Dette nettstedet bruker informasjonskapsler for å gi deg en mer personlig brukeropplevelse. Ved å bruke dette nettstedet godtar du vår bruk av informasjonskapsler. Vennligst les vår PERSONVERNERKLÆRING for mer informasjon om informasjonskapslene vi bruker og hvordan du kan slette eller blokkere dem.
  • Analyse av regnskapsinformasjon for å forebygge og avdekke økonomisk kriminalitet
Blogg:

Analyse av regnskapsinformasjon for å forebygge og avdekke økonomisk kriminalitet

10. januar 2016

Det aller meste som foregår i en virksomhet blir registrert i virksomhetens regnskapssystem, lønnssystem eller i andre informasjonssystemer. Denne informasjon, benyttet på rett måte, kan gi virksomheten svært viktig informasjon i arbeidet med å forebygge og avdekke økonomisk kriminalitet. Hvordan gå frem for å identifisere svakheter i internkontrollen, og også identifisere faktiske indikasjoner på økonomisk kriminalitet? Vi ser på såkalte «røde flagg» nedenfor.

 

Noen aktuelle analyser

Analyser bør være basert på risiko. Det er flere analyser som vil være aktuelle for enhver virksomhet. Det er viktig å gjøre oppmerksom på at det kan gjennomføres svært mange sofistikerte analyser. Her har vi fokus på analyser som i de fleste tilfeller ikke er spesielt sofistikerte, men som likevel erfaringsmessig er fornuftige å gjennomføre. Aktuelle analyser er:

  • Kvalitet i ansatt- og leverandørdata.
  • Relasjonsanalyser. (Har ansatte roller hos leverandører?)
  • Kontroll av likheter i leverandørregister og ansattregister, eksempelvis bankkontonummer, adresse e.l.
  • Transaksjonsanalyse av innkjøpsdata.
  • Analyse av fullmakter og dualkontroll.
  • Analyse av endringer i masterdata.
  • Kartlegging av innkjøp fra ulike organisasjonsformer, eks. omfang av innkjøp fra enkeltpersonforetak.

Det normale utgangspunktet for slike analyser er leverandørregister, lønnsregister, oversikt over inngående fakturaer og lønnsutbetalinger for inneværende år. Vi kommer tilbake til enkelte av disse analysene nedenfor, men først litt metode.

 

Metode for dataanalyse

De ulike faser i en dataanalyse illustreres i modellen nedenfor: 

 

Planlegging og kartlegging av tilgjengelig data

I planleggingsfasen tas det utgangspunkt i eventuelle eksisterende risikoanalyser. Dette er viktig for å kartlegge om det er bestemte områder som bør analyseres ytterligere, og om det foreligger detaljer som i videre analyse er hensiktsmessig å legge mer vekt på. I denne prosessen ønsker vi å fremheve betydningen av:
 

  • En analyseplan med spesifikke målsettinger for hver analyse, herunder hvilken risiko som konkret skal vurderes. Slik unngår man å bli sittende med et analyseresultat som man ikke vet om man skal følge opp, eller eventuelt hvordan.
  • En detaljert analyseplan som sikrer at nødvendige data er tilgjengelige.
  • Hvorvidt planlagte analyser er innenfor aktuelle personvernregler, herunder om de data man har tilgjengelig, kan benyttes i slike analyser.
  • Ved ekstern bistand i analysearbeidet må det utarbeides en databehandleravtale mellom oppdragsgiver og leverandør.
  • Involvering av ansatte/tillitsvalgte i tråd med arbeidsmiljølovens bestemmelser om kontrolltiltak i arbeidsforhold, herunder informasjon til ansatte om de analyser som skal gjennomføres.
  • En god oversikt over aktuelle forretningsprosesser og hvordan virksomhetens interne systemer og retningslinjer understøtter disse.

 

Innhenting av data

Når data skal hentes inn, er det viktig at det gjennomføres på en slik måte at det ikke er tvil om hvilke data som etterspørres. Dette reduserer risikoen for at det gjennomføres dataanalyser med utgangspunkt i feil datagrunnlag, og at det produseres «falske» analyseresultater. «Falske» analyseresultater gir unødig mye arbeid da den dårlige kvaliteten gjerne ikke avdekkes før man er i prosess med å verifisere analyseresultatet. 

Ved innhenting av data vil det være fornuftig å benytte et såkalt filbestillingsskjema. For mottatt analysemateriale bør det gjennomføres verifikasjonskontroller og rimelighetskontroller slik at risikoen for feil i mottatt datamateriale reduseres.

 

Gjennomføring av analyser

Selve gjennomføringen av analysene i tråd med analyseplanen foregår på ulike måter og ved bruk av ulike verktøy, alt avhengig av hvilke analyser som skal gjennomføres. Eksempelvis kan en benytte verktøy som IDEA, Tableau, Microsoft Excel, MS SQL-server og Analyst’s Notebook. Valg av verktøy vil for de fleste bero på hva man har tilgjengelig, og hvilken verktøykompetanse man har. 

 

Kontroll/verifikasjon av analyseresultater

Når analysen er gjennomført, må resultatene verifiseres. Dette gjøres både ved å verifisere analyseresultater mot det opprinnelige mottatte datagrunnlaget, og ved å kontrollere et begrenset utvalg av resultater gjennom oppslag i den applikasjonen som dataene har sin opprinnelse fra. 

 

Rapportering 

Etter å ha utført en tilfredsstillende verifikasjon av analyseresultatene, utarbeides en rapport som kort oppsummerer hvilke analyser som har vært gjennomført, hva formålet med de ulike analysene har vært og resultatene fra analysen. Presentasjon av analyser gjennom «dashboards», eksempelvis ved bruk av programmet Tableau, er svært hensiktsmessig. 

Analyseresultatene, med unntak av forhold som gjelder internkontroll, datakvalitet mv., vil normalt inneholde personopplysninger, og distribusjon av disse må dermed begrenses.

 

De enkelte analyser

Følgende analyser kan være relevant for de fleste virksomheter å gjennomføre: 

  • Datakvalitet i leverandørregister

Analyser for å identifisere i hvilken grad leverandører er registrert med manglende informasjon, eksempelvis manglende adresse og/eller organisasjonsnummer, kartlegging av om det foreligger duplikater i leverandørregisteret og status med hensyn til om leverandøren er konkurs, slettet eller lignende. Videre analyseres bruk av datafelter i leverandørregisteret for å kartlegge om eventuelle obligatoriske datafelter benyttes, og at de benyttes på rett måte. I tillegg kan det gjennomføres kontroller for å verifisere at organisasjonsnummer for norske leverandører er gyldige.

 

  • Analyse av ansattregister mot leverandørregister

Analyser for å identifisere eventuelle likheter mellom ansatt- og leverandørregisteret, eksempelvis bankkontonummer, adresser og telefonnummer. I slike analyser bør verktøy med «fuzzy match»-metodikk benyttes.

 

  • Fakturakontroll

Her analyseres tetthet i faktureringen fra leverandører for å identifisere leverandører med stor avhengighet til virksomheten. Fakturaer med store runde beløp, fakturanummerering som bryter med fakturadatering, mulige duplikatutbetalinger (dobbeltutbetalinger til leverandører) og analyse av fakturabeløp ved bruk av «Benford’s Law» mv. 

 

  • Relasjonsanalyse

Her kartlegges eventuelle relasjoner mellom leverandører og ansatte i virksomheten, eventuelt innleide konsulenter. Kartleggingen gjennomføres ved å innhente data fra ekstern part om leverandørene til virksomhetene. Det innhentes informasjon om eiere og formelle roller, eksempelvis daglig leder, styreleder og styremedlemmer. Denne informasjonen hentes inn for flere ledd, og sammenstilles med de ansatte som inngår i analysen. Vi anbefaler at det gjøres en innledende vurdering av hvilke ansatte, eventuelt innleide, som bør omfattes. Det bør være en sammenheng mellom risiko og de arbeidsoppgaver og fullmakter mv. den enkelte har. Typisk bør de som har beslutningsmyndighet, eller utarbeider kravspesifikasjoner i anbud, og de som godkjenner fakturaer, inkluderes en i slik analyse.

 

  • Analyse av fullmakter og dualkontroll 

Analyser på individnivå for overholdelse av den enkeltes fullmaktgrenser (basert på fullmaktregister), og i hvilken grad virksomhetens relevante applikasjoner ivaretar de krav som ligger til grunn for internkontrollen. Særlig relevant her er at minst to ulike brukere har attestert og anvist inngående fakturaer. Denne analysen kan også omfatte kontroll av fullmakter og overholdelse av dualkontroll (to personer) knyttet til bokføring, dersom virksomheten har innført regler om dette.

 

I tillegg til de analyser beskrevet ovenfor, nevner vi en rekke andre eksempler på analyser som kan gjennomføres: 

  • Analyse av endringslogg i leverandør- og ansattregister, særlig med hensyn på endringer av bankkontonummer.
  • Analyse for å kartlegge unaturlige utbetalinger til leverandører (avvik fra «gjennomsnittlige» utbetalinger).
  • Kartlegging og analyse av utbetalinger som går utenom ordinær reskontroutbetaling eller via virksomhetens lønnssystem. 
  • Analyse/kartlegging av utbetalinger til bankkonti tilhørende i land definert som «skatteparadis».
  • Analyse/kartlegging av utbetalinger til bankkonti tilhørende land i et annet land enn der leverandøren formelt er registrert.
  • Analyse av innkjøp per leverandør sammenholdt med avtaler i sentralt innkjøpssystem.
  • Analyser av manuelle posteringer i hovedbok, såkalte «Journal Entries», for å identifisere unormale bevegelser, særlig knyttet til risikoen for ledelsens overstyring av rutiner/kontroller.
  • Identifisere brukere som har postert et stort antall korreksjoner og/eller brukere med andre avvik med hensyn til brukeraktivitet.
  • Kartlegge debetposteringer på hovedbokskonto som normalt benyttes til kredittransaksjoner og visa versa.
  • Identifisere leverandørenes organisasjonsform for å kartlegge innkjøp, eksempelvis fra Norsk avdeling av utenlands foretak (NUF), innkjøp fra enkeltpersonforetak og «innkjøp» fra lag/foreninger. 
  • Kartlegge eventuelle lønnsutbetalinger hvor det ikke blir trukket forskuddsskatt.
  • Kartlegge om det er tilfeller der flere ansatte benytter seg av samme bankkontonummer for lønnsutbetaling.
  • Kartlegge om det er tilfeller der én ansatt fordeler lønnen sin til flere bankkonti.
  • Kartlegge eventuelle lønnsutbetalinger og/eller utleggsrefusjoner til bankkonti registrert i land definert som «skatteparadis».
  • Kartlegge om det er flere ansatte registret på samme adresse, eller om det er ansatte registrert med postboks adresse eller lignende.
  • Analyse av reiserefusjoner og øvrige utlegg for å identifisere unormal reiseaktivitet og reiseutlegg der det kan synes som om at deler av reise og/eller utlegg er betalt av andre.
  • Analyse av kilometergodtgjørelse for å kartlegge eventuell urettmessig/unaturlig bruk.
  • Kartlegging/analyse av systemaktivitet per brukeridentitet for å kartlegge unormal bruk, eller eksistens av, herunder eventuell bruk av brukeridentiteter som for eksempel «admin», «test» eller tilsvarende. Analysen vil videre kunne avdekke brukeridentiteter som ikke lenger er ansatt og/eller er uautorisert bruker, eller brukeridentiteter med rettigheter ut over hva deres stilling/rolle eller funksjon skulle tilsi. 
  • Bruk statistiske algoritmer som for eksempel av «Benford’s Law» for å identifisere forekomster av beløp i datagrunnlaget som avviker fra normale bokføringsbeløp.