3. Ons DNA
Opgericht in 2005
Team van 22 – drie locaties
4 hoofdactiviteiten
o Analytics Projecten en DataCloudFactory
o Workshops & Trainingen
o Verkoop Software voor data-analyse en process mining
o Assurance – Audit Only
09:30 - 09:45
5. Agenda
09:30 Introductie
09:45 Validatie leerdoelstellingen, input uit de groep
10:00 Wat is data-analyse
10:15 Wat is process mining
10:30 Wat is continuous auditing
10:45 BREAK
11:00 Reality check: Coney controle aanpak: adding value audits mindset
11:30 Data-analyse – systeemgericht voorbeeld
11:45 Data-analyse – application controls testing voorbeeld
12:00 BREAK
13:00 Data-analyse – post / proces / gegevensgericht voorbeeld
14:00 Data-analyse – fraude voorbeeld
14:25 BREAK
14:30 Process mining – opzet & werking AOIC
15:00 Process mining – signaleren bottlenecks
15:30 Keten- en franchise 3.0-denken – Auditing in de keten
15:45 Toelichting ‘Train de Trainer’-programma
16:00 Vragen en afronding
7. SLIMMER
SNELLER
ONE VERSION OF THE TRUTH
BUSINESS & AUDIT
CONTROLEERBAAR
HERHAALBAAR
ANALYSEREN
EENVOUD
AUDIT TRAIL
LEESBAAR
ADDED VALUE
ONTDEKKEN
MOOISTE VAK
PLEZIER
Voor de studenten van morgen
8. Wat is data-analyse? 1/2
De gele markeerstift
Opkomst ERP-systemen
=> gegevensgericht wordt systeemgericht controleren
Controle: een commodity
Noodzaak om toegevoegde waarde te leveren
De échte controle-objecten
‘De Waarheid’ zit in de data
Data-analyse is de combinatie van tools & technieken
om het goud te ontginnen
Winst: efficiëntie, effectiviteit, kwaliteit, toegevoegde
waarde
10:00 - 10:15
9. Wat is data-analyse? 2/2
Wanneer is data-analyse zinvol?
o Organisatiekenmerken
o Behoefte klant
o Opvolging resultaten
o Waarde toevoegen
Randvoorwaarde = inzicht in:
o IT-beheersing
o Processen
o Betekenis van de data
Vormen van data-analyse
o Gegevensgerichte analyses
o Evaluatie beheersingsmaatregelen
o Process mining 10:00 - 10:15
10. Waarom data-analyse?
Verhogen van beeldvorming over werking processen en
bevestigen van integere verwerking binnen systemen.
Kwantificeren van belangrijkste risico’s, integraal
Efficiënter inzetten van audit budget
Betere bevindingen door rapporteren van harde feiten in
plaats van opmerkingen over ‘opzet’
Bieden van ‘grip’ aan het management inzake betrouwbare
verwerking van transacties
Bieden van de mogelijkheid om “natuurlijke adviesfunctie”
rondom “procesverbetering’ op basis van transactierisico’s
Directe relatie met transactionele data (harde audit trail)
11. Toepassing
Continue
Bedrijfsbreed
Permanent controleren
van belangrijke
processen.
Tijdige notificatie van
trends en uitzonderingen
ter ondersteuning van
risico beheer.
Ad – hoc
Auditor
Verkennend met
beperkt aantal bronnen
Geen vaste frequentie
Gedocumenteerde
conclusies en
aanbevelingen
Gepland
Audit team
Periodieke controle van
processen met
meerdere bronnen
Verbeteren efficiency,
consitency en kwaliteit
audits
Continue uitvoeren van auditscripts
om direct fouten, uitzonderingen en
trends te identificeren
Specifiek voor het genereren van
audit bevindingen o.b.v. een
moment opname.
Routine matige audits door
specialisten vanuit een standaard
aanpak.
15. Hoe werkt Process Mining?
Stap A
Stap D
Stap F
Stap A
Stap B
Stap C
Stap A
Stap B
Stap D
Stap F Stap E
Stap F
Stap A Stap B
Stap C Stap D
Stap E Stap F
16. Hoe werkt Process Mining?
Stap B
Stap D Stap C
Stap E
Stap F
Stap A
Stap A Stap B
Stap C Stap D
Stap E Stap F
17. Process Mining Data Vraagstuk
Timestamp
BZ-06-0510-001 Application Receipt 1/11/2011 NB Associate 1 Final Expense
BZ-06-0510-001 Application Submit 1/11/2011 NB Associate 1 Final Expense
BZ-06-0509-001 Application Submit 1/11/2011 NB Associate 3 Mortgage Protection
BZ-06-0509-001 Requirements 1/11/2011 Underwriter 2 Mortgage Protection
BZ-06-0538-001 Off Risk 8/12/2011 Underwriter 4 Whole Life
BZ-06-0540-001 Off Risk 8/12/2011 Underwriter 4 Whole Life
BZ-06-0540-002 Off Risk 8/12/2011 Underwriter 4 Whole Life
BZ-06-0538-001 Requirements 8/12/2011 Underwriter 4 Whole Life
BZ-06-0540-001 Requirements 8/12/2011 Underwriter 4 Whole Life
BZ-06-0540-002 Requirements 8/12/2011 Underwriter 4 Whole Life
BZ-06-0547-001 Requirements 8/12/2011 Underwriter 4 Whole Life
BZ-06-0538-001 Underwriting 8/12/2011 Underwriter 5 Whole Life
BZ-06-0540-001 Underwriting 8/12/2011 Underwriter 5 Whole Life
BZ-06-0540-002 Underwriting 8/12/2011 Underwriter 6 Whole Life
BZ-06-0540-002 Withdrawn 8/12/2011 Underwriter 7 Whole Life
BZ-06-0532-001 Application Receipt 6/12/2011 NB Associate 3 Traditional Life
BZ-06-0532-002 Application Receipt 6/12/2011 NB Associate 3 Traditional Life
BZ-06-0532-003 Application Receipt 6/12/2011 NB Associate 3 Traditional Life
BZ-06-0532-004 Application Receipt 6/12/2011 NB Associate 3 Traditional Life
BZ-06-0535-001 Application Receipt 6/12/2011 NB Associate 3 Traditional Life
Activity
Case ID Employee Case Type
Stap B
Stap D Stap C
Stap E
Stap F
Stap A
Wat is er nodig? Specifieke Data
21. Continuous: Definitions
Continuous Auditing
o Method used to perform audit-related activities on a continuous basis
– includes control and risk assessment
Performed by Internal Audit
Continuous Monitoring
o Processes to ensure policies/processes are operating effectively and
to assess adequacy/effectiveness of controls
Performed by operational/financial management; audit
independently evaluates adequacy of management activities
Continuous Assurance
o Combination of continuous auditing and audit oversight of continuous
monitoring
(Source: IIA GTAG)
23. Transforming Audit
High-Impact, Data-Focused Audit Process
AUDIT
BUSINESS
Strategic
Corporate
Risks
Audits Objectives
“What
Could Go
Wrongs”
Controls Tests Exceptions Findings
Strategic corporate risks
become visible in ACTUAL
transactional corporate data
Audit findings and transactional
exceptions link DIRECTLY AND
VISUALLY to strategic corporate
risks
24. Why Continuous?
Client View
The audit model is shifting from one of periodic reviews of transaction
samples to ongoing testing of all transactions
Complements traditional internal audit and internal control processes
while introducing measurable efficiencies
Allows review of areas traditionally not able to be reviewed manually
based on the volume of transactions, especially fraud susceptible areas
Over time reduces traditional audit work by continuously reviewing risk
indicators and responding only where necessary
Identifies control breakdowns or weaknesses before they become
material
Covers more risk at a lower incremental cost
Increased regulatory pressure Reduce fraud risk
Improve the bottom line
25. Different Roles, Common Needs
Identify risk areas, risks not managed
Drive audit automation & efficiency
Specify & quantify deficiencies to
correct
Foster management responsibility for
controls
Internal Audit
Reduce risk
Drive audit automation & efficiency
Focus on most important, material
issues
Provide value-add services to clients
External Audit
Manage & reduce risk
Prioritize areas of greatest concern
Enable executive visibility
Drive accountability, improved controls
performance, cost management
Risk, Compliance & Control Mgmt
Avoid & reduce errors
Detect & prevent fraud
Improve operational efficiency
Demonstrate responsibility for controls
Business Process Management
27. Top Cycles
Purchasing
Hours x
Freelance Rate
Sales
Hours x
Sales Rate
Cash
Receipt
Cash
Disbursment
TEMP
services
Cash
Payables Receivables
Close To
Real Time
28. Top Cycle Approach
by Coney Audit
NR 1 TOP CYCLE AUDIT SCRIPT WEEKLY
Q Hours * P Freelance Rate * Sales Standard Margin (1+ %) = SOLL Sales versus IST Sales
NR 2 TOP CYCLE AUDIT SCRIPT WEEKLY
Opening Receivable+ IST Sales – Ending Receivable = SOLL Cash Receipt versus IST Cash Receipt
NR 3 TOP CYCLE AUDIT SCRIPT WEEKLY
Opening Cash + IST Cash Receipt– Ending Cash = SOLL Cash Disbursement versus IST Cash Disbursement
NR 4 TOP CYCLE AUDIT SCRIPT WEEKLY
IST Cash Disbursement versus IST Q hours * P Freelance Rate (BUY)
VERKOOP
GELD ONTVANGEN
GELD UITGAVEN
INKOOP
29. Top Cycles
Purchasing
Hours x
Freelance Rate
Sales
Hours x
Sales Rate
Cash
Receipt
Cash
Disbursment
TEMP
services
Cash
Payables Receivables
Close To
Real Time
30. LATER THAT YEAR..
Complaints were being received about invoices by clients
at headquarters. However, these invoices were not
recorded in the central billing system…….
36. Kern discussie: Auditing vs.
IT Auditing vs. Audit Integration
AUDITING
http://www.accountant.nl/Accountant/Nieuws/Audit+integration+moet+gaan+vliegen.aspx
IT AUDITING
37. Voorbeeld
Coney Audit klant RETURNS
Purchasing
Hours x
Freelance Rate
Sales
Hours x
Sales Rate
Cash
Receipt
Cash
Disbursment
TEMP
services
Cash
Payables Receivables
Close To
Real Time
38. Rozengeur & Maneschijn?
Rozengeur
Staat de klant er open voor (mindset)
Complexiteit/ continue confrontatie
Frequentie vs. tijdbeschikbaarheid klantteam
Team/ budget/ opleidingen
Valkuilen
Kwaliteit data
Beschikbaarheid data
Legacy systemen
Cloud vs. server – toegang tot de data
Heel veel aannames rondom input & output
Fysieke observaties
40. Maar dat is the end-goal….wat
zijn de milestones
Inzicht in
memo
journaal-
posten
Opvallende
transacties
Inzicht in
kwaliteit
AOIC
ISA 240
41. 2. Understand the
business
3A. Asses minimum
level of IC
Reconsider audit
engagement
4. Rank client
1. Client
acceptance
5B. Determine significant accounts
7. Relate accounts to processes & controls
8A. Assess design IC
Good Bad Ugly
10. Perform data-analysis
11C. Perform test of other controls
12. Perform other substantive procedures
13. Wrap up and evaluate the audit
6. Perform risk analysis
Plan
the
audit
perform
9. Determine minimal level of IC
Schematische uitwerking Controle Aanpak Accountant 3.0
Schematische uitwerking controle aanpak V2.3
5A. Explore G/L on transactional level
11B. Test application controls
11A. Test IT general controls
3B. Asses dependency
and complexity IT
If possible set up periodic assurance dashboard
8B. Assess design IT general controls
42. Kijkje in de Coney keuken
Enterprise
Data (xyz)
Enterprise
Data (xyz)
Beveiligde
verbinding
Risico’s Controls
Analytics
Beveiligde
verbinding
Verkrijg de data Delen
Voorbereiden & Analyseren
Tableau
Tableau
43. Wat moeten onze accountants
kunnen concreet?
Engagement
• Determine risks and related controls
• identify data
• define analysis and reporting requirements
Data
• obtain data
• define format
• reconcile with source
Analysis
• check integrity
• perform analysis
• document results
Report and
document
• prepare report
• list exceptions and present results
• file logs, scripts
EN DENKEN IN BETA FORMULES
44. Coney, de tools
Audit & Continuous
Control Monitoring Analytics Process Mining
1. Levert inzicht en overzicht in de keten
2. Levert significante kostenbesparingen en tijd
op ten opzichte van traditionele proces-
managementmethodes
3. Levert een werkelijk beeld (100%), zodat tijd
overblijft voor kwaliteitsverbeteringen op
proces en performance niveau
4. Levert een omgeving om verandering te
monitoren
5. Is een manier om binnen organisaties
process efficiency & performance te
benchmarken
1. Data-analyse on-the-go
2. Visuele opbouw analyses
3. Snelheid en rekenkracht
4. Verwerken Big Data
5. Verbinden van verschillende
databestanden
6. Hergebruik analyses
7. Ketenbeheersing
1. Marktleider in Audit-oplossingen
2. Betrouwbare cijfers, rapportages
en controle raamwerken
3. Inzetbaar van ad-hoc tot
continuous control monitoring
4. Snelheid/flexibiliteit realisatie
5. Onafhankelijkheid IT organisatie
6. Werkt met alle databestanden
(incl. Legacy)
46. Data-analyse:
Application controls testing
IT Application controls:
Controles die zijn gericht op het toetsen van de juistheid,
volledigheid en tijdigheid van de invoer, verwerking, opslag
en uitvoer van transacties.
Het zijn controles die zijn ingebakken in de applicaties.
Is de control effectief geconfigureerd voor die
beheersingsmaatregel?
Zo niet: stel vast of de beheersmaatregel is doorbroken.
Voorbeelden:
o Kortingspercentages
o Kredietlimieten
o Three-way-match (driehoekscontrole) 11:45 – 12:00
48. Data-analyse: Post / proces /
gegevensgerichte controles 1/4
Gegevensgerichte controles:
Controles gericht op het toetsen van de resultaten van
een proces.
Nodig: kennis over de transacties binnen de
onderneming:
• Process flow
• Transactiestromen
• Boekingsgangen
• Uitzonderingen
13:00 - 14:00
49. Data-analyse: Post / proces /
gegevensgerichte controles 2/4
Eenvoudige voorbeelden:
1. Verdeling van inkoopfacturen in de tijd o.b.v. datum
goedkeuring.
2. Wat is het beeld m.b.t. aantal & omvang van de
verkoopfacturen?
3. Hoe snel betaalt de onderneming haar facturen nadat
ze zijn goedgekeurd?
4. Maak per klant een overzicht van aantal & bedrag van
de verzonden debet- en creditfacturen.
5. En moet ik dat volgend jaar weer allemaal opnieuw
doen?
13:00 - 14:00
50. Data-analyse: Post / proces /
gegevensgerichte controles 3/4
Andere voorbeelden:
Verkoopfacturen met kortingen of prijzen die afwijken
van de prijstabel of toegekende limieten,
Inkoopfacturen, verwerkt in het verkeerde boekjaar.
Betalingen zonder inkoopfactuur.
Opvallende aantallen creditfacturen per medewerker.
Salarisbetalingen aan spookpersoneel.
13:00 - 14:00
51. Data-analyse: Post / proces /
gegevensgerichte controles 4/4
IMAGO
(Intramurale Monitor AWBZ op Gederfde Omzet)
13:00 - 14:00
VERGOEDING
bezet
geregistreerd
gevalideerd
gedeclareerd
toegezegd
betaald
REGISTRATIE VALIDATIE DECLARATIE CORRECTIE
57. Oefening 2: analyze
Alleen Hoofd Inkoop mag een prijsafwijking autoriseren.
Gebeurt dit ook altijd?
Alle prijsafwijkingen > 10% moeten worden geautori-
seerd. Gebeurt dat ook altijd?
58. Oefening 3: bottlenecks
Werken met animaties om knelpunten te vinden:
Maak een animatie van het procesmodel van het
inkoopproces
Waar zitten de bottlenecks?
Wat betekenen deze bottlenecks in de praktijk?
59. Oefening 4: grafieken
Kwantitatieve analyse met grafieken:
Maak een staafdiagram met aantallen inkooporders
per leverancier
Pas de grafiek aan naar “totale PO Waarde per
leverancier”
Pas de grafiek aan naar “totale PO Waarde per
materiaal”
60. Process Mining
“discover, monitor and improve real processes by
extracting knowledge from event logs”
Gericht op:
1. Process discovery: Leidt proces af uit patronen van ‘events’.
2. Conformance checking: Vergelijk met referentie-model.
3. Model extension: Verrijk het model met bijv. performance
informatie
4. Operational support: Bijvoorbeeld real time meten of
voorspellen ten behoeve van management of simulatie
61. Waar liggen de kansen voor
Accountancystudenten?
Event log Discovery Model
Event log
Performance Diagnose
Analyse
Verbeterd
Model
Model
Event log
Model
Source: Process mining manifesto
JA
JA
?
62. Aantal voordelen op een rij…
Inzicht in feitelijk uitgevoerde en niet-uitgevoerde taken en
activiteiten op ‘oogniveau’ (medewerker voor medewerker)
Geen samples, maar but 100% van alle transacties
Visualisatie van feitelijke procesrisico’s (bottlenecks, taken niet
uitgevoerd), uitzonderingen en IC maatregelen niet uitgevoerd)
Geen onzinnige lijncontroles en procedure testen door auditors,
dus stap voorwaarts in uitvoering toetsen interne beheersing.
Invulling Continuous monitoring and auditing
Wat denken jullie?
63. Process mining vs data-analyse
“Looking and shooting”
Data-analyse veronderstelt een zoekvraag of risico
Process mining richt zich op processen
Data-analyse op:
o Data-kwaliteit
o Onderzoek van een post/populatie
o Aansluitingen
Process mining stelt strikte(re) eisen aan de data
64. Toepassingen
Recente voorbeelden Coney praktijk:
Ziekenhuis: behandelpaden
Bank: beoordeling hypotheekaanvragen
Client acceptatie in zakelijke omgevingen
Inkoopproces
Change management proces
Toekennen van rechten in systemen
Wat denken jullie?
66. Keten- en franchise 3.0-denken:
Auditing in de keten
15:30 – 15:45
KETEN MOVIE
67. Wat zien wij allemaal gebeuren in
de keten en franchise wereld?
De business wil meer en meer samenwerken, in de
keten, in een franchise setting. Het vraagstuk
Continuous Monitoring begint een echt mooi vraagstuk
te worden. Wat betekent dit voor de studenten van
morgen?
75. Toelichting
‘Train-de-Trainer’-programma
Wat willen wij doen?
Een curriculum maken van 20 studiedagen voor
studenten waarin ze leren wat data-analyse is en leren
hoe data-analyse past in de context van monitoring en
assurance.
Schakelen met ACL Corporate om gratis
trainingslicenties te verkrijgen voor studenten en
docenten.
Een Train-de-Trainer programma ontwikkelen voor
docenten inclusief een ACL certificering.
15:45 – 16:00
76. Process Mining
Voor Process Mining kunnen wij ons voorstellen dat we
een twee studiedagen programma maken en groepen
van bijvoorbeeld 20 studenten trainen in het toepassen
van process mining in de context van monitoring en
assurance. We combineren theorie en hands-on
ervaring met de tool Perceptive Reflect Process
Mining.
79. Literatuur
Rotterdam • Amsterdam • Brussels
Algemeen
• The coming age of continuous assurance
• GTAG 16 – Data-Analysis Technologies
• Over data-analyse
• NOREA
Continuous Auditing & Continuous Monitoring
• Putting theory in practice
• Continuous Auditing in ERP environment
• Continuous Auditing
Editor's Notes
MarkeerstiftHandmatig doorlopen van grootboekmutaties vanaf een stapel papier uit de matrixprinter.Opkomst ERP-systemenBedrijven werden complexer => Integraal doornemen van het grootboek werd ondoenlijk.De gegevensgerichte controlewerkzaamheden steeds meer op de achtergrond.Systeemgericht controleren (proces van totstandkoming van de jaarcijfers, testen opzet, bestaan en werking van beheersingsmaatregelen) werd het nieuwe toverwoord.CommodityControleklanten zien de JRC steeds meer als een uniform product, waarvan het niet heel veel uitmaakt bij wie ze deze laten uitvoeren. Hoofdzaak is dat het goedkoop gebeurt.Toegevoegde waardeTarieven onder druk => wie in staat is om waarde toe te voegen kan zich onderscheiden.Échte controle-objectenDe accountant die zijn klant daadwerkelijk inzicht geeft in diens ondernemerssucces, die prestaties meetbaar maakt en uitzonderingenkansignaleren, heeftgoud in handen.De WaarheidDe beste plek om dit inzicht te verwerven zitten in de transacties: harde data die inzichtgeeft in wat er wérkelijk gebeurt: ‘De Waarheid’.Data-analyseDe voortschrijdende technologie maakt het tegenwoordig mogelijk om de data uit de systemen van de onderneming te trekken en met gebruiksvriendelijke tools rapporten te draaien die inzicht verschaffen in trends en uitzonderingen in het cijfermateriaal. Net zoals twintig jaar geleden, maar nu doet de computer het werk:top-10 debiteuren, alle memoriaalboekingen net voor en na balansdatum, het onder-kennen van frauderisico's, aansluitingen tussen omzet en btw. De mogelijkheden van data-analyse zijn eindeloos.WinstMet data-analyse kunnen het inzicht sneller en met meer zekerheid worden verkregen.Sneller omdat analyses bijv. makkelijk herhaalbaar zijn.Meer zekerheid omdat je gemakkelijk 100% kan pakken i.p.v. een steekproef te nemen.Toegevoegde waarde omdat je analyses kan doen die zonder die tools onmogelijk zijn.
Data-analyse zinvol?Organisatiekenmerkenaard business, omvang onderneming, hoeveelheid data, relevantie van IT, moet een superieur alternatief zijn.Behoefte klantsommige (financieel) directeuren hebben geen behoefte aan aanvullendeinzichten buiten de specifieke toepassing in de JRC.Opvolging resultatendoor operationele werkdruk worden de uitkomsten soms niet opgevolgd. Valkuil: investering hierin zijn geen kosten, maar investeringen.Randvoorwaarde= inzicht in:IT-beheersinggeen goede beheersing => accountant kan niet (volledig) steunen op de brondata.=> stel vast of de ITGC’s op orde is.Processengeen inzicht in bijv. het verkoopproces => geen juiste interpretatie van transacties.Vandaag laten we ook een tool zien waarmee inzicht in het daadwérkelijk verloopvan transacties kan worden verkregen.Betekenis datawat betekent die ene transactieregel in die bak verzekeringsdata? 1 verzekerde? 1 polis?1 declaratie? 1 premiebetaling? 1 schade-uitkering? => Snap de data!Vormen van data-analyseGegevensgerichte analysesniet de totstandkoming van een resultaat wordt getoets, maar het resultaat van eenproces zelf. Voorbeelden: cijferbeoordelingen, verbandcontroles, detailcontroles,waarschijnlijkheidscontroles.Evaluatie beheersingsmaatregelenbijv. doorbreking van functiescheiding, controleren van berekeningen, toetsing vanapplication controls, beoordelen van autorisatieprofielen.Process miningis een techniek die we vandaag ook zullen laten zien, waarbij log-files uit het systeemworden gebruikt om het daadwerkelijke verloop van een proces te visualiseren.
Ambitieniveau vs. Reality
We kunnen wel data analyseren, maar wat hebben we eraan gedaan om vast te stellen dat bijv. de in- of verkoopprijs op de juiste manier tot stand is gekomen.We slaan de voor- en de achterkant gemakshalve over.
Eén van de randvoorwaarden voor het succesvol introduceren van data-analyseis het inzicht dat de accountant moet hebben in de IT-beheersing.Als er geen sprake is van een adequate IT-beheersing kan de accountant niet (volledig) steunen op de transactionele brondata uit de informatiesystemen. Hij zal dus moeten vaststellen of de IT-beheersing in de vorm van IT General Controls (ITGC’s) op orde is.Denk aan de logische toegangsbeveiliging, IT-beheer en -exploitatie, wijzigings-beheer en systeemontwikkeling.Bij het verkrijgen van deze inzichten kan data-analyse een belangrijke rol spelen.Nu volgt een voorbeeld van een ACL-project dat met dit doel is ontworpen:Op basis van een (overigens heel eenvoudig te maken) data-extract van de Windows Active Directory wordt een serie analyses verricht op het gebied van het audit- en wachtwoordbeleid en de situatie met betrekking tot de inlog-accounts.VOLGT EEN DEMONSTRATIE + UITLEGNodig:Auditpolgratis tooltje van Microsoft om de ‘audit policy’ uit te lezen van een Windowsserver.LDIFDEgratis tooltje van Microsoft om een ‘dump’ te maken van Microsoft ActiveDirectory.ACLU allen bekend?
Waarschijnlijk denkt u nu: ‘Dat is wel aardig, die Application Controls, maar mijn klant heeft een omvangrijk ERP-systeem en waar kan ik die application controls nu vinden?En zijn er misschien niet veel te veel Application Controls, ik hoef ze toch niet allemaal te gebruiken?’.Dat klopt, u moet misschien teruggaan naar de bepaling van uw (bijzondere) risico’s en dan kijken welke risico’s u kunt mitigeren door te steunen op de Application Controls in de software.VASTSTELLEN OF DE BEHEERSMAATREGEL (BIJV. FUNCTIESCHEIDING)IS DOORBROKEN KAN D.M.V. DATA-ANALYSE.Als de beheersmaatregel is doorbroken:KwantificeerStel vast of het materieel is.Kortingspercentages:Kent het systeem bij verkoop altijd de juiste kortingspercentages toe?Kredietlimieten:Het systeem accepteert orders die ieder voor zich niet, maar opgeteldwél boven de kredietlimiet uitkomen.Three-way-match:De three-way-match bij inkoopfacturen houdt in het vaststellen of facturen overeenstemmen met de respectieve inkooporders en bewijzen van goederenontvangst. Met data-analyse is het mogelijk om de effectiviteit van de configuratie van de three-way-match voor bepaalde beheersmaatregelen te beoordelen. Als blijkt dat deze configuratie niet adequaat is, kan met data-analyse worden vastgesteld of de beheers-maatregelen daadwerkelijk zijn doorbroken.VOLGT EEN DEMONSTRATIE VAN DE FIETSENHANDEL:C05_Analyse_05dubbele facturen: (third party reference & amount moeten gelijk zijn).C07_Analyse_07PO's goedgekeurd nadat de goederen al zijn geleverd.C09_Analyse_09PO's goedgekeurd door dezelfde persoon die de PO heeft aangemaakt.C10_Analyse_10PO's aangemaakt en goedgekeurd door dezelfde persoon die de bijbehorende factuur goedkeurt.C16_Analyse_16Sales invoices: facturen ontbreken (in de nummerreeks) + verkooporder, maar geen verkoopfactuur tegenover.
Inkoopfacturen - AGEON Approval_dateSUBTOTAL Invoice_total_incl_VATCUTOFF 31-05-2010Verkoopfacturen– STRATIFYON Sales_valueSUBTOTAL Sales_valueMAXIMUM 100.000INTERVALS 20Daarna niet naar Screen maar naar een Table, gemiddeld factuurbedrag berekenen.Inkoopfacturen - STRATIFYON (Payment_date - Approval_date)SUBTOTAL Invoice_total_incl_VATVerkoopfacturen - RELATE met Debiteuren_StamPKEY Custumer_numberSKEY CustumerIDDaarna CROSSTABULATE:ROWS CustomerNameCOLUMNS DT_CR_invoiceSUBTOTAL Sales_total_incl_VATHaal de commando’s uit de log, zet ze in een script en run.
De intramurale AWBZ wordt op basis van Zorg Zwaarte Pakketten geadministreerd. Deze ‘ZZP's’ bepalen de vergoeding voor de geleverde Zorg. Tegenover deze variabele financiering staat een kostenstructuur die vooral bestaat uit vaste kosten (personeel, huisvesting en services).Deze financiële ‘onbalans’ maakt dat de bedbezetting van de instelling de belangrijkste KPI is voor het financiële resultaat. IMAGO is een product dat Coney heeft ontwikkeld om de omzet te monitoren (Revenue Assurance). IMAGO kan een belangrijk vangnet zijn om te voorkomen dat een relatief klein ‘lek’ in de administratieve organisatie sterk doorwerkt op het bedrijfsresultaat van uw instelling.IMAGO baseert zich op het declaratieverkeer van zorgverleners met de verzekeraar, de zogeheten ‘AW319’ & ‘AW320’ bestanden.Deze bestanden bevatten veel informatie over de getoonde keten van registratie, validatie, declaratie, correctie en vergoeding.TOON NU EEN VOORBEELD VAN ZO’N AW319-BESTAND.Wat we in ACL eigenlijk doen is de ‘levenscyclus’ van een declaratieregelVolgen in de tijd, zodat we precies kunnen volgen wat er is gebeurd.IMAGO vertaalt deze bestanden naar bedbezetting en financieel inzichten maakt trends en onvolkomenheden inzichtelijk.We analyseren in ACL en maken e.e.a. vervolgens grafisch inzichtelijkin Tableau.VOLGT EEN DEMO VAN IMAGO, ZOWEL IN ACL ALS IN TABLEAU
VOORBEELD 1 – QUICKSCAN FAILLISSEMENTENANALYSE 1:Per Grootboekrekening_Nr en -Omschrijving: De laatste boekingsdatum.ANALYSE 2:Per Grootboekrekening_Nr en -Omschrijving: Saldo van Debet -/- Credit per Jaar.ANALYSE 3:Per Grootboekrekening_Nr en -Omschrijving: Saldo van Debet -/- Credit per Maand.ANALYSE 4:Debiteuren en Voorraden die via het Memoriaal lopen, in de 3 maanden voorafgaand aan het faillissement.ANALYSE 5:Zoektermen.VOORBEELD 2 – INKOOPBONUSSENWebshopHole-in-One heeft inkoopbonussen bedongen bij grote leveranciers voor het afnemen van bepaalde hoeveelheden goederen. Als die hoeveelheden niet worden gerealiseerd, wordt de bonus niet ontvangen of conform een staffel verlaagd. Omdat de inkoopbonussen het resultaat van Hole-in-One behoorlijk kunnen beïnvloeden, wil auditor Jan toetsen of er geen bonussen worden geboekt die in werkelijkheid niet ontvangen zullen worden. Hole-in-One heeft afspraken over inkoopbonussen met leveranciers The Green, Back-Spin, Birdie, Bogey en Caddie.NODIG:lijst van maandelijkse facturen die al zijn voldaan en waarvan de goederen zijn geleverd (Case02_Inkoopfacturen).stand van openstaande factuurbedragen per leverancier (Case02_Crediteuren).overzicht van geboekte bonussen (Case02_Te_Ontvangen_Bonus).staffel waarmee de bonuspercentages worden berekend (wsp_Case02_InkBonus_Staffel).STAPPEN:Intellen Inkoopfacturen per leverancier => Zelfde niveau als Crediteuren.=> Case02_Inkoopfacturen_B.Join ingetelde Inkoopfacturen met Crediteuren => Case02_InkFact_en_Crediteuren.Maak een COMPUTED FIELD Totaal_Bedrag = Factuurbedrag + StandKoppel Case02_InkFact_en_Crediteuren aan Bonus-bestand=> Case02_InkFact_Cred_TeOntvBonusWat was het werkelijk uitgekeerde percentage:(Inkoopbonus_Te_ontvangen / Totaal_Bedrag) * 100,00Toon de workspace met de staffel per leverancier en ACTIVATE.Voeg de kolommen toe en plaats een FILTER op de regels waarbij de percentagesniet goed zijn.Wat is er teveel als resultaat geboekt:(InkoopBonus_Te_ontvangen_perc - Bonus_Percentage_Staffel) * Totaal_BedragVOORBEELD 3 – ISA240/ SAS99Conform richtlijn ISA 240 is een accountant die de wettelijke jaarrekening uitvoert:‘verantwoordelijk voor het verkrijgen van een redelijke mate van zekerheid dat de financiële overzichten als geheel geen afwijking van materieel belang bevatten die het gevolg is van fraude of van fouten.’Coney heefteen set van analytische scripts ontwikkeld die gerichtzijn op het identificeren van fraudesignalen in financial Statements, gebaseerd op journaalposten.Toon eerst de input-dataRun het scriptToon Z01_Analysis_reportLaat een paar detailvoorbeelden zien.
INKOOPLeg interface uit, toon overviewMine op 10% = Referentiemodel OpslaanMine op 50% 80% 100%Show Performance Metrics:CountAverageCompletion TimeLeg betekenis uit; Toon lange doorlooptijd Autorisatie Prijsafwijking + Gem. 24 dagen betaling facturenCompare 100% met 10% Referentiemodel.
INKOOP – ROLLEN BETROKKEN BIJ PRIJSAFWIJKING100%-modelFilter op Activity = “Autorisatie prijsafwijking” MINEGetoond wordt alleen de activiteit “Autorisatie prijsafwijking”.Wij willen echter de rollen zien die prijsafwijkingen hebben geautoriseerd.=> Switch Attribute van ‘Activity’ naar ‘Rol’ MINEBetrokken zijn:Hoofd InkoopMedewerker CrediteurenMedewerker InkoopHoe vaak dan?Toon Performance Metrics: COUNTHoofd Inkoop 89 xMedewerker Crediteuren 12 xMedewerker Inkoop 33 xINKOOP – NIET-GEACCORDEERDE PRIJSAFWIJKINGEN > 10%100%-modelFilter op Prijsafwijkingen > 10%Filter op Activity = Autorisatie Prijsafwijking Discard events which matchShow Filtererd Cases: 150 cases.Toon een paar voorbeelden.Normale patroon is dat de Inkooporder wordt aangepast en daarna de prijsafwijkingwordt geautoriseerd.Blijkbaar beslist deze rol dat er geen autorisatie zal plaatsvinden. Welke rol was dat:Alléén de Medewerker Inkoop.Download path information.Toon dat 88 + 10 van de 156 cases eindigen in Annuleren Inkooporder, maarongeveer 50 stuks worden gewoon betaald zonder dat de prijsafwijking isgeautoriseerd.
INKOOPAnimeer het 100%-model in 60 seconden, leg uit.Bottlenecks zijn lastig te zien.Maar… als we alles inééns animeren (Start all at once) dan zien we:Dat het erg lang duurt voor de goederen zijn ontvangen nadat ze in Backorderzijn geplaatst.Dat het ook relatief lang duurt voor de factuur wordt betaald nadat ze is geautoriseerd.Dat Autorisatie prijsafwijking volloopt.Discussie met de zaal over betekenis van bottlenecks.
Attribute : LeverancierData Series : CountAttribute : LeverancierData Series : Sum PO Waarde / Average PO WaardeAttribute : MateriaalData Series : Sum PO Waarde / Average PO Waarde
Data-driven decisionsSpiegel voorhouden – niet management by powerpointProblemen of risico’skwantificerenProcessen steeds volledigergeautomatiseerd – heeftookwelgeleid tot eenanderekijk op controle: Begin jaren 90 veelmeer focus op risk-based audit approachHet beoordelen van effectiviteit van controls is echtertoegenomenWerd de risk-based audit welechtgoeduitgevoerd.Roepommeergeautomatiseerde audit tools
Hoofdboodschap zou moeten zijn dat met data analyse de vraag, het doel duidelijk is in tegenstelling tot PM dat een veel meer onderzoekend (exploring) doe heeft. De antwoorden staan niet vast, men kijkt naar patronen en er wordt een levend beeld geschetst van de procesgang.
Risk based audit approach is mandatory – ISA315 (risk of misstatement)Om vervolgenstekijkennaar de IC die dierisico’safdekt.General risk: eentransactie is nietjuist/tijdig/volledigverwerktTraditioneel: InterviewVastleggenValiderenDocumenteren van 1 of meerderetransactiesToetseneffectievewerkingUitdaging:Time consumingMensenkennen het eigenprocesnietmeer – bijverdoorgevoerde ERP systemenHoe toets je effectievewerkingbijgrote volumes?Bewijs van effectievewerking is wellichtnietaanwezig (want system based)