Revizorske kontrole na nivou entiteta

U slučaju gde se procesu interne IT revizije podvrgavaju višestruki informacioni sistemi, kao deo jedne revizijske celine, mnogi od revizorskih koraka bi trebalo da se izvršavaju ponaosob u svakom pojedinačnom informacionom sistemu. Međutim, ono što je bitno, neki koraci kontrola interne IT revizije, naročito oni koji povlače za sobom razmatranje procesa (kao opcija sistemskim konfiguracijama) mogu verovatno odmah da budu podvrgnuti procesu interne IT revizije za celo poslovno okruženje posmatranog entiteta, odnosno poslovne organizacije, bez suštinskog ponavljanja za svaki informacioni sistem. To naravno podrazumeva da su to isti, standardizovani procesi koji se primenjuju kroz celo poslovno okruženje. U okviru ovog dela izlaganja će se razmatrati kako da se obavljaju revizorske kontrole na nivou poslovnog entiteta, koje se prožimaju kroz celu poslovnu organizaciju. Revizorske kontrole na nivou entiteta obuhvataju:

• Strategiju planiranja i korišćenje tehnologije i alata za predviđanje upravljanja ((Technology roadmaps – alati za predviđanje upravljanja.)) ,
• Indikatore performansi i metrike,
• Odobravanje projekta i procese nadzora,
• Politike, standardi i procedure,
• Upravljanje zaposlenima,
• Upravljanje IT sredstvima i kapacitetima,
• Upravljanje promenama konfiguracija sistema.

Važno je uočiti da su kontrole na nivou entiteta kontrole koje se prožimaju kroz jednu poslovnu organizaciju. Drugim rečima, postoje oblasti koje poslovna organizacija može da podvgne reviziji i da se pri tom oseti sigurnom da je pokrila određene teme i oblasti za celu poslovnu organizaciju. Ovo izlaganje pokriva oblasti koje bi interni IT revizor generalno trebalo da očekuje da ih vidi u centralizovanom obliku. Ako teme obrađene u okviru entiteta nisu centralizovane ili barem centralno koordinirane u poslovnoj organizaciji, to bi trebalo da vodi pitanjima u pogledu njihove globalne efikasnosti. Najveći broj ovih tema određuju “ton na vrhu” za organizaciju informacionih tehnologija u poslovnoj organizaciji i obezbeđuju sveukupno upravljanje IT okruženjem. Ako IT procesi nisu centralizovani i/ili standardizovani, to bi trebalo da navede internog IT revizora da postavi pitanje sposobnosti IT okruženja da bude dobro kontrolisano.

Jake kontrole na nivou entiteta informacionih tehnologija formiraju osnovu za kontrolno okruženje informacionih tehnologija unutar poslovne organizacije. To demonstrira da IT menadžment ozbiljno preuzima interne kontrole, upravljanje rizicima i vrlo ozbiljno upravljanje svim informacionim resursima. Jaka opšta kontrola okruženja i odnos koji dolazi sa vrha poslovne organizacije ima tendeciju da se kontrole obrade do najnižeg hijerarhijskog nivoa kroz organizaciju i da dovede do jakih kontrola i kod decentralizovanih procesa i funkcija.

Obrnuto, slabe kontrole na nivou entiteta povećavaju verovatnoću da će kontrole biti slabe kroz poslovnu organizaciju zato što glavni menadžment nije pokazao i preneo u organizaciju važnost internih kontrola. To generalno vodi u nekonzistentnost na nižim hijerarhijskim nivoima upravljanja zato što će strukture, sposobnosti i vrednosti nižeg nivoa menadžmenta da budu jedini odlučujući faktori u tome koliko su ozbiljno interne kontrole prihvaćene unutar poslovne organizacije.

Različite metodologije računovodstvenih profesionalnih organizacija i revizorskih kuća su definisale određene korake u vidu kontrolnih listi, odnosno upitnika (checklists), kojima se pokušava olakšati posao u okviru procesa interne IT revizije u poslovnim organizacijama.

Test koraci interne revizije i kontrole na nivou poslovnog entiteta

• Razmotrite obuhvatnost strukture organizacije informacionih tehnologija da bi osigurali da ona obezbeđuje jasno dodeljivanje autoriteta i odgovornosti nad organizacijom informacionih tehnologija i da to obezbeđuje adekvatnu podelu odgovornosti. Loša definisana struktura organizacije informacionih tehnologija može da vodi ka konfuziji gledajući na odgovornosti, uzrokovane podrškom funkcija informacionih tehnologija koje bi se izvršavale neefikasno ili neefektivno. Na primer, kritične funkcije mogu da budu zanemarene ili neke funkcije mogu da budu izvršavane nepotrebno. Takođe, ako nije jasno uspostavljena linija autoriteta, ona može da dovede do neslaganja i rasprave u pogledu toga, ko ima konačnu sposobnost da načini finalnu odluku. Na kraju, ako nisu podesno podeljene odgovornosti informacionih tehnologija, to može da dovede do nepoštenih aktivnosti i da utiču na integritet informacija i procesa poslovne organizacije.Kako i šta uraditi?Figurativno rečeno, model da “jedna veličina odgovara svima”, za neku postavljenu organizaciju informacionih tehnologija ne postoji i interni IT revizor ne može mehanički da koristi kontrolnu listu provera (checklists) da bi odredio da li je u njegovoj poslovnoj organizaciji, organizacija informacionih tehnologija postavljena na adekvatan način. Umesto toga interni IT revizor bi trebalo da gleda ne celokupnu poslovnu organizaciju i da primeni prosuđivanje u određivanju da li se kvalitetno obrađuju najvažniji procesi i elementi poslovne organizacije. Utvrđivanje specifičnosti, koje od dužnosti bi trebalo da budu razdeljene od drugih će varirati od poslovne organizacije do poslovne organizacije, međutim, generalna ideja je da odgovornost za pokretanje sistema, autorizaciju, ulaganje sredstava, obradu i proveru podataka bi trebalo da bude razdvojena tako da jedna osoba nema mogućnost da kreira nezakonite transakcije, autorizuje ih i sakrije evidenciju. Drugim rečima, time u praksi interni IT revizor pokušava da spreči malicioznu osobu da dođe do mogućnosti da subverzivno deluje na kritične poslovne procese.

• Razmotrite strategiju procesa planiranja Informacionih tehnologija da bi osigurali da je ona poravnata sa poslovnim strategijama. Ocenite da li su procesi za monitoring, odnosno nadzor potrebnog progresa organizacije procesa informacionih tehnologija uspostavljeni u strateškom planu.
  Da bi obezbedili dugoročnu efikasnost rada, postavljena organizacija informacionih tehnologija bi trebalo da ima jasno uspostavljenu strategiju razvoja gledajući pre svega na ciljeve poslovne organizacije (prema kritičnim faktorima uspeha – CSF ((CSF – Critical Success Factor, Ideja o metodi kritičnih faktora uspeha – CSF je nastala kao potreba izvršnog rukovodstva poslovne organizacije da dođe do saznanja koja dostignuća su kritički važna za strategiju uspeha u poslovnoj organizaciji. Ovaj koncept je prvi put razvijen od strane istraživača John Rockart -a tokom 1970 godine. Rockart, J. F. (1979), “Chief executive defines theirs own data needs”, Harvard Business Review, march/april, pp. 81-93)) ), kao opozit da stalno bude u reaktivnom, pasivnom modu, gde su svakodnevni problemi i krize jedine stvari koje se razmatraju. Postavka organizacije informacionih tehnologija bi trebalo da bude svesna o nastupajućim poslovnim potrebama i promenama u okruženju tako da prema tome može da se planira i da se reaguje. Važno je da prioriteti informacionih tehnologija budu u skladu sa poslovnim prioritetima poslovne organizacije. Previše organizacija informacionih tehnologija gubi iz vida činjenicu da njihov jedini rezon, odnosno razlog za ekzistenciju, je podrška poslovnim organizacijama u zadovoljenju njihovih poslovnih ciljeva. Umesto toga, u praksi, mnoge organizacije informacionih tehnologija se fokusiraju da postanu “IT radionice svetske klase”, čak u slučajevima gde njihov cilj ne podržava direktno sveobuhvatne ciljeve poslovnih organizacija. Kritično je za organizacije informacionih tehnologija da ostanu čvrsto utemeljene kroz povezivanje svojih ciljeva sa ciljevima poslovne organizacije.
  
  Kako i šta uraditi?
  
  Interni IT revizor bi trebalo da pogleda dokumentaciju o strategiji planiranja procesa unutar informacionih tehnologija i da utvrdi i da razume kako se planirano izvršava. Potrebno je da interni IT revizor odredi kako se strategija i prioriteti poslovne organizacije koriste u razvoju prioriteta i strategije informacionih tehnologija. Pored toga, potrebno je da razmotri kratkoročne i dugoročne dokumentovane prioritete informacionih tehnologija. Istovremeno je potrebno da se ocene važeći procesi za periodični monitoring, odnosno nadzor progresa, nasuprot postavljenim prioritetima kao i elementi za ponovno ocenjivanje i ažuriranje tih prioriteta.

Na isti ili sličan način bi trebalo razmotriti i ostala moguća pitanja sa kontrolne liste, ili kontrolnu listu nadopuniti novim pitanjima prema očekivanim rizicima u poslovnoj organizaciji. Kao ilustraciju navodimo neka moguća pitanja koja su se javljala u svetskoj literaturi i koja zavređuju dalju razradu od strane internih IT revizora.

• Potrebno je da interni IT revizori odrede da li postoji strategija informacione tehnologije, aplikacija i postojićih alata za predviđanje upravljanja (roadmaps) i da ocene procese za dugoročno rangiranje tehničkog planiranja,
• Razmotrite indikatore performansi i merenje za informacione tehnologije. Osigurajte da su procesi i metrika u primeni (i odobreni od ključnih deoničara, i/ili učesnika) za merenje performansi svakodnevnih aktivnosti i za istraživanje performansi nasuprot SLA ugovorima, budžetu i drugim operativnim zahtevima.
• Razmotrite organizaciju Informacionih tehnologija po pitanjima odobravanja i definisanja prioriteta novih projekata. Odredite da li su ti procesi adekvatni za osiguravanje sistema nabavki i razvoja projekata i da ne mogu da počnu bez odobrenja. Osigurajte da menadžment i ključni deoničari razmatraju status projekta, predviđanje i budžert, periodično, kroz život značajnih projekata.
• Osigurajte standarde za upravljanje izvršavanja u vezi IT projekata i za osiguranje potrebnog kvaliteta razvijenog proizvoda ili proizvoda nabavljenog od strane spoljne organizacije informacionih tehnologija. Odredite kako su ti standardi saopšteni i primenjeni u praksi.
• Osigurajte da postoji politika bezbednosti Informacionih tehnologija i obezbedite adekvatne zahteve za osiguranje bezbednosti u neposrednom okruženju. Odredite kako je politika bezbednosti saopštena i kako se primenjuje i vrši nadzor nad pridržavanjem toj politici.
• Razmotrite i ocenite procese procene rizika koji se odnose na procese organizacije Informacionih tehnologija,
• Razmotrite i ocenite procese za osiguranje da zaposleni u IT-u, u poslovnoj organizaciji, imaju veštine i znanja potrebna za izvršavanje njihovih rednovnih poslova i procedura.
• Razmotrite i ocenite politiku i procese za dodeljivanje “vlasništva” nad podacima poslovne organizacije, klasifikaciju podataka i zaštitu podataka u saglasnosti sa njihovim klasifikacijama i definisanim životnim ciklusom podataka.
• Osigurati da postoje efikasni procesi za povinovanje sa primenjenim zakonima i regulativom koja utiče na IT (kao što je nacionalna regulativa i američki Sarbanes Oxley Akt, koji je prihvaćen od strane vlada mnogih zemalja) za održavanje svesnosti o promenama regulatornog okruženja.
• Razmotrite i ocenite politiku i procese za osiguranje da krajnji korisnici okruženja informacinih tehnologija imaju sposobnost i obavezu da izveštavaju o problemima, imaju podesno uključivanje u odlučivanju IT i da su zadovoljni sa servisom koji je obezbeđen od strane IT.
• Razmotrite i ocenite politiku i procese za za upravljanje uslugama treće strane osiguravajući da je njihova uloga i odgovornost jasno definisana i da se nadgledaju njihove performanse.
• Razmotrite i ocenite politiku i procese za kontrolu logičkog pristupa povremeno zaposlenih (honoraraca).
• Razmotrite i ocenite politiku i procese za osiguranje da se poslovna organizacija pridržava sa zahtevanim licencnim pravima vezanim za softver.
• Razmotrite i ocenite kontrole nad udaljenim pristupom u mreži poslovne organizacije (kao što su dial up, VPN, podrazmevana eksterna konekcija)
• Razmotrite da su procedure za uzimanje u najam i prekid najma jasne i obuhvatne.
• Razmotrite i ocenite politiku i procedure za kontrolu nabavke i promet hardvera.
• Osigurajte da je konfiguracija sistema kontrolisana sa upravljanjem promena da bi se izbegli nepotrebni prekidi sistema
• Osigurajte da su transportni mediji, memorije, ponovno korišćenje i prodaja adekvatno adresovani od strane široke politike i procedura poslovne organizacije.
• Proverite da je nadzor, odnosno monitoring kapaciteta i planiranja adresovan od strane politike i procedura poslovne organizacije.
• Zasnovano na stukturi organizacije informacijskih tehnologija i procesa u poslovnoj organizaciji potrebno je da interni IT revizori identifikuju i sprovedu reviziju drugih nivoa procesa entiteta informanacionih tehnologija.

U daljem izlaganju izložićemo dalji nastavak oblasti i postupke u kojima deluje interna IT revizija.

• Revizija centra podataka
• Koraci revizije opšte mrežne opreme
• Mrežna i komunikaciona infrastrukt
• Revizija windows operativnih sistema
• Middleware i revizija baze podataka
• Revizija aplikacija
• Revizija kompanijskih projekata
• Okvir i standardi
• Forenzičko računovodstvo
• Forenzička IT revizija