Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Data mining

Fraud Auditing usando i CAAT

!
Fraud Auditing utilizzando i CAAT
Davide Magni
Milano, 18 aprile 2013
Associazione Italiana Information Systems Auditors
20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-­‐mail: [email protected] P.IVA 10899720154 C.F. 97109000154
Definizione di CAAT
CAAT = Computer-Assisted Audit Techniques
o
CAAT = Computer-Assisted Audit Tools
Questo termine si riferisce all’utilizzo di specifici software che possono
essere usati dagli auditor per raggiungere i propri obiettivi di verifica.
I CAAT possono essere classificati in quattro grosse categorie:
•  Software di Data Analysis
•  Utility per la valutazione della sicurezza delle reti
•  Utility per la valutazione della sicurezza dei sistemi e DBMS
•  Tool per il testing del software e del codice
Materiale didattico ad uso esclusivo dell’AIIA
2
!
Software di Data Analysis
I software di Data Analysis sono sicuramente i più diffusi nell’ambito
dell’audit e possono essere utilizzati in svariati contesti (spesso sono
anche chiamati GAS - Generalized Audit Software).
La loro caratteristica principale è la capacità di estrarre i dati da tutti i
formati più diffusi e di effettuare delle analisi tramite query sui dati e altre
funzioni specifiche quali:
•  stratificazione di dati
•  estrazione di campioni
•  calcoli statistici
•  Identificazione di sequenze mancanti
Materiale didattico ad uso esclusivo dell’AIIA
3
!
Approccio tradizionale vs CAAT
Ci sono circostanze per cui l’utilizzo di tecniche basate su strumenti
informatici è quasi imprescindibile:
•  Journal Entries Test
•  Movimentazione di magazzino
•  Migrazioni dati
L’integrità dei dati può essere intaccata da vari fattori:
• 
• 
• 
• 
bachi nella logica dei programmi
errori di data entry
frodi
altre manipolazioni
La potenza dei CAAT risiede nella capacità di fare un audit in modo
efficiente su grosse moli di dati
Materiale didattico ad uso esclusivo dell’AIIA
4
!
Benefici dei CAAT
Cosa consentono di fare i CAAT?
• 
• 
• 
• 
• 
Importare archivi di moltissimi formati
Effettuare totalizzazioni od aggregazioni di dati
Effettuare statistiche, ordinamenti o estrazioni
Esportare dati in diversi formati
Effettuare selezioni numeriche e statistiche
• 
• 
• 
• 
Effettuare controlli di validità
Mettere in relazione più archivi
Documentare in automatico il lavoro svolto
Automatizzare una serie di funzioni con la creazione di batch o script
Materiale didattico ad uso esclusivo dell’AIIA
5
!
Esempi di Tool – Data Analysis
Sul mercato sono presenti doversi strumenti per l’analisi dei dati:
1. Audit Command Language
2. Interactive Data Instruction Analysis (IDEA)
3. EnCase Forensic
4. Arbutus Analyser
Materiale didattico ad uso esclusivo dell’AIIA
6
!
Utilizzo dei CAAT per l’individuazione delle frodi
Materiale didattico ad uso esclusivo dell’AIIA
7
!
L’impatto delle frodi sulle aziende
Secondo quanto riportato nel 2012 Report to the Nations, indagine prodotta dalla ACFE* e
condotta su 1,388 casi di presunte frodi investigate tra gennaio 2010 e dicembre 2011:
•  si stima che il comportamento fraudolento del proprio personale costi mediamente ad un
azienda il 5% del fatturato ogni anno. Tuttavia si deve tenere presente l’impossibilità di
determinare l’esatta dimensione del fenomeno, poiché una percentuale non quantificabile
dei reati subiti dalle aziende non viene scoperto. Il timore di danneggiare l’immagine
aziendale, inoltre, induce le organizzazioni a non rendere di pubblico dominio i crimini
individuati per non palesare l inadeguatezza dei meccanismi di controllo
•  La perdita media rilevata dal rapporto si attesta intorno ai $140.000. Più di un quinto
delle frodi hanno generato perdite per almeno $1 mln
•  Le più ricorrenti tipologie di frode sono l’appropriazione indebita (87%), che
rappresentano anche la forma meno costosa di frode, con una perdita media di $120k
•  Le frodi sul Financial Statement si attestano sul 8% dei casi ma rappresentano la
categoria più onerosa con una perdita media di oltre $1 mln
•  La durata media di una frode è di circa 18 mesi prima di essere scoperta
* “2012 Report to the Nations on Occupational Fraud and Abuse” by
Association of Certified Fraud Examiners
Materiale didattico ad uso esclusivo dell’AIIA
8
!
Principali strumenti per l’identificazione delle frodi
Materiale didattico ad uso esclusivo dell’AIIA
9
!
Frode o errore?
Frode
Errore
•  Atto intenzionale portato a •  Atto non intenzionale che si
termine da una persona o da più
traduce in:
persone tra il management, gli
•  Errore nella raccolta o gestione di
organi di controllo, dipendenti o
dati per la generazione dei
terze parti
financial reports
•  Utilizzo dell’inganno per ottenere
un vantaggio/profitto ingiusto
•  Errata valorizzazione di un dato
contabile dovuta ad un errata
interpretazione dei fatti
•  Errata applicazione dei principi
contabili
•  Potrebbe accadere indistintamente
a tutti i dipendenti
Materiale didattico ad uso esclusivo dell’AIIA
10
!
Perché gestire il rischio di frode?
Quali sono le possibili conseguenze della frode per le aziende?
• 
Perdite economiche ingenti
• 
Perdita della reputazione
• 
Fallimento dell’azienda
• 
Azioni legali
• 
Conseguenze penali
Materiale didattico ad uso esclusivo dell’AIIA
11
!
Mitigazione del rischio di frode
Quali sono le principali azioni per mitigare il rischio di frode?
•  Creare una cultura di onestà ed eticità
•  Implementare processi e controlli antifrode
•  Sviluppare un adeguato processo di supervisione
Materiale didattico ad uso esclusivo dell’AIIA
12
!
Perché gestire il rischio di frode?
Negli ultimi anni si è visto un incremento in:
• 
• 
• 
• 
• 
casi di frodi in aziende di alto profilo
complessità dei sistemi informativi e dei volumi transazionali
affidamento interno su controlli programmati
aspettative sul monitoring dei controlli interni
attenzione da parte degli stakeholders, auditor e organi regolatori.
Pertanto, l’efficacia dei controlli interni e l’aggiramento dei controlli da parte
del management sono un’area chiave di focalizzazione, soprattutto per i
processi ad alto rischio delle scritture contabili.
Materiale didattico ad uso esclusivo dell’AIIA
13
!
Identificare
frode di frode?
Come
gestireuna
il rischio
Red Flags
Una bandierina è una circostanza o un comportamento che può
essere associato con un tentativo di frode.
In assenza di appropriate bandierine, un audit sulle frodi rischia di
diventare come la ricerca di un ago in un pagliaio.
L’accurata identificazione di una lista di red flags è fondamentale per
il successo di un audit sulle frodi
Materiale didattico ad uso esclusivo dell’AIIA
14
!
Principali drivers – ISA240
Il principio di revisione internazionale 240 (ISA240) in merito alle scritture
contabili e rettifiche afferma che
“… gli errori significativi nel bilancio dovuti a frodi spesso implicano una
manipolazione del processo di predisposizione dell’informativa finanziaria
mediante la registrazione di scritture contabili non appropriate ovvero non
autorizzate.”
Per far fronte al rischio di management override dei controlli, si dovrebbero
prevedere procedure di audit per:
(1) testare l’appropriatezza delle scritture contabili presenti nel libro
contabile ed altre rettifiche fatte in preparazione del bilancio;
(2) Rivedere le stime contabili per individuare errori sistematici che
possono determinare errori significativi dovuti a frode;
(3) Valutare i razionali di business per individuare transazioni inusuali
significative
International Standard on Audit 240 - The Auditor’s responsibilities relating to
fraud in an audit of Financial Statement
Materiale didattico ad uso esclusivo dell’AIIA
15
!
Principali drivers – ISA240
A proposito delle procedure di revisione in risposta ai rischi identificati e
valutati di errori significativi dovuti a frodi, l’ISA240 afferma che:
“… può risultare appropriato aumentare la dimensione dei campioni ovvero
svolgere procedure di analisi comparativa ad un livello più dettagliato.
Inoltre, le procedure di revisione basate su tecniche computerizzate
possono consentire verifiche più ampie di operazioni avvenute
elettronicamente e di archivi contabili elettronici.
Tali tecniche possono essere utilizzate per selezionare campioni di operazioni
dai principali archivi elettronici, per estrarre operazioni con caratteristiche
specifiche ovvero per sottoporre a verifica l’intera popolazione anziché un
campione della stessa.
Materiale didattico ad uso esclusivo dell’AIIA
16
!
Principali drivers – ISA240
Per quanto riguarda le caratteristiche delle scritture contabili e delle
rettifiche di natura fraudolenta, l’ISA240 afferma che:
… le scritture contabili o altre rettifiche non appropriate presentano spesso
caratteristiche identificative peculiari. Tali caratteristiche possono comprendere
scritture:
a)  effettuate in contropartita di conti non pertinenti, inusuali o utilizzati raramente
b)  effettuate da soggetti che normalmente non si occupano di scritture contabili;
c)  registrate alla fine del periodo amministrativo ovvero come scritture di chiusura
accompagnate da spiegazioni o descrizioni scarse o del tutto assenti
d)  effettuate prima o durante la redazione del bilancio, ma in entrambi i casi prive
di indicazioni di codifica di conto
e)  contengano importi a cifra tonda o con cifre finali ripetute
Materiale didattico ad uso esclusivo dell’AIIA
17
!
Principali drivers – ISA240
Inoltre in merito alla natura e alla complessità dei conti, l’ISA240 dice:
… le scritture contabili o le rettifiche non appropriate possono essere imputate in
conti che
a)  contengono operazioni di natura complessa o inusuale
b)  contengono stime e rettifiche di fine periodo significative
c)  nel passato si sono rivelati soggetti a errori
d)  non sono stati riconciliati periodicamente ovvero contengono differenze non
riconciliate
e)  contengono operazioni infragruppo
f)  siano altrimenti associati ad un rischio identificato di errore significativo dovuto
a frode.
Nella revisione di imprese che dispongono di più sedi aziendali o componenti,
occorre considerare la necessità di selezionare scritture contabili da più sedi; …
Materiale didattico ad uso esclusivo dell’AIIA
18
!
Passi procedurali
I passi da seguire per impostare un’analisi di frode con approccio CAAT:
• 
Definire gli obiettivi di audit
• 
• 
Discutere con il proprietario dei dati ed eventualmente un sistemista
Identificare i campi di input per l’analisi
• 
• 
Richiedere una estrazione dei dati
Verificare l’integrità dei dati importati
• 
• 
Definire i parametri da applicare per l’analisi dei dati
Analizzare i dati
Materiale didattico ad uso esclusivo dell’AIIA
19
!
Campi di input
Sulla base delle indicazioni ricavate dall’ISA240 possiamo identificare i seguenti
campi di input:
a)  effettuate in contropartita di conti non pertinenti, inusuali o utilizzati raramente
•  Codice conto
b)  effettuate da soggetti che normalmente non si occupano di scritture contabili
•  Codice utente
c)  registrate alla fine del periodo amministrativo ovvero come scritture di chiusura
•  Data registrazione
d)  accompagnate da spiegazioni o descrizioni scarse o del tutto assenti
•  Descrizione
e)  effettuate prima o durante la redazione del bilancio, ma in entrambi i casi prive
di indicazioni di codifica di conto
•  Data registrazione e Codice conto
f) 
contengano importi a cifra tonda o con cifre finali ripetute
•  Importo
Materiale didattico ad uso esclusivo dell’AIIA
20
!
Estrazione dei dati
L’utilizzo di strumenti informatici per le attività di audit presuppone la disponibilità dei
dati estratti dai sistemi informativi aziendali.
Gli strumenti CAAT sono solitamente in grado di gestire diversi formati di input:
• 
• 
• 
• 
• 
• 
• 
formato testo
csv
ODBC
Excel
XML
PDF
Formato report
In alcuni casi è anche possibile un accesso diretto ai dati di produzione (in modalità
read-only) con degli appositi connettori per i principali software ERP (e.g. SAP).
In questo modo è possibile automatizzare il processo di scarico dei dati secondo delle
scadenze prestabilite (giornaliere, settimanali, mensili)
Materiale didattico ad uso esclusivo dell’AIIA
21
!
Integrità dei dati
Prima di poter utilizzare i dati estratti, è necessario assicurarsi che i dati caricati nel
sistema di analisi siano identici a quelli presenti nel sistema di produzione per
verificare che non ci siano stati problemi in fase di estrazione o di importazione.
È necessario pertanto effettuare controlli incrociati sui dati o riconciliazioni per
accertarsi dell’integrità dei dati.
Nel caso di estrazioni di scritture contabili, un approccio adottabile è quello di
effettuare una quadratura dei dati con un bilancino di verifica
Sistema Contabile
CAAT
1) BdV
Materiale didattico ad uso esclusivo dell’AIIA
Dati aggregati
22
!
Parametri per l’analisi dei dati
Per poter effettuare l’analisi dei dati, è necessario tradurre i principi indicati dall’ISA240
in precisi parametri per consentire l’identificazione delle scritture potenzialmente
fraudolente:
Come identificare un conto utilizzato raramente?
•  Numero massimo di scritture fatte su un conto: 12
Come identificare un utente inusuale?
•  Numero massimo di scritture effettuate da un utente: 12
Come identificare una descrizione inadeguata?
•  Numero massimo di caratteri: 5
Come identificare un importo a cifra tonda?
•  Numero minimo di zeri in coda all’importo: 5
Per determinare una corretta valorizzazione di questi parametri, è necessario avere
una buona conoscenza della base dati che si sta utilizzando
Materiale didattico ad uso esclusivo dell’AIIA
23
!
Analisi dei dati
Gli strumenti CAAT mettono a disposizione un serie di funzionalità predefinite per
effettuare una veloce analisi dei dati.
Inoltre solitamente dispongono di specifiche funzioni che consentono applicare delle
operazioni sui campi di input (senza modificarli) per effettuare analisi più complesse.
Potremmo pertanto:
•  Classificare i conti economici sui quali sono state effettuate meno scritture
•  Individuare gli utenti che hanno effettuato meno scritture
•  Verificare la lunghezza e il contenuto di determinati campi (e.g. presenza di
parole sospette in un campo)
•  Effettuare operazioni sulle date
•  Applicare filtri sulle selezioni
•  Mettere in relazione diverse tabelle
•  ….
Inoltre questi strumenti consentono di raggruppare una serie di comandi all’interno di
uno script per poter automatizzare le operazioni più ripetitive. Questo approccio
risulta particolarmente utile nell’ottica di implementare un processo di auditing
continuo a intervalli prefissati
Materiale didattico ad uso esclusivo dell’AIIA
24
!
Analisi dei dati - Legge di Benford
La legge di Benford è una legge matematica che riguarda la probabilità che
un numero, nell’ambito di raccolte di dati reali, cominci con una determinata
cifra.
In sostanza la legge ci dice che la frequenza con cui una determinata cifra
compare come prima cifra di un numero, non è casuale. Ad esempio la cifra
1 appare circa il 30% delle volte come prima cifra nell’ambito di un ampio
insieme di numeri. La cifra 2 compare circa il 18% delle volte e così a
decrescere fino alla cifra 9 che compare circa il 4% delle volte.
La legge di Benford è applicabile anche alle prime due cifre di un numero
mantenendo invariata formula e modificando l intervallo di validità.
Materiale didattico ad uso esclusivo dell’AIIA
25
!
Analisi dei dati - Legge di Benford
La legge si traduce nella seguente funzione di probabilità:
P(n) = log10(n + 1) − log10(n) = log10(1 + 1 / n)
Di conseguenza la distribuzione attesa risulta
n
P(x=n)
n
P(x=n)
1
30,1%
10
4,1%
2
17,6%
11
3,8%
3
12,5%
12
3,5%
4
9,7%
13
3,2%
5
7,9%
14
3,0%
6
6,7%
…
7
5,8%
…
8
5,1%
98
0,44%
9
4,6%
99
0,436%
Materiale didattico ad uso esclusivo dell’AIIA
26
!
Analisi dei dati - Legge di Benford
La legge di Benford introduce un’ulteriore possibilità di indagine per
individuare le frodi.
Questa legge ha trovato riscontri su molti insiemi di dati reali (superfici dei
fiumi, popolazioni, etc.)
Dal momento che questa regola non è molto intuitiva, spesso chi “inventa” i
numeri tende a produrre una distribuzione casuale che non rispecchia le
casistiche reali.
Quindi se la distribuzione delle prime cifre dei nostri numeri presenta delle
significative discrepanze con la legge di Benford, può essere dovuto a
manipolazione di dati o frode
La legge di Benford è stata utilizzata con successo dall’agenzia delle entrate
americana per verificare l’attendibilità delle dichiarazioni dei redditi.
Materiale didattico ad uso esclusivo dell’AIIA
27
!
Analisi dei dati - Legge di Benford
Ci sono alcune regole che il nostro insieme di dati deve rispettare affinché si
possa applicare la legge di Benford:
•  i dati devono rappresentare fenomeni simili
•  i dati non devono avere un valore minimo e massimo definiti
•  i dati non devono essere numeri predefiniti (devono essere di natura
causale)
•  i dati devono contenere più valori piccoli che grandi
Materiale didattico ad uso esclusivo dell’AIIA
28
!
Conclusioni
I CAAT costituiscono uno strumento efficiente ed efficace nelle mani degli
internal auditor per raggiungere i propri obiettivi di audit.
Alcuni vantaggi del loro utilizzo nell’audit di frodi (e non solo):
•  possono essere utilizzati per esaminare il 100% dei dati (non solo un
campione casuale)
•  utilizzano comandi e procedure familiari agli auditor (curva di
apprendimento breve)
•  gli strumenti più avanzati consentono di documentare in automatico i
risultati di audit (log delle operazioni)
•  possono importare molti formati di dati
•  utilizzano solitamente una copia dei dati e non consentono la modifica
(read-only)
•  consentono di automatizzare l’esecuzione dei test (tramite script)
Materiale didattico ad uso esclusivo dell’AIIA
29
!
Q&A
Materiale didattico ad uso esclusivo dell’AIIA
30
!
Documenti correlati
quarta - a - b - economia aziendale
quarta - a - b - economia aziendale
Dichiarazione di conoscenza della Lingua Inglese
Dichiarazione di conoscenza della Lingua Inglese
Corso di Business English
Corso di Business English
Dipartimento - Università di Pisa
Dipartimento - Università di Pisa
Appunti Lezioni
Appunti Lezioni
Seconda Università degli Studi di Napoli Dipartimento di Economia
Seconda Università degli Studi di Napoli Dipartimento di Economia
le parole del diritto e dell`economia
le parole del diritto e dell`economia
Distinguersi è una necessità
Distinguersi è una necessità
Storia Economica 2
Storia Economica 2
pdf (it, 32 KB, 14/07/15)
pdf (it, 32 KB, 14/07/15)
modulo iscrizione convegno Influenza A (H1N1): il virus, il suino e l
modulo iscrizione convegno Influenza A (H1N1): il virus, il suino e l
Brochure corso serale - IISS Fermi-Nervi-Cassandro
Brochure corso serale - IISS Fermi-Nervi-Cassandro
Scarica