje se iz raznih razloga suočava sa različitim oblicima krize. Svetska literatura, prateći događanja u svetskoj praksi je puna primera potrebe za delovanje interne revizije u novim, savremenim tehnološkim uslovima. U svetskoj terminologiji, termin digitalni se najčešće odnosi na cifre odnosno brojeve, međutim, u rečniku kompjuterske nauke ovaj termin se odnosi na predstavljanje podataka (informacija) posredstvom brojeva 0 i 1, tako da memorisane informacije mogu da budu pisane, čitane i memorisane korišćenjem mašina, odnosno računara. Prefiks e, na primer (e-accounting 12 ) se odnosi na elektroniku, značenje korišćeno za primenu elektronskih uređaja, na primer, kompjutera. Digitalno računovodstvo ili elektronsko računovodstvo, kao korespodentna analogija, se odnosi na predstavljanje računovodstvenih informacija u digitalnom formatu, koje tako postavljene mogu da budu prihvaćene u elektronskom memorisanju, obradi i prenošenju. Bitno je uočiti da digitalno računovodsto nema standardnu definiciju već se samo odnosi na promene u računovodstvu koje su nastale usled korišćenja kompjutera i mrežne tehnologije. Računovodstvo, koje predstavlja, uslovno rečeno, svojevrsnu umetnost i nauku merenja performansi poslovanja se razvijalo paralelno sa poslovanjem, a posebno sa pojavom najnovijih savremenih informacionih tehnologija. Memorijske kartice, mainframes 13 kompjuteri, baze podataka i savremena skladišta podataka - DW, 12 Izvor wikipedia 13 mainframe Termin koji se originalno odnosi na kabinet koji sadrži centralni procesor ili "mainframe" u posebnoj prostoriji. Posle pojave manjih računara početkom sedamdesetih godina prošlog veka, tradicionalni big iron mašine su opisivane kao "mainframe" kompjuteri ili skraćeno

5 personalni kompjuteri PC 14 i produktivnost softvera, specijalno računovodstvenog softvera i ERP 15 rešenja, lokalne mreže - LAN 16 i raspostranjene mreže - WAN 17 između mnogih drugih stvari su ostavile svoj znak u računovodstvenoj teoriji i praksi. Na primer, mehanizmi unosa podataka 18, memorisanja podataka i mehanizmi obrade, izveštavanje, interne kontrole, revizorske pretrage kao i skup potrebnih veština za računovođe su u kontinuiranom, spiralnom neprekidnom kretanju i poboljšanju u proteklih nekoliko dekada Koren digitalnog računovodstva Prisutan je stav da se računovodstvo, sve do nedavno, u praksi, često povezivalo sa pojmom usporavanje progresa, sa značenjem da računovodstvo daje direktan otpor i da predstavlja ono što se opire razvoju u poslovanju i primeni novih tehnologija. Isto tako, zanimljivo je uočiti da je inicijalno računovodstvo uvek na samoj oštrici sečiva (cutting edge) revolucije informacionih tehnologija. Sami koreni digitalnog računovodstva mogu da budu istraživani počev od ekonomske depresije u Americi koja se dogodila tokom drugog svetskog rata. Poreska regulative je u to vreme postala kompleksna, a drugi svetski rat je uveo različite logističke probleme i probleme upravljanja podacima. Detalji finansijskih transakcija i lokacije dobara nisu pouzdano obrađivane, čak uz prisutnu veliku armiju stručnih referenata. Po svojoj prirodi, ovaj rad mainframe. Termin se odnosi pretežno na računare koji su dizajnirani za batch paketnu obradu a manje za interaktivno korišćenje. Izvor: rečnik Foldoc 14 PC - Personal Computer - personalni računar 15 ERP - Enterprise Resource Planning; Planiraranje resursa preduzeća. Pod ovim se podrazumeva bilo koji softver projektovan da automatizuje poslovne procese srednjih ili velikih preduzeća. U taj proces planiranja može da bude uključena proizvodnja, distribucija, kadrovi, upravljanje projektma, zarade i finansije. ERP sistem je računovodstveno orijentisan informacioni sistem za identifikovanje i planiranje širokih resursa preduzeća koji su potrebni za nabavku, proizvodnju, distribuciju, računovostvo i procesa naručivanja od strane potrošača. ERP sistem je originalno proširenje prethodnog sistema planiranja proizvodnim resursima (eng. Manufacturer Resource Planning - MRP II) pošto u sebe inkorporira široke obime ukupnih potreba. Jedan ERP sistem se takođe razlikuje od tipičnog MPR II sistema u tehničkim zahtevima, takvim kao što su relacione baze podataka, korišćenje objektno orijentisanih programskih jezika i softverskih inženjerskih alata potpomognutim kompjuterskim tehnikama za razvoj softverskih rešenja, klijent / server arhiktekturom i otvorenoj sistemskoj portabilnosti. Izvor: rečnik Foldoc 16 LAN - Local Area Network - lokalna mreža 17 WAN - Wide Area Network 18 data entry - unos podataka 19 Izvor:

6 je bio dosadan, loše plaćen, a zahtevao je visok stepen tačnosti. U tom trenutku su izuzetno dobro došle nove mehaničke mašine za automatsko tabeliranje. Tokom proteklih dekada mašine za tabeliranje su se razvile u nove tehnologije koje proizvode sve novije i sve šire poslovne aplikacije, neslučenih razmera čak i za njihove najvatrenije pobornike. Potpuno identično, kao i digitalno računovodstvo, elektronsko računovodstvo (e-accounting 20 ) nema standardnu definiciju nego se samo odnosi na promene u računovodstvu usled kompjuterizacije i boljeg korišćenja mrežne tehnologije. Istovremeno je elektronsko računovodstvo (e-accounting) opisano kao jedna online 21 aplikacija zasnovana na Internet tehnologiji koja se koristi za poslovnu računovodstvenu funkciju. Na isti način kao elektronska pošta - ( ), koja predstavlja jednu elektronsku verziju tradicionalne pošte, elektronsko računovodtvo (eaccounting) predstavlja samo elektronski omogućeno zakonito vođenje računovodstva i računovodstvenih procesa, koji se mogu softverski pretraživati a koji su do sada bili tradicionalno ručni i zasnovani na papiru, ili klasičnoj automatizaciji poslovanja. Elektronsko računovodstvo (e-accounting) uključuje izvršavanje regularne, odnosno redovne računovodstvene funkcije, računovodstvena istraživanja, računovodstveni trening i edukaciju, kroz različite računovodstvene alate zasnovane na kompjuteru / Internetu, takve kao što su digitalne garniture alata (digital tool kits), korišćenje različitih Internet resursa, međunarodnih materijala zasnovanih na web-u, baze podataka različitih instituta i poslovnih organizacija (kompanija) koje su zasnovane, odnosno pristupačne na Internetu, web veze (web links), računovodstveni softver zasnovan na Internetu i elektronske alate za finansijske tabele 22 da bi se obezbedilo efikasno donošenje poslovnih odluka. Savremeno online računovodstvo kroz aplikacije koje se izvršavaju posredstvom web-a, takozvani cloud computing 23 je tipično zasnovano na 20 Izvor wikipedia 21 online direktan pristup, odnosno konekcija kompjuteru ili kompjuterskoj mreži. 22 electronic financial spreadsheet tools, elektronski alati za proračune finanasijskih tabela 23 Cloud computing - se odnosi na obezbeđivanje računarskih resursa na zahtev korisnika, preko računarske mreže. Pod tim se podrazumevaju razne aplikacije (uključujući i računovodstvene), korišćenje baza podataka, fajl servisa, i slično. U tradicionalnom modelu informacionih tehnologija, na računaru korisnika se nalaze i podaci i softver, u cloud computing, računari korisnika mogu da gotovo ne sadrže softver ili podatke (verovatno samo minimalne elemente operativnog sistema i web pretraživača). Takav računar kod korisnika služi kao nešto više od terminala za procese koji se dešavaju daleko na mreži računara. Zajednička skraćenica za pružene usluge cloud računarstva (ili čak i prikupljanje svih postojećih cloud usluge) je cloud - oblak. Izvor wikipedia.

7 jednostavnoj svakodnevnoj odgovornosti, nultim administrativnim pristupom, da bi se pomoglo poslovnom usredsređivanju, odnosno koncetraciji samo na osnovne aktivnosti računovodstva i da bi se izbegli nevidljivi pripadajući troškovi sa tradicionalnim računovodstvenim softverima, takvim kao što su instalacija, nadopunjavanje, odnosno poboljšanje (upgrade), razmena fajlova podataka, razni prepisi (back up), obnavljanje u slučaju katastrofe (recovery) i drugo. U tradicionalnim sistemima koncept dokumenta, sloga i poslovnih knjiga nas podesćaju na papir, zato što je to medijum koji se bolje uočava od strane ljudskog mozga. Sa druge strane, postoje jasno memorisani sirovi poslovni podaci u elektronskim sistemima. Ako je potrebno, informacione tehnologije prezentiraju tako memorisane podatke u zahtevanom formatu. Podaci uzimaju formu knjige ako neko želi da ih vidi u tom formatu, oni uzimaju formu sloga ako računovođa želi da ih vidi u formatu sloga. Svake godine, institut AICPA 24 vrši istraživanja da bi saznao efekte razvoja informacionih tehnologija u svetskom poslovanju, specijalno u računovodstvenim aplikacijama. Ova istraživanja od strane instituta AICPA su izvršavana počev od 1990 godine, a svake godine istraživanja određuju procenu najvažnijih tehnoloških aplikacija i inovacija za sledeću godinu. Takvim prilazom se od strane instituta AICPA svake godine određuje lista aplikacija koje su dominantne i prioritetne po svom značaju i ta lista se naziva glavnih 10 tehnologija u godini posmatranja. Da bi na adekvatan način ispratili moguće rizike u poslovnom izveštavanju, uključujući važeću paradigmu rada sa informacionim tehnologijama, u Sjedinjenim Američkim Državama je tokom godine formirаn poseban "Komitet sponzorskih orgаnizаcijа" - COSO 25 sаstаvljen od pet nаjvаžnijih orgаnizаcijа koje se bаve problemom računovodstvene profesije i pouzаdаnosti finаnsijskih izveštаjа i to: Američki institut Jаvnih Sertifikovаnih Rаčunovođа - AICPA, Američkа Asocijаcijа Rаčunovođа AAA 26, Institut finаnsijskih izvršnih kadrova - FEI 27, Institut internih revizorа - IIA 28 i Institut Uprаvljаnjа Računovodstvom - IMA 29. Formirаnа COSO orgаnizаcijа je 24 AICPA - American Institute of Certified Public Accountants - Američki institut za ovlašćene javne računovođe 25 COSO - Committee of Sponsoring Organisations - Komitet sponzorskih orgаnizаcijа 26 AAA American Accounting Association - Američkа аsocijаcijа rаčunovođа 27 FEI Financial Executives Institute - Institut finаnsijskih izvršnih kadrova 28 IIA Institute of Internel Auditors Institut internih revizora 29 IMA Institute of Menagement Accountants - Institut uprаvljаnjа računovodstvom

8 nezаvisnа od svojih osnivаčа i imа zаdаtаk dа definiše potrebno unаpređenje internih kontrolа u poslovnim orgаnizаcijаmа. U tom smislu, COSO je izdao poseban priručnik, "Interne kontrole integrisаni okvir" koji je prihvаćen kаo nezvаničаn svetski stаndаrd nа osnovu kojeg je moguće uprаvljаnje i ublаžаvаnje rizikа u poslovnim orgаnizаcijаmа. Kаko informaciona tehnologija postаje pаrаdigmа sаvremenog svetskog poslovаnjа, menаdžment zаdužen zа informacione tehnologije i bezbednost postаje odgovorаn i obavezan da obezbedi dа se nа podesаn nаčin uprаvljа informаcionim resursimа, posebno internim kontrolаmа u okviru Informаcionih Sistemа u poslovnoj orgаnizаciji. Tom prilаzu izuzetno mnogo mogu dа pomognu uprаvo definisаne COSO preporuke. U okviru svog integrisаnog okvirа, COSO je definisаo pet komponenti vezаnih zа interne kontrole i to: (kontrolno okruženje, procenu rizikа, kontrolne аktivnosti, informаcije i komunikаcije i nаdzor monitoring). Svаkа od tih definisаnih komponenti koje pripаdаju COSO okviru su vаžne dа bi se postigli postаvljeni ciljevi pouzdаnosti finаnsijskih izveštаjа. Kаdа su ove komponente prisutne i funkcionаlne u potrebnom obimu u poslovnoj orgаnizаciji, tаdа menаdžment može dа imа rаzumnu sigurnost i uverenje dа su finаnsijski obrаčuni pripremljeni nа pouzdаn nаčin, а sprovedene interne kontrole mogu dа budu ocenjene kаo efikаsne i efektivne. Sаm nаdzor može dа bude urаđen nа dvа nаčinа; kroz аktivnosti u toku samog procesa rada ili kroz odvojeni proces ocene. Sistemi internih kontrolа su obično tаko struktuirаni dа donekle nаgledаju sаmi sebe. Povećаnje stepenа i delotvornosti tekućeg monitoringа dovodi do mаnje potrebe zа posebnim ocenаmа. U prаksi se obično "prаve" kombinаcije tekućeg održаvаnjа i posebnih ocenа koje će osigurаti dа sistem internih kontrolа sаčuvа svoju efikаsnost i objektivnost tokom vremenа. Osnovni cilj je obezbediti podesne i kvalitetne računovodstvene informacije. Podesnа informаcijа je relevаntnа, pouzdаnа i blаgovremenа. Nа slici 1 je prikаzаno kаko tа tri elementа za ocenu podesnosti informаcijа funkcionišu zаjedno. U centru dijаgrаmа gde je informаcijа relevаntnа, pouzdаnа i blаgovremenа, ocenjivаč može dа posveti svoju pаžnju nа to dа li je rаspoloživo dovoljno informаcijа zа rаzumаn zаključаk pri donošenju poslovnih odluka. Informаcije koje ne аdekvаtno prikаzuju ovа tri elementа mogu dа budu podesne do nekog stepenа, аli sаme ne mogu dа podrže rаzumne zаključke gledаjući kontinuitet efikаsnosti interne kontrole. Nа primer;

9 informаcijа može dа bude relevаntnа i pouzdаnа аli još uvek nedovoljno blаgovremenа dа podrži zаključke gledаjući unutаr potrebnog rаzmаtrаnjа, kontrolnu efikаsnosti informacija tokom vremenа. Alternаtivno, informаcijа može dа bude, bitnа i blаgovremenа, аli generisаnа od mаnje pouzdаnog izvorа podataka. Nа krаju, informаcijа može dа bude, blаgovremenа i pouzdаnа аli neаdekvаtno relevаntnа dа bi se pristupilo zаključivаnju vezаno zа efikаsnost i efektivnost potrebnih internih kontrolа. Kаo što pokаzuje slikа 1, u tаkvoj situаciji biće potrebno, dа se zаhtevаju dopunske informаcije dа bi se obezbedio zаhtevаni stepen podesnosti, odnosno pouzdanosti informacija finansijskog izveštavanja poslvne organizacije. Preduzimanjem blagovremenih preventivnih akcija za zaštitu poslovnih informacija i informacionih sistema, poslovne organizacije smanjuju svoju izloženost mogućim opasnostima i smanjuju verovatnoću negativnih ishoda u budućnosti Revizija informacionih tehnologija Revizija informacione tehnologije ili revizija informacionog sistema predstavlja jednu ocenu kvaliteta kontrola unutar infrastrukture informacione tehnologije. Jedna IT revizija je proces prikupljanja i ocene evidencije informacionog sistema poslovne organizacije, prakse i operacija. Ocena dobijenih evidencija određuje da li su informacioni sistemi obezbeđena sredstva, da li je održavan integritet podataka i operativna efikasnost i efektivnost da bi se dostigli ciljevi ili objektivnost poslovne organizacije. Ova razmatranja mogu da budu izvršavana u konjukciji sa revizijom finansijskih obračuna, internom revizijom ili drugim formama angažovanog atestiranja. IT revizija je takođe poznata kao revizija automatske obrade podataka-adp 31 i kao kopjuterska revizija. Formalno se zove revizija elektronske obrade podataka EDP 32. Relevantna Potrebne blagovremene informacije Pouzdana relevantne blagovremene pouzdane Potrebne relevantne informacije Potrebne pouzdane informacije 30 UNSW IT Security Standards & Guidelines, Division of information services, Effective from March ADP - Automated Data Processing 32 EDP - Electronic Data Processing Blagovremena

10 Slika 1 Prikaz elemenata podesnosti informacija 3.1. Svrha IT revizije Jedna IT reviziji ne bi trebalo da bude pobrkana sa revizijom finansijskih obračuna. Iako tu može da bude neke apstraktne sličnosti, primarna svrha finansijske revizije je da oceni da li se poslovna otrganizacija pridržava standardne računovodstvene prakse. Primarna funkcija IT revizije je da oceni sistemsku efikasnost i sigurnosne protokole, osobito da oceni sposobnost poslovne organizacije da zaštiti svoja informatička sredstva i najpodesniju podelu informacija samo na autorizovane strane. Agenda IT revizije može da bude sumirana prema sledećim pitanjima: Da li su kompjuterski sistemi poslovne organizacije, kada je to zahtevano, raspoloživi svo vreme za poslovanje? (Raspoloživost Availability) Da li su informacije u sistemima poslovne organizacije obelodanjene samo autorizovanim korisnicima? (Poverljivost - Confidentiality), Da li su informacije obezbeđene od strane informacionog sistema uvek tačne, pouzdane i blagovremene? (Integritet - Integrity) Fokus IT revizije u determinisanju rizika koji su bitni za informaciona sredstva i proceni kontrola da bi se smanjili ili ublažili ti rizici. Kroz implementiranje kontrola, efekat rizika može da bude minimiziran, ali ne mogu da budu kompletno eliminisani svi rizici Tipovi IT revizije Različiti autoriteti su kreirali različite taksonomije da bi napravili razliku o različitim tipovima IT revizije. Goodman & Lawless formulišu da postoje tri specifično sistematizovana pristupa da bi se izvršila jedna IT revizija i to:

11 Revizija procesa tehnoloških inovacija. Cilj ove revizije je da konstruiše profil rizika za postojeće i nove projekte. Revizija će proceniti dužinu i dubinu iskustva poslovne organizacije u njenim izabranim tehnologijama kao i njeno prisustvo na relevantnim tržištima, svakog projekta poslovne organizacije, Revizija poređenja inovacija: Ova revizija, kao što samo ime implicira, znači izvršavanje jedne analize inovacionih sposobnost poslovne organizacije koje će biti podvrgnute reviziji, u poređenju sa njenim konkurentima. To zahteva ocenu sposobnosti istraživanja i razvoja poslovne organizacije, kao i praćenje opisa dosadašnjeg rada u aktualnoj proizvodnji novih proizvoda. Revizija tehnološke pozicije. Ova revizija razmatra tehnologije koje poseduje tekuće poslovanje i da li ima potrebu da ih dogradi. Tehnologija je okarakterisana u suštini ili kao "osnovna", "ključna", "napredna", ili "novo pojavljena". Drugi opisuju spektar IT revizije sa pet kategorija revizije i to: Sistemi i aplikacije: To je proces jedne revizija koja bi trebala da potvrdi da su sistemi i aplikacije podesno, efikasno i adekvatno kontrolisani da bi osigurali punovažan, pouzdan, blagovremen i bezbedan ulaz, obradu i izlaz na svim nivoima sistemskih aktivnosti u poslovnoj organizaciji. Sredstva obrade informacija: To je proces jedne revizija koja bi trebala da potvrdi da su sredstva obrade kontrolisana da bi osigurala blagovremenu, tačnu i efikasnu obradu aplikacija unutar normalnih i potencijalno poremećenih uslova rada. Razvoj sistema: To je proces jedne revizija koja bi trebala da potvrdi da sistem koji se razvija zadovoljava ciljeve poslovne organizacije i da osigurava da se sistem razvija u saglasnosti sa opšte prihvačenim standardima za razvoj sistema. Upravljanje informacionom tehnologijom i arhiktekturom poslovne organizacije: To je proces jedne revizija koja bi trebala da potvrdi da je IT menadžment razvio jednu organizacionu strukturu i procedure da bi osigurao kontrolu i efikasno okruženje za obradu informacija.

12 Klijent server, telekomunikacije, Intranet 33 i Ekstranet 34 : To je proces jedne revizija koja bi trebala da potvrdi da su uspostavljene potrebne kontrole kod klijenta (kompjter koji prima usluge), kod servera i u mrežnoj konekciji klijenata i servera. Neki istraživači spajaju sve IT revizije kao jedan suštinski tip ili kao samo dva tipa i to: revizija koja bavi "opštim kontrolama" ili revizija "aplikativnih kontrola" Oblasti pokrivanja IT revizije IT revizija pokriva oblast u kojoj obitavaju i deluju IT kontrole, a iste mogu da bude klasifikovane prema nameni pa ih definišemo kao opšte kontrole ili kao aplikativne kontrole. Opšte kontrole, (takođe poznate kao infrastrukturalne kontrole) se primenjuju na sve sistemske komponente, procese i podatke za datu poslovnu organizaciju ili sistemsko okruženje. Opšte kontrole uključuju ali nisu ograničene samo na: bezbednosnu politiku vezano za informacije, administraciju, pristup, autentičnost, prepise (back up) povračaj podataka (recovery) i održavanje poslovnog kontinuiteta. Aplikativne kontrole se odnose na polje individualnih poslovnih procesa ili aplikacionih sistema. To uključuje takve kontrole kao što je editovanje podataka, transakciono prijavljivanje (logging) i izveštaj o greškama. Funkcija kontrole je veoma relevantna, odnosno bitna za procenu projekata i njihove efikasnosti. Kontrole mogu da budu klasifikovane prema tipu kontrole koje mogu da budu preventivne, detektivne ili korektivne, odnosno reaktivne. 33 Intranet koristi istu tehnologiju kao i web - sajt, ali je pristup ograničen samo za interne korisnike. To je mreža koja nije raspoloživa za svet izvana poslovne organizacije. Ako je Intranet mreža konektovana na Internet, Intranet će obitavati iza posebnog zaštitnog zida (vatrenog zida) (eng. firewall) a ako on omogući pristup kroz Internet, onda on postaje Ekstranet. Firewall pomaže kontrolu pristupa između Intraneta i Interneta dozvoljavajući pristup Intranetu samo ljudiima koji su članovi iste poslovne organizacije. 34 Extranet je vrlo sličan sa intranetom izuzev što su korisnici klijenti, kupci ili dobavljači. To je u stvari intranet koji je praktično dostupan samo autorizovanim spoljnim licima (eng. outsider). Aktuelni server (kompjuter koji opslužuje web stranice) će obitaviti iza firewall-a. Firewall pomaže kontroli pristupa između intraneta i interneta, odnosno dozvoljenih pristupa intranetu samo onim spoljnim korisnicima koji su za to, podesno autorizovani. Nivo prava pristupa može biti podešen na različite nivoe, za pojedinačne ili grupne spoljne korisnike.

13 Preventivne kontrole sprečavaju greške, omaške ili događanja bezbedonosnih incidenata. Primeri uključuju antivirus softvere, firewall 35 -ove (vatrene zidove) i prevenciju od upada u informacioni sistem. Detektivne kontrole detektuju greške ili incidente koji su izbegli preventivne kontrole. Na primer, detektivne kontrole mogu da identifikuju brojeve neaktivnih naloga prava pristupa ili brojeve naloga prava pristupa koji su označene za monitoring sumljivih aktivnosti. Korektivne kontrole ispravljaju greške, omaške ili incidente čim su isti detektovani u poslovnoj organizaciji. To varira od jednostavnih korekcija koje su nastale pogrešnim unosom podataka (data-entry errors) do obnavljanja celog informacionog sistema, (eng recovery) zbog incidenata, aktivnosti remećenja ili uništenja. U digitalnom svetu, efikasno upravljanje poslovnim informacijama, informacionim sistemima i komunikacijama je od ključnog, kritičnog značaja za uspeh i opstanak poslovne organizacije. Ova kritičnost nastaje zbog: Dramatično povećane zavisnosti poslovne organizacije od informacija, informacionih sistema i komunikacija koje pružaju informacije; Obima i cene sadašnjih i budućih investicija u poslovne informacije; i Potencijala koji donosi nova informaciona tehnologija koja će dramatično da promeni rad poslovnih organizacija i poslovnu praksu kroz kreiranje novih mogućnosti, uz smanje potencijalnih troškova. Mnoge poslovne organizacije prepoznaju potencijalne koristi koje informaciona tehnologije može da pruži. Međutim, uspešna poslovna organizacija će da razume i da uspostavi upravljanje rizicima koji su direktno povezani sa primenom novih informacionih tehnologija. Izvršni menadžment bi morao da ima poštovanje i razumevanje za osnovne rizika i moguća ograničenja koja su vezana za primenu informacione tehnologije, kako bi se obezbedio efikasan pravac razvoja i adekvatne kontrole. Ovo izlaganje ima za cilj da pomogne računovodstvenim stručnjacima u upravljanju sprovođenja politike i procedura bezbednosti u ukupnom okviru internih 35 firewall uobičajeni akronim za "zaštitni vatreni zid " kojim se mreža i mrežni serveri štite od neautorizovanog ulaza, posebno prisutnih u Internet okruženju. To je protivpožarni zid zapravo elektronska hardverska i softverska zaštita. Pošto u našem jeziku ne postoji termin za ovaj pojam, u daljem tekstu će se koristiti engleski termin. (prema elektronskom rečniku Foldoc)

14 kontrola. Pri tom su neophodne dodatne tehničke smernice za upravljanje rizicima kod primene informacionih tehnologija CAATT alati U okviru poslovnih procesa interne IT revizije, svako razmišljanje o poslovnoj inteligenciji - BI 36, upućuje na razmišljanje o posebnom podatkovnom data warehous-u mulitidimenzionalnim modelima podataka i sofisticiranom načinu za pripremanje ad hock izveštaja. Iako nove softverske tehnike i informatički resursi vrlo dobro služe u praksi, one se nedovoljno dobro obraćaju ukupnom cilju poslovne inteligencije - BI. Poslovna inteligencija bi trebalo da obezbeđuje donosioce, pre svega poslovnih odluka (eng. decision makers), sa tačnim informacijama koje su im potrebne za razumevanje, upravljanje, direktnu organizaciju i na osnovu toga donošenje pravih dokumentovanih poslovnih odluka. Evidentno je da se sa ovakvim prilazom samo približavamo vrhu ledenog brega ove problematike. Poslovna inteligencija ima svoj značaj pre svega za menadžment poslovnih organizacija. Sa stanovišta potreba menadžmenta, u okviru memorisane strukture podataka, jedan od najčešćih oblika memorisanja je tekst. Unutar teksta, moguće je uočiti projektni status informacija, marketing izveštaje, detalje o industrijskoj regulativi, konkurentskim propagandnim kampanjama kao i opise novih tehnologija u patentiranim aplikacijama. U praksi nije jednostavno preuzeti ovaj tip informacija, kao i posebne, izuzetno važne detalje, na čije smo korišćenje navikli u našim tradicionalnim sistemima poslovne inteligencije. Zato je potrebno proširiti cilj poslovne inteligencije na šire područje sa zahtevom da uključi u sebe razradu tekstualnih informacija. Savremena informaciona tehnologija to omogućava što upućuje signal poslovnom menadžmentu da je sada pravo vreme da se blagovremeno ukljući i primeni te savremene procese, iz više suštinskih razloga: 36 BI - Business Intelligence - Poslovna inteligencija. Definicija poslovne ineligencije: Poslovna inteligencija je novi termin koji u sebe inkorporira široke varijante poslovnih procesa i tehnologije za ostvarivanje i analizu specifičnih informacija kako bi se sa njima pomoglo stvaraocima biznisa, pre svega menadžerima da ispituju kvalitet svojih poslovnih odluka. Poslovna inteligencija može da bude "zabeležena" unutar raznih izveštaja i takvih aktivnosti kao što su six-sigma (naučno vizuelno programiranje u okruženju NASA), u okviru raznih statističkih analiza, dataminig-a i finansijskih predviđanja. Izvor: rečnik Foldoc

15 Prvo, na svetskom tržištu su sada na raspolaganju mnogi softverski alati za analizu teksta i izdvajanju ključnih informacija sa kojim je moguće formirati prečišćena warehouse dokumenata, u koji se memorišu korisne selektovane "inteligentne" poslovne informacije. Stalan i stabilan napredak u kompjuterizaciji lingvistike od 1960 godine (pre svega u engleskom govornom području) omogućava da imamo ostavljen širok skup alata za izdvajanje ključnih tekstualnih delova, kategorizaciju dokumenata, indeksiranje prema tipu, omogućavajući u isto vreme dobro pretraživanje kroz ključne reči, automatsko sumiranje teksta i grupisanje sličnih dokumenata. Ovi alati su ključ za uspešnu integraciju teksta u infrastrukturu poslovne inteligencije. Drugo, Internet i www 37 su obezbedili i stalno proširuju ogromnu količinu poslovnih informacija, čineći ih lako pristupačnim. Sa novim, savremenim, "pravim" softverskim alatima menadžment može da pronađe ključne potrebne informacije oko finansijskih, marketinških i tehnoloških planova konkurencije. U sklopu takvih novih tehnologija i tehnoloških rešenja, proces interne IT revizije mora da nađe i nalazi svoje mesto. U praksi postoje mnogi različiti izvori memorisanih podataka koji su bitni za revizorske informacije i revizorsku pretragu. Do tih informacija interni IT revizori dolaze korišćenjem namenskih softvera. Mnogi softverski paketi koji su danas korišćeni od strane revizora obezbeđuju višestruku funkcionalnost u različitim oblastima revizorskog delovanja. Pri tom treba istaći da neki od softvera koji su prisutni na tržištu, nisu projektovani direktno za potrebe revizora, ali su po svojoj prirodi takvi, da su pogodni za korišćenje i od strane revizora, upravo zato što obezbeđuju analizu rizika, analizu i kontrolu upravljanja, ili kontrolu monitoringa koji je potreban u revizorskom radu. To je osnovni razlog zašto ti alati mogu da budu vrlo korisni za revizora 38. Druga bitna karakteristika savremenog digitalnog poslovanje zahteva razmatranje i ocenjivanje novog pojavnog oblika rada, takozvane cloud računarske paradigme koja predstavlja novi pojavni okvir na tržištu računovodstvenih usluga. Za bezbedan rad usluga cloud computing bi morala da se pobrine IT revizija Novi pristup je da se 37 www - World-Wide Web - web je deo nečeg specifičnog, deo {web site}, reč nastala izvor rečnik Foldoc 38 Dr Branko O. Krsmanović, Dr, Informacione tehnologije u računovodstvu i reviziji, Banja Luka, Bjeljina, 2008

16 uspostavi opšti okvir koristeći kontrolne liste koje slede tok podataka i životnog ciklusa poslovnih procesa. Kontrolne liste su napravljene na osnovu cloud raspoređivanje i modela usluga posredstvom novih cloud mogućnosti Definicija CAATT Mnoge revizorske organizacije su gledali na mikrokompjuter kao na novi alat revizije, alat koji može da bude korišćen ne samo od strane revizora informacionog sistema več od strane svih revizora. Ovo izlaganje u kratko daje kratak pregled koristi CAATT alata i ističe metodologije za razvoj i korišćenje CAATT alata u organizaciji revizije. Danas revizori moraju da postanu mnogo više trenirani sa novim veštinama i oblastima ekspertiza da bi bili mnogo korisniji i produktivniji. Sa migracijom na nove tehnologije, od revizora će da bude zahtevano da koriste asistenciju kompjuterskih tehnika da bi vršili reviziju elektronskih transakcija i aplikativnih kontrola. Zakoni slični US Sarbones Oxley ACT-u iz 2002 godine su pritisnuli mnoga revizorska odeljenja da pronađu nove puteve da povežu specifične alate u kompleksan poslovni sistem (Baker 2005). Kroz uprezanje snage kompjutera, revizori mogu da pboljšaju svoju sposobnost da kritično raznatraju podatke i informacije i da upravljaju svojim vlastitim aktivnostima mnogo racionalnije i brže. Danas, usled prisutnog kritičnog nedostataka ovih veština i talenta na tržištu radne snage revizori postaju mnogo vredniji i tržišno interesantniji. U današnje vreme automatizacije informacija i decentralizacije donošenja odluka, revizori imaju mali izbor mogućnosti da li ili ne da prihvate korišćenje kompjuterski zasnovanih alata i tehnika. To je više pitanje da li će i koliko korišćenje CAATT alata da bude značajno efikasno i da li će implementacija da bude upravljana i racionalno kontrolisana ili će ostati samo slučajna. Mnoge organizacije imaju pokušaj da implementiraju CAATT alate ali su doživele neuspeh. Kroz razumevanje podesnog korišćenja i snage kompjuterski zasnovanih revizorskih alata i tehnika, revizori mogu da izvršavaju svoje funkcije mnogo efikasnije. To razumevanje počinje sa poznavanjem CAATT alata, uključujući njihov početak, aktuelnost, potencijalno korišćenje, ograničenja i zamke.

17 Evolucija CAATT alata Danas mikro kompjuterski zasnovani revizorski alati i tehnike imaju svoj koren u CAATT alatima zasnovanim još na mainframe kompjuterima, koji su po pravilu, što je izneneđujuće, suštinski zasnovani na revizorskim ručnim alatima i tehnikama. Ti mainframe alati su primarno korišćeni da provere da li ili ne, kontrole za jednu aplikaciju ili kompjuterski sistem rade kako je očekivano. Tokom 70 godina prošlog veka razvio se drugi tip CAATT alata, koji gleda da poboljša funkcionalnost i efikasnost pojedinačnih revizora. Ovi CAATT alati obezbeđuju revizore sa sposobnošću da ekstrahuju i analiziraju podatke da bi obavili reviziju organizacionih entiteta, radije nego da razmatranju kontrole samo jedne aplikacije. Treći tip CAATT alata je najskorijeg datuma i korišćen je u automatizovanim alatima revizije i on se direktno fokusira na funkciju revizije i sastoji se od alata i tehnika koje ciljaju na poboljšanju efikasnosti organizacije revizije kao celine. Knjige pisane o kompjuterskim kontrolama i reviziji tokom 70 godina prošlog veka ne uključuju sekcije kompjuterizacije krajnjeg korisnika ili, u najboljem slučaju, pominju revizorski softver samo u prolazu. Činjenica je da je tada najveći deo revizora izbegavao rad sa kompjuterom i tretiraju ih kao neprozirnu crnu kutiju. Tadašnje metodlogije revizije razmatraju ulazno izlazne kontrole, ali široko ignorišu kontrole obrade posredstvom informacionog sistema. Primenjena metodologija je takozvana revizija oko kompjutera. Glavni revizorski alati uključuju upitnike, kontrolne dijagrame (flowchart) i matrice aplikativnih kontrola. Softver revizije je specijalno pisan u programskom jezikom opšte namene koji se koristi primarno da verifikuje kontrole a paralelna simulacija je samo počela da dobijaja povod. Revizorski softverski paketi su razmatrani kao specijalizovani programski jezici da zadovolje potrebe revizora i zahteve velikog posla programskih ekspertiza. Paketi su zavisni od familije mainfram računara i zbog toga su bili ograničeni, nisu bili fleksibilni u prilazu podacima i kompletno su batch orijentisani.

18 Od 1980 godine, jedan od najopštije korišćenih alata za verifikaciju, odnosno proveru jednog aplikativnog sistema je takozvani test deck, integrisani test mogućnosti - ITF 39 i razmatranje revizije kontrola fajl sistema - SCARF 40, razmatranje revizije fajli uzoraka SARF 41 (Mair, Wood, and Davis 1978). Druge tehnike uključuju paralelne simulacija, najrazumniji test i izveštaj izuzetaka i sistematiku transakcija uzoraka. Neke organizacije su postigle vrlo efektivne rezultate sa ovim tipovima alata revizije u tokom 90 godina prošlog veka. Činjenica je, u skladu sa izveštajem, Instituta Internih Revizora IIA 42 iz 1991 godine, sistemske provere i kontrola - SAC 43, 22 % anketiranih revizora je odgovorilo da još koriste test deck, 11 % su još koristili ITF a 11 procenata su još koristili ugrađene module revizije (Fondacija za istraživanje Instituta Internih revizora). Tabela 1 Revizorski alati i tehnike (revizija kompjuterskog sistema) Programiranje jezika aplikacija 3 generacija programiranja jezika aplikacije 4 generacija programiranja jezika aplikacije WEB omogućen softver (XBRL 44 ) Prva generacija revizorskog Druga generacija revizorskog Treća generacija softvera Kontinuirana revizija softvera softvera (interaktivni i batc) revizije (PC zasnovan interaktivnii batch) Primer paralelne simulacije Eksenzivne paralelne Obuhvatna analiza podataka i Digitalna analiza simulacije testiranjr Test deck, Integrisani test Test deck /ITF Revizorski softver Revizorski siguran softver mogućnosti ITF Testiranje ulaza - izlaza SCARF/SARF(opis u tekstu) Razmatranje, pregled Automatizacija ICR Automatizacija ICR Kontrola samo procene internih kontrola ICR 45 Upitnici Upitnici Upitnici (kontrola, dijagrami Program dijagrama Tok procesa (isticanje Vizulizacija softvera - floechars) Prvi kommpjuterski zasnovan monetorni sistem Jedinica uzorkovanja (floecharting) Više razvijen dolar Jedinica uzorkovanja revizije podataka) Različito uzorkovanje Opcije uključuju uslojavljanje Manje isticanje u uzorkovanju Kontrolne matrice Poboljšanje kontrola Ekspertni sistemi Neuronske mreže i matrice veštačka inteligencija Razvoj softvera revizije Prvi softverski paket revizije, Auditape System, koji je implementiran od strane Stringer plana testiranja revizije (Tucker 1994), već obezbeđuje ograničene sposobnosti za 39 ITF Integratred Test Facilities 40 SCARF System Control Audit Review File 41 SARF Sample Audit Review File 42 IIA Institute of Internal Auditor 43 SAC Systems Auditability and Control 44 XBRL - extensible Business Reporting Language 45 ICR - Internal Controls Review

19 paralelne simulacije. Sistem omogućava ograničeno ponovno izračunjavanje rezultata obrađenih podataka zasnovanih samo na nekoliko polja podataka. U odgovoru na Auditape System, mnoge računovodstvene, revizorske i softverske firme su razvile revizorske softverske pakete koji podržavaju paralelnu simulacije unutar familija kompjuterskih rešenja, nasuprot ograničenja fajli i tipova podataka. Razmnožavanje softvera za reviziju i razbijanje varijanti podataka i tipova podataka koja će da budu podvrgnuti reviziji vodi u projektovanje uopštenog, odnosno generalizovanog revizorskog komandnog jezika - CPL 46, ACL 47, implementacije nekoliko prototipova i ponovljenih poziva za zajedničko implementaciju napora od strane svih zainteresovanih. U kasnim 80 godinama prošlog veka i ranim 90 godinama prisutan je dolazak i razmnožavanje kompjuterizacije krajnjeg korisnika pa pojava mikrokompjutera postaje glavna vodeća snaga u kompjuterizovanom svetu. Ovi faktori kreiraju uslove unutar kojih revizorski softver istražuje rezultate koji mogu da budu transformisani u revizorsku praksu (Will1980). Sada postaje lakše i ekonomičnije korišćenje mikrokompjutera za procenu kontrola nad ulaznim podacima, nad obradom aktuelnih podataka i nad proverom informacija generisanih kao izlaz. Činjenica je, praktično svi elektronski podaci su sada postali pristupačni revizorima bilo gde, u bilo koje vreme. Kompjuterska pomoć tehnici revizije CAATT donosi korišćenje kompjuterskih aplikacija kao što su ACL, IDEA 48, VIRSA 49, SAS 50, SQL 51, Excel 52, Crystal Reports 53, 46 CPL Common Program Language 47 ACL Audit Command Language revizorski komandni jezik izvor wikipedia 48 IDEA - Interactive Data Extraction and Analysis, vrsta revizorskog softvera 49 VIRSA Systems sistem koji pomaže upravljanju rizikom. Virsa je poslovna organizacija iz Kalifornije koja je kupljena od strane SAP-a. Pre kupvine SAP, PwC, Virsa su formiralle saradnju, pod nazivom Triad Alliance koja obezbeđuje potrebnu sigurnost. 50 SAS - Statistical Analysis System 51 SQL Structured Query Language Struktuirani jezik za upite. Ili database bilo koji sistem za upravljanje bazom podataka DBMS (Database Management System) koji može da odgovori na upite klijenata koji su formatirani u SQL jeziku. Dva popularna primera ovog načina rada su Microsoft SQL Server i Sybase SQL Server. 52 Excel program za izradu tabela (spreadsheet) poslovne organizacije Microsoft, deo softverskog rešenja kamcelarijskog poslovamka Microsoft Office, alat koji se izvodi na Microsoft Windows operativnom sistemu. Excel je verovatno najšire korišćen spreadsheet program na svetu, izvor rečnik foldoc. 53 Crystal Reports - Crystal Reports je poslovna inteligencija (business intelligence), odnosno aplikacija korišćena da dizajnira, projektuje i generiše izveštaje iz širokog ranga izvora podataka. Ovaj

20 Business Objects 54, Access 55 i Word 56. Pomoću ovih aplikacija se automatizuju i olakšavaju revizorski procesi. Korišćenje CAATT alata pomaže internim revizorima da osiguraju da je podesno pokriveno razmatranje aplikativnih kontrola, posebno kada postoji hiljade ili možda milioni transakcija koje se dešavaju za vremene perioda testiranja. U toj situaciji bi bilo nemoguće da se dobiju odgovarajuće informacije u formatu koji bi mogao da bude razmatran bez korišćenja automatizovanih alata. Zato primenjeni CAATT alati obezbeđuju sposobnost analize širokog volumena podataka. Dobro projektovana podrška internoj reviziji, od strane CAATT testiranja, će izvršavati kompletno razmatranje svih transakcija, uočavajući moguće abnormalnosti, takve kao što su dupliciranje pojedinih transakcija, ili kontrola prema unapred određenim kontrolnim parametrima pomoću kojih se utvrđuje pojava konfliktnih situacija. U eri globalizacije svetskog poslovanja, kada se gube prostorni i vremenski okviri, kada se događaji više ne mere danima i satima nego sekundama, revizija kao poslovni proces u poslovnim organizacijama dobija sve više na značaju i to u oba poslovna ambijenta; u internom i u eksternom poslovnom okruženju. Uočava se da čovek od pamtiveka izgrađuje svoj informacioni sistem i na njegovoj osnovi upravlja svojim odlukama. Tokom svog istorijskog razvoja, naporedo sa kumuliranjem drugih opštih, naučnih i tehničkih znanja, čovek je naporedo sa tim razvijao tehnologiju kojom je hteo da poboljša načine sa kojim je usavršavao i kvalitetnije formirao svoja dopunska saznanja, kako bi kvalitetnim informacijama obogatio vlastiti informacioni sistem. U sklopu te; sve brže spirale napretka, kumuliranjem opštih znanja i naučnih dostignuća završio se prethodni milenijum, u kojem je poslednja dekada obeležila izuzetano dinamičan, može se slobodno reči "furiozni" razvoj savremenih ERP 57 informacionih softverski proizvod je originalno kreiran od strane poslovne organizacije - Crystal Services Inc. Izvor wikipedia 54 Business Objects - Business Objects (a.k.a. BO, BOBJ) predstavlja softversku poslovnu organizaciju iz Francuske, odnosno poslovnu organizaciju koja je specijalizovana za poslovnu inteligenciju (business intelligence) (BI). Počev od godine poslovna organizacija je deo poslovne organizacije SAP. Glavni (admiralski) proizvod poslovne organizacije je BusinessObjects XI sa komponentama koje obezbeđuju upravljanje performansama, planiranje, izveštavanje, upite i analize i upravljanje informacijama poslovnih organizacija. Izvor wikipedia. 55 Access sistem za upravljanje relacionim bazama podataka poslovne organizacije Microsoft, 56 Word program za obradu teksta, poslovne organizacije Microsoft, deo softverskog rešenja kamcelarijskog poslovamja Microsoft Office, 57 ERP - Enterprise Resource Planning; Planiraranje resursa preduzeća. Pod ovim se podrazumeva bilo koji softver projektovan da automatizuje poslovne procese srednjih ili velikih preduzeća. U taj proces planiranja može da bude uključena proizvodnja, distribucija, kadrovi, upravljanje projektma, zarade i

21 tehnologija. Na osnovu iznetog, možemo prihvatiti opštu konstataciju da je prethodna dekada razvoja obeležena kao period intenzivnog razvoja savremenih integrisanih informacionih sistema, koji su poslovnom menadžmentu omugućili kvalifikovano upravljanje poslovnim procesima, u realnom vremenu, sa informacijama "upravo na vreme" (eng. "just in time") 58. Bez takvih "pravih" informacija savremeni menadžment praktično više ne može da radi, da odlučuje, da bude aktivni učesnik na finansijskim i robnim tržištima. Bez kvalitetne i kvalifikovane informacije u poslovnom svetu se više ništa ne dešava. Dinamika razmene poslovnih transakcija putem elektronskih poruka, koje u sebi, skoro uvek, nose i sve potrebne prateće poslovne informacije, je savremena realnost. U sklopu toga, korisno je razmotriti rad internih revizora u kompaniji sa posebnim osvrtom na rad internih revizora, posebnoi imajući u vidu da je rad internih revizora predviđen našim zakonom o računovodstvu i reviziji. 59 Obim i cilj aktivnosti poslovnih organizacija je u svojoj kompleksnosti narastao do te mere, da menadžeri, prilikom donošenja poslovnih odluka, moraju da se oslanjaju na mnogobroje izveštaje i analize. To je svrsishodno samo ako su analize poslovnih podataka sprovedene uz adekvatne i efektivne interne kontrole. To je istovremeno uslovilo da su problemi suštine revizije internih kontrola direktno vezani za aktivnosti informacionih tehnologija, kako sa poslovnog tako i sa operativnog stanovišta. Značaj tehnologije analize poslovnih podataka je samim tim u direktnoj korelaciji sa uticajem informacionih tehnologija na internu reviziju i tehnologiju rada interne revizije u upravljanju mogućim rizicima poslovnog subjekta. Analize podataka na tradicionalan način, zahtevaju jako mnogo vremena, da bi upotrebna vrednost same analize bila relevantna za donošenje poslovnih odluka. Primenom savremenih digitalnih tehnoloških mogućnosti, sada je rezultat analiza finansije. ERP sistem je računovodstveno orijentisan informaconi sistem za identifikovanje i planiranje širokih resursa preduzeća koji su potrebni za nabavku, proizvodnju, distribuciju, računovostvo i procesa naručivanja os strane potrošača. ERP sistem je originalno proširenje Planiranja proizvodnim resursima (eng. Manufacturer Resource Planning - MRP II) sistema pošto u sebe inkorporira široke obime ukupnih potreba. Jedan ERP sistem se takođe razlikuje od tipičnog MPR II sistema u tehničkim zahtevima, takvim kao što su relacione baze podataka, korišćenje objektno orijentisanih programskih jezika i softverskih inženjerskih alata podpomognitim kompjuterskim tehnikama za razvoj softverskih rešenja, klijent / server arhiktekturom i otvorenoj sistemskoj portabilnosti. Izvor foldoc. 58 Dr Stanislav Polić, IT menadžment, Genex Group, interno izdanje Beograd Zakon o računovodstvu i reviziji , član 4

22 moguće dobiti u deliću realnog vremena (real time). U takva, nova, savremena tehnološka rešenja spade i primena Altmanovog Z score testa. Z - skor formula se koristi u računovodstvenoj praksi za predviđanje mogućeg stečaja poslovnih organizacija. Prvi rad na ovu temu je objavljena tokom 1968 godine od strane Edvard I. Altmana, koji je, u to vreme bio profesor finansija na Univerzitetu u Njujorku. Njegova formula može da se koristi za predviđanje verovatnoće da će neka poslovna organizacija otići u stečaj u roku od dve godine. Formula Z - score se koriste za predviđanje korporativnih podrazumevanih vrednosti i jednostavna je za izračunavanje kontrolne mere za potencijalne nevolje (distress) finansijskih statusa poslovnih organizacija u akademskim studijama. Formula Z - skore koristi podatke iz višestrukih tipova poslovnih prihoda iz bilansa uspeha i vrednosti podataka bilansa stanja za merenje finansijskog zdravlja poslovne organizacije Pojam virtuelizacije u informatici U najširem smislu, virtuelizacija je koncept kojim se označavaju tehnike i metodi za apstrakciju računarskih resursa. Virtuelizacija se definiše kao metodologija razdvajanja resursa računara u više zasebnih radnih okruženja, primenom tehnologija kao što su hardversko ili softversko particionisanje, timesharing 61, delimična ili potpuna mašinska simulacija, emulacija i mnoge druge. Mada je definisan kao takav, pojam virtuelizacije nije ograničen samo na particionisanje, razdvajanje nečega na više manjih celina. Virtuelizacija obuhvata i proces apstrakcije koji je logčki suprotan: spajanje više fizički razdvojenih celina u 60 Izvor wikipedia 61 time sharing time sharing - U računarstvu, pojam time sharing predstavlja deljenje jednog računarskog resursa među mnogim korisnicima putem multiprogramming [računarski multiprogramming je raspodela kompjuterskog sistema i njegovih resursa istovremeno za više od jedne aplikacije, posla ili korisniku ("program" u ovoj nomenklaturi)] i multitaskinga [u računarstvu, multitasking je metod gde su višestruki zadaci, takođe poznati kao procesi, izvode tokom istog vremenskog perioda]. Uvođenje time sharing je prvo nastalo tokom 1960 godine, a kao masovna pojava i kao istaknuti model računarstva tokom 1970 godine. Pojava time sharing, predstavlja veliku tehnološku promenu u istoriji računarstva. Izvor wikipedia

23 jednu. Na primer, kada se nekoliko hard diskova predstavlja kao jedna logička celina, ili kada je nekoliko računara umreženo da bi se koristili kao jedan veliki računar 62. Virtuelizacija je danas već dokazana softverska praksa koja ima veliki uticaj na IT infrastrukturu i na način na koji se računari upotrebljavaju. Današnji moćni računarski sistemi koji su zasnovani na x86 arhitekturi projektovani su za izvršavanje jednog operativnog sistema i malog broja aplikacija na njemu. Ovo dovodi do veoma slabog iskorišcenja većine računara. Virtuelizacija omogućava pokretanje većeg broja virtuelnih mašina na je jednoj fizičkoj mašini, tako da one dele raspoložive resurse na nekoliko razdvojenih okruženja. Virtuelne mašine mogu istovremeno pokrenuti različite operativne sisteme i različite aplikacije na istom fizičkom računaru. Izrazom Virtualna mašina (VM 63 ) označava se softverska implementacija računara, koja izvršava programe ni isti način kao i prava mašina. U ovom izlaganju biće opisane neke osnovne tehnike i metode virtuelizacije, kao i najčešće praktične primene. U novoj digitalnoj ekonomiji, koja postaje uobičajeni način rada savremenog poslovanja, s obzirom na povezanost mobilnog telefona i web-a, fizički proizvodi i razne usluge su direktno, u svako doba, sa bilo kog mesta, dostupne potrošačima ili korisnicima. Proizvodi ili usluge su odmah spremni da se stave na raspolaganje. U takvim poslovnim okolnostima, digitalna ekonomija bazira na mnogim standardima, od kojih su većina od njih otvoreni (open) i slobodni za korišćenje, kao što su TCP/IP za Internet, zatim EDI i EDIFACT koji je migrirao na standard ebxml. Kod obeležavanja i indentifikacije artikala prisutni su EAN 64 i EANCOM 65 standardi koji su migrirali pod 62 Grid computing, Parallel Virtual Machine 63 VM - Virtual Machine, Virtualna mašina predstavlja emuliranu računarsku sredina koja radi unutar operativnog sistema i koja se ponaša kao operativni sistem i može da izvršava računarske programe koji su kompajlirani, odnosno prevedeni za tu virtualnu sredinu. Moderne virtualne mašine se realizuje bilo softverskom emulacijom hardvera ili procesom virtuelizacija.. U većini slučajeva, to se sprovodi zajedno. Izvor wikipedia 64 EAN - European Article Number, evropski broj artikala; EAN - 13 bar kod (prvobitno, originalno nazvan Evropski Broj Artikla, ali sada preimenovana u Međunarodni Broj Artikla (International Article Number) iako je zadržao dosadašnju skraćenicu EAN) predstavlja cifru od 13 karaktera (12 i 1 kontrolni broj za potvrdu) barcoding standard koji je nadskup originalne 12-to cifrene Universalna Šifra Proizvoda (Universal Product Code - UPC) sistema razvijenog u Sjedinjenim Državama. Standard EAN - 13 barcode je definisan po standardima međunarodne organizacije Global Standards One - GS1. Barcoding standard je (Korištenje barkod simbola za identifikovanje stavki, odnosno artikala. Bar kodiranje (šifriranje) je najčešći oblik za automatsku identifikaciju koji se koristi u tehnologijama za automatsko sakupljanje podataka. Bar kodovi prate gotovo sve: od robe u maloprodaji, podatke u medicinskoj dokumentaciji)

24 nazivom GS1 66. U okviru digitalne ekonomije, po pitanju bezbednosti, prisutni su i zaštite na bazi standardizovanih kripto sistema, hach funkcija 67, standardi javnog i tajnog ključa kod digitalnog potpisa i drugi. Sigurno da u okviru kratkog izlaganja ne mogu da budu obuhvaćeni svi potrebni detalji, ali izlaganje nudu određene osnovne pravce za dalja istraživanja i proučavanja iz ove oblasti. U globalnom informacionom društvu, gde informacije putuju kroz cyberspace 68 na rutinski način, široko je prihvaćen značaj informacija kao poslovnog resursa. Pored toga, informacije, informacioni sistemi i komunikacije koje dostavljaju informacije su zaista prisutni alati u poslovnim organizacijama, kod korisnika različitih platformi, od lokalnih do širokih WAN mreža 69, preko servera do mainframe računara. Poslovne organizacije zavise od blagovremenih, tačnih, potpunih, važnih, doslednih, relevantnih i pouzdanih podataka. Shodno tome, izvršni menadžment poslovne organizacije ima punu odgovornost da osigura da poslovna organizacija obezbeđuje sve svoje korisnike sa bezbednim okruženjem informacionog sistema. U poslovnoj praksi postoji mnogo direktnih i indirektnih koristi od upotrebe informacionih sistema. Istovremeno su tu prisutni mnogi direktni i indirektni rizici u 65 EANCOM EAN + Communication, identifikacija artikala po EAN standardu namenjena EDI transferu podataka. 66 GS1 Global Standards One; opšti standardi, predstavlja fondaciju koja je osnovana 1977 godine. GS1 je međunarodna neprofitna asocijacija posvećena razvoju i implementaciji globalnih standarda i rešenja da se poboljša efikasnost i vidljivost u lancima snabdevanja i tražnje na globalnom nivou i na više sektora. Sistem GS1 standarda je najkorišćeniji sistem standarda na svetu u lancu snabdevanja (supplychain). GS1, je nekad bio poznat pod nazivom "EAN International, a novi naziv 'GS1' je usvojen tokom 2005 godine. Izvor wikipedia 67 U kriptografiji, kriptografska hash funkcija je transformacija koja uzima jedan ulaz i vraća string - niz fiksne veličine, koji je nazvan hash vrednost. Hash funkcija koja poseduje tu osobinom se koristi za različite računarske svrhe; uključujući i kriptografiju. Hash vrednost je koncizni prikaz dugačke poruke ili dokumenta u kome je ona izračunata. Rezime poruke (eng. message digest) predstavlja vrstu "digitalnog otiska prsta" dugačkih dokumenata. Kriptografska hash funkcija se koristi da se uradi provera integriteta poruke i digitalnog potpisa u različitim aplikacijama informacione bezbednosti, takvim kao što su kontrole autentičnosti i integriteta elektronskih poruka. Izvor wikipedia 68 cyber - computers and information systems, cyber je prefiks koji potiče od pojma cybermetics (kibernetski) i slobodnije znač direktno korišćenje kompjutera. Cyberspace kibernetski svet, izraz predstavlja metaforičku apstrakciju koja se koristi u filozofiji i kompjuterizaciji. Kibernetski svet predstavlja virtualnu realnost koja obuhvata sve što se dešava unutar i van kompjutera, a vezano je za kompjutersku tehnologiju. Izvor: wikipedia 69 WAN - wide area networks - mreža na velikom području. Pošto su lokalne mreže (Local Area Network - LAN mreža) povezuju računare koji su na relativno malom rastojanju, problem povezivanja korporacijskih filijala koje se nalaze na raznim geografskim lokacijama rešava se pomoću WAN mrežama. WAN mrežr prestavljaju skup više povezanih LAN mreža, koje se nalaze na različitim geografskim lokacijama. Izvor wikipedia.

25 vezi sa korišćenjem informacionih sistema. Prisutni rizici su doveli do pojave određenog jaza između potrebe da se zaštite informacioni sistemi i stepena primenjene zaštite. Sam uočeni jaz je izazvan usled više različitih razloga kao što su: Opšta upotreba savremene tehnologije; Međusobna povezanost informacionih sistema; Eliminacija pitanja udaljenosti, vremena i prostora kao posebnog ograničenja; Neujednačenost tehnoloških promena; Decentralizacija upravljanja i decentralizacija internih kontrola; Uočena atraktivnost sprovođenje elektronskih nekonvencionalnih napada u odnosu na konvencionalne fizičke napade na poslovnu organizacija i Spoljni faktori kao što su zakonodavni, pravni, kao i regulatorni zahtevi ili pojava novog tehnološkog razvoja. Neuspeh u sprovođenju politike bezbednosti poslovne organiizacije može da dovede do gubitaka u obe oblasti, do primarnih finansijskih gubitke i/ili do nematerijalnih gubitaka, kao što je neovlašćeno otkrivanje konkurentnih ili osetljivih poslovnih informacija. Pretnje informacionim sistemima poslovne organiizacije mogu da nastanu od namernog ili nenamernog delovanja i mogu da dolaze iz unutrašnjih - insajderskih ili spoljnih izvora. Pretnje mogu da, između ostalog, proizilaze iz, tehničkih uslova (greški u programima (eng bugs), zbog oštećenja diskova (eng crashes)), prirodnih katastrofa (požara, poplava), nepovoljnih uslova okruženja (udari električne struje), ljudskih faktora (nedostatka obuke, pojedinačnih grešaka i propusta), neovlašćenih pristupa (hacking), ili programskih virusa. Pored ovih, postoje i druge pretnje, kao što su poslovne zavisnosti (oslanjanje na usluge treće strane u komunikacionom transportu, drugim poslovima poverenim trećim licima (outsourced 70 ) i slično) koji potencijalno mogu da rezultiraju određenim gubitkom kontrole upravljanja i nadzora. Svi ovi rizici su u stalnom porastu i dobijaju na značaju. Adekvatne mere za bezbednost poslovnih informacija pomažu da se obezbedi nesmetano funkcionisanje informacionog sistema poslovne organizacije i zaštiti poslovne organizacija od mogućih gubitka ili neprilika izazvanih neuspšešnom politikom bezbednosti. 70 outsource Poslovna aktivnost kada se plaća drugoj poslovnoj organizaciji da obezbedi ulogu koju poslovna organizacija može inače imati u svom posedu zapošljavajući svoje sopstveno osoblje da bi to izvela (na primer razvoj softvera).

26 Bezbednosna politika vezana za informacione tehnologije je jedna stvar, realnost je nešto sasvim drugo. U praksi se jednostavno dešava da menadžment poslovne organizacije ne dobija uvek prave bezbednosne informacije! Istovremeno je potrebno obezbediti pravac upravljanja i podršku bezbednosti informacija u skladu sa poslovnim zahtevima i relevantnim zakonima i standardima. Upravljanje bi trebalo da odredi jasan pravac politika bezbednosti u skladu sa poslovnim ciljevima i da pokaže i pruži podršku i posvećenost informacionoj bezbednosti kroz pitanje i održavanje politike zaštite informacija u celoj poslovnoj organizaciji. To između ostalog obuhvata: Tajnost; Pristup podacima bi trebalo da bude ograničen samo na one koji imaju određene nadležnosti da vide te podatke, Integritet; Zahtev da sva sistemska sredstva rade pravilno, prema specifikaciji i na način na koji trenutni korisnik veruje da će da bude u pogonu, Dostupnost; Proces da se informacija, kada je to potrebno, dostavljaju samo pravoj osobi. U poslednjih nekoliko godina, profesionalna revizorska udruženja su razvila nove revizorske standarde (audit standards) i izjave. Ova mesta, odnosno udruženja vrše sve veći pritisak na interne revizora da spreče i otkriju moguću prevaru. To odvraćanje i otkrivanje prevare, gubitaka i zlostavljanja nije novo u procesu interne revizije, ali zahteva mnogo veću količinu vremena i energije internih revizora. Danas ispitivači i istražitelji prevara takođe pronalaze veću potražnju za svojim uslugama, kao i poslovne organizacije koje se suočavaju sa vrlo teškim ekonomskim vremenima i loše je ako mogu sebi priuštiti da imaju izgubljen ili ukraden profit. Da bi se stvari dalje komplikovale, od internih revizora i istraživača prevare se sada traži da spreče i otkriju, odnosno detektuju prevaru koja je nastala i u elektronskom okruženju gde papirne pretrage i ručni fajlovi ne mogu da postoje. Tradicionalne tehnike nisu više adekvatne za takav zadatak. Jedna od glavnih uloga interne revizije je da se obezbedi upravljanje sa visokim stepenom sigurnosti, pre svega da su unutrašnje kontrole na mestu i da rade kako treba, odnosnoi kako je očekivano. Interni revizori su to odavno postigli kroz primenu "dužne profesionalne pažnje" tokom procesa interne revizije. U ostvarivanju takvog računa,

27 interni revizori bi trebalo da budu uvek na oprezu za mogućnost kriminalnih aktivnosti, malverzacija, sukoba interesa, neefikasnosti i drugih zloupotreba. Revizorski standardi zahtevaju od revizora da imaju dovoljno znanja o prevarama i da bude u stanju da identifikuje moguće indikatore prevare. Ako su detektovane, odnosno otkrivene kontrolne slabosti, trebalo bi da se obave dodatni testovi, uključujući testove za identifikaciju indikatora prevara. Uprkos sve većem angažovanju internih i eksternih revizora u reviziji poslovanja i finansijskog zdravlja neke poslovne organizacije, autsajderi (policija, bivši zaposleni, itd) su i dalje glavni izvor potrebnih informacija vezanih za otkrivanje prevare. Sve ovo dovodi do krajnje uznemirujućih pitanja: S obzirom na ogromnu cenu i često relativno jednostavne šeme korišćene za izvršenje prevare, zašto su interni revizori i istraživači prevare sve više neuspešni u sprečavanju i otkrivanju prevare? Odgovor leži u prepoznavanju da: (1) analiza podataka poslovne organizacije je jedini najefikasniji način za sprečavanje i otkrivanje prevare i (2) kompjuteri i softver za analizu podataka su uglavnom nedovoljno iskorišćeni u otkrivanju simptoma prevare u analizi podataka poslovne organizacije. Na stručnim skupovima su česta pitanje internih revizora i istraživača prevara o njihovom korišćenju specijalitzovanog asistiranja računara kao revizorskog alata i tehnika - CAATT. Odgovor je najčešće "da, mi svo vreme koristimo CAATT alate". Upitani da objasne njihovo korišćenje CAATT alata, odgovor prečesto zvuči ovako: "Mi smo izdvojili informacije, stavili podatke u tabeli, sortirali podatake, izradili izveštaje, a zatim ručno pregledati kopiju papira." Ovo je uobičajeni način "korišćenja CAATT alata" u glavama mnogih revizora. Za mnoge revizorske organizacije, to predstavlja važne prve korake - dobijanje traženih podataka i stvaranje uslova da se isti pročitaju elektronskim putem. Istorijski gledano, pitanje pristupa podacima je bio najveći izazov i prepreka za interne revizore koji žele da koriste CAATT alate. Danas postoje, programski alati (utilities) i opcije za izdvajanje (extraction) i preuzimanje, odnosno prepisivanje podataka, čineći manji problem pristupu podataka. Dakle, s obzirom da su mnoge poslovne organizacije prevazišli ovu prepreku i da su podaci dostupni u elektronskom formatu, zašto ih jednostavno ne sortirati i odštampati ih za korišćenje? Kada se podaci pristupačni, softver za

28 ekstrakciju, odnosno izdvajanje podataka i analizu omogućava korisnicima da sa više moći i snage analiziraju i razumeju podatke nego ikada pre. Interni revizori i istraživači prevare (fraudinvestigators) koji se ograničavaju samo na sortiranje i štampanje su izostavili mogućnost korišćenja izvora bogatstva (bonanza) vezano za efikasnosti dostupnih kompjuterizovanih alata i tehnika. Razna istraživanja su pokazala da danas: 94% internih revizora imaju pristup softveru za ekstrakciju i analizu podataka, prema tome, u stvari, oni imaju neki oblik CAATT alata učitan (loaded) na svom sistemu. 93% internih revizora misle da će se upotreba računara u poslovanju povećati u narednim godinama. 70% internih revizora samo do nekog stepena koriste CAATT alate. 50% svih prevara je pronađeno kroz analize podataka, za razliku od dojava informatora ili slučajnog obelodanjivanjima i procenat pronalaženja na ovaj način raste. Elektronsko okruženje u kome posluju poslovne organizacije, zajedno sa sprovedenim programskim kontrolama u tom okruženju, predstavljaju niz kompleksnih sistema, sa varjansama u realnom vremenu i aplikacijama širom sveta. Veliki je izazov za interne revizore da kvalitetno procene te procese i kontrole. Međutim, elektronsko okruženje takođe pruža širok spektar mogućnosti za korišćenje moćnog interaktivnog revizorskog softvera i naprednih tehnika revizije. Tako, dok poslovno okruženje rapidno postaje sve složenija, već postoji povećani niz revizorskih softvera, alata i tehnika projektovanih sa ciljem da pomognu u istrazi prevara. Malo njih bi osporili, u tekućem poslovnom okruženju, da je softvera za vađenje, odnosno izdvajanje podataka i analizu od ključnog značaja za efikasno i efektivno poslovanje revizorskih organizacija. Više nego ikada ranije, interni revizori i istražitelji prevare imaju pristup podacima i softverskim alatima koji prevodi podatke u potrebne informacije, stvarajući uslove i mogućnost da konvertuju podatke u znanje i veštine, a zatim, da se to znanje transformiše u akcije i preporuke. U otkrivanju i sprečavanju moguće prevara, interni revizori i istražitelji mogu čak i proaktivno da traže simptome prevara i vođenje potrebnih istraga.

29 Korišćenje softvera za analize podataka ne znači samo da interni revizori mogu da sprovode rutine interne revizija brže i lakše; oni sada takođe mogu da obavljaju revizije kao vrednost - za novac (value - for - money). Ekonomija igra veliku ulogu u tekućem okruženju interne revizije. Upravljanje se pritom angažuje u svim oblastima poslovne organizacije sa ciljem da bude efikasnije i efektivnije, uključujući u to i procese interne revizije. Kao rezultat toga, interni revizori moraju da poseduju više od jednog prolaznog poznanstva sa snagom i korisnošću revizorskih alata kao što su komandni jezik za reviziju - ACL 71 i softver za Interaktivnu ekstrakciju, odnosno izdvajanje podataka i analiza - IDEA 72. Revizori bi trebalo da budu sposobni da istinski koriste i razumeju podatke vršeći potrebnu analizu, kao što su: Stvaranje obračunatih izraza koji nisu direktno dostupni u datotekama, odnosno fajlovima, kao što su pronalaženje ukupne vrednost zaliha množenjem količine puta jedinične cene za svaku stavku, Izbor zapisa na osnovu korisnički definisanih kriterijuma, kao što je selekcija svih zapisa sa ratom plaćanja većom od $ mesečno, Klasifikacija podataka u skladu sa numeričkim rangom ili vrednosti karaktera u polju, kao što su iznosi po filijalama ili pregledi po fakturama koji su stariji od 30, 60, 90 i 120 dana u odnosu na poslednji određeni datum, Stvaranje još naprednijih meta podataka (meta-data), na primer, regresionih i trend analiza koje pojašnjavaju šta će se dešava u daljem poslovanju, Razvoj znanja o tome šta podaci i pojedina polja zaista predstavljaju i kako ti podaci mogu da se koriste za rešavanje specifičnih pitanja Samo izlaganje ima za cilj da posluži kao stimulacija za sva lica koja su zainteresovana da pristupe proučavanju i edukaciji iz oblasti softverskih alata u cilju poboljšanja sopstvenih sposobnosti da pristupe podacima i korišćenju softvera za ekstrakciju i analizu podataka u cilju otkrivanje i sprečavanje prevara i rasipničkih primera iz prakse. Fokus je na dobijanju i čišćenju podataka i na primeni analitičkih, aplikacionih tehnika za detekciju prevare. Teorija i primeri u praksi predstavljaju dovoljan stimulans da se pristupi istraživanju mogućih prevara uz korišćenje i ovladavanje snagom računara i namenskim softverom 71 ACL - Audit Command Language 72 IDEA - Interactive Data Extraction and Analysis

30 za analizu podataka, pomoću kojih je moguće da se lakše otkrije prevara, rasipanja i zloupotrebe. U više od 60 studija slučaja koji su prisutni kroz primere u literaturi su prikazane primene raznih tehnika, od kojih je svaka detaljno objašnjena. U mnogim slučajevima, kombinuju se nekoliko različitih tehnika da bi se otkrile moguće prevare. Mora se naglasiti da je potrebna inteligentna upotreba ovih savremenih softverskih tehnika od strane internih revizora, a ne da se slepo sledi zahtevani pristup prema unapred definsanim receptima iz "kuvara" (cookbook). Oni koji počine prevaru mogu da budu veoma inovativni u skrivanju svojih dela. Interni revizori i ispitivači prevare moraju da budu podjednako kreativan i snalažljiv u svojim pretragama. Savremena praksa pretpostavlja da revizorske organizacije i interni revizori koriste CAATT alate i da poseduju osnovno razumevanje upotrebe i važnosti CAATT alata u internoj reviziji. Saveti o tome kako da se razviju sposobnosti CAATT alata u poslovnim organizacijama, pitanja i tehnika pristupa podacima, kao i ispitivanje samog integriteta podataka su razmatrani u literature a kao pogodno štivo se navodi: Interna revizija; efikasnost kroz automatizaciju 73 Ova knjiga će pružiti korisnicima početno razumevanje primene CAATT alata u internoj revizije i osnove za korišćenje ekstrakcije podataka i tehnika analiza za detekciju mogućih prevara. Još jedan koristan izvor informacija je Primena kompjutera u sprečavanju i otkrivanju kriminalnih radnji, sa programom ACL 74. Ova literatura sadrži detalje o tehnikama analize, uključujući napredne tehnike digitalne analize, od kojih su mnogi u cilju identifikovanja prevara, rasipanja i zloupotreba. Knjiga takođe uključuje CD koji sadrži elektronsku verziju softvera za obavljanje analiza za otkrivanje mogućih anomalija i prevara. Zaključak CAATT alati se navode kao izuzetno važan softvera za internu reviziju i analizu podataka. Međutim, fokus internih revizora bi trebalo da bude na podacima, a ne na 73 David Coderre, Internal Audit; Efficiency through Automation 74 David Coderre, Computer Aided Fraud Prevention and Detection

31 samoj tehnologiji rada: interni revizori bi trebalo da razumeju podatke i da definišu potrebna pitanja za analizu podataka i da učine revizorski proces potpuno nezavisnim od primenjenih alata. U radu su iznete samo osnovne informacije koje se odnosi na upotrebu savremenih informatičkih tehnologija od strane internih revizora. Interni revizori mogu da iskoriste CAATT alate da poboljšaju efikasnost i efektivnost interne revizije. Sa pravim alatima, obukom i metodologijom, CAATT alat omogućava da se ubrza proces interne revizije i obezbeđuje pristup podacima koji bi inače ostali neiskorišćeni. Važno je napomenuti da ne postoji generički model za tehnološke alate koji bi važio za sve poslovne organizacije. Takođe je važno da se prepozna rastuća direktna zavisnost procesa interne revizije od informacionih tehnologija. Prisutna zavisnost omogućava da se obrade i/ili da se podrže gotovo sve poslove aktivnosti interne revizije. Danas tehnološke teme čine sve veći procenat potrebnog stručnog znanja i veština internih revizora. Iako je tehnološka pozadina važna za razumevanje novih razvoja i pravaca delovanja, to je još uvek od male koristi bez stalnog sticanja novih znanja. Efikasna upotreba softverskih alata u revizorskim tehnologijama je od ključnog značaja za uspeh celokupnih aktivnosti interne revizije, ali predstavlja samo jedan korak u pravcu razumevanja tehnoloških promena koje bi trebalo da se primene u ukupnom poslovanju i revizorskoj profesiji. Novih tehnologija će stalno menjati oblik i pristup poslu internih kontrola tako da procesi revizije, pristupi i tehnike moraju da se promene i prilagode novom okruženju. Danas postoji još jedna važna uloga internih revizora i revizorske profesije a to je da su u obavezi da ohrabre i podrže napore pružalaca usluga informacionih sistema i nove tehnologije za poboljšanje i praćenje kvaliteta i karakteristike informacionih sistema. Važna uloga internih revizora je ne samo da razumeju i promene koje se dešavaju sa tehnologijama, već i da objasne efekte ovakvih promena drugim učesnicima u poslovanju. I na kraju, važno je uočiti značaj interpersonalnog kontakta u internoj reviziji, pošto tastatura i e.mail nikada neće zameniti potrebu za interpersonalnim veštinama. Stanislav Polic, PhD INFORMATION SECURITY AND IMPLEMENTATION

32 CAATT TOOLS IN IT AUDIT Summary: Switching to digital business records in all spheres of business has significantly improved the business, especially the appearance of electronic messages and e-business by introducing "computer to computer" interfaces. At the same time, the growth of the risks and threats of misuse of new technologies are leading to the appearance of cyber criminal. In such new technological environment, the processes of the classic audits are becoming impracticable activities so that the new methodological approach and the use of specialized software tools (e.g. CAATT) becomes binding mode as the IT audit. A prerequisite for this kind of work is improvement of the knowledge and skills in information technology at all business organization hierarchy levels including the top management and in particular internal IT auditors will only be able to access to resolving set of auditing tasks in digital environment with appropriate CAATT tools. Keywords: internal audit, CAATT tools, digital economy, security, internal controls, information. Literatura 1. Ralph Kimball Meta Meta Data Data (DBMS, March 1998): 2. Dr Branko O. Krsmanović, Dr, Informacione tehnologije u računovodstvu i reviziji, Banja Luka, Bjeljina, David Coderre, Internal Audit; Efficiency through Automation, 2009, John & Sons 4. David Coderre, Computer Aided Fraud Prevention and Detection 2009, John & Sons 5. UNSW IT Security Standards & Guidelines, Division of information services, Effective from March Zakon o računovodstvu i reviziji , član 4 7. Dr Stanislav Polić, IT menadžment, Genex Group, interno izdanje Beograd Rad primljen u Redakciju