Audit Tools wirksam einsetzen
Transcription
Audit Tools wirksam einsetzen
Audit Tools wirksam einsetzen 18. Juni 2008, Bern Wie immer: Eine sehr persönliche Zusammenfassung des Tages Was ich gehört und verstanden habe Nicht unbedingt was Referenten wirklich gesagt haben Peter R. Bitterli, CISA http://www.bitterli-consulting.ch [email protected] Bitte beachten Sie das Urheberrecht: Sie dürfen diese Folien ausschliesslich zusammen mit diesem Copyright-Vermerk an Dritte weitergeben. Wenn Sie Teile daraus in eigenen Referaten oder Darstellungen verwenden, bitte ich Sie um einen entsprechenden Quellenhinweis – so wie auch ich bei allen von anderen Personen oder Stellen übernommenen Darstellungen einen entsprechenden Hinweis aufführe. Eine kommerzielle Verwendung ist ausdrücklich nur mit schriftlichem Einverständnis des Verfassers gestattet. 1 Überblick, Problemstellung, Bandbreiten Methodik und Prüfungshandlungen bei der prozessorientierten Prüfung Michel Huissoud, CISA, CIA Vizedirektor Eidgenössische Finanzkontrolle Bern 18. Juni 2008 Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 3 Einführung Michel Huissoud • Unterschiedlichste Arten von Audit-Tools kennen • Seminar fokussiert auf Tools, welche primär verwendet für Datenanalysen - auf dem System selbst - auf dem PC des Revisors Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 4 2 Stolperstricke und Herausforderungen Michel Huissoud • Prüfungshandlungen sind nachprüfbar festzuhalten (z.B. alle Parameter) • zu prüfende Kontrollen sind gar nicht im System selber (erkennbar) • obwohl richtig zeigt die vorgenommene Selektion nicht alle Daten • eingesetzte Tools sollten selber Minimalanforderungen erfüllen Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 5 Stolperstricke und Herausforderungen Michel Huissoud • Vorbehalte der Geprüften berücksichtigen • klare Verhaltensregeln für Umgang mit Kundendaten - Vertraulichkeitsregeln - Schutzmassnahmen - Löschung resp. Zurückgabe der Daten - (Bsp. Mwst-Prüfung) Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 6 3 Good audit tools … don‘t make dumb auditors much better John Mitchell, PhD, MBA, CISA, CGEIT,CFE, … Managing Director LHS Business Control 18. Juni 2008 Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 7 Good audit tools for dumb auditors John Mitchell • Wer ist wirklich verantwortlich für Assurance? • Audit: Unabhängige objektive “Garantie” • Um diese Garantie abzugeben, müssen wir die Prozesse und Ergebnisse genau untersuchen – und auch die Personen (!) • Personen lassen sich mit Audit Tools schlecht untersuchen Anonymous don't know the truth about auditing.m4v Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 8 4 Good audit tools for dumb auditors John Mitchell • Können die wirklich wichtigen Fragen mit Tools wirklich beantwortet werden? - Are we getting value for money? - Are we legal? Can we handle all new regulations (3-12,000 neue EU-Richtlinien pro Jahr)? Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 9 Good audit tools for dumb auditors John Mitchell • Man muss “AssuranceProbleme” kennen, um Audit-Tools richtig einzusetzen • Audit-Tools müssen in den Gebieten eingesetzt werden, wo IKS-Versagen die grössten Auswirkungen haben (risiko-orientiertes Prüfungsvorgehen) • Audit-Tools sollten uns helfen, die zukünftigen Probleme zu vermeiden Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 10 5 Good audit tools for dumb auditors John Mitchell Zusammenfassung | 18. Juni 2008 Peter R. Bitterli • 2 Personen mit demselben Vorgehen sollten zum gleichen Resultat kommen • 2 Personen mit unterschiedlichen aber richtigem Vorgehen sollten auch zum selben Resultat kommen • Audit tools lösen nicht zwingend diese Probleme • “Audit tools (should) - provide early warning - inform before not after the fact Folie 11 - be independent of ICS Good audit tools for dumb auditors John Mitchell • “Audit tools should provide independent assurance that the management assurance system is operating correctly” • Voraussetzungen: - die richtigen Daten - das richtige Tool - die kompetenten Personen - das IKS muss richtig erhoben sein Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 12 6 Good audit tools for dumb auditors John Mitchell • Audit Tools sollten uns in unserer Arbeit unterstützen • Für jedes Prüfziel gibt es gute und andere CAATs • Wir finden mit CAATs immer viele interessante Dinge – aber “material” ? • Audit Tools liefern viele triviale und oft auch beunruhigende Ergebnisse • Wir sollten aber primär die fatalen und schädlichen Ergebnisse finden Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 13 7 Excel – kleine Fehler, grosse Wirkung Introduction to the jungle of spreadsheets Sébastien Stampli, CISA Angelo Mathis Price WaterhouseCoopers Bern Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 15 Petites erreurs, gros effets! Sébasien Stampfli, Angelo Mathis • Weil Excel so praktisch ist, wird es auch in Zukunft von den Unternehmen (miss-) braucht werden für Zwecke, für die Excel eigentlich nicht gedacht ist • Als Revisoren müssen wir in der Lage sein - alle finanzrelevanten Sheets zu identifizieren - und diese trotz der fehlenden “IT general controls” zu prüfen Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 16 8 Petites erreurs, gros effets! Sébasien Stampfli, Angelo Mathis • Idealfall, dass Spreadsheets in einer kontrollierten Umgebung entwickelt und unterhalten werden, ist eine Illusion ! (?) - Change control (auf Zellebene?) - Version control (manuell?) - Access control (mit Blattschutz?) - Input control - … Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 17 Petites erreurs, gros effets! Sébasien Stampfli, Angelo Mathis Spreadsheet-Tools helfen • Übersicht gewinnen - Abhängigkeiten von Formeln < ^ + usw. - Konstanten, Texte, … • typische SpreadsheetProbleme lokalisieren - Auffälligkeiten von Zellinhalten - versteckte Sheets • Berichterstattung • Geld sparen (Effizienz) Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 18 9 Petites erreurs, gros effets! Sébasien Stampfli, Angelo Mathis Interessante Erkenntnisse • Komplexität von Sheets berechnen (PortfolioRisikoanalyse) • Tools suchen nach typischen Fehlern - hardwired constants - unreferenced cells - reference to blank cells • Ein Tool kann nicht alles (z.B. Macros); es müssen mehrere Tools verwendet werden. Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 19 10 Einsatz von IDEA … für Prüfungen im Krankenversicherungsbereich Peter Steuri, CISA Leiter IT-Revision und Beratung BDO Visura Solothurn Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 21 Einsatz von IDEA … Peter Steuri Zusammenfassung | 18. Juni 2008 Peter R. Bitterli • Generalized audit software (ACL, IDEA) mit vielen vordefinierten Auswertungen für folgende Analysen geeignet: - grosse Datenmengen - finanzielle Zahlen - usw • Aber, man muss zuerst klare Vorstellungen haben, bevor man mit der Prüfung beginnt - Kontrollziele Folie 22 - Prüfziele 11 Einsatz von IDEA … Peter Steuri • Zahlreiche Fragen drängen sich erst während der Datenanalyse auf • man muss aber Geschäftsprozesse verstehen • Audit Tools erlauben “standardisierte” Auswertungen für individuelle Umgebungen (Skripts) - Abteilungen - Konzerngesellschaften Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 23 Einsatz von IDEA … Peter Steuri Datenquelle • Ursprungssysteme kennen und verstehen • richtige Daten richtig extrahieren (Beispiel DB, Beispiel Avaloq) - Standardexporte? - wer extrahiert? - Rohdaten - Integration von Testdaten ? • Abstimmung Ursprungsdaten mit Daten im Tool Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 24 12 Einsatz von IDEA … Peter Steuri Umgang mit dem Tool • Möglichkeiten und Grenzen des Tools kennen • Bedienung • Spezialfälle (z.B. Direktimport, Macros) • Dokumentation und Quantifizierung der gefundenen Ergebnisse • Empfehlungen für Geschäft nicht einfach erkennbar Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 25 13 Fraud mittels Datenanalyse aufdecken Lukas Bürki Technology & Security Risk Services Ernst & Young AG Bern Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 27 Fraud mittels Datenanalyse aufdecken Lukas Bürki • Systematisches Vorgehen zwingend • Typische Risiken kennen und berücksichtigen - selten verwendete Konti - seltene Transaktionsarten - Transaktionen von MA, welche selten buchen - … usw. • Einsatz so früh wie möglich Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 28 14 Fraud mittels Datenanalyse aufdecken Lukas Bürki Risiken in der Arbeit • falsche Datenquellen, falsche Daten • falsche Formatierung • falsche Säuberung der Daten • falsche Analysen • falsche graphische Darstellung • falsche Berichterstattung Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 29 Fraud mittels Datenanalyse aufdecken Lukas Bürki • Tools helfen uns dabei, Unregelmässigkeiten zu erkennen - Mathematik/Statistik - Expertensysteme • Unregelmässigkeiten - Geschäftsabwicklung 85% - Prozessschwäche 10% - Betrug 5% • Alle Ergebnisse müssen validiert werden • Kommunikation ist wichtig Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 30 15 Fraud mittels Datenanalyse aufdecken Lukas Bürki • Vor- und Nachteile von (eingebauten) Standardanalysen versus spezifischen Analysen kennen - Vergleichbarkeit Aufwand Interpretation Wiederverwendbarkeit Einsatzbereich Flexibilität Risikoabdeckung • Revisor sollte vernünftig entscheiden Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 31 16 Einsatz von ACL bei der NFA-Prüfung Markus Künzler, CISA IT-Prüfungsexperte Eidg. Finanzkontrolle Bern Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 33 Einsatz von ACL bei der NFA-Prüfung Markus Künzler • systematische/frühzeitige Planung unabdingbar • klare Prüfziele - Datenvollständigkeit - Datengenauigkeit - Nachvollziehbarkeit und Integrität • Vorgehen gemäss dem “neuen” Vorgehensmodell • darin: Identifikation der Fragen, welche mit dem Tool beantwortet werden können Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 34 17 Einsatz von ACL bei der NFA-Prüfung Markus Künzler • Sammlung der typischen Fragen (= Risiken) - grosse Abweichungen zwischen 04/05 - Verschwinden und Erscheinen von Personen 04/05 - statische Zahlen - sehr grosse Veränderungen - … Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 35 Einsatz von ACL bei der NFA-Prüfung Markus Künzler ACL • Quelldaten werden in ACL importiert und bleiben unverändert • beliebige Filterung, Views, Verknüpfungen usw. • jede Aktion wird protokolliert • Ergebnisse druckbar • Ergebnisse exportierbar Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 36 18 Weiterführende Anmerkungen Peter R. Bitterli, CISA Bitterli Consulting AG Zürich Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 37 Quellen weiterführender Informationen • ISACA IS Auditing Guideline G3 • Adoption of Computer Assisted Audit Tools and Techniques (CAATTs) by Internal Auditors; Nurmazilah Mahzan & Andrew Lymer • Principles of Computer Assisted Audit Techniques; The AuditNet Monograph Series (INTOSAI) • Monthly Report on Computer-Assisted Audit Techniques; Internal Audit Department, County of Orange • SAAPS 1009 (South African Institute of Chartered Accountants) • … Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 38 19 ISACA IS Auditing Guideline G3 (I) • CAAT Types - tests of details of transactions and balances - analytical review procedures - compliance tests of IS general controls - compliance tests of IS application controls - penetration testing • Planning • Arrangements with auditees • Testing the CAATs • Security of CAATs Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 39 ISACA IS Auditing Guideline G3 (II) • Performance of audit work • CAATs documentation - Workpapers - Planning - Execution - Audit Evidence • Reporting • Effective 1.12.98; updated 1.3.2008 Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 40 20 Wichtige Informationen (I) • Meine Zusammenfassung wird Ihnen vom Kammerseminar per Post zugestellt werden • Vorgehensmodell für Applikationsprüfungen - Eine elektronische Version des “Vorgehensmodells für Applikationsprüfungen” kann auf deutsch oder französisch von der Homepage der Treuhand-Kammer heruntergeladen werden - Alle Mitglieder des ISACA-Switzerland Chapter erhalten (gratis) eine gebundene Version per Post Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 41 Vorschau Seminar 2009 „IT-Migration aus Sicht des Prüfers“ 16. Juni 2009 in Bern, Bellevue-Palace www.isaca.ch, www.kammer-seminar.ch Zusammenfassung | 18. Juni 2008 Peter R. Bitterli Folie 42 21