© 2012 Deloitte Touche Tohmatsu
Torino, 1 marzo 2012
L’Internal Audit, i business analytics
e gli strumenti di continuous
monitoring
Edoardo Bonioli ([email protected])
© 2012 Deloitte Touche Tohmatsu2
Agenda
Il contesto
La Funzione di Internal Audit
Le nuove sfide
I prerequisiti
Audit Lyfecycle
Strumenti di Continuous Monitoring
I vantaggi
Le fasi dell’implementazione
Qualche esempio di Data Analytic Query
Agenda
© 2012 Deloitte Touche Tohmatsu
Il contesto
Gli elementi chiave
4 Deloitte ERS – Enterprise Risk Services
Possibilità per le società didistribuire i risultati delle analisiovunque ed in tempo reale.
Volumi di dati Evoluzione tecnologica e algoritmi di data analysis
Global delivery inreal-time
Gli elementi-chiave del contesto
Aumento della potenza di calcolodei processori e sviluppo dialgoritmi per analizzarevelocemente i dati ed identificarepattern.
Crescita esponenziale a livelloglobale dei volumi di datielettronici.
© 2012 Deloitte Touche Tohmatsu
Il contesto
Volumi di dati – alcuni numeri
5 Deloitte ERS – Enterprise Risk Services
1. Fonte: McKinsey Global Institute 2. Fonte: Cisco Visual Networking Index
© 2012 Deloitte Touche Tohmatsu
Grazie alla digitalizzazione dei processi aziendali, anche le aziende contribuiscono quotidianamente
a produrre enormi moli di dati ad uso interno e esterno:
• 981 milioni DVD/min è stato l’equivalente di traffico IP generato dalle aziende a livello globale
nel 20101;
• A livello globale si stima che abbia raggiunto nel 2011 10.1 Exabytes (oltre 10 milioni di
Terabytes!) al mese1
6 Deloitte ERS – Enterprise Risk Services
Il contesto
Volumi di dati le aziende
1. Fonte: Cisco Visual Networking Index
© 2012 Deloitte Touche Tohmatsu
Il contesto
Evoluzione tecnologica
7 Deloitte ERS – Enterprise Risk Services
Ci sono voluti 10 anni per i computer per terminare
di decodificare il genoma umano nel 2003; oggi ci
vorrebbe appena una settimana1!
Con Usd 600 oggi è possibile acquistare hard disk
con capacità tali da poter archiviare tutta la musica
digitale ad oggi prodotta2!Sample Parameters
W/P Ref,
Tickmark
W/P Ref,
Tickmark
Planning Materiality, PM 400,000 Sampling Interval, J = MP/R 100,000 Pop. NameDe Minimis Threshold 8,000 Optional Cut Off ( 0 if none) - Pop. Amount
Monetary Precision, MP 300,000 Top Stratum Cut Off, J' 100,000 W/P Ref.
Reliability Factor, R 3.0
Sample Evaluation Understatement Assurance ProfileEMM PPM KM Probability Distribution of Undetected Misstatement (Based on Sample Alone)
Total Known Misstatement = ∑E 854,000 854,000 (70,000) Scale 1:J 1:100,000
Entity Adjustments (500,000) (500,000) 30,000 Actual ÷ JUncorrected Known Misstatement 354,000 354,000 (40,000) PPUM 77,301 0.77
MP 300,000 PM 400,000 4.00
Overstatement Projection = ∑(P'×A), ∑P' 116,355 77,301 EMUM 416,355 4.16
EMUM, PPUM 416,355 77,301 EMM, PPM 770,355 431,301
Not yet done: EMM exceeds PM
Transfers Optional Additional SampleTo Uncorrected Misstatements Sched: Do not transfer until EMM reduced to PM. Sampling Interval, J 1,551,662 Known Overstatements 354,000 MP for Combined Evaluation 263,576
PPUM (Likely Misstatement) 77,301 Optional Cut Off for Combined Evaluation 100,000
Known Understatements (40,000)
To Corrected Misstatements Sched: Do not transfer until EMM reduced to PM.Overstatements 500,000
Understatements (30,000)
Schedule of Misstatements
Line W/P Ref,
Recorded
Value
Audited
Value
Over(Under)
statement
Top
Stratum
Lower
Stratum Projection
Projected
Undetected
Misstatement
Rank
of P
Precision
Ajustment
Factor
Precision
Adjusted
Projection
Entity
Adjustment
No. Tickmark X Y E=X−Y E:X≥J' E:X<J' P=(E/X)×J P'=P−E A P'×A
O 1,317,300 463,300 854,000 669,200 184,800 262,101 77,301 116,355 (500,000)
U 130,000 200,000 (70,000) (40,000) (30,000) 30,000
1,447,300 663,300 784,000 629,200 154,800 262,101 77,301 116,355 (470,000)
1 66,600 42,300 24,300 - 24,300 36,486 12,186 4 1.4004 17,065 -
2 142,500 80,500 62,000 62,000 - - - - - - -
3 55,800 28,000 27,800 - 27,800 49,821 22,021 3 1.4584 32,116 - 4 20,000 50,000 (30,000) - (30,000) - - - - - 30,000
5 25,300 20,900 4,400 - 4,400 17,391 12,991 5 1.3600 17,668 -
6 196,200 175,100 21,100 21,100 - - - - - - -
7 72,600 30,200 42,400 - 42,400 58,402 16,002 2 1.5526 24,845 - 8 500,000 - 500,000 500,000 - - - - - - (500,000)
9 85,900 - 85,900 - 85,900 100,000 14,100 1 1.7490 24,661 -
10 172,400 86,300 86,100 86,100 - - - - - - -
11 110,000 150,000 (40,000) (40,000) - - - - - - - 12 - - - - - - - - - - -
Property, Plant & Equip.
<5640>
11,527,444
Overstatement
Overstatement ProjectionMisstatements
Confidence is 95% that undetected
misstatement does not exceed EMUM,
which is represented by the area under
the curve to the left of EMUM.
Sample Items
If applicable, an additional sample with indicated J and similar incidence of
misstatement should be sufficient to reduce EMUM to PM. For the combined
evaluation enter indicated MP and Optional Cut Off as sample parameters.
0 1 2 3 4 5 6 7
1. Fonte: “Data, Data Everywhere” The Economist. 2. Fonte: McKinsey Global Institute
© 2012 Deloitte Touche Tohmatsu
Molti sono gli algoritmi oggi disponibili nei software di data analysis: si va dalla
semplice statistica descrittiva all’analisi multivariata, fino ad arrivare ad algoritmi
“intelligenti” di Data Mining:
• Principal Component Analysis
• Analisi delle corrispondenze
• Decision trees
• Classification Rules
• Cluster Analysis
• Neural Networks
• …
Il contesto
Algoritmi di data analysis (1/3)
8 Deloitte ERS – Enterprise Risk Services
© 2012 Deloitte Touche Tohmatsu
A questi si aggiungono poi tecniche di ottimizzazione e simulazione, quali:
• Gradient method optimization
• Algoritmi di Operations Research
• Algoritmi genetici
• Simulazioni Montecarlo
Il contesto
Algoritmi di data analysis (2/3)
9 Deloitte ERS – Enterprise Risk Services
© 2012 Deloitte Touche Tohmatsu
Si stanno infine sviluppando
tecniche di text mining, cioè di
analisi di testo non strutturato
(email, articoli, documenti
aziendali), che consentono di
estrapolare in modo automatico
«conoscenza»:
• Document classification
• Sentiment analysis
Il contesto
Algoritmi di data analysis (3/3)
10 Deloitte ERS – Enterprise Risk Services
© 2012 Deloitte Touche Tohmatsu
Il contesto
Global delivery in real time
11 Deloitte ERS – Enterprise Risk Services
1. Fonte: Data, Data Everywhere” The Economist.
A livello mondiale sono presenti 5 miliardi di device connessi ad Internet con
più di un miliardo di utenti1!
La capillarità e la diffusione di Internet consentono di acquisire i dati nel
momento in cui vengono prodotti, indipendentemente dal luogo geografico, e di
rendere fruibili i risultati delle analisi potenzialmente verso qualunque
destinatario, ovunque esso si trovi.
© 2012 Deloitte Touche Tohmatsu
La Funzione di Internal Audit
Le nuove sfide
13 Deloitte ERS – Enterprise Risk Services
Analytics can play a critical role in achieving your vision of becoming a world-class Internal Audit function.
Le nuove sfide della Funzione di Internal Audit:
Focus sui reali rischi di business aventi la più
alta rilevanza strategica
Miglioramento nell’identificazione dei rischi e
delle priorità di audit
Utilizzo più efficiente delle risorse (di
business e di audit), estendendo la copertura
del proprio perimetro e tendendo verso un
monitoraggio on an on-going basis
Quantificare l’impatto potenziale degli audit
findings
Le opportunità offerte dagli Analytics:
Capacità di adattarsi dinamicamente airischi che il cambiamento di scenario in cui opera l’azienda comporta
Ottenere una copertura di audit più estesasvolgendo le analisi sull’intera popolazionee non su base camionaria
Fornire analisi quantitative che aiutino ilbusiness a percepire impatti e rischipotenziali associati alle risultanze dell’attivitàdi audit
Implementare processi di monitoraggiocontinuo
© 2012 Deloitte Touche Tohmatsu
La Funzione di Internal Audit
Prerequisiti
14 Deloitte ERS – Enterprise Risk Services
Profonda conoscenza dei
rischi del settore di
appartenenza e dei key risk
indicators
Profonda conoscenza del
business
[Modello di
data governance]
© 2012 Deloitte Touche Tohmatsu
La Funzione di Internal Audit
Audit Lifecycle
15 Deloitte ERS – Enterprise Risk Services
Audit Planning Audit Fieldwork Audit Reporting
Svolgimento di test manuali sulle procedure e sui controlli subase campionaria e secondo il Piano di Audit
Risultanze supportatedall’esecuzione di procedure manuali di audit e dalle selezionitestate
Approccio Tradizionale
Approccio “in salsa” Analytics
Audit Planning Audit Fieldwork Audit Reporting
Risultati preliminari di analisi dati guidano lo scope ed il test
plan, concentrando le attività sui key risk di business,
operativi e di compliance.
La selezione dei campioni da testare avvienepreventivamente da remoto.
Quantificazione deipotenziali impatti sulbusiness collegatiagli audit findings
Procedure di test manuale a supporto ed integrazione dellerisultanze ottenute dalle attività di analisi dati.
Data Profiling Stratification ExtrapolationData Quality Reconciliation
Lo scope ed il test plan sonopredefiniti all’interno del Programma di Audit, aggiustatosulla base di metrichequantitative
© 2012 Deloitte Touche Tohmatsu
Strumenti di Continuous MonitoringI vantaggi (1/2)
17
Il contesto aziendale in cui opera la Funzione di Internal Audit diventa sempre più
complesso e dinamico.
La Funzione di Internal Audit deve essere in grado di rispondere tempestivamente a
tali eventi, modificando di conseguenza le proprie attività in modo da focalizzarsi sulle
aree a maggiore rischio.
In tale prospettiva, un numero crescente di Chief Audit Executive sta adottando
tecniche di Continuous Auditing, attraverso l‘implementazione di un processo continuo
di analisi dei dati, a sostegno della pianificazione della attività di internal auditing.
© 2012 Deloitte Touche Tohmatsu
Da questo punto di vista, il processo di Continuous Auditing è particolarmente utile per
la Funzione di Internal Audit nell’individuare transazioni che richiedono ulteriori
approfondimenti, attraverso il supporto di tool automatici che facilitano l’identificazione di
tali transazioni.
Strumenti di Continuous MonitoringI vantaggi (2/2)
18
Strumenti di Continuous Auditing permettono all’Internal
Audit di:
• Identificare tempestivamente transazioni
anomale (potenziali indicatori di frodi, errori,
carenze di controllo, ecc.).
• Evolvere da un tradizionale, statico Piano di
Internal Audit annuale ad un piano più dinamico
basato sui risultati di un processo di Continuous
Auditing.
• Ridurre i costi ed aumentare l’efficacia delle
attività di internal auditing tramite l’utilizzo di
soluzioni automatiche.
© 2012 Deloitte Touche Tohmatsu
Strumenti di Continuous MonitoringLe fasi dell’implementazione
19
• Identificazione/definizione del set di Data Analytic Queries da attivarea seconda delle aree critiche individuate dalla Funzione di InternalAudit.
• Definizione delle estrazioni elettroniche dai sistemi gestionalinecessarie all’esecuzione del set di Data Analytic Queries individuatenella precedente fase.
• Parametrizzazione e fine tuning del tool di CM: tale fase prevede inparticolare cicli di elaborazione di dati estratti per alcuni periodi sceltia campione, la validazione dei risultati e il successivo affinamentodelle Data Analytic Queries, rispetto alla popolazione di dati ed allefattispecie di interesse.
• Definizione e predisposizione della reportistica periodica.
• Messa a disposizione del Tool di CM ed erogazione di formazione alpersonale interno che gestirà il processo di risk continuousmonitoring.
Attività
2. Definizione delle estrazioni elettroniche
necessarie al Tool di CM
4. Reportistica finale per il periodo analizzato
1.Identificazione/definizione del set di
Data Analytic Queries
3.Parametrizzazione e fine tunig del Tool di CM
5. Rilascio del Tool di CM e formazione
© 2012 Deloitte Touche Tohmatsu
Strumenti di Continuous MonitoringQualche esempio di Data Analytic Query
20
Enormi sono le possibilità di
analisi, se si pensa alla
ricchezza delle informazioni che
ciascun Processo e Funzione
aziendale produce
quotidianamente.
© 2012 Deloitte Touche Tohmatsu
Strumenti di Continuous MonitoringQualche esempio di Data Analytic Query
21
Anagrafica clienti: clienti duplicati, clienti con anagrafica incompleta,
anomalie sulle coordinate bancarie
Portafoglio clienti: frequenza di note di credito generate per cliente e per
tipologia di prodotto
Scontistica e listino prezzi: incoerenza nell’applicazione del listino prezzi
e sconti, scontistica “anomala”
Congruità dei ricavi operativi in base alla movimentazione di magazzino
Ciclo Attivo
© 2012 Deloitte Touche Tohmatsu
Co.Ge.Strumenti di Continuous MonitoringQualche esempio di Data Analytic Query
22
Statistiche sulla popolazione delle registrazioni: volumi in importo e
quantità delle scritture per data di “materiale” registrazione rispetto ai giorni
del mese, ai mesi dell’anno, all’utenza, al conto contabile
Analisi l’integrità delle registrazioni: registrazioni con descrizione, utente
o data di registrazione nulli
Scritture inusuali o atipiche: pattern di registrazioni anomale,
registrazioni effettuate nei giorni festivi, negli orari non lavorativi, con
importi arrotondati o effettuate da utenti su conti per lui inusuali
© 2012 Deloitte Touche Tohmatsu
Strumenti di Continuous MonitoringQualche esempio di Data Analytic Query
GestioneMagazzino
23
Movimentazione: validazione complessiva della movimentazione, articoli a
bassa rotazione, coerenza delle note di credito per resi con i movimenti di
reso
Valorizzazione articoli: verifica dell’algoritmo di valorizzazione, confronto
valore di carico con il mercato
© 2012 Deloitte Touche Tohmatsu24 Deloitte ERS Enterprise Risk Services
About DeloitteDeloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touche Tohmatsu and its member firms. Please see www.deloitte.com/us/about for a detailed description of the legal structure of Deloitte LLP and its subsidiaries.
Copyright © 2011 Deloitte Development LLC. All rights reserved.Member of Deloitte Touche Tohmatsu