(Bilde: H.Brombach)

KPMG Norge

– Folk har litt feil oppfatning av hva vi egentlig driver med

Digital ryddesjau har satt KPMG Norge i førersetet for konsernets globale bruk av avansert dataanalyse.

OSLO/MAJORSTUA (digi.no): Den norske virksomheten til det internasjonale revisjons- og rådgivingsselskapet KPMG har hatt en lederrolle i utviklingen av selskapets innsats for å rydde opp i de forskjellige dataanalyseløsningene som tidligere har blitt utviklet ved selskapets ulike virksomheter, spesielt i de store landene.

Rundt 2011 fant selskapet ut at det ville være bedre å bygge én løsning som alle kunne bruke, og å bruke alle ressursene på dette.

Fikk ansvaret

Naturlig nok ønsket hver av de ulike, nasjonale virksomhetene at det skulle satses videre på løsningen de selv hadde utviklet. Norge var ikke blant disse og kom derfor inn for å gjøre en nøytral vurdering av hvilken løsning man burde gå for.

Dette førte til at Jo Sigurd Pedersen, nåværende analysesjef for KPMG Norges revisjonsvirksomhet, ble tidlig involvert i prosjektet.

– Jo Sigurd har fra da vært med hele veien under utviklingsløpet. Han er derfor en av de ledende innen dette feltet i KPMG-verdenen, en anerkjent global D&A-fagekspert, sier Julie Berg, partner og leder for data og analyse i KPMG Norge, til digi.no.

– Han har vært med i en del globale prosjekter, og land som USA og UK ser litt opp til oss på grunn av dette, forteller Berg.

Selv sier Pedersen at det er en fordel å være i et mindre land med kortere vei til ledelsen.

– Da går det raskere å gjøre endringer, sier han.

Løsningen som ble valgt, var den KPMG i Tyskland benyttet. Men den har blitt designet på nytt og forbedret, blant annet ved at man nå bruker en «common database model», noen som gjør det mulig for KPMG å transformere ulike ERP-systemer inn i denne modellen.

Det meste av kodingen har skjedd i USA, hvor Pedersen har vært med på utviklingen av løsningen og analysene i tolv uker hvert år.

Diger server

I praksis kjøres løsningen til KPMG på toppen av en Microsoft-stakk som inkluderer Windows Server 2012 R2, SQL Server 2012 R2, SQL Server Analysis Services (SSAS), SQL Server Integration Services (SSIS) og SQL Server Reporting Services (SSRS).

– Vi gleder oss forresten veldig til å ta i bruk SQL Server 2016, forteller Pedersen.

KPMG Norge har investert i et datarom med fire servere. Den kraftigste har 120 fysiske kjerner, fire terabyte med RAM og Fusion IO-disker – for å få beste mulig I/O [Input/Output], forklarer Pedersen. I tillegg til prosessering, benyttes samlingen av servere til web, fil, applikasjon, rapportering og QlikView.

På spørsmål om bruk av nettskyen ble vurdert som et alternativ til eget datasenter, forteller Pedersen at selskapet allerede ser på bruk av Microsoft Azure, men da primært i forbindelse med intern revisjon og rådgivningsoppdrag.

– Hele opplegget her er veldig spesiallaget, og vi har veldig mye utvikling på vår løsning, så nettsky er ikke hensiktsmessig per dags dato. Men det er helt klart noe vi ser på for framtidig bruk, forklarer han.

En annen faktor som spiller en rolle, er sikkerheten til kundedataene.

– Vi har et stort ansvar for å sikre dataene fra kundene, og vil alltid velge løsninger hvor sikkerheten er på topp.

Overrasket

Hun og Pedersen understreker også at revisjonsarbeidet hos KPMG krever team som ikke bare består av revisorer, men også folk med prosessforståelse eller teknologisk forståelse.

Det at et revisjonsselskap trenger teknologer på et høyt nivå innen dataanalyse, ser ut til å være overraskende for mange.

– Folk har litt feil oppfatning av hva vi egentlig gjør. Jeg har holdt innlegg ved NTNU hvor tilhørerne har blitt overrasket over hva vi driver med, sier Pedersen.

Bakgrunnen for å bruke dataanalyse i forbindelse revisjonsarbeid er at dette ikke lenger bare handler om å sjekke om postene i en enkel hovedbok er korrekte. Alt har blitt mye mer komplekst, og datamengdene fra virksomhetene har økt voldsomt.

Dette har gjort det umulig å kontrollere alt med tradisjonelle metoder. Pedersen forteller at mens man tidligere måtte begrense seg til å kontrollere et utvalg av transaksjonene, kan man nå kontrollere absolutt alle de finansielle transaksjonene til kundene.

Terabytes med tekstfiler

Det dreier seg om betydelige datamengder. I fjor analyserte KPGM Norge omtrent 23 milliarder transaksjoner i data fra rundt 400 selskaper. Datamengden var på 20 terabyte, noe kanskje ikke oppfattes som noen ubegripelig mengde i dag, men som likevel er svært mye når det dreier seg om rene tekstfiler.

– I dag kan vi teste alle transaksjonene like effektivt og får et mye bedre grunnlag for å finne avvik, enn ved bare å teste et utvalg. Da vi kontrollerte de begrensede utvalgene, var det vanskelig å konkludere på omfanget av avvik og identifisere «root cause analysis» for avviket. Ofte testes ikke alle transaksjonstypene, og sideveiene er ikke med i kontrollene – noe som gir en økt risiko. Kundene krever nå at vi gir dem konkrete tilbakemeldinger på hvordan kontrollene kan forbedres, forteller Pedersen.

Avvik i strømmen

I systemet tar man utgangspunkt i forretningsprosessen og ser om den følger en forventet strøm. Da avdekkes avvik som sideveier fra strømmen.

– Mange kunder vet om sideveiene, men tror at ingen bruker dem, forteller Berg.

Berg og Pedersen nevner en rekke eksempler på hva slike avvik kan være, for eksempel noe så grunnleggende som at den samme leverandøren ikke er oppført to ganger i systemet, eller hvem som har opprettet eller endret ting og at dette ikke er gjort i henhold til policyen.

Illustrasjonen viser analyse kan brukes i kontroll av en innkjøpsprosess. Sideveien illustrerer et avvik fra den vanlige prosessen.
 

Det hele kan gjøres innen en rekke ulike områder og tilnærminger, inkludert innkjøpsprosesser, lagerbeholdning, svindel og «compliance», men også innen IT-sikkerhet.

– IT-sikkerhet er grunnsteinen. Man kan for eksempel se på om konfigurasjonen er hensiktsmessig, om logging er skrudd av, om det er mange med administratortilgang, passordregler, tilganger, om siste patch er installert eller om det er flere som bruker samme brukernavn og passord. Andre muligheter er å se hvem som har mulighet til å gjøre endringer og hvem som har gjort det, helt ned på fakturanivå.

– Det brukes samme metodikk for både revisjon og sikkerhet. Man kan se om samme personer har godkjent ting de ikke skulle ha gjort, sier Pedersen.

Merverdi

Men løsningen handler ikke bare om å kontrollere dataene.

– Revisorer som omfavner og formidler mulighetene som ligger i dataanalyse, vil få en styrket rolle hos kundene. Det handler om å utnytte dataenes fulle potensial. Det krever kompetanse og kraftige verktøy som kundene ofte ikke har selv. Virksomheter som inkorporerer en mer sofistikert bruk av dataanalyse og digitale prosesser i revisjonen vil raskt se hvilken stor innsikt og merverdi det gir, mener Berg.

– Da kan vise se på alt mulig av svakheter og forbedringspunkter som kunden kanskje ikke har tenkt på selv, sier hun.

Dette omfatter for eksempel sammenligning av kunder i samme bransje, eller av avdelinger av samme selskap i ulike land. Etter hvert vil kundedataene i større grad enn i dag også kunne kobles mot eksterne datakilder, som svindelindekser og valutakurser.

Gjennom verktøy som svenske QlikView gis kundene dynamisk tilgang til rapporter og data, noe som ifølge Pedersen vil gi mye mer interaktive møter og diskusjoner enn med statiske PowerPoint-presentasjoner.

– Man får en helt annen oppmerksomhet i ledelsen når man kommer med en veldig konkret rapport, og ledelsen får økt innsikt og et styrket beslutningsgrunnlag for bedre risikostyring, sier Berg.

Formel 1 og Watson

Men KPMG har ikke tenkt å nøye seg med dette. Berg forteller at selskapet gjennom et samarbeid med McLaren Technology Group har tatt i bruk Formel 1-teknologi i forbindelse med revisjon.

– De bygger egentlig apper for oss, som England har pilotert nå, og som vi om kort tid får tilgang til, sier Berg.

Hun forteller også at KPMG er i gang med å ta i bruk IBM Watson i forbindelse med kognitiv analyse, men at dette tidligst om et år vil få noen betydning på revisjonssiden. Derimot tas det stadig mer i bruk på rådgivningssiden.

– Noe av utfordringen for bransjen er at den regulatoriske siden ikke henger med den tekniske. Derfor henger revisjonsbransjen litt etter, samtidig som at virkeligheten endrer seg totalt, sier Berg.

Til toppen