Nadzor i revizija IT projekata u državnoj i javnoj upravi

Zamislite kako bi bilo dobro napraviti jednu sveobuhvatnu reviziju IT projekata u državnoj i javnoj upravi. Zamislite kakve bi rezultate polučila jedna proaktivna mjera, obaveza postavljanja nadzora nad IT projektima čiji je ugovoreni iznos veći od npr. milijun kuna? Kako bi bilo dobro imati više iskusnih i školovanih voditelja projekata u našim ministarstvima, koji bi IT projektima upravljali u skladu s međunarodnim najboljim praksama i tako osigurali veći postotak njihove uspješnosti?

Ne bi li se time smanjila potreba za dodatnim trošenjem novaca na ispravke, promjene i nadogradnje? Ili što bi se tek dogodilo kad bismo imali još i jasno definiranu obavezu procjene i upravljanja rizicima, bar kritičnih IT projekata? I jasna pravila njihovog planiranja, nabave, ugovaranja? Je li bi se osiguralo bar malo pametnije i pažljivije trošenje novca poreznih obveznika? Ja mislim da bi.

Samo spominjanje IT revizije i obaveznog nadzora IT projekata u državnoj i javnoj upravi izaziva kolutanje očima. Prvo se postavlja pitanje tko će to raditi, a odmah zatim kako će to raditi. Isto tako, kome je to zapravo u interesu? Svima nam je u interesu.

Obavezu unutarnje revizije, uključujući IT revizije, već definira Zakon o sustavu unutarnjih financijskih kontrola u javnom sektoru: “Unutarnja revizija:  a) obuhvaća sljedeće faze: procjenu rizika, planiranje, obavljanje revizije, izvješćivanje i praćenje provedbe danih preporuka, b) obavlja se u načelu kroz reviziju sustava, reviziju usklađenosti, reviziju uspješnosti poslovanja, financijsku reviziju i reviziju IT sustava“.

Nije samo revizija problematična. Sama ideja jače i strože kontrole nad trošenjem tih skoro milijardu kuna godišnje na “državni i javni IT“ izaziva zabrinutost s obje strane stola. Kako će onda “key account manager“ uz ručak dogovoriti unosan posao?

Kako će korisniku prodati ono što mu možda i ne treba ne bi li dobio veći bonus, ako s druge strane ima propisanu jasnu kontrolu planiranja, nabave i ugovaranja? Nije jednostavno. Unosi probleme, zavrzlame, mora se nešto dokumentirati, ne samo to, netko će to i pregledati. Ne samo unaprijed, i u tijeku. Čak i unazad! I onda se može nametnuti misao, pa to je sve još jedno dodatno kočenje i trošenje novaca, nije li jednostavnije ovako kako je sad? Pa nema veze što je preskupo, sve to “država plaća“.

Ovdje mogu dodati dvije stavke: kočnice ovakvog tipa su u svrhu bržeg, sigurnijeg, učinkovitijeg i isplativijeg kretanja. I automobil treba kočnice kako bi se sigurno kretao. A državni novac nije državni, već naš novac. Problem je što nekim čudom mnogi ljudi to još uvijek ne razumiju.

Imamo i svijetlih primjera, u vidu EU financiranih projekata, projekata financiranih od strane Svjetske Banke i slično. Tamo su jasno postavljena pravila igre - kako se planiraju projekti, kako se uvodi nadzor, kakvi se izvještaji zahtijevaju, kakve su posljedice kršenja pravila. I uredno se takvi projekti izvršavaju u našim ministarstvima, agencijama, zavodima i ostalim tijelima. Kad se mora, može se.

Zašto ne bi moglo i kad nas na to ne tjera nitko izvana, kad i sami znamo da tako trebamo, kad i sami želimo da se naš novac pametno uloži, a ne baca? Privatne tvrtke jako pažljivo raspolažu svojim novcem i pod normalno na svoje kritične projekte implementiraju ovakve mehanizme. Financijski sektor već godinama uredno ispunjava zahtjeve regulative koja traži da se redovito provodi revizija IT-a i o tome izvještava regulatora, da se učinkovito upravlja rizicima vezanima uz IT, da se kontrolira učinkovitost implementiranih rješenja. Dobre prakse već postoje, treba ih proučiti, prilagoditi i primijeniti. Što je još potrebno napraviti za konkretan korak u tom smjeru?