Värt att veta om IT Intern revision med datorstöd

Värt att veta om IT
Intern revision med datorstöd
och data analyser
Internrevisorerna Sverige
December 2006
Richard Minogue
John Wallhoff
(CIA, CPA)
HIBIS SCANDINAVIA AB
(CISA, CISM, CISSP)
SCILLANI INFORMATION AB
Några ord om …
Dataanalyser innebär att transaktioner från ett
eller flera IT-system bearbetas och
analyseras utifrån angivna förutsättningar.
Ibland kallas det registeranalyser och ibland
analytisk granskning
Några ord om …
Data analyser kan omfatta:
Matchning av data
Sekvensnummertester
Dubblettkontroll
Datumkontroller
Urval av transaktioner
Några ord om …
Dataanalyser används ofta för att
•
•
•
•
Att testa den interna kontrollen
Hitta spår av bedrägeri & korruption
Ta fram KPIer
Kvalitetssäkring
Några ord om …
Kontroll kan avse än mängd olika flöden/processer
• Orderprocessen (försäljningsorder till betalning)
• Inköpsprocessen (rekvisition till betalning)
• Lönehantering (löner, tidrapporter, reseräkningar)
• Lagerhantering
• Redovisning
• Utbetalningar
Några ord om …
Verktyg som är vanliga att använda
ACL
Excel
Access
Dbase
SQL queries
Rapportgeneratorer
Några ord om …
Det är oerhört lätt att dölja oegentligheter och
tvivelaktiga affärer i en stor mängd
transaktioner
Det är oerhört lätt att förlora kontrollen när
man har en stor mängd transaktioner att
hantera
Effekten av felaktigheter blir ofta stora
eftersom det handlar om stora volymer
Vårt scenario …
Är baserat på några granskningar som gjorts
vilka har kombinerats här till ett gemensamt
scenario för att inte peka ut ett enskilt
företag.
Transaktionerna är fiktiva men speglar de
problem som analyseras i verkligheten.
Steg 1 - Problembeskrivning
Frågeställningar i vårt scenario
9 Varför är det problem med avstämningar mellan försäljning och inköp
och varför kan man inte förklara de differenser som uppkommer?
9 Varför är försäljningsvolymen större än omsättningen i redovisningen?
9 Varför går det inte att få tillförlitliga prognoser för inköp som baseras
på historisk försäljning och leverans?
9 Har man lagt tillräckliga resurser och tidsramar för att kunna få system
i drift?
9 Kan man vara säker på att den interna kontrollen i företaget fungerar?
Steg 1 - Problembeskrivning
9Vilka risker tror du finns?
9Vilka är konsekvenserna för de risker du
ser?
9Hur kan man förebygga riskerna?
9Hur kan man hitta brister i den interna
kontrollen?
Steg 2 - Systembeskrivning
Mätsystem
Verksamhetssystem
Avläsningsdata
Fakturaunderlag
Fakturor
Avtalsregister
Ekonomisystem
Reskontra
Steg 2 - Systembeskrivning
9Utifrån ovanstående systembeskrivning
vilka typer av kontroller skulle du vilja ha
med?
9Kan det finnas något annat system som
borde vara med i en granskning?
Steg 3 - Processbeskrivning
Mätsystem
Verksamhetssystem
Ekonomisystem
Automatisk
avläsning
Sammanställning
avläsningsdata
Överföring
föbrukning
Inläsning av
avläsningsdata
Sammanslagning
med
avtalsuppgifter
Generering
fakturor
(månadsvis)
Utskrift av
fakturor
Överföring
fakturor
Inläsning
betalningar
Steg 3 - Processbeskrivning
9Vilka kontroller tror du att vi skall göra
utifrån vårt krav på fullständighet och
värdering?
9Finns det någon annan process som stödjer
denna som du också skulle vilja veta mer
om?
Steg 4 - Datakällor
Avläsningsdata
Fakturor
Fältnamn
Start Längd Decimaler
Fältnamn
ID
1
15
Fakturanummer 1
12
0
Kod
16
12
Kundnummer
13
9
0
Avläsningsdatum 28
10
Fakturadatum
22
10
0
Start Längd Decimaler
Varning
38
2
Antal
32
17
0
Kundnummer
40
9
Pris
49
16
0
Antal
49
15
Belopp
65
16
0
Förfallodatum
81
10
0
Antal poster: 126 842
Kontrolltotal: 1 627 824 729 (Antal)
Avtalsregister
Fältnamn
Start Längd Decimaler
Kundnummer 1
9
Pris
13
10
Fakturaunderlag
Fältnamn
Start Längd Decimaler
ID
1
15
Kod
16
12
Avläsningsdatum 28
10
38
2
Kundnummer
40
9
Antal
49
15
Reskontra
Fältnamn
0
Antal poster: 715
Kontrolltotal: 111.59 (Pris)
Varning
Antal poster: 10 130
Kontrolltotal: 1 625 684 156 (Antal)
0
Start Längd Decimaler
Fakturanummer 1
15
Kundnummer
9
16
Fakturadatum
25
10
Spärrad
35
2
0
Förfallodatum
37
10
Belopp
47
17
Betalt
64
15
0
Rest
79
15
0
0
Antal poster: 10 133
Kontrolltotal: 252,905,565 (Belopp)
0
Antal poster: 126 668
Kontrolltotal: 1 625 684 156 (Antal)
Steg 4 - Datakällor
9Finns det någon ytterligare information som
borde vara med för att göra en analys?
9Hur kan man säkerställa att man har fått
med rätt information?
Steg 5 - Dataanalyser
Kontroll
Kontroll 1
Syfte
Fullständighet
Kontroll 2
Värdering
Kontroll 3
Kontroll 4
Kontroll 5
Värdering
Fullständighet
Värdering
Kontroll 6
Kontroll 7
Fullständighet
Existens
Vad vi vill kontrollera
Har alla leveranser förts över från avläsningssystem
till verksamhetssystem?
Har alla leveranser förts över med rätt kvantitet till
verksamhetssystem?
Har varje kund fakturerats med rätt pris?
Har alla leveranser skapat en faktura?
Har alla leveranser som skapat en faktura fått rätt
pris?
Har alla fakturor förts över till ekonomisystem?
Förekommer alla fakturor endast en gång i
ekonomisystemet?
Steg 5 - Dataanalyser
9Vilka andra kontroller skulle du vilja göra
baserat på de datafiler vi har fått tillgång
till?
9Vilken mer data skulle du vilja ha för att
göra en fördjupad analys?
Steg 6 – Utfall och rapportering
Kontroll
Kontroll 1
Syfte
Fullständighet
Kontroll 2
Värdering
Kontroll 3
Värdering
Kontroll 4
Fullständighet
Kontroll 5
Värdering
Kontroll 6
Fullständighet
Kontroll 7
Existens
Vad vi vill kontrollera
Har alla leveranser förts över
från avläsningssystem till
verksamhetssystem?
Har alla leveranser förts över
med rätt kvantitet till
verksamhetssystem?
Har varje kund fakturerats
med rätt pris?
Har alla leveranser skapat en
faktura?
Har alla leveranser som
skapat en faktura fått rätt
pris?
Har alla fakturor förts över
till ekonomisystem?
Förekommer alla fakturor
endast en gång i
ekonomisystemet?
Utfall
130 leveranser har inte blivit
fakturerade. Samtliga avser
kund 709
27499 har inte kunna slås
samman i testen. För 25683
poster har id nummer
angivits som 0.
1 faktura har skapats med fel
pris.
Inga fel har hittats.
Inga fel har hittats.
Inga fel har hittats
Faktura 29132 förekommer 6
gånger. Det ser ut som om
det är tre olika fakturor som
är med dubbelt vid varje
tillfälle.
Steg 6 – Utfall och rapportering
9Vad är konsekvensen av de felaktigheter
som vi har hittat här?
9Vad tror du är grundorsaken till de problem
som vi har hittat här?
9Vilka kontroller skulle du rekommendera?
9Hur kan man hantera rapportering?
Tips - Att hämta in data…
1.
2.
3.
4.
5.
6.
7.
Var klar över vad du vill testa
Stäm av med systemägaren hur systemet ser ut och hur
det fungerar
Välj ut den information du behöver, dvs fält i tabeller i
databaser
Begär att data skapas i ett format som inte är begränsat i
antalet transaktioner
Begär kontrolltotaler för att säkerställa att du har rätt
data
Begär hardcopy (printscreen och/eller faktura kopior) för
några transaktioner
Begär beskrivning för koder som används i olika fält.
Tips - Att läsa in data…
1. Lagra all data i en egen mapp för analyser
2. Bevara källdatafiler utan att använda dem för
analyser
3. Verifiera att du har fått rätt data
4. Verifiera att du har fått rätt antal transakationer
5. Verifiera att du kan läsa all information, dvs alla
fält (datum, belopp, text)
6. Gör kontroll mot hardcopy
7. Gör rimlighetskontroller
Tips – Vad kan gå fel…
1. Du får inte all data/transkationer
2. Du får fel data (datumintervall, företag,
transaktionskoder)
3. Olika format används för samma fält, t.ex datum
4. Kreditbelopp anges inte med minustecken utan
med kod
5. Decimalavgränsare blandas samman ( punkt och
komma)
6. Data i olika fält går in i varandra
Tips – Vad kan tolkas fel…
1.
2.
3.
4.
Du förstår inte innebörden av koder
Du har gjort fel urval av transaktioner
Du gör beräkningar felaktigt
Du använder inte fantasin när du är något på
spåren
5. Du köper förklaringar utan att lyssna kritiskt
6. Du har inte fått med viktiga transaktioner
omedelbart före och/eller efter avklippsdatum
Fraud and
Corruption Risk Management
Tone at
the Top
Enhance
Resistan
ce
Understand
the Risks
Strategy
Manage
Incidents
Monitor &
Detect Red
Flags
Reduce
the
Risks
12
The Corporate Health Check
The best indicators:
Major investments and “deals”
Supplier, customers, partners, consultants
Key people (e.g. conflicts of interest,
behavioural symptoms, spending patterns etc)
Transactions out (payments, invoices,
expenses etc)
The “perception survey”
Do we have fraud?
Where and how should we look?
Bedrägeri & Korruption
Några nya scenario/frågor:
1. Vilka system kan du använda dig av för att
få ut pengar från ett företag/organisation?
Bedrägeri & Korruption
Några nya scenario/frågor:
2. Vi utgår från leverantörsreskontra.
Du får ett tips om att en leverantör har
använt upp till 7 fakturor för att ta ut
pengar. Vilka spår kan du leta efter i
transaktioner
Tips: Tänk efter vilken data som du skulle kunna använda dig av och
använd fantasin (det är tillåtet)
Bedrägeri & Korruption
Några nya scenario/frågor:
3. Hur syns en dubbelbetalning?
”finding the loopholes”
Scillani Information AB
Ekgatan 6
230 40 BARA
Tfn 040 – 54 31 31
Fax 040 – 54 31 30
Internet: www.scillani.com
E-post: [email protected]
www.hibis.com