7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 1/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
Prof. Dr Stanislav R. Polić1
Visoka škola strukovnih studija za ekonomiju i upravu, Beograd
INFORMACIONA BEZBEDNOST I PRIMENA
CAATT ALATA U IT REVIZIJI
Sažetak: Prelazak na digitalne poslovne evidencije u svim sverama poslovanja je umnogome unapredilo poslovanje, pre svega pojavom elektronskih poruka, elektronskogposlovanja i uvođenjem interfejsa “računar – računar”. U isto vreme rastu rizici i pretnje
od zloupotrebe novih tehnologija dovodeći do pojave cyber kriminila. U takvim novimtehnološkim uslovima procesi klasične revizije postaju praktično nemogućeaktivnonosti tako da nov metodološki pristup i upotreba specijalizovanih softvera,odnosno CAATT2 alata, postaje obavezujući način rada pod nazivom IT revizija.Preduslov za takav način rada je podizanje nivoa znanja i veština iz informacionihtehnologija, na svim hijerarhijskim nivoima poslovne organizacije, uključujući u to iglavni menadžment, a posebno interne IT revizore koji jedino sa korišćenjemodgovarajućih CAATT alata mogu da pristupe rešavanje postavljenih revizorskihzadataka u digitalnom okruženju.
Ključne reči: interna revizija , CAATT alati, digitalna ekonomija, bezbednost, interne
kontrole, informacija,
Uvod
Inovacije u proizvodnji i distribuciji informacija uzrokuju revolucionarne promene u
savremenom društvu i nastanak nove tehno–ekonomske paradigme3 rada u okruženju
"digitalne ekonomije". U digitalnoj ekonomiji informacija postaje najznačajniji resurs,
a proiozvodi informatičkog društva poprimaju formu digitalnih tokova koji “struje”
računarskim mrežama, nesputani nacionalnim granicama. Savremenim inovacijama u
oblasti platnih sistema dovršava se proces dematerijalizacije novca, tako da i sam novac
poprima formu digitalnih tokova u računarskim mrežama. Digitalni novac postaje
1 [email protected] CAATT - Computer-Assisted Audit Techniques and Tools3 Paradigma (iz strogrčkog παράδειγµα parádeigma, sastavljeno od dva pojma παρὰ parà “pored“ iδεικνύµ ι deiknymi “pokazati“, “učini razumljivim“; plural paradigme označava primer, uzor, uzorak.
Paradigma je skup osnovnih pretpostavki ili pravila koje uzimamo zdravo za gotovo (eng. default) ucilju poimanja stvarnosti i njenih fenomema. Pojednostavljeno, paradigma je uobičajeni način rada.Izvor wikipedia
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 2/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
pogodan način za "mikroplaćanja" i omogućiće komodifikaciju4 informacija. Nova
forma novca dovešće do krupnih promena u ekonomskoj sferi kao i do radikalne
transformacije bankarskog sektora. To zahteva odlučnu akcija ka digitalnim
veštinama pošto je to najefikasniji način da se obezbedi potrebna efikasnost rada.
Digitalna “revolucija” direktno utiče na sve delove svetske ekonomije, odnosno
privrede, sa poslovnim organizacijama kojima je potrebno da u svakom sektoru
razumeju i shvate mogućnosti koje im pruža digitalna revolucija. To varira od
integracije informacione, odnosno digitalne tehnologije u poslovnim procesima raznih
delatnosti, finansijskim uslugama i u online trgovini na malo. U svim sektorima, to je
kombinacija visoko kvalifikovanih tehnoloških profesionalaca, tehnološke “pameti“
poslovnih lidera i nadležnih krajnjih korisnika informacione tehnologije koji
omogućavaju efikasno učešće u digitalnoj ekonomiji poslovne organizacije.
U svetu je implementacija primene novih informacionih tehnologija u stalnom porastu.
Pri tom je prisutna modifikacija dosadašnjeg dominantnog interfejsa, čovek - računar u
specifičan interfejs računar - računar, uz neposredni nadzor ljudskog faktora. Očekuje
se da ovakav pristup postane standard 21 veka. Procena je da se već od kraja 2004
godine, 70% svetskog poslovanja, u razvijenim tržišnim ekonomijama odvija na nov
tehnološki način – posredstvom Interneta, na direktan ili indirektan način.
Proces stvaranja i razvoja potpuno novih poslovnih modela u svim oblastima poslovnih
delatnosti, sada se velikim delom bazira isključivo na informacionim tehnologijama.
Takav proces razvoja povećane automatizacije poslovanja kontinuirano traje već više od
šezdeset godina. Automatizacijom poslovnih procesa vrši se memorisanje velikih
količina podataka, koji u praktičnom radu dobijaju svoju svrhu adekvatnim korišćenjem
od strane poslovnih menadžera. Krajem dvadesetog veka su se u okruženjuinformacionih tehnologija pojavili novi informatički pojmovi kao što su (eng. data
warehouse - DW5, meta-data6, data mart
7, data mining
8, XML
9, repository10 i
4 komodifikacija podrazumeva uključivanje nekarakterističnih objekata trgovanja, dobara i usluga (ili
stvari koje se obično ne smatraju robom ili uslugama) u proizvod za trgovanja kroz kupoprodajni odnos. 5 DW - Data Warehouse – “skladište podataka” predstavlja posebno organizovane baze podataka kojepredstavljaju integraciju relacionih baza podataka velikih kapaciteta pogodnih za različite vrste upita uposlovnom obaveštavanju, približavajući korisnika sistemu za podršku odlučivanju (eng. DecisionSupport System-DSS) - (sistem za podršku odlučivanju). Izvor rečnik: Foldoc.6
meta-data - meta podaci, podaci oko podataka. U obradi podataka meta-data je definicija podatakakoja obezbeđuje informacije u vezi sa podacima ili dokumentacijom o drugim podacima upravljanimunutar jedne aplikacije ili okruženja. Na primer; meta-podaci moraju dokumentovati podatke o
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 3/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
drugi). Ovi pojmovi su postali standardne komponente u arhitekturi i strategiji
upravl јanja većine poslovnih procesa savremenog biznisa. Pojmovi su međusobno
isprepletani i vrlo često se međusobno nadovezuju jedan na drugi.
Savremeni pojam “meta podaci” (eng. meta-data) predstavlja novi metod rada, koji
doprinosi kvalitetnijem upravljanju i kontroli svih memorisanih podataka u okviru
postavljenog informacionog sistema, a predmet je stalne kontrole i monitoringa od
strane menadžmenta11 poslovnih organizacija. Sam pojam “meta-data” je direktno
povezan sa mnogim drugim, već ukazanim pojmovima iz oblasti informacionih
tehnologija, pre svega sa pojmom “data warehouse” - "skladištem podataka" koji
predstavlja posebnu, najčešće istorijsku bazu poslovnih podataka u kojoj su podaci
memorisani i permanentno dostupni korisniku, a po potrebi i procesima eksterne i
interne revizije. Za kvalitetan pristup ovim podacima menadžeri bi trebalo da poseduju
znanja za korišćenje određenih raspoloživih softverskih alata kao što je na primer “data
mining“, specijalizovani softverski alat koji omogućava efikasnu analizu podataka u
bazama podataka, pre svega u data warehouse.
Korišćenjem softverskog alata data mining, moguće je da se analiziraju trendovi ili
anomalije u memorisanim podacima bez analize značenja samih podataka. U sklopu
ponuđenih novih alata na softverskom tržištu, menadžeri se nalaze pred specifičnim
elementima podataka ili atributima, (ime, veličinu, tip podatka, itd) i podatke o slogu ili strukturipodataka (dužina, polja, kolone itd) i podatke o podacima (gde su oni locirani, kako su udruženi, pravosvojine nad njima, itd). Meta podaci mogu uključiti u sebe opisne informacije o kontekstu, kvalitetu iuslovima ili karakteristikama podataka Izvor rečnik foldoc. 7 Data mart - Baza podataka. Specijalan tip DW primarno dizajnirana da adresira specifične funkcije ilipotrebe jednog odeljenja-departmenta, kao opozicija DW koja ima tradicionalno značenje da adresirapotrebe organizacije iz perspektive kompanije. Dopunsko tumačenje, data mart često koristi agregirane ilisumarne podatke da bi se poboljšale performanse upita. Međutim, važno je održavati sposobnost pristupa
za poređenje baza podataka da bi omogući, ako je neophodno, analize do kraja (eng drill-down).8 Data mining - "Rudnik podataka"; Baza podataka. Analiza podataka u bazi podataka korišćrenjem alatakoji gledaju trend ili anomalije bez analize značenja samih podataka. Rudnk podataka je promovisan odstrane IBM-a koji u okviru ovih alata drži određene povezane patente.9 XML - (eng EXtensible Markup Language Language, text (XML)); Ekstezivni napredni jezik, Jezik,tekst (XML). Inicijativa od strane W3C (eng. World Wide Web Consortium) (konzorcijuma širokesvetske mreže) XML je definisan kao "ekstremno jednostavan-prost" jezik-dejalekt od SGML (eng.Standard Generalized Markup Language) (stadardan uopšteni povišeni jezik) podesan za korišćenje usvetski širokoj mrezi - Web-u.10 Repository - (eng. data dictionary, database). Repozitorijum, rečnik podataka, baza podataka; strukturapodataka koja memoriše meta podatake (meta data) naprimer podatke oko podataka,. Podatak "rečnikpodataka" ima nekoliko značenja i korišćenja. Najopštiji od njih je skup opisa podataka koji može bitideljen od nekoliko aplikacija. To najčešće označava tabelu u bazi podataka koja memoriše nazive, tip
polja, dužinu i druge karakteristike polja u tabelama baza podataka.11 Izvod iz članka Ralph Kimball “Meta Meta Data Data ”(DBMS, March 1998):
www.dbmsmag.com/9803d05html
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 4/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
izazovom, kako da nove tehnološke mogućnosti stave u funkciju svojih svakodnevnih
potreba, imajući pri tom u vidu poslovno okruženje koje primenjuje savremeno
elektronsko poslovanje.
1. Pojam digitalne ekonomije
U tržišno razvijenim ekonomijama praktično ne postoji poslovni subjekt koji u većoj ili
manjoj meri ne primenjuje savremenu informacionu tehnologiju. Opšta je konstatacijada informaciona tehnologija postaje paradigma savremenog poslovanja. Istovremeno,
današnje poslovanje se iz raznih razloga suočava sa različitim oblicima krize. Svetska
literatura, prateći događanja u svetskoj praksi je puna primera potrebe za delovanje
interne revizije u novim, savremenim tehnološkim uslovima.
U svetskoj terminologiji, termin digitalni se najčešće odnosi na cifre odnosno brojeve,
međutim, u rečniku kompjuterske nauke ovaj termin se odnosi na predstavljanje
podataka (informacija) posredstvom brojeva 0 i 1, tako da memorisane informacijemogu da budu pisane, čitane i memorisane korišćenjem mašina, odnosno računara.
Prefiks “e”, na primer (e-accounting12) se odnosi na elektroniku, značenje korišćeno za
primenu elektronskih uređaja, na primer, kompjutera. Digitalno računovodstvo ili
elektronsko računovodstvo, kao korespodentna analogija, se odnosi na predstavljanje
računovodstvenih informacija u digitalnom formatu, koje tako postavljene mogu da
budu prihvaćene u elektronskom memorisanju, obradi i prenošenju. Bitno je uočiti da
digitalno računovodsto nema standardnu definiciju već se samo odnosi na promene u
računovodstvu koje su nastale usled korišćenja kompjutera i mrežne tehnologije.
Računovodstvo, koje predstavlja, uslovno rečeno, svojevrsnu “umetnost i nauku”
merenja performansi poslovanja se razvijalo paralelno sa poslovanjem, a posebno sa
pojavom najnovijih savremenih informacionih tehnologija. Memorijske kartice,
mainframes13 kompjuteri, baze podataka i savremena skladišta podataka - DW,
12 Izvor wikipedia13
mainframe – Termin koji se originalno odnosi na kabinet koji sadrži centralni procesor ili"mainframe" u posebnoj prostoriji. Posle pojave manjih računara početkom sedamdesetih godinaprošlog veka, tradicionalni “big iron” mašine su opisivane kao "mainframe" kompjuteri ili skraćeno
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 5/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
personalni kompjuteri – PC14 i produktivnost softvera, specijalno računovodstvenog
softvera i ERP15 rešenja, lokalne mreže - LAN16 i raspostranjene mreže - WAN17
između mnogih drugih stvari su ostavile svoj znak u računovodstvenoj teoriji i praksi.
Na primer, mehanizmi unosa podataka18, memorisanja podataka i mehanizmi obrade,
izveštavanje, interne kontrole, revizorske pretrage kao i skup potrebnih veština za
računovođe su u kontinuiranom, spiralnom neprekidnom kretanju i poboljšanju u
proteklih nekoliko dekada19.
2. Koren digitalnog računovodstva
Prisutan je stav da se računovodstvo, sve do nedavno, u praksi, često povezivalo sa
pojmom “usporavanje progresa”, sa značenjem da računovodstvo daje direktan otpor
i da predstavlja ono što se opire razvoju u poslovanju i primeni novih tehnologija. Isto
tako, zanimljivo je uočiti da je inicijalno računovodstvo uvek na samoj oštrici sečiva
(cutting edge) revolucije informacionih tehnologija. Sami koreni digitalnog
računovodstva mogu da budu istraživani počev od ekonomske depresije u Americikoja se dogodila tokom drugog svetskog rata. Poreska regulative je u to vreme postala
kompleksna, a drugi svetski rat je uveo različite logističke probleme i probleme
upravljanja podacima. Detalji finansijskih transakcija i lokacije dobara nisu pouzdano
obrađivane, čak uz prisutnu veliku armiju stručnih referenata. Po svojoj prirodi, ovaj rad
mainframe. Termin se odnosi pretežno na računare koji su dizajnirani za batch – paketnu obradu a manjeza interaktivno korišćenje. Izvor: rečnik Foldoc 14
PC - Personal Computer - personalni računar15 ERP - Enterprise Resource Planning; Planiraranje resursa preduzeća. Pod ovim se podrazumeva bilokoji softver projektovan da automatizuje poslovne procese srednjih ili velikih preduzeća. U taj procesplaniranja može da bude uključena proizvodnja, distribucija, kadrovi, upravljanje projektma, zarade ifinansije. ERP sistem je računovodstveno orijentisan informacioni sistem za identifikovanje i planiranješirokih resursa preduzeća koji su potrebni za nabavku, proizvodnju, distribuciju, računovostvo i procesanaručivanja od strane potrošača. ERP sistem je originalno proširenje prethodnog sistema planiranjaproizvodnim resursima (eng. Manufacturer Resource Planning - MRP II) pošto u sebe inkorporira širokeobime ukupnih potreba. Jedan ERP sistem se takođe razlikuje od tipičnog MPR II sistema u tehničkimzahtevima, takvim kao što su relacione baze podataka, korišćenje objektno orijentisanih programskih
jezika i softverskih inženjerskih alata potpomognutim kompjuterskim tehnikama za razvoj softverskihrešenja, klijent / server arhiktekturom i otvorenoj sistemskoj portabilnosti. Izvor: rečnik Foldoc 16 LAN - Local Area Network - lokalna mreža17
WAN - Wide Area Network18 data – entry - unos podataka19 Izvor: http://books.google.
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 6/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
je bio dosadan, loše plaćen, a zahtevao je visok stepen tačnosti. U tom trenutku su
izuzetno dobro došle nove “mehaničke mašine” za automatsko tabeliranje. Tokom
proteklih dekada mašine za tabeliranje su se razvile u nove tehnologije koje proizvode
sve novije i sve šire poslovne aplikacije, neslučenih razmera čak i za njihove
najvatrenije pobornike. Potpuno identično, kao i digitalno računovodstvo, elektronsko
računovodstvo (e-accounting20) nema standardnu definiciju nego se samo odnosi na
promene u računovodstvu usled kompjuterizacije i boljeg korišćenja mrežne
tehnologije. Istovremeno je elektronsko računovodstvo (e-accounting) opisano kao
jedna online21 aplikacija zasnovana na Internet tehnologiji koja se koristi za poslovnu
računovodstvenu funkciju. Na isti način kao elektronska pošta - (e-mail), koja
predstavlja jednu elektronsku verziju tradicionalne pošte, elektronsko računovodtvo (e-
accounting) predstavlja samo “elektronski omogućeno” zakonito vođenje
računovodstva i računovodstvenih procesa, koji se mogu softverski pretraživati a koji su
do sada bili tradicionalno ručni i zasnovani na papiru, ili klasičnoj automatizaciji
poslovanja.
Elektronsko računovodstvo (e-accounting) uključuje izvršavanje regularne, odnosno
redovne računovodstvene funkcije, računovodstvena istraživanja, računovodstveni
trening i edukaciju, kroz različite računovodstvene alate zasnovane na kompjuteru /
Internetu, takve kao što su digitalne garniture alata (digital tool kits), korišćenje
različitih Internet resursa, međunarodnih materijala zasnovanih na web-u, baze podataka
različitih instituta i poslovnih organizacija (kompanija) koje su zasnovane, odnosno
pristupačne na Internetu, web veze (web links), računovodstveni softver zasnovan na
Internetu i elektronske alate za finansijske tabele22 da bi se obezbedilo efikasno
donošenje poslovnih odluka. Savremeno online računovodstvo kroz aplikacije koje seizvršavaju posredstvom web-a, takozvani cloud computing23 je tipično zasnovano na
20 Izvor wikipedia21 online – direktan pristup, odnosno konekcija kompjuteru ili kompjuterskoj mreži.22 electronic financial spreadsheet tools, elektronski alati za proračune finanasijskih tabela23 Cloud computing - se odnosi na obezbeđivanje računarskih resursa na zahtev korisnika, prekoračunarske mreže. Pod tim se podrazumevaju razne aplikacije (uključujući i računovodstvene), korišćenjebaza podataka, fajl servisa, e-mail i slično. U tradicionalnom modelu informacionih tehnologija, naračunaru korisnika se nalaze i podaci i softver, u cloud computing, računari korisnika mogu da gotovo nesadrže softver ili podatke (verovatno samo minimalne elemente operativnog sistema i web pretraživača).
Takav računar kod korisnika služi kao nešto više od terminala za procese koji se dešavaju daleko namreži računara. Zajednička skraćenica za pružene usluge cloud računarstva (ili čak i prikupljanje svihpostojećih cloud usluge) je “cloud - oblak”. Izvor wikipedia.
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 7/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
jednostavnoj svakodnevnoj odgovornosti, nultim administrativnim pristupom, da bi
se pomoglo poslovnom usredsređivanju, odnosno koncetraciji samo na osnovne
aktivnosti računovodstva i da bi se izbegli nevidljivi pripadajući troškovi sa
tradicionalnim računovodstvenim softverima, takvim kao što su instalacija,
nadopunjavanje, odnosno poboljšanje (upgrade), razmena fajlova podataka, razni
prepisi (back up), obnavljanje u slučaju katastrofe (recovery) i drugo.
U tradicionalnim sistemima koncept dokumenta, sloga i poslovnih knjiga nas podesćaju
na papir, zato što je to medijum koji se bolje uočava od strane ljudskog mozga. Sa druge
strane, postoje jasno memorisani sirovi poslovni podaci u elektronskim sistemima. Ako
je potrebno, informacione tehnologije prezentiraju tako memorisane podatke u
zahtevanom formatu. Podaci uzimaju formu knjige ako neko želi da ih vidi u tom
formatu, oni uzimaju formu sloga ako računovođa želi da ih vidi u formatu sloga. Svake
godine, institut AICPA24 vrši istraživanja da bi saznao efekte razvoja informacionih
tehnologija u svetskom poslovanju, specijalno u računovodstvenim aplikacijama.
Ova istraživanja od strane instituta AICPA su izvršavana počev od 1990 godine, a svake
godine istraživanja određuju procenu najvažnijih tehnoloških aplikacija i inovacija za
sledeću godinu. Takvim prilazom se od strane instituta AICPA svake godine određuje
lista aplikacija koje su dominantne i prioritetne po svom značaju i ta lista se naziva
“glavnih 10 tehnologija u godini posmatranja”.
Da bi na adekvatan način ispratili moguće rizike u poslovnom izveštavanju, uključujući
važeću paradigmu rada sa informacionim tehnologijama, u Sjedinjenim Američkim
Državama je tokom 1987. godine formirаn poseban "Komitet sponzorskih orgаnizаcijа"
- COSO25 sаstаvljen od pet nа jvаžnijih orgаnizаcijа koje se bаve problemom
računovodstvene profesije i pouzаdаnosti finаnsijskih izveštа jа i to: Američki institutJаvnih Sertifikovаnih Rаčunovođа - AICPA, Američkа Asocijаcijа Rаčunovođа
AAA26, Institut finаnsijskih izvršnih kadrova - FEI27, Institut internih revizorа - IIA28 i
Institut Uprаvljаnjа Računovodstvom - IMA29. Formirаnа COSO orgаnizаcijа je
24 AICPA - American Institute of Certified Public Accountants - Američki institut za ovlašćene javneračunovođe25 COSO - Committee of Sponsoring Organisations - Komitet sponzorskih orgаnizаcijа 26 AAA – American Accounting Association - Američkа аsocijаcijа rаčunovođа 27
FEI – Financial Executives Institute - Institut finаnsijskih izvršnih kadrova28 IIA – Institute of Internel Auditors – Institut internih revizora29 IMA – Institute of Menagement Accountants - Institut uprаvljаnjа računovodstvom
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 8/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
nezаvisnа od svojih osnivаčа i imа zаdаtаk dа definiše potrebno unаpređenje internih
kontrolа u poslovnim orgаnizаcijаmа. U tom smislu, COSO je izdao poseban
priručnik, "Interne kontrole integrisаni okvir" koji je prihvаćen kаo nezvаničаn svetski
stаndаrd nа osnovu kojeg je moguće uprаvljаnje i ublаžаvаnje rizikа u poslovnim
orgаnizаcijаmа.
Kаko informaciona tehnologija postа je pаrаdigmа sаvremenog svetskog poslovаnjа,
menаdžment zаdužen zа informacione tehnologije i bezbednost postа je odgovorаn i
obavezan da obezbedi dа se nа podesаn nаčin uprаvljа informаcionim resursimа,
posebno internim kontrolаmа u okviru Informаcionih Sistemа u poslovnoj orgаnizаciji.
Tom prilаzu izuzetno mnogo mogu dа pomognu uprаvo definisаne COSO preporuke.
U okviru svog integrisаnog okvirа, COSO je definisаo pet komponenti vezаnih zа
interne kontrole i to: (kontrolno okruženje, procenu rizikа, kontrolne аktivnosti,
informаcije i komunikаcije i nаdzor – monitoring). Svаkа od tih definisаnih komponenti
koje pripаdа ju COSO okviru su vаžne dа bi se postigli postаvljeni ciljevi pouzdаnosti
finаnsijskih izveštа jа. Kаdа su ove komponente prisutne i funkcionаlne u potrebnom
obimu u poslovnoj orgаnizаciji, tаdа menаdžment može dа imа rаzumnu sigurnost i
uverenje dа su finаnsijski obrаčuni pripremljeni nа pouzdаn nаčin, а sprovedene interne
kontrole mogu dа budu ocenjene kаo efikаsne i efektivne.
Sаm nаdzor može dа bude urаđen nа dvа nаčinа; kroz аktivnosti u toku samog procesa
rada ili kroz odvojeni proces ocene. Sistemi internih kontrolа su obično tаko
struktuirаni dа donekle nаgledа ju sаmi sebe. Povećаnje stepenа i delotvornosti tekućeg
monitoringа dovodi do mаnje potrebe zа posebnim ocenаmа. U prаksi se obično
"prаve" kombinаcije tekućeg održаvаnjа i posebnih ocenа koje će osigurаti dа sistem
internih kontrolа sаčuvа svoju efikаsnost i objektivnost tokom vremenа. Osnovni cilj je obezbediti podesne i kvalitetne računovodstvene informacije.
Podesnа informаcijа je relevаntnа, pouzdаnа i blаgovremenа. Nа slici 1 je prikаzаno
kаko tа tri elementа za ocenu podesnosti informаcijа funkcionišu zа jedno. U centru
dijаgrаmа gde je informаcijа relevаntnа, pouzdаnа i blаgovremenа, ocenjivаč može
dа posveti svoju pаžnju nа to dа li je rаspoloživo dovoljno informаcijа zа rаzumаn
zаključаk pri donošenju poslovnih odluka. Informаcije koje ne аdekvаtno prikаzuju ovа
tri elementа mogu dа budu podesne do nekog stepenа, аli sаme ne mogu dа podržerаzumne zаključke gledа jući kontinuitet efikаsnosti interne kontrole. Nа primer;
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 9/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
Relevantna
Blagovremena
Pouzdana
Potrebneblagovremeneinformacije
Potrebnepouzdaneinformacije
relevantne
blagovremenepouzdane
Potrebnerelevantneinformaci e
informаcijа može dа bude relevаntnа i pouzdаnа аli još uvek nedovoljno
blаgovremenа dа podrži zаključke gledа jući unutаr potrebnog rаzmаtrаnjа, kontrolnu
efikаsnosti informacija tokom vremenа. Alternаtivno, informаcijа može dа bude, bitnа i
blаgovremenа, аli generisаnа od mаnje pouzdаnog izvorа podataka.
Nа krа ju, informаcijа može dа bude, blаgovremenа i pouzdаnа аli neаdekvаtno
relevаntnа dа bi se pristupilo zаključivаnju vezаno zа efikаsnost i efektivnost potrebnih
internih kontrolа. Kаo što pokаzuje slikа 1, u tаkvoj situаciji biće potrebno, dа se
zаhtevа ju dopunske informаcije dа bi se obezbedio zаhtevаni stepen podesnosti,
odnosno pouzdanosti informacija finansijskog izveštavanja poslvne organizacije.
Preduzimanjem blagovremenih preventivnih akcija za zaštitu poslovnih informacija i
informacionih sistema, poslovne organizacije smanjuju svoju izloženost mogućim
opasnostima i smanjuju verovatnoću negativnih ishoda u budućnosti30.
3. Revizija informacionih tehnologija
Revizija informacione tehnologije ili revizija informacionog sistema predstavlja jednu
ocenu kvaliteta kontrola unutar infrastrukture informacione tehnologije. Jedna IT
revizija je proces prikupljanja i ocene evidencije informacionog sistema poslovne
organizacije, prakse i operacija. Ocena dobijenih evidencija određuje da li su
informacioni sistemi obezbeđena sredstva, da li je održavan integritet podataka i
operativna efikasnost i efektivnost da bi se dostigli ciljevi ili objektivnost poslovne
organizacije. Ova razmatranja mogu da budu izvršavana u konjukciji sa revizijom
finansijskih obračuna, internom revizijom ili drugim formama angažovanog atestiranja.
IT revizija je takođe poznata kao revizija automatske obrade podataka-ADP31 i kao
kopjuterska revizija. Formalno se zove revizija elektronske obrade podataka – EDP32.
30 UNSW IT Security Standards & Guidelines, Division of information services, Effective from March
200431 ADP - Automated Data Processing32 EDP - Electronic Data Processing
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 10/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
Slika 1 Prikaz elemenata podesnosti informacija
3.1. Svrha IT revizije
Jedna IT reviziji ne bi trebalo da bude pobrkana sa revizijom finansijskih obračuna. Iako
tu može da bude neke apstraktne sličnosti, primarna svrha finansijske revizije je da
oceni da li se poslovna otrganizacija pridržava standardne računovodstvene prakse.
Primarna funkcija IT revizije je da oceni sistemsku efikasnost i sigurnosne protokole,
osobito da oceni sposobnost poslovne organizacije da zaštiti svoja informatička sredstva
i najpodesniju podelu informacija samo na autorizovane strane. Agenda IT revizije
može da bude sumirana prema sledećim pitanjima: Da li su kompjuterski sistemi poslovne organizacije, kada je to zahtevano,
raspoloživi svo vreme za poslovanje? (Raspoloživost – Availability)
Da li su informacije u sistemima poslovne organizacije obelodanjene samo
autorizovanim korisnicima? (Poverljivost - Confidentiality),
Da li su informacije obezbeđene od strane informacionog sistema uvek tačne,
pouzdane i blagovremene? (Integritet - Integrity)
Fokus IT revizije u determinisanju rizika koji su bitni za informaciona sredstva i proceni
kontrola da bi se smanjili ili ublažili ti rizici. Kroz implementiranje kontrola, efekat
rizika može da bude minimiziran, ali ne mogu da budu kompletno eliminisani svi rizici.
3.2. Tipovi IT revizije
Različiti autoriteti su kreirali različite taksonomije da bi napravili razliku o različitim
tipovima IT revizije. Goodman & Lawless formulišu da postoje tri specifičnosistematizovana pristupa da bi se izvršila jedna IT revizija i to:
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 11/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
Revizija procesa tehnoloških inovacija. Cilj ove revizije je da konstruiše profil
rizika za postojeće i nove projekte. Revizija će proceniti dužinu i dubinu
iskustva poslovne organizacije u njenim izabranim tehnologijama kao i njeno
prisustvo na relevantnim tržištima, svakog projekta poslovne organizacije,
Revizija poređenja inovacija: Ova revizija, kao što samo ime implicira, znači
izvršavanje jedne analize inovacionih sposobnost poslovne organizacije koje će
biti podvrgnute reviziji, u poređenju sa njenim konkurentima. To zahteva ocenu
sposobnosti istraživanja i razvoja poslovne organizacije, kao i praćenje opisa
dosadašnjeg rada u aktualnoj proizvodnji novih proizvoda.
Revizija tehnološke pozicije. Ova revizija razmatra tehnologije koje poseduje
tekuće poslovanje i da li ima potrebu da ih dogradi. Tehnologija je
okarakterisana u suštini ili kao "osnovna", "ključna", "napredna", ili "novo
pojavljena".
Drugi opisuju spektar IT revizije sa pet kategorija revizije i to:
Sistemi i aplikacije: To je proces jedne revizija koja bi trebala da potvrdi da su
sistemi i aplikacije podesno, efikasno i adekvatno kontrolisani da bi osigurali
punovažan, pouzdan, blagovremen i bezbedan ulaz, obradu i izlaz na svim
nivoima sistemskih aktivnosti u poslovnoj organizaciji.
Sredstva obrade informacija: To je proces jedne revizija koja bi trebala da
potvrdi da su sredstva obrade kontrolisana da bi osigurala blagovremenu, tačnu i
efikasnu obradu aplikacija unutar normalnih i potencijalno poremećenih uslova
rada.
Razvoj sistema: To je proces jedne revizija koja bi trebala da potvrdi da sistem
koji se razvija zadovoljava ciljeve poslovne organizacije i da osigurava da sesistem razvija u saglasnosti sa opšte prihvačenim standardima za razvoj sistema.
Upravljanje informacionom tehnologijom i arhiktekturom poslovne
organizacije: To je proces jedne revizija koja bi trebala da potvrdi da je IT
menadžment razvio jednu organizacionu strukturu i procedure da bi osigurao
kontrolu i efikasno okruženje za obradu informacija.
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 12/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
Klijent server, telekomunikacije, Intranet33
i Ekstranet34: To je proces jedne
revizija koja bi trebala da potvrdi da su uspostavljene potrebne kontrole kod
klijenta (kompjter koji prima usluge), kod servera i u mrežnoj konekciji klijenata
i servera.
Neki istraživači spajaju sve IT revizije kao jedan suštinski tip ili kao samo dva tipa i to:
revizija koja bavi "opštim kontrolama" ili revizija "aplikativnih kontrola".
3.3. Oblasti pokrivanja IT revizije
IT revizija pokriva oblast u kojoj obitavaju i deluju IT kontrole, a iste mogu da bude
klasifikovane prema nameni pa ih definišemo kao opšte kontrole ili kao aplikativne
kontrole.
Opšte kontrole, (takođe poznate kao infrastrukturalne kontrole) se primenjuju
na sve sistemske komponente, procese i podatke za datu poslovnu organizaciju
ili sistemsko okruženje. Opšte kontrole uključuju ali nisu ograničene samo na:
bezbednosnu politiku vezano za informacije, administraciju, pristup,autentičnost, prepise (back up) povračaj podataka (recovery) i održavanje
poslovnog kontinuiteta.
Aplikativne kontrole se odnose na polje individualnih poslovnih procesa ili
aplikacionih sistema. To uključuje takve kontrole kao što je editovanje podataka,
transakciono prijavljivanje (logging) i izveštaj o greškama. Funkcija kontrole je
veoma relevantna, odnosno bitna za procenu projekata i njihove efikasnosti.
Kontrole mogu da budu klasifikovane prema tipu kontrole koje mogu da budu
preventivne, detektivne ili korektivne, odnosno reaktivne.
33 Intranet koristi istu tehnologiju kao i web - sajt, ali je pristup ograničen samo za interne korisnike. To je mreža koja nije raspoloživa za svet izvana poslovne organizacije. Ako je Intranet mreža konektovanana Internet, Intranet će “obitavati” iza posebnog zaštitnog zida (vatrenog zida) (eng. firewall) a ako onomogući pristup kroz Internet, onda on postaje Ekstranet. Firewall pomaže kontrolu pristupa izmeđuIntraneta i Interneta dozvoljavajući pristup Intranetu samo ljudiima koji su članovi iste poslovneorganizacije.34 Extranet je vrlo sličan sa intranetom izuzev što su korisnici klijenti, kupci ili dobavljači. To je u stvariintranet koji je praktično dostupan samo autorizovanim spoljnim licima (eng. outsider). Aktuelni server(kompjuter koji opslužuje web stranice) će obitaviti iza firewall-a. Firewall pomaže kontroli pristupa
između intraneta i interneta, odnosno dozvoljenih pristupa intranetu samo onim spoljnim korisnicima kojisu za to, podesno autorizovani. Nivo prava pristupa može biti podešen na različite nivoe, za pojedinačneili grupne spoljne korisnike.
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 13/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
Preventivne kontrole sprečavaju greške, omaške ili događanja bezbedonosnih
incidenata. Primeri uključuju antivirus softvere, firewall35-ove (vatrene zidove) i
prevenciju od upada u informacioni sistem.
Detektivne kontrole detektuju greške ili incidente koji su izbegli preventivne
kontrole. Na primer, detektivne kontrole mogu da identifikuju brojeve
neaktivnih naloga prava pristupa ili brojeve naloga prava pristupa koji su
označene za monitoring sumljivih aktivnosti.
Korektivne kontrole ispravljaju greške, omaške ili incidente čim su isti
detektovani u poslovnoj organizaciji. To varira od jednostavnih korekcija koje
su nastale pogrešnim unosom podataka (data-entry errors) do obnavljanja celog
informacionog sistema, (eng recovery) zbog incidenata, aktivnosti remećenja ili
uništenja.
U digitalnom svetu, efikasno upravljanje poslovnim informacijama, informacionim
sistemima i komunikacijama je od ključnog, kritičnog značaja za uspeh i opstanak
poslovne organizacije. Ova kritičnost nastaje zbog:
Dramatično povećane zavisnosti poslovne organizacije od informacija,
informacionih sistema i komunikacija koje pružaju informacije;
Obima i cene sadašnjih i budućih investicija u poslovne informacije; i
Potencijala koji donosi nova informaciona tehnologija koja će dramatično da
promeni rad poslovnih organizacija i poslovnu praksu kroz kreiranje novih
mogućnosti, uz smanje potencijalnih troškova.
Mnoge poslovne organizacije prepoznaju potencijalne koristi koje informaciona
tehnologije može da pruži. Međutim, uspešna poslovna organizacija će da razume i da
uspostavi upravljanje rizicima koji su direktno povezani sa primenom novihinformacionih tehnologija. Izvršni menadžment bi morao da ima poštovanje i
razumevanje za osnovne rizika i moguća ograničenja koja su vezana za primenu
informacione tehnologije, kako bi se obezbedio efikasan pravac razvoja i adekvatne
kontrole. Ovo izlaganje ima za cilj da pomogne računovodstvenim stručnjacima u
upravljanju sprovođenja politike i procedura bezbednosti u ukupnom okviru internih
35 firewall – uobičajeni akronim za "zaštitni vatreni zid " kojim se mreža i mrežni serveri štite od
neautorizovanog ulaza, posebno prisutnih u Internet okruženju. To je “protivpožarni zid“ zapravoelektronska hardverska i softverska zaštita. Pošto u našem jeziku ne postoji termin za ovaj pojam, udaljem tekstu će se koristiti engleski termin. (prema elektronskom rečniku Foldoc)
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 14/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
kontrola. Pri tom su neophodne dodatne tehničke smernice za upravljanje rizicima kod
primene informacionih tehnologija.
3.4. CAATT alati
U okviru poslovnih procesa interne IT revizije, svako razmišljanje o poslovnoj
inteligenciji - BI36, upućuje na razmišljanje o posebnom podatkovnom data warehous-u
mulitidimenzionalnim modelima podataka i sofisticiranom načinu za pripremanje ad
hock izveštaja. Iako nove softverske tehnike i informatički resursi vrlo dobro služe u
praksi, one se nedovoljno dobro obraćaju ukupnom cilju poslovne inteligencije - BI.
Poslovna inteligencija bi trebalo da obezbeđuje donosioce, pre svega poslovnih odluka
(eng. decision makers), sa tačnim informacijama koje su im potrebne za razumevanje,
upravljanje, direktnu organizaciju i na osnovu toga – donošenje pravih
dokumentovanih poslovnih odluka. Evidentno je da se sa ovakvim prilazom samo
približavamo vrhu “ledenog brega“ ove problematike. Poslovna inteligencija ima svoj
značaj pre svega za menadžment poslovnih organizacija. Sa stanovišta potreba
menadžmenta, u okviru memorisane strukture podataka, jedan od najčešćih oblika
memorisanja je tekst. Unutar teksta, moguće je uočiti projektni status informacija,
marketing izveštaje, detalje o industrijskoj regulativi, konkurentskim propagandnim
kampanjama kao i opise novih tehnologija u patentiranim aplikacijama. U praksi nije
jednostavno preuzeti ovaj tip informacija, kao i posebne, izuzetno važne detalje, na čije
smo korišćenje navikli u našim tradicionalnim sistemima poslovne inteligencije. Zato je
potrebno proširiti cilj poslovne inteligencije na šire područ je sa zahtevom da uključi u
sebe razradu tekstualnih informacija. Savremena informaciona tehnologija to
omogućava što upućuje signal poslovnom menadžmentu da je sada pravo vreme da se
blagovremeno ukljući i primeni te savremene procese, iz više suštinskih razloga:
36 BI - Business Intelligence - Poslovna inteligencija. Definicija poslovne ineligencije: Poslovna
inteligencija je novi termin koji u sebe inkorporira široke varijante poslovnih procesa i tehnologije zaostvarivanje i analizu specifičnih informacija kako bi se sa njima pomoglo stvaraocima biznisa, pre svegamenadžerima da ispituju kvalitet svojih poslovnih odluka. Poslovna inteligencija može da bude
"zabeležena" unutar raznih izveštaja i takvih aktivnosti kao što su six-sigma (naučno vizuelnoprogramiranje u okruženju NASA), u okviru raznih statističkih analiza, dataminig-a i finansijskihpredviđanja. Izvor: rečnik Foldoc
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 15/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
Prvo, na svetskom tržištu su sada na raspolaganju mnogi softverski alati za
analizu teksta i izdvajanju ključnih informacija sa kojim je moguće formirati
prečišćena warehouse dokumenata, u koji se memorišu korisne selektovane
"inteligentne" poslovne informacije. Stalan i stabilan napredak u
kompjuterizaciji lingvistike od 1960 godine (pre svega u engleskom govornom
područ ju) omogućava da imamo ostavljen širok skup alata za izdvajanje ključnih
tekstualnih delova, kategorizaciju dokumenata, indeksiranje prema tipu,
omogućavajući u isto vreme dobro pretraživanje kroz ključne reči, automatsko
sumiranje teksta i grupisanje sličnih dokumenata. Ovi alati su ključ za uspešnu
integraciju teksta u infrastrukturu poslovne inteligencije.
Drugo, Internet i www37 su obezbedili i stalno proširuju ogromnu količinu
poslovnih informacija, čineći ih lako pristupačnim. Sa novim, savremenim,
"pravim" softverskim alatima menadžment može da pronađe ključne potrebne
informacije oko finansijskih, marketinških i tehnoloških planova konkurencije.
U sklopu takvih novih tehnologija i tehnoloških rešenja, proces interne IT revizije mora
da nađe i nalazi svoje mesto. U praksi postoje mnogi različiti izvori memorisanih
podataka koji su bitni za revizorske informacije i revizorsku pretragu. Do tih
informacija interni IT revizori dolaze korišćenjem namenskih softvera. Mnogi softverski
paketi koji su danas korišćeni od strane revizora obezbeđuju višestruku funkcionalnost
u različitim oblastima revizorskog delovanja. Pri tom treba istaći da neki od softvera
koji su prisutni na tržištu, nisu projektovani direktno za potrebe revizora, ali su po
svojoj prirodi takvi, da su pogodni za korišćenje i od strane revizora, upravo zato što
obezbeđuju analizu rizika, analizu i kontrolu upravljanja, ili kontrolu monitoringa koji
je potreban u revizorskom radu. To je osnovni razlog zašto ti alati mogu da budu vrlokorisni za revizora38.
Druga bitna karakteristika savremenog digitalnog poslovanje zahteva razmatranje i
ocenjivanje novog pojavnog oblika rada, takozvane “cloud” računarske paradigme koja
predstavlja novi pojavni okvir na tržištu računovodstvenih usluga. Za bezbedan rad
usluga cloud computing bi morala da se pobrine IT revizija Novi pristup je da se
37www - World-Wide Web - web je deo nečeg specifičnog, deo {web site}, reč nastala 10.05.1996 izvor
rečnik Foldoc38 Dr Branko O. Krsmanović, Dr Stanislav R. Polić, Informacione tehnologije u računovodstvu i reviziji,Banja Luka, Bjeljina, 2008
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 16/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
uspostavi opšti okvir koristeći kontrolne liste koje slede tok podataka i životnog ciklusa
poslovnih procesa. Kontrolne liste su napravljene na osnovu “cloud” raspoređivanje i
modela usluga posredstvom novih “cloud” mogućnosti.
3.4.1. Definicija CAATT
Mnoge revizorske organizacije su gledali na mikrokompjuter kao na novi alat revizije,
alat koji može da bude korišćen ne samo od strane revizora informacionog sistema več
od strane svih revizora. Ovo izlaganje u kratko daje kratak pregled koristi CAATT alata
i ističe metodologije za razvoj i korišćenje CAATT alata u organizaciji revizije. Danas
revizori moraju da postanu mnogo više trenirani sa novim veštinama i oblastima
ekspertiza da bi bili mnogo korisniji i produktivniji. Sa migracijom na nove tehnologije,
od revizora će da bude zahtevano da koriste asistenciju kompjuterskih tehnika da bi
vršili reviziju elektronskih transakcija i aplikativnih kontrola. Zakoni slični US
Sarbones Oxley ACT-u iz 2002 godine su “pritisnuli” mnoga revizorska odeljenja da
pronađu nove puteve da povežu specifične alate u kompleksan poslovni sistem (Baker
2005). Kroz uprezanje snage kompjutera, revizori mogu da pboljšaju svoju sposobnost
da kritično raznatraju podatke i informacije i da upravljaju svojim vlastitim
aktivnostima mnogo racionalnije i brže. Danas, usled prisutnog kritičnog nedostataka
ovih veština i talenta na tržištu radne snage revizori postaju mnogo vredniji i tržišno
interesantniji.
U današnje vreme automatizacije informacija i decentralizacije donošenja odluka,
revizori imaju mali izbor mogućnosti da li ili ne da prihvate korišćenje kompjuterski
zasnovanih alata i tehnika. To je više pitanje da li će i koliko korišćenje CAATT alata
da bude značajno efikasno i da li će implementacija da bude upravljana i racionalno
kontrolisana ili će ostati samo slučajna. Mnoge organizacije imaju pokušaj da
implementiraju CAATT alate ali su doživele neuspeh. Kroz razumevanje podesnog
korišćenja i snage kompjuterski zasnovanih revizorskih alata i tehnika, revizori mogu da
izvršavaju svoje funkcije mnogo efikasnije. To razumevanje počinje sa poznavanjem
CAATT alata, uključujući njihov početak, aktuelnost, potencijalno korišćenje,
ograničenja i zamke.
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 17/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
3.4.2. Evolucija CAATT alata
Danas mikro kompjuterski zasnovani revizorski alati i tehnike imaju svoj koren u
CAATT alatima zasnovanim još na mainframe kompjuterima, koji su po pravilu, što je
izneneđujuće, suštinski zasnovani na revizorskim ručnim alatima i tehnikama. Ti
mainframe alati su primarno korišćeni da provere da li ili ne, kontrole za jednu
aplikaciju ili kompjuterski sistem rade kako je očekivano. Tokom 70 godina prošlog
veka razvio se drugi tip CAATT alata, koji gleda da poboljša funkcionalnost i
efikasnost pojedinačnih revizora. Ovi CAATT alati obezbeđuju revizore sa sposobnošću
da ekstrahuju i analiziraju podatke da bi obavili reviziju organizacionih entiteta, radije
nego da razmatranju kontrole samo jedne aplikacije. Treći tip CAATT alata je
najskorijeg datuma i korišćen je u automatizovanim alatima revizije i on se direktno
fokusira na funkciju revizije i sastoji se od alata i tehnika koje ciljaju na poboljšanju
efikasnosti organizacije revizije kao celine.
Knjige pisane o kompjuterskim kontrolama i reviziji tokom 70 godina prošlog veka ne
uključuju sekcije kompjuterizacije krajnjeg korisnika ili, u najboljem slučaju, pominju
revizorski softver samo u prolazu. Činjenica je da je tada najveći deo revizora izbegavao
rad sa kompjuterom i tretiraju ih kao neprozirnu crnu kutiju. Tadašnje metodlogije
revizije razmatraju ulazno izlazne kontrole, ali široko ignorišu kontrole obrade
posredstvom informacionog sistema.
Primenjena metodologija je takozvana revizija oko kompjutera. Glavni revizorski alati
uključuju upitnike, kontrolne dijagrame (flowchart) i matrice aplikativnih kontrola.
Softver revizije je specijalno pisan u programskom jezikom opšte namene koji se koristi
primarno da verifikuje kontrole a paralelna simulacija je samo počela da dobijaja povod.
Revizorski softverski paketi su razmatrani kao specijalizovani programski jezici da
zadovolje potrebe revizora i zahteve velikog posla programskih ekspertiza. Paketi su
zavisni od familije mainfram računara i zbog toga su bili ograničeni, nisu bili fleksibilni
u prilazu podacima i kompletno su batch orijentisani.
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 18/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
Od 1980 godine, jedan od najopštije korišćenih alata za verifikaciju, odnosno proveru
jednog aplikativnog sistema je takozvani “test deck”, integrisani test mogućnosti - ITF39
i razmatranje revizije kontrola fajl sistema - SCARF40, razmatranje revizije fajli
uzoraka – SARF41 (Mair, Wood, and Davis 1978). Druge tehnike uključuju paralelne
simulacija, najrazumniji test i izveštaj izuzetaka i sistematiku transakcija uzoraka.
Neke organizacije su postigle vrlo efektivne rezultate sa ovim tipovima alata revizije u
tokom 90 godina prošlog veka. Činjenica je, u skladu sa izveštajem, Instituta Internih
Revizora – IIA42 iz 1991 godine, sistemske provere i kontrola - SAC43, 22 % anketiranih
revizora je odgovorilo da još koriste test deck, 11 % su još koristili ITF a 11 procenata
su još koristili ugrađene module revizije (Fondacija za istraživanje Instituta Internih
revizora).
Tabela 1 Revizorski alati i tehnike (revizija kompjuterskog sistema)
1970 1980 1990 2000Programiranje jezikaaplikacija
3 generacija programiranja jezika aplikacije
4 generacija programiranja jezika aplikacije
WEB omogućen softver(XBRL44)
Prva generacija revizorskogsoftvera
Druga generacija revizorskogsoftvera (interaktivni i batc)
Treća generacija softverarevizije (PC zasnovaninteraktivnii batch)
Kontinuirana revizija
Primer paralelne simulacije Eksenzivne paralelnesimulacije
Obuhvatna analiza podataka itestiranjr
Digitalna analiza
Test deck, Integrisani testmogućnosti ITF
Test deck /ITF Revizorski softver Revizorski siguran softver
Testiranje ulaza - izlaza SCARF/SARF(opis u tekstu)Razmatranje, pregledinternih kontrola – ICR45
Automatizacija ICRUpitnici
Automatizacija ICRUpitnici
Kontrola samo procene
Upitnici (kontrola, dijagrami- floechars)
Program dijagrama(floecharting)
Tok procesa (isticanjerevizije podataka)
Vizulizacija softvera
Prvi kommpjuterskizasnovan monetorni sistemJedinica uzorkovanja
Više razvijen dolarJedinica uzorkovanja
Različito uzorkovanjeOpcije uključujuuslojavljanje
Manje isticanje uuzorkovanju
Kontrolne matrice Poboljšanje kontrola Ekspertni sistemi Neuronske mreže i matriceveštačka inteligencija
3.4.3. Razvoj softvera revizije
Prvi softverski paket revizije, Auditape System, koji je implementiran od strane Stringer
plana testiranja revizije (Tucker 1994), već obezbeđuje ograničene sposobnosti za
39 ITF – Integratred Test Facilities40 SCARF – System Control Audit Review File41 SARF – Sample Audit Review File42 IIA – Institute of Internal Auditor43
SAC – Systems Auditability and Control44 XBRL - eXtensible Business Reporting Language45 ICR - Internal Controls Review
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 19/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
paralelne simulacije. Sistem omogućava ograničeno ponovno izračunjavanje rezultata
obrađenih podataka zasnovanih samo na nekoliko polja podataka.
U odgovoru na Auditape System, mnoge računovodstvene, revizorske i softverske firme
su razvile revizorske softverske pakete koji podržavaju paralelnu simulacije unutar
familija kompjuterskih rešenja, nasuprot ograničenja fajli i tipova podataka.
Razmnožavanje softvera za reviziju i razbijanje varijanti podataka i tipova podataka
koja će da budu podvrgnuti reviziji vodi u projektovanje uopštenog, odnosno
generalizovanog revizorskog komandnog jezika - CPL46, ACL47, implementacije
nekoliko prototipova i ponovljenih poziva za zajedničko implementaciju napora od
strane svih zainteresovanih.
U kasnim 80 godinama prošlog veka i ranim 90 godinama prisutan je dolazak i
razmnožavanje kompjuterizacije krajnjeg korisnika pa pojava mikrokompjutera postaje
glavna vodeća snaga u kompjuterizovanom svetu. Ovi faktori kreiraju uslove unutar
kojih revizorski softver istražuje rezultate koji mogu da budu transformisani u
revizorsku praksu (Will1980).
Sada postaje lakše i ekonomičnije korišćenje mikrokompjutera za procenu kontrola
nad ulaznim podacima, nad obradom aktuelnih podataka i nad proverom informacija
generisanih kao izlaz. Činjenica je, praktično svi elektronski podaci su sada postali
pristupačni revizorima bilo gde, u bilo koje vreme.
Kompjuterska pomoć tehnici revizije – CAATT donosi korišćenje kompjuterskih
aplikacija kao što su ACL, IDEA48, VIRSA49, SAS50, SQL51, Excel52, Crystal Reports53,
46 CPL – Common Program Language47
ACL – Audit Command Language– revizorski komandni jezik izvor wikipedia48 IDEA - Interactive Data Extraction and Analysis, vrsta revizorskog softvera49 VIRSA Systems sistem koji pomaže upravljanju rizikom. Virsa je poslovna organizacija iz Kalifornijekoja je kupljena od strane SAP-a. Pre kupvine SAP, PwC, Virsa su formiralle saradnju, pod nazivom“Triad Alliance” koja obezbeđuje potrebnu sigurnost. 50 SAS - Statistical Analysis System51 SQL – Structured Query Language – Struktuirani jezik za upite. Ili database bilo koji sistem zaupravljanje bazom podataka – DBMS – (Database Management System) koji može da odgovori na upiteklijenata koji su formatirani u SQL jeziku. Dva popularna primera ovog na čina rada su Microsoft SQLServer i Sybase SQL Server.52 Excel – program za izradu tabela (spreadsheet) poslovne organizacije Microsoft, deo softverskogrešenja kamcelarijskog poslovamka Microsoft Office, alat koji se izvodi na Microsoft Windowsoperativnom sistemu. Excel je verovatno najšire korišćen spreadsheet program na svetu, izvor rečnik
foldoc.53 Crystal Reports - Crystal Reports je poslovna inteligencija (business intelligence), odnosnoaplikacija korišćena da dizajnira, projektuje i generiše izveštaje iz širokog ranga izvora podataka. Ovaj
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 20/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
Business Objects54, Access55 i Word56. Pomoću ovih aplikacija se automatizuju i
olakšavaju revizorski procesi. Korišćenje CAATT alata pomaže internim revizorima da
osiguraju da je podesno pokriveno razmatranje aplikativnih kontrola, posebno kada
postoji hiljade ili možda milioni transakcija koje se dešavaju za vremene perioda
testiranja. U toj situaciji bi bilo nemoguće da se dobiju odgovarajuće informacije u
formatu koji bi mogao da bude razmatran bez korišćenja automatizovanih alata. Zato
primenjeni CAATT alati obezbeđuju sposobnost analize širokog volumena podataka.
Dobro projektovana podrška internoj reviziji, od strane CAATT testiranja, će izvršavati
kompletno razmatranje svih transakcija, uočavajući moguće abnormalnosti, takve kao
što su dupliciranje pojedinih transakcija, ili kontrola prema unapred određenim
kontrolnim parametrima pomoću kojih se utvrđuje pojava konfliktnih situacija.
U eri globalizacije svetskog poslovanja, kada se gube prostorni i vremenski okviri, kada
se događaji više ne mere danima i satima nego sekundama, revizija kao poslovni proces
u poslovnim organizacijama dobija sve više na značaju i to u oba poslovna ambijenta; u
internom i u eksternom poslovnom okruženju. Uočava se da čovek od pamtiveka
izgrađuje svoj informacioni sistem i na njegovoj osnovi upravlja svojim odlukama.
Tokom svog istorijskog razvoja, naporedo sa kumuliranjem drugih opštih, naučnih i
tehničkih znanja, čovek je naporedo sa tim razvijao tehnologiju kojom je hteo da
poboljša načine sa kojim je usavršavao i kvalitetnije formirao svoja dopunska saznanja,
kako bi kvalitetnim informacijama obogatio vlastiti informacioni sistem.
U sklopu te; sve brže spirale napretka, kumuliranjem opštih znanja i naučnih dostignuća
završio se prethodni milenijum, u kojem je poslednja dekada obeležila izuzetano
dinamičan, može se slobodno reči "furiozni" razvoj savremenih ERP57 informacionih
softverski proizvod je originalno kreiran od strane poslovne organizacije - Crystal Services Inc. Izvorwikipedia54 Business Objects - Business Objects (a.k.a. BO, BOBJ) predstavlja softversku poslovnu organizacijuiz Francuske, odnosno poslovnu organizaciju koja je specijalizovana za poslovnu inteligenciju (businessintelligence) (BI). Počev od 2007. godine poslovna organizacija je deo poslovne organizacije SAP.Glavni (admiralski) proizvod poslovne organizacije je BusinessObjects XI sa komponentama kojeobezbeđuju upravljanje performansama, planiranje, izveštavanje, upite i analize i upravljanjeinformacijama poslovnih organizacija. Izvor wikipedia.55 Access – sistem za upravljanje relacionim bazama podataka poslovne organizacije Microsoft,56 Word – program za obradu teksta, poslovne organizacije Microsoft, deo softverskog rešenjakamcelarijskog poslovamja Microsoft Office,57
ERP - Enterprise Resource Planning; Planiraranje resursa preduzeća. Pod ovim se podrazumeva bilokoji softver projektovan da automatizuje poslovne procese srednjih ili velikih preduzeća. U taj procesplaniranja može da bude uključena proizvodnja, distribucija, kadrovi, upravljanje projektma, zarade i
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 21/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
tehnologija. Na osnovu iznetog, možemo prihvatiti opštu konstataciju da je prethodna
dekada razvoja obeležena kao period intenzivnog razvoja savremenih integrisanih
informacionih sistema, koji su poslovnom menadžmentu omugućili kvalifikovano
upravljanje poslovnim procesima, u realnom vremenu, sa informacijama "upravo na
vreme" (eng. "just in time")58.
Bez takvih "pravih" informacija savremeni menadžment praktično više ne može da radi,
da odlučuje, da bude aktivni učesnik na finansijskim i robnim tržištima. Bez kvalitetne i
kvalifikovane informacije u poslovnom svetu se više ništa ne dešava. Dinamika
razmene poslovnih transakcija putem elektronskih poruka, koje u sebi, skoro uvek, nose
i sve potrebne prateće poslovne informacije, je savremena realnost.
U sklopu toga, korisno je razmotriti rad internih revizora u kompaniji sa posebnim
osvrtom na rad internih revizora, posebnoi imajući u vidu da je rad internih revizora
predviđen našim zakonom o računovodstvu i reviziji.59
Obim i cilj aktivnosti poslovnih organizacija je u svojoj kompleksnosti narastao do te
mere, da menadžeri, prilikom donošenja poslovnih odluka, moraju da se oslanjaju na
mnogobroje izveštaje i analize. To je svrsishodno samo ako su analize poslovnih
podataka sprovedene uz adekvatne i efektivne interne kontrole. To je istovremeno
uslovilo da su problemi suštine revizije internih kontrola direktno vezani za aktivnosti
informacionih tehnologija, kako sa poslovnog tako i sa operativnog stanovišta. Značaj
tehnologije analize poslovnih podataka je samim tim u direktnoj korelaciji sa
uticajem informacionih tehnologija na internu reviziju i tehnologiju rada interne revizije
u upravljanju mogućim rizicima poslovnog subjekta.
Analize podataka na tradicionalan način, zahtevaju jako mnogo vremena, da bi
upotrebna vrednost same analize bila relevantna za donošenje poslovnih odluka.Primenom savremenih digitalnih tehnoloških mogućnosti, sada je rezultat analiza
finansije. ERP sistem je računovodstveno orijentisan informaconi sistem za identifikovanje i planiranješirokih resursa preduzeća koji su potrebni za nabavku, proizvodnju, distribuciju, računovostvo i procesanaručivanja os strane potrošača. ERP sistem je originalno proširenje Planiranja proizvodnim resursima(eng. Manufacturer Resource Planning - MRP II) sistema pošto u sebe inkorporira široke obime ukupnihpotreba. Jedan ERP sistem se takođe razlikuje od tipičnog MPR II sistema u tehničkim zahtevima,takvim kao što su relacione baze podataka, korišćenje objektno orijentisanih programskih jezika isoftverskih inženjerskih alata podpomognitim kompjuterskim tehnikama za razvoj softverskih rešenja,
klijent / server arhiktekturom i otvorenoj sistemskoj portabilnosti. Izvor foldoc.58 Dr Stanislav Polić, IT menadžment, Genex Group, interno izdanje Beograd 2002 59 Zakon o računovodstvu i reviziji 25.05.2006, član 4
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 22/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
moguće dobiti u deliću realnog vremena (real time). U takva, nova, savremena
tehnološka rešenja spade i primena Altmanovog Z score testa.
Z - skor formula se koristi u računovodstvenoj praksi za predviđanje mogućeg stečaja
poslovnih organizacija. Prvi rad na ovu temu je objavljena tokom 1968 godine od strane
Edvard I. Altmana, koji je, u to vreme bio profesor finansija na Univerzitetu u Njujorku.
Njegova formula može da se koristi za predviđanje verovatnoće da će neka poslovna
organizacija otići u stečaj u roku od dve godine. Formula Z - score se koriste za
predviđanje korporativnih podrazumevanih vrednosti i jednostavna je za izračunavanje
kontrolne mere za potencijalne nevolje (distress) finansijskih statusa poslovnih
organizacija u akademskim studijama. Formula Z - skore koristi podatke iz višestrukih
tipova poslovnih prihoda iz bilansa uspeha i vrednosti podataka bilansa stanja za
merenje finansijskog “zdravlja” poslovne organizacije60.
3.4.4. Pojam virtuelizacije u informatici
U najširem smislu, virtuelizacija je koncept kojim se označavaju tehnike i metodi za
apstrakciju računarskih resursa.
Virtuelizacija se definiše kao metodologija razdvajanja resursa računara u više
zasebnih radnih okruženja, primenom tehnologija kao što su hardversko ili softversko
particionisanje, timesharing61, delimična ili potpuna mašinska simulacija, emulacija i
mnoge druge.
Mada je definisan kao takav, pojam virtuelizacije nije ograničen samo na
particionisanje, razdvajanje nečega na više manjih celina. Virtuelizacija obuhvata i
proces apstrakcije koji je logčki suprotan: spajanje više fizički razdvojenih celina u
60 Izvor wikipedia61 time sharing time sharing - U računarstvu, pojam time sharing predstavlja deljenje jednogračunarskog resursa među mnogim korisnicima putem multiprogramming [rač unarski
multiprogramming je raspodela kompjuterskog sistema i njegovih resursa istovremeno za više od jedne
aplikacije, posla ili korisniku ("program" u ovoj nomenklaturi)] i multitaskinga [u rač unarstvu,
multitasking je metod gde su višestruki zadaci, takođ e poznati kao procesi, izvode tokom istog
vremenskog perioda]. Uvođenje time sharing je prvo nastalo tokom 1960 godine, a kao masovna pojava ikao istaknuti model računarstva tokom 1970 godine. Pojava time sharing, predstavlja veliku tehnološkupromenu u istoriji računarstva. Izvor wikipedia
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 23/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
jednu. Na primer, kada se nekoliko hard diskova predstavlja kao jedna logička celina,
ili kada je nekoliko računara umreženo da bi se koristili kao jedan veliki računar62.
Virtuelizacija je danas već dokazana softverska praksa koja ima veliki uticaj na IT
infrastrukturu i na način na koji se računari upotrebljavaju. Današnji moćni računarski
sistemi koji su zasnovani na x86 arhitekturi projektovani su za izvršavanje jednog
operativnog sistema i malog broja aplikacija na njemu. Ovo dovodi do veoma slabog
iskorišcenja većine računara.
Virtuelizacija omogućava pokretanje većeg broja virtuelnih mašina na je jednoj
fizičkoj mašini, tako da one dele raspoložive resurse na nekoliko razdvojenih okruženja.
Virtuelne mašine mogu istovremeno pokrenuti različite operativne sisteme i različite
aplikacije na istom fizičkom računaru. Izrazom Virtualna mašina (VM63) označava se
softverska implementacija računara, koja izvršava programe ni isti način kao i prava
mašina. U ovom izlaganju biće opisane neke osnovne tehnike i metode virtuelizacije,
kao i najčešće praktične primene.
U novoj digitalnoj ekonomiji, koja postaje uobičajeni način rada savremenog
poslovanja, s obzirom na povezanost mobilnog telefona i web-a, fizički proizvodi i
razne usluge su direktno, u svako doba, sa bilo kog mesta, dostupne potrošačima ili
korisnicima. Proizvodi ili usluge su odmah spremni da se stave na raspolaganje. U
takvim poslovnim okolnostima, digitalna ekonomija bazira na mnogim standardima, od
kojih su većina od njih otvoreni (open) i slobodni za korišćenje, kao što su TCP/IP za
Internet, zatim EDI i EDIFACT koji je migrirao na standard ebXML. Kod obeležavanja
i indentifikacije artikala prisutni su EAN64 i EANCOM65 standardi koji su migrirali pod
62
Grid computing, Parallel Virtual Machine63 VM - Virtual Machine , Virtualna mašina predstavlja emuliranu računarsku sredina koja radi unutaroperativnog sistema i koja se ponaša kao operativni sistem i može da izvršava računarske programe kojisu kompajlirani, odnosno prevedeni za tu virtualnu sredinu. Moderne virtualne mašine se realizuje bilosoftverskom emulacijom hardvera ili procesom virtuelizacija.. U većini slučajeva, to se sprovodizajedno. Izvor wikipedia64 EAN - European Article Number, evropski broj artikala; EAN - 13 bar kod (prvobitno, originalnonazvan Evropski Broj Artikla, ali sada preimenovana u Međunarodni Broj Artikla (International Article
Number) iako je zadržao dosadašnju skraćenicu EAN) predstavlja cifru od 13 karaktera (12 i 1 kontrolnibroj za potvrdu) barcoding standard koji je nadskup originalne 12-to cifrene Universalna ŠifraProizvoda (Universal Product Code - UPC) sistema razvijenog u Sjedinjenim Državama. Standard
EAN - 13 barcode je definisan po standardima međunarodne organizacije Global Standards One - GS1.Barcoding standard je (Korištenje barkod simbola za identifikovanje stavki, odnosno artikala. Bar
kodiranje (šifriranje) je najčešći oblik za automatsku identifikaciju koji se koristi u tehnologijama zaautomatsko sakupljanje podataka. Bar kodovi prate gotovo sve: od robe u maloprodaji, podatke umedicinskoj dokumentaciji)
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 24/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
nazivom GS166. U okviru digitalne ekonomije, po pitanju bezbednosti, prisutni su i
zaštite na bazi standardizovanih kripto sistema, hach funkcija67, standardi javnog i
tajnog ključa kod digitalnog potpisa i drugi.
Sigurno da u okviru kratkog izlaganja ne mogu da budu obuhvać eni svi potrebni
detalji, ali izlaganje nudu određ ene osnovne pravce za dalja istraživanja i
prouč avanja iz ove oblasti.
U globalnom informacionom društvu, gde informacije putuju kroz “cyberspace68” na
rutinski način, široko je prihvaćen značaj informacija kao poslovnog resursa. Pored
toga, informacije, informacioni sistemi i komunikacije koje dostavljaju informacije su
zaista prisutni “alati” u poslovnim organizacijama, kod korisnika različitih platformi, od
lokalnih do širokih WAN mreža69, preko servera do mainframe računara. Poslovne
organizacije zavise od blagovremenih, tačnih, potpunih, važnih, doslednih, relevantnih
i pouzdanih podataka. Shodno tome, izvršni menadžment poslovne organizacije ima
punu odgovornost da osigura da poslovna organizacija obezbeđuje sve svoje korisnike
sa bezbednim okruženjem informacionog sistema.
U poslovnoj praksi postoji mnogo direktnih i indirektnih koristi od upotrebe
informacionih sistema. Istovremeno su tu prisutni mnogi direktni i indirektni rizici u
65 EANCOM – EAN + Communication, identifikacija artikala po EAN standardu namenjena EDItransferu podataka.66 GS1 – Global Standards One; opšti standardi, predstavlja fondaciju koja je osnovana 1977 godine. GS1
je međunarodna neprofitna asocijacija posvećena razvoju i implementaciji globalnih standarda i rešenjada se poboljša efikasnost i vidljivost u lancima snabdevanja i tražnje na globalnom nivou i na višesektora. Sistem GS1 standarda je najkorišćeniji sistem standarda na svetu u lancu snabdevanja (supply-chain). GS1, je nekad bio poznat pod nazivom "EAN International, a novi naziv 'GS1' je usvojen tokom2005 godine. Izvor wikipedia67 U kriptografiji, kriptografska hash funkcija je transformacija koja uzima jedan ulaz i vraća string - niz
fiksne veličine, koji je nazvan hash vrednost. Hash funkcija koja poseduje tu osobinom se koristi zarazličite računarske svrhe; uključujući i kriptografiju. Hash vrednost je koncizni prikaz dugačke porukeili dokumenta u kome je ona izračunata. Rezime poruke (eng. message digest) predstavlja vrstu"digitalnog otiska prsta" dugačkih dokumenata. Kriptografska hash funkcija se koristi da se uradiprovera integriteta poruke i digitalnog potpisa u različitim aplikacijama informacione bezbednosti, takvimkao što su kontrole autentičnosti i integriteta elektronskih poruka. Izvor wikipedia68 cyber - computers and information systems, cyber je prefiks koji potiče od pojma cybermetics(kibernetski) i slobodnije znač direktno korišćenje kompjutera. Cyberspace – kibernetski svet, izrazpredstavlja metaforičku apstrakciju koja se koristi u filozofiji i kompjuterizaciji. Kibernetski svetpredstavlja virtualnu realnost koja obuhvata sve što se dešava unutar i van kompjutera, a vezano je zakompjutersku tehnologiju. Izvor: wikipedia69 WAN - wide area networks - mreža na velikom područ ju. Pošto su lokalne mreže (Local AreaNetwork - LAN mreža) povezuju računare koji su na relativno malom rastojanju, problem povezivanja
korporacijskih filijala koje se nalaze na raznim geografskim lokacijama rešava se pomoću WAN mrežama. WAN mrežr prestavljaju skup više povezanih LAN mreža, koje se nalaze na različitimgeografskim lokacijama. Izvor wikipedia.
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 25/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
vezi sa korišćenjem informacionih sistema. Prisutni rizici su doveli do pojave
određenog “jaza” između potrebe da se zaštite informacioni sistemi i stepena
primenjene zaštite. Sam uočeni “jaz” je izazvan usled više različitih razloga kao što su:
Opšta upotreba savremene tehnologije;
Međusobna povezanost informacionih sistema;
Eliminacija pitanja udaljenosti, vremena i prostora kao posebnog ograničenja;
Neujednačenost tehnoloških promena;
Decentralizacija upravljanja i decentralizacija internih kontrola;
Uočena atraktivnost sprovođenje elektronskih nekonvencionalnih napada u
odnosu na konvencionalne fizičke napade na poslovnu organizacija i
Spoljni faktori kao što su zakonodavni, pravni, kao i regulatorni zahtevi ili
pojava novog tehnološkog razvoja.
Neuspeh u sprovođenju politike bezbednosti poslovne organiizacije može da dovede do
gubitaka u obe oblasti, do primarnih finansijskih gubitke i/ili do nematerijalnih
gubitaka, kao što je neovlašćeno otkrivanje konkurentnih ili osetljivih poslovnih
informacija. Pretnje informacionim sistemima poslovne organiizacije mogu da nastanu
od namernog ili nenamernog delovanja i mogu da dolaze iz unutrašnjih - insajderskih
ili spoljnih izvora. Pretnje mogu da, između ostalog, proizilaze iz, tehničkih uslova
(greški u programima (eng bugs), zbog oštećenja diskova (eng crashes)), prirodnih
katastrofa (požara, poplava), nepovoljnih uslova okruženja (udari električne struje),
ljudskih faktora (nedostatka obuke, pojedinačnih grešaka i propusta), neovlašćenih
pristupa (hacking), ili programskih virusa. Pored ovih, postoje i druge pretnje, kao što
su poslovne zavisnosti (oslanjanje na usluge treće strane u komunikacionom transportu,
drugim poslovima poverenim trećim licima (outsourced70) i slično) koji potencijalnomogu da rezultiraju određenim gubitkom kontrole upravljanja i nadzora. Svi ovi rizici
su u stalnom porastu i dobijaju na značaju. Adekvatne mere za bezbednost poslovnih
informacija pomažu da se obezbedi nesmetano funkcionisanje informacionog sistema
poslovne organizacije i zaštiti poslovne organizacija od mogućih gubitka ili neprilika
izazvanih neuspšešnom politikom bezbednosti.
70
outsource – Poslovna aktivnost kada se plaća drugoj poslovnoj organizaciji da obezbedi ulogu kojuposlovna organizacija može inače imati u svom posedu zapošljavajući svoje sopstveno osoblje da bi toizvela (na primer razvoj softvera).
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 26/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
Bezbednosna politika vezana za informacione tehnologije je jedna stvar, realnost je
nešto sasvim drugo. U praksi se jednostavno dešava da menadžment poslovne
organizacije ne “dobija“ uvek prave bezbednosne informacije!
Istovremeno je potrebno obezbediti pravac upravljanja i podršku bezbednosti
informacija u skladu sa poslovnim zahtevima i relevantnim zakonima i standardima.
Upravljanje bi trebalo da odredi jasan pravac politika bezbednosti u skladu sa
poslovnim ciljevima i da pokaže i pruži podršku i posvećenost informacionoj
bezbednosti kroz pitanje i održavanje politike zaštite informacija u celoj poslovnoj
organizaciji. To između ostalog obuhvata:
Tajnost; Pristup podacima bi trebalo da bude ograničen samo na one koji imaju
određene nadležnosti da vide te podatke,
Integritet; Zahtev da sva sistemska sredstva rade pravilno, prema specifikaciji i
na način na koji trenutni korisnik veruje da će da bude u pogonu,
Dostupnost; Proces da se informacija, kada je to potrebno, dostavljaju samo
pravoj osobi.
U poslednjih nekoliko godina, profesionalna revizorska udruženja su razvila nove
revizorske standarde (audit standards) i izjave. Ova mesta, odnosno udruženja vrše sve
veći pritisak na interne revizora da spreče i otkriju moguću prevaru. To odvraćanje i
otkrivanje prevare, gubitaka i zlostavljanja nije novo u procesu interne revizije, ali
zahteva mnogo veću količinu vremena i energije internih revizora. Danas ispitivači i
istražitelji prevara takođe pronalaze veću potražnju za svojim uslugama, kao i poslovne
organizacije koje se suočavaju sa vrlo teškim ekonomskim vremenima i loše je ako
mogu sebi priuštiti da imaju izgubljen ili ukraden profit. Da bi se stvari dalje
komplikovale, od internih revizora i istraživača prevare se sada traži da spreče iotkriju, odnosno detektuju prevaru koja je nastala i u elektronskom okruženju gde
papirne pretrage i ručni fajlovi ne mogu da postoje. Tradicionalne tehnike nisu više
adekvatne za takav zadatak.
Jedna od glavnih uloga interne revizije je da se obezbedi upravljanje sa visokim
stepenom sigurnosti, pre svega da su unutrašnje kontrole na mestu i da rade kako treba,
odnosnoi kako je očekivano. Interni revizori su to odavno postigli kroz primenu "dužne
profesionalne pažnje" tokom procesa interne revizije. U ostvarivanju takvog računa,
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 27/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
interni revizori bi trebalo da budu uvek na oprezu za mogućnost kriminalnih aktivnosti,
malverzacija, sukoba interesa, neefikasnosti i drugih zloupotreba.
Revizorski standardi zahtevaju od revizora da imaju dovoljno znanja o prevarama i da
bude u stanju da identifikuje moguće indikatore prevare. Ako su detektovane, odnosno
otkrivene kontrolne slabosti, trebalo bi da se obave dodatni testovi, uključujući testove
za identifikaciju indikatora prevara.
Uprkos sve većem angažovanju internih i eksternih revizora u reviziji poslovanja i
finansijskog “zdravlja” neke poslovne organizacije, autsajderi (policija, bivši zaposleni,
itd) su i dalje glavni izvor potrebnih informacija vezanih za otkrivanje prevare. Sve ovo
dovodi do krajnje uznemirujućih pitanja: S obzirom na ogromnu cenu i često relativno
jednostavne šeme korišćene za izvršenje prevare, zašto su interni revizori i istraživači
prevare sve više neuspešni u sprečavanju i otkrivanju prevare? Odgovor leži u
prepoznavanju da:
(1) analiza podataka poslovne organizacije je jedini najefikasniji način za
sprečavanje i otkrivanje prevare i
(2) kompjuteri i softver za analizu podataka su uglavnom nedovoljno iskorišćeni u
otkrivanju simptoma prevare u analizi podataka poslovne organizacije.
Na stručnim skupovima su česta pitanje internih revizora i istraživača prevara o
njihovom korišćenju specijalitzovanog asistiranja računara kao revizorskog alata i
tehnika - CAATT. Odgovor je najčešće "da, mi svo vreme koristimo CAATT alate".
Upitani da objasne njihovo korišćenje CAATT alata, odgovor prečesto zvuči ovako:
"Mi smo izdvojili informacije, stavili podatke u tabeli, sortirali podatake, izradili
izveštaje, a zatim ručno pregledati kopiju papira." Ovo je uobičajeni način "korišćenja
CAATT alata" u glavama mnogih revizora.Za mnoge revizorske organizacije, to predstavlja važne prve korake - dobijanje traženih
podataka i stvaranje uslova da se isti pročitaju elektronskim putem. Istorijski gledano,
pitanje pristupa podacima je bio najveći izazov i prepreka za interne revizore koji žele
da koriste CAATT alate. Danas postoje, programski alati (utilities) i opcije za izdvajanje
(extraction) i preuzimanje, odnosno prepisivanje podataka, čineći manji problem
pristupu podataka. Dakle, s obzirom da su mnoge poslovne organizacije prevazišli ovu
prepreku i da su podaci dostupni u elektronskom formatu, zašto ih jednostavno nesortirati i odštampati ih za korišćenje? Kada se podaci pristupačni, softver za
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 28/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
ekstrakciju, odnosno izdvajanje podataka i analizu omogućava korisnicima da sa više
moći i snage analiziraju i razumeju podatke nego ikada pre. Interni revizori i istraživači
prevare (fraudinvestigators) koji se ograničavaju samo na sortiranje i štampanje su
izostavili mogućnost korišćenja izvora bogatstva (bonanza) vezano za efikasnosti
dostupnih kompjuterizovanih alata i tehnika.
Razna istraživanja su pokazala da danas:
94% internih revizora imaju pristup softveru za ekstrakciju i analizu podataka,
prema tome, u stvari, oni imaju neki oblik CAATT alata učitan (loaded) na svom
sistemu.
93% internih revizora misle da će se upotreba računara u poslovanju povećati u
narednim godinama.
70% internih revizora samo do nekog stepena koriste CAATT alate.
50% svih prevara je pronađeno kroz analize podataka, za razliku od dojava
informatora ili slučajnog obelodanjivanjima i procenat pronalaženja na ovaj
način raste.
Elektronsko okruženje u kome posluju poslovne organizacije, zajedno sa sprovedenim
programskim kontrolama u tom okruženju, predstavljaju niz kompleksnih sistema, sa
varjansama u realnom vremenu i aplikacijama širom sveta. Veliki je izazov za interne
revizore da kvalitetno procene te procese i kontrole. Međutim, elektronsko okruženje
takođe pruža širok spektar mogućnosti za korišćenje moćnog interaktivnog revizorskog
softvera i naprednih tehnika revizije.
Tako, dok poslovno okruženje rapidno postaje sve složenija, već postoji povećani niz
revizorskih softvera, alata i tehnika projektovanih sa ciljem da pomognu u istrazi
prevara. Malo njih bi osporili, u tekućem poslovnom okruženju, da je softvera zavađenje, odnosno izdvajanje podataka i analizu od ključnog značaja za efikasno i
efektivno poslovanje revizorskih organizacija. Više nego ikada ranije, interni revizori i
istražitelji prevare imaju pristup podacima i softverskim alatima koji prevodi podatke u
potrebne informacije, stvarajući uslove i mogućnost da konvertuju podatke u znanje i
veštine, a zatim, da se to znanje transformiše u akcije i preporuke. U otkrivanju i
sprečavanju moguće prevara, interni revizori i istražitelji mogu čak i proaktivno da
traže simptome prevara i vođenje potrebnih istraga.
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 29/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
Korišćenje softvera za analize podataka ne znači samo da interni revizori mogu da
sprovode rutine interne revizija brže i lakše; oni sada takođe mogu da obavljaju revizije
kao vrednost - za – novac (value - for - money).
Ekonomija igra veliku ulogu u tekućem okruženju interne revizije. Upravljanje se
pritom angažuje u svim oblastima poslovne organizacije sa ciljem da bude efikasnije i
efektivnije, uključujući u to i procese interne revizije. Kao rezultat toga, interni revizori
moraju da poseduju više od jednog prolaznog poznanstva sa snagom i korisnošću
revizorskih alata kao što su komandni jezik za reviziju - ACL71 i softver za Interaktivnu
ekstrakciju, odnosno izdvajanje podataka i analiza - IDEA72. Revizori bi trebalo da budu
sposobni da istinski koriste i razumeju podatke vršeći potrebnu analizu, kao što su:
Stvaranje obračunatih izraza koji nisu direktno dostupni u datotekama,
odnosno fajlovima, kao što su pronalaženje ukupne vrednost zaliha množenjem
količine puta jedinične cene za svaku stavku,
Izbor zapisa na osnovu korisnički definisanih kriterijuma, kao što je selekcija
svih zapisa sa ratom plaćanja većom od 5.000 $ mesečno,
Klasifikacija podataka u skladu sa numeričkim rangom ili vrednosti karaktera
u polju, kao što su iznosi po filijalama ili pregledi po fakturama koji su stariji od
30, 60, 90 i 120 dana u odnosu na poslednji određeni datum,
Stvaranje još naprednijih meta podataka (meta-data), na primer, regresionih i
trend analiza koje pojašnjavaju šta će se dešava u daljem poslovanju,
Razvoj znanja o tome šta podaci i pojedina polja zaista predstavljaju i kako ti
podaci mogu da se koriste za rešavanje specifičnih pitanja
Samo izlaganje ima za cilj da posluži kao stimulacija za sva lica koja su zainteresovana
da pristupe proučavanju i edukaciji iz oblasti softverskih alata u cilju poboljšanja sopstvenih sposobnosti da pristupe podacima i korišćenju softvera za ekstrakciju i
analizu podataka u cilju otkrivanje i sprečavanje prevara i rasipničkih primera iz prakse.
Fokus je na dobijanju i čišćenju podataka i na primeni analitičkih, aplikacionih tehnika
za detekciju prevare.
Teorija i primeri u praksi predstavljaju dovoljan stimulans da se pristupi istraživanju
mogućih prevara uz korišćenje i ovladavanje snagom računara i namenskim softverom
71 ACL - Audit Command Language72 IDEA - Interactive Data Extraction and Analysis
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 30/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
za analizu podataka, pomoću kojih je moguće da se lakše otkrije prevara, rasipanja i
zloupotrebe. U više od 60 studija slučaja koji su prisutni kroz primere u literaturi su
prikazane primene raznih tehnika, od kojih je svaka detaljno objašnjena.
U mnogim slučajevima, kombinuju se nekoliko različitih tehnika da bi se otkrile
moguće prevare. Mora se naglasiti da je potrebna inteligentna upotreba ovih
savremenih softverskih tehnika od strane internih revizora, a ne da se slepo sledi
zahtevani pristup prema unapred definsanim receptima iz "kuvara" (cookbook). Oni koji
počine prevaru mogu da budu veoma inovativni u skrivanju svojih dela. Interni revizori
i ispitivači prevare moraju da budu podjednako kreativan i snalažljiv u svojim
pretragama.
Savremena praksa pretpostavlja da revizorske organizacije i interni revizori koriste
CAATT alate i da poseduju osnovno razumevanje upotrebe i važnosti CAATT alata u
internoj reviziji. Saveti o tome kako da se razviju sposobnosti CAATT alata u
poslovnim organizacijama, pitanja i tehnika pristupa podacima, kao i ispitivanje samog
integriteta podataka su razmatrani u literature a kao pogodno štivo se navodi: Interna
revizija; efikasnost kroz automatizaciju73 Ova knjiga će pružiti korisnicima početno
razumevanje primene CAATT alata u internoj revizije i osnove za korišćenje ekstrakcije
podataka i tehnika analiza za detekciju mogućih prevara. Još jedan koristan izvor
informacija je Primena kompjutera u sprečavanju i otkrivanju kriminalnih radnji, sa
programom ACL74. Ova literatura sadrži detalje o tehnikama analize, uključujući
napredne tehnike digitalne analize, od kojih su mnogi u cilju identifikovanja prevara,
rasipanja i zloupotreba. Knjiga takođe uključuje CD koji sadrži elektronsku verziju
softvera za obavljanje analiza za otkrivanje mogućih anomalija i prevara.
Zaključak
CAATT alati se navode kao izuzetno važan softvera za internu reviziju i analizu
podataka. Međutim, fokus internih revizora bi trebalo da bude na podacima, a ne na
73 David Coderre, Internal Audit; Efficiency through Automation74 David Coderre, Computer Aided Fraud Prevention and Detection
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 31/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
samoj tehnologiji rada: interni revizori bi trebalo da razumeju podatke i da definišu
potrebna pitanja za analizu podataka i da učine revizorski proces potpuno nezavisnim
od primenjenih alata. U radu su iznete samo osnovne informacije koje se odnosi na
upotrebu savremenih informatičkih tehnologija od strane internih revizora. Interni
revizori mogu da iskoriste CAATT alate da poboljšaju efikasnost i efektivnost interne
revizije. Sa pravim alatima, obukom i metodologijom, CAATT alat omogućava da se
ubrza proces interne revizije i obezbeđuje pristup podacima koji bi inače ostali
neiskorišćeni.
Važno je napomenuti da ne postoji generički model za tehnološke alate koji bi važio za
sve poslovne organizacije. Takođe je važno da se prepozna rastuća direktna zavisnost
procesa interne revizije od informacionih tehnologija. Prisutna zavisnost omogućava da
se obrade i/ili da se podrže gotovo sve poslove aktivnosti interne revizije. Danas
tehnološke teme čine sve veći procenat potrebnog stručnog znanja i veština internih
revizora. Iako je tehnološka pozadina važna za razumevanje novih razvoja i pravaca
delovanja, to je još uvek od male koristi bez stalnog sticanja novih znanja. Efikasna
upotreba softverskih alata u revizorskim tehnologijama je od ključnog značaja za uspeh
celokupnih aktivnosti interne revizije, ali predstavlja samo jedan korak u pravcu
razumevanja tehnoloških promena koje bi trebalo da se primene u ukupnom poslovanju
i revizorskoj profesiji. Novih tehnologija će stalno menjati oblik i pristup poslu internih
kontrola tako da procesi revizije, pristupi i tehnike moraju da se promene i prilagode
novom okruženju. Danas postoji još jedna važna uloga internih revizora i revizorske
profesije a to je da su u obavezi da ohrabre i podrže napore pružalaca usluga
informacionih sistema i nove tehnologije za poboljšanje i praćenje kvaliteta i
karakteristike informacionih sistema. Važna uloga internih revizora je ne samo darazumeju i promene koje se dešavaju sa tehnologijama, već i da objasne efekte ovakvih
promena drugim učesnicima u poslovanju. I na kraju, važno je uočiti značaj
interpersonalnog kontakta u internoj reviziji, pošto tastatura i e.mail nikada neće
zameniti potrebu za interpersonalnim veštinama.
Stanislav Polic, PhD
INFORMATION SECURITY AND IMPLEMENTATION
7/23/2019 03 Stanislav Polic - Informaciona Bezbednost i Primena CAAT Alata u IT Reviziji
http://slidepdf.com/reader/full/03-stanislav-polic-informaciona-bezbednost-i-primena-caat-alata-u-it-reviziji 32/32
Pravno-Ekonomski Pogledi, br. 2/13
Informaciona bezbednost i primena CAATT alata u IT reviziji
Stanislav R. Polić
CAATT TOOLS IN IT AUDIT
Summary: Switching to digital business records in all spheres of business hassignificantly improved the business, especially the appearance of electronic messagesand e-business by introducing "computer to computer" interfaces. At the same time, thegrowth of the risks and threats of misuse of new technologies are leading to theappearance of cyber criminal. In such new technological environment, the processes ofthe classic audits are becoming impracticable activities so that the new methodologicalapproach and the use of specialized software tools (e.g. CAATT) becomes bindingmode as the IT audit. A prerequisite for this kind of work is improvement of theknowledge and skills in information technology at all business organization hierarchylevels including the top management and in particular internal IT auditors will only be
able to access to resolving set of auditing tasks in digital environment with appropriateCAATT tools.
Keywords: internal audit, CAATT tools, digital economy, security, internal controls,
information.
Literatura
1.
Ralph Kimball “Meta Meta Data Data ”(DBMS, March 1998):
www.dbmsmag.com/9803d05html
2. Dr Branko O. Krsmanović, Dr Stanislav R. Polić, Informacione tehnologije u
računovodstvu i reviziji, Banja Luka, Bjeljina, 2008
3. David Coderre, Internal Audit; Efficiency through Automation, 2009, John & Sons
4. David Coderre, Computer Aided Fraud Prevention and Detection 2009, John &
Sons
5.
UNSW IT Security Standards & Guidelines, Division of information services,Effective from March 2004
6. Zakon o računovodstvu i reviziji 25.05.2006, član 4
7. Dr Stanislav Polić, IT menadžment, Genex Group, interno izdanje Beograd 2002
8. www.wikipedia.org
9. http://foldoc.org/
10. http://books.google
Rad primljen u Redakciju 05.07.2013.