RAZPRAVE
B Začetni skrbni pregledi za področje informacijskih sistemov v finančnih organizacijah
Boštjan Delak. Nnvg Ljubljanska banka, (J d . Smart in ska c 130, 1520 Ljubljana' dBlBk.bostjan@gmail.com
Povzetek
Realizacija začetnega skrbnega pregleda poslovanja finančnih organizacij (»due diligence«) je ena izmed ključnih aktivnosti, ki mora biti opravljena pred kapitalskimi vlaganiem Z vse večjim vplivom informacijskih sistemov na poslovanje družbe je v zadnjem času postal zelo pomemben tudi podroben pregled informacijskega sistema v ciljni finančni organizaciji, in sicer predvsem zaradi velike odvisnosti finančnih organizacij od podpore informacijskih sistemov ter velikih vlaganj v kakovostnejše in sodobnejše podpore, ki zagotavljajo neoporečnost, zaupnost in razpoložljivost informacij V prispevku so opisani tipi začetnih pregledov ter njihove značilnosti z opisom posameznih aktivnosti v okviru začetnega skrbnega pregleda za področje infnrmeciiske tehnologije, npisom okvirja - metode - izvajanja aktivnosti, predlngnm, kdo naj izvaja te aktivnosti, in prikazom vsebine poročil. Ključne besede: skrbni pregled, začetni skrbni pregled, informacijski sistem, finančna organizacija
Abstract
INITIAL DUE DILIGENCE OF INFORMATION SYSTEMS IN FINANCIAL ORGANIZATIONS
Initial due diligence of a financial company's operations is one of the most important activities to be carried out prior to any capital investment Recently, with ever growing impact of information systems on daily company's business support., reviewing this segment of the reviewed company has become very important and vital as well This is mainly due to large dependency of financial companies on Lheir information systems and substantial investments in more quality and up-to-date support ensuring integrity, confidentiality and availability of information. This article sets out different types of initial due diligence, its general characteristics and activities to be carried out within iiutia! information technology due diligence framework, it gives a detailed description of methods and finally proposes which specialists should perform such activities and what information the reports should contain Key words: due diligence, initial due diligence, information system, financial organization
1 UUOD
Finančne organizacije u svetu in Sloveniji poskušajo povečevati tržne deleže i združevanji in nakupi. Pred realizacijo dokončnih dogovorou ter finančnih transakcij - kapitalskih vlaganj - je treba izvesti tako imenovani skrbni pregled (»due riiligence«).
Pri začetnih skrbnih pregledih je v večini primerov poudarek na likvidnosti, naložbah (kreditne in kapitalske naložbe) in upravljanju tveganj, Z vse večjim vplivom informacijskih sistemov na poslovanje diružbe je v zadnjem času postal izredno pomemben tudi pregled informacijskega sistema v ciljni finančni organizaciji.
Začetni skrbni pregled poslovanja finančne družbe - ciljne družbe - je za področje informacijskih siste-
mov izredno obsežen in zahteven ter sestavljen iz posameznih delov, med katere spadata tudi varnost informacijskega sistema (varovanje informacij) ter ocena operativnih tveganj. Pri izvedbi začetnega skrbnega pregleda je pomembno pregledati in oceniti skladnost delovanja z lokalnimi predpisi, varnostni vidik im plemen tira nega informacijskega sistema ter oceniti in analizirati odstopanje in možnost prilagoditve na korporativen informacijski sistem v primeru odločitve o kapitalskem vlaganju.
V prispevku je najprej opisan pojem skrbnega pregleda ter njegove značilnosti in tipi. Sledita opis začetnega skrbnega pregleda (»initial d ue diligence«) ter opis posameznih aktivnosti v okviru začetnega skrbnega pregleda za področje informacijske tehnologije,
1 Izjava: Razlaga m komentar)!, ki so predmet tega prispevka. predstavljajo poglede avtorja in niso nu|na tudi staliifia, praksa ali politika podjetja, v katerem je avtor zaposlen.
116 ufniiiHNL INFORMATIKA
2008 • številka ? - letnik XVI
Boit|jn Delakr Začetni skrbni pregledi za podrnčje informacijskih sistemov v (inančnih organiiacijah
ki ga v Novi Ljubljanski banki, d. d., Ljubljana (v nadaljevanju NLB) uporabljamo v ta namen za informacijski sistem ciljne družbe in tudi za varovanje informacij in identifikacijo operativnih tveganj. Podan je predlog, kateri strokovnjaki naj izvajajo aktivnosti začetnega in navadnega skrbnega pregleda informacijskih sistemov. V sklepu je poudarjen pomen začetnega skrbnega pregleda informacijskih sistemov in njegovih ciljev kol pomoč ravnateljstvu za nadaljnje aktivnosti, predvsem kot podlaga za boljša pogajanja o prevzemu ali doka pital izacij i ciljne družbe.
2 ZAČETNI SKRBNI PREGLED
»Due diligence pri združevanju oziroma pridobitvi (nakupu) podjetij pomeni natančen pregled knjig (dokumentacije) /. namenom pregleda kvalitete (vrednosti) aktive in pasive ciljnega podjetja« (Mteh, 1993). Ločimo dva načina skrbnih pregledov: »začetni« skrbni pregled, ki se izvede pred kapitalskim vlaganjem in je podlaga za poslovne odločitve - investicije in doka-pitalizacije, in »navadni« skrbni pregled, ki se lahko izvede kadar koli - odločitev sprejme lastnik oziroma nadzorni svet finančne družbe. Rezultat skrbnega pregleda omogoči lastniku, da sprejme in izvede določene strateške poslovne odločitve. Oba načina imata veliko skupnega, a se razlikujeta predvsem v določenih aktivnostih.
2.1 Področja začetnih skrbnih pregledov
Letno poročilo z revidiranimi računovodskimi izkazi je sicer glavni vir /a finančno analizo poslovanja, a je preozek za podrobne ocene. Kot orodje pri vsebinski analizi finančne organizacije so primerne različne metode (npr. metoda CAMELS) (Podlesnik, 2000). Pri začetnih skrbnih pregledih finančnih organizacij je poudarek na likvidnosti, naložbah (kreditne in kapitalske naložbe) in upravljanju s tveganji. Izvede se tudi ustrezen pravni skrbni pregled (Mazovec, 2(H)1). Poleg zgoraj naštetih se v okviru začetnega skrbnega pregleda izvedejo še pregledi drugih poslovnih področij: ■ računovodstva z računovodskimi izkazi,
•	kreditnega portfelja,
•	upravljanja s tveganji,
•	mednarodnega poslovanja,
•	zaklad niš t va,
- analize poslovne mreže.
Poleg zgoraj naštetih področij je v zadnjem času vedno bolj pomemben tudi pregled delovanja infor-
macijskega sistema, ki je ključni faktor in glavni podporni člen za vse poslovne procese v sodobnih podjetjih.
2.2 Aktivnosti začetnega skrbnega pregleda
NLH je v zadnjih šestih letih izvedla več kot 30 začetnih skrbnih pregledov poslovanj finančnih družb v Evropi (predvsem v bankah v srednji in jugovzhodni Evropi). Tako se je razvila interna metodologija okvir, ki se uporablja za te aktivnosti.
Ravnateljstvo banke ob odločitvi o izvedbi začetnega skrbnega pregleda poslovanja ciljne finančne družbe Sprejme rokovnik aktivnosti in skupaj z vodjem začetnega skrbnega pregleda potrdi ekipo za pregled. V večini primerov je v ekipi za začetni skrbni pregled večje Število strokovnjakov za posamezna področja (5—15 strokovnjakov).
V nekaterih primerih ciljna finančna družba pripravi ustrezno dokumentacijo, ki jo združijo v tako imenovano podatkovno sobo (»dala room«). Člani ekipe pred začetnim pregledom pridobijo informacije o dokumentaciji, ki je zbrana v podatkovni sobi. Pripravijo tudi seznam dodatnih vprašanj in jih posredujejo ciljni finančni družbi, da ta do pregleda že pripravi odgovore.
Ce ciljna finančna družba nima podatkovne sobe, člani ekipe za začetni skrbni pregled posredujejo večje število vprašanj za posamezna področja in jih posredujejo ciljni finančni družbi, da ta pred pregledom pripravi ustrezno dokumentacijo.
Pred začetnim skrbnim pregledom pooblaščenec ravnateljstva banke ali vodja oziroma vsi člani ekipe začetnega skrbnega pregleda podpišejo izjavo o zaupnosti (»confidentiality agreement«) oziroma izjavo o nerazkritju informacij (»non disclosure agreement«).
Med začetnim skrbnim pregledom posamezni člani ekipe poskušajo po svojih metodah in izkušnjah pridobiti čim več podatkov in informacij, da si lahko ustvarijo mnenje o tem, koliko je »vredna« ciljna finančna družba. Za vsako področje se izvede tudi analiza prednosti, slabosti, priložnosti in nevarnosti (t. i. analiza SWOT).
Po opravljenem začetnem skrbnem pregledu Člani ekipe pripravijo vsak svoje poročilo. Administrator ekipe zbere poročila in jih združi v sklepno poročilo začetnega skrbnega pregleda. Ravnateljstvo banke se glede na to poročilo odloči, ali naj nadaljuje z aktivnostmi ali ne.
2008 - šlevilka 2 - lelnik XVI
tjF D ■ i i ■ i INFORMATIKA 117
Bošljan Delak Začetni skrbni pregledi 13 področje informacijskih sistemov v finančnih organizacijah
3 ZAČETNI SKRBNI PREGLED PODROČJA INFORMACIJSKIH SISTEMOV
Glavni cilj začetnega pregleda informacijskega sistema je pridobiti čim več informacij o kakovosti in učinkovitosti delovanja informacijske tehnologije, njihovih virih, dokumentaciji in procesih. j?ri tem je treba pridobiti informacije o stanju in učinkovitosti sistema internih kontrol (kakovost kontrolnega okolja delovanja informacijskega sistema) in pridobiti informacije o tveganjih na področju informacijskega sistema. Za vsa področja začetnega skrbnega pregleda je treba oceniti kakovost poročil, ki jih pripravi informacijska tehnologija zaradi ocenitve verodostojnost podatkov in stopnje tveganja zanašanja na informacije iz teh poročil.
Lahko bi ocenili, da je začetni skrbni pregled informacijskega sistema podoben revizijskemu pregledu delovanja informacijskega sistema v finančni družbi.
3.1 Načrt skrbnega pregleda
Pred začetnim skrbnim pregledom je treba pripraviti načrt pregleda, ki je podoben načrtu revizijskega pregleda (1SACA, 2004), Ta načrt vsebuje: ■ pregled pripravljene dokumentacije,
•	izpolnitev vprašalnika za analizo informacijskega sistema,
. izpolnitev drugih posredovanih vprašalnikov (statistika, lokalni cenik IT-komponent in storitev ...),
•	ogled prostorov informacijske tehnologije,
•	ogled drugih prostorov ciljne finančne družbe (pri tem se priporoča ogled najmanj dveh oddaljenih prostorov, če jih ciljna finančna družba seveda ima),
. pogovore z delavci v informacijski tehnologiji, . pogovore z uporabniki informacijskega sistema -lastniki posameznih procesov.
V	času pogovorov sogovorniki izpolnijo iudi vprašalnik o prednostih in slabostih informacijskega sistema, ki v 9 sklopih vsebuje več kol 50 vprašanj.
V	okviru načrta začetnega skrbnega pregleda se pripravi tudi seznam dokumentacije, ki jo je treba pregledati med začetnim skrbnim pregledom.
Okvirni seznam potrebne dokumentacije vsebuje:
•	poročila revizijskih pregledov (internih in ekster-nih),
•	strategijo, standarde, politike, poslovnike, procedure, navodila za delo in obrazce (za področje informacijske tehnologije in za področje varovanja informacij).
■	pogodbe (vzdrževalne, nabavne, svetovalne, dogovore o ravneh opravljanja storitev ...),
•	seznam vseh osnovnih sredstev informacijske tehnologije ter njihovo vrednost na dan 31. 12. preteklega leta oziroma na dan 30. 6. tekočega leta (odvisno od datuma pregleda),
- pregled stroškov informacijske tehnologije za zadnja tri leta,
■	pregled investicij informacijske tehnologije za zadnja tri leta,
•	seznam vseh licenc z navedbo števila posameznih licenc,
•	načrt izobraževanj sodelavcev informacijske tehnologije za tekoče leto,
■	načrt investicij in stroškov informacijske tehnologije za tekoče leto,
•	statistiko rasti/upadanja števila komitentov in njihovih posameznih storitev,
•	grafični prikaz organizacijskih enot družbe.
Če ima ciljna finančna družba že zbrano dokumentacijo v podatkovni sobi, je treba pred obiskom pridobiti seznam zbrane dokumentacije ter preveriti naslove z načrtovanim seznamom. Če kakšna dokumentacija manjka, je treba posredovati dodatna vprašanja v ciljno finančno družbo.
Če ciljna finančna družba nima podatkovne sobe, se ji pošlje seznam zgoraj navedene dokumentacije z zahtevo, da do začetnega skrbnega pregleda pripravi vso želeno dokumentacijo.
3.2 Izvedba začetnega skrbnega pregleda
Začetni skrbni pregled lahko razdelimo v dva dela. V prvem delu -času, namenjenem informacijski tehnologiji se izvedejo naslednje aktivnosti:
•	pregleda se pripravljena (zbrana) dokumentacija,
•	izpolni se vprašalnik za analizo informacijskega sistema v pogovoru z. vodjo - poslovodjem informacijske tehnologije,
■	organizira se ogled prostorov informacijske tehnologije,
m opravi se pogovor z nekaterimi delavci v informacijski tehnologiji, pri čemer se izpolni tudi vprašalnik o prednostih in slabostih informacijskega sistema. Če ni bila pripravljena vsa dokumentacija, se med pregledom poda zahtevo za pripravo ustreznih podatkov in izpiskov ali pa se omogoči vpogled v dodatno dokumentacijo.
V drugem delu - v času, namenjenem uporabnikom informacijskega sistema se izvedeta:
11S u p a h « H H A INFORMATIKA
2000 - številka 2 - Letnih XVI
Boštjan Oeiak Začetni skrbni pregledi za področje informacijskih sistemov v finančnih organizacijah
■	ogled nekaterih prostorov, ki niso v okviru organizacijske enote za informacijsko tehnologijo (če je le mogoče tudi ogled dislociranih enot),
■	pogovor z nekaterimi vodilnimi sodelavci (uporabniki informacijskega sistema v družbi), z lastniki posameznih poslovnih procesov in lastniki posameznih aplikacij oziroma aplikativnih modulov. Med pogovori se izpolni tudi vprašalnik o prednostih in slabostih informacijskega sistema.
Glede na čas, ki je na razpolago za pregled, se opravi čim več kontrol in čim bolj podrobna analiza tveganj.
3.3	Začetni skrbni pregled ter informacijska varnost in zaščita
V okviru začetnega skrbnega pregleda se ob izpolnitvi vprašalnika za analizo informacijskega sistema pregledajo politika, postopki, procedure in sistemska podpora za področje varnosti in zaščite informacij po 8S 7799 ter identificirajo odstopanja in pomanjkljivosti.
Kot dodatno orodje pri skrbnem pregledu lahko uporabimo tudi druge vprašalnike, ki se nanašajo na preverjanje skladnosti s standardom, npr. kontrolni vprašalnik za preverjanje skladnosti s standardom ISO 17799 (Zimšek, 2004), ali pa uporabimo 133 kontrol, ki jih navaja ISO 27001: 2005.
V času začetnega skrbnega pregleda se preveri tudi usklajenost z zakoni posamezne države, v kateri se nahaja organizacija, predvsem s stališča varovanja osebnih podatkov in organizacijskih zapisov, postopkov preprečevanja pranja denarja in drugih postopkov (npr. zaščita intelektualne lastnine) glede na obstoječo podporo informacijskih sistemov.
Vsa odstopanja se navedejo v končnem poročilu.
3.4	Začetni skrbni pregled ter operativna tveganja
Hitro spreminjajoče se okolje prinaša tveganja, ki od ciljne finančne družbe zahtevajo, da jih obvladuje učinkovito in nazorno. Tveganje obstaja tudi ob vnosu vsake spremembe v okolje informacijskega sistema. V okviru začetnega skrbnega pregleda je treba pregledali, če ciljna finančna družba zagotavlja ustrezno okolje za obvladovat t je operativnih tveganj. Pregledati je treba metodologijo, ki jo uporabljajo pri ocenjevanju tveganj, in izvedbo ustreznih zaščitnih ukrepov.
Podrobno se pregledajo naslednja področja in se ocenijo tveganja za:
• računalniško okolje (ta tveganja niso specifična za posamezno aplikacijo);
-	strategijo informacijske tehnologije in posamezne interne dokumente,
-	delovanje informacijskih sistemov (produkcijo),
-	odnose z zunanjimi dobavitelji (pogodbe, vzdrževalne pogodbe, sporazumi o ravni storitev ...),
-	varovanje informacij,
-	neprekinjeno poslovanje,
-	podporo omrežju, sistemom in podatkovnim bazam;
•	pregled kontrol v poslovnih procesih:
-	ali obstajajo zadostne kontrole, da je vsaka poslovna transakcija zabeležena samo enkrat, pravilno, popolno in pravočasno,
-	da zabeležene transakcije odražajo dejansko poslovno transakcijo,
-	da so poslovne transakcije pravilno povzele in temelj za poročanje poslovodstvu;
•	kontrole v informacijski tehnologiji, ki zagotavljajo:
ustrezno načrtovanje za zahteve informacijske tehnologije,
razporeditev zadostnih virov za učinkovito delovanje informacijske tehnologije,
-	projektno delo in razvoj ter implementacijo novosti,
-	učinkovit varnostni sitem na sistemskem in aplikativnem okolju.
V	večini primerov realiziranih začetnih skrbnih pregledov smo izvedli preglede manjših finančnih organizacij, z 250-400 ali manj zaposlenimi. Primerno številu vseh zaposlenih je tudi število strokovnjakov v sektorju (oddelku, skupini) za informacijsko tehnologijo. V primerjavi z informacijskimi sistemi slovenskih bank je število zaposlenih delavcev zelo majhno od dveh, treh do manj kot dvajset zaposlenih.
V	teli primerih je treba oceniti tveganja in preveriti prisotnost kontrol na področju:
•	dostopov do podatkov in sistemov - kdo sproži, kdo potrjuje, kdo realizira in kdo kontrolira za lite ve za posamezne dostope,
■	proces upravljanja zahtev za spremembe aplikativnih rešitev (kdo predlaga, potrdi, postavi prioritete, kdo testira in kako, kako se sprememba uvede v produkcijo, kako je dokumentiran celotni proces
-O,
•	delitev (segregacijo) dolžnosti v okolju informacijske tehnologije kako je urejeno in nadzorovano izvajanje določenih aktivnosti,
■	beleženja dogodkov način beleženja in hranjenja zapisov ter dostopa do teh podatkov,
20DB ■ Številka 2 - letnik XVI
updhabh* INFORMATIKA 11?
Bošljan Dela k: Začetni skrbni pregledi za področje informacijskih sistemov v finančnih organizacijah
•	varovanja zabeleženih informacij - preveriti procese izvajanja shranjevanja podatkov na magnetne medije in procedure ter postopke restavracije shranjenih podatkov,
•	preverjanja procedure in načrtov neprekinjenega poslovanja (če obstajajo),
•	odnosa do zunanjih dobaviteljev in načina njihovega oddaljenega dostopa.
■ obdelava odgovorov (tabela l in slika 1 - njihova samoocena je del tega poročila),
•	analiza tveganj (zelo visoka, visoka, srednja, nizka, zelo nizka),
. SVVOT-analiza,
•	sklep v. oceno stroškov in investicij ter vključenostjo strokovnjakov banke (lastnika) za predhodno obdobje 3-5 let.
3.5 Priprava poročila o začetnem skrbnem pregledu
Po pregledu zbrane dokumentacije, izpolnitvi vprašalnikov, ogledu prostorov in opravljenih pogovorih se pridobi dovolj informacij za pripravo zaključnega poročila, ki mora doseči tri glavne namene: informiranje, prepričevanje in akcije ( Tajnik, 2004).
Pripravi se dve poročili. Kratko poročilo ravnateljstvu banke je združeno v sklepno poročilo začetnega skrbnega pregleda. Po vsebini je podobno revizijskemu poročilu poslovodstvu, le da se doda področje, ki je potrebno za vrednotenje informacijskega sistema v pregledani ciljni finančni družbi. Posamezna poglavja tega poročila so: ■ podlaga za pregled, . povzetek ugotovitev, . ugotovljene podrobnosti, • priporočila,
. trenutna vrednost osnovnih sredstev informacijske tehnologije,
Tabela 1 Primer obdelane vprašalnika a prednostih in slabostih informacijskega sistema'
Odgovori
Skupine vprašanj	Inlormacijska tehnologija	Uporabniki
Produktivnost IT-centra	4.0	7.6
Sistemski razvoj	2.5	5.8
Sodelavci v IT-sektorju (oddelku/skupini)	-2.7	4.5
Kaknvnst obstoječega sistema	-1,3	4.6
Učinkovita uporaba tehnologij	2,3	5,6
Uporaba naprednih tehnologi|	- 3,5	3,7
Sudeluvanje (partnerstvo) i uporabniki	4,5	8.1
Varnost in zaščita podatkov	2,0	6.7
Pogled v bodočnost (v očeh vodstva!	1,5	4.6
1 Tabela prikazuje obdelane vprašalnike o prednostih in slabostih Informacijsko^ sistema v neki ciljni finantni družbi. Rezultati so potrdili slabo stanje infomiaoijskfcfia sistema. Poslovodstvo tanke |NLBI seje na iKKlI.ifv sklop nega poročila odloČilo, da ne nadaljuje z aktivnostmi.
Obdelava vprašalnika prednosti in slabosti IT
Produktivnost IT-cunt/a 10.0
Uporaba naprednih tehnologi;	Učinkovita uporaba tohnoloyij - informacijska lahnobgija * * uporabniki	— "' povpročje
Slika 1 Primer priltaza obdelave vprašalnika o prednostih in slabostih informacijskega sistema
120 ur a»* ii HA INFORMATIKA
Ü008 Številka2 - lelmkXVI
Boštjan DeUik Začetni skrbni pregledi za področje informacijskih sistemov v finančnih organizacijah
To poročilo je napisano poljudno brez tehničnih izrazov s poudarkom na oceni stanja informacijskega sistema, izpostavljanju tveganj in oceni potencialnih investicij - kapitalskih vlaganj v ciljno finančno družbo. Ravnateljstvo vlagatelja (NI.B) mora iz zaključnega poročita dobiti jasno in kratko informacijo o trenutnem stanju, odstopanjih in prihodnjih vlaganjih v informacijski sistem ter oceni potrebnih virov strokovnjakov vlagatelja (NI.B) za pomoč pri nadgradnji informacijskega sistema v primeru odločitve ravnateljstva in lastnikov o kapitalskem vlaganju.
Drugo poročilo je daljše in se ga napiše, kadar se ravnateljstvo in lastniki odločijo za nadaljnje aktivnosti - tj. za kapitalsko vlaganje. To poročilo je podrobnejše in se navezuje na krajšega, vendar je namenjeno predvsem poslovodstvu informacijske tehnologije pregledane družbe kot tudi družbe lastnika. Vsebuje naslednja poglavja:
■	povzetek,
•	uvod,
. trenutno stanje informacijskega sistema,
■	hitrost oziroma ažurnost obdelave podatkov, . obstoječa in manjkajoča programska oprema,
. trenutna vrednost in stroški informacijske tehnologije,
•	notranja in zunanja revizija informacijskih sistemov,
« priporočila, . SVVOT-analiza,
•	identificirane aktivnosti,
■	sklep,
•	priloge (izpolnjen vprašalnik za analizo informacijskega sistema, seznam aplikativnih modulov, ocena stroškov in investicij za naslednje petletno obdobje, topologija ciljne finančne družbe, obdelava odgovorov, groba ocena vključenosti strokovnjakov naročnika za harmonizacijo družbe).
a STROKOVNJAK ZA PREGLED INFORMACIJSKEGA SISTEMA
Sodelavec, ki v ekipi opravlja aktivnosti začetnega skrbnega pregleda informacijskega sistema, mora imeti bogate izkušnje na področju informacijskih sistemov, analitičnega ter metodičnega pristopa k pregledu.
Ni dovolj samo teoretično znanje, marveč so potrebne izkušnje, da lahko v kratkem času, ki je na voljo, izvede naslednje aktivnosti:
•	pregleda vso dokumentacijo,
•	opravi vse oglede in pogovore,
•	preveri določene kontrole,
■	opravi analizo,
■	pripravi ocene,
ter pridobi dovolj podatkov za pripravo informacij, ki jih posreduje vodstvu ekipe in ravnateljstvu banke za sprejem nadaljnjih odločitev.
Primerno je, da ima izbrani strokovnjak revizorska predznanja in izkušnje iz revizorskih pregledov, saj je začetni skrbni pregled za področje informacijskega sistema zelo podoben splošnemu revizijskemu pregledu delovanja informacijskega sistema v podjetju. Posamezne faze začetnega skrbnega pregleda in revizijskega pregleda so identične, in sicer:
•	plan,
•	izvedba pregleda,
•	poročanje,
•	zasledovanje izvajanja (do neke mere).
Poleg zgoraj navedenih izkušenj in lastnosti mora biti izbrani strokovnjak:
•	neodvisen - to pomeni, da je samozavesten, da razmišlja samostojno ter lahko dela sam, brez pomoči drugih; neodvisno mnenje o neki zadevi je opisano kot mnenje oseb, ki niso vpletene v zadevo ter so zato najbolj primerne za oblikovanje pravičnega in poštenega mnenja;
■	nepristranski to pomeni, da je neodvisen in se ne podreja mnenju drugih (ne sme se podrediti grožnjam ali podkupovanju);
•	pošten - to pomeni, da ne sklepa kompromisov, ki bi lahko vplivali na analizo;
. pismen - to pomeni, da se pisno izraža učinkovito, kakovostno in razumljivo;
•	i mi'ti mora smisel za opazovanje ■ to pomeni, da učinkovito opazuje in zaznava podrobnosti;
•	komunikativen - to pomeni, da se izraža razumljivo, zna poslušati in se izražati govorno. Glede na zgoraj našteta potrebna znanja, vrline in
veščine je najbolj primerno, da aktivnosti skrbnega pregleda za področje informacijskega sistema izvaja preizkušen revizor informacijskih sistemov,
V večini primerov smo izvedli preglede na lokaciji pregledovane družbe v treh do petih delovnih dnevih. Velik obseg aktivnosti in kratek rok zahtevata izredno usklajeno delovanje ekipe in velike izkušnje pri izvedbi Lakih aktivnosti.
Z0U8 - številka 2 - letnik XVI
UPHDABN1 INFORMATIKA 121
Bošt|an Gelak Začetni skrbni pregledi za področje informacijskih sistemov v finančnih organizacijah
5 SKLEP
Aktivnost skrbnega pregleda za področje informacijskega sistema je i/red no kompleksen proces, ki vsebuje analizo izredno široke palete področij sodobne informatike v ciljnih finančnih družbah,
Z razvojem informacijske tehnologije in njene podpore vsem poslovnim in podpornim procesom v finančnih organizacijah postaja začetni skrbni pregled izredno pomemben, Če ne ključni dejavnik pri odločanju in nadaljnjih aktivnostih ravnateljstva vlagatelja.
Sklepno poročilo začetnega skrbnega pregleda za področje informacijskega sistema mora podati podrobno in celovito informacijo o trenutnem stanju informacijskega sistema ter identificirati pomanjkljivosti na različnih področjih informacijskega sistema (o podpori produkciji, razvoju in vzdrževanju, podpori varnosti in varovanju informacijskih sredstev, podpori končnim uporabnikom ...), tveganjih in odstopanjih od določenih standardov, zakonodaje in predpisov v pregledani ciljni finančni družbi.
Glede na navedeno mora ravnateljstvo vlagatelja dobili tudi popolno informacijo o realni vrednosti obstoječega informacijskega sistema v pregledani ciljni finančni družbi ter dobiti oceno virov {čas, finančnih sredstev in potrebnih FT-strokovnj a kov) za nadgradnjo ciljne finančne družbe na ustrezno raven informacijskih sistemov vlagateljevih podjetij.
Informacija, ki jo dobi ravnateljstvo vlagatelja iz zaključnega poročila, ¡e podlaga pri nadaljnjih aktivnostih - pogajanjih o nakupni vrednosti ciljnega podjetja.
l/iri in literatura
[ t ] CJSA Review Manual 2005 - ISACA (Informaction System Audit and Control Association) - ISBN 1-893209-80-6.
2004.
12] FITCH, P Thomas:
Dictionary of banking Terms 2nd Edition, Barron s Educational Series - ISBN 0-8120-1530-4, 1993, str. 207.
t3] MAZOVEC, Frane:
Pravni Due Diligence, Pripravniška naloga NLB d.d., Ljubljana, 200)
[4f PODi.ESNIK, Bogdan-
Vsebinska analiza poslovne banke, Zbornik referatov, 6. strokovno posvetovanje o bančništvu - Analiza bančnih tvegani, Portorož, 2000. 15] TAJNIK. Franci.
Revizijsko poročanje in uporaba COBIT metodologije, Zbornik referatov, 12, mednarodna konferenca o revidiranju in kontroli informacijskih sistemov, Čatež ob Savi, 2004, str. 241-251.
[6] ZIMŽEK, Andrej:
Kontrolni vprašalnik za preverjanje skladnosti s standardom ISO 1799, elektronska verzija na spletni strani Slovenskega inštituta za revizijo - Slovenskem odseku ISACA.
(http://www si-reviziia.si/isaca/slo/download.shtml). 2004.
Boštjan Oelak je diplomiral in magistriral na Fakulteti za elektrotehniko Univerze v Ljubljani. Ima več kot petindvaiset let izkušeni pn uporabi informaci|ske tehnologije v raznovrstnih poslovnih sistemih. Zaposlen je v Novi Ljubljanski banki, d d., kot svetovalec direktona upravljatskega centra za informacijsko tehnologijo, pri čemer izvaja aktivnosti IT koordinacije v skupini NLB Izvedel je več kot 25 začetnih skrbnih pregledov in več kot 40 podrobnih skrbnih pregledov informacijskih sistemov v finančnih organizacijah v 15 drŽavah osrednje in |užne Evrope Je tudi preizkušen revizor informacijskih sistemov Predhodne zaposlitve: v IBM 5loveni|a je pnstavil in vodil center za hančništvo za nsrednjn in vzhndnn Evrupu: v Intertradu |e sodeloval pn projektih v bančništvu in adjedelnialvu, v ISKRI Avtumatiki |e programiral procesne sisteme za različne informacijske sisteme v industriji
122 VPOBiSNA INFORMATIKA
2008 - številka 2 - letnik XVI