Audit Analytics Strategische Erfolgsfaktoren Sinja Helfenstein Manager Enterprise Risk Services / Data Analytics Deloitte AG, Zürich
Was ist Audit Analytics? Audit Analytics ist die Einbindung von Data Analytics in den Audit Prozess. Data Analytics ist der Prozess der Sammlung, Bereinigung, Transformation und Modellierung von Daten mit dem Ziel, wertvolle und relevante Informationen zu identifizieren und somit Erkenntnisse zu generieren und Entscheidungsprozesse zu unterstützen. 2 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Data Analytics eigentlich nichts Neues John Snow s Suche nach der Quelle von Cholera 3 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Agenda Einführung Zielsetzung & Herausforderungen von Audit Analytics Strategie & Vision Umsetzung: Personal, Prozesse, Technologie Beispiel Projektplan Fragen & Diskussion 4 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Zielsetzung & Herausforderungen von Audit Analytics 5
Audit Analytics Wieso überhaupt? Verschärfung regulatorischer Anforderungen Technische Möglichkeiten Kostendruck Wachsende Datenvolumen Audit Analytics Effizienzsteigerung Wandel von manuellen zu automatisierten Prozessen Fokus auf relevante Risiken Forderung nach Mehrwert 6 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Einfluss von Analytics auf die Geschäftsprozesse Data Analytics verändert unsere Arbeitsweise in allen Geschäftsbereichen die auf der Basis von Unternehmensdaten Entscheidungen treffen - so auch im Audit Prozess Traditioneller Prozess Analytics Prozess Daten / Reports Fachprozess Datentransfers Team Dezentrale individuelle Analysen DB Analytics -DB Analytics Spezialist Zentrale Analysen Team DB 7 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Definition einer Audit Analytics Vision Strategien Strategische Ziele Prozesse Vision Qualität Mehrwert Personal Effizienz Eine dynamische Funktion, geschätzt für den hohen Grad der Assurance, die Generation von Mehrwert und die Bereitstellung wertvoller Erkenntnisse zur Optimierung organisatorischer Prozesse. Technologie 1. Personal fördern: Aufbau eines dedizierten Analytics Teams Anpassung Audit Betriebsmodelle Ausbau von Training und Wahrnehmung 2. Prozesse anpassen: Einbindung von Analytics in die Audit Prozesse 3. Technologie nutzen: Gezielter Einsatz unterstützender Technologien 8 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Drei strategische Ziele einer Audit Analytics Vision Qualität Verbesserte Assurance und Konsistenz Fokussierung auf Risikobereiche Robuster & Selbstkritischer Erhöhte Nachvollziehbarkeit & Glaubwürdigkeit Effizienz Automatisierung & Wiederverwendbarkeit Beschleunigung der Durchführung Standardisierung der Formate und Ergebnisse Reduktion von Fehleranfälligkeit und individuellen Ausprägungen Mehrwert Weitergehende Erkenntnisse Voraussicht statt Rückblick Visuelle, interaktive Ergebnisse Nachvollziehbarkeit der Resultate (Drill-Down) und Ursachen Quantifizierbarkeit von Kontroll-Abweichungen & Risiken Besser! Schneller! Cleverer! 9 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Typische Herausforderungen von Audit Analytics Kosten Initiale Investition in Technologie Schulung & Training der Mitarbeiter Verschiebung von Budgets Initiale Kosten in anderen Abteilungen, z.b. IT, Fachabteilungen Expertise und Kapazität Aufbau technisches Verständnis und Fähigkeiten innerhalb der Audit Teams Integration zweier Welten und Denkweisen: Audit & Data Analytics Einbinden in die Prozesse Technische Schnittstellen, Zugriff auf Daten Akzeptanz Bisherige Fehlversuche, z.b. aufgrund falscher Methodik / Technologie Nutzen unklar Datenverfügbarkeit, v.a. aus Altsystemen und Datenqualität Abhängigkeit von einzelnen Personen Fehlende Unterstützung durch Fach 10 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Strategie & Vision 11
Analyse des Reifegrads Detailliertes Modell Reifegrad Continuous Monitoring & Auditing Auf Analytics gestützter Audit Analytics in Methodik verankert Strukturierter Einsatz von Analytics Ad Hoc Datenanalysen Kontrollen-basierte Prüfung Charakteristika Kontinuierliche Überwachung und Prüfung der Kontrollen Management und Audit werden automatisch über Fehler, ungewöhnliche Trends und Risiken informiert Es besteht ein klar definiertes Kontrollframework, Real-Time Zugriff auf die relevanten Daten und eine entsprechende Technologieplattform Das Audit Analytics Team beinhaltet Datenanalysten, Datenmodellierer und Statistiker um fortgeschrittene Modelle zu bauen Daten werden bereits vor der Planung erhoben um basierend auf den Datenanalysen zu entscheiden, welche Bereich im Audit fokussiert betrachtet werden müssen («Risk Assessment») Planung und Durchführung der Audits basiert auf Ergebnissen von Datenanalysen Dediziertes Audit Analytics Team mit entsprechenden Tools (ACL, SAS, SQL Server, IDEA) Analytics ist in der Audit-Methodik verankert Analytics wird systematisch im jährlichen Audit Plan integriert Gesamtes Audit Team hat ein gutes Verständnis der Möglichkeiten und des Nutzens von Analytics Grundlegendes Verständnis für Audit Analytics vorhanden Audit Analytics wird in Audit Planung berücksichtigt Datenbeschaffung findet vor der Durchführung der Tests statt Ggf. werden mehrere Datenquellen kombiniert Datenanalysetools vorhanden (z.b. ACL, IDEA) Im Rahmen der Tests werden bei Bedarf werden Datenanalysen Ad-Hoc durchgeführt. Bei Bedarf unterstützt IT / IT-Audit. Traditioneller Audit-Ansatz, ausschliesslich basierend auf Kontrollen Keine Datenanalysen 12 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Analyse des Reifegrads Übersicht Ad Hoc Im Audit Prozess verankert Kontinuierlich Datenanalysetools vorhanden Gezielter und individueller Ad-Hoc Einsatz von Analytics Stichprobenbasierte Tests Keine Standards, formalisierten Prozesse zum Einsatz von Audit Analytics Keine standardisierte Dokumentation der Analysen 13 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013 Analytics systematisch im jährlichen Audit Plan integriert Audit Team hat ein gutes Verständnis von Analytics Abstimmung und Qualitätsprüfung der Daten vor Durchführung von Analysen 100% Abdeckung anstatt Stichproben wo möglich Standardisierte Dokumentation Dediziertes Analytics Team Stehende Prozesse zur Bereitstellung der Infrastruktur Kontinuierliche Überwachung und Prüfung ausgewählter Risiken, Prozesse und Kontrollen Management und/oder Audit werden automatisch über Fehler, ungewöhnliche Trends und Risiken informiert Es besteht ein klar definiertes Kontrollframework, Real-Time Zugriff auf die relevanten Daten und eine entsprechende Technologieplattform Integriert in einen unternehmensweiten, nachhaltigen Compliance Prozesse
Reifegrad: Die Zutaten Personal Für die Bestimmung des Reifegrads sind unterschiedliche Elemente relevant: Technologie Prozesse Grundlagen Aufbau Unterhalt & Ausbau Analytische Fähigkeiten Technologie, Infrastruktur Management Prioritäten Definition der Anforderungen Team Engagement Datenverfügbarkeit Automation, Wiederholbarkeit Technische Fähigkeiten & Erfahrung des Teams im Einsatz von Analytics Applikationen, Systeme, Infrastruktur geführt durch dedizierte Analytics Abteilung Grad der Management- Unterstützung für die Integration von Analytics in die Prozesse und Investitionen Strategie und identifizierte Anforderungen, Roadmap Erfahrung der gesamten Audit- Abteilung im Umgang und Nutzen mit Analytics Lösungen Kenntnisse welche Daten benötigt werden sowie deren Verfügbarkeit, Qualität, Formate Automatisierungs - und Wiederholungsgrad der analytischen Prozesse, Aufgaben und Plattformen 14 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Reifegrad: Definition des Soll-Zustands Der Ist- und Soll-Zustand sollte pro Geschäftsbereich oder pro Prozess bestimmt werden und kann stark variieren. Kreditoren Debitoren Löhne Inventar Rechnungsstellung Beschaffung Ausgaben Continuous Monitoring & Auditing Auf Analytics gestützter Audit Analytics in Methodik verankert Strukturierter Einsatz von Analytics Ad Hoc Datenanalysen Kontrollen-basierte Prüfung 15 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Vision: Fokus auf Risiken Mittels Audit Analytics kann die Qualität, Effizienz und Wertgenerierung in diversen Risikobereichen erhöht werden: Informations- Sicherheit «Extended Enterprise Performance» End-User Computing Finanztransaktionen Datenqualität Compliance Betrugsfälle & Fehlverhalten Elektronische Abläufe, Schnittstellen Reporting Qualität und Compliance Segregation of Duties Drittparteien & Verträge Systemkonfiguration Kontenabstimmung 16 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Beispiel: Risikobereich «End-User Computing» End-User Computing Excel Workbooks enthalten oft viele Formeln und Berechnungen welche ab einer gewissen Komplexität nur noch schwer nachvollziehbar sind. Risiko: Aufgrund Fehlern in Workbooks (z.b. Formeln, Copy-Paste) werden falsche Schlussfolgerungen getroffen. Einsatz von Audit Analytics: Mittels Tools wie z.b. Quest Spreadsheet Analyzer wird die Prüfung von Excel Workbooks beschleunigt indem Inkonsistenzen zwischen den Zellen farblich hervorgehoben werden. Der Audit kann dann auf die hervorgehobenen Zellen fokussieren. Konsistenz der Formeln Komplexität der Formeln Visuelle Analyse der Struktur 17 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Vision: Fokus auf Prozesse Prozesse sollten unter Berücksichtigung des geschätzten Aufwandes und des erwarteten Nutzens priorisiert werden: Erwarteter Nutzen Vergangenheit & Risk Register Einträge Zeitpunkt und Ergebnisse der letzten Prüfung Stakeholder Interessen Finanzieller Nutzen Risiko (Fraud Exposure) Externe Revision Value expected from insight Revenue Leakage Tax Accounting Inventory Tax Cash Flows Billing Accuracy Product & Procurement Customer Profitability Expenses & Corporate cards Payroll Fixed Assets Payables Receivables Pensions 18 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013 Ease of implementation Geschätzter Aufwand Datenvolumen Aktueller Automatisierungsgrad Repetitive Prozesse, Routinetätigkeiten Prozess mit klar definierten Regeln / Ausnahmen Anzahl Datenquellen / Involvierter Systeme Datenqualität und -verfügbarkeit
Umsetzung: Personal und Prozesse 19
Anpassung des Audit Prozesses & Aufbau analytischer Fähigkeiten Traditioneller Audit Prozess Audit Analytics Prozess Daten / Reports Audit Team Dezentrale Auditorspezifische Analysen Fachprozess Datentransfers ERP- DB Analytics- DB Analytics Spezialist Zentrale Analysen Audit Team ERP-DB. und die entsprechenden Fähigkeiten und Team-Strukturen Internal Auditor IT Infrastruktur & Technologie-Support Internal Auditor Audit Analytics Spezialisten 20 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Prozess: Anpassung der Phasen Planung Fieldwork Reporting Traditionell 15% 70% 15% Planung & Budget Rückblick Vorjahr Stichproben «Tick and Bash» Discovery Manuelles Testen Retrospektiv Eingeschränkte Konfidenz Kontroll- Empfehlungen Validierung 50% 25% 25% 15% 50% 70% 25% 25% 15% Neu Planungs- Workshop Advanced Analytics & Discovery 100% Abdeckung Identifikation der Risiko- und Fokus- Bereiche Validierung von Ausnahmen Drill-Down zur Findung von Zusammenhängen und Ursachen Aufbau von Leitmotiven Verfeinern und Anpassen Robuste Validierung «Challenge the Business» Quantifizierbare Risiken Zielgerichtete, spezifische Empfehlungen & Vorhersagen Planung (& Analytics) Fieldwork Reporting Traditioneller Prozess Daten-Analysten Fachbereiche Auditoren / Risk-Spezialisten 21 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Einsatz von Analytics Typischer Prozess Planung Fieldwork Reporting Understand Acquire Analyse Refine Report Action Verständnis des zu prüfenden Prozesses: Informationsflüsse, Kontrollen, Daten Bestätigung des Prüfziels und des Einsatzes von Analytics Sammlung der benötigten Daten (Samples / Vollextrakt) Validation & Abgleich der Daten bezüglich Qualität und Vollständigkeit 1. Testdurchlauf und Besprechung der ersten Erkenntnisse mit betroffenen Geschäftsbereichen Identifikation der Bereiche, welche weitere Tests benötigen 2. Testdurchlauf mit verfeinerten Tests Erstellen des Detail-Workbooks zur Dokumentation der Resultate Zusammenfassung der Erkenntnisse und resultierenden Empfehlungen Involvierung weiterer Spezialfunktionen falls nötig Übergabe an betroffenen Geschäftsbereich zur weiteren Untersuchung / Umsetzung 22 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Einbinden in reguläre Kontrollen Durch das Einbinden von Analytics in die internen Kontrollen und Prozesse wird ein kontinuierliches Monitoring ermöglicht und Risikobereiche hervorgehoben. Erhöhte Effizienz der Kontrollen unter Wahrung der Effektivität Effizientes Monitoring und Reporting über die Effektivität der Kontrollen Kontinuierliche Überwachung zur Vermeidung von Transaktionsfehlern und Betrugsfällen Automatisierte Durchführung von Routine-Prozessen ermöglicht es, die manuellen Schritte besser auf hoch-risiko Tests zu fokussieren Lösung der Probleme an deren Quelle anstatt Symptombekämpfung Durch verbesserte Datenqualität kann der Wirkungsgrad von Internal Audit kontinuierlich verbessert werden. 23 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Verantwortlichkeiten auf allen Ebenen Um Nutzen auf allen drei Verteidigungslinien zu generieren, müssen die Verantwortlichkeiten entsprechend definiert sein Governance and Risk Management Framework 1 st Line of Defense Own and Operate (The Business) Policy Management Controls Operational and Accounting Controls Technology Controls 2 nd Line of Defense Guide, Support and Challenge Financial Controls Legal and Compliance Controls Quality Assurance and Data Management Controls Information Management and Monitoring Controls 3 rd Line of Defense Independent Assurance Internal Audit External Audit Regulator Continuous Monitoring Continuous Auditing 24 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Umsetzung: Technologie 25
Einbinden der Technologie Eine angestrebte Lösung soll flexibel, skalierbar und sicher sein. Berücksichtigt werden sollte nicht nur die Analytics-Komponente, sondern auch weiterführende Prozesse wie «Remediation und Reporting». Identifikation & Anbindung relevanter Datenquellen Risk monitoring and controls automation platform Bekannte Risiken Interne Kontrollen Anforderungen bzgl. Assurance Exception Closed Action taken Route and Escalate Notify User Generate Exception Exception Management System Dashboard Reporting Exception Handing & Remediation 26 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Visualisierung, Reporting & Benutzeraktivierung Beispiel anhand eines QlikView Dashboards Innerhalb kürzester Zeit kann ein bisher manueller Excel Report in eine grafische Lösung integriert werden (z.b. QlikView) Interaktive Analysen mittels «drill-down» erlauben dem Benutzer individuelle Detail-Betrachtungen ca.15 tabs in Excel 2 tabs in Qlikview Nur ein Dokument für alle benötigten Analysen. Mittels Filtern kann jeder Benutzer selber gemäss seinen Anforderungen fokussieren. Dank der visuellen Darstellung werden Trends und Zusammenhänge schneller und einfacher erkannt und verstanden. Cost code 700 Firmenweite Kosten Cost code 320 Cost code 648 27 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Beispiel Projektplan 28
Beispiel High Level Projekt-Plan und Aktivitäten High level example of a 2013 project plan that will be developed with milestones to deliver quick wins and launch the organisational transformation. Work Streams/Key Activities 1. As-Is Analysis Prepare and conduct stakeholder kick-off meeting Review of current methodology and tools Conduct interviews at global and regional levels Review of existing tools at global and regional levels 2. Gap Analysis Comparison of as-is situation to current user requirements, IIA standards, and good practices Report back on gaps with proposed remediation 3. Explore Methodology and Tools Audit Planning Audit Execution Audit Reporting Explore Data Analytics Tools 4. Revise Methodology / Tools Selection / Roll Out Plan Pilot Implementation Suggest revision of current IA methodology Tool Strategy Prioritisation (Value/time) Revised IA Methodology and Tool Roll Out Plan Pilot Execution 5. ProjectSupport Vision / Measurement of Success Project plan set up & monitoring Change Management Transfer Knowledge Training and Awareness 2Q 13 Timeline by quarter 3Q 13 4Q 13 1Q 14 29 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Fragen & Diskussion 30
Kontaktdaten Wir freuen uns auf ein persönliches Gespräch Philipp Lanz Partner Tel: +41 (0)58 279 64 69 Email: planz@deloitte.ch Ammar Ajam-Ogli Director Tel: +41 (0)58 279 64 90 Email: amajamoghli@deloitte.ch Sinja Helfenstein Manager Tel: +41 (0)58 279 67 00 Email: shelfenstein@deloitte.ch 31 Audit Analytics - Kammer/ISACA-Seminar vom 12.6.2013
Member of Deloitte Touche Tohmatsu Limited 32