Data analyse: jaarrekeningcontrole efficiënter?

Data‐analyse: jaarrekeningcontrole efficiënter?

Referaat

Eric Pols

Eric Pols MSc. (Studentnummer: 275589) Rotterdam, 14‐10‐2011, Definitief IT‐Auditing, ESAA Rotterdam Begeleider: Jan Pasmooij RE RA RO

2 Data‐analyse: jaarrekeningcontrole efficiënter?

Referaat IT‐Auditing – Eric Pols – 14‐10‐2011

Voorwoord Data‐analyse….. veel collega’s wisten het al. Ikzelf nog niet. Ik heb zelf lang nagedacht over mijn onderwerp. Veel collega’s vonden het echter vanzelfsprekend dat ik mijn referaat over data‐analyse zou gaan schrijven. Binnen KPMG sta ik namelijk bekend als een gedreven data‐ analist. Daarnaast word ik weleens ‘EriQuery’ genoemd. Ik ben blij dat die collega’s toen zo over mijn referaatonderwerp dachten en dit ook aan mij kenbaar maakten. Dit heeft ervoor gezorgd dat ik er uiteindelijk zeker van was een goed bij mezelf passend onderwerp gekozen te hebben. Op dit moment, een aantal maanden later, ligt het eindproduct er. Ik ben er trots op! Dit heb ik echter niet volledig alleen gedaan. Ik wil daarom bij deze mijn begeleider van de Erasmus bedanken voor de constructieve feedback. Daarnaast mijn vriendin voor de mentale ondersteuning en het tekstueel reviewen. De geïnterviewden wil ik bedanken voor de tijd die ze er in gestoken hebben en de prettige gespreken. Als laatste wil ik nog mijn directe collega’s bedanken voor de sparmomenten over dit onderwerp. Ik wens u veel leesplezier toe en hoop daarnaast dat het u handreikingen geeft om toe te passen in de praktijk. Wat mij betreft is het referaat nog interessanter en leuker geworden dan ik verwacht had! Eric Pols 14 oktober 2011





Inhoudsopgave 1

2

3

4

5

6

7

Introductie ................................................................................................................................................. 7 1.1 Probleemstelling ............................................................................................................................... 7 1.2 Onderzoeksdoelstelling ..................................................................................................................... 7 1.3 Vraagstelling ..................................................................................................................................... 7 1.4 Reikwijdte ......................................................................................................................................... 8 1.5 Aanpak .............................................................................................................................................. 8 1.6 Structuur ........................................................................................................................................... 9 1.7 Motivatie keuze onderwerp .............................................................................................................. 9 1.8 Doel van dit referaat ......................................................................................................................... 9 1.9 Terminologie ..................................................................................................................................... 9 Samenvatting ........................................................................................................................................... 11 2.1 Prijsdruk de baas ............................................................................................................................. 11 2.2 Positive assurance ........................................................................................................................... 11 2.3 Kwantificeren van kwalitatieve bevindingen .................................................................................. 11 2.4 Integrated audit .............................................................................................................................. 11 2.5 Terugrelateren aan significiant accounts ........................................................................................ 11 Inleiding data‐analyse .............................................................................................................................. 13 3.1 Containerbegrip .............................................................................................................................. 13 3.2 Type data‐analyses.......................................................................................................................... 13 3.3 Voorwaarden data‐analyse ............................................................................................................. 15 3.4 Uitvoering ....................................................................................................................................... 18 3.5 Samenvatting .................................................................................................................................. 19 Fases van de jaarrekeningcontrole .......................................................................................................... 21 4.1 Planning .......................................................................................................................................... 21 4.2 Control evaluation .......................................................................................................................... 21 4.3 Substantive procedures .................................................................................................................. 22 4.4 Conclusie & Afronding .................................................................................................................... 22 4.5 Samenvatting .................................................................................................................................. 23 Efficiëntievoordelen ................................................................................................................................ 25 5.1 Planning .......................................................................................................................................... 25 5.2 Control evaluation .......................................................................................................................... 25 5.3 Substantive procedures .................................................................................................................. 27 5.4 Conclusie & Afronding .................................................................................................................... 27 5.5 Samenvatting .................................................................................................................................. 27 Rol van de accountant ............................................................................................................................. 29 6.1 Planning .......................................................................................................................................... 29 6.2 Control evaluation .......................................................................................................................... 29 6.3 Substantive procedures .................................................................................................................. 30 6.4 Conclusie & Afronding .................................................................................................................... 30 6.5 Samenvatting .................................................................................................................................. 30 Aanpak ..................................................................................................................................................... 31 7.1 Planning .......................................................................................................................................... 31 7.2 Control evaluation .......................................................................................................................... 31 7.3 Substantive procedures .................................................................................................................. 34 7.4 Conclusie & Afronding .................................................................................................................... 34



7.5 Samenvatting .................................................................................................................................. 35 8 Additionele voordelen ............................................................................................................................. 37 8.1 Planning .......................................................................................................................................... 37 8.2 Control evaluation .......................................................................................................................... 37 8.3 Substantive procedures .................................................................................................................. 37 8.4 Conclusie & Afronding .................................................................................................................... 37 8.5 Samenvatting .................................................................................................................................. 38 9 Continuous Auditing / Continuous Monitoring ....................................................................................... 39 9.1 Planning .......................................................................................................................................... 40 9.2 Control evaluation .......................................................................................................................... 40 9.3 Substantive procedures .................................................................................................................. 40 9.4 Conclusie & Afronding .................................................................................................................... 41 9.5 Samenvatting .................................................................................................................................. 41 10 Modelvorming ......................................................................................................................................... 43 10.1 Fases jaarrekeningcontrole ............................................................................................................. 43 10.2 Impact per materiële post .............................................................................................................. 44 10.3 Voorbeelduitwerking ...................................................................................................................... 45 11 Praktijktoetsing ........................................................................................................................................ 47 11.1 Prijsdruk .......................................................................................................................................... 47 11.2 Planningsfase .................................................................................................................................. 47 11.3 Control evaluationfase .................................................................................................................... 48 11.4 Substantive proceduresfase ............................................................................................................ 49 11.5 Conclusie & Afrondingsfase ............................................................................................................ 50 11.6 Schema innovatieve aanpak ........................................................................................................... 51 11.7 Voorbeelduitwerking ...................................................................................................................... 51 12 Conclusie .................................................................................................................................................. 53 12.1 Introductie ...................................................................................................................................... 53 12.2 Evaluatie praktijktoetsing ............................................................................................................... 53 12.3 Conclusie ......................................................................................................................................... 54 12.4 Aanbeveling .................................................................................................................................... 55 12.5 Evaluatie doelstelling ...................................................................................................................... 56 12.6 Vervolgonderzoek ........................................................................................................................... 56 12.7 Mening auteur ................................................................................................................................ 56 13 Literatuur ................................................................................................................................................. 57 Bijlage A: Interviewvragen ................................................................................................................................ 59 Bijlage B: Geïnterviewden ................................................................................................................................ 60



1

Introductie

1.1

Probleemstelling De laatste jaren staan de tarieven voor een jaarrekeningcontrole enorm onder druk. Veel klanten beschouwen de jaarrekening namelijk als een uniform product (commodity). Dit argument voor een lager tarief wordt voornamelijk genoemd tijdens de tariefonderhandelingen. Accountantskantoren gaan daar deels in mee om belangrijke klanten niet te verliezen of nieuwe interessante klanten te winnen. Het Financieel Dagblad schrijft bijvoorbeeld op 18 juli 2011 dat de 25 Midkapfondsen in 2010 6% minder betaald hebben voor de jaarrekeningcontrole [FDmk11]. Daarnaast heeft ook de Rabobank onderzoek gedaan naar de Accountancybranche. Zij schrijven in juli 2011: “Klanten van accountancykantoren zijn sinds de recessie prijsbewuster geworden. Dit heeft geleid tot een onverminderde prijsconcurrentie die de gehele sector raakt.” [Rabo11] Reden om hierin mee te gaan, is voor de accountantskantoren dat naast het kernproduct (de accountantsverklaring) vaak ook aanvullende diensten tegen een beter tarief geleverd kunnen worden. Idealiter zou echter ook het kernproduct winstgevender zijn. Data‐analyse wordt in vakliteratuur (zie literatuurlijst) aangedragen als één van de oplossingen om efficiënter te kunnen auditen. Het resultaat van data‐analyse biedt dan ook een meerwaarde aan de klant. [Tole10] Een theoretische onderbouwing daarvan in combinatie met empirisch onderzoek ontbreekt echter.

1.2

Onderzoeksdoelstelling De doelstelling is te onderzoeken in hoeverre en hoe data‐analyse de jaarrekeningcontrole efficiënter kan maken.

1.3

Vraagstelling Binnen het onderzoek worden onderstaande hoofd‐ en deelvragen behandeld.

1.3.1

Hoofdvraag In hoeverre en hoe kan het gebruik van data‐analyse de jaarrekeningcontrole efficiënter maken?

1.3.2

Deelvragen 1

2 3

Hoe kan data‐analyse ondersteunen per fase van de jaarrekeningcontrole? Per fase wordt een data‐analyse anders toegepast. Tijdens de planningsfase bijvoorbeeld, zal data‐analyse voornamelijk worden toegepast om de omvang van transactiestromen binnen een proces in kaart te brengen. Hiermee kan de focus worden bepaald. Welke efficiëntievoordelen zijn met data‐analyse te behalen? In hoeverre verandert de rol van de accountant? Het gebruik van data‐analyse binnen de jaarrekeningcontrole, niet alleen gericht op gegevensgericht onderzoek, zorgt ervoor dat de werkwijze van de accountant verandert.



4

5

6

1.4

Welke aanpak dient gehanteerd te worden? Om data‐analyse succesvol toe te passen binnen een jaarrekeningcontrole dient een gedegen aanpak gehanteerd te worden. Brengt data‐analyse tijdens de jaarrekeningcontrole de klant additionele voordelen? De accountant kan wellicht waarde toevoegen door data‐analyseresultaten te delen met de klant. Hoe verhoudt ad‐hoc data‐analyse zich tot Continuous Auditing / Continuous Monitoring? De laatste jaren passen steeds meer bedrijven Continuous Auditing / Continuous Monitoring systemen toe. Hierbij worden controles van de accountant overgenomen door Internal Audit (CA) en later door de organisatie zelf (CM). Het onderzoek richt zich niet op organisaties met dergelijke systemen.

Reikwijdte Dit onderzoek richt zich alleen op data‐analyse in het kader van de jaarrekeningcontrole. Daarnaast wordt bij dit onderzoek als uitgangspunt genomen dat de klant gebruik maakt van een gangbaar ERP‐systeem voor de belangrijkste ondersteunende processen. Dit zijn inkoop, boekhouding en verkoop. Tijdens het onderzoek zal SAP als voorbeeld gehanteerd worden. De klant heeft geen adequaat Continuous Auditing/Monitoringsysteem waar de accountant op kan steunen geïmplementeerd. Het onderzoek richt zich op zowel Business als op IT controls.

1.5

Aanpak De aanpak zal gebaseerd zijn op literatuuronderzoek in combinatie met kwalitatief empirisch onderzoek. Het empirisch onderzoek zal bestaan uit interviews met accountants en IT‐auditors die werkzaam zijn binnen de private sector en de Rijksoverheid. Fase

Omschrijving

Methodiek

Introductie

Vaststellen probleem

Desk research

Literatuurstudie

Wat beschrijft de literatuur over data‐analyse in de jaarrekeningcontrole

Desk research

Conceptmodel data‐ analyse jaarrekening

Opstellen van een conceptmodel op basis van literatuur en persoonlijke good practices

Desk research

Interviews

Interviewen van 9 accountants met enige IT‐achtergrond of Interview IT‐auditors bij zowel grote accountantskantoren als internal audit afdelingen bij grote organisaties. In het interview bespreken van het conceptmodel, de visie van de geïnterviewden en praktijkervaringen

Praktijktoetsing uitwerken

Uitwerken praktijktoetsing van het model op basis van de interviewresultaten

Desk research

Conclusie

Conclusies opstellen

Desk research

Tabel 1: Aanpak onderzoek



1.6

Structuur De structuur van dit referaat is als volgt:      

1.7

Introductie: Uitwerking van probleemstelling en aanpak onderzoek; Samenvatting; Per hoofdstuk een uitwerking van de deelvragen op basis van literatuurstudie en ervaring van de auteur; Modelvorming: Bespreking van het gevormde model op basis van het onderzoek; Praktijktoetsing: Toetsing van het model op basis van interviews; Evaluatie praktijktoetsing en conclusie.

Motivatie keuze onderwerp Vanuit mijn werkzaamheden bij KPMG heb ik dagelijks te maken met data‐analyse op ERP‐ systemen. In het bijzonder heb ik te maken met SAP. Ongeveer een kwart van deze werkzaamheden voer ik uit in het kader van de jaarrekeningcontrole. Tijdens deze opdrachten merkte ik dat er steeds behoefte is aan efficiënter auditen, zoals ook in de probleemstelling beschreven is.

1.8

Doel van dit referaat De uitkomsten van dit onderzoek hoop ik in de praktijk toe te kunnen passen. Daarnaast hoop ik hiermee waardevolle informatie aan IT‐auditors en accountants te kunnen geven. Met name aan hen die te maken hebben met data‐analyse. Echter, ook aan mensen die op dit moment nog niet hiermee werken, maar wel willen weten wat de (on)mogelijkheden van data‐analyse tijdens de jaarrekeningcontrole zijn.

1.9

Terminologie In dit referaat worden termen gebruikt die mogelijk niet voor alle lezers bekend zijn. De belangrijkste termen zijn daarom in deze paragraaf toegelicht. Application controls: Beheersmaatregelen (controls) die in IT‐systemen zijn ingericht. Denk aan het vier‐ogen‐principe bij wijzigingen op crediteurenstamgegevens. Assertion Level Controls: Dit zijn beheersmaatregelen (controls) die bepaalde beweringen (bijvoorbeeld volledigheid, juistheid, bestaan en tijdigheid) over jaarrekeningposten ondersteunen en die in de organisatieprocessen zijn verankerd. Een beheersmaatregel kan handmatig, IT‐afhankelijk of volledig geautomatiseerd worden uitgevoerd. Auditmatrix: In een auditmatrix zijn de processen van de klant gekoppeld aan risico’s en bijbehorende beheersmaatregelen. Data‐analyse: Het gehele proces van verzamelen, modelleren en omzetten van data met als doel bruikbare informatie te genereren. Data‐analist: Medewerker die belast is met het uitvoeren van data‐analyses. Dit kan zowel een accountant of een IT‐auditor zijn zolang deze maar over de benodigde vaardigheden beschikt.



Entity Level Controls: Organisatiebrede beheersmaatregelen (controls) die op een hoger niveau liggen dan Assertion Level Controls. Bij de beoordeling van de Entity Level Controls wordt de beheersingsstructuur van een organisatie beoordeeld, zoals de organisatiebrede risicoanalyse door het management en de algehele controleomgeving. Fase ‘Control evaluation’: Jaarrekeningcontrolefase waarin opzet, bestaan en werking van beheersmaatregelen (controls) geëvalueerd worden. [Meul07] Fase ‘Substantive procedures’: Jaarrekeningcontrolefase waarin gegevensgerichte werkzaam‐ heden uitgevoerd worden, zoals cijferbeoordeling, verbandscontroles en steekproeven. [Meul07] Gegevensgerichte aanpak: Controle door individuele posten of documenten te beoordelen. Hierbij wordt niet gesteund op het interne controlesysteem van de klant. IT General Control (ITGC): Beheersmaatregelen (controls) die ingericht zijn om de IT‐ omgevingen te beheersen. Denk aan wijzigingsbeheer en toegangsbeheer. Effectieve ITGC’s zijn een basisvoorwaarde om te kunnen steunen op application controls. ITGC’s zorgen er namelijk voor dat application controls niet onterecht (tijdelijk) uitgeschakeld kunnen worden. Significant account (materiële post / betekenisvolle grootboekrekening): Een grootboekrekening of een groep van grootboekrekeningen is betekenisvol indien het onjuistheden kan bevatten die een materieel effect op de jaarrekening hebben. Ook als deze niet materieel zijn, maar ervoor kunnen zorgen dat de reputatie van de klant of relatie met klanten, aandeelhouders en publieke opinie negatief beïnvloed kan worden, valt deze er onder. Factoren die in overweging genomen kunnen worden bij de bepaling van de significant accounts zijn als volgt:       

Omvang en samenstelling van de rekening Aard van de rekening Aard van de transacties die plaatsvinden Gevoeligheid van de rekening voor manipulatie of verlies Volume van transacties / activiteit op de rekening Veranderingen in de organisatie die van invloed zijn op de rekening Saldo op de rekening ten opzichte van de totale saldi

Systeemgerichte aanpak: Controle door middel van toetsing of de administratieve organisatie en het systeem van interne controle voldoen aan de gestelde eisen.



2

Samenvatting

2.1

Prijsdruk de baas Accountants krijgen steeds meer te maken met prijsdruk op de jaarrekeningcontrole. Het Financieel Dagblad schreef bijvoorbeeld dat de 25 Midkapfondsen in 2010 hiervoor 6% minder betaald hebben. Uit dit uitgevoerde onderzoek blijkt dat data‐analyse als een oplossing gezien wordt om de prijsdruk de baas te kunnen. Niet alleen om daarmee de jaarrekeningcontrole efficiënter en effectiever uit te voeren, maar ook door toegevoegde waarde aan de klant te kunnen bieden. In dit onderzoek is een model gevormd en gevalideerd wat hierbij kan ondersteunen. Uitgangspunten inzake dit model zijn als volgt:

2.2

Positive assurance Door middel van data‐analyse kan positive assurance gegeven worden. Dit door posten geautomatiseerd te evalueren en aan te geven bij welke posten geen onjuistheden geconstateerd zijn. Routinematige transactionele processen kunnen op basis hiervan efficiënter worden gecontroleerd zodat de accountant meer tijd over heeft om zich te kunnen richten op niet‐routinematige posten. Daarnaast kan de accountant zich meer gaan richten op niet‐routinematige eigen werkzaamheden zoals het beoordelen van waarderingen.

2.3

Kwantificeren van kwalitatieve bevindingen Systeemgerichte onderzoeken resulteren veelal in kwalitatieve bevindingen. Deze bevindingen zijn in veel gevallen moeilijk te vertalen naar de impact op de jaarrekening. Data‐analyse kan hierbij ondersteunen door deze bevindingen te kwantificeren naar het financiële belang.

2.4

Integrated audit Om het maximale uit een data‐analyse te halen is het van belang dat de accountant, data‐ analist en IT‐auditor nauw samenwerken. Dit zorgt ervoor dat alleen die data‐analyses die bijdragen aan het doel uitgevoerd worden en de resultaten juist geïnterpreteerd worden. Een data‐analyse krijgt pas zijn waarde bij een gedegen interpretatie.

2.5

Terugrelateren aan significiant accounts Om de drie bovenstaande uitgangspunten toe te passen worden in het ontwikkelende model de bevindingen teruggerelateerd aan de significiant accounts. Hierdoor wordt de kwantitatieve impact van een bevinding op de significiant accounts inzichtelijk. Uit dit onderzoek blijkt dat deze methode kan zorgen voor een efficiëntere jaarrekeningcontrole. Enerzijds door met minder manuren dezelfde zekerheid te kunnen geven, anderzijds door meer zekerheid met hetzelfde aantal manuren te kunnen geven.





3

Inleiding dataanalyse In dit hoofdstuk wordt beschreven wat data‐analyse inhoudt en wat de toepassingsmogelijkheden binnen audits zijn. Data‐analyse is een breed begrip, met deze reden wordt in dit hoofdstuk het begrip ingekaderd.

3.1

Containerbegrip Data‐analyse is een containerbegrip. Het neemt dan ook zowel in de theorie als in de praktijk verschillende vormen aan. Denk enerzijds aan eenvoudige, maar onbeheerste analyses in Excel tegenover geavanceerde analyses met een serveromgeving. Los van hoe de data‐analyse ingericht is, heeft het altijd tot doel om bruikbare informatie op te leveren. Binnen dit onderzoek definiëren we data‐analyse daardoor als volgt: Data‐analyse is het gehele proces van verzamelen, modelleren en omzetten van data met als doel bruikbare informatie te genereren. Van belang in deze definitie is dat het gaat om het gehele proces. Data‐analyse is niet alleen het technisch uitvoeren van de analyse, maar er komt meer bij kijken. Denk hierbij aan het opstellen van de eisen voorafgaand aan de analyse, maar ook de interpretatie achteraf. Onderstaande afbeelding (Figuur 1) geeft aan welke stappen bij een data‐analyse horen. Eisen opstellen

Data opzoeken

Data onttrekken

Verwerken

Interpreteren

Figuur 1: Stappen binnen een data‐analyse

3.2

Type dataanalyses Voor de inzet van data‐analyses als onderdeel van audits wordt in dit onderzoek het volgende onderscheid gemaakt. Dit onderscheid geeft aan bij welk type werkzaamheden data‐analyse als tool kan ondersteunen (Figuur 2), in de subparagrafen wordt dit verder per type toegelicht. 1. Ondersteunen systeemgebaseerde aanpak

2. Ondersteunen procesanalyse

3. Ondersteunen gegevensgerichte aanpak

4. Beantwoorden specifieke vragen

Figuur 2: Inzet van data‐analyses bij audits

3.2.1

Ondersteunen systeemgebaseerde aanpak Dit type data‐analyse heeft tot doel om de werking van beheersmaatregelen te testen. Daarnaast kunnen eventuele restrisico’s door niet effectief werkende beheersmaatregelen



verminderd worden. De focus ligt bij deze analyses op ingerichte application controls en user controls. De analyses worden uitgevoerd in de vorm van (key) control indicatoren waarbij de indicator (bijvoorbeeld een uitzonderingsrapportage) aangeeft in hoeverre de beheersmaatregelen effectief gewerkt heeft. Expliciet staat er in ‘Ondersteunen systeemgebaseerde aanpak’ het woord ‘Ondersteunen’ omdat met alleen data‐analyse geen systeemgebaseerde aanpak gehanteerd kan worden. Een degelijke proces‐, risico‐ en beheersingsanalyse dient hieraan vooraf te gaan om de data‐analyse waardevol te laten zijn. Bij dit type data‐analyse horen bijvoorbeeld de volgende analyses: open crediteurenposten, facturen die buiten een workflow omgeboekt zijn en geblokkeerde facturen welke handmatig vrijgegeven moesten worden. Om deze analyses goed binnen de auditaanpak te kunnen plaatsen dienen deze altijd gekoppeld te zijn aan een auditmatrix. [Scho11] Zie hieronder een voorbeeld (Figuur 3). In de auditmatrix zijn de processen gekoppeld aan risico’s en bijbehorende beheersmaatregelen. Met behulp van data‐analyse kunnen deze beheersmaatregelen getoetst worden op werking, voor zover nodig. Daarnaast blijft er mogelijk een restrisico over doordat controls niet effectief werken of dat de controls per definitie al niet het volledige risico mitigeren. Met data‐analyse kan dit restrisico verkleind worden door te analyseren in hoeverre dit daadwerkelijk tot onjuistheden geleid heeft in de periode waar de jaarrekening betrekking op heeft.

Figuur 3: Audit matrix met de relatie tussen processen, risico's en controls



3.2.2

Ondersteunen procesanalyse Doel van dit type data‐analyse is om inzicht te geven in de processen en om te ondersteunen bij de scoping van audits (bijvoorbeeld in de planningsfase). De focus ligt hierbij op de relevante processen voor de jaarrekening, meestal financiële en primaire processen. De uitkomsten van dit type data‐analyse zijn vaak high‐level overzichten met daarin de omvang van de transactiestromen die door de processen heen zijn gegaan. Hierbij gaat het bijvoorbeeld om een overzicht van geboekte inkoopfacturen per afdeling, betalingen per crediteur en documenttypes die in gebruik zijn.

3.2.3

Ondersteunen gegevensgerichte aanpak Dit type data‐analyse heeft ten eerste het doel om de steekproefmassa te bepalen. De focus ligt hierbij op het genereren van totaallijsten met alle relevante boekingen die in een bepaalde periode plaats hebben gevonden. Daarnaast heeft dit type data‐analyse het doel om uitzonderingen in kaart te brengen in het proces. Op basis van specifieke karakteristieken worden (mogelijk) onjuiste posten geselecteerd. Voorbeelden hierbij zijn overzichten van aangemaakte bestellingen, geboekte facturen en uitgevoerde betalingen.

3.2.4

Beantwoorden specifieke vragen Doel van dit type data‐analyse is om specifieke vragen die tijdens een audit aan het licht komen te beantwoorden. Dit zijn veelal ad‐hoc vragen die niet direct aan een audit matrix of planning te koppelen zijn. Dit type data‐analyse dient wel zoveel mogelijk voorkomen te worden omdat de uitkomst pas goed geïnterpreteerd kan worden als deze gekoppeld is aan bijvoorbeeld een audit matrix. Daarnaast is het waarschijnlijk niet efficiënt, omdat een dergelijke analyse maar beperkt bedraagt aan de jaarrekeningcontrole. Een voorbeeld van een dergelijke analyse is: Is een gebruikersaccount gedurende de vakantie van de betreffende persoon misbruikt? Men heeft bijvoorbeeld het vermoeden dat gebruikersaccounts misbruikt worden en men wil hier graag dieper op ingaan.

3.3

Voorwaarden dataanalyse In deze paragraaf worden de eisen beschreven waaraan voldaan dient te worden om een data‐ analyse uit te kunnen voeren. Met al deze eisen dient rekening gehouden te worden in de ontwerpfase van de audit waarbij data‐analyse toegepast gaat worden.

3.3.1

Eisen bron (ITsysteem)    

De IT omgeving en de data representeren de werkelijkheid. Als buiten het systeem om nog lijsten bijgehouden worden zal een data‐analyse waarschijnlijk beperkt toepasbaar zijn. Met data‐analyse moet het mogelijk zijn de betreffende informatie te verkrijgen. Data‐ analyse kan namelijk geen menselijke beoordeling uitvoeren op de gegevens. De context van de data (systemen en processen) moet duidelijk zijn. De relevante data kan bepaald worden. Te achterhalen moet zijn waar de relevante gegevens in het systeem staan (welke tabellen of rapporten).





3.3.2

De relevante data kan uit het systeem worden gehaald. De gegevens moeten te downloaden zijn ter verwerking in de data‐analysesoftware.

Eisen auditproces In de auditmethodologie wordt beschreven waar een auditmethode aan moet voldoen [Otten02]: “Een methodologisch verantwoorde benadering, die moet waarborgen dat het auditresultaat relevant en deugdelijk (betrouwbaar en reproduceerbaar) is en dat de audit efficiënt wordt uitgevoerd.” Dit is ook van toepassing op data‐analyse als onderdeel van een audit. Van belang is dat het data‐analyseresultaat relevant en deugdelijk is. In de ontwerpfase van de audit moeten dus al maatregelen genomen worden om deze relevantie en deugdelijkheid te waarborgen. De relevantie dient gewaarborgd te worden door continu de data‐analyse aan de auditdoelstelling te koppelen. De deugdelijk dient gewaarborgd te worden door voldoende validaties uit te voeren (betrouwbaarheid) en te zorgen voor een audit log (reproduceerbaarheid). In de Handleiding Regelgeving Accountancy (HRA) wordt ook gesproken over data‐ analysesoftware, hierin auditsoftware genoemd. Onder andere in HRA standaard 330‐19 staat [HRA110]: “Gebruik van auditsoftware kan uitgebreider onderzoek van elektronische transacties en grootboekbestanden mogelijk maken. Dergelijke technieken kunnen worden gebruikt om transacties uit belangrijke elektronische bestanden te selecteren, om transacties met bepaalde kenmerken te selecteren of om de gehele populatie te onderzoeken in plaats van een selectie daaruit.” Deze standaard zegt nog niets over de eisen die aan de auditsoftware gesteld worden, maar geeft wel aan dat het gebruik van auditsoftware toegestaan is. Daarnaast mag de documentatie ook digitaal vastgelegd worden, zie hiervoor HRA standaard 230‐7 [HRA110]: “Controledocumentatie kan zijn vastgelegd op papier, in digitale vorm of op andere gegevensdragers.” HRA Relevantie Inzake relevantie schrijft HRA standaard 330‐73a het volgende voor [HRA110]: “De documentatie van de accountant dient tot uitdrukking te brengen dat het financiële overzicht aansluit op de onderliggende administratie.” Van belang is dus dat het resultaat van de data‐ analyse (documentatie) aansluit op de financiële overzichten en daarmee relevant is. HRA Deugdelijkheid In HRA standaard 230‐9 wordt inzake betrouwbaarheid en reproduceerbaarheid het volgende beschreven [HRA110]: “De accountant dient de controledocumentatie zodanig te vervaardigen dat een ervaren accountant die voorheen niet betrokken was bij de controle in staat is om inzicht te verkrijgen in: a. de aard, de tijdsfasering en de omvang van de controlewerkzaamheden die zijn uitgevoerd om te voldoen aan de Standaarden en de vereisten voortkomend uit de van toepassing zijnde wet‐ en regelgeving; b. de uitkomsten van de controlewerkzaamheden en de verkregen controle‐informatie;



c. belangrijke onderwerpen die tijdens de controle aan het licht zijn gekomen en de daaruit getrokken conclusies.” Daarnaast wordt inzake vastlegging in de HRA Besluit toezicht accountantsorganisaties Artikel 11 lid 3 en 5 het volgende beschreven [HRA110]: “lid 3. In het controledossier worden ten minste de volgende gegevens en bescheiden schriftelijk of elektronisch vastgelegd: j. de overige relevante gegevens en bescheiden die van belang zijn voor de onderbouwing van de door de externe accountant afgegeven verklaring en voor het toezicht op de naleving van de bij en krachtens de wet en de Wet op de Registeraccountants onderscheidenlijk de Wet op de Accountants‐Administratieconsulenten gestelde regels.” 3.3.3

Eisen auditor (dataanalist) Om als data‐analist een relevant en deugdelijk data‐analyseresultaat op te kunnen leveren moet je voldoen aan het volgende profiel:   

   3.3.4

Kennis van de ERP‐functionaliteit (inzicht in transacties en procesgangen); de context van de analyse moet namelijk bekend zijn voor de data‐analist. Ervaring met data‐analysesoftware; foutief gebruik van de software zorgt er namelijk voor dat de resultaten onbetrouwbaar worden. HBO/WO werk‐ en denkniveau; er wordt namelijk van de data‐analist verwacht dat deze niet alleen de technische uitvoering doet, maar ook functioneel meedenkt met de opdrachtgever. Affiniteit met databases; de technische uitvoering van data‐analyse bestaat namelijk vooral uit het koppelen van tabellen. Een database bestaat uit tabellen. Kennis van ERP‐datastructuren (tabellen en velden); kennis van de betekenis van de tabellen en velden is nodig om tot betrouwbare resultaten te komen. Communicatief vaardig; bij data‐analyse is het van belang goed de resultaten te valideren door interviews te houden om daarmee de betrouwbaarheid te verhogen.

Eisen accountant (opdrachtgever) Als enige specifieke vereiste voor de accountant voor data‐analyse geldt dat deze enige affiniteit met data‐analyse moet hebben. Hij of zij moet zich namelijk een voorstelling kunnen maken bij wat er binnen een data‐analyse gebeurt om het resultaat te kunnen interpreteren. Daarnaast gelden de eisen die normaal gesproken van een accountant, die betrokken is bij IT‐ systeemgerelateerde audits, verwacht worden. Denk hierbij aan het kennis hebben van de procesgangen rondom het IT‐systeem.

3.3.5

Eisen dataanalysetools De data‐analysetools dienen ook aan eisen te voldoen om een volgens de auditmethodologie deugdelijk resultaat te genereren. Zoals in de hierboven genoemde HRA standaard 230‐9 beschreven staat dient de controledocumentatie dusdanig vervaardigd te zijn, dat een ervaren accountant die voorheen niet betrokken was bij de controle in staat is de uitkomsten te



begrijpen. Daarnaast dient de uitkomst volgens de auditmethodologie reproduceerbaar te zijn. Om aan bovenstaande te voldoen dient de data‐analysesoftware te beschikken over een zogenaamde ‘audit log’. Dit houdt in dat alle stappen die plaatsvinden vanaf het bronbestand vastgelegd worden. Een ervaren accountant of data‐analist kan dan namelijk volgen wat er plaats heeft gevonden en kan de analyse opnieuw op dezelfde manier uitvoeren. De data‐ analysesoftware biedt vaak geen mogelijkheid om vast te leggen waar het bronbestand vandaan komt en met welke selectiecriteria het verkregen is; dit dient dan in het dossier vastgelegd te worden.

3.4

Uitvoering Data‐analyse kan op vele manieren uitgevoerd worden. Echter dienen wel alle stappen zoals eerder genoemd in figuur 1 (de 5 data‐analysestappen) doorlopen te worden. Daarbij zijn vooral de stappen ‘Eisen opstellen’ en ‘Interpreteren’ van belang om waardevolle uitkomsten te kunnen bereiken. In de stap ‘Eisen opstellen’ dient door de data‐analist met de opdrachtgever gedetailleerd afgestemd te worden wat exact verwacht wordt en of aan alle voorwaarden voor een data‐analyse voldaan wordt. Door dit vooraf goed af te stemmen wordt de kans op verrassingen achteraf of onbruikbare resultaten kleiner. Daarnaast is de stap ‘Interpreteren’ van belang waarbij de data‐analist in overleg met de opdrachtgever of proceseigenaar de resultaten interpreteert. Dit is nodig om weging te kunnen geven aan de resultaten zodat het nut vergroot wordt. De technische uitvoering kan enerzijds eenvoudig in Excel, maar ook met geavanceerdere tools zoals IDEA, ACL of een SQL server. Bij alle methodes geldt wel dat voldaan moet worden aan de eisen die in de vorige paragraaf beschreven zijn. Bij gebruik van Excel is de kans groot dat niet aan alle voorwaarden voldaan wordt, denk bijvoorbeeld aan de auditlog. Hieronder is een voorbeeld weergegeven van een data‐analyselandschap waarbij de auditor gebruik maakt van geavanceerdere tooling (Figuur 4). De auditor heeft in dit geval een eigen SQL database op een server staan binnen het accountantskantoor inclusief een analysetool. De auditor maakt gebruik van een standaard set van analyses, die per klant aangevuld worden met specifieke verzoeken. Dit landschap is gebaseerd op het uitvoeren van ad‐hoc analyses, deze omgeving wordt per klant bijvoorbeeld twee keer per jaar gebruikt ten behoeve van de jaarrekeningcontrole.



Figuur 4: Voorbeeld data‐analyselandschap voor ad‐hoc analyses

3.5

Samenvatting Data‐analyse is een ruim begrip en wordt in dit onderzoek omschreven als het gehele proces van verzamelen, modelleren en omzetten van data met als doel bruikbare informatie te genereren. Data‐analyse kan op verschillende manier ingezet worden bij audits, namelijk ter ondersteuning van een systeemgebaseerde aanpak, een procesanalyse en een gegevensgerichte aanpak. Een audit zal nooit volledig bestaan uit data‐analyse, maar data‐ analyse zal ondersteunend zijn. Om data‐analyse toe te kunnen passen dient aan een aantal voorwaarden voldaan te worden. Volgens de auditmethodologie is het belangrijk dat het auditresultaat en daarmee het data‐analyseresultaat relevant en deugdelijk is. Met de eisen dient al rekening gehouden te worden in de ontwerpfase van de betreffende audit om daarmee te waarborgen dat eraan voldaan wordt.





4

Fases van de jaarrekeningcontrole Dit hoofdstuk beschrijft op basis van de literatuur en ervaring van de auteur hoe data‐analyse kan ondersteunen per fase van de jaarrekeningcontrole. In het artikel van Meuldijk, Broskij en Neeteson [Meul07] zijn de verschillende fases van een jaarrekeningcontroleopdracht inclusief de relatie met IT‐audit uiteengezet. In dit hoofdstuk zijn de mogelijke data‐analyses per fase beschreven. De volgende fases worden onderscheiden:    

Planning; Control evaluation: Evalueren van opzet, bestaan en werking van controls; Substantive procedures: Gegevensgerichte werkzaamheden; Conclusie & Afronding.

Dit hoofdstuk heeft als doel om deelvraag 1: ‘Hoe kan data‐analyse ondersteunen per fase van de jaarrekeningcontrole?’ te kunnen beantwoorden.

4.1

Planning De planningsfase wordt in [Meul07] omschreven als: “De planningsfase heeft als doel om via een risicoanalyse de controlestrategie en controleaanpak te bepalen. In deze fase wordt de kwalitatieve basis gelegd voor de overige fases van de controle.” De IT‐Auditor helpt in deze fase bij het in kaart brengen van de ‘Key IT applications’ en bij het beoordelen van de opzet en het bestaan van IT‐gerelateerde Entity Level Controls. Daarnaast kan met behulp van data‐analyse vastgesteld worden wat de significante transactiestromen zijn binnen de belangrijkste processen van de organisatie. In het vorige hoofdstuk is dit getypeerd als ‘Ondersteunen procesanalyse’. Hiermee kan richting gegeven worden aan de controle. Denk bijvoorbeeld aan aantallen en bedragen per type factuur en facturen per afdeling.

4.2

Control evaluation In [Meul07] wordt de control evaluationfase omschreven als: “In deze fase vindt een evaluatie van opzet, bestaan en werking van de beheersingsmaatregelen (‘controls’) plaats. Deze stelt de accountant in staat de kans op een significante fout in de jaarrekening (‘Risk of Significant Misstatement’ RoSM) in te schatten.” De IT‐Auditor richt zich in deze fase op IT General Controls en Assertion Level Controls (verankerd in organisatieprocessen, denk aan user controls en application controls). Deze controls kunnen geïmplementeerd zijn in IT‐systemen of ze kunnen handmatig, met eventueel een IT‐afhankelijkheid, uitgevoerd worden. Data‐analyse kan helpen om de werking van deze controls vast te stellen. Bijvoorbeeld door een uitzonderingsanalyse uit te voeren waarbij in kaart gebracht wordt wanneer de control gedurende het jaar ineffectief was. In het vorige hoofdstuk is dit getypeerd als ‘Ondersteunen systeemgebaseerde aanpak’. Daarnaast kan een analyse gedaan worden op wijzigingen in de inrichting van controls. Hierdoor is te zien of een control mogelijk gedurende het jaar tijdelijk uitgeschakeld is geweest.



Deze analyses hoeven zich niet te beperken tot alleen controls die normaal gesproken door de IT‐auditor beoordeeld worden. Ook controls die door de accountant beoordeeld worden kunnen mogelijk door data‐analyse geëvalueerd worden.

4.3

Substantive procedures De substantive proceduresfase wordt in [Meul07] omschreven als: “De uitkomsten van de werkzaamheden in de vorige fases bepalen de aard en reikwijdte van de gegevensgerichte werkzaamheden (zoals cijferbeoordeling, verbandscontroles en steekproeven), waarbij gegevensgerichte werkzaamheden worden uitgevoerd bij een significant risico, als de RoSM op ‘hoog’ wordt gesteld of als deze werkwijze efficiënter en/of effectiever is dan het uitvoeren van systeemgerichte werkzaamheden.” De accountant kan in deze fase gebruik maken van data‐analyse om de gehele populatie effectiever en efficiënter te kunnen controleren. De tools hiervoor worden in dit kader ook vaak Computer Assisted Audit Tools and Techniques (CAATT’s) genoemd. In het vorige hoofdstuk is dit getypeerd als ‘Ondersteunen gegevensgerichte aanpak’. In de Accountant van mei 2011 staat dat data‐analyse de steekproeven echter niet volledig kan overnemen. [Acco11] Dit artikel heeft als titel: “Van steekproeven voorlopig niet af”. Voor beoordeling van bijvoorbeeld ingevoerde gegevens kan een data‐analyse een deel overnemen, maar zal ook veelal menselijke beoordeling nodig zijn. Daarnaast is het in deze fase mogelijk om achteraf de werking van application controls te testen als blijkt dat de IT General Controls (bijvoorbeeld wijzigings‐ of toegangsbeheer) niet op orde zijn.

4.4

Conclusie & Afronding In [Meul07] wordt de conclusie & afrondingsfase omschreven als: “De doelstelling van deze fase is het afronden van de controle en het vormen van een oordeel ten aanzien van de jaarrekening.” In deze fase heeft de IT‐auditor normaliter maar een beperkte rol. De IT‐auditor fungeert dan vooral als sparringspartner, gaat mee naar gesprekken en zorgt eventueel voor extra input voor de rapportage. Ook de mogelijkheden voor data‐analyse zijn beperkt in deze fase, eventueel kan het toegepast worden bij benodigde aanvullende werkzaamheden.



4.5

Samenvatting Onderstaande fases worden binnen de jaarrekeningcontrole onderscheiden. Daarnaast is in deze tabel weergegeven welk type data‐analyse voornamelijk toegepast kan worden per fase. In dit hoofdstuk is daarmee deelvraag 1: ‘Hoe kan data‐analyse ondersteunen per fase van de jaarrekeningcontrole?’ op basis van theorie beantwoordt. Fase jaarrekeningcontrole

Type data‐analyse

Planning

‐ Ondersteunen procesanalyse

Control evaluation: Evalueren van opzet, bestaan en werking van controls

‐ Ondersteunen systeemgebaseerde aanpak

Substantive procedures: Gegevensgerichte werkzaamheden

‐ Ondersteunen gegevensgerichte aanpak

Conclusie & Afronding

Alle types mogelijk (Aanvullende werkzaamheden.)

Tabel 2: Fases jaarrekeningcontrole inclusief type data‐analyse





5

Efficiëntievoordelen In dit hoofdstuk wordt op basis van de literatuur en ervaring van de auteur beschreven welke efficiëntievoordelen met data‐analyse te behalen zijn. Dit om onder andere na te gaan of een eventuele prijsdruk met data‐analyse kan worden weerstaan. Dit hoofdstuk heeft als doel om deelvraag 2: ‘Welke efficiëntievoordelen zijn met data‐analyse te behalen?’ te kunnen beantwoorden. Een algemeen efficiëntievoordeel is op basis van herhaling te behalen. Eenmaal goed gedefinieerde en vastgelegde data‐analyses kunnen gemakkelijk opnieuw uitgevoerd worden. De eerste keer kost het tijd om de data‐analyse te ontwikkelen inclusief validatie, maar de volgende keer is deze ontwikkelingstijd niet meer nodig indien de analyse nog steeds voldoet.

5.1

Planning Met behulp van data‐analyse kan in de planningsfase vastgesteld worden wat de significante transactiestromen zijn binnen de belangrijkste processen van de organisatie. Dit is in eerste instantie meer werk. Dit kan echter wel voorkomen dat subprocessen als niet‐significant aangeduid worden, terwijl achteraf blijkt dat ze wel significant zijn omdat er een grote waarde of een groot aantal transacties doorheen gaat. Concluderend kunnen in de planningsfase geen directe efficiëntievoordelen behaald worden, maar wel indirecte. Van Langen, Serberie, Tinholt en Sandifort beschrijven in het artikel “XML Auditfile als start voor de controle van de jaarrekening” [Lang10] een aanpak waarbij gebruik gemaakt wordt van een XML Auditfile Financieel (XAF). Dit kan volgens de schrijvers van het artikel bijzonder goed toegepast worden in de planningsfase. Hiermee kan namelijk inzicht gekregen worden in de transactiestromen van de organisatie. Verschillende boekhoudpakketten ondersteunen dit bestandsformaat. De XML AuditFile Financieel standaard richt zich op de overdracht van de financiële basisgegevens, denk aan grootboekrekeningen, grootboekmutaties, controletotalen en crediteuren/debiteuren stamgegevens. Dit in tegenstelling tot XBRL dat zich meer richt op de publicatie van (geaggregeerde) financiële informatie. [www.xbrl‐nederland.nl]. Van Langen e.a. schrijven [Lang10] dat de XML Auditfile met name efficiënter kan worden gecontroleerd bij kleinere entiteiten zonder (centrale) ERP‐systemen. Dit komt omdat deze standaard er voor zorgt dat per entiteit minder moeite gestoken hoeft te worden in het bepalen waar de benodigde gegevens staan en hoe deze geconverteerd dienen te worden. Bij (centrale) ERP‐systemen is dat minder van belang omdat je het opzoeken en converteren eenmalig centraal doet.

5.2

Control evaluation Tijdens de control evaluationfase kunnen wel directe efficiëntievoordelen behaald worden. Op het Veld, Van den Biggelaar en Daanen [Veld10] schrijven hierover het volgende: “Door gebruik te maken van centraal beschikbare data en (financiële) processen, kunnen routinematige transactionele processen efficiënter worden gecontroleerd. De accountant zal minder tijd nodig hebben voor handmatige controles van deze processen en zich vooral kunnen richten op niet‐routinematige posten.”



Rechtmatigheid van uitgaven kan bijvoorbeeld deels centraal worden getest door voor alle landen te analyseren of alle facturen geautoriseerd zijn en juist zijn ingevoerd en betaald. Door centraal te verifiëren dat (routinematige) transacties in het inkoopproces juist en volledig zijn verwerkt, hoeven de lokale accountants maar een beperkt aantal procedures op deze posten uit te voeren. Lokale teams hoeven dan dus niet meer simpelweg elke post van de balans na te lopen. Dit kan voor efficiëntievoordelen zorgen. Dit wordt ook wel ‘positive assurance’ genoemd omdat hiermee goede posten aangemerkt worden waar verder geen testwerk meer op benodigd is. Daarnaast kan hiermee aangegeven worden wat de stromen zijn die binnen de procedures lopen (snelweg) en welke stromen buiten de procedures om lopen (zandweg). Door deze benadering kunnen de accountants zich meer bezighouden met de uitzonderingen in de routinematige processen. Daarnaast is er meer tijd over om niet‐routinematige processen te beoordelen en niet‐routinematige eigen werkzaamheden uit te voeren, zoals het beoordelen van waarderingen. Een probleem in de praktijk is wel dat bij het voor het eerst toepassen van data‐analyses er veel resultaten (uitzonderingen) uit de analyses komen. Dit komt omdat de analyses in het begin vaak nog niet scherp genoeg zijn gedefinieerd. Er ontstaan daardoor veel false negatives of false positives. Door aanscherping verdwijnen deze deels, maar dat zorgt er in het begin wel voor dat er veel moeite in gestoken moet worden. Als eenmaal een scherpe analyse gedefinieerd is kan deze de keer erop herhaald worden en daarmee meestal efficiënt uitgevoerd worden. Daarnaast kan data‐analyse efficiëntievoordelen opleveren doordat het de mogelijkheid geeft om ‘kwalitatieve bevindingen te kwantificeren’. Hierbij worden kwalitatieve bevindingen (een control heeft niet gewerkt) vertaald naar de financiële impact die deze bevinding heeft (het betreft 5 gevallen van in totaal EUR 10.000,=). Denk hierbij aan analyses op functiescheidingsconflicten. Uit een onderzoek naar de inrichting van de autorisaties kan naar voren komen dat een aantal risicovolle functiescheidingsconflicten aanwezig zijn in het systeem. Dit zou betekenen dat de accountant niet zou kunnen steunen op de werking van deze application control (autorisaties) en dat zou voor veel extra testwerk zorgen. Met behulp van data‐analyse is na te gaan in hoeverre deze functiescheidingsconflicten daadwerkelijk doorbroken zijn in de periode waar de jaarrekening betrekking op heeft. Dit wordt gedaan door te analyseren wie de betreffende conflicterende transactie in het systeem uitgevoerd heeft. Uit een dergelijke analyse zou kunnen komen dat het betreffende functiescheidingsconflict slechts tweemaal daadwerkelijk doorbroken is met een financieel belang van € 800,=. Dit bedrag is niet materieel en zorgt er dus voor dat de accountant verder niet meer naar dit functiescheidingsconflict hoeft te kijken. Een ineffectieve inrichting van de functiescheidingen was een kwalitatieve bevinding en is op deze manier gekwantificeerd.



Deze toepassing van data‐analyse wordt toegelicht in het artikel van Schoonen en Toms [Scho10] waarbij ze ingaan op het gebruik van ‘werkelijk doorbroken functiescheidingen’‐analyses. De auteur van dit referaat heeft in de afgelopen jaren veel van dergelijke analyses uitgevoerd voor verschillende organisaties. Rechts van deze alinea (Figuur 5) staat het model dat gehanteerd is in een dergelijke onderzoek. Daarbij geldt dat niveau 3 en 4 met data‐ analyse uitgevoerd worden.

5.3

Substantive procedures Tijdens de substantive proceduresfase kunnen ook directe efficiëntievoordelen behaald Figuur 5: Data‐analyse functiescheidingen worden. Daar waar de accountant is aangewezen op het uitvoeren van steekproeven om de betrouwbaarheid van de financiële gegevens te bepalen, is het veelal mogelijk om met data‐analyse de totale massa (alle transacties) van een klant te analyseren. Daarmee is sneller, doelmatiger en nauwkeuriger te werken. Dit verhoogt de effectiviteit van de controle. Uiteraard blijft de accountant wel altijd nodig om de resultaten van de data‐analyse te interpreteren.

5.4

Conclusie & Afronding Data‐analyse wordt normaalgesproken maar beperkt toegepast in deze fase. De efficiëntievoordelen door het gebruik van data‐analyse zullen dus waarschijnlijk ook maar beperkt zijn. Echter, data‐analyse kan hierbij ondersteunen door kwalitatieve bevindingen te kwantificeren. Bijvoorbeeld als in het inkoopproces een beheersmaatregel niet blijkt te werken kan door middel van data‐analyse bepaald worden in hoeverre dit tot onjuistheden geleid heeft in de afgelopen periode. Hier kan dan mogelijk het financieel belang aan gekoppeld worden zodat de daadwerkelijk impact van de niet‐effectieve beheersmaatregel op de jaarrekening bepaald kan worden. Bevindingen die eerst tot een mogelijke afkeuring van de jaarrekening zouden leiden of tot veel aanvullende testwerkzaamheden zouden leiden kunnen nu op financieel belang getoest worden. Deze werkzaamheden zouden trouwens ook tot de control evaluation‐ en substantive proceduresfases kunnen behoren.

5.5

Samenvatting Uit dit hoofdstuk blijkt dat vooral bij de control evaluation‐ en substantive proceduresfase data‐analyse directe efficiëntievoordelen kan bieden. Door het gebruik van data‐analyse kan de jaarrekeningcontrole sneller en goedkoper uitgevoerd worden. Vooral doordat eenmaal gedefinieerde analyses met weinig inspanning herhaald kunnen worden. In onderstaande tabel is samengevat weergegeven per fase hoe efficiëntievoordelen te behalen zijn. In dit hoofdstuk



is daarmee deelvraag 2: ‘Welke efficiëntievoordelen zijn met data‐analyse te behalen?’ op basis van theorie beantwoordt. Fase jaarrekeningcontrole

Efficiëntievoordeel door

Planning

‐ Inperken risico op foutieve keuze aandachtsgebieden


‐ Geautomatiseerd testen ‐ Positive assurance ‐ Kwantificeren van kwalitatieve bevindingen


‐ Totale steekproefmassa kunnen beoordelen


‐ Kwantificeren van kwalitatieve bevindingen

Tabel 3: Fases jaarrekeningcontrole inclusief efficiëntievoordelen



6

Rol van de accountant In dit hoofdstuk wordt op basis van de literatuur en ervaring van de auteur beschreven in hoeverre de rol van de accountant kan veranderen wanneer meer gebruik gemaakt gaat worden van data‐analyse. Dit betreft vooral de mogelijke veranderingen op het gebied van de uit te voeren werkzaamheden. Dit hoofdstuk heeft als doel om deelvraag 3: ‘In hoeverre verandert de rol van de accountant? ’ te kunnen beantwoorden.

6.1

Planning In de planningsfase zal de rol van de accountant waarschijnlijk niet veranderen. Bij de te maken risicoanalyse om de controlestrategie en controleaanpak te bepalen kan de accountant als input meer data‐analyseresultaten gebruiken. Deze input, die naast veel andere input gebruikt wordt, verandert echter niet de rol. Data‐analyse kan dan alleen maar zorgen voor een meer gedegen risicoanalyse.

6.2

Control evaluation In de control evaluationfase kan de rol van de accountant veranderen doordat de beoordeling op de werking van de controls overgedragen kan worden. Dat kan namelijk uitgevoerd worden door een data‐analist. Indien de uitwerking van een control voldoende in een systeem vastgelegd wordt, kan door middel van data‐analyse de werking vastgesteld worden. User controls kunnen hier ook deel van uitmaken, zolang ze maar voldoende vastgelegd worden in het systeem. Denk hierbij bijvoorbeeld aan een procedurele control die bepaalt dat van elke goedgekeurde ‘Aanvraag tot bestellen’ binnen twee dagen een ‘Bestelorder’ aangemaakt moet worden. Als het systeem de goedkeuringsdatum van de ‘Aanvraag tot bestellen’ en de aanmaakdatum van de ‘Bestelorder’ vastlegt, kan door middel van data‐analyse bepaald worden of deze user control de gehele periode gewerkt heeft. De goedkeuringsdatum wordt in dit geval vergeleken met de aanmaakdatum van de bestelorder en als uitzondering in het resultaat weergegeven indien dit meer dan twee dagen van elkaar afwijkt. Een data‐analist kan dus in dit geval de rol van de accountant of IT‐auditor overnemen. Zij hoeven dan dus alleen nog maar de opzet en het bestaan van de betreffende control vast te stellen. Groot voordeel van het gebruik van data‐analyse hierbij is dat alle transacties in de gehele periode gecontroleerd kunnen worden, en niet alleen een deelwaarneming. Dit verhoogt de zekerheid dat de control daadwerkelijk effectief werkt. Tijdrovende klussen, bijvoorbeeld het nemen van een deelwaarneming, hoeven minder uitgevoerd te worden. Door deze benadering kunnen accountants zich meer bezighouden met de uitzonderingen in de routinematige processen in de vorm van het resultaat van de data‐ analyse. Daarnaast is er meer tijd over om de niet‐routinematige processen bij de klant te beoordelen. Dit zorgt dus voor een andere rol van de accountant.



6.3

Substantive procedures De rol van de accountant kan veranderen in de substantive proceduresfase. De werkzaamheden, bijvoorbeeld de steekproeven, kunnen deels overgenomen worden door een data‐analist. Het voordeel van data‐analyse bij steekproeven is dat veel meer posten in een kortere tijd geanalyseerd kunnen worden. Daarnaast kan al een voorselectie gemaakt worden op de posten op basis van verdachte karakteristieken. Dit zorgt er voor dat de steekproef gerichter wordt. Zaken zoals een cijferbeoordeling of verbandcontroles kunnen niet door data‐analyse overgenomen worden omdat hier de menselijke factor van belang is. Voor de accountant zal dit dus tot de werkzaamheden blijven behoren. Data‐analyse kan wel als input dienen voor de cijferbeoordeling en verbandcontroles.

6.4

Conclusie & Afronding In deze fase zal de rol van de account niet veranderen. Wel kan de accountant meer input gebruiken vanuit data‐analyse. Denk hierbij aan kwantitatieve resultaten van beoordelingen van controls of van steekproeven die door middel van data‐analyse gekwantificeerd zijn. De impact van de bevinding op de jaarrekening is dan beter te bepalen. Dit veranderdt echter de rol niet, want naast deze eventuele input gebruikt de accountant ook andere input om zijn of haar oordeel te vormen.

6.5

Samenvatting Uit dit hoofdstuk blijkt dat vooral bij de control evaluation‐ en substantive proceduresfase de rol van de accountant kan veranderen door meer data‐analyse toe te passen. In onderstaande tabel is samengevat weergegeven per fase hoe de rol kan veranderen. In dit hoofdstuk is daarmee deelvraag 3: ‘In hoeverre verandert de rol van de accountant? ’ op basis van theorie beantwoordt. Fase jaarrekeningcontrole

Verandering rol accountant

Planning

Nee


‐ Minder werking van controls beoordelen ‐ Meer bezig met uitzonderingen in routinematige processen ‐ Meer niet‐routinematige processen beoordelen


‐ Gerichter steekproeven uitvoeren


Nee

Tabel 4: Fases jaarrekeningcontrole inclusief rol accountant



7

Aanpak Dit hoofdstuk beschrijft een aanpak op basis van de literatuur en ervaring van de auteur die gehanteerd zou kunnen worden om data‐analyse efficiënt binnen de jaarrekeningcontrole toe te passen. Dit hoofdstuk heeft als doel om deelvraag 4: ‘Welke aanpak kan gehanteerd te worden?’ te kunnen beantwoorden.

7.1

Planning In de planningsfase dient met behulp van data‐analyse vastgesteld te worden wat de significante transactiestromen zijn binnen de belangrijkste processen van de organisatie. Dit voorkomt dat subprocessen als niet‐significant aangeduid worden terwijl achteraf blijkt dat ze wel significant zijn omdat er een grote waarde of een groot aantal transacties doorheen gaat. Als voorbeeld kan gebruik gemaakt worden van de methode van Van Langen, Serberie, Tinholt en Sandifort [Lang10] dat gebaseerd is op de XML Auditfile. Verder kan elke vorm van data‐ analyse toegepast worden waarbij transactiestromen in kaart gebracht worden. Uit de literatuur blijkt verder niet dat er andere specifieke methoden zijn die tijdens de planningsfase toegepast kunnen worden.

7.2

Control evaluation

7.2.1

Bestaande methodes In het artikel van Op het Veld, Van den Biggelaar en Daanen wordt een methode toegelicht om de werking van business controls te beoordelen met data‐analyse [Veld10]. Dit wordt de ‘Bucket Approach’ genoemd: “Deze wijze van analyse geeft volledig inzicht in waar bijzonderheden zijn opgetreden in de operatie, waarbij materialiteit in euro’s bepaalt of additioneel onderzoek gewenst is. Door de werkstroom te combineren met het object van onderzoek (goederenontvangst, factuur en/of betaling) ontstaan ‘bakjes’ (buckets) met eigen restrisico’s die ieder om hun eigen onderzoek vragen.” Door het toepassen van deze methode kunnen kwalitatieve bevindingen gekwantificeerd worden en kan positive assurance gegeven worden. Bij bovenstaande aanpak wordt er van uitgegaan dat de IT General Controls adequaat zijn ingericht zodat gesteund kan worden op effectieve application controls. Daarnaast wordt alleen gekeken naar ingerichte Business controls, de IT controls worden buiten beschouwing gelaten. Francken, Hermans en Schreurs beschrijven in het artikel “Facts to Value, beyond application security” [Fran10] echter een aanpak en visie hoe IT controls via data‐analyse beoordeeld kunnen worden.

7.2.2

Impact per materiële post In de literatuur (zoals hierboven) bepaalt men vanuit de materiële posten (significant accounts) via de processen en applicaties de controls. Opvallend is dat men achteraf niet meer terug gaat naar de materiële posten. Het wordt vaak aan de accountant overgelaten om de bevinding te interpreteren inzake de impact op de jaarrekening.



De schrijver van dit onderzoek heeft nu een methode bedacht om met data‐analyse de bevindingen terug te vertalen naar de materiële posten. Deze innovatieve aanpak wordt hier beschreven. In de bestaande methodes wordt aangetoond dat kwalitatieve bevindingen kunnen worden gekwantificeerd en positive assurance kan worden afgegeven. In deze huidige methodes wordt dit echter nog niet terugvertaald naar de materiële posten op de jaarrekening, waar de accountant een oordeel over moet geven. Door in de innovatie methode deze terugvertaling te moeten maken worden de IT‐auditor, accountant en data‐analist gedwongen om een geïntegreerde aanpak te hanteren met betrekking tot beoordeling van de controls. De relatie met de materiële posten moet namelijk altijd behouden blijven. Hiermee wordt de accountant geholpen de vertalingen te maken naar wat voor een impact de bevindingen op de jaarrekening hebben. Hier kan zonder deze methode nog veel tijd aan verloren gaan. In onderstaand schema (Figuur 6) is met het omstippelde gedeelte de innovatieaanpak weergeven. Deze geeft aan dat het resultaat van een beoordeling van controls bij deze aanpak terugvertaald wordt naar de materiële posten. Hierbij dient wel de moeite die het kost om deze vertaling te maken afgewogen te worden tegen de opbrengst. Een control die een sterke uitwerking op het grootboek heeft, zal in de praktijk makkelijker te vertalen zijn naar de materiële posten dan een control op besturingssysteemniveau. De rest van dit schema is afgeleid uit het artikel van Francken, Hermans en Schreurs [Fran10]. De vertaling van de bedrijfsprocessen, applicaties en infrastructuur naar de controls vindt plaats op basis van een audit matrix (Zie paragraaf 3.2.1: Ondersteunen systeemgebaseerde aanpak). De uitgangspunten bij de innovatieve aanpak zijn:   

Kwantificeren van kwalitatieve bevindingen Positive assurance Gedwongen geïntegreerde aanpak door vertaling naar materiële posten

Een control met een sterke uitwerking op het grootboek is bijvoorbeeld de vrijgave van een factuur. Een factuur wordt direct op een kostenrekening geboekt (kosten aan crediteuren). Als deze kostenrekening een materiële post is kan bij een ineffectieve vrijgavecontrol direct de vertaling gemaakt worden. De onjuiste vrijgave van de factuur zorgt dan voor een mogelijk onjuiste boeking op de kostenrekening. Een control op besturingssysteemniveau is in sommige gevallen ook te vertalen naar een materiële post, maar dat zal in de praktijk vaak moeilijk en intensief gaan. Een control die bijvoorbeeld root‐toegang tot het besturingssysteem moet voorkomen is ineffectief. Dan dient achterhaald te worden welke toegang hierdoor verkregen is en welke bestanden hierdoor aangepast zijn. Mogelijk blijkt dat daardoor een gebruiker in de database oneigenlijk aangemaakt is en hiermee mutaties verricht zijn in de database. Deze mutaties hadden een financiële boeking op een kostenrekening tot gevolg. Deze boeking is dan mogelijk onjuist door de impact van de ineffectieve control. In de praktijk zal deze methode vanaf het besturingssysteem echter te veel moeite kosten die niet opweegt tegen het voordeel. Dit is wel een methode om toch de bevinding te kunnen kwantificeren. Bij zware bevindingen kan het de moeite lonen om toch de vertaling te maken.



Jaarrekeningposten

Materiële posten (Significiant accounts) Balansrekeningen

Winst/verliesrekeningen

Via data‐analyse impact per materiële post bepalen Beoordeling User controls

Bedrijfsprocessen

‐ Rapportages ‐ Procedures

Applicaties

Beoordeling Application controls

‐ Configuratie ‐ Autorisaties

Infrastructuur Applicaties

Beoordeling IT General controls

Databases

‐ Wijzigingbeheer ‐ Toegangsbeheer

Besturingssystemen Netwerk

Innovatieve aanpak

Figuur 6: Schematische weergave van innovatieve aanpak

7.2.3

Voorbeelduitwerking De vertaling naar de materiële posten door middel van een data‐analyse zou er zoals hieronder uit kunnen zien (Tabel 5). Een ‘X’ geeft aan dat de betreffende control ineffectief was inzake de betreffende boeking. Bij een ‘‐ ‘ was de control effectief. Bij ‘nvt’ was de control niet van toepassing bij de betreffende post. Bij posten met overal ‘‐’ bij de controls is geen enkele ineffectiviteit geconstateerd, hierover wordt dus een positive assurance afgegeven. De accountant kan op basis van dit overzicht bepalen op welke boekingen hij of zij aanvullende gegevensgerichte werkzaamheden uitvoert. De bedragen staan in het overzicht genoemd, dus kan de accountant per bevinding de materialiteit bepalen. Dit overzicht kan gebruikt worden om:   

Op basis van positive assurance de boekingen waar overal een ‘‐’ staat (alle controls effectief) niet verder te beoordelen (buiten de gegevensgerichte werkzaamheden laten). Kwalitatieve bevindingen te kwantificeren door de bedragen op te tellen van de vakjes waar een ‘X’ staat bij een specifieke control. Degene die de beoordeling van een control uitvoert te dwingen om na te denken wat de impact op de materiële posten is (diegene moet kruisjes kunnen zetten).





Te sommeren per grootboekrekening (of jaarrekeningpost) en op basis van de materialiteit te bepalen of deze grootrekening (of jaarrekeningpost) nog verder onderzocht dient te worden (positive assurance).

Dit overzicht zegt alleen iets over de juistheid van de boekingen. Om een beoordeling te kunnen geven over de volledigheid van de boekingen dienen aanvullende lijsten gebruikt te worden met daarop boekingen die mogelijk onterecht niet in het grootboek terecht zijn gekomen. Denk aan geparkeerde, maar nog niet geboekte facturen. Jaarreken‐ ingpost

Bedrijfs‐ Grootboek‐ nummer rekening

Document‐ nummer

Regel‐ Bedrag nr

User control1

SOD1

Appl control2

Auto’s

1000

40001 Lease

190023

4

Auto’s

1000

40001 Lease

190045

Auto’s

1000

40001 Lease

190051

Auto’s

1000

40001 Lease

Auto’s

1000

40002 Huur

Auto’s

1000

40002 Huur

190012

ITGC4

60

‐

X

X

2

830

X

X

‐

‐

‐

1

40,03

‐

‐

‐

‐

‐

190087

6

‐ 201

nvt

nvt

nvt

nvt

X

190007

2

242

X

X

‐

X

‐

3

87

‐

‐

X

nvt

‐

nvt

Memo‐ riaal ‐

Tabel 5: Voorbeelduitwerking vertaling naar materiële posten

In de tabel hierboven (Tabel 5) staat een overzicht van boekingen op grootboekrekening 40001 en 40002 inclusief het debet/credit bedrag. In de kolommen daarachter staat per boeking per control of deze ineffectief (‘X’), niet ineffectief (‘‐‘) of niet van toepassing (‘nvt’) was. De laatste kolom geeft aan of het een memoriaalboeking betreft. In Tabel 6 zijn per grootboekrekening (of per jaarrekeningpost) de bedragen absoluut bij elkaar opgeteld waarbij minstens 1 control ineffectief was. Op basis van de materialiteit en steunen op de data‐analyse kunnen bepaalde posten buiten beschouwing gelaten worden (positive assurance) bij verdere beoordeling. Jaarreken‐ ingpost

Bedrijfs‐ nummer

Grootboek‐ rekening

Absoluut bedrag maximale fout (>= 1 control ineffectief)

Auto’s

1000

40001 Lease

1091

Auto’s

1000

40002 Huur

87

Tabel 6: Opsomming maximale fout per materiële post (grootboekrekening)

7.3

Substantive procedures Ook in deze fase van de gegevensgerichte werkzaamheden kan de ‘Bucket‐approach’ uit [Veld10] gehanteerd worden. Alleen de werkstromen met een materieel risicoprofiel hoeven daarmee onderdeel uit te maken van de steekproefmassa. Hoe data‐analyse toegepast kan worden bij steekproeven wordt ook toegelicht in het artikel van Boerkamp en Falix [BoFa10]: “Data‐analyse en de monetaire steekproef”.

7.4

Conclusie & Afronding Inzake de conclusie en afrondingsfase worden er in de literatuur geen specifieke methodes beschreven. Van belang is dat bij de aanvullende werkzaamheden ook in deze fase mogelijk de impact op de materiële posten bepaald kan worden met data‐analyse.



7.5

Samenvatting In onderstaande tabel is de aanpak op basis van data‐analyse samengevat weergegeven per fase. In dit hoofdstuk is daarmee deelvraag 4: ‘Welke aanpak kan gehanteerd te worden?’ op basis van theorie beantwoordt. Fase jaarrekeningcontrole

Aanpak

Planning

‐ Transactiestromen in kaart brengen


‐ Data‐analyse op business controls en IT controls ‐ Impact op materiële posten bepalen


‐ Steekproefmassa bepalen met data‐analyse


‐ Impact op materiële posten bepalen

Tabel 7: Fases jaarrekeningcontrole inclusief aanpak





8

Additionele voordelen In dit hoofdstuk worden mogelijke waardetoevoegingen voor de klant door middel van data‐ analyse op basis van de literatuur en ervaring van de auteur besproken. Dit gaat in op de vraag of data‐analyse iets bijzonders kan brengen. Iets wat voor de klanten extra voordelen biedt en men ook extra voor wil betalen. Dit hoofdstuk heeft als doel om deelvraag 5: ‘Brengt data‐ analyse tijdens de jaarrekeningcontrole de klant additionele voordelen? ’ te kunnen beantwoorden.

8.1

Planning In de planningsfase wordt met behulp van data‐analyse bepaald wat de significante transactiestromen zijn binnen de belangrijkste processen van de organisatie. Deze informatie kan zeer nuttig voor de klant zelf zijn, want zij weten niet altijd exact hoe de transactiestromen door de organisatie lopen. Dit zorgt voor managementinformatie en kan daarnaast dienen als benchmarking binnen de organisatie of met andere organisaties. Accountants komen namelijk bij vele organisaties dus zouden geanonimiseerde geaggregeerde data kunnen gebruiken om tussen bedrijven te benchmarken. De klant wil hier mogelijk extra voor betalen.

8.2

Control evaluation In deze fase worden opzet, bestaan en werking van controls geëvalueerd. Via data‐analyse kan gedetailleerd in kaart gebracht worden waar de werking van controls onvoldoende is. Denk hierbij aan specifieke gevallen waarbij de control gedurende de geanalyseerde periode niet gewerkt heeft. Deze informatie kan additionele voordelen hebben voor de klant. De klant kan namelijk deze informatie gebruiken om de controls te optimaliseren en daarmee de risico’s te beperken. Door al in een vroeg stadium de klant hiervan op de hoogte te brengen kan deze mogelijk de risico’s gedurende het jaar inperken of voorzieningen opbouwen. De klant wil hier wellicht extra voor betalen.

8.3

Substantive procedures Met data‐analyse kan tijdens de gegevensgerichte werkzaamheden een scherpe massa geselecteerd worden met daarin de risicovolle posten. Door de data‐analyse is hier al een selectie in gemaakt waardoor minder posten steekproefsgewijs gecontroleerd hoeven te worden. Als de klant ondersteuning moet bieden bij deze werkzaamheden ‐denk aan het opleveren van originele facturen‐ dan kan dit de klant voordeel opleveren. De klant hoeft dan namelijk minder brondocumenten op te leveren omdat de steekproef door data‐analyse kleiner is geworden. De kans is klein dat de klant hier extra voor wil betalen, want van te voren is moeilijk in te schatten om hoeveel documenten het zal gaan.

8.4

Conclusie & Afronding In de conclusie & afrondingsfase zijn geen additionele voordelen voor de klant te behalen met behulp van data‐analyse.



8.5

Samenvatting Uit dit hoofdstuk blijkt dat vooral bij de plannings‐ en control evaluationfase additionele voordelen voor de klant mogelijk zijn. Daarnaast wil de klant hier mogelijk in deze fases ook extra voor betalen. In onderstaande tabel is samengevat weergegeven per fase welke additionele voordelen mogelijk zijn. In dit hoofdstuk is daarmee deelvraag 5: ‘Brengt data‐ analyse tijdens de jaarrekeningcontrole de klant additionele voordelen?’ op basis van theorie beantwoordt. Fase jaarrekeningcontrole

Additionele voordelen

Planning

Overzicht transactiestromen delen met klant i.h.k.v.: ‐ Management informatie ‐ Benchmarking binnen of buiten de organisatie


Gedetailleerde informatie over werking controls op kunnen leveren. Klant kan daarmee: ‐ Risico’s gedurende het jaar al inperken ‐ Voorzieningen opbouwen


Beperkt, alleen doordat minder brondocumenten bij steekproeven opgeleverd hoeven te worden.


Nee

Tabel 8: Fases jaarrekeningcontrole inclusief additionele voordelen



9

Continuous Auditing / Continuous Monitoring Tijdens dit onderzoek wordt er van uitgegaan dat een adequaat Continuous Auditing/Continuous Monitoringsysteem waar de accountant op kan steunen niet bij de klant is ingericht. De benodigde data‐analyses in dit onderzoek zullen op ad‐hocbasis uitgevoerd worden. CA/CM biedt echter voor zowel de klant als de accountant veel voordelen. Uit onderzoek van KPMG blijkt [KPMG10]: “Een goede implementatie van CA/CM kan leiden tot verhoogde efficiency, kostenreductie, verbeterde performance en toegenomen bedrijfsbrede transparantie”. Dit hoofdstuk beschrijft de relatie tussen de bij een jaarrekening te hanteren ad‐hoc data‐analyses en CA/CM op basis van de literatuur en ervaring van de auteur. Dit hoofdstuk heeft als doel om deelvraag 6: ‘Hoe verhoudt ad‐hoc data‐analyse zich tot Continuous Auditing / Continuous Monitoring? ’ te kunnen beantwoorden. In het artikel van Op het Veld, Van den Biggelaar en Daanen wordt een volwassenheidsmodel beschreven dat er vanuit gaat dat de klant op termijn een CA/CM oplossing implementeert [Veld10] (zie Figuur 7). In fase 1 heeft de klant aparte ERP‐systemen met vaak een beperkte IT‐ controleomgeving. Inzake de jaarrekening geldt: “Voor de controle van de jaarrekening kiest de accountant vaak een lokale gegevensgerichte aanpak. De mogelijkheden tot efficiency zijn beperkt en er bestaat een reële kans op dubbel auditwerk in de diverse landen. Uiteindelijk resulteert dit in een niet‐optimale aanpak.” In fase 2 heeft de klant zijn ERP‐systemen gecentraliseerd. Hierbij geldt voor de auditaanpak: “Door centraal te verifiëren dat (routinematige) transacties in het verkoopproces juist en volledig zijn verwerkt, hoeven de lokale accountants geen procedures meer op deze posten uit te voeren. Dit kan ook leiden tot een reductie van de auditfee.” In fase 3 heeft de klant een CA/CM‐oplossing geïmplementeerd waar de accountant mogelijk op kan steunen doordat de klant zelf de overzichten genereert en hierop monitort.

Figuur 7: Volwassenheidsmodel AudIT‐aanpak volgens Op het Veld, Van den Biggelaar en Daanen [Veld10]



Daarnaast verplaatst de uitvoering van de controleprocedures zich. In de oorspronkelijke situatie voert de accountant zelf de controleprocedures op risicovolle posten uit. Dit kan deels overgenomen worden door internal audit van de klant. Een Continuous Auditingoplossing kan hierbij ondersteunen. Daarnaast kunnen deze werkzaamheden deels overgenomen worden door de organisatie zelf (zie Figuur 8). Hierbij kan een Continuous Monitoringoplossing ondersteunen.

Accountant

Internal audit

Organisatie

Figuur 8: Verplaatsing uitvoering controleprocedures op posten

9.1

Planning In de planningsfase wordt met behulp van data‐analyse bepaald wat de significante transactiestromen zijn binnen de belangrijkste processen van de organisatie. De accountant kan hierbij steunen op overzichten die vanuit de CA/CM beschikbaar worden gesteld. De overzichten die anders via een ad‐hoc analyse gemaakt zouden worden, kunnen nu wellicht uit de CA/CM‐oplossing komen.

9.2

Control evaluation In deze fase worden opzet, bestaan en werking van controls geëvalueerd. De accountant kan hierbij voor bepaalde controls steunen op de evaluatie van de CA/CM oplossing en opvolging daarvan die afgedwongen wordt door de tool. De relatie met de ad‐hoc analyses is dat veelal in eerste instantie een control op werking beoordeeld wordt door middel van een ad‐hoc analyse. Indien de ad‐hoc analyse toereikend is kan deze in een later stadium geanalyseerd worden vanuit een CA/CM‐systeem. De rol die de accountant hierin kan spelen is de klant te laten zien wat met ad‐hoc analyses mogelijk is en hij kan bij de klant aanbevelen dit zelf te implementeren.

9.3

Substantive procedures De substantive proceduresfase zal geen impact ondervinden door toepassing van CA/CM door de klant. Dit zijn namelijk werkzaamheden die specifiek in het kader van de jaarrekening



plaatsvinden. De accountant steunt hierbij niet op controls (zoals CA/CM) die door de klant ingericht zijn, maar voert eigen gegevensgerichte werkzaamheden uit. Doordat de klant zelf op controls monitort is het wel mogelijk dat minder gegevensgerichte werkzaamheden uitgevoerd hoeven te worden door de accountant.

9.4

Conclusie & Afronding De conclusie & afrondingsfase zal geen impact ondervinden door toepassing van CA/CM door de klant. Dit blijft een proces dat specifiek in het kader van de jaarrekening plaatsvindt.

9.5

Samenvatting Uit dit hoofdstuk blijkt dat vooral in de plannings‐ en control evaluationfase een geïmplementeerd CA/CM‐systeem bij klant impact heeft op de jaarrekeningcontrole. De accountant kan dan namelijk mogelijk gaan steunen op dit systeem. Ad‐hoc data‐analyses kunnen als prototype dienen om later geïmplementeerd te worden in een CA/CM‐systeem. In onderstaande tabel is samengevat weergegeven per fase welke impact CA/CM hierop heeft. In dit hoofdstuk is daarmee deelvraag 6: ‘Hoe verhoudt ad‐hoc data‐analyse zich tot Continuous Auditing / Continuous Monitoring? ’ op basis van theorie beantwoordt. Fase jaarrekeningcontrole

Impact door CA/CM

Planning

Steunen op CA/CM transactieoverzichten in plaats van ad‐hoc analyses.


Steunen op CA/CM beoordeling van controls op werking in plaats van ad‐hoc analyses.


Nee


Nee

Tabel 9: Fases jaarrekeningcontrole inclusief impact door CA/CM





10

Modelvorming Dit hoofdstuk beschrijft het gevormde model op basis van literatuuronderzoek en interpretatie van de auteur. In het hoofdstuk hierna wordt dit model gevalideerd. Door middel van referenties is aangegeven waar de toelichting per onderdeel in de voorgaande hoofdstukken te vinden is. Het model bestaat uit 3 onderdelen, namelijk:   

10.1

Toepassing data‐analyse per fase van de jaarrekeningcontrole Schema: Impact per materiële post Voorbeelduitwerking

Fases jaarrekeningcontrole In dit overzicht staan per fase de toepassing en voordelen van data‐analyse toegelicht. De kolommen zijn de verschillende fases. De rijen zijn de deelvragen van dit onderzoek.

Planning

Control evaluation

Substantive procedures


Type data‐analyse (Toelichting hfdst 0)

Ondersteunen procesanalyse

Ondersteunen systeemgebaseerde aanpak

Ondersteunen gegevensgerichte aanpak

Efficiëntievoordeel door (Toelichting hfdst 0)

‐ Inperken risico op foutieve keuze aandachtsgebieden

‐ Geautomatiseerd testen ‐ Positive assurance ‐ Kwantificeren van kwalitatieve bevindingen

‐ Totale steekproefmassa kunnen beoordelen

Alle types mogelijk. (Aanvullende werkzaamheden) ‐ Kwantificeren van kwalitatieve bevindingen

Verandering rol accountant

Nee

‐ Minder werking van controls beoordelen ‐ Meer bezig met uitzonderingen in routinematige processen ‐ Meer niet‐routinematige processen beoordelen

‐ Gerichtere steekproeven uitvoeren

Nee

‐ Transactiestromen in kaart brengen

‐ Data‐analyse op business controls en IT controls ‐ Impact op materiële posten bepalen Gedetailleerde informatie over werking controls op kunnen leveren. Klant kan daarmee: ‐ Risico’s gedurende het jaar al inperken ‐ Voorzieningen opbouwen

‐ Steekproefmassa bepalen met data‐analyse

‐ Impact op materiële posten bepalen

Beperkt, alleen doordat minder brondocumenten bij steekproeven opgeleverd hoeven te worden.

Nee

Steunen op CA/CM beoordeling van controls op werking in plaats van ad‐hoc analyses.

Nee

Nee

(Toelichting hfdst 6)

Aanpak (Toelichting hfdst 7)

Additionele voordelen (Toelichting hfdst 0)

Impact door CA/CM (Toelichting hfdst 9)

Overzicht transactie‐ stromen delen met klant: ‐ Management informatie ‐ Benchmarking binnen of buiten de organisatie

Steunen op CA/CM transactieoverzichten in plaats van ad‐hoc analyses.

Tabel 10: Model fases jaarrekeningcontrole



10.2

Impact per materiële post In onderstaand schema (Figuur 9) is met het omstippelde gedeelte de innovatieaanpak weergegeven. Deze geeft aan dat het resultaat van een beoordeling van controls bij deze aanpak terugvertaald wordt naar de materiële posten. De moeite die het kost moet hierbij wel afgewogen worden tegen de opbrengst. Een control die een sterke uitwerking op het grootboek heeft zal in de praktijk makkelijker te vertalen zijn naar de materiële posten dan een control op besturingssysteemniveau. De rest van dit schema is afgeleid uit het artikel van Francken, Hermans en Schreurs [Fran10]. De vertaling van de bedrijfsprocessen, applicaties en infrastructuur naar de controls vindt plaats op basis van een audit matrix (Zie paragraaf 3.2.1: Ondersteunen systeemgebaseerde aanpak) Een uitgebreide toelichting inzake deze aanpak is te vinden in hoofdstuk 7, getiteld ‘Aanpak’. De uitgangspunten bij deze aanpak zijn:   

Kwantificeren van kwalitatieve bevindingen Positive assurance Gedwongen geïntegreerde aanpak door verplichte vertaling naar materiële posten Jaarrekeningposten

Materiële posten (Significiant accounts) Balansrekeningen

Winst/verliesrekeningen

Via data‐analyse impact per materiële post bepalen Beoordeling User controls

Bedrijfsprocessen

‐ Rapportages ‐ Procedures

Applicaties

Beoordeling Application controls

‐ Configuratie ‐ Autorisaties

Infrastructuur Applicaties

Beoordeling IT General controls

Databases

‐ Wijzigingbeheer ‐ Toegangsbeheer

Besturingssystemen Netwerk

Innovatieve aanpak

Figuur 9: Schematische weergave van innovatieve aanpak



10.3

Voorbeelduitwerking De vertaling naar de materiële posten door middel van een data‐analyse zou er uit kunnen zien zoals Tabel 11. Een ‘X’ geeft aan dat de betreffende control ineffectief was inzake de betreffende boeking. Bij een ‘‐ ‘ was de control effectief. Bij ‘nvt’ was de control niet van toepassing bij de betreffende post. Bij posten met overal ‘‐’ bij de controls is geen enkele ineffectiviteit geconstateerd; hierover wordt dus een positive assurance afgegeven. De accountant kan op basis van dit overzicht bepalen op welke boekingen hij of zij aanvullende gegevensgerichte werkzaamheden uitvoert. De bedragen staan in het overzicht genoemd, dus kan de accountant per bevinding de materialiteit bepalen. Dit overzicht kan gebruikt worden om:   



Op basis van positive assurance de boekingen waar overal een ‘‐’ staat (alle controls effectief) niet verder te beoordelen (buiten de gegevensgerichte werkzaamheden laten). Kwalitatieve bevindingen te kwantificeren door de bedragen op te tellen van de vakjes waar een ‘X’ staat bij een specifieke control. Degene die de beoordeling van een control uitvoert te dwingen om na te denken of te bespreken wat de impact op de materiële posten is (geïntegreerde audit, diegene moet eventueel in overleg de kruisjes bij de juiste boekingen kunnen zetten). Te sommeren per grootboekrekening (of jaarrekeningpost) en op basis van de materialiteit te bepalen of deze grootrekening (of jaarrekeningpost) nog verder onderzocht dient te worden (positive assurance, Tabel 12). Jaarreken‐ ingpost

Bedrijfs‐ Grootboek‐ nummer rekening

Document‐ nummer

Regel‐ Bedrag nr

User control1

SOD1

Appl control2

Auto’s

1000

40001 Lease

190023

4

Auto’s

1000

40001 Lease

190045

Auto’s

1000

40001 Lease

190051

Auto’s

1000

40001 Lease

60

‐

X

X

2

830

X

X

‐

‐

‐

1

40,03

‐

‐

‐

‐

‐

190087

6

‐ 201

nvt

nvt

nvt

nvt

X

2

242

‐

‐

‐

‐

‐

3

87

‐

‐

X

nvt

‐

Auto’s

1000

40002 Huur

190007

Auto’s

1000

40002 Huur

190012

ITGC4 nvt

Memo‐ riaal ‐

Tabel 11: Voorbeelduitwerking vertaling naar materiële posten

In de tabel hierboven (Tabel 11) staat een overzicht van boekingen op grootboekrekening 40001 en 40002 inclusief het debet/credit bedrag. In de kolommen daarachter staat per boeking per control of deze ineffectief (‘X’), effectief (‘‐‘) of niet van toepassing (‘nvt’) was. De laatste kolom geeft aan of het een memoriaalboeking betreft. Een uitgebreide toelichting inzake deze voorbeelduitwerking is te vinden in hoofdstuk 7, getiteld ‘Aanpak’. Jaarreken‐ ingpost

Bedrijfs‐ nummer

Grootboek‐ rekening

Absoluut bedrag maximale fout (>= 1 control ineffectief)

Auto’s

1000

40001 Lease

1091

Auto’s

1000

40002 Huur

87

Tabel 12: Aggregatie maximale fout per materiële post (grootboekrekening)





11

Praktijktoetsing Dit hoofdstuk beschrijft de praktijktoetsing van het gevormde model uit het vorige hoofdstuk. Dit model is getoetst door middel van interviews met accountants en IT‐auditors. Per onderdeel uit het model uit het vorige hoofdstuk is de reactie van de geïnterviewden beschreven. De lijst met interviewvragen is als bijlage opgenomen (Bijlage A: Interviewvragen). Daarnaast is ook de lijst geïnterviewden opgenomen (Bijlage B: Geïnterviewden). In totaal zijn tien personen geïnterviewd. Indien 80% of meer van de geïnterviewden (>=8) het eens zijn met een deel van het model wordt dit gezien als een voldoende validatie voor dat deel. Indien de argumenten van de tegenstanders overheersen, ondanks een minderheid, dan geldt dit als een onvoldoende validatie voor dat deel. Waar mogelijk is het betreffende deel aangepast zodat alle geïnterviewden het eens zijn met het deel. In dit hoofdstuk is dat in dat geval duidelijk gemaakt.

11.1

Prijsdruk Allereerst is tijdens de interviews gevalideerd in hoeverre men zich kan vinden in de probleemstelling van dit onderzoek. Op één na gaven alle geïnterviewden aan een prijsdruk op de jaarrekeningcontrole te ervaren. De ene geïnterviewde die geen prijsdruk ervaarde gaf aan dat van prijsdruk geen sprake is als je goed en duidelijk uitlegt wat je doet en wat de klant krijgt. Doordat meer dan 80% van de geïnterviewden (9) de prijsdruk ervaart is hiermee de probleemstelling inzake de prijsdruk gevalideerd. Alle geïnterviewden hebben al in meer of mindere mate initiatieven ontplooid om de prijsdruk te weerstaan. Denk hierbij naast data‐analyse aan het scherper letten op meerwerk, focus meer leggen op sales, de klant meer inzicht geven in wat hij of zij krijgt en meer samen optrekken van accountants en IT‐auditors.

11.2

Planningsfase In deze paragraaf is beschreven hoe de kolom ‘Planning’ in ‘Tabel 10: Model fases jaarrekeningcontrole’ is gevalideerd. Voor alle onderdelen binnen deze kolom is 80% of meer van de geïnterviewden het eens met de uitwerking. Een beperkt aantal geïnterviewden (3) heeft tot nu toe data‐analyse in de planningsfase toegepast. Alle tien geïnterviewden zijn het er wel over eens dat data‐analyse bruikbaar kan zijn in de planningsfase. Bijvoorbeeld om daarmee de transactiestromen in kaart te brengen.

11.2.1

Efficiëntievoordelen Alle geïnterviewden zijn het er over eens dat data‐analyse in de planningsfase geen directe efficiëntievoordelen zal bieden. Wel denken vier geïnterviewden dat door toepassing van data‐ analyse in de planningsfase in de overige fasen efficiencyvoordelen te behalen zijn. Dit is mogelijk door met behulp van de in kaart gebrachte transactiestromen te bepalen wat de aandachtsgebieden voor de jaarrekeningcontrole zijn. Hierdoor wordt de kans op het controleren van een immateriële post verkleind.



11.2.2

Rol van de accountant Alle geïnterviewden zijn van mening dat de rol van de accountant niet zal wijzigen in de planningsfase. Data‐analyse is namelijk één van de tools die de accountant kan gebruiken om de risicoanalyse uit te voeren. Dit zorgt niet voor een verandering in zijn of haar aanpak of rol. Wel denken twee geïnterviewden dat het van belang is dat de accountant, data‐analist en IT‐ auditor al in een vroeg stadium samen optrekken.

11.2.3

Aanpak Alle geïnterviewden zijn het eens met de mogelijkheid om met data‐analyse transactiestromen in kaart te brengen als input voor de risicoanalyse.

11.2.4

Additionele voordelen Alle geïnterviewden denken dat de in kaart gebrachte transactieoverzichten waardevol kunnen zijn voor de klant. Enerzijds als algemene managementinformatie, anderzijds in het kader van benchmarking binnen of buiten de organisatie. Het grootste gedeelte (8) denkt echter niet dat de klant daar extra voor wil betalen. Wel denkt iedereen dat de klant je hierdoor extra gaat waarderen, hetgeen zich door het krijgen van toekomstige opdrachten kan terugbetalen.

11.2.5

Continuous Auditing / Continuous Monitoring Geen enkele geïnterviewde denkt dat CA/CM geen input kan geven aan de risicoanalyse in de planningsfase. Enerzijds kunnen volgens een aantal geïnterviewden eventuele transactieoverzichten uit CA/CM gebruikt worden, anderzijds kunnen de reikwijdte en resultaten vanuit CA/CM‐systemen input zijn voor de risicoanalyse.

11.3

Control evaluationfase In deze paragraaf is beschreven hoe de kolom ‘Control evaluation’ in ‘Tabel 10: Model fases jaarrekeningcontrole’ is gevalideerd. Voor alle onderdelen binnen deze kolom is 80% of meer van de geïnterviewden het eens met de uitwerking. Alle tien geïnterviewden hebben tot nu toe te maken gehad met data‐analyse in de control evaluationfase. Hierin zien zij veel mogelijkheden om geautomatiseerd controls te testen.

11.3.1

Efficiëntievoordelen Alle geïnterviewden zijn het er over eens dat data‐analyse efficiëntievoordelen biedt doordat met data‐analyse effectiever de uitzonderingen bepaald kunnen worden. Hierdoor kan gerichter bepaald worden waar de fout zit (fout isoleren) en ook kan hiermee de impact op de jaarrekening bepaald worden. Zes personen denken daarentegen wel dat als een analyse net ontwikkeld is de uitkomsten in verhouding veel false positives bevatten. Dit neemt in het vervolg af door het aanscherpen van de analyses.

11.3.2

Rol van de accountant Over verandering van de rol van de accountant in de control evaluationfase zijn de meningen verdeeld. Twee geïnterviewden denken dat de rol niet zal wijzigen omdat data‐analyse puur een tool is die ondersteunt bij de werkzaamheden die toch al gedaan worden. De toolbox verandert, maar de rol niet. De overige acht denken dat de rol van de accountant juist wel



wijzigt omdat de accountant zelf minder werk gaat uitvoeren, maar meer een analyserende functie krijgt. De accountant kan zich daardoor ook meer bezighouden met de uitzonderingen en niet‐routinematige processen. Vier geïnterviewden denken wel dat data‐analyse onderdeel moet gaan uitmaken van de accountancyopleiding omdat men er nu niet meer omheen kan om efficiënt de werkzaamheden uit te voeren. Daarnaast denken drie personen dat er meer vanuit geïntegreerde teams gewerkt moet worden waarbij accountants, data‐analisten en IT‐ auditors samenwerken. 11.3.3

Aanpak Alle geïnterviewden zijn het er over eens dat een audit matrix ten grondslag moet liggen aan de data‐analyse op de werking van controls. Vier geïnterviewden zijn van mening dat door data‐analyse toe te passen het beoordelen van de opzet en het bestaan van de controls overgeslagen kan worden.

11.3.4

Additionele voordelen Alle geïnterviewden denken dat de beoordeling van de controls via data‐analyse waardevol kan zijn voor de klant. Eén geïnterviewde gaf aan dat de klant hiermee zelfs gedurende het jaar de risico’s kan inperken en voorzieningen kan opbouwen op basis van het resultaat van een data‐analyse. Dit is toegevoegd aan het model.

11.3.5

Continuous Auditing / Continuous Monitoring Alle geïnterviewden denken dat het steunen op CA/CM er voor zorgt dat de ad‐hoc data‐ analyses door de accountant zelf zullen afnemen. De ad‐hoc analyses worden door vier geïnterviewden als een voorbeeld (prototype) gezien dat later overgenomen kan worden door de klant. Twee geïnterviewden denken dat in de toekomst door CA/CM real‐time assurance afgegeven gaat worden. Indien een belanghebbende een vraag heeft inzake zekerheid kan hij of zij dit dan ook op elk moment opvragen en hoeft niet te wachten op de volgende jaarrekening.

11.4

Substantive proceduresfase In deze paragraaf is beschreven hoe de kolom ‘Substantive procedures’ in ‘Tabel 10: Model fases jaarrekeningcontrole’ is gevalideerd. Voor alle onderdelen binnen deze kolom is 80% of meer van de geïnterviewden het eens met de uitwerking. Alle tien geïnterviewden hebben tot nu toe te maken gehad met data‐analyse in de substantive proceduresfase. Hier zien zij dan ook veel mogelijkheden om geautomatiseerd controls te testen.

11.4.1

Efficiëntievoordelen Alle geïnterviewden denken niet dat data‐analyse in deze fase de audit efficiënter maakt, maar wel effectiever. Door middel van data‐analyse kan de steekproefmassa scherper bepaald worden wat zorgt voor een effectievere beoordeling. Hierdoor kan gerichter gekeken worden waar de fout zit en zodoende kan de impact op de jaarrekening bepaald worden. Drie personen denken dat het proces hierdoor ook transparanter is geworden doordat meer posten



beoordeeld worden. Dit zorgt er wel geregeld voor dat er posten gevonden worden die wellicht in het verleden nooit opgemerkt waren geweest. 11.4.2

Rol van de accountant Alle geïnterviewden denken niet dat de rol van de accountant zal wijzigen in deze fase. Accountants blijven zoals gewoonlijk steekproeven uitvoeren, maar deze zullen wel gerichter zijn door de massa te laten bepalen door data‐analyse.

11.4.3

Aanpak Alle geïnterviewden zijn het er over eens dat data‐analyse gebruikt kan worden om de steekproefmassa te bepalen.

11.4.4

Additionele voordelen Van de geïnterviewden denken drie personen dat data‐analyse in deze fase additionele voordelen voor de klant biedt. Door de scherpere steekproefmassa zal de klant minder belast worden met het opleveren van brondocumentatie. De klant zal hier echter niet extra voor willen betalen.

11.4.5

Continuous Auditing / Continuous Monitoring Geen enkele geïnterviewde denkt dat CA/CM invloed zal hebben op de substantive procedures.

11.5

Conclusie & Afrondingsfase In deze paragraaf is beschreven hoe de kolom ‘Conclusie & Afronding’ in ‘Tabel 10: Model fases jaarrekeningcontrole’ is gevalideerd. Voor alle onderdelen binnen deze kolom is 80% of meer van de geïnterviewden het eens met de uitwerking. Drie van de tien geïnterviewden hebben tijdens deze fase te maken gehad met data‐analyse. Twee geïnterviewden vinden echter dat data‐analyse niet hoort bij deze fase, maar indien nodig dient teruggegaan te worden naar een eerdere fase om daarbinnen data‐analyse op te pakken. Het kwantificeren van kwalitatieve bevindingen hoort volgens deze personen bij de control evaluation‐ en substantive proceduresfase en niet in de conclusie & afrondingsfase.

11.5.1

Efficiëntievoordelen Dezelfde drie geïnterviewden denken dat data‐analyse in deze fase ook efficiëntievoordelen kan bieden doordat bevindingen gekwantificeerd kunnen worden.

11.5.2

Rol van de accountant Omdat de beoordeling van de resultaten veelal mensenwerk is denkt geen enkele geïnterviewde dat de rol van de accountant in deze fase zal veranderen.

11.5.3

Aanpak De drie geïnterviewden die met data‐analyse te maken hebben gehad in deze fase denken dat bevindingen gekwantificeerd kunnen worden met data‐analyse.



11.5.4

Additionele voordelen Geen enkele geïnterviewde ziet additionele voordelen voor de klant in deze fase.

11.5.5

Continuous Auditing / Continuous Monitoring Geen van de geïnterviewden denkt dat CA/CM invloed zal hebben op de conclusie en afrondingsfase.

11.6

Schema innovatieve aanpak In deze paragraaf is beschreven hoe de innovatie aanpak ‘Figuur 9: Schematische weergave van innovatieve aanpak’ is gevalideerd. Alle tien geïnterviewden zijn het eens met deze innovatieve aanpak. Twee personen gaven aan de koppeling met de jaarrekening te missen in een eerdere versie van het schema. Dit is toegevoegd aan het model door linksbovenaan een extra balk met daarin ‘Jaarrekeningposten’ weer te geven. Geen enkele geïnterviewde ziet een bezwaar om deze aanpak toe te passen in de jaarrekeningcontrole. Drie geïnterviewden vinden dat de substantive procedures ook opgenomen dienen te worden in het model omdat deze voor een belangrijk deel onderdeel uitmaken van de jaarrekeningcontrole.

11.7

Voorbeelduitwerking In deze paragraaf is beschreven hoe de voorbeelduitwerking ‘Tabel 11: Voorbeelduitwerking vertaling naar materiële posten’ is gevalideerd. Alle tien geïnterviewden zijn het eens met deze voorbeelduitwerking. Tijdens de validatie bleek dat vier personen het een waardevolle toevoeging vonden als ook een aggregatie van de maximale fout per materiële post weergegeven werd. Dit is toegevoegd aan de voorbeelduitwerking. Drie geïnterviewden gaven aan zelfs te zitten te wachten op een dergelijk overzicht ter ondersteuning van hun werkzaamheden. Geen enkele geïnterviewde ziet een bezwaar om deze manier van uitwerken toe te passen in de jaarrekeningcontrole. De voorwaarden, zoals in paragraaf 3.3: ‘Voorwaarden data‐analyse’ beschreven, dienen wel in meegenomen te worden.





12

Conclusie

12.1

Introductie In de voorgaande hoofdstukken zijn de diverse deelvragen beantwoord met als uiteindelijk doel het beantwoorden van de in de introductie benoemde hoofdvraag. De antwoorden op deze deelvragen zijn opgenomen aan het eind van elk hoofdstuk. In de volgende paragraaf zal allereerst een evaluatie van de praktijktoetsing gegeven worden waarin de auteur zijn mening geeft over deze praktijktoetsing. In de conclusieparagraaf daarna zal de hoofdvraag worden beantwoordt inclusief een samenvatting van de deelvragen. In de daarop volgende paragraaf zal een aanbeveling worden gegeven voor diegene die efficiënter gebruik willen gaan maken van data‐analyse. De laatste paragrafen van dit hoofdstuk beschreven een evaluatie van de doelstelling, mogelijk vervolgonderzoek en de mening van de auteur.

12.2

Evaluatie praktijktoetsing In deze paragraaf wordt de praktijktoetsing geëvalueerd. Hierbij wordt aangegeven wat de auteur van dit referaat vindt van de argumenten van de geïnterviewden in het geval deze het oneens zijn met het model. De geïnterviewden zijn het, zoals in hoofdstuk 11: ‘Praktijktoetsing’ beschreven, grotendeels eens met het gevormde model. Op enkele punten weren de geïnterviewden het deels oneens, namelijk: Rol van de accountant in de control evaluationfase: Twee geïnterviewden denken dat de rol in deze fase niet zal wijzigen omdat data‐analyse puur een tool is die ondersteunt bij de werkzaamheden die toch al gedaan worden. Als auteur denk ik dat dit onjuist is, want de accountant krijgt een meer analyserende rol in tegenstelling tot de vooral uitvoerende rol op dit moment. De accountant kan zich daardoor ook meer bezighouden met de uitzonderingen en niet‐routinematige processen. Data‐analyse in de conclusie & afrondingsfase: Twee geïnterviewden vinden dat data‐analyse niet hoort bij deze fase, maar indien nodig teruggegaan dient te worden naar een eerdere fase om daarbinnen data‐analyse op te pakken. Het kwantificeren van kwalitatieve bevindingen hoort volgens deze personen bij de control evaluation‐ en substantive proceduresfase. Ik vind het daarentegen juist belangrijk om ook in deze fase data‐analyse te benoemen omdat daar voordeel uit gehaald kan worden. Het oprollen van de bevindingen naar de jaarrekeningposten kan hiermee effectiever uitgevoerd worden wat zorgt voor gedegener controle. Substantive procedures in schematische innovatieve aanpak: Drie geïnterviewden vinden dat de substantive procedures ook opgenomen dienen te worden in het model omdat deze voor een belangrijk deel onderdeel uitmaken van de jaarrekeningcontrole. Ik denk dat dit juist niet nodig is omdat volgens een systeemgerichte aanpak men eerst wil steunen op controls binnen de processen en pas als deze niet effectief zijn teruggrijpen naar substantive procedures. Deze substantive procedures komen dus voort uit ineffectieve controls of omdat het beoordelen van bepaalde controls te arbeidsintensief is. Om de aanpak overzichtelijk te houden neem ik deze 53 Data‐analyse: jaarrekeningcontrole efficiënter?


substantive procedures er niet in op omdat ze er impliciet uit blijken. Bij elke (ontbrekende) control kunnen substantive procedures namelijk het restrisico verkleinen.

12.3

Conclusie De hoofdvraag uit de inleiding was: “In hoeverre en hoe kan het gebruik van data‐analyse de jaarrekeningcontrole efficiënter maken?”. Deze vraag is op te splitsen in ‘hoe’ en in ‘in hoeverre’. Beide worden hieronder toegelicht inclusief een samenvatting van de deelvragen.

12.3.1

‘hoe’ Uit de praktijktoetsing is gebleken dat de geïnterviewden het gevormde model zien als een oplossing om de jaarrekeningcontrole efficiënter te maken en daarmee een oplossing te hebben om de prijsdruk uit de probleemstelling te kunnen weerstaan. Hiermee is het antwoord op de ‘hoe’‐vraag gevalideerd. Zie hoofdstuk 10: ‘Modelvorming‘ voor het gevormde model inclusief de toelichting. Uitgangspunten hierbij zijn ‘afgeven van positive assurance’, ‘kwantificeren van kwalitatieve bevindingen’ en ‘integrated audit’.

12.3.2

‘in hoeverre’ De ‘in hoeverre’‐vraag blijkt een stuk lastiger te beantwoorden te zijn. De geïnterviewden zijn het er over eens dat het de jaarrekeningcontrole efficiënter maakt, maar hoe veel efficiënter bleek door allen niet te beantwoorden te zijn. Dit is namelijk afhankelijk van veel factoren. Bijvoorbeeld omdat de behaalde efficiëntievoordelen afhangen van hoeveel materiële resultaten er uit de data‐analyse komen. Bij geen materiële resultaten is het efficiënter. De accountant hoeft dan namelijk geen aanvullende werkzaamheden uit te voeren. Indien er wel materiële resultaten uitkomen kan het echter minder efficiënt zijn omdat aanvullende werkzaamheden benodigd zijn die zonder data‐analyse wellicht niet hadden gehoeven. Deze mogelijke onjuistheid was dan onbekend gebleven.

12.3.3

Samenvatting deelvragen Deze subparagraaf bevat een korte samenvatting van de antwoorden op de deelvragen. 1

2

3

Hoe kan data‐analyse ondersteunen per fase van de jaarrekeningcontrole? Binnen elke fase kan data‐analyse toegepast worden. Tijdens de planningsfase door bijvoorbeeld transactiestromen in te kaart te brengen, tijdens de control evaluationfase om automatisch controls te testen, tijdens de substantive proceduresfase om de steekproefmassa te bepalen en tijdens de conclusie & afrondingsfase om bevindingen te kwantificeren. Welke efficiëntievoordelen zijn met data‐analyse te behalen? In alle fasen zijn door bovenstaande voorbeelden toe te passen efficiëntievoordelen te behalen. Voornamelijk in de control evaluation‐ en substantive proceduresfase zijn direct efficiëntievoordelen te behalen. In hoeverre verandert de rol van de accountant? De rol van de accountant zal alleen in de control evaluation‐ en substantive proceduresfase veranderen. In de overige fasen geldt data‐analyse namelijk alleen als input voor de al werkzaamheden van de accountant.



4

5

6

12.4

Welke aanpak dient gehanteerd te worden? Bestaande theorieën beschrijven hoe de aanpak van data‐analyse dient te zijn. Dit onderzoek voegt daar nog een aanpak aan toe waarbij de bevinding teruggerelateerd worden aan de materiële posten (significiant accounts) met behulp van data‐analyse. Brengt data‐analyse tijdens de jaarrekeningcontrole de klant additionele voordelen? Vooral bij de plannings‐ en control evaluationfase zijn additionele voordelen voor de klant mogelijk. In deze fases wil de klant hier mogelijk ook extra voor betalen. Hoe verhoudt ad‐hoc data‐analyse zich tot Continuous Auditing / Continuous Monitoring? Een geïmplementeerd CA/CM‐systeem heeft vooral in de plannings‐ en control evaluationfase impact heeft de jaarrekeningcontrole. De accountant kan dan namelijk mogelijk gaan steunen op dit systeem. Ad‐hoc data‐analyses kunnen als prototype dienen om later geïmplementeerd te worden in een CA/CM‐systeem.

Aanbeveling Uit dit uitgevoerde onderzoek blijkt dat data‐analyse als een oplossing gezien wordt om efficiënter de jaarrekeningcontrole uit te voeren. De aanbeveling is dus om gebruik te maken van data‐analyse in de jaarrekeningcontrole. Dit is niet alleen om daarmee de jaarrekeningcontrole efficiënter en effectiever uit te voeren, maar ook om een toegevoegde waarde aan de klant te kunnen bieden. Om dit te bereiken is het van belang om de uitgangspunten bij het in dit onderzoek gevormde model te hanteren. Deze uitgangspunten zijn als volgt:

12.4.1

Positive assurance Door middel van data‐analyse kan positive assurance gegeven worden. Dit door posten geautomatiseerd te evalueren en aan te geven of de posten mogelijke onjuistheden bevatten. Routinematige transactionele processen kunnen op basis hiervan efficiënter worden gecontroleerd zodat de accountant meer tijd over heeft om zich te kunnen richten op niet‐ routinematige posten. Daarnaast kan de accountant zich meer gaan richten op niet‐ routinematige eigen werkzaamheden zoals het beoordelen van waarderingen.

12.4.2

Kwantificeren van kwalitatieve bevindingen Systeemgerichte onderzoeken resulteren veelal in kwalitatieve bevindingen. Deze bevindingen zijn in veel gevallen moeilijk te vertalen naar de impact op de jaarrekening. Data‐analyse kan hierbij ondersteunen door deze bevindingen te kwantificeren, gebaseerd op het financiële belang.

12.4.3

Integrated audit Om het maximale uit een data‐analyse te halen is het van belang dat de accountant, data‐ analist en IT‐auditor nauw samenwerken. Dit is van belang om de resultaten juist te interpreteren. Een data‐analyse krijgt pas zijn waarde bij een gedegen interpretatie.



12.4.4

Terugrelateren aan significiant accounts Door terug te relateren aan de significiant accounts kunnen de drie bovenstaande uitgangspunten toegepast worden. Dit kan zorgen voor een efficiëntere jaarrekeningcontrole. Enerzijds kan hierdoor met minder manuren dezelfde zekerheid gegeven worden, anderzijds kan ook meer zekerheid gegeven worden met hetzelfde aantal manuren.

12.5

Evaluatie doelstelling Doelstelling van dit onderzoek was om vast te stellen in hoeverre en hoe het gebruik van data‐ analyse de jaarrekeningcontrole efficiënter kan maken. Gezien bovenstaande conclusie is het deel ‘hoe’ gelukt. Het gevormde model geeft namelijk aan hoe dit mogelijk is. Het ‘in hoeverre’ is echter niet exact vastgesteld omdat dit van veel factoren afhankelijk is waar de geïnterviewden geen eenduidige uitspraak over konden doen.

12.6

Vervolgonderzoek Deze paragraaf behandelt mogelijk vervolgonderzoek met betrekking tot dit onderwerp. Dit onderzoek heeft zich alleen gericht op hoe en in hoeverre data‐analyse de jaarrekeningcontrole efficiënter kan maken. Twee zaken zijn daarbij beperkt aan de orde geweest, namelijk de toegevoegde waarde voor de klant en het gebruik van CA/CM. Een mogelijk vervolgonderzoek zou zijn om gedetailleerder na te gaan hoe en in hoeverre toegevoegde waarde geboden kan worden voor de klant tijdens een jaarrekeningcontrole. Daarnaast zou een mogelijk vervolgonderzoek kunnen zijn om na te gaan wat de voorwaarden zijn om op CA/CM te kunnen steunen en hoe dit steunen op CA/CM aangepakt kan worden. Ook zou het mogelijk interessant zijn om te onderzoeken in hoeverre data‐analyse de jaarrekeningcontrole daadwerkelijk efficiënter maakt. Dit kan door bijvoorbeeld een aantal verschillende combinaties van soortgelijke opdrachten ‐waarbij één zonder data‐analyse en één met data‐analyse uitgevoerd is‐ met elkaar op het gebied efficiëntie vergeleken worden.

12.7

Mening auteur Als auteur van dit referaat ben ik van mening dat data‐analyse een zeer mooi instrument is om jaarrekeningcontrolewerkzaamheden efficiënter en effectiever te laten verlopen. Niet alleen bij jaarrekeningcontroles, maar ook bij andere werkzaamheden waarbij een auditor te maken heeft met grote hoeveelheden data uit een computersysteem, kan data‐analyse vaak goede diensten bewijzen. Ik hoop dat de lezers van dit referaat hiermee voldoende inzichten gekregen hebben om dit ook in hun werkzaamheden toe te gaan passen.



13

Literatuur [Acco11]

Praktijkartikel: “Van steekproeven voorlopig niet af”, Accountant, mei 2011

[Boer07]

Boersen, D., Van der Maat, M. en De Haan, R.: “Auditsoftware in de praktijk bij Achmea”, EDP‐Auditor, 2007 nr2

[BoFa10]

Boerkamp, F., en Falix, F: “Data‐analyse en de monetaire steekproef: Welke rol kan data‐analyse spelen bij horizontaal toezicht?”, De IT‐Auditor, 2010 nr1

[BoSo10]

Boerkamp, F. en Soerjoesing, S: “Data‐analyse als procesgericht controlemiddel: Wanneer is het inzetten van data‐analyse zinvol bij het beoordelen van integriteit?”, De IT‐Auditor, 2010 nr2

[Brou06]

Brouwers RE RA, P.P.M.G.G., Op het Veld RE, M.A.P. en Lissone, A.T.J.: “Tool‐ based monitoring en auditing van ERP‐systemen, van hebbeding naar noodzaak”, Compact, 2006 nr 2

[Brou07]

Brouwers RE RA, P.P.M.G.G., Beugelaar RE RA, B. en Berghuijs, M: “Fact‐finding en data‐analyse, toepassingen in de praktijk”, Compact, 2007 nr 3

[FDmk11] Krantenartikel: “Cijfercontroles Midkapfondsen goedkoper”, Financieel Dagblad, 18 juli 2011 [Fran10]

Francken RE RA CISA, M.A., Hermans RE, J.A.M. en Schreurs, G.H.: “Facts to Value, beyond application security”, Compact, 2010 nr 3

[Hall08]

Hallemeesch, D. en Ibrahim, F.: “Het effect van GRC‐software op de jaarrekeningcontrole”, Compact, 2008 nr 3

[HRA110]

NIVRA en NOvAA: “Handleiding Regelgeving Accountancy Deel 1”, editie 2010, website: http://www.nivra.nl/Sites/nivra_site/HRA/index.htm

[Jonk08]

Jonker RE RA, R.A.: “Continuous Monitoring of Business Processes and Controls”, KPMG, December 2008

[Klum08]

Klumper, C.: “Toepassing van de monitoringcomponent van het COSO‐raamwerk: Betere interne beheersing voor organisaties én belangrijke innovatie in het accountantsberoep”, Maandblad voor Accountancy en Bedrijfseconomie (MAB), jaargang 83, nr. 3, maart 2009

[KPMG10] Whitepaper: “Continuous Auditing en Continuous Monitoring: Levert het de beloofde voordelen op?”, KPMG, 2010 [Lang10]

Van Langen RE RA, R.J.M., Serberie RA, D.E., Tinholt, J.W. en Sandifort, M.: “XML Auditfile als start voor de controle van een jaarrekening”, Compact, 2010 nr 3

[Masl09]

Masli, A., Peters, G.F., Richardson, V.J. and Sanchez, J.M.: “Examining the Potential Benefits of Internal Control Monitoring Technology”, December 21, 2009, The Accounting Review, Vol. 85, No. 3

[Meul07]

Meuldijk RE, A.M., Broskij RA, M.A. en Neeteson, D.P.: “Accountant en IT‐auditor – Samenwerking in de praktijk”, Compact, 2007 nr 3



[Mile94]

Miles, M.B. en Huberman, A.M.: “Qualitative data analysis”, Sage, Thousand Oaks, 1994

[Otte02]

Otten, J.H.M., Hartog, P.A. en Babeliowsky, A.: “Auditmethodologie, een framework voor vraaggerichte, gestructureerde audits”, Auditmagazine, december 2002

[Rabo11]

“Thema‐update: Accountancy 2011”, Rabobank Cijfers & Trends, 4e jaargang, juli 2011

[Rijn11]

Rijnders, Q., Özer, P., Blankers, V. en Eijken, T.: “Zelflerende software detecteert opvallende transacties”, Maandblad voor Accountancy en Bedrijfseconomie (MAB), jaargang 85, maart 2011

[Romn11] Romney, M.B. en Steinbart, P.J.: “Accounting Information Systems”, 12th edition, January 2011, Prentice Hall, ISBN 9780132552622 [Scho10]

Schoonen RE RA MGA, J.C.M. en Toms, V.E.: “Data‐analyse: van onzekerheid naar zekerheid”, IODAD Zien(*), december 2010, nummer 4

[Scho11]

Schoonen RE RA MGA, J.C.M. en Toms, V.E.: “Data‐analyse: praktijkervaringen met SAP”, de IT‐Auditor, 2011, nummer 3

[StarD2]

Starreveld, R.W.: “Bestuurlijke‐informatieverzorging: Toepassingen. Deel 2A/2B”, 4e druk, 1997, Samson Bedrijfsinformatie, ISBN 9789014056951/9789014056968

[Tole10]

Van Toledo RE RA, P., Lamberiks RE, G. en Rijnders RA, Q.: “Facts to Value: Data omzetten in toegevoegde waarde”, Compact, 2010 nr 1

[Veld10]

Op het Veld RE, M.A.P., Van den Biggelaar RE, S.R.M. en Daanen RE, H.T.M.: “AudIT Innovation”, Compact, 2010 nr 1

[Walk08]

Walker, K.B.: “SOX, ERP and BPM: A trifecta that can make your business run better”, Strategic Finance, December 2008

[West09]

Westra , B.A.J.: “Compendium Accountancy: Deel 1A | Wet‐ en regelgeving”, 1e druk, augustus 2009, ISBN 97890‐75043‐372, Pentagan Publishing



Bijlage A: Interviewvragen Algemeen  Wat is uw rol?  In hoeverre heeft u te maken met data‐analyse in het kader van de jaarrekening?  Ervaart u prijsdruk bij de jaarrekeningcontroles? Zo ja, hoe uit zich dat?  Zijn er al initiatieven gestart om goed met deze prijsdruk om te kunnen gaan?  Hoe zijn deze initiatieven verlopen? Deelvraag 1: Hoe kan data‐analyse ondersteunen per fase van de jaarrekeningcontrole? & Deelvraag 2: Welke efficiëntievoordelen zijn met data‐analyse te behalen?  Welke mogelijkheden en efficiëntievoordelen ziet u per elk van de onderstaande fases van de jaarrekeningcontrole?  Planning  Control evaluation: Evalueren van opzet, bestaan en werking van controls  Substantive procedures: Gegevensgerichte werkzaamheden  Conclusie & Afronding  Kan data‐analyse helpen de prijsdruk te weerstaan?  Krijgt u vaak te maken met false positives? Zo ja, hoeveel tijd kosten deze?  Hoeveel tijd kost het bepalen van de invloed van een ineffectieve control op de jaarrekening? Deelvraag 3: In hoeverre verandert de rol van de accountant?  Moet de rol van de accountant veranderen door verdere toepassing van data‐analyse? Deelvraag 4: Welke aanpak dient gehanteerd te worden?  Hoe zou u een data‐analyse aanpakken? Deelvraag 5: Brengt data‐analyse tijdens de jaarrekeningcontrole de klant additionele voordelen?  Zou de klant er extra voor willen betalen? Deelvraag 6: Hoe verhoudt ad‐hoc data‐analyse zich tot Continuous Auditing / Continuous Monitoring?  In hoeverre gebruiken uw klanten al CA/CM oplossingen?  Heeft u tijdens uw werkzaamheden al eens gesteund op CA/CM resultaten?  Kan CA/CM op den duur alle ad‐hoc data‐analysewerkzaamheden vervangen? Voorgesteld model aanpak en voorbeelduitwerking  Wat vindt u van de nu door mij toegelichte mogelijke aanpak?



Bijlage B: Geïnterviewden Hieronder staat de lijst van personen die ik in het kader van mijn onderzoek persoonlijk geïnterviewd heb. Het betreffen enerzijds accountants om daarmee het model vanuit de afnemerskant van data‐analysediensten te toetsen. Anderzijds betreffen het IT‐auditors die veelal leverancier zullen zijn van de data‐analysediensten. Dit hoeft echter niet per definitie zo te zijn want onder accountants bevinden zich ook veel data‐analisten. Alle geïnterviewden zijn werkzaam bij een accountantskantoor of internal auditafdeling bij een grote organisatie. In hun dagelijkse werkzaamheden hebben ze in meer of mindere mate te maken met data‐ analyses in het kader van de jaarrekeningcontrole. Onder de geïnterviewden bevinden zich geen klanten om hiermee de scope van dit onderzoek binnen de perken te houden. Naam

Functie

Afdeling, Organisatie

Dhr. Arthur van Bemmel

Supervisor

Audit, KPMG

drs. Daniël Bruggeman RA RO

Accountant

Audit Dienst (DAD), Ministerie van Infrastructuur en Milieu

Mevr. Linda van Dijk RA

Assistant Manager

Audit, KPMG

Dhr. Frank van Dissel RA

Accountant

Audit Dienst (ADD), Ministerie van Defensie

Dhr. Heinrich van Driel

Supervisor

Audit, KPMG

Dhr. Simon Heijnen

Senior IT‐auditor

Audit Dienst (DAD), Ministerie van Infrastructuur en Milieu

drs. Pieter de Kok RA

Partner

Audit, Coney

drs. Johan Schoonen RE RA MGA IT Audit Manager

Audit Dienst (ADD), Ministerie van Defensie

drs. Maurice Op het Veld RE

IT Advisory, KPMG

Partner

Dhr. Dennis van de Wiel RE MSc. Manager

IT Advisory, KPMG

Tabel 13: Lijst geïnterviewden



Data analyse: jaarrekeningcontrole efficiënter?

Recommend Documents