nepravilnosti in nezakonitosti

G9 Audit Considerations for Irregularities and Illegal Acts G9 Revizorjeva obravnava nepravilnosti in nezakonitosti

Vsebina – Povezave – Definicije – Odgovornosti – Ocena tveganj – Načrt revizije – Izvedba revizije – Poročilo

Povezave Standardi – S3 Professional Ethics and Standards (Etična načela in standardi) – S5 Planning (Načrtovanje) – S6 Performance of Audit Work (Izvedba revizije) – S7 Reporting (Poročanje) – S9 Irregularities and Illegal Acts (Nepravilnosti in nezakonitosti)

COBIT procesi • Primarni: Skladnost, zaupnost, celovitost, razpoložljivost – PO5 Manage the IT investment (Opredelite strateški načrt IT) – PO7 Manage IT human resources (Upravljanje človeških virov v sektorju IT) – PO9 Assess and manage IT risks (Upravljajte in obvladujte tveganja IT) – PO10 Manage projects (Upravljate projekte) – AI1 Identify automated solutions (Določite avtomatizirane rešitve) – AI5 Procure IT resources (Zagotovite sredstva IT) – ME2 Monitor and evaluate internal controls (Spremljate in vrednotite kontrole IT) – ME3 Ensure regulatory compliance (Zagotovite skladnost z zunanjimi zahtevami)

• Sekundarni: zanesljivost , uspešnost, zakonitost – PO3 Determine technological direction (Določite tehnološke usmeritve) – PO4 Define the IT processes, organisation and relationships (Opredelite IT procese, organizacijo in razmerja) – PO8 Manage quality (Upravljajte kakovost) – DS7 Educate and train users (izobrazite in usposobite uporabnike) – DS10 Manage problems (Upravljajte probleme) – ME1 Monitor and evaluate IT performance (Spremljajte in vrednotite delovanje IT)

Definicije • Non-fraudulent Irregular Activities (nepravilnosti, ki niso goljufije) – Intentional violations of established management policy (namerna kršitev pravil in politik) – Intentional violations of regulatory requirements (namerna kršitev zakonov in predpisov) – Deliberate misstatements or omissions of information concerning the area under audit or the organisation as a whole (namerne napačne trditve ali opustitve posredovanja informacij) – Gross negligence (velike malomarnosti) – Unintentional illegal acts (nenamerne, nezavedne

nezakonitosti)

Definicije • Irregularities and Illegal Acts (nepravilnosti in nezakonitosti) – Fraud, which is any act involving the use of deception to obtain illegal advantage – Acts that involve non-compliance with laws and regulations, including the failure of IT systems to meet applicable laws and regulations – Acts that involve non-compliance with the organisation’s agreements and contracts with third parties, such as banks, suppliers, vendors, service providers and stakeholders – Manipulation, falsification, forgery or alteration of records or documents (whether in electronic or paper form) – Suppression or omission of the effects of transactions from records or documents (whether in electronic or paper form) – Inappropriate or deliberate leakage of confidential information – Recording of transactions in financial or other records (whether in electronic or paper form) that lack substance and are known to be false – Misappropriation and misuse of IS and non-IS assets – Acts whether intentional or unintentional that violate intellectual property (IP), such as copyright, trademark or patents – Granting unauthorised access to information and systems – Errors in financial or other records that arise due to unauthorised access to data and systems

Odgovornosti • Responsibilities of Management (Odgovornosti

vodstva – pravočasno preprečevati in/ali odkrivati nepravilnosti in nezakonitosti, razkrivanje revizorjem in drugim, zagotavljanje preiskovanja v primeru nastanka ali suma) – Designing, implementing and maintaining internal control systems to prevent and detect irregularities or illegal acts. Internal controls include transaction review and approval and management review procedures. – Polices and procedures governing employee conduct – Compliance validation and monitoring procedures – Designing, implementing and maintaining suitable systems for the reporting, recording and management of incidents relating to irregularities or illegal acts

Odgovornosti • Responsibilities of IS Auditor (Odgovornosti revizorja IS) – razume svojo odgovornost v zvezi s poročanjem o nepravilnosti in nezakonitosti, – pozna in razume kontrolni sistem, oceni tveganje nastanka nepravilnosti in nezakonitosti, – prepozna indikatorje nastanka in posledice tovrstnih dejanj na podjetje v materialnem smislu, – v primeru suma obvezo raziskati in potem poročati, – Informiranje pristojnih (upravo, revizijski odbor) – Poiskati pravno pomoč razkrivanje revizorjem in drugim, zagotavljanje preiskovanja v primeru nastanka ali suma) – Mora identificirati morebitna tveganja, ki prispevajo k pogostnosti prever – Zagotavljati svojo neodvisnost v preiskovanju

• Revizor ne daje zagotovila, da bodo nepravilnosti in nezakonitosti odkrite in ni odgovoren, da bodo preprečene

Ovrednotenje tveganj • IS revizor mora oceniti tveganja pojava z upoštevanjem možnih faktorjev povečevanja tveganja – Organisational characteristics, e.g., corporate ethics, organisational structure, adequacy of supervision, compensation and reward structures, the extent of corporate performance pressures, organisation direction – The history of the organisation, past occurrences of irregularities, and the activities subsequently taken to mitigate or minimise the findings related to irregularities – Recent changes in management, operations or IS systems and the organisation’s current strategic direction – Impacts resulting from new strategic partnerships – The types of assets held, or services offered, and their susceptibility to irregularities – Evaluation of the strength of relevant controls and vulnerabilities to circumvent or bypass established controls – Applicable regulatory or legal requirements – Internal policies such as a whistle-blower policy, insider trading policy, and employee and management code of ethics – Stakeholder relations and financial markets – Human resources capabilities – Confidentiality and integrity of market-critical information

Ovrednotenje tveganj - 2 • IS revizor mora oceniti tveganja pojava z upoštevanjem možnih faktorjev povečevanja tveganja – The history of audit findings from previous audits – The industry and competitive environment in which the organisation operates – Findings of reviews carried out outside the scope of the audit, such as findings from consultants, quality assurance teams or specific management investigations – Findings that have arisen during the day-to-day course of business – Process documentation and a quality management system – The technical sophistication and complexity of the information system(s) supporting the area under audit – Existence of in-house developed/maintained application systems, compared with packaged software, for core business systems – The effect of employee dissatisfaction – Potential layoffs, outsourcing, divestiture or restructuring – The existence of assets that are easily susceptible to misappropriation – Poor organisational financial and/or operational performance – Management’s attitude with regard to ethics – Irregularities and illegal acts that are common to a particular industry or have occurred in similar organisations

Ovrednotenje tveganj • IS revizor mora od vodstva pridobiti: – Njihovo razumevanje možnosti in pojavnosti nepravilnosti in nezakonitosti – Njihovo vedenje za obstoj nepravilnosti in nezakonitosti v preteklosti – Na kak način spremljajo in ocenjujejo tveganja pojava nepravilnosti in nezakonitosti – Katere procese so vzpostavili za komuniciranje deležnikom v zvezi z nepravilnostmi in nezakonitostmi – Kateri so predpisi in zakoni, ki jih mora organizacija upoštevati v zvezi s tem ter pristojnosti služb (npr. pravne službe, oddelka za tveganja,..) in odborov (npr. revizijskega, za tveganja)

Načrtovanje revizije & prevzema posla • Odločanje v zvezi s sprejemom posla zahteva: – Razumevanje delovanja podjetja: ciljev operativnih aktivnosti – Poznavanje in razumevanje kontrol – Poznavanje in razumevanje predpisov za delovanje zaposlenih – Poznavanje in razumevanje načina preverjanja skladnosti in siceršnjega nadzora – Poznavanje pravnega okolja delovanja podjetja – Mehanizmov, ki jih podjetje uporablja za spremljanje predpisov, njihovo uveljavljanje, kako organizacija nadzira skladnost delovanja z zakoni in kakšne so sankcije za kršitve

Načrtovanje revizije & prevzema posla • Izvedba posla: – Načrtovani postopki in obseg sta v soodvisnosti od identificiranih tveganj nastanka nepravilnosti in nezakonitosti – Razumevanje tveganj vpliva na to kako se načrtuje izvedba določenih postopkov (časovno, organizacijsko tehnično) – Upoštevati pridobljene informacije vodstva podjetja in IT ter uporabnikov v zvezi skladnostjo & nepravilnostmi in nezakonitostmi – Obseg testiranje je odvisen od: • Nepravilnosti in nezakonitosti z vidika materialnosti za organizacijo • Pomanjkljivostih v kontrolnih sistemih, ki ne omogočajo sprotnega odkrivanja vsaj materialnih nepravilnosti in nezakonitosti • Pomembnejših pomanjkljivostih v procesih, ki onemogočajo zaposlenim ustreznost ravnanja • Pomembnejših pomanjkljivosti, ki revizorju onemogočajo dokumentiranje postopkov in dokazov – Revizor mora stopnjo zanesljivosti svojih ugotovitev ali gre za nepravilnosti ali nezakonitosti glede na načrtovane postopke (“lažni alarmi”, nezadostnost in nezanesljivost dokazov, dejanski obstoj tveganj nastanka)

Izvedba revizijskega dela • Odziv na odkrito nepravilnost oz. nezakonitost – – – –

– – – –

Pridobiti razumevanje dejanske nepravilnosti oz. nezakonitosti Pridobiti razumevanje okoliščin v katerih se je zgodilo Zagotoviti zadosti podporne dokumentacije za ocenitev učinkov Izvesti potrebne dodatne aktivnosti z namenom spoznanja ali obstajajo še enake ali podobne nepravilnosti oz. neazkonitosti, toreje ne gre za posamični dogodek IS revizor mora sodelovati z ustreznimi sodelavci in službami (varnostnim inženirjem, pravniki,..) Oceniti je potrebno vlogo vodstva vključno z morebitno vključenostjo Revizor mora preveriti ustrezen del kontrol, da ugotovi, katere niso delovale preprečevalno Revizor mora sprejeti odločitev ali bo potrebno ovrednotiti ustreznost zadostnost in učinkovitost kontrol

Izvedba revizijskega dela • Odziv na odkrito nepravilnost oz. nezakonitost 2 – Revizor mora v primeru odkritja nepravilnosti oz. nezakonitosti razmisliti o morebitnih spremembah načrtovanih postopkov pri čemer mora upoštevati: • • • • • • • •

Vrsta nepravilnosti ali nezakonitosti oz. suma nanje Pomembnosti / znatnost tveganja in verjetnosti ponovitve dogodka Potencialni vpliv na organizacijo, vključno z finančnim, izgubo ugleda Verjetnost o ponovitve podobnega dogodka Verjetnost, da je vodstvo vedelo, bilo morda celo vpleteno Verjetnost, da je do kršitve / neskladnosti prišlo nenamerno Verjetnost, da bi sankcije imele vpliv na verjetnost ponovitve Kakšen je lahko vpliv na učinek javnosti iz same nezakonitosti

– Revizor mora oceniti smiselnost nadaljevanja revizijskega pregleda – Revizor mora analizirati ali lahko identificira posameznike, ki bi imeli pomembnejšo vlogo pri dogodku – Ocenitev vrednosti dokazov / indikatorjev, da je prišlo do nepravilnosti in nezakonitosti – Če gre za nezakonitost je potrebno zagotoviti pravno mnenje in morda usmerjanje pri izvedbi postopkov

Poročanje • Notranje poročanje – Pravočasnost informiranja in poročanja ( nivojem vodenja, revizijski odbor, ..) – Potrebnost strokovne presoje glede narave, časovnega okvira, ostale okoliščine, učinke & posledice, pojasnil postopkov odkritja, preiskovanja, pridobitve dokazil, izbor prejemnike informacij & poročil – Ocenitev tveganj: • prihodnjih izrabe pomanjkljivosti, • izgube strank, dobaviteljev, investitorjev ob razkritju • Izguba ključnih vodij, strokovnjakov, ključnih delavcev kot posledice ukrepov vodstva

– Oceniti potrebnost ločenega poročanja o nepravilnostih in nezakonitostih od ostalega poročanja zaradi nadzora nad občutljivimi informacijami ali odstopanja od standardov zaradi morebitnega odnosa vodstva do kršitev – Izogibanje možnosti, da bi “alarmirali” z informacijami vpletene akterje

Poročanje • Eksterno poročanje – Pravočasnost informiranja in poročanja kadar je to regulatorna obveza – je pa to praviloma obveznost uprav, IS revizor jih mora opozoriti na obvezo, izjemoma tudi posameznika, ki je odkril nezakonitost; IS revizor mora upoštevati določila o zaupnosti – Možne okoliščine obveze revizorja IS - Kadar gre za kršitve zakonov • Zahtev revizorja računovodskih izkazov • Na zahtevo sodišča in v sodnih procesih • Pristojnih državnih agencij, nadzornih organov po zakonu

– Eksterno poročanje mora biti odobreno s strani vodstva revizije in vodstva revidiranca razen v: • Vodstvo revizije vključeno v nezakonitost • Vodstvo revizije je v zvezi s kršitvami preveč pasivno

– Kadar se vodstvo revizije ne strinja: • IS revizor se posvetuje z revizijskim odborom • IS revizor se posvetuje z pravniki glede morebitne osebne zaščite

– Ko je revizor del tima – je potrebno analizirati, kdo poroča (? Vodja) – Omejitve pri obsegu pregleda: zanesljivost dokazov, vodstvo ni izvedlo predlaganih dodatnih preizkav

Veljavnost 1. September 2008

VPRAŠANJA