Kvalita dat v informačních systémech a její význam

Autor:	Antonín Hamřík, Vladimir Alexandrov
Publikace:	Finanční management
Datum:	21.12.2009
Strana:	17

Článek se zaměřuje na oblast kvality dat ve společnostech. Vychází z pohledu systémového auditora, tedy externího pohledu na věc. Na konkrétních případech analyzuje situace, ve kterých jsme zaznamenali problémy s kvalitou dat, jejich nejčastější příčiny a následné dopady na chod společnosti. Věnuje se také zvoleným protiopatřením.

Informační technologie jsou v dnešní době nedílnou součástí všech podniků a neexistuje snad ani jediná společnost, která by se bez nich dokázala obejít. V čem se však řada podniků liší je míra zapojení informačních systémů do celkového chodu společnosti, ta je často určována typem podniku či instituce. Zatímco pro jednoduché výrobní firmy může být informační systém pouze doplňkovým nástrojem, který slouží k podchycení účetnictví, pro banku nebo telekomunikační společnost se stává integrovaný informační systém nástrojem podnikání, který do značné míry určuje schopnost prosadit se v ostré konkurenci.

Manažeři většiny podniků si uvědomují význam informačních technologií a jejich důležitost pro přežití a neváhají do těchto oblastí masivně investovat. Řada tradičních oblastí jako výroba, obchod, zemědělská produkce nebo zpracovatelský průmysl se neobejdou bez zpracování informací v elektronické podobě. Vedení těchto společností jsou nucena, anebo je to pro ně přímo výhodné, prodávat a nakupovat prostřednictvím internetových aukcí, komunikovat s obchodními partnery, obchodovat s využitím různých standardů jako například EDI nebo jen spravovat bankovní účet z tepla své kanceláře. Finanční plánování a účetnictví je pak s těmito systémy úzce provázáno a vytváří často velmi komplexní řešení. V poslední době sledujeme dokonce, pro znalce problematiky velice odvážné, pokusy státní správy o podporu elektronizace, ať už se jedná o novou či upravovanou legislativu, informační portály a nebo nově zavedené datové schránky.

Mnoho věcí se postupně mění, jedno je ale jisté, elektronická data jsou již nyní postavena na stejnou úroveň jako klasické papírové záznamy a vzhledem k jejich značně lepším vlastnostem, a zejména pak nižším nákladům na zpracování, uchovávání a archivaci, lze očekávat jejich jednoznačné vítězství nad klasickými tištěnými dokumenty. Ve skutečnosti už elektronická data zvítězila, akorát v myšlení lidí stále přetrvává konzervativní přístup a mnoho z nás stále ještě upřednostňuje a má větší důvěru například ve vytištěný bankovní výpis, kterému dává přednost před pohledem na obrazovku počítače. Ačkoliv si za takovouto nostalgii musí docela hodně připlatit.

Informace ve formě elektronických dat jsou již všude a bude jich zřejmě stále více. S tímto faktem však přicházejí do podniků nová rizika, která u klasických papírových dokumentů existovala jen v minimální míře. Avšak elektronická data je svým charakterem zvýšila a je proto vhodné je začít řídit. Můžeme jen namátkou vzpomenout:
a) Elektronická data jsou snadno a rychle přenositelná, celý archiv informací může pachatel jednoduše přenést v malé krabičce nebo stáhnout v průběhu několika minut přes nechráněné internetové připojení. b) Elektronická data jsou snadno modifikovatelná. Text na vytištěném dokumentu je obtížnější změnit. Zatímco u jednoduchých elektronických dokumentů, jako například textový soubor, je změna bez použití dalších kontrolních mechanizmů prakticky nezjistitelná a nedohledatelná. c) Datový soubor lze zkopírovat ve zlomku sekundy, zatímco papírový dokument je relativně obtížné padělat. d) Snadná tvorba, ukládání a zpracování elektronických dat je jejich obrovskou výhodou. Často však vede k problémům s velkým množstvím informací. Pokud uživatelé nezvolí vhodný způsob katalogizace a agregace dat, může docházet k situacím typu „Víme, že to v systému máme, ale nevíme kde a zejména jak požadovanou informaci získat“. e) Data v informačních systémech jsou v průběhu času modifikována, většinou rozšiřována tak, aby obsahovala více informací. To však vytváří požadavek na doplnění rozšířených informací u již existujících záznamů. f) Data jsou v informačních systémech komplexně provázaná, malá změna některých parametrů tak může vyvolat významné modifikace celého systému s velkým dopadem na chod podniků.

Zmíněná rizika oblastí a) …c) je potřeba řídit za pomocí elektronického zabezpečení. Většinou dodavatelsky upravované enkrypce dokumentů, elektronické podpisy nebo jednoduché kontrolní mechanizmy zabudované pomocí automatizovaných kontrol v aplikacích jsou často první řešení, která u našich klientů vídáme. V případě méně komplexních systémů jsou často dostatečná. Drobný podnikatel, který si omylem vymaže data v počítači, si zanadává, ale je schopen s manželkou znovu všechny faktury od začátku roku do počítače přepsat v průběhu několika dní. Pro střední a velké podniky (od několika desítek uživatelů) by se však již s takovýmto dílčím řešením neměli spokojit.

V dodavatelsky nastavených systémech, u kterých nebyla komplexně řešena bezpečnost, se totiž většinou nachází mnoho slabých míst a skrytých problémů, které v případech, kdy se na ně narazí, nezabrání ztrátě nebo nechtěné manipulaci s daty. Nebezpečí takovýchto problémů spočívá v tom, že trpělivě čekají často i několik let, než se projeví. Paradoxně velký dopad bývá většinou jednodušší vyřešit. Například smazání významné části dat lze obnovit ze záloh, zatímco jemné modifikace dat, které mohou způsobit významné obchodní ztráty, případně zneužití slabin v systémech a procesech ke krádežím, nemusí být vůbec odhaleny. A pokud se to podaří, často je není možné zpětně napravit, protože jejich vliv sahá daleko do minulosti. Rozhodně by se každý podnik měl zabývat ohodnocením svých dat a následně podniknout vhodné kroky k jejich zabezpečení.

Nyní bychom se ale chtěli podrobněji zabývat riziky v oblastech d) …f), které bychom mohli zahrnout mezi faktory přímo ovlivňující kvalitu dat. Při naší práci na finančních auditech také využíváme výhod, které nabízí zpracování dat. Postup je jednoduchý, auditované firmy nám poskytnou detailní informace ze svých informačních systémů, ať už se jedná o přístupová práva a uživatelské účty, nebo detailní soubory účetních informací, jako například materiálové toky. Prezentujeme zde typické případy, na které často narážíme v průběhu našich projektů zaměřených na kontrolu kvality dat a datových toků.

Nevhodná agregace a procesní problémy

Naším klientem je středně velký podnik, který je zaměřen na dodávky služeb pro domácnosti, s obratem několika miliard korun a zhruba 200 zaměstnanci na centrále. Začal se dostávat do problémů s odsouhlasováním faktur na došlou hotovost. Podnik je silně závislý na informačních systémech. Kromě účetního systému a odděleného modulu pro párování došlých plateb má dvě další servisní aplikace, které slouží pro evidenci a plnění služeb. Systémy, které vznikaly postupně tak, jak se podnik rozvíjel, jsou dnes navzájem integrovány. V jednom případě však stále dochází k ručnímu přenosu dat mezi servisní aplikací a účetním systémem.

Problém vznikl nenápadně před osmi lety, kdy byl zaveden nový účetní systém. Tehdy se rozhodovalo, jak budou účtovány nespárované platby. Byl vybrán postup, kdy dochází k převodu došlých plateb položkově do účetnictví, a celková částka je pak upravována o spárované pohledávky. Logika postupu účtování je zcela správná, problémy ale později způsobil fakt, že spárované pohledávky byly do účetnictví přenášeny v agregované formě, a to dokonce inkrementálně.

Tento postup brzy způsobil drobné rozdíly v řádech desítek tisíc korun mezi očekávanou hodnotou účtu nepřiřazených plateb v účetním systému a výpisem z modulu pro párování došlých plateb, které ale nikdo necítil potřebu přímo řešit. Za osm let se ale rozsah služeb mnohonásobně rozrostl a spolu s tím dosáhla kumulovaná chyba nespárovaných plateb více než dvaceti milionů korun, což už bylo významné i pro externího auditora. Naneštěstí měl rozdíl ještě tendenci silně kolísat a představoval významné riziko pro podnik.

Následná náprava postupovala ve dvou rovinách:

detailním zmapování datových toků v informačních systémech
rekonstrukci agregovaných informací z archivních dat Tímto postupem jsme objevili několik hlavních příčin vzniku tohoto rozdílu:
1. Chybu způsobenou lidským faktorem před čtyřmi lety, která měla bohužel i po zjednání nápravy finanční dopad v podobě přeplacené daně.
2. Procesní problém s účtováním provizí, které si prodejci v některých případech strhávali přímo z plateb vybíraných od klientů a posílali nižší platby za provedené služby
3. Technická chyba interface, který nesprávně rozlišoval vzniklé pohledávky podle jiného časového pole. Tato chyba neměla, kromě účetního, žádné další finanční dopady.

Dále jsme doporučili vedení podniku zvážit změnu v informačních systémech, a to zejména doprogramování interface, který by odstranil nutnost manuálního přenosu dat mezi dvěma systémy. Rovněž jsme navrhli nastavení detailních kontrolních mechanizmů na kontrolu datových toků.

Z dlouhodobého hlediska by měl tento podnik uvažovat o změně přenosu dat na transakční, raději než agregované a inkrementální, bázi.

Chyba při provádění původního nastavení systému

Dalším klientem byla větší nadnárodní firma s celosvětovým působením. Jednalo se o, výrobní podnik, který měl okolo jednoho tisíce zaměstnanců a obrat v řádu miliard korun.

V této společnosti byl nainstalován integrovaný informační systém, který automaticky zpracovával veškerá provozní a finanční data. Systém byl propojen s workflow nadstavbou pro vnitřní oběh dokumentů a byl detailně upraven pro potřeby podniku tak, že automaticky generoval finanční výkazy v požadované struktuře.

V průběhu implementace sytému byla před dvěma lety v modulu produkce vytvořena chyba v algoritmu výpočtu kursových rozdílů (FOREX), která nebyla odhalena při akceptačním testování. V důsledku této chyby systém čerpal nesprávný kurz z kmenových dat, a výpočet FOREX tak byl chybný. Chyba sama byla velice obtížně identifikovatelná, protože reálné denní výkyvy sazby nebyly většinou velké, a dopad na finanční informace pak nebyl významný. To se ale změnilo v průběhu roku, když došlo k zaúčtování milionů transakcí a tyto rozdíly se staly viditelnými. Tuto chybu jsme identifikovali v průběhu auditu při automatickém přepočítávání kalkulace FOREX pro dané období s použitím počítači podporované auditorské techniky (CAAT – Computer Assisted Auditing Techniques), kdy jsme objevili významný rozdíl v očekávané a systémem zachycené hodnotě materiálu. Následnou prověrkou jsme zjistili jako hlavní příčinu nesprávné nastavení informačního systému spolu s nedostatečnými manuálními a automatickými kontrolami v prostředí systému. Celkový dopad chyby se pohyboval v řádech milionů korun.

Většina chyb podobného charakteru je způsobena lidským faktorem. Systém je určitě nutné kastomizovat a bez drobných úprav se neobejde snad žádný podnik.

Je ale potřeba k tomu přistupovat s vědomím možných dopadů na systémové informace. Při provádění jakýchkoliv významných změn v systému je nezbytné provádět důkladnou analýzu prováděných úprav. V průběhu implementace a po jejím dokončení je také vhodné zapojení odborníků s finančními i technickými znalostmi, aby otestovali, že systém bude zpracovávat informace správně, tak jak je požadováno. Pro zajištění kvality dat je takovýto postup nezbytný.

Audity dat

Zatímco v prvním případě jsme prováděli poradenství na žádost klienta, ve druhém se jednalo o prověrku dat v rámci externího auditu.

Jako externí auditoři se při auditu podniků s integrovaným informačním systémem potýkáme téměř pokaždé s problémem kvality dat. Pro jejich kontrolu využíváme takzvané počítačem podporované techniky auditu. CAAT nástroje pracují na základě nahrání dat přímo z informačního systému a následném provádění specifických testů, které mají za účel odhalit nedostatky, nebo případně vzory a struktury v rozsáhlých datových souborech.

Typické využití CAAT zahrnuje například:

Obecný auditovací software – například ACL (Audit Command Language) či IDEA (Interactive Data Extraction and Analysis).
Přizpůsobený auditorský software (CAS – Custom Audit Software) – například relační databáze MS SQL
Paralelní simulace aplikací a srovnávání výsledků

Existuje široká škála různých dalších nástrojů a možností použití. Jedno ale zůstává stejné. Každý podnik má jinak nastavené aplikace a vnitřní kontroly, a proto většinou nelze přistupovat, anebo jen v omezené míře, ke kontrole a analýze dat s použitím standardních, předdefinovaných testů. Často je lepší, aby takovýto audit prováděl zkušený odborník, který dokáže navrhnout efektivní řešení nejen pro řízení rizik v oblasti dat, ale i nejlepší postup při nápravě vzniklých škod.

Kontakty

Antonín Hamřík: ředitel, Auditorské služby; Tel: +420 251 152 204; Email

Vladimir Alexandrov: manažer, Auditorské služby; Tel: +420 251 152 319; Email

Související služby

Auditorské služby

Leaders voice Články Jiřího Mosera pro Hospodářské noviny

Tipy pro řízení podniku v době krize Články o krizi

© 2009-2012 PricewaterhouseCoopers. Všechna práva vyhrazena. Jméno „PricewaterhouseCoopers“ nebo „PwC“ označuje síť společností PricewaterhouseCoopers International Limited (PwCIL). Každá z jejích členských společností je samostatným právním subjektem a nevystupuje jako zástupce PwCIL nebo žádné jiné členské společnosti. PwCIL sama neposkytuje žádné služby klientům. PwCIL není zodpovědná a neručí za jednání nebo nečinnost žádné z jejích členských společností, nevykonává kontrolu nad jejich odborným úsudkem a nemůže je jakkoliv závazně ovlivňovat. Žádná z členských společností PwCIL není zodpovědná a neručí za jednání nebo nečinnost žádné jiné členské společnosti, nevykonává kontrolu nad jejich odborným úsudkem nebo nemůže jakkoliv závazně ovlivňovat další členské společnosti PwCIL.