Vještačka inteligencija (Artificial Intelligence – AI), automatizacija, kao i nekoliko tehnologija, kao što su blokčejn (blockchain) i računarstvo u oblaku (cloud) rapidno mijenjaju reviziju. Naime, korišćenjem AI i automatizacije sada je moguće dobiti veći broj podataka iz različitih izvora iz kojih je moguće analizirati različite odnose i trendove, ocjenjivati rizik, promene na tržištu i slično, objašnjava u razgovoru za Biznis.rs Zoran Perišić, senior IT revizor u kompaniji Moore Stephens.
Međutim, prema njegovim riječima, veliki broj podataka sa sobom nosi i potrebu korišćenja naprednih softverskih alata koji će vršiti analizu tako velikog broja podataka.
„Pored prednosti koje donose nove tehnologije, tu su i direktni i indirektni izazovi. Direktni izazovi ogledaju se u obezbjeđenju privatnosti, povjerljivosti, integriteta i operativnog upravljanja revizijom. Indirektni izazovi se odnose na obezbjeđenje adekvatnih sposobnosti revizora da realizuje angažman“, objašnjava on.
Perišić navodi da efektivna primjena AI podrazumijeva pristup velikoj količini podataka koji uključuju i povjerljive podatke, što u odnosu sa klijentima često stvara problem, kako iz ugla obezbjeđenja pristupa uz poštovanje regulative, tako i iz perspektive skorašnjih dešavanja u vezi sa javnim objavljivanjem privatnih podataka raznih korporacija kao posljedice neadekvatne konfiguracije informacionog sistema ili maliciozne djelatnosti internih ili eksternih aktera. Sve ovo uslovljava da revizori prilikom angažmana moraju da kod analize rizika uključe i rizike koji se odnose na pomenute segmente.
„Poseban problem kod primjene AI ogleda se u tome da li su dobijeni podaci možda bazirani na pogrešnim pretpostavkama, pošto ovakvi sistemi „uče“ u odnosu na podatke koje obrađuju. Na primjer, ako su ulazni podaci pretežno jedne vrste postoji velika vjerovatnoća da će jedan mali dio podataka druge vrste biti razmatran kao da je pretežnog tipa. Kako bi se izbegle pomenute situacije potrebno je razmotriti i da li sistem koji pruža podatke poseduje još neke dodatne kontrole radi verifikacije podataka na ulazu i izlazu“, ističe Perišić.
Primjena AI i automatizacije donosi i indirektne izazove koji se odnose na obezbjeđenje adekvatnih sposobnosti revizora da realizuje angažman, ali i omogućava da revizor manje vremena provodi u prikupljanju, korelaciji, formatiranju i sumarizaciji podataka, a više na analizi dobijenih podataka.
Kako ocjenjuje Perišić, da bi revizor razvio potrebne analitičke sposobnosti potrebno je da usvaja tehnička znanja koja se odnose na vizualizaciju i interpretaciju podataka.
„To ne znači da revizor treba da ima detaljna tehnološka saznanja, već da poznaje aktuelne tehnologije koje mu mogu pomoći u interpretaciji dobijenih rezultata iz ogromne količine podataka, a da se pri tome kritički odnosi u odnosu na njih“, kaže senior IT revizor.
On podsjeća i da je nekoliko sjvetskih revizorskih kuća već objavilo da je izvršilo akviziciju renomiranih IT kompanija kao svoj odgovor u odnosu na sve veći upliv tehnologije u sektor revizije.
Inače, IT revizija u suštini podrazumijeva procjenu upravljanja IT sistemom, odnosno njegovu usklađenost sa korporativnim upravljanjem, vizijom, misijom i ciljevima. Cilj revizije je identifikacija rizika i slabosti, implementacija kontrola u odnosu na identifikovane rizike i slabosti, unaprjeđenje procedura, usklađivanje sa regulatornim zahtjevima, obezbjeđenje poverljivosti, integriteta i dostupnosti podataka, itd.
„Da bi IT revizija ostvarila svoj cilj u okviru nje se realizuju različiti testovi logičkih i fizičkih kontrola, kontinuiteta poslovanja, procedura oporavka, evaluacija strategije razvoja, kao i evaluacija organizacije i rada organizacione cjeline nadležne za informacioni sistem. Sve ovo se realizuje kroz intervjue, analizu dokumentacije i neposredno sagledavanje IT sistema. U zavisnosti od primarnog cilja IT revizije, za realizaciju se koristi odgovarajuća metodologija poput Cobit, ITIL…“, objašnjava Zoran Perišić.
On ističe da se značaj IT revizije ogleda u tome da pruža razumnu uvjerljivost da je IT sistem adekvatno zaštićen, da pruža pouzdane informacije korisnicima i da se njime na adekvatan način upravlja kako bi podržao misiju i viziju organizacije.