CMB培训数据分析与连续监控

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,数据分析与连续监控,页数,31,招商银行信息系统内部审计培训,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,招商银行信息系统内部审计培训数据分析及监控,2009,年,3,月,1,2,3,4,数据分析为审计带来的益处,数据分析,-,关键财务流程分析,数据分析的方法与流程,数据分析,-,会计分录分析,目录,5,连续监控与连续审计,数据分析为审计带来的益处,最大程度的识别,企业所面临,的,风险,应对,日益增加,的,对,于,舞弊,行为的发现,和,监测,的关注,建立可,重复使用,的控制评测方法,的需求,实现,有效,且集中的,资源,调度,数据分析能够帮助,内审,应对,所面临的挑战,，包括：,通过运用数据分析可以使工作事半功倍,数据分析为审计带来的益处（续）,什么是数据分析？,数据分析是组织有目的地收集数据，并对数据进行分析，使之成为有效信息的过程。通过把隐没在一大批看来杂乱无章的数据中的信息集中、萃取和提炼出来，数据分析能够找出所研究对象的内在规律，进而得出有效结论。在实用中，数据分析可帮助企业作出判断，以便采取适当行动。,实际应用中：,数据分析被应用于补充或替代其他方法,/,流程，包括检查、询问、观察和重新执行,用于测试的数据可覆盖到数据的全部样本量,可从多个数据源,/,系统获取数据进行综合分析,可获得客观真实的结论,数据分析为审计带来的益处（续）,使用数据分析方法的公司更易于获取深层次的商业洞察力，从而改进其业务能力。,复杂的,组织结构,Oracle,Hyperion,SAP,多数据源,/,信息源,制定更好的商业决策,改进关键流程,创造竞争优势,提高收益,增加股东权益,改善风险管理,降低舞弊发生的风险,实时的控制监测,降低运营成本,竞争压力,商业挑战,变化的行业规则,变化的全球市场,/,经济形势,分析目标,发生了什么？,为什么会发生？,将要发生什么？,商业,洞察力,商业洞察力是通过对相关信息和趋势进行推断得到创新的观点，并将其运用于改进决策和关键流程，从而获得更多的竞争优势和股东权益,商业洞察力的收益,变挑战为收益,数据分析为审计带来的益处（续）,通过,数据,分析,能够,获取商业洞察力,，深层次的商业洞察力可以帮助企业及时准确作出商业决策，并最终达到其商业目标。,要做出巧妙而准确的决策，企业需要将数据转换为有用信息并进而转变为可实施的策略。,明确将要发生什么,明确为什么会发生,明确发生了什么,预测,运用统计学、计量经济学并基于实际情况,分析和监测,根本原因识别、建模确认、多角度进行分析,测量方法和报告,取证、询问、定型、数据挖掘、基准原则,商业收益,分析能力,数据,信息管理,高质量的数据,/,信息,分析,商业洞察力,竞争优势,/,股东权益,流程分析,信息管理,数据可靠性,信息管理,数据管理、数据质量、数据转换、数据存储,分析目标,能够满足商业需求的数据,足够好的数据质量,做出更好的商业决策,改善关键流程,创造竞争优势,提高收益,改进股东权益,改进风险管理,降低风险和舞弊,及时的控制监测,降低运营成本,数据分析为审计带来的益处（续）,改善控制,/,审计流程及方法对风险的覆盖程度、质量和时效性,提高流程的质量和信息的完整性,帮助降低数据转换过程中的风险（如：数据被偷窥、被截取导致丢失等）,通过对舞弊行为及时有效的发现，降低审计风险，并帮助对制度的合规性进行评估,提升内审形象并进而为企业的商业运营提供更多附加值,1,2,3,4,数据分析为审计带来的益处,数据分析,-,关键财务流程分析,数据分析的方法与流程,数据分析,-,会计分录分析,目录,5,连续监控与连续审计,数据分析的方法与流程,首先将触发点进行整合，都有哪些关注点？,我们正在计划上线一个新的,IT,系统或整合多个,IT,系统吗（包括系统整合、外购和企业自行开发）？,我们需要提高数据质量以符合规章或合同的要求吗？,我们如何确认储存于不同系统中的大量数据的完整性，以及内部,IT,分析资源的缺失状况？,我们怀疑可能存在不规范、舞弊或缺少控制的情况（但是需要收集有效证据）吗？,费用限额审批、解雇员工所需支付的赔偿金,我们如何对一个连续控制的监控方法进行评估并加以实施？,对控制自我评估的结果进行自动搜集、整理和评估,数据分析的方法与流程（续）,数据分析的基础结构及对实施团队的专业技能要求,深度的行业认知程度,目标,方法论,质量,技术架构,数据管理,工具能力,数据,行业解决方案,合规评价分析,数据转移,数据质量,决策支持,舞弊分析,流程,/,控制分析,商业风险和控制,问题解决,行业流程的专业知识,业务流程分析,工具的处理能力,数据分析的方法与流程（续）,数据分析的流程,占总分析过程的,20-30%,可靠的数据提取是关键步骤且允许被重复执行,占总分析过程的,40-60%,对控制差异和发展趋势及两者相互关联的适当分析能够促进产生附加值,允许基于总体的差异评估方法,占,总分析过程,的10-30%,设计,相关,工具来检测无效流程,，同时,提醒管理层（和审计人员）,注意到相关控制缺陷，这个过程是,“,闭环,”,（,“,closed loop,”,）,分析解决方案的关键,数据分析的方法与流程（续）,实例分析：采购,按部门、公司或,采购活动的申请人来审阅,采购活动,准确找出异常的采购类型：周末,发生,的,交易记录、,价格,相同,的,交易记录,等,识别对授权,额度,的滥用,识别重复,的发票,找出重复的供应商,样本分析,找出总价值大于150,000英镑的重复,发票,超出正常交易,范围,的供应商付款,行为,，使用标准,项目能够帮助,改进现金流,审阅,一年中,发生的,采购,订单数量超过,3000,张,的供应商，,以帮助在,采购流程中节省费用,实际发现,十大供应商,供应商,总值,每笔订单均值,SUPPLIER ABC,10,089,346,9,342.90,BITS AND PIECES LTD,4,789,980,13.78,WORKWEAR & SONS,1,640,777,45.35,ELECTRICAL TRADING CO,1,435,112,245.90,X.Y.Z LTD,1,200,765,130.00,IMPORTANT COMPONENTS,1,134,895,76.50,SPECIAL SERVICES LTD,933,001,3202.77,COMPUTER ORDERS PLC,831,900,145.80,SPRINGS AND WIRES LTD,829,400,14.77,CARRS CAR TRANSPORT,701,445,75.23,数据分析的方法与流程（续）,实例分析：销售,创建,客户档案信息,按,照,产品分析,收益率,为,贯穿业务各个方面的销售行为和流程,统一标准,着重观察,异常的客户行为,识别贷,项,通知,单,（,C,redit,N,ote)一类,的,交易活动,帮助识别问题的根源,样本分析,由于销售,发票,处理部门对程序执行不当,而,造成,的不良,现金流问题,同一客户的,贷,项,通知,单数量增长过快,识别,出收益率低,的产品,实际发现,销售发票处理的延时,0-9,10-19,40,+,0,2000000,4000000,6000000,10000000,12000000,发票金额,29,30-39,延时天数,发货日与发票寄出日之间的延时,8000000,数据分析的方法与流程（续）,实例分析：工资,为,跨业务单元的加班费支付,制定基准值,着重观察,加班,时间过长的行为,识别重复的,社会安全号（,SSN,）,识别重复的银行账号,分析支付,项目,找出异常的支付请求,样本分析,如果将,原有,加班,系统,的精确度改进,到1/4小时，每年,将能够,节约$600,K,通过,人为的,”,系统,操纵,“,，员工将能够,赚取超过基本工资一倍的薪水,40%的客户方员工提出,支付加班费,的,请求,，,远远,超过10%的预期,实际发现,加班费,0.0%,1.0%,2.0%,3.0%,4.0%,5.0%,6.0%,7.0%,10,20,30,40,50,60,70,80,90,100,加班费金额,发生频率,实际情况,期望值,上限,下限,1,小时,2,小时,3,小时,4,小时,5,小时,6,小时,1.5,小时,数据分析的方法与流程（续）,普遍面临的挑战,有限的资源,复杂的业务环境和数据结构,缺乏,适应性强（可重复使用）,的流程,难于,对,发现,进行,解释,/,筛选,较低的,直观,收益,数据分析,目标设定不当,缺乏整体性,标准难以执行,标准不够更新,信息,量过大,测量,方法难以实施,细节处可能存在,风险,缺乏用户认可,标准的制定,/,使用,数据分析的方法与流程（续）,交付品概述,业务流程的改进,不合规活动的鉴定,/,调查,/,恢复,控制的完善,关键业绩的指标,/,基准,安永的经验,技术工具,数据流,交付品,检测异常情况,解码风险,错误,不合规行为,控制弱点,数据分析的方法与流程（续）,工作流程及交付品,业务流程的改进,不合规的鉴定,/,调查,/,恢复,控制的完善,关键业绩的指标,/,基准,安永的经验,技术工具,数据流,交付品,检测异常情况,解码风险,错误,不合规行为,控制弱点,业务需求/期望,事务处理流程图,数据源,1.,理解流程,测试需求,数据需求,交付,需求,2.,设计分析方法,获取原始,数据,验证数据,可用性,为数据分析,准备数据,3.,获得数据,建立分析测试,执行分析测试,验证结果,4.,执行分析,基准,内部和外部,5.,解释结果,整理数据分析结果,结果研讨会,6.,概括结果和发现,数据分析的方法与流程（续）,交付品示例,原始会计分录数据,测试步骤记录文档,数据分析结果测试文档,1,2,3,4,数据分析为审计带来的益处,数据分析,-,关键财务流程分析,数据分析的方法与流程,数据分析,-,会计分录分析,目录,5,连续监控与连续审计,数据分析,-,会计分录分析,存在大量的借贷不平的,分录（指那些由高级主管特意授权,进行,调整的非,常规,交易,的,分录）,多家,公司间,的,账项抵消和分录合并,不易执行,存在,大量,的,未过账分录,外币汇兑,交易时产生的,问题,监管报表问题（保险业和银行业）-现收现付制,（,C,ash,B,asis,）,/美国公认会计准则（US GAAP）/国际财务报表准则（IFRS）,会计分录的历史问题,由管理层特批进行调整的,分录,大量,发生于,期,间,末的分录,非标准分录难以识别,分录以不正常的科目配对,进行,过账,分录的创建,人和账户类,别逐月持续,增加,存在,未使用的、限制使用的和过期,的,账户,存在于,节假日、周末或者非正常时段,进行,过账的分录,存在,非正常,的分录描述,整数,金额的,分录,不合规行为或舞弊行为,数据分析,-,会计分录分析（续）,财务报表关账流程比较冗长,系统缺乏对报表生成和逐步关账处理的支持功能,总账系统各不相同,多个系统之间的会计科目表或账户结构不统一,不能够跨系统、公司或部门地去进行总体分析,总账报表（资产负债表、损益表）和子流程（应收、应付、销售、成本等）对账不充分,会计分录处理流程中的低效情况,是否,近期,刚刚,或即将对总账系统或合并/报表系统进行,数据转换,缺乏与子系统（应收、应付等）,之间,的数据接口，难以有效地去分析关键信息，如,制单人、审批,人,、数据,源等）,技术问题,数据分析,-,会计分录分析（续）,典型的效益,使用更有效的风险评估流程和方法可以减少错误的发生，并结合强有力的舞弊检查指标来检查相关的会计分录。,收益率度量,法,(如：平均股本回报率).,资金杠杆度量,法,(如：,股本权益总量与资产总量,）,指标增长法,(如：收益,的,增长,、,总收益,与,总费用的增长等),其他指标,衡量法,(如：有效税率,、,投资收益等),价格/市场业绩度量,法,（如,：,私募股权投资率,、,相对,价格与,账面价值等）,流动资金度量,法,资本管理度量,法,资产,风险度量,法,通过使用关键业绩指标（,KPIs,）和基准（,benchmarks,），使管理层能更多的参与业务的运营。,通过更好地设计控制及流程，提供优质的控制环境,(,授权限制等,),减少了罚款和诉讼的风险（如：高层调整分录、期末分录等）,整理了会计科目表,获得了,更加准确,的,外币汇率,减少了对账时总账报告和子模块,数据,之间的差异,提高了数据质量,1,2,3,4,数据分析为审计带来的益处,数据分析,-,关键财务流程分析,数据分析的方法与流程,数据分析,-,会计分录分析,目录,5,连续监控与连续审计,数据分析,-,关键流程分析,数据分析,关键流程分析,流程分析,目的,为识别风险点而实施的步骤,流水日记账,对所有过账到总帐的会计分录提供统计分析，并在识别关键风险点和重大交易的基础上对不规则的,/,潜在欺诈性的交易进行筛选,按照,GAM,的要求，挑选非标准的或非常规的会计分录（重复分录、非工作日分录、频繁交易、期间末附近的分录、超过测试标准的非正常的,/,关联方交易的分录）,识别高风险的会计科目分录组合（例如：贷方,-,收入科目,&,借方,-,固定资产科目）,对会计分录按照创建人、发生地点、会计周期、分录来源分别进行汇总,应收账款,审阅所有未结应收款项,标记出异常分录，并将未决客户余额进行列示；为了协助审计工作，还应该准备相应的抽样结果和需要确认的函证发送给客户,识别未结应收款项中的异常条目（重复发票、关键信息缺失的发票（如客户名称、发票编号等）、关键信息缺失的客户）,对客户余额和内部往来余额进行汇总,根据发票到期日分析发票账龄，以识别已有,/,即将产生的逾期账款,应收医疗福利账户,审阅所有未结收款人应收款项,标记出异常分录，并将未决收款人余额进行列示；为了协助审计工作，还应该准备相应的抽样结果和需要确认的函证发送给收款人,识别未结应收医疗福利款项中的异常条目（票据滞后、余额巨大且时间久远的）,对付款人余额进行汇总,根据发票到期日分析发票账龄，以识别已有,/,即将产生的逾期账款,应付账款,审阅所有未结应付款项,标记出异常分录，并将未付供应商余额进行列示,识别未结应付款项中的异常条目（重复发票、关键信息（供应商名称,/,代码、发票,/,单据编号）缺失的发票、关键信息缺失的供应商）,对大额正,/,负交易进行统计,对非正常的供应商,/,关联方的余额进行统计,数据分析,-,关键流程分析（续）,数据分析,关键流程分析,流程分析,目的,为识别风险点而实施的步骤,存货,识别作废存货、可能发生的扩展成本的错误计算、从本年到下一年的存货发展趋势,识别存货中的异常条目（重复存货、相同存货不同价格、基本信息缺失的存货、不同年限中扩展成本变化较大的存货）,重新计算扩展成本，并与客户计算的扩展成本进行比对,应付工资,审阅应付工资流程中的数据，以识别非正常行为,/,确认员工信息的准确性,识别应付工资流程中的非正常行为（给不存在的,/,已离职的员工支付的工资、重复性检查、员工额外的工作时间）,识别员工信息中的异常条目（员工的社会安全号,(SSN),、银行帐号、地址、电话号码需要彼此匹配，入职日为周六,/,日的员工，虚假年龄,/,社会安全号过期的员工）,采购卡片,审阅公司的采购流程，按照提供的商业条款来决定是否有不合理交易发生，检验客户信息,/,供应商信息的正确性,提供采购卡片中与异常采购相关的信息（超过审批权限的采购行为，整数金额交易，采购卡片过期之后、供应商信息缺失、预期可疑的交易，对持卡人行为进行汇总）,识别与持卡人信息有关的异常发现（持卡人与社会安全号相匹配，无授权限制，异常或超额授权限制，未纳入员工信息主文件的信息，与供应商地址信息相同，社会安全号（,SSN,）与供应商的注册码相同，任何关键信息缺失）,识别与供应商信息相关的异常条目（地址相同的供应商，注册码相同的供应商，任何关键信息缺失的供应商）,数据分析,-,关键流程分析（续）,数据分析,关键流程分析,流程分析,目的,为识别风险点而实施的步骤,付款,审阅客户与付款流程相关的业务规则，识别任何与付款,/,发票,/,采购订单有关的异常行为，识别员工,/,供应商信息的准确性，发现现金管理与应付账款流程的潜在问题，识别数据获取方法上的弱点，就数据库内数据的完整性对客户提供反馈,就异常付款提供相关信息（在供应商名称或关联方名称中包含异常词汇的供应商付款交易，在采购订单申请通过前开具的发票，开具日期晚于支付日期的发票，关键信息缺失的发票，向已离职员工支付的工资）,标记与供应商信息相关的异常条目（高额付款的供应商，识别新供应商及其付款金额，无付款发生的供应商，名称、地址、邮编等信息重复的供应商，推迟付款的供应商，员工做为供应商）,员工费用支出,识别可能存在的欺诈性的,/,不正确的费用报销申请,超过或接近限额的费用，重复的费用金额或参加人，分割交易，发生于周末或与受限供应商进行的费用交易，与潜在的非员工发生的费用交易,员工福利计划的支出,识别一定年限后可能存在的非正常退休员工福利支出与支出趋势,对多年福利计划支出变化的综合性分析，对潜在非员工的工资支出，在级别和使用期限的基础上对费用进行重新计算，对当年或退休员工福利支出的统计，对退休员工退休前一年福利支出的统计,1,2,3,4,数据分析为审计带来的益处,数据分析,-,关键财务流程分析,数据分析的方法与流程,数据分析,-,会计分录分析,目录,5,连续监控与连续审计,连续监控与连续审计,连续监控的定义：,连续监控是一种信息系统管理机制，一般通过自动化程序进行实施，来满足既定的监督要求。例如，实时防病毒或入侵检测系统就是以连续监控的方式运行的。通过执行连续监控，可以及时的发现可能导致控制失败的实施缺陷或非正常交易。目前，连续监控越来越被管理层重视并得以广泛推行，从而保证其制定的制度和控制得到了合理执行，业务流程也得到了更有效运作。从而，确保管理层对公司的运作获得更高的知悉度，在维持最优化运营的同时增强管理层面的控制能力。,连续监控主要强调管理层的职责，以评估控制的充分性和有效性,这一流程尤其适用于帮助内审在连续审计过程中，判断流程控制是否按照既定的设计进行了实施,通过连续监控可以及时识别缺陷并加以改正，同时改善整体控制环境,连续监控与连续审计（续）,连续审计的定义：,连续审计是审计师采用的一种方法，用于连贯的开展一系列与审计相关的活动。这些活动涵盖从连续控制评估到连续风险评估等内容。它是在审计事件发生的同时，或在短时之后，发表的一系列审计报告。连续审计一般都是使用自动化的审计程序，即常常采用新的信息技术，需要增加相应的硬件、软件、标准和人工智能等方面的处理能力。将技术手段引进审计工作中，能够对连续审计的实施发挥关键作用。连续审计能够用很短的时间完成数据的搜集和分析，数据要从不同运行环境下的不同应用系统中搜集，交易必须被过滤，进而通过分析交易环境来检测交易趋势和例外交易。,连续审计能帮助内部审计师进行以下活动,：,透彻理解关键控制点、规则以及异常情况,进行近似实时的控制及风险评估,在交易层面进行关键业务系统的异常分析,将分析结果整合到审计流程的各个方面当中,连续监控与连续审计（续）,管理层反馈,审计的工作量,更多工作量,/,更多资源需求,大大降低,工作量,对内部控制进行,全面监控,对内部控制进行,少量监控,连续监控与连续审计（续）,增强规避风险的能力,减少内部控制评估的成本,提高了审计效率,增加了收益率,能够,对所有交易,开展,实质性,测试,提高了,财务,发现结果,的可信度,减少财务错误以及潜在的舞弊,