ANALISI DEI DATI E CONTINUOUS MONITORING NELLE ATTIVITA’ DI AUDIT

11 Novembre 2008

Pag. 2Novembre 2008

Agenda

� Overview

� Data Analysis - vantaggi

� Data Analysis � ambiti di applicabilit�

� Data Analysis � valutazione dell�effort

� Data Analysis � il piano di progetto

� Data Analysis � strumenti

� Compliance con processi e controlli

� Conversione dei dati

� Analisi delle frodi

� Continuous Monitoring vs. Continuous Auditing

� Relazioni tra Continuous Monitoring e Continuous Auditing

� Vantaggi del Continuous Auditing

� Domande

Pag. 3Novembre 2008

CosCos���� ll��analisianalisi deidei datidati??

Overview

� L�analisi dei dati � un processo di trasformazione dei dati contenuti all�interno degli archivi in informazioni utili per lo sviluppo di analisi e per il raggiungimento di conclusioni effettive

� In particolare tale modalit� operativa consente di: � supportare e/o sostituire altre procedure di verifica incluse ispezioni, indagini, osservazioni, e riperformance delle attivit� di controllo� acquisire una pi� profonda conoscenza della popolazione (universo) oggetto dell�intervento� analizzare le caratteristiche e gli attributi dell’intero universo e non solo di un campione� analizzare i dati provenienti da molteplici fonti e diversi sistemi� concludere con risultati obiettivi ed effettivi le attivit� di verifica

Pag. 4Novembre 2008

� Massimizzare il grado di copertura delle verifiche

� Costruire metodi sostenibili ripetibili ed efficienti per sviluppare le attività di controllo

� Agevolare la rilevazione ed il monitoraggio delle frodi

� Aumentare l�efficienza e l’impiego mirato delle risorse

� Aumentare rapidamente le competenze delle risorse in termini di esperienza e

conoscenza (opportunit� di carriera)

� Migliorare la soddisfazione del management, portare valore effettivo al business e

sviluppare di rapporti di partnership effettivi

I vantaggi nei confronti del clienteI vantaggi nei confronti del cliente

Data Analysis - vantaggi

Pag. 5Novembre 2008

Data Analysis - vantaggi

� Incrementare il grado si copertura dal rischio, la qualità e la tempestività del processo di revisione

� Aumentare la qualità dei processi e l’integrità delle informazioni� Ridurre i rischi legati ai processi di conversione dei dati (incluse le acquisizioni e i

disinvestimenti)� Limitare il rischio attraverso la rilevazioni di frodi e fornire una valutazione sulla

compliance alla normativa� Le analisi sono ripetibili con uno sforzo minimo permettendo di rieffettuare le analisi

sui dati ad intervalli regolari� Le analisi possono evolversi in tools che permettono un monitoraggio continuo

In termini generali In termini generali èè possibile aumentare il profilo delle attivitpossibile aumentare il profilo delle attivitàà delldell’’InternalInternalAuditAudit e fornire maggior valore aggiunto agli utenti del businesse fornire maggior valore aggiunto agli utenti del business

I vantaggi per le attivitI vantaggi per le attivitàà di di AuditAudit

Pag. 6Novembre 2008

Data Analysis – ambiti di applicabilità

�Compliance dei processi- Nuovi requisiti della normativa- Integrità dei processi di compliance in essere

Focus: Dimostrare la compliance dei processi alle policy, ai regolamenti, ai contratti o altro

� Conversione dei dati- Ristrutturazione aziendale, implementazione e conversione del sistema

- Acquisto e integrazione di rami d’azienda, cessione integrazione sportelli e reti di vendita

Focus: Testare la qualità del processo ed i risultati della conversione dei dati, validazione dei dati acquisiti e integrati.

� Qualità dei dati- Progettare la realizzazione di un nuovo Sistema IT o un’integrazione al Sistema IT esistente

- Verifica oggettiva dei processi di elaborazioneFocus: Verificare se un’applicazione funziona come previsto e indicato negli obiettivi di business, nelle policy e/o nei requisiti standard

Pag. 7Novembre 2008

Data Analysis – ambiti di applicabilità

� Supporto nelle decisioni- Problematiche di acquisizione di Archivi e Sistemi- M&A Due Diligence

Focus: Fornire informazioni per sviluppare e supportare il business, gli investimenti finanziari e valutare le operazioni strategiche

� Analisi delle frodi- Irregolarità sospette, frodi o mancanza di controlli –è necessario ottenere forti evidenze

- Controllo internoFocus: Fornire supporto al fine di ottenere, analizzare ed elaborare idati per produrre evidenze relative a possibili frodi.

� Analisi di un processo o di un controllo- Efficienza di un processo, di un controllo o di una

funzione- Migliorare un processo o una funzione

Focus: Determinare se esistono nei processi di business: errori, perdite finanziarie, frodi potenziali e inefficienze. Identificare le cause che li hanno determinati e suggerire soluzioni

Pag. 8Novembre 2008

Data Anaysis – valutazione dell’effort

� 20-30% dell�impegno totale� L�estrazione dei dati permette di

ripetere l�analisi

� 40-60% dell�impegno totale� Analisi adeguata delle eccezioni e dei trend e

correlazione per controllare il gap tra i valori di riferimento

� Permette una valutazione degli scostamentirispetto ai parametri di riferimento dellapopolazione analizzata

� 10-30% dell�impegno totale� Progettare tools per rilevare i processi inefficaci e

presentare le inefficienze al management (e all�audit) � fondamentale per un�analisi completa

Pag. 9Novembre 2008

Data Analysis – il piano di progetto

� Le pi� importanti fasi del processo di analisi dei dati sono:

� Fase 1: Sviluppo del processo di verifica- Capire il contesto ed i bisogni delle analisi (fornire garanzie all�audit, valutare i

processi di business ed identificare le soluzioni per migliorare il processo)- Identificare le fonti disponibili di dati (Rendiconti Finanziari, sistemi di esercizio, Company

business partners, informazioni sulle terze parti)- Definire la soluzione (Obiettivi, Scopo, Dati Richiesti, Deliverables, Tempistica)

� Fase 2: Acquisire i dati- Sviluppo del programma di Acquisizione – determinare la Data Location, la Quantità di dati e

la modalità Trasferimento dei Dati- Preparare la Richiesta dei Dati (Richiedere i dati ed il tracciato dei file, identificare i controlli

totali, predisporre la richiesta dei dati)- Ricezione e Convalida dei Dati - Preparazione dei Dati per la Valutazione e l’Analisi (definire i campi dei file, verificare che tutti i

campi richiesti siano presenti)

Pag. 10Novembre 2008

Data Analysis – il piano di progetto

� Fase 3: Valutare i Dati- Predisporre un Test per verificare l’integrità e la correttezza dei dati (Attenzione ai campi critici)- Eseguire i Test per la Valutazione dei Dati - Esaminare e Documentare i risultati dei test di verifica - Comunicare i risultati

� Fase 4: Eseguire l’Analisi- Progettare e sviluppare le procedure di Analisi- Generare i risultati dell’ Analisi (Preparare i log files che documentano l�analisi svolta e i risultati)- Valutare i risultati e preparare i Deliverable dell’ Analisi

� Fase 5: Comunicare i Risultati dell’Analisi- Documentare l’analisi svolta e preparare i deliverable- Review del processo di analisi e dei deliverable- Comunicare i risultati dell’analisi

Pag. 11Novembre 2008

Data Analysis – Strumenti

Tool di analisi dei datiACL

IDEA SAS

Microsoft SQL Server / OracleMicrosoft Excel / Access

Reporting� Business Objects Crystal Reports & Xcelsius� Microsoft Analysis / Reporting Services

Analisi� Tableau� Cognos, Proclarity, Oracle, Speedware(MDA)� Tool non strutturati di Analisi dei Dati

Acquisizione dei Dati� Data Junction� DataFlux� Monarch� INCLUDIS (ERP SAP)

Pag. 12Novembre 2008

Compliance con processi e controllies. verifiche sul processo – Conti Correnti e Condizioni� Verifiche sull’efficacia dei processi di merito creditizio

� Stratificazione per tasso dei saldi che misurano l�impiego verso i clienti;� Indicazioni in termini di efficacia delle politiche commerciali

� Identificazione dei rapporti che presentano tasso medio inferiore al costo della raccolta (valutazioni in termini di numeri e non di saldi) � Indicazione in termini di efficacia e del rispetto delle politiche creditizie � Indicazione sull�efficacia dei blocchi logici impostati a livello applicativo� Identificazione di irregolarit� �sospette� da approfondire, eventualit� di frode

� Identificazione dei rapporti che presentano saldo dare ma non movimentati (ad eccezione delle causali automatiche) per un periodo (es. 6/12 mesi) � Indicazione sull�efficacia del sistema di controllo interno sui crediti� Indicazione sull�efficacia dei sistemi di intercettazione delle posizioni

sconfinate e o da classificare

Pag. 13Novembre 2008

Compliance con processi e controllies. verifiche sul processo – Conti Correnti e Condizioni

� Verifiche sull’efficacia dei processi di acquisizione dei dati� Identificazione della movimentazione che presenta differenza in giorni

significativa tra la data contabile e data la valuta/data riferimento;� Indicazioni in termini di efficacia dei blocchi sulla procedura;� Identificazione di accesso e/o aggiornamento degli archivi al di fuori delle

logiche transazionali� Indicazione di correttezza delle elaborazioni (es. batch periodici) � Identificazione di irregolarit� �sospette� da approfondire, eventualit� di frode

� Identificazione della movimentazione che presenta causale non congruente con il prodotto di riferimento (es. pagamento utenze e/o sottoscrizione titoli su depositi a risparmio):� Indicazioni in termini di efficacia dei blocchi implementati sulla procedura;� Indicazioni in termini di efficacia delle policy che disciplinano l�operativit� di

filiale

Pag. 14Novembre 2008

Compliance con processi e controllies. verifiche sul processo – Contabilità� Verifiche sull’efficacia dei processi di controllo sulla acquisizione dei dati

contabili� Identificazione della prima nota che presenta differenza tra il valore del dare e

dell�avere � Indicazioni in termini di efficacia dei blocchi e dei controlli logici sulla

procedura;� Indicazione di forzature nella acquisizione della movimentazione

� Identificazione delle scritture effettuate con data contabile di fine periodo (es. 31 Dicembre) e data registrazione successiva al periodo di chiusura contabile� Indicazioni in termini di efficacia delle policy aziendali� Indicazione in termini di efficacia dei blocchi logici implementati sul sistema

Identificazione delle scritture effettuate con data contabile di fine periodo (es. 31 Dicembre) e data registrazione successiva al periodo di chiusura contabile

Indicazioni in termini di efficacia delle policy aziendaliIndicazione in termini di efficacia dei blocchi logici implementati sul sistema

Pag. 15Novembre 2008

Conversione dei daties. verifiche di migrazione – Banche e Sportelli� Verifiche sui dati dell’applicazione di Anagrafe Generale

� le posizioni anagrafiche siano state migrate nel nuovo ambiente;� le posizioni cointestate siano state migrate nel nuovo ambiente;� le posizioni anagrafiche segnalate in centrale rischi siano state migrate;� le posizioni anagrafiche relative alle persone fisiche siano state migrate;� le posizioni anagrafiche relative alle persone giuridiche siano state migrate;� le posizioni anagrafiche relative alle ditte individuali siano state migrate;� i rapporti esistenti nei sottosistemi oggetto di verifica siano stati collegati al relativo NDG;� verifica della data accensione;� verifica della data variazione; � verifica della data estinzione;� verifica della posizione in sofferenza;� verifica del ramo e dell�attivit� economica;� verifica del codice di censimento in centrale rischi

Pag. 16Novembre 2008

Conversione dei daties. verifiche di migrazione – Banche e Sportelli� Verifiche sui dati delle applicazioni di Conti Correnti e Condizioni

� rapporti in essere siano stati migrati nel nuovo sistema informativo;� i movimenti (decorrenze) siano stati migrati nel nuovo sistema informativo;� i libretti degli assegni in essere siano migrati nel nuovo ambiente;� i dati relativi ai vincoli siano stati migrati nel nuovo ambiente;� le condizioni (standard e di convenzione) siano stati riportati nel nuovo

ambiente� verifica dell�importo dei saldi� verifica dei numeri� verifica dell�importo dei movimenti;� verifica del numero dei movimenti;� verifica delle date dei movimenti� Verifica delle causali dei movimenti� verifica dei valori dei tassi� verifica delle spese� verifica delle decorrenze

Pag. 17Novembre 2008

Conversione dei daties. verifiche di migrazione – Banche e Sportelli� Verifiche sui dati delle applicazioni Mutui e Finanziamenti

� i rapporti siano stati migrati nel nuovo ambiente� le rate siano state migrate nel nuovo ambiente� i tassi storici siano stati migrati nel nuovo ambiente� i dati aggiuntivi del contratto siano stati migrati nel nuovo ambiente� verifica sul valore del debito residuo;� verifica sul del totale delle rate pagate (importo e numero);� verifica sul totale rate da pagare (importo e numero);� verifica degli interessi di mora;� verifica delle spese (a livello di rapporto e/o di singola rata);� verifica delle commissioni (a livello di rapporto e/o di singola rata);� verifica della data scadenza delle rate del piano d�ammortamento;� verifica del tipo pagamento;� verifica del conto d�appoggio;� verifica del tasso applicato;� verifica della tipologia d�indicizzazione

Pag. 18Novembre 2008

Conversione dei daties. verifiche di migrazione – Banche e Sportelli� Verifiche sui dati delle applicazioni Fidi e Garanzie

� le pratiche di fido siano state migrate nel nuovo ambiente� le linee di credito siano state migrate nel nuovo ambiente� le linee di credito storiche siano state migrate nel nuovo ambiente� i collegamenti tra pratiche di fido e posizioni anagrafiche siano riportate nel

nuovo ambiente� verifica dell�importo del fido accordato� verifica dell�importo del fido utilizzato� verifica dell�importo dell�eventuale sconfinamento (es. fido accordato � utilizzato)� verifica della data scadenza� verifica della tipologia� le garanzie personali siano state migrate nel nuovo ambiente� le garanzia reali e gli atti di garanzia siano stati migrati nel nuovo ambiente;� i collegamenti tra pratiche di fido e le garanzie siano riportate nel nuovo ambiente� verifica dell�importo della garanzia� verifica del tipo di garanzia� verifica della data scadenza

Pag. 19Novembre 2008

Analisi delle Frodies. verifiche sul processo – Contabilità

� Identificazione di operatività sospette� Estrazione delle scritture operate su conti �inusuali� (conti caratterizzati da non

pi� di 2 scritture nel corso dell�anno)� Estrazione delle scritture acquisite manualmente effettuate da utenti �inusuali�

(utenti che hanno effettato nel corso dell�anno al massimo 12 scritture).� Estrazione delle scritture con importi tondi (000 o 999)� Estrazione delle scritture manuali con data contabile coincidente con un sabato o

una domenica� Estrazione delle scritture manuali inserite durante il weekend� Estrazione delle scritture manuali inserite in orario notturno� Estrazione delle scritture con la "User ID" ( codice o nome operatore) non

valorizzati� Estrazione delle scritture che hanno poca o nessuna descrizione� Estrazione delle scritture effettuate da �operatori� generici (e.g. Visa Posting,

ATM Posting, Charging Fees)� Estrazione delle scritture che generano un saldo di segno contrario rispetto al

sezionale di riferimento

Pag. 20Novembre 2008

Continuous Monitoring vs. Continuous Auditing

CosCos’è’è ilil Continuous Monitoring?Continuous Monitoring?

� Un processo posto in essere dal Management per monitorare:� il rispetto delle policy e delle procedure aziendali;� l’efficacia dei processi di business

� Attraverso il processo di “Continuous Monitoring” il Management approfondisce gli aspetti di adeguatezza ed efficacia del sistema dei controlli

� Il processo è utilizzato dai responsabili del controllo interno per verificare in modo continuativo il funzionamento del sistema di controllo interno

� Il Responsabile del Controllo Interno potrà identificare e correggere le inefficienze e proporre soluzioni per migliorare il sistema dei controlli

Pag. 21Novembre 2008

Continuous Monitoring vs. Continuous Auditing

CosCos���� ilil Continuous Auditing?Continuous Auditing?

� Un metodo utilizzato dagli Auditor che permette di svolgere le attivit� di revisione in modo continuativo. La tecnologia ha un ruolo fondamentale per rendere il �Continuous Auditing�realizzabile attraverso l�automazione.

� Il Continuous Auditing permette a chi si occupa di controllo interno di:� migliorare la comprensione dei punti di controllo critici, le regole e le eccezioni� effettuare valutazioni tempestive dei rischi e dei controlli sui processi� identificare i sistemi critici per il business al fine di identificare le anomalie relative alle transazioni� integrare i risultati dell�analisi in tutti gli aspetti del processo di audit

Pag. 22Novembre 2008

Relazioni tra Continuous Monitoirng e Continuous Auditing

Risposta del Management Impegno dell’ Audit

Sforzo notevole /maggiori risorse

Riducelo sforzo

Completo monitoraggiodei controlli interni

Basso monitoraggiodei controlli

Pag. 23Novembre 2008

Vantaggi del Continuous Auditing

� Maggior presidio sui rischi

� Riduzione del costo per la valutazione dei controlli interni (aumento dell�efficienza dell�audit)

� Capacit� di esaminare tutte le transazioni (aumento della fiducia sui risultati delle attivit� di verifica e della valutazione dei controlli)

� Riduzione degli errori finanziari e delle frodi potenziali

Pag. 24Novembre 2008

Domande