AFSTUDEERSCRIPTIE Methodiek voor gebruik data‐analyse ter verbetering kwaliteit bij de jaarrekeningcontrole
Naam:
Lex Wagenaar BI CISA
Datum:
woensdag 21 augustus 2013
Collegejaar:
2012-2013
Faculteit:
Faculteit der Economische Wetenschappen en Bedrijfskunde
Begeleiding:
Dr.
Ir.
Abbas
Shahim
RE
INHOUD 1
2
3
4
Inleiding .............................................................................................. 4 1.1
Aanleiding ..................................................................................... 4
1.2
Hoofdvraag en deelvragen .................................................................. 5
1.3
Scope .......................................................................................... 5
1.4
Uitgangspunten ............................................................................... 5
1.5
Onderzoeksmethodiek en structuur ....................................................... 6
De jaarrekeningcontrole ........................................................................... 7 2.1
Doel van de jaarrekeningcontrole ......................................................... 7
2.2
Aanpak van de jaarrekeningcontrole ...................................................... 8
Data-analyse in de jaarrekeningcontrole...................................................... 11 3.1
Data-analyse ................................................................................ 11
3.2
Data-analyse in de jaarrekeningcontrole ............................................... 11
Methodiek voor data-analyse in de jaarrekeningcontrole .................................. 14 4.1
Beheerfase .................................................................................. 15
4.2
Client environment ........................................................................ 16
4.3
Data extraction ............................................................................. 17
4.3.1 Extractie-architectuur .................................................................. 18 4.3.2 Datanormalisatie ........................................................................ 21
5
4.4
Analyse ...................................................................................... 22
4.5
Reporting .................................................................................... 23
Toepassing van de methodiek .................................................................. 25 5.1
Opzet proof of concept ................................................................... 25
5.1.1 Programmatuur .......................................................................... 25 5.1.2 Analyses .................................................................................. 27 5.1.3 Analyseflow .............................................................................. 28 5.1.4 Deelnemende bedrijven ................................................................ 28 5.2 6
Bevindingen Proof of Concept ............................................................ 30
Conclusie en discussie ........................................................................... 33
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
2
6.1
Verder onderzoek .......................................................................... 34
Literatuurlijst .......................................................................................... 35 Bijlage 1: Verdeling software ........................................................................ 37 Bijlage 2: Screenshots programmatuur ............................................................. 38 Bijlage 3: Analyses ..................................................................................... 44 Bijlage 4: Typologie Starreveld en uitgevoerde analyses in % ................................... 52
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
3
1 INLEIDING 1.1 AANLEIDING In de afgelopen jaren is het accountantsberoep verschillende malen negatief in het nieuws geweest. Verschillende accountants zijn voor het tuchtrecht geroepen en de AFM heeft verschillende
negatieve
rapporten
uitgebracht.
De
conclusie
is
duidelijk;
de
accountantskantoren moeten beter gaan presteren. Eén van deze rapporten is van de Autoriteit Financiële Markten (AFM). Uit onderzoek van de AFM bij negen OOBvergunninghouders blijkt dat bij alle kantoren significante afwijkingen zijn geconstateerd ten aanzien van de kwaliteit van de jaarrekeningcontrole (AFM, 2013). De afwijkingen die in het rapport worden benoemd lopen uiteen van de toon aan de top tot specifieke beoordelingsvraagstukken. In de media zijn er ook enkele geruchtmakende rechtszaken uitgelicht, mogelijk is dit slechts het topje van de ijsberg. Binnen de organisatie waarbinnen dit onderzoek wordt uitgevoerd zijn er, naar aanleiding van verscherpte controles, verschillende strategiewijzigingen doorgevoerd om de kwaliteit van de jaarrekeningcontrole te verhogen. Kwaliteit is het doel geworden van de nieuwe strategie, winstgevendheid op korte termijn is minder belangrijk. Onderdeel van deze strategiewijziging is het oprichten van een werkgroep die zich buigt over aanpassingen aan de werkwijze van de accountant, met als doel een hogere mate van assurance te leveren bij de jaarrekeningcontrole zonder dat hierdoor de concurrerende positie van het bedrijf in het geding komt. Door concurrentie worden budgetten voor klanten steeds kleiner (AFM, 2013), geruchten gaan zelfs over het outsourcen van testwerkzaamheden naar India en andere landen waar het arbeidsloon lager ligt. Een lager budget betekent minder tijd en minder tijd betekent, met gelijkblijvende werkzaamheden, een lagere kwaliteit van assurance. Een voorstel vanuit de werkgroep die opgericht is bij de organisatie is het aanpassen van de interne richtlijn BVT07-026 ten aanzien van data-analyse tijdens de jaarrekeningcontrole. Hierdoor kan er meer worden gesteund op integrale controle en hoeft er minder te worden gesteund op professional judgement. Data-analyse is zover gevorderd dat er in de meeste gevallen effectief mee gewerkt kan worden, iets wat tien jaar geleden zeker niet het geval was. Dit biedt de ruimte voor het ontwikkelen van nieuwe, efficiëntere manieren om met data-analyse om te gaan. In het verleden was men voornamelijk bezig met het oplossen van technische problemen vóór en tijdens de analyse en het wachten op uitkomsten vanwege de beperkte rekencapaciteit. Tegenwoordig is dit door nieuwe ontwikkelingen op IT-gebied terug te dringen tot kleine proporties. (Boukens, 2012) Daarnaast is de rekencapaciteit en het opslaggeheugen van Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
4
standaardlaptops drastisch vergroot. De combinatie van deze factoren zorgt ervoor dat data-analyse klaar is voor een herwaardering.
1.2 HOOFDVRAAG EN DEELVRAGEN Uitgaande van de hiervoor beschreven situatie en de doelstelling vanuit de werkgroep is de hoofdvraag voor dit onderzoek als volgt gedefinieerd: Welke suggesties kunnen worden gedaan m.b.t. data-analyse om de kwaliteit van de jaarrekeningcontrole bij kleine ondernemingen te verhogen? De deelvragen bij deze hoofdvraag zijn als volgt:
Waaruit bestaat de jaarrekeningcontrole bij kleine ondernemingen?
Wat is data-analyse? Hoe wordt data-analyse ingezet in de jaarrekeningcontrole bij kleine ondernemingen?
Welke kenmerken heeft een methodiek die efficiënt en effectief data-analyse toepast in de jaarrekeningcontrole bij kleine ondernemingen?
Wat kunnen we leren uit een toepassing van deze methodiek op de jaarrekeningcontrole van diverse kleine ondernemingen?
1.3 SCOPE Door een beperkt budget kan een onderzoek nooit alomvattend zijn. Hieronder zijn enkele zaken besproken die uitgesloten worden van de scope van dit onderzoek:
Meer gebruik maken van data-analyse kan mogelijk de relatie tussen de accountant en de klant negatief beïnvloeden. Deze effecten zullen tijdens dit onderzoek niet geanalyseerd worden.
Data-analyse beperkt zich in dit onderzoek tot de financiële registratie binnen het te controleren bedrijf, overige toepassingen van data-analyse vallen buiten beschouwing.
Bedrijven die hun administratie voeren volgens andere dan Nederlands recht vallen ook buiten de scope van het onderzoek.
1.4 UITGANGSPUNTEN In dit onderzoek zullen de volgende uitgangspunten gebruikt worden:
Binnen dit onderzoek wordt ervan uitgegaan dat de registratie van financiële feiten plaatsvindt middels een software-applicatie van waaruit data geëxtraheerd kan worden.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
5
Ondanks dat het in de praktijk voorkomt dat bedrijven software niet correct gebruiken, zal in dit onderzoek het uitgangspunt gebruikt worden van het juiste gebruik van de software.
Veel bedrijven in het middensegment hebben geen beschikking over een eigen internal audit-afdeling. In dit onderzoek zal er dan ook vanuit worden gegaan dat deze niet aanwezig is. De controles worden uitgevoerd door de externe accountant.
1.5 ONDERZOEKSMETHODIEK EN STRUCTUUR Tijdens dit onderzoek is gebruik gemaakt van de case study methodiek van Robert K. Yin. Deze methode bestaat uit duidelijk omschreven onderzoeksstappen, te weten: 1. Plannen
4. Verzamelen
2. Ontwerpen
5. Analyseren
3. Voorbereiden
6. Delen
Deze stappen staan op verschillende punten met elkaar in verbinding. Zo kan de analyse bijvoorbeeld invloed uitoefenen op het ontwerp. De structuur van het onderzoek wordt gereflecteerd in de wijze van rapporteren. In hoofdstuk 1 wordt de probleemstelling en de onderzoeksvraag neergelegd. In het tweede en derde hoofdstuk worden definities gegeven van de meest belangrijke componenten van de hoofdvraag; namelijk “de jaarrekeningcontrole” en “wat is data-analyse?”. Vervolgens wordt in hoofdstuk 4 beschreven hoe data-analyse in de jaarrekeningcontrole gebruikt wordt. In dit hoofdstuk komen enkele problemen aan de orde waar de methodiek, zoals beschreven in hoofdstuk 5, een eerste aanzet tot een oplossing voor probeert te geven. Deze methodiek wordt in hoofdstuk 6 getoetst aan de hand van diverse praktijksituaties.Tot slot volgt er een conclusie met een discussie en suggesties voor verder onderzoek.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
6
2 DE JAARREKENINGCONTROLE In dit hoofdstuk zal antwoord worden gegeven op de eerste deelvraag van het onderzoek. Deze luidt: Waaruit bestaat de jaarrekeningcontrole bij kleine ondernemingen? Hierin wordt uiteen gezet wat het doel van de jaarrekeningcontrole is, welke personen hierbij betrokken zijn, welke objecten binnen de organisatie hiervoor relevant geacht worden en hoe deze gebruikelijk plaatsvindt. Binnen de Nederlandse Wet- en regelgeving wordt er geen onderscheid gemaakt tussen de jaarrekeningcontrole bij kleine bedrijven en grote bedrijven. Daarom zal er in dit hoofdstuk een algemene uitleg gegeven worden over de manier waarop de jaarrekeningcontrole uitgevoerd wordt.
2.1 DOEL VAN DE JAARREKENINGCONTROLE Het doel van een accountantscontrole, waaronder de jaarrekeningcontrole, is “het versterken van de mate waarin de beoogde gebruikers in de financiële overzichten vertrouwen stellen. Dit wordt bewerkstelligd door het door de accountant tot uitdrukking brengen van een oordeel of de financiële overzichten in alle van materieel belang zijnde opzichten opgesteld zijn in overeenstemming met een van toepassing zijnd stelsel inzake financiële verslaggeving” (NV COS 200). In deze uitleg van het doel van een jaarrekeningcontrole komen verschillende personen/objecten naar voren; de beoogd gebruiker, de accountant en het object van onderzoek. De doelstelling van de beoogd gebruiker is op basis van het de financiële overzichten een keuze te maken. Hier kan gedacht worden aan het verstrekken van leningen (e.g. banken) het investeren in de onderneming (e.g. particulieren) of het aangaan van een financiële verbintenis. De doelstelling die de accountant heeft is; “Het verkrijgen van een redelijke mate van zekerheid over de vraag of de financiële overzichten als geheel geen afwijking van materieel belang bevatten die het gevolg is van fraude of van fouten, om daarmee de accountant in staat te stellen om een oordeel tot uitdrukking te brengen over de vraag of de financiële overzichten in alle van materieel belang zijnde opzichten in overeenstemming
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
7
met het van toepassing zijnde stelsel inzake financiële verslaggeving zijn opgesteld” (NV COS 200) Het object van onderzoek zijn bij de jaarrekeningcontrole de financiële overzichten. “De accountant dient inzicht te verwerven in de interne beheersing die relevant is voor de controle” (NV COS 315). Onderdelen van de interne beheersing kunnen procedures, applicaties en personen zijn. Om een gedegen beeld te krijgen van het object zullen alle relevante bronnen daarvoor beoordeeld moeten worden door de accountant. Het doel bij de jaarrekeningcontrole is zekerheid verschaffen over posten die op de jaarrekening
verantwoord
worden.
Er
zijn
verschillende
manieren
waarop
een
jaarrekeningpost niet kan kloppen. We hebben het hier over de zogenoemde assertions (completeness, existence, accuracy, valuation and presentation). Deze vormen risico’s voor het onjuist beoordelen van de jaarrekening door de accountant. De risico’s die mogelijk een invloed hebben op de beoordeling van de jaarrekening moeten conform NV COS315 “Het onderkennen en inschatten van de risico's van een afwijking van materieel belang door middel van het verwerven van inzicht in de entiteit en haar omgeving” geïnventariseerd worden.
2.2 AANPAK VAN DE JAARREKENINGCONTROLE De aanpak voor de jaarrekeningcontrole kan per klant verschillen maar zal in de regel beginnen met het onderzoeken van het object, understanding the business. De context van het bedrijf wordt belangrijk geacht voor het bepalen van de doelstellingen en de scope die de organisatie wil behalen (scoping). Deze doelstellingen kunnen worden bepaald door externe factoren, wet en regelgeving, interne factoren en service level agreements. In het perspectief van de jaarrekeningcontrole is de wet en regelgeving de voornaamste bron voor de doelstellingen. Na het bepalen van de doelstellingen van een organisatie bekijkt de auditor welke zaken invloed kunnen uitoefenen op het behalen van de doelstellingen, dit noemt men de risicoanalyse. De auditor zal aan de hand van de risicoanalyse de organisatie analyseren en zoeken naar beheersmaatregelen en deze testen op opzet en bestaan (Identify and assess risk). Naar aanleiding van deze analyse wordt de aanpak voor de audit vastgesteld (design audit response). Dit wordt vervolgd door het verzamelen van bewijsmateriaal om vast te stellen of de eventuele risico’s zich hebben gemanifesteerd (Obtain Audit Evidence). De auditor zal een mening vormen over de scope van het onderzoek en hierover een rapport afgeven (Report). Dit proces is inzichtelijk gemaakt in Figuur 1 BDO Audit manual.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
8
FIGUUR 1 BDO AUDIT MANUAL
Deze beschrijving van een audit aanpak is de algemeen geaccepteerde manier van het uitvoeren van audits en wordt ook binnen het onderzoeksbedrijf gebruikt. De controlewerkzaamheden die de accountant binnen de controle uitvoerd om evidence te verzamelen zijn (NV COS 500):
Inspectie
Waarneming
Externe confirmatie
Herberekening
Herhaling van de uitvoering
Cijferanalyses
Verzoeken om inlichtingen
Op basis van de controlewerkzaamheden van de accountant beoogt deze de materiele risico’s van een onjuiste jaarrekening af te dekken. Dit bevestigt de accountant door het afgeven van een goedkeurende verklaring. Tijdens de jaarrekeningcontrole zijn er diverse controles die door de accountant moeten worden uitgevoerd over grotere hoeveelheden datasets waarbij niet in één oogopslag een conclusie kan worden getrokken. De accountant heeft hierbij verschillende mogelijkheden om tot een afdoende mate van assurance te komen. Een belangrijke hiervan is de statistische deelwaarneming, die vaak als nietrendabel wordt gezien, aangezien voor een voldoende betrouwbaarheid en nauwkeurigheid een te grote sample moet worden bekeken. De accountancy heeft hierom een best practice ontwikkeld, waarbij men een deelwaarneming doet en deze sample kiest op basis van professional judgment. Deze best practice levert echter geen statistische onderbouwing op voor het dossier en is puur vanuit kostenoverweging geaccepteerd. Het gebruik van dataanalyse
binnen
een
jaarrekeningcontrole
kan
gebruikt
worden
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
bij
verschillende
9
controlewerkzaamheden. Met name bij de herberekening en de cijferanalyses kan de accountant effectief gebruik maken van data-analyses. Hier wordt in hoofdstuk 4 dieper op ingegaan.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
10
3 DATA-ANALYSE IN DE JAARREKENINGCONTROLE Binnen dit hoofdstuk zal de volgende deelvraag worden beantwoord: Wat is data-analyse? Hoe wordt data-analyse ingezet in de jaarrekeningcontrole bij kleine ondernemingen? Om deze vraag te beantwoorden zal er worden ingegaan op diverse onderzoeken op de gebieden van data-analyse en datanormalisatie. Resultaten uit deze onderzoeken vormen de basis voor het voorgestelde methodiek voor een nieuwe, effectievere manier van omgaan met data-analyse die in hoofdstuk 4 van dit onderzoek gepresenteerd wordt.
3.1 DATA-ANALYSE Data-analyse behelst alles wat te maken heeft met het gestructureerd analyseren van data. De definitie kan als volgt weergegeven worden: “Analysis of data is a process of inspecting, cleaning, transforming, and modeling data with the goal of discovering useful information, suggesting conclusions, and supporting decision making. Data analysis has multiple facets and approaches, encompassing diverse techniques under a variety of names, in different business, science, and social science domains.” (Wikipedia, the free encyclopedia) Ondanks dat deze definitie niet wetenschappelijk onderbouwd is worden de belangrijkte onderdelen ten aanzien van data-analyse zeker geraakt. Zoals aangegeven wordt dataanalyse op veel verschillende manieren uitgevoerd met veel verschillende doelen. Deze verschillen van weermodellen en wetenschappelijk onderzoek tot bedrijfstoepassingen en marketing. Data-analyse is zeer divers en de term wordt voor veel technieken gebruikt. In dit onderzoek wordt data-analyse gezien als het analyseren, transformeren, modeleren van financiële data ten behoeve van het vaststellen van verbanden uit verschillende bronnen en het analyseren van trends in deze data.
3.2 DATA-ANALYSE
IN
DE
JAARREKENINGCONTROLE
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
11
Data-analyse wordt al enkele jaren ingezet door auditors met als doel zekerheid verkrijgen tijdens de jaarrekeningcontrole. Data-analyse voor de jaarrekeningcontrole wordt in de literatuur vaak beschreven als Computer-assisted audit techniques (CAAT) (Vries, 2008). Het doel van het rapporteren van financiële feiten is het geven van informatie die nuttig is voor het management en de stakeholders van een organisatie. Op basis van deze informatie kunnen resources toegewezen worden (NV COS 200). Chan & Vasarhelyi geeft aan dat deze informatie alleen een toegevoegde waarde heeft indien deze betrouwbaar en tijdig beschikbaar
is
(Chan
&
Vasarhelyi,
12).
Het
gebruik
van
data-analyse
in
de
jaarrekeningcontrole geeft de accountant een efficiency voordeel (Menon & Williams, 2001) en een vermindering van menskracht (Elliott, 1998) waardoor de tijdfactor beter behaald kan worden en daarmee de toegevoegde waarde van het product dat geleverd wordt (Chan & Vasarhelyi, 12). Onderzoek door Binck geeft helder weer dat het gebruik van auditsoftware, en daarmee het gebruik van CAAT, de kwaliteit verbetert van de accountantscontrole (Binck, 2012). Er zijn ook beperkingen te noemen aan het gebruik van CAAT binnen de jaarrekeningcontrole. Het automatiseren van alle traditionele auditprocedures is niet realistisch. Het uitvoeren van deze controles behoeft complexe beoordelingen en een professionele kritische blik, daarnaast is een handmatige controle door een auditor benodigd (Chan & Vasarhelyi, 12). Alles et al. concludeert in een rapport uit 2006 dat 50% van de controles relatief eenvoudig geautomatiseerd kunnen worden. Een extra 25% van de controles kan geautomatiseerd worden door een beperkte aanpassing van de controle (Alles, Brennan, Kogan, & Vasarhelyi, 2006). Uitgaande van de genoemde voordelen van het gebruik van data-analyse in de jaarrekeningcontrole zou verondersteld kunnen worden dat data-analyse veelvuldig gebruikt wordt in deze context. Desondanks blijkt dat accountants deze technieken nog onvoldoende toepassen. Een andere optie dan het beoordelen van een deelwaarneming is de integrale controle van een dataset. Dit is mogelijk door data-analyse. Deze optie wordt zeer beperkt gebruikt vanwege de beperkte kennis van de accountant ten aanzien van data-analyse. Daarnaast ondervindt de accountant weerstand bij de klant, met name de IT-afdelingen, wanneer men data opvraagt bij de klant. Uit ervaring van verschillende accountants blijkt dat er een cultuurverschil bestaat tussen de accountant en de IT-afdelingen. Door dit cultuurverschil en de beperkte kennis van de accountant over de financiële systemen kost het de accountant veel tijd om de benodigde data te verkrijgen. Dit probleem is al langere periode bekend en daarom zijn er binnen het bedrijf door Bureau Vaktechniek al sinds augustus 2007 verplichte CAAT-routines ingesteld (BDO Audit & Assurance, 2007). De verplichte routines die uitgevoerd dienen te worden zijn zeer beperkt Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
12
en omvatten het uitlijsten van memoriaalboekingen, het sorteren van het grootboek op bedrag en dergelijke standaard analyses. Deze routines werden plichtsmatig uitgevoerd door de accountant, maar er werd weinig aandacht aan de uitkomsten geschonken tijdens de oordeelsvorming. Er werd zo weinig belang aan gehecht dat de uitkomsten vaak niet boven het niveau van junioren bekeken werden. Application controls hebben de afgelopen jaren veel aandacht gekregen als basis voor assurance. Binnen het vakgebied worden echter steeds vaker vragen gesteld bij de manier waarop deze gecontroleerd worden. "Waarom [zou de auditor] het systeem bekijken als de application controls ook kunnen worden gecontroleerd op de output, zeker met de zeer beperkte deelwaarnemingen die op basis van kostenoverweging worden uitgevoerd?” (Batenburg, 2012). Onderzoek van de Vrije Universiteit heeft aandacht geschonken aan de problematiek die accountants weerhoudt van het gebruik van data-analyse in de jaarrekeningcontrole (Vries, 2008). Hierbij wordt een gebrek aan kennis genoemd en ontoereikende inzet van de mogelijke analyses. Kortom, uit ervaring en onderzoek komen enkele structurele problemen naar voren ten aanzien van de inzet van data-analyse in de jaarrekeningcontrole, dit zijn:
Data-analyse specialisten zijn niet beschikbaar
Data van de te auditen organisatie is niet tijdig beschikbaar
Beperkt gebruik tot een aantal verplichte analyses
Weinig zekerheid wordt er door de accountant uit de analyses gehaald
Er is een cultuurverschil tussen de accountant aan de ene kant en de IT-afdeling van de klant aan de andere kant.
Routines die verplicht zijn leveren onvoldoende diepgang en daarmee onvoldoende zekerheid.
Vanuit het argument van kosten zijn niet alle accountants overtuigd van het nut van het gebruik van data-analyse.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
13
4 METHODIEK VOOR DATA-ANALYSE IN DE JAARREKENINGCONTROLE "Effective monitoring involves (1) establishing an effective foundation for monitoring, (2) designing and executing monitoring procedures that are prioritized based on risk, and (3) reporting the results, and following up on corrective action where necessary." (Teeter & Brennan, 2008) In dit hoofdstuk wordt ingegaan op deze deelvraag: Welke kenmerken heeft een methodiek die efficiënt en effectief data-analyse toepast in de jaarrekeningcontrole bij kleine ondernemingen? In het vorige hoofdstuk wordt uiteengezet dat data-analyse een toegevoegde waarde heeft voor de jaarrekeningcontrole en dat veel manuele controles de potentie hebben om geautomatiseerd gecontroleerd te worden. In dit hoofdstuk wordt een eerste aanzet tot een methodiek gepresenteerd die de eigenschappen bezit die Teeter et al. essentieel achten voor een effectieve controle. Teeter stelt in zijn artikel dat de keuze voor de te uitvoeren controles gebaseerd moet zijn op risico’s. Dit is in lijn met de gebruikelijke standaard voor het uitvoeren van een audit. Voor elk bedrijf individueel worden eerst de risico's bepaald waarna een controleaanpak volgt. Dit is een tijdrovend proces dat vaak tot veel dezelfde risico’s en beheersmaatregelen leidt die generiek, geautomatiseerd uitgevoerd kunnen worden. Het doel van de methodiek het behalen van een kwaliteitsvoordeel door middel van het standaardiseren en efficiënt uitvoeren van de risico-analysefase. De vraag die naar voren komt is of het verhogen van de efficiëntie van deze fase door de methodiek de kwaliteit van de audit verhoogt. Zoals Teeter (Teeter & Brennan, 2008) aangeeft: "The cost saving therefore may not be as significant as previously predicted as the audit effort is redirected rather than simply reduced." Hieruit volgt dat kostenbesparing, waarin ook tijdsbesparing, niet het doel kan zijn van het werken met een dergelijk methodiek. Juist het verbeteren van de kwaliteit van de audit is het doel en dit wordt behaald door het gericht inzetten van de tijd die de auditor tot zijn beschikking heeft. Dit gericht benutten van de tijd wordt mogelijk gemaakt door het effectief en efficiënt gebruik van data-analyse conform de hier voorgestelde methodiek. Basisvoorwaarde voor de methodiek is standaardisatie van de data, de risico’s, de controls en de rapportageformats. Het meest inzichtelijk kan dit beschreven worden aan de hand
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
14
van de stappen die achtereenvolgens doorlopen worden in dit methodiek. De methodiek bestaat uit vier stadia:
De client environment
De data extraction
De analyse
Reporting
Deze verschillende stadia van het analyseproces kunnen worden weergegeven als in Figuur 2. In dit hoofdstuk zal in algemene termen over de methodiek gesproken worden. Het volgende hoofdstuk zal een meer praktische insteek hebben, hierin wordt een manier beschreven waarop de voorgestelde methodiek toegepast is.
FIGUUR 2 STADIA BINNEN DE METHODIEK
4.1 BEHEERFASE Schematisch kan deze fase als volgt worden weergegeven: actor
wat
wanneer
waarom
data-analyse
ontwikkelen van controles
continu proces
data-analyse specialist
specialist
passend bij de
inzetten per casus is te
gedefinieerde
kostbaar, uitbreiden
risicoprofielen
mogelijke analyses
data-analyse
change management
continu proces
specialist
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
continuïteit garanderen, zekerheid t.a.v. controles
15
De beheerfase onderscheidt zich van de overige fasen in de methodiek doordat het niet geïnitieerd wordt door een aanvraag van een accountant voor een specifieke analyse. De beheerfase kan worden gezien als een continu proces. Het is randvoorwaardelijk voor gedegen analyses waar de accountant zekerheid uit kan verkrijgen. Onderdeel van deze fase is het creëren en beheren van controles passend bij de gedefinieerde risicoprofielen door de data-analyse specialist. Aangezien de data-analyse specialist op dit punt controles ontwikkelt voor meerdere klanten conform een standaard datamodel worden er initieel kosten gemaakt maar zal per casus de beperkte beschikbaarheid van de data-analyse specialist geen factor meer zijn. Een ander aspect is change management. Cruciaal voor deze methodiek is namelijk dat accountants
zekerheid
verkrijgen
vanuit
de
data-analyses
zonder
hier
extra
werkzaamheden voor te hoeven verrichten. Onderdeel van de maatregelen die dit waarborgen is dat wijzigingen op de controles gecontroleerd in productie worden genomen. Effectief change management draagt hier zorg voor. Daarnaast wordt hiermee ook de continuïteit gegarandeerd. Uit de opzet van de methodiek volgt dat het in essentie nooit af is. Veranderingen in de client environments en eventuele veranderingen in wet- en regelgeving hebben gevolgen die door de flexibiliteit van de methodiek opgevangen kunnen worden.
4.2 CLIENT ENVIRONMENT Schematisch kan deze fase als volgt worden weergegeven: actor
wat
wanneer
waarom
de accountant
afzien van risico-
vóór de interim-controle,
efficiëncy
inventarisatie en
bij het opstarten van de
typeren bedrijf
jaarrekeningcontrole
De methodiek is bedoeld voor de accountant om tijdens de jaarrekeningcontrole te gebruiken. In de NV COS315 wordt aangegeven dat de interne beheersingsmaatregelen in opzet en in bestaan getoetst moeten worden, dit kan aan de hand van data-analyse en daarmee aan de hand van de methodiek. Een manier om inzicht te krijgen in de mogelijke risico’s van een bedrijf is het bedrijf te typeren conform de typologieën van Starreveld. Hierdoor krijgt de accountant inzicht in de geld-goederenbeweging en de daarmee samenhangende risico’s. In de methodiek zullen deze typeringen ook gebruikt worden om een koppeling te maken naar de analyses die uitgevoerd worden. De gangbare methode voor data-analyse begint bij de klant, understanding the business. Tijdens deze fase worden de risico’s geïnventariseerd en aan Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
16
de hand daarvan worden eventueel data opgevraagd om beheersdoelstellingen te kunnen aantonen. Binnen de voorgestelde methodiek begint men niet bij het inventariseren van de risico’s maar vraagt men een standaard dataset uit. Aan de hand van deze dataset kan bepaald worden aan welke typologie de klant voldoet en daarmee tegen welk gestandaardiseerd risicomodel getoetst moet worden. Door deze methodiek te gebruiken kan efficiënter inzicht verkregen worden in de potentiële risico’s die tijdens de jaarrekeningcontrole relevant zijn. Vanuit de filosofie die achter de methodiek zit kan de accountant tijd besparen door de inventarisatie van potentiële risico’s gedeeltelijk geautomatiseerd uit te laten voeren. Door deze tijd op een later moment aan meer specifieke werkzaamheden te wijden kan de kwaliteit van de jaarrekeningcontrole positief beïnvloed worden.
4.3 DATA EXTRACTION Schematisch kan deze fase als volgt worden weergegeven: actor
wat
wanneer
waarom
de accountant
opvragen van data
bij het opstarten van de
data van de te auditen
jaarrekeningcontrole
organisatie is niet tijdig beschikbaar
extractie-systeem
standaardiseren van data
tijdens de extractie
data-analyse specialisten zijn niet beschikbaar
De client environments bij klanten zijn erg divers. Bedrijfsdata wordt opgeslagen in verschillende applicaties en deze applicaties verschillen per klant. Deze verschillende applicaties zullen ook verschillend omgaan met de informatie waarover zij beschikken. Sterker nog, eenheden uit de ene applicatie zijn vaak niet te vergelijken met eenheden uit een andere applicatie. Geconcludeerd moet worden dat er geen homogeniteit, betrouwbaarheid en geldigheid tussen de verschillende pakketten bestaat. Zoals beschreven in het voorgaande hoofdstuk zijn deze eigenschappen cruciaal voor het uitvoeren van een effectieve data-analyse (Zigler & Philips, 1961). In het kader van de jaarrekeningcontrole zullen de volgende applicaties relevant zijn:
Financiële applicatie
Logistieke applicatie
Bankapplicatie
HR-applicatie
Salarisadministratie-applicatie
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
17
De methodiek zal ondersteuning moeten bieden voor al deze applicaties en koppelingen hierin zichtbaar maken. Hierbij moet de financiële applicatie centraal staan. Eventuele ondersteunende applicaties zullen buiten beschouwing worden gelaten, hieronder vallen applicaties t.a.v. general IT controls (incident/change management applicaties) en dergelijke.
De
risico’s
die
hiermee
samenhangen
t.a.v.
de
juistheid
van
de
jaarrekeningcontrole zijn dermate klein om deze mee te nemen in de standaardisatie. Het effectiviteitsvoordeel zal nihil zijn, indien deze gestandaardiseerd zouden worden, mogelijk is er zelfs geen sprake van een voordeel. Uit eigen onderzoek blijkt dat er veel verschillende applicaties worden gebruikt voor de verwerking van de financiële gegevens in het MKB. Dit is inzichtelijk gemaakt in bijlage 1. Dit eist prioritering en focus bij de implementatie van de methodiek. Applicaties die worden aangesloten op de methodiek zullen namelijk uitgebreid getest moeten worden. Verschillende
belangengroepen
(waaronder
de
overheid)
doen
pogingen
voor
standaardisatie van exportfunctionaliteiten uit applicaties, hierbij valt te denken aan de auditfile en XBRL In het jaar 1999 heeft de belastingdienst een eerste stap gemaakt in de standaardisatie van gegevens (Belastingdienst, 2003). Sinds dit jaar is het voor verwerkers van financiële gegevens verplicht om deze te kunnen exporteren naar een zogenoemde auditfile. In deze auditfile zijn de grootboekmutaties, de crediteuren en debiteuren en het rekeningschema in een gestructureerde (XML) vorm aanwezig. Vanuit de praktijk blijkt dat deze methodiek vaak door accountant gebruikt wordt. Toch kunnen we momenteel niet vertrouwen op deze methodieken. Er ontbreekt cruciale informatie in de auditfile om als basis te dienen voor een uitgebreide data-analyse. Voorbeelden van gegevens die ontbreken zijn de gebruikersnamen van de gebruikers die mutaties hebben gedaan, daarnaast ontbreken de sub-administraties welke benodigd zijn voor een degelijk onderzoek (Belastingdienst, 2003). XBRL heeft nog onvoldoende stabiliteit. Het is een concept dat in de toekomst veel kan gaan betekenen voor data-analyse. Momenteel wordt het gebruik ervan echter niet aangeraden aangezien de ontwikkelingen niet consequent zijn en XBRL nog vatbaar is voor veranderingen. Om de diepgang in de methodiek te waarborgen is ervoor gekozen om niet aan te sluiten bij de XBRL-methodologie.
4.3.1 Extractie-architectuur De methodiek zal de verschillende stappen van de voorbereiding tot de uiteindelijke rapportage beschrijving, daaronder valt ook de manier van analyseren. In de komende paragraaf zal ingegaan worden op verschillende architecturen en de voordelen respectievelijk nadelen hiervan. Er bestaan verschillende datawarehouse architectuurtypen (Shahim, 2005): te weten; -
Extraction architecture, waarbij de benodigde data uit de bronnen gehaald wordt
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
18
-
Deliverance architecture, waarbij de benodigde data door de bronnen geleverd wordt
-
Photocopy architecture, waarbij een complete kopie van de interne en/of externe databases verkregen wordt
-
Splitting architecture, waarbij de datawarehouse gesplitst wordt in kleinere onderdelen
-
Duplicate architecture, waarbij data sources gedupliceerd worden om als bron van een datawarehouse te dienen
-
Decentraliserd storage architecture, waarbij geen gecentraliseerd datawarehouse onderdeel is van de architectuur. Gedeeltelijke of volledige kopieën van de data sources zijn gescheiden gesitueerd, in plaats van centraal gehuisvest te zijn.
Naar aanleiding van deze typologie is gekozen om in de methodiek een extraction architecture te gebruiken. De keuze hiervoor is te verantwoorden door de beperkte complexiteit en de grote gebruiksvriendelijkheid van de architectuur, bovendien is het in lijn met de manier waarop de accountant gewend is te werken. “Current tools and platforms can be classified into three types: system-specific, modular and mapping, and custom tooling” (Teeter & Brennan, 2008). De methodiek beschrijft een methodiek van het koppelen van velden en tabellen aan een standaard structuur. Deze methodiek beschrijft Teeter als de modular and mapping methodiek. Deze methodiek is zeer geschikt in combinatie met de extraction architecture, waarbij de mapping plaatsvindt tijdens de extraction. Wat zijn de voor- en nadelen van extraction architecture? Shahim heeft gekeken naar kwaliteitsaspecten hiervan en hieruit blijkt dat er mogelijk beperkingen zijn ten aanzien van: -
Coherency; aanpassingen aan de informatie-acquisitielaag resulteren in de meeste gevallen in een wijziging van de interfaces van de information storage en delivery laag.
-
Extensibility; de extraction architecture is gebaseerd op de informatiebehoefte van de gebruiker en op de status van de data op een gegeven moment. Deze behoefte kan over tijd verschillen en er kunnen twee versies van de waarheid naast elkaar ontstaan.
De
overige
kwaliteitsaspecten
(security,
availability,
openness,
instrumentality,
reuseability, transparancy and scalability) zijn geclassificeerd als zijnde ofwel hoog ofwel acceptabel. Nadelen van deze architectuur zijn o.a. (Shahim, 2005)
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
19
Impoverishment of information: alleen de data welke geëxtraheerd is kan gebruikt worden in de analyses, de accountant weet niet dat er mogelijk nog meer data aanwezig is.
Loss of information integrity: Data wordt losgemaakt van de applicatie en daarmee de controles die erover worden uitgevoerd.
Loss of information consistency: Controles moeten uitgevoerd worden om de volledigheid van de data te kunnen waarborgen.
Loss of non-volatility: Het gebruik van het system kan afwijken van de standaard.
Information unavailability: Extractie van data duurt lang en daarom zijn beperkingen nodig.
Hieronder zal inzicht worden gegeven op de manier waarop de methodiek mitigerende maatregelen positioneert ten aanzien van deze aspecten. De besproken nadelen kunnen beheerst worden door vier verschillende maatregelen te treffen. Door effectief change management uit te voeren over de methodiek heeft de accountant de mogelijkheid om de wijzigingen in de informatie laag te onderkennen en door te voeren in de extractie laag (coherency).
Door
het
standaardiseren
van
de
extractie
over
de
verschillende
bronapplicaties en deze te relativeren aan de informatiebehoefte wordt de accountant ondersteund in de gegevens die hij nodig heeft (extensibility), daarnaast zorgt deze standaardisatie er ook voor dat alle relevante, en alleen deze, data geëxtraheerd wordt (impoverishment of information, information unavailability). Zoals in hoofdstuk 1.4 is aangegeven bestaat er altijd de kans dat de gebruikersorganisatie de applicaties niet conform de standaard gebruiken. In deze methodiek zal hier echter geen rekening mee worden gehouden, een mogelijke oplossing is een nadere analyse van de uitkomsten door de betrokken accountant. Als laatste maatregel wordt de versleuteling van gegevens na extractie genoemd. Door gebruik te maken van het automatisch versleutelen van gegevens na extractie doormiddel van erkende encryptietechnologiën (MD5, SHA) kan voorkomen worden dat de data gemanipuleerd wordt door de gebruikersorganisatie of corrupt raakt tijdens transport. Door het versleutelen van de gegevens wordt de integriteit en exclusiviteit van de gegevens gewaarborgd (Loss of information consistency, Loss of information integrity). De maatregelen en de gekoppelde beperkingen in de architectuur zijn inzichtelijk gemaakt in Tabel 1. Maatregel
Beperking architectuur
Change management
Coherency
Standaardisatie
Extensibility, Impoverishment of information, Information unavailability
Analyse accountant
Loss of non-volatility
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
20
Versleuteling
Loss of information consistency, Loss of information integrity
TABEL 1 MAATREGELEN EN DE BEPERKING IN DE ARCHITECTUUR
4.3.2 Datanormalisatie Een belangrijke voorwaarde voor het automatiseren van auditprocedures is het standaardiseren van datacollecties en de formalisatie van de interne controle-richtlijnen (Chan & Vasarhelyi, 12). Datanormalisatie is onder andere zeer belangrijk als je het object van onderzoek wilt vergelijken met branchegenoten. Vanuit de statistiek (Zigler & Philips, 1961) zijn er drie basiselementen waaraan voldaan moet worden zodat er geen “appels met peren” vergeleken worden:
Homogeniteit, de overeenkomsten van de onderdelen
Betrouwbaarheid, de definitie van de groep
Geldigheid, de juiste weergave van de eigenschappen van de groep
Voor accountants is het belangrijk om gegevens tussen verschillende bedrijven te kunnen vergelijken. Deze vergelijkingen kunnen gebruikt worden bij cijferbeoordelingen en branchevergelijkingen. Een eigenschap van een goed datamodel is de flexibiliteit van de data. Een datamodel kan niet vast gedocumenteerd worden, zoals is aangegeven door Simsion et al, is een datamodel een ontwerp dat blijft “leven” (Simsion, Milton, & Shanks, 2010). Eén van de key concepten in de methodiek is een efficiënte werkwijze door het standaardiseren van data. De voorgestelde methodiek gaat uit van een extraction architectuur waarbij de translatie van gegevens plaatsvindt tijdens de extractie. De gegevens worden vanuit het bronsysteem gemapt op het standaard gegevensmodel dat gebruikt wordt tijdens de analyses. Een dergelijke manier van datanormalisatie wordt ook wel een modular and mapping methodiek genoemd. Het standaard gegevensmodel die gebruikt wordt in de methodiek moet bepaald worden aan de hand van de gegevensbehoefte die afhankelijk is van de mogelijke analyses die uitgevoerd dienen te worden. In het gegevensmodel worden alleen de gegevens opgevraagd die benodigd zijn, hierdoor zal de extractietijd beperkt worden en daarmee de efficiëntie van de methodiek verhoogt. Het gegevensmodel wordt onderhouden in de beheerfase van de methodiek. Voor alle verschillende applicaties die aangesloten worden op de methodiek zal een vertaalslag gemaakt moeten worden naar het standaard gegevensmodel. Deze conversie moet hierbij rekening houden met onder andere valutaverschillen, kwantiteitsverschillen (bijv. stuks versus pallets) en applicatie specifieke gegevens. De applicatie-specifieke gegevens zijn gegevens die in bepaalde applicaties naar voren komen en invloed hebben op Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
21
de rest van de data. Een voorbeeld hiervan kan zijn dat de waarde van een record in het grootboek als credit kan worden geboekt doormiddel van een min bedrag of door een applicatie specifiek veld debet/credit. Tijdens de translatiefase zal dit bedrag conform het gekozen gegevensmodel verwerkt moeten worden.
4.4 ANALYSE Schematisch kan deze fase als volgt worden weergegeven: actor
wat
wanneer
waarom
analyse-systeem
analyseren van data en
bij aanlevering ge-
bepalen effectieve analyse
bepalen risicoprofiel
extraheerde data
waarmee accountant efficiënt
klant analyse-systeem
de resultaten kan beoordelen
analyseren controls
na bepalen
mogelijk maken dat
conform risicoprofiel
risicoprofiel
accountant een hogere mate van assurance kan behalen
Op het moment dat de data gestandaardiseerd is, is deze klaar om geanalyseerd te worden. De data moet ingelezen worden in een data-analysesysteem. De methodiek zal aan de hand van de aangeleverde data van het bedrijf kunnen analyseren in welke typologie het bedrijf kan worden ingedeeld. Indien uren aangeleverd worden, zal het een dienstverlenend bedrijf betreffen, indien er productiegegevens aangeleverd worden, zal het gaan om een producerende
organisatie
(Starreveld,
Leeuwen,
&
Nimwegen,
2002).
Uit
de
waardekringloop van een bedrijf vloeit de jaarrekeningcontrole voort en hieruit valt ook op te maken welke risico’s er in de goederen- en geldrekening zitten. Aangezien er een verband bestaat tussen de typologie en de waardekringloop van een huishouding, is het bepalen van de typologie een goede basis voor een selectie van analyses op gestandaardiseerde risico’s. Onderdeel van de methodiek is een lijst met eisen aan controles die de gebruikende organisatie moet implementeren. -
Beperk het aantal controles. Meer controles betekent meer dekking van het object maar meer controles leveren ook meer informatie, false positives, waar de controlerend accountant onderzoek naar moet doen. Veel controles betekent veel onnodig uitzoekwerk en ondermijnt daarmee het doel van de methodiek.
-
Controles moeten zodanig gedefinieerd worden dat deze uitvoering geven aan de controlerende taak van de accountant. Er bestaat een scheiding tussen de verantwoordelijkheden van de klant danwel de samenstellend accountant en de controlerend accountant. Hoe makkelijk het soms ook kan lijken, het is niet de
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
22
bedoeling dat de controlerend accountant aan de hand van de data het balansdossier opmaakt. -
Bij het samenstellen van de lijst van controles dient men de focus van de gebruikersorganisatie centraal te stellen. Het is niet verstandig om controles uit te voeren en deze op te nemen in de dossiers zonder dat er een focus op deze afgedekte risico’s gelegd wordt.
-
Controles moeten transparant ontwikkeld worden en onderhevig zijn aan geformaliseerd wijzigingsbeheer. Hierdoor kan de accountant steunen op de uitkomsten van de analyse.
De methodiek heeft de selectie van controles bepaald en zal deze uitvoeren. Resultaten hiervan geven inzicht in de effectiviteit van de controles en geeft het antwoord op de vraag of een risico dat de controle afdekt zich heeft gemanifesteerd.
4.5 REPORTING Schematisch kan deze fase als volgt worden weergegeven: actor
wat
wanneer
waarom
analyse-systeem
rapporteren van data
volgend op de analyse
bepalen effectieve analyse waarmee accountant efficiënt de resultaten kan beoordelen
Accountant
Beoordelen van
Na ontvangst rapport
rapportage
juistheid rapportage beoordelen en inzicht verkrijgen in risico’s van de klant.
De gebruikers van de methodiek zijn de accountants en het is belangrijk dat de rapportage vanuit de gebruiker wordt opgesteld. Uit eigen ervaring blijkt de accountants behoefte hebben aan duidelijke overzichten met alle relevante uitzonderingen. De informatie moet snel beoordeeld kunnen worden aan de hand van stoplichten en de uitzonderingen moeten afgezet kunnen worden tegen de materialiteit van de controle. De gegevens moeten bij voorkeur opgeleverd worden in Excel-lijsten danwel in lijsten die gebruikt kunnen worden voor verdere analyse. Na de ontvangst van het rapport zal de accountant de resultaten moeten beoordelen op relevantie. Vanuit de standaardisatie kan de relatie met het te onderzoeken object verloren raken. Dit kan worden opgelost door de kennis van de accountant bij de analyse te betrekken. Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
23
Op dit punt in de methodiek loont zich de tijdwinst die de accountant zich in een eerdere fase heeft bezorgd. De accountant kan zijn aandacht nu specifiek richten op door de dataanalyse geïdentificeerde risico’s en zorgt hiermee voor een kwaliteitsverhoging van de jaarrekeningcontrole.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
24
5 TOEPASSING VAN DE METHODIEK In dit hoofdstuk wordt ingegaan op de volgende deelvraag: Wat kunnen we leren uit een toepassing van deze methodiek op de jaarrekeningcontrole van diverse kleine ondernemingen? Om de effectiviteit van de methodiek vast te kunnen stellen is er een proof of concept uitgevoerd bij het bedrijf.
5.1 OPZET PROOF OF CONCEPT In deze paragraaf zal de opzet van de proof of concept uiteengezet worden. Allereerst wordt de programmatuur beschreven die gebruikt is danwel ontwikkeld. Vervolgens zal ingegaan worden op de analyses die binnen de proof of concept gebruikt zijn. Daarna worden de verschillende stappen binnen de analyseflow doorlopen en als laatste volgt een bespreking van de populatie van deelnemende organisaties.
5.1.1 Programmatuur Tijdens de proof of concept is, in overeenstemming met de methodiek, een set aan programma’s
ontwikkeld
die
de
accountants
kunnen
gebruiken
tijdens
de
jaarrekeningcontrole. In deze casus is er gebruik gemaakt van drie aparte applicaties: 1. IDEA (CaseWare) 2. Beheertool (eigen ontwikkeling) 3. Extractor (eigen ontwikkeling) In bijlage 2 zijn enkele screenshots van de programmatuur opgenomen. Ad 1 - CaseWare IDEA CaseWare Idea is een data-analyse applicatie die gebruikt wordt op verschillende accountantskantoren. Door de mogelijkheid om de applicatie-scripts te laten uitvoeren over de ingelezen data en de mogelijkheid om IDEA te integreren in andere applicaties, is gekozen om deze applicatie te gebruiken in de proof of concept. Ad 2 – Beheertool De beheertool is specifiek voor deze proof of concept ontwikkeld en heeft verschillende taken: Beheertaken Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
25
Beheer van gegevensmodel In de applicatie is het mogelijk om extra velden toe te voegen danwel te verwijderen uit het gegevensmodel, daarnaast is het mogelijk het type van het veld te specificeren (integer, double, character of boolean). Hieronder valt ook het beheer van de relaties binnen het gegevensmodel.
Beheer van vertaaltabellen In de beheerapplicatie worden ook de vertaaltabellen onderhouden waarmee een koppeling wordt gelegd tussen de individuele bronapplicaties en het gegevensmodel. Eventuele manipulaties zijn hierin verwerkt.
Beheer van analyses De beheerapplicatie is de locatie waarin de analyses die uitgevoerd kunnen worden beheerd worden. Aangegeven wordt per analyse wanneer deze uitgevoerd moet worden (risicoprofiel), daarnaast is aangeven welke brondata beschikbaar moet zijn voor de specifieke analyse.
Productietaken
Registratie en verwerking aanvragen voor autorisaties Tijdens de proof of concept is de beheertool ook gebruikt voor de registratie en de afhandeling van aanvragen door accountants van analyses bij klanten. De tool verwerkt automatisch de aanvragen en verstuurt het dataverzoek door middel van de extractor naar de klant. Door deze automatisering kan efficiënt het juiste dataverzoek verzonden worden naar de klant.
Beheer van uitgevoerde analyses Wanneer de klant de data oplevert, geautomatiseerd of handmatig, wordt deze door de beheertool opgepakt en in de analysecyclus geplaatst. Tijdens deze analysecyclus worden opdrachten aan CaseWare IDEA gegeven om de data te analyseren. Vervolgens wordt de rapportage opgebouwd en beschikbaar gemaakt aan de accountant.
Foutafhandeling Een laatste onderdeel van de beheertool is het inzichtelijk maken van fouten. Automatische controles zijn ingebouwd om de integriteit van de vertaaltabellen, het gegevensmodel en de analyses te waarborgen. Hierbij is onder andere aandacht besteed aan versie verschillen tussen de vertaaltabellen en het gegevensmodel.
Ad 3 – Extractor De extractor is ontwikkeld als onafhankelijke applicatie die gebruikt kan worden door klanten met een beperkte ICT ervaring om contact te maken met de data in de relevante applicaties. De extractor heeft per aangesloten bronapplicatie een aparte methodiek om deze gegevens te extraheren. Tijdens de proof of concept zijn vier verschillende
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
26
applicaties aangesloten op de methodiek, te weten Exact Globe, AccountView, Microsoft Dynamics Navision en Microsoft Dynamics Axapta. Alle applicaties worden lokaal gehost en de gegevens kunnen beschikbaar worden gesteld door middel van een ODBC verbinding. Middels een dergelijke verbinding kan de database direct bevraagd worden met SQL statements. Deze SQL statements zijn het resultaat van de vertaaltabellen die beheerd worden in de beheertool. Naast de extractie van gegevens uit de bronapplicatie heeft de extractor een tweede doel, namelijk het versleutelen van de gegevens die geëxtraheerd zijn. Dit heeft tot doel dat de gegevens niet gemanipuleerd kunnen worden tijdens transport. De extractor gebruikt hierbij een combinatie van AES encryptie (snel) en RSA encryptie (langzaam), waarbij de AES encryptie de data versleutelt met een random wachtwoord en de RSA encryptie dit random wachtwoord versleutelt. De RSA encryptie gebruikt in tegenstelling tot de AES encryptie geen random sleutel maar een public key voor de versleuteling. De private key waarmee de gegevens ontsleuteld kunnen worden is alleen beschikbaar in de beheertool. De dataflow van de database van de klant tot de analyse bij de gebruiker is inzichtelijk gemaakt in onderstaand figuur.
FIGUUR 3 DATAFLOW
5.1.2 Analyses
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
27
Tijdens de proof of concept zijn verschillende analyses ontwikkeld waarmee de accountant inzicht krijgt in eventuele risico’s bij de jaarrekeningcontrole. Deze analyses zijn ingedeeld in drie verschillende groepen:
Algemene analyses
Financiële analyses
Analyses op de goederenbeweging (handel)
De analyses dekken drie verschillende risico’s af: jaarrekeningrisico’s, frauderisico’s en bedrijfsrisico’s. In bijlage 3 zijn de verschillende analyses en de koppeling met het type risico opgenomen. De oorsprong van de gekozen analyses bevindt zich in een voorgaand project binnen de organisatie
waarbij
onderzoek
is
gedaan
naar
de
haalbaarheid
van
continued
monitoring/auditing bij het MKB. De organisatie heeft haar voorkeur uitgesproken om deze analyses op te nemen in de methodiek. Gekeken naar de bron voor de keuze van deze analyses, het Bureau Vaktechniek binnen de organisatie, kan ervan uitgegaan worden dat deze keuze gedegen is. Tijdens het onderzoek zijn er geen resultaten naar voren gekomen die de keuze voor deze analyses in twijfel hebben getrokken.
5.1.3 Analyseflow De analyseflow tijdens de proof of concept kan als volgt visueel weergegevens worden:
5.1.4 Deelnemende bedrijven Overzichten van aantallen deelnemende bedrijven Uit Tabel 2 valt af te leiden dat het merendeel van de analyses zijn uitgevoerd op organisaties die hun financiële registratie in het pakket Exact (Globe) voeren. Dit is verklaarbaar aangezien dit financiële pakket als eerste aan de methodiek is toegevoegd. De overige applicaties zijn later toegevoegd en worden binnen het onderzoekssegment, midden en klein bedrijf, minder gebruikt.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
28
Bronapplicatie Aantal bedrijven Exact 86 Navision 5 AccountView 18 Totaal 109 TABEL 2 BRONAPPLICATIE EN AANTAL DEELNEMENDE BEDRIJVEN
Overzicht van aanmeldingen over tijdperiode In Tabel 3 en Tabel 4 zijn het aantal analyses per periode weergegeven. Hieruit blijkt dat er in het begin van het onderzoek veel bedrijven zich hebben aangemeld. Na verloop van tijd is minder aandacht gekomen voor de beschikbaarheid van de methodiek. De verwachte trend is echter wel dat de aanvragen in de komende periodes weer zullen aantrekken vanwege de start van het nieuwe auditjaar en de start van de interimperiode.
TABEL 3 AANTAL ANALYSES PER PERIODE
TABEL 4 AANTAL ANALYSES PER PERIODE MET TRENDLIJN
Overzichten van bedrijven en de Starreveld-typologie
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
29
In Tabel 5 zijn de verschillende deelnemende bedrijven uitgesplitst naar de typologie conform Starreveld. Hieruit blijkt dat de analyses bij bedrijven van veel verschillende typologieën uitgevoerd zijn.
Aantal deelnemende bedrijven 1 5 4 1 8 6 2 8 5 5 3 7 2
Typologie Starreveld Agrarische en extractieve bedrijven Bedrijven die enkelvoudige massaproducten maken Bedrijven die samengestelde massaproducten maken Bedrijven die via vaste leidingen bepaalde diensten, energie of stoffen leveren Bedrijven met doorstroming van goederen welke eigendom van derden zijn Bedrijven met geparcelleerde (intermitterende of ladingsgewijze) massaproductie Bedrijven met roterende (vloeiende of stroomsgewijze) massaproductie Bedrijven met seriestukproductie Bedrijven met stukproductie Bedrijven waarbij geen specifieke reservering der ruimten plaatsvindt Bedrijven waarbij specifieke reservering der ruimten plaatsvindt Handelsbedrijven die in hoofdzaak aan andere bedrijven leveren Handelsbedrijven die in hoofdzaak aan particulieren leveren Huishoudingen van privaatrechtelijke gemeenschappen, voor zover niet vallende onder 100 Overige dienstverleningsbedrijven en –beroepen Speciale financieringsinstellingen Tussenpersonen in de effectenhandel Verzekeringsbedrijven
8 36 5 2 1 109
Totaal TABEL 5 AANTAL DEELNEMENDE BEDRIJVEN EN DE TYPOLOGIE CONFORM STARREVELD
5.2 BEVINDINGEN PROOF OF CONCEPT In deze paragraaf zijn de bevindingen naar aanleiding van de proof of concept uiteengezet. Het betreft hier bevindingen op het vlak van de relatie tussen de typologie en de uitgevoerde analyses, het toevoegen van analyses van bedrijfsrisico’s als onderdeel van de methodiek, de discussie t.a.v. de controlerende taak van de accountant en de kwaliteitsverbetering die de methodiek beoogt. Overzicht van analyses uitgevoerd per typologie In de methodiek wordt gesteld dat op basis van de aangeleverde data de typologie en daarmee het risicomodel inzichtelijk gemaakt moet worden. Tijdens de proof of concept is gebleken dat de uitsplitsing hiervan niet conform Starreveld gemaakt kan worden. De analyse hiervan, bijlage 4, suggereert dat er een verband bestaat tussen de vooraf vastgestelde typologie en de analyses die uitgevoerd worden. De huidige waarneming is echter onvoldoende om hier zekerheid over te krijgen. Verder onderzoek is benodigd om dit verband vast te stellen. Het patroon dat uit bijlage 4 blijkt is dat het onderscheid in de drie primaire analysestromen aanwezig is. Hier kan mogelijk uit geconcludeerd worden dat de Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
30
methodiek zich niet moet toesplitsen om alle verschillende typologiën te ondersteunen maar om op een hoger niveau de analyses te definiëren, waardoor de data-analyse specialisten minder analyses moeten ontwikkelen wat weer een efficiëncy-voordeel heeft. Bedrijfsrisico’s Tijdens de proof of concept is gebleken dat de klant ook behoefte heeft aan de rapporten die beschikbaar komen tijdens het uitvoeren van de methodiek. In essentie valt het beschikbaar stellen van deze rapporten buiten het doel van de methodiek, het is echter wel mogelijk. Indien klanten gebruik maken van de rapporten is er een grotere behoefte aan visuele weergaven van de resultaten in grafieken en diagrammen. Daarnaast is het belangrijk om aan te geven dat de methodiek uitgaat van een extraction-architectuur waarbij data na de extractie niet meer ge-updated wordt. Dit is geen probleem voor de jaarrekeningcontrole maar mogelijk wel voor het gebruik bij de klant (Immon, Welch, & Glassey, 1997). De kwestie is of een accountant bij een jaarrekeningcontrole zich moet beperken tot het auditrisico of dat hij ook naar het businessrisico moet kijken en daarmee van een financial statement audit naar value added assurance gaat. Het is hierbij belangrijk dat een bepaald risico door de klant hoger kan worden aangemerkt dan het voor de jaarrekeningcontrole is. Uit verschillende literatuurstudies blijkt dat de klant tegenwoordig meer van de accountant vewacht dan enkel een “traditionele” audit (Knechel, 2007).
FIGUUR 4 BRON: KNECHEL 2007
Controle versus opstel Naar aanleiding van de proof of concept is er binen de organisatie een discussie ontstaan over het verschil tussen de controle-opdracht en de opstel-opdracht. Bij de opstel-opdracht maakt de accountant de jaarrekening, bij de controle-opdracht wordt hetgeen de klant aanlevert, het balansdossier, gecontroleerd. Dit volgt uit de NV COS 200 waarin het volgende gesteld wordt:
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
31
“De financiële overzichten die onderworpen zijn aan controle zijn die van de entiteit, opgesteld door het management van de entiteit onder de supervisie van degenen belast met governance.” (NV COS 200) De analyses in de methodiek moeten zo gedefinieerd worden dat de data-analyses tijdens een controle-opdracht niet het opstellende werk van de klant uitvoeren. Denk hierbij aan saldi-lijsten, grootboek-dagboekmatrices en autorisatietabellen. Kwaliteitsverbetering? De doelstelling van het ontwikkelen van de methodiek is het verhogen van de kwaliteit van de jaarrekeningcontrole. Na afloop van de proof of concept zijn er korte interviews gehouden met accountants die gebruik hebben gemaakt van de methodiek. Bij deze interviews is er naar de ervaringen gevraagd en of het gebruik van de methodiek bijgedragen heeft aan de kwaliteit van de jaarrekeningcontrole. Hieronder wordt een compacte opsomming gegeven van de belangrijkste reacties: Negatief
Er is geen kwaliteitsverbetering geweest want de methodiek was onvoldoende uitgewerkt en getoetst.
De methodiek heeft in het begin tijd gekost omdat de data-extracties niet altijd goed verliepen.
Positief
Er is kwaliteitsverbetering bereikt want er zijn twee fraudegevallen ontdekt die anders niet gevonden waren.
De methodiek heeft eenvoudig bewijs gevonden dat de three-way-match in de applicatie voldoet, hier was anders veel tijd aan besteed.
De methodiek heeft inzicht gegeven in verhoudingen van memoriaalboekingen over de verschillende administraties die we anders handmatig hadden moeten analyseren.
Verbanden in de goederenbeweging zijn goed inzichtelijk gemaakt.
Algemeen kan uit deze interviews worden geconcludeerd dat de methodiek zoals deze gebruikt is in de proof of concept nog voor ontwikkeling vatbaar is. Daarentegen geven de meeste accountants aan niet te begrijpen waarom we nog niet op deze manier werkten. De potentie van de methodiek om de kwaliteit van de jaarrekeningcontrole te verhogen wordt zeker gezien.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
32
6 CONCLUSIE EN DISCUSSIE Aan het begin van het onderzoek is de situatie beschreven waarin de accountancy-wereld wijzigingen moet doorvoeren om de kwaliteit van de jaarrekeningcontrole te verbeteren. Lopende het onderzoek bleek uit verschillende onderzoeken dat deze behoefte steeds groter wordt. Dit onderzoek heeft zich verdiept in de mogelijkheden van data-analyse in de jaarrekeningcontrole. Hierbij is uitgegaan van de onderstaande onderzoeksvraag: Welke suggesties kunnen worden gedaan m.b.t. data-analyse om de kwaliteit van de jaarrekeningcontrole bij kleine ondernemingen te verhogen? De deelvragen bij deze hoofdvraag zijn als volgt: 1. Waaruit bestaat de jaarrekeningcontrole bij kleine ondernemingen? 2. Wat is data-analyse? Hoe wordt data-analyse ingezet in de jaarrekeningcontrole bij kleine ondernemingen? 3. Welke kenmerken heeft een methodiek die efficiënt en effectief data-analyse toepast in de jaarrekeningcontrole bij kleine ondernemingen? 4. Wat kunnen we leren uit een toepassing van deze methodiek op de jaarrekeningcontrole van diverse kleine ondernemingen? Vanuit de literatuurstudie is antwoord gegeven op de eerste twee deelvragen. Hierbij is geconstateerd dat de kwaliteit van de jaarrekeningcontrole positief beïnvloed kan worden door het gebruik van data-analysemethodieken. Daarnaast is geconstateerd dat dit nog niet voldoende gebeurt. Oorzaken hiervan kunnen samengevat worden dat er onvoldoende kennis bij de accountant aanwezig is om effectief en efficiënt data-analyse te gebruiken. De derde deelvraag is beantwoord door een methodiek te ontwikkelen waarbij een gestandaardiseerd datamodel is neergezet waarop analyses ontwikkeld kunnen worden. De essentie van het model is dat het eenvoudig in gebruik is en overbodige taken wegneemt bij de accountant. De methodiek is getoetst aan de hand van een proof of concept bij 109 organisaties. Hieruit zijn enkele bevindingen gekomen die verwerkt worden in de methodiek. Doordat de deelvragen beantwoord zijn is hiermee automatisch antwoord gegeven op de onderzoeksvraag. Door een methodiek binnen een organisatie neer te zetten waarmee efficiënt en effectief data-analyse gebruikt wordt in de jaarrekeningcontrole kan een kwaliteitsvoordeel behaald worden. Het is dus, om af te sluiten, niet de kwestie van het inkorten van de audit en het vernauwen van de blik van de accountant. Door het gebruik van de methodiek reserveert de accountant namelijk juist tijd om zijn vakbekwaamheid en Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
33
kennis van de klant in zetten daar waar deze benodigd is. Door het gebruik van de methodiek wordt het vak van de accountant inhoudelijk interessanter en bovendien zal het gebruik van de methodiek de kwaliteit van de audits en met name de jaarrekeningcontrole, verhogen.
6.1 VERDER ONDERZOEK Zoals uit elk onderzoek komen ook dit onderzoek niet alleen antwoorden maar ook nieuwe vragen voort. Onderdelen die zeker verder onderzocht moeten worden zijn onder andere de relatie tussen de typologie van het te onderzoeken bedrijf en de fingerprints daarvan in de data. Door efficiënte relaties hiertussen te kunnen beschrijven kunnen analyses effectiever werken en de accountant meer zekerheid verschaffen waardoor de kwaliteit van de jaarrekeningcontrole verhoogd kan worden. Het doel van het onderzoek was het geven van een eerste aanzet tot een methodiek die de kwaliteit van de jaarrekeningcontrole verhoogt door het gebruik van data-analyse. De methodiek zoals deze in dit onderzoek is neergezet kan een basis vormen voor een algemeen gebruikte standaard voor data-analyse in de jaarrekeningcontrole. Hiervoor is verder onderzoek benodigd om de methodiek in continuïteit effectiever en efficiënter te maken, een dergelijke methodiek is nooit af.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
34
LITERATUURLIJST AFM.
(2013).
Rapport
naar
aanleiding
van
AFM-onderzoek
naar
kwaliteit
accountantscontrole en stelsel van kwaliteitsbeheersing en -bewaking bij negen OOB-vergunninghouders. Alles, M., Brennan, G., Kogan, A., & Vasarhelyi, M. (2006). Continuous monitoring of business process controls: A pilot implementation of a continuous auditing systems at Siemens. International Journal of Accounting Information Systems, 137-161. Batenburg, P. v. (2012). Audit Aanpak - Steekproeven en Proceduretests. BDO Audit & Assurance. (2007). CAAT routines. Tilburg. Belastingdienst. (2003). HANDLEIDING XML AUDITFILE FINANCIEEL. Binck, D. (2012). Het effect van auditsoftware op de kwaliteit van de accountantscontrole. MAB, 14-22. Boukens, J. (2012, September 20). (L. Wagenaar, Interviewer) Chan, D., & Vasarhelyi, A. (12). Innovation and practice of continuos auditing. International Journal of Accounting Information Systems, 9. Elliott, R. (1998). Assurance Services and the Audit Heritage. A Journal of Practice & Theory. Immon, W., Welch, J., & Glassey, K. (1997). Managing the data warehouse. John Wiley & Sons, Inc. Kloptchenko, A., Eklund, T., Karlsson, J., Back, B., Vanharanta, H., & Visa, A. (2004). Combining data and text mining techniques for analysing financial reports. Intelligent systems in accounting, finance and management, 29-41. Knechel, W. (2007). The business risk audit: Origins, obstacles and opportunities. Accounting, Organizations and Society, 383-408. Menon, K., & Williams, D. (2001). Long-term trends in audit fees. A Journal of Practice & Theory. Mitroff, I., Betz, F., Pondy, L., & Sagasti, F. (1974). On managing science in the systems age: Two schemes for the study of science as a whole systems phenomenon. TIMS Interfaces, Volume 4, Number 3.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
35
Shahim, A. (2005). A New Era Without Data Warehouses; An Architectural Vision. Den Haag: Sdu Uitgevers bv. Simsion, G., Milton, S., & Shanks, G. (2010). Data modeling: Description or design? Information Management, 151-163. Starreveld,
R.,
Leeuwen,
O.
v.,
&
Nimwegen,
H.
v.
(2002).
Bestuurlijke
informatieverzorging. Houten: Stenfert Kroese. Teeter, R., & Brennan, R. (2008). Aiding the Audit: Using the IT Audit as a Springboard for Continuous Controls Monitoring. Vries, H. (2008). Computer-assisted audit techniques (CAATs). Amsterdam: Vrije Universiteit. Wikipedia, the free encyclopedia. (sd). Data analysis. Opgeroepen op September 2013, van http://en.wikipedia.org/wiki/Data_analysis Zigler, & Philips. (1961). Psychiatric diagnosis: A critique. Journal of Abnormal and Social Psychology, 607-618.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
36
BIJLAGE 1: VERDELING SOFTWARE TABEL 6 PERCENTUEEL GEBRUIK VAN FINANCIËLE PAKKETTEN BINNEN BDO WAARBIJ IT AUDIT BETROKKEN IS.
Overige pakketten
64%
Exact Globe Microsoft Dynamics Nav Accounview SAP AFAS Profit
14% 7% 4% 3% 2%
NCCW Multivers Axapta Infor/Baan JD Edwards
2% 2% 1% 1% 1%
SG/Tobias
1%
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
37
BIJLAGE 2: SCREENSHOTS PROGRAMMATUUR In deze bijlage worden enkele screenshots van de programmatuur gegeven die ontwikkeld zijn voor de proof of concept: Hieronder is de beheerapplicatie weergegeven, aanvragen worden bijgehouden en analyses worden uitgevoerd.
Onderdeel van de beheerapplicatie is het beheer van de analyses en de requirements voor de analyses.
Het beheer van de datastructuur en de conversies vindt plaats in de beheerapplicatie.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
39
De extractor is een programma wat gebruikt wordt door klanten om de koppeling met de database tot stand te brengen.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
40
De extractor voert de extracties uit op basis van SQL statements die gegenereerd zijn op basis van de ETL.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
41
Uiteindelijk leidt de analyse tot een Excel-rapportage.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
42
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
43
BIJLAGE 3: ANALYSES De volgende analyses zijn tijdens de proof of concept gebruikt: Analyses op jaarrekeningrisico’s
Jrr risico
Bedrijfsrisico
Frauderisico
Wijzigingen in crediteurenbankgegevens
X
X
X
Risico: Onttrekking van gelden door bankrekeningnummer in te voeren van de medewerker zelf dan wel een nauwe relatie van de medewerker
X
X
X
X
X
X
Omschrijving: Deze control lijst de wijzigingen op de crediteurbankgegevens uit, welke in de logging zijn vastgelegd.
Betalingen en ontvangsten zonder inkoop/verkoopfactuur Risico: Kans dat betalingen zijn gedaan zonder tegenprestatie. Hierdoor vloeit er ten onrechte geld uit de onderneming. Omschrijving: Hier komen betalingen en ontvangsten naar voren waar geen inkoop- of verkoopfactuur aan gekoppeld zijn.
Situaties waarbij ontvangen goederen en inkoopfactuur verwerkt is door dezelfde persoon Risico: Doorbreken van de functiescheiding waardoor de registratie in het systeem kan afwijken van de werkelijkheid. Hierdoor kunnen middelen (geld of goederen) ten onrechte uit de onderneming vloeien. Omschrijving: In deze controle komen situaties naar voren waarbij de ontvangen goederen en inkoopfactuur verwerkt is door dezelfde persoon.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
44
Informatief
Situaties waarbij de inkoopfactuur is verwerkt en betaling is gedaan door dezelfde persoon Risico: Doorbreken van de functiescheiding waardoor het uitbetaalde bedrag kan afwijken van het factuurbedrag. Hiermee wordt geld onttrokken uit de onderneming. Omschrijving: In deze controle komen situaties naar voren waarbij de inkoopfactuur is verwerkt en betaling is gedaan door dezelfde persoon.
Situaties waarbij de crediteurenstamgegevens zijn aangemaakt en betaling is gedaan door dezelfde persoon Risico: Stelt de medewerker in staat om in de stamgegevens van de crediteuren tijdelijk bankrekeningnummer te wijzigen en de betaling hier naartoe door te zetten. Omschrijving: In deze controle komen situaties naar voren waarbij de crediteurenstamgegevens zijn aangemaakt en betaling is gedaan door dezelfde persoon. Crediteuren met hetzelfde adres & bankrekeningnummer als werknemers
X
X
X
X
X
X
X
X
X
X
X
X
Risico: Hierdoor bestaat de kans dat ten onrechte betalingen aan medewerkers worden gedaan. Omschrijving: In deze controle wordt gekeken of er overeenkomsten zijn in bankrekeningnummer/naam/adres in de tabellen van de crediteuren en medewerkers Facturatie aan debiteuren zonder stamgegevens Risico: Debiteur is mogelijk vooraf niet op kredietwaardigheid getoetst waardoor het risico bestaat dat de vordering oninbaar is. Indien het een creditnota betreft, risico dat op deze wijze gelden worden onttrokken.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
45
Omschrijving: Deze controle matched de verkoopfacturen aan de debiteurgegevens. Degene die niet overeenkomen worden uitgelijst.
Leveringsdocumenten zonder verkooporders
X
X
X
X
X
X
X
X
X
Risico: Mogelijk zijn goederen ten onrechte onttrokken. Levering naar een debiteur zonder juridische grondslag kan leiden tot oninbare vorderingen. Omschrijving: Deze controle kijkt of er artikelmutaties (type verkoop) zijn waar geen verkooporder aan gekoppeld is.
Situaties waarbij de debiteurenstamgegevens zijn gecreëerd door dezelfde persoon die de verkoopfactuur heeft gemaakt Risico: Mogelijk 'spook'debiteuren waaraan gefactureerd wordt. Omschrijving: In deze controle komen situaties naar voren waarbij de debiteurenstamgegevens zijn gecreëerd door dezelfde persoon die de verkoopfactuur heeft gemaakt Situaties waarin verkoopfacturen en verwerking van ontvangen betalingen is gedaan door dezelfde persoon. Risico: Sleepgevaar Omschrijving: In deze controle wordt er gekeken of er situaties zijn waarin de verkoopfactuur en de ontvangen betalingen zijn verwerkt door dezelfde persoon. Dubbele journaalposten met dezelfde omschrijving en karakteristieken
X
Risico: Risico dat mutaties dubbel verwerkt zijn en hierdoor de jaarrekening niet een getrouw beeld geeft
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
46
Omschrijving: In deze controle wordt in de grootboekmutaties gezocht naar boekingen die dezelfde kenmerken hebben (grootboekrekening, dagboek, omschrijving, bedrag) Ontbrekende boekstuknummers
X
X
X
X
Risico: Risico dat mutatie is verwijderd en jaarrekening geen getrouw beeld geeft. Omschrijving: In deze controle wordt een GAP analyse gemaakt op de boekstuknummers. Boekstukken niet in evenwicht Risico: Geen evenwichtige balans en daarmee een foutieve jaarrekening. Kan erop duiden dat de verwerking van een of meer boekingen is mislukt. Omschrijving: In deze controle wordt gekeken of alle boekingen in evenwicht zijn. Analyses op fraude-risico’s
Jrr risico
Bedrijfsrisico
Ontvangen goederen zonder inkooporder
X
Frauderisico X
Risico: Inkoop is niet vooraf geautoriseerd waardoor mogelijk de voorraad te hoog oploopt dat door de onderneming gefinancierd moet worden, dan wel zijn goederen besteld voor persoonlijke doeleinden. Omschrijving: In deze controle wordt gekeken of er artikellen zijn bijgeboekt zonder dat daar een inkooporder aan gekoppeld is.
Debiteuren die ook crediteuren zijn
X
Risico: Hierdoor mogelijkheid om fictieve omzet te boeken om de omzet te verhogen.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
47
Informatief
Omschrijving: In deze controle wordt gekeken of er overeenkomsten zijn in bankrekeningnummer/naam/adres in de tabellen van de debiteurenstam en crediteurenstam. Verkooporders waarvan de goederen zijn geleverd maar nog niet gefactureerd Risico: Verlies van omzet indien de verkoop niet is geregistreerd.
X
X
X
X
X
X
X
X
Omschrijving: In deze controle wordt de verkooporders uitgelijst waarvan de goederen zijn geleverd maar nog niet gefactureerd.
Journaalposten die gemaakt zijn in het weekend Risico: Journaalposten die buiten de normale werktijden geschieden, kunnen bedoeld zijn om frauduleuze handelingen te verbergen. Omschrijving: In deze controle wordt er gekeken of er journaalposten zijn aangemaakt in weekend. Geboekte afgeronde bedragen Risico: Uit onderzoek is gebleken dat frauduleuze handelingen veelal ronde bedragen bevatten of eindigend op 999 Omschrijving: In deze controle wordt een lijst gemaakt met bedragen die deelbaar zijn door 10. Geboekte bedragen die eindigen op 999 Risico: Uit onderzoek is gebleken dat frauduleuze handelingen veelal ronde bedragen bevatten of eindigend op 999 Omschrijving: In deze controle wordt een lijst gemaakt met alle journaalposten die eindigen op 999.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
48
Analyses op bedrijfsrisico’s
Jrr risico
Bedrijfsrisico
Dubbele inkoopfacturen met dezelfde omschrijving en karakteristieken
X
Risico: Hierdoor bestaat de kans dat inkoopfacturen dubbel worden betaald. Omschrijving: Situaties waarin overeenkomsten zitten in de karakteristieken van inkoopfacturen Inkooporder is niet gelijk aan ontvangst is niet gelijk aan factuur
X
Risico: Indien meer aantallen zijn gefactureerd dan ontvangen, bestaat de kans dat ten onrechte teveel wordt betaald. Dit geldt eveneens indien de prijs cf de inkoopfactuur afwijkt van de inkooporder. Omschrijving: Hier wordt gekeken of er afwijkingen in aantal en/of prijs zitten tussen de inkooporder, artikelmutatie en inkoopfactuur.
Dubbele betalingen aan crediteuren
X
Risico: Een dubbele betaling moet worden teruggevorderd. De tijd tussen het betalen en terugvorderen moet gefinancierd worden door de onderneming Omschrijving: In deze controle wordt gekeken of er meerdere keren hetzelfde bedrag aan dezelfde crediteur is betaald.
Wijzigingen in debiteurenstamgegevens
X
Risico: Hierdoor mogelijk oplopende kredieten van debiteuren waardoor de liquiditeitspositie in gevaar komt. Omschrijving: Deze control lijst de wijzigingen op de debiteurstamgegevens (naam, adres, bankrekeningnummer, kredietlimiet) uit.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
49
Frauderisico
Informatief
Informatieve analyses
Jrr risico
Bedrijfsrisico
Frauderisico
Kasbetalingen aan crediteuren
Informatief X
Omschrijving: In deze controle wordt gekeken of er kasbetalingen aan crediteuren hebben plaatsgevonden. Top hoge en lage verkoopfacturen
X
Risico: Risico dat het bedrag op de verkoopfactuur afwijkt van de afgesproken prijs Omschrijving: Deze control levert de hoogste en laagste 25 verkoopfacturen.
Memeriaalboekingen per grootboek
X
Risico: Journaalposten die handmatig zijn gemaakt die normaliter automatisch geschieden, kunnen een indicatie van fouten zijn.
Grootboek - dagboekanalyse
X
Omschrijving: In deze controle wordt een grootboek/dagboekmatrix gemaakt.
Creditboekingen
X
Omschrijving: In deze controle wordt een selectie gemaakt van alle negatieve boekingen op een verkoop balansrekening
X
Autorisatiematrix
Omschrijving: Deze controle geeft een overzicht van gebruikers en rollen.
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
50
X
Inkoopfactuur en inkooporder door dezelfde gebruiker Omschrijving:
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
51
BIJLAGE 4: TYPOLOGIE STARREVELD EN UITGEVOERDE ANALYSES IN % Row Labels Agrarische en extractieve bedrijven Bedrijven die enkelvoudige massaproducten maken Bedrijven die samengestelde massaproducten maken Bedrijven met doorstroming van goederen welke eigendom van derden zijn Bedrijven met geparcelleerde (intermitterende of ladingsgewijze) massaproductie Bedrijven met roterende (vloeiende of stroomsgewijze) massaproductie Bedrijven met seriestukproductie Bedrijven met stukproductie Bedrijven waarbij specifieke reservering der ruimten plaatsvindt Handelsbedrijven die in hoofdzaak aan andere bedrijven leveren Handelsbedrijven die in hoofdzaak aan particulieren leveren Huishoudingen van privaatrechtelijke gemeenschappen, voor zover niet vallende onder 100 Overige dienstverleningsbedrijven
Algemeen Finacieel Handel Totaal aantal 1 11 12 15 5 6 10 21 22 23 24 25 26 27 28 29 30 31 32 2 3 4 7 8 9 13 14 16 18 19 20 1 100 100 100 100
100 100 100 100 100 100 100 100 100 100 100 100 100 100 100
3 100 100 100 100
100 100 100 100 100 100 100 100 100 100 100 100 100 100 100
2 100
50 100
50
50 100 100
50
50
50
50
50
50
50
50
50
50
50
50
0 100 100 100 100 100 100 100 100 100 100 100 33 100
33 100
33 100
33
33
0
0
33
33
0 100
50 100
50 100
50
50
50
0
50
50
1 100 100 100 100
100 100 100 100 100 100 100 100 100 100 100 100 100 100 100
4 100 100 100 100
100 100 100 100 100 100 100 100 100 100 100 100 100 100 100
0 100
50 100
1 100 100 100 100
100 100 100 100 100 100 100 100 100 100 100 100 100 100 100
0 100
0 100
100 100 100 100 100 100 100 100 100 100 100 100 100 100 100
0
60
100 100 100
0
57
10 100 14
7 100
3 100 14
90 100
7 100
0 100
71 100 100 100 100 100
7 100 100
100 100 100 100 100 100 100 100 100 100 100 100 100 100 100
0 100 36
60
50
50
0 100 100 100
0
25
50
50
0 100 100
60
20
20
20
20
20
20
7 100
0
0
7
0
0
0
0 100 100 100
0
0
0
0
0
0
21
21
21
21
21
21
7 100
21
36
20
50
71
86 100
93
86
86
86
86
86
86 100
86
86
57
86
86
0
4 100 100 100
75
50 100 100
50
50
50
50
50
50
50
50
50
50
50
50
0 100
0 100
0 100 100 100
0
0 100 100
36
71
0
93 100 100
20
50 100
86
4
86
90
100 100 100 100 100 100 100 100 100 100 100 100
29
36
75 100
75 100
75
75
75
75
75
75
75
75
75
75
75
75
75
75
75
0
75
0
75
0
75
0
0
0
0
0
0
61
53
83
86
83
75
72
83
64
83
64
83
83
83
44
81
81
6
67
14
75
28
72
36
36
22
33
28
33
83
86
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
52
en ‐beroepen Tussenpersonen in de effectenhandel
1 100 100 100 100
100 100 100 100
0 100 100 100 100 100 100 100 100
Lex Wagenaar – Methodiek voor kwaliteitsverhoging jaarrekeningcontrole
53
0
0
100 100
0 100 100 100 100 100 100 100
0 100