Un percorso di crescita: Audit Analytic Capability Model

Per più di vent’anni, ACL Services, Ltd. ha lavorato a stretto contatto con più di 14.700 organizzazioni clienti di tutto il mondo per sviluppare soluzioni di analisi di revisione diventate leader in questo mercato.

Durante questo periodo, ACL ha raccolto approfondite informazioni dai clienti che hanno goduto di grandi benefici grazie all'utilizzo dell’analisi di revisione, ma ha considerato anche preziose testimonianze di coloro che non hanno avuto questi benefici. Oggi, sta prendendo piede un orientamento più pratico, infatti le organizzazioni cercano di attuare una nuova tecnologia di controllo che abbia successo.

Sulla base di queste conoscenze, ACL ha sviluppato Audit Analytic Capability

Model14, un quadro di riferimento per valutare i diversi livelli di tecniche

analitiche di audit e i benefici ad esse associati.

Il modello illustra cinque livelli progressivi con cui il servizio di controllo interno deve cercare di evolvere l'uso di analisi, e delinea i “mattoni” fondamentali, in termini di persone, processi e tecnologia che devono entrare in gioco per ottimizzare i benefici.

ACL ha sviluppato questo modello per aiutare le organizzazioni a valutare più chiaramente il loro utilizzo dell’analisi di audit e per meglio comprendere, pianificare e comunicare ciò che deve essere fatto per raggiungere e aumentare i benefici e il successo. Audit Analytic Capability Model aiuta le organizzazioni a costruire una “tabella di marcia” per aumentare i test di analisi di controllo interno.

14

ACL Audit Analytic Capability Model

L'approccio tradizionale alla revisione è sempre stato quello di assumere un’ottica storica o retrospettiva di quanto è successo in un certo periodo di tempo. Mentre questo approccio offre un quadro necessario per la pianificazione di audit, l'ambiente di oggi richiede una visione più proattiva e completa per la gestione efficace del rischio e per la garanzia di un buon business.

Al fine di aumentare la sua importanza e il suo valore, nonché garantirgli un "posto a tavola" con la gestione esecutiva, l’Audit ha bisogno di capire cosa è successo in passato, ma anche di fornire indicazioni su ciò che sta accadendo nel business di oggi, e capire inoltre dove i rischi organizzativi possono dirigersi un domani.

In breve, l’Audit deve fornire un continuum temporale in quanto ieri-oggi- domani costituiscono permettono di avere una visione complessiva di un servizio di controllo interno.

La capacità del modello è un'evoluzione del concetto di continuità e illustra cinque livelli attraverso i quali l’Audit interno può espandere l'uso dell’analisi dei dati per aumentare i benefici: di base, applicativi, di gestione, di automatizzazione e di monitoraggio. Per la maggior parte delle organizzazioni, la precisione nella capacità di analisi è correlata con il livello di valore strategico e con il contributo che l'Audit interno è in grado di fornire al business. Come controllo interno, estende l'uso di strumenti di analisi e controlli di processo, avanza verso un modello automatizzato e continuo.

Ciò consente all’Audit interno di passare da un approccio reattivo ad un approccio proattivo per identificare e gestire il rischio e fornire continuità, maggiore affidabilità e valore al business.

L’analisi dei dati effettuata dagli Auditor riveste un ruolo importante in ogni fase del modello. Ad esempio, le analisi possono essere usate per supportare specifici controlli e per testare il 100% delle transazioni di un intero anno fiscale.

Come l’Audit espande l'uso dell’analisi come strumento gestito centralmente che viene integrato nei processi di revisione, così l'analisi dei dati permette di comprendere in modo più tempestivo i rischi, i controlli sono effettuati ad un livello talmente approfondito che non sarebbe possibile realizzarli senza la tecnologia.

Le procedure di prova possono essere ripetute per consentire l'analisi puntuale di grandi insiemi di dati, per identificare esempi dettagliati di rischio, frodi, errori e abusi su più aree del processo di business.

Come le organizzazioni applicano una maggiore automazione e una verifica/monitoraggio continui, così le analisi di controllo offrono la possibilità di rilevare i modelli o le tendenze nell’Audit e di controllare i problemi che aumentano o modificano i rischi all'interno dei processi di business e di controllo finanziario. Ad esempio, i controlli di routine possono essere eseguiti su base giornaliera. Test analitici regolari possono rivelare come una minaccia, casi di transazioni specifiche, ma rivelano anche le opportunità per migliorare i controlli.

Il miglioramento della linea di controllo interno si dirige verso la verifica e il monitoraggio continuo. Molte organizzazioni sono riuscite a comprendere i vantaggi dell’automazione della verifica e del monitoraggio continuo e desiderano attivarli subito. Tuttavia, senza i “mattoni” dei livelli inferiori, in termini di persone, processi e tecnologia, è più difficile ottenere i benefici previsti.

ACL Audit Analytics Capability Model ha lo scopo di aiutare le organizzazioni a valutare, per i loro processi interni, l'utilizzo dell’analisi a livelli:

Livello 1 – Base

Le organizzazioni che utilizzano la tecnologia di base, la mettono in atto per il controllo/analisi dei dati, per eseguire query e per l’analisi di grandi insiemi di dati, il più delle volte la utilizzano per gli Audit specifici. In questo scenario, un

revisore inizia utilizzando strumenti di analisi per produrre rassegne statistiche e classificazioni o sintesi di dati. Questo permette all’Auditor di individuare anomalie e di comprendere meglio le operazioni in una determinata area. Problemi evidenti sono ad esempio i duplicati, che sono facilmente identificabili con i test analitici pre-costruiti. Transazioni e dati anagrafici forniscono indicatori di errori ed frodi.

Vantaggi:

Con l'uso iniziale di un software di controllo analitico, gli Auditor acquisiscono rapidamente una migliore visione delle problematiche di rischio e di controllo all'interno di una determinata area. Le analisi di controllo consentono la revisione del 100% di transazioni e l'utilizzo di query pre-costruite progettate per fini di Audit.

Come risultato, gli Auditor possono identificare rapidamente istanze specifiche di frodi, errori e abusi, così come le inefficienze e le carenze nei controlli. In alcuni casi, il tempo per analizzare i dati può essere ridotto (da giorni a minuti!) rispetto alle tecniche manuali. Ad esempio, il Gruppo Fintrax, una società di servizi finanziari specializzata in conversioni di pagamento multivaluta chiamato Dynamic Currency Conversion (DCC) e la gestione di rimborso dell'IVA per i turisti, usano l’analisi di revisione affinché i loro processi di riconciliazione delle transazioni siano efficienti e per fornire una migliore comprensione dei rischi e delle frodi.

Utilizzando degli script pre-costruiti di base, Fintrax ha sostituito complicati processi manuali che occupavano circa 4-5 ore di lavoro per ogni acquirente. Il processo richiede ora solo un'ora per completare il tutto.

Sfide:

La sfida più comune quando si inizia ad implementare l'analisi a livello di base è proprio l'accesso ai dati. Ciò include la comprensione di quali dati siano richiesti per supportare un test specifico e l’ottenimento di una “popolazione controllata”

Rischi organizzativi:

Proprio come i problemi di accesso ai dati possono sfidare il revisore interno a questo livello base, così anche ottenere i dati può diventare un rischio significativo e possono vincolare le risorse dell'organizzazione se il processo non è pianificato e gestito in modo efficace. Nei software specifici di controllo, che sono in grado di gestire enormi quantità di dati, la sicurezza è fondamentale. C'è anche il rischio che un revisore possa saltare subito a conclusioni affrettate basandosi su analisi che non sono state ben comprese. A questo livello, ci sono spesso piccole revisioni e controlli della qualità delle procedure che consentono di garantire la validità del lavoro svolto. Formalmente, la formazione certificata è fondamentale in questa situazione.

Come ottimizzare:

Focalizzando l'attenzione sui miglioramenti nelle aree di persone, nei processi e nella tecnologia, le aziende possono superare queste sfide e aumentare l'efficacia delle analisi di controllo a livello di base:

Persone

• Allena la tua squadra. Anche se l'analisi dei dati specifici di audit non è difficile da usare a livello di base, la formazione è importante e utile.

• A meno che il reparto IT abbia il compito di sostenere la revisione interna,

è spesso una buona idea avere una forte risorsa tecnica disponibile che può contribuire ad aiutare l'organizzazione nell’affrontare l'accesso ai dati. Processo

• Inizia con un piano semplice. Identificare dove utilizzare l'analisi dei dati, gli obiettivi di controllo supportati, il periodo da coprire e il lasso di tempo in cui verrà eseguito il lavoro.

• Collaborare con il reparto IT per identificare e ottenere l'accesso a dati appropriati.

Livello 2 – Applicativo

Il secondo livello si basa sul primo, ma si distingue da questo in quanto le analisi sono molto più complete, sono pienamente integrate nel processo di audit e cominciano a trasformare il modo in cui viene eseguito l’audit. A questo livello, la pianificazione di audit e dei programmi di analisi crea di fatto un "programma di audit analitico-abilitato", in cui, laddove fosse utile e pratico, un obiettivo di audit si ottiene con l'aiuto di un test analitico specifico. Una suite completa di test ripetibili costruita per supportare un'intera area di controllo.

Caratteristiche:

Data l'ampia portata in cui oggi vengono effettuate le analisi, la maggior parte delle organizzazioni di audit agiscono soprattutto a livello applicato. Tuttavia, all'interno di questo livello ci sono una vasta gamma di competenze e applicazioni, con alcune organizzazioni molto più avanzate di altre.

Le persone e i problemi legati ai processi a questo livello diventano sempre più importanti. La gestione dell’Audit deve fornire direzione e sostegno, per questo spesso ad uno specialista è assegnato il ruolo di analista di dati per sovrintendere allo sviluppo di progetti e procedure analitiche. Sono messe in atto procedure di ricorso e di garanzia della qualità per confermare la validità delle analisi di controllo eseguite.

A questo livello l’analisi viene utilizzata in modo progressivo. L'utilizzo cresce nel tempo e vengono aggiunti più test per supportare una serie sempre più ampia di obiettivi di audit. Queste considerazioni nascono per il modo in cui le analisi possono essere applicate meglio su ogni nuova verifica. Inoltre, la formazione diventa approfondita e tecnica, con una particolare attenzione per l'accesso ai dati, per l'integrazione e la progettazione di script efficienti e ripetibili. Per l’Audit Manager diventa preziosa la formazione su come controllare e sfruttare il processo analitico di revisione per integrare i benefici del analytics attraverso una funzione di audit efficace.

Vantaggi:

In questa fase, l'analisi comincia a trasformare radicalmente il processo di audit fornendo miglioramenti sostanziali in termini di efficienza e maggiori livelli di garanzia. Procedure di revisione manuale, campionamento e analisi sono limitati solo a quelle situazioni che richiedono la verifica fisica. Molte attività vengono eseguite in una breve frazione di tempo, liberando maggiormente gli auditor e permettendo loro di concentrarsi su nuove aree di rischio in evoluzione.

Sfide:

Ci sono una serie di sfide a cui il team di revisione interna può essere esposto adottando un’implementazione diffusa di analisi di revisione e un’integrazione nel processo di audit.

Ad esempio, i revisori interni devono riconoscere che c'è una grande differenza tra l'uso occasionale di uno strumento analitico e rendere il “fare analisi” una parte fondamentale del processo di audit. I programmi analitici devono essere di proprietà, i processi devono essere modificati, i ruoli cambiati e le persone addestrate, ognuna di queste azioni richiede tempo, impegno e risorse. Il rimborso può essere considerevole, ma non può essere raggiunto senza investimenti iniziali.

Inoltre, molte delle sfide di accesso ai dati associate al livello di Base esistono anche a livello Applicativo. Tuttavia, le organizzazioni evolvono il loro uso di analisi dei dati e implementano test ripetibili. Tali questioni devono essere integrate in processi formali di progettazione di test e sviluppo, con la garanzia di un’adeguata qualità delle procedure (QA). Deve essere prestata attenzione anche agli standard di documentazione in modo da provare che possono essere mantenuti e compresi dagli altri.

Rischi organizzativi:

A questo livello, i maggiori rischi per l'organizzazione sono spesso il risultato di un ambiente decentralizzato e frammentario che si evolve con numero esteso di utenti finali e con un crescente controllo analitico dei contenuti.

Poiché l'ambiente dei dati si sposta verso una visione più distribuita e decentrata, aumenta il rischio di avere una raddoppio (che sarà comunque inefficiente) degli sforzi in diversi luoghi. I dati e le prove tendono a proliferare attraverso singoli computer portatili, desktop e server di rete, il che rende difficile gestire il tutto tenendo traccia delle versioni attuali e corrette (così come tutti i risultati successivi).

Le problematiche di sicurezza aumentano così come i dati e i risultati proliferano in una vasta gamma di computer portatili e desktop. I dati critici sui computer dei revisori interni non possono essere soggetti alle norme di sicurezza aziendale abituali.

L'elaborazione complessa di grandi volumi di dati può consumare, per lunghi periodi di tempo, tutta la potenza di elaborazione dei computer portatili, desktop e server di rete.

Infine, c'è una buona probabilità che la conoscenza sia presente nelle teste di pochi “individui chiave” la cui possibile partenza potrebbe causare una perdita di investimenti e di progresso.

Come ottimizzare:

Per superare queste sfide e questi rischi e per massimizzare l'efficacia delle analisi di revisione a livello Applicativo, le aziende dovrebbero considerare quanto segue:

Persone

• Assegnare la responsabilità globale per il successo di un programma di analisi di revisione a qualcuno con competenze tecniche. Tuttavia, chi si occupa della gestione dell’audit interno dovrebbe rimanere strettamente coinvolto nella revisione degli obiettivi e progressi.

• Sviluppare e allenare veri e propri specialisti di accesso ai dati e di sviluppo di test.

• Tenere a mente la necessità di fondere competenze tecniche e competenze

tecnici con una profonda comprensione dei processi e degli obiettivi di audit e di controllo.

• Garantire il riesame della logica dei test e dei risultati. Troppo spesso, le analisi vengono lasciate a specialisti per la progettazione con una minima recensione a livello di gestione.

Processo

• Definire e comunicare in linea gli obiettivi di massima, gli obiettivi per l'utilizzo di analisi e stabilire una stima realistica del fabbisogno di risorse e di investimento.

• Sviluppare un piano completo sul programma di analisi di controllo in grado di evolversi per soddisfare le esigenze delle fasi successive. Iniziare con obiettivi essenziali di audit e determinare come possono essere raggiunti in modo più efficiente ed efficace attraverso l'uso di analisi dei dati.

• Sviluppare procedure per il controllo della qualità dello sviluppo di analisi, come ad esempio la revisione indipendente per garantire che la logica del test sia corretto.

Tecnologia

Se esistono problemi di accesso ai dati, prendere in considerazione i connettori specializzati dei dati, ad esempio SAP o altri sistemi di core business.

Livello 3 – Gestione

Il livello di gestione ha una logica di evoluzione a completamento dell’utilizzo delle prove di verifica analitica, che diventano una parte fondamentale del processo di audit. L'obiettivo di questo livello è quello di raggiungere l'analisi di squadra dei dati in cui questa e l'elaborazione siano centralizzate, sicure, controllate ed efficienti. Le organizzazioni di controllo operanti a livello di gestione devono avere persone, processi e tecnologie in azione per gestire efficacemente le attività. Il funzionamento viene abilmente gestito come elemento fondamentale per raggiungere i livelli successivi nel modello.

Caratteristiche:

Il livello di gestione in genere comporta lo sviluppo di molti test analitici che elaborano grandi quantità di diversi set di dati e generano i risultati che spesso coinvolgono informazioni riservate. Nella maggior parte dei casi, vengono coinvolte molte persone in questo processo e le informazioni sono distribuite su diversi computer e spesso geograficamente in diverse posizioni. Le organizzazioni che effettuano audit a questo livello hanno in genere un ambiente server ben strutturato e gestito centralmente per memorizzare e gestire i grandi insiemi di dati e contenuti dei processi di analisi di controllo (ad esempio, test, risultati, documentazione sulla procedura di audit e sui relativi materiali). L'elaborazione complessa di grandi quantità di dati viene in genere eseguita su server ad alta potenza. L'accesso e l'utilizzo dei contenuti è soggetto a processi predefiniti, controllati e sicuri. Le procedure, gli standard e la documentazione per l'analisi di controllo sono ancora più formali rispetto al livello applicativo. Per la maggior parte degli auditor non tecnici a questo livello è più pratico e comune accedere e utilizzare i risultati dei test in modo efficiente.

Vantaggi:

Ci sono numerosi vantaggi con il passaggio al livello di gestione di analisi di controllo. L’efficienza della squadra è notevolmente migliorata in quanto diventa più facile e più efficiente condividere la revisione nell'intero gruppo di audit. A questo livello, il lavoro analitico di audit è facilmente ripetibile e sostenibile. C'è meno dipendenza da un singolo individuo e quindi meno rischi che lavoro esistente diventi inutilizzabile perché un membro ha lasciato il team. Un “deposito” gestito centralmente supporta anche i processi che aiutano a salvaguardare la qualità e l'integrità del lavoro analitico. L’accesso e le modifiche ai test possono essere controllati in modo più efficiente e gli standard di sicurezza dei dati possono essere facilmente mantenuti. Un sistema di analisi centralizzato si basa su un server, il che significa che le prestazioni di elaborazione in genere migliorano e viene speso meno tempo per l’accesso a grandi insiemi di dati. Questo “deposito” basato su server può essere l'occasione per migliorare le relazioni efficaci con l’IT aderendo a standard più usuali per l'archiviazione e l'elaborazione dei dati, un approccio che di solito ottiene il supporto dell'IT. Inoltre, per la gestione è molto più facile ottenere una panoramica di tutti i lavori in corso, rivedere i test ed i risultati con tutte le informazioni necessarie.

Sfide:

Il responsabile di Internal auditing (CAE) e del gruppo di audit deve passare a un vero e proprio modello di analisi di gestione e questo richiede una certa preparazione. Stabilire un ambiente gestito e centralizzato per l'analisi di revisione impatta sul processo, sulle persone e sulla tecnologia. Ciò significa che la sua attuazione ha bisogno di pianificazione, preparazione ed assegnazione delle risorse. Il tempo e le altre risorse necessarie per pianificare e mettere in atto correttamente possono essere significativi, ma in genere forniscono un rapido ritorno sugli investimenti quando la crescita e la scalabilità in corso possono essere sostenute con il minimo sforzo.

Rischi organizzativi:

Oltre a problemi di implementazione, per un'organizzazione che si è evoluta in un ambiente gestito con l'analisi i rischi immediati sono pochi. La questione è più relativa alle aspettative dei senior executive durante lo spostamento verso procedure continue. A questo punto, il servizio di audit ha tipicamente costruito una suite di test e di procedure attuati per massimizzare i benefici di analisi a sostegno di un processo di audit ciclico. La tendenza può essere quella di supporre che tutto è a posto. Anche se gli elementi di base per il controllo continuo possono essere stati messi in atto, un efficace auditing continuo richiede una pianificazione aggiuntiva e di supporto all'attuazione, in particolare da un punto di vista delle persone e dei processi.

Come ottimizzare:

Di seguito sono riportati alcuni settori che l'organizzazione dovrebbe prendere in considerazione per migliorare l'efficacia delle analisi di controllo a livello di gestione.

Persone

• L’attuazione del livello di gestione di analisi di controllo è un componente

importante e integrante del processo di revisione generale al livello 2. Si richiede una leadership globale e una “regia” di gestione di audit.

• Designare un amministratore del “deposito”. Il ruolo di amministratore del

“deposito” è importante. L'individuo non deve essere un tecnico specializzato, ma ha bisogno di comprendere l'organizzazione di audit, i processi e come stabilire procedure efficaci di sicurezza dei contenuti. Processo

• Strutturare il “deposito” di analisi di controllo in modo che il contenuto possa essere utilizzato e controllato in modo efficiente. Per esempio, classificare i dati per area di revisione, la posizione e il periodo.

• Considerare con attenzione l'accesso all'account, i requisiti di sicurezza e