Kako provesti reviziju informacijskih sustava – regulativa i metode

1. Kako provesti reviziju informacijskih sustava – regulativa i metode Prof.dr.sc. Mario Spremić, CGEIT Ekonomski fakultet Zagreb e-mail: mspremic@efzg.hr

2. Uvod Revizija informacijskih sustava predstavlja proces provjere uspješnosti informacijskih sustava u skladu sa zahtjevima poslovanja, odnosno postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti i pouzdanosti. Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje. To je složen proces prikupljanja i procjene dokaza na temelju kojih se može procijeniti uspješnost poslovnog informacijskog sustava, odnosno, odrediti djeluje li poslovni informacijski sustav u funkciji očuvanja imovine, održava li se cjelovitost (integritet) podataka, omogućuje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi sustava na učinkovit način. Revizija informacijskih sustava predstavlja sustavan postupak kojim se ocjenjuje djeluje li informatika u skladu s poslovnim ciljevima, u kojoj mjeri djelotvorno i učinkovito podupire ciljeve poslovanja i kakva je praksa (zrelost) upravljanja i kontrole informacijskih sustava na raznim hijerarhijskim razinama. Objekt revizije informacijskih sustava jest sustavno, temeljito i pažljivo pregledati kontrole unutar svih dijelova informacijskog sustava, a osnovni zadatak procijeniti njegovo trenutno stanje (zrelost, razinu uspješnosti), otkriti rizična područja, procijeniti razinu rizika i dati preporuke menadžmentu za poboljšanje prakse njegova upravljanja.

3. Revizija, odnosno provjera uspješnosti informacijskih sustava najčešće se odnosi na sljedeća područja: • provjeru funkcionalnosti informacijskih sustava – funkcioniraju li svi dijelovi informacijskih sustava (hardware, software, netware, orgware, lifeware, dataware) na ispravan i propisan način i provode li se temeljne poslovne transakcije u skladu s očekivanjima. • Provjeru pouzdanosti informacijskih sustava – jesu li svi dijelovi sustava i cjelina pouzdani za korištenje, odnosno izlaže li njihova uporaba korisnike, vlasnike ili ostale 'uključene' strane nekom riziku. • Provjeru sigurnosti informacijskih sustava – postoje li i koja je razina sigurnosnih rizika uporabe informacijskih sustava i kakav je njihov učinak na poslovanje. • Provjeru djelotvornosti i učinkovitosti uporabe informacijskih sustava – mogu li se informacijski sustavi koristiti na efikasniji, jeftiniji ili učinkovitiji način? Postoje li načini poboljšanja isplativosti ulaganja u informatiku, koliko su djelotvorni informacijski sustavi obzirom na potrebe poslovanja. • Provjeru kvalitete upravljanja informacijskim sustavima i njihovu utjecaju na poslovanje – u kojoj su mjeri organizacijske i upravljačke metode i tehnike koje se koriste pri upravljanju informacijskim sustavom primjerene zahtjevima poslovanja. • Provjeru usklađenosti uporabe informacijskih sustava s važećom regulativom, standardima i međunarodno priznatim okvirima – jeli uporaba informacijskih sustava i svih njegovih dijelova u skladu s važećim propisima, međunarodnim okvirima, normama i stručnim standardima.

4. Iz gornjeg je popisa razvidno da je, ovisno o promatranoj kompaniji i raznim okolnostima, lako 'proširiti' područja pregleda (revizije) informacijskih sustava. Osnovni 'motiv' provedbe revizije informacijskih sustava mogu biti manjkavosti transakcijskog sustava (pa će se tada, u stvari, provoditi revizija funkcionalnosti), provjera sigurnosnih postavki implementirane tehnologije (u kojoj mjeri je za korisnike prije svega sigurno korištenje tehnologije, prijenos podataka i njihova zaštita u bazama podataka, pa će se tada provoditi revizija sigurnosti), a nikakvo 'iznenađenje' ne bi trebao predstavljati zahtjev da se, radi neučinkovitih i neisplativih ulaganja u informatiku, provede revizija djelotvornosti i učinkovitosti. Provjerom (revizijom) učinkovitosti implementiranih kontrola unutar poslovnih procesa i informacijskih sustava moguće je procijeniti razinu informatičkih rizika, odnosno utvrditi razinu kvalitete kontrolnih postupaka. Time dolazimo i do 'alternativne' definicije revizije informacijskih sustava: procjena razine kvalitete informacijskih sustava u skladu s potrebama poslovanja. Interna kvaliteta informacijskog sustava osiguravat će se internom kontrolom, a razina te kontrole 'mjeriti' internom revizijom informacijskih sustava. Internu reviziju informacijskog sustava provode stručni i obrazovani zaposlenici same kompanije. Područja i ciljevi pregleda se određuju prema planu rada interne revizije koji se utvrđuje na godišnjoj razini, a procjena kvalitete 'ugrađenih' kontrola se provodi na tjednoj i mjesečnoj razini 'operativnim' radom internih revizora. Ciljevi interne revizije informacijskih sustava se obično određuju prema zahtjevima poslovanja, prema određenim tržišnih okolnostima ili prema specifičnim zahtjevima ili potrebama vlasnika, menadžmenta ili nadzornih i kontrolnih tijela. Za uspješnu provedbu zacrtanih ciljeva u svakom je od tih slučajeva ključna autonomija rada, odnosno neovisnost i stručnost internih revizora.

5. Eksterna revizija informacijskih sustava se odnosi na postupak provjere razine kvalitete informacijskih sustava koju provode vanjski stručnjaci koji nisu zaposlenici promatrane kompanije. U konačnici postupci interne i/ili eksterne revizije informacijskih sustava rezultiraju izvještajem revizora informacijskih sustava koji se, prema područjima analize, sastoji od sljedećih koraka: • analiza stanja (zrelosti) primjene informacijskih sustava u poslovanju prema promatranim područjima, • provjera razine kvalitete implementiranih kontrola, • procjena razine poslovnih rizika koji proizlazi iz zatečenog stanja, i • preporuke menadžmentu za poboljšanjem toga stanja.

6. Provedba revizije informacijskih sustavakao savjetodavne poslovne funkcije – norme i standardi Početni korak pri provedbi revizije informacijskih sustava jest odabir područja pregleda i provjere. Ukoliko se radi o eksternoj reviziji naručenoj od strane menadžmenta, vlasnika ili predstavnika nadzornih ili kontrolnih tijela (primjerice, predstavnika nadzornog odbora) u suradnji s naručiteljem nužno je precizno odrediti područja revizije, odnosno utvrditi za koje je dijelove informacijskog sustava potrebno procijeniti uspješnost. Za očekivati je da će naručitelj jedne takve eksterne revizije znati obrazložiti zašto je važno revidirati određena područja (dijelove) informacijskog sustava. Razlozi mogu biti raznoliki, no, najčešće se radi o specifičnim problemima funkcioniranja sustava u odnosu na poslovanje, nepovjerenju prema organizacijskoj jedinici zaduženoj za informatiku ili, možda, stav i stručno mišljenje revizora informacijskih sustava trebaju biti dobrom analitičkom i strateškom podlogom za promjene u poslovanju. Takvi su razlozi temeljem uporabe revizije informacijskih sustava kao savjetodavne poslovne funkcije, pri čemu vanjski stručnjaci daju neovisnu i stručno utemeljenu prosudbu rizika uporabe informacijskih sustava u poslovanju. Takve su revizije, ipak, rijetke, a takvi pogledi na reviziju informacijskih sustava svojstveni samo najboljim i najuspješnijim kompanijama. Pri određivanju područja savjetodavne revizije informacijskih sustava revizori i upućeni menadžeri se redovito oslanjaju na svjetski priznate norme i metode, kao što su CobiT, ISO 27000, ITIL, Val IT, ISO 38500, PMBOK, PCI DSS, itd.

7. Krovni standard provedbe revizije informacijskih sustava je CobiT što znači da su sva područja i vrste revizije 'pokrivena' CobiT preporukama. Prema specifičnim područjima provjere razlikujemo sljedeće izvedene standarde provedbe revizije informacijskih sustava: • revizija razvoja informacijskih sustava (CMMI, TickIT) • revizija funkcioniranja, pouzdanosti i djelotvornosti informatičkih usluga (ITIL) • revizija strateške primjene informatike u poslovanju (ISO 38500, IT Balanced Scorecard, SISP, analiza lanca vrijednosti – value chain analysis) • revizija upravljanja ulaganjima u informatiku (Val IT, studija izvedivosti, rutinske financijske metrike) • revizija upravljanja informatičkim rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005, PCI DSS) • revizija sigurnosti uporabe, pohrane, prijenosa i arhiviranja informacija (obitelj ISO 27000 normi, NIST, SANS, IS3, PCI DSS, OSI referentni model, kriptografske norme, SSL i ostali ‘tehnički’ standardi i norme) • revizija upravljanja projektima (Prince 2, PMBOK) • revizija upravljanja kontinuitetom poslovanja (BS 25999), itd. Provedba revizije informacijskih sustava, ali i primjena pojedinih standarda u određenim je djelatnostima obvezna. Tako je, primjerice, u bankarstvu propisana regulatorna obveza primjene nekih normi (Basel II, PCI DSS - Payment Card Industry Data Security Standard koji predstavlja obveznu regulativu za kartičarsku industriju, uporaba CobiT-a), u osiguranju (Solvency I i II), itd.

8. Izvedeni standardi i smjernice provedbe revizije informacijskih sustava su: • Val IT inicijativa koja se koristi u svrhu poboljšanja upravljanja ulaganjima u informatiku (3 područja, 40-ak procesa), • ITIL okvir (ISO 20000 norma) koji se koristi za upravljanje informatičkim uslugama (5 područja, 20-ak procesa), • Risk IT metodologija koja pomaže u upravljanju informatičkim rizicima (3 područja, 20-ak procesa), • Obitelj ISO 27000 normi (ISO 27001 – ISO 27008) koje se koriste u svrhu postizanja ciljanih unaprjeđenja sustava sigurnosti informacija (ISO 27001 norma ima 11 područja i 40-ak procesa – kontrolnih zahtjeva), • Basel II okvir kojega su banke obvezne koristiti u svrhu boljeg upravljanja operativnim rizicima (11 područja), • Sarbanes-Oxley kontrole u svrhu udovoljavanja regulatornim zahtjevima interne kontrole, • PMBOK (engl. Project Management Body of Knowledge) metodologija kojom je moguće poboljšati praksu upravljanja projektima, • PCI DSS (engl. Payment Card Industry Data Security System) norma koja u kartičarskoj industriji, ali i trgovini općenito, nameće regulatorna pravila i zahtjeve koji se pred poslovne informacijske sustave postavljaju u svrhu sigurnog i pouzdanog upravljanja podacima, prije svega pri transakcijama s kreditnim karticama.

9. Regulativa revizije informacijskih sustava u Republici Hrvatskoj U prošlom su poglavlju podrobnije objašnjeni razlozi i 'motivi' provedbe revizije informacijskih sustava kao savjetodavne poslovne funkcije. Osnovni cilj tih postupaka jest da neovisni, vanjski stručnjaci prema dogovorenim područjima provjere testiraju učinkovitost i, u skladu s zahtjevima poslovanja procjenjuju razinu kvalitete informacijskih sustava. Procjena razine kvalitete informacijskih sustava se provodi na način da se, u stvari, procjenjuju razni rizici (poslovni, tehnološki, tržišni, sigurnosni, itd.) uporabe informacijskih sustava i menadžmentu daju preporuke o poboljšanju i unaprjeđenju poslovne vrijednosti kompanije putem ulaganja u informatiku. Takve su revizije, ipak, rijetke, a takvi pogledi na reviziju informacijskih sustava svojstveni samo najboljim i najuspješnijim kompanijama, odnosno njihovim menadžerima. Najčešći razlog provedbe revizije informacijskih sustava su regulatorni zahtjevi, odnosno regulatorni 'pritisak' i obveza. U tome slučaju govorimo o regulatornoj reviziji informacijskih sustavakoja se osobito u bankarskom i financijskom sektoru treba provoditi u gotovo svim zemljama svijetu. U Republici Hrvatskoj je Hrvatska narodna banka propisala okvir i obvezu provedbe interne i eksterne revizije informacijskih sustava. Odlukom o primjerenom upravljanju informacijskim sustavom od 17. srpnja 2007. detaljno su u 40-ak članaka određena područja na koja treba obratiti pozornost pri upravljanju i jasno propisan okvir prema kojemu je moguće ocjenjivati kvalitetu informacijskih sustava, odnosno vršiti njihovu reviziju (utvrditi razinu kvalitete). Tom su odlukom definirani i podrobnije pojašnjeni najčešće korišteni pojmovi i područja revizije, poput softverske, hardverske komponente, informacijski sustav i tehnologija, informacijska imovina, korisnici, rizici i resursi informacijskog sustava, upravljanje sustavom, pristup sustavu, e-bankarstvo, maliciozni programski kod, incident, pričuvna pohrana, vrijeme oporavka, itd.

10. Tom su odlukom detaljno propisana i područja provjere čime je donesen i okvir za revizije informacijskih sustava: • okvir za upravljanje informacijskim sustavom, • upravljanje rizikom informacijskog sustava, • unutarnja revizija informacijskog sustava, • sigurnost informacijskog sustava, • održavanje informacijskog sustava, • upravljanje kontinuitetom poslovanja, • razvoj informacijskog sustava i eksternalizacija, • elektroničko bankarstvo. Budući da nema smisla citirati pojedine odredbe ili definicije, čitateljima koji žele detaljan i precizniji uvid u regulativu, elektronička verzija te odluke dostupna je na http://www.hnb.hr/propisi/odluke-nadzor-kontrola/nadzor-nad-bankama/h-odluka-informacijski-sustav.pdf.

11. Vjerujem da je čitateljima dobro poznata uloga Hrvatske narodne banke (u nastavku teksta HNB) u monetarnom sustavu zemlje, posebice pri kontroli i sprječavanju određenih rizika. Ovom se prilikom radi o operativnim rizicima, a naglašava se nadzorna i kontrolna uloga regulatora pri kojemu je Odjel za izravni nadzor informacijskih sustava banaka unutar HNB-a ovlašten i, naravno, stručan po potrebi provoditi supervizije informacijskih sustava banaka, a dužan proučavati i nadzirati izvješća koje eksterni revizori dostavljaju pri revizijama informacijskih sustava banaka. Još u prosincu 2004. godine HNB je odredio područja revizije informacijskih sustava u bankama, nakon čega su se nizom smjernica, analiza i studija stekli uvjeti da Odluka o primjerenom upravljanju informacijskim sustavom stupi na snagu i krene u punu primjenu početkom 2008. godine.

12. Dakle, regulatorni okvir provedbe revizije informacijskih sustava u Republici Hrvatskoj se sastoji od sljedećih 18 područja: • Upravljanje sigurnošću informacija i informacijskog sustava • Upravljanje rizikom koji je vezan uz informacijske sustave • Upravljanje fizičkim i logičkim kontrolama pristupa • Upravljanje imovinom informacijskog sustava • Upravljanje operativnim i sistemskim zapisima • Upravljanje pričuvnom pohranom • Upravljanje odnosima s pružateljima usluga • Upravljanje odnosa s dobavljačima opreme • Upravljanje razvojem informacijskog sustava • Upravljanje fizičkom sigurnošću • Upravljanje lozinkama • Upravljanje konfiguracijama • Upravljanje promjenama • Planiranje kontinuiteta poslovanja • Plan oporavka u slučaju havarije, neželjenih i nepredviđenih događaja • Upravljanje incidentima i problemima • Zaštita od malicioznog koda • Primjena internih akata vezanih uz informacijski sustav

13. Obveznici provedbe revizije informacijskih sustava u Republici Hrvatskoj su, barem za sada, predstavnici iz bankarskog i dijela financijskog sektora (banke, stambene štedionice, štedno-kreditne zadruge, itd.). Odlukom o primjerenom upravljanju informacijskim sustavom Hrvatska narodna banka je početkom 2008. godine odredila područja informacijskog sustava unutar kojih bi eksterni revizori trebali pregledati određene kontrole, procijeniti razinu rizika i dati preporuke za njihovim upravljanjem. Cilj ove, kao uostalom i svake revizije informacijskih sustava, jest procijeniti rizike kojima je poslovanje izloženo temeljem uporabe informacijskih sustava, razvrstati ih po važnosti, o hitnim mjerama odmah izvijestiti menadžment i dati preporuke (smjernice) na koji način i uz koja financijska sredstva održavati prihvatljivu (poželjnu) razinu rizika kojom se ne bi ugrozilo poslovanje. Prihvatljiva razina rizikase odnosi na onaj intenzitet rizika koji još uvijek ne ugrožava odvijanje važnih poslovnih funkcija i procesa, odnosno ostvarenje zacrtanih poslovnih ciljeva. Tom je odlukom, dakle, propisano 18 područja i djelokrug eksterne revizije informacijskih sustava. To konkretno znači da pri provedbi revizije, eksterni revizori informacijskog sustava unutar tako zadanih područja trebaju odrediti skup kontrola, ali i tehnike i načine testiranja njihove djelotvornosti, pouzdanosti i učinkovitosti. Na taj su način moguće razlike unutar strukture i, naravno, sadržaja izvještaja revizora informacijskog sustava (čiju su kopiju revizori dužni dostaviti i u HNB), no, u konačnici tržište, a posebice regulator mogu lako procijeniti kvalitetu revizorskog posla i svojim zakonskim ovlastima ciljano poboljšavati njihov rad.

14. Detaljnijim uvidom u regulatorne odredbe kojima se određuju područja revizije informacijskih sustava (upravljanje sigurnošću informacija i informacijskog sustava, upravljanje rizikom koji je vezan uz informacijske sustave, upravljanje fizičkim i logičkim kontrolama pristupa, upravljanje imovinom informacijskog sustava, upravljanje operativnim i sistemskim zapisima, upravljanje pričuvnom pohranom, upravljanje odnosima s pružateljima usluga, upravljanje odnosa s dobavljačima opreme, upravljanje razvojem informacijskog sustava, upravljanje fizičkom sigurnošću, upravljanje lozinkama, upravljanje konfiguracijama, upravljanje promjenama, planiranje kontinuiteta poslovanja, plan oporavka u slučaju neželjenih i nepredviđenih događaja, upravljanje incidentima i problemima, zaštita od malicioznog koda i primjena internih akata vezanih uz informacijski sustav) vidljivo je da je CobiT njihovo temeljno polazište. CobiT je krovni standard provedbe revizije informacijskih sustava, pri čemu su se u pojedinim područjima vide 'rukopisi' nekih izvedenih standarda, prije svega ISO 27000 i ITIL-a.

15. Radi važnosti teme u ovoj prigodi izdvajamo neke od datuma do kojih su uprave banaka, stambenih štedionica, štedno-kreditnih zadruga i ostalih obveznika regulative revizije informacijskih sustava bile dužne (ili su dužne) provesti određene odluke u djelo: • odrediti člana uprave zaduženog za upravljanje i nadzor informacijskog sustava • uspostaviti primjerenu organizacijsku strukturu, odbore i funkcije (01.07.2008) • donijeti strategiju informacijskog sustava (01.07.2008) • strategiju IS-a razraditi strateškim i operativnim planovima (01.01.2009) • donijeti interne akte kojima se uređuje upravljanje informacijskim sustavom, definirati odgovornosti za nadzor (01.01.2009) • uspostaviti funkciju voditelja sigurnosti informacijskog sustava (01.01.2009) • imenovati odbor za upravljanje informacijskim sustavom (01.07.2008) • usvojiti metodologiju upravljanja projektima (01.01.2009) • uspostaviti proces upravljanja rizikom informacijskog sustava (01.01.2009) • Metodologiju upravljanja rizikom informacijskog sustava (01.01.2009) • Dokumentirati rezultate procjene rizika informacijskog sustava (01.07.2009) • Procijeniti i na prihvatljivu razinu svesti rizike informacijskog sustava (01.07.2009) • Klasificirati i zaštititi informacije prema razini osjetljivosti (01.10.2009) • Uprava banke odgovorna je za donošenje prihvatljive razine rizika kojima je izložen informacijski sustav (01.01.2009) • Unutarnja revizija je dužna obavljati reviziju informacijskog sustava banke (01.01.2009) • Usvojiti metodologiju za provođenje revizije informacijskog sustava zasnovanu na procjeni rizika, a kojom se određuju kriteriji, načini i postupci revizije informacijskog sustava banke (01.01.2009)

16. Koraci provedbe revizije informacijskih sustava Revizija informacijskih sustava obično se sastoji od ovih faza: • planiranje revizije (engl. audit planning) • testovi kontrola (engl. tests of control) • testovi transakcija (engl. tests of transactions) • testiranje ukupnih rezultata (tests of balances or overall results) • dovršenje revizije i priopćavanje rezultata. U početnoj fazi (planiranje revizije) postavljaju se ciljevi revizijskog postupka, prikupljaju informacije o sustavu (predmetu) revizije, dobiva se uvid u strukturu poslovanja i poslovnu politiku, identificiraju se mogući rizici. U ovoj se fazi provode vrlo detaljni izvidi čiji je cilj dobro se upoznati s poslovanjem revidiranog subjekta, utvrditi ključne poslovne procese, utvrditi (ako uopće postoji) povezanost strategije poslovanja i strategije informatike i detaljno promotriti i holistički sagledati cjelinu informacijskog sustava. To se postiže ciljanim intervjuima i sastancima s odgovornim osobama, pri čemu revizori trebaju imati određena znanja i vještine poslovnog komuniciranja, pregovaranja i timskog rada. Nakon dobivanja detaljnog uvida u važnost informacijskog sustava u poslovanju kompanije, postavljaju se kontrolni ciljevi, određuje djelokrug posla i dijele specifični zadaci unutar revizorskog tima.

17. Temeljem postavljenih kontrolnih ciljeva, u drugoj se fazi (testovi kontrola) oblikuju i provode razni, brojni i vrlo detaljni testovi učinkovitosti pojedinih kontrola. Na osnovi tih testova revizori procjenjuju je razinu kontrolnog rizika, odnosno utvrđuju razine pouzdanosti trenutnih kontrola, rizike za pojedina područja i određuju u kojoj mjeri treba 'dublje' testirati pojedina područja. U trećoj fazi rada (testovi transakcija) duboko se i izrazito detaljno testiraju pojedini dijelovi informacijskog sustava, provode se brojni tehnički testovi i prikupljaju valjani dokazi. Pokazuju li rezultati testiranja transakcija ili ostalih dijelova sustava da su njegovim neprimjerenim radom već nastali ili da bi mogli nastati materijalni gubici, provode se prošireni dokazni testovi koji daju bolju i precizniju procjenu gubitaka. U četvrtoj fazi (testiranje ukupnih rezultata) pribavlja se dostatna količina dokaza potrebnih za donošenje konačne ocjene o razmjerima mogućih gubitaka kada informacijski sustavi ne djeluju pozitivno na ciljeve revizijskog postupka. Takvo je testiranje prilično opsežno, pa su njegovi troškovi najviši u cjelokupnom revizijskom postupku. Da bi mogli ostvariti ciljeve revizije i procijeniti kvalitetu informacijskih sustava, revizori trebaju prikupiti odgovarajuće dokaze. Revizijski se dokazi prikupljaju odgovarajućim tehnikama, metodama i alatima. U današnjem informacijskom globalnom okruženju revizoru su, u tu svrhu, na raspolaganju brojni višenamjenski programski paketi, opći ili specijalizirani revizijski softver i druge tehnike koje revizoru pomažu ostvariti klasične ciljeve. Obzirom na različitu namjenu, načine uporabe i mogućnosti primjene revizijskog softvera, ključni čimbenik njihova odabira jest osposobljenost revizora da precizno utvrdi svoje potrebe i procjeni u kojoj ih mjeri neki softver udovoljava. Pri tome, nikako se ne bi smjelo zaboraviti da revizijski programi nisu jeftini niti jednostavni za uporabu, pa revizori trebaju biti detaljno upoznati s tehnikama i metodama procjene kvalitete informacijskih sustava.

18. Završna faza (dovršenje revizije, stvaranje izvještaja i priopćavanje rezultata Upravi) nipošto se ne može smatrati 'rutinskim odrađivanjem posla' jer se upravo holističkim i multidisciplinarnim pristupom procjenjuju svi prikupljeni dokazi i činjenice, temeljem kojih revizorski tim procjenjuje razine rizika kojima pojedina područja informacijskog sustava izlažu poslovanje. Pri tome revizori daju iscrpna objašnjenja svoje profesionalne prosudbe razine rizika i predočavaju ih Upravi poslovnog subjekta. Sastavni dio izvještaja revizora informacijskog sustava su i revizorove preporuke Upravi kako smanjiti i na prihvatljivu razinu svesti rizike prouzročene zatečenim nedostacima u funkcioniranju određenih kontrola sustava. Pri tome su moguća, a gotovo redovito se u praksi i provode dodatna dokazna testiranja kojima revizori dovršavaju reviziju (potvrđuju ili opovrgavaju svoje stavove), izražavaju mišljenje i oblikuju izvješće. Revizor informacijskog sustava svoje će mišljenje temeljiti na prikupljenim dokazima koji upućuju na činjenicu djeluje li informacijski sustav u funkciji očuvanja imovine, poboljšava li cjelovitost (integritet) podataka i je li djelotvoran i učinkovit. Tako završeno izvješće o reviziji informacijskih sustava priopćava se Upravi, odnosno naručitelju i regulatoru (u slučaju regulatorne revizije). Time posao nije zaključen, jer tek predstoji 'peglanje' izvještaja, odnosno njegovo usuglašavanje sa stavovima Uprave, odnosno naručitelja revizije. Proces razgovora i pregovaranja može biti prilično dugotrajan, pri čemu bi revizori trebali isticati pregovaračke vještine, etičnost, stručnost i profesionalnost.

19. Zaključak Informacijski sustavi često predstavljaju okosnicu modernoga poslovanja. Brojni se važni poslovni procesi i poslovne transakcije u nizu industrija odvijaju upravo automatizmom rada informacijskih sustava. Gotovo je nemoguće zamisliti konkurentno ili iole učinkovito poslovanje jedne banke, kreditne institucije, osiguranja, zrakoplovne kompanije, maloprodajnog lanca ili turističke agencije bez intenzivne primjene informacijskih sustava. U situacijama kada se poslovanje znatno 'oslanja' na informacijske sustave, sasvim je logično da se veća pozornost treba posvetiti sustavnoj kontroli tog važnog poslovnog resursa. Informatiku i informacijske sustave danas više ne možemo tretirati kao pozadinske, tehničke i manje važne poslovne resurse, nego kao strateške partnere poslovanju koji zaslužuju pozornost izvršnog menadžmenta i uporabu cjelovitih upravljačkih 'alata'. Informatikom i informacijskim sustavima se dade upravljati kao bilo kojoj drugom poslovnom funkcijom, a brzina odvijanja poslovnih transakcija to nameće i kao nezaobilaznu potrebu. U takvim okolnostima informacijski sustavi postaju važna poluga učinkovita i djelotvorna poslovanja, a regulativa i metode njihova upravljanja koji su prikazani u ovom radu, modernim i educiranim menadžerima predstavljaju važan upravljački 'alat'. U radu je posebno istaknuta uloga revizije informacijskih sustava kao važne analitičke funkcije kojom se provjerava uspješnost uporabe i upravljanja informacijskim sustavima s ciljem smanjivanja rizika poslovanja. Revizija informacijskih sustava je važna analitička funkcija kojom se, u skladu s zahtjevima poslovanja, provjerava njihova točnost, učinkovitost, djelotvornost i pouzdanost. Pri tome se najčešće radi o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje. Regulativa provedbe revizije informacijskih sustava odnosi se prije svega na Odluku o primjerenom upravljanju informacijskim sustavima u svrhu smanjivanja operativnih rizika u kreditnim institucijama, a u radu je prikazan njezin djelokrug i način provedbe. Obzirom na važnost informacijskih sustava i u drugim djelatnostima, bilo bi logično očekivati 'širenje' te ili slične regulative i na ostala područja.

20. Literatura: • Broadbent, M., Kitzis, E.S., (2005): The New CIO Leader: Setting the Agenda and Delivering Results, Gartner Inc., Harvard Business School Press. • Nolan, R., McFarlan, F.W., (2005): Information technology and the Board of Directors, Harvard Business Review, October, 2005. • Panian, Ž. (2001): Kontrola i revizija informacijskih sustava, Sinergija, Zagreb. • Panian, Ž., Spremić, M., i suradnici (2007): Korporativno upravljanje i revizija informacijskih sustava, Zgombić i partneri, Zagreb. • Spremić, M. (2009): IT Governance Mechanisms in Managing IT Business Value, WSEAS Transactions on Information Science and Applications, Issue 6, Volume 6, June 2009, pp. 906-915 • Spremić, M. (2009): IT Governance and IT Risk Management Principles And Methods For Supporting “Always-On” Enterprise Information Systems, in a book Always-On Enterprise Information Systems for Business Continuance: Technologies for Reliable and Scalable Operation, IGI Publishing, ISBN: 978-1-60566-723-2, edited by Bajgoric, Nijaz • Spremić, M. (2009): Methodologies for Evaluating IT Business Value Management, in a book Recent Advances in Automation & Information, Proceedings of the 10th WSEAS International Conference on Automation and Information (ICAI 09), WSEAS Press, Series of Reference Books and Textbooks, March, 2009, pp. 227-233. • Symons, C., (2005): IT Governance Framework: Structures, Processes and Framework, Forrester Research, Inc. • Ward, J., Peppard, J., (2002): Strategic Planning for Information Systems, 3rd ed., John Wiley & Sons. • Weill, P., Ross, J.W., (2004): IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Harvards Business School Press, Boston, SAD.