Kibernetička sigurnost – kako tematski zahtjev oblikuje praksu interne revizije?
Rizik kibernetičke sigurnosti je, prema Risk in Focus 2026, za interne revizore najveća prijetnja te
dominantan rizik za organizacije. Najveća aktivnost funkcije interne revizije je upravo usmjerena na
aktivno praćenje i ublažavanje kibernetičkih rizika. Kibernetički napadi su danas sve kompleksniji, dok
napredne tehnologije uz primjenu umjetne inteligencije čine rizik kibernetičke sigurnosti dinamičnim,
stoga se obrambene metode konstantno trebaju ažurirati. Upravo rast digitalizacije, umjetne
inteligencije te geopolitičke nestabilnosti povećavaju važnost angažmana s izražavanjem uvjerenja
kibernetičke sigurnosti, kao i savjetodavne uloge funkcije interne revizije. S obzirom da kibernetički
incidenti mogu imati ozbiljne posljedice kroz narušavanje povjerljivosti podataka, prekide u radu
te financijske i reputacijske gubitke, funkcija interne revizije mora osigurati da organizacija ima
učinkovite i obrambene kontrolne mehanizme. S obzirom na važnost kibernetičkog rizika, Institut
internih revizora objavio je „Tematski zahtjev za kibernetičku sigurnost“. Navedeni tematski zahtjev
stupa na snagu 5. veljače 2026. godine, a primjenjuje se kada je rizik kibernetičke sigurnosti uključen
u plan interne revizije, kada je rizik kibernetičke sigurnosti prepoznat tijekom angažmana ili postaje
predmet angažmana izvan prvobitnog plana. Tematski zahtjev za kibernetičku sigurnost pruža
dosljedan i sveobuhvatan okvir za procjenu dizajna i provedbe upravljanja kibernetičkom sigurnošću,
upravljanja rizicima i kontrolnih procesa. Utvrđeni zahtjev predstavlja minimalnu osnovu za ocjenu
razine kibernetičke sigurnosti unutar organizacije te je obvezan za primjenu u kombinaciji s Globalnim
standardima interne revizije. Za interne revizore, tematski zahtjev formalizira pristup interne revizije
kibernetičke sigurnosti kako bi se osigurala kvaliteta, dosljednost i profesionalna izvrsnost funkcije
interne revizije.
Opasnosti od rizika prijevara uposlovanju*
U svim poslovnim modelima, bez obzira jesu li u pitanju modeli iz realnog ili financijskog sektora, sve
su prisutniji, invazivniji i agresivniji rizici prijevara. To je posljedica sve veće uključenosti neizbježne
digitalizacije u poslovanju tvrtki. Ipak, ovisno u sektorskoj pripadnosti i poslovnim modelima
prijevare se mogu razlikovati. Svakako, digitalne prijevare su najveća opasnost koju treba detektirati
na vrijeme. Upravo uloga internih revizora je maksimalan fokus na rizike prijevara. U članku su
obrađene tipične aktualne prijevare o kojima treba jako voditi računa i na koje se interna revizija
tvrtki mora fokusirati.
Interna revizija umjetne inteligencije – principi i primjena
Rast korištenja umjetne inteligencije (AI) u poslovnim procesima donosi brojne prednosti poput
poboljšanja efikasnosti, automatizacije te obrade velike količine podataka. Međutim, AI donosi i
brojne rizike. U ovom članku će se obraditi osnovni modeli AI, trendovi u regulaciji te uloga interne
revizije u pružanju uvjerenja da su rizici AI identificirani te da su kontrole primjereno postavljene. Porast
rizika koji rezultiraju iz rasta primjene AI prepoznali su i regulatori pa je tako Europska unija u svibnju
2024. usvojila Akt o umjetnoj inteligenciji (EU AI Act) kojim kategorizira sustave AI prema razini rizika
uvodeći stroge pravne zahtjeve za visokorizične sustave. S ciljem ispunjavanja svoje misije, interna
revizija mora biti u tijeku s rapidnim razvojem ove tehnologije i rizika koji proizlaze iz njene primjene.
Kako bi se mogli pravodobno pozicionirati te pružati uvjerenje i savjetodavne usluge pri uvođenju
i implementaciji sustava AI, interni revizori se moraju educirati i kontinuirano obnavljati znanja o
AI. Ključno je razumijevanje rizika koji proizlaze od upotrebe sustava AI, poznavanje regulatornih
zahtjeva i trendova te internih kontrola koje navedene rizike dovode na primjerenu razinu. Benefiti
uvođenja umjetne inteligencije su primamljivi za društva i menadžment, stoga interna revizija mora
biti glas koji će ne samo upozoravati i educirati sve dionike na potencijalne rizike, nego i strateški
partner koji će davati konkretne savjete kako bi zaštitila društva od negativnih aspekta uvođenja AI.
Interna revizija investicijskih fondova
Financijski sustav ima ključnu ulogu u poticanju gospodarskog rasta zemlje pa je njegova stabilnost i
efikasnost od iznimnog značaja. Visok stupanj reguliranosti i velika potreba za upravljanjem rizicima
karakteristična je za sve sudionike financijskog sustava te ujedno i jedan od načina osiguranja njegove
efikasnosti i stabilnosti. Ustrojavanje interne revizije kao funkcije koja osigurava podršku organizaciji
u unaprjeđenju sustava upravljanja rizicima i sustava internih kontrola predviđeno je zakonima koji
uređuju poslovanje financijskih institucija.
Zakoni koji uređuju poslovanje kreditnih institucija i mirovinskih društava propisuju obvezu
ustrojavanja funkcije interne revizije dok zakoni koji uređuju poslovanje osiguravajućih društava i
društava za upravljanje investicijskim fondovima ostavljaju mogućnost da organizacija sama procijeni
je li razmjerno prirodi, opsegu i složenosti poslovanja potrebno ustrojiti funkciju interne revizije.
Cilj ovoga članka je istražiti koliko je društava za upravljanje investicijskim fondovima u Republici
Hrvatskoj ustrojilo funkciju interne revizije te koji su to kriteriji prema kojima se donosi odluka o
njezinom ustrojavanju. Svrha članka je opisati mehanizme unutarnjih kontrola, zadatke i odgovornosti
funkcije interne revizije u industriji investicijskih fondova. Podaci za provedbu istraživanja prikupljeni
su metodom anketnog upitnika, a rezultat istraživanja prikazan je u zadnjem poglavlju ovoga članka.
Kibernetička sigurnost – Kako učinkovito upravljati i mjeriti ključni rizik u 2024. godini?
Kibernetička sigurnost predstavlja ključni poslovni rizik u 2024. godini. Prema Risk in Focus 2024.,
kibernetička sigurnost zadržava svoje dugogodišnje prvo mjesto: 84 % ispitanika šestu godinu
za redom izjasnilo se da je kibernetička sigurnost poslovni rizik broj jedan. Također, unatoč
kontinuiranom porastu prirodnih katastrofa povezanih s klimatskim promjenama, stalnim učincima
postpandemije i rastućoj nejednakosti, poslovni lideri su prema istraživanju PWC-a (2023.) rangirali
digitalne i tehnološke faktore kao najveće rizike kojima daju prioritet za ublažavanje u sljedećih 12
mjeseci. Kibernetičke prijetnje (zlonamjerni softver, internetski napadi, phishing, napadi na web
aplikacije, spamovi, uskraćivanje usluga, krađa identiteta, kršenje podataka, curenje informacija,
cyber špijunaža itd.) s kojima se susrećemo svakodnevno primarno kroz neovlašteni pristup, objavu
povjerljivih podataka, izmjenu informacija, uništavanje dokumenata te uskraćivanje usluga posljedice
su neadekvatnog upravljanja kibernetičkom sigurnošću. No ipak, prema Risk in Focus 2024., svijest
kod upravljačkih tijela i menadžmenta je visoka jer moraju osigurati da su njihove organizacije
otporne na tehnološke izazove, kao što je umjetna inteligencija te moraju biti spremni i imati talenta
za suočavanje sa širokim rasponom novih propisa o kibernetičkoj sigurnosti i sigurnosti podataka.
Prema Modelu tri linije, učinkovito upravljanje rizikom kibernetičke sigurnosti organizirano je u tri
linije, kroz funkciju IT-a, CISO-a i interne revizije, dok su upravljačka tijela odgovorna za nadziranje
rizika kibernetičke sigurnosti. Autor u članku ističe ulogu i važnost svih sudionika i linija u učinkovitom
upravljanju kibernetičkom sigurnošću, posebno ističući ulogu CISO-a i interne revizije, kao i važnost
njihove suradnje. Također, autor daje prikaz učinkovitog mjerenja rizika kibernetičke sigurnosti prema
ISO 27005:2022, kroz identifikaciju, analizu i procjenu rizika kibernetičke sigurnosti.