Ocena učinkovitosti notranjih kontrol Andrej Lenarčič, CISA Stane Moškon, CISA, CISM

Download Report

Transcript Ocena učinkovitosti notranjih kontrol Andrej Lenarčič, CISA Stane Moškon, CISA, CISM 

Ocena učinkovitosti
notranjih kontrol
Andrej Lenarčič, CISA
Svetovalec prodaje, Oracle Software
mag. Stane Moškon,
Svetovalec, Our Space
CISA, CISM
Čatež,22.09.2004
Vzroki
 Nedavni finančni škandali so precej vplivali na
zaupanje investitorjev in javnosti v poštenost in
točnost računovodskih izkazov družb
 Manjše število škandalov je bilo plod poslovnih
prevar, večje število škandalov pa je bilo posledica
neuspeha poslovodstva v razumevanju kaj se
dogaja v družbi, ki jo upravljajo in ravnajo
 Na kratko: preveč podjetij je dovolilo preveč
presenečenj
Odgovor zakonodaje
 EU
Mednarodni računovodski standardi (MRS)
29. septembra 2003 je Evropska komisija odobrila
MRS, vključno z vsemi pojasnili ter tako potrdila
zahtevo o njihovi obvezni uporabi za javne družbe,
katerih vrednostni papirji so uvrščeni na evropske
borze, od leta 2005.
 ZDA
Sarbanes-Oxley Act (SOA)
Usklajenost in tveganje poslovanja
POSLOVANJE
NADZOR
Zmanjšanje tveganja
Poslovne aplikacije
Tehnološka infrastruktura
Doseganje usklajenosti
Uporaba dobre poslovne prakse
Kakšno je vaše kontrolno okolje?
 Ali so vaši poslovni procesi transparentni?
 Ali so vaši poslovni procesi ustrezno dokumentirani?
 Kakšna je vaša izpostavljenost tveganjem?
 Ali imate vzpostavljene ustrezne preventivne, detektivne in
korektivne kontrole v vaših poslovnih procesih?
 Kakšni so stroški zunanjih revizorjev, ki preverjajo
učinkovitost delovanja notranjih kontrol?
Preglednost, Nadzor, Učinkovitost
Dokumentiranje poslovnih procesov
Poslovni tokovi
 Pred-definirane
šablone poslovnih
procesov
 Izdelava
uporabniških oz.
delovnih navodil za
posamezno delovno
mesto
 Vzdrževanje
dokumentacije
poslovnih procesov
Nadzor nad poslovnimi procesi
Delovni tokovi
 Upravljanje
poslovnega toka
 Razmejitev
doložnosti
 Povezovanje
kontrol skozi
poslovne aplikacije
 Prožna poslovna
pravila
Centralno vodenje dokumentov
 Upravljanje vseh vrst vsebin
 Dostop do vsebine iz različnih programov in
aplikacij
 Enotna varnostna politika
Browser Access
Nadzor nad notranjimi kontrolami
Kakšen je vaš pregled in
nadzor nad delovanjem
notranjih kontrol v vašem
podjetju ali skupini?
Ali notranje kontrole, ki so
vgrajene v informacijski
sistem delujejo?
Brez ustreznega orodja
omejen nadzor nad
notranjimi kontrolami!
Notranje
kontrole
Obvladujoče
podjetje
Notranje
kontrole
Notranje
kontrole
Odvisno
podjetje
Notranje
kontrole
Notranje
kontrole
Notranje
kontrole
Notranje
kontrole
Odvisno
podjetje
Opredelitev notranjih kontrol
Zagotavljajo:
 Uspešnost in učinkovitost izvajanja poslovnih postopkov
 Zanesljivost računovodskega poročanja
 Usklajenost z zakonodajo in predpisi
ali pa …
Preglednost, Nadzor, Učinkovitost
Ravni upravljanja z notranjimi
kontrolami
Kontni
okvir
Izvedba
procesa
Opozorila,
Poročila,
Poslovno
obveščanje
Organizacijska
struktura
Uporabniški
priročniki
Ocena
Pomembni organizacije
Pregled
konti
poslovnih
Pregled
postopkov
procesa
Nadzor
Tveganja &
Kontrole
Revizijsko
poročilo in
mnenje
Računovodski
izkazi
Testiranje
razmejitev
Vzpostavitev
Uporabniški
dolžnosti
kontrol
dostopi
Elektronske
Shranjevanje
revizijske
dokazil
sledi
Vodstveni Revizijski
projekti
nadzor
Transakcije
Testiranje
kontrol
Upravljanje s
dokumenti
E-mail, Dokumenti
Sistem za upravljanje notranjih kontrol
Sistem za upravljanje notranjih kontrol
Lastnosti
Vsebuje vse potrebne sestavine oz. lastnosti, ki
omogočajo:
 Dokumentiranje in razumevanje poslovnih
procesov
 Testiranje notranjih kontrol
 Nadzor nad delovanjem notranjih kontrol ter
njihovo usklajenostjo
 Zagotovitev enostavnega delovnega okolja s
katerim se organizira, izvaja in upravlja nadzorne
oz. revizijske postopke
Preglednost, Nadzor, Učinkovitost
Sistem za upravljanje notranjih kontrol
Sestavni deli









Poslovni procesi
Procesna dokumentacija
Organizacijska struktura
Tveganja
Notranje kontrole
Razmejitev dolžnosti
Izvedba revizijskih programov
Revizijske ugotovitve
Izdelava revizijskih poročil






Pregled učinkovitosti delovanja
notranjih kontrol
Zagotovitev povratne informacije
pri opravljanju revizije
Pregled usklajenosti
računovodskih izkazov
Pregled usklajenosti pomožnih
knjig z GK
Pregled celotne usklajenosti
poslovanja družbe
Pregled usklajenosti z politikami
Preglednost, Nadzor, Učinkovitost
Izvedba notranje revizije
Poslovni tok
Pregled nad
delovanjem
notranjih kontrol
Dokumentiranje
poslovnega
procesa
Poznavanje
poslovanja/
Vzpostavitev
revizijskega
okolja
Vzpostavitev
organizacijske
strukture
Opredelitev
tveganj in
kontrol
Ocena
kontrolnega
okolja
Načrtovanje
revizije
Testiranje
notranjih
kontrol
Potrditev
poslovodstva
Preglednost, Nadzor, Učinkovitost
Dokumentiranje
ugotovitev
Izdelava
revizijskega
poročila
Predlog
sprememb
Sistem za upravljanje notranjih kontrol
Koristi
 Bolj učinkovito testiranje notranjih kontrol
 Večja gotovost v pravilno oceno tveganja
 Manjši stroški zunanje revizije
Preglednost, Nadzor, Učinkovitost
Revizija sodobnih ERP
sistemov na primeru
Oracle E-Business Suite
Sodobni ERP sistemi in njihova
konceptualna zasnova
 Klasični ERP sistemi so bili zasnovani modularno
po poslovnih funkcijah – prodaja, nabava,
skladišča, proizvodnja, finance
 Sodobni ERP sistemi pa so zasnovani po
poslovnih tokovih: od naročila do plačila, od
potrebe do izdelka, ...
 Primer sodobnih ERP sistemov: SAP, Peoplesoft,
Oracle E-Business Suite
Koncept poslovnih procesov
Oddelek 1
Oddelek 3
Oddelek 2
Od nabave do plačila
Od napovedi do plana
Od plana do izdelave
Od naročila do plačila kupca
Storitve
• Poslovni tokovi povezujejo oddelke
Kako ste organizirani?
• Integrirane informacije olajšajo povezovanje
Kako poslujete?
Revizija sodobnih ERP sistemov
 Spremeni se dosedanji način izvajanja kontrol
in klasična revizijska sled
 Interne kontrole v sistemu se spreminjajo in
sicer iz detektivnih v preventivne
 Spremenijo se kontrolne točke in način
izvajanja kontrol – iz polavtomatskih in ročnih
se spremenijo v avtomatske
 Lastniki procesov morajo razumeti te
spremembe
Oracle Applications Audit Framework
Tveganja
Tveganja
P
r
o
g
r
a
m
s
k
i
v
m
e
s
n
i
k
i
Poslovni procesi
Aplikacijska infrastruktura
Kvaliteta podatkov
Tehnološka infrastruktura
Projektno vodenje
K
oK
no
vn
ev
rr
zz
ii
jj
aa
pp
oo
dd
aa
tt
kk
oo
vv
Oracle revizijsko ogrodje
Metodologija, ki vodi revizorja skozi celoten revizijski
proces:
 pristop k reviziji IS,
 vloga revizorja v posameznih fazah razvoja IS,
 ugotavljanje odgovornosti in pristojnosti uporabnikov
aplikacije in kontrola ustreznosti delitve nalog in
pristojnosti,
 skupine podatkov, lastniki podatkov in odgovornost za
podatke
 struktura IS in funkcionalnosti,
 poslovni procesi in organizacijski model.
Poslovni procesi
 Dokumentacija poslovnih procesov (BP080)
–
–
shematski prikaz procesov in povezav med njimi
opis procesov in vključenih internih kontrol
 Dokumentacija nastavitev parametrov (BR100)
–
–
dokumentiranost osnovnih nastavitev
dokumentiranost vseh sprememb (Change
Management)
 Navodila in testne skripte (TE040)
–
–
namenjena uporabnikom
v pomoč revizorjem
Koncept identifikacije in avtorizacije






uporabnik aplikacije (uporabniško ime in geslo),
funkcionalnosti in odgovornosti (Responsibilities),
dostop do podatkovnih skupin,
dostop do menijev,
dostop do poročil,
varnostni parametri vezani na uporabnika.
Koraki pri reviziji varnosti dostopa
do aplikacije
Korak 1: Zbiranje splošnih informacij
Korak 2: Identifikacija tveganih funkcionalnosti in poročil
Korak 3: Identifikacija menijev, ki vključujejo tvegane
funkcionalnosti
Korak 4: Identifikacija odgovornosti povezanih s
funkcionalnostmi in meniji
Korak 5: Identifikacija uporabnikov z določenimi
odgovornostmi
Korak 6: Ocena ugotovitev in njihov vpliv na poslovanje
Revizija posameznih poslovnih
procesov
Podrobna navodila za vsak posamezni
poslovni proces vključujejo:
 opis procesa,
 pomembna tveganja v okviru procesa,
 ključne kontrole v posameznem procesu,
 tehnike in navodila za testiranje,
 navigacija skozi aplikacijo.
Plan izvedbe revizije po poslovnih
procesih
Metodologija nam ponuja in nas vodi skzi
proces revizije aplikacije:
 zaporedje korakov in aktivnosti,
 cilji kontrole oziroma testiranja,
 dokumentacija,
 reference na COBIT.
Zaključek
Oracle Applications Audit Framework
je metodologija,
ki zagotavlja revizorju podporo celotnemu
revizijskemu procesu.
VPRAŠANJA
ODGOVORI