värt att veta om it intern revision med datorstöd och data analyser
DESCRIPTION
Värt att veta om IT Intern revision med datorstöd och data analyser. Internrevisorerna Sverige December 2006. Richard Minogue (CIA, CPA) HIBIS SCANDINAVIA AB. John Wallhoff (CISA, CISM, CISSP) SCILLANI INFORMATION AB. Några ord om …. - PowerPoint PPT PresentationTRANSCRIPT
Värt att veta om IT
Intern revision med datorstöd och data analyser
Internrevisorerna SverigeDecember 2006
John Wallhoff(CISA, CISM, CISSP)
SCILLANI INFORMATION AB
Richard Minogue (CIA, CPA)
HIBIS SCANDINAVIA AB
Några ord om …
Dataanalyser innebär att transaktioner från ett eller flera IT-system bearbetas och analyseras utifrån angivna förutsättningar. Ibland kallas det registeranalyser och ibland analytisk granskning
Några ord om …
Data analyser kan omfatta:
Matchning av data
Sekvensnummertester
Dubblettkontroll
Datumkontroller
Urval av transaktioner
Några ord om …
Dataanalyser används ofta för att
• Att testa den interna kontrollen
• Hitta spår av bedrägeri & korruption
• Ta fram KPIer
• Kvalitetssäkring
Några ord om …
Kontroll kan avse än mängd olika flöden/processer• Orderprocessen (försäljningsorder till betalning)• Inköpsprocessen (rekvisition till betalning)• Lönehantering (löner, tidrapporter, reseräkningar)• Lagerhantering• Redovisning • Utbetalningar
Några ord om …
Verktyg som är vanliga att använda
ACL
Excel
Access
Dbase
SQL queries
Rapportgeneratorer
Några ord om …
Det är oerhört lätt att dölja oegentligheter och tvivelaktiga affärer i en stor mängd transaktioner
Det är oerhört lätt att förlora kontrollen när man har en stor mängd transaktioner att hantera
Effekten av felaktigheter blir ofta stora eftersom det handlar om stora volymer
Vårt scenario …
Är baserat på några granskningar som gjorts vilka har kombinerats här till ett gemensamt scenario för att inte peka ut ett enskilt företag.
Transaktionerna är fiktiva men speglar de problem som analyseras i verkligheten.
Steg 1 - Problembeskrivning
Frågeställningar i vårt scenario Varför är det problem med avstämningar mellan försäljning och inköp
och varför kan man inte förklara de differenser som uppkommer? Varför är försäljningsvolymen större än omsättningen i redovisningen? Varför går det inte att få tillförlitliga prognoser för inköp som baseras
på historisk försäljning och leverans? Har man lagt tillräckliga resurser och tidsramar för att kunna få system
i drift? Kan man vara säker på att den interna kontrollen i företaget fungerar?
Steg 1 - Problembeskrivning
Vilka risker tror du finns? Vilka är konsekvenserna för de risker du
ser? Hur kan man förebygga riskerna? Hur kan man hitta brister i den interna
kontrollen?
Steg 2 - Systembeskrivning
Avläsningsdata
Avtalsregister
Fakturaunderlag
Fakturor
Reskontra
Mätsystem Verksamhetssystem Ekonomisystem
Steg 2 - Systembeskrivning
Utifrån ovanstående systembeskrivning vilka typer av kontroller skulle du vilja ha med?
Kan det finnas något annat system som borde vara med i en granskning?
Steg 3 - Processbeskrivning
Mätsystem Verksamhetssystem Ekonomisystem
Automatisk avläsning
Inläsning av avläsningsdata
Sammanslagning med
avtalsuppgifter
Generering fakturor
(månadsvis)
Sammanställning avläsningsdata
Överföring fakturor
Utskrift av fakturor
Inläsning betalningar
Överföring föbrukning
Steg 3 - Processbeskrivning
Vilka kontroller tror du att vi skall göra utifrån vårt krav på fullständighet och värdering?
Finns det någon annan process som stödjer denna som du också skulle vilja veta mer om?
Steg 4 - DatakällorAvläsningsdata
Fältnamn Start Längd Decimaler
ID 1 15 0
Kod 16 12
Avläsningsdatum 28 10
Varning 38 2
Kundnummer 40 9
Antal 49 15 0
Antal poster: 126 842 Kontrolltotal: 1 627 824 729 (Antal)
Avtalsregister
Fältnamn Start Längd Decimaler
Kundnummer 1 9
Pris 10 13 0
Antal poster: 715 Kontrolltotal: 111.59 (Pris)
Fakturaunderlag
Fältnamn Start Längd Decimaler
ID 1 15 0
Kod 16 12
Avläsningsdatum 28 10
Varning 38 2
Kundnummer 40 9
Antal 49 15 0
Antal poster: 126 668 Kontrolltotal: 1 625 684 156 (Antal)
Fakturor
Fältnamn Start Längd Decimaler
Fakturanummer 1 12 0
Kundnummer 13 9 0
Fakturadatum 22 10
Antal 32 17 0
Pris 49 16 0
Belopp 65 16 0
Förfallodatum 81 10
Antal poster: 10 130 Kontrolltotal: 1 625 684 156 (Antal)
Reskontra Fältnamn Start Längd Decimaler
Fakturanummer 1 15 0
Kundnummer 16 9
Fakturadatum 25 10
Spärrad 35 2
Förfallodatum 37 10
Belopp 47 17 0
Betalt 64 15 0
Rest 79 15 0
Antal poster: 10 133 Kontrolltotal: 252,905,565 (Belopp)
Steg 4 - Datakällor
Finns det någon ytterligare information som borde vara med för att göra en analys?
Hur kan man säkerställa att man har fått med rätt information?
Steg 5 - DataanalyserKontroll Syfte Vad vi vill kontrollera Kontroll 1 Fullständighet Har alla leveranser förts över från avläsningssystem
till verksamhetssystem? Kontroll 2 Värdering Har alla leveranser förts över med rätt kvantitet till
verksamhetssystem? Kontroll 3 Värdering Har varje kund fakturerats med rätt pris? Kontroll 4 Fullständighet Har alla leveranser skapat en faktura? Kontroll 5 Värdering Har alla leveranser som skapat en faktura fått rätt
pris? Kontroll 6 Fullständighet Har alla fakturor förts över till ekonomisystem? Kontroll 7 Existens Förekommer alla fakturor endast en gång i
ekonomisystemet?
Steg 5 - Dataanalyser
Vilka andra kontroller skulle du vilja göra baserat på de datafiler vi har fått tillgång till?
Vilken mer data skulle du vilja ha för att göra en fördjupad analys?
Steg 6 – Utfall och rapporteringKontroll Syfte Vad vi vill kontrollera Utfall Kontroll 1 Fullständighet Har alla leveranser förts över
från avläsningssystem till verksamhetssystem?
130 leveranser har inte blivit fakturerade. Samtliga avser kund 709
Kontroll 2 Värdering Har alla leveranser förts över med rätt kvantitet till verksamhetssystem?
27499 har inte kunna slås samman i testen. För 25683 poster har id nummer angivits som 0.
Kontroll 3 Värdering Har varje kund fakturerats med rätt pris?
1 faktura har skapats med fel pris.
Kontroll 4 Fullständighet Har alla leveranser skapat en faktura?
Inga fel har hittats.
Kontroll 5 Värdering Har alla leveranser som skapat en faktura fått rätt pris?
Inga fel har hittats.
Kontroll 6 Fullständighet Har alla fakturor förts över till ekonomisystem?
Inga fel har hittats
Kontroll 7 Existens Förekommer alla fakturor endast en gång i ekonomisystemet?
Faktura 29132 förekommer 6 gånger. Det ser ut som om det är tre olika fakturor som är med dubbelt vid varje tillfälle.
Steg 6 – Utfall och rapportering
Vad är konsekvensen av de felaktigheter som vi har hittat här?
Vad tror du är grundorsaken till de problem som vi har hittat här?
Vilka kontroller skulle du rekommendera? Hur kan man hantera rapportering?
Tips - Att hämta in data…
1. Var klar över vad du vill testa2. Stäm av med systemägaren hur systemet ser ut och hur
det fungerar3. Välj ut den information du behöver, dvs fält i tabeller i
databaser4. Begär att data skapas i ett format som inte är begränsat i
antalet transaktioner5. Begär kontrolltotaler för att säkerställa att du har rätt
data6. Begär hardcopy (printscreen och/eller faktura kopior) för
några transaktioner7. Begär beskrivning för koder som används i olika fält.
Tips - Att läsa in data…
1. Lagra all data i en egen mapp för analyser2. Bevara källdatafiler utan att använda dem för
analyser3. Verifiera att du har fått rätt data4. Verifiera att du har fått rätt antal transakationer5. Verifiera att du kan läsa all information, dvs alla
fält (datum, belopp, text)6. Gör kontroll mot hardcopy7. Gör rimlighetskontroller
Tips – Vad kan gå fel…
1. Du får inte all data/transkationer2. Du får fel data (datumintervall, företag,
transaktionskoder)3. Olika format används för samma fält, t.ex datum4. Kreditbelopp anges inte med minustecken utan
med kod5. Decimalavgränsare blandas samman ( punkt och
komma)6. Data i olika fält går in i varandra
Tips – Vad kan tolkas fel…
1. Du förstår inte innebörden av koder
2. Du har gjort fel urval av transaktioner
3. Du gör beräkningar felaktigt
4. Du använder inte fantasin när du är något på spåren
5. Du köper förklaringar utan att lyssna kritiskt
6. Du har inte fått med viktiga transaktioner omedelbart före och/eller efter avklippsdatum
Fraud and Corruption Risk Management
12
Tone at the Top
Understand the Risks
Reduce the
RisksMonitor & Detect Red
Flags
Manage Incidents
Enhance Resistan
ceStrategy
Do we have fraud?
Where and how should we look?
The Corporate Health Check
Major investments and “deals”
Supplier, customers, partners, consultantsKey people (e.g. conflicts of interest, behavioural symptoms, spending patterns etc)Transactions out (payments, invoices, expenses etc)
The “perception survey”
The best indicators:
Bedrägeri & Korruption
Några nya scenario/frågor:
1. Vilka system kan du använda dig av för att få ut pengar från ett företag/organisation?
Bedrägeri & Korruption
Några nya scenario/frågor:2. Vi utgår från leverantörsreskontra.
Du får ett tips om att en leverantör har använt upp till 7 fakturor för att ta ut pengar. Vilka spår kan du leta efter i transaktioner
Tips: Tänk efter vilken data som du skulle kunna använda dig av och använd fantasin (det är tillåtet)
Bedrägeri & Korruption
Några nya scenario/frågor:
3. Hur syns en dubbelbetalning?
Scillani Information AB
Ekgatan 6230 40 BARA
Tfn 040 – 54 31 31Fax 040 – 54 31 30
Internet: www.scillani.comE-post: [email protected]
www.hibis.com
”finding the loopholes”