L`Internal Audit, i business analytics e gli strumenti di
Transcript
L`Internal Audit, i business analytics e gli strumenti di
L’Internal Audit, i business analytics e gli strumenti di continuous monitoring Torino, 1 marzo 2012 Edoardo Bonioli ([email protected]) © 2012 Deloitte Touche Tohmatsu Agenda Il contesto La Funzione di Internal Audit Le nuove sfide I prerequisiti Audit Lyfecycle Strumenti di Continuous Monitoring I vantaggi Le fasi dell’implementazione Qualche esempio di Data Analytic Query 2 Agenda © 2012 Deloitte Touche Tohmatsu Il contesto Il contesto Gli elementi chiave Gli elementi-chiave del contesto Volumi di dati Evoluzione tecnologica e algoritmi di data analysis Global delivery in real-time Crescita esponenziale a livello globale dei volumi di dati elettronici. Aumento della potenza di calcolo dei processori e sviluppo di algoritmi per analizzare velocemente i dati ed identificare pattern. Possibilità per le società di distribuire i risultati delle analisi ovunque ed in tempo reale. 4 Deloitte ERS – Enterprise Risk Services © 2012 Deloitte Touche Tohmatsu Il contesto Volumi di dati – alcuni numeri 1. Fonte: McKinsey Global Institute 5 Deloitte ERS – Enterprise Risk Services 2. Fonte: Cisco Visual Networking Index © 2012 Deloitte Touche Tohmatsu Il contesto Volumi di dati le aziende Grazie alla digitalizzazione dei processi aziendali, anche le aziende contribuiscono quotidianamente a produrre enormi moli di dati ad uso interno e esterno: 981 milioni DVD/min è stato l’equivalente di traffico IP generato dalle aziende a livello globale • nel 20101; A livello globale si stima che abbia raggiunto nel 2011 10.1 Exabytes (oltre 10 milioni di • Terabytes!) al mese1 1. Fonte: Cisco Visual Networking Index 6 Deloitte ERS – Enterprise Risk Services © 2012 Deloitte Touche Tohmatsu Il contesto Evoluzione tecnologica Ci sono voluti 10 anni per i computer per terminare di decodificare il genoma umano nel 2003; oggi ci vorrebbe appena una settimana1! Con Usd 600 oggi è possibile acquistare hard disk con capacità tali da poter archiviare tutta la musica digitale ad oggi prodotta2! Sample Parameters Planning Materiality, PM De Minimis Threshold Monetary Precision, MP Reliability Factor, R Sample Evaluation Total Known Misstatement = ∑E Entity Adjustments Uncorrected Known Misstatement MP Overstatement Projection = ∑(P'×A), ∑P' EMUM, PPUM EMM, PPM W/P Ref, W/P Ref, Tickmark Tickmark Sampling Interval, J = MP/R Pop. Name 400,000 100,000 Property, Plant & Equip. Optional Cut Off ( 0 if none) Pop. Amount 8,000 11,527,444 Top Stratum Cut Off, J' W/P Ref. 300,000 100,000 <5640> 3.0 Overstatement Understatement Assurance Profile EMM PPM KM Probability Distribution of Undetected Misstatement (Based on Sample Alone) Scale 1:J 854,000 854,000 (70,000) 1:100,000 Actual ÷ J (500,000) (500,000) 30,000 354,000 354,000 PPUM (40,000) 77,301 0.77 PM 300,000 400,000 4.00 EMUM 116,355 77,301 416,355 4.16 Confidence is 95% that undetected 416,355 77,301 770,355 431,301 misstatement does not exceed EMUM, which is represented by the area under Not yet done: EMM exceeds PM 0 1 2 3 4 5 6 7 the curve to the left of EMUM. Transfers Optional Additional Sample To Uncorrected Misstatements Sched: Known Overstatements PPUM (Likely Misstatement) Known Understatements To Corrected Misstatements Sched: Overstatements Understatements Do not transfer until EMM reduced to PM. 354,000 77,301 (40,000) Do not transfer until EMM reduced to PM. 500,000 (30,000) Sampling Interval, J MP for Combined Evaluation Optional Cut Off for Combined Evaluation 1,551,662 263,576 100,000 If applicable, an additional sample with indicated J and similar incidence of misstatement should be sufficient to reduce EMUM to PM. For the combined evaluation enter indicated MP and Optional Cut Off as sample parameters. Schedule of Misstatements Sample Items Line No. Recorded Value X W/P Ref, Tickmark O U 1 2 3 4 5 6 7 8 9 10 11 12 1. Fonte: “Data, Data Everywhere” The Economist. 7 Deloitte ERS – Enterprise Risk Services Misstatements Audited Value Y Over(Under) statement E=X−Y Top Stratum E:X≥J' Lower Stratum E:X<J' Projection P=(E/X)×J 262,101 Overstatement Projection Projected Precision Undetected Rank Ajustment Misstatement of P Factor P'=P−E A 1,317,300 130,000 1,447,300 463,300 200,000 663,300 854,000 (70,000) 784,000 669,200 (40,000) 629,200 184,800 (30,000) 154,800 77,301 262,101 77,301 66,600 142,500 55,800 20,000 25,300 196,200 72,600 500,000 85,900 172,400 110,000 - 42,300 80,500 28,000 50,000 20,900 175,100 30,200 86,300 150,000 - 24,300 62,000 27,800 (30,000) 4,400 21,100 42,400 500,000 85,900 86,100 (40,000) - 62,000 21,100 500,000 86,100 (40,000) - 24,300 27,800 (30,000) 4,400 42,400 85,900 - 36,486 49,821 17,391 58,402 100,000 - 12,186 22,021 12,991 16,002 14,100 - Precision Adjusted Projection P'×A 116,355 4 3 5 2 1 - 1.4004 1.4584 1.3600 1.5526 1.7490 - Entity Adjustment 116,355 (500,000) 30,000 (470,000) 17,065 32,116 17,668 24,845 24,661 - 30,000 (500,000) - 2. Fonte: McKinsey Global Institute © 2012 Deloitte Touche Tohmatsu Il contesto Algoritmi di data analysis (1/3) Molti sono gli algoritmi oggi disponibili nei software di data analysis: si va dalla semplice statistica descrittiva all’analisi multivariata, fino ad arrivare ad algoritmi “intelligenti” di Data Mining: • Principal Component Analysis • Analisi delle corrispondenze • Decision trees • Classification Rules • Cluster Analysis • Neural Networks • … 8 Deloitte ERS – Enterprise Risk Services © 2012 Deloitte Touche Tohmatsu Il contesto Algoritmi di data analysis (2/3) A questi si aggiungono poi tecniche di ottimizzazione e simulazione, quali: • Gradient method optimization • Algoritmi di Operations Research • Algoritmi genetici • Simulazioni Montecarlo 9 Deloitte ERS – Enterprise Risk Services © 2012 Deloitte Touche Tohmatsu Il contesto Algoritmi di data analysis (3/3) Si stanno infine sviluppando tecniche di text mining, cioè di analisi di testo non strutturato (email, articoli, aziendali), che documenti consentono di estrapolare in modo automatico «conoscenza»: • Document classification • Sentiment analysis 10 Deloitte ERS – Enterprise Risk Services © 2012 Deloitte Touche Tohmatsu Il contesto Global delivery in real time A livello mondiale sono presenti 5 miliardi di device connessi ad Internet con più di un miliardo di utenti1! La capillarità e la diffusione di Internet consentono di acquisire i dati nel momento in cui vengono prodotti, indipendentemente dal luogo geografico, e di rendere fruibili i risultati delle analisi potenzialmente verso qualunque destinatario, ovunque esso si trovi. 1. Fonte: Data, Data Everywhere” The Economist. 11 Deloitte ERS – Enterprise Risk Services © 2012 Deloitte Touche Tohmatsu La Funzione di Internal Audit La Funzione di Internal Audit Le nuove sfide Le nuove sfide della Funzione di Internal Audit: Le opportunità offerte dagli Analytics: Focus sui reali rischi di business aventi la più alta rilevanza strategica Capacità di adattarsi dinamicamente ai rischi che il cambiamento di scenario in cui opera l’azienda comporta Miglioramento nell’identificazione dei rischi e delle priorità di audit Utilizzo più efficiente delle risorse (di business e di audit), estendendo la copertura del proprio perimetro e tendendo verso un monitoraggio on an on-going basis Quantificare l’impatto potenziale degli audit findings Ottenere una copertura di audit più estesa svolgendo le analisi sull’intera popolazione e non su base camionaria Fornire analisi quantitative che aiutino il business a percepire impatti e rischi potenziali associati alle risultanze dell’attività di audit Implementare processi di monitoraggio continuo Analytics can play a critical role in achieving your vision of becoming a world-class Internal Audit function. 13 Deloitte ERS – Enterprise Risk Services © 2012 Deloitte Touche Tohmatsu La Funzione di Internal Audit Prerequisiti Profonda conoscenza del business 14 Deloitte ERS – Enterprise Risk Services Profonda conoscenza dei rischi del settore di appartenenza e dei key risk indicators [Modello di data governance] © 2012 Deloitte Touche Tohmatsu La Funzione di Internal Audit Audit Lifecycle Approccio Tradizionale Audit Planning Lo scope ed il test plan sono predefiniti all’interno del Programma di Audit, aggiustato sulla base di metriche quantitative Audit Reporting Audit Fieldwork Svolgimento di test manuali sulle procedure e sui controlli su base campionaria e secondo il Piano di Audit Risultanze supportate dall’esecuzione di procedure manuali di audit e dalle selezioni testate Approccio “in salsa” Analytics Data Quality Reconciliation Data Profiling Audit Planning Risultati preliminari di analisi dati guidano lo scope ed il test plan, concentrando le attività sui key risk di business, operativi e di compliance. La selezione dei campioni da testare avviene preventivamente da remoto. 15 Deloitte ERS – Enterprise Risk Services Stratification Extrapolation Audit Fieldwork Procedure di test manuale a supporto ed integrazione delle risultanze ottenute dalle attività di analisi dati. Audit Reporting Quantificazione dei potenziali impatti sul business collegati agli audit findings © 2012 Deloitte Touche Tohmatsu Strumenti di Continuous Monitoring Strumenti di Continuous Monitoring I vantaggi (1/2) Il contesto aziendale in cui opera la Funzione di Internal Audit diventa sempre più complesso e dinamico. La Funzione di Internal Audit deve essere in grado di rispondere tempestivamente a tali eventi, modificando di conseguenza le proprie attività in modo da focalizzarsi sulle aree a maggiore rischio. In tale prospettiva, un numero crescente di Chief Audit Executive sta adottando tecniche di Continuous Auditing, attraverso l‘implementazione di un processo continuo di analisi dei dati, a sostegno della pianificazione della attività di internal auditing. 17 © 2012 Deloitte Touche Tohmatsu Strumenti di Continuous Monitoring I vantaggi (2/2) Strumenti di Continuous Auditing permettono all’Internal Audit di: • Identificare tempestivamente transazioni anomale (potenziali indicatori di frodi, errori, carenze di controllo, ecc.). • Evolvere da un tradizionale, statico Piano di Internal Audit annuale ad un piano più dinamico basato sui risultati di un processo di Continuous Auditing. • Ridurre i costi ed aumentare l’efficacia delle attività di internal auditing tramite l’utilizzo di soluzioni automatiche. Da questo punto di vista, il processo di Continuous Auditing è particolarmente utile per la Funzione di Internal Audit nell’individuare transazioni che richiedono ulteriori approfondimenti, attraverso il supporto di tool automatici che facilitano l’identificazione di tali transazioni. 18 © 2012 Deloitte Touche Tohmatsu Strumenti di Continuous Monitoring Le fasi dell’implementazione Attività 1.Identificazione/definizione del set di Data Analytic Queries 2. Definizione delle estrazioni elettroniche necessarie al Tool di CM 3.Parametrizzazione e fine tunig del Tool di CM 4. Reportistica finale per il periodo analizzato 5. Rilascio del Tool di CM e formazione 19 • Identificazione/definizione del set di Data Analytic Queries da attivare a seconda delle aree critiche individuate dalla Funzione di Internal Audit. • Definizione delle estrazioni elettroniche dai sistemi gestionali necessarie all’esecuzione del set di Data Analytic Queries individuate nella precedente fase. • Parametrizzazione e fine tuning del tool di CM: tale fase prevede in particolare cicli di elaborazione di dati estratti per alcuni periodi scelti a campione, la validazione dei risultati e il successivo affinamento delle Data Analytic Queries, rispetto alla popolazione di dati ed alle fattispecie di interesse. • Definizione e predisposizione della reportistica periodica. • Messa a disposizione del Tool di CM ed erogazione di formazione al personale interno che gestirà il processo di risk continuous monitoring. © 2012 Deloitte Touche Tohmatsu Strumenti di Continuous Monitoring Qualche esempio di Data Analytic Query Enormi sono le possibilità di analisi, se si pensa alla ricchezza delle informazioni che ciascun Processo e Funzione aziendale produce quotidianamente. 20 © 2012 Deloitte Touche Tohmatsu Ciclo Attivo Strumenti di Continuous Monitoring Qualche esempio di Data Analytic Query Anagrafica clienti: clienti duplicati, clienti con anagrafica incompleta, anomalie sulle coordinate bancarie Portafoglio clienti: frequenza di note di credito generate per cliente e per tipologia di prodotto Scontistica e listino prezzi: incoerenza nell’applicazione del listino prezzi e sconti, scontistica “anomala” Congruità dei ricavi operativi in base alla movimentazione di magazzino 21 © 2012 Deloitte Touche Tohmatsu Strumenti di Continuous Monitoring Qualche esempio di Data Analytic Query Co.Ge. Statistiche sulla popolazione delle registrazioni: volumi in importo e quantità delle scritture per data di “materiale” registrazione rispetto ai giorni del mese, ai mesi dell’anno, all’utenza, al conto contabile Analisi l’integrità delle registrazioni: registrazioni con descrizione, utente o data di registrazione nulli Scritture inusuali o atipiche: pattern di registrazioni anomale, registrazioni effettuate nei giorni festivi, negli orari non lavorativi, con importi arrotondati o effettuate da utenti su conti per lui inusuali 22 © 2012 Deloitte Touche Tohmatsu Strumenti di Continuous Monitoring Qualche esempio di Data Analytic Query Gestione Magazzino Movimentazione: validazione complessiva della movimentazione, articoli a bassa rotazione, coerenza delle note di credito per resi con i movimenti di reso Valorizzazione articoli: verifica dell’algoritmo di valorizzazione, confronto valore di carico con il mercato 23 © 2012 Deloitte Touche Tohmatsu About Deloitte Deloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touche Tohmatsu and its member firms. Please see www.deloitte.com/us/about for a detailed description of the legal structure of Deloitte LLP and its subsidiaries. Copyright © 2011 Deloitte Development LLC. All rights reserved. Member of Deloitte Touche Tohmatsu 24 Deloitte ERS Enterprise Risk Services © 2012 Deloitte Touche Tohmatsu