19. studenog 2019.

1

1

Savjetovanje ovlaštenih revizora 2019

Prof.dr.sc. Mario Spremić

Sveučilište u Zagrebu

Ekonomski fakultet, Katedra za informatiku

Trg J.F.Kennedya 6, 10000 Zagreb

e-mail: mspremic@efzg.hr

web: http://www.efzg.hr/mspremic

linkedin: https://hr.linkedin.com/in/mariospremic

2

Ekonomski fakultet - Zagreb, Katedra za informatiku

› Redoviti profesor u trajnom zvanju

› Obrazovanje: dipl. inž, PMF - Matematika, Mr.sc. PDS IM, Dr.sc. EFZG

› Dodatno obrazovanje: MIT Sloan School of Management, EFMD Executive Academy(EADA Business School)

› Studijske posjete: Henley Business School, WU, TUM, Tech City London, NOVA SBE

› Gostujući profesor: EF Lj, FER, FOI, EFSA, Imperial College London, LaSapienza Rim, Shanghai University of International Business and Economics, NY University in Prag

Poslovno iskustvo: 1995 - 2001. Ledo d.d. (programer, sistem analitičar, sistem inženjer, voditelj projekata)

Akademske reference:

› 15 knjiga, preko 150 znanstv. i stručnih članaka

› Član prog. odbora i stalni recenzent radova na 20-ak međunarodnih znanstvenih konferencija i 10-ak znanstvenih časopisa

› Voditelj SPDS-a Informatički menadžment (www.efzg.hr/cio), BDiB studija (www.efzg.hr/bdib) i MMI studija (www.efzg.hr/mmi)

IT revizor i poslovni konzultant (digitalna transformacija poslovanja, revizija IS-a, cyberrizici, IT i strategija poslovanja) – CGEIT certifikat› Reference >2010: Konzum, Tisak, Podravka, Banka kovanica, Centar banka, Kreditna banka Zagreb, Partner banka,

Privredna banka Zagreb, Štedbanka, VABA Varaždinska banka, J&T banka, Karlovačka banka, Samoborska banka,

Jadranska banka, Zagrebačka burza - ZSE, SKDD, Izvor osiguranje, HMID, HUO, Mercedes leasing, SRC.SI, Agram

osiguranje, Allianz, Croatia osiguranje, Jadransko osiguranje, UNIQA osiguranje, HAC, Hoteli Babin kuk, Ministarstvo

prometa, Nova Kreditna banka Maribor, Federalna agencija za bankarstvo BiH, ….

19. studenog 2019.

2

3

Trendovi digitalne ekonomije

Primjena informacijskih tehnologija u reviziji

Metode procjene učinkovitosti informatičkih kontrola

› Primjena računalne podrške pri provedbi analitičkih testova

› CAAT alati računalna podrška provedbi revizije

Digitalna ekonomija

• Do kraja 2020 na svijetu će biti preko 30 milijarda međusobno povezanih

uređaja koji razmjenjuju podatke

• 90% od svih podataka na svijetu nastali su u posljednje dvije godine

• U svijetu je u 2018. godini stvoreno više podataka nego u prethodnih 5.000

godina čovječanstva

• Imamo li ljude koji znaju baratati tim golemim količinama podataka?

• “The illiterate of the 21st Century are not those who cannot read and write

but those who cannot…??”:

“…learn, unlearn and relearn.” (Alvin Toffler)

19. studenog 2019.

3

5

Robotics (robot process automation – RPA)

• World Robotics Report 2018

• 422.000 robots sold, sale value of 16,5 billion USD

• Average price of a robot – 39.000 USD

• Largest growth of 23% in Cobots segment (Cobots = collaborative

industrial robots) – robots designed to share working environment with

people

• For how long a pilot is doing the flyling on a commercial flight?

• RPA – for 3-7 minutes, other is done by a machine

Digital economy – we are living in exponential times

Digital economy – we are living in exponential times

• McKinsey (2018) – 45% of all activities on labor market can be

replaced with digital technologies, but just 5% can be fully

automated

• In 60% of all jobs, around 30% of activities can be automated

• Small number of jobs will disappear, but all will be transformed

• Learning and knowledge – key to success in digital economy

• Deloitte – 82% of organisations will use artificial intelligence (AI)

in the business by 2020

19. studenog 2019.

4

Digitalna ekonomija – krovni pojam za označavanje novih modela

poslovanja, proizvoda, usluga, tržišta i brzorastućih sektora, osobito onih

temeljenih na digitalnoj tehnologiji kao osnovnoj infrastrukturi poslovanja

Osnovne digitalne tehnologije – social, mobile, cloud, big data,

sensors (IoT)

Napredne (‘obećavajuće’) digitalne tehnologije – VR, AR, kognitivne

tehnologije (AI), machine learning, dronovi, robotika - RPA, addictive

manufacturing (3D printeri), robotika, blockchain, hologrami, nosive

tehnologije ….

• How Facebook Catches Bugs in Its 100 Million Lines of Code | WIRED

https://www.wired.com/story/facebook-zoncolan-static-analysis-tool/

• https://www.technologyreview.com/s/612427/the-rare-form-of-machine-

learning-that-can-spot-hackers-who-have-already-broken-in/amp/

• Casting the Dark Web in a New Light MIT Sloan Review

https://sloanreview.mit.edu/article/casting-the-dark-web-in-a-new-light/

19. studenog 2019.

5

9

Sustav sastavljen od niza komplementarnih

komponenti koji služi prikupljanju, obradi, pohranjivanju

i distribuciji informacija za potrebe provedbe poslovanja

i upravljanja nekim poslovnim subjektom

Funkcije informacijskih sustava:

› Provodi poslovne transakcije

› Dokumentira poslovne transakcije (pohrana podataka)

› Izvještava o stanju poslovanja

10

Informacijske tehnologije - materijalne komponente (hardver), algoritmi, alati i tehnike kojima se uz podršku dodanih usluga i aktivnosti provode određene (poslovne) aktivnosti

ICT – informacijska i komunikacijska tehnologija

Informacijski sustavi - Složeni sustavi sastavljeni od više cjelina (dijelova – hardware, software, dataware, netware, orgware, lifeware) koji svojim koordiniranim djelovanjem čine informacijsku infrastrukturu poslovanja

IT je podskup IS-a

19. studenog 2019.

6

11

Postoje li i jesu li učinkoviti mehanizmi upravljanja IS-om?

Jesu li podaci korektno obrađeni i korišteni (prijenos salda-konti – glavna knjiga)?

Jesu li su evidencije korektno obrađene (konta)?

Jesu li su u transakcijskim bazama vidljivi učinci provedbe transakcija (promjene

nastale izvršavanjem aplikacija – poslovnih procesa)?

Ima li duplih transakcija (duplih faktura, duplih kupaca i ostalih matičnih podataka)?

Ima li praznina među evidencijama podataka?

Prati li klijent neuobičajene transakcije? Može(te) li otkriti zloporabu?

Kada ste posljednji put provjerili rade li određeni algoritmi pomoću kojih se

automatizmom provode poslovne transakcije točno i pouzdano?

Postoji li mogućnost da netko neovlašten prati/mijenja/unosi podatke i programe?

Je li moguće da uređajima i ostaloj IT-i može pristupiti netko neovlašten, mijenjati

konfiguracije i ugroziti prijenos podataka?

Je li prijenos podataka među za poslovanje važnim aplikacijama siguran (koriste li se

sigurnosni protokoli, može li netko presresti i promijeniti podatke)?

Kakav je pristup sustavu/aplikaciji?

Je su li ulazni podaci potvrđeni i ispravni?

Je li mrežno okruženje sigurno i pouzdano za prijenos podataka? ……

12

CAATTs – (Computer Assisted Audit Tools and Techniques) –računalom podržane tehnike i alati revizije

CAATTs – (Computer Assisted Audit Tools and Techniques) – skup alata i tehnika koji se koriste u postupcima (bilo koje) provjere ili revizije s ciljem efikasnijeg rada revizora i poboljšanja rezultata njihova rada › Softver koji se koristi kako bi rad bio brži, točniji i efikasniji (analize

podataka, provedba testova)› Alati koji se koriste kako bi postupci revizije bili učinkovitiji i efikasniji -

CAATs – (Computer Assisted Audit Tools)› Osnovne operacije: preuzimanje podataka iz baze podataka,

selekcija/uzorkovanje, primjena matematičkih i statističkih funkcija u otkrivanju prijevara

› Tko ga koristi? Revizori, analitičari, poslovni forenzičari, kontroling funkcije, računovođe, informatičari

19. studenog 2019.

7

13

Tehnike za provjeru integriteta aplikacija

› Sustavi za testiranje točnosti

› Paralelne simulacije

› Testiranje cjelovitosti obrade

› Ugrađeni revizijski moduli (embedded audit modules)

› Analiza algoritma i programskog koda…

Tehnike za provjeru integriteta podataka

› Tehnike izdvajanja podataka

› Test podaci

› Tehnike otkrivanja pogrešaka

› Tehnike provedbe neprekidne revizije (continuous auditingtechniques)

14

Svrha: identifikacija grešaka/propusta, trendova, ostalih karakteristika podataka; provjera poslovnih procedura; optimizacija posl. procesa

Prednosti CAAT› proširenje broja/tipa provjera› proširenje opsega podataka za provjeru (prebir/preskok)› provjera ogromnog opsega podataka › kvaliteta kontrole (točnost,kompletnost, uočavanje “skrivenih”

pojava itd.) & ušteda vremena› korištenje “ugrađenih” (built-in) funkcija za analizu podataka› “računalo radi za nas”› pristup i obrada svih vrsta podataka i prikupljanje revizijskih dokaza› nepovredivost izvornih podataka

19. studenog 2019.

8

15

Jesu li podaci korektno obrađeni i korišteni (prijenos salda-konti –

glavna knjiga)?

Jesu li su evidencije korektno obrađene (konta)?

Jesu li su u transakcijskim bazama vidljivi učinci provedbe

transakcija (promjene nastale izvršavanjem aplikacija – poslovnih

procesa)?

Jesu li isti podaci na početku poslovanja i na početku programa?

Kakav je pristup sustavu/aplikaciji?

Je li aplikacija / program bio mijenjan?

Je su li ulazni podaci potvrđeni i ispravni?

Postoji li ugrađeni revizijski modul?

16

Jesu li podaci cjeloviti?

Uzorkovanje, analiza podataka, izvješćivanje

Sortiranje kontrola – traženje propusta u sortiranju

(matični broj kupca, broj računa, ..)

Evidencija duplikata – pretraživanje onih koji su platili dva

puta ili koji su platili više

Usporedba podataka

Ispitivanje i kontrola sadržaja podataka

› Alati ispitivanja: ‘data mining’, slojevitost, stratifikacija, traženje

iznimki (praznina, duplikata, ..), uzorkovanje, ..

Potvrđivanje ispravnosti i cjelovitosti podataka

19. studenog 2019.

9

17

Samostalno testiranje (točnost i ispravnost transakcija –aplikacija i podataka)

Metode (append, count, summarize, join, index/sort, duplication detection, selection, gaps, stratification, horizontal analysis, trend analysis, regression, corelation, rounded values, pivoting, sampling, BL)

Odabir uzorka› Nasumično uzorkovanje

› Intervalno uzorkovanje

› Slojevito nasumično uzorkovanje

› Monetarno jedinično uzorkovanje

Ispitivanje regulatorne podudarnosti› Stratifikacija – slojevi podataka temeljeni na nekom pre-definiranom

pravilu (count, sum, partial sum, percentage, najmanji, najveći….)

Metode provjere (revizije) podataka› Provjera duplikata

› Provjere zaokruživanjem (multiplikatori broja 5 ili 10)

18

Vjerojatnosti pojave određenih znamenki

na n-toj poziciji u brojčanoj vrijednosti

(npr. “1” -> 30%, “2”-> 17,6%... “9” -> 4,6%)

Odstupanja – moguća prijevara tj.

“namještanje” brojčanih vrijednosti

Benfordov zakon – vodeća znamenka x(x e [1..b − 1] ) baza b (b ≥ 2) se pojavljujes vjerojatnošću

P(x)=logb(x + 1) − logbx = logb((x + 1)/x)

P(z1)=log10(1+1/z1), z1e [1..9]

Znamenka

(z1)

Vjerojatnost

p(z1)

1 0,30103

2 0,17609

3 0,12494

4 0,09691

5 0,07918

6 0,06695

7 0,05799

8 0,05115

9 0,04576

19. studenog 2019.

10

19

Benfordov zakon – vjerojatnost pojavljivanja 2. znamenke

P(z2) =

9

11

22110 9..0z ),z1/z(1logz

Znamenka

(z2)

Vjerojatnost

p(z2)

0 0,11968

1 0,11389

2 0,10882

3 0,10433

4 0,10031

5 0,09668

6 0,09337

7 0,09035

8 0,08757

9 0,08500

20

Brojevi se trebaju odnositi na isti ili sličan uzorak

Brojevi ne smiju imati unaprijed određena minimalna ili maksimalna

ograničenja

Brojevi bi trebali nastati prirodnim slijedom, odnosno ne bi trebali biti

dodjeljivani prema nekom algoritmu (‘assigned numbers’)

Zakon se ne odnosi na brojeve nastale pod psihološkim utjecajem

Raznovrsne brojčane vrijednosti u skupu

› kompletnost uzorka

Minimalni utjecaj psiholoških činitelja

› npr. iznosi isplata na bankomatima, cijene u supermarketima,

prodajne cijene dionica – NE!

› iznosi računa u supermarketima, ukupan dnevni promet na burzi,

platne transakcije u platnom prometu – ovisno o tipu(?) – DA!

19. studenog 2019.

11

21

Dijagramski prikaz rezultata – usporedba s Benfordovom distribucijom

očekivana vrijednost (expected) stvarna vrijednost (actual)

22

Benfordov zakon - primjer

Primjer 2: First Two Digits Test

Višak znamenki 27, 28 i 29, manjak znamenki 30, 31, 32

19. studenog 2019.

12

23

SQL upit

› upit za izračun frekvencija prve znamenke

› SELECT SUBSTR(iznos,1,1),COUNT(*) FROMdplp WHERE datum BETWEEN ’01.10.2005.’ AND ’30.11.2005.’GROUP BY SUBSTR(iznos,1,1);

› optimizacija upita – korištenje indeksa (?)

Analiza odstupanja, mjera prihvatljivosti odstupanja (!)

24

Pranje novca/money laundry

› traženje velikih transakcija sa zaokruženim iznosima (npr. za zaokružene na 1000 => WHERE iznos_transakcije%1000=0) - ostatak dijeljenja/modul

› identifikacija velikih uplata - pomoću selekcije (WHERE) i raslojavanja (stratification) podataka

› identifikacija više platnih računa za istu osobu - duplicate key->exclusion

19. studenog 2019.

13

Hvala na pozornosti

Pitanja, komentari, prijedlozi, sugestije

Prof.dr.sc. Mario Spremić

Sveučilište u Zagrebu

Ekonomski fakultet, Katedra za informatiku

Trg J.F.Kennedya 6, 10000 Zagreb

e-mail: mspremic@efzg.hr

web: http://www.efzg.hr/mspremic

linkedin: https://hr.linkedin.com/in/mariospremic