Kako provesti reviziju informacijskih sustava regulativa i metode

Prof.dr.sc. Mario Spremi, CGEIT Ekonomski fakultet Zagreb

e-mail: mspremic@efzg.hr

Uvod

Revizija informacijskih sustava predstavlja proces provjere uspjenosti informacijskih sustava u skladu sa zahtjevima poslovanja, odnosno postupak analize i provjere njihove tonosti, uinkovitosti, djelotvornosti i pouzdanosti. Radi se o skupu sloenih menaderskih, revizorskih i tehnolokih aktivnosti kojima se pregledavaju (provjeravaju) uinci, ali i rizici uporabe informacijskih sustava i u konanici ocjenjuje njihov utjecaj na poslovanje. To je sloen proces prikupljanja i procjene dokaza na temelju kojih se moe procijeniti uspjenost poslovnog informacijskog sustava, odnosno, odrediti djeluje li poslovni informacijski sustav u funkciji ouvanja imovine, odrava li se cjelovitost (integritet) podataka, omoguuje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi sustava na uinkovit nain. Revizija informacijskih sustava predstavlja sustavan postupak kojim se ocjenjuje djeluje li informatika u skladu s poslovnim ciljevima, u kojoj mjeri djelotvorno i uinkovito podupire ciljeve poslovanja i kakva je praksa (zrelost) upravljanja i kontrole informacijskih sustava na raznim hijerarhijskim razinama. Objekt revizije informacijskih sustava jest sustavno, temeljito i paljivo pregledati kontrole unutar svih dijelova informacijskog sustava, a osnovni zadatak procijeniti njegovo trenutno stanje (zrelost, razinu uspjenosti), otkriti rizina podruja, procijeniti razinu rizika i dati preporuke menadmentu za poboljanje prakse njegova upravljanja.

Revizija, odnosno provjera uspjenosti informacijskih sustava najee se odnosi na sljedea podruja: provjeru funkcionalnosti informacijskih sustava funkcioniraju li svi dijelovi informacijskih sustava (hardware, software, netware, orgware, lifeware, dataware) na ispravan i propisan nain i provode li se temeljne poslovne transakcije u skladu s oekivanjima. Provjeru pouzdanosti informacijskih sustava jesu li svi dijelovi sustava i cjelina pouzdani za koritenje, odnosno izlae li njihova uporaba korisnike, vlasnike ili ostale 'ukljuene' strane nekom riziku. Provjeru sigurnosti informacijskih sustava postoje li i koja je razina sigurnosnih rizika uporabe informacijskih sustava i kakav je njihov uinak na poslovanje. Provjeru djelotvornosti i uinkovitosti uporabe informacijskih sustava mogu li se informacijski sustavi koristiti na efikasniji, jeftiniji ili uinkovitiji nain? Postoje li naini poboljanja isplativosti ulaganja u informatiku, koliko su djelotvorni informacijski sustavi obzirom na potrebe poslovanja. Provjeru kvalitete upravljanja informacijskim sustavima i njihovu utjecaju na poslovanje u kojoj su mjeri organizacijske i upravljake metode i tehnike koje se koriste pri upravljanju informacijskim sustavom primjerene zahtjevima poslovanja. Provjeru usklaenosti uporabe informacijskih sustava s vaeom regulativom, standardima i meunarodno priznatim okvirima jeli uporaba informacijskih sustava i svih njegovih dijelova u skladu s vaeim propisima, meunarodnim okvirima, normama i strunim standardima.

Iz gornjeg je popisa razvidno da je, ovisno o promatranoj kompaniji i raznim okolnostima, lako 'proiriti' podruja pregleda (revizije) informacijskih sustava. Osnovni 'motiv' provedbe revizije informacijskih sustava mogu biti manjkavosti transakcijskog sustava (pa e se tada, u stvari, provoditi revizija funkcionalnosti), provjera sigurnosnih postavki implementirane tehnologije (u kojoj mjeri je za korisnike prije svega sigurno koritenje tehnologije, prijenos podataka i njihova zatita u bazama podataka, pa e se tada provoditi revizija sigurnosti), a nikakvo 'iznenaenje' ne bi trebao predstavljati zahtjev da se, radi neuinkovitih i neisplativih ulaganja u informatiku, provede revizija djelotvornosti i uinkovitosti. Provjerom (revizijom) uinkovitosti implementiranih kontrola unutar poslovnih procesa i informacijskih sustava mogue je procijeniti razinu informatikih rizika, odnosno utvrditi razinu kvalitete kontrolnih postupaka. Time dolazimo i do 'alternativne' definicije revizije informacijskih sustava: procjena razine kvalitete informacijskih sustava u skladu s potrebama poslovanja. Interna kvaliteta informacijskog sustava osiguravat e se internom kontrolom, a razina te kontrole 'mjeriti' internom revizijom informacijskih sustava. Internu reviziju informacijskog sustava provode struni i obrazovani zaposlenici same kompanije. Podruja i ciljevi pregleda se odreuju prema planu rada interne revizije koji se utvruje na godinjoj razini, a procjena kvalitete 'ugraenih' kontrola se provodi na tjednoj i mjesenoj razini 'operativnim' radom internih revizora. Ciljevi interne revizije informacijskih sustava se obino odreuju prema zahtjevima poslovanja, prema odreenim trinih okolnostima ili prema specifinim zahtjevima ili potrebama vlasnika, menadmenta ili nadzornih i kontrolnih tijela. Za uspjenu provedbu zacrtanih ciljeva u svakom je od tih sluajeva kljuna autonomija rada, odnosno neovisnost i strunost internih revizora.

Eksterna revizija informacijskih sustava se odnosi na postupak provjere razine kvalitete informacijskih sustava koju provode vanjski strunjaci koji nisu zaposlenici promatrane kompanije. U konanici postupci interne i/ili eksterne revizije informacijskih sustava rezultiraju izvjetajem revizora informacijskih sustava koji se, prema podrujima analize, sastoji od sljedeih koraka: analiza stanja (zrelosti) primjene informacijskih sustava u poslovanju prema promatranim podrujima, provjera razine kvalitete implementiranih kontrola, procjena razine poslovnih rizika koji proizlazi iz zateenog stanja, i preporuke menadmentu za poboljanjem toga stanja.

Provedba revizije informacijskih sustava kao savjetodavne poslovne funkcije norme i standardi Poetni korak pri provedbi revizije informacijskih sustava jest odabir podruja pregleda i provjere. Ukoliko se radi o eksternoj reviziji naruenoj od strane menadmenta, vlasnika ili predstavnika nadzornih ili kontrolnih tijela (primjerice, predstavnika nadzornog odbora) u suradnji s naruiteljem nuno je precizno odrediti podruja revizije, odnosno utvrditi za koje je dijelove informacijskog sustava potrebno procijeniti uspjenost. Za oekivati je da e naruitelj jedne takve eksterne revizije znati obrazloiti zato je vano revidirati odreena podruja (dijelove) informacijskog sustava. Razlozi mogu biti raznoliki, no, najee se radi o specifinim problemima funkcioniranja sustava u odnosu na poslovanje, nepovjerenju prema organizacijskoj jedinici zaduenoj za informatiku ili, moda, stav i struno miljenje revizora informacijskih sustava trebaju biti dobrom analitikom i stratekom podlogom za promjene u poslovanju. Takvi su razlozi temeljem uporabe revizije informacijskih sustava kao savjetodavne poslovne funkcije, pri emu vanjski strunjaci daju neovisnu i struno utemeljenu prosudbu rizika uporabe informacijskih sustava u poslovanju. Takve su revizije, ipak, rijetke, a takvi pogledi na reviziju informacijskih sustava svojstveni samo najboljim i najuspjenijim kompanijama. Pri odreivanju podruja savjetodavne revizije informacijskih sustava revizori i upueni menaderi se redovito oslanjaju na svjetski priznate norme i metode, kao to su CobiT, ISO 27000, ITIL, Val IT, ISO 38500, PMBOK, PCI DSS, itd.

Krovni standard provedbe revizije informacijskih sustava je CobiT to znai da su sva podruja i vrste revizije 'pokrivena' CobiT preporukama. Prema specifinim podrujima provjere razlikujemo sljedee izvedene standarde provedbe revizije informacijskih sustava: revizija razvoja informacijskih sustava (CMMI, TickIT) revizija funkcioniranja, pouzdanosti i djelotvornosti informatikih usluga (ITIL) revizija strateke primjene informatike u poslovanju (ISO 38500, IT Balanced Scorecard, SISP, analiza lanca vrijednosti value chain analysis) revizija upravljanja ulaganjima u informatiku (Val IT, studija izvedivosti, rutinske financijske metrike) revizija upravljanja informatikim rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005, PCI DSS) revizija sigurnosti uporabe, pohrane, prijenosa i arhiviranja informacija (obitelj ISO 27000 normi, NIST, SANS, IS3, PCI DSS, OSI referentni model, kriptografske norme, SSL i ostali tehniki standardi i norme) revizija upravljanja projektima (Prince 2, PMBOK) revizija upravljanja kontinuitetom poslovanja (BS 25999), itd. Provedba revizije informacijskih sustava, ali i primjena pojedinih standarda u odreenim je djelatnostima obvezna. Tako je, primjerice, u bankarstvu propisana regulatorna obveza primjene nekih normi (Basel II, PCI DSS - Payment Card Industry Data Security Standard koji predstavlja obveznu regulativu za kartiarsku industriju, uporaba CobiT-a), u osiguranju (Solvency I i II), itd.

Izvedeni standardi i smjernice provedbe revizije informacijskih sustava su: Val IT inicijativa koja se koristi u svrhu poboljanja upravljanja ulaganjima u informatiku (3 podruja, 40-ak procesa), ITIL okvir (ISO 20000 norma) koji se koristi za upravljanje informatikim uslugama (5 podruja, 20-ak procesa), Risk IT metodologija koja pomae u upravljanju informatikim rizicima (3 podruja, 20-ak procesa), Obitelj ISO 27000 normi (ISO 27001 ISO 27008) koje se koriste u svrhu postizanja ciljanih unaprjeenja sustava sigurnosti informacija (ISO 27001 norma ima 11 podruja i 40-ak procesa kontrolnih zahtjeva), Basel II okvir kojega su banke obvezne koristiti u svrhu boljeg upravljanja operativnim rizicima (11 podruja), Sarbanes-Oxley kontrole u svrhu udovoljavanja regulatornim zahtjevima interne kontrole, PMBOK (engl. Project Management Body of Knowledge) metodologija kojom je mogue poboljati praksu upravljanja projektima, PCI DSS (engl. Payment Card Industry Data Security System) norma koja u kartiarskoj industriji, ali i trgovini openito, namee regulatorna pravila i zahtjeve koji se pred poslovne informacijske sustave postavljaju u svrhu sigurnog i pouzdanog upravljanja podacima, prije svega pri transakcijama s kreditnim karticama.

Regulativa revizije informacijskih sustava u Republici Hrvatskoj

U prolom su poglavlju podrobnije objanjeni razlozi i 'motivi' provedbe revizije informacijskih sustava kao savjetodavne poslovne funkcije. Osnovni cilj tih postupaka jest da neovisni, vanjski strunjaci prema dogovorenim podrujima provjere testiraju uinkovitost i, u skladu s zahtjevima poslovanja procjenjuju razinu kvalitete informacijskih sustava. Procjena razine kvalitete informacijskih sustava se provodi na nain da se, u stvari, procjenjuju razni rizici (poslovni, tehnoloki, trini, sigurnosni, itd.) uporabe informacijskih sustava i menadmentu daju preporuke o poboljanju i unaprjeenju poslovne vrijednosti kompanije putem ulaganja u informatiku. Takve su revizije, ipak, rijetke, a takvi pogledi na reviziju informacijskih sustava svojstveni samo najboljim i najuspjenijim kompanijama, odnosno njihovim menaderima. Najei razlog provedbe revizije informacijskih sustava su regulatorni zahtjevi, odnosno regulatorni 'pritisak' i obveza. U tome sluaju govorimo o regulatornoj reviziji informacijskih sustava koja se osobito u bankarskom i financijskom sektoru treba provoditi u gotovo svim zemljama svijetu. U Republici Hrvatskoj je Hrvatska narodna banka propisala okvir i obvezu provedbe interne i eksterne revizije informacijskih sustava. Odlukom o primjerenom upravljanju informacijskim sustavom od 17. srpnja 2007. detaljno su u 40-ak lanaka odreena podruja na koja treba obratiti pozornost pri upravljanju i jasno propisan okvir prema kojemu je mogue ocjenjivati kvalitetu informacijskih sustava, odnosno vriti njihovu reviziju (utvrditi razinu kvalitete). Tom su odlukom definirani i podrobnije pojanjeni najee koriteni pojmovi i podruja revizije, poput softverske, hardverske komponente, informacijski sustav i tehnologija, informacijska imovina, korisnici, rizici i resursi informacijskog sustava, upravljanje sustavom, pristup sustavu, e-bankarstvo, maliciozni programski kod, incident, priuvna pohrana, vrijeme oporavka, itd.

Tom su odlukom detaljno propisana i podruja provjere ime je donesen i okvir za revizije informacijskih sustava: okvir za upravljanje informacijskim sustavom, upravljanje rizikom informacijskog sustava, unutarnja revizija informacijskog sustava, sigurnost informacijskog sustava, odravanje informacijskog sustava, upravljanje kontinuitetom poslovanja, razvoj informacijskog sustava i eksternalizacija, elektroniko bankarstvo.

Budui da nema smisla citirati pojedine odredbe ili definicije, itateljima koji ele detaljan i precizniji uvid u regulativu, elektronika verzija te odluke dostupna je na http://www.hnb.hr/propisi/odluke-nadzor-kontrola/nadzor-nad-bankama/h-odluka-informacijskisustav.pdf.

Vjerujem da je itateljima dobro poznata uloga Hrvatske narodne banke (u nastavku teksta HNB) u monetarnom sustavu zemlje, posebice pri kontroli i sprjeavanju odreenih rizika. Ovom se prilikom radi o operativnim rizicima, a naglaava se nadzorna i kontrolna uloga regulatora pri kojemu je Odjel za izravni nadzor informacijskih sustava banaka unutar HNB-a ovlaten i, naravno, struan po potrebi provoditi supervizije informacijskih sustava banaka, a duan prouavati i nadzirati izvjea koje eksterni revizori dostavljaju pri revizijama informacijskih sustava banaka. Jo u prosincu 2004. godine HNB je odredio podruja revizije informacijskih sustava u bankama, nakon ega su se nizom smjernica, analiza i studija stekli uvjeti da Odluka o primjerenom upravljanju informacijskim sustavom stupi na snagu i krene u punu primjenu poetkom 2008. godine.

Dakle, regulatorni okvir provedbe revizije informacijskih sustava u Republici Hrvatskoj se sastoji od sljedeih 18 podruja: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. Upravljanje sigurnou informacija i informacijskog sustava Upravljanje rizikom koji je vezan uz informacijske sustave Upravljanje fizikim i logikim kontrolama pristupa Upravljanje imovinom informacijskog sustava Upravljanje operativnim i sistemskim zapisima Upravljanje priuvnom pohranom Upravljanje odnosima s pruateljima usluga Upravljanje odnosa s dobavljaima opreme Upravljanje razvojem informacijskog sustava Upravljanje fizikom sigurnou Upravljanje lozinkama Upravljanje konfiguracijama Upravljanje promjenama Planiranje kontinuiteta poslovanja Plan oporavka u sluaju havarije, neeljenih i nepredvienih dogaaja Upravljanje incidentima i problemima Zatita od malicioznog koda Primjena internih akata vezanih uz informacijski sustav

Obveznici provedbe revizije informacijskih sustava u Republici Hrvatskoj su, barem za sada, predstavnici iz bankarskog i dijela financijskog sektora (banke, stambene tedionice, tedno-kreditne zadruge, itd.). Odlukom o primjerenom upravljanju informacijskim sustavom Hrvatska narodna banka je poetkom 2008. godine odredila podruja informacijskog sustava unutar kojih bi eksterni revizori trebali pregledati odreene kontrole, procijeniti razinu rizika i dati preporuke za njihovim upravljanjem. Cilj ove, kao uostalom i svake revizije informacijskih sustava, jest procijeniti rizike kojima je poslovanje izloeno temeljem uporabe informacijskih sustava, razvrstati ih po vanosti, o hitnim mjerama odmah izvijestiti menadment i dati preporuke (smjernice) na koji nain i uz koja financijska sredstva odravati prihvatljivu (poeljnu) razinu rizika kojom se ne bi ugrozilo poslovanje. Prihvatljiva razina rizika se odnosi na onaj intenzitet rizika koji jo uvijek ne ugroava odvijanje vanih poslovnih funkcija i procesa, odnosno ostvarenje zacrtanih poslovnih ciljeva. Tom je odlukom, dakle, propisano 18 podruja i djelokrug eksterne revizije informacijskih sustava. To konkretno znai da pri provedbi revizije, eksterni revizori informacijskog sustava unutar tako zadanih podruja trebaju odrediti skup kontrola, ali i tehnike i naine testiranja njihove djelotvornosti, pouzdanosti i uinkovitosti. Na taj su nain mogue razlike unutar strukture i, naravno, sadraja izvjetaja revizora informacijskog sustava (iju su kopiju revizori duni dostaviti i u HNB), no, u konanici trite, a posebice regulator mogu lako procijeniti kvalitetu revizorskog posla i svojim zakonskim ovlastima ciljano poboljavati njihov rad.

Detaljnijim uvidom u regulatorne odredbe kojima se odreuju podruja revizije informacijskih sustava (upravljanje sigurnou informacija i informacijskog sustava, upravljanje rizikom koji je vezan uz informacijske sustave, upravljanje fizikim i logikim kontrolama pristupa, upravljanje imovinom informacijskog sustava, upravljanje operativnim i sistemskim zapisima, upravljanje priuvnom pohranom, upravljanje odnosima s pruateljima usluga, upravljanje odnosa s dobavljaima opreme, upravljanje razvojem informacijskog sustava, upravljanje fizikom sigurnou, upravljanje lozinkama, upravljanje konfiguracijama, upravljanje promjenama, planiranje kontinuiteta poslovanja, plan oporavka u sluaju neeljenih i nepredvienih dogaaja, upravljanje incidentima i problemima, zatita od malicioznog koda i primjena internih akata vezanih uz informacijski sustav) vidljivo je da je CobiT njihovo temeljno polazite. CobiT je krovni standard provedbe revizije informacijskih sustava, pri emu su se u pojedinim podrujima vide 'rukopisi' nekih izvedenih standarda, prije svega ISO 27000 i ITIL-a.

Radi vanosti teme u ovoj prigodi izdvajamo neke od datuma do kojih su uprave banaka, stambenih tedionica, tedno-kreditnih zadruga i ostalih obveznika regulative revizije informacijskih sustava bile dune (ili su dune) provesti odreene odluke u djelo:
odrediti lana uprave zaduenog za upravljanje i nadzor informacijskog sustava uspostaviti primjerenu organizacijsku strukturu, odbore i funkcije (01.07.2008) donijeti strategiju informacijskog sustava (01.07.2008) strategiju IS-a razraditi stratekim i operativnim planovima (01.01.2009) donijeti interne akte kojima se ureuje upravljanje informacijskim sustavom, definirati odgovornosti za nadzor (01.01.2009) uspostaviti funkciju voditelja sigurnosti informacijskog sustava (01.01.2009) imenovati odbor za upravljanje informacijskim sustavom (01.07.2008) usvojiti metodologiju upravljanja projektima (01.01.2009) uspostaviti proces upravljanja rizikom informacijskog sustava (01.01.2009) Metodologiju upravljanja rizikom informacijskog sustava (01.01.2009) Dokumentirati rezultate procjene rizika informacijskog sustava (01.07.2009) Procijeniti i na prihvatljivu razinu svesti rizike informacijskog sustava (01.07.2009) Klasificirati i zatititi informacije prema razini osjetljivosti (01.10.2009) Uprava banke odgovorna je za donoenje prihvatljive razine rizika kojima je izloen informacijski sustav (01.01.2009) Unutarnja revizija je duna obavljati reviziju informacijskog sustava banke (01.01.2009) Usvojiti metodologiju za provoenje revizije informacijskog sustava zasnovanu na procjeni rizika, a kojom se odreuju kriteriji, naini i postupci revizije informacijskog sustava banke (01.01.2009)

Koraci provedbe revizije informacijskih sustava

Revizija informacijskih sustava obino se sastoji od ovih faza: planiranje revizije (engl. audit planning) testovi kontrola (engl. tests of control) testovi transakcija (engl. tests of transactions) testiranje ukupnih rezultata (tests of balances or overall results) dovrenje revizije i priopavanje rezultata.

U poetnoj fazi (planiranje revizije) postavljaju se ciljevi revizijskog postupka, prikupljaju informacije o sustavu (predmetu) revizije, dobiva se uvid u strukturu poslovanja i poslovnu politiku, identificiraju se mogui rizici. U ovoj se fazi provode vrlo detaljni izvidi iji je cilj dobro se upoznati s poslovanjem revidiranog subjekta, utvrditi kljune poslovne procese, utvrditi (ako uope postoji) povezanost strategije poslovanja i strategije informatike i detaljno promotriti i holistiki sagledati cjelinu informacijskog sustava. To se postie ciljanim intervjuima i sastancima s odgovornim osobama, pri emu revizori trebaju imati odreena znanja i vjetine poslovnog komuniciranja, pregovaranja i timskog rada. Nakon dobivanja detaljnog uvida u vanost informacijskog sustava u poslovanju kompanije, postavljaju se kontrolni ciljevi, odreuje djelokrug posla i dijele specifini zadaci unutar revizorskog tima.

Temeljem postavljenih kontrolnih ciljeva, u drugoj se fazi (testovi kontrola) oblikuju i provode razni, brojni i vrlo detaljni testovi uinkovitosti pojedinih kontrola. Na osnovi tih testova revizori procjenjuju je razinu kontrolnog rizika, odnosno utvruju razine pouzdanosti trenutnih kontrola, rizike za pojedina podruja i odreuju u kojoj mjeri treba 'dublje' testirati pojedina podruja. U treoj fazi rada (testovi transakcija) duboko se i izrazito detaljno testiraju pojedini dijelovi informacijskog sustava, provode se brojni tehniki testovi i prikupljaju valjani dokazi. Pokazuju li rezultati testiranja transakcija ili ostalih dijelova sustava da su njegovim neprimjerenim radom ve nastali ili da bi mogli nastati materijalni gubici, provode se proireni dokazni testovi koji daju bolju i precizniju procjenu gubitaka. U etvrtoj fazi (testiranje ukupnih rezultata) pribavlja se dostatna koliina dokaza potrebnih za donoenje konane ocjene o razmjerima moguih gubitaka kada informacijski sustavi ne djeluju pozitivno na ciljeve revizijskog postupka. Takvo je testiranje prilino opseno, pa su njegovi trokovi najvii u cjelokupnom revizijskom postupku. Da bi mogli ostvariti ciljeve revizije i procijeniti kvalitetu informacijskih sustava, revizori trebaju prikupiti odgovarajue dokaze. Revizijski se dokazi prikupljaju odgovarajuim tehnikama, metodama i alatima. U dananjem informacijskom globalnom okruenju revizoru su, u tu svrhu, na raspolaganju brojni vienamjenski programski paketi, opi ili specijalizirani revizijski softver i druge tehnike koje revizoru pomau ostvariti klasine ciljeve. Obzirom na razliitu namjenu, naine uporabe i mogunosti primjene revizijskog softvera, kljuni imbenik njihova odabira jest osposobljenost revizora da precizno utvrdi svoje potrebe i procjeni u kojoj ih mjeri neki softver udovoljava. Pri tome, nikako se ne bi smjelo zaboraviti da revizijski programi nisu jeftini niti jednostavni za uporabu, pa revizori trebaju biti detaljno upoznati s tehnikama i metodama procjene kvalitete informacijskih sustava.

Zavrna faza (dovrenje revizije, stvaranje izvjetaja i priopavanje rezultata Upravi) nipoto se ne moe smatrati 'rutinskim odraivanjem posla' jer se upravo holistikim i multidisciplinarnim pristupom procjenjuju svi prikupljeni dokazi i injenice, temeljem kojih revizorski tim procjenjuje razine rizika kojima pojedina podruja informacijskog sustava izlau poslovanje. Pri tome revizori daju iscrpna objanjenja svoje profesionalne prosudbe razine rizika i predoavaju ih Upravi poslovnog subjekta. Sastavni dio izvjetaja revizora informacijskog sustava su i revizorove preporuke Upravi kako smanjiti i na prihvatljivu razinu svesti rizike prouzroene zateenim nedostacima u funkcioniranju odreenih kontrola sustava. Pri tome su mogua, a gotovo redovito se u praksi i provode dodatna dokazna testiranja kojima revizori dovravaju reviziju (potvruju ili opovrgavaju svoje stavove), izraavaju miljenje i oblikuju izvjee. Revizor informacijskog sustava svoje e miljenje temeljiti na prikupljenim dokazima koji upuuju na injenicu djeluje li informacijski sustav u funkciji ouvanja imovine, poboljava li cjelovitost (integritet) podataka i je li djelotvoran i uinkovit. Tako zavreno izvjee o reviziji informacijskih sustava priopava se Upravi, odnosno naruitelju i regulatoru (u sluaju regulatorne revizije). Time posao nije zakljuen, jer tek predstoji 'peglanje' izvjetaja, odnosno njegovo usuglaavanje sa stavovima Uprave, odnosno naruitelja revizije. Proces razgovora i pregovaranja moe biti prilino dugotrajan, pri emu bi revizori trebali isticati pregovarake vjetine, etinost, strunost i profesionalnost.

Zakljuak Informacijski sustavi esto predstavljaju okosnicu modernoga poslovanja. Brojni se vani poslovni procesi i poslovne transakcije u nizu industrija odvijaju upravo automatizmom rada informacijskih sustava. Gotovo je nemogue zamisliti konkurentno ili iole uinkovito poslovanje jedne banke, kreditne institucije, osiguranja, zrakoplovne kompanije, maloprodajnog lanca ili turistike agencije bez intenzivne primjene informacijskih sustava. U situacijama kada se poslovanje znatno 'oslanja' na informacijske sustave, sasvim je logino da se vea pozornost treba posvetiti sustavnoj kontroli tog vanog poslovnog resursa. Informatiku i informacijske sustave danas vie ne moemo tretirati kao pozadinske, tehnike i manje vane poslovne resurse, nego kao strateke partnere poslovanju koji zasluuju pozornost izvrnog menadmenta i uporabu cjelovitih upravljakih 'alata'. Informatikom i informacijskim sustavima se dade upravljati kao bilo kojoj drugom poslovnom funkcijom, a brzina odvijanja poslovnih transakcija to namee i kao nezaobilaznu potrebu. U takvim okolnostima informacijski sustavi postaju vana poluga uinkovita i djelotvorna poslovanja, a regulativa i metode njihova upravljanja koji su prikazani u ovom radu, modernim i educiranim menaderima predstavljaju vaan upravljaki 'alat'. U radu je posebno istaknuta uloga revizije informacijskih sustava kao vane analitike funkcije kojom se provjerava uspjenost uporabe i upravljanja informacijskim sustavima s ciljem smanjivanja rizika poslovanja. Revizija informacijskih sustava je vana analitika funkcija kojom se, u skladu s zahtjevima poslovanja, provjerava njihova tonost, uinkovitost, djelotvornost i pouzdanost. Pri tome se najee radi o skupu sloenih menaderskih, revizorskih i tehnolokih aktivnosti kojima se pregledavaju (provjeravaju) uinci, ali i rizici uporabe informacijskih sustava i u konanici ocjenjuje njihov utjecaj na poslovanje. Regulativa provedbe revizije informacijskih sustava odnosi se prije svega na Odluku o primjerenom upravljanju informacijskim sustavima u svrhu smanjivanja operativnih rizika u kreditnim institucijama, a u radu je prikazan njezin djelokrug i nain provedbe. Obzirom na vanost informacijskih sustava i u drugim djelatnostima, bilo bi logino oekivati 'irenje' te ili sline regulative i na ostala podruja.

Literatura:
1. 2. 3. 4. 5. 6. Broadbent, M., Kitzis, E.S., (2005): The New CIO Leader: Setting the Agenda and Delivering Results, Gartner Inc., Harvard Business School Press. Nolan, R., McFarlan, F.W., (2005): Information technology and the Board of Directors, Harvard Business Review, October, 2005. Panian, . (2001): Kontrola i revizija informacijskih sustava, Sinergija, Zagreb. Panian, ., Spremi, M., i suradnici (2007): Korporativno upravljanje i revizija informacijskih sustava, Zgombi i partneri, Zagreb. Spremi, M. (2009): IT Governance Mechanisms in Managing IT Business Value, WSEAS Transactions on Information Science and Applications, Issue 6, Volume 6, June 2009, pp. 906-915 Spremi, M. (2009): IT Governance and IT Risk Management Principles And Methods For Supporting Always-On Enterprise Information Systems, in a book Always-On Enterprise Information Systems for Business Continuance: Technologies for Reliable and Scalable Operation, IGI Publishing, ISBN: 978-1-60566-723-2, edited by Bajgoric, Nijaz Spremi, M. (2009): Methodologies for Evaluating IT Business Value Management, in a book Recent Advances in Automation & Information, Proceedings of the 10th WSEAS International Conference on Automation and Information (ICAI 09), WSEAS Press, Series of Reference Books and Textbooks, March, 2009, pp. 227-233. Symons, C., (2005): IT Governance Framework: Structures, Processes and Framework, Forrester Research, Inc. Ward, J., Peppard, J., (2002): Strategic Planning for Information Systems, 3rd ed., John Wiley & Sons. Weill, P., Ross, J.W., (2004): IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Harvards Business School Press, Boston, SAD.

7.

8. 9. 10.