450 likes | 684 Views
Neprekinjen nadzor nad delovanjem notranjih kontrol v Oracle aplikacijah. mag. Stane Moškon, CISA, CISM OSIR d.o.o. Andrej Lenarčič, CISA RADOGOST d.o.o. SIOUG 2006. Izjava. Razlaga in komentarji, ki so predmet te predstavitve, predstavljajo poglede predavatelja
E N D
Neprekinjen nadzor nad delovanjem notranjih kontrol v Oracle aplikacijah mag. Stane Moškon, CISA, CISMOSIR d.o.o.Andrej Lenarčič, CISARADOGOST d.o.o. SIOUG 2006
Izjava Razlaga in komentarji, ki so predmet te predstavitve, predstavljajo poglede predavatelja in niso nujno tudi stališča, praksa ali politika podjetja, v katerem je predavatelj zaposlen.
Vzroki • Nedavni finančni škandali so precej vplivali na zaupanje investitorjev in javnosti v poštenost in točnost računovodskih izkazov družb. • Manjše število škandalov je bilo plod poslovnih prevar, večje število škandalov pa je bilo posledica neuspeha poslovodstva v razumevanju kaj se dogaja v družbi, ki jo upravljajo in ravnajo. • Na kratko: preveč podjetij je dovolilo preveč presenečenj.
Odgovor zakonodaje • EU Mednarodni standardi računovodskega poročanja (MSRP) 19. julija 2002 je Evropska komisija odobrila MSRP, vključno z vsemi pojasnili ter tako potrdila zahtevo o njihovi obvezni uporabi za javne družbe, katerih vrednostni papirji so uvrščeni na evropske borze, od leta 2005. • ZDA Sarbanes-Oxley Act (SOA)
Usklajenost in tveganje poslovanja POSLOVANJE Zmanjšanje tveganja Doseganje usklajenosti NADZOR UČINKOVITOST PREGLEDNOST Poslovne aplikacije Uporaba dobre poslovne prakse Tehnološka infrastruktura
Sodobni ERP sistemi in njihova konceptualna zasnova • Klasični ERP sistemi so bili zasnovani modularno po poslovnih funkcijah – prodaja, nabava, skladišča, proizvodnja, finance • Sodobni ERP sistemi pa so zasnovani po poslovnih tokovih: od naročila do plačila, od potrebe do izdelka, ...
Koncept poslovnih procesov Oddelek 1 Oddelek 3 Oddelek 2 Od nabave do plačila Od napovedi do plana Od plana do izdelave Od naročila do plačila kupca Storitve • Poslovni tokovi povezujejo oddelke • Integrirane informacije olajšajo povezovanje Kako ste organizirani? Kako poslujete?
Dokumentiranje poslovnih procesovPoslovni tokovi • Pred-definirane šablone poslovnih procesov • Izdelava uporabniških oz. delovnih navodil za posamezno delovno mesto • Vzdrževanje dokumentacije poslovnih procesov
Kakšno je vaše kontrolno okolje? • Ali so vaši poslovni procesi transparentni? • Ali so vaši poslovni procesi ustrezno dokumentirani? • Kakšna je vaša izpostavljenost tveganjem? • Ali imate vzpostavljene ustrezne preventivne, detektivne in korektivne kontrole v vaših poslovnih procesih? • Kakšni so stroški zunanjih revizorjev, ki preverjajo učinkovitost delovanja notranjih kontrol? Preglednost,Nadzor, Učinkovitost
Nadzor nad notranjimi kontrolami Obvladujoče podjetje Notranjekontrole Kakšen je vaš pregled in nadzor nad delovanjem notranjih kontrol v vašem podjetju ali skupini? Ali notranje kontrole, ki so vgrajene v informacijski sistem delujejo? Brez ustreznegaorodja omejen nadzor nad notranjimi kontrolami! Notranjekontrole Odvisnopodjetje Notranjekontrole Notranjekontrole Odvisnopodjetje Notranjekontrole Notranjekontrole Notranjekontrole
Opredelitev notranjih kontrol Zagotavljajo: • Uspešnost in učinkovitost izvajanja poslovnih postopkov • Zanesljivost računovodskega poročanja • Usklajenost z zakonodajo in predpisi ali pa … Preglednost,Nadzor, Učinkovitost
Tveganja & Kontrole Ravni upravljanja z notranjimi kontrolami Organizacijska struktura Kontni okvir Uporabniški priročniki Izvedba procesa Ocena organizacije Pomembni konti Pregled poslovnih postopkov Pregled procesa Opozorila, Poročila, Poslovno obveščanje Računovodski izkazi Revizijsko poročilo in mnenje Nadzor Testiranje razmejitev dolžnosti Testiranje kontrol Vzpostavitev kontrol Uporabniški dostopi Elektronske revizijske sledi Shranjevanje dokazil Revizijski projekti Vodstveni nadzor Transakcije E-mail, Dokumenti Upravljanje s dokumenti
Metodologije, standardi in dobra praksa Najpomembnejše metodologije, standardi in dobra praksa za obvladovanje notranjih kontrol: • COSO – obvladovanje tveganj • COBIT – upravljanje IT (IT Governance) • ISO17799 – varnost IS • ISACA standardi in smernice – revizija IS • ITIL – nabor dobre prakse
COBIT – Control Objectives for Information and Related Technology Orodje IT strokovnjakov • Osnova za analizo tveganj • Osnova za vgradnjo kontrolnega okolja v IT sisteme • Razvoj in vzdrževanje zakonitih, varnih in kakovostnih IS v povezavi z ISO 17799 Orodje revizorjev informacijskih sistemov • Utemeljitev mnenja o notranjih kontrolah • Svetovanje pri vzpostavljanju kontrolnega sistema
Poslovne • zahteve Informacijski procesi Informacijske dobrine COBIT kocka Informacijski kriterij Kakovost Varnost Zakonitost Domene Človeški viri Infrastruktura Informacije Procesi Aplikacije Informacijski procesi Aktivnosti Informacijske dobrine
COBIT domene • PO: Planning and Organization • Planiranje in organizacija (strategija) • AI: Acquisition and Implementation • Nabava in uvedba (razvoj/vzdrževanje) • DS: Delivery and Support • Dostava in podpora (varnost,izobraževanje) • ME: Monitoring and Evaluation • Nadzor in vrednotenje (kontrole, revizije)
COBIT domene in procesi
Proces PO10: Upravljanje projekta
PO10 - Ključni indikatorji Uspešnosti • % projektov vodenih skladno s standardi in dobro prakso • % certificiranih vodij projektov • % projektov, pri katerih je bil narejen po implementacijski pregled • % lastnikov vključenih v projekte Doseganja poslovnih ciljev • % projektov izvedenih v predvidenem času • % projektov, ki so dosegli pričakovanja lastnikov Doseganja IT ciljev • % projektov, ki so dosegli pričakovanja in zahteve lastnikov in vodstva (izvedeni v predvidenem času s predvidenimi stroški in dosegajo predvidene rezultate)
OICM - Sistem za upravljanje notranjih kontrol • OICM je eden od modulov v Oracle E-Business Suite. • Ni namenjen samo za uporabo znotraj EBS! • Kdo so njegovi uporabniki: • lastniki procesov - za zagotavljanje skladnosti delovanja njihovega procesa s funkcionalnimi in regulativnimi zahtevami • IT strokovnjaki - za vzpostavitev kontrolnega okolja • revizorji IS – ugotavljanje skladnosti kontrolnega okolja s standardi in regulativo.
OICM - Sistem za upravljanje notranjih kontrolLastnosti Vsebuje vse potrebne sestavine oz. lastnosti, ki omogočajo: • Dokumentiranje in razumevanje poslovnih procesov • Testiranje notranjih kontrol • Nadzor nad delovanjem notranjih kontrol ter njihovo usklajenostjo • Zagotovitev enostavnega delovnega okolja s katerim se organizira, izvaja in upravlja nadzorne oz. revizijske postopke Preglednost,Nadzor, Učinkovitost
Poslovni procesi Procesna dokumentacija Organizacijska struktura Tveganja Notranje kontrole Razmejitev dolžnosti Izvedba revizijskih programov Revizijske ugotovitve Izdelava revizijskih poročil Pregled učinkovitosti delovanja notranjih kontrol Zagotovitev povratne informacije pri opravljanju revizije Pregled usklajenosti računovodskih izkazov Pregled usklajenosti pomožnih knjig z GK Pregled celotne usklajenosti poslovanja družbe Pregled usklajenosti s politikami OICM - Sistem za upravljanje notranjih kontrolSestavni deli Preglednost,Nadzor, Učinkovitost
OICM - Sistem za upravljanje notranjih kontrolKoristi • Bolj učinkovito testiranje notranjih kontrol • Večja gotovost v pravilno oceno tveganja • Manjši stroški zunanje revizije (banke, zavarovalnice) Preglednost,Nadzor, Učinkovitost
OICM Sistem za upravljanje notranjih kontrol Sistem za upravljanje notranjih kontrol vežemo na organizacijsko strukturo.
OICM - Proces PO10 Upravljanje projekta Določimo katere procese bomo nadzirali z OICM.
PO10 – osnovne informacije o procesu Podrobneje opredelimo procese – najprej osnovne informacije o procesu.
PO10 – karakteristike procesa Podrobneje opredelimo procese – pomembnost procesa.
OICM - Kontrolni cilji za proces PO10 Upravljanje projekta
PO10 – opredelitev kontrol Katere kontrole bomo uporabili za nadzor izbranega procesa.
Kontrole – podrobnosti 1. • način izvajanja kontrol: avtomatske ali ročne, • vrste kontrol: preventivne, detektivne in • veljavnost kontrol: datumi, status...
Kontrole – podrobnosti 2. Opredelimo komponente za izbrano kontrolo.
Kontrole – podrobnosti 3. Kategorije kontrol in trditve.
PO10 – seznam tveganj Kontrole povežemo s tveganji v izbranem procesu, katere želimo obvladovati.
Postopek preverjanja - tveganja Analiza in ocena tveganj
PO10 – kontrole za obvladovanje tveganja Kontrole povežemo s tveganji v izbranem procesu, katere želimo obvladovati.
PO10 – povezava kontrolnih ciljev s tveganji Kontrolne cilje povežemo z relevantnimi tveganji v izbranem procesu.
Postopki preverjanja Določimo več postopkov preverjanja, ki so vezani na izbran proces (v našem primeru PO10) in zagotavljajo nadzor nad delovanjem kontrol.
Določitev postopka preverjanja V tem koraku opredelimo osnovne informacije o postopku preverjanja kontrolnega okolja in delovanja kontrol.
Določitev korakov v postopku preverjanja Opredelimo korake, ki so sestavni del postopka preverjanja. Postopku lahko pripnemo dokumente, ki podrobneje opisujejo postopek (navodila za preverjanje).
Nadzor nad poslovnimi procesiDelovni tokovi • Upravljanje poslovnega toka • Razmejitev dolžnosti • Povezovanje kontrol skozi poslovne aplikacije • Prožna poslovna pravila
Izvedba obvladovanja IT (IT Governance) S-192 S-192 S-192 Assess Risk Poslovni tok Pregled nad delovanjem notranjih kontrol Dokumentiranje ugotovitev Dokumentiranje poslovnega procesa Poznavanje poslovanja/ Vzpostavitev kontrolnega okolja Ocena kontrolnega okolja Načrtovanje revizije Vzpostavitev organizacijske strukture Testiranje notranjih kontrol Izdelava revizijskega poročila Opredelitev tveganj in kontrol Predlog sprememb Potrditev poslovodstva Preglednost,Nadzor, Učinkovitost
OICM – obvladovanje kontrol • Delovanje informacijskega sistema predvsem pa točnost, verodostojnost in zanesljivost je izpostavljeno različnim tveganjem. • Ustrezno kontrolno okolje in učinkovito delovanje kontrol lahko zmanjšuje in obvladuje ta tveganja. • OICM je v Oracle aplikacijah orodje za postavitev kontrolnega okolja in sproten nadzor nad delovanjem kontrol.
Q & V P R A Š A N J A O D G O V O R I A