FRANKFURT SCHOOL

BLOG

Audit Data Science: So steigern Sie die Prüfungsqualität nachhaltig
Weiterbildung / 15. Juni 2021
  • Teilen

  • 5210

  • 0

  • Drucken
Patrick Müller ist Diplom Wirtschaftsinformatiker und war als forensischer Datenanalyst in der Beratung sowie als Data Scientist in der Industrie tätig. Seit 2020 ist er selbstständig mit Beratungsschwerpunkt auf Vorbereitung und Implementierung von Datenanalyse Projekten. Er ist Dozent der Zertifikatsstudiengänge "Certified Fraud Manager" und "Certified Audit Data Scientist" an der Frankfurt School. Seine berufliche Leidenschaft ist „Turn Fraud into value und Insights into EBIT“.

Autorenprofil

Mehr Blog Posts
IT-Governance im Fokus: DORA - Schlüssel zu digitaler Sicherheit im Finanzsektor
Alles unter Kontrolle? KI und maschinelles Lernen in der Finanzbranche
Kollektive Künstliche Intelligenz: Federated-Learning in der modernen Prüfung

Ein Albtraum für Prüfer:innen und Forensiker:innen ist, dass ein erstellter Bericht vor Gericht angefochten wird, weil das Ergebnis auf einer unvollständigen Datenbasis beruht und somit zu fehlerhaften Schlussfolgerungen führt. Dieses Szenario kann schnell eintreten, wenn Datenforensiker:innen für unbekannte Unternehmen tätig werden. Auch interne Revisor:innen sind vor diesem Risiko nicht gefeit.

Das Erkennen von fehlerhaften oder betrügerischen Vorgängen in umfangreichen Datenmengen der Geschäftsprozesssysteme ist eine Herausforderung. Die Mehrzahl der datenanalytischen Methoden entsprechen regelbasierten Prüfverfahren. Hypothesenbasierte Testverfahren werden oft auf isolierte Prozessschritte angewandt und ermöglichen das Erkennen von Bestellungen ohne Bestellanforderung oder Buchungen außerhalb gewöhnlicher Arbeitszeiten. Praktische Erfahrungen zeigen, dass mit solchen Verfahren eine Vielzahl an Regelverstößen und Prozessfehler aufgedeckt werden, jedoch unternehmensschädigende Handlungsmuster unentdeckt bleiben können. Oft bleiben dabei IT forensische Betrachtungen außen vor.

Um sicherzustellen, dass keine betrügerischen Vorgänge unentdeckt bleiben, sind folgende Handlungsempfehlungen von Bedeutung:

Vollständigkeit der Daten sicherstellen

Forensische Vorgehensmodelle stellen sicher, dass alle relevanten Arbeitsschritte bedacht, durchgeführt und dokumentiert werden. Dabei werden nicht nur datengetriebene Aspekte berücksichtigt, sondern auch die Datenentstehung und die IT-Prozesse der Quellsysteme geprüft. Dies soll sicherstellen, dass mit den vollständigen und unveränderten Rohdaten gearbeitet wird. Die Datenvalidierung beinhaltet u.a. Prüfschritte zu dieser Sicherstellung. Dabei haben sich verschiedene explorative und regelbasierte Analysen etabliert. Wurden die Daten in dem analysierten System eingegeben oder über Schnittstellen/Automatisierungen kopiert? Im letzteren Fall können Spuren in Form von Zusatzinformationen verloren gegangen oder aufgrund des Kopierprozesses modifiziert worden sein. Diese Zusatzinformationen können besonders wichtig für Musterprüfende oder -entdeckende Analyseverfahren sein.

Bekannte Handlungsmuster analysieren

Regelbasierte Analysen lassen sich in verschiedene Teilgebiete unterteilen. Prozessanalysen überprüfen die Einhaltung der Prozessvorgaben, z.B. gibt es zu jeder Bestellung eine Bestellanforderung? Unternehmensregelanalysen prüfen die Vorgaben zum Vier- oder Mehraugenprinzip und die Einhaltung der Funktionstrennung. Systemregelanalysen zielen auf die Arbeitsweisen des IT-Systems ab und identifizieren fehlende technische Referenzen und Vorgänge, die durch Wartungsprogramme eingegeben wurden. Zudem gibt es noch weitere Regeln zu Red-Flag-Analysen (z.B. selten verwendete Anlieferadressen) oder Fraud-Analysen (z.B. kritische Änderung von Bankstammdaten). All diese Analysen lassen sich noch in sogenannten Scoring- oder Pattern-Analysen kombinieren.

Anhand der in der Praxis etablierten Prüfung der Funktionstrennung der vollständigen Prozesskette zeigt sich, wieso eine Vollständigkeitsprüfung essenziell ist. Beispielsweise werden für den Einkaufsprozess die involvierten Benutzer der einzelnen Arbeitsschritte geprüft: Wer erfasste die Bestellanforderung, die Bestellung, den optionalen Wareneingang sowie die Rechnung und Zahlung? Anhand der verschiedenen Benutzerkennungen wird geprüft, ob eine Verletzung der Funktionstrennung vorliegt. Wurden Teile der Daten von Prozessvarianten aus Seit- oder Vorsystemen kopiert, besteht die Möglichkeit, dass die technischen Benutzerkennungen des Kopiervorgangs hinterlegt sind und Funktionstrennungskonflikte nicht mehr aufgedeckt werden können.

Unbekannte Datenanomalien identifizieren

Neuartige Methoden der KI – wie z.B. Deep Learning – können eine hilfreiche Ergänzung klassischer hypothesenbasierter Testverfahren darstellen. Dies gilt im Besonderen vor dem Hintergrund der veränderten Anforderungen an das prüferische Vorgehen bedingt durch fortschreitende Digitalisierung von Unternehmensprozessen. Das Paradigma KI basierter Prüfverfahren unterscheidet sich grundlegend von klassischen analytischen Prüfungshandlungen und lautet: «lernen statt programmieren». Im Vordergrund stehen hierbei Lernverfahren, die selbständig, d.h. „unüberwacht“ ohne eine menschliche Vorgabe, Regelmäßigkeiten in Daten erkennen und diese von Unregelmäßigkeiten, sog. „Anomalien“, unterscheiden können. Die Erkenntnisse solch KI basierter Prüfverfahren können beispielsweise im Nachgang in die zuvor genannten regelbasierten Prüfverfahren überführt werden.

Fazit

Für die Vorgehensweisen ist es wichtig, dass Analysen auf den detailreichen Rohdaten erfolgen. Werden z.B. in den Kopierprozessen Datensätze konsolidiert, so besteht die Möglichkeit, dass für die Sachverhaltsaufklärung wichtige Merkmale in den Daten verloren gehen. Unregelmäßigkeiten können so trotz moderner und korrekt ausgeführter Analysen unbemerkt bleiben.

Nicht jede Datenanalyse muss vor einem Ausschuss oder Gericht verteidigt werden, jedoch benötigen datenanalytische Prüfergebnisse eine hohe Verlässlichkeit. Datenvalidierung und Musterprüfung ist sowohl für Mitarbeiter:innen aus Revision, Risikomanagement, dem IKS, Compliance als auch für Rechtsanwält:innen und Wirtschaftsprüfer:innen relevant. Unser Kurs „Certified Audit Data Scientist“ behandelt praxisnahe Beispiele neuester technologischer Fortschritte und deren Einsatz, wie z.B. „Visual Analytics“ (kontinuierliche Prüfung) und „Deep Learning“ (Anomalieerkennung).

Marco Schreyer ist CO-Author des Blogbeitrags und Dozent der beiden Zertifikatsstudiengänge „Certified Fraud Manager“ und „Certified Audit Data Scientist“ .

0 Kommentare

Senden