“Rischio Frodi: come prevenirlo e monitorarlo”
Milano 28 Giugno, 2011
“ACL Audit Exchange: soluzioni per il
Continuous Monitoring e la Fraud Detection”
© 2011 Adfor Spa All rights reserved.
Contenuti
Premessa
ACL: verso il “Continuous Monitoring”
ACL e “Fraud Detection”
“Fraud Detection” vs “Fraud Prevention”
Le funzionalità messe a disposizione da ACL
© 2011 Adfor Spa All rights reserved.
Premessa
Le frodi finanziarie rappresentano
una delle principali minacce per il
business, indipendentemente dal
settore di appartenenza delle
aziende, dalle loro dimensioni e
dai paesi in cui operano.
Uno studio condotto dall’ACFE
negli Stati esaminando circa 1800
casi ha evidenziato che la perdita
media per ciascun caso è pari a
circa $160.000.
Più in generale, sempre l’ACFE,
ha riscontrato che la perdita annua
stimata per frodi interne è pari al
5% dei profitti.
Fonte:2010 Report to the Nations on Occupational Fraud and Abuse
© 2011 Adfor Spa All rights reserved.
I modelli di controllo
Il modello di Governance e il
relativo sistema di controllo interno
(SIC) rappresentano gli strumenti
chiave per affrontare il tema
identificazione e prevenzione delle
frodi.
Nel contesto nazionale, nella
maggior parte dei casi:
L’esigenza di dotarsi di un modello di
“Governance” nasce dalla necessità di
adempiere ad obblighi normativi (262,
231, SOX, etc).
Lo sviluppo del modello di “Governance”
risente di un approccio di tipo
emergenziale.
L’approccio emergenziale è anche
riscontrabile nella attività di
prevenzione alle frodi
Nasce quindi l’esigenza di adottare
un approccio “proattivo”, il
Continuous Auditing, anziché un
approccio “reattivo”.
Fonte:2010 Report to the Nations on Occupational Fraud and Abuse
© 2011 Adfor Spa All rights reserved.
Un percorso di crescita: “Audit Analytic Capability Model”
repetitive
ad hoc
continuous
Level 5
Foresight
Monitoring
Audit Contribution
Level 4
Automated
Insight
Level 3
Managed
Level 2
Applied
Level 1
Hindsight
Basic
Sophistication
© 2011 Adfor Spa All rights reserved.
Livello 1: Basic
Caratteristiche
Processo
Benefici
Tecnologia specifica per
Audit
Query e analisi “ad hoc”
Utilizzato l’analisi
di grandi volumi di dati
Decidere le aree di
indagine e i tempi
Determinare gli
obiettivi di analisi e dati
necessari
Organizzare l'accesso
ai dati con l'IT
Verificare la qualità e
completezza dei dati
Definire gli standard
per i report e la
documentazione
Conoscere rapidamente
i risultati rispetto a tutta
la popolazione di dati
Avere una maggiore
capacità di individuare
le frodi, errori
e inefficienze
Operare con maggiore
qualità e sicurezza
Level 5
Monitoring
Level 4
Automated
Level 3
Managed
Level 2
Applied
Level 1
Basic
© 2011 Adfor Spa All rights reserved.
Livello 2: Applied
Caratteristiche
Processo
Benefici
Analytics
completamente
integrato nel processo di
audit
Viene progettato e
sviluppato un insieme
completo di test ripetibili
Si perseguono una serie
di obiettivi di revisione e
controllo chiaramente
identificati
Integrare le analisi dei
dati come parte
fondamentale del
processo di audit
Pianificare i controlli
come parte del
programma definito
Progettare i test ai fini
degli obiettivi di
controllo individuati
Rivedere i programmi
sulla base dei risultati
dell’analisi
Validare la qualità dei
test eseguiti
Ottenere una miglior
comprensione in aree di
controllo mirate
Migliorare la qualità e
l'affidabilità dei test
Migliorare l'efficienza e
l'efficacia delle revisioni
Level 5
Monitoring
Level 4
Automated
Level 3
Managed
Level 2
Applied
Level 1
Basic
© 2011 Adfor Spa All rights reserved.
Livello 3: Managed
Caratteristiche
Processo
Benefici
L'elaborazione può
essere centralizzata o
locale
Presenza di un
ambiente sicuro per
memorizzare i dati
I contenuti dei controlli
sono condivisi all'interno
del team di lavoro
Definire la struttura del
repository dei dati, i
profili di accesso ai dati
e ai controlli
Accedere ai dati e
aggiornare le
procedure
Gestire la QA e il
controllo delle
modifiche ai test
Gestire la revisione
delle procedure di
analisi
Gestire tutti i contenuti
analitici di controllo in
un unico luogo sicuro
Eseguire più controlli e
più rapidamente
Puntare alla mitigazione
del rischio / sostenibilità
Level 5
Monitoring
Level 4
Automated
Level 3
Managed
Level 2
Applied
Level 1
Basic
© 2011 Adfor Spa All rights reserved.
Livello 4: Automated
Caratteristiche
Analisi ricorrenti e
programmate
Processi di audit da
ciclici a continui
Più gruppi di lavoro che
utilizzano i controlli
trasversali ai processo
di audit
Processo
Benefici
Avere una conoscenza
tempestiva dei risultati
dei controlli
Migliorare l'efficienza
del team di audit
attraverso
l'automazione
Aumentare gli obiettivi
di audit raggiunti
attraverso la
realizzazione di più
verifiche svolte
simultaneamente
Modificare le
procedure tradizionali
di auditing
Individuare le aree
oggetto del controllo
continuo
Rivedere
costantemente i
controlli a fronte dei
risultati e risolvere le
anomalie rilevate
Level 5
Monitoring
Level 4
Automated
Level 3
Managed
Level 2
Applied
Level 1
Basic
© 2011 Adfor Spa All rights reserved.
Livello 5: Monitoring
Caratteristiche
Processo
Benefici
Indirizzo delle anomalie
ai relativi “process
owner “
Monitoraggio e reporting
dei risultati dei controlli
e degli andamenti nel
tempo
Maggior utilizzo delle
analisi dei dati
trasversalmente
all’organizzazione
aziendale
Definire le
responsabilità del
business management
Determinare l'impatto
delle procedure di
controllo
Individuare gli
aggiustamenti dei
processi e la risposta
da attivare rispetto ai
risultati e alle anomalie
rilevate
Sviluppare una
partnership con i
“process owner” per
trasferire la conoscenza
delle problematiche
Ottenere una
risoluzione tempestiva
delle eccezioni
Fornire
all'organizzazione un
quadro più chiaro dei
rischi nei processi di
business
Level 5
Monitoring
Level 4
Automated
Level 3
Managed
Level 2
Applied
Level 1
Basic
© 2011 Adfor Spa All rights reserved.
ACL: Audit Analytic Capability Model
Level 55
Level
Monitoring
Monitoring
Solution 1
Data
Analysis
Level 44
Level
Solution 2
Applied
Analytics
Automate
Automate
dd
Solution 5
Continuous
Monitoring
Level 33
Level
Managed
Managed
Level 22
Level
Level 11
Level
Basic
Basic
© 2011 Adfor Spa All rights reserved.
Applied
Applied
Solution 3
Managed
Analytics
Solution 4
Continuous
Auditing
La soluzione completa
Managed Analytics
ACL
Data Analysis &
Applied Analytics
Automation – Built-in Analytic Scheduler
Server Analytic Processing Power
Content Management – Any File Type
Continuous Auditing
Componenti di
accesso
Continuous Monitoring
ERP
Accedere praticamente a
qualsiasi fonte e
automatizzare
l’acquisizione dei dati
Enterprise
Data
Legacy
ACL D/B Interfaces
Desktop
© 2011 Adfor Spa All rights reserved.
AuditExchange
Le componenti della soluzione
AX Core™ è il cuore della piattaforma AuditExchange di ACL. Sfruttando la sicurezza e la velocità del server
offre potenti funzionalità di elaborazione analitica, e la possibilità di pianificare e automatizzare facilmente i
processi di analisi. Tutti i controlli definiti e i dati elaborati vengono memorizzati nel repository centralizzato,
e possono essere oggetto di verifiche e indagini efficaci da parte di utilizzatori sia specializzati che occasionali.
ACL Desktop™ è universalmente riconosciuto come il software stand-alone leader per l’analisi dei dati per la
revisione contabile e finanziaria. Con una combinazione unica e potente di funzioni di analisi e di un semplice
linguaggio di scripting, ACL Desktop consente di ottenere una visibilità immediata, anche a livello di singola
transazione, dei dati critici per l'impresa. Parte integrante della piattaforma AuditExchange, consente di
effettuare analisi ad hoc e di predisporre schemi di analisi che possono essere memorizzati nel repository e
utilizzati da tutti i componenti di un team di audit e di revisione.
In AX Accelerators™ sono predefiniti numerosi script di validità generale utili per iniziare in tempi brevissimi
sia analisi ad hoc sia analisi ripetitive sulle transazioni di business più comuni in ogni tipo di impresa. Oltre alla
libreria di acceleratori fornita con AuditExchange, é disponibile mentre tramite ACL Services Group una vasta
gamma di strumenti di analisi applicati in centinaia di progetti reali, in contesti e per finalità differenti.
Potenziato con Informatica® PowerCenter®, leader mondiale della tecnologia ETL (Extract Transform and
Load), AX Datasource™ amplia e razionalizza la capacità di accesso a informazioni ricavabili da qualsiasi fonte,
includendo praticamente tutte le piattaforma e le strutture di dati. Le estrazione possono essere
programmate e automatizzate, richiedendo se necessario anche il mascheramento dei dati sensibili per
esigenze di privacy e sicurezza.
AX Link™ aiuta a risolvere le criticità di accesso ai dati del Sistema Gestionale SAP®, consentendo un
reperimento diretto e facilitato delle informazioni. Migliora il livello di indipendenza e flessibilità, favorendo
la possibilità di selezionare ed estrarre da SAP i dati di cui si ha bisogno nel momento in cui servono,
limitando le esigenze di supporto da parte delle risorse IT. AX Link è ufficialmente certificato per
l'integrazione con SAP.
AX Exception™ è la componente web-based che consente di indirizzare in modo semplice e automatico alle
funzioni interessate all'interno dell'azienda le eccezioni e le anomalie riscontrate durante l'analisi dei dati.
Oltre a migliorare l'efficienza del team di audit, il workflow automatizzato e opportunamente configurato
consente di gestire la distribuzione, l’assegnazione, l’escalation e la bonifica puntuale di ogni eccezione,
assicurando che nessuna di esse venga trascurata.
© 2011 Adfor Spa All rights reserved.
Scoprire una frode
Capire il contesto di riferimento
Individuare quale tipologia di frode potrebbe verificarsi
Identificare i “Red Flags” associati alle tipologie di frode
Eseguire i controlli per trovare le situazioni sospette (“Red flags”)
Risolvere i “Red flags” emersi dai test
Guardiano Capace
Fraud Triangle
Persona
Motivata
Presenza di una persona adeguatamente
motivata a commettere delle frodi
Guardiano
Capace
Assenza di un guardiano competente e
all’altezza della situazione
(Triangolo di Felson)
Persona Motivata
© 2011 Adfor Spa All rights reserved.
Obiettivo possibile
Obiettivo
possibile
Presenza di un target designato e possibile
Prevenire: i sette passi
11
Individuare i settori in cui le frodi si possono verificare e le
tipologie di frodi possibili di frodi, valutare l'esposizione per
l’impresa. Questa è in sostanza una fase di risk assessment.
22
Effettuare test mirati, sul 100% dei dati non su un
campione, per individuare gli indicatori di frode nei settori
individuati; sulla base di queste analisi condotte stabilire
una
valutazione dei rischi a cui prestare maggior
attenzione.
33
Identificare i controlli finalizzati a mitigare i
rischi, migliorare i controlli esistenti attraverso
il “controllo continuo”.
Sfruttare la tecnologia e l'automazione, si avrà più
tempo per la parte più significativa delle indagini:
44
quantificare i rischi, identificare e colpire le aree ad
alto rischio, creare cruscotti di monitoraggio dei
rischi
55
66
77
Ripetere tutti i passi per ampliare il perimetro e gli
obiettivi di analisi, per un miglioramento continuo.
Vigilare che i controlli siano effettivamente applicati per stabilirne
l’efficacia e i risultati, anche al fine di riesaminare lo stato
corrente e migliore le attività svolte
Comunicare l'attività di monitoraggio all’interno dell’organizzazione al fine di rendere consapevoli i dipendenti e i
fornitori del fatto che si stanno effettuando le analisi.
© 2011 Adfor Spa All rights reserved.
ACL e “Fraud Detection” in practice (1/2)
Pescare in un vasto volume di dati
Le prove di frodi potrebbero essere nascoste tra milioni di transazioni
Non fare affidamento su un approccio lotteria (a campione), è necessario
concentrarsi sul 100% delle operazioni
Utilizzare i comandi 'profiling' ACL per trovare le tendenze e le devianze
Utilizzare la funzione “filtri” di ACL sulle transazioni inusuali
Considerare più di un data set
Acquisire diversi insiemi di dati da analizzare da fonti e sistemi diversi
Utilizzare il comando “combining” di ACL per confrontare i dati tra di loro
© 2011 Adfor Spa All rights reserved.
ACL e “Fraud Detection” in practice (2/2)
Costruire un profilo delle frodi potenziali
Identificare le aree ad alto rischio
Analizzare i dati storici relativi alle frodi
Indagare all’interno / esterno dell'organizzazione
Guardare anche quello che sta succedendo altrove - i media, l'industria dei
gruppi
Sviluppare analisi per cercare possibili indicatori di frode
Massimizzare l’utilizzo delle funzioni ACL
Convertire le funzionalità di base in script più articolati e complessi
Affinare i controlli e ripetere nel tempo
Migliorare i controlli implementando un sistema di “Countinuous
Monitoring”
Non aspettare troppo tempo per rilevare la frode - potrebbe essere troppo
tardi
Creare le condizioni per poter intervenire in fase iniziale, prima che il danno
reale sia fatto
© 2011 Adfor Spa All rights reserved.
Aree di applicazione dell’Analisi dei Dati
Un malintenzionato intraprendente può cercare di sfruttare la
debolezza ovunque si trovino.
L’analisi dei dati con l’utilizzo della soluzione ACL si è dimostrata un
aiuto potente nel rilevamento delle frodi in una vasta gamma di processi
aziendali, tra cui:
Accounts Payable
Accounts Receivable
Bid Rigging
Cash Disbursements
Conflict of Interest
Credit Card Management
Customer Service
Management
Deposits
© 2011 Adfor Spa All rights reserved.
General Ledger
Kickbacks
Life Insurance
Loans
Materials Management
and Inventory Control
Policy and Administration
Purchase Order
Management
Real Estate Loans
Retail Loss Prevention
Salaries and Payroll
Sales Analysis
Travel Claims
Vendor Management
Work In Progress
Funzionalità di base di ACL per la “Fraud Detection”
Un certo numero di funzionalità di analisi specifici hanno dimostrato l'efficacia nel rilevare le frodi:
Calcolo dei parametri statistici come medie, deviazioni standard, i valori più alti e i più bassi per
identificare anomalie statistiche.
Classificazioni per trovare i modelli e le associazioni tra gruppi di dati.
Stratificazioni di valori numerici per identificare i valori insoliti rispetto a range prefissati.
Analisi digitale, utilizzando la legge di Benford, per identificare le occorrenze statisticamente
improbabili dei valori numerici.
“Joining” e matching dei dati provenienti da fonti o sistemi diversi, al fine di evidenziare
discrepanze.
“Duplicate” test che identifica le combinazioni semplici o complessi di duplicazioni
Lacune test per identificare salti di numerazione in una sequenza
“Aging”, per classificare secondo scadenze e intervalli temporali
Somma e Totale per verificare le quadrature
© 2011 Adfor Spa All rights reserved.
Un esempio pratico: lo scenario di frode
Catena europea di supermercati, che costituisce una delle
principali realtà della grande distribuzione.
L’esempio riprodotto proviene da un progetto e appartiene ad
un piano complesso di individuazione di errori e frodi
commesse in diverse aree: finance, magazzini,etc.
In particolare alcune delle frodi esaminate sono:
da parte dei dipendenti sugli acquisti (dipendente/fornitore)
sui processi di cassa (annulli,sospesi e sconto dipendenti)
ammanchi nei magazzini
aumenti di prezzo delle merci vendute
duplicati di ordini/pagamenti
pagamenti per merci non ordinate o non inviate
© 2011 Adfor Spa All rights reserved.
Un esempio pratico: I dati da verificare
© 2011 Adfor Spa All rights reserved.
Un esempio pratico: Verifica “Duplicate”
© 2011 Adfor Spa All rights reserved.
Un esempio pratico: Risultato della verifica “Duplicate”
© 2011 Adfor Spa All rights reserved.
Un esempio pratico: Il Log di ACL
© 2011 Adfor Spa All rights reserved.
Un esempio pratico: Dal log allo script
© 2011 Adfor Spa All rights reserved.
Un esempio pratico: Continuos Auditing
© 2011 Adfor Spa All rights reserved.
GRAZIE PER L’ATTENZIONE
[email protected]
Contattaci:
[email protected]
Visita i siti:
www.adfor.it
© 2011 Adfor Spa All rights reserved.
www.acl.com