L`approccio e gli strumenti al continuous auditing e monitoring

Transcript

L'approccio e gli strumenti al
continuous auditing e monitoring
Padova, 29 maggio 2013
Continuous Auditing e Monitoring – Savoia - KPMG
29.5.2013 - ISACA VENICE Chapter
1
EVENTO REALIZZATO GRAZIE A
Sponsor Platinum
Sostenitore Platinum
Sostenitore Gold
Con il patrocinio di
2
Indice
• Introduzione al Continuous Auditing e Continuous Monitoring (CA/CM)
• Monitoraggio e Audit tradizionali
• Survey di KPMG
• Modello di KPMG
• Il processo di implementazione
• Esempio di sistema di CA/CM
• Quadrante di Gartner ed esempio di sw selection
• Caso reale di implementazione di un sistema CA/CM
3
Cos’è il Continuous Auditing/Continuous
Monitoring
Il Continuous Auditing (CA) è la raccolta di evidenze di audit e indicatori di anomalie su
transazioni, processi, controlli e sistemi informativi da parte dei revisori e dell’Internal
Audit, su base continuativa o con frequenza prestabilita. Il fattore tecnologico rappresenta
uno degli aspetti chiave per implementare il Continuous Auditing.
Il Continuous Monitoring (CM) è un sistema automatico di riscontro, utilizzato dal
management su base continuativa o con frequenza prestabilita, per monitorare che le
attività e i controlli operino secondo il disegno predefinito e le transazioni e i processi si
svolgano secondo le procedure esistenti.
Gli obiettivi/benefici del CA/CM sono:
• incrementare l’efficacia delle attività
di audit, di monitoraggio controlli e del sistema di controllo interno;
• riduzione dei rischi (ad esempio rischi di frode);
• rendere più efficiente l’attività di auditing e monitoraggio
(ad esempio in presenza di dispersioni geografiche) e grazie ai tempi più brevi di raccolta
delle evidenza di audit.
• sfruttare i sistemi informativi disponibili;
• accrescere la capacità e le competenze degli auditor e del management;
4
Il cambiamento di prospettiva rispetto all’audit e
al monitoraggio dei controlli tradizionale
L’approccio tradizionale di internal auditing e di controllo da parte del management
prevede:
Impact
controls:
traditional approach
Impact
ononcontrols
: Conventional
Audit
90
80
Control effectiveness
70
Expectation
60
Actual
50
Trend
40
20


10
AUDIT
AUDIT
30
2
3
4
5
6
7
8
9
• l’efficacia dei controlli può essere incrementata solo successivamente all’intervento
di audit quando i piani d’azione saranno stati implementati;
• l’efficacia dell’intervento, dal momento della sua conclusione all’implementazione
dei piani d’azione, può diminuire a causa di cambiamenti organizzativi, del
personale o di altre condizioni esterne;
• sono necessarie attività di follow-up per verificare l’implementazione dei piani
d’azione;
1
• un testing periodico attraverso interventi ciclici su processi, funzioni o società
previsti nella pianificazione basata sull’analisi dei rischi;
10
11
12
• sono necessarie dispendiose attività di raccolta di informazioni ogni volta che deve
essere rieseguita l’attività di audit.
L’approccio del Continuous Auditing/Monitoring, invece, prevede:
• un testing ricorrente e focalizzato: i controlli e le transazioni sono verificate in
tempo reale;
Impact
onon
controls
: Continuous
Audit
Impact
controls:
continuous approach
90
80
Control effectiveness
70
Expectation
60
Actual
50
Trend
40
20

10
AUDIT
30
2
3
4
5
6
7
8
• nuovi controlli possono essere identificati e monitorati consentendo all’Internal
Audit di adattare le proprie attività alle nuove esigenze, restando focalizzato sui
controlli più rilevanti;
• l’efficacia dei controlli è assicurata nel tempo e monitorata nel continuo;
1
• i fallimenti dei controlli sono identificati dall’Internal Audit immediatamente e
questo rappresenta un’opportunità per il management per minimizzare il
perdurare dell’inefficienza o del rischio rilevati;
9
10
11
12
• il continuo allineamento con l’esigenze del business;
• le attività di audit possono essere pianificate sulla base di informazioni
qualificate sulle anomalie rilevate.
5
Survey di KPMG
Si riassume nel seguito i risultati di una survey condatta da KPMG su clienti Europa, Medio Oriente, Africa
(coinvolgendo 32 paesi, inclusa l’Italia, e 718 intervistati, principalmente referenti Internal audit, CFO, risk
management e management di linea) circa lo status di maturità del CA/CM presso le società ad oggi e il trend per
il futuro.
La survey è stata condotta nel 2012.
La dimensione dei clienti variava da un 36% con ricavi maggiori di 1 miliardo di euro e 24% tra 250 milioni e 1
miliardo di euro. La tipologia di industria include tutti i settori.
6
Survey di KPMG
Processi su cui si sono ottenuti i maggiori benefici
I maggiori benefici riscontrati sono stati sui processi “ripetitivi” (transaction-based) e tradizionalmente
maggiormente suscettibili di rischi come il Financial Reporting, la gestione della tesoreria, il ciclo passivo, ecc.
Dall’esperienza di KPMG le aree dove si hanno i maggiori ritorni sugli investimenti in un progetto di CA/CM sono:
L’analisi delle scritture contabili, i rimborsi spesa, il ciclo passivo, il ciclo attivo, le transazioni con le carte di
credito, la gestione del magazzino.
7
Survey di KPMG
I referenti aziendali che attivano il CA/CM e che ne beneficiano
Dalla survey è emerso che tutto il management dichiara di ricevere valore dal CA/CM (anche se spesso non è stato
l’iniziatore del processo stesso). Risulta che il principali attore che avvia il processo è l’Internal Audit (85%), seguito
da CFO, Internal control, Risk management.
8
Survey di KPMG
Attuale adozione del CA/CM
Dalla survey è emerso che l’attuale adozione del CA/CM è relativamente bassa.
Il 17% non l’ha mai adottato, il 14% l’ha preso solo in considerazione, solo il 10% ha avviato un pilot e il 12% sta
effettivamente implementando un sistema CA/CM. Solo 9% ha integrato completamente un sistema CA e CM
all’interno della propria struttura. La situazione migliora notevolmente nella prospettiva dei prossimi due anni
(2013 e 2014) con un aumento al 23% di un sistema CA/CM “embedded” nell’organizzazione.
9
Survey di KPMG
Barriere nell’adozione del CA/CM
Dalla survey è emerso che le maggiori difficoltà nell’introdurre sistemi di CA/CM nella propria società è
rappresentato dal fatto di una limitata comprensione dei tool ad oggi disponibili sul mercato.
La considerazione emersa dagli intervistati è che le società possiedono al proprio interno tool di IT Audit, ma non
hanno conoscenze su come usarli in ottica i CA/CM, beneficiando ad esempio di dashboard di Business Intelligence.
10
Survey di KPMG
Investimenti passati e futuri nel CA/CM
Dalla survey è emerso che le società stanno gradatamente cambiando i propri investimenti nella direzione del
CA/CM. Il numero delle società intervistate che non intendono investire assolutamente in CA/CM scende dal 37% al
19% e contestualmente cresce la percentuale degli investimenti di piccole e medie dimensioni sui progetti di
CA/CM (dal 47% al 62% considerando investimenti sotto i 250.000 euro).
11
Survey di KPMG
Uso della tecnologia
Dalla survey è emerso che il 75% degli intervistati utilizza uno strumento IT per la gestione delle proprie attività di
CA/CM, con una prevalenza dell’uso di strumenti di Office automation.
I dati mostrano quindi che le società stanno iniziando a sperimentare il CA/CM con strumenti semplici e il più
possibile standard, anche se l’evoluzione graduale sarà verso strumenti più articolati di BI. Questo è dovuto al fatto
che le soluzioni integrate di mercato di CA/CM sono più costose e quindi si preferisce investire inizialmente in
strumenti di “data analytics”.
12
Modello di KPMG
• Dall’analisi emersa dalla survey e dall’esperienza di KPMG, l’approccio ad oggi adottato dalle società al CA/CM è
un approccio graduale, che può iniziare con l’introduzione di sistemi di data analytics al supporto di procedure
manuali per poi passare gradualmente a sistemi CA/CM real-time. Quello che KPMG suggerisce è quello di
adottare una visione di lungo periodo affinchè il CA/CM sia diventi un approccio sistematico all’Audit e
monitoraggio dei controlli.
• Il Modello di CA/CM sviluppato da KPMG rappresenta un modello di riferimento per la gestione integrata degli
indicatori di CA/CM e dei controlli.
• Reporting strategico su CA/CM
Livello 3
• Dashboards sui Controlli/KPI/KRI
Reporting
• Eventuale reporting Integrato con Compliance e Risk Management
•
• Gestione delle eccezioni (come indirizzarle e risolverle)
Analisi dati e
processi
Livello 2
• Gestione dei processi di review
-Review
Livello 1
Analisi degli indicatori
• Coinvolgimento anche “real-time” dei referenti aziendali
sulle azioni di rimedio e sui follow-up
Estrazione dati e creazione degli
indicatori
Purchasing
Warehouse
management
Manufacturing
Sales &
Distribution
• Gestione dell’archiviazione di dati
• Gestione alert
• Raccolta delle eccezioni
• Interfacce con sistemi esterni per analisi
automatiche su transazioni, dati, configurazione
dei controlli automatici
• Flussi automatici
Sistemi oggetto di continuous auditing/monitoring
13
Assess
Attività
Scoping
Design
• Definizione degli
obiettivi
• Raccolta delle informazioni
rilevanti
• Definizione del
perimetro
• Svolgimento del risk assessment
per identificare le aree e processi
a rischio alto
• Definizione del piano
di progetto di
dettaglio
• Kick-off
Needs and requirements
summary
• Rilevazione dello stato attuale dei
controlli , KPI, e valutazione delle
RCM (controlli automatici vs
controlli manuali) (As-Is)
• Disegno funzionale degli
indicatori e delle relative
soglie, dei controlli
automatici
• Disegno dei flussi di
review , alert, del
reporting/dashboard
• Svolgimento della gap analysis
• Assistenza all’
identificazione della
soluzione software più
adeguata (CA/CM tool)
• Assistenza alla definizione dello
stato desiderato (To-Be)
• Approvazione del piano
di implementazione
Current state assessment
CA/CM implementation
plan
Implement
• Esecuzione piano di
implementazione Tool
CA/CM o
parametrizzazione
soluzione già preesistente presso
cliente
• Predisposizione delle
attività di estrazione
dei dati
• Assistenza alle attività
di implementazione
Set-up for data
extraction activities
Execute
Evaluate
• Esecuzione delle query
e delle routine che
determinano gli
indicatori
• Assistenza all’
identificazione delle
cause delle
anomalie/risultati
• Reporting
• Training alle risorse
dedicate
Exception reports
Reluctance to use high savings tools
% seeing as important
TARGETS
• < 1 per month per OpCo
• 100%
• Real time
• 100% commonality
• Milestones achieved on time and to budget
8.00
7.50
7.00
6.50
50%
Post
implementation
assessment
3j
Catastrophic
6.00
40%
5.50
30%
Domestic
outsourcing
Off
shoring
Shared
service
centres
Process
optimisation
5.00
Service
channels
% seeing as important
Average savings
3h
4d
Moderate
3a
1d
1e
3f
Insignificant
2b
4g
Risk assessment
Excessive
Periodic
N/A
concentration risk
measurement of
Financial losses can counterparty credit
result from excessive exposures for all
concentration of credit
companies by the
exposure to a specificCDD; Credit
counterparty, region guidelines
or
approved
market segment.
by RMC; Reporting of
exposures to RMC
3j
5a
1b
Major
3h
4d
Moderate
1d
Minor
3a
4g
2b
1e
4f
4b
4c
3g
4e
1f
1a
2a
3e
2c
4j
4i
3c
3f
Insignificant
1c
3b
Remote
5b
5c
4a
3i
3d
4h
Unlikely
Possible
Likely
Almost
certain
Selected CA/CM tools
Implementation
activities
Inappropriate credit None
collateral management
Financial losses can
result from failure to
collect adequate
collateral or to recall
posted collateral.
N/A
Periodic
N/A
measurement of
counterparty credit
exposures for all
companies by the
CDD; Credit
guidelines approved
exposures to RMC
Remote
4b
1c
3g 4e 1f
1a 2a
3e
2c
4j 4i
4c
3c
Unlikely
4h
Inappropriate credit CCD reviews
CCD reviews
CCD reviews
CCD reviews
CCD reviews
CCD reviews
CCD reviews
contract terms and procurement and procurement and procurement and procurement and procurement and procurement and procurement and
conditions- Financial sales contract termssales contract termssales contract terms sales contract termssales contract termssales contract termssales contract terms
losses can result fromfor all companies; for all companies; for all companies; for all companies; for all companies; for all companies; for all companies;
failure to develop, Legal contract
Legal contract
Legal contract
Legal contract
Legal contract
Legal contract
Legal contract
licensing group tracks
review and maintain licensing group tracks
adequate contract contract legal terms;contract legal terms;contract legal terms;contract legal terms;contract legal terms;contract legal terms;contract legal terms;
credit provisions.
Use of standardized Use of standardized Use of standardized Use of standardized Use of standardized Use of standardized Use of standardized
contracts with
contracts with
contracts with
contracts with
contracts with
contracts with
contracts with
approved
approved
approved
approved
approved
approved
approved
creditworthiness creditworthiness creditworthiness
creditworthiness creditworthiness creditworthiness creditworthiness
clause provisions clause provisions clause provisions
clause provisions clause provisions clause provisions clause provisions
31.3.07
31.3.08
Value
Drivers
GPM
Appointment
Chief
Information
Officer
Content
Re-engineering
31.3.09
Improve Amount,
Frequency
& Sophistication Of MI
Build Global MI
Environment
Op-Co
Planning Tool
Implementation
Op-Co
Planning Tool
Implementation
Op-Co
Planning Tool
Implementation
3) Developing a great team
Review &
Improve
Talent Mgmt
Common Integrated
Global Planning Tool
4) Finance shared services
Appointments
Global Lead Teams
Benchmarking/ Revenue Assurance/ Investment
Appraisal
Feasibility Study
Implement Common
Operating Model including
Business partners
Career
Paths
Feasibility
Study incl Tool
Selection
Implement
Governance
Process
6) Sarbanes Oxley
SoX
Documentation
& Walkthroughs
Partner
Selection
SoX
Testing
ERP
Design
Large
Op-Co
Plan
Build
Design
Appointment
Process owners
5) Standardize systems
including implementing
global ERP
ERP
Build
Integrate &
Test
Integration
Test
Pilot
Pilot
1st Small
Op-Co
Migration
Migration
& Go Live
1st Large
Op-Co
Migration
2nd Small
Op-Co
Migration
2nd Large
Op-Co
Migration
3rd Small
Op-Co
Migration
3rd Large
Op-Co
Migration
5th
Small
Migration
4th Large
Op-Co
Migration
6th
Small
Migration
TODAY’S ENVIRONMENT
7th
Small
Migration
8th
Small
Migration
9th
Small
Migration
Migration
& Go Live
REQUIRED
CURRENT
PLANNED
• Working in partnership with the business we will define • Hyperion committee
and deliver Vodafone’s management information
• Local OpCo data
requirements, implementing a robust governance process
warehouses
to ensure continuous business information integrity,
relevance and value
• Common chart of
accounts
• Many country based
piecemeal projects
• Global Performance
Management project
• Global HR Scorecards
• Spend analysis vendor
• One Vodafone
• DCC (Data Centre
Consolidation)
• Group Technology single • Creation of MI function
billing system
• Definition and communication
of role of finance in
management information
• Define data ownership/source/
policy
• Define group, global and OpCo
data and info needs
• Effective MI governance
function
• Clarification and effective
communication of matrix
management roles and
responsibilities
• Select IT infrastructure and
platform
• Build solution
FUTURE – DO WELL
MEASURES
TARGETS
People
• Dedicated management information function
• Clearly defined role for finance in management information
Content and governance
• Strong governance process for management information
• Linked to strategic value drivers
• Agreed criteria for content
• Content optimised on cost and value
• Single, trusted view of performance
Systems
• Single group wide, global data warehouse
• Automated extraction, transformation and loading of data
Functionality
• Delivery of product/segment/customer profitability reporting
• Delivery of real time management information (daily/weekly/monthly)
• Reduced level of ad hoc reporting
• New report requests referred to MI
function
• Speed of data delivery
• Commonality of data definitions across
Vodafone
• Execution of plan to deliver
• < 1 per month per OpCo
• 100%
• Real time
• 100% commonality
• Milestones achieved on time and to budget
31.3.11
31.3.10
Migrate GPM & Hyperion
Into
Common Environment
Source
Data
Define Common
Reporting Library
Group
Planning Tool
Selection
Appointment
Single Owner
Business Planning
Appointments
Finance Transformation Director
Finance People Lead
Almost
certain
INITIATIVES
CRITICAL OBJECTIVE:-
31.3.06
3i
Likely
Lessons learned
INSIGHTFUL MANAGEMENT INFORMATION
2) Simplify business
planning
4a
3d
Possible
Periodic
Periodic
measurement of measurement of
counterparty credit counterparty credit
exposures for all exposures for all
companies by the companies by the
CDD; Credit
CDD; Credit
guidelines approvedguidelines approved
exposures to RMC exposures to RMC
Management by credit
& collections group & collections group & collections group & collections group & collections group & collections group
based on credit
based on credit
based on credit
based on credit
based on credit
based on credit
scoring and arrears scoring and arrears scoring and arrears scoring and arrears scoring and arrears scoring and arrears
Gap analysis
1) M anagement information
5b
5c
4f
3b
Controls Assessment
Risk
SCANA Services
SCE&G
PSNC Energy
SEMI
SCPC
SCANA Comm
Prime South
Inappropriate credit Periodic monitoring Periodic
of
monitoring Periodic
of
monitoring Periodic
of
monitoring Periodic
of
monitoring Periodic
of
monitoring Periodic
of
monitoring of
measurement
credit exposures; credit exposures, credit exposures,
credit exposures, credit exposures, credit exposures, credit exposures,
Financial losses can Credit guidelines Credit guidelines Credit guidelines
Credit guidelines Credit guidelines Credit guidelines Credit guidelines
result from counterparty
approved by RMC approved by RMC; approved by RMC; approved by RMC; approved by RMC; approved by RMC; approved by RMC;
failure to meet financial
Regulatory rules; Regulatory rules; Regulatory rules; Regulatory rules; Regulatory rules; Regulatory rules;
or operational contract
Standard contact Standard contact Standard contact Standard contact Standard contact Standard contact
terms; Netting
terms; Netting
terms; Netting
terms; Netting
terms; Collateral and
terms; Collateral and
terms.
agreements;
agreements;
agreements;
agreements;
letters of credit; Credit
letters of credit; Credit
Collateral and letters
Collateral and lettersCollateral and letters
Collateral and letters
reserves
reserves
of credit; Credit
of credit; Credit
of credit; Credit
of credit; Credit
reserves
reserves
reserves
reserves
5a
1b
Major
Minor
Catastrophic
Scoping
8.50
60%
4 PM
MEASURES
• Reduced level of ad hoc reporting
• New report requests referred to MI
function
• Speed of data delivery
• Commonality of data definitions across
Vodafone
• Execution of plan to deliver
9.00
70%
8 AM
FUTURE – DO WELL
People
• Dedicated management information function
• Clearly defined role for finance in management information
Content and governance
• Strong governance process for management information
• Linked to strategic value drivers
• Agreed criteria for content
• Content optimised on cost and value
• Single, trusted view of performance
Systems
• Single group wide, global data warehouse
• Automated extraction, transformation and loading of data
Functionality
• Delivery of product/segment/customer profitability reporting
• Delivery of real time management information (daily/weekly/monthly)
9.50
80%
12 PM
• Group Technology single • Creation of MI function
billing system
• Definition and communication
of role of finance in
management information
• Define data ownership/source/
policy
• Define group, global and OpCo
data and info needs
• Effective MI governance
function
• Clarification and effective
communication of matrix
management roles and
responsibilities
• Select IT infrastructure and
platform
• Build solution
4 AM
PLANNED
• Common chart of
accounts
• Many country based
piecemeal projects
• Global Performance
Management project
• Global HR Scorecards
• Spend analysis vendor
• One Vodafone
• DCC (Data Centre
Consolidation)
Risk Consequence
Esempi di deliverable
REQUIRED
CURRENT
12 AM
TODAY’S ENVIRONMENT
• Working in partnership with the business we will define
• Hyperion committee
and deliver Vodafone’s management information
• Local OpCo data
requirements, implementing a robust governance process
warehouses
to ensure continuous business information integrity,
relevance and value
Average savings
INSIGHTFUL MANAGEMENT INFORMATION
• Identificazione di
potenziali aree di
miglioramento
• Analisi dei gap e
delle aree di
miglioramento
• Follow up eccezioni
90%
INITIATIVES
CRITICAL OBJECTIVE:-
• Esecuzione di un
assessment post
implementazione
Risk Consequence
Plan/
8 PM
Fasi
Il processo di implementazione del CA/CM
Imp
Strategy
SoX
Remediation
SSC SoX
Compliance
Full SoX SSC
Compliance
14
Esempio di un sistema di Continuous Auditing/
Continuous Monitoring
4
3
5
5
2
4
1
1
Definizione delle regole (KPI, controlli, ecc.) nel tool di CA/CM che esegue le query nel sistema informativo ERP.
2
I risultati del tool sono archiviati in un data base appropriato dove sono svolte le analisi.
3
Il tool CA/CM alimenta un web server con gli alert prodotti verso gli auditor o il management.
4/5 Gli auditor e il management ricevono gli alert e sono reindirizzati verso il “reporting” via web. Il dashboard permette agli utenti di
navigare dentro i grafici prodotti e registrare gli esiti delle investigazioni e delle eccezioni.
15
Quadrante di Gartner ed esempio di sw selection
Completeness of Vision
Ability to execute
• Market Understanding
• Product/Service
• Marketing Strategy
• Overall Viability
• Sales Strategy
• Sales Execution/Price
• Offering (Product) Strategy
• Market Responsiveness
and Track Record
• Business Model
• Vertical/Industry Strategy
• Marketing Execution
• Innovation
• Customer Experience
• Geographic Strategy
• Operations
Operational
Access/
SoD
Tactical
KPI
and
proces
IT Controls
s
Maste control (configurati
r Data s
on controls)
Integrati
on with
complia
Alert/
Workfl notificat nce to
Law
ion
ow
Strategic
Overall
Integratio
Broad
n with risk
managem Reportin Dashboa Capabiliti Geograp Ease of
es
hy
Use
ent
g
rd
Software 1
Software 2
Software 3
Software 4
………
16
Caso di implementazione di un
sistema di CA/CM – Società nel
settore Automotive
17
Indicatori di controllo per rischi SOD reali
Al termine del progetto di ridefinizione dei profili SAP, il cliente aveva alcuni rischi di segregation of dutis non mitigati nel sistema in
particolare in area Finance, ciclo passivo e magazzino che voleva monitorare.
Per ogni rischio di Segregation of Duties (circa 17) identificato è stato quindi realizzato uno specifico mitigation control.
Inizialmente i controlli erano eseguiti con procedure manuali (query da SAP, uso di analisi con IDEA e report in Excel mostrati al
compliance officier). Le attività di remediation venivano avviate dopo riunioni trimestrali o mensili di follow-up.
Il progetto CA/CM è consistito in un sistema di continuo auditing e monitoring in real-time, le azioni di follow-up erano continue nel
tempo con chiusura dei follow-up anche nell’arco di pochi giorni o di una settimana.
Number of Risks
(#risks x #users) before
cleaning
Number of Users
involved in Sod
Conflicts before
cleaning
Number of Risks
(#risks x #users) after
cleaning
Number of Users
involved in Sod
Conflicts after
cleaning
Number of
mitigation
controls
Funzione 1
102
23
19
10
5
Funzione 2
13
13
12
12
1
Funzione 3
97
36
41
36
2
Funzione 4
50
10
18
9
2
Funzione 5
36
12
4
4
1
Funzione 6
45
45
30
30
1
Funzione 7
22
11
5
2
2
Funzione 8
12
11
11
11
1
Funzione 9
22
11
2
2
1
Funzione 10
32
32
32
32
1
431
204
174
148
17
Department
TOTAL
18
Indicatori di controllo per rischi SOD reali
Ogni indicatore di controllo veniva inizialmente estratto con una procedura manuale che comportava in genere le seguenti operazioni:
1. Estrazione degli utenti che nel periodo oggetto di analisi avevano un rischio SOD potenziale
2. Verificare con una query da SAP se gli utenti avevano eseguito le prima operazione in conflitto (es: modifica coordinate bancarie)
3. Verificare con altra query da SAP se gli stessi utenti avessero anche eseguito la seconda operazione in conflitto (es: pagamento)
4. Una vota estratti i dati in IDEA ed Excel veniva verificato se il conflitto era reale (es: se il pagamento si riferiva esattamente al
fornitore su cui si era fatta la modifica dell’IBAN)
Grazie all’automatismo del sistema di CA/CM implementato ogni indicatore di controllo (o mitigation control) veniva creato e aggiornato
con cadenza giornaliera.
Rischi presenti nel sistema SAP
Indicatore di Controllo
P001 (Finance) – Fornitori vs Fatture
P001 – Estrazione dei fornitori con IBAN modificato per i quali è stata
registrata in SAP una fattura da uno stesso utente.
P002 (Finance) – Fornitori vs Pagamenti
P003 (Finance) – Fatture vs Pagamenti
P014 (Finance) – Fatture vs Riconciliazioni
P038 (Finance) – Pagamenti vs Riconciliazioni
P002 – Estrazione dei fornitori con IBAN modificato per i quali è stato
registrato in SAP un pagamento da uno stesso utente.
P003 – Estrazione delle fattura e dei pagamenti eseguite da uno stesso
utente per lo stesso fornitore.
S003 (Finance) – Clienti vs Ordini
P014 – Estrazione di fatture e riconciliazioni bancarie eseguite dallo
stesso utente
S004 (Finance) – Clienti vs Fatture
…….
P006 (Controlling) – EM vs Fatture passive
……..
…..
…….
……
19
Il processo di definizione del Tool CA/CM
Le attività principali eseguite nel progetto di definizione del Tool di Continuo Monitoraggio degli Indicatori di controllo sono state
eseguite in circa tre mesi di lavoro:
Planning
Attività di
pianificazione
Analisi Funzionale
Creazione Tool
Testing
Go Live e estrazione
report
Analisi dei dati da
estrarre e dei report
da ottenere
Creazione
Estrattore Dati da
SAP
Esecuzione dei
report e verifica
con dati di Quality
del corretto
funzionamento
Avvio del Tool in
produzione con
creazione
estrattore da SAP di
produzione
Definizione e
formalizzazione
delle analisi
funzionali svolte
Creazione del
Modello Dati nel DB
SQL e creazione del
Reporting
Attività di finetuning
Avvio del continuo
monitoraggio
Controllo dei
Report sul Tool
Verifica dei report
che il Tool elabora
automaticamente
Eventuale Followup sulle eccezioni
rilevate
Attività di follow-up
sulle eccezioni
rilevate
Meeting
Meeting
condivisione
risultati
20
Architettura del sistema
L’architettura di riferimento per l’applicativo Continuous Auditing/Monitoring prevede l’utilizzo del server Sql
Server 2012 Standard Edition:
• Integration Services: è il motore ETL (Extract Transform and Load) che si fà carico del processo di estrazione,
trasformazione e caricamento dei dati da un sistema sorgente (nel nostro caso SAP) verso il database
dell’applicativo in questione. Tutte le richieste verso il mondo SAP sono eseguite attraverso chiamate RFP per
mezzo di componenti certificati SAP presenti nella soluzione.
• Reporting Services: è il servizio che si fa carico della renderizzazione e distribuzione dei report, è sfruttato dall’
applicativo per la visualizzazione e distribuzione dei risultati verso gli utenti del sistema.
• Database relazionale: è il motore vero è proprio di Sql Server dove vengono memorizzati e gestite le
informazioni necessarie “consumate” dai report del servizio Reporting Services.
21
Soluzione realizzata su Piattaforma Microsoft
• Alert
• WF
• Registrazioni
esiti
eccezioni
Reporting Services
• Alert
• WF
• Registrazioni
esiti
eccezioni
Import ed Analisi in SQL
n° livello
2° livello
1° livello
SAP
Remote
Function
(ogni
sera)
22
Quadro generale degli indicatori
23
Esempio indicatore P001
24
Riferimenti
Luca Savoia
Senior Manager
Information Risk Management
KPMG Advisory Spa
+39 3488217339
CISA CRISC
[email protected]
25

L`approccio e gli strumenti al continuous auditing e monitoring

Transcript

Documenti analoghi

Stage IT Forensic

FORUM BANCASSICURAZIONE 2016_Pasquale Ambrosio.pptx

AX DC VI MC JCB Numero Scadenza Number Expiration Importo

scarica il modulo d`ordine

1A - Bonatti Inglese

Grand Hotel Oriente- Naples

Linea Positec - Alutec Systems

Modulo FAST CLAIM Data/ Date

Processo verbale

charlize theron naomi watts

L`Enterprise Risk Management in Italia