L`approccio e gli strumenti al continuous auditing e monitoring
Transcript
L`approccio e gli strumenti al continuous auditing e monitoring
L'approccio e gli strumenti al continuous auditing e monitoring Padova, 29 maggio 2013 Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 1 EVENTO REALIZZATO GRAZIE A Sponsor Platinum Sostenitore Platinum Sostenitore Gold Con il patrocinio di Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 2 Indice • Introduzione al Continuous Auditing e Continuous Monitoring (CA/CM) • Monitoraggio e Audit tradizionali • Survey di KPMG • Modello di KPMG • Il processo di implementazione • Esempio di sistema di CA/CM • Quadrante di Gartner ed esempio di sw selection • Caso reale di implementazione di un sistema CA/CM Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 3 Cos’è il Continuous Auditing/Continuous Monitoring Il Continuous Auditing (CA) è la raccolta di evidenze di audit e indicatori di anomalie su transazioni, processi, controlli e sistemi informativi da parte dei revisori e dell’Internal Audit, su base continuativa o con frequenza prestabilita. Il fattore tecnologico rappresenta uno degli aspetti chiave per implementare il Continuous Auditing. Il Continuous Monitoring (CM) è un sistema automatico di riscontro, utilizzato dal management su base continuativa o con frequenza prestabilita, per monitorare che le attività e i controlli operino secondo il disegno predefinito e le transazioni e i processi si svolgano secondo le procedure esistenti. Gli obiettivi/benefici del CA/CM sono: • incrementare l’efficacia delle attività di audit, di monitoraggio controlli e del sistema di controllo interno; • riduzione dei rischi (ad esempio rischi di frode); • rendere più efficiente l’attività di auditing e monitoraggio (ad esempio in presenza di dispersioni geografiche) e grazie ai tempi più brevi di raccolta delle evidenza di audit. • sfruttare i sistemi informativi disponibili; • accrescere la capacità e le competenze degli auditor e del management; Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 4 Il cambiamento di prospettiva rispetto all’audit e al monitoraggio dei controlli tradizionale L’approccio tradizionale di internal auditing e di controllo da parte del management prevede: Impact controls: traditional approach Impact ononcontrols : Conventional Audit 90 80 Control effectiveness 70 Expectation 60 Actual 50 Trend 40 20 10 AUDIT AUDIT 30 2 3 4 5 6 7 8 9 • l’efficacia dei controlli può essere incrementata solo successivamente all’intervento di audit quando i piani d’azione saranno stati implementati; • l’efficacia dell’intervento, dal momento della sua conclusione all’implementazione dei piani d’azione, può diminuire a causa di cambiamenti organizzativi, del personale o di altre condizioni esterne; • sono necessarie attività di follow-up per verificare l’implementazione dei piani d’azione; 1 • un testing periodico attraverso interventi ciclici su processi, funzioni o società previsti nella pianificazione basata sull’analisi dei rischi; 10 11 12 • sono necessarie dispendiose attività di raccolta di informazioni ogni volta che deve essere rieseguita l’attività di audit. L’approccio del Continuous Auditing/Monitoring, invece, prevede: • un testing ricorrente e focalizzato: i controlli e le transazioni sono verificate in tempo reale; Impact onon controls : Continuous Audit Impact controls: continuous approach 90 80 Control effectiveness 70 Expectation 60 Actual 50 Trend 40 20 10 AUDIT 30 2 3 4 5 6 7 8 • nuovi controlli possono essere identificati e monitorati consentendo all’Internal Audit di adattare le proprie attività alle nuove esigenze, restando focalizzato sui controlli più rilevanti; • l’efficacia dei controlli è assicurata nel tempo e monitorata nel continuo; 1 • i fallimenti dei controlli sono identificati dall’Internal Audit immediatamente e questo rappresenta un’opportunità per il management per minimizzare il perdurare dell’inefficienza o del rischio rilevati; 9 10 11 12 • il continuo allineamento con l’esigenze del business; • le attività di audit possono essere pianificate sulla base di informazioni qualificate sulle anomalie rilevate. Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 5 Survey di KPMG Si riassume nel seguito i risultati di una survey condatta da KPMG su clienti Europa, Medio Oriente, Africa (coinvolgendo 32 paesi, inclusa l’Italia, e 718 intervistati, principalmente referenti Internal audit, CFO, risk management e management di linea) circa lo status di maturità del CA/CM presso le società ad oggi e il trend per il futuro. La survey è stata condotta nel 2012. La dimensione dei clienti variava da un 36% con ricavi maggiori di 1 miliardo di euro e 24% tra 250 milioni e 1 miliardo di euro. La tipologia di industria include tutti i settori. Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 6 Survey di KPMG Processi su cui si sono ottenuti i maggiori benefici I maggiori benefici riscontrati sono stati sui processi “ripetitivi” (transaction-based) e tradizionalmente maggiormente suscettibili di rischi come il Financial Reporting, la gestione della tesoreria, il ciclo passivo, ecc. Dall’esperienza di KPMG le aree dove si hanno i maggiori ritorni sugli investimenti in un progetto di CA/CM sono: L’analisi delle scritture contabili, i rimborsi spesa, il ciclo passivo, il ciclo attivo, le transazioni con le carte di credito, la gestione del magazzino. Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 7 Survey di KPMG I referenti aziendali che attivano il CA/CM e che ne beneficiano Dalla survey è emerso che tutto il management dichiara di ricevere valore dal CA/CM (anche se spesso non è stato l’iniziatore del processo stesso). Risulta che il principali attore che avvia il processo è l’Internal Audit (85%), seguito da CFO, Internal control, Risk management. Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 8 Survey di KPMG Attuale adozione del CA/CM Dalla survey è emerso che l’attuale adozione del CA/CM è relativamente bassa. Il 17% non l’ha mai adottato, il 14% l’ha preso solo in considerazione, solo il 10% ha avviato un pilot e il 12% sta effettivamente implementando un sistema CA/CM. Solo 9% ha integrato completamente un sistema CA e CM all’interno della propria struttura. La situazione migliora notevolmente nella prospettiva dei prossimi due anni (2013 e 2014) con un aumento al 23% di un sistema CA/CM “embedded” nell’organizzazione. Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 9 Survey di KPMG Barriere nell’adozione del CA/CM Dalla survey è emerso che le maggiori difficoltà nell’introdurre sistemi di CA/CM nella propria società è rappresentato dal fatto di una limitata comprensione dei tool ad oggi disponibili sul mercato. La considerazione emersa dagli intervistati è che le società possiedono al proprio interno tool di IT Audit, ma non hanno conoscenze su come usarli in ottica i CA/CM, beneficiando ad esempio di dashboard di Business Intelligence. Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 10 Survey di KPMG Investimenti passati e futuri nel CA/CM Dalla survey è emerso che le società stanno gradatamente cambiando i propri investimenti nella direzione del CA/CM. Il numero delle società intervistate che non intendono investire assolutamente in CA/CM scende dal 37% al 19% e contestualmente cresce la percentuale degli investimenti di piccole e medie dimensioni sui progetti di CA/CM (dal 47% al 62% considerando investimenti sotto i 250.000 euro). Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 11 Survey di KPMG Uso della tecnologia Dalla survey è emerso che il 75% degli intervistati utilizza uno strumento IT per la gestione delle proprie attività di CA/CM, con una prevalenza dell’uso di strumenti di Office automation. I dati mostrano quindi che le società stanno iniziando a sperimentare il CA/CM con strumenti semplici e il più possibile standard, anche se l’evoluzione graduale sarà verso strumenti più articolati di BI. Questo è dovuto al fatto che le soluzioni integrate di mercato di CA/CM sono più costose e quindi si preferisce investire inizialmente in strumenti di “data analytics”. Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 12 Modello di KPMG • Dall’analisi emersa dalla survey e dall’esperienza di KPMG, l’approccio ad oggi adottato dalle società al CA/CM è un approccio graduale, che può iniziare con l’introduzione di sistemi di data analytics al supporto di procedure manuali per poi passare gradualmente a sistemi CA/CM real-time. Quello che KPMG suggerisce è quello di adottare una visione di lungo periodo affinchè il CA/CM sia diventi un approccio sistematico all’Audit e monitoraggio dei controlli. • Il Modello di CA/CM sviluppato da KPMG rappresenta un modello di riferimento per la gestione integrata degli indicatori di CA/CM e dei controlli. • Reporting strategico su CA/CM Livello 3 • Dashboards sui Controlli/KPI/KRI Reporting • Eventuale reporting Integrato con Compliance e Risk Management • • Gestione delle eccezioni (come indirizzarle e risolverle) Analisi dati e processi Livello 2 • Gestione dei processi di review -Review Livello 1 Analisi degli indicatori • Coinvolgimento anche “real-time” dei referenti aziendali sulle azioni di rimedio e sui follow-up Estrazione dati e creazione degli indicatori Purchasing Warehouse management Manufacturing Sales & Distribution • Gestione dell’archiviazione di dati • Gestione alert • Raccolta delle eccezioni • Interfacce con sistemi esterni per analisi automatiche su transazioni, dati, configurazione dei controlli automatici • Flussi automatici Sistemi oggetto di continuous auditing/monitoring Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 13 Assess Attività Scoping Design • Definizione degli obiettivi • Raccolta delle informazioni rilevanti • Definizione del perimetro • Svolgimento del risk assessment per identificare le aree e processi a rischio alto • Definizione del piano di progetto di dettaglio • Kick-off Needs and requirements summary • Rilevazione dello stato attuale dei controlli , KPI, e valutazione delle RCM (controlli automatici vs controlli manuali) (As-Is) • Disegno funzionale degli indicatori e delle relative soglie, dei controlli automatici • Disegno dei flussi di review , alert, del reporting/dashboard • Svolgimento della gap analysis • Assistenza all’ identificazione della soluzione software più adeguata (CA/CM tool) • Assistenza alla definizione dello stato desiderato (To-Be) • Approvazione del piano di implementazione Current state assessment CA/CM implementation plan Implement • Esecuzione piano di implementazione Tool CA/CM o parametrizzazione soluzione già preesistente presso cliente • Predisposizione delle attività di estrazione dei dati • Assistenza alle attività di implementazione Set-up for data extraction activities Execute Evaluate • Esecuzione delle query e delle routine che determinano gli indicatori • Assistenza all’ identificazione delle cause delle anomalie/risultati • Reporting • Training alle risorse dedicate Exception reports Reluctance to use high savings tools % seeing as important TARGETS • < 1 per month per OpCo • 100% • Real time • 100% commonality • Milestones achieved on time and to budget 8.00 7.50 7.00 6.50 50% Post implementation assessment 3j Catastrophic 6.00 40% 5.50 30% Domestic outsourcing Off shoring Shared service centres Process optimisation 5.00 Service channels % seeing as important Average savings 3h 4d Moderate 3a 1d 1e 3f Insignificant 2b 4g Risk assessment Excessive Periodic N/A concentration risk measurement of Financial losses can counterparty credit result from excessive exposures for all concentration of credit companies by the exposure to a specificCDD; Credit counterparty, region guidelines or approved market segment. by RMC; Reporting of exposures to RMC 3j 5a 1b Major 3h 4d Moderate 1d Minor 3a 4g 2b 1e 4f 4b 4c 3g 4e 1f 1a 2a 3e 2c 4j 4i 3c 3f Insignificant 1c 3b Remote 5b 5c 4a 3i 3d 4h Unlikely Possible Likely Almost certain Selected CA/CM tools Implementation activities Inappropriate credit None collateral management Financial losses can result from failure to collect adequate collateral or to recall posted collateral. N/A Periodic N/A measurement of counterparty credit exposures for all companies by the CDD; Credit guidelines approved by RMC; Reporting of exposures to RMC Remote 4b 1c 3g 4e 1f 1a 2a 3e 2c 4j 4i 4c 3c Unlikely 4h Inappropriate credit CCD reviews CCD reviews CCD reviews CCD reviews CCD reviews CCD reviews CCD reviews contract terms and procurement and procurement and procurement and procurement and procurement and procurement and procurement and conditions- Financial sales contract termssales contract termssales contract terms sales contract termssales contract termssales contract termssales contract terms losses can result fromfor all companies; for all companies; for all companies; for all companies; for all companies; for all companies; for all companies; failure to develop, Legal contract Legal contract Legal contract Legal contract Legal contract Legal contract Legal contract licensing group tracks licensing group tracks licensing group tracks licensing group tracks licensing group tracks licensing group tracks review and maintain licensing group tracks adequate contract contract legal terms;contract legal terms;contract legal terms;contract legal terms;contract legal terms;contract legal terms;contract legal terms; credit provisions. Use of standardized Use of standardized Use of standardized Use of standardized Use of standardized Use of standardized Use of standardized contracts with contracts with contracts with contracts with contracts with contracts with contracts with approved approved approved approved approved approved approved creditworthiness creditworthiness creditworthiness creditworthiness creditworthiness creditworthiness creditworthiness clause provisions clause provisions clause provisions clause provisions clause provisions clause provisions clause provisions 31.3.07 31.3.08 Value Drivers GPM Appointment Chief Information Officer Content Re-engineering 31.3.09 Improve Amount, Frequency & Sophistication Of MI Build Global MI Environment Op-Co Planning Tool Implementation Op-Co Planning Tool Implementation Op-Co Planning Tool Implementation 3) Developing a great team Review & Improve Talent Mgmt Common Integrated Global Planning Tool 4) Finance shared services Appointments Global Lead Teams Benchmarking/ Revenue Assurance/ Investment Appraisal Feasibility Study Implement Common Operating Model including Business partners Career Paths Feasibility Study incl Tool Selection Implement Governance Process 6) Sarbanes Oxley SoX Documentation & Walkthroughs Partner Selection SoX Testing ERP Design Large Op-Co Plan Build Design Appointment Process owners 5) Standardize systems including implementing global ERP ERP Build Integrate & Test Integration Test Pilot Pilot 1st Small Op-Co Migration Migration & Go Live 1st Large Op-Co Migration 2nd Small Op-Co Migration 2nd Large Op-Co Migration 3rd Small Op-Co Migration 3rd Large Op-Co Migration 5th Small Migration 4th Large Op-Co Migration 6th Small Migration TODAY’S ENVIRONMENT 7th Small Migration 8th Small Migration 9th Small Migration Migration & Go Live REQUIRED CURRENT PLANNED • Working in partnership with the business we will define • Hyperion committee and deliver Vodafone’s management information • Local OpCo data requirements, implementing a robust governance process warehouses to ensure continuous business information integrity, relevance and value • Common chart of accounts • Many country based piecemeal projects • Global Performance Management project • Global HR Scorecards • Spend analysis vendor • One Vodafone • DCC (Data Centre Consolidation) • Group Technology single • Creation of MI function billing system • Definition and communication of role of finance in management information • Define data ownership/source/ policy • Define group, global and OpCo data and info needs • Effective MI governance function • Clarification and effective communication of matrix management roles and responsibilities • Select IT infrastructure and platform • Build solution FUTURE – DO WELL MEASURES TARGETS People • Dedicated management information function • Clearly defined role for finance in management information Content and governance • Strong governance process for management information • Linked to strategic value drivers • Agreed criteria for content • Content optimised on cost and value • Single, trusted view of performance Systems • Single group wide, global data warehouse • Automated extraction, transformation and loading of data Functionality • Delivery of product/segment/customer profitability reporting • Delivery of real time management information (daily/weekly/monthly) • Reduced level of ad hoc reporting • New report requests referred to MI function • Speed of data delivery • Commonality of data definitions across Vodafone • Execution of plan to deliver • < 1 per month per OpCo • 100% • Real time • 100% commonality • Milestones achieved on time and to budget 31.3.11 31.3.10 Migrate GPM & Hyperion Into Common Environment Source Data Define Common Reporting Library Group Planning Tool Selection Appointment Single Owner Business Planning Appointments Finance Transformation Director Finance People Lead Almost certain INITIATIVES CRITICAL OBJECTIVE:- 31.3.06 3i Likely Lessons learned INSIGHTFUL MANAGEMENT INFORMATION 2) Simplify business planning 4a 3d Possible Periodic Periodic measurement of measurement of counterparty credit counterparty credit exposures for all exposures for all companies by the companies by the CDD; Credit CDD; Credit guidelines approvedguidelines approved by RMC; Reporting of by RMC; Reporting of exposures to RMC exposures to RMC Management by credit Management by credit Management by credit Management by credit Management by credit Management by credit & collections group & collections group & collections group & collections group & collections group & collections group based on credit based on credit based on credit based on credit based on credit based on credit scoring and arrears scoring and arrears scoring and arrears scoring and arrears scoring and arrears scoring and arrears Gap analysis 1) M anagement information 5b 5c 4f 3b Controls Assessment Risk SCANA Services SCE&G PSNC Energy SEMI SCPC SCANA Comm Prime South Inappropriate credit Periodic monitoring Periodic of monitoring Periodic of monitoring Periodic of monitoring Periodic of monitoring Periodic of monitoring Periodic of monitoring of measurement credit exposures; credit exposures, credit exposures, credit exposures, credit exposures, credit exposures, credit exposures, Financial losses can Credit guidelines Credit guidelines Credit guidelines Credit guidelines Credit guidelines Credit guidelines Credit guidelines result from counterparty approved by RMC approved by RMC; approved by RMC; approved by RMC; approved by RMC; approved by RMC; approved by RMC; failure to meet financial Regulatory rules; Regulatory rules; Regulatory rules; Regulatory rules; Regulatory rules; Regulatory rules; or operational contract Standard contact Standard contact Standard contact Standard contact Standard contact Standard contact terms; Netting terms; Netting terms; Netting terms; Netting terms; Collateral and terms; Collateral and terms. agreements; agreements; agreements; agreements; letters of credit; Credit letters of credit; Credit Collateral and letters Collateral and lettersCollateral and letters Collateral and letters reserves reserves of credit; Credit of credit; Credit of credit; Credit of credit; Credit reserves reserves reserves reserves 5a 1b Major Minor Catastrophic Scoping 8.50 60% 4 PM MEASURES • Reduced level of ad hoc reporting • New report requests referred to MI function • Speed of data delivery • Commonality of data definitions across Vodafone • Execution of plan to deliver 9.00 70% 8 AM FUTURE – DO WELL People • Dedicated management information function • Clearly defined role for finance in management information Content and governance • Strong governance process for management information • Linked to strategic value drivers • Agreed criteria for content • Content optimised on cost and value • Single, trusted view of performance Systems • Single group wide, global data warehouse • Automated extraction, transformation and loading of data Functionality • Delivery of product/segment/customer profitability reporting • Delivery of real time management information (daily/weekly/monthly) 9.50 80% 12 PM • Group Technology single • Creation of MI function billing system • Definition and communication of role of finance in management information • Define data ownership/source/ policy • Define group, global and OpCo data and info needs • Effective MI governance function • Clarification and effective communication of matrix management roles and responsibilities • Select IT infrastructure and platform • Build solution 4 AM PLANNED • Common chart of accounts • Many country based piecemeal projects • Global Performance Management project • Global HR Scorecards • Spend analysis vendor • One Vodafone • DCC (Data Centre Consolidation) Risk Consequence Esempi di deliverable REQUIRED CURRENT 12 AM TODAY’S ENVIRONMENT • Working in partnership with the business we will define • Hyperion committee and deliver Vodafone’s management information • Local OpCo data requirements, implementing a robust governance process warehouses to ensure continuous business information integrity, relevance and value Average savings INSIGHTFUL MANAGEMENT INFORMATION • Identificazione di potenziali aree di miglioramento • Analisi dei gap e delle aree di miglioramento • Follow up eccezioni 90% INITIATIVES CRITICAL OBJECTIVE:- • Esecuzione di un assessment post implementazione Risk Consequence Plan/ 8 PM Fasi Il processo di implementazione del CA/CM Imp Strategy SoX Remediation SSC SoX Compliance Full SoX SSC Compliance Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 14 Esempio di un sistema di Continuous Auditing/ Continuous Monitoring 4 3 5 5 2 4 1 1 Definizione delle regole (KPI, controlli, ecc.) nel tool di CA/CM che esegue le query nel sistema informativo ERP. 2 I risultati del tool sono archiviati in un data base appropriato dove sono svolte le analisi. 3 Il tool CA/CM alimenta un web server con gli alert prodotti verso gli auditor o il management. 4/5 Gli auditor e il management ricevono gli alert e sono reindirizzati verso il “reporting” via web. Il dashboard permette agli utenti di navigare dentro i grafici prodotti e registrare gli esiti delle investigazioni e delle eccezioni. Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 15 Quadrante di Gartner ed esempio di sw selection Completeness of Vision Ability to execute • Market Understanding • Product/Service • Marketing Strategy • Overall Viability • Sales Strategy • Sales Execution/Price • Offering (Product) Strategy • Market Responsiveness and Track Record • Business Model • Vertical/Industry Strategy • Marketing Execution • Innovation • Customer Experience • Geographic Strategy • Operations Operational Access/ SoD Tactical KPI and proces IT Controls s Maste control (configurati r Data s on controls) Integrati on with complia Alert/ Workfl notificat nce to Law ion ow Strategic Overall Integratio Broad n with risk managem Reportin Dashboa Capabiliti Geograp Ease of es hy Use ent g rd Software 1 Software 2 Software 3 Software 4 ……… Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 16 Caso di implementazione di un sistema di CA/CM – Società nel settore Automotive Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 17 Indicatori di controllo per rischi SOD reali Al termine del progetto di ridefinizione dei profili SAP, il cliente aveva alcuni rischi di segregation of dutis non mitigati nel sistema in particolare in area Finance, ciclo passivo e magazzino che voleva monitorare. Per ogni rischio di Segregation of Duties (circa 17) identificato è stato quindi realizzato uno specifico mitigation control. Inizialmente i controlli erano eseguiti con procedure manuali (query da SAP, uso di analisi con IDEA e report in Excel mostrati al compliance officier). Le attività di remediation venivano avviate dopo riunioni trimestrali o mensili di follow-up. Il progetto CA/CM è consistito in un sistema di continuo auditing e monitoring in real-time, le azioni di follow-up erano continue nel tempo con chiusura dei follow-up anche nell’arco di pochi giorni o di una settimana. Number of Risks (#risks x #users) before cleaning Number of Users involved in Sod Conflicts before cleaning Number of Risks (#risks x #users) after cleaning Number of Users involved in Sod Conflicts after cleaning Number of mitigation controls Funzione 1 102 23 19 10 5 Funzione 2 13 13 12 12 1 Funzione 3 97 36 41 36 2 Funzione 4 50 10 18 9 2 Funzione 5 36 12 4 4 1 Funzione 6 45 45 30 30 1 Funzione 7 22 11 5 2 2 Funzione 8 12 11 11 11 1 Funzione 9 22 11 2 2 1 Funzione 10 32 32 32 32 1 431 204 174 148 17 Department TOTAL Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 18 Indicatori di controllo per rischi SOD reali Ogni indicatore di controllo veniva inizialmente estratto con una procedura manuale che comportava in genere le seguenti operazioni: 1. Estrazione degli utenti che nel periodo oggetto di analisi avevano un rischio SOD potenziale 2. Verificare con una query da SAP se gli utenti avevano eseguito le prima operazione in conflitto (es: modifica coordinate bancarie) 3. Verificare con altra query da SAP se gli stessi utenti avessero anche eseguito la seconda operazione in conflitto (es: pagamento) 4. Una vota estratti i dati in IDEA ed Excel veniva verificato se il conflitto era reale (es: se il pagamento si riferiva esattamente al fornitore su cui si era fatta la modifica dell’IBAN) Grazie all’automatismo del sistema di CA/CM implementato ogni indicatore di controllo (o mitigation control) veniva creato e aggiornato con cadenza giornaliera. Rischi presenti nel sistema SAP Indicatore di Controllo P001 (Finance) – Fornitori vs Fatture P001 – Estrazione dei fornitori con IBAN modificato per i quali è stata registrata in SAP una fattura da uno stesso utente. P002 (Finance) – Fornitori vs Pagamenti P003 (Finance) – Fatture vs Pagamenti P014 (Finance) – Fatture vs Riconciliazioni P038 (Finance) – Pagamenti vs Riconciliazioni P002 – Estrazione dei fornitori con IBAN modificato per i quali è stato registrato in SAP un pagamento da uno stesso utente. P003 – Estrazione delle fattura e dei pagamenti eseguite da uno stesso utente per lo stesso fornitore. S003 (Finance) – Clienti vs Ordini P014 – Estrazione di fatture e riconciliazioni bancarie eseguite dallo stesso utente S004 (Finance) – Clienti vs Fatture ……. P006 (Controlling) – EM vs Fatture passive …….. ….. ……. …… Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 19 Il processo di definizione del Tool CA/CM Le attività principali eseguite nel progetto di definizione del Tool di Continuo Monitoraggio degli Indicatori di controllo sono state eseguite in circa tre mesi di lavoro: Planning Attività di pianificazione Analisi Funzionale Creazione Tool Testing Go Live e estrazione report Analisi dei dati da estrarre e dei report da ottenere Creazione Estrattore Dati da SAP Esecuzione dei report e verifica con dati di Quality del corretto funzionamento Avvio del Tool in produzione con creazione estrattore da SAP di produzione Definizione e formalizzazione delle analisi funzionali svolte Creazione del Modello Dati nel DB SQL e creazione del Reporting Attività di finetuning Avvio del continuo monitoraggio Controllo dei Report sul Tool Verifica dei report che il Tool elabora automaticamente Eventuale Followup sulle eccezioni rilevate Attività di follow-up sulle eccezioni rilevate Meeting Meeting condivisione risultati Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 20 Architettura del sistema L’architettura di riferimento per l’applicativo Continuous Auditing/Monitoring prevede l’utilizzo del server Sql Server 2012 Standard Edition: • Integration Services: è il motore ETL (Extract Transform and Load) che si fà carico del processo di estrazione, trasformazione e caricamento dei dati da un sistema sorgente (nel nostro caso SAP) verso il database dell’applicativo in questione. Tutte le richieste verso il mondo SAP sono eseguite attraverso chiamate RFP per mezzo di componenti certificati SAP presenti nella soluzione. • Reporting Services: è il servizio che si fa carico della renderizzazione e distribuzione dei report, è sfruttato dall’ applicativo per la visualizzazione e distribuzione dei risultati verso gli utenti del sistema. • Database relazionale: è il motore vero è proprio di Sql Server dove vengono memorizzati e gestite le informazioni necessarie “consumate” dai report del servizio Reporting Services. Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 21 Soluzione realizzata su Piattaforma Microsoft • Alert • WF • Registrazioni esiti eccezioni Reporting Services • Alert • WF • Registrazioni esiti eccezioni Import ed Analisi in SQL n° livello 2° livello 1° livello SAP Remote Function (ogni sera) Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 22 Quadro generale degli indicatori Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 23 Esempio indicatore P001 Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 24 Riferimenti Luca Savoia Senior Manager Information Risk Management KPMG Advisory Spa +39 3488217339 CISA CRISC [email protected] Continuous Auditing e Monitoring – Savoia - KPMG 29.5.2013 - ISACA VENICE Chapter 25