IT- och internrevision innehåller ofta någon form av testning som innebär att välja stickprov från en informationskälla och följa det valda stickprovet genom en utvald process för att verifiera att processen fungerar baserat på uppsatta kriterier. Arbetssättet att välja stickprov och följa dessa genom en process tenderar att vara ett högst manuellt arbete och kräver ofta stor involvering av personal på bolaget där revisonen sker. Samtidigt avgränsas testningen till endast de stickprov som valts. Även om antalet stickprov som ska väljas för testning ökar i takt med antal transaktioner som sker i processen, så är det ofta många transaktioner som aldrig ”faller offer” för stickprovstestningen. Ett sätt att effektivisera detta är att använda ett verktyg för att utföra dataanalys.
Genom att använda dataanalys kan vi lättare analysera en mycket större population av transaktioner och samtidigt lägga större fokus på avvikande transaktioner som inte följer det förväntade mönstret. Givetvis kan dessa transaktioner fångas upp i stickprovstestningen, men givet att det är stickprovstestning finns alltid risken att de inte fångas upp.
Dataanalys kan användas för att utvärdera data och extrahera användbar information. Det kan användas för att identifiera bedrägeri, fel eller olämplig användning och hjälpa till att verifiera och förbättra affärsprocesser. Tänk dig att extrahera alla transaktioner från huvudboken tillsammans med fakturatransaktioner och ordertransaktioner för en tidsperiod, låt oss säga 12 månader. Istället för att välja ett par stickprov, importerar du alla transaktioner till ditt analysverktyg. Med samma princip som stickprovstestning, följer du nu alla transaktioner från huvudboken till initiering av transaktionerna, men i ditt analysverktyg. De transaktioner som faller utanför de förväntade mönstret är de som är intressanta. Frågor vi kan ställa oss är; Varför avviker dessa transaktioner? Vad är de för transaktioner? Vem ansvarar för registrering av dessa transaktioner? Är de relaterade till bedrägeri, olämplig användning eller kan det vara förenat med ineffektivitet inom processen, i detta fallet, intäktsprocessen?
Ett annat exempel är att använda dataanalys för att analysera behörigheter i ett system. Genom att extrahera samtliga konton med tillhörande roller och behörigheter kan analyser göras med syfte att exempelvis identifiera konton som har behörigheter som står i strid med varandra, konton som har höga behörigheter eller konton som inte använts under en given period. Detta kan ge en bra bild över hur välfungerande behörighetsprocessen är för systemet som analyserats.
De flesta processer hanterar någon typ av data i ett eller flera system. Om det finns möjlighet att extrahera data från systemen finns det möjlighet att analysera den. Dataanalys kan spara tid, täcka en större population av transaktioner samt även identifiera förbättringar i analyserad process.
“Without data you´re just another person with an opinion” – W. Edwards Deming, Data Scientist.
Skriven av Viktor Bergvall
