Računovodstvo i financije, Broj 12, Godina 2017

54 Računovodstvo i financije 12/2017. REVIZIJA ͳ interna revizija Prof. dr. sc. BORIS TUŠEK Ekonomski fakultet, Zagreb PETRA HALAR, mag. oec. Zagreb Stručni članak UDK 657.6 1. UVOD Poduzećima nikada nije unaprijed bio osiguran rast, razvoj i op- stanak na tržištu, što je posebice naglašeno u današnjem, iznimno konkurentnom, nestabilnom i visokorizičnom okruženju obilježenom stalnom potrebom za diferencijacijom i razlikovanjem od konkuren- cije. Poduzeća se nastoje razlikovati i ostvariti održivu konkurent- sku prednost putem uvođenja tehnoloških inovacija, intenzivne upotrebe računala i informacijsko-komunikacijskih tehnologija te uvođenjem novih trendova povezanih s digitalnim transformacijama, računalstvom u oblaku, internetom stvari, velikim podacima, kako bi što učinkovitije i na najbolji mogući način zadovoljili potrebe svojih sve zahtjevnijih klijenata, kupaca i svih ostalih interesno-utjecajnih skupina. Navedeni trendovi dovode do pojave novih, rastućih i sve opasnijih rizika za poslovanje poduzeća povezanih s cyber sigurnošću. Uslijed toga, poduzeća moraju iz korijena mijenjati dosadašnji način upravljanja poslovanjem, način upravljanja rizicima i uspostavljen sustav internih kontrola kako bi se prilagodili suvremenom načinu po- slovanja i izbjegli negativne, štetne financijske i nefinancijske utjecaje na poslovanje i konkurentsku poziciju na tržištu. Drugim riječima, da bi to mogla postići, poduzeća moraju uspostaviti učinkovit i djelotvo- ran model tri linije obrane za učinkoviti proces upravljanja rizicima cyber sigurnosti i kontrole. U ovom radu se detaljno prikazuju uloge, ovlasti i odgovornosti funkcija sve tri linije obrane za učinkoviti proces upravljanja rizicima cyber sigurnosti i kontrola kroz prikaz sadržaja i smjernica Praktičnog vodiča - Vodiča za reviziju globalne tehnologije pod naslovom „Procje- njivanje rizika cyber sigurnosti - Uloga modela tri linije obrane“ 1 kojeg je Institut internih revizora (The IIA Global) objavio 16. rujna 2016. godine s ciljem poboljšavanja i povećanja djelotvornosti upravljanja rizicima na razini cjelokupnog poduzeća s posebnim naglaskom na unaprjeđenju procjenjivanja novih rizika i prijetnji povezanih s cyber sigurnošću s kojima se susreću sve tri linije obrane. 2. FUNKCIONIRANJE MODELA TRI LINIJE CYBER OBRANE PREMA NOVOM MEĐUNARODNOM OKVIRU PROFESIONALNOG DJELOVANJA Interna revizija, kao sastavni dio revizijske profesije, ne može funkcionirati „bez vlastitih „pravila igre“ kao bitne pretpostavke profesionalnog obavljanja revizijskog posla. U tom smislu uloženi su napori u oblikovanje i razradu cjelokupnog Međunarodnog okvira profesionalnog djelovanja kojeg je objavio Institut internih revizora 1 The Institute of Internal Auditors (2016) Assessing Cybersecurity Risk - Roles of the Three Lines of Defense. IPPF: Supplemental Guidance - Practice Guide - Global Technology Audit Guide (GTAG). Altamonte Springs, Florida: The IIA. Institut internih revizora (The IIA Global) je u rujnu 2016. godine objavio Dodatnu smjernicu, Praktični vodič - Vodič za reviziju globalne tehnologije pod naslovom „Procjenjivanje rizika cyber sigurnosti - Uloga modela tri linije obrane“ koji, prema novom i poboljšanomMeđunarodnom okviru profesionalnog djelovanja iz 2015. godine, čini dio Preporučenih smjernica. Svrha Praktičnog vodiča - Vodiča za reviziju globalne tehnologije je poboljšavanje i povećanje djelotvornosti procesa upravljanja rizicima na razini cjelokupnog poduzeća s posebnim naglaskom na unaprjeđenju procjenjivanja novih rizika cyber sigurnosti i povezanih prijetnji koje se pojavljuju. Autori u radu prikazuju ključne smjernice Vodiča koji, između ostaloga, određuje ulogu operativnogmenadžmenta kao „vlasnika cyber rizika“ i prve linije obrane, uloge funkcija upravljanja cyber rizicima i nadzora usklađenosti kao druge linije obrane te ulogu funkcije interne revizije kao treće linije obrane od rizika cyber sigurnosti odnosno u radu se prikazuju i detaljno opisuju uloge, ovlasti i odgovornosti prve, druge i treće linije obrane za učinkoviti proces upravljanja rizicima cyber sigurnosti i kontrole. Prema tome, namjera Vodiča nije osiguravanje neposrednog postizanja usklađenosti s Međunarodnim standardima za profesionalno obavljanje interne revizije, već je to svrha druge razine smjernica, Provedbenih smjernica. Model tri linije obrane za učinkoviti proces upravljanja rizicima cyber sigurnosti i kontrole

RkJQdWJsaXNoZXIy NTQ2NTE3