Transcript nepravilnosti in nezakonitosti

G9 Audit Considerations for
Irregularities and Illegal Acts
G9 Revizorjeva obravnava
nepravilnosti in nezakonitosti
Vsebina
– Povezave
– Definicije
– Odgovornosti
– Ocena tveganj
– Načrt revizije
– Izvedba revizije
– Poročilo
Povezave
Standardi
– S3 Professional Ethics and Standards
(Etična načela in standardi)
– S5 Planning (Načrtovanje)
– S6 Performance of Audit Work (Izvedba
revizije)
– S7 Reporting (Poročanje)
– S9 Irregularities and Illegal Acts (Nepravilnosti
in nezakonitosti)
COBIT procesi
• Primarni: Skladnost, zaupnost, celovitost, razpoložljivost
– PO5 Manage the IT investment (Opredelite strateški načrt IT)
– PO7 Manage IT human resources (Upravljanje človeških virov v sektorju
IT)
– PO9 Assess and manage IT risks (Upravljajte in obvladujte tveganja IT)
– PO10 Manage projects (Upravljate projekte)
– AI1 Identify automated solutions (Določite avtomatizirane rešitve)
– AI5 Procure IT resources (Zagotovite sredstva IT)
– ME2 Monitor and evaluate internal controls (Spremljate in vrednotite
kontrole IT)
– ME3 Ensure regulatory compliance (Zagotovite skladnost z zunanjimi
zahtevami)
• Sekundarni: zanesljivost , uspešnost, zakonitost
– PO3 Determine technological direction (Določite tehnološke usmeritve)
– PO4 Define the IT processes, organisation and relationships (Opredelite
IT procese, organizacijo in razmerja)
– PO8 Manage quality (Upravljajte kakovost)
– DS7 Educate and train users (izobrazite in usposobite uporabnike)
– DS10 Manage problems (Upravljajte probleme)
– ME1 Monitor and evaluate IT performance (Spremljajte in vrednotite
delovanje IT)
Definicije
• Non-fraudulent Irregular Activities
(nepravilnosti, ki niso goljufije) – Intentional violations of established management
policy (namerna kršitev pravil in politik)
– Intentional violations of regulatory requirements
(namerna kršitev zakonov in predpisov)
– Deliberate misstatements or omissions of
information concerning the area under audit or the
organisation as a whole (namerne napačne trditve
ali opustitve posredovanja informacij)
– Gross negligence (velike malomarnosti)
– Unintentional illegal acts (nenamerne, nezavedne
nezakonitosti)
Definicije
• Irregularities and Illegal Acts (nepravilnosti in
nezakonitosti)
– Fraud, which is any act involving the use of deception to obtain illegal
advantage
– Acts that involve non-compliance with laws and regulations, including the
failure of IT systems to meet applicable laws and regulations
– Acts that involve non-compliance with the organisation’s agreements and
contracts with third parties, such as banks, suppliers, vendors, service
providers and stakeholders
– Manipulation, falsification, forgery or alteration of records or documents
(whether in electronic or paper form)
– Suppression or omission of the effects of transactions from records or
documents (whether in electronic or paper form)
– Inappropriate or deliberate leakage of confidential information
– Recording of transactions in financial or other records (whether in
electronic or paper form) that lack substance and are known to be false
– Misappropriation and misuse of IS and non-IS assets
– Acts whether intentional or unintentional that violate intellectual property
(IP), such as copyright, trademark or patents
– Granting unauthorised access to information and systems
– Errors in financial or other records that arise due to unauthorised access to
data and systems
Odgovornosti
• Responsibilities of Management (Odgovornosti
vodstva – pravočasno preprečevati in/ali odkrivati
nepravilnosti in nezakonitosti, razkrivanje revizorjem
in drugim, zagotavljanje preiskovanja v primeru
nastanka ali suma)
– Designing, implementing and maintaining internal
control systems to prevent and detect irregularities or
illegal acts. Internal controls include transaction review
and approval and management review procedures.
– Polices and procedures governing employee conduct
– Compliance validation and monitoring procedures
– Designing, implementing and maintaining suitable
systems for the reporting, recording and management of
incidents relating to irregularities or illegal acts
Odgovornosti
• Responsibilities of IS Auditor (Odgovornosti
revizorja IS)
– razume svojo odgovornost v zvezi s poročanjem o nepravilnosti in
nezakonitosti,
– pozna in razume kontrolni sistem, oceni tveganje nastanka
nepravilnosti in nezakonitosti,
– prepozna indikatorje nastanka in posledice tovrstnih dejanj na
podjetje v materialnem smislu,
– v primeru suma obvezo raziskati in potem poročati,
– Informiranje pristojnih (upravo, revizijski odbor)
– Poiskati pravno pomoč razkrivanje revizorjem in drugim,
zagotavljanje preiskovanja v primeru nastanka ali suma)
– Mora identificirati morebitna tveganja, ki prispevajo k pogostnosti
prever
– Zagotavljati svojo neodvisnost v preiskovanju
• Revizor ne daje zagotovila, da bodo nepravilnosti in
nezakonitosti odkrite in ni odgovoren, da bodo
preprečene
Ovrednotenje tveganj
• IS revizor mora oceniti tveganja pojava z
upoštevanjem možnih faktorjev povečevanja tveganja
– Organisational characteristics, e.g., corporate ethics, organisational
structure, adequacy of supervision, compensation and reward structures,
the extent of corporate performance pressures, organisation direction
– The history of the organisation, past occurrences of irregularities, and the
activities subsequently taken to mitigate or minimise the findings related
to irregularities
– Recent changes in management, operations or IS systems and the
organisation’s current strategic direction
– Impacts resulting from new strategic partnerships
– The types of assets held, or services offered, and their susceptibility to
irregularities
– Evaluation of the strength of relevant controls and vulnerabilities to
circumvent or bypass established controls
– Applicable regulatory or legal requirements
– Internal policies such as a whistle-blower policy, insider trading policy,
and employee and management code of ethics
– Stakeholder relations and financial markets
– Human resources capabilities
– Confidentiality and integrity of market-critical information
Ovrednotenje tveganj - 2
• IS revizor mora oceniti tveganja pojava z
upoštevanjem možnih faktorjev povečevanja tveganja
– The history of audit findings from previous audits
– The industry and competitive environment in which the organisation
operates
– Findings of reviews carried out outside the scope of the audit, such as
findings from consultants, quality assurance teams or specific
management investigations
– Findings that have arisen during the day-to-day course of business
– Process documentation and a quality management system
– The technical sophistication and complexity of the information system(s)
supporting the area under audit
– Existence of in-house developed/maintained application systems,
compared with packaged software, for core business systems
– The effect of employee dissatisfaction
– Potential layoffs, outsourcing, divestiture or restructuring
– The existence of assets that are easily susceptible to misappropriation
– Poor organisational financial and/or operational performance
– Management’s attitude with regard to ethics
– Irregularities and illegal acts that are common to a particular industry or
have occurred in similar organisations
Ovrednotenje tveganj
• IS revizor mora od vodstva pridobiti:
– Njihovo razumevanje možnosti in pojavnosti
nepravilnosti in nezakonitosti
– Njihovo vedenje za obstoj nepravilnosti in
nezakonitosti v preteklosti
– Na kak način spremljajo in ocenjujejo tveganja
pojava nepravilnosti in nezakonitosti
– Katere procese so vzpostavili za komuniciranje
deležnikom v zvezi z nepravilnostmi in
nezakonitostmi
– Kateri so predpisi in zakoni, ki jih mora
organizacija upoštevati v zvezi s tem ter
pristojnosti služb (npr. pravne službe, oddelka za
tveganja,..) in odborov (npr. revizijskega, za
tveganja)
Načrtovanje revizije &
prevzema posla
• Odločanje v zvezi s sprejemom posla
zahteva:
– Razumevanje delovanja podjetja: ciljev operativnih
aktivnosti
– Poznavanje in razumevanje kontrol
– Poznavanje in razumevanje predpisov za
delovanje zaposlenih
– Poznavanje in razumevanje načina preverjanja
skladnosti in siceršnjega nadzora
– Poznavanje pravnega okolja delovanja podjetja
– Mehanizmov, ki jih podjetje uporablja za
spremljanje predpisov, njihovo uveljavljanje, kako
organizacija nadzira skladnost delovanja z zakoni
in kakšne so sankcije za kršitve
Načrtovanje revizije &
prevzema posla
• Izvedba posla:
– Načrtovani postopki in obseg sta v soodvisnosti od identificiranih
tveganj nastanka nepravilnosti in nezakonitosti
– Razumevanje tveganj vpliva na to kako se načrtuje izvedba
določenih postopkov (časovno, organizacijsko tehnično)
– Upoštevati pridobljene informacije vodstva podjetja in IT ter
uporabnikov v zvezi skladnostjo & nepravilnostmi in nezakonitostmi
– Obseg testiranje je odvisen od:
• Nepravilnosti in nezakonitosti z vidika materialnosti za
organizacijo
• Pomanjkljivostih v kontrolnih sistemih, ki ne omogočajo
sprotnega odkrivanja vsaj materialnih nepravilnosti in
nezakonitosti
• Pomembnejših pomanjkljivostih v procesih, ki onemogočajo
zaposlenim ustreznost ravnanja
• Pomembnejših pomanjkljivosti, ki revizorju onemogočajo
dokumentiranje postopkov in dokazov
– Revizor mora stopnjo zanesljivosti svojih ugotovitev ali gre za
nepravilnosti ali nezakonitosti glede na načrtovane postopke (“lažni
alarmi”, nezadostnost in nezanesljivost dokazov, dejanski obstoj
tveganj nastanka)
Izvedba revizijskega dela
• Odziv na odkrito nepravilnost oz. nezakonitost
–
–
–
–
–
–
–
–
Pridobiti razumevanje dejanske nepravilnosti oz. nezakonitosti
Pridobiti razumevanje okoliščin v katerih se je zgodilo
Zagotoviti zadosti podporne dokumentacije za ocenitev učinkov
Izvesti potrebne dodatne aktivnosti z namenom spoznanja ali
obstajajo še enake ali podobne nepravilnosti oz. neazkonitosti,
toreje ne gre za posamični dogodek
IS revizor mora sodelovati z ustreznimi sodelavci in službami
(varnostnim inženirjem, pravniki,..)
Oceniti je potrebno vlogo vodstva vključno z morebitno
vključenostjo
Revizor mora preveriti ustrezen del kontrol, da ugotovi, katere niso
delovale preprečevalno
Revizor mora sprejeti odločitev ali bo potrebno ovrednotiti
ustreznost zadostnost in učinkovitost kontrol
Izvedba revizijskega dela
• Odziv na odkrito nepravilnost oz. nezakonitost 2
– Revizor mora v primeru odkritja nepravilnosti oz. nezakonitosti
razmisliti o morebitnih spremembah načrtovanih postopkov pri
čemer mora upoštevati:
•
•
•
•
•
•
•
•
Vrsta nepravilnosti ali nezakonitosti oz. suma nanje
Pomembnosti / znatnost tveganja in verjetnosti ponovitve dogodka
Potencialni vpliv na organizacijo, vključno z finančnim, izgubo ugleda
Verjetnost o ponovitve podobnega dogodka
Verjetnost, da je vodstvo vedelo, bilo morda celo vpleteno
Verjetnost, da je do kršitve / neskladnosti prišlo nenamerno
Verjetnost, da bi sankcije imele vpliv na verjetnost ponovitve
Kakšen je lahko vpliv na učinek javnosti iz same nezakonitosti
– Revizor mora oceniti smiselnost nadaljevanja revizijskega pregleda
– Revizor mora analizirati ali lahko identificira posameznike, ki bi
imeli pomembnejšo vlogo pri dogodku
– Ocenitev vrednosti dokazov / indikatorjev, da je prišlo do
nepravilnosti in nezakonitosti
– Če gre za nezakonitost je potrebno zagotoviti pravno mnenje in
morda usmerjanje pri izvedbi postopkov
Poročanje
• Notranje poročanje
– Pravočasnost informiranja in poročanja ( nivojem vodenja,
revizijski odbor, ..)
– Potrebnost strokovne presoje glede narave, časovnega
okvira, ostale okoliščine, učinke & posledice, pojasnil
postopkov odkritja, preiskovanja, pridobitve dokazil, izbor
prejemnike informacij & poročil
– Ocenitev tveganj:
• prihodnjih izrabe pomanjkljivosti,
• izgube strank, dobaviteljev, investitorjev ob razkritju
• Izguba ključnih vodij, strokovnjakov, ključnih delavcev kot
posledice ukrepov vodstva
– Oceniti potrebnost ločenega poročanja o nepravilnostih in
nezakonitostih od ostalega poročanja zaradi nadzora nad
občutljivimi informacijami ali odstopanja od standardov
zaradi morebitnega odnosa vodstva do kršitev
– Izogibanje možnosti, da bi “alarmirali” z informacijami
vpletene akterje
Poročanje
• Eksterno poročanje
– Pravočasnost informiranja in poročanja kadar je to
regulatorna obveza – je pa to praviloma obveznost uprav, IS
revizor jih mora opozoriti na obvezo, izjemoma tudi
posameznika, ki je odkril nezakonitost; IS revizor mora
upoštevati določila o zaupnosti
– Možne okoliščine obveze revizorja IS - Kadar gre za kršitve
zakonov
• Zahtev revizorja računovodskih izkazov
• Na zahtevo sodišča in v sodnih procesih
• Pristojnih državnih agencij, nadzornih organov po zakonu
– Eksterno poročanje mora biti odobreno s strani vodstva
revizije in vodstva revidiranca razen v:
• Vodstvo revizije vključeno v nezakonitost
• Vodstvo revizije je v zvezi s kršitvami preveč pasivno
– Kadar se vodstvo revizije ne strinja:
• IS revizor se posvetuje z revizijskim odborom
• IS revizor se posvetuje z pravniki glede morebitne osebne zaščite
– Ko je revizor del tima – je potrebno analizirati, kdo poroča (? Vodja)
– Omejitve pri obsegu pregleda: zanesljivost dokazov, vodstvo ni
izvedlo predlaganih dodatnih preizkav
Veljavnost 1. September 2008
VPRAŠANJA