Värt att veta om IT Intern revision med datorstöd och data analyser Internrevisorerna Sverige December 2006 Richard Minogue (CIA, CPA) HIBIS SCANDINAVIA AB John Wallhoff (CISA, CISM, CISSP) SCILLANI INFORMATION AB
Några ord om Dataanalyser innebär att transaktioner från ett eller flera IT-system bearbetas och analyseras utifrån angivna förutsättningar. Ibland kallas det registeranalyser och ibland analytisk granskning
Några ord om Data analyser kan omfatta: Matchning av data Sekvensnummertester Dubblettkontroll Datumkontroller Urval av transaktioner
Några ord om Dataanalyser används ofta för att Att testa den interna kontrollen Hitta spår av bedrägeri & korruption Ta fram KPIer Kvalitetssäkring
Några ord om Kontroll kan avse än mängd olika flöden/processer Orderprocessen (försäljningsorder till betalning) Inköpsprocessen (rekvisition till betalning) Lönehantering (löner, tidrapporter, reseräkningar) Lagerhantering Redovisning Utbetalningar
Några ord om Verktyg som är vanliga att använda ACL Excel Access Dbase SQL queries Rapportgeneratorer
Några ord om Det är oerhört lätt att dölja oegentligheter och tvivelaktiga affärer i en stor mängd transaktioner Det är oerhört lätt att förlora kontrollen när man har en stor mängd transaktioner att hantera Effekten av felaktigheter blir ofta stora eftersom det handlar om stora volymer
Vårt scenario Är baserat på några granskningar som gjorts vilka har kombinerats här till ett gemensamt scenario för att inte peka ut ett enskilt företag. Transaktionerna är fiktiva men speglar de problem som analyseras i verkligheten.
Steg 1 - Problembeskrivning Frågeställningar i vårt scenario Varför är det problem med avstämningar mellan försäljning och inköp och varför kan man inte förklara de differenser som uppkommer? Varför är försäljningsvolymen större än omsättningen i redovisningen? Varför går det inte att få tillförlitliga prognoser för inköp som baseras på historisk försäljning och leverans? Har man lagt tillräckliga resurser och tidsramar för att kunna få system i drift? Kan man vara säker på att den interna kontrollen i företaget fungerar?
Steg 1 - Problembeskrivning Vilka risker tror du finns? Vilka är konsekvenserna för de risker du ser? Hur kan man förebygga riskerna? Hur kan man hitta brister i den interna kontrollen?
Steg 2 - Systembeskrivning Mätsystem Verksamhetssystem Ekonomisystem Avläsningsdata Fakturaunderlag Fakturor Reskontra Avtalsregister
Steg 2 - Systembeskrivning Utifrån ovanstående systembeskrivning vilka typer av kontroller skulle du vilja ha med? Kan det finnas något annat system som borde vara med i en granskning?
Steg 3 - Processbeskrivning Mätsystem Verksamhetssystem Ekonomisystem Automatisk avläsning Sammanställning avläsningsdata Överföring föbrukning Inläsning av avläsningsdata Sammanslagning med avtalsuppgifter Generering fakturor (månadsvis) Utskrift av fakturor Överföring fakturor Inläsning betalningar
Steg 3 - Processbeskrivning Vilka kontroller tror du att vi skall göra utifrån vårt krav på fullständighet och värdering? Finns det någon annan process som stödjer denna som du också skulle vilja veta mer om?
Steg 4 - Datakällor Avläsningsdata Fältnamn Start Längd Decimaler ID 1 15 0 Kod 16 12 Avläsningsdatum 28 10 Varning 38 2 Kundnummer 40 9 Antal 49 15 0 Antal poster: 126 842 Kontrolltotal: 1 627 824 729 (Antal) Avtalsregister Fältnamn Start Längd Decimaler Kundnummer 1 9 Pris 10 13 0 Antal poster: 715 Kontrolltotal: 111.59 (Pris) Fakturaunderlag Fältnamn Start Längd Decimaler ID 1 15 0 Kod 16 12 Avläsningsdatum 28 10 Varning 38 2 Kundnummer 40 9 Antal 49 15 0 Antal poster: 126 668 Kontrolltotal: 1 625 684 156 (Antal) Fakturor Fältnamn Start Längd Decimaler Fakturanummer 1 12 0 Kundnummer 13 9 0 Fakturadatum 22 10 Antal 32 17 0 Pris 49 16 0 Belopp 65 16 0 Förfallodatum 81 10 Antal poster: 10 130 Kontrolltotal: 1 625 684 156 (Antal) Reskontra Fältnamn Start Längd Decimaler Fakturanummer 1 15 0 Kundnummer 16 9 Fakturadatum 25 10 Spärrad 35 2 Förfallodatum 37 10 Belopp 47 17 0 Betalt 64 15 0 Rest 79 15 0 Antal poster: 10 133 Kontrolltotal: 252,905,565 (Belopp)
Steg 4 - Datakällor Finns det någon ytterligare information som borde vara med för att göra en analys? Hur kan man säkerställa att man har fått med rätt information?
Steg 5 - Dataanalyser Kontroll Syfte Vad vi vill kontrollera Kontroll 1 Fullständighet Har alla leveranser förts över från avläsningssystem till verksamhetssystem? Kontroll 2 Värdering Har alla leveranser förts över med rätt kvantitet till verksamhetssystem? Kontroll 3 Värdering Har varje kund fakturerats med rätt pris? Kontroll 4 Fullständighet Har alla leveranser skapat en faktura? Kontroll 5 Värdering Har alla leveranser som skapat en faktura fått rätt pris? Kontroll 6 Fullständighet Har alla fakturor förts över till ekonomisystem? Kontroll 7 Existens Förekommer alla fakturor endast en gång i ekonomisystemet?
Steg 5 - Dataanalyser Vilka andra kontroller skulle du vilja göra baserat på de datafiler vi har fått tillgång till? Vilken mer data skulle du vilja ha för att göra en fördjupad analys?
Steg 6 Utfall och rapportering Kontroll Syfte Vad vi vill kontrollera Utfall Kontroll 1 Fullständighet Har alla leveranser förts över från avläsningssystem till verksamhetssystem? Kontroll 2 Värdering Har alla leveranser förts över med rätt kvantitet till verksamhetssystem? Kontroll 3 Värdering Har varje kund fakturerats med rätt pris? Kontroll 4 Fullständighet Har alla leveranser skapat en faktura? Kontroll 5 Värdering Har alla leveranser som skapat en faktura fått rätt pris? Kontroll 6 Fullständighet Har alla fakturor förts över till ekonomisystem? Kontroll 7 Existens Förekommer alla fakturor endast en gång i ekonomisystemet? 130 leveranser har inte blivit fakturerade. Samtliga avser kund 709 27499 har inte kunna slås samman i testen. För 25683 poster har id nummer angivits som 0. 1 faktura har skapats med fel pris. Inga fel har hittats. Inga fel har hittats. Inga fel har hittats Faktura 29132 förekommer 6 gånger. Det ser ut som om det är tre olika fakturor som är med dubbelt vid varje tillfälle.
Steg 6 Utfall och rapportering Vad är konsekvensen av de felaktigheter som vi har hittat här? Vad tror du är grundorsaken till de problem som vi har hittat här? Vilka kontroller skulle du rekommendera? Hur kan man hantera rapportering?
Tips - Att hämta in data 1. Var klar över vad du vill testa 2. Stäm av med systemägaren hur systemet ser ut och hur det fungerar 3. Välj ut den information du behöver, dvs fält i tabeller i databaser 4. Begär att data skapas i ett format som inte är begränsat i antalet transaktioner 5. Begär kontrolltotaler för att säkerställa att du har rätt data 6. Begär hardcopy (printscreen och/eller faktura kopior) för några transaktioner 7. Begär beskrivning för koder som används i olika fält.
Tips - Att läsa in data 1. Lagra all data i en egen mapp för analyser 2. Bevara källdatafiler utan att använda dem för analyser 3. Verifiera att du har fått rätt data 4. Verifiera att du har fått rätt antal transakationer 5. Verifiera att du kan läsa all information, dvs alla fält (datum, belopp, text) 6. Gör kontroll mot hardcopy 7. Gör rimlighetskontroller
Tips Vad kan gå fel 1. Du får inte all data/transkationer 2. Du får fel data (datumintervall, företag, transaktionskoder) 3. Olika format används för samma fält, t.ex datum 4. Kreditbelopp anges inte med minustecken utan med kod 5. Decimalavgränsare blandas samman ( punkt och komma) 6. Data i olika fält går in i varandra
Tips Vad kan tolkas fel 1. Du förstår inte innebörden av koder 2. Du har gjort fel urval av transaktioner 3. Du gör beräkningar felaktigt 4. Du använder inte fantasin när du är något på spåren 5. Du köper förklaringar utan att lyssna kritiskt 6. Du har inte fått med viktiga transaktioner omedelbart före och/eller efter avklippsdatum
Fraud and Corruption Risk Management Tone at the Top Enhance Resistan ce Strategy Understand the Risks Manage Incidents Monitor & Detect Red Flags Reduce the Risks 12
The Corporate Health Check The best indicators: Major investments and deals Supplier, customers, partners, consultants Key people (e.g. conflicts of interest, behavioural symptoms, spending patterns etc) Transactions out (payments, invoices, expenses etc) The perception survey Do we have fraud? Where and how should we look?
Bedrägeri & Korruption Några nya scenario/frågor: 1. Vilka system kan du använda dig av för att få ut pengar från ett företag/organisation?
Bedrägeri & Korruption Några nya scenario/frågor: 2. Vi utgår från leverantörsreskontra. Du får ett tips om att en leverantör har använt upp till 7 fakturor för att ta ut pengar. Vilka spår kan du leta efter i transaktioner Tips: Tänk efter vilken data som du skulle kunna använda dig av och använd fantasin (det är tillåtet)
Bedrägeri & Korruption Några nya scenario/frågor: 3. Hur syns en dubbelbetalning?
finding the loopholes Scillani Information AB www.hibis.com Ekgatan 6 230 40 BARA Tfn 040 54 31 31 Fax 040 54 31 30 Internet: www.scillani.com E-post: info@scillani.se