Analiza: Veb nastup ponuđača poslovnog softvera u Srbiji 2014

Kvalitetna i na vreme plasirana informacija je jedina koja donosi novac u današnje vreme. Koliko je ova teorija primenljiva u praksi ponuđača poslovnog softvera u Srbiji? I šta potencijalni kupci poslovnog softvera mogu naći na sajtovima ponuđača?

Metodološki postupci interne IT revizije

Shares
Vreme čitanja: 6 minuta

Počećemo sa par pitanja:

  • Zašto je potrebno da postoji odeljenje interne IT revizije u poslovnoj organizaciji?
  • Koji je njihov krajni cilj?
  • U kom okruženju se dešava savremena interna IT revizija?
  • Koliko dugo bi poslovna organizacija mogla da funkcioniše bez svog informacionog sistema?

Dinamičnim razvojem informacionih tehnologija promenila se paradigma rada poslovnih i računovodstvenih evidencija kao i poslovnog izveštavanja. Došlo je do spontane migriracije sa sada već tradicionalne na digitalnu ekonomiju. Nova tehnologija rada je istovremeno stvorila nove moguće rizike, novu mogućnost za prevare i nove potrebe i metode digitalnog forenzičkog istraživanja. Svetska praksa u poslovanju beleži konstatan rast korišćenja informacionih i komunikacionih tehnologija sa ciljem da podrže razmenu poslovnih podataka i informacija unutar i između različitih poslovnih organizacija. Nove tehnologije, poput Interneta i mobilnih rešenja, cloud-a dale su nove poslovne mogućnosti i operacije.IT_revizija_IS

U eri globalizacije svetskog poslovanja, kada se gube prostorni i vremenski okviri, kada se događaji više ne mere danima i satima nego sekundama, revizija kao poslovni proces u poslovnim organizacijama dobija sve više na značaju i to u oba poslovna ambijenta; u internom i u eksternom poslovnom okruženju. Uočava se da čovek od pamtiveka izgrađuje svoj informacioni sistem i na njegovoj osnovi upravlja svojim odlukama. Tokom svog istorijskog razvoja, naporedo sa kumuliranjem drugih opštih, naučnih i tehničkih znanja, čovek je naporedo sa tim razvijao tehnologiju kojom je hteo da poboljša načine sa kojim je usavršavao i kvalitetnije formirao svoja dopunska saznanja, kako bi kvalitetnim informacijama obogatio vlastiti informacioni sistem. Pri tom postaje izuzetno važno da informacije zadrže svoj puni integritet i da se menadžment zaštiti od svih mogućih procesa i postupaka koji mogu da dovedu do netačnih informacija. U tu svrhu, prihvatimo definiciju interne revizije:

Interna revizija je jedna nezavisna, objektivno usmerena konsultantska aktivnost dizajnirana da podigne ukupnu vrednost i poboljša rad u operacijama poslovne organizacije. Interna revizija pomaže poslovnoj organizaciji da izvršava i ostvaruje svoje ciljeve kroz pokretanje veće sistematičnosti u radu, disciplinovanijem prilazu poslovnim procedurama, da bi ocenila i poboljšala efikasnost upravljanja rizikom, internu kontrolu i upravljanje procesima.

Danas su u svetu različite strukovne organizacije pristupile izradi međunarodnih standarda i normativnom regulisanju oblasti revizije, pa samim tim i IT revizije. Tako na primer, sredinom 1980 godine, kao odgovor na porast finansijske krize u Sjedinjenim Američkim Državama i zahtevima za pojačanim vladinim kontrolama u oblasti računovodstva i revizorske prakse, formirana je komisija koja se bavi procesima upravljanja entiteta, posebno stavljajući akcenat na kritične aspekte organizacijskog upravljanja, poslovnoj etici, internim kontrolama, upravljanju rizicima u poslovnim organizacijama i suzbijanju prevare u finansijskim izveštajima.

Oformljeni Komitet sponzorskih organizacija (Committee of Sponsoring OrganizationsCOSO) predstavlja organizaciju koja je potpuno nezavisna od svih svojih sponzora i sadrži predstavnike iz raznih delatnosti industrije, javnog knjigovodstva, investicionih firmi i Njujorkške Berze. Svoj prvi formalizovan priručnik za interne kontrole, COSO je objavio 1992 godine pod nazivom: Interna kontrola Integracioni okvir.

Ako u praksi nisu identifikovane ključne IT opšte kontrole (IT General Controls – ITGC) (koje bi trebalo da postoje unutar IT procesa) kao deo sistematskog prilaza od vrha ka dole (top down prilaz) i ako kontrole nisu zasnovane na riziku, koji deluje na finansijski obračun, finansijsko izveštavanje i sve ostale značajne računovodstvene oblasti delovanja i ako se ne kreću hijerarhijski naniže do osnovne automatizacije IT procesa, tada postoji rizik da:

  • Interne IT kontrole mogu da budu procenjene i testirane a da nisu kritične, rezultirajući nepotrebnim troškovima i rasipanjem resursa,
  • Istovremeno, možda neće da budu testirane sve potrebne interne IT kontrole koje su ključne ili mogu da budu testirane kasnije u procesu, predstavljajući sam tim povećani rizik za procenu ili delovanje revizije ((Trebalo bi zabeležiti da su ključne kontrole kritične za poslovne operacije. Omaške u identifikovanju i testiranju svih ključnih kontrola predstavlja potencijalni neuspeh test kontrola nad važnim poslovnim rizicima, ne samo za ishod finansijskog izveštavanja već takođe za druge svrhe upravljanja poslovnim rizicima.)) .

Ključna karika i polazna tačka svih metodologija vezanih za procese interne revizije informacione tehnologije, međunarodnih i nacionalnih standarda koji tretiraju ovu problematiku su zahtevi neposrednih korisnika, odnosno moduli informacionih podsistema, od kojih počinje projektovanje i na osnovu kojih se završava sam projekat. Ta činjenica determiniše nivo znanja i poznavanje koje bi menadžer, odnosno finansijer razvoja i primene informacionih tehnologija trebalo da poseduje, kada je reč o postavci informacionog sistema u poslovnoj organizaciji. U sklopu te sve brže spirale napretka, kumuliranjem opštih znanja i naučnih dostignuća završio se prethodni mIT_revizijailenijum, u kome je poslednja dekada obeležila izuzetano dinamičan, može se slobodno reći “furiozni” razvoj savremenih informacionih tehnologija.

Pošto kontrolno okruženje poslovne organizacije predstavlja organizacijsku prvu liniju odbrane za ublažavanje rizika mogućih grešaka procesa finansijskog izveštavanja, kao krajnji cilj internih IT kontrola, jak ton na vrhu poslovne organizacije igra ključnu ulogu. Istraživanja nastavljaju da dokazuju da poslovna organizacija izvršava bolje i naposletku kvalitetnije interne IT kontrole kada je top menadment poslovne organizacije stvarno privržen strogim internim IT kontrolama i to jasno saopštava kroz svoje neposredne akcije. Organizacija COSO otkriva da, dokle god postoji privrženost borda direktora poslovne organizacije prema internim IT kontrolama, to pomaže ublažavanju svih mogućih rizika. Sa druge strane, mnoge manje poslovne organizacije često nemaju adekvatnu potrebnu pomoć potrebnog kvalifikovanog, najčešće spoljnog personala koja je potrebna bordu direktora. Zašto? COSO izveštaj tvrdi da su dominantni učesnici često protiv toga da dele kontrolu sa drugom stranom ili da sami budu kontrolisani od nekih drugih strana. Imajući sve to u vidu realna misija odeljenja interne IT revizije je da pomogne poboljšanju stanja interne IT kontrole u poslovnoj organizaciji. Po opštem priznanju, to se ostvaruje kroz izvršavanje procesa interne IT revizije i izveštavanjem o rezultatima na kontinuiranoj osnovi. Organizacija COSO takođe preporučuje da bi trebalo da revizorski komitet u poslovnoj organizaciji bude primarno sastavljen od nezavisnih članova borda. Najefikasniji i najjeftiniji (cost-effective) način da se implementira i proceni interna IT kontrola nad automatizovanim poslovnim procesima, finansijskim izveštajima i računovodstvenim procesima je da se izgradi kontrolni zaključak kroz formiranu novu opštu kulturu poslovne organizacije. Pošto automatizacija poslovnih procesa ima kao krajnji cilj poslovno izveštavanje, u skladu sa COSO okvirom, glavni principi koji se odnose na postizanje ciljeva interne IT kontrole i procene nivoa rizika su:

  1. Važnost ciljeva poslovnog i finansijskog izveštavanja,
  2. Identifikacija i analiza rizika poslovnog i finansijskog izveštavanja,
  3. Procena rizika od moguće prevare.

Premda je vrlo verovatno da manje poslovne organizacije imaju više neformalnosti, manji struktuirani rizik za procenu poslovnih procesa, osnovni koncept komponenti internih ITkontrola bi trebalo da postoji u svakoj poslovnoj organizaciji. Zahvaljući dubini uključivanja izvršnog rukovodioca (Chief Executive Officer – CEO) i drugih ključnih menadžera, manji biznisi ubiraju koristi od izvanredno efikasnog upravljanja rizikom. Kako?. To se pre svega ostvaruje kroz posebno namenski definisanih 26 karakteristika.

Već je ukazano da informaciona tehnologija postaje paradigma savremenog poslovanja. Današnje savremeno poslovanje se iz mnogobrojnih razloga suočava sa različitim oblicima krize. Svetska literatura, prateći događanja u svetskoj praksi, je puna primera potrebe za delovanjem interne IT revizije u novim tehnološkim uslovima.

U proceni identifikacije procesa IT kontrola neophodo je da se uoči i adresira specifični rizik koji je uvek pridodat kroz process prilagodljivosti poslovne organizacije okviru formalnih IT kontrola. Takav okvir formalnih kontrola bi trebalo da se primenjuje na krajnje korisnike kroz celu poslovnu organizaciju, a ne samo kao proces interne IT revizija. Iako postoje mnogi okviri, nijedan pojedinačni okvir ne pokriva svaki mogući tip poslovanja ili tehnološku implementaciju, shodno pahuljastoj teoriji. Iako je pahuljasta teorija prihvaćena kao model rada, u brojnim istraživanjima postoji stav da pahuljasta teorija ili “teorija snežne pahuljice” (snowflake theory) nikada ne može da bude dokazana u praksi. Pahuljasta teorija zapravo jednostavno tvrdi da ne postoje dve pahuljice koje su identične. Slično kao kod snežnih pahuljica (snowflake), prihvata se da u praksi ne postoje dve potpuno identične poslovne organizacije. Posledično toj tvrdnji, na isti način bi trebalo da imamo prilaz kod razmatranja poslovnog IT okruženja jer ne postoje dva identična IT okruženja poslovnih organizacija, a sam tim ne postoje ni identični IT rizici,ni potrebne IT kontrole. Druga vitalna tačka u korišćenju bilo kog kontrlnog okvira je da interni IT revizor mora da pripremi ocenu rizika i mora da osigura da je svaka aktivnost shodno tome podesno ograničena. Menadžment poslovne organizacije je svestan da ostvarenje određenog nivoa informacione bezbednosti i sprovedenih internih IT kontrola košta. Istovremeno, menadžment ima u vidu da ne postoji sto postotna bezbednost. U tom smislu menadžment smatra poželjnim da poslovna organizacija pri proceni potrebnih ulaganja kao trošak za ostvarenje potrebne informacione bezbednosti i svođenju rizika na prihvatljiv nivo primeni Pareto pravilo 80/20. To dovodi do:

  • Analize rizika koja obuhvata,
  • Identifikaciju rizika,
  • Razmatranje rizika u određivanju adekvatnosti internih IT kontrola,
  • Definisanje strategije ublažavanja rizika kroz prihvatanje / eliminisanje / deljenje / kontrolu / ublažavanje,
  • Razmatranje osnovne linije IT kontrola.

IT kontrole su selektovane i implementirane na bazi mogućih rizika koji su projektovani kod upravljanja. Pošto je rizik identifikovan, tada, posredstvom iskustva ili formalne procene rizika, interni IT revizor pristupa derterminisanju, odnosno određivanju podesnih odgovora na rizik i njihovo rangiranje od toga da se ne radi ništa i prihvate rizici kao standardan trošak vođenja poslovanja do vođenja širokog ranga specifičnih IT kontrola uključujući osiguranje da se mogući rizik ne dogodi. Biće relativno jasan zadatak da se kreira spisak preporuka IT kontrola koje moraju da budu implementirane unutar svake poslovne organizacije. Međutim, svaka kontrola ima specifični trošak koji može da ne bude opravdan u uslovima delotvornosti troška kada razmatramo tipove poslovnog delovanja kroz poslovnu organizaciju. Štaviše, nijedan spisak kontrola nije univerzalno primenljiv kroz sve tipove poslovnih organizacija. Iako su raspoloživi mnogo dobri saveti u izboru podesnih IT kontrola, u samoj proceni mora da bude korišćena stroga ocena. Kontrole moraju da budu podesne za nivoe rizika i okrenute direktno ka poslovnoj organizaciji.

U daljem kontinuiranom izlaganju izložičemo najčešće oblasti i postupke u kojima deluje interna IT revizija.

  • Revizorske kontrole na nivou entiteta
  • Revizija centra podataka
  • Koraci revizije opšte mrežne opreme
  • Mrežna i komunikaciona infrastruktura
  • Revizija windows operativnih sistema
  • Middleware i revizija baze podataka
  • Revizija aplikacija
  • Revizija kompanijskih projekata
  • Okvir i standardi
  • Forenzičko računovodstvo
  • Forenzička IT revizija

About the Author Stanislav Polić

Stanislav R. Polić diplomirani inženjer elektrotehnike, smer telekomunikacija, Elektrotehnički fakultet Univerzitet u Beogradu. Magistar organizacionih nauka, smer informacioni sistemi: “Informacioni sistem interne banke”, kod mentora profesora Dr Mihajla Jaukovića, Fakultet organizacionih nauka, Univerzitet u Beogradu. Doktor biotehnickih nauka, Doktorirao na Poljoprivrednom fakultetu, smer Agroekonomija Univerzitet u Beogradu, kod mentora Profesora Branka Ž. Ljutića sa temom “Ekspertni sistemi za upravljanje obrtnim kapitalom u društvima kapitala u Agraru“, 2001 godine. Koautor više knjiga iz oblasti primenjene informatike u poslovnim sistemima. Ima više objavljenih naučnih i stručnih radova iz oblasti primenjene informacione tehnologije. Stalni je saradnik u naučnim i profesionalnim časopisima Revizor, Revizija, Računovodstvo, Berza. Ovlašćeni ispitivač Saveza računovođa i revizora Srbije - SRRS, oblast informacionih tehnologija za zvanja: samostalni računovođa, ovlašćeni računovođa i računovođa. Član "Jugoslovenske asocijacije revizora-JAR" i član Upravnog odbora, Predsednik sekcije za informacione tehnologije, član "Jugoslovenskog instituta revizora-JIR". Član YU EDI asocijacije i član upravnog odbora JU EDI asocijacije. Koautor idejnog projekta EDI tehnologije - Zavod za obračun i plaćanje: "Pilotski EDI servis platnog prometa prema UN / EDIFACT standardima", Beograd 1995. Koautor Jugoslovenskog računovodstvenog standarda JRS 33 i izdvojene metodologije za ocenu kvaliteta računovodstvenog softvera, Savez računovođa i revizora Srbije i Jugoslavije. Učestvovao u ekspertskim timovima za uvođenje informacionih sistema u prehrambenoj industriji (mlekara, prerada hrane), prerada stočne hrane, duvanska industrija. Učestvovao u menadžment konsalting studijama Fakulteta organizacionih nauka, Univerzitet u Beogradu, za planiranje u poslovnim sistemima (brodogradilište, fabrike i sl.). Učestvovao u projektovanju informacionog sistema u više jugoslovenskih preduzeća koja su osnovana u inostranstvu. Član Poslovnog odbora PKB Korporacije, Beograd, 1992-97, oblast informacionih tehnologija, član Nadzornog odbora, 1997-99, Predsednik nadzornog odbora PKB Korporacije, 1998

Izveštaj: Poslovni softver u Srbiji 2014

Poslovni softver i rešenja već odavno predstavljaju osnov za efikasno upravljanje poslovanjem. Cloud je sve bliže i više ne predstavlja samo svetski trend, već se i na našem tržištu pojavljuje sve više i više rešenja ovog tipa.

Preuzmi izveštaj!
>