Integrace datových analýz do běžného života interního auditora

Transkript

1 Integrace datových analýz do běžného života interního auditora Konference ČIIA, Špindlerův Mlýn 2014 Tomáš Schwardy Martin Veselý

2 Cíle a očekávání z dnešní dílny Strana 2

3 O čem dnes bude řeč Cíl semináře Pomocí praktických příkladů a stručného shrnutí metodologie prodiskutovat možnosti integrace datových (a dalších IS) analýz do interního auditu. Ukážeme si, jak pomocí analýz zvýšit efektivitu provedení auditu, podpořit a rozšířit zjištění v závěrečných zprávách a získat přesných pohled na auditovaný proces pro zadavatele auditu. Metodou semináře je workshop na vzorové téma auditu, sdílení zkušeností a skupinová diskuse. Obsah Typy, integrace a přínos datových analýz Možné testovací strategie s a bez použití datových analýz Konkrétní příklady zjištění a návrh opatření ve formátu zprávy Jak zvýšit přidanou hodnotu auditu pro společnost a management Náklady vs. přínosy datových analýz Využití standardních (katalogových) analýz a jejich automatizace Strana 3

4 IA v 2014 Strana 4

5 Jak vidí roli IA ve světě? Strana 5

6 74 % z dotázaných poukazuje na možnost využít datové analýzy v nejméně jednom současně auditovaném procesu 40 ŽLUTÉ sloupce indikují příležitost začlenit datové analýzy do existujících auditních plánu pro klíčové procesy níže. Legenda Využívá Datové Analýzy 35 5 Příklad: 26 týmu uvedlo, že mají audit pohledávek v aktuálním auditním plánu, avšak pouze 14 využívá Analytiku. Nevyužívá Datové Analýzy T&E AP Procurement Inventory AR HR & Comp FSCP Sales Strana 6

7 80 % týmů by bylo lépe schopné integrovat datové analýzy pokud by měli k dispozici vhodné nástroje opakované využití s nízkou cenou Strana 7

8 Náš vzorový audit audit nákupu Strana 8

9 Typická rizika procesu nákupu Která jsou aktuální rizika v procesu nákupu? Platíme za zboží/služby, které jsme neobdrželi Nakupujeme zboží/služby, které nepotřebujeme Zaměstnanci se obohacují na úkor společnosti (nákup pro vlastní potřebu, dohoda s dodavatelem) Obchodujeme s nekorektními/fiktivními firmami Platíme dřív než musíme Nakupujeme pozdě (z pohledu možnosti realizace širšího VŘ a dostupnosti vstupů do výroby ) Nevyužíváme obchodní slevy při nákupu Nenakupujeme za férové ceny Platíme zbytečné DPH Strana 9

10 Tradiční přístup Které kroky byste provedli pro pokrytí následujících rizik: Platíme za zboží/služby, které jsme neobdrželi Platíme dřív než musíme Obchodujeme s nekorektními/fiktivními firmami Nenakupujeme za férové ceny Strana 10

11 Závěrečná zpráva Ujištění Zjištění ve zprávě 100 faktur (z 20 tisíc) nevykázalo žádné nesrovnalosti v ceně nebo množství objednaného/dodaného/vyfakturované ho zboží, a ceny odpovídají nabídce trhu Neidentifikovali jsme žádné duplicitní záznamy Na vzorku dodavatelů jsme potvrdili, že se jedná o existující a korektní obchodní partnery V 12 případech ze 100 byla faktura placena dřív, než proběhl příjem zboží. Pomocí extrapolace se zjistilo, že potenciálně 12 % faktur (2 400 faktur) je placeno dřív, než proběhl příjem zboží. Jedna faktura byla dvakrát vrácena ve workflow, nesrovnalost byla vysvětlena dodatečně, jeví se jako ojedinělá chyba toto zjištění bylo proto vypuštěno ze zprávy Strana 11

12 Vyhodnocení tradičního přístupu Vypovídající hodnota vzorku? Člověkohodiny na test Pravděpodobnost nalezení chyb Malá možnost identifikace trendů a tudíž zaměření Nedostatek přesných faktů ve zprávě Omezená možnost nalézt neefektivity (nikoliv chyby) v procesu Strana 12

13 Různé typy kontrol Zvyšující se regulační tlak a auditní náklady Do obrazu vstupuje počítač Máme správné kontroly pro naše finanční procesy? Máme správně nakonfigurovaná dodavatelská kmenová data? Jsou mé aplikace správně nakonfigurovány? Přicházíme o peníze z důvodu podvodů? Jak zabráním problémům při modifikaci rolí nebo přiřazení rolí uživatelům? Spolupráce mezi businessem, IT a auditem Finance Business IT Externí a interní audit Byly některé objednávky změněny po schválení? Provádí lidé neautorizované nebo nesprávné manuální záznamy do hlavní knihy? Pročišťuje někdo blokované faktury? Transakční kontroly: chyby, potenciální podvody, neefektivity, Kontroly kmenových dat: chybějící nebo nesprávné informace, duplicity, Konfigurace systému: tolerance a limity, povinná pole, Řízení přístupů uživatele: oddělení pravomocí, citlivé přístupy, Obecné IT kontroly: heslová politika, zákaznický vývoj, Co uživatelé dělají? Co mohou uživatelé dělat? V jakých aplikacích? SAP Oracle People JD Soft Různé typy Edward aplikací s Hyperi on Ostatní Strana 13

14 Datová analýza představuje posouzení vztahu mezi údaji (finančními a nefinančními) s cílem identifikovat vzorce, anomálie, nebo významné fluktuace pro účely dalšího detailního prověření. Vylepšené řízení rizik Analýza Lepší náhled na procesy Vylepšené Data Zpracování dat Informace business procesy Výhoda pro společnost Vylepšený kontrolní systém ` ` Strana 14

15 Přístup pomocí datových analýz Která analýzy byste provedli pro pokrytí následujících rizik: Platíme za zboží/služby, které jsme neobdrželi Platíme dřív než musíme Obchodujeme s nekorektními/fiktivními firmami Nenakupujeme za férové ceny Strana 15

16 Přístup pomocí datových analýz Možné příklady Platíme za zboží které jsme neobdrželi Třícestné párování Výjimky ze schvalovacího procesu faktur Duplicitní faktury Obchodujeme s nekorektními/fiktivními firmami Pracujeme s ověřenými dodavateli (Background check) Pořádek ve kmenových záznamech Platíme dřív než musíme Předčasné platby a nevyužité slevy Nenakupujeme za férové ceny Porovnání nákupních cen od dodavatelů Objednávky bez návaznosti na smlouvy/objednávky Strana 16

17 Příklady výstupů auditu při zapojení datových analýz Strana 17

18 Nálezy v závěrečné zprávě I 100 duplicitních faktur bylo proplaceno v celkové výši 4 MCZK Důvod: neefektivního používání monitorovacího reportu! Doporučení: Nastavení správných parametrů reportu faktur (23 % ze všech faktur) v celkové výši 140,2MCZK bylo zaplaceno > 10 dní před splatností. Z toho faktur umožňovalo dle smluvních podmínek slevu za včasnou platbu ve výši 2-5 % částky. Celkově nevyužitá sleva činila za rok 1.7MCZK Důvod: Nejasné pokyny a komplikovaná struktura podmínek Doporučení: Snížení počtů a aktualizace smluvních podmínek Celkově 68 % všech nákupních faktur představuje částku nepřesahující CZK. Důvod: Nákupní oddělení převzalo zodpovědnost za nákup kancelářského zboží Doporučení: Zavedení platebních karet pcard Strana 18

19 Nálezy v závěrečné zprávě II Dalších 5 % faktur v celkovém počtu bylo minimálně jednou vráceno ve workflow kvůli nesprávnému přiřazení nákladového střediska (pokaždé v případě objednávek oddělení nákup komodit). Důvod: zastaralá dokumentace nákladových struktur. Doporučení: Aktualizace dokumentace. Proškolení zaměstnanců oddělení a vyvěšení aktuální nákladové směrnice na intranet 113 dodavatelů z celkového počtu nemá platné DIČ, 78 z nich je označeno jako nespolehlivý plátce. 24 z nich jsme poslali zálohové platby během 2014 Důvod: neexistující/neefektivní prověrky dodavatelů Doporučení: Zlepšení řízení dodavatelů, vč. zavedení manuálních prověrek při zakládání kmenových dat + periodické monitorování aktuálnosti informací z příslušných registrů Strana 19

20 Nálezy v závěrečné zprávě III V 48 případech byly faktury za celkovou sumu CZK zaplaceny dřív než příjem zboží. ZBYTEK PLATEB JE V POŘÁDKU!!! Důvod: Způsobeno chybou systému dne Doporučení: není nutné 7 % faktur v celkovém počtu mělo výraznější odchylku v ceně za zboží, než průměrná cena za dané zboží Důvod: Využití smluv pro nákup je volitelné pro jakýkoliv typ objednávky/materiálu Doporučení: Nastavení povinné vazby na smlouvu pro vybrané typy objednávek/materiálu Strana 20

21 Nálezy v závěrečné zprávě IV Strana 21

22 Nálezy v závěrečné zprávě V Strana 22

23 Porovnání s tradičním přístupem Vypovídající hodnota vzorku? 100 faktur z 20 tisíc nevykázalo žádné procesní nedostatky (0,5% ujištění) Člověkohodin na test? hodin při manuálním testování Pravděpodobnost nalezení chyb 100 duplicitních faktur bylo proplaceno v celkové výši 4 MCZK, aniž by je nastavené kontroly zablokovaly Malá možnost identifikace trendů a tudíž zaměření Platíme v průměru 10 dní před splatností Zvyšuje se počet nákupů pod CZK Nedostatek přesných faktů ve zprávě Ve 3 případech z 25 byla faktura zaplacena dřív než příjem zboží Omezená možnost nalézt neefektivity (nikoliv chyby) v procesu 12 % faktur bylo minimálně jednou vráceno ve workflow Strana 23

24 jak na ně Strana 24

25 Definice potřeb Vycházejte z cílů auditu Cíle auditu dané programem auditu určují hranice, ve kterých se analytická revize bude pohybovat Zaměření na cíle auditu: zajišťuje, že finální výstup analytické revize přispěje ke splnění celkových cílů auditu umožňuje zvolit odpovídající kombinaci technik analytické revize a detailního testování redukuje neproduktivní činnosti a práce nad rámec auditu Stanovte strategii testování Existují dvě roviny datové analýzy Samostatná plnohodnotná auditní technika se specifickými cíli Podpůrná technika umožňující správné zaměření testování a výběr vzorku k testování podle dané testovací strategie Strana 25

26 Ovlivňující faktory Cíle, očekávání a rozsah analýzy se odvíjí od těchto faktorů: Spolehlivost dat: Nižší míra spolehlivosti vstupních dat sníží vypovídací schopnost výsledků analytické revize Dostupnost dat: Vyšší časová náročnost získání dostatečně spolehlivých vstupních údajů a/nebo nutnost součinnosti dalších útvarů (zejména IT) pravděpodobně zmenší rozsah analytické revize Stabilita dat: Vyšší proměnlivost analyzovaných údajů, vztahů mezi nimi a jejich vyšší závislost na změnách vnějšího prostředí zpravidla sníží vypovídací schopnost / omezí platnost výsledků analytické revize Struktura dat: Vyšší strukturovanost vstupních dat sníží čas potřebný k provedení analytické revize a zpravidla umožní dosáhnout detailnějších výsledků, avšak může omezit jejich platnost (například pouze na některý segment dat v celkové struktuře) Rozsah a časový harmonogram auditu: Způsob načasování analytické revize (příprava x realizace auditu) a ostatních auditních technik, stejně jako celkový rozsah auditu ovlivní rozsah analytické revize Page 26

27 Výběr nástroje - příklady Matice nástroj-cíl ACL Excel IDEA Monarch Access Pořízení vstupních dat (data capturing) Zpracování vstupních dat (data mining) Regresní analýza + + Identifikace anomálií Práce s daty Výpočtové funkce / porovnání veličin Uživatelská přívětivost Legenda: : neumožňuje, +: umožňuje, avšak není optimální řešení, ++: optimální řešení Page 27

28 Vstupní data Definujte požadavky na vstupní data Formát: Vstupní data musí být ve formátu, se kterým umíte pracovat Obsah: Vstupní data musí obsahovat všechny informace, které potřebujete Zdroj: Ze kterého systému chcete vstupní data získat Možnosti validace: Jaké informace musí vstupní data obsahovat, abyste mohli ověřit jejich celkovou správnost (integritu) Čas: Kdy přesně potřebujete mít vstupní data k dispozici Ověřte správnost vstupních dat Jakmile obdržíte vstupní data, prvním krokem musí být ověření jejich správnosti Příklad: Porovnání celkového objemu nákupu v detailní nákupní sestavě, s objemem nákupu na nákladových účtech hlavní knihy a celkovým objemem nákupu v minulém období. Page 28

29 Zpracování dat Vyberte správný typ analýzy Logická analýza Příklady: Porovnání objednaného a fakturovaného množství a jednotkových cen. Porovnání data zaplacení faktury a data schválení faktury k proplacení. Prověření parametru souvislosti u číslování požadavků na objednávku / objednávek / faktur. Poměrová analýza Příklady: Porovnání množství nákupních transakcí (objem, počet) zajišťovaných jedním pracovníkem nákupu. Poměr pracovníků nákupu na celkový počet zaměstnanců. Průměrná doba trvání závazku (Account Payable Days) a její porovnání s průměrnou dobou trvání pohledávky (Account Receivable Days). Trendová analýza Příklad: Analýza vývoje jednotkových cen a porovnání výsledků s koeficienty růstu tržních cen. Regresní analýza Příklad: Analýza závislosti objemu nakupovaných komodit na změnách objemu prodaných výrobků. Page 29

30 Vyhodnocení Porovnejte skutečné výsledky s cíli a očekáváními Byly splněny plánované cíle, očekávání a rozsah analytické revize? Diskutujte odchylky a identifikuj příčiny Při další práci se zaměřte na nevysvětlené odchylky Zjistěte, jaké kontroly slouží k odhalování chyb (zajištění integrity) analyzovaných dat Reagujte na indikátory podvodného jednání Posuďte, jaký dopad mají dosažené výsledky na další postup Je třeba změnit rozsah, či zaměření auditu? Je třeba změnit rozsah, či skladbu ostatních auditních technik? Je třeba provést další, detailnější analytickou revizi? Page 30

31 Prezentování lze využít jako Zdroj zjištění Podklad pro výběr vzorku (viz strategie testování) Dodání lepšího náhledu do procesů Page 31

32 Integrace datových analýz do IA Strana 32

33 Katalog kontrol a analýz Strana 33

34 Integrace datových analýz do auditu Příprava a IS kontroly se domluví s vedoucím auditu. DA /IS kontroly provedeny, dodány před další fází Výsledky datových analýz jsou zrevidovány, otázky na objasnění jsou sepsány Zaměření a analýza rizik Společné interview klíčových procesních vlastníků (IT auditor a IA), identifikace oblastí klíčových rizik a kontrol (manuální & automatizované). Rozhodnutí o testovací strategii Objasnění nesrovnalostí zjištěných z datových analýz. Příprava návrhu zjištění. Zajištění dodatečného testování pro potvrzení. Testování Potvrzení finálních zjištění z analýz, průběh manuálního testování IA. Sdílení analýzy, kontrol/nápadů na procesní optimalizace s vlastníky business procesu a představení příležitosti pro kontinuální monitorování. Reportování Předání zjištění a finální zprávy Page 34

35 Mezivýsledky a doporučení Page 35

36 Příklad z praxe Primární výstupy: Integrovaný tým auditu - 1 IT auditor na místě řeší dotazy vyplývající z DA 20% budget auditu IT V některých auditech > 50 % zjištění odhaleno s pomocí DA, jako například: Obcházení fakturačního workflow procesu s využíváním nestandartních SAP transakčních kódů Současné monitorování není plně funkční u kontroly zastaralých objednávek Kmenová data dodavatelů obsahují duplicity, významné problémy s kvalitou dat (např. nesprávně přiřazená čísla bankovních účtů) Nález zaplacených duplicitních faktur Manuální změny v cenách objednávek (např. obrovské slevy) nejsou monitorovány Akční plány managementu se zaměřují na IS řešení tam, kde je to možné Sekundární výstupy: Racionalizace katalogu DA / IS testů omezení zbytečných datových analýz Představení kontinuálního monitorování klíčových kontrol ve Společnosti Představení využití vizualizačních nástrojů ve Společnosti Sdílení znalostí IA / IS Page 36

37 Přístup pomocí komplexního využití IS Další typy analýz pro pokrytí následujících rizik: Platíme za zboží které jsme neobdrželi Toleranční limity párování faktur Workflow na uvolnění blokovaných faktur Automatická kontrola duplicitních faktur Proaktivní monitorování při všech nesrovnalostech Obchodujeme s nekorektními/fiktivními firmami Kontrola 4 očí při zadávání/změně kmenových dat Testování povinných polí a validace hodnot Platíme dřív než musíme Konfigurace automatického platebního systému Proaktivní monitorování Nenakupujeme za férové ceny Založení systémové objednávky je vázáno na smlouvu/objednávku Vytvoření systémové objednávky pouze dle schválených nákupních záznamů Proaktivní monitorování Strana 37

38 Porovnání testovacích strategií Strana 38

39 Efektivita Model vyspělosti interního auditu a testovací strategie Vysoká Periodické Kontinuální Průběžné monitorování procesů a kontrol Proaktivní notifikace a včasné řešení Pravidelné provádění automatizovaných IS kontrol a analýz Využití IS Spolehnutí na IS kontroly a analýzy, audit na bázi výjimek Zlepšené kontrolní prostředí Tradicionální Manuální procedury zaměřené primárně na souladu se standardy Nízká Manuální Úroveň automatizace Plně automatická Strana 39

40 Přínosy / náklady Strana 41

41 Rekapitulace - přínosy Zvýšení přidané hodnoty auditu Zvýšení pravděpodobnosti nálezu Vyšší míra ujištění Zvýšení přesnosti nálezu (kvantifikace, rozsah) Možnost lepší identifikace zdroje problému (hlavně IT problémů) Návrhy na odstranění problému jsou přesnější Ověření efektivity ostatních (monitorovacích) kontrol Zvýšení efektivity Zlepšený pohled do business procesů Snížení manuální práce Interní auditor nekontroluje zbytečně doklady, které jsou správné = od první chvíle řeší pouze problematické záznamy Většina potřebných dat se dá použít pro rychlé vytvoření vizuálních pohledů na business proces (kontingenční tabulky, dashboardy apod.) Možnost měření vyspělosti (maturity) procesů Page 42

42 Očekávatelné náklady Získávání dat i při tradičním postupu jsou potřeba = není to výrazné zvýšení nákladů Jednorázové náklady pro kvalitní vývoj logiky (včetně možnosti nákupu hotového nástroje) nepodceňovat! Jednorázové náklady pro infrastrukturu ad-hoc Excel sofistikované nástroje na kontinuální monitorování Opakované náklady na spouštění - závisí na: opakovatelnosti zaměření úrovni automatizace Page 43

43 Pár otázek na závěr Co jsou největší úskalí, které znemožňují používání datových analýz ve Vaší společnosti? Strana 44

44 Pár otázek na závěr Kdyby Vám do zítřejšího rána někdo slíbil zadarmo připravit 5 libovolných datových analýz v systémech Vaší společnosti, které by to byly? Strana 45