L’Internal Audit, i business analytics e gli strumenti di ... · L’Internal Audit, i business...

© 2012 Deloitte Touche Tohmatsu

Torino, 1 marzo 2012

L’Internal Audit, i business analytics

e gli strumenti di continuous

monitoring

Edoardo Bonioli ([email protected])

© 2012 Deloitte Touche Tohmatsu2

Agenda

Il contesto

La Funzione di Internal Audit

Le nuove sfide

I prerequisiti

Audit Lyfecycle

Strumenti di Continuous Monitoring

I vantaggi

Le fasi dell’implementazione

Qualche esempio di Data Analytic Query

Agenda

Il contesto


Il contesto

Gli elementi chiave

4 Deloitte ERS – Enterprise Risk Services

Possibilità per le società didistribuire i risultati delle analisiovunque ed in tempo reale.

Volumi di dati Evoluzione tecnologica e algoritmi di data analysis

Global delivery inreal-time

Gli elementi-chiave del contesto

Aumento della potenza di calcolodei processori e sviluppo dialgoritmi per analizzarevelocemente i dati ed identificarepattern.

Crescita esponenziale a livelloglobale dei volumi di datielettronici.


Il contesto

Volumi di dati – alcuni numeri


1. Fonte: McKinsey Global Institute 2. Fonte: Cisco Visual Networking Index


Grazie alla digitalizzazione dei processi aziendali, anche le aziende contribuiscono quotidianamente

a produrre enormi moli di dati ad uso interno e esterno:

• 981 milioni DVD/min è stato l’equivalente di traffico IP generato dalle aziende a livello globale

nel 20101;

• A livello globale si stima che abbia raggiunto nel 2011 10.1 Exabytes (oltre 10 milioni di

Terabytes!) al mese1


Il contesto

Volumi di dati le aziende

1. Fonte: Cisco Visual Networking Index


Il contesto

Evoluzione tecnologica


Ci sono voluti 10 anni per i computer per terminare

di decodificare il genoma umano nel 2003; oggi ci

vorrebbe appena una settimana1!

Con Usd 600 oggi è possibile acquistare hard disk

con capacità tali da poter archiviare tutta la musica

digitale ad oggi prodotta2!Sample Parameters

W/P Ref,

Tickmark

W/P Ref,

Tickmark

Planning Materiality, PM 400,000 Sampling Interval, J = MP/R 100,000 Pop. NameDe Minimis Threshold 8,000 Optional Cut Off ( 0 if none) - Pop. Amount

Monetary Precision, MP 300,000 Top Stratum Cut Off, J' 100,000 W/P Ref.

Reliability Factor, R 3.0

Sample Evaluation Understatement Assurance ProfileEMM PPM KM Probability Distribution of Undetected Misstatement (Based on Sample Alone)

Total Known Misstatement = ∑E 854,000 854,000 (70,000) Scale 1:J 1:100,000

Entity Adjustments (500,000) (500,000) 30,000 Actual ÷ JUncorrected Known Misstatement 354,000 354,000 (40,000) PPUM 77,301 0.77

MP 300,000 PM 400,000 4.00

Overstatement Projection = ∑(P'×A), ∑P' 116,355 77,301 EMUM 416,355 4.16

EMUM, PPUM 416,355 77,301 EMM, PPM 770,355 431,301

Not yet done: EMM exceeds PM

Transfers Optional Additional SampleTo Uncorrected Misstatements Sched: Do not transfer until EMM reduced to PM. Sampling Interval, J 1,551,662 Known Overstatements 354,000 MP for Combined Evaluation 263,576

PPUM (Likely Misstatement) 77,301 Optional Cut Off for Combined Evaluation 100,000

Known Understatements (40,000)

To Corrected Misstatements Sched: Do not transfer until EMM reduced to PM.Overstatements 500,000

Understatements (30,000)

Schedule of Misstatements

Line W/P Ref,

Recorded

Value

Audited

Value

Over(Under)

statement

Top

Stratum

Lower

Stratum Projection

Projected

Undetected

Misstatement

Rank

of P

Precision

Ajustment

Factor

Precision

Adjusted

Projection

Entity

Adjustment

No. Tickmark X Y E=X−Y E:X≥J' E:X<J' P=(E/X)×J P'=P−E A P'×A

O 1,317,300 463,300 854,000 669,200 184,800 262,101 77,301 116,355 (500,000)

U 130,000 200,000 (70,000) (40,000) (30,000) 30,000

1,447,300 663,300 784,000 629,200 154,800 262,101 77,301 116,355 (470,000)

1 66,600 42,300 24,300 - 24,300 36,486 12,186 4 1.4004 17,065 -

2 142,500 80,500 62,000 62,000 - - - - - - -

3 55,800 28,000 27,800 - 27,800 49,821 22,021 3 1.4584 32,116 - 4 20,000 50,000 (30,000) - (30,000) - - - - - 30,000

5 25,300 20,900 4,400 - 4,400 17,391 12,991 5 1.3600 17,668 -

6 196,200 175,100 21,100 21,100 - - - - - - -

7 72,600 30,200 42,400 - 42,400 58,402 16,002 2 1.5526 24,845 - 8 500,000 - 500,000 500,000 - - - - - - (500,000)

9 85,900 - 85,900 - 85,900 100,000 14,100 1 1.7490 24,661 -

10 172,400 86,300 86,100 86,100 - - - - - - -

11 110,000 150,000 (40,000) (40,000) - - - - - - - 12 - - - - - - - - - - -

Property, Plant & Equip.

<5640>

11,527,444

Overstatement

Overstatement ProjectionMisstatements

Confidence is 95% that undetected

misstatement does not exceed EMUM,

which is represented by the area under

the curve to the left of EMUM.

Sample Items

If applicable, an additional sample with indicated J and similar incidence of

misstatement should be sufficient to reduce EMUM to PM. For the combined

evaluation enter indicated MP and Optional Cut Off as sample parameters.

0 1 2 3 4 5 6 7

1. Fonte: “Data, Data Everywhere” The Economist. 2. Fonte: McKinsey Global Institute


Molti sono gli algoritmi oggi disponibili nei software di data analysis: si va dalla

semplice statistica descrittiva all’analisi multivariata, fino ad arrivare ad algoritmi

“intelligenti” di Data Mining:

• Principal Component Analysis

• Analisi delle corrispondenze

• Decision trees

• Classification Rules

• Cluster Analysis

• Neural Networks

• …

Il contesto

Algoritmi di data analysis (1/3)



A questi si aggiungono poi tecniche di ottimizzazione e simulazione, quali:

• Gradient method optimization

• Algoritmi di Operations Research

• Algoritmi genetici

• Simulazioni Montecarlo

Il contesto




Si stanno infine sviluppando

tecniche di text mining, cioè di

analisi di testo non strutturato

(email, articoli, documenti

aziendali), che consentono di

estrapolare in modo automatico

«conoscenza»:

• Document classification

• Sentiment analysis

Il contesto




Il contesto

Global delivery in real time


1. Fonte: Data, Data Everywhere” The Economist.

A livello mondiale sono presenti 5 miliardi di device connessi ad Internet con

più di un miliardo di utenti1!

La capillarità e la diffusione di Internet consentono di acquisire i dati nel

momento in cui vengono prodotti, indipendentemente dal luogo geografico, e di

rendere fruibili i risultati delle analisi potenzialmente verso qualunque

destinatario, ovunque esso si trovi.




Le nuove sfide


Analytics can play a critical role in achieving your vision of becoming a world-class Internal Audit function.

Le nuove sfide della Funzione di Internal Audit:

Focus sui reali rischi di business aventi la più

alta rilevanza strategica

Miglioramento nell’identificazione dei rischi e

delle priorità di audit

Utilizzo più efficiente delle risorse (di

business e di audit), estendendo la copertura

del proprio perimetro e tendendo verso un

monitoraggio on an on-going basis

Quantificare l’impatto potenziale degli audit

findings

Le opportunità offerte dagli Analytics:

Capacità di adattarsi dinamicamente airischi che il cambiamento di scenario in cui opera l’azienda comporta

Ottenere una copertura di audit più estesasvolgendo le analisi sull’intera popolazionee non su base camionaria

Fornire analisi quantitative che aiutino ilbusiness a percepire impatti e rischipotenziali associati alle risultanze dell’attivitàdi audit

Implementare processi di monitoraggiocontinuo



Prerequisiti


Profonda conoscenza dei

rischi del settore di

appartenenza e dei key risk

indicators

Profonda conoscenza del

business

[Modello di

data governance]



Audit Lifecycle


Audit Planning Audit Fieldwork Audit Reporting

Svolgimento di test manuali sulle procedure e sui controlli subase campionaria e secondo il Piano di Audit

Risultanze supportatedall’esecuzione di procedure manuali di audit e dalle selezionitestate

Approccio Tradizionale

Approccio “in salsa” Analytics

Audit Planning Audit Fieldwork Audit Reporting

Risultati preliminari di analisi dati guidano lo scope ed il test

plan, concentrando le attività sui key risk di business,

operativi e di compliance.

La selezione dei campioni da testare avvienepreventivamente da remoto.

Quantificazione deipotenziali impatti sulbusiness collegatiagli audit findings

Procedure di test manuale a supporto ed integrazione dellerisultanze ottenute dalle attività di analisi dati.

Data Profiling Stratification ExtrapolationData Quality Reconciliation

Lo scope ed il test plan sonopredefiniti all’interno del Programma di Audit, aggiustatosulla base di metrichequantitative

Strumenti di Continuous Monitoring


Strumenti di Continuous MonitoringI vantaggi (1/2)

17

Il contesto aziendale in cui opera la Funzione di Internal Audit diventa sempre più

complesso e dinamico.

La Funzione di Internal Audit deve essere in grado di rispondere tempestivamente a

tali eventi, modificando di conseguenza le proprie attività in modo da focalizzarsi sulle

aree a maggiore rischio.

In tale prospettiva, un numero crescente di Chief Audit Executive sta adottando

tecniche di Continuous Auditing, attraverso l‘implementazione di un processo continuo

di analisi dei dati, a sostegno della pianificazione della attività di internal auditing.


Da questo punto di vista, il processo di Continuous Auditing è particolarmente utile per

la Funzione di Internal Audit nell’individuare transazioni che richiedono ulteriori

approfondimenti, attraverso il supporto di tool automatici che facilitano l’identificazione di

tali transazioni.

Strumenti di Continuous MonitoringI vantaggi (2/2)

18

Strumenti di Continuous Auditing permettono all’Internal

Audit di:

• Identificare tempestivamente transazioni

anomale (potenziali indicatori di frodi, errori,

carenze di controllo, ecc.).

• Evolvere da un tradizionale, statico Piano di

Internal Audit annuale ad un piano più dinamico

basato sui risultati di un processo di Continuous

Auditing.

• Ridurre i costi ed aumentare l’efficacia delle

attività di internal auditing tramite l’utilizzo di

soluzioni automatiche.


Strumenti di Continuous MonitoringLe fasi dell’implementazione

19

• Identificazione/definizione del set di Data Analytic Queries da attivarea seconda delle aree critiche individuate dalla Funzione di InternalAudit.

• Definizione delle estrazioni elettroniche dai sistemi gestionalinecessarie all’esecuzione del set di Data Analytic Queries individuatenella precedente fase.

• Parametrizzazione e fine tuning del tool di CM: tale fase prevede inparticolare cicli di elaborazione di dati estratti per alcuni periodi sceltia campione, la validazione dei risultati e il successivo affinamentodelle Data Analytic Queries, rispetto alla popolazione di dati ed allefattispecie di interesse.

• Definizione e predisposizione della reportistica periodica.

• Messa a disposizione del Tool di CM ed erogazione di formazione alpersonale interno che gestirà il processo di risk continuousmonitoring.

Attività

2. Definizione delle estrazioni elettroniche

necessarie al Tool di CM

4. Reportistica finale per il periodo analizzato

1.Identificazione/definizione del set di

Data Analytic Queries

3.Parametrizzazione e fine tunig del Tool di CM

5. Rilascio del Tool di CM e formazione


Strumenti di Continuous MonitoringQualche esempio di Data Analytic Query

20

Enormi sono le possibilità di

analisi, se si pensa alla

ricchezza delle informazioni che

ciascun Processo e Funzione

aziendale produce

quotidianamente.



21

Anagrafica clienti: clienti duplicati, clienti con anagrafica incompleta,

anomalie sulle coordinate bancarie

Portafoglio clienti: frequenza di note di credito generate per cliente e per

tipologia di prodotto

Scontistica e listino prezzi: incoerenza nell’applicazione del listino prezzi

e sconti, scontistica “anomala”

Congruità dei ricavi operativi in base alla movimentazione di magazzino

Ciclo Attivo


Co.Ge.Strumenti di Continuous MonitoringQualche esempio di Data Analytic Query

22

Statistiche sulla popolazione delle registrazioni: volumi in importo e

quantità delle scritture per data di “materiale” registrazione rispetto ai giorni

del mese, ai mesi dell’anno, all’utenza, al conto contabile

Analisi l’integrità delle registrazioni: registrazioni con descrizione, utente

o data di registrazione nulli

Scritture inusuali o atipiche: pattern di registrazioni anomale,

registrazioni effettuate nei giorni festivi, negli orari non lavorativi, con

importi arrotondati o effettuate da utenti su conti per lui inusuali



GestioneMagazzino

23

Movimentazione: validazione complessiva della movimentazione, articoli a

bassa rotazione, coerenza delle note di credito per resi con i movimenti di

reso

Valorizzazione articoli: verifica dell’algoritmo di valorizzazione, confronto

valore di carico con il mercato

© 2012 Deloitte Touche Tohmatsu24 Deloitte ERS Enterprise Risk Services

About DeloitteDeloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touche Tohmatsu and its member firms. Please see www.deloitte.com/us/about for a detailed description of the legal structure of Deloitte LLP and its subsidiaries.

Copyright © 2011 Deloitte Development LLC. All rights reserved.Member of Deloitte Touche Tohmatsu

Date post:	15-Feb-2019
Category:	Documents
Upload:	dinhdien
View:	215 times
Download:	0 times

L’Internal Audit, i business analytics e gli strumenti di ... · L’Internal Audit, i business...

Documents