Värt att veta om IT Intern revision med datorstöd och data analyser Internrevisorerna Sverige December 2006 Richard Minogue (CIA, CPA) HIBIS SCANDINAVIA AB John Wallhoff (CISA, CISM, CISSP) SCILLANI INFORMATION AB
Några ord om … Dataanalyser innebär att transaktioner från ett eller flera IT-system bearbetas och analyseras utifrån angivna förutsättningar. Ibland kallas det registeranalyser och ibland analytisk granskning
Några ord om … Data analyser kan omfatta: Matchning av data Sekvensnummertester Dubblettkontroll Datumkontroller Urval av transaktioner
Några ord om … Dataanalyser används ofta för att Att testa den interna kontrollen Hitta spår av bedrägeri & korruption Ta fram KPIer Kvalitetssäkring
Några ord om … Kontroll kan avse än mängd olika flöden/processer Orderprocessen (försäljningsorder till betalning) Inköpsprocessen (rekvisition till betalning) Lönehantering (löner, tidrapporter, reseräkningar) Lagerhantering Redovisning Utbetalningar
Verktyg som är vanliga att använda Några ord om … Verktyg som är vanliga att använda ACL Excel Access Dbase SQL queries Rapportgeneratorer
Några ord om … Det är oerhört lätt att dölja oegentligheter och tvivelaktiga affärer i en stor mängd transaktioner Det är oerhört lätt att förlora kontrollen när man har en stor mängd transaktioner att hantera Effekten av felaktigheter blir ofta stora eftersom det handlar om stora volymer
Vårt scenario … Är baserat på några granskningar som gjorts vilka har kombinerats här till ett gemensamt scenario för att inte peka ut ett enskilt företag. Transaktionerna är fiktiva men speglar de problem som analyseras i verkligheten.
Steg 1 - Problembeskrivning Frågeställningar i vårt scenario Varför är det problem med avstämningar mellan försäljning och inköp och varför kan man inte förklara de differenser som uppkommer? Varför är försäljningsvolymen större än omsättningen i redovisningen? Varför går det inte att få tillförlitliga prognoser för inköp som baseras på historisk försäljning och leverans? Har man lagt tillräckliga resurser och tidsramar för att kunna få system i drift? Kan man vara säker på att den interna kontrollen i företaget fungerar?
Steg 1 - Problembeskrivning Vilka risker tror du finns? Vilka är konsekvenserna för de risker du ser? Hur kan man förebygga riskerna? Hur kan man hitta brister i den interna kontrollen?
Steg 2 - Systembeskrivning
Steg 2 - Systembeskrivning Utifrån ovanstående systembeskrivning vilka typer av kontroller skulle du vilja ha med? Kan det finnas något annat system som borde vara med i en granskning?
Steg 3 - Processbeskrivning
Steg 3 - Processbeskrivning Vilka kontroller tror du att vi skall göra utifrån vårt krav på fullständighet och värdering? Finns det någon annan process som stödjer denna som du också skulle vilja veta mer om?
Steg 4 - Datakällor
Steg 4 - Datakällor Finns det någon ytterligare information som borde vara med för att göra en analys? Hur kan man säkerställa att man har fått med rätt information?
Steg 5 - Dataanalyser
Steg 5 - Dataanalyser Vilka andra kontroller skulle du vilja göra baserat på de datafiler vi har fått tillgång till? Vilken mer data skulle du vilja ha för att göra en fördjupad analys?
Steg 6 – Utfall och rapportering
Steg 6 – Utfall och rapportering Vad är konsekvensen av de felaktigheter som vi har hittat här? Vad tror du är grundorsaken till de problem som vi har hittat här? Vilka kontroller skulle du rekommendera? Hur kan man hantera rapportering?
Tips - Att hämta in data… Var klar över vad du vill testa Stäm av med systemägaren hur systemet ser ut och hur det fungerar Välj ut den information du behöver, dvs fält i tabeller i databaser Begär att data skapas i ett format som inte är begränsat i antalet transaktioner Begär kontrolltotaler för att säkerställa att du har rätt data Begär hardcopy (printscreen och/eller faktura kopior) för några transaktioner Begär beskrivning för koder som används i olika fält.
Tips - Att läsa in data… Lagra all data i en egen mapp för analyser Bevara källdatafiler utan att använda dem för analyser Verifiera att du har fått rätt data Verifiera att du har fått rätt antal transakationer Verifiera att du kan läsa all information, dvs alla fält (datum, belopp, text) Gör kontroll mot hardcopy Gör rimlighetskontroller
Tips – Vad kan gå fel… Du får inte all data/transkationer Du får fel data (datumintervall, företag, transaktionskoder) Olika format används för samma fält, t.ex datum Kreditbelopp anges inte med minustecken utan med kod Decimalavgränsare blandas samman ( punkt och komma) Data i olika fält går in i varandra
Tips – Vad kan tolkas fel… Du förstår inte innebörden av koder Du har gjort fel urval av transaktioner Du gör beräkningar felaktigt Du använder inte fantasin när du är något på spåren Du köper förklaringar utan att lyssna kritiskt Du har inte fått med viktiga transaktioner omedelbart före och/eller efter avklippsdatum
Fraud and Corruption Risk Management 12 Tone at the Top Understand the Risks Reduce the Risks Monitor & Detect Red Flags Manage Incidents Enhance Resistance Strategy
The Corporate Health Check Major investments and “deals” Supplier, customers, partners, consultants Key people (e.g. conflicts of interest, behavioural symptoms, spending patterns etc) Transactions out (payments, invoices, expenses etc) The “perception survey” The best indicators: Do we have fraud? Where and how should we look?
Bedrägeri & Korruption Några nya scenario/frågor: Vilka system kan du använda dig av för att få ut pengar från ett företag/organisation?
Bedrägeri & Korruption Några nya scenario/frågor: Vi utgår från leverantörsreskontra. Du får ett tips om att en leverantör har använt upp till 7 fakturor för att ta ut pengar. Vilka spår kan du leta efter i transaktioner Tips: Tänk efter vilken data som du skulle kunna använda dig av och använd fantasin (det är tillåtet)
Bedrägeri & Korruption Några nya scenario/frågor: Hur syns en dubbelbetalning?
Scillani Information AB ”finding the loopholes” Scillani Information AB Ekgatan 6 230 40 BARA Tfn 040 – 54 31 31 Fax 040 – 54 31 30 Internet: www.scillani.com E-post: info@scillani.se www.hibis.com