Värt att veta om IT Intern revision med datorstöd och data analyser Internrevisorerna Sverige December 2006 Richard Minogue John Wallhoff (CIA, CPA) HIBIS SCANDINAVIA AB (CISA, CISM, CISSP) SCILLANI INFORMATION AB Några ord om … Dataanalyser innebär att transaktioner från ett eller flera IT-system bearbetas och analyseras utifrån angivna förutsättningar. Ibland kallas det registeranalyser och ibland analytisk granskning Några ord om … Data analyser kan omfatta: Matchning av data Sekvensnummertester Dubblettkontroll Datumkontroller Urval av transaktioner Några ord om … Dataanalyser används ofta för att • • • • Att testa den interna kontrollen Hitta spår av bedrägeri & korruption Ta fram KPIer Kvalitetssäkring Några ord om … Kontroll kan avse än mängd olika flöden/processer • Orderprocessen (försäljningsorder till betalning) • Inköpsprocessen (rekvisition till betalning) • Lönehantering (löner, tidrapporter, reseräkningar) • Lagerhantering • Redovisning • Utbetalningar Några ord om … Verktyg som är vanliga att använda ACL Excel Access Dbase SQL queries Rapportgeneratorer Några ord om … Det är oerhört lätt att dölja oegentligheter och tvivelaktiga affärer i en stor mängd transaktioner Det är oerhört lätt att förlora kontrollen när man har en stor mängd transaktioner att hantera Effekten av felaktigheter blir ofta stora eftersom det handlar om stora volymer Vårt scenario … Är baserat på några granskningar som gjorts vilka har kombinerats här till ett gemensamt scenario för att inte peka ut ett enskilt företag. Transaktionerna är fiktiva men speglar de problem som analyseras i verkligheten. Steg 1 - Problembeskrivning Frågeställningar i vårt scenario 9 Varför är det problem med avstämningar mellan försäljning och inköp och varför kan man inte förklara de differenser som uppkommer? 9 Varför är försäljningsvolymen större än omsättningen i redovisningen? 9 Varför går det inte att få tillförlitliga prognoser för inköp som baseras på historisk försäljning och leverans? 9 Har man lagt tillräckliga resurser och tidsramar för att kunna få system i drift? 9 Kan man vara säker på att den interna kontrollen i företaget fungerar? Steg 1 - Problembeskrivning 9Vilka risker tror du finns? 9Vilka är konsekvenserna för de risker du ser? 9Hur kan man förebygga riskerna? 9Hur kan man hitta brister i den interna kontrollen? Steg 2 - Systembeskrivning Mätsystem Verksamhetssystem Avläsningsdata Fakturaunderlag Fakturor Avtalsregister Ekonomisystem Reskontra Steg 2 - Systembeskrivning 9Utifrån ovanstående systembeskrivning vilka typer av kontroller skulle du vilja ha med? 9Kan det finnas något annat system som borde vara med i en granskning? Steg 3 - Processbeskrivning Mätsystem Verksamhetssystem Ekonomisystem Automatisk avläsning Sammanställning avläsningsdata Överföring föbrukning Inläsning av avläsningsdata Sammanslagning med avtalsuppgifter Generering fakturor (månadsvis) Utskrift av fakturor Överföring fakturor Inläsning betalningar Steg 3 - Processbeskrivning 9Vilka kontroller tror du att vi skall göra utifrån vårt krav på fullständighet och värdering? 9Finns det någon annan process som stödjer denna som du också skulle vilja veta mer om? Steg 4 - Datakällor Avläsningsdata Fakturor Fältnamn Start Längd Decimaler Fältnamn ID 1 15 Fakturanummer 1 12 0 Kod 16 12 Kundnummer 13 9 0 Avläsningsdatum 28 10 Fakturadatum 22 10 0 Start Längd Decimaler Varning 38 2 Antal 32 17 0 Kundnummer 40 9 Pris 49 16 0 Antal 49 15 Belopp 65 16 0 Förfallodatum 81 10 0 Antal poster: 126 842 Kontrolltotal: 1 627 824 729 (Antal) Avtalsregister Fältnamn Start Längd Decimaler Kundnummer 1 9 Pris 13 10 Fakturaunderlag Fältnamn Start Längd Decimaler ID 1 15 Kod 16 12 Avläsningsdatum 28 10 38 2 Kundnummer 40 9 Antal 49 15 Reskontra Fältnamn 0 Antal poster: 715 Kontrolltotal: 111.59 (Pris) Varning Antal poster: 10 130 Kontrolltotal: 1 625 684 156 (Antal) 0 Start Längd Decimaler Fakturanummer 1 15 Kundnummer 9 16 Fakturadatum 25 10 Spärrad 35 2 0 Förfallodatum 37 10 Belopp 47 17 Betalt 64 15 0 Rest 79 15 0 0 Antal poster: 10 133 Kontrolltotal: 252,905,565 (Belopp) 0 Antal poster: 126 668 Kontrolltotal: 1 625 684 156 (Antal) Steg 4 - Datakällor 9Finns det någon ytterligare information som borde vara med för att göra en analys? 9Hur kan man säkerställa att man har fått med rätt information? Steg 5 - Dataanalyser Kontroll Kontroll 1 Syfte Fullständighet Kontroll 2 Värdering Kontroll 3 Kontroll 4 Kontroll 5 Värdering Fullständighet Värdering Kontroll 6 Kontroll 7 Fullständighet Existens Vad vi vill kontrollera Har alla leveranser förts över från avläsningssystem till verksamhetssystem? Har alla leveranser förts över med rätt kvantitet till verksamhetssystem? Har varje kund fakturerats med rätt pris? Har alla leveranser skapat en faktura? Har alla leveranser som skapat en faktura fått rätt pris? Har alla fakturor förts över till ekonomisystem? Förekommer alla fakturor endast en gång i ekonomisystemet? Steg 5 - Dataanalyser 9Vilka andra kontroller skulle du vilja göra baserat på de datafiler vi har fått tillgång till? 9Vilken mer data skulle du vilja ha för att göra en fördjupad analys? Steg 6 – Utfall och rapportering Kontroll Kontroll 1 Syfte Fullständighet Kontroll 2 Värdering Kontroll 3 Värdering Kontroll 4 Fullständighet Kontroll 5 Värdering Kontroll 6 Fullständighet Kontroll 7 Existens Vad vi vill kontrollera Har alla leveranser förts över från avläsningssystem till verksamhetssystem? Har alla leveranser förts över med rätt kvantitet till verksamhetssystem? Har varje kund fakturerats med rätt pris? Har alla leveranser skapat en faktura? Har alla leveranser som skapat en faktura fått rätt pris? Har alla fakturor förts över till ekonomisystem? Förekommer alla fakturor endast en gång i ekonomisystemet? Utfall 130 leveranser har inte blivit fakturerade. Samtliga avser kund 709 27499 har inte kunna slås samman i testen. För 25683 poster har id nummer angivits som 0. 1 faktura har skapats med fel pris. Inga fel har hittats. Inga fel har hittats. Inga fel har hittats Faktura 29132 förekommer 6 gånger. Det ser ut som om det är tre olika fakturor som är med dubbelt vid varje tillfälle. Steg 6 – Utfall och rapportering 9Vad är konsekvensen av de felaktigheter som vi har hittat här? 9Vad tror du är grundorsaken till de problem som vi har hittat här? 9Vilka kontroller skulle du rekommendera? 9Hur kan man hantera rapportering? Tips - Att hämta in data… 1. 2. 3. 4. 5. 6. 7. Var klar över vad du vill testa Stäm av med systemägaren hur systemet ser ut och hur det fungerar Välj ut den information du behöver, dvs fält i tabeller i databaser Begär att data skapas i ett format som inte är begränsat i antalet transaktioner Begär kontrolltotaler för att säkerställa att du har rätt data Begär hardcopy (printscreen och/eller faktura kopior) för några transaktioner Begär beskrivning för koder som används i olika fält. Tips - Att läsa in data… 1. Lagra all data i en egen mapp för analyser 2. Bevara källdatafiler utan att använda dem för analyser 3. Verifiera att du har fått rätt data 4. Verifiera att du har fått rätt antal transakationer 5. Verifiera att du kan läsa all information, dvs alla fält (datum, belopp, text) 6. Gör kontroll mot hardcopy 7. Gör rimlighetskontroller Tips – Vad kan gå fel… 1. Du får inte all data/transkationer 2. Du får fel data (datumintervall, företag, transaktionskoder) 3. Olika format används för samma fält, t.ex datum 4. Kreditbelopp anges inte med minustecken utan med kod 5. Decimalavgränsare blandas samman ( punkt och komma) 6. Data i olika fält går in i varandra Tips – Vad kan tolkas fel… 1. 2. 3. 4. Du förstår inte innebörden av koder Du har gjort fel urval av transaktioner Du gör beräkningar felaktigt Du använder inte fantasin när du är något på spåren 5. Du köper förklaringar utan att lyssna kritiskt 6. Du har inte fått med viktiga transaktioner omedelbart före och/eller efter avklippsdatum Fraud and Corruption Risk Management Tone at the Top Enhance Resistan ce Understand the Risks Strategy Manage Incidents Monitor & Detect Red Flags Reduce the Risks 12 The Corporate Health Check The best indicators: Major investments and “deals” Supplier, customers, partners, consultants Key people (e.g. conflicts of interest, behavioural symptoms, spending patterns etc) Transactions out (payments, invoices, expenses etc) The “perception survey” Do we have fraud? Where and how should we look? Bedrägeri & Korruption Några nya scenario/frågor: 1. Vilka system kan du använda dig av för att få ut pengar från ett företag/organisation? Bedrägeri & Korruption Några nya scenario/frågor: 2. Vi utgår från leverantörsreskontra. Du får ett tips om att en leverantör har använt upp till 7 fakturor för att ta ut pengar. Vilka spår kan du leta efter i transaktioner Tips: Tänk efter vilken data som du skulle kunna använda dig av och använd fantasin (det är tillåtet) Bedrägeri & Korruption Några nya scenario/frågor: 3. Hur syns en dubbelbetalning? ”finding the loopholes” Scillani Information AB Ekgatan 6 230 40 BARA Tfn 040 – 54 31 31 Fax 040 – 54 31 30 Internet: www.scillani.com E-post: [email protected] www.hibis.com