You are on page 1of 19

See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/302901999

Revizija Informacionih sistema i informacionih tehnologija

Article · April 2016

CITATIONS READS

0 506

1 author:

Ines Isakovic
University “VITEZ” Travnik
20 PUBLICATIONS   0 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Interna revizija View project

All content following this page was uploaded by Ines Isakovic on 11 May 2016.

The user has requested enhancement of the downloaded file.


REVIZIJA INFORMACIONIH TEHNOLOGIJA I INFORMACIONIH
SISTEMA

doc.dr.sc. Isaković Ines, CIA


dr. Isaković-Dražić Lejla

Česta pitanja koja čujemo kada se govori o reviziju su: „Čemu služi revizija''? ili čak
„Zašto postoji potreba za revizijom''? Revizija je nastala kao posljedica razdvajanja funkcije
vlasnika i menadžmenta kompanije, sa ciljem kontrole potrošnje budžetskih sredstava
kompanije. Nakon razdvajanja funkcija unutar kompanije dolazi do sukoba interesa, jer
menadžment želi da poboljša poslovanje kompanije, a vlasnik želi da rezultati budu realni i
da ne ugrožavaju kapital kompanije. Shodno tome, prilikom podnošenja finansijskog
izvještaja javlja se pitanje o realnosti podataka, a samim tim može doći do ugrožavanja
interesa vlasnika kompanije. Iz tih razloga u sam taj proces se uključuje revizija, koja ima za
cilj da dadne stručno mišljenje da li je finansijski izvještaj koje podnosi menadžment
kompanije istiniti i objektivni. Tek nakon toga mogu se donositi odluke o prihvatanju ili ne
prihvatanju finansijskih izvještaja. Revizija se i koristi da bi revizor dao svoje stručno
mišljenje o financijskom izvještaju. Kao što smo već predhodno rekli revidirani financijski
izvještaji se i koriste radi povećanja kredibiliteta unutar kompanije i van nje.

Mišljenje revizora je bitno za mnogobrojne korisnike.


U praksi se kao potencijalni korisnici tih revidiranih financijskih izvještaja smatraju:
 Dioničari,
 Potencijalni investitori
 Radnici i sindikati,
 Analitičari i savjetnici
 Poslovni partneri
 Vlada i
 Javnost

U Bosni i Hercegovini postoji udruženje internih revizora BiH priznatim kao IIA BiH kod IIA
Global. Svrha udruženja jeste da organizuje seminare, radionice, savjetovanja u cilju
kontinuirane edukacije svih polaznika iz oblasti interne revizije, a sadržaj istih je prilagođen
svim internim revizorima iz oblasti budžetskog, bankarskog i sektora privrede.
Udruženje ima za cilj da unaprijedi rad interne revizije unutar granica Bosne i Hercegovine,
što se može i vidjeti s obzirom da su punopravni članovi IIA Global (Svjetski institut interne
revizije) i ECIIA (Evropska Konfederacija Instituta Internih Revizora). Njihovi seminari i
radionice bazira se na predstavljanju novina u reviziji i praćenju Međunarodnih standarda
interne revizije.

Predmet revizije može da bude svaka informacija koja se može kvantifikovati i


provjeriti. Iz tog možemo zaključiti da računovođa ne mora poznavati pravila revizije, dok
svaki revizor mora odlično da poznaje računovodstvo i financije. Do financijskih izvještaja
dolazimo iz računovodstva, kao i druge korisne informacije, na osnovu čega revizori ima za
ulogu da poveća vrijednost informacija koje kreira računovodstvo.

Postoje četiri glavne vrste revizije:

1. Eksterna i interna revizija


2. Revizija finansijskih izvještaja
3. Revizija poslovanja
4. Revizija dosljedne primjene zakona i propisa

Imamo grafički prikaz vrsta revizija ovisno od tijela, objekta i područja ispitivanja.

Slika 1: Grafički prkaz temeljnih vrsta revizije

Kada se govori o reviziji najčešće se misli na eksternu reviziju, gdje pored eksterne
revizije razlikujemo internu reviziju, gdje ćemo u nastavku objasniti značenje oba tipa
revizije.

Razlozi zbog kojih se i javlja potreba za revizijom i revizorima unutar organizacije to su:

1. Interni razlozi – uloga revizora jeste da ukaže na loše poslovanje organizacije i da


savjete, kako bi se u budućnosti mogao otkloniti taj problem i uspješno poslovati
2. Eksterni razlozi - koji su u uskoj vezi sa objavljivanjem financijskih izvještaja
Slika 2: Grafički prikaz kriterija za ocjenu i određivanje postupaka ocjene realnosti i
objektivnosti financijskih izvještaja

Dok sa druge strane kod interne revizije razlikujemo dva tipa revizije i to:

1. Računovodstvena
2. Administrativna (u ovu skupinu spada IT revizija, koja ćemo govoriti u
narednom dijelu rada)

Slika 3: Grafički predstavljen kriterij za ocjenu i određenje postupka ocjene poslovanja


kompanije
S obzirom da smo predhodno govorili o eksterne i interne revizije, možemo da
zaključimo da one međusobno imaju znatne razlike, ali jedna drugu ne isključuju nego
naprotiv one se nadopunjuju.

Uloga eksterne i interne revizije na današnjem konkurentnom tržištu jeste da zaštita


interesa vlasnika kapitala (investitora), te da olakša upravljanje postojećim kapitalom, kao i da
pomogne prilikom nabavke dodatnog kapitala.

Zadatak revizije kada se misli na reviziju financijskog, jeste da uz pomoć


finansijskog izvještaja uspostavi kredibilitet između kompanije i zainteresovane skupine, iz
razloga jer financijski izvještaj predstavlja informacije o uspješnosti poslovanja kompanije,
njenog finansijskog položaja, nudi informacije o kapitalu, te novčanim tokovima. Što u
suštini znaći da je objekt revizije poslovanje kompanije sa naglaskom na financijski izvještaj,
koji je i rezultat tog poslovanja, a predmet revizije jeste usklađivanje poslovanja kompanije i
financijskih izvještaja sa unaprijed postavljenim kriterijima. Na ovaj način funkcionišu i svi
ostali tipovi revizije i imaju krajnji cilj da unaprijede poslovanje kompanije koja se revidira.

Slika 4: Zadatak revizije

S obzirom da govorimo o finansijskom izvještaju komponente koje ga čine su:

 Bilans stanja - sadržava pregled imovine, obaveza i kapitala na određeni dan;


 Bilans uspjeha - sadržava pregled prihoda, rashoda i rezultata ostvarenih u
određenom vremenskom periodu;
 Izvještaj o tokovima novca - pruža informacije o primanjima i izdavanjima tokom
određenog obračunskog perioda;
 Izvještaj o promjenama na kapitalu - pruža informacije o promjenama na kapitalu
pravnih lica tokom određenog obračunskog perioda;
 Napomene – koje sadržavaju računovodstvena bilješke, koje čitaocu pomažu da bolje
razumije financijski izvještaj.
Konačni finansijski izvještaj za vlasnika kapitala, kao i revizora je bitan iz razloga što je on
pokazatelj poslovanja jedne kompanije, na taj način dobijemo čitavu sliku o kompaniji koju
revidiramo. Pored revizora finansijski izvještaj je bitan i za potencijalne investitore, jer na taj
način mogu da uvide financijsko stanje kompanije u koju žele investirati.

REVIZIJA INFORMACIONIH SISTEMA

U konačnici uspješnost jedne organizacije se ogleda u učinkovitosti, djelotvornosti


ovisi od funkcioniranja informacijskog sistema, iz tih razloga neophodno se bazirati na
njegovom upravljanju, kontroli, i reviziji. Revizija informacionih sistema ili još poznata kao
Information system audit, omogućuje neovisnu i objektivu procjenu rizika rada informacionih
sistema, testiranje modula, te da bi se na taj način došlo do procjene kako za unutrašnje, tako i
za vanjske saradnike, zadovoljava li informacioni sistem ciljevima poslovanja organizacije,
omogućuje li neometano rad, te da li je oprema zaštićena, a kao rezultat se dobije pohvala ili
moguća eventualna preporuka za poboljšanje.

Nužnost revizije informacionih sistema

Svaki informacioni sistem ima svoj životni ciklus, iz razloga što svaki sistem u nekoj
tački u vremenu nastaje, zatim se razvija i nakon izvjesnog vremena nestaje, tačnije biva
zamijenjen nekim drugim.
Kada govorimo o životnom ciklusu informacionog sistema tada možemo da kažemo da on
ima četiri faze, koje također Željko Panian spominje u svojoj knjizi „Kontrola i revizija
informacijskih sustava“, a to su:

1. Faza inicijalizacije – u ovoj fazi menadžment kompanije ukazuje na potrebu za


razvojem informacionog sistema, te uz zajednički razgovor i sugestije dolazi do
pripreme sistema.
2. Faza ekspanzije – nakon izvjesnog vremena koje je uloženo, zatim sredstva, znanje i
sam trud nastupa faza ekspanzije ili rasta. U ovoj fazi se priprema oprema, vrši se
edukacija kadra i vrši se umrežavanje sistema.
3. Faza konsolidacije – poznata još kao i faza sazrijevanja sistema gdje sistem ostvaruje
određen kriterij po pitanju kvalitete, učinkovitosti i djelotvornosti.
4. Faza zrelosti sistema – u ovoj fazi korisnici informacionog sistema počinju da
dobivaju potrebne informacije i cilj jeste da sistem što duže bude u ovoj fazi kako bi
se ulaganje kompanije isplatilo.

Dio svakog informacionog sistema u današnje vrijeme je računar, čiji je zadatak


obrada podataka i davanje informacija, koje će menadžmentu omogućiti da na lakši način
donesu važne odluke. U današnje vrijeme računar ima takvu cijenu da ga sebi može priuštiti
ne samo kompanija nego i individua, fokus ipak treba da bude na opremi za obradu podataka1,
što vodi do temeljite i svakodnevne kontrole i revizije istih.

Sedam razloga zbog kojih se revizija informacionog sistema smatra od krucijalne


važnosti i o kojima također u svojoj knjizi raspravlja Željko Panian su:

1. Troškovi gubitka podataka – podaci predstavljaju osnovni resurs svake kompanije i iz


podataka posebnom obradom dolazimo do značajnih informacija. Međutim, u slučaju
da dođe do gubitka podataka kompanija nema potrebnu informaciju i može sebe da
dovede do poslovnog gubitka. Iz tih razloga potrebna je stalna kontrola rada računara
u informacionom sistemu.
2. Troškovi donošenja neodgovarajućih, odnosno pogrešnih odluka – na donošenje
odluke od krucijalne važnosti je kvalitet podataka i način donošenja odluka.
3. Troškovi zlouporabe informatičke opreme – glavni razlog zašto se i vrši kontrola i
revizija IS-a jeste zloupotreba informatičke opreme. Način na koji se oprema može
zlouporabiti je npr. Napadi hakera, razni virusi, krađa opreme i sl.
4. Vrijednost opreme, programa i uposlenika – podaci se smatraju kritičnim resursom
informacionog sistema, ali isto tako i hardware (oprema), software (program) i
lifeware (korisnici). U današnje vrijeme vrijednost opreme i programa opada ali
vrijednost informatičkih stručnjaka koji održavaju sve to je u porastu, jer sve više je
korisnika, te je potražnja za stručnjacima velika. Gubitak opreme, kao i uništavanje
programa može da dovede kompaniju na rub propasti, iz razloga što poslovanje bi joj
bilo djelimično ili u potpunosti onemogućeno, što iziskuje velike nepotrebne troškove.
5. Troškovi pogrešaka uzrokovanih računarima – u današnje vrijeme računari
zamjenjuju neke poslove što su prije obavljali ljudi i iz tih razloga njihova kontrola i
revizija je neophodna da ne bi pravili pogreške koje mogu čak da budu i pitanje života
i smrti.
6. Očuvanje privatnosti – svaki podatak koji posjeduje kompanija, pa čak i onaj o
klijentima mora da bude zaštićeni, jer ih pojedinci mogu zlouporabiti. Iz tih razloga,
društvena zajednica bih trebala uz pomoć svojih organa uprave i vlasti da donese
zakonsku regulativu kojom bi zaštitila privatnost pojedinca.
7. Kontrolirano unapređenje upotrebe informatičke opreme – kako je već predhodno
rečeno informacioni sistem svoj rast doživljava u fazi ekspanzije, gdje može doći do
neočekivanih aktivnosti, koje se u fazi konsolidaciju otklanjaju. Daljnja ulaganja i
nadograđivanja sistema trebaju se nastavljati i poslije završne faze životnog ciklusa
informacionog sistema.

1
Programi za obradu podataka su OLAP i OLTP kada se govori o skladištu podataka (Data Warehouse), DBMS
(Database Management System) software za upravljanje podacima i rudarenje podacima (Data Mining) za
pronalaženje znanja u bazi podataka
Definiranje pojma revizije informacionog sistema

Prema Željku Panianu pod pojmom revizije informacionih sistema podrazumjevamo


prikupljanje i vrednovanje dokaza na osnovu kojih možemo doći do spoznaje da li se čuva
imovina informacionih sistema kompanije na odgovarajući način, održava li se integritet
podataka, omogućuje li se djelotvornost ostvarivanja postavljenih ciljeva, te koriste li se
raspoloživa sredstva učinkovito.

Rezimirano, cilj revizije informacionih sistema jeste da ostvari tradicionalne ciljeve i to:
 Dokazne ciljeve koji se odnose na očuvanje imovine i integriteta podataka
 Upravljačke ciljeve koji se odnose na provjeravanje djelotvornosti i učinkovitosti
ostvarivanje dokaznih ciljeva

Pored gore navedenih ciljeva zadatak revizije informacionih sistema bazira se na


utvrđivanju sprovodi li kompanija odgovarajućim propisima, pravilima i uvjetima koje joj
zakon nalaže.

Iz ovoga možemo da donesemo konačni zaključak da je zadatak revizije informacionih


sistema da:

1. Osigura bolje čuvanje imovine informacionog sistema kompanije – imovinu


informacionog sistema neke kompanije podrazumjevaju hardware, software,
digitalizirano znanje, sistemska dokumentacija, kao i pomoćni uređaji i materijali
2. Što viši stupanj integriteta podataka – kad je pitanje revizije informacionog sistema
pod ovim pojmom se smatra stupanj kojemu podatke karakteriziraju nužni atributi i to:
potpunost, jasnoća, čistoća i istinitost.
3. Promocija djelotvornosti sistema – kada govorimo o djelotvornosti sistema, a u vezi
sa revizijom informacionih sistema mislimo na sposobnost sistema da ostvari zadane
ciljeve.
4. Promocija učinkovitosti sistema – ovdje se misli na sposobnost sistema da koristeći
najmanje mogućih resursa za ostvarivanje zadanih ciljeva.

Slika 5: Uticaj postupaka revizije na informacioni sistem kompanije


Revizijski rizici

U procesu revizije revizor nailazi na moguće revizijske rizike, koje je detaljno u svojoj
knjizi ''Korporativno upravljanje rizicima i provedba revizije informacijskih sustava'' obradio
Mario Spremić. Sam početak revizije jeste pribavljanje revizijski dokaza kako bi steklo
uvjerenje o pouzdanosti informacionog sistema. Uprkos tome, bez obzira na to koliko revizor
predano radio na postupku prikupljanja revizijski dokaza, kao i koliko revizijski dokazi bili
zadovoljavajući, revizor nikada neće steći potpunu sigurnost u pouzdanost informacionog
sistema. Revizija informacionih sistema menadžmentu povećava povjerenje u sam sistem, ali
ne nudi i potpunu sigurnost.

Šta podrazumjevamo pod pojmom revizijskog rizika? Mogućnost revizora da nenamjerno


iskaže pogrešno mišljenje o informacionim sistemima. Revizijski rizik se čine tri
komponente2:

 Inherentni rizik je rizik da se odnose na pogreške u financijskim izvještajima,


odnosno da je neka transakcija podložna pogrešci koja bi mogla postati materijalno
značajna, podrazumijevajući da nema odgovarajuće interne kontrole. Ova vrsta
rizika ne podliježe utjecaju revizora niti ju on može kontrolirati.
 Kontrolni rizik je rizik da značajna pogreška koja se mogla javiti u izjavama
uprave poduzeća o financijskim izvještajima, neće pravodobno biti ni spriječena
niti otkrivena pomoću interne kontrole. Ispitivanje interne kontrole dovodi do
procjene razine kontrolnog rizika koji može biti procijenjen subjektivno kao:
visok, umjeren ili nizak. Kad je testovima (interne) kontrole procijenjeno da je
kontrolni rizik mali, uslijedit će manji opseg dokaznih testova, tj. bit će manje
angažmana na reviziji salda. Tada revizor raspolaže dokazima da računovodstveni
sistem generira značajno tačne financijske informacije. Ako je kontrolni rizik
velik, tada dokaz o internoj kontroli svjedoči da su moguće značajne pogreške jer
su kontrole neučinkovite ili ih nema i tada je potreban veći angažman kod
dokaznih testova, tj. revizije salda. To je rizik nedostatka dokaza, tj. interna
kontrola ne otkriva i ne sprječava materijalne pogreške, što ima izravan utjecaj na
opseg posla revizora.
 Detekcijski rizik je rizik da revizijski postupak neće otkriti značajne pogreške
koje postoje u financijskim izvještajima, u saldima računa ili u vrstama transakcija.
Razina rizika neotkrivanja izravno se odnosi na revizorove dokazne postupke, vidi
MRevS 40024.

S obzirom da svaki revizijski izvještaj sadržava revizijski rizik bit jeste da ga revizor
nastoji svesti na prihvatljiv nivo. Obzirom na specifična područja na koja se odnose, razlikuju
se slijedeće vrste informatičkih rizika:

2
Prof. dr. sc. Ksenija Dumičić, Izučavanje Alfa I Beta Rizika U Dokaznim Testovima Revizora, Zagreb, 2005
1. Poslovni rizik – ovaj tip rizika se odnosi na pogrešne strategije informatike, rizik
tržišnog takmičenja, operativni, financijski rizik, itd.
2. Rizik revizije – jeste inherentni, kontrolni, detekcijski, ukupni revizijski rizik.
3. Sigurnosni rizici – pod ovim rizicima smatramo one poput pristupa programima i
podacima, fizičke i logičke sigurnosti sistema, tačnosti i pouzdanosti aplikacija, itd.
4. Rizici neprekidnosti poslovanja – koji se odnose na dostupnost informacionog sistema,
kontinuitet poslovanja uz podršku sistema, rizik oporavka nakon neželjenog događaja.

Svrha identifikacije informatičkih rizika jeste u tome da se uvidi njihov uticaj na


poslovanje i klasifikaciju prema kritičnosti i vjerojatnosti nastanka, odnosno njihova
učestalost pojavljivanja. Iz tih razloga ove rizike smatramo poslovnim, odnosno upravljačkim
rizicima. Kontrola ovih rizika bazira se na stalnom praćenju izloženosti poslovanja svim
vrstama rizika i njihove ključne indikatore.

Revizija informacionih sistema postaje i regulatorna obveza koju kompanije i uprava


moraju ispuniti. Međutim, Složenost informacionih sistema zahtjeva visoku stručnost i
kompetenciju revizora informacionih sistema. U današnje vrijeme kompanije se suočavaju s
nedostatkom stručnog kadra i visokim troškovima vođenja službi za reviziju informacionih
sistema, što dovodi do neispunjavanja postavljenih ciljeva.
Revizija informacionih sistema bazira se na reviziji općih i aplikativnih kontrolnih mjera, s
obzirom na visinu prisutnih rizika. Ciljevi revizije jeste da ustanovi kakva je usklađenost
kontrolnih mjera oslanjajući se na pravila poslovanja, s mjerama koje su predviđene
profesionalnim normama.
Reviziju informacionih sistema može da sprovodi samo ovlašteni revizor informacionih
sistema, sa certifikatom CISA ("Certified Information Systems Auditor"). Postupak revizije
se zasniva na standardima i smjernicama međunarodne organizacije ISACA te preporukama
COBIT-a.

Pregled revizijski metoda i procedura

Rad revizora započinje nakon što dobije formalan nalog od strane menadžmenta
kompanije i koristi se raspoloživim revizijskim metodama ili čak kombinacijom istih. Neki od
bitnijih postupaka, a na koje se bazirao i Željko Panina ćemo objasniti u nastavku:

 Uvid u predhodno izvršene revizije – korištenjem metoda intervjua, inspekcija i


opažanja želi se uvidjeti kakve se administrativne i računovodstvene kontrole
prakticiraju, sa ciljem promocije i djelotvornosti sistema i očuvanja imovine i
integriteta podataka.

 Tstiranje kontrola – da li su administrativne i računovodstvene kontrole dobro


smišljene i provedene.
 Provedbeni testovi detalja transakcija – koriste se da se stekne detaljan uvid u
transakcije, koje mogu biti uzrok loše djelotvornosti i učinkovitosti sistema.

 Provedbeni testovi ukupnih rezultata – odnose se na brzinu samog sistema npr. Kod
elektronskog poslovanja to je pravilo osam sekundi gdje upit kupca mora biti
dogovoren u navedenom vremenu kako bi se zadržala njegova pozornost i lojalnost.

 Analitičke revizijske procedure – ova procedura predstavlja nastavak dvije


prethodne metode testiranje detaljnih transakcija i ukupnih rezultata rada sistema. Ova
procedura se primjenjuje u slučajevima kada revizor uvidi potrebu za njenim
provođenje.

Tipovi IT revizije
Postoji više tipova It revizije koje se dijele prema potrebama kompanije I područjima
djelovanja:

 Tehnička revizija IT - koja podrazumjeva reviziju infrastrukturu, prijenos podataka i


komunikacija, kao i centre podataka
 Aplikaciona IT revizija - koja podrazumjeva poslovne i finansijske dijelove
 Organizaciona IT revizija - koja se bazira na reviziji kontrola nad informacionim
tehnologijama
 Razvojna i implementaciona IT revizija - koji revidira specifikacije, zahtjeve, dizajn
i razvoj, te implementaciju
 Zakonska IT revizija - koja se odnosi na usklađenosti poslovanja sa zakonima i
međunarodnim standardima

Svaka kompanija podliježe reviziji da bi im revizori procijenili kvalitetu obrađenih


podataka u informacionom sistemu. U tom slučaju revizor koji revidira ovakve funkcije mora
da ima visok nivo profesionalnosti, a i ovakve revizije su sastavni dio revizorskih funkcija.

Područja IT revizije

Svrha revizora je da daje pored savjetodavnih usluga da i pruža sigurnosti da će sve


operativne kontrole biti u funkciji i će raditi kako efikasno tako i učinkovito. Možemo da
zaključimo da revizor i uprava imaju za ulogu da zajednički osiguraju pravilan rad
informacionih tehnologija i operacije koje se odnose na informacione tehnologije kao i
procesa i usluga.
Tehničke vještine Optimizacijske vještine Revizija i tehničko znanje
Hardware Radno iskustvo Sistemsko znanje
 Mreža Opće upravljanje  Razvoj
 Internet  Stupanj  Metodologija
 Sigurnost  MBA poželjan  Računarske operacije
Software Komunikacija  Iskustvo sa IT-em
 Operativni sistem Rješavanje problema  Kontrole
 Baza podataka Socijalni Revizijsko znanje i iskustvo
 SQL  Generalni  Revizijski okvir
 Windows i Office aplikacije  Želja za putovanjem - COBIT
 Programiranje  Želja za dužim radom - COSO
 ERP  Sati  Revizijski proces
*Alati za pomoć pri reviziju računara  Strani jezik  Generalno revizijsko znanje
**Revizija programskih jezika  Sarbanes-Oxley zakon
***SQL  404 iskustvo
****ERP  Velika 4 iskustva
Certifikati

Organizacija vještina

Načini na koje se mogu educirati revizori informacionih tehnologija su:

1. Prvi je edukacija uz pomoć određenih programa. Ovaj tip edukacije se koristi za


poslenike koji dolaze na već postojeću informatičku opremu.
2. Drugi način je sudjelovanje na seminarima koje održavaju profesionalne organizacije
i dobavljači. Ovakav tip edukacije zahtjeva veliku financijsku podršku, jer se pored
kotizacije moraju da plate za smještaj, putovanja i gubitak vremena sa radnog mjesta.
3. Treći način je onaj staromodni koje se tiče edukacije o reviziji informacionih
tehnologija i sistema već na samom univerzitetu.

Da bi se vršila revizija informacionih sistema neophodno je široko znanje o


informacionim tehnologijama.

Neke posebne vještine koje su potrebne:

 Razumijevanje funkcije, očekivanja i cjelokupnog rada informacionog sistema u


reviziji, projektnog menadžmenta i software-a,
 Korištenje CAAT (computer-assisted audit tools) alata i tehnika,
 Revizor mora da ima sposobnost da procijeni koja su privatna pitanja, kao i sigurnosti
koja mogu donijeti rizik kompaniji,
 Evolucija životnih ciklusa razvoja informacionih sistema (SDLC - System
Development Life Cycles),
 Razvoj novih tehnika koje uključuju brze izrade sistema i prototipiranje sistema,
 Primjena rizik-orjentisanog pristupa reviziji,
 Pregled i verifikacija informacionih tehnologija kompanije bazirajući se na pravna
pitanja,
 Primjenu nacionalnih i međunarodnih standarda kao što je ISO 9000 / 3, ISO 27001,
ISO 27002,
 Formiranje izvještaja i obavljanje pregleda kako bi se osiguralo da je posao adekvatno
urađen.

Revizija informacionih sistema

Uspješnost informacionog sistema može se procijeniti na osnovu provedene revizije


informacionog sistema, tako da se prikupe i procjene dokazi i podaci. Revizija informacionih
tehnologija i sistema određuje da li korišteni IT resursi podupiru postojeće poslovne ciljeve.
Također ona nam govori na kojem je stepenu efikasnosti podupire buduće ciljeve poslovnog
razvoja. Revizija informacionih tehnologija i sistema spada u skupinu administrativnih
revizija i poprilično je mlada branša, čija je uloga da podupire finansijsku reviziju.
Revizija informacionih tehnologija obično se i provodi zbog obavezujući zakonskih regulativa
kao što su Sarbanes-Oxley Zakon, Basel II norme.
Česta se misli da su informacioni sistemi posebna, izolirana kontrolna okruženja koja su
odvojena od internih kontrola sistema. Razlozi koji vode ka ovom mišljenju i interpretaciji je
pogrešno tumačenje poslovnih rizika, gdje krajnji korisnik trpi posljedice. U svrhu boljeg
poslovanja kompanije i dostizanja zadani poslovnih ciljeva od krucijalne važnosti je vršenje
revizije informacionih sistema.

Priprema i planiranje revizije informacionog sistema


Prije nego se počne pokretati sam postupak revizije informacionog sistema kompanije,
treba prvo odrediti koji je cilj te revizije, razlog zašto se ulazi u sam postupak revidiranja,
karakteristike kompanije i informacionog sistema kojim se ona koristi. Također,bitna stavka
je i unaprijed odrediti dokumentaciju koja će se tražiti od kompanije i odrediti uposlenike nad
kojima će se provoditi intervju. Fokus revizije informacionog sistema će biti na segmentima
sistema koji su najjači i najslabiji. Pored gore navedenih odredaba revizije, također je bitno
odrediti do kojih detalja će se revizija sprovoditi. Kako već znamo da se svaki informacioni
sistem sastoji od više modula, od kojih su neki važniji, a neki se smatraju sporednim, u
pripremnoj fazi revizije potrebno je odrediti koji su moduli od krucijalne važnosti za rad
sistema i odrediti njihovu izloženost rizicima.

Revizija informacionih sistema se može planirati dugoročno i kratkoročno.


Dugoročni planovi predstavljaju okvir za kratkoročne planove, što znači da su kratkoročni
planovi detaljna razrada dugoročnih. Dugoročno planiranje je bitno prilikom utvrđivanja
fokusa revizijskih aktivnosti, dok se kratkoročni planovi odnose na konkretan revizijski
posao.
Prilikom realizacije kratkoročnog plana revizije potrebno je koristiti načela upravljanja
rizicima, koji imaju svoje korake, koje također Željko Panian navodi u svojoj knjizi, a to su:

1. Identifikacija jedinice istraživanja – danas se po ovim rizicima podrazumjeva


nabava materijala, fakturisanje isporučene robe, i sl.

2. Identifikacija skupa generičkih rizika savjetodavnih jedinici istraživanja – kada


je riječ o ovim rizicima imamo podjelu prema J. Erickson-u koji ih dijeli na
financijske i sistemske, i prema konsultantskoj kući Arthur Andersen koji razlikuju
rizike okruženja, procesa i informatike.

3. Utvrđivanje težine rizika za svaku jedinicu istraživanja – ovdje se određuje težina


svakog generičkog rizika.

4. Utvrđivanje revizijski prioriteta na temelju težini rizika – nakon što je u


prethodnom koraku svakom riziku određena njegova težina, u ovom koraku se na
osnovu toga određuje prioritet i to je osnova za planiranje revizije.

5. Utvrđivanje sredstava potrebnih za izvršenje programa revizijski aktivnosti –


ovdje se određuju potrebna sredstva i uposlenici koji se neophodni da bi se proveo
plan revizije.

Provođenje postupka revizije informacionog sistema

Da bi se provela revizija informacionog sistema potrebno je proći kroz pet osnovnih


koraka koje Željko Panina u svojoj knjizi „Kontrola i revizija informacijskih sustava“ navodi,
a to su:

1. Analiza dokumentacije
2. Prikupljanje revizijski dokaza

a) Intervjui, ankete i neformalni razgovori


b) Tehničko ispitivanje i testiranje sistema

3. Analiza i vrednovanje revizijski dokaza


4. Priprema revizijskog izvještaja
5. Predstavljanje revizijskog nalaza (izvještaja)

Analiza dokumentacije

Prvi korak pri reviziji određene kompanije jeste prikupljanje već postojeće dokumentacija,
koja će biti od koristi da revizor uoči problematiku kompanije i bit će im osnova za
prikupljanje određenih dokaza, vršenje usporedbi, analiza i donošenje određenih sudova.
Revizoru će prilikom obavljanja revizije biti potrebna i unutarnja i vanjska dokumentacija.
Pod pojmom vanjska dokumentacija smatraju se zakoni propisi, ugovori, standardi i sl. Dok
sa druge strane pod pojmom unutrašnje dokumentacije smatramo tri vrste dokumenata i to:

 Upravljački dokumenti – su razne vrste pravilnika koje regulišu rad kompanije


 Radni dokumenti – su razni dokumenti koji služe kao osnova obavljanja poslovnih
procesa (radni nalozi, nalozi za isporuku robe...)
 Pomoćni dokumenti – njihova upotreba nije formalno propisana (memorandum,
vlastiti zapisi, reklamacije kupaca...)

Prikupljanje revizijski dokaza

Sama bit revizijskog posla i jeste da prikupe dokaze kako bi kasnije i na osnovu čega
bi kasnije mnogi dati svoje mišljenje. Prikupljanje dokaza obavlja se na dva načina:

 Putem intervjui, ankete i neformalni razgovori i


 Intervjui, ankete i neformalni razgovori

Intervju
Ovom metodom revizori žele da dođu do što boljih i kvalitetnih informacija o
informacionom sistemu, a to je moguće dobiti samo od personala koji radi svakodnevno na
tom sistemu. Da bi svaki intervju prošao uspješno on unaprijed mora da bude pripremljen i to:

- Obaviti predhodno istraživanje kompanije


- Odrediti personal koji će se intervjuirati
- Pripremiti sadržaj intervjua
- Dogovoriti vrijeme i mjesto intervjua
- Predhodno prikupiti i provjeriti informacije ispitanika

Nakon što je intervju predhodno pripremljen slijedi proces intervjuiranja. Prilikom


intervjua glavni zadatak je da se stekne međusobno povjerenje, kako bi revizor mogao da
dostigne svoj cilj.

Svaki revizor koji obavlja intervju mora se pridržavati protokolini pravila:

- Ne odstupati od glavne teme


- Više slušati ispitanike, nego što bi oni trebali da govore
- Omogućiti vrijeme za razmišljanje ispitanicima
- Držati intervju na pristojnom nivou
- Izbjegavati ironičnost i sarkazam, kao i duhovitost
- Izbjegavati žargone u razgovoru
- Revizor koji ispituje treba da bude pažljiv i zainteresovan
- Bez sukoba sa ispitanicima
- Na pitanja ispitanika treba ljubazno odgovarati
- Revizori koji ispituju trebaju da stvore ugodnu atmosferu za rad, bez pretjerane
formalnosti
Nakon provedenog intervju slijedi njegova analiza i to u što kraćem vremenu, jer
informacije mogu da izblijede i nakon nekoliko sati.

Anketa

Ovaj postupak se odavno koristi u svrhu procjene kvalitete kontrola u sistemu ili kao
sredstvo prikupljanja dokaza, gdje revizori vrše analize dobivenih odgovora.

Izrada anketa ima svoja pravila i smjernice:

- Pitanja moraju biti jasna


- Koristiti jednostavan jezik, da ga svatko može razumjeti, ne previše stručnih riječi
- Pitanja ne smiju iziskivati dvosmislene odgovore
- Prilagoditi pitanja grupi ispitanika, da se ne desi da oni o tom ne znaju ništa ili vrlo
malo

Prilikom kreiranja ankete treba voditi računa o izgledu i dužini, da anketa ne bi postala
zamorna. Ankete se ne mogu uvijek provoditi, zato je zadatak revizora da spozna kada se
anketa može koristiti, koji tip i što će se dobiti nakon provedbe ankete. Ako se koriste
elektronske ankete koraci moraju biti jasno definirani, jer ih ispunjavaju udaljeni korisnici, a
također revizori mogu sami popunjavati ankete prilikom intervjuiranja korisnika.

Neformalni razgovor

Na osnovu ovakvih razgovora revizor dolazi do nekih činjenica i subjektivnih


prosudbi, koje su teško dostupne iz službenih izvora.
Tehničko ispitivanje i testiranje sistema

U ovoj fazi revizori koriste određena software-ska rješenja koja skeniraju sistem.
Ovakva rješenja mogu da prikupe velike količine podataka ili samo one za koje su revizori
zainteresovani.

Uobičajeno je izvršiti ključne testove performansi i komponenti sistema kao što su:
- Vremenski pokazatelji – odnosi se na brzinu sistema da korisniku dadne odgovor na
postavljeni upit, zatim vrijeme od unosa zahtjeva do njegovog izvršavanja, te vrijeme
od završetke jedne transakcije i unosa zahtjeva za izvršavanje druge.
- Pokazatelji propusne moći – odnose se na koliku količinu posla može da odradi sistem
u određenom vremenskom periodu.
- Pokazatelj iskorištenja – odnosi se na mjerenje vremena zauzeća sistemskih resursa.
- Pokazatelj pouzdanosti – mogućnost sistema da obavlja zadatke koji mu se postave, a
da nema pogrešaka u obradi podataka.

Analiza i vrednovanje revizijski dokaza

Nakon što se izvršilo prikupljanje potrebnih podataka, zadatak revizora je da izvrši


vrednovanje tih podataka, da se vidi koliko se štiti imovina informacionog sistema i integritet
podataka, te koliko sam sistem pridonosi povećanju poslovanja kompanije.

Priprema revizijskog izvještaja


Ovoj fazi se treba pristupiti jako ozbiljno, jer tu revizor ispoljava svoju kreativnost,
inventivnost, ekspertizu i kompetentnost. Svaki revizijski izvještaj nije namijenjen samo
jednim korisnicima, iz tih razloga u njemu tačno treba biti označen dijelovi koji spadaju u čiju
sferu interesovanja.

Struktura revizijskog izvještaja se zasniva na sažetku, koji menadžmentu ukazuje na


razloge zbog kojih se provela revizija. Zatim glavni dio izvještaja, koji je detaljan i sadrži
revizijske stavove i preporuke potkrepljene dokazima.

Predstavljanje revizijskog nalaza (izvještaja)

Nakon završetka izvještaja treba ga dostaviti kompaniji, ali ne na način da se dostavi u


pisanoj formi, jer postoji niz negativnih aspekata:

- Čitanje iziskuje puno vremena


- Da li će komentari i preporuke biti ispravno shvaćeni
- Čitaoc nema mogućnost izravnog postavljanja pitanja ako mu nešto nije jasno u
izvještaju
- Povratne reakcije na izvještaj stižu sa zakašnjenjem i sl.
Iz tih razloga danas se vrši prezentacija revizijskog izvještaja pred svim upslenicima kojih
bi se taj izvještaj mogao ticati.

Slika 6: Prezentacija izvještaja

Aktivnosti nakon revizije

Nakon obavljanja revizije informacionog sistema i prezentacije reviijskog izvještaja,


posao revizora nije završen. Kompanija ima zadatak da uvaži prijedloge revizora i da sve
nedostatke unutar kompanije pokuša da unaprijedi. U ovom postrevizijskom periodu revizor
je na usluzi konzultanta i na taj način, uz zajedničku suradnju, imaju preduvjet da ostvare
ciljeve poduzete revizijom informacionog sistema.
REFERNCE:

[1] Željko Panian, Mario Spremić i suradnici, Korporativno upravljanje i revizija inforacionih
sustava, Tiskara Zelina, Zagreb, 2007. god.

[2] Prof. Dr. Mario Spremić ''Korporativno upravljanje rizicima i provedba revizije informacijskih
sustava'', Zbornik radova, V. Savjetovanje ''Interna revizija i kontrola'' u organizaciji Hrvatske
zajednice računovođa i financijskih djelatnika u saradnji sa Hrvatskim Institutom internih revizora,
Zagreb-Poreč, listopad 2007.god.

[3]Željko Panian, Kontrola i revizija informacijskih sustava, Zagreb, 2001. god.

[4] Alma Malinović, Zbornik radova, 2010 Sarajevo, Udruženje internih revizora BiH poznato kao IIA
u BiH kodIIA Global

[5] Boris Tušek i Lajoš Žager, Revizija Treće izdanje, 2008 Zagreb, Hrvatska zajednica računovođa i
financijskih djelatnika

[6] Meliha Bašić i Alma Malinović, Priručnik za internu reviziju, 2009 Sarajevo, Udruženje internih
revizora BiH poznato kao IIA u BiH kodIIA Global

[7] Mario Fuš, Miljana Vladec, Iva Kvakić, Bruna Tomino, Ana Klikovac, Revizija - Međunarodni
pristup od Soltanija, Mate Zagreb, 2009,

[8] Prof. Dr. Mario Spremić ''Korporativno upravljanje rizicima i provedba revizije informacijskih
sustava'', Zbornik radova, V. Savjetovanje ''Interna revizija i kontrola'' u organizaciji Hrvatske
zajednice računovođa i financijskih djelatnika u saradnji sa Hrvatskim Institutom internih revizora,
Zagreb-Poreč, listopad 2007

View publication stats