Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
19. studenog 2019.
1
1
Savjetovanje ovlaštenih revizora 2019
Prof.dr.sc. Mario Spremić
Sveučilište u Zagrebu
Ekonomski fakultet, Katedra za informatiku
Trg J.F.Kennedya 6, 10000 Zagreb
e-mail: [email protected]
web: http://www.efzg.hr/mspremic
linkedin: https://hr.linkedin.com/in/mariospremic
2
Ekonomski fakultet - Zagreb, Katedra za informatiku
› Redoviti profesor u trajnom zvanju
› Obrazovanje: dipl. inž, PMF - Matematika, Mr.sc. PDS IM, Dr.sc. EFZG
› Dodatno obrazovanje: MIT Sloan School of Management, EFMD Executive Academy(EADA Business School)
› Studijske posjete: Henley Business School, WU, TUM, Tech City London, NOVA SBE
› Gostujući profesor: EF Lj, FER, FOI, EFSA, Imperial College London, LaSapienza Rim, Shanghai University of International Business and Economics, NY University in Prag
Poslovno iskustvo: 1995 - 2001. Ledo d.d. (programer, sistem analitičar, sistem inženjer, voditelj projekata)
Akademske reference:
› 15 knjiga, preko 150 znanstv. i stručnih članaka
› Član prog. odbora i stalni recenzent radova na 20-ak međunarodnih znanstvenih konferencija i 10-ak znanstvenih časopisa
› Voditelj SPDS-a Informatički menadžment (www.efzg.hr/cio), BDiB studija (www.efzg.hr/bdib) i MMI studija (www.efzg.hr/mmi)
IT revizor i poslovni konzultant (digitalna transformacija poslovanja, revizija IS-a, cyberrizici, IT i strategija poslovanja) – CGEIT certifikat› Reference >2010: Konzum, Tisak, Podravka, Banka kovanica, Centar banka, Kreditna banka Zagreb, Partner banka,
Privredna banka Zagreb, Štedbanka, VABA Varaždinska banka, J&T banka, Karlovačka banka, Samoborska banka,
Jadranska banka, Zagrebačka burza - ZSE, SKDD, Izvor osiguranje, HMID, HUO, Mercedes leasing, SRC.SI, Agram
osiguranje, Allianz, Croatia osiguranje, Jadransko osiguranje, UNIQA osiguranje, HAC, Hoteli Babin kuk, Ministarstvo
prometa, Nova Kreditna banka Maribor, Federalna agencija za bankarstvo BiH, ….
19. studenog 2019.
2
3
Trendovi digitalne ekonomije
Primjena informacijskih tehnologija u reviziji
Metode procjene učinkovitosti informatičkih kontrola
› Primjena računalne podrške pri provedbi analitičkih testova
› CAAT alati računalna podrška provedbi revizije
Digitalna ekonomija
• Do kraja 2020 na svijetu će biti preko 30 milijarda međusobno povezanih
uređaja koji razmjenjuju podatke
• 90% od svih podataka na svijetu nastali su u posljednje dvije godine
• U svijetu je u 2018. godini stvoreno više podataka nego u prethodnih 5.000
godina čovječanstva
• Imamo li ljude koji znaju baratati tim golemim količinama podataka?
• “The illiterate of the 21st Century are not those who cannot read and write
but those who cannot…??”:
“…learn, unlearn and relearn.” (Alvin Toffler)
19. studenog 2019.
3
5
Robotics (robot process automation – RPA)
• World Robotics Report 2018
• 422.000 robots sold, sale value of 16,5 billion USD
• Average price of a robot – 39.000 USD
• Largest growth of 23% in Cobots segment (Cobots = collaborative
industrial robots) – robots designed to share working environment with
people
• For how long a pilot is doing the flyling on a commercial flight?
• RPA – for 3-7 minutes, other is done by a machine
Digital economy – we are living in exponential times
Digital economy – we are living in exponential times
• McKinsey (2018) – 45% of all activities on labor market can be
replaced with digital technologies, but just 5% can be fully
automated
• In 60% of all jobs, around 30% of activities can be automated
• Small number of jobs will disappear, but all will be transformed
• Learning and knowledge – key to success in digital economy
• Deloitte – 82% of organisations will use artificial intelligence (AI)
in the business by 2020
19. studenog 2019.
4
Digitalna ekonomija – krovni pojam za označavanje novih modela
poslovanja, proizvoda, usluga, tržišta i brzorastućih sektora, osobito onih
temeljenih na digitalnoj tehnologiji kao osnovnoj infrastrukturi poslovanja
Osnovne digitalne tehnologije – social, mobile, cloud, big data,
sensors (IoT)
Napredne (‘obećavajuće’) digitalne tehnologije – VR, AR, kognitivne
tehnologije (AI), machine learning, dronovi, robotika - RPA, addictive
manufacturing (3D printeri), robotika, blockchain, hologrami, nosive
tehnologije ….
• How Facebook Catches Bugs in Its 100 Million Lines of Code | WIRED
https://www.wired.com/story/facebook-zoncolan-static-analysis-tool/
• https://www.technologyreview.com/s/612427/the-rare-form-of-machine-
learning-that-can-spot-hackers-who-have-already-broken-in/amp/
• Casting the Dark Web in a New Light MIT Sloan Review
https://sloanreview.mit.edu/article/casting-the-dark-web-in-a-new-light/
19. studenog 2019.
5
9
Sustav sastavljen od niza komplementarnih
komponenti koji služi prikupljanju, obradi, pohranjivanju
i distribuciji informacija za potrebe provedbe poslovanja
i upravljanja nekim poslovnim subjektom
Funkcije informacijskih sustava:
› Provodi poslovne transakcije
› Dokumentira poslovne transakcije (pohrana podataka)
› Izvještava o stanju poslovanja
10
Informacijske tehnologije - materijalne komponente (hardver), algoritmi, alati i tehnike kojima se uz podršku dodanih usluga i aktivnosti provode određene (poslovne) aktivnosti
ICT – informacijska i komunikacijska tehnologija
Informacijski sustavi - Složeni sustavi sastavljeni od više cjelina (dijelova – hardware, software, dataware, netware, orgware, lifeware) koji svojim koordiniranim djelovanjem čine informacijsku infrastrukturu poslovanja
IT je podskup IS-a
19. studenog 2019.
6
11
Postoje li i jesu li učinkoviti mehanizmi upravljanja IS-om?
Jesu li podaci korektno obrađeni i korišteni (prijenos salda-konti – glavna knjiga)?
Jesu li su evidencije korektno obrađene (konta)?
Jesu li su u transakcijskim bazama vidljivi učinci provedbe transakcija (promjene
nastale izvršavanjem aplikacija – poslovnih procesa)?
Ima li duplih transakcija (duplih faktura, duplih kupaca i ostalih matičnih podataka)?
Ima li praznina među evidencijama podataka?
Prati li klijent neuobičajene transakcije? Može(te) li otkriti zloporabu?
Kada ste posljednji put provjerili rade li određeni algoritmi pomoću kojih se
automatizmom provode poslovne transakcije točno i pouzdano?
Postoji li mogućnost da netko neovlašten prati/mijenja/unosi podatke i programe?
Je li moguće da uređajima i ostaloj IT-i može pristupiti netko neovlašten, mijenjati
konfiguracije i ugroziti prijenos podataka?
Je li prijenos podataka među za poslovanje važnim aplikacijama siguran (koriste li se
sigurnosni protokoli, može li netko presresti i promijeniti podatke)?
Kakav je pristup sustavu/aplikaciji?
Je su li ulazni podaci potvrđeni i ispravni?
Je li mrežno okruženje sigurno i pouzdano za prijenos podataka? ……
12
CAATTs – (Computer Assisted Audit Tools and Techniques) –računalom podržane tehnike i alati revizije
CAATTs – (Computer Assisted Audit Tools and Techniques) – skup alata i tehnika koji se koriste u postupcima (bilo koje) provjere ili revizije s ciljem efikasnijeg rada revizora i poboljšanja rezultata njihova rada › Softver koji se koristi kako bi rad bio brži, točniji i efikasniji (analize
podataka, provedba testova)› Alati koji se koriste kako bi postupci revizije bili učinkovitiji i efikasniji -
CAATs – (Computer Assisted Audit Tools)› Osnovne operacije: preuzimanje podataka iz baze podataka,
selekcija/uzorkovanje, primjena matematičkih i statističkih funkcija u otkrivanju prijevara
› Tko ga koristi? Revizori, analitičari, poslovni forenzičari, kontroling funkcije, računovođe, informatičari
19. studenog 2019.
7
13
Tehnike za provjeru integriteta aplikacija
› Sustavi za testiranje točnosti
› Paralelne simulacije
› Testiranje cjelovitosti obrade
› Ugrađeni revizijski moduli (embedded audit modules)
› Analiza algoritma i programskog koda…
Tehnike za provjeru integriteta podataka
› Tehnike izdvajanja podataka
› Test podaci
› Tehnike otkrivanja pogrešaka
› Tehnike provedbe neprekidne revizije (continuous auditingtechniques)
14
Svrha: identifikacija grešaka/propusta, trendova, ostalih karakteristika podataka; provjera poslovnih procedura; optimizacija posl. procesa
Prednosti CAAT› proširenje broja/tipa provjera› proširenje opsega podataka za provjeru (prebir/preskok)› provjera ogromnog opsega podataka › kvaliteta kontrole (točnost,kompletnost, uočavanje “skrivenih”
pojava itd.) & ušteda vremena› korištenje “ugrađenih” (built-in) funkcija za analizu podataka› “računalo radi za nas”› pristup i obrada svih vrsta podataka i prikupljanje revizijskih dokaza› nepovredivost izvornih podataka
19. studenog 2019.
8
15
Jesu li podaci korektno obrađeni i korišteni (prijenos salda-konti –
glavna knjiga)?
Jesu li su evidencije korektno obrađene (konta)?
Jesu li su u transakcijskim bazama vidljivi učinci provedbe
transakcija (promjene nastale izvršavanjem aplikacija – poslovnih
procesa)?
Jesu li isti podaci na početku poslovanja i na početku programa?
Kakav je pristup sustavu/aplikaciji?
Je li aplikacija / program bio mijenjan?
Je su li ulazni podaci potvrđeni i ispravni?
Postoji li ugrađeni revizijski modul?
16
Jesu li podaci cjeloviti?
Uzorkovanje, analiza podataka, izvješćivanje
Sortiranje kontrola – traženje propusta u sortiranju
(matični broj kupca, broj računa, ..)
Evidencija duplikata – pretraživanje onih koji su platili dva
puta ili koji su platili više
Usporedba podataka
Ispitivanje i kontrola sadržaja podataka
› Alati ispitivanja: ‘data mining’, slojevitost, stratifikacija, traženje
iznimki (praznina, duplikata, ..), uzorkovanje, ..
Potvrđivanje ispravnosti i cjelovitosti podataka
19. studenog 2019.
9
17
Samostalno testiranje (točnost i ispravnost transakcija –aplikacija i podataka)
Metode (append, count, summarize, join, index/sort, duplication detection, selection, gaps, stratification, horizontal analysis, trend analysis, regression, corelation, rounded values, pivoting, sampling, BL)
Odabir uzorka› Nasumično uzorkovanje
› Intervalno uzorkovanje
› Slojevito nasumično uzorkovanje
› Monetarno jedinično uzorkovanje
Ispitivanje regulatorne podudarnosti› Stratifikacija – slojevi podataka temeljeni na nekom pre-definiranom
pravilu (count, sum, partial sum, percentage, najmanji, najveći….)
Metode provjere (revizije) podataka› Provjera duplikata
› Provjere zaokruživanjem (multiplikatori broja 5 ili 10)
18
Vjerojatnosti pojave određenih znamenki
na n-toj poziciji u brojčanoj vrijednosti
(npr. “1” -> 30%, “2”-> 17,6%... “9” -> 4,6%)
Odstupanja – moguća prijevara tj.
“namještanje” brojčanih vrijednosti
Benfordov zakon – vodeća znamenka x(x e [1..b − 1] ) baza b (b ≥ 2) se pojavljujes vjerojatnošću
P(x)=logb(x + 1) − logbx = logb((x + 1)/x)
P(z1)=log10(1+1/z1), z1e [1..9]
Znamenka
(z1)
Vjerojatnost
p(z1)
1 0,30103
2 0,17609
3 0,12494
4 0,09691
5 0,07918
6 0,06695
7 0,05799
8 0,05115
9 0,04576
19. studenog 2019.
10
19
Benfordov zakon – vjerojatnost pojavljivanja 2. znamenke
P(z2) =
9
11
22110 9..0z ),z1/z(1logz
Znamenka
(z2)
Vjerojatnost
p(z2)
0 0,11968
1 0,11389
2 0,10882
3 0,10433
4 0,10031
5 0,09668
6 0,09337
7 0,09035
8 0,08757
9 0,08500
20
Brojevi se trebaju odnositi na isti ili sličan uzorak
Brojevi ne smiju imati unaprijed određena minimalna ili maksimalna
ograničenja
Brojevi bi trebali nastati prirodnim slijedom, odnosno ne bi trebali biti
dodjeljivani prema nekom algoritmu (‘assigned numbers’)
Zakon se ne odnosi na brojeve nastale pod psihološkim utjecajem
Raznovrsne brojčane vrijednosti u skupu
› kompletnost uzorka
Minimalni utjecaj psiholoških činitelja
› npr. iznosi isplata na bankomatima, cijene u supermarketima,
prodajne cijene dionica – NE!
› iznosi računa u supermarketima, ukupan dnevni promet na burzi,
platne transakcije u platnom prometu – ovisno o tipu(?) – DA!
19. studenog 2019.
11
21
Dijagramski prikaz rezultata – usporedba s Benfordovom distribucijom
očekivana vrijednost (expected) stvarna vrijednost (actual)
22
Benfordov zakon - primjer
Primjer 2: First Two Digits Test
Višak znamenki 27, 28 i 29, manjak znamenki 30, 31, 32
19. studenog 2019.
12
23
SQL upit
› upit za izračun frekvencija prve znamenke
› SELECT SUBSTR(iznos,1,1),COUNT(*) FROMdplp WHERE datum BETWEEN ’01.10.2005.’ AND ’30.11.2005.’GROUP BY SUBSTR(iznos,1,1);
› optimizacija upita – korištenje indeksa (?)
Analiza odstupanja, mjera prihvatljivosti odstupanja (!)
24
Pranje novca/money laundry
› traženje velikih transakcija sa zaokruženim iznosima (npr. za zaokružene na 1000 => WHERE iznos_transakcije%1000=0) - ostatak dijeljenja/modul
› identifikacija velikih uplata - pomoću selekcije (WHERE) i raslojavanja (stratification) podataka
› identifikacija više platnih računa za istu osobu - duplicate key->exclusion
19. studenog 2019.
13
Hvala na pozornosti
Pitanja, komentari, prijedlozi, sugestije
Prof.dr.sc. Mario Spremić
Sveučilište u Zagrebu
Ekonomski fakultet, Katedra za informatiku
Trg J.F.Kennedya 6, 10000 Zagreb
e-mail: [email protected]
web: http://www.efzg.hr/mspremic
linkedin: https://hr.linkedin.com/in/mariospremic