NEKI ASPEKTI REVIZIJE INFORMACIONIH SISTEMA U JAVNOJ UPRAVI

BOSNE I HERCEGOVINE

SOME ASPECTS OF AUDIT OF PUBLIC ADMINISTRATION'S

INFORMATION SYSTEMS IN BOSNIA AND HERZEGOVINA

Apstrakt:
U Bosni i Hercegovini ne postoji zakonska obaveza revizije informacionih sistema u
institucijama javne uprave na svim nivoima vlasti. Nastala kao posljedica tehnolokog
razvoja i potrebe, revizija informacionih sistema danas je u redovnoj praksi za bankarske
sisteme, gdje su pitanja sigurnosti i bezbjednosti u primarnom fokusu revizije. Ovaj rad
daje neke aspekte revizije informacionih sistema koja bi po svojoj prirodi trebalo da bude
obavezna i u institucijama javne uprave imajui u vidu specifinosti interakcija i
sigurnosti podataka koji se u njima razmjenjuju.

Kljune rijei:
Revizija, informacioni sistemi, javna uprava, interna revizija

Abstract:
In Bosnia and Herzegovina, there is no legal obligation to audit information system in
public administration institutions at all level of authority. Formed as a result of
technological developments and needs, information system audit is now in regular
practice for banking systems, where safety and security of data are in the primary focus of
the audit. This paper presents some aspects of information systems auditing that by their
nature should be mandatory in public administration institutions, bearing in mind the
specific interactions and safety of the data exchanged.

Keywords:
Audit, Information systems, Public Administration, Internal audit

1. UVOD

Pitanje revizije danas se uglavnom povezuje s ekonomskim aspektom poslovanja,

odnosno revizijom finansijskog poslovanja preduzea ili institucije. Drugim rijeima,
kada pomenemo reviziju, uobiajeno mislimo na finansijsku reviziju. Shodno tom
istorijskom nasljeu, Amerika asocijacija raunovoa (engl. American Accounting
Association) je 70-tih godina XX vijeka definisala pojam revizije kao sistematian
proces objektivnog prikupljanja i ocjenjivanja dokaza vezanih za tvrdnje o ekonomskim

Dalibor Drljaa, Europrojekt centar, drljacad@gmail.com

Branko Latinovi, Panevropski univerzitet APEIRON Banja Luka,
branko.b.latinovic@apeiron-edu.eu
aktivnostima i dogaajima radi utvrivanja stepena usaglaenosti tih tvrdnji s utvrenim
kriterijumima i proslijeivanje tih rezultata zainteresovanim korisnicima[1].

Veoma je uoljiv niz podudarnosti iz definicije s osnovnim funkcijama informacionih

sistema funkcijama dokumentovanja i informisanja [5] budui da je sistem finansija u
stvari podsistem u sistemu poslovanja kojeg zaokruuje jedinstven informacioni sistem.
Kljune rijei definicije su dokaz, utvreni kriterijumi i rezultati. S informatikog
aspekta ovo su sve podaci u informacionom sistemu preduzea. Stoga, i reviziju
informacionih sistema treba posmatrati kao prikupljanje dokaza i ocjenjivanje
funkcionalnosti informacionog sistema u njegovom svakodnevnom radu, a posebno s
aspekta bezbjednosti podataka i funkcionalnosti.

2. REVIZIJA INFORMACIONIH SISTEMA

Revizija informacionih sistema ranije je u literaturi bila poznata pod nazivom revizija
elektronske obrade podataka (engl. Electronic Data Processing Audit). Pojavila se kao
potreba proirenja finansijske revizije jer revizori nisu znali kako da odgovore
kvalitetno na izazov elektronske obrade podataka u finansijskim izvjetajima, odnosno da
procjene usaglaenost dokaza sa utvrenim kriterijumima kako je naglaeno u definiciji
revizije.

Dube i Gulati [4] navode neke od najvanijih razloga uspostavljanja revizije

informacionih sistema odvojeno od finansijske. Primarno, nedovoljno poznavanje
raunara negativno i nepovoljno utie na sposobnost revizora da provodi funkcije
atestacije. Upotreba raunarskih sistema u svrhu unapreenja poslovanja doprinosi
efikasnoj konkurentnosti u poslovnom okruenju, stoga je veoma vano posjedovati
sposobnosti kontrole i revizije takvih sistema kao veoma vrijednih poslovnih resursa. Ovo
se posebno odnosi na vrijednosti informacija i podataka koje komuniciraju u jednom
takvom sistemu, gdje pravovremeno posjedovanje kvalitetne poslovne informacije moe
znaiti trinu prednost. Takoe, usljed novog naina prikupljanja i obrade podataka, cijeli
proces tradicionalnog provoenja revizije zahtjeva smjenu paradigme kojom se proces
rukovodi. Stoga, nije udno to su upravo institucije bankarskog sistema prve prihvatile
raunarski pomognute informacione sisteme i potrebu za njihovom revizijom.

Cangemi u svom radu iz 2000.godine definie reviziju informacionih sistema identino

definiciji Rona Vebera iz 1988.godine: Revizija informacionih sistema je proces
prikupljanja i vrednovanja dokaza na temelju kojih se moe utvrditi da li informacioni
sistem uva imovinu preduzea na adekvatan nain, odrava li se integritet podataka,
omoguuje li se efektivno ostvarivanje postavljenih ciljeva, te koriste li se raspoloiva
sredstva efikasno [3]
Na osnovu ovog moemo zakljuiti da se pitanju revizije informacionih sistema nije
posveivala duna panja, kada ni sama definicija revizije nije u potpunosti definisana u
periodu duem od 10 godina.
Panian nastoji detaljnije definisati reviziju informacionih sistema, dodajui ranije
navedenim definicijama cilj revizije, odnosno utvrivanje udovoljava li organizacija
odgovarajuim propisima, pravilima ili uvjetima [6]

Na ovaj nain, revizija informacionog sistema se povezuje ne samo s informacionim

sistemom organizacije, kao njenim resursom, ve i sa organizacijom u cjelini odnosno
njenim odnosom prema informacionom sistemu kao vitalnom resursu.

Kao i kod finansijske revizije, i u reviziji informacionih sistema u centru panje su podaci
organizacije. Ti podaci moraju biti tani, kompletni i verifikovani, kako bi se mogli
smatrati pouzdanim u procesu donoenja revizorskog miljenja. Svaka greka mora biti
identifikovana, blagovremeno korigovana uz pomo planskih i preciznih procedura koje
garantuju nastavak rada. Upravo iz ovog razloga, Piattini smatra da revizija
informacionih sistema, koja je nekad bila komplement finansijskoj, trenutno ima vlastitu
egzistenciju i moe se smatrati profesionalnom (primj.aut. strunom) disciplinom[8].

3. ASPEKTI REVIZIJE INFORMACIONIH SISTEMA

Aspekti i stepen provoenja revizije prvenstveno zavise od cilja i obima revizije

informacionih sistema.

Slika 1. Mapa uma aspekata revizije informacionih sistema (autor)

3.1. Revizija informacionih sistema prema obimu

Prema obimu revizije, najjednostavniji i najmanje zahtjevan revizorski poduhvat jeste

pregled (engl. Review) ija je svrha ciljani pregled sistema, uglavnom na procese
orijentisan i fokusiran na adekvatnosti zadataka i aktivnosti sistema. Testiranje nalaza se
ili ne provodi ili se provodi u veoma maloj mjeri. Nalazi/dokazi se uglavnom daju u
negativnom kontekstu bez ukljuivanja revizorovog miljenja.

Ukoliko je ugovoren revizorski poduhvat ispitivanja (engl. Examination) je

najkompleksniji, a predstavlja sistematian proces sakupljanja i ocjenjivanja dokaza u
vezi sa tvrdnjama o elementima revizije (entitetima, procesima, operacijama,
kontrolama...) u svrhu izdavanja mjerodavnog revizorskog miljenja o usklaenosti tih
tvrdnji s identifikovanim standardima. Miljenje revizora je sastavni dio izvjetaja.

Kompromisno, organizacija/institucija se moe opredijeliti za ogranienu reviziju

(engl. Agreed-upon Procedures Engagement) posebno u sluaju kada je revizija zahtjev
tree strane. Na ovaj nain se revizija ograniava i unaprijed definiu procedure koje e
biti provedene kako bi trea strana prihvatila zakljuke revizora. Na ovaj nain,
verifikuje se samo onaj dio informacionog sistema koji je od interesa za treu stranu. Na
ovaj nain revizor prikuplja ogranienu (po obimu) ali vjerodostojnu i mjerodavnu
koliinu dokaza za pripremu kvalifikovanog revizorskog miljenja koje se odnosi na dati
skup procedura.

3.2. Podjela prema predmetu revizije

Revizija informacionih sistema, prema predmetu revizije, pokriva nekoliko veoma bitnih
aspekata na osnovu kojih ocjenjujemo funkcionalnost analiziranog informacionog
sistema. U svom angamanu, revizor moe biti ogranien na odreene funkcionalnosti
informacionog sistema, pa u odnosu na cilj i predmet revizije informacionog sistema
moemo imati sljedeu podjelu:
- Tehnika revizija, koja pokriva reviziju infrastrukture, prenosa podataka,
komunikacijske podatke i podatkovne centre;
- Aplikaciona revizija, koja pokriva reviziju poslovnih i finansijskih dijelova (i
aplikacija koje ih podravaju);
- Organizaciona revizija upravljakih kontrola nad informacionim sistemom koja
se moe podijeliti na:
o Razvojno-implementacionu reviziju iji su predmet specifikacije,
zahtjevi, dizajn, razvoj i implementacija informacionog sistema; i
o Revizija zakonodavstva, koja obuhvata reviziju implementiranih
zakonskih rjeenja razliitih nivoa i standarda (nacionalni i
meunarodni standardi), ali i primjenu internih dokumenata
organizacije/institucije.

Prema predmetu revizije, imamo i podjelu revizije informacionih sistema kako je definie
Kalifornijski dravni univerzitet na Long Biu (California State University Long Beach)
na sljedei nain[2]:
- Revizija optih kontrola koje upravljaju razvojem, radom, odravanjem i
bezbjednou sistema aplikacija u datom okruenju (pregledi repozitorijumi
podataka, operativni sistem, bezbjednosni alati, procesi i procedure itd);
 - Revizija aplikacijskih kontrola specifinog sistema aplikacija koji mogu da
podrazumijevaju kontrolu unosa, obrade i izlaza sistemskih podataka, potom
pitanja komunikacija bezbjednosti programa i podataka, kontrola izmjene sistema
i pitanja kvaliteta podataka.
- Revizija razvoja sistema, posebno ocjenjivanje naina i toka procesa razvoja
proizvoda (metodologija, politike, procedure).

Potrebno je napomenuti da su Revizija razvoja sistema i Razvojno-implementaciona

revizija dva sutinski istovjetna oblika pa se stoga mogu i poistovjetiti.

3.3. Prema cilju revizije

Shodno osnovnoj definiciji revizije informacionih sistema utvreni su i ciljevi revizije.

Definicija Cangemija kae da je revizija proces prikupljanja i vrednovanja dokaza na
temelju kojih se moe utvrditi uva li se imovina informacionog sistema preduzea na
adekvatan nain, odrava li se integritet podataka, omoguuje li se efektivno ostvarivanje
postavljenih ciljeva, te koriste li se raspoloiva sredstva efikasno.

Stoga su ciljevi revizije prema Panianu - osnovna odreenja pojma revizije informacionih
sistema sljedei ciljevi [7]:
- Ouvanja imovine, koju predstavljaju ukupnost hardvera, softvera, pomoni
ureaji i materijali, dokumentacija o informacionom sistemu, digitalizovano
znanje (baze podataka), komunikacijska i cloud infrastruktura itd.
- Ouvanja integriteta podataka, kao osnovnim ciljem funkcionisanja
informacionog sistema uz funkciju zatite vrijednosti informacionog sadraja
(materijalnog i nematerijalnog). Osnovu ovog cilja ini osiguranje potpunosti,
nedvosmislenosti, preciznosti i istinitosti (tanosti) podataka u sistemu.
- Unapreenje efektivnosti sistema, s aspekta korisnika sistema i korisnikih
zahtjeva. Informacioni sistem mora efektivno ostvarivati ciljeve koji se pred
njega stavljaju, ali ta funkcionalnost moe zavisiti od niza faktora. Revizijom je
mogue unaprijediti ovu funkcionalnosti, mada ona nekad moe dovesti i do
potrebe zamjene postojeeg sistema to s druge strane moe da dovede u pitanje
odnos-korist implementacije novog ili zadravanja postojeeg sistema.
- Unapreenje efikasnosti sistema kojom se mjeri stepen upotrebe resursa za
obavljanje postavljenih ciljeva sistema. Ti resursi su mnogobrojni, kao to su
procesorsko vrijeme, periferna oprema, memorijski kapaciteti, skladini
kapaciteti, itd. Revizija moe da unaprijedi efikasnost ukoliko utvrdi uska grla u
procesima ili optereenja sistema nevanim ili redundantnim podacima i sl.

3.4. Prema obaveznosti provoenja

Prema obaveznosti provoenja, razlikujemo tri oblika revizije:

- Obaveznu,
- Dobrovoljnu i
- Na zahtjev tree strane.
Revizija informacionih sistema jo uvijek nije obavezna za veliki broj organizacija i
institucija. Kao i u drugim sluajevima primjene novih tehnologija i postupaka, bankarski
sistem prednjai i u ovoj oblasti. Naime, u Bosni i Hercegovini je revizija informacionih
sistema jedino zakonski zahtjevana u bankarskom sektoru. Ovo je sasvim razmljivo iz
razloga to banke rade s linim i drugim osjetljivim vrstama podataka koje je potrebno
adekvatno zatititi. Informacioni sistemi u bankarstvu, posebno oni koji imaju
implemetirano Internet bankarstvo (u bilo kom obliku) veoma su osjetljivi po pitanju
bezbjednosti sistema, pa je stoga i uvedena zakonska obaveza revizije informacionih
sistema. U osnovi ove obaveze lee Zakon o zatiti linih podataka (Sl.glasnik BiH
br.49/06), Pravilnik o nainu voenja i obrascu evidencije o zbirkama linih podataka
(Sl. glasnik BiH broj: 52/09) i Odluka o minimalnim standardima upravljanja
informacionim sistemima u bankama koju su paralelno donijele Agencija za bankarstvo
Republike Srpske 2013.godine i Agencija za bankarstvo Federacije BiH 2012.godine.
Pored ovih, postoji jo niz akata koji se tiu nain organizovanja interne i eksterne revizije
u bankarskom sektoru entiteta.

Dobrovoljna revizija informacionih sistema se javlja jo uvijek u minimalnim i

ogranienim sluajevima. Najee ih primjenjuju institucije koje posluju sa jako
osjetljivim podacima ili preduzea iz sektora osiguranja i reosiguranja, ili velike
kompanije kojima je bezbjednost poslovanja u direktnoj zavisnosti od bezbjednosti
informacionog sistema.

S druge strane, revizija na zahtjev tree strane poinje da ulazi u praksu. Ovakav tip
revizije se javlja kod ugovaranja velikih i znaajnih poslovnih poduhvata koji imaju
prikupljanje ili obradu osjetljivih podataka. U ovom sluaju, jedna od ugovornih strana
kao uslov ugovora trai prethodnu reviziju informacionog sistema druge ugovorne strane
kako bi zatitila svoje interese i/ili intelektualnu svojinu. Ta strana moe, kao ugovornu
obavezu, da trai ili pregled ili ogranienu reviziju zavisno od interesa. Veoma je rijetka
praksa da sudski organi zatrae reviziju informacionog sistema u sudskim procesima kako
bi se dokazali odreeni propusti ili nedostaci koji su doveli ili mogu imati vezu s
predmetom u sporu. U budunosti je oekivati da e upravo ovakvi sluajevi revizije biti
veoma esti obzirom na znaajan porast sajber kriminala, gdje e pored forenzike istrage
biti prisutna i revizija informacionog sistema radi prikupljanja kredibilnih dokaza.

ZAKLJUAK

Revizija informacionih sistema je nova oblast koja iz dana u dan pretenduje da preraste u
multidisciplinarnu naunu oblast. Istorijski korjeni lee u proirenju standardne
finansijske revizije u momentu kada je ogranieno poznavanje informacionih tehnologija
revizora zahtjevalo dodatni angaman informatikih strunjaka. Od tada, sporo ali sigurno
revizija informacionih sistema postaje potreba i rastui trend.

U Bosni i Hercegovini ne postoji zakonska obaveze revizije informacionih sistema javne

uprave. Iz navedene diskusije u radu, moe se zakljuiti da je ovaj tip revizije veoma bitan
za sve informacione sisteme (posebno one podrane savremenim informaciono-
komunikacijskim tehnologijama) koji rade s bilo kojim tipom osjetljivih podataka. Priroda
poslovanja institucija i agencija u javnoj upravi je da upravlja ivotom jednog drutva i
shodno tome da radi s veoma osjetljivim podacima ije curenje moe znaajno da narui
bezbjednost drutva ili njegov prosperitet. Stoga je neophodno da se uvede zakonska
obaveza revizije informacionih sistema, barem u ogranienom obliku, i za institucije javne
uprave, kao to je to sluaj u bankarskom sistemu.

Jedna od stavki kvalitetne revizije informacionih sistema jeste i procjena efikasnosti

internih kontrola informacionih sistema. Upravo te interne kontrole, sa aspekta revizije
informacionih sistema, predstavljaju sistem koji sprjeava, detektuje i ispravlja neeljene
efekte i procese u informatikom okruenju. Tako i u zakonodavstvu (Zakon o internoj
reviziji u javnom sektoru Republike Srpske, Sl.glasnik RS br. 20/14) stoji da interni
revizori treba ocjene elemente sistema za finansijsko poslovanje u pogledu ispunjavanja
zadataka i ciljeva organizacije, ekonominosti i efikasnosti upotrebe resursa, uvanja
sredstava, integriteta i vjerodostojnosti informacija, rauna i podataka. Velika slinost s
definicijom revizije informacionih sistema ide u prilog tvrdnji da postojee zakonodavstvo
treba unaprijediti dodavanjem obavezne revizije informacionih sistema u javnoj upravi
kako bi se i na taj nain stvorile pretpostavke kvalitetne komunikacije, elektronskog
poslovanja u javnoj upravi i podizanja povjerenja u elektronsku komunikaciju s ciljem
prelaska u informaciono drutvo.

REFERENCE

[1] Auditing Concepts Committee, Report of the Committee on Basic Auditing Concepts, The
Accounting Review, 47, Supp. (1972), 18.
[2] California State University Long BeachTypes of Audits. Accessed August 3, 2016.
https://daf.csulb.edu/offices/univ_svcs/internalauditing/audits.html#is.
[3] Cangemi, Michael P. Managing the Audit Function: A Corporate Audit Department Procedures
Guide, 3rd ed., John Wiley & Sons, New York, USA,2000, str.23.
[4] Dube, D.P, Gulati, V.P., Information System Audit and Assurance, Tata McGraw-Hill, New Delhi,
2005., str. 6-7.
[5] Latinovi, B. Informacioni sistemi, Panevropski Univerzitet APEIRON, Banja Luka, 2006., str.21.
[6] Panian, . Kontrola i revizija informacijskih sustava, Sinergija, Zagreb, 2001., str.14.
[7] Ibid str.15.
[8] Piattini, M. Auditing Information Systems, Idea Group Publishing, USA/UK, 2000., str.7.