Organizacija, letnik 41 Predlogi za prakso {tevilka 1, januar-februar 2008 Neprestano revidiranje kot nadgradnja funkcionalnosti programa ACL Igor Karnet Der`ani~eva pot 14, 2341 Limbuš, ikarnet@email.si ACL je program za potrebe analiziranja podatkov. Z ACL-om je mogo~e analizirati velike koli~ine podatkov, torej kar celotno populacijo in ne samo vzorec podatkov. Osrednji del ~lanka je predstavitev programa ACL (Audit Command Language), hkrati pa prikazuje mo`nosti in pomen neprestanega revidiranja, ki predstavlja nadgradnjo funkcionalnosti ACL-a. ACL omogo~a la`je, u~inkovitejše, zanesljivejše, torej kakovostnejše spremljanje, pregledovanje ter kontroliranje podatkov in poro~anje o izsledkih. Uporaba ACL-a tako omogo~a prihranek na ~asu, pove~ano kvaliteto kakor tudi zanesljivost opravljenega revizijskega dela. ACL razpolaga s funkcionalnostmi, kot je sposobnost analiziranja velikih koli~in podatkov - celotne populacije podatkov, avtomatskega bele`enja revizijskega dela (ukazov) in rezultatov le-teh. Omogo~a pa tudi dodatne funkcionalnosti, kot sta neprestano revidiranje in sposobnost, da uporabniki (npr. revizorji) izvajajo analize podatkov kar direktno na produkcijskih podatkovnih bazah (Oracle in mnoge druge), s ~imer je poleg drugih prednosti zagotovljena neodvisnost od sektorja informatike. Namen je tudi pokazati, kakšne so slabosti in tveganja pri implementaciji sistema neprestanega revidiranja s pomo~jo ACL-a. V ~lanku so omenjene aktivnosti, ki jih mora organizacija izvesti, da bi bila zagotovljena kar najve~je koristi od ACL-a, ter kaj je potrebno, da se tveganja zmanjšajo na sprejemljivo nizek nivo. Klju~ne besede: ACL, analiziranje, funkcionalnost, neprestano, obveš~anje, postopek, revidiranje, revizor, tveganje, uporaba, uvedba. 1 Uvod Notranji revizorji se pri svojem delu pogosto sre~ujejo s potrebo po analiziranju velikih koli~in podatkov. Z uporabo splošne revizijske programske opreme (angl: Generalized audit software), med katero spada tudi ACL (Audit Command Language), je mogo~e analizirati velike koli~ine podatkov, torej kar celotno populacijo in ne samo vzorec podatkov (ISACA, 2007). Analiziranje celotne populacije podatkov ima bistvene prednosti pred analiziranjem izbranega vzorca. Drugi zelo pomembni razlog, zakaj je priporo~ljivo uporabiti ACL ali drug konkuren~en program (npr. IDEA1) je, da uporabnik pri uporabi programa v nobenem primeru ne more spremeniti podatkov, kar lahko zelo enostavno (tudi nevede) naredi z drugimi orodji in programi, kot je npr. MS Excel. Na osnovi zgoraj navedenih prednosti, predstavlja uporaba ACL-a bistvene koristi, tako v prihranjenem ~asu, pove~ani kvaliteti dela kakor tudi zanesljivosti opravljenega dela. Ve~ podatkov o programskem paketu IDEA je dosegljivo na V ~lanku so predstavljene funkcionalnosti, ki jih ACL ponuja. 1.1 Cilj in namen članka Osrednji del ~lanka se nanaša na prikaz mo`nosti in pomena neprestanega revidiranja kot nadgradnje funkcionalnosti ACL-a, ki pa vsaj v Sloveniji še ni obširno uporabljen, ~eprav prinaša neprestano revidiranje številne koristi in prednosti pred periodi~nim revidiranjem. V ~lanku so navedeni razlogi za takšno stanje. 1.2 Metode dela Uporabljene so naslednje metode in tehnike raziskovalnega dela: ¦ Deskriptivno metodo za pregled doma~e in tuje literature s podro~ja obravnavane tematike z namenom pregleda problematike uporabe ACL-a. ttp://www.caseware-idea.com A 68 Organizacija, letnik 41 Predlogi za prakso {tevilka 1, januar-februar 2008 ¦ Anketna raziskava za analizo obstoje~ega stanja glede uporabe ACL-a, še posebej naprednih funkcionalnosti, kot je neprestano revidiranje. ^lanek je nastal na osnovi razpolo`ljive literature, anketne raziskave ter na osnovi konkretnih, lastnih izkušenj avtorja ~lanka in izkušenj sodelavcev v revizijski stroki. 1.3 Nova Kreditna banka Maribor d.d. in ACL Nova Kreditna banka Maribor d.d. (v nadaljevanju: banka) je `e pred leti za~ela iskati ustrezno rešitev, ki bi pomagala v prvi vrsti revizorjem pri njihovem delu. Zahteve so bile: ¦ rešitev mora omogo~ati funkcionalnosti, ki jih revizor potrebuje pri svojem delu s podatki, ¦ rešitev mora biti uporabniku prijazna in enostavna za uporabo, ¦ zagotovljena mora biti visoka stopnja pravilnosti delovanja rešitve, ¦ rešitev mora biti lahko prenosljiva oz. uporabljiva na razli~nih ra~unalnikih, ¦ nakup novih verzij ne sme biti obvezen, ¦ razmerje koristi / stroški mora biti ugodno. Ker je program ACL v Sloveniji bolj razširjen kot konkuren~ni izdelek IDEA in zato, ker v zadostni meri izpolnjuje zgoraj navedene zahteve, se je banka odlo~ila za ACL. In kaj je sploh ACL? 2 Program ACL ACL je program, ki ga je razvil ACL Services Ltd., http://www.acl.com Program je namenjen osebam, ki se pri svojem delu sre~ujejo s potrebo po analiziranju velikih koli~in podatkov. ACL v prete`ni meri uporabljajo revizorji. ACL omogo~a la`je, u~inkovitejše, zanesljivejše, torej kakovostnejše spremljanje, pregledovanje ter kontroliranje podatkov in poro~anje o izsledkih. Nudi podporo in pomo~ revizorjem pri izvajanju procesa notranje ali zunanje revizije ra~unovodskih izkazov, prav tako pa tudi revizije informacijskih sistemov. 2.1 Funkcionalnosti programa ACL ACL omogo~a analizo podatkov, s tem da podatke: ¦ ali celotne zapise pregledujemo, ¦ zbiramo (zdru`ujemo), ¦ sortiramo (po enem polju ali kombinaciji polj), ¦ kontroliramo (preverjamo izra~une, zaporedja zapisov), ¦ primerjamo posamezna polja (npr. konte, stroškovna mesta, razne seštevke) med seboj ali npr. s podatki prejšnjega meseca, ¦ preverjamo sekvenco oziroma zaporednost zapisov, ¦ iš~emo manjkajo~e / podvojene zapise, ¦ iš~emo dolo~ene zneske, znake, besede, itd., ¦ delamo statistiko (koliko zapisov ima podatek negativno število, koliko jih ima pozitivno število in koliko vrednost ni~. Kakšne so te vrednosti, kakšen je njihov seštevek in povpre~na vrednost), ¦ razdelimo podatke v razrede (enake ali razli~ne velikosti), ¦ dolo~amo zapadlosti datumov, ¦ iz vseh podatkov izlo~imo samo del podatkov. Filtriranje opravimo glede na: ¦ posamezno polje (konto, stroškovno mesto, lokacijo, priimek, vrednost itd), ¦ skupino polj (kontov, stroškovnih mest, lokacij, priimkov, vrednosti), ¦ kombinacijo ve~ polj in/ali kriterijev, ¦ ve~ razli~nih na~inov vzor~enja, ¦ zapadlost (starost) datuma. ¦ ugotavljamo karakteristike posameznih podatkov (minimalne in maksimalne vrednosti, povpre~ne vrednosti, koliko podatkov pride v posamezne velikostne razrede), ¦ sortiranje podatkov v okviru enega ali ve~ polj, ¦ idr. Podatke in dobljene rezultate lahko prenesemo v mnoge druge programske produkte (Word, Excel, dBase, Lotus, Text, Clipboard), kjer jih lahko dodatno obdelujemo ali pa enostavno vklju~imo v drug tekst, tabelo, sliko, prezentacijo,… ACL, natan~neje ACL Server Editions, omogo~a tudi neposredno povezavo na baze podatkov (Oracle, DB2, SQL Server, ali IMS podatkovne baze) kar omogo~a, da revizorji pri svojem delu postanejo neodvisni od sektorja informatike. Do sedaj je namre~ bilo tako, da je moral revizor od sektorja informatike zahtevati, da mu pripravijo in pošljejo potrebne podatke, ki jih je prenesel na svoj osebni ra~unalnik in jih obdelal z ACL-om ali drugim orodjem. Z neposredno povezavo na bazo se odpravi tveganje napake informatika, ki je pripravljal podatke, prav tako se zmanjšajo tveganja s prenosom podatkov, saj se podatki ve~ ne prenašajo po telekomunikacijskih linijah. Neodvisnost revizorja je zelo pomembna karakteristika revizorja. ^e le-ta pri svojem delu ni neodvisen, revizor ne more ustrezno opraviti svojega dela. ACL Server Editions omogo~a popolno zdru`ljivost z ACL Desktop ali Network verzijo programa, s ~imer je zagotovljen varen, transparenten in takojšen dostop do podatkov, ki se nahajajo na razli~nih stre`nikih (ACL, 2007). ACL Services Ltd. ponuja tudi program »Direct Link for my SAP ERP«, ki omogo~a revizorjem direktno povezavo s celovitimi rešitvami SAP. Dodatna funkcionalnost je kontinuirano revidiranje. Ve~ o tem je zapisano v nadaljevanju. 2.2 Prednosti uporabe ACL-a Program ACL ima nekaj pozitivnih lastnosti, zaradi katerih je njegova uporaba široko sprejeta: A 69 Organizacija, letnik 41 Predlogi za prakso {tevilka 1, januar-februar 2008 ACL deluje v razli~nih okoljih – operacijskih sistemih. Analiziranje podatkov je mogo~e izvajati na celotni populaciji podatkov, s ~imer se pove~a to~nost rezultata. Analiziranje nekaj stotiso~ zapisov ni noben problem tudi ob uporabi starejšega osebnega ra~unal-nika. Pove~anje dokumentiranosti dela. Zagotovljeno je avtomatsko dokumentiranje izvedenih aktivnosti. ACL avtomatsko dokumentira vse, kar je uporabnik naredil – vse ukaze kakor tudi rezultate teh ukazov. Analiziranje podatkov je praviloma bistveno kvalitetnejše. Pove~anje hitrosti pregledovanja in analiziranja podatkov. S pomo~jo ACL-a opravimo delo veliko hitreje, kot smo ga ro~no. Delo revizorja je u~inkovitejše in uspešnejše. Zagotovljen je nadaljnji razvoj rešitve. Zagotovljena je ustrezna pomo~ strokovnjakov ACL Services Ltd. Pove~anje natan~nosti in zanesljivosti izvedbe dela. Pri ro~nih pregledih pogosto naredimo nenamerne napake, izpustimo kakšen podatek ipd. ¦ ACL ne dovoli spreminjanja podatkov, tako da so podatki vedno celotni in v nespremenjeni obliki, ne glede na to, kaj z ACL-om delamo. Tako je izključeno, da bi podatke nehote izbrisali ali spremenili, s čimer je zagotovljena integriteta podatkov. Prav ta zadnja karakteristika najbolj loči ACL od drugih programov, ki jih uporabniki uporabljajo pri pisarniškem delu (npr. MS Office). V primeru uporabe ACL-a za potrebe revizije so bile opažene še naslednje prednosti: ¦ zmanjšujejo stopnjo revizijskega tveganja, ¦ povečujejo neodvisnost od revidirane enote, ¦ področje, ki ga je mogoče revizijsko podpreti, je širše, prav tako pa je tudi bolj konsistentno, ¦ omogočajo hitrejši dostop do informacij, ¦ izboljšano je poročanje o izjemah, ¦ fleksibilnost časov izvajanja je večja, ¦ večja zmožnost ocenitve slabosti notranjih kontrol, ¦ povečane sposobnosti vzorčenja in ¦ dolgoročno gledano: zmanjšani stroški delovanja notranje revizijske službe. Razširjenost in uporabnost ACL-a je prikazana na sliki 1 in sliki 2: Access 6% ~\ Interno razvit SW ^^Jj^ 7% ~Z^m ACL 35% Drugo 8% Excel 34% -^^"-^Sä^ DATAS 1% \_IDE 5°y People L i A oft Query 1% Slika 1: Razširjenost uporabe programskih rešitev za potrebe odkrivanja in prepre~evanja zlorab (vir: IIA, 2006) Slika 2: Razširjenost uporabe programskih rešitev za potrebe neprestanega analiziranja podatkov (vir: IIA, 2006) A 70 Organizacija, letnik 41 Predlogi za prakso {tevilka 1, januar-februar 2008 2.3 Usposabljanje Usposabljanje je sestavni del aktivnosti pri uvajanju novih programskih rešitev, kar velja tudi za ACL. ^eprav obstaja uporabniški priro~nik in ~eprav uporabniki (lahko) kupijo dostop do sprotne pomo~i pri razvijalcu (ACL Services Ltd), se je potrebno pred uporabo ustrezno usposobiti za uporabo programa. Brez izobra`evanja ne gre.Tudi v Sloveniji se ob~asno izvajajo ustrezni te~aji za ACL. Ampak ceneje in hitreje gre, ~e se izobrazi »trener« in se nadaljnja izobra`evanja izvajajo interno v organizaciji. Ta metoda se je v Novi Kreditni banki Maribor d.d. pokazala za uspešno. Poglavitni razlog je ta, da se vsi uporabniki (npr. revizorji) ne odlo~ajo isto~asno za izobra`evanje, kar je v prid zagotavljanju kontinuitete dela (revidiranja). 2.4 Zastaranje programa Pri posameznih ra~unalniških programih lahko s~asoma stroški vzdr`evanja naraš~ajo. Zgodi se celo lahko, da dobavitelj ne vzdr`uje ve~ kupljenega programa, vendar sem prepri~an, da se v primeru ACL-a ne bo zgodilo ni~ od zgoraj navedenega. ACL Services Ltd. izvaja nenehni nadaljnji razvoj, torej ponuja novejše verzije, z novimi funkcionalnostmi (trenutno verzijo 9), ki prinašajo izboljšano funkcionalnost predvsem na podro~ju skupinskega dela in delitve rezultatov analiz (ACL, 2007). Res je tudi, da okolje zahteva spremembe obsto-je~ega programa. Od revizorjev se vedno znova pri~akuje, da bodo z manj kadra naredili ve~ in bolje in da bodo odkrili ve~ pomanjkljivosti in nepravilnosti ter da bodo prej opozorili na tveganja. Kako je to mogo~e zagotoviti? To je mo`no dose~i z novimi funkcionalnostmi, ki jih nudijo novejše verzije ACL-a, v prvi vrsti pa z neprestanim revidiranjem in z zagotovitvijo neodvisnosti od sektorja informatike. 3 Neprestano revidiranje in obveš~anje v realnem ~asu 3.1 Neprestano revidiranje Neprestano revidiranje je ob~utno druga~no kot obi~ajno, periodi~no revidiranje. Izkazalo se je, da revizije, ki se izvajajo periodi~no (letno ali še redkeje), niso u~inkovite. Neprestano revidiranje spreminja lastnosti dokazov, ~asovno komponento in tip postopkov ter razporeditev opravil. Pri neprestanem revidiranju se revizorjeva poro~ila kreirajo v kratkih intervalih ali celo takoj. Da bi dosegli takšno stopnjo u~inkovitosti, potrebuje notranja revizijska slu`ba program, ki omogo~a avtomatsko sprotno kontrolo podatkov in iskanje izjem glede na vnaprej dolo~ene kriterije. Neprestano revidiranje ni samo avtomatizacija dolo~enih revizijskih postopkov, am- pak je tudi avtomatsko izvajanje teh postopkov. Ko so takšni postopki uvedeni, je potrebna minimalna ~loveška intervencija. Vloga revizorjev je tolma~enje dobljenih rezultatov. 3.2 Obveš~anje v realnem ~asu Obveš~anje v realnem ~asu je proces v okviru neprestanega revidiranja, pri katerem so revizorji obveš~eni takoj po odkritju izjeme. Koristnost neprestanega revidiranja je odvisna od sporo~enih izjem. Neprestano revidiranje brez obveš~anja v realnem ~asu lahko privede do situacij, v katerih se odkritja akumulirajo in ~akajo na odziv revizorja. V skrajnem primeru se lahko zgodi, da pomembne ~asovno ob~utljive ugotovitve izgubijo na pomenu. 3.3 Koristi neprestanega revidiranja Letna poro~ila v vedno hitreje spreminjajo~em se okolju izgubljajo na pomenu. Investitorji, ki trgujejo na dnevi osnovi, potrebujejo a`urne informacije. Koristi neprestanega revidiranja znajo ceniti tudi revizorji, ki so prepri~ani, da je revidiranje sistemov, ki delujejo v realnem ~asu (angl: on-line), bistveno druga~no od revidiranja legacy sistemov. Ker lahko imajo napake v sistemih, ki delujejo v realnem ~asu, velik vpliv na integriteto takšnih sistemov, je zelo pomembno, da vire nadziramo proaktivno. Predvidevati oz. pri~akovati probleme in izvajati potrebne ukrepe za prepre~itev ali zmanjšanje njihovega vpliva, je klju~na korist revidiranja sistemov, ki delujejo v realnem ~asu (Raval in Kromberg, 1999). Sistem neprestanega revidiranja se mora hitro prilagoditi na spremembe (Lanza, 1999). 3.4 Implementacija sistema neprestanega revidiranja Implementacija neprestanega revidiranja zahteva podrobno poznavanje poslovnih procesov, sistemske arhitekture in predvsem pripadajo~ih revizijskih principov oz. na~el. Jasno mora biti dolo~en cilj sistema za neprestano revidiranje. Prav tako je zelo pomembno, da je v uspeh in korist prepri~ano vodstvo revizije. Implementacija bo namre~ uspešna, ~e vodstvo revizije verjame v sistem neprestanega revidiranja in ga podpira ter je pripravljeno prevzeti odgovornost za uspeh sistema neprekinjenega revidiranja. Prav pridobitev podpore vodstva je ponavadi najte`ji del pri celotnem procesu. Po tem sledi implementacija. 3.5 Primer uspešne implementacije V svetu je `e mogo~e videti ve~ uspešnih implementacij neprestanega revidiranja. Nekatera so obširna, druga napredujejo v majhnih korakih v smeri visoko razvitega si- A 71 Organizacija, letnik 41 Predlogi za prakso {tevilka 1, januar-februar 2008 stema. Pri vseh primerih pa je enotno dejstvo, da ko se za~nejo izvajati aktivnosti v smeri neprestanega revidiranja, sistem za~ne rasti organsko. Z vpeljavo avtomatiziranega procesa revidiranja se pojavijo koristi, ki spro`ijo veliko zanimanje, da bi tudi druge procese vklju~ili v sistem neprestanega revidiranja. Primera uspešne implementacije sistema neprestanega revidiranja sta Banca Populare di Brescia in Citibank. 3.5.1 Banca Populare di Brescia Banca Populare di Brescia je rasto~a italijanska banka, ki uporablja intranet kot osnovo sistema neprestanega revidiranja. Specifikacije za nadzor vnašajo v SAP podatkovno skladiš~e in tako ustvarijo podatkovne baze podatkov. Ta podatkovna baza je povezana s procesom revidiranja, ki zagotavlja takojšnjo povratno informacijo (Vasarhelyi in Voarino, 1999). 3.5.2 Citibank Citibank je razvila ra~unalniški sistem, ki pomaga revizorjem, varnostnim administratorjem in enotam pri samo-ocenitvi, da lahko v realnem ~asu nadzirajo varnost svojega okolja. Sistem izvaja vrsto testov, da bi preveril varnost sistemov, odkril obstoje~e ali potencialne ranljivosti, odstopanja od varnostnih politik, prav tako pa tudi zagotavlja, da programi niso kompromitirani (Agrawal, 1999). 3.6 Študija primera Vir: (ACL, 2002) V neki banki ni smel noben ban~ni delavec prenesti ve~ kot 1.000 USD na svoj ra~un s kateregakoli ra~una komitentov banke. Transakcije preko 1.000 USD je morala izvršiti druga oseba. Revizorji so ~etrtletno ro~no pregledovali seznam transakcij in iskali nepooblaš~ene transakcije, torej takšne, pri katerih so zaposleni izvedli prenos vsaj 1.000 USD na svoj ra~un. To delo je bilo ~asovno zamudno. S~asoma se je število transakcij pove~evalo. Revizorji so za~eli izvajati kontrolo na vzorcu podatkov in ne ve~ na celotni populaciji.V tem obdobju je tudi vodstvo zahtevalo, da se kontrole izvajajo pogosteje. Postalo je jasno, da potrebujejo bolj u~inkovito rešitev. Rešitev za analiziranje podatkov je bil ra~unalniški program, ki omogo~a neprestano revidiranje in ob-veš~anje v realnem ~asu. Po namestitvi ACL-a sta se oddelek notranje revizije in IT oddelek dogovorila, kako najbolje priti do podatkovnih datotek. Ko so zagotovili dostop do podatkov, se je analiza izvajala z ACL-om. Klju~ni namen je bil zdru`iti datoteko z mati~nimi podatki zaposlenih in datoteko s transakcijami. To so naredili z ukazom »join«. Dodatno so kreirali pogoj, s katerim so zagotovili, da se v drugo datoteko prenesejo samo transakcije z vrednostmi preko 1.000 USD. Z ukazom »zdru`i« so identificirali tiste transakcije, ki jih je ban~ni delavec naredil na svoj ra~un.V lo~eno datoteko so se zapisale samo transakcije, ki so tudi imele vrednost nad 1.000 USD. Slika 3 prikazuje postopek zdru-`evanja podatkov: Slika 3: Zdru`evanje podatkov iz mati~ne datoteke zaposlenih z datoteko transakcij. A 72 Organizacija, letnik 41 Predlogi za prakso {tevilka 1, januar-februar 2008 OPEN Transactions DEFINE REPORT Default_Viev OPEN Employees SECONDARY DEFINE REPORT Default_Viev JOIN PKEY EmpID To_Accnt FIELDS EmpID Date Amount From_Accnt to Accnt SKEY EmpID Emp_Accnt IF Amount > 1000_____________________________________________________ Slika 4: paket v ACLju Slika 5: dolo~itev izvajanja ACL paketa v Task scheduler-ju v MS Windows-ih. Revizorji so postopek ustrezno testirali in ugotovili, da program ACL deluje to~no in pravilno. Postopek so avtomatizirali v paket, imenovan »batch«. S tem so revizorji prihranili ~as in izlo~ili mo`nost napake zaradi ~loveš-kega faktorja. Na sliki 4 je prikazano, kakšna je vsebina paketa. Zadnji korak je uporaba Task scheduler-ja v Microsoft Windows-ih, ki omogo~a redno avtomatsko izvajanje ACL paketa (slika 5). Sedaj se v ACL-u mese~no avtomatsko izvede analiza podatkov, rezultati analize pa se takoj z uporabo ukaza »Notify« prenesejo v oddelek notranje revizije. Oddelek notranje revizije je trenutno v fazi implementacije na drugem podro~ju, ki iš~e povezave med seznamom oseb, s katerimi banka ne sme poslovati, in med bazo komitentov. Seveda je mogo~e na podoben na~in implementirati tudi na drugih podro~jih. 4 Kriti~na analiza (SWOT) Analiza prednosti, slabosti, prilo`nosti in nevarnosti programa ACL: Prednosti: jasne ugotovitve, podkrepljene z dokazi, odzivna funkcija v realnem ~asu, standardiziran pristop, integriran pristop pri izvajanju revizijskih aktivnosti, manjša verjetnost, da spregledamo kaj pomembnega, boljši pregled nad opravljenim delom, ve~ja hitrost opravljanja analiz / obdelav podatkov, ve~ja zanesljivost izvršenega dela, ve~ja to~nost rezultata, boljša dokumentiranost opravljenega dela, zmanjšana stopnja revizijskega tveganja, podro~je, ki ga lahko revizijsko podpremo, je širše, prav tako pa je tudi bolj konsistentno,izboljšano poro~anje o izjemah, ve~ja fleksibilnost ~asov izvajanja, ve~ja zmo`nost ocenitve slabosti notranjih kontrol, pove~ane sposobnosti vzor~enja. Slabosti: strukturno neskladje (podatkov), obseg, volumen transakcij, v praksi le fragmentiran procesni pristop, nezadostna ra~unalniška pismenost, prevelika pozornost se lahko posve~a informacijsko-komunikacijski tehnologiji namesto transakcijam, implementacija neprekinjenega revidiranja je povezana z obširno porabo virov, predvsem ~asom in skrbno projektno vodenje. A 73 Organizacija, letnik 41 Predlogi za prakso {tevilka 1, januar-februar 2008 Prilo`nosti: ¦ prihranek na času, ¦ spremljanje revidirane enote (avtomatski procesi), ¦ vrednotenje in zagotavljanje kakovosti, ¦ neposredni dostop do baz podatkov, ¦ povečana neodvisnost od revidirane enote, ¦ hitrejši dostop do informacij, ¦ neprestano revidiranje in obveščanje v realnem času, ¦ dolgoročno gledano: zmanjšani stroški. Nevarnosti / pasti: ¦ neustrezna kvaliteta podatkov (vhodnih), ¦ nepravilna interpretacija rezultatov, ¦ realne koristi ne dosežejo pričakovanj, ¦ neustrezna varnost podatkov, ¦ poskrbeti je potrebno za ustrezno varnost podatkov, ¦ informacijsko-komunikacijska tehnologija in informacijski sistem nista zamenjava za proces notranjega revidiranja in ustvarjalno delo revizorja. Prednosti in priložnosti je veliko. Izkoristiti jih je mogoče z ustrezno uporabo ACL-a, kar je mogoče s predhodnim izobraževanjem in z usposabljanjem uporabnikov. Ob nakupu ACL-a je priporočljivo dokupiti pomoč s strani ACL Services Ltd. Tveganja, ki jih prinašajo navedene slabosti in nevarnosti, je mogoče zmanjšati predvsem z zadostnim usposabljanjem, kar ima za posledico pravilno in zadostno uporabo funkcionalnosti, ki jih ACL ponuja. Pod ustrezno uporabo ACL je mišljena tudi ustrezna varnost podatkov in rezultatov analiz teh podatkov. Revizorji imajo dostop do vseh podatkov v organizaciji, tudi osebnih podatkov in podatkov, ki so klasificirani kot poslovna skrivnost. Tako so npr. vsi končni izdelki - revizorjeva poročila klasificirani z najvišjo stopnjo poslovne skrivnosti - strogo zaupni. To pa pomeni, da je potrebno podatke, rezultate analiz ter ostalo delovno gradivo ustrezno varovati oz. zaščititi pred nepooblaščenimi osebami. Kot pri vsakem programu je pred nakupom (in uporabo) ACLja potrebno preveriti razmerje koristi / stroški, vložen trud, čas in stroške nakupa, uvedbe in vzdrževanja ACL-a. Upoštevati je potrebno: ¦ enostavnost uporabe tako za sedanje revizorje kakor tudi bodoče, ¦ zahteve po dodatnem izobraževanju, ¦ kompleksnost vzdrževanja, ¦ fleksibilnost uporabe, ¦ zahteve pri namestitvi, ¦ učinkovitost procesiranja in ¦ potrebni napori, da se prenesejo in pripravijo podatki za uporabo z programom z namenom da analiziramo podatke. Slika 2 prikazuje, da se za analiziranje podatkov še vedno največ uporablja MS Excel. Z Excelom je mogoče izvesti praktično vse analize kot z ACL-om. Ob dejstvu, da večina uporabnikov že ima Excel instaliran na svojem osebnem računalniku, in ob dejstvu, da je potrebno ACL dodatno kupiti, je takšen velik obseg uporabe Excela pravzaprav pričakovan. Zavedati se je potrebno, da je z Excelom zelo enostavno nehote spremeniti ali izbrisati podatke, kar lahko ima za posledico bistveno ve~jo poslovno škodo, kot je strošek nakupa ACL-a. Z ACL-om je dokumentiranost opravljene analize bistveno ve~ja kot npr. pri Excelu, s ~imer je bistveno la`je dokazovati oz. zagovarjati dobljene rezultate. Da bi se bodo~i uporabniki la`je pravilno odlo~ili, ali je ACL za njih primeren in dovolj koristen, ACL Services Ltd. omogo~a brezpla~no uporabo programa za obdobje enega ali dveh mesecev. V tem ~asu je mogo~e uporabljati ACL brez omejitev. Prakti~ne izkušnje ka`ejo, da se nekateri potencialni uporabniki prehitro odlo~ijo za poskusno uporabo ACLja. Za uporabo se odlo~ijo z namenom, da bi ACL tako brez potrebnega znanja spoznali razpo-lo`ljive funkcionalnosti. Da bi lahko uporabljali ACL, se je potrebno predhodno usposobiti za uporabo. Zato je smiselno, da se potencialni uporabniki najprej udele`ijo za~etnega te~aja uporabe ACL-a, ali da jih v zadostni meri z uporabo in funkcionalnostjo seznani kdo od obstoje~ih uporabnikov. Le tako bo dose`en namen. 5 Diskusija Ve~ina revizorjev se zaveda potencialnih koristi, ki jih lahko prinese neprestano revidiranje. Zakaj ga torej organizacije še niso vpeljale v vse svoje oddelke? Ali je to samo teoreti~en koncept, ki ga praksa ne sprejema? Da bi našli odgovor, se je potrebno zavedati kompleksnosti in izvedljivosti implementacije sistema neprestanega revidiranja. Te`ko je zagovarjati trditev, da je mogo~e sistem neprestanega revidiranja enostavno in hitro implementirati. Dejstvo pa je, da obstajajo programi, ki pomagajo pri doseganju tega cilja. Dodatna ovira pri implementaciji takšnih programov je, da imajo oddelki notranjih revizij veliko fluktuacijo kadra. To dejstvo in zahteva, da morajo revizije izvajati svoje delo v vedno ve~jem obsegu in v krajšem ~asu, rezulti-ra v tem, da posve~ajo ve~jo pozornost kratkoro~nim rešitvam in spregledajo prilo`nosti, ki jih nudi sistem neprestanega revidiranja. Neprestano revidiranje zahteva dolgoro~no planiranje in obse`no investiranje za kasnejše sposobnosti revidiranja. Implementacija neprekinjenega revidiranja naj poteka po korakih, torej ne poizkušati naenkrat vpeljati sistem na vseh podro~jih, ampak samo na enem ali dveh. Izberemo si takšno podro~je, kjer z implementacijo ne bo veliko te`av in bo zato la`je priti do ugodnih rezultatov. Ko bodo vidni rezultati in koristi, bo to najboljša promocija in naj-la`ji na~in, kako prepri~ati ostale odgovorne osebe. Medtem bodo odkrite in odpravljene te`ave in morebitne pomanjkljivosti, s ~imer bo omogo~eno la`je in uspešnejše izvajanje implementacije na drugih, bolj zahtevnih po-dro~jih. 6 Povzetek ^e se `eli dose~i zadovoljstvo vseh vpletenih od sponzorja, uporabnikov do informatikov in drugih oseb, je nujno potrebno upoštevati naslednje: A 74 Organizacija, letnik 41 Predlogi za prakso {tevilka 1, januar-februar 2008 ¦ Potrebna je natan~na definicija zahtev / potreb. ¦ Izra~unati svoj »primer« (ROI). ¦ Poiskati sponzorja v organizaciji. ¦ Zagotoviti, da bodo pri~akovanja posameznikov kakor tudi organizacije kot celote realna. ¦ Investicija v pilotski sistem ni zgolj strošek. ¦ Zagotoviti ustrezen celotni »paket« = HW+SW+inte-gracija. ¦ Preveriti reference (razširjenost uporabe). ¦ Preveriti dobavitelja / razvijalca (zgodovina, podpora, storitve, nadaljnji razvoj programa). ¦ Preveriti funkcionalnosti programa. ¦ Pri~akovati naravni odpor do novitet, ker: ¦ se spreminja ute~eni ritem, ¦ to v ~asu testiranja, uvajanja in poskusnega delovanja pomeni dodatno, vzporedno delo, ¦ so prisotne razlike v generacijah. ¦ ACL omogo~a številne funkcionalnosti. Uporabite jih! Brez ustreznega, zadostnega izobra`evanja to ne bo mogo~e. Investicija v izobra`evanje in usposabljanje ni strošek, ampak investicija za prihodnost. ¦ Zagotoviti si ustrezno - u~inkovito strokovno pomo~ pri uporabi programa in ra~unalniške (strojne in sistemske programske) opreme, na kateri je ACL instaliran. ¦ Kupiti novo verzijo programa, ko se za to pojavijo potrebe. ¦ Program ni 100% brez napak. Dokaz so izvršeni popravki napak v vsaki posamezni novi verziji. ¦ Ob ustrezni uporabi je razmerje stroški/koristi (ROI) zelo ugodno. ^e `elite delati stvari, ki jih do sedaj niste mogli, ali ~e celo `elite dose~i najvišjo stopnico v uporabi informacijske tehnologije - to je intenzivno uporabo znanja - torej da znanje predstavite v modelih, je uporaba ra~unalnika obvezna. Intenzivna uporaba znanja je pogojena z uporabo ra~unalnika. V obravnavanem primeru uporabe ACL-a, revizorji vlo`ijo svoja znanja in izkušnje in s pomo~jo tehnologije doprinesejo k izboljšanju poslovnega obveš~anja2 organizacije. Z uporabo svojega znanja v svoje namene in potrebe je mogo~e z informacijsko tehnologijo ustvariti dodano vrednost. Tehnologija poslovnega obveš~anja omogo~a uporabnikom hiter in enostaven dostop do podatkov v organizaciji, ne glede na to, kje in v kakšni obliki so podatki shranjeni. Zagotavlja orodje za poslovno razumevanje teh podatkov in s pomo~jo analize njihovo pretvorbo v koristne in uporabne informacije. Orodja morajo tako zagotavljati ve~dimenzionalno analiziranje, poizvedovanje na zahtevo in poro~anje o podatkih. Sistem poslovnega obveš~anja omogo~a tudi izmenjavo informacij v intranetu, in sicer kot pomo~ zaposlenim pri sprejemanju odlo~itev, in ek-stranetu, kar je pomembno za vzdr`evanje dobrih poslovnih odnosov s strankami in dobavitelji ter drugimi zunanjimi izvajalci. Glavni namen oz. korist sistema poslovnega ob-veš~anja je torej preoblikovanje podatkov v informacije, te v znanje in znanje v dobi~ek organizacije. Z uporabo ACL-a ste temu cilju korak bli`je. 7 Literatura in viri ACL (2007).ACL Server Editions,ACL Services Ltd, dosegljivo na: http://www.acl.com (02.01.2007). ACL (2002). Continuous Auditing and Real-Time Notification, ACL Services Ltd. Agrawal, P. (1999). Automating Reviews in a Distributed Computing Environment, IS Audit & Control Journal, 5: 24-25. IIA (2006). The Institute of Internal Auditors, The 2006 Internal Auditor Software Survey, dosegljivo na: http://www. acl.com/pdfs/IIA_Survey_Summary.pdf (29.10.2007). ISACA (2007). CISA Review Manual 2007, Information Systems Audit and Control Association / Foundation, USA. Lanza, R. B. (1999). Automating a continuous monitoring system, dosegljivo na: http://www.auditsoftware.net/ infoarchive/index.htm. (23.04.2001). Raval, V. & Kromberg, N. (1999). Online Monitoring of Software in LAN Environments, IS Audit & Control Journal, ISACA, USA, 5:38-41. Vasarhelyi, M.A. & Voarino, P. (1999). Continuous Auditing and Control Scripting at BIPOP:An evolving case study of bank continuous auditing in a SAP environment, IS Audit & Control Journal, ISACA, USA, 5: 33-35. Igor Karnet je magistriral na Fakulteti za organizacijske vede v Kranju. Je revizor informacijskih sistemov z mednarodnim (CISA3) in slovenskim certifikatom in licenco za delo (potrjeni revizor IS). Prav tako ima mednarodni certifikat CISM4. @e preko 11 let izvaja dela in naloge vodje revizorjev informacijskih sistemov v notranji reviziji Nove Kreditne banke Maribor d.d. v Mariboru. Pred tem je bil zaposlen v raz-li~nih proizvodnih podjetjih v sektorju informatike, tudi kot direktor sektorja informatike. Sodeluje pri Slovenskem inštitutu za revizijo, Slovenskem odseku Mednarodne organizacije za revidiranje in kontrolo informacijskih sistemov (ISACA) ter pri sekciji revizorjev informacijskih sistemov. 2 Poslovno obveš~anje (angl: Business Intelligence) je termin, ki opisuje uporabo operativnih podatkov organizacij za pridobivanje informacij in zagotavlja zaposlenim, dobaviteljem, strankam in drugim poslovnim partnerjem analizo za u~inkovitejše poslovno odlo~a-nje. 3 CISA = Certified Information Systems Auditor. Certifikat izdaja ISACA - Information Systems Audit and Control Association/ Foundation, http://www.isaca.org 4 CISM = Certified Information Security Manager. Tudi ta certifikat izdaja ISACA, mednarodna organizacija za revidiranje in kontrolo informacijskih sistemov. A 75