transformacja systemu kontroli wewnętrznej w dobie ......14) dyskusji z zarządem i biegłymi...
TRANSCRIPT
19.11.2020 r. Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k.
Transformacja systemu kontroli wewnętrznej w dobie digitalizacji Jak osiągnąć większe korzyści dla organizacji dzięki usprawnieniu mechanizmów
kontrolnych?
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 2Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Spis treści
Wpływ Covid-19 na komponenty COSO: środowisko kontroli, analizę ryzyka, czynności kontrolne, system informacyjny oraz działania monitorujące 12
02
Czy nowe zasady raportowania wymagają wdrożenia nowych mechanizmów kontrolnych 2003
Mechanizmy kontrolne w systemach informatycznych jako istotny element środowiska kontroli wewnętrznej 24
04
01 Oczekiwania wobec Komitetów Audytu w obszarze środowiska kontroli wewnętrznej 4
01
02
03
04
05 Przedstawienie dobrych praktyk dotyczących dokumentacji kontroli 31
06
Prezentacja narzędzia Workiva – Internal Controls Management – nowoczesnego rozwiązania w zakresie zarządzania kontrolami wewnętrznymi, które łączy informacje o ryzyku i kontroli wewnętrznej w organizacji 37
05
06
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 3Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
02
03
04
05
06
Prowadzący
01
Adam Czechanowski
Partner Associate, Audit & Assurance
+48 664 199 804 [email protected]
Barbara GryszkoDyrektor, Audit & Assurance+48 603 994 639
Tomasz Borowy
Dyrektor Zespół Zarządzania Ryzykiem, Konsulting
+48 500 33 65 65 [email protected]
Konrad Pszenny
Partner Associate, Zespół Zarządzania Ryzykiem, Konsulting
+48 664 199 172 [email protected]
Bożena Horbowicz
Senior Manager, Audit & Assurance
+48 693 074 970 [email protected]
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 4Transformacja systemu kontroli wewnętrznej w dobie digitalizacjiTransformacja systemu kontroli wewnętrznej w dobie digitalizacji Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 4
Oczekiwania wobec Komitetów Audytu w obszarze środowiska kontroli wewnętrznej
01
02
03
04
05
06
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 5Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Zgodnie z Ustawą o rachunkowości:
Kierownik jednostki oraz członkowie rady nadzorczej lub innego organu nadzorującego są zobowiązani do zapewnienia, aby sprawozdaniaspełniały wymagania przewidziane w ustawie. (Art. 4a. ust. 1)
Ponadto: odpowiadają solidarnie wobec spółki za szkodę wyrządzoną działaniem lub zaniechaniem stanowiącym naruszenie powyższegoobowiązku. (Art. 4a. ust 2)
Zapisy w księgach: kompletne, poprawne, rzetelne oraz odpowiednio udokumentowane.
Kto odpowiada? - Zadania w obszarze kontroli
01
02
03
04
05
06
Osiągnięcie tego celu wymaga skutecznego systemu kontroli wewnętrznej oraz właściwego zarządzania ryzykiem w procesie sprawozdawczości finansowej.
Rozporządzenie Ministra Finansów z 29 marca 2018 r. w sprawie informacji bieżących i okresowych, przekazywanych przez emitentów papierów wartościowych zawiera podstawowe wskazówki co do treści oświadczenia o stosowaniu ładu korporacyjnego w spółkach publicznych(§ 70 ust. 6 pkt. 5; lit c)) m.in.:
• Opis głównych cech stosowanych w spółce systemów kontroli wewnętrznej i zarządzania ryzykiem w odniesieniu do procesu sporządzania jednostkowego i skonsolidowanego sprawozdania finansowego.
Obowiązek powołania Komitetu Audytu Ustawa z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym(Art. 128)
W niektórych przypadkach pełnienie funkcji komitetu audytu w celu wykonywania obowiązków komitetu audytu może zostać powierzone radzie nadzorczej lub innemu organowi nadzorczemu lub kontrolnemu jednostki zainteresowania publicznego.
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 6Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Efektywne zarządzanie ryzykiem.
Wspomaga identyfikację i przyczynia się do ograniczenia
ryzyka nadużyć.
Wsparcie przy spełnieniu obowiązujących przepisów
prawa
i wymogów sprawozdawczych.
Usprawnienie procesów biznesowych np. poprzez
zmniejszenie ryzyka błędów i przeoczeń.
Optymalizacja czynności kontrolnych.
Bardziej rzetelna informacja finansowa, która jest
podstawą trafniejszych decyzji.
Efektywniejsze wykorzystanie zasobów.
Skrócenie czasu zamknięcia okresu i sporządzania
raportów finansowych.
01
02
03
04
05
06
Konsekwencje i ryzyka nieprawidłowo funkcjonującego środowiska kontroli
Konsekwencje
Błędne decyzje
Sankcje
Nadużycia / Oszustwa
Utrata reputacji i zaufania
Zablokowanie / utrata zasobów
Wyższe koszty
działania
Korzyści jakie niesie ze sobą dojrzalsze środowisko kontroli wewnętrznej
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 7Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Do zadań komitetu audytu należy w szczególności:
1) Monitorowanie
a) procesu sprawozdawczości finansowej
b) skuteczności systemów kontroli wewnętrznej i systemów zarządzania ryzykiem oraz audytu wewnętrznego, w tym w zakresie sprawozdawczości finansowej.
Zadania Komitetu Audytu w obszarze kontroli
01
02
03
04
05
06
Zgodnie z Art. 130 Ustawy z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym
Wymogi regulacyjne oraz ze strony inwestorów i Zarządów budują wysokie oczekiwania wobec Komitetu Audytu w obszarze kontroli wewnętrznej.
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 8Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Dobre praktyki w sprawie realizacji zadań (ustawowych) przez Komitet Audytu
Dobre praktyki dla jednostek zainteresowania publicznego dotyczące zasad powoływania, składu i funkcjonowania Komitetu Audytu z dnia 24 grudnia 2019 r. opublikowane przez Urząd Komisji Nadzoru Finansowego (UKNF):
1. Monitorowanie procesu sprawozdawczości finansowejDziałania w zakresie:…12) monitorowania skuteczności wdrożonych kluczowych procedur kontrolnych w zakresie sprawozdawczości finansowej,w tym proponowanych działań naprawczych, …14) dyskusji z zarządem i biegłymi rewidentami nt. poprawności i kompletności informacji zawartych w sprawozdaniach finansowych dot. m.in..: …b) omówienie informacji o znaczących ustaleniach badania, w tym wszelkich znaczących słabościach kontroli wewnętrznejzidentyfikowanych przez biegłego rewidenta w trakcie badania, …
Ocena ryzyka? Znaczące słabości kontroli wewnętrznej
Materialny wpływ na sprawozdanie finansowe? Nieznaczące słabości kontroli wewnętrznej
01
02
03
04
05
06
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 9Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Dobre praktyki w sprawie realizacji zadań (ustawowych) przez Komitet Audytu
2. Monitorowanie skuteczności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem
Działania dotycząca systemów kontroli wewnętrznej:nadzoru nad skutecznością systemów kontroli wewnętrznej, uzyskiwania informacji w zakresie kontroli wewnętrznej, dokonywania przeglądu wyników działania systemu, weryfikacji jego adekwatności i efektywności; proponowania ulepszeń procedur, wskazania obszarów, które wymagają bardziej szczegółowej kontroli; zobowiązania kadry zarządzającej do udokumentowania przebiegu procesu sprawozdawczości finansowej oraz określenia i oceny kluczowych procedur kontrolnych celem zapewnienia, iż sprawozdania finansowe oraz raporty zarządcze i finansowe, są rzetelne i wolne od istotnych błędów, weryfikacji wyników oceny procesów finansowo-księgowych oraz kluczowych procedur kontrolnych oraz proponowanych działań naprawczych.
01
02
03
04
05
06
WŁAŚCIWA DOKUMENTACJA KONTROLI WEWNĘTRZNEJ
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 10Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Dobre praktyki w sprawie realizacji zadań (ustawowych) przez Komitet Audytu
3. Monitorowanie skuteczności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem c.d.
Działania dotyczące audytu wewnętrznego:Szereg szczegółowych działań związanych z przeglądem, monitorowaniem i nadzorowaniem funkcji audytu wewnętrznego (np. opiniowanie planu audytów, przegląd wyników działania, otrzymywanie podsumowania działań podejmowanych w celu realizacji wydanych rekomendacji, niezależności, zgodności z przepisami prawa i standardami audytu wewnętrznego etc.)Pozostałe działania:monitorowania istotnych zmian w procesach finansowo-księgowych, nadzoru nad outsourcingiem procesów,otrzymywania od kadry zarządzającej informacji o zwiększonej ekspozycji na istotne ryzyka, o sposobie identyfikacji i monitorowania ryzyka, dokonywanie oceny działań podjętych w celu ograniczenia tego ryzyka; otrzymywania okresowych raportów dot. istotnych nadużyć oraz plan zabezpieczający przed powtórzeniem się podobnych sytuacji.
01
02
03
04
05
06
WŁAŚCIWA DOKUMENTACJA AUDYTU WEWNĘTRZNEGO, PROCESÓW I RYZYK
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 11Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
01
02
03
04
05
06
Zadania w obszarze kontroli wewnętrznej: Dodatkowe wymogi w zakresie systemu kontroli wewnętrznej dla instytucji finansowych znajdują się w szeregu aktów prawnych oraz rekomendacji / dobrych praktyk wydanych przez KNF/ UKNF. Zakres dodatkowych wymogów różni się w zależności od sektora
Zadania Komitetu Audytu
• Zapisy odnoszące się bezpośrednio do poszczególnych instytucji finansowych w ramach Dobrych Praktyk obejmują m.in.:
• spełnianie przez członków komitetu audytu wymogów określonych w uobr stanowi m.in. element oceny BION
• sprawozdanie SFCR podlega weryfikacji i analizie KA
• monitorowanie istotnych zmian w zakresie sprawozdawczości finansowej, w tym w szczególności zmian, które mogą wpłynąć na zdolność JZP do terminowego wywiązywania się z obowiązków sprawozdawczych
• funkcja zgodności – przywołanie regulacji dla Banków, ZU i TFI
• Wymogi zawarte w innych aktach prawnych, rekomendacjach / dobrych praktykach wydanych przez KNF/ UKNF
Perspektywa instytucji finansowych:
Wybrane regulacje
• Zasady Ładu Korporacyjnego dla Instytucji Nadzorowanych
• Banki: Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe, Rozporządzenie Ministra Rozwoju i Finansów z dnia 6 marca 2017 roku w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach, Rekomendacja H
• Zakłady ubezpieczeń: Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej
• TFI i zarządzane przez nie fundusze inwestycyjne: Rozporządzenie Ministra Finansów z dnia 2 lipca 2019 r. w sprawie sposobu, trybu oraz warunków prowadzenie działalności przez towarzystwa funduszy inwestycyjnych
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 12Transformacja systemu kontroli wewnętrznej w dobie digitalizacjiTransformacja systemu kontroli wewnętrznej w dobie digitalizacji Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 12
Wpływ Covid-19 na komponenty COSO: środowisko kontroli, analizę ryzyka, czynności kontrolne, system informacyjny oraz działania monitorujące
01
02
03
04
05
06
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 13Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Ryzyka• Pojawienie się nowych ryzyk lub zmianę oceny istniejących wcześniej ryzyk• Wpływ na istotne szacunki księgowe
Covid-19 a komponenty COSO
01
02
03
04
05
06
Osłabienie procesów kontrolnych
• Wykonywanie obowiązków kontrolnych może być niemożliwe z powodu ograniczeń systemowych lub braku wiarygodnych informacji, pojawienia się ograniczeń dot. dostępności zasobów
• Zmiany dotychczas stosowanych procedur
• Opóźnienia w wykonywaniu niektórych czynności kontrolnych lub zmiany częstotliwości wykonywanych procedur
Osłabienie informatycznych mechanizmów kontroli automatycznych
• Jeżeli kontrole automatyczne są uruchamiane i/lub monitorowane ręcznie, kontrole mogą nie działać z powodu niedostępności personelu
• Dostępność lub możliwości personelu IT
Osłabienie działania audytu wewnętrznego
• Skuteczność kontroli monitorowania.
Ryzyko, że aktualne procedury nie
działają w modelu zdalnym (np.
autoryzacja lub zatwierdzanie
transakcji)
Ryzyko braku kontroli nad poleceniami
księgowań (PK)
Ryzyko, że kontrole automatyczne nie zadziałają, jeżeli
kontrole dotyczące środowiska IT nie będą efektywne
Źródło: Internal Control – Integrated Framework – COSO 2017
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 14Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Nowe lub zmienione czynniki ryzyka Wybór lub opracowanie procedur kontrolnych lub zmian w procesach, które to ryzyko redukują
Pandemia wymaga weryfikacji i przeprowadzenia ponownej analizy poziomu ryzyka
01
02
03
04
05
06
PRZYKŁAD 1 Ryzyko: Zachowanie ciągłości dostaw w sytuacji lockdown (zakłócenia w działaniu łańcucha dostaw i problemy z transportem pewnych towarów, spowodowane ograniczeniami importu lub eksportu)
Procedury kontrolne lub zmiany w procesach: Wdrożenie kontroli manualnego lub automatycznego monitorowania poziomu zapasów, w celu oceny czy zostanie zachowany odpowiedni poziom zapasów bezpieczeństwa.
PRZYKŁAD 2 Ryzyko: Ryzyko niewypłacalności kontrahentów
Procedury kontrolne lub zmiany w procesach: Wzmocnienie kontroli wypłacalności nowych kontrahentów np. poprzez wprowadzenie dodatkowych wymogów w zakresie oceny potencjalnych nowych klientów. Zwiększenie częstotliwości monitorowania przekroczeń limitów kredytowych, obniżenie limitów kredytowych dla istniejących wybranych klientów lub wdrożenie przedpłat.
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 15Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Ryzyka sprawozdawcze
01
02
03
04
05
06
Ryzyko sprawozdawczePrzykłady kontroli wewnętrznych lub procesów, które mogą zostać wdrożone/wzmocnione/zmienione
• Zaniżanie odpisu na należności, odpisu na zapasyZwiększenie częstotliwości monitoringu należności, zapasów pod kątem odpisu, obniżenie progu do analiz
• Kapitalizacja kosztów
• Koszty związane z ochroną zdrowia
Niezależny przegląd kapitalizowanych wydatków przez audytora wewnętrznego/kontrolera finansowego
• Zawyżanie przychodów.
• Wartości szacunkowe, dążenie kierownictwa do zawyżania lub zaniżania wskaźników wskutek presji
• Jednorazowe spisywanie składników aktywów
Zwiększenie częstotliwości dokonywania przez zarząd kontroli typu Business Performance Review
Zwiększenie zakresu lub wprowadzenie kontroli periodycznego przeglądu poleceń księgowania
• Ujęcie przychodu z otrzymanej subwencji w nieprawidłowym okresie/ brak kontroli warunków subwencji - konieczność zwrotu
Okresowy przegląd warunków otrzymania subwencji
• W przypadku Banków zaniżanie odpisów na należności kredytowe
Zwiększenie częstotliwości kontroli dokonywanych przez Zarząd oraz obniżenie progu do kontroli odchyleń
Przegląd założeń dotyczących zmiennych makroekonomicznych stosowanych w modelach przez departament analiz ekonomicznych
• Zaniżenie rezerw techniczno-ubezpieczeniowych (RTU) w związku z brakiem aktualizacji głównych założeń aktuarialnych mających wpływ na poziom rezerw RTU
Przegląd głównych założeń aktuarialnych przez Głównego Aktuariusza, Zarząd
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 16Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Przykładowe zagadnienia:
Środowisko kontroli:
- kwestia zasobów – dostępność i uczciwość pracowników,
- zmiany zakresu i podział obowiązków,
- przekazywanie uprawnień i odpowiedzialności za realizację zadań kontrolnych, korekta uprawnień do zatwierdzania,
- ustalenie formalnych zastępstw,
- zapewnienie dodatkowych zasobów w momentach dużego obciążenia (np. pracownicy tymczasowi),
- dodatkowe szkolenia.
System informacyjny (Informacja i komunikacja):
- ograniczenia w dostępności informacji i danych,
- efektywność spotkań online,
- infrastruktura IT.
Każdorazowo rozważenia wymagają kwestie specyficzne dla danego biznesu.
Jakie kwestie wziąć pod uwagę oceniając wpływ pandemii na środowisko kontroli, system informacyjny?
01
02
03
04
05
06
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 17Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Wzmocnienie procesów monitoringu mechanizmów kontroli transakcji
Wzmocnienie monitoringu: - bieżący monitoring - odrębne oceny/przeglądy okresowe
01
02
03
04
05
06
Przykłady dodatkowych działań monitoringowych
• Wzmocnienie roli Komitetu Audytu bądź osób odpowiedzialnych za nadzór poprzez częstsze spotkania i przeglądy.
• Program sprawdzający poziom przestrzegania przepisów dotyczących ładu korporacyjnego dla potrzeb identyfikacji mechanizmów kontroli, dotkniętych skutkami pandemii.
• Analiza konieczności wprowadzenia dodatkowych poziomów weryfikacji w zależności od skali zmian.
• Mechanizm podwójnej akceptacji na różnych poziomach organizacyjnych.
• Analiza konieczności prowadzenia dodatkowej dokumentacji (np. protokołów z zebrań), elektronicznych procedur akceptacji czy pozyskiwania innego rodzaju dowodów (np. zrzutów z ekranu uczestników spotkania).
• Zwiększenie skali sceptycyzmu zawodowego w procesie weryfikacji poprawności założeń i/lub subiektywnych osądów.
• Wprowadzanie nowych kontrolerów.
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 18Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Przykłady istotnych zmian w kontroli wewnętrznej jako skutek Covid-19: brak kontroli odpowiadających na nowe lub zmienione ryzyka istotna zmiana w zakresie zaprojektowania funkcjonujących wcześniej
kontroli (kontrole, które wcześniej efektywnie funkcjonowały, przestają funkcjonować w sposób efektywny)
zaprojektowanie i wdrożenie nowych kontroli, które zastępują istniejące wcześniej kontrole lub odpowiadają na nowe ryzyka
Wpływ pandemii na czynności kontrolne
01
02
03
04
05
06
Kontrole wewnętrzne
Wpływ na czynności kontrolne:- zasady i procedury dokumentacji prowadzonej kontroli,- automatyzacja procesów np. akceptacja zdalna, - zwiększenie zakresu kontroli automatycznych, jeśli istnieją takie możliwości systemowe,- testowanie kontroli w trakcie spotkań online (dzielenie ekranu etc.),- zmiana czasochłonności i częstotliwość przeprowadzenia kontroli.
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 19Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Podejście Spółki do transformacji systemu kontroli wewnętrznej
Te same zagadnienia powinny zostać rozważone również przez Spółki w celu przygotowania odpowiedzi na zmieniającą się rzeczywistość oraz ewentualnej transformacji systemu kontroli wewnętrznej.
Podeście audytora do badania w dobie Covid-19 vs podejście Spółki do transformacji systemu kontroli wewnętrznej
01
02
03
04
05
06
Podejście audytora do badania
Analiza wpływu Covid-19 na ryzyko oszustw (Covid-19 jako potencjalny motyw oszustwa)
Analiza wpływu Covid-19 na system kontroli wewnętrznej
możliwy wpływ na system kontroli wewnętrznej w dobie pracy zdalnej
ryzyko, że uprzednio działające kontrole zostały istotnie zmodyfikowane lub nie działają
analiza zaprojektowania nowych kontroli oraz ich efektywności operacyjnej
Wpływ Covid-19 na procedury audytowe
specyficzne ryzyka powodowane pandemią Covid-19 np. utrata wartości aktywów, kompletność rezerw, ryzyko kontynuacji działalności, kwestia ujęcia ulg w czynszu
forma przeprowadzenia inwentaryzacji np. wdrożenie inwentaryzacji ciągłej
ujawnienia w informacji dodatkowej
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 20Transformacja systemu kontroli wewnętrznej w dobie digitalizacjiTransformacja systemu kontroli wewnętrznej w dobie digitalizacji Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 20
Czy nowe zasady raportowania wymagają wdrożenia nowych mechanizmów kontrolnych
01
02
03
04
05
06
21Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Zmiany w środowisku kontroli z uwagi na zmiany w przepisach
• Zmiany w zakresie Międzynarodowych Standardów Sprawozdawczości Finansowej –MSSF 16 Leasing, MSSF15 Przychody z umów z klientami
• Zmiany w interpretacjach
• Wprowadzenie nowego formatu raportowania XBRL
• Wprowadzenie obowiązku składania sprawozdań finansowych do KRS w formacie XML
01
02
03
04
05
06
Dostosowanie procesów kontroli
konieczność zaprojektowania przez spółki kontroli nad identyfikacją zmian w przepisach dotyczących zagadnień księgowych, podatkowych, wymogów raportowania do instytucji zewnętrznych etc.
W przypadku instytucji finansowych– określone obowiązki komórki do spraw zgodności wynikające m.in. z rozporządzenia Ministra Rozwoju i Finansów w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach.
Zmiany w przepisach i regulacjach wymagają transformacji systemu kontroli wewnętrznej polegającej na zaprojektowaniu nowych mechanizmów kontrolnych lub dostosowaniu istniejących mechanizmów kontrolnych.
22Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Nowe wymogi - ryzyka wymagające czynności kontrolnych
MSSF 16 – Leasing
Przegląd zmian w interpretacjach dotyczących MSSF 16
Wprowadzenie i weryfikacja formularza analizy umowy pod kątem klasyfikacji jako leasing
Weryfikacja poprawności przeprowadzenia przeglądu bazy umów pod kątem identyfikacji zmian w umowach
Weryfikacja poprawności ujęcia danych z umów w narzędziu MSSF 16
Ujawnienia MSSF 16 – zapewnienie kompletności i poprawności ujęcia
MSSF 15 – Przychody z umów z klientami
Wprowadzenie formularza analizy umowy pod kątem identyfikacji umów zawierających specyficzne zapisy, dla których przewidziane są szczegółowe regulacje w ramach MSSF 15 wymagające dodatkowych księgowań np. kwestia gwarancji, zwrotów
Okresowa weryfikacja wpływu korekt MSSF 15
Ujawnienia MSSF 15 – zapewnienie kompletności i poprawności ujęcia
01
02
03
04
05
06
23Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Nowe wymogi - ryzyka wymagające czynności kontrolnych
XML
Kontrola polegająca na walidacji technicznej (IT) pliku XML (zgodność ze schemą MF)
Weryfikacja poprawności merytorycznej (zawartości pliku XML) – realizowana poprzez dekonwersję pliku XML do formatu MS Office/ pdf
Kontrola nad poprawnością podpisów elektronicznych (dodatkowa weryfikacja przy użyciu czytnika podpisów)
XBRL
Kontrola merytoryczna nad poprawnością tagowania sprawozdania - weryfikacja merytoryczna przez osobę posiadającą znajomość taksonomii ESEF/IFRS
Weryfikacja poprawności merytorycznej (zawartości pliku XHTML) – zgodność ze sprawozdaniem finansowym
Kontrola nad poprawnością podpisów elektronicznych (dodatkowa weryfikacja przy użyciu czytnika podpisów)
01
02
03
04
05
06Nie wystarczy samo przeprowadzenie czynności kontrolnej .
Czynności kontrolne powinny być właściwe udokumentowane.
24Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacjiPresentation title[To edit, click View > Slide Master > Slide Master]
Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]
24
Mechanizmy kontrolne w systemach informatycznych jako istotny element środowiska kontroli wewnętrznej
01
02
03
04
05
06
25Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Standardy w obszarze IT
Wybrane normy i standardy z perspektywy budowy środowiska kontroli IT:
COBIT
(Control Objectives for Information and related Technology)
ISO
(International Organization for Standardization)
NIST
(National Institute of Standards and Technology)
ITIL
(Information Technology Infrastructure Library)
01
02
03
04
05
06
26Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Kiedy kontrole ITGC mogą być istotne
Istotność poszczególnych systemów informatycznych (aplikacji ERP, hurtowni danych, systemów raportujących, narzędzi IT) może być określona poprzez analizę następujących czynników:
− Dane: Gdy spółka w istotny sposób polega na systemach informatycznych oraz informatycznych bazach danych do procesowania i przechowywania danych. Im bardziej złożone i obszerne jest wykorzystanie technologii informatycznych do procesowania danych tym większe jest prawdopodobieństwo, że kontrole ITGC w istotny sposób będą wpływać na integralność i poprawność przetwarzanych danych.
− Funkcjonalności automatyczne: Gdy kierownictwo Spółki polega na zaimplementowanych w systemach informatycznych funkcjonalnościach, które spełniają prewencyjną bądź detekcyjną rolę w danym procesie biznesowym
− Raporty systemowe: Gdy Spółka polega na raportach generowanych z systemów informatycznych (w tym hurtowni danych) w ramach wykonywania poszczególnych procesów biznesowych i powiązanych czynności kontrolnych.
27Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Obszar Opis Przykładowe ryzyko
Dostęp użytkowników
Uprawnienia użytkownika końcowego
Użytkownicy posiadają uprawnienia wykraczające poza te,które niezbędne są do wykonywania obowiązków służbowych co może prowadzić do powstania konfliktów rozdziału obowiązków (SoD).
Bezpośredni dostęp do danych
Nieuprawniona, bezpośrednia modyfikacja danych finansowych poprzez operacja wykonane poza warstwą aplikacyjną.
Ustawienia systemowe
System nieadekwatnie skonfigurowany bądź niezaktualizowany aby realizować dostęp tylko odpowiednio autoryzowanych i uwierzytelnionych użytkowników
Przykładowe ryzyka w obszarze IT
28Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Zasady Kontroli Wewnętrznej
Kontrole automatyczne a ogólne kontrole w obszarze teleinformatycznym (ITGC)
• W ramach zaleceń COSO ustanowiono 17 „Zasad kontroli wewnętrznej”, aby zapewnić jasność podczas projektowania i wdrażania skutecznych systemów kontroli.
• Zasady te zapewniają formalną strukturę projektowania i oceny skuteczności kontroli wewnętrznej
• Określa odpowiednie cele
• Identyfikuje i analizuje ryzyko
• Ocenia ryzyko związane z oszustwami
• Identyfikuje i analizuje istotne zmiany w profilu ryzyka
Ocena ryzyka
2
• Prowadzi bieżące i / lub niezależne oceny kontroli wewnętrznej
• Ocenia i komunikuje braki
Monitorowanie
5
• Wykorzystuje odpowiednie informacje
• Komunikuje się wewnętrznie
• Komunikuje się na zewnątrz
Przepływ informacji
4
• Identyfikuje i usprawnia czynności kontrolne
• Identyfikuje i usprawnia ogólną kontrolę nad technologią IT
• Wdraża mechanizmy za pomocą zasad i procedur
Mechanizmy kontrolne
3
• Demonstruje przywiązanie do integralności i etyki
• Wykonuje obowiązki nadzorcze
• Ustanawia strukturę, autorytet i odpowiedzialność
• Wykazuje zaangażowanie w rozwoju kompetencji
• Wymusza odpowiedzialność
Środowisko kontroliwewnętrznej
1
29Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Kontrole automatyczne a ogólne kontrole w obszarze teleinformatycznym (ITGC)
Bez skutecznych kontroli ITGC kontrole automatyczne nie są wiarygodne
Kontrole automatyczne w procesie biznesowym
Definicja: kontrole, które dotyczą wszystkich systemów, komponentów, procesów i danych dla danej organizacji oraz jej środowiska informatycznego. Celem ITGC jest zapewnienie prawidłowego rozwoju i wdrażania aplikacji, a także integralności programów, plików danych i operacji komputerowych.
Główne obszary:
1. Zarządzanie dostępami,
2. Zarządzanie zmianą,
3. Obsługa incydentów,
4. Tworzenie kopii zapasowych.
Ogólne kontrole w obszarze teleinformatycznym (ITGC)
Definicja: samoczynne lub wykonywane na żądanie użytkownika zbieranie, przetwarzanie i przesyłanie informacji o stanie procesu w celu wykrywania sytuacji wymagających odpowiedniej reakcji, analiza odchyleń mierzonego parametru od dopuszczonego zakresu zmienności.
30Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Wpływ pandemii, praca zdalna
Kontrole automatyczne a ogólne kontrole w obszarze teleinformatycznym (ITGC)
Nacisk na automatyzację środowiska kontroli
wewnętrznej
Prewencja vs detekcja
Pełna populacja vs próba
Ograniczona pracochłonność
Zwiększona rola repozytoriów i narzędzi typu workflow
Wygodniejsza komunikacja
Lepsze zarządzanie SKW
Segregacja obowiązków, podział ról i odpowiedzialności
Manualne kontrole dokumentowane bez wykorzystywania papieru
„nie ma kontroli bez dowodu jej wykonania”
E-maile, zrzuty ekranu, cyfrowe podpisy, logi
Ryzyka związane z pracą zdalną:
• Większa liczba użytkowników korzystających z VPN
• Wyzwania związane z wydajnością oraz skalowalnością systemów informatycznych
• Intensyfikacja ataków cyber przestępców (m.in. phishing)
• Utrudniony dostęp do zespołów wsparcia
• Utrudniony bezpośredni kontakt z własnym zespołem oraz przełożonymi
• Niedostępna dokumentacja archiwalna
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 31Transformacja systemu kontroli wewnętrznej w dobie digitalizacjiTransformacja systemu kontroli wewnętrznej w dobie digitalizacji Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 31
Przedstawienie dobrych praktyk dotyczących dokumentacji kontroli
01
02
03
04
05
06
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 32Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Dobre praktyki w zakresie dokumentacji kontroli
01
02
03
04
05
06
Flowcharty przedstawiające
procesy i czynności kontrole w ramach
procesów
Dokumentacja przeprowadzonych
czynności kontrolnych
Macierz ryzyk i kontroli
w podziale na poszczególne
procesy i podprocesy
Opisy procesów uwzględniające mapy stosowanych systemów/aplikacji IT i ich powiązań
1
4
3
2
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 33Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Flowchart - przykład
01
02
03
04
05
06
Mapy procesów
powinny zawierać
czynności kontrolne.
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 34Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Cel kontroli, opis czynności kontrolnej, dokumentów
w procesie, częstotliwości wykonania kontroli,
typu kontroli
• prewencyjna/detekcyjna;
• manualna/półautomatyczna/automatyczna),
Wskazanie osoby odpowiedzialnej za wykonanie kontroli,
Macierz ryzyk i kontroli - przykład
01
02
03
04
05
06
KOMPONENTY
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 35Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Gdzie jest balans pomiędzy skutecznością i nakładami?
35
Dobrze skonstruowany system kontroli wewnętrznej powinien zapewnić równowagę pomiędzy jego skutecznością i nakładami potrzebnymi do realizacji potrzebnych czynności
• Ukierunkowanie na pokrycie wszystkich ryzyk,
• Zapobieganie wystąpieniu / szybkie wykrycieistotnych błędów i nadużyć,
• Aktywa jednostki są zabezpieczone,• Spółka działa zgodnie z wymogami prawa,• Wewnętrzne regulaminy są przestrzegane,
• Raporty wew. i zew. są rzetelne i prawidłowe.
• Zapewnia osiągnięcie kluczowych celów,
• Zarząd akceptuje możliwość wystąpienia wybranych ryzyk,
• Odpowiednie dobranie kontroli i zachowanie proporcji pomiędzy kontrolami,
• Częstotliwość wykonywania czynności kontrolnych może być zredukowana.
SKUTECZNY ZRÓWNOWAŻONY
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 36Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
a) Tak, jest wystarczająca i nie planujemy zmian w tym zakresie
b) Mamy plany poprawy/ wzmocnienia tego obszaru w najbliższym czasie
c) Tak, widzimy obszary do poprawy, ale w dłuższej perspektywie czasu
d) Nie posiadamy jeszcze dokumentacji kontroli
e) Nie mam takiej wiedzy
Czy obecna dokumentacja kontroli wewnętrznych w Państwa firmie jest wystarczająca?
01
02
03
04
05
06
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 37Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Workiva: zarządzanie kontrolami
wewnętrznymi
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 38Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Umożliwiamy klientom połączenie ludzi,
danych i procesów na jednej, całkowicie
bezpiecznej platformie w chmurze
Połączona sprawozdawczość i zapewnienie
zgodności z obowiązującymi przepisami
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 39Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
ponad 3.600organizacji klienckich
ponad 297 mln USDprzychodów za rok 2019
ponad 30patentów technologicznych
ponad 75%firm z rankingu Fortune 500
180 krajówz aktywnymi użytkownikami
czysta technologia chmurypołączone rozwiązania sprawozdawcze
95%poziom utrzymania bazy
przychodów
95%zadowolonych klientów
Workiva we wskaźnikach
* Dane z lutego 2020 r.
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 40Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
• Roczne i kwartalne sprawozdania finansowe
• Sprawozdawczość ESEF• Raportowanie zintegrowane• Raportowanie wyników• Sprawozdawczość giełdowa• Sprawozdawczość na temat
zrównoważonego rozwoju• Sprawozdawczość z obszaru
BHP i ochrony środowiska• Globalna sprawozdawczość
ustawowa• Sprawozdawczość podatkowa• Solvency II i ORSA• MSSF 17• Sprawozdawczość ustawowa
w sektorze ubezpieczeń• Sektor rządowy i szkolnictwo
• Ustawa Sarbanes-Oxley i zarządzanie kontrolami
• Zarządzanie audytem• Zarządzanie ryzykiem
przedsiębiorstwa• Kontrole wewnętrzne• Polityki i procedury• Zgodność z CASS (ochrona
aktywów i pieniędzy klienta)• FATCA• ICAAP/ILAAP, ujawnienia
z zakresu filaru 3• Prospekty emisyjne funduszy
inwestycyjnych• Sprawozdania dla
akcjonariuszy/udziałowców• Testy warunków skrajnych• Plany restrukturyzacji i
uporządkowanej likwidacji• Prospekty emisyjne firm
ubezpieczeniowych
Rozwiązania systemowe firmy Workiva
Połączone dane finansowe
Raportowanie dla potrzeb audytu
Sprawozdawczość regulacyjna
Sprawozdawczość zarządcza
Sprawozdawczość roczna i kwartalna
Zarządzanie kontroląamiwewnętrznymi
Sprawozdawczość podatkowa i ustawowa
Połączona sprawozdaw-czość
i zapewnienie zgodności
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 41Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
Wideo - kontrole wewnętrzne
Deloitte Audyt Spółka z ograniczoną odpowiedzialnością Sp. k. 42Transformacja systemu kontroli wewnętrznej w dobie digitalizacji
a) Tak, system został wdrożony
b) Nie, ale rozważamy wdrożenie systemu w najbliższym roku
c) Nie, ale rozważamy wdrożenie systemu w przeciągu 1-3 lat
d) Nie, nie planujemy wdrożenia systemu
Czy wdrożyli Państwo system IT do zarządzania kontrolami wewnętrznymi łączący je z ryzykami?
01
02
03
04
05
06
Powyższa publikacja zawiera jedynie informacje natury ogólnej. Deloitte Touche Tohmatsu Limited („DTTL”), globalna sieć jej firm członkowskich oraz jednostek z nimi powiązanych (zwanych łącznie „organizacją Deloitte”) nie świadczą za jej pośrednictwem profesjonalnych usług ani nie udzielają profesjonalnych porad. Przed podjęciem jakichkolwiek decyzji lub działań, które mogą mieć wpływ na finanse lub działalność twojej firmy, należy uzyskać poradę profesjonalną. Nie składamy żadnych oświadczeń, nie udzielamy gwarancji ani nie podejmujemy zobowiązań (jawnych ani dorozumianych), dotyczących dokładności i kompletności informacji, zawartych w niniejszej publikacji. DTTL, jej firmy członkowskie, podmioty z nimi powiązane, ich pracownicy oraz agenci nie ponoszą odpowiedzialności za straty lub szkody, wynikające bezpośrednio lub pośrednio z wykorzystania niniejszej publikacji. DTTL i jej firmy członkowskie oraz podmioty z nimi powiązane stanowią oddzielne i niezależne podmioty prawa.
Nazwa Deloitte odnosi się do jednego lub kilku podmiotów Deloitte Touche Tohmatsu Limited („DTTL”), jej firm członkowskich oraz ich podmiotów powiązanych (zwanych łącznie „organizacją Deloitte”). DTTL (zwana również „Deloitte Global”), każda z jej firm członkowskich i podmiotów z nimi powiązanych są prawnie odrębnymi, niezależnymi podmiotami, które nie mogą podejmować decyzji ani zobowiązań za inne podmioty wobec osób trzecich. DTTL, każda z jej firm członkowskich i podmiotów powiązanych ponoszą odpowiedzialność wyłącznie za własne działania i zaniechania, a nie za działania i zaniechania innych firm członkowskich i podmiotów powiązanych. DTTL nie świadczy usług na rzecz klientów. Zapraszamy na stronę www.deloitte.com/pl/onas w celu uzyskania dalszych informacji.
Deloitte to wiodąca, międzynarodowa firma świadcząca klientom usługi obejmujące m.in. audyt, konsulting, doradztwo finansowe, zarządzanie ryzykiem, doradztwo podatkowe.
Nasza globalna sieć firm członkowskich i podmiotów powiązanych (zwana łącznie „organizacją Deloitte”) obejmuje ponad 150 krajów i terytoriów i świadczy usługi na rzecz czterech z pięciu spółek z rankingu Fortune Global 500®. Aby dowiedzieć się, w jaki sposób około 312 000 pracowników Deloitte realizuje misję firmy, zachęcamy do odwiedzenia strony: www.deloitte.com.
Deloitte Central Europe to regionalna organizacja podmiotów działających w grupie Deloitte Central Europe Holdings Limited, firmy członkowskiej Deloitte Touche Tohmatsu Limited w Europie Środkowej. Usługi świadczą spółki zależne i powiązane z Deloitte Central Europe Holdings Limited, które stanowią odrębne i niezależne podmioty prawa. Spółki zależne i powiązane z Deloitte Central Europe Holdings Limited znajdują się w grupie wiodących firm, świadczących usługi profesjonalne w regionie Europy Środkowej; zatrudniają łącznie niemal 7 000 pracownikóww 44 biurach, działających w 18 krajach.
© 2020 Deloitte Audyt spółka z ograniczoną odpowiedzialnością sp. k.