LP   

 Pytanie/ Zakres weryfikacji

 Wskazówka interpretacyjna/ Uwagi

 TAK

 NIE

NIE DOTYCZY

PIĘĆ KOMPONENTÓW RAMOWYCH KONTROLI WEWNĘTRZNEJ WEDŁUG COSO

I. Środowisko kontroli (ang. Control Environment)

1. Demonstrowanie zaangażowania do działania zgodnie z zasadami etyki i integralności (ang. Demonstrates commitment to integrity and ethical values)

1.1

Czy przykład działalności zgodnie z zasadami etyki i integralności kaskadowany jest „z góry”?

Dobry przykład zaangażowania do działania zgodnie z zasadami etyki i integralności prezentowany jest przez Zarząd, dyrektorów oraz wysokich kierowników podmiotu.

Oczekiwana odpowiedź: tak

1.2

Czy polityki i procedury podmiotu definiują oczekiwania co do działalności zgodnie z zasadami etyki i integralności?

Oczekiwania co do działania zgodnie z zasadami etyki i integralności są zdefiniowane w politykach i procedurach przedsiębiorstwa. Oczekiwania dotyczą wszystkich pracowników, zleceniobiorców i dostawców podmiotu oraz są w pełni zrozumiałe i akceptowane.

Oczekiwana odpowiedź: tak

1.3

Czy w podmiocie jest proces monitorowania działania zgodnie z zasadami etyki i integralności?

W podmiocie jest proces regularnego, z odpowiednią częstotliwością, weryfikowania zgodności działań pracowników, zleceniobiorców i dostawców z oczekiwanymi zasadami etyki i integralności.

Oczekiwana odpowiedź: tak

1.4

Czy wszelkie zidentyfikowane nieprawidłowości są odpowiednio szybko adresowane?

Zidentyfikowane działania nie będące w zgodzie z oczekiwanymi zasadami etyki i integralności są identyfikowane, analizowane i odpowiednio adresowane. Działania adresujące odchylenia są przeprowadzone w odpowiednio szybki sposób i w taki sposób, by minimalizować ponowne odchylenia od oczekiwań.

Oczekiwana odpowiedź: tak

2. Odpowiedzialność nadzorcza i wykonywanie działań nadzorczych (ang. Exercises oversight responsibility)

2.1

Czy organy nadzorcze identyfikują oraz wykonują działania nadzorcze?

Organy nadzorcze podmiotu identyfikują swoją odpowiedzialność za wykonywanie działań nadzorczych, a także wykonują te działania.

Oczekiwana odpowiedź: tak

2.2

Czy organy nadzorcze identyfikują, zachowują oraz regularnie weryfikują kompetencje potrzebne do wykonywania działań nadzorczych?

Organy nadzorcze podmiotu identyfikują odpowiednie umiejętności, zakres kompetencji itd., potrzebne do zapewnienia odpowiedniego nadzoru nad działalnością podmiotu. Umiejętności, kompetencje itd. powinny być zachowane w organie nadzorczym oraz regularnie przeglądane w celu zapewniania ich odpowiedniości.

Oczekiwana odpowiedź: tak

2.3

Czy organy nadzorcze są w odpowiedni sposób niezależne od podmiotu oraz od zarządu podmiotu nadzorowanego?

Organy nadzorcze zachowują niezależność od organów zarządczych podmiotu oraz od samego podmiotu, zapewniającą brak konfliktu interesów przy wykonywaniu działań nadzorczych.

Oczekiwana odpowiedź: tak

2.4

Czy organy nadzorcze zachowują odpowiedzialność za nadzór oraz pełnią nadzór nad systemem kontroli wewnętrznej?

Organy nadzorcze zachowują odpowiedzialność za nadzór oraz pełnią nadzór nad systemem kontroli wewnętrznej w podmiocie.

Oczekiwana odpowiedź: tak

3. Ustalenie struktury, linii raportowania, autorytetów oraz odpowiedzialności w podmiocie (ang. Establishes structure, authority and responsibility)

3.1

Czy zarząd ustalił odpowiednie struktury podmiotu, włączając w to jednostki operacyjne, prawne, podział geograficzny itd.?

Zarząd rozważa różne struktury organizacyjne biorąc pod uwagę jednostki operacyjne, jednostki prawne, podział geograficzny podmiotu itd. tak, aby zapewnić osiągnięcie celów organizacji. Ostateczna struktura jest jasno i klarownie określona.

Oczekiwana odpowiedź: tak

3.2

Czy linie raportowania zostały jasno określone dla całego podmiotu i wspierają osiągnięcie celów?

Linie raportowania są określone dla wszystkich jednostek podmiotu, także w ramach każdego z tych podmiotów tak, aby można było egzekwować autorytet oraz odpowiedzialność za odpowiednie zadania. Linie raportowania pełnią także rolę ramy dla przepływu informacji zarządczej potrzebnej do zarządzania podmiotem.

Oczekiwana odpowiedź: tak

3.3

Czy zarząd deleguje odpowiednie zadania wraz z autorytetem do ich wykonywania oraz zdefiniowanymi odpowiedzialnościami za nie?

Czy organy nadzorcze włączane są przy podejmowaniu istotnych decyzji oraz mają autorytet nadzorowania zarządu?

Zarząd, w celu osiągnięcia celów podmiotu, definiuje i deleguje odpowiednie zadania wraz z autorytetem do ich wykonywania oraz zdefiniowanymi odpowiedzialnościami za ich wykonanie.

Organy nadzorcze włączane są do podejmowania decyzji o celach strategicznych organizacji oraz przy podejmowaniu istotnych decyzji. Dodatkowo organy nadzorcze weryfikują zadania powierzone przez zarząd oraz oceniają ich wykonanie.

Oczekiwana odpowiedź: tak

4. Demonstrowanie zaangażowania w kompetencje w podmiocie (ang. Demonstrates commitment to competence)

4.1

Czy podmiot identyfikuje kompetencje potrzebne w podmiocie?

Podmiot identyfikuje kompetencje niezbędne u pracowników, zleceniobiorców oraz dostawców niezbędnych w zadaniach do wykonania wynikających z celów podmiotu. Zidentyfikowane kompetencje uwzględnione są w politykach i procedurach w podmiocie.

4.2

Czy podmiot weryfikuje kompetencje w organizacji w porównaniu z potrzebami i podejmuje kroki w celu załatania luki kompetencyjnej?

Zarząd oraz organy nadzorcze identyfikują kompetencje w podmiocie u pracowników, zleceniobiorców oraz dostawców. Kompetencje te porównywane są z potrzebami podmiotu wynikającymi z zadań do wykonania w celu osiągnięcia celów podmiotu. Odpowiednie kroki podejmowane są w celu załatania luki kompetencyjnej.

4.3

Czy podmiot przyciąga, rozwija oraz zatrzymuje pracowników (także zleceniobiorców oraz dostawców) z wysokimi kompetencjami?

Podmiot jest w stanie przyciągnąć pracowników, zleceniobiorców oraz dostawców z odpowiednimi do swoich potrzeb kompetencjami. Podmiot przez mentoring i szkolenia rozwija i zatrzymuje swoich pracowników i zleceniobiorców.

Oczekiwana odpowiedź: tak

4.4

Czy podmiot przygotowuje plany awaryjne na wypadek odejścia/zaprzestania działania kluczowych dla systemu kontroli wewnętrznej pracowników, zleceniobiorców lub dostawców?

Podmiot ma przygotowane plany awaryjne na wypadek odejścia lub zaprzestania działania (niezależnie od powodu) przez kluczowych dla systemu kontroli wewnętrznej pracowników, zleceniobiorców lub dostawców.

Oczekiwana odpowiedź: tak

5. Ponoszenie odpowiedzialności za zadania (ang. Enforces accountability)

5.1

Czy zaimplementowano mechanizm umożliwiający ponoszenie oraz pociąganie do odpowiedzialności za wyniki działań związanych z systemem kontroli wewnętrznej?

Zarząd oraz organy nadzorcze implementują w podmiocie mechanizm wspomagający ponoszenie odpowiedzialności oraz wyciąganie konsekwencji za wyniki zadań i aktywności związane z systemem kontroli wewnętrznej. Mechanizm ten jednocześnie wspomaga działania naprawcze w momencie zidentyfikowania nieprawidłowości.

Oczekiwana odpowiedź: tak

5.2

Czy zaimplementowano miary sukcesu, które są odpowiednie w ocenie celów krótko- jak i długo- terminowych?

Zarząd oraz organy nadzorcze implementują w podmiocie miary sukcesu, zachęty i inne sposoby wynagradzania na stanowiskach wszystkich szczebli w podmiocie tak, aby promować osiąganie krótko- jak i długo-terminowych celów podmiotu.

Oczekiwana odpowiedź: tak

5.3

Czy zaimplementowane miary sukcesu dotyczą również odpowiedzialności związanych z systemem kontroli wewnętrznej?

Zaimplementowane miary sukcesu, zachęty i inne sposoby wynagradzania są skorelowane z wypełnianiem obowiązków w odniesieniu do system kontroli wewnętrznej.

Oczekiwana odpowiedź: tak

5.4

Czy zarząd i organy nadzorcze analizują zaimplementowane miary sukcesu w odniesieniu do potencjalnej nadmiernej presji do osiągnięcie wyników?

Zarząd i organy nadzorcze weryfikują, czy zaimplementowane miary sukcesu, zachęty i inne sposoby wynagradzania, w powiązaniu z zadaniami i odpowiedzialnością nie powodują lub nie zachęcają do nadmiernej presji do osiągnięcia wyników. Nadmierna presja jest niekorzystna dla organizacji, bo generuje ryzyko dla zasad etyki i integralności oraz zniechęca pracowników do podmiotu.

Oczekiwana odpowiedź: tak

5.5

Czy miary sukcesu w odniesieniu do systemu kontroli wewnętrznej oraz wyniki działań związanych z systemem kontroli wewnętrznej są monitorowane i regularnie oceniane?

Miary sukcesu w odniesieniu, w jakim mają wpływ na system kontroli wewnętrznej oraz działania i inne aktywności związane z systemem kontroli wewnętrznej są w sposób ciągły monitorowane oraz regularnie oceniane. Oceny polegają na porównaniu miar i działań z oczekiwaniami biorąc pod uwagę poziom kompetencyjny. Oceny mają wpływ na zachęty i wynagrodzenia i potencjalne akcje dyscyplinarne.

Oczekiwana odpowiedź: tak

II. Ocena ryzyka (ang. Risk Assessment)

6. Wyznaczanie odpowiednich celów (ang. Specifies suitable objectives)

6.1

Czy cele podmiotu są zgodne z oczekiwaniami właścicieli lub innych interesariuszy?

Cele podmiotu są zgodne z oczekiwaniami interesariuszy i/lub właścicieli. Dla grup kapitałowych cele podmiotu są zgodne z podmiotem dominującym. Cele oraz plan biznesowy są zaakceptowane przez organy nadzorcze (jako istotna decyzja).

Oczekiwana odpowiedź: tak

6.2

Czy cele podmiotu biorą pod uwagę ustanowioną tolerancję na ryzyko?

Poziom tolerancji na ryzyko został ustanowiony na wszystkie typy ryzyk, na które wyeksponowany jest podmiot. Tolerancja na ryzyko została zdefiniowana wystarczająco dokładnie, aby możliwe było porównywanie i ocenianie w odniesieniu do poziomu tolerancji na ryzyko.

Oczekiwana odpowiedź: tak

6.3

Czy cele podmiotu biorą pod uwagę odpowiednie standardy rachunkowości i raportowania?

Podmiot działa w otoczeniu regulacyjnym, w którym zdefiniowane są zasady rachunkowości oraz raportowania statutowego. Cele finansowe muszą mieć odpowiednie odniesienie do zasad rachunkowości i raportowania wykorzystywanych przez podmiot.

Oczekiwana odpowiedź: tak

6.4

Czy w podmiocie określono poziom istotności?

Biorąc pod uwagę cele do osiągnięcia stojące przed podmiotem, zarząd przy współpracy z organami nadzorczymi określa poziom istotności dla ryzyk, poniżej którego można określić, że nie są one zagrożeniem dla osiągnięcia celów przez przedsiębiorstwo.

Oczekiwana odpowiedź: tak

7. Identyfikacja i analiza ryzyka (ang. Identifies and analyzes risk)

7.1

Czy podmiot identyfikuje ryzyka na wszystkich poziomach swojej działalności?

Podmiot identyfikuje ryzyka na wszystkich poziomach działalności: poziomie jednostek operacyjnych, jednostek prawnych, na poziomie poszczególnych departamentów, funkcji itd. Zidentyfikowane ryzyka są oceniane w odniesieniu do istotności zagrożenia osiągnięcia celów podmiotu.

Oczekiwana odpowiedź: tak

7.2

Czy podmiot analizuje czynniki wewnętrzne, jak i zewnętrzne?

Podmiot identyfikuje czynniki (będące potencjalnymi zagrożeniami dla osiągnięcia celów) wewnętrzne, jak i zewnętrzne.

Oczekiwana odpowiedź: tak

7.3

Czy zaangażowani są pracownicy na odpowiednim poziomie (z odpowiednim autorytetem w strukturze organizacyjnej)?

Proces identyfikowania oraz oceny ryzyka w podmiocie angażuje pracowników z odpowiednim poziomem autorytetu do podejmowania decyzji związanych z zarządzaniem ryzykiem.

Oczekiwana odpowiedź: tak

7.4

Czy ryzyka są analizowane pod względem ich istotności?

Zidentyfikowane ryzyka w podmiocie poddawane są analizie ich istotności. Istotność ryzyka określana jest jako efekt prawdopodobieństwa zmaterializowania się ryzyka oraz efekty ryzyka.

Oczekiwana odpowiedź: tak

7.5

Czy przypisano sposób zarządzania ryzykiem do każdego z istotnych ryzyk?

Podmiot rozważa sposób zarządzania ryzykiem dla każdego z zidentyfikowanych istotnych ryzyk. Możliwymi sposobami zarządzania ryzykiem są: akceptowanie, unikanie, redukcja i transferowanie.

Oczekiwana odpowiedź: tak

8. Ocena ryzyka fraudu (ang. Assesses fraud risk)

8.1

Czy wszystkie typy fraudu są rozważane w podmiocie?

W podmiocie rozważane są wszystkie typy fraudów, tj. fraud w raportowaniu, utrata aktywów oraz korupcja.

Oczekiwana odpowiedź: tak

8.2

Czy zachęty oraz presje (nadmierna?) są rozważane w ocenie ryzyka fraudu?

Przy rozważaniu i ocenianiu ryzyka fraudu w podmiocie rozważane są wszystkie typu zachęty (w tym wynagrodzenie, bonusy itd.) oraz rodzaj i wielkość (nadmiar?) presji, jaką ma pracownik, zleceniobiorca lub dostawca.

Oczekiwana odpowiedź: tak

8.3

Czy możliwości popełnienia fraudu są rozważane w ocenie ryzyka fraudu?

Podczas oceny ryzyka fraudu w podmiocie rozważane są możliwości: sprzeniewierzenia lub nieuprawnionego nabycia/wykorzystania aktywów podmiotu, manipulacji informacją finansową/raportami lub innych nieodpowiednich zachowań.

Oczekiwana odpowiedź: tak

8.4

Czy postawy i racjonalizowanie są rozważane w ocenie ryzyka fraudu?

Podczas oceny ryzyka fraudu w podmiocie rozważane są postawy (pracowników, zleceniobiorców i dostawców) oraz sposoby, którymi można potencjalnie wytłumaczyć zaangażowanie się w nieodpowiednie zachowania.

Oczekiwana odpowiedź: tak

9. Identyfikacja i analiza istotnych zmian (ang. Identifies and analyzes significant change)

9.1

Czy wystąpiły zmiany w środowisku zewnętrznym podmiotu?

Ocena ryzyka działalności podmiotu bierze pod uwagę również wszelkie zmiany w środowisku zewnętrznym podmiotu mogące mieć wpływ na system kontroli wewnętrznej. Środowiskiem zewnętrznym są: regulacje i system prawny, środowisko ekonomiczne oraz środowisko fizyczne, w którym działa podmiot.

Oczekiwana odpowiedź: tak

9.2

Czy wystąpiły zmiany w modelu biznesowym podmiotu?

Podmiot podczas oceny ryzyka działalności bierze pod uwagę następujące zmiany mogące mieć wpływ na system kontroli wewnętrznej:

- nowe, skasowane, zmienione linie biznesowe podmiotu,

- zmiany w operacjach podmiotu,

- istotny wzrost skali działalności podmiotu,

- zmiana struktury geograficznej podmiotu,

- wprowadzone istotne nowe technologie i nowe rozwiązania.

Oczekiwana odpowiedź: tak

9.3

Czy wystąpiły zmiany w kluczowym personelu (w tym zleceniobiorców lub dostawców) podmiotu?

Zmiany w kluczowym personelu podmiotu mają istotny wpływ na środowisko kontroli wewnętrznej, w tym na podejście/nastawienie do systemu kontroli wewnętrznej.

Oczekiwana odpowiedź: tak

III. Działania kontrolne (ang. Control Activity)

10. Ustalenie i organizacja działań kontrolnych (ang. Selects and develops control activities)

10.1

Czy działania kontrolne są w obszarach, w których zidentyfikowano istotne ryzyka podczas procesu oceny ryzyk?

Działania kontrolne skupiają się na obszarach, w których istnieje największe ryzyko dla osiągnięcia celów przez podmiot. Obszary te, wraz z ich istotnością, zostały zidentyfikowane podczas procesu oceny ryzyka.

Oczekiwana odpowiedź: tak

10.2

Czy działania kontrolne są odpowiednie dla specyfiki działalności podmiotu?

Podmiot działa w specyficznym środowisku, ma operacje o określonej naturze, kompleksowości i zakresie. Przy wyborze i implementacji działań kontrolnych powyższe czynniki są uwzględniane.

Oczekiwana odpowiedź: tak

10.3

Czy działania kontrolne są zaimplementowane w odpowiednich procesach?

W ramach podmiotu istnieje wiele procesów biznesowych. Działania kontrolne dotyczą/ są zaimplementowane w istotnych procesach podmiotu, tj. takich, które dotyczą tworzonej przez podmiot wartości lub są kluczowe dla osiągnięcia celów podmiotu.

Oczekiwana odpowiedź: tak

10.4

Czy podmiot korzysta z odpowiedniego miksu typów kontroli, zapewniającego odpowiedni poziom mitygowania ryzyka?

Podmiot korzysta z odpowiednich typów kontroli, które najlepiej mitygują adresowane ryzyka. Typami kontroli są kontrole automatyczne lub manualne oraz prewencyjne lub detekcyjne.

Oczekiwana odpowiedź: tak

10.5

Czy podmiot implementuje działania kontrolne na różnych poziomach działalności?

Podmiot implementuje działania kontrolne na różnych poziomach, włączając w to najniższy poziom transakcyjny jak i najwyższy poziom działań kontroli na poziomie całej jednostki.

Oczekiwana odpowiedź: tak

10.6

Czy podmiot implementuje odpowiedni rozdział obowiązków ze szczególnym uwzględnieniem działań dotyczących kluczowych kontroli?

Podmiot implementuje odpowiedni rozdział obowiązków, ze szczególnym uwzględnieniem kluczowych kontroli. Jeżeli podział obowiązków jest nieefektywny lub niemożliwy, podmiot implementuje alternatywne kontrole mitygujące ryzyko wynikające z faktu braku rozdziału obowiązków.

Oczekiwana odpowiedź: tak

11. Ustanowienie oraz implementacja generalnych kontroli środowiska IT w podmiocie (ang. Selects and develops general controls over technology)

11.1

Czy zarząd rozumie relacje pomiędzy procesami biznesowymi a generalnymi kontrolami środowiska IT w podmiocie?

Zarząd rozumie zależności pomiędzy procesami biznesowymi, kontrolami automatycznymi, a generalnymi kontrolami środowiska IT oraz ich wpływem na ryzyko i osiągnięcie celów podmiotu.

Oczekiwana odpowiedź: tak

11.2

Czy zarząd zaimplementował odpowiednie działania kontrolne dotyczące infrastruktury IT?

Zarząd rozumie istotność działań kontrolnych zapewniających odpowiednie działanie infrastruktury IT oraz implementuje odpowiednie działania kontrolne. Działania kontrolne zapewniają dokładność oraz dostępność infrastruktury do obsługi procesów biznesowych, jak i innych, automatycznych działań kontrolnych.

Oczekiwana odpowiedź: tak

11.3

Czy zarząd zaimplementował odpowiednie działania kontrolne dotyczące bezpieczeństwa środowiska IT?

Zarząd rozumie istotność działań kontrolnych zapewniających bezpieczeństwo środowiska IT oraz implementuje odpowiednie działania kontrolne. Działania te dotyczą blokowania dostępu do aplikacji i danych nieupoważnionym użytkownikom.

Oczekiwana odpowiedź: tak

11.4

Czy zarząd zaimplementował odpowiednie działania kontrolne dotyczące zmian w środowisku IT?

Zarząd rozumie, że zmiany w środowisku IT mogą mieć istotny wpływ na luki w systemie kontroli wewnętrznej, dlatego zaimplementował działania kontrolne mające na celu zapewnienie komfortu, że istotne zmiany w środowisku IT nie odbywają się poza działaniami kontrolnymi i poza systemem kontroli wewnętrznej.

Oczekiwana odpowiedź: tak

12. Działania kontrolne zaimplementowane poprzez polityki i procedury (ang. Deploys through policies and procedures)

12.1

Czy działania kontrolne zostały wbudowane do polityk i procedur podmiotu?

Działania kontrolne wykonywane w ramach procesów biznesowych (codziennych zadaniach pracowników) wbudowane są w politykach i procedurach podmiotu. Polityki definiują, jakie są oczekiwania oraz efekty, a procedury definiują dokładne działania, które muszą być podjęte.

Oczekiwana odpowiedź: tak

12.2

Czy wykonywanie działań kontrolnych powiązane jest z odpowiedzialnością za ich wykonywanie?

Zarząd delegując wykonywanie działań kontrolnych deleguje również odpowiedzialność za ich wykonanie. Delegowanie odpowiedzialności może się odbywać na wielu poziomach, włącznie z kierownictwem pośredniego szczebla.

Oczekiwana odpowiedź: tak

12.3

Czy działania kontrolne mają zdefiniowaną regularność oraz są tak wykonywane?

Działania kontrolne wykonywane są z odpowiednią regularnością, tak, jak to jest zdefiniowane w procedurach. Regularność kontroli zapewnia, że procesy biznesowe wypełniane są w sposób ciągły, odpowiedni, nie narażając podmiotu na ryzyko.

Oczekiwana odpowiedź: tak

12.4

Czy nieprawidłowości zidentyfikowane podczas wykonywania działań kontrolnych są odpowiednio adresowane?

Odpowiedzialne osoby za wykonywanie działań kontrolnych identyfikując nieprawidłowości są także odpowiedzialne za zapewnienie, że działalności adresujące ryzyko są zaplanowane. Jeżeli zaplanowanie takich akcji jest poza ich zakresem kompetencji lub autorytetu, jest to przekazywane do ich przełożonych.

Oczekiwana odpowiedź: tak

12.5

Czy działania kontrolne wykonywane są przez osoby z odpowiednimi kompetencjami?

Działania kontrolne wykonywane są przez pracowników posiadających wystarczające kompetencje do wykonywania ich w sposób prawidłowy. Dodatkowo pracownicy są w stanie wykonywać je w sposób ciągły i/lub regularny.

Oczekiwana odpowiedź: tak

12.6

Czy zarząd przegląda regularnie polityki i procedury pod względem odpowiedniości działań kontrolnych?

Zarząd regularnie przegląda polityki i procedury, aby zapewnić, że oczekiwania, efekty oraz same czynności kontrolne są nadal odpowiednie dla podmiotu. Odpowiedniość może się zmienić z uwagi na zmiany zachodzące wewnątrz, jak i na zewnątrz podmiotu.

Oczekiwana odpowiedź: tak

IV. Informacja i komunikacja (ang. Information and Communication)

13. Podmiot wykorzystuje odpowiednie i dokładne informacje (ang. Uses relevant information)

13.1

Czy podmiot identyfikuje potrzebne informacje?

W podmiocie zaimplementowany jest proces identyfikujący potrzebne informacje w całej organizacji do odpowiedniego wspierania systemu kontroli wewnętrznej oraz samego podmiotu w osiąganiu celów.

Oczekiwana odpowiedź: tak

13.2

Czy system informacyjny w organizacji korzysta z wewnętrznych, jak i zewnętrznych źródeł danych?

Podmiot identyfikuje różne źródła danych, które są wykorzystywane w organizacji dzięki systemowi informacyjnemu. Źródła danych mogą pochodzić z wewnątrz podmiotu, jak i z zewnątrz (jego otoczenia).

Oczekiwana odpowiedź: tak

13.3

Czy podmiot procesuje/analizuje dane tak, aby uzyskać informacje?

Podmiot poprzez zbieranie odpowiednich danych, systematyzowanie ich oraz analizowanie uzyskuje informacje, które mogą być wykorzystane przez podmiot.

Oczekiwana odpowiedź: tak

13.4

Czy podmiot weryfikuje jakość i odpowiedniość posiadanych i wykorzystywanych informacji?

Posiadane przez podmiot informacje są regularnie weryfikowane, aby zapewnić, że posiadają one następujące cechy: bieżące, dokładne, kompletne, weryfikowalne, chronione oraz odpowiednie dla potrzeb podmiotu.

Oczekiwana odpowiedź: tak

13.5

Czy podmiot dokonuje analizy kosztów i korzyści systemu informacji?

Podmiot analizuje swój system informacyjny pod względem kosztów ponoszonych na jego utrzymywanie w porównaniu do korzyści wynikających z tego systemu. Jeżeli koszty przewyższają korzyści wynikające z systemu, to podmiot podejmuje kroki zmieniające system informacyjny tak, by lepiej odpowiadał potrzebom podmiotu lub był tańszy.

Oczekiwana odpowiedź: tak

14. Przepływ informacji wewnątrz podmiotu (ang. Communicates internally)

14.1

Czy pracownicy otrzymują informacje wymagane do wykonania swoich zadań związanych z systemem kontroli wewnętrznej?

System informacyjny zaimplementowany w podmiocie dostarcza pracownikom odpowiedzialnym za wykonywanie zadań związanych z systemem kontroli wewnętrznej (włączając w to działania kontrolne) wszelkie niezbędne informacje do wykonywania tych zadań.

Oczekiwana odpowiedź: tak

14.2

Czy istnieje przepływ informacji pomiędzy zarządem a organami nadzorczymi?

W podmiocie istnieje przepływ informacji pomiędzy zarządem a organami nadzorczymi tak, że każdy z tych organów ma wystarczające informacje do wykonywania swoich obowiązków w podmiocie.

Oczekiwana odpowiedź: tak

14.3

Czy istnieją oddzielnie, niezależne kanały do przekazywania informacji niejawnych lub anonimowo?

W podmiocie istnieją kanały niezależne i różne od normalnych kanałów komunikacji, które mogą być wykorzystywane do przekazywania informacji niejawnych lub anonimowo. Kanały takie wykorzystywane są np. do przekazywania informacji o fraudach, w sytuacjach, gdy standardowe kanały nie byłyby odpowiednie/efektywne.

Oczekiwana odpowiedź: tak

14.4

Czy w podmiocie istnieje wiele kanałów komunikacji tak, że można wybrać najbardziej odpowiedni?

W podmiocie zaimplementowanych zostało wiele kanałów komunikacji i pracownicy mogą wybierać najbardziej odpowiedni pod względem szybkości, odbiorców oraz natury informacji przekazywanej.

Oczekiwana odpowiedź: tak

15. Przepływ informacji z i na zewnątrz podmiotu (and. Communicates externally)

15.1

Czy istnieje odpowiedni proces komunikowania się z interesariuszami zewnętrznymi?

Podmiot przekazuje bardzo wiele informacji na zewnątrz organizacji do swoich interesariuszy, takich jak: udziałowcy, partnerzy biznesowi (podmioty zewnętrzne), regulatorzy, klienci, analitycy finansowi itd. Informacja przekazywana do interesariuszy jest dokładna i aktualna.

Oczekiwana odpowiedź: tak

15.2

Czy proces komunikacji z interesariuszami zewnętrznymi uwzględnia także przekazywania informacji przez interesariuszy do podmiotu (zbieranie informacji od interesariuszy przez podmiot)?

Podmiot zbiera i/lub otrzymuje informacje od swoich interesariuszy, gdyż mogą wpływać na dalsze kierunki działania, cele podmiotu lub wprost wpływać na decyzje.

Oczekiwana odpowiedź: tak

15.3

Czy organy nadzorcze otrzymują klarowne informacje o ocenach podmiotu i jego działalności przeprowadzonych przez podmioty zewnętrzne?

Podmioty zewnętrzne wykonujące oceny działalności podmiotu (np. biegły rewident) przekazują swoje oceny organom nadzorczym. Informacje te mogą być przekazywane organom nadzorczym także za pośrednictwem zarządu, ważne jest jednak zapewnienie, że informacja ta będzie w formie niezmienionej.

Oczekiwana odpowiedź: tak

15.4

Wymóg analogiczny do 14.3. Jedyną różnicą jest skupienie się na komunikacji zewnętrznej, a nie wewnętrznej.

15.5

Wymóg analogiczny do 14.4. Jedyną różnicą jest skupienie się na komunikacji zewnętrznej, a nie wewnętrznej.

V. Monitorowanie (ang. Monitoring)

16. Wykonywanie ciągłych oraz jednorazowych weryfikacji (ang. Conducts ongoing and/or separate evaluations)

16.1

Czy zarząd zaimplementował weryfikacje ciągłe, jak i jednorazowe?

Podmiot dokonuje weryfikacji systemu kontroli wewnętrznej w celu potwierdzenia, że system sprawnie funkcjonuje. Weryfikacje są przeprowadzane w sposób ciągły, jak i jednorazowo.

Oczekiwana odpowiedź: tak

16.2

Czy zarząd bierze pod uwagę zmiany oraz ich tempo w podmiocie?

Przy wyborze odpowiedniego zestawu ciągłych oraz jednorazowych weryfikacji systemu kontroli wewnętrznej analizowane jest tempo oraz istotność zmian.

Oczekiwana odpowiedź: tak

16.3

Czy zarząd ustalił poziom początkowy do ustalenia wymaganych weryfikacji systemu kontroli wewnętrznej?

Bazowy stan systemu kontroli wewnętrznej jest określony na początku, przed przystąpieniem do określania wymaganych weryfikacji ciągłych, jak i jednorazowych.

Oczekiwana odpowiedź: tak

16.4

Czy osoby odpowiedzialne za weryfikacje systemu kontroli wewnętrznej mają wystarczające kompetencje i wiedzę, by takie weryfikacje przeprowadzać?

Osoby przeprowadzające ciągłe, jak i jednorazowe weryfikacje systemu kontroli wewnętrznej mają wystarczające kompetencje do przeprowadzenia weryfikacji. Osoby te mają wystarczającą wiedzę ogólną o procesach i działalności podmiotu.

Oczekiwana odpowiedź: tak

16.5

Czy ciągłe weryfikacje systemu kontroli wewnętrznej są wbudowane w procesy biznesowe?

Weryfikacje ciągłe są wbudowane w procesy biznesowe podmiotu oraz są dostosowywane do zmieniających się warunków wewnętrznych, jak i zewnętrznych wraz z procesem biznesowym.

Oczekiwana odpowiedź: tak

16.6

Czy zarząd dostosowuje częstotliwość oraz zakres weryfikacji jednorazowych?

Zarząd dostosowuje częstotliwość i zakres planowanych weryfikacji jednorazowych do wykonywania do ryzyka, na jakie narażony jest podmiot.

Oczekiwana odpowiedź: tak

16.7

Czy weryfikacje jednorazowe przeprowadzane są w sposób „regularny”?

Regularność weryfikacji zapewnia odpowiednie pokrycie ryzyka oraz obiektywność ocen.

Oczekiwana odpowiedź: tak

17. Ocenianie wyników weryfikacji oraz komunikowanie zidentyfikowanych nieprawidłowości (ang. Evaluates and communicates deficiencies)

17.1

Czy wyniki ciągłych i jednorazowych weryfikacji są w odpowiedni sposób analizowane i oceniane?

Zarząd lub organy nadzorcze podmiotu analizują wyniki przeprowadzonych weryfikacji (ciągłych oraz jednorazowych).

Oczekiwana odpowiedź: tak

17.2

Czy zidentyfikowane nieprawidłowości są odpowiednio przedstawiane?

Zidentyfikowane nieprawidłowości są odpowiednio przekazywane do osób odpowiedzialnych za podjęcie akcji naprawczych. Dodatkowo nieprawidłowości są przekazywane do zarządu i/lub organów nadzorczych (w zależności od okoliczności oraz istotności).

Oczekiwana odpowiedź: tak

17.3

Czy akcje naprawcze są w odpowiedni sposób monitorowane?

Zarząd monitoruje wdrażanie akcji naprawczych zidentyfikowanych nieprawidłowości.

Oczekiwana odpowiedź: tak