Audit Tools wirksam einsetzen

Audit Tools wirksam einsetzen
18. Juni 2008, Bern
Wie immer:
Eine sehr persönliche Zusammenfassung des
Tages
Was ich gehört und verstanden habe
Nicht unbedingt was Referenten wirklich gesagt
haben
Peter R. Bitterli, CISA
http://www.bitterli-consulting.ch
prb@bitterli-consulting.ch
Bitte beachten Sie das Urheberrecht: Sie dürfen diese Folien ausschliesslich zusammen mit diesem Copyright-Vermerk an Dritte weitergeben.
Wenn Sie Teile daraus in eigenen Referaten oder Darstellungen verwenden, bitte ich Sie um einen entsprechenden Quellenhinweis – so wie
auch ich bei allen von anderen Personen oder Stellen übernommenen Darstellungen einen entsprechenden Hinweis aufführe. Eine kommerzielle Verwendung ist ausdrücklich nur mit schriftlichem Einverständnis des Verfassers gestattet.
1
Überblick, Problemstellung, Bandbreiten
Methodik und Prüfungshandlungen bei der prozessorientierten Prüfung
Michel Huissoud, CISA, CIA
Vizedirektor
Eidgenössische Finanzkontrolle
Bern
18. Juni 2008
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 3
Einführung
Michel Huissoud
• Unterschiedlichste Arten
von Audit-Tools kennen
• Seminar fokussiert auf
Tools, welche primär
verwendet für Datenanalysen
- auf dem System selbst
- auf dem PC des
Revisors
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 4
2
Stolperstricke und Herausforderungen
Michel Huissoud
• Prüfungshandlungen sind
nachprüfbar festzuhalten
(z.B. alle Parameter)
• zu prüfende Kontrollen sind
gar nicht im System selber
(erkennbar)
• obwohl richtig zeigt die
vorgenommene Selektion
nicht alle Daten
• eingesetzte Tools sollten
selber Minimalanforderungen erfüllen
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 5
Stolperstricke und Herausforderungen
Michel Huissoud
• Vorbehalte der Geprüften
berücksichtigen
• klare Verhaltensregeln für
Umgang mit Kundendaten
- Vertraulichkeitsregeln
- Schutzmassnahmen
- Löschung resp.
Zurückgabe der Daten
- (Bsp. Mwst-Prüfung)
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 6
3
Good audit tools
… don‘t make dumb auditors much better
John Mitchell, PhD, MBA, CISA, CGEIT,CFE, …
Managing Director
LHS Business Control
18. Juni 2008
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 7
Good audit tools for dumb auditors
John Mitchell
• Wer ist wirklich verantwortlich für Assurance?
• Audit: Unabhängige
objektive “Garantie”
• Um diese Garantie abzugeben, müssen wir die
Prozesse und Ergebnisse
genau untersuchen – und
auch die Personen (!)
• Personen lassen sich mit
Audit Tools schlecht
untersuchen
Anonymous don't know the truth about auditing.m4v
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 8
4
Good audit tools for dumb auditors
John Mitchell
• Können die wirklich
wichtigen Fragen mit Tools
wirklich beantwortet
werden?
- Are we getting value
for money?
- Are we legal?
Can we handle all new
regulations (3-12,000
neue EU-Richtlinien
pro Jahr)?
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 9
Good audit tools for dumb auditors
John Mitchell
• Man muss “AssuranceProbleme” kennen, um
Audit-Tools richtig einzusetzen
• Audit-Tools müssen in den
Gebieten eingesetzt
werden, wo IKS-Versagen
die grössten Auswirkungen
haben (risiko-orientiertes
Prüfungsvorgehen)
• Audit-Tools sollten uns
helfen, die zukünftigen
Probleme zu vermeiden
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 10
5
Good audit tools for dumb auditors
John Mitchell
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
• 2 Personen mit demselben
Vorgehen sollten zum
gleichen Resultat kommen
• 2 Personen mit unterschiedlichen aber richtigem
Vorgehen sollten auch zum
selben Resultat kommen
• Audit tools lösen nicht
zwingend diese Probleme
• “Audit tools (should)
- provide early warning
- inform before not after
the fact
Folie 11
- be independent of ICS
Good audit tools for dumb auditors
John Mitchell
• “Audit tools should provide
independent assurance
that the management
assurance system is
operating correctly”
• Voraussetzungen:
- die richtigen Daten
- das richtige Tool
- die kompetenten
Personen
- das IKS muss richtig
erhoben sein
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 12
6
Good audit tools for dumb auditors
John Mitchell
• Audit Tools sollten uns in
unserer Arbeit unterstützen
• Für jedes Prüfziel gibt es
gute und andere CAATs
• Wir finden mit CAATs
immer viele interessante
Dinge – aber “material” ?
• Audit Tools liefern viele
triviale und oft auch
beunruhigende Ergebnisse
• Wir sollten aber primär die
fatalen und schädlichen
Ergebnisse finden
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 13
7
Excel – kleine Fehler, grosse Wirkung
Introduction to the jungle of
spreadsheets
Sébastien Stampli, CISA
Angelo Mathis
Price WaterhouseCoopers
Bern
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 15
Petites erreurs, gros effets!
Sébasien Stampfli, Angelo Mathis
• Weil Excel so praktisch ist,
wird es auch in Zukunft von
den Unternehmen (miss-)
braucht werden für
Zwecke, für die Excel
eigentlich nicht gedacht ist
• Als Revisoren müssen wir
in der Lage sein
- alle finanzrelevanten
Sheets zu identifizieren
- und diese trotz der
fehlenden “IT general
controls” zu prüfen
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 16
8
Petites erreurs, gros effets!
Sébasien Stampfli, Angelo Mathis
• Idealfall, dass Spreadsheets in einer kontrollierten Umgebung entwickelt
und unterhalten werden, ist
eine Illusion ! (?)
- Change control
(auf Zellebene?)
- Version control
(manuell?)
- Access control
(mit Blattschutz?)
- Input control
- …
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 17
Petites erreurs, gros effets!
Sébasien Stampfli, Angelo Mathis
Spreadsheet-Tools helfen
• Übersicht gewinnen
- Abhängigkeiten von
Formeln < ^ + usw.
- Konstanten, Texte, …
• typische SpreadsheetProbleme lokalisieren
- Auffälligkeiten von
Zellinhalten
- versteckte Sheets
• Berichterstattung
• Geld sparen (Effizienz)
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 18
9
Petites erreurs, gros effets!
Sébasien Stampfli, Angelo Mathis
Interessante Erkenntnisse
• Komplexität von Sheets
berechnen (PortfolioRisikoanalyse)
• Tools suchen nach
typischen Fehlern
- hardwired constants
- unreferenced cells
- reference to blank cells
• Ein Tool kann nicht alles
(z.B. Macros); es müssen
mehrere Tools verwendet
werden.
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 19
10
Einsatz von IDEA
… für Prüfungen im Krankenversicherungsbereich
Peter Steuri, CISA
Leiter IT-Revision und Beratung
BDO Visura
Solothurn
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 21
Einsatz von IDEA …
Peter Steuri
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
• Generalized audit software
(ACL, IDEA) mit vielen
vordefinierten Auswertungen für folgende Analysen
geeignet:
- grosse Datenmengen
- finanzielle Zahlen
- usw
• Aber, man muss zuerst
klare Vorstellungen haben,
bevor man mit der Prüfung
beginnt
- Kontrollziele
Folie 22
- Prüfziele
11
Einsatz von IDEA …
Peter Steuri
• Zahlreiche Fragen drängen
sich erst während der
Datenanalyse auf
• man muss aber Geschäftsprozesse verstehen
• Audit Tools erlauben
“standardisierte” Auswertungen für individuelle
Umgebungen (Skripts)
- Abteilungen
- Konzerngesellschaften
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 23
Einsatz von IDEA …
Peter Steuri
Datenquelle
• Ursprungssysteme kennen
und verstehen
• richtige Daten richtig
extrahieren (Beispiel DB,
Beispiel Avaloq)
- Standardexporte?
- wer extrahiert?
- Rohdaten
- Integration von
Testdaten ?
• Abstimmung Ursprungsdaten mit Daten im Tool
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 24
12
Einsatz von IDEA …
Peter Steuri
Umgang mit dem Tool
• Möglichkeiten und Grenzen
des Tools kennen
• Bedienung
• Spezialfälle (z.B. Direktimport, Macros)
• Dokumentation und
Quantifizierung der
gefundenen Ergebnisse
• Empfehlungen für Geschäft
nicht einfach erkennbar
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 25
13
Fraud mittels Datenanalyse aufdecken
Lukas Bürki
Technology & Security Risk Services
Ernst & Young AG
Bern
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 27
Fraud mittels Datenanalyse aufdecken
Lukas Bürki
• Systematisches Vorgehen
zwingend
• Typische Risiken kennen
und berücksichtigen
- selten verwendete
Konti
- seltene Transaktionsarten
- Transaktionen von MA,
welche selten buchen
- … usw.
• Einsatz so früh wie möglich
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 28
14
Fraud mittels Datenanalyse aufdecken
Lukas Bürki
Risiken in der Arbeit
• falsche Datenquellen,
falsche Daten
• falsche Formatierung
• falsche Säuberung der
Daten
• falsche Analysen
• falsche graphische
Darstellung
• falsche Berichterstattung
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 29
Fraud mittels Datenanalyse aufdecken
Lukas Bürki
• Tools helfen uns dabei,
Unregelmässigkeiten zu
erkennen
- Mathematik/Statistik
- Expertensysteme
• Unregelmässigkeiten
- Geschäftsabwicklung 85%
- Prozessschwäche 10%
- Betrug 5%
• Alle Ergebnisse müssen
validiert werden
• Kommunikation ist wichtig
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 30
15
Fraud mittels Datenanalyse aufdecken
Lukas Bürki
• Vor- und Nachteile von
(eingebauten) Standardanalysen versus spezifischen
Analysen kennen
-
Vergleichbarkeit
Aufwand
Interpretation
Wiederverwendbarkeit
Einsatzbereich
Flexibilität
Risikoabdeckung
• Revisor sollte vernünftig
entscheiden
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 31
16
Einsatz von ACL bei der NFA-Prüfung
Markus Künzler, CISA
IT-Prüfungsexperte
Eidg. Finanzkontrolle
Bern
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 33
Einsatz von ACL bei der NFA-Prüfung
Markus Künzler
• systematische/frühzeitige
Planung unabdingbar
• klare Prüfziele
- Datenvollständigkeit
- Datengenauigkeit
- Nachvollziehbarkeit
und Integrität
• Vorgehen gemäss dem
“neuen” Vorgehensmodell
• darin: Identifikation der
Fragen, welche mit dem
Tool beantwortet werden
können
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 34
17
Einsatz von ACL bei der NFA-Prüfung
Markus Künzler
• Sammlung der typischen
Fragen (= Risiken)
- grosse Abweichungen
zwischen 04/05
- Verschwinden und
Erscheinen von
Personen 04/05
- statische Zahlen
- sehr grosse
Veränderungen
- …
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 35
Einsatz von ACL bei der NFA-Prüfung
Markus Künzler
ACL
• Quelldaten werden in ACL
importiert und bleiben
unverändert
• beliebige Filterung, Views,
Verknüpfungen usw.
• jede Aktion wird
protokolliert
• Ergebnisse druckbar
• Ergebnisse exportierbar
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 36
18
Weiterführende Anmerkungen
Peter R. Bitterli, CISA
Bitterli Consulting AG
Zürich
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 37
Quellen weiterführender Informationen
• ISACA IS Auditing Guideline G3
• Adoption of Computer Assisted Audit Tools and
Techniques (CAATTs) by Internal Auditors;
Nurmazilah Mahzan & Andrew Lymer
• Principles of Computer Assisted Audit Techniques;
The AuditNet Monograph Series (INTOSAI)
• Monthly Report on Computer-Assisted Audit Techniques;
Internal Audit Department, County of Orange
• SAAPS 1009 (South African Institute of Chartered
Accountants)
• …
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 38
19
ISACA IS Auditing Guideline G3 (I)
• CAAT Types
- tests of details of transactions and balances
- analytical review procedures
- compliance tests of IS general controls
- compliance tests of IS application controls
- penetration testing
• Planning
• Arrangements with auditees
• Testing the CAATs
• Security of CAATs
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 39
ISACA IS Auditing Guideline G3 (II)
• Performance of audit work
• CAATs documentation
- Workpapers
- Planning
- Execution
- Audit Evidence
• Reporting
• Effective 1.12.98; updated 1.3.2008
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 40
20
Wichtige Informationen (I)
• Meine Zusammenfassung wird Ihnen vom
Kammerseminar per Post zugestellt werden
• Vorgehensmodell für Applikationsprüfungen
- Eine elektronische Version des “Vorgehensmodells für Applikationsprüfungen” kann auf
deutsch oder französisch von der Homepage der
Treuhand-Kammer heruntergeladen werden
- Alle Mitglieder des ISACA-Switzerland Chapter
erhalten (gratis) eine gebundene Version per Post
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 41
Vorschau Seminar 2009
„IT-Migration aus Sicht des Prüfers“
16. Juni 2009 in Bern, Bellevue-Palace
www.isaca.ch, www.kammer-seminar.ch
Zusammenfassung | 18. Juni 2008
Peter R. Bitterli
Folie 42
21