Општи водич за ревизију технологије (GTAG)

GTAG помаже главним руководиоцима ревизија (енгл. Chief Audit Executive - CAE) и
њиховим тимовима да буду у току са непрестано промјенљивим и сложеним информационим
технологијама. Омогућавањем прегледа ризика и контрола повезаних са информационим
технологијама, написаних језиком прилагођеном руководству умјесто употребе високо
техничког језика, дају наду и вишем менаџменту и ревизорском одбору да ће активност
интерне ревизије дати адекватан налаз по питању свих важних ризика. GTAG серија помаже
CAE-у и интерним ревизорима да буду боље упознати с ризицима, контролама и питањима
управљања информационим технологијама.GTAG серију одржава Институт интерних
ревизора у Сједињеним америчким државама (енгл. The Institute of Internal Auditors, Inc. -
IIA1) у периоду од 2005 до 2017.године. Ови водичи се сматрају најважнијим алатом
интерних ревизора код ревизије информационих технологија (и система) којих се великим
дијелом придржавају и екстерни ревизори.

Број Званични назив Година ревизије

водича
1 Information Technology Controls 2005
2 Change and Patch Management Controls: Critical for Organizational Success 2005
3 Continuous Auditing: Implications for Assurance, Monitoring and Risk Management 2005
4 Management of IT Auditing 2006
5 Managing and Auditing Privacy Risks 2006
6 Managing and Auditing IT Vulnerabilities 2006
7 Information Technology Outsourcing 2007
8 Auditing Application Controls 2007
9 Identity and Access Management 2007
10 Business Continuity Management 2008
11 Developing the IT Audit Plan 2008
12 Auditing IT Projects 2009
13 Fraud Prevention and Detection in an Automated World 2009
14 Auditing User-developed Applications 2010
15 Information Security Governance 2010
16 Data Analysis Technologies 2011
17 Auditing IT Governance 2012
18 Understanding and Auditing Big Data 2017

Општи водич за ревизију технологије (GTAG) 1: Ризици и контроле за информационе

технологије
Циљ првог GTAG-а је да помогне унутрашњим ревизорима да постану више упознати с
општим ИТ контролама, како би могли поуздано комуницирати са ревизорским одбором и
размењивати идеје о ризицима и њиховој контроли са релевантним управним структурама
орагнизације. Овај GTAG описује како се чланови управних органа, руководиоци, ИТ
професионалци и интерни ревизори баве значајним питањима везаним за ризик и контролу у
вези са ИТ-ом и представљају релевантне оквире за процјену ИТ ризика и контрола.
Штавише, овим GTAG-ом се поставља основа за сљедеће GTAG-ове који детаљније
1 http://www.theiia.org/
покривају одређене ИТ теме и повезане пословне улоге и одговорности.

Општи водич за ревизију технологије (GTAG) 2: Контроле управљања променама и

закрпама: Критичне за успех у организацији
Управљање промјенама и закрпама дефинисано је као скуп процеса извршених у ИТ
одељењу организације намењених управљању побољшањима, исправкама, инкременталним
исправкама и закрпама у информационом систему, који укључују ревизије кода апликације,
надоградњу система (апликације, оперативни системи и базе података), и промјене
инфраструктуре (сервери, каблови, усмјеривачи, ватрозиди, итд.). Овај водич је развијен како
би помогао интерним ревизорима да поставе тачна питања о организацији ИТ с циљем
процјене способности управљања променама, процјене укупног нивоа ризичности процеса и
утврђивања да ли је потребан детаљнији преглед наведених процеса.

Општи водич за ревизију технологије (GTAG) 3: Континуирана ревизија: Координација

континуиране ревизије и надзора ради пружања континуиране сигурности
GTAG 3 пружа најсавременија упутства и најбоље праксе како би се омогућила успјешна
примјена приступа континуиране ревизије с фокусом на технолошке аспекте континуиране
ревизије. Водич даје кључна разматрања која ревизори требају да спроведу сталну ревизију,
што ће им на крају помоћи да развију боље разумевање пословног окружења и ризика за
компанију како би подржали усаглашавање и повећали пословне перформансе.

Општи водич за ревизију технологије (GTAG) 4: Управљање ИТ ревизијом

Водич је написан на директном пословном језику који уоквирује технолошке концепте у
контексту који је лако разумљив стручњацима за пословање. GTAG-а 4 омогућава CAE-у да
ефикасније и ефикасније управљају својим радом у ИТ ревизији фокусирајући се на три
основне области: одређивање мјеста где су потребни ресурси за ИТ ревизију, прецизно
процењивање ризика везаних за ИТ, и ефикасно извршавање послова ИТ ревизије. Поред
пружања практичних савета за ове три области, водич нуди увид у вјештине које би требало
да поседују ревизори како би били ефикасни у њиховим улогама, те разматра опште
критеријуме за процену зрелости рада ИТ ревизије.

Општи водич за ревизију технологије (GTAG) 5: Управљање и ревизија ризика

приватности
Корисници, добављачи и пословни партнери организације желе да буду сигурни да су лични
подаци прикупљени од њих заштићени и коришћени само у сврхе у које су првобитно
прикупљени. Водич описује основне концепте приватности података у систему, њима
припадајуће овире за управљање приватношћу податка, као и начин на који интерни ревизори
комплетирају процјену приватности података у систему.

Општи водич за ревизију технологије (GTAG) 6: Управљање и ревизија рањивости ИТ

Управљање рањивошћу представља процесе и технологије које организација користи да
идентификује, процијени и уклони рањивости ИТ-а - слабости или изложености у
средствима или процесима везано за информационе технологије, а који могу довести до
пословног или безбједносног ризика. Овај водич је развијен као помоћ главним
руководиоцима ревизије да поставе тачна питања особљу у вези са сигурности ИТ-а
приликом процјене ефикасности процеса управљања ранљивошћу. Водич препоручује
посебне праксе управљања за помоћ организацији да постигне и одржи више нивое
ефективности и ефикасности.

Општи водич за ревизију технологије (GTAG) 7: Оутсоурцинг информатичке технологије,

друго издање
У данашњем пословном окружењу дошло је до повећања компанија које су економски
мотивисане да дијелове процеса у вези са информационим технологијама повјеравају
спељним сарадницима или извршиоцима (енгл. outsourcing) фокусирајући се више на своје
основно пословање. Сврха овог водича за ревизију је помоћи ревизорским тимовима да
утврде опсег ангажовања интерног ревизора када је ИТ дјелимично или у потпуности
повјерена спољним ентитетима. Водич даје информације о врстама повјеравања ИТ спољним
сарадницима (ITO), животном циклусу ITO-а и како унутрашњи ревизори могу приступити
ризику у вези са испоруком ITO-а, а истовремено помаже одредити стратегију укључивања
интерне ревизије у вези са ITO ради заштите интереса организације и испунила очекивања
актера.

Општи водич за ревизију технологије (GTAG) 8: Ревизија контрола апликација

Ефикасне контроле апликација помажу организацији да обезбиједи интегритет, тачност,
повјерљивост и потпуност података и система у цјелини. За ревизора и његов тим је важно да
периодично развијају и извршавају ревизије контрола апликација, како би утврдили да ли су
оне дизајниране на одговарајући начин и да ли ефикасно раде. Водич даје и списак кључних
контрола апликација, огледни план ревизије и списак неких алата за преглед апликација.

Општи водич за ревизију технологије (GTAG) 9: Управљање идентитетом и приступом

Управљање идентитетом и приступом (енгл. Identity and access management - IAM) је
мултифункционални процес који помаже организацијама да управљају тиме ко има приступ и
којим информацијама у одређеном времену. Ревизори би требало да буду укључени у развој
IAM стратегије организације, као и да процјене спровођење стратегије и ефикасност
контрола приступа у компанији. Сврха овог GTAG-а је пружити увид у то шта IAM значи за
организацију и предложити подручја истраживање за интерну ревизију, а истовремено
омогућава разумијевање, анализу и праће IAM процеса организације помоћу приложене
контролне листе за IAM преглед.

Општи водич за ревизију технологије (GTAG) 10: Управљање континуитетом пословања

Овај GTAG фокусиран је на начин на који је дизајнирано управљање континуитетом
пословања (енгл. Business Continuity Management - BCM) како би се омогућило пословним
лидерима да управљају нивоом ризика с којим би се организација могла сусрести у случају
природног или људског поремећаја, а који утиче на даљу оперативност организације. Водич
укључује планирање опоравка од катастрофа за континуитет критичне инфраструктуре
информационе технологије, смјернице за ревизију као и листу припадајућих међународних
стандарда за управљање континуитетом пословања.

Општи водич за ревизију технологије (GTAG) 11: Развој плана ИТ ревизије

Пракса показује да је израда одговарајућег плана ревизије ИТ једна од најслабијих карика у
активностима интерне ревизије. Интерни ревизори једноставно прегледају шта знају или овај
дио ревизије преносе на спољне сараднике, остављајући њима на вољу да одлуче шта ће
прегледати. Овај ГТАГ даје примјер хипотетичке организације којим је показано на који
начин организовати кораке неопходне за дефинисање ИТ ревизије.

Општи водич за ревизију технологије (GTAG) 12: Ревизија ИТ пројеката

Рано укључивање интерних ревизора у имплементацију ИТ пројеката може помоћи у
осигуравању позитивних резултата и пратећих користи од инвестиције. Тиме ревизори могу
послужити као веза између појединих пословних јединица и ИТ функције, указати на
неидентификоване ризике и препоручити контроле за побољшање резултата. Овај GTAG даје
начин на који активност интерне ревизије може активно учествовати у контроли пројеката уз
задржавање независности, укључујући предложени списак питања за употребу у процјени
ИТ пројеката.

Општи водич за ревизију технологије (GTAG) 13: Превенција и откривање преваре у

аутоматизованом свету
Технологија се не користи само за извршење преваре, већ и за спречавање и откривање исте.
Коришћење технологије за имплементацију програма за спречавање и откривање превара у
реалном времену омогућава организацијама да спријече или смање трошкове преваре
смањивањем времена од кога почињења преавре до тренутка њеног откривања. Од пресудног
је значаја да ревизори буду испред превараната у познавању технологије и доступних алата
па се овај GTAG се фокусира на ризике превара и процене ризика везане за ИТ и на то како
користити технологију да би се спречило, открило и реаговало на превару.

Општи водич за ревизију технологије (GTAG) 14: Ревизија апликација које су развили
корисници
Скоро свака организација користи неки облик UDA-а (енгл. User-developed Applications –
UDA) зато што се може лакше развити, јефтиније је произвести и обично се може мијењати
са релативно лако у односу на програме и извештавање које је израдило ИТ особље. Када је
крајњим корисницима дата слобода да извлаче, манипулишу, сумирају и анализирају своје
податке из UDA без помоћи ИТ особља, они наслеђују ризике који подразумијевају ризике по
интегритет, доступност и поверљивост података. Будући да се руководство ослања на UDA и
за доношења одлука, интерни ревизор мора утврдити и прегледати ризике UDA и ставити
ревизију UDA-а у годишњи план интерне ревизије, према потреби, за шта смјернице даје овај
GTAG.

Општи водич за ревизију технологије (GTAG) 15: Управљање сигурношћу информација

Овај водич даје оквире процеса размишљања на који начин утврдити шта је важно за
организацију по питању управљања са сигурношћу информација. Истовремено помаже
ревизорима у укључивању ревизије управљања сигурношћу информацијама у план ревизије
фокусирајући се на то да ли активности организација по питању управљања са сигурношћу
информација дају исправна понашања, праксе и извршење од стране информационог
система. Водичем се кроз три фазе оцјењује управљање сигурношћу информација
(планирање, тестирање и анализа), а дат је и примјер питања која би ревизор требао да
постави током процеса ревизије.

Општи водич за ревизију технологије (GTAG) 16: Технологије за анализу података

Овај водич има за циљ да помогне ревизорима да схвате како унаприједити испробане и
истинске методе ручне ревизије у смјеру побољшане анализе података користећи савремене
технологије. Овај водич указује на начине како ефикасније пружити сигурност уз употребу
технологије за анализу података и упознати се са изазовима и ризицима са којима ћете се
суочити приликом примене технологије за анализу података у вашем одељењу. укључио је
детаљан пример примене аналитике података у активностима контроле набавке.

Општи водич за ревизију технологије (GTAG) 17: Ревизија управљања ИТ-ом -

препоручена упутства
Интерна ревизија управљања ИТ-ом треба да се фокусира не само на примјене праксе
управљања, већ и на процјену ефикасности компоненти управљања ИТ-ом и тиме пружања
уверења заинтересованим странама да се принципи и праксе поштују и да се ради на
намјеравани начин. Овај водич садржи алате и технике који интерним ревизорима помажу у
изради програма рада и обављању ревизије која укључује и ревизију управљања ИТ-ом.

Општи водич за ревизију технологије (GTAG) 18: Разумијевање и ревизија великих

података
Повећана потражња, незрели оквири и растући ризици и могућности које организације не
разумеју или систематски не организују створиле су потребу за више смјерница у области
великих података. Интерни ревизори морају развити нове сетове вјештина и стећи знања о
принципима великих података да би се исправно суочили с ризицима који се могу појавити
повезано са великим подацима, а који укључују лош квалитет података, неадекватну
технологију, недовољну сигурност и незреле праксе управљања подацима. Интерни ревизори
који раде са великим подацима треба да разумијеју ризике у погледу прикупљања,
складиштења, анализе, сигурности и приватности. Овај водич даје преглед ревизије великих
података: његове вредности, компоненте, стратегије, разматрања имплементације, управљања
подацима, потрошње и извештавања, као и неке ризике и изазове које могу представљати.
Такође, објашњава улоге и одговорности интерних ревизора у организацији по питању њених
великих података.