Transformacja systemu kontroli wewnętrznej w dobie ......14) dyskusji z zarządem i biegłymi rewidentamint. poprawności i kompletności informacji zawartych w sprawozdaniach finansowych

19.11.2020 r. Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k.

Transformacja systemu kontroli wewnętrznej w dobie digitalizacji Jak osiągnąć większe korzyści dla organizacji dzięki usprawnieniu mechanizmów

kontrolnych?

Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 2Transformacja systemu kontroli wewnętrznej w dobie digitalizacji

Spis treści

Wpływ Covid-19 na komponenty COSO: środowisko kontroli, analizę ryzyka, czynności kontrolne, system informacyjny oraz działania monitorujące 12

02

Czy nowe zasady raportowania wymagają wdrożenia nowych mechanizmów kontrolnych 2003

Mechanizmy kontrolne w systemach informatycznych jako istotny element środowiska kontroli wewnętrznej 24

04

01 Oczekiwania wobec Komitetów Audytu w obszarze środowiska kontroli wewnętrznej 4

01

02

03

04

05 Przedstawienie dobrych praktyk dotyczących dokumentacji kontroli 31

06

Prezentacja narzędzia Workiva – Internal Controls Management – nowoczesnego rozwiązania w zakresie zarządzania kontrolami wewnętrznymi, które łączy informacje o ryzyku i kontroli wewnętrznej w organizacji 37

05

06


02

03

04

05

06

Prowadzący

01

Adam Czechanowski

Partner Associate, Audit & Assurance

+48 664 199 804 [email protected]

Barbara GryszkoDyrektor, Audit & Assurance+48 603 994 639

[email protected]

Tomasz Borowy

Dyrektor Zespół Zarządzania Ryzykiem, Konsulting

+48 500 33 65 65 [email protected]

Konrad Pszenny

Partner Associate, Zespół Zarządzania Ryzykiem, Konsulting


Bożena Horbowicz

Senior Manager, Audit & Assurance


tel:+48664199804

mailto:[email protected]

tel:+48603994639


mailto:%[email protected]

tel:+48500336565


tel:+48664199172


tel:+48603994639



Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 4Transformacja systemu kontroli wewnętrznej w dobie digitalizacjiTransformacja systemu kontroli wewnętrznej w dobie digitalizacji Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 4

Oczekiwania wobec Komitetów Audytu w obszarze środowiska kontroli wewnętrznej

01

02

03

04

05

06


Zgodnie z Ustawą o rachunkowości:

Kierownik jednostki oraz członkowie rady nadzorczej lub innego organu nadzorującego są zobowiązani do zapewnienia, aby sprawozdaniaspełniały wymagania przewidziane w ustawie. (Art. 4a. ust. 1)

Ponadto: odpowiadają solidarnie wobec spółki za szkodę wyrządzoną działaniem lub zaniechaniem stanowiącym naruszenie powyższegoobowiązku. (Art. 4a. ust 2)

Zapisy w księgach: kompletne, poprawne, rzetelne oraz odpowiednio udokumentowane.

Kto odpowiada? - Zadania w obszarze kontroli

01

02

03

04

05

06

Osiągnięcie tego celu wymaga skutecznego systemu kontroli wewnętrznej oraz właściwego zarządzania ryzykiem w procesie sprawozdawczości finansowej.

Rozporządzenie Ministra Finansów z 29 marca 2018 r. w sprawie informacji bieżących i okresowych, przekazywanych przez emitentów papierów wartościowych zawiera podstawowe wskazówki co do treści oświadczenia o stosowaniu ładu korporacyjnego w spółkach publicznych(§ 70 ust. 6 pkt. 5; lit c)) m.in.:

• Opis głównych cech stosowanych w spółce systemów kontroli wewnętrznej i zarządzania ryzykiem w odniesieniu do procesu sporządzania jednostkowego i skonsolidowanego sprawozdania finansowego.

Obowiązek powołania Komitetu Audytu Ustawa z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym(Art. 128)

W niektórych przypadkach pełnienie funkcji komitetu audytu w celu wykonywania obowiązków komitetu audytu może zostać powierzone radzie nadzorczej lub innemu organowi nadzorczemu lub kontrolnemu jednostki zainteresowania publicznego.


Efektywne zarządzanie ryzykiem.

Wspomaga identyfikację i przyczynia się do ograniczenia

ryzyka nadużyć.

Wsparcie przy spełnieniu obowiązujących przepisów

prawa

i wymogów sprawozdawczych.

Usprawnienie procesów biznesowych np. poprzez

zmniejszenie ryzyka błędów i przeoczeń.

Optymalizacja czynności kontrolnych.

Bardziej rzetelna informacja finansowa, która jest

podstawą trafniejszych decyzji.

Efektywniejsze wykorzystanie zasobów.

Skrócenie czasu zamknięcia okresu i sporządzania

raportów finansowych.

01

02

03

04

05

06

Konsekwencje i ryzyka nieprawidłowo funkcjonującego środowiska kontroli

Konsekwencje

Błędne decyzje

Sankcje

Nadużycia / Oszustwa

Utrata reputacji i zaufania

Zablokowanie / utrata zasobów

Wyższe koszty

działania

Korzyści jakie niesie ze sobą dojrzalsze środowisko kontroli wewnętrznej


Do zadań komitetu audytu należy w szczególności:

1) Monitorowanie

a) procesu sprawozdawczości finansowej

b) skuteczności systemów kontroli wewnętrznej i systemów zarządzania ryzykiem oraz audytu wewnętrznego, w tym w zakresie sprawozdawczości finansowej.

Zadania Komitetu Audytu w obszarze kontroli

01

02

03

04

05

06

Zgodnie z Art. 130 Ustawy z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym

Wymogi regulacyjne oraz ze strony inwestorów i Zarządów budują wysokie oczekiwania wobec Komitetu Audytu w obszarze kontroli wewnętrznej.


Dobre praktyki w sprawie realizacji zadań (ustawowych) przez Komitet Audytu

Dobre praktyki dla jednostek zainteresowania publicznego dotyczące zasad powoływania, składu i funkcjonowania Komitetu Audytu z dnia 24 grudnia 2019 r. opublikowane przez Urząd Komisji Nadzoru Finansowego (UKNF):

1. Monitorowanie procesu sprawozdawczości finansowejDziałania w zakresie:…12) monitorowania skuteczności wdrożonych kluczowych procedur kontrolnych w zakresie sprawozdawczości finansowej,w tym proponowanych działań naprawczych, …14) dyskusji z zarządem i biegłymi rewidentami nt. poprawności i kompletności informacji zawartych w sprawozdaniach finansowych dot. m.in..: …b) omówienie informacji o znaczących ustaleniach badania, w tym wszelkich znaczących słabościach kontroli wewnętrznejzidentyfikowanych przez biegłego rewidenta w trakcie badania, …

Ocena ryzyka? Znaczące słabości kontroli wewnętrznej

Materialny wpływ na sprawozdanie finansowe? Nieznaczące słabości kontroli wewnętrznej

01

02

03

04

05

06



2. Monitorowanie skuteczności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem

Działania dotycząca systemów kontroli wewnętrznej:nadzoru nad skutecznością systemów kontroli wewnętrznej, uzyskiwania informacji w zakresie kontroli wewnętrznej, dokonywania przeglądu wyników działania systemu, weryfikacji jego adekwatności i efektywności; proponowania ulepszeń procedur, wskazania obszarów, które wymagają bardziej szczegółowej kontroli; zobowiązania kadry zarządzającej do udokumentowania przebiegu procesu sprawozdawczości finansowej oraz określenia i oceny kluczowych procedur kontrolnych celem zapewnienia, iż sprawozdania finansowe oraz raporty zarządcze i finansowe, są rzetelne i wolne od istotnych błędów, weryfikacji wyników oceny procesów finansowo-księgowych oraz kluczowych procedur kontrolnych oraz proponowanych działań naprawczych.

01

02

03

04

05

06

WŁAŚCIWA DOKUMENTACJA KONTROLI WEWNĘTRZNEJ



3. Monitorowanie skuteczności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem c.d.

Działania dotyczące audytu wewnętrznego:Szereg szczegółowych działań związanych z przeglądem, monitorowaniem i nadzorowaniem funkcji audytu wewnętrznego (np. opiniowanie planu audytów, przegląd wyników działania, otrzymywanie podsumowania działań podejmowanych w celu realizacji wydanych rekomendacji, niezależności, zgodności z przepisami prawa i standardami audytu wewnętrznego etc.)Pozostałe działania:monitorowania istotnych zmian w procesach finansowo-księgowych, nadzoru nad outsourcingiem procesów,otrzymywania od kadry zarządzającej informacji o zwiększonej ekspozycji na istotne ryzyka, o sposobie identyfikacji i monitorowania ryzyka, dokonywanie oceny działań podjętych w celu ograniczenia tego ryzyka; otrzymywania okresowych raportów dot. istotnych nadużyć oraz plan zabezpieczający przed powtórzeniem się podobnych sytuacji.

01

02

03

04

05

06

WŁAŚCIWA DOKUMENTACJA AUDYTU WEWNĘTRZNEGO, PROCESÓW I RYZYK


01

02

03

04

05

06

Zadania w obszarze kontroli wewnętrznej: Dodatkowe wymogi w zakresie systemu kontroli wewnętrznej dla instytucji finansowych znajdują się w szeregu aktów prawnych oraz rekomendacji / dobrych praktyk wydanych przez KNF/ UKNF. Zakres dodatkowych wymogów różni się w zależności od sektora

Zadania Komitetu Audytu

• Zapisy odnoszące się bezpośrednio do poszczególnych instytucji finansowych w ramach Dobrych Praktyk obejmują m.in.:

• spełnianie przez członków komitetu audytu wymogów określonych w uobr stanowi m.in. element oceny BION

• sprawozdanie SFCR podlega weryfikacji i analizie KA

• monitorowanie istotnych zmian w zakresie sprawozdawczości finansowej, w tym w szczególności zmian, które mogą wpłynąć na zdolność JZP do terminowego wywiązywania się z obowiązków sprawozdawczych

• funkcja zgodności – przywołanie regulacji dla Banków, ZU i TFI

• Wymogi zawarte w innych aktach prawnych, rekomendacjach / dobrych praktykach wydanych przez KNF/ UKNF

Perspektywa instytucji finansowych:

Wybrane regulacje

• Zasady Ładu Korporacyjnego dla Instytucji Nadzorowanych

• Banki: Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe, Rozporządzenie Ministra Rozwoju i Finansów z dnia 6 marca 2017 roku w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach, Rekomendacja H

• Zakłady ubezpieczeń: Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej

• TFI i zarządzane przez nie fundusze inwestycyjne: Rozporządzenie Ministra Finansów z dnia 2 lipca 2019 r. w sprawie sposobu, trybu oraz warunków prowadzenie działalności przez towarzystwa funduszy inwestycyjnych


Wpływ Covid-19 na komponenty COSO: środowisko kontroli, analizę ryzyka, czynności kontrolne, system informacyjny oraz działania monitorujące

01

02

03

04

05

06


Ryzyka• Pojawienie się nowych ryzyk lub zmianę oceny istniejących wcześniej ryzyk• Wpływ na istotne szacunki księgowe

Covid-19 a komponenty COSO

01

02

03

04

05

06

Osłabienie procesów kontrolnych

• Wykonywanie obowiązków kontrolnych może być niemożliwe z powodu ograniczeń systemowych lub braku wiarygodnych informacji, pojawienia się ograniczeń dot. dostępności zasobów

• Zmiany dotychczas stosowanych procedur

• Opóźnienia w wykonywaniu niektórych czynności kontrolnych lub zmiany częstotliwości wykonywanych procedur

Osłabienie informatycznych mechanizmów kontroli automatycznych

• Jeżeli kontrole automatyczne są uruchamiane i/lub monitorowane ręcznie, kontrole mogą nie działać z powodu niedostępności personelu

• Dostępność lub możliwości personelu IT

Osłabienie działania audytu wewnętrznego

• Skuteczność kontroli monitorowania.

Ryzyko, że aktualne procedury nie

działają w modelu zdalnym (np.

autoryzacja lub zatwierdzanie

transakcji)

Ryzyko braku kontroli nad poleceniami

księgowań (PK)

Ryzyko, że kontrole automatyczne nie zadziałają, jeżeli

kontrole dotyczące środowiska IT nie będą efektywne

Źródło: Internal Control – Integrated Framework – COSO 2017


Nowe lub zmienione czynniki ryzyka Wybór lub opracowanie procedur kontrolnych lub zmian w procesach, które to ryzyko redukują

Pandemia wymaga weryfikacji i przeprowadzenia ponownej analizy poziomu ryzyka

01

02

03

04

05

06

PRZYKŁAD 1 Ryzyko: Zachowanie ciągłości dostaw w sytuacji lockdown (zakłócenia w działaniu łańcucha dostaw i problemy z transportem pewnych towarów, spowodowane ograniczeniami importu lub eksportu)

Procedury kontrolne lub zmiany w procesach: Wdrożenie kontroli manualnego lub automatycznego monitorowania poziomu zapasów, w celu oceny czy zostanie zachowany odpowiedni poziom zapasów bezpieczeństwa.

PRZYKŁAD 2 Ryzyko: Ryzyko niewypłacalności kontrahentów

Procedury kontrolne lub zmiany w procesach: Wzmocnienie kontroli wypłacalności nowych kontrahentów np. poprzez wprowadzenie dodatkowych wymogów w zakresie oceny potencjalnych nowych klientów. Zwiększenie częstotliwości monitorowania przekroczeń limitów kredytowych, obniżenie limitów kredytowych dla istniejących wybranych klientów lub wdrożenie przedpłat.


Ryzyka sprawozdawcze

01

02

03

04

05

06

Ryzyko sprawozdawczePrzykłady kontroli wewnętrznych lub procesów, które mogą zostać wdrożone/wzmocnione/zmienione

• Zaniżanie odpisu na należności, odpisu na zapasyZwiększenie częstotliwości monitoringu należności, zapasów pod kątem odpisu, obniżenie progu do analiz

• Kapitalizacja kosztów

• Koszty związane z ochroną zdrowia

Niezależny przegląd kapitalizowanych wydatków przez audytora wewnętrznego/kontrolera finansowego

• Zawyżanie przychodów.

• Wartości szacunkowe, dążenie kierownictwa do zawyżania lub zaniżania wskaźników wskutek presji

• Jednorazowe spisywanie składników aktywów

Zwiększenie częstotliwości dokonywania przez zarząd kontroli typu Business Performance Review

Zwiększenie zakresu lub wprowadzenie kontroli periodycznego przeglądu poleceń księgowania

• Ujęcie przychodu z otrzymanej subwencji w nieprawidłowym okresie/ brak kontroli warunków subwencji - konieczność zwrotu

Okresowy przegląd warunków otrzymania subwencji

• W przypadku Banków zaniżanie odpisów na należności kredytowe

Zwiększenie częstotliwości kontroli dokonywanych przez Zarząd oraz obniżenie progu do kontroli odchyleń

Przegląd założeń dotyczących zmiennych makroekonomicznych stosowanych w modelach przez departament analiz ekonomicznych

• Zaniżenie rezerw techniczno-ubezpieczeniowych (RTU) w związku z brakiem aktualizacji głównych założeń aktuarialnych mających wpływ na poziom rezerw RTU

Przegląd głównych założeń aktuarialnych przez Głównego Aktuariusza, Zarząd


Przykładowe zagadnienia:

Środowisko kontroli:

- kwestia zasobów – dostępność i uczciwość pracowników,

- zmiany zakresu i podział obowiązków,

- przekazywanie uprawnień i odpowiedzialności za realizację zadań kontrolnych, korekta uprawnień do zatwierdzania,

- ustalenie formalnych zastępstw,

- zapewnienie dodatkowych zasobów w momentach dużego obciążenia (np. pracownicy tymczasowi),

- dodatkowe szkolenia.

System informacyjny (Informacja i komunikacja):

- ograniczenia w dostępności informacji i danych,

- efektywność spotkań online,

- infrastruktura IT.

Każdorazowo rozważenia wymagają kwestie specyficzne dla danego biznesu.

Jakie kwestie wziąć pod uwagę oceniając wpływ pandemii na środowisko kontroli, system informacyjny?

01

02

03

04

05

06


Wzmocnienie procesów monitoringu mechanizmów kontroli transakcji

Wzmocnienie monitoringu: - bieżący monitoring - odrębne oceny/przeglądy okresowe

01

02

03

04

05

06

Przykłady dodatkowych działań monitoringowych

• Wzmocnienie roli Komitetu Audytu bądź osób odpowiedzialnych za nadzór poprzez częstsze spotkania i przeglądy.

• Program sprawdzający poziom przestrzegania przepisów dotyczących ładu korporacyjnego dla potrzeb identyfikacji mechanizmów kontroli, dotkniętych skutkami pandemii.

• Analiza konieczności wprowadzenia dodatkowych poziomów weryfikacji w zależności od skali zmian.

• Mechanizm podwójnej akceptacji na różnych poziomach organizacyjnych.

• Analiza konieczności prowadzenia dodatkowej dokumentacji (np. protokołów z zebrań), elektronicznych procedur akceptacji czy pozyskiwania innego rodzaju dowodów (np. zrzutów z ekranu uczestników spotkania).

• Zwiększenie skali sceptycyzmu zawodowego w procesie weryfikacji poprawności założeń i/lub subiektywnych osądów.

• Wprowadzanie nowych kontrolerów.


Przykłady istotnych zmian w kontroli wewnętrznej jako skutek Covid-19: brak kontroli odpowiadających na nowe lub zmienione ryzyka istotna zmiana w zakresie zaprojektowania funkcjonujących wcześniej

kontroli (kontrole, które wcześniej efektywnie funkcjonowały, przestają funkcjonować w sposób efektywny)

zaprojektowanie i wdrożenie nowych kontroli, które zastępują istniejące wcześniej kontrole lub odpowiadają na nowe ryzyka

Wpływ pandemii na czynności kontrolne

01

02

03

04

05

06

Kontrole wewnętrzne

Wpływ na czynności kontrolne:- zasady i procedury dokumentacji prowadzonej kontroli,- automatyzacja procesów np. akceptacja zdalna, - zwiększenie zakresu kontroli automatycznych, jeśli istnieją takie możliwości systemowe,- testowanie kontroli w trakcie spotkań online (dzielenie ekranu etc.),- zmiana czasochłonności i częstotliwość przeprowadzenia kontroli.


Podejście Spółki do transformacji systemu kontroli wewnętrznej

Te same zagadnienia powinny zostać rozważone również przez Spółki w celu przygotowania odpowiedzi na zmieniającą się rzeczywistość oraz ewentualnej transformacji systemu kontroli wewnętrznej.

Podeście audytora do badania w dobie Covid-19 vs podejście Spółki do transformacji systemu kontroli wewnętrznej

01

02

03

04

05

06

Podejście audytora do badania

Analiza wpływu Covid-19 na ryzyko oszustw (Covid-19 jako potencjalny motyw oszustwa)

Analiza wpływu Covid-19 na system kontroli wewnętrznej

możliwy wpływ na system kontroli wewnętrznej w dobie pracy zdalnej

ryzyko, że uprzednio działające kontrole zostały istotnie zmodyfikowane lub nie działają

analiza zaprojektowania nowych kontroli oraz ich efektywności operacyjnej

Wpływ Covid-19 na procedury audytowe

specyficzne ryzyka powodowane pandemią Covid-19 np. utrata wartości aktywów, kompletność rezerw, ryzyko kontynuacji działalności, kwestia ujęcia ulg w czynszu

forma przeprowadzenia inwentaryzacji np. wdrożenie inwentaryzacji ciągłej

ujawnienia w informacji dodatkowej


Czy nowe zasady raportowania wymagają wdrożenia nowych mechanizmów kontrolnych

01

02

03

04

05

06

21Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacji

Zmiany w środowisku kontroli z uwagi na zmiany w przepisach

• Zmiany w zakresie Międzynarodowych Standardów Sprawozdawczości Finansowej –MSSF 16 Leasing, MSSF15 Przychody z umów z klientami

• Zmiany w interpretacjach

• Wprowadzenie nowego formatu raportowania XBRL

• Wprowadzenie obowiązku składania sprawozdań finansowych do KRS w formacie XML

01

02

03

04

05

06

Dostosowanie procesów kontroli

konieczność zaprojektowania przez spółki kontroli nad identyfikacją zmian w przepisach dotyczących zagadnień księgowych, podatkowych, wymogów raportowania do instytucji zewnętrznych etc.

W przypadku instytucji finansowych– określone obowiązki komórki do spraw zgodności wynikające m.in. z rozporządzenia Ministra Rozwoju i Finansów w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach.

Zmiany w przepisach i regulacjach wymagają transformacji systemu kontroli wewnętrznej polegającej na zaprojektowaniu nowych mechanizmów kontrolnych lub dostosowaniu istniejących mechanizmów kontrolnych.


Nowe wymogi - ryzyka wymagające czynności kontrolnych

MSSF 16 – Leasing

Przegląd zmian w interpretacjach dotyczących MSSF 16

Wprowadzenie i weryfikacja formularza analizy umowy pod kątem klasyfikacji jako leasing

Weryfikacja poprawności przeprowadzenia przeglądu bazy umów pod kątem identyfikacji zmian w umowach

Weryfikacja poprawności ujęcia danych z umów w narzędziu MSSF 16

Ujawnienia MSSF 16 – zapewnienie kompletności i poprawności ujęcia

MSSF 15 – Przychody z umów z klientami

Wprowadzenie formularza analizy umowy pod kątem identyfikacji umów zawierających specyficzne zapisy, dla których przewidziane są szczegółowe regulacje w ramach MSSF 15 wymagające dodatkowych księgowań np. kwestia gwarancji, zwrotów

Okresowa weryfikacja wpływu korekt MSSF 15

Ujawnienia MSSF 15 – zapewnienie kompletności i poprawności ujęcia

01

02

03

04

05

06


Nowe wymogi - ryzyka wymagające czynności kontrolnych

XML

Kontrola polegająca na walidacji technicznej (IT) pliku XML (zgodność ze schemą MF)

Weryfikacja poprawności merytorycznej (zawartości pliku XML) – realizowana poprzez dekonwersję pliku XML do formatu MS Office/ pdf

Kontrola nad poprawnością podpisów elektronicznych (dodatkowa weryfikacja przy użyciu czytnika podpisów)

XBRL

Kontrola merytoryczna nad poprawnością tagowania sprawozdania - weryfikacja merytoryczna przez osobę posiadającą znajomość taksonomii ESEF/IFRS

Weryfikacja poprawności merytorycznej (zawartości pliku XHTML) – zgodność ze sprawozdaniem finansowym

Kontrola nad poprawnością podpisów elektronicznych (dodatkowa weryfikacja przy użyciu czytnika podpisów)

01

02

03

04

05

06Nie wystarczy samo przeprowadzenie czynności kontrolnej .

Czynności kontrolne powinny być właściwe udokumentowane.

24Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacjiPresentation title[To edit, click View > Slide Master > Slide Master]

Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]

24

Mechanizmy kontrolne w systemach informatycznych jako istotny element środowiska kontroli wewnętrznej

01

02

03

04

05

06


Standardy w obszarze IT

Wybrane normy i standardy z perspektywy budowy środowiska kontroli IT:

COBIT

(Control Objectives for Information and related Technology)

ISO

(International Organization for Standardization)

NIST

(National Institute of Standards and Technology)

ITIL

(Information Technology Infrastructure Library)

01

02

03

04

05

06


Kiedy kontrole ITGC mogą być istotne

Istotność poszczególnych systemów informatycznych (aplikacji ERP, hurtowni danych, systemów raportujących, narzędzi IT) może być określona poprzez analizę następujących czynników:

− Dane: Gdy spółka w istotny sposób polega na systemach informatycznych oraz informatycznych bazach danych do procesowania i przechowywania danych. Im bardziej złożone i obszerne jest wykorzystanie technologii informatycznych do procesowania danych tym większe jest prawdopodobieństwo, że kontrole ITGC w istotny sposób będą wpływać na integralność i poprawność przetwarzanych danych.

− Funkcjonalności automatyczne: Gdy kierownictwo Spółki polega na zaimplementowanych w systemach informatycznych funkcjonalnościach, które spełniają prewencyjną bądź detekcyjną rolę w danym procesie biznesowym

− Raporty systemowe: Gdy Spółka polega na raportach generowanych z systemów informatycznych (w tym hurtowni danych) w ramach wykonywania poszczególnych procesów biznesowych i powiązanych czynności kontrolnych.


Obszar Opis Przykładowe ryzyko

Dostęp użytkowników

Uprawnienia użytkownika końcowego

Użytkownicy posiadają uprawnienia wykraczające poza te,które niezbędne są do wykonywania obowiązków służbowych co może prowadzić do powstania konfliktów rozdziału obowiązków (SoD).

Bezpośredni dostęp do danych

Nieuprawniona, bezpośrednia modyfikacja danych finansowych poprzez operacja wykonane poza warstwą aplikacyjną.

Ustawienia systemowe

System nieadekwatnie skonfigurowany bądź niezaktualizowany aby realizować dostęp tylko odpowiednio autoryzowanych i uwierzytelnionych użytkowników

Przykładowe ryzyka w obszarze IT


Zasady Kontroli Wewnętrznej

Kontrole automatyczne a ogólne kontrole w obszarze teleinformatycznym (ITGC)

• W ramach zaleceń COSO ustanowiono 17 „Zasad kontroli wewnętrznej”, aby zapewnić jasność podczas projektowania i wdrażania skutecznych systemów kontroli.

• Zasady te zapewniają formalną strukturę projektowania i oceny skuteczności kontroli wewnętrznej

• Określa odpowiednie cele

• Identyfikuje i analizuje ryzyko

• Ocenia ryzyko związane z oszustwami

• Identyfikuje i analizuje istotne zmiany w profilu ryzyka

Ocena ryzyka

2

• Prowadzi bieżące i / lub niezależne oceny kontroli wewnętrznej

• Ocenia i komunikuje braki

Monitorowanie

5

• Wykorzystuje odpowiednie informacje

• Komunikuje się wewnętrznie

• Komunikuje się na zewnątrz

Przepływ informacji

4

• Identyfikuje i usprawnia czynności kontrolne

• Identyfikuje i usprawnia ogólną kontrolę nad technologią IT

• Wdraża mechanizmy za pomocą zasad i procedur

Mechanizmy kontrolne

3

• Demonstruje przywiązanie do integralności i etyki

• Wykonuje obowiązki nadzorcze

• Ustanawia strukturę, autorytet i odpowiedzialność

• Wykazuje zaangażowanie w rozwoju kompetencji

• Wymusza odpowiedzialność

Środowisko kontroliwewnętrznej

1



Bez skutecznych kontroli ITGC kontrole automatyczne nie są wiarygodne

Kontrole automatyczne w procesie biznesowym

Definicja: kontrole, które dotyczą wszystkich systemów, komponentów, procesów i danych dla danej organizacji oraz jej środowiska informatycznego. Celem ITGC jest zapewnienie prawidłowego rozwoju i wdrażania aplikacji, a także integralności programów, plików danych i operacji komputerowych.

Główne obszary:

1. Zarządzanie dostępami,

2. Zarządzanie zmianą,

3. Obsługa incydentów,

4. Tworzenie kopii zapasowych.

Ogólne kontrole w obszarze teleinformatycznym (ITGC)

Definicja: samoczynne lub wykonywane na żądanie użytkownika zbieranie, przetwarzanie i przesyłanie informacji o stanie procesu w celu wykrywania sytuacji wymagających odpowiedniej reakcji, analiza odchyleń mierzonego parametru od dopuszczonego zakresu zmienności.


Wpływ pandemii, praca zdalna


Nacisk na automatyzację środowiska kontroli

wewnętrznej

Prewencja vs detekcja

Pełna populacja vs próba

Ograniczona pracochłonność

Zwiększona rola repozytoriów i narzędzi typu workflow

Wygodniejsza komunikacja

Lepsze zarządzanie SKW

Segregacja obowiązków, podział ról i odpowiedzialności

Manualne kontrole dokumentowane bez wykorzystywania papieru

„nie ma kontroli bez dowodu jej wykonania”

E-maile, zrzuty ekranu, cyfrowe podpisy, logi

Ryzyka związane z pracą zdalną:

• Większa liczba użytkowników korzystających z VPN

• Wyzwania związane z wydajnością oraz skalowalnością systemów informatycznych

• Intensyfikacja ataków cyber przestępców (m.in. phishing)

• Utrudniony dostęp do zespołów wsparcia

• Utrudniony bezpośredni kontakt z własnym zespołem oraz przełożonymi

• Niedostępna dokumentacja archiwalna


Przedstawienie dobrych praktyk dotyczących dokumentacji kontroli

01

02

03

04

05

06


Dobre praktyki w zakresie dokumentacji kontroli

01

02

03

04

05

06

Flowcharty przedstawiające

procesy i czynności kontrole w ramach

procesów

Dokumentacja przeprowadzonych

czynności kontrolnych

Macierz ryzyk i kontroli

w podziale na poszczególne

procesy i podprocesy

Opisy procesów uwzględniające mapy stosowanych systemów/aplikacji IT i ich powiązań

1

4

3

2


Flowchart - przykład

01

02

03

04

05

06

Mapy procesów

powinny zawierać

czynności kontrolne.


Cel kontroli, opis czynności kontrolnej, dokumentów

w procesie, częstotliwości wykonania kontroli,

typu kontroli

• prewencyjna/detekcyjna;

• manualna/półautomatyczna/automatyczna),

Wskazanie osoby odpowiedzialnej za wykonanie kontroli,

Macierz ryzyk i kontroli - przykład

01

02

03

04

05

06

KOMPONENTY


Gdzie jest balans pomiędzy skutecznością i nakładami?

35

Dobrze skonstruowany system kontroli wewnętrznej powinien zapewnić równowagę pomiędzy jego skutecznością i nakładami potrzebnymi do realizacji potrzebnych czynności

• Ukierunkowanie na pokrycie wszystkich ryzyk,

• Zapobieganie wystąpieniu / szybkie wykrycieistotnych błędów i nadużyć,

• Aktywa jednostki są zabezpieczone,• Spółka działa zgodnie z wymogami prawa,• Wewnętrzne regulaminy są przestrzegane,

• Raporty wew. i zew. są rzetelne i prawidłowe.

• Zapewnia osiągnięcie kluczowych celów,

• Zarząd akceptuje możliwość wystąpienia wybranych ryzyk,

• Odpowiednie dobranie kontroli i zachowanie proporcji pomiędzy kontrolami,

• Częstotliwość wykonywania czynności kontrolnych może być zredukowana.

SKUTECZNY ZRÓWNOWAŻONY


a) Tak, jest wystarczająca i nie planujemy zmian w tym zakresie

b) Mamy plany poprawy/ wzmocnienia tego obszaru w najbliższym czasie

c) Tak, widzimy obszary do poprawy, ale w dłuższej perspektywie czasu

d) Nie posiadamy jeszcze dokumentacji kontroli

e) Nie mam takiej wiedzy

Czy obecna dokumentacja kontroli wewnętrznych w Państwa firmie jest wystarczająca?

01

02

03

04

05

06


Workiva: zarządzanie kontrolami

wewnętrznymi


Umożliwiamy klientom połączenie ludzi,

danych i procesów na jednej, całkowicie

bezpiecznej platformie w chmurze

Połączona sprawozdawczość i zapewnienie

zgodności z obowiązującymi przepisami


ponad 3.600organizacji klienckich

ponad 297 mln USDprzychodów za rok 2019

ponad 30patentów technologicznych

ponad 75%firm z rankingu Fortune 500

180 krajówz aktywnymi użytkownikami

czysta technologia chmurypołączone rozwiązania sprawozdawcze

95%poziom utrzymania bazy

przychodów

95%zadowolonych klientów

Workiva we wskaźnikach

* Dane z lutego 2020 r.


• Roczne i kwartalne sprawozdania finansowe

• Sprawozdawczość ESEF• Raportowanie zintegrowane• Raportowanie wyników• Sprawozdawczość giełdowa• Sprawozdawczość na temat

zrównoważonego rozwoju• Sprawozdawczość z obszaru

BHP i ochrony środowiska• Globalna sprawozdawczość

ustawowa• Sprawozdawczość podatkowa• Solvency II i ORSA• MSSF 17• Sprawozdawczość ustawowa

w sektorze ubezpieczeń• Sektor rządowy i szkolnictwo

• Ustawa Sarbanes-Oxley i zarządzanie kontrolami

• Zarządzanie audytem• Zarządzanie ryzykiem

przedsiębiorstwa• Kontrole wewnętrzne• Polityki i procedury• Zgodność z CASS (ochrona

aktywów i pieniędzy klienta)• FATCA• ICAAP/ILAAP, ujawnienia

z zakresu filaru 3• Prospekty emisyjne funduszy

inwestycyjnych• Sprawozdania dla

akcjonariuszy/udziałowców• Testy warunków skrajnych• Plany restrukturyzacji i

uporządkowanej likwidacji• Prospekty emisyjne firm

ubezpieczeniowych

Rozwiązania systemowe firmy Workiva

Połączone dane finansowe

Raportowanie dla potrzeb audytu

Sprawozdawczość regulacyjna

Sprawozdawczość zarządcza

Sprawozdawczość roczna i kwartalna

Zarządzanie kontroląamiwewnętrznymi

Sprawozdawczość podatkowa i ustawowa

Połączona sprawozdaw-czość

i zapewnienie zgodności


Wideo - kontrole wewnętrzne

https://www.workiva.com/resources/workiva-internal-controls


a) Tak, system został wdrożony

b) Nie, ale rozważamy wdrożenie systemu w najbliższym roku

c) Nie, ale rozważamy wdrożenie systemu w przeciągu 1-3 lat

d) Nie, nie planujemy wdrożenia systemu

Czy wdrożyli Państwo system IT do zarządzania kontrolami wewnętrznymi łączący je z ryzykami?

01

02

03

04

05

06

Powyższa publikacja zawiera jedynie informacje natury ogólnej. Deloitte Touche Tohmatsu Limited („DTTL”), globalna sieć jej firm członkowskich oraz jednostek z nimi powiązanych (zwanych łącznie „organizacją Deloitte”) nie świadczą za jej pośrednictwem profesjonalnych usług ani nie udzielają profesjonalnych porad. Przed podjęciem jakichkolwiek decyzji lub działań, które mogą mieć wpływ na finanse lub działalność twojej firmy, należy uzyskać poradę profesjonalną. Nie składamy żadnych oświadczeń, nie udzielamy gwarancji ani nie podejmujemy zobowiązań (jawnych ani dorozumianych), dotyczących dokładności i kompletności informacji, zawartych w niniejszej publikacji. DTTL, jej firmy członkowskie, podmioty z nimi powiązane, ich pracownicy oraz agenci nie ponoszą odpowiedzialności za straty lub szkody, wynikające bezpośrednio lub pośrednio z wykorzystania niniejszej publikacji. DTTL i jej firmy członkowskie oraz podmioty z nimi powiązane stanowią oddzielne i niezależne podmioty prawa.

Nazwa Deloitte odnosi się do jednego lub kilku podmiotów Deloitte Touche Tohmatsu Limited („DTTL”), jej firm członkowskich oraz ich podmiotów powiązanych (zwanych łącznie „organizacją Deloitte”). DTTL (zwana również „Deloitte Global”), każda z jej firm członkowskich i podmiotów z nimi powiązanych są prawnie odrębnymi, niezależnymi podmiotami, które nie mogą podejmować decyzji ani zobowiązań za inne podmioty wobec osób trzecich. DTTL, każda z jej firm członkowskich i podmiotów powiązanych ponoszą odpowiedzialność wyłącznie za własne działania i zaniechania, a nie za działania i zaniechania innych firm członkowskich i podmiotów powiązanych. DTTL nie świadczy usług na rzecz klientów. Zapraszamy na stronę www.deloitte.com/pl/onas w celu uzyskania dalszych informacji.

Deloitte to wiodąca, międzynarodowa firma świadcząca klientom usługi obejmujące m.in. audyt, konsulting, doradztwo finansowe, zarządzanie ryzykiem, doradztwo podatkowe.

Nasza globalna sieć firm członkowskich i podmiotów powiązanych (zwana łącznie „organizacją Deloitte”) obejmuje ponad 150 krajów i terytoriów i świadczy usługi na rzecz czterech z pięciu spółek z rankingu Fortune Global 500®. Aby dowiedzieć się, w jaki sposób około 312 000 pracowników Deloitte realizuje misję firmy, zachęcamy do odwiedzenia strony: www.deloitte.com.

Deloitte Central Europe to regionalna organizacja podmiotów działających w grupie Deloitte Central Europe Holdings Limited, firmy członkowskiej Deloitte Touche Tohmatsu Limited w Europie Środkowej. Usługi świadczą spółki zależne i powiązane z Deloitte Central Europe Holdings Limited, które stanowią odrębne i niezależne podmioty prawa. Spółki zależne i powiązane z Deloitte Central Europe Holdings Limited znajdują się w grupie wiodących firm, świadczących usługi profesjonalne w regionie Europy Środkowej; zatrudniają łącznie niemal 7 000 pracownikóww 44 biurach, działających w 18 krajach.

© 2020 Deloitte Audyt spółka z ograniczoną odpowiedzialnością sp. k.

http://www.deloitte.com/pl/onas

http://www.deloitte.com/

Documents

Transformacja systemu kontroli wewnętrznej w dobie ......14) dyskusji z zarządem i biegłymi rewidentamint. poprawności i kompletności informacji zawartych w sprawozdaniach finansowych