Värt att veta om IT Intern revision med datorstöd och data analyser

1. Värt att veta om ITIntern revision med datorstöd och data analyser Internrevisorerna Sverige December 2006 Richard Minogue (CIA, CPA) HIBIS SCANDINAVIA AB John Wallhoff (CISA, CISM, CISSP) SCILLANI INFORMATION AB

2. Några ord om … Dataanalyser innebär att transaktioner från ett eller flera IT-system bearbetas och analyseras utifrån angivna förutsättningar. Ibland kallas det registeranalyser och ibland analytisk granskning

3. Några ord om … Data analyser kan omfatta: Matchning av data Sekvensnummertester Dubblettkontroll Datumkontroller Urval av transaktioner

4. Några ord om … Dataanalyser används ofta för att • Att testa den interna kontrollen • Hitta spår av bedrägeri & korruption • Ta fram KPIer • Kvalitetssäkring

5. Några ord om … Kontroll kan avse än mängd olika flöden/processer • Orderprocessen (försäljningsorder till betalning) • Inköpsprocessen (rekvisition till betalning) • Lönehantering (löner, tidrapporter, reseräkningar) • Lagerhantering • Redovisning • Utbetalningar

6. Några ord om … Verktyg som är vanliga att använda ACL Excel Access Dbase SQL queries Rapportgeneratorer

7. Några ord om … Det är oerhört lätt att dölja oegentligheter och tvivelaktiga affärer i en stor mängd transaktioner Det är oerhört lätt att förlora kontrollen när man har en stor mängd transaktioner att hantera Effekten av felaktigheter blir ofta stora eftersom det handlar om stora volymer

8. Vårt scenario … Är baserat på några granskningar som gjorts vilka har kombinerats här till ett gemensamt scenario för att inte peka ut ett enskilt företag. Transaktionerna är fiktiva men speglar de problem som analyseras i verkligheten.

10. Steg 1 - Problembeskrivning Frågeställningar i vårt scenario • Varför är det problem med avstämningar mellan försäljning och inköp och varför kan man inte förklara de differenser som uppkommer? • Varför är försäljningsvolymen större än omsättningen i redovisningen? • Varför går det inte att få tillförlitliga prognoser för inköp som baseras på historisk försäljning och leverans? • Har man lagt tillräckliga resurser och tidsramar för att kunna få system i drift? • Kan man vara säker på att den interna kontrollen i företaget fungerar?

11. Steg 1 - Problembeskrivning • Vilka risker tror du finns? • Vilka är konsekvenserna för de risker du ser? • Hur kan man förebygga riskerna? • Hur kan man hitta brister i den interna kontrollen?

13. Steg 2 - Systembeskrivning

14. Steg 2 - Systembeskrivning • Utifrån ovanstående systembeskrivning vilka typer av kontroller skulle du vilja ha med? • Kan det finnas något annat system som borde vara med i en granskning?

16. Steg 3 - Processbeskrivning

17. Steg 3 - Processbeskrivning • Vilka kontroller tror du att vi skall göra utifrån vårt krav på fullständighet och värdering? • Finns det någon annan process som stödjer denna som du också skulle vilja veta mer om?

19. Steg 4 - Datakällor

20. Steg 4 - Datakällor • Finns det någon ytterligare information som borde vara med för att göra en analys? • Hur kan man säkerställa att man har fått med rätt information?

22. Steg 5 - Dataanalyser

23. Steg 5 - Dataanalyser • Vilka andra kontroller skulle du vilja göra baserat på de datafiler vi har fått tillgång till? • Vilken mer data skulle du vilja ha för att göra en fördjupad analys?

25. Steg 6 – Utfall och rapportering

26. Steg 6 – Utfall och rapportering • Vad är konsekvensen av de felaktigheter som vi har hittat här? • Vad tror du är grundorsaken till de problem som vi har hittat här? • Vilka kontroller skulle du rekommendera? • Hur kan man hantera rapportering?

27. Tips - Att hämta in data… • Var klar över vad du vill testa • Stäm av med systemägaren hur systemet ser ut och hur det fungerar • Välj ut den information du behöver, dvs fält i tabeller i databaser • Begär att data skapas i ett format som inte är begränsat i antalet transaktioner • Begär kontrolltotaler för att säkerställa att du har rätt data • Begär hardcopy (printscreen och/eller faktura kopior) för några transaktioner • Begär beskrivning för koder som används i olika fält.

28. Tips - Att läsa in data… • Lagra all data i en egen mapp för analyser • Bevara källdatafiler utan att använda dem för analyser • Verifiera att du har fått rätt data • Verifiera att du har fått rätt antal transakationer • Verifiera att du kan läsa all information, dvs alla fält (datum, belopp, text) • Gör kontroll mot hardcopy • Gör rimlighetskontroller

29. Tips – Vad kan gå fel… • Du får inte all data/transkationer • Du får fel data (datumintervall, företag, transaktionskoder) • Olika format används för samma fält, t.ex datum • Kreditbelopp anges inte med minustecken utan med kod • Decimalavgränsare blandas samman ( punkt och komma) • Data i olika fält går in i varandra

30. Tips – Vad kan tolkas fel… • Du förstår inte innebörden av koder • Du har gjort fel urval av transaktioner • Du gör beräkningar felaktigt • Du använder inte fantasin när du är något på spåren • Du köper förklaringar utan att lyssna kritiskt • Du har inte fått med viktiga transaktioner omedelbart före och/eller efter avklippsdatum

31. Tone at the Top Enhance Resistance Understand the Risks Strategy Reduce the Risks Manage Incidents Monitor & Detect Red Flags 12 Fraud and Corruption Risk Management

32. The best indicators: • Major investments and “deals” • Supplier, customers, partners, consultants • Key people (e.g. conflicts of interest, behavioural symptoms, spending patterns etc) • Transactions out (payments, invoices, expenses etc) • The “perception survey” The Corporate Health Check Do we have fraud? Where and how should we look?

33. Bedrägeri & Korruption Några nya scenario/frågor: • Vilka system kan du använda dig av för att få ut pengar från ett företag/organisation?

34. Bedrägeri & Korruption Några nya scenario/frågor: • Vi utgår från leverantörsreskontra. Du får ett tips om att en leverantör har använt upp till 7 fakturor för att ta ut pengar. Vilka spår kan du leta efter i transaktioner Tips: Tänk efter vilken data som du skulle kunna använda dig av och använd fantasin (det är tillåtet)

35. Bedrägeri & Korruption Några nya scenario/frågor: • Hur syns en dubbelbetalning?

36. ”finding the loopholes” Scillani Information AB Ekgatan 6 230 40 BARA Tfn 040 – 54 31 31 Fax 040 – 54 31 30 Internet: www.scillani.com E-post: info@scillani.se www.hibis.com