ביקורת Analytics – מאקסל ועד Data Science

מאת: אסף קורן | גיליון 12 - עידן של שיבושים | ספט 2020 | אין תגובות

המידע הרב הנצבר ומנוהל בארגונים כולל נתונים על הזדמנויות עסקיות, תקלות, מעילות, יעילות תהליכים ועובדים, וכן נתונים נוספים. באמצעות שיטות וכלים המקובלים בעולם ה-Data Science ניתן להשתמש במידע העצום שנאגר גם לחיזוי בעולמות ה-Big-Data. אך עולה השאלה: האם גופי הביקורת הגיעו לעולמות אלו בביקורת הAnalytics-?

סביבת מערכות המידע בארגונים הולכת והופכת מורכבת ותלויה במערכות מידע. בנוסף על שכבות מערכות המידע הסטנדרטיות המנהלות את התהליכים העסקיים המסורתיים (רכש, הכנסות, שכר, מלאי), מתווספים עוד ועוד כלים ותהליכים ממוכנים מעולמות שונים כגון דיגיטל (אתרים, אפליקציות, סמארטפונים), אנרגיה, תמונה, וידאו ועוד.

היקפי המידע המנוהלים בארגון כיום הם עצומים ובדאטה חבוי מידע עצום.

כמה נתונים מרתקים שמסבירים את גודל התופעה (על פי IDC – International Data Corporation):

  • עד סוף שנת 2020, כמות האינפורמציה החדשה שתיווצר בשנייה אחת תעמוד על 1.7 מגה בייט לאדם.
  • ההיקף המצטבר של כמות המידעשאנו מייצרים ומשכפלים מדי שנה גדל מ-4.4 זטה-בייט בשנת 2013, ל-44 זטה-בייט בשנת 2020 (כמות מידע המקבילה ל-44 טריליון ג'יגה-בייט), ואילו בשנת 2025 כמות המידע תסתכם ב-180 זטה-בייט.

הנתונים הללו כוללים מידע על הזדמנויות עסקיות, תקלות, מעילות, יעילות תהליכים ועובדים, וכן נתונים נוספים. באמצעות מודלים סטטיסטיים ומתמטיים מתקדמים המקובלים בעולם ה-Data Science וכן בעולמות הידע הנפוצים כיום, ניתן להשתמש במידע העצום שנאגר גם לחיזוי בעולמות ה-Big-Data, כגון איתור לקוחות העומדים לנטוש, איתור מראש של תקלות העומדות להתרחש ואירועים נוספים.

התייעלות באמצעות Data Analysis

מודל הבשלות בביקורת Analytics מגדיר שלבי התפתחות של שימוש ב- Analytics ותחקור נתונים כחלק מתהליך הביקורת השוטף. ככל שעולים ברמת הבשלות, השימוש ב- Analytics הופך לתדיר יותר, מקצועי יותר ובעל תוצרים ויזואליים יותר. לאור זאת, יכולת זיהוי הסיכונים והחריגים עולה, ובהתאם יעילות הביקורת הפנימית גוברת.

שלב 1 (Manual internal audit function): מבקרים (יחידות ביקורת) שעורכים ביקורת תהליכית קלאסית, ללא שימוש כזה או אחר בכלי Analytics המיועדים לביקורת (כגון ACL, Arbutus, IDEA) או לניתוח נתונים כגון SQL. הביקורת מסתמכת בעבודתה על פגישות, שאלונים, מעבר על נהלים ומסמכים. לעיתים נעשה שימוש באקסל לשימוש ניתוח נתונים פשוט יחסית, אך לא מעבר לכך. נציין כי מרבית הארגונים שבהם קיימת יחידות ביקורת המונות יותר ממבקר אחד נמצאים בשלבים מתקדמים יותר.

 

שלב 2 (Ad Hoc Analysis Audit): מבקרים/יחידות ביקורת שבאופן נקודתי משתמשים בכלי Analytics בעבודות ביקורת ספציפיות. במקרים רבים מדובר ביחידות ביקורת ללא יכולות Analytics המפעילות אחת לתקופה קבלן משנה לביצוע בדיקות אלו. יחידות ביקורת רבות נמצאות בשלב זה.

 

שלב 3 sustainable and periodic data analysis)): שלב שבו מתקיים שילוב קבוע של ביקורת Analytics. בדרך כלל ביחידות ביקורת שבהן קיים צוות ביקורת מערכות מידע או גורם המתמחה בכלי Analytics המיועדים לביקורת (כגון ACL, Arbutus, IDEA) או כלים אחרים כגון SQL.

ביקורות Analytics בשלב זה הן חלק בלתי נפרד מעבודת הביקורת, וניתן לשלב בהן תחקור של הנתונים. שלב זה נפוץ בעיקר ביחידות ביקורת הפועלות בבנקים, בחברות ביטוח או בגופים אחרים בעלי יחידות ביקורות גדולות. קיימת חשיבות רבה לאופן הצגת נתוני ביקורות ה- .Analyticsבאמצעות ויזואליזציה של הנתונים ניתן לראות את התמונה הכללית ולאתר מגמות בנקל. כיום, רוב משרדי ראיית החשבון הגדולים והבינוניים יודעים לתת מענה ברמה זו או ברמה הקודמת עבור לקוחות יחידות הביקורת הפנימית שלהם.

בדוגמה הבאה ניתן לראות תוצרי ביקורת שערכנו בתחום השכרת נכסים, שבמסגרתה ניסינו לאתר פערים בין סכומי חיוב בפועל של דיירים בנכסים מושכרים, לבין סכומי החיוב שנקבעו בחוזי ההשכרה. באמצעות בדיקות Analytics והצגה ויזואלית של הנתונים, זיהינו במהירות את הנכסים הבעייתיים לפי השלבים הבאים:

  1. התמקדות בחברות שבהן קיימים חיובי חסר.
  2. ניתוח כמותי של סכומי הפערים בין החוזה לבין חיוב בפועל.
  3. זיהוי הנכסים הבעייתיים ומנהל הנכס הבעייתי.

באמצעות הצגה ויזואלית של הנתונים ניתן היה לאתר פערים בין סכומי החיוב בפועל לבין הסכומים שנקבעו בחוזי ההשכרה, וכן לאתר את מנהל האזור שקיימים אצלו אי סדרים בחיובים וכדומה.

שלב 4 ((Continues Auditing :

במרץ 2015 פרסם המוסד לביקורת פנימית (IIA) את תקן GTAG3 בנושא ביקורת מתמשכת. בתקציר המנהלים של התקן נרשם בין היתר:

"A continuous audit approach allows internal auditors to fully understand critical control points, rules, and exceptions. With automated, frequent analyses of data, they are able to perform control and risk assessments in real time or near real time. They can analyze key business systems for both anomalies at the transaction level and for data-driven indicators of control deficiencies and emerging risk. Finally, with continuous auditing, the analysis results are integrated into all aspects of the audit process, from the development and maintenance of the enterprise audit plan to the conduct and follow-up of specific audits."

כיום מרבית ארגוני הביקורת בישראל אינם משלבים בקרות אנליטיות מתמשכות הדוגמות את בסיסי הנתונים ומציפות חריגים/אנומליה לצורך ביצוע של הערכה שוטפת של הסיכונים והבקרה, אך בתקופת משבר הקורונה ניתן היה להיווכח כי מודל זה בא לידי ביטוי באופן מעשי.

בעוד גופי ביקורת הנמצאים בשלבים 3-1 לא עסקו בביקורת ובבקרה במהלך המשבר, הרי שביחידות אחרות שבהן הוגדרה בקרה מתמשכת (שלב 4 ומעלה), התקבלו לאורך התקופה חיוויים על חריגים / הפרות / חשדות למעילות. כך שבמקרים אלו הביקורת הייתה יעילה ואפקטיבית יותר לארגון, והיא חלשה על מערך הסיכונים דווקא בתקופה שבה הסיכונים גברו בצורה משמעותית.

כלי ה-Analytics המיועדים לביקורת (ACL, Arbutus ו-IDEA) כוללים יכולות תזמון ודיווח של הבדיקות, מה שהופך אותם לכלי CCM (Continues Control Monitoring) מתקדמים. בכלים אלו קיימים connectors לסוגים שונים של בסיסי נתונים, עליהם ניתן להגדיר פרוצדורות מתוזמנות של בדיקות הניתנות להצגה בדוחות, בגרפים ובכלים ויזואליים, ואף ניתן להוציא לגביהם התראות במייל או הודעות טקסט.

פתרונות אלה החלו לצוץ לפני כעשר שנים. מודלים מתקדמים כיום כוללים לוחות ניהוליים המספקים תמונה כללית של רמת הבקרה והחריגים עם אפשרות לבצע Drill down על מנת לאתר את החריגים, כך שבכל נקודת זמן גוף הביקורת (או הבקרה) מעודכנים. כמה ממשרדי ראיית החשבון הגדולים והבינוניים יודעים לתת מענה ברמת שלב זה או הקודם עבור לקוחות הביקורת הפנימית.

שלב 5: שילוב כלי Data Science

בעולם העסקי, חברות וארגונים מטמיעים כלים ויכולות של Data Science על מנת לאתר לקוחות העומדים לנטוש, לאתר מעילות, לחזות מגמות וכדומה. מנגד, בעולם הביקורת שימוש בכלים אלה אינו נפוץ בישראל ובחו"ל.

Science Data(מדע נתונים) הוא תחום הכולל שיטות מדעיות, תהליכים, אלגוריתמים ומערכות. מדע הנתונים הוא "הרעיון לאחד נתונים סטטיסטיים, ניתוח נתונים, למידה של מכונה ושיטות קשורות כדי להבין ולנתח תופעות בפועל". מדע זה משתמש בטכניקות ובתאוריות מתחומי המתמטיקה, הסטטיסטיקה ,מדעי המידע ומדעי המחשב, ובמיוחד מתתי-התחומים של כריית נתונים, למידת מכונה, מאגרי מידע וויזואליזציה.

למידת מכונה היא ענף של בינה מלאכותית, שבה הבינה נוצרת באמצעות למידה מתוך מאגרי נתונים גדולים. ניתן לחלק את למידת המכונה לשתי קבוצות עיקריות: למידה בלתי מונחית (Unsupervised Learning) ולמידה מונחית (Learning (Supervised. ההבדל המרכזי בין השיטות הוא שבלמידה בלתי מונחית האנליסט אינו מתייג את הנתונים ואינו מלמד את מודל הנתונים מראש. המודל מוצא את הקשרים בין הנתונים על פי מודלים סטטיסטיים ומתמטיים בעצמו.

בלמידה מונחית (Learning (Supervised מתבצע תהליך של תיוג הנתונים ולימוד של מודל הנתונים, כך שבהתאם לתיוג זה המודל יציג את התוצאות. למשל, מודל על בסיס נתונים גדול של מידע מטויב על נתוני לקוחות הכולל תיוג של הרשומות של הלקוחות שעזבו. בהתאם לדפוס שתויג, המודל יאתר לקוחות בעלי פוטנציאל גבוה לנטישה.

דוגמאות נוספות: ניתוח ה-DATA הקיים ברשת האינטרנט, ומתוכו ללמוד על איתנותם של ספקים ולקוחות; ניתוח של הענף שבו הארגון פועל, של חברות שקרסו וחברות שהמריאו; וכן ניתוח מרכיבי הכישלון וההצלחה וכדומה.

נציין כי פרויקטי Data Science הם מורכבים ועתירי משאבים ולכן עדיין אינם נפוצים בארגונים העסקיים בארץ וכנגזרת בעולם הביקורת. גם בעולם השימוש בכלים אלו במסגרת הביקורת הוא נדיר. אנו צופים כי בעתיד המבקרים ישדרגו את ניתוחי הנתונים באמצעות שילוב טכניקות Data Science. לדוגמה, באמצעות למידה בלתי מונחית (Unsupervised Learning) על נתוני כרטיסי אשראי הכוללים מידע, כגון שעת ביצוע הפעולה, מיקום, סכום, נתונים על הלקוח וכדומה, ללא תיוג המציין אם הפעולה תקינה או לא תקינה. התכונות של הנתונים לעיל יכולות לשמש כדי לזהות אנומליות או כדי למיין את הנתונים לקטגוריות שמהן ניתן יהיה להסיק בנוגע לפעולות חריגות החשודות כמעילות.

שימוש ברובד ה-Data Science יכול לקבע את מעמדו של המבקר כיועץ הפועל לקדם את הארגון. אך עוד בטרם יבצע המבקר שימוש ברובד זה, חשוב לראות כי הארגון עצמו פועל למימוש היתרונות של רובד ה- Data Scienceולבקר תהליכים אלו. ארגון הפועל באמצעות כלים אלה יאתר סיכונים אסטרטגיים בצורה יעילה יותר.

נציין כי קיימות חברות שירותים המספקות ניתוחי Data Science תוך הבטחת סודיות המידע. יש בכך פתרון לחברות וארגונים שאינם ערוכים לפרויקטים אלו בהיבט התשתיתי או הפיננסי. ייתכן שדריסת הרגל של עולם הביקורת בתחום ה-Data Science תתבצע באמצעות נותני שירותים שכאלה.

אודות הכותב/ת

אסף קורן