Het gebruik van dataminingtechnieken in de forensische accountancy

UNIVERSITEIT GENT

FACULTEIT ECONOMIE EN BEDRIJFSKUNDE ACADEMIEJAAR 2008 – 2009

Het gebruik van dataminingtechnieken in de forensische accountancy Masterproef voorgedragen tot het bekomen van de graad van Master in de Toegepaste Economische Wetenschappen

Dorien Roosens onder leiding van Prof. dr. Ignace De Beelde

UNIVERSITEIT GENT

FACULTEIT ECONOMIE EN BEDRIJFSKUNDE ACADEMIEJAAR 2008 – 2009

Het gebruik van dataminingtechnieken in de forensische accountancy Masterproef voorgedragen tot het bekomen van de graad van Master in de Toegepaste Economische Wetenschappen

Dorien Roosens onder leiding van Prof. dr. Ignace De Beelde

PERMISSION

Ondergetekende verklaart dat de inhoud van deze masterproef mag geraadpleegd en/of gereproduceerd worden, mits bronvermelding.

Dorien Roosens

Woord vooraf Deze masterproef is tot stand gekomen met de hulp van een aantal mensen die ik hier dan ook voor wil bedanken.

In de eerste plaats gaat mijn dank uit naar Prof. dr. Ignace De Beelde, mijn promotor, die aanwijzingen gaf bij het schrijven van deze masterproef en mij interessante tijdschriften bezorgde.

Een extra bedanking gaat uit naar mijn ouders. Zonder hun financiële en morele steun was deze opleiding immers niet mogelijk geweest. Steeds weer stonden ze klaar om mij met raad en daad bij te staan en een luisterend oor te bieden.

Ook mijn zus verdient een bedankje voor de nodige steun tijdens de afgelopen jaren en voor het nalezen van dit werk.

Ten slotte moet ik ook een woordje van dank richten aan een vriend, die tijdens mijn opleiding steeds voor mij klaar stond.

I

Inhoudsopgave Woord vooraf ...................................................................................................................................I Inhoudsopgave ............................................................................................................................... II Gebruikte afkortingen ...................................................................................................................IV Lijst van figuren ............................................................................................................................. V Lijst van tabellen ............................................................................................................................ V Inleiding ..........................................................................................................................................1 Verklaring van de titel.....................................................................................................................2 Hoofdstuk 1: Wetgeving en normen ...............................................................................................4 1.1

Amerika...........................................................................................................................4

1.1.1

Sarbanes-Oxley Act (SOx)......................................................................................4

1.1.2

SAS N° 99 ...............................................................................................................5

1.2

België ..............................................................................................................................6

1.2.1

Code Lippens...........................................................................................................7

1.2.2

‘Fraude en onwettige handelingen’, 5 juni 1998.....................................................7

Hoofdstuk 2: Dataminingtechnieken...............................................................................................9 2.1

Beslissingsboom..............................................................................................................9

2.2

Neurale Netwerken (NN) ..............................................................................................11

2.3

Bayesian Belief Network (BBN)...................................................................................16

2.4

Benford’s law ................................................................................................................19

2.5

Zipf’s law ......................................................................................................................23

2.5.1 2.6

Vergelijking tussen Benford’s law en Zipf’s law..................................................26 Relative Size Factor ......................................................................................................26

Hoofdstuk 3: Software ..................................................................................................................27 3.1

Microsoft Excel .............................................................................................................28

3.2

Microsoft Access...........................................................................................................31

3.3

TopCAATs ....................................................................................................................32

3.4

ACL...............................................................................................................................33

3.5

ActiveData.....................................................................................................................37

3.6

IDEA .............................................................................................................................40

3.6.1

Vergelijking van ACL, ActiveData for Excel, IDEA, Excel, Access en

TopCAATs ............................................................................................................................42 3.7

EnCase...........................................................................................................................44 II

3.8

Ktrace ............................................................................................................................49

Conclusie.......................................................................................................................................52 Algemeen besluit...........................................................................................................................53 Lijst van de geraadpleegde werken ...............................................................................................VI Boeken.......................................................................................................................................VI Artikels/papers ..........................................................................................................................VI Websites ................................................................................................................................. VIII E-mail ......................................................................................................................................... X Bijlagen .........................................................................................................................................XI Bijlage 1: Voorbeelden van red flags (Maeyaert, Staelens, 2007)............................................XI Bijlage 2: Algoritmen bij de Zipfanalyse (Huang et al., 2008)............................................... XV

III

Gebruikte afkortingen BBN: Bayesian Belief Network CCM: Continue Controlemonitoring CPT: Conditional Probability Table CRC: Cyclische overtolligheidcontrole NN: Neuraal Netwerk SOx: Sarbanes-Oxley Act

IV

Lijst van figuren Figuur 1: Fraudedriehoek (Greene, 2003).......................................................................................5 Figuur 2: Beslissingsboom (gebaseerd op Kirkos et al., 2007).....................................................10 Figuur 3: Neuraal Netwerk (Calderon, Cheh, 2002).....................................................................12 Figuur 4: Fraudedetectie met behulp van een Neuraal Netwerk (Cerullo, Cerullo, 2006) ..........13 Figuur 5: Basiselementen van een neuron (Calderon, Cheh, 2002)..............................................14 Figuur 6: Bayesian Belief Network met conditional probability table (Rokach, Maimon, 2006, p194)..............................................................................................................................................16 Figuur 7: Werking van de Zipfanalyse (Huang et al., 2008).........................................................24 Figuur 8: Werking van EnCase Forensic in 4 stappen (How EnCase Forensics works, 2007) ....45 Figuur 9: Werking van EnCase Enterprise (How EnCase® Enterprise Works, 2008).................48 Figuur 10: Werking van Ktrace (De Cremer Hilde, KPMG, 13 oktober 2008)............................51

Lijst van tabellen Tabel 1: Benford’s verdeling (Nigrini, 1996) ...............................................................................20 Tabel 2: Vergelijking Benford’s law en Zipf’s law (Huang et al., 2008) .....................................26 Tabel 3: Functies van MS Excel (eigen werk, gebaseerd op Lanza, 2003 & Lanza, 2006a)........30 Tabel 4: Vergelijking tussen ActiveData for Excel en ActiveData for Office (Eigen werk, gebaseerd op ‘Comparison of ActiveData for Excel vs. ActiveData for Office, 2008’) ..............39 Tabel 5: Vergelijking tussen ACL, ActiveData for Excel, IDEA, Excel, Access en TopCAATs (gebaseerd op Lanza, 2009) ..........................................................................................................43

V

Inleiding Fraude is van alle tijden en maakt onlosmakelijk deel uit van het bedrijfsleven. Uit oude geschriften blijkt dat er in Syrië zo’n 3400 jaar geleden al sprake was van fraude en corrupte praktijken. De wijze waarop fraude gebeurt, is sterk geëvolueerd doorheen de tijd en wordt steeds geraffineerder. Onderzoek (Fraud detection, 2009) heeft aangetoond dat het gemiddeld 18 maanden duurt vooraleer fraude aan het licht komt. Uit een enquête (A Survey into Fraud Risk Mitigation in European Countries, 2007), afgenomen door Ernst & Young, blijkt dat 5% van de jaarlijkse inkomsten van een bedrijf verloren kan gaan als gevolg van fraude. ACL (Fraud detection, 2009), een bedrijf dat auditsoftware ontwikkelt, spreekt zelfs over 7%. Uiteraard heeft fraude niet enkel een financiële impact, maar krijgen ook de reputatie en het vertrouwen een deuk (Huang,Yen, Yang, Hua, 2008). Proactief optreden is dus de boodschap! Bedrijven maken daarom meer en meer gebruik van allerlei methodes om fraude vroegtijdig op te sporen. Dit kan gaan van eenvoudige tot erg gesofisticeerde methodes. Vele grote organisaties hebben

een

forensische

accountant

in

dienst

die,

met

behulp

van

een

aantal

dataminingtechnieken, fraude op het spoor probeert te komen. Aangezien de manier waarop fraude gepleegd wordt evolueert, moeten deze technieken steeds verbeterd worden. Het is niet altijd eenvoudig om dit manueel toe te passen. Daarom zijn er een aantal softwarepakketten ontwikkeld die gebaseerd zijn op deze technieken en hun nut al bewezen hebben. Binnen een aantal categorieën is het moeilijker om fraude op te sporen, omdat het maken van een subjectieve schatting toegelaten wordt. Dit is het geval bij ‘te innen vorderingen’, ‘voorraad’ en ‘verkopen’ (Kirkos, Spathis, Manolopoulos, 2007). Men moet dus op zoek gaan naar technieken die ook deze categorieën adequaat kunnen ontleden en red flags opsporen (voor voorbeelden van red flags, zie bijlage 1). Het vervolg van deze masterproef is als volgt opgebouwd: na een korte verklaring van de titel behandelt hoofdstuk 1 relevante wetteksten en normen. Hier wordt niet diep op ingegaan, aangezien dit niet het doel van deze masterproef is. Voor een uitgewerkte juridische versie over dit onderwerp verwijs ik naar de masterproef van Priscillia Zsombik. In hoofdstuk 2 worden de belangrijkste dataminingtechnieken beschreven. Ten slotte geeft hoofdstuk 3 een overzicht van de door de auditor gebruikte software. Dit wordt aangevuld met enkele getuigenissen van bedrijven, waardoor duidelijk wordt hoe ze software in de praktijk toepassen en wat zij als voordelen en nadelen ervaren. Een algemeen besluit sluit deze masterproef af. 1

Verklaring van de titel Vooraleer dieper op het onderwerp in te gaan, staan we even stil bij de betekenis van de begrippen ‘forensische accountancy’ en ‘dataminingtechnieken’.

‘Forensisch’ is afgeleid van het Latijnse woord ‘forum’, wat verwijst naar de plaats waar men recht sprak in het oude Rome. Het begrip ‘forensische accountancy’ is een relatief nieuw begrip, afkomstig uit Angelsaksische landen, dat stilaan de wereld verovert. Deze tak onderzoekt of financiële transacties op een correcte wijze gebeuren en of er al dan niet fraude gepleegd wordt. Een forensisch accountant is erg gewild, aangezien zijn oordeel over verdachte transacties geloofwaardigheid oplevert (Nunn, McGuire, Whitcomb, Jost, 2006). Zijn profiel: hij beschikt over een uitstekende kennis audit en accounting en een basiskennis recht en criminologie. Daarnaast is hij vertrouwd met manipulatie van jaarrekeningen, witwassen van geld, corruptie en geldverduistering en kan hij zich inleven in de geest van een fraudeur. Sterke

mondelinge

en

schriftelijke

vaardigheden

zijn

noodzakelijk,

maar

ook

computervaardigheden zijn belangrijk (Lammers, 2000).

Een forensisch accountant hoeft fraude niet aan te geven bij de politie, maar heeft wel een aantal specifieke taken (Lammers, 2000):
Inzicht krijgen in de werkwijze van de fraudeur, bewijsmateriaal zoeken en een preventief beleid opstellen.
De geleden financiële en morele schade vaststellen.


Advies verstrekken over de op korte termijn te ondernemen acties (bijvoorbeeld: bewijsmateriaal veiligstellen).




Acties ondernemen: de fraudeur ontslaan, andere deskundigen inschakelen of procedures invoeren om dergelijke fraude te vermijden.




De betrokkenen opsporen.




De onderneming ondersteunen bij het ondernemen van juridische stappen.

‘Datamining’ kan gedefinieerd worden als “het op geavanceerde wijze zoeken naar informatie in grote gegevensbestanden” (Van Dale). Letterlijk betekent dit ‘graven (mining) naar gegevens (data)’.

2

Er zijn verschillende technieken om aan datamining te doen: door gebruik te maken van een beslissingsboom, een Neuraal Netwerk, een Bayesian Belief Network, Benford’s law, Zipf’s law of door de techniek van de Relative Size Factor in te schakelen. Datamining heeft als hoofdactiviteiten ontdekken, voorspellen en analyseren van afwijkingen (Panigrahi, 2006).

Een forensisch accountant die gebruik maakt van dataminingtechnieken hoopt dus patronen en relaties in grote hoeveelheden gegevens te ontdekken en op deze manier onregelmatigheden en red flags op te sporen, die vervolgens aan een dieper onderzoek onderworpen worden. Op deze manier kan hij fraude op het spoor komen. Hij hoeft deze technieken niet manueel uit te voeren: naast Microsoft Excel en Access bestaan een aantal gespecialiseerde softwarepakketten, zoals Ktrace, IDEA, …(cfr. infra), die steunen op deze technieken en specifiek ontwikkeld werden om te helpen bij zijn zoektocht naar fraude.

3

Hoofdstuk 1: Wetgeving en normen Er is een gepaste wetgeving en normering nodig om op een adequate wijze met fraudedetectie en -preventie om te gaan. Wereldwijd werden er de laatste jaren strengere regels opgesteld, zodat frauderen moeilijker is geworden. In Amerika zijn de Sarbanes-Oxley Act en SAS n° 99 de belangrijkste. Een Belgisch alternatief voor de SOx is de Code Lippens; de aanbeveling ‘fraude en onwettige handelingen’ ligt in de lijn van SAS n° 99. Ze worden hieronder kort besproken.

1.1 Amerika 1.1.1 Sarbanes-Oxley Act (SOx) De Amerikaanse Democratische senator Paul Sarbanes diende in de senaat in 2002 een wetsvoorstel in betreffende corporate governance, maar kreeg weinig steun wegens de strenge maatregelen die erin genomen werden. Michael Oxley paste deze versie aan, maar ook hierop werd aanvankelijk niet echt enthousiast gereageerd. Toen de wereld geconfronteerd werd met schandalen zoals Enron en WorldCom, kende het wetsvoorstel plots veel meer bijval. Uit een samenvoeging van beide wetsvoorstellen werd de ‘Sarbanes-Oxley Act’ geboren die op 30 juli 2002 ingevoerd werd. Het doel van deze wet is preventief fraude op te sporen (Engela, Hayesb, Wang, 2007).

Hoe werkt dit concreet? Deze wet, bestaande uit 69 artikels, voorziet in een aantal regels voor op de Amerikaanse beurs genoteerde bedrijven en haar buitenlandse filialen en voor buitenlandse bedrijven met een genoteerde vestiging. Op deze wijze probeert men te komen tot corporate governance, dat nieuwe schandalen moet vermijden.

SOx vereist dat de bijlagen voldoende informatie bevatten over speciale transacties en over transacties die buiten de balans gebeuren. Daarnaast bepaalt deze wet dat er behalve een jaarlijks financieel verslag ook een verslag dient opgemaakt te worden waaruit blijkt dat volgens een interne controle de gemelde cijfers correct zijn. Het doel van deze interne controles is voorkomen dat men beslissingen neemt die gebaseerd zijn op een verkeerd beeld dat ontstaan is door onvolledige of onjuiste gegevens. Schandalen zoals Enron konden plaatsvinden doordat interne en externe controles opzettelijk onjuist werden uitgevoerd.

4

Om het vertrouwen in de accountancy te herstellen, worden die controles geformaliseerd door de Public Company Accounting Oversight Board (PCAOB). Daarnaast controleert de PCAOB de controleurs en heeft het de macht om -wanneer de voorwaarden van corporate governance niet voldaan zijn- gevangenisstraffen en geldboetes op te leggen aan de directie. Ook de voorwaarden voor het lidmaatschap zijn strenger geworden: de auditor moet onafhankelijk zijn (Engela et al., 2007).

De Sarbanes-Oxley Act draagt ertoe bij dat frauderen moeilijker zal zijn, maar het zou een utopie zijn te denken dat hiermee alle problemen van de baan zijn. 1.1.2 SAS N° 99 Dit is de afkorting van ‘Statement on Auditing Standards N° 99: Consideration of Fraud in a Financial Statement Audit’. Deze norm werd opgesteld door American Institute of Certified Public Accountants (AICPA) en kwam eveneens ter wereld als gevolg van onder andere het Enronschandaal.

SAS 99 beschrijft fraude als “an intentional act that results in a material misstatement in financial statements” (Greene, 2003, p32). Wanneer er sprake is van fraude zijn er meestal drie voorwaarden voldaan: motief/dwang, opportuniteit en attitude/rationaliteit. De fraudeur ondervindt dwang of heeft een motief om fraude te plegen, hij ziet er de mogelijkheid toe en hij overtuigt zichzelf dat zijn daad rationeel is. Figuur 1 toont deze drie voorwaarden, samengevat in een zogenaamde ‘fraudedriehoek’.

Figuur 1: Fraudedriehoek (Greene, 2003)

Auditors hebben een zware verantwoordelijkheid: ze moeten met een redelijke zekerheid (en objectief) kunnen verklaren dat de financiële rekeningen vrij zijn van fouten (al dan niet 5

toevallig ontstaan). SAS 53 en 82 - voorgangers van SAS 99 - verschaften voornamelijk een checklist van frauderisicofactoren die de auditor kon gebruiken. SAS 99 vereist bovendien brainstormsessies met verschillende auditors. Dit kan helpen om fraude op te sporen. De bedoeling hiervan is de auditors te laten overleggen welke onderdelen beïnvloed kunnen zijn door fraude en hoe het management deze fouten zou kunnen verstoppen via financiële rapportering. De brainstormsessie genereert ideeën over fraude die van een hogere kwaliteit zijn dan die een individuele auditor zou kunnen bereiken (Carpenter, 2007).

Andere vereisten van SAS 99 (American Institute of Certified Public Accountants, 2002) zijn dat de auditor moet nagaan in welke mate het management vertrouwd is met fraude; hij moet informatie verzamelen waaruit hij vervolgens concludeert of er mogelijk sprake is van fraude; als er bewijs is van mogelijke fraude moet dit meegedeeld worden aan het management. Volgens deze standaard moet een auditor zes zaken vermelden (Greene, 2003). Eerst en vooral moet hij het tijdstip en de plaats waarop de brainstormsessie plaatsvond vermelden, wie de aanwezigen waren en wat er besproken werd. Vervolgens moeten de procedures die toegepast werden om tot de nodige informatie te komen genoteerd worden. Als derde aspect moet de auditor duidelijk maken waarom een ongewone situatie, waarbij er ongepaste revenue recognition plaatsvond, niet als een risico van misclassificatie ten gevolg van fraude aanzien werd. Ten vierde vermeldt de auditor de resultaten van de procedures, uitgevoerd om het risico van het management dat de controle met de voeten treedt aan te pakken. De zaken die geleid hebben tot bijkomend onderzoek vormen een vijfde aspect. Ten slotte moet er duidelijk worden hoe de communicatie over de fraudegevallen verliep tussen de auditor en het management.

De vereisten die vermeld staan in SAS 99 zijn enkel minimumvereisten. Het is noodzakelijk dat de auditor hier zelf nog zaken aan toevoegt en als een goede huisvader procedures uitvoert die hij noodzakelijk acht (Greene, 2003).

1.2 België Ook in België moet er een ‘Corporate governance code’ gevolgd worden. Voor beursgenoteerde bedrijven is er de Code Lippens, voor niet beursgenoteerde bedrijven de Code Buysse. Ik ga enkel dieper in op de eerste soort, aangezien deze code een Belgisch alternatief is van SOx.

6

1.2.1 Code Lippens De Code Lippens werd vanaf boekjaar 2005 verplicht voor Belgische beursgenoteerde vennootschappen. Op 12 maart 2009 werd de herziene Code gepubliceerd onder de naam ‘Code 2009’. Deze Code bestaat uit negen principes:
Principe 1: De vennootschap past een duidelijke governance structuur toe;
Principe 2: De vennootschap heeft een effectieve en efficiënte Raad van Bestuur die beslissingen neemt in het belang van de vennootschap;
Principe 3: Alle bestuurders dienen blijk te geven van integriteit en toewijding;
Principe 4: De vennootschap heeft een rigoureuze en transparante procedure voor de aanstelling en de evaluatie van haar Raad en zijn leden;
Principe 5: De Raad van Bestuur richt gespecialiseerde comités op;
Principe 6: De vennootschap legt een duidelijke structuur vast voor het uitvoerend management;
Principe 7: De vennootschap vergoedt de bestuurders en de leden van het uitvoerend management op een billijke en verantwoorde wijze;
Principe 8: De vennootschap zal in dialoog treden met aandeelhouders en mogelijke aandeelhouders, gebaseerd op een wederzijds begrip van de doelstellingen en de belangen;
Principe 9: De vennootschap waarborgt een adequate openbaarmaking van haar corporate governance. Elk principe is nog eens opgebouwd uit een aantal richtlijnen (The 2009 Belgian Code on Corporate Governance, 2009).

Daarnaast werden een aantal Europese ISA’s (International Standard on Accounting) uitgevaardigd, waarop de Belgische normering gebaseerd is. 1.2.2 ‘Fraude en onwettige handelingen’, 5 juni 1998 In België is er de aanbeveling ‘Fraude en onwettige handelingen’ van 5 juni 1998. Dit vertoont grote gelijkenissen met ISA 240 (‘Fraude en fouten’, wat in maart 2001 vervangen werd door ‘De verantwoordelijkheid van de auditor om rekening te houden met fraude in het kader van een controle van financiële overzichten’) en 250 (‘Het in aanmerking nemen van wet- en regelgeving bij een controle van financiële overzichten’), dewelke Europese normen zijn.

7

‘Fraude en onwettige handelingen’ beschrijft het verschil tussen ‘onwettige handelingen’ en ‘vergissingen’ en geeft aan wat de verantwoordelijkheden van de leiding zijn. Ook wordt vermeld wat de rol van de revisor is met betrekking tot preventie en opsporing van vergissingen, fraude en onwettige handelingen, welke procedure hij moet volgen wanneer er aanwijzingen voor fraude (of vergissingen) en onwettige handelingen bestaan en hoe de auditor moet communiceren met de leiding, met regelgevende instanties en met de met toezicht belaste instanties (Instituut der bedrijfsrevisoren, 2006b).

Het doel van de door de auditor uitgevoerde controle is een deskundig en objectief oordeel te geven over de betrouwbaarheid van de financiële staten. De auditor moet de boekhoudkundige verwerking van de mogelijke gevolgen van fraude of van een onwettige handeling die werd vastgesteld of redelijk vaststaand is, beoordelen. Hij moet er zich dus van bewust zijn dat niet enkel fraude, maar ook andere overtredingen een grote impact op de financiële staten kunnen hebben (Instituut der bedrijfsrevisoren, 2006b). Toch moet men ook het volgende in acht nemen: “Wanneer de revisor zijn opdracht uitvoert, houdt hij rekening met de mogelijkheid van fraude. De controle zal zo opgevat worden, dat de revisor een redelijke kans maakt op het ontdekken van materiële fouten in de jaarrekening ten gevolge van fraude. Van een controle kan evenwel niet verlangd worden dat zij elke fraude aan het licht brengt en de revisor is niet verplicht deze op te sporen.” (Instituut der bedrijfsrevisoren, 2006a).

Deze standaard ligt in de lijn van SAS 99.

Dit was een zeer beperkte blik op wetgevingen en normeringen met betrekking tot fraude, aangezien dit niet de kern vormt van deze masterproef.

8

Hoofdstuk 2: Dataminingtechnieken Uiteraard lost een strengere wetgeving het probleem van fraude nog niet volledig op. Steeds meer bedrijven schakelen daarom een forensisch accountant in, die in zijn zoektocht naar (indicatoren van) fraude beroep doet op een aantal dataminingtechnieken. Hieronder worden achtereenvolgens een beslissingsboom, een Neuraal Netwerk en een Bayesian Belief Network besproken, gevolgd door Benford’s law, Zipf’s law en een vergelijking tussen beide. Als laatste wordt de Relative Size Factor toegelicht.

2.1 Beslissingsboom Een beslissingsboom (of decision tree) wordt grafisch voorgesteld als een boomstructuur. Elke knoop van deze ‘boom’ symboliseert hierbij een test, iedere tak symboliseert de uitkomst van een test. Door deze boomstructuur worden observaties verdeeld in mutueel exclusieve subgroepen (Kirkos et al., 2007).

Je stelt de beslissingsboom op door gebruik te maken van een trainingset. Deze bevat gegevens waarvan zowel de input als de output gekend is. Op een deel van de gegevens van de trainingsset (‘venster’) pas je splitting criteria toe: de door Ross Quinlan ontwikkelde ID3 (Iterative Dichotomiser 3), C4.5 of C5.0 algoritmes (wat uitbreidingen van elkaar zijn), een Gini-index, CHAID, … Deze criteria laten je toe aan de hand van formules te berekenen wat de eerste knoop is, welke vervolgens komt, … . Bij de Gini-index is dat het attribuut met de kleinste index, bij ID3 het attribuut met het grootste informatievoordeel, bij C4.5 het attribuut met de grootste winstratio,… (Kamber, Han, 2006). Op deze manier komt je beslissingsboom tot stand. De overige gegevens uit die trainingset worden vervolgens geclassificeerd door gebruik te maken van die reeds opgestelde boom. Als de boom voor elk object een antwoord geeft dat overeenkomt met het vooropgestelde antwoord, dan heb je een goede beslissingsboom; geeft de boom niet voor elk object een juist antwoord, dan voeg je een deel van de foutgeclassificeerde objecten toe aan het ‘venster’ en pas je het proces van in het begin weer toe. Dit herhaal je tot je voor elk gegeven uit de trainingset het juiste antwoord verkrijgt. Op deze manier heb je een beslissingsboom opgesteld die je kunt gebruiken om het resultaat bij nieuwe gegevens te verkrijgen (Quinlan, 1986).

Je kunt ook een beslissingsboom opstellen door alle gegevens uit de trainingset te nemen, maar deze methode zal meer tijd in beslag nemen dan voorgaande. (Kamber, Han, 2006). 9

Figuur 2: Beslissingsboom (gebaseerd op Kirkos et al., 2007)

Figuur 2 toont een beslissingsboom (dit is een fictief voorbeeld). We kunnen hier nieuwe gegevens instoppen en de takken volgen. Uit figuur 2 blijkt dat er geen sprake is van fraude bij bedrijven met een hoge Z-score en een hoge opbrengst. Ook kunnen we afleiden dat een lage Z-score, een lage nettowinst en een lage COSAL wijzen op fraude.

Een forensisch accountant kan dus in zijn zoektocht naar fraude gebruik maken van bestaande beslissingsbomen. Door nieuwe gegevens door de boom te loodsen kan hij ontdekken of er sprake is van fraude of niet. Daarnaast kan hij ook proberen om zelf nieuwe bomen op te stellen, die specifiek voldoen aan de criteria die hij wenst te onderzoeken.

Zoals alles heeft deze techniek zowel voor- als nadelen:

Voordelen:


Maakt de situatie visueel.




Gemakkelijk interpreteerbaar.




Helpt bij het beslissingsproces (Hung, Chen, 2009).




De verworven kennis wordt op een betekenisvolle wijze voorgesteld.




Laat toe er ALS-DAN regels mee te maken (Kirkos et al., 2007).

10

Nadelen:


Er is sprake van ‘noise’: niet alle gegevens zijn in werkelijkheid geheel nauwkeurig, maar steunen soms op metingen of op subjectieve schattingen.




ID3 vereist dat de targetattributen enkel discrete waarden hebben, maar dit wordt opgelost door C4.5, die ook continue attributen aankan (Rokach, Maimon, 2006).

2.2 Neurale Netwerken (NN) In de zakenwereld gaat men steeds meer gebruik maken van Neurale Netwerken. Deze populaire methode behandelt gegevens zoals het menselijke brein dit doet. Sommige patronen zijn echter te complex of nauwelijks merkbaar voor de mens. In deze gevallen levert een NN betere resultaten op. Een Neuraal Netwerk werkt heel snel, aangezien het in staat is om meerdere operaties tegelijk uit te voeren. Dit is in tegenstelling tot traditionele methoden, die gegevens in serie verwerken. Toch wordt deze techniek vaak over het hoofd gezien.

Een NN is dus een niet-lineair statistisch analyseprogramma dat via trial & error herhaaldelijk historische gegevens analyseert, op zoek gaat naar patronen en automatisch een model creëert voor die gegevens (Cerullo, Cerullo, 2006). Neurale Netwerken komen voor in verschillende vormen, waarvan back-propagation de populairste is. Figuur 3 toont een NN met ‘back-propagation’. Deze bestaat steeds uit een input layer, één of meer hidden layers en een output layer. Elke neuron (voorgesteld door een knoop) in de input layer stelt een onafhankelijke variabele voor, de knoop in de output layer is de afhankelijke variabele. In figuur 3 is er slechts 1 knoop in de output layer, maar dit is niet altijd zo: de output layer kan bestaan uit meerdere knopen (Cerullo, Cerullo, 2006).

11

Figuur 3: Neuraal Netwerk (Calderon, Cheh, 2002)

Je kunt voor een specifiek probleem een NN opstellen, wat gebeurt in 5 stappen (figuur 4). De wijze waarop je dit kunt creëren en de werking ervan wordt uitgelegd aan de hand van een voorbeeld, concreet toegepast op het onderwerp van deze masterproef.

In de eerste stap wordt het probleem geformuleerd: Je wilt nagaan of het topmanagement van een bedrijf fraude heeft gepleegd. Deze vorm van fraude manifesteert zich meestal in het overwaarderen van inkomsten en het onderwaarderen van schulden en uitgaven. Dit kan dus tot uiting komen als je een aantal ratio’s berekent (Cerullo, Cerullo, 2006).

Een volgende stap bestaat uit het opstellen van een database met historische waarden. Die database moet bestaan uit onafhankelijke inputvariabelen en afhankelijke outputvariabelen. Als inputvariabelen neem je negen ratio’s, die gebruikt worden door bedrijven om fraude op te sporen (deze ratio’s kan je bekomen door rondvraag te doen bij een aantal bedrijven). Je selecteert eveneens 15 bedrijven die deze vorm van fraude hebben gerapporteerd en 15 bedrijven zonder dergelijke rapportering. Je stelt bijgevolg een database op met de 9 berekende ratio’s van die 30 bedrijven voor het jaar vooraleer enige vorm van fraude gerapporteerd was. De outputvariabele geeft aan of er fraude is of niet. Aan deze tweede fase moet er erg veel aandacht besteed worden, want wanneer dit op een foutieve wijze gebeurt (te weinig gegevens, nietrepresentatieve steekproef, …) zal het model weinig waarde opleveren.

12

Figuur 4: Fraudedetectie met behulp van een Neuraal Netwerk (Cerullo, Cerullo, 2006)

Als derde stap wordt het model opgesteld. Hiervoor kies je een trainingset en een testset. In dit geval nemen we een trainingset van 22 observaties en een testset van de overige 8 observaties. De trainingset wordt gebruikt om het model te trainen, zodat er patronen herkend worden tussen de inputs (de ratio’s) en de outputs (is er fraude of niet). De testset bepaalt hoe goed het netwerk in staat is om te gaan met nieuwe gegevens.

Je stelt dus een NN op met als inputvariabelen de ratio’s van de bedrijven (dit bepaalt dus de input layer). Een knoop van de hidden layer krijgt als input de output van elke knoop van de inputlayer, vermenigvuldigd met een bepaald gewicht dat aan elke knoop toegekend is. Dit alles wordt gesommeerd. Zijn er meerdere hidden layers, dan krijgt de volgende hidden layer als input weer de output van de vorige layer, vermenigvuldigd met gewichten en ook weer hier gesommeerd. De gewichten die gegeven worden kunnen de ene ratio zwaarder laten doorwegen dan de andere, als men denkt dat de ene ratio meer invloed heeft bij het opsporen van fraude. Figuur 5 toont hoe een knoop er uitziet en welke berekening er gebeurt (Cerullo, Cerullo, 2006).

13

Figuur 5: Basiselementen van een neuron (Calderon, Cheh, 2002)

In formulevorm: u j = ∑ wi j . xi waarbij


uj het totaal inputsignaal van neuron j is




wij het gewicht van de verbinding tussen neuronen i en j is




xi het inputsignaal van neuron i is

(Kirkos et al., 2007)

Het definitieve resultaat is te vinden in de output layer. Dit berekende resultaat wordt vervolgens vergeleken met het verwachte resultaat. Hier vergelijkt men dus of men via het NN de bedrijven waar fraude gepleegd is kan achterhalen. Dit is mogelijk omdat men weet bij welke bedrijven er sprake is van fraude en bij welke niet. Het model wordt ‘getraind’ om de kwadratische fout tussen deze twee resultaten te minimaliseren. Dit kan men via een systeem van trial & error bereiken: men past de gewichten van de verbindingen steeds aan, tot men een aanvaardbaar resultaat bekomt. Na de training gebruik je de testset, waarvan je eveneens het te bekomen resultaat kent. Door deze testset te gebruiken, kan je achterhalen of het leerproces juist is doorlopen (Cerullo, Cerullo, 2006).

Als vierde stap wordt het resultaat geëvalueerd. Daarvoor vergelijkt men een aantal statistische getallen van de testset en de trainingset. Er zijn een aantal factoren die wijzen op een aanvaardbaar model:

14


als de gemiddelde absolute fout van de testset laag is vergeleken met het outputmaximum en outputminimum;
als de minima, maxima, gemiddelde en standaardafwijking van de output van de testset en de trainingset dicht bij elkaar liggen (Wanneer dit niet het geval is, moet het aantal observaties verhoogd worden en een nieuw model opgesteld worden);
wanneer de voorspelde kwadratische fout van de trainingset dicht bij de gemiddelde kwadratische fout van de testset ligt;
wanneer R² van de testset dicht bij 1 ligt. Als blijkt dat het geen aanvaardbaar model is, dan kan men proberen met nieuwe variabelen, door de steekproefgrootte te verhogen, door een nieuw model te trainen en opnieuw de resultaten te evalueren. Is het wel een aanvaardbaar model, dan kan het geïmplementeerd worden voor het opsporen van fraude. Dit is meteen de laatste stap. Op deze manier kan je dan fraude in andere bedrijven opsporen door gebruik te maken van het opgestelde Neuraal Netwerk (Cerullo, Cerullo, 2006).

Neurale Netwerken worden in vele gebieden gebruikt: bij de evaluatie van managementfraude, bij het vormen van een mening over auditprobleemstellingen, om financiële crisissen te voorspellen, bij de beoordeling van interne controlesystemen en bij beslissingen over vergoedingen (Chen, Huang, Kuo, 2009).

Voordelen van een Neuraal Netwerk:
Beantwoordt ‘wat als…’ vragen.
Is onderworpen aan een adaptief leerproces en kan dus gemakkelijk aangepast worden.
Kan grote hoeveelheden (inconsistente) gegevens verwerken.
Biedt een alternatief voor problemen die niet met algoritmen kunnen opgelost worden.
Blijft een vrij hoge graad van performantie behouden, zelfs al wordt er een deel van het netwerk vernield.
Maakt geen veronderstellingen over de onafhankelijkheid van attributen.
Kan zichzelf organiseren: het kan een eigen voorstelling van een gegevensset maken.
Werkt heel snel.
Is gemakkelijk te implementeren voor het opsporen van managementfraude (Cerullo, Cerullo, 2006).

15

Nadelen van een Neuraal Netwerk:
Het heeft moeite om effectief te werken in een reallife situation.
Laat onderzoekers niet toe de statistische significantie te bepalen van de gebruikte variabelen.
Enkel de input en de output zijn observeerbaar; het interne proces (‘Black Box’) om van de input naar de output te gaan is niet observeerbaar (Calderon, Cheh, 2002).

2.3 Bayesian Belief Network (BBN) Een Bayesian Belief Network is een grafisch model dat de waarschijnlijke relatie (oorzaken en effecten) tussen een aantal variabelen evenals historische informatie over deze relatie weergeeft. De knopen stellen de variabelen voor, de pijlen geven de causale relatie weer tussen deze variabelen. Variabelen waartussen geen pijl loopt zijn dus onafhankelijk van elkaar. Elke knoop heeft ‘states’: mogelijke waarden die de variabelen kunnen aannemen. Als een variabele 100% van een bepaalde waarde aanneemt en 0% van alle andere waarden, dan is dit een hard bewijs. Zachte bewijzen daarentegen vormen de restcategorie: dit zijn de bewijzen dat een variabele minder dan 100% in een bepaalde toestand is of meer dan 0% in andere toestanden. Deze laatste soort wordt voornamelijk gebruikt bij informatie waarover onzekerheid bestaat (River, 2004). De pijlen (edges) duiden de richting van het effect aan. Als de pijl van knoop B naar knoop C gaat, is B (parent node) de ouder van knoop C en is C (child node) het kind en meteen ook afhankelijk van B. Verder zijn er ook ‘root nodes’, dit zijn de variabelen die geen ouders hebben en ‘leaf nodes’, wat variabelen zonder kinderen zijn.

Figuur 6: Bayesian Belief Network met conditional probability table (Rokach, Maimon, 2006, p194)

16

Elke knoop heeft een ‘conditional probability table’ (CPT): een tabel die de voorwaardelijke waarschijnlijkheid weergeeft. Een tabel van een parent node geeft zijn toestanden en de waarschijnlijkheid van die toestanden weer. De tabel van een child node geeft de toestand van de parent node en van de child node weer en de conditionele probabiliteit tussen beide (Figuur 6).

Deze techniek is gebaseerd op het theorema van Bayes, ontwikkeld door de wiskundige Thomas Bayes (1702-1762). In de meest eenvoudige vorm bestaat deze regel uit: P(b a ) =

P(a b ) . P(b ) P(a )

met
P(a): de probabiliteit van a
P(b): de probabiliteit van b
P(a|b): de probabiliteit van a gegeven b
P(b|a): de probabiliteit van b gegeven a Een meer gebruikte vorm van deze regel: P(H X ) =

P ( X H ) . P(H ) P( X )

Met
Hypothese H: een attribuut X uit de trainingset behoort tot klasse C
P(H X): posteriori probability of de waarschijnlijkheid dat hypothese H geldt, gegeven het geobserveerde attribuut X.
P(X H): waarschijnlijkheid van X, gegeven hypothese H.
P(H): a priori probability of de marginale waarschijnlijkheid dat hypothese H geldt.
P(X): marginale waarschijnlijkheid dat X geobserveerd wordt (Niedermayer, 1998). Als X behoort tot één van de i alternatieve klassen, dan berekent een Bayesian classifier de waarschijnlijkheid P(Ci X) voor alle mogelijke klassen Ci en wijst X toe aan de klasse met de hoogste probabiliteit P(Ci X). Je berekent op deze manier voor een aantal attributen uit de trainingset tot welke klasse ze behoren. Voor elke X geeft P(x|p1, p2, ..., pn) de probabiliteit weer van variabele X in toestand x gegeven ouder P1 in toestand p1, ouder P2 in toestand p2, …, ouder Pn in toestand pn (Kirkos et al., 2007). Vervolgens laat je de rest van de trainingset het netwerk

17

doorlopen. Wanneer de classificatie juist blijkt, heb je een BBN dat je kunt gebruiken voor nieuwe gegevens (Kamber, Han 2006).

Toegepast op het thema van deze masterproef kan een Bayesian Belief Network de waarschijnlijke relatie weergeven tussen fraude en red flags. Dit model kan opgesteld worden aan de hand van volgende vergelijking:

P(F S ) =

P(S F ) . P(F )

P(F ) . P(S F ) + P( NF ) . P(S NF )

=

P (S F ) . P(F ) P (S )

met
F: er is sprake van fraude
NF: er is geen sprake van fraude
S: signaal dat er fraude is
P: probabiliteit (Huang et al., 2008) Je berekent tot welke klasse een deel van de variabelen S uit de trainingset behoren en stelt een CPT op voor elke variabele. Wanneer de rest van de trainingset het netwerk doorlopen heeft en juist blijkt te zijn, krijg je een BBN voor deze situatie. Men gebruikt dan het netwerk om de waarschijnlijkheid te berekenen dat er fraude voorkomt in een nieuw bedrijf, gegeven de red flags (River, 2004).

Deze dataminingtechniek wordt op veel verschillende gebieden toegepast en is ideaal in situaties waarbij niet alle informatie (zowel in het heden als het verleden) gekend, volledig, zeker is,… of waarbij geautomatiseerd denken hoort. Bayesian Belief Network laat toe om zowel een inductieve als een deductieve redenering op te zetten. Een inductieve redenering zoekt naar een effect (of meerdere effecten) gegeven de oorzaak, een deductieve redenering voorspelt de oorzaak gegeven het effect (River, 2004).

Voordelen van Bayesian Belief techniek:
Makkelijk implementeerbaar.
Kan op vele gebieden toegepast worden.
Laat toe om, ondanks onvolledige informatie, een overzichtelijk en duidelijk beeld te geven van een bepaalde situatie.

18


Helpt bij het nemen van beslissingen of bij het automatiseren van beslissingsprocessen (River, 2004).
Geeft de relaties weer tussen variabelen.
Geeft op een grafische wijze duidelijk aan welke variabelen afhankelijk en welke onafhankelijk zijn van elkaar (Niedermayer, 1998).

Nadelen van Bayesian Belief techniek:
Het is een statisch systeem: het is enkel mogelijk om de ‘voorziene weg’ te volgen. Vraagt een gebruiker informatie die niet voorzien was, dan kan het systeem hier niet mee omgaan.
Als je de waarschijnlijkheid van een tak wil berekenen, moeten alle overige takken eveneens berekend worden. Hierdoor kan het heel duur worden of zelfs praktisch niet uitvoerbaar wegens het grote aantal variabelen dat er in voorkomt.
Het nut van een BBN is afhankelijk van de betrouwbaarheid van de voorafgaande kennis die men heeft: als men de verwachtingen over de kwaliteit van deze kennis te optimistisch of te pessimistisch inschat, zal dit ongeldige resultaten opleveren (Niedermayer, 1998).
Men gaat uit van de assumptie dat alle inputs conditioneel onafhankelijk zijn van elkaar. Dit lukt in de praktijk niet altijd, waardoor het model minder accuraat is (Kamber, Han, 2006).

2.4 Benford’s law Dit is een van de meest gebruikte machtswetten (Engels: power laws) voor het opsporen van fraude. Een machtswet is een relatie van de vorm P(x) = Cx

-α , met constanten exponent α en C

en een waarschijnlijkheid P(x)dx om een waarde te vinden in het interval gaande van x tot x + dx met α > 0 (Newman, 2005).

Frank Benford kwam tijdens de jaren ’20 tot de vaststelling dat, in om het even welke lijst van cijfergegevens, de ‘leading digit’ (dus het eerste cijfer) in zekere mate voorspelbaar is. Zo komt ‘1’ als eerste cijfer het meest voor en gaat die frequentie achteruit naarmate men dichter ‘9’ nadert. Uit tabel 1 blijkt dat ‘1’ als eerste cijfer in 30% van de gevallen zal verschijnen, terwijl ‘9’ slechts in 4,5% van de gevallen als eerste cijfer voorkomt (Geyer, Williamson, 2004).

19

Tabel 1: Benford’s verdeling (Nigrini, 1996)

De waarschijnlijkheid dat een getal een significant eerste cijfer d heeft, wordt weergegeven door de formule:

(

)

P ( first significant digit = d ) = log10 1 + d −1 , d = 1,...,9 Meer veralgemeend kunnen we stellen dat:

(

P(D1 ...Dk = d1 ...d k ) = log10 1 + (d1 ...d k )

−1

)

(Geyer, Williamson, 2004)

De hoofddoelstelling is artificiële cijfers op het spoor te komen. Het kan hierbij zowel gaan om toevallige fouten als om fraude. Fraudeurs vergeten immers vaak deze logica te volgen bij het aanpassen van cijfergegevens. Dit systeem is erg geliefd omdat het toelaat om op een goedkope en eenvoudige wijze een eerste test uit te voeren in de zoektocht naar fraude (Stone, 2003).

Wanneer er in een gegevensset twijfel heerst of deze verdacht is of niet, kan men deze digitale analyse toepassen. Deze vergelijkt de geobserveerde en de verwachte proportie en berekent hiervan de standaardafwijking. De nulhypothese en alternatieve hypothese zijn als volgt (Durtschi, Hillison, Pacini, 2004):


H0: geobserveerde proportie is gelijk aan de verwachte proportie
H1: geobserveerde proportie is verschillend van de verwachte proportie De standaardafwijking voor de verwachte proportie van elk cijfer wordt gegeven door volgende formule: 1

 si =  

p i .(1 − p i )  2  n 

20

met
Si : de standaardafwijking van elke cijfer, gaande van 1 tot 9
Pi : de verwachte proportie van een specifiek cijfer gebaseerd op Benford’s law
n: het aantal observaties Met behulp van een Z-statistiek kan men dan nagaan of een bepaald cijfer meer of minder frequent voorkomt in een bepaalde gegevensset dan verwacht wordt bij een Benford verdeling. Deze Z-statistiek wordt berekend met volgende formule: z=

p0 − pe −

1 2n

si

met


P0: geobserveerde proportie in de gegevensset
Pe: verwachte proportie gebaseerd op Benford’s law
Si: standaarddeviatie voor een specifiek getal
n: aantal observaties
De factor 1/(2n) is een continuïteitscorrectiefactor en wordt enkel gebruikt wanneer dit kleiner is dan de term die in absolute waarde staat.

Of een gegevensset verdacht is of niet, hangt af van het betrouwbaarheidsinterval. Bij een betrouwbaarheidsinterval van 95% verwerpt men de nulhypothese als de p-waarde < 0,05.

Uiteraard is de verwachte en de geobserveerde proportie nooit helemaal gelijk. Het komt er op aan te kijken hoe ver deze twee van elkaar afwijken (Durtschi et al., 2004).

Nigrini was de eerste die besloot om Benford’s law toe te passen op accounting data met de bedoeling fraude op te sporen. Toch kan dit niet bij elke boekhoudkundige transactie gebruikt worden.

21

In volgende gevallen is het nuttig Benford’s law toe te passen:


Als de cijfers het gevolg zijn van wiskundige bewerkingen. Voorbeelden hiervan zijn ‘handelsvorderingen’ (aantal verkochte goederen * prijs per stuk) en ‘leveranciersschulden’ (aantal gekochte goederen * prijs per stuk).




Als de gegevens zich bevinden op het niveau van transacties: verkoopcijfers, uitgaven, uitbetalingen, …




Als de database een groot aantal gegevens bevat: transacties gedurende het hele jaar




Als het gemiddelde van een specifieke groep cijfers groter is dan de mediaan en de helling positief is, wat het geval is bij de meeste boekhoudkundige cijfers. (Durtschi et al., 2004)

In volgende gevallen is het NIET nuttig Benford’s law toe te passen:


Wanneer de gegevensset bestaat uit toegekende cijfers, zoals bij cheques, factuurnummers,…




Wanneer de cijfers door menselijk toedoen zijn beïnvloed. Een vaak voorkomend voorbeeld hiervan is een prijs die eindigt op …,99 om psychologische redenen.




Wanneer het om bedrijfsspecifieke rekeningen gaat. Dit zijn dan rekeningen die met een specifieke reden voor dat bedrijf worden opgesteld.




Wanneer het gaat om rekeningen met een ingebouwd minimum of maximum. Bijvoorbeeld: stel dat er schadevergoedingen gegeven worden tot een bepaald bedrag zonder werkelijk documenten te moeten voorleggen, dan zal het bedrag net onder het minimumbedrag vaker voorkomen en is dit een gemanipuleerde vorm van gegevens, waardoor Benford’s logica niet meer van toepassing is.




Wanneer er geen transactie vastgelegd is, wat het geval is bij diefstal, smeergeld,…




Wanneer identieke gegevens voorkomen. Benford’s law is niet in staat om identieke bankrekeningen, adressen, factuurnummers, … op te sporen (Durtschi et al., 2004).




In grote gegevensbestanden heeft men naast Benford’s law nog andere technieken nodig, aangezien met deze wet alleen er veel te veel gegevens moeten gecontroleerd worden en dus te veel tijd in beslag neemt (Huang et al., 2008).

Benford’s law is een van de meest populaire digitale analysetechnieken. Digitale analyse is een proces om gegevenssets te analyseren om verdachte patronen en afwijkingen te identificeren met de bedoeling om de oorzaken van die afwijkingen te vinden.

22

Digitale analyse kent echter een aantal beperkingen (Leinicke, 2006). Ten eerste kost het veel tijd en energie om de gegevens in de juiste vorm te zetten. Vervolgens gebeurt het vaak dat gegevens ten onrechte als fout aanzien worden, terwijl er een logische verklaring voor bestaat. Ten derde neemt het onderzoeken van de mogelijke fouten veel tijd in beslag. Voordelen van digitale analyse zijn dat het in staat is 100% van de gegevens te onderzoeken. Daarnaast vertrekt digitale analyse zonder vooroordelen, helpt het bij het plannen van de interne audit, zorgt het voor een continue monitoring en bezit het een afschrikeffect: zelfs al ontdek je geen fraude, men weet dat je er achter zoekt.

Je kunt dus best je gegevensset beperken vooraleer je Benford’s law toepast en beseffen dat de follow-up veel tijd in beslag kan nemen. Toch vormt dit een cruciale stap in het opsporen van fraude. Digitale analyse kan uitgevoerd worden via software. ACL, MS Access en IDEA (cfr. Infra) zijn slechts een paar softwarepakketten die zich hier goed toe lenen (Leinicke, 2006).

2.5 Zipf’s law Oorspronkelijk situeren we Zipf’s law, wat eveneens een machtswet is, in de linguïstiek. In die context betekent deze wet: de frequentie waarmee een woord voorkomt is ongeveer omgekeerd evenredig met de rang van het woord in de frequentietabel. Het meest frequente woord komt ongeveer twee keer zo vaak voor als het op een na frequentste woord, dat op zijn beurt weer twee keer zo vaak als het vierde frequentste voorkomt, enz. (Balasubrahmanyan, Naranan, 2002).

Benford’s law wordt gezien als een speciaal geval van Zipf’s law. Het grote verschil tussen digitale analyse en Zipfanalyse is dat de eerste soort enkel met numerieke variabelen kan werken, terwijl de tweede soort ook stringvariabelen aankan. Vertrekkende van dit idee hebben Huang et al. (2008) Zipf’s law toegepast op het domein van accounting en audit. Op deze manier hebben ze een tool gecreëerd voor auditors om hun zoektocht naar fraude eenvoudiger te maken.

Op figuur 7 zien we de Zipf analyse, die deel uitmaakt van een groter geheel. Het systeem bestaat uit drie grote delen, namelijk het ontwerpen van een auditprogramma, de Zipfanalyse en het substantieel testen. We bespreken achtereenvolgens de 3 fasen (Huang et al., 2008).

23

a)

Ontwerpen van een auditprogramma

Een auditor moet eerst en vooral nadenken over de doelstellingen die hij wil bereiken. Deze worden duidelijk gedefinieerd. Er wordt een auditprogramma opgesteld en voorbereidend werk uitgevoerd. Vervolgens belandt men bij de patterns generation (ontwikkeling van een patroon), wat meteen de input vormt van de Zipfanalyse.

Figuur 7: Werking van de Zipfanalyse (Huang et al., 2008) 24

b)

Zipfanalyse

De fase van patroonontwikkeling, waarmee de Zipfanalyse start, kan opgedeeld worden in 4 stappen. Eerst en vooral moet men de gewenste variabelen selecteren, waarna er een patroon ontwikkeld wordt voor elke variabele. Vervolgens worden alle mogelijke patronen berekend, aan de hand van een algoritme. Ten slotte worden alle patronen gesorteerd op basis van de frequentie waarmee ze voorkomen. Na deze fase berekent de auditor de werkelijke en de theoretische frequentieverdeling en de betrouwbaarheidsintervallen van zowel de werkelijke als de theoretische waarden. De Z-score moet vervolgens bepalen of het verschil tussen de werkelijke en de theoretische waarde significant is en toetst dus volgende hypothese:




H0: De gegevens zijn niet gemanipuleerd




H1: De gegevens zijn gemanipuleerd

Deze nulhypothese wordt verworpen op het 5% niveau als de Z-score groter of gelijk is aan 1,96. Als laatste stap in de Zipfanalyse worden de resultaten overzichtelijk weergegeven in een tabel of grafiek. (De gebruikte algoritmen zijn vermeld in bijlage 2)

c)

Substantiële testen

Deze resultaten brengen ons bij de fase van het ‘substantieel testen’. Als blijkt dat er geen significante afwijkingen zijn, wordt het proces beëindigd en is er - met 95% zekerheid - geen sprake van fraude; bij significante afwijkingen wordt er verder gezocht naar mogelijke verklaringen voor deze afwijkingen. De auditor moet die afwijkingen verder onderzoeken; als blijkt dat het toch niet om fraude gaat, wordt het proces alsnog beëindigd (Huang et al., 2008).

Voordelen van Zipf’s law:


Het is in staat om fraude op te sporen met herhaaldelijk opeenvolgende patronen.




Het werkt efficiënter en effectiever dan 100% sampling (Huang et al., 2008).

Tot hier toe is er slechts weinig literatuur te vinden omtrent Zipf’s law toegepast op het domein van accounting, waardoor er nog geen nadelen gevonden zijn.

25

2.5.1 Vergelijking tussen Benford’s law en Zipf’s law Benford’s law en Zipf’s law zouden verwant zijn met elkaar. We vergelijken beide methodes in tabel 2: Benford’s law

Zipf’s law

Afgeleid van een natuurwet

Afgeleid van een natuurwet

Volgt het principe van een machtswet

Volgt het principe van een machtswet

Toont de relatie tussen cijfers en de frequentie

Toont de relatie tussen de volgorde en de

waarmee ze voorkomen

frequentie

Numerieke gegevens zijn noodzakelijk als input

Heeft geen specifieke voorvereisten

Reeds lange tijd operationeel

Staat nog maar in zijn kinderschoenen

Tabel 2: Vergelijking Benford’s law en Zipf’s law (Huang et al., 2008)

Ze vertonen enkele gelijkenissen. Zo zijn beide afgeleid van een natuurwet en werken ze volgens het principe van een machtswet. Er zijn echter ook een aantal verschillen op te merken in de voorvereisten die ze al dan niet stellen, de onderzochte relatie en de tijd dat de methode reeds in gebruik is in deze context (Huang et al., 2008).

2.6 Relative Size Factor De “Relative Size Factor” wordt berekend met behulp van volgende eenvoudige formule: Grootste getal uit de gegevensset Tweede grootste getal uit de gegevensset

Deze methode heeft als doel outliers op te sporen. Voor elke categorie (werknemers, verkopers, leveranciers, …) is er immers bekend in welke range die zich normaal bevindt. Worden er waarden gevonden die opmerkelijk boven deze marge uitsteken, dan worden deze verder onderzocht. Deze afwijkingen kunnen immers het gevolg zijn van fraude (Panigrahi, 2006). Deze methode wordt voornamelijk gebruikt in de categorie ‘leveranciersschulden’ (Leinicke, 2006).

Voordelen en nadelen van de Relative Size Factor techniek: Deze techniek is eenvoudig toe te passen, maar wordt aanzien als niet erg effectief en efficiënt voor het opsporen van fraude, aangezien het mogelijk is dat de outliers enkel het gevolg zijn van toevallige fouten en dat de intentionele fouten verstopt kunnen zitten binnen de aanvaardbare grenzen (Panigrahi, 2006). 26

Hoofdstuk 3: Software Traditioneel trok de auditor een conclusie over de betrouwbaarheid van data nadat hij manueel slechts een beperkte steekproef had onderzocht van 30 tot 50 transacties. Door deze werkwijze te hanteren konden vele onregelmatigheden aan het oog van de auditor ontsnappen. Er was dus duidelijk nood aan een beter en diepgaander onderzoek. Vandaag is het bijna ondenkbaar dat een forensisch accountant alle onregelmatigheden in data manueel zou opsporen. Forensische accountants maken daarom gebruik van computers en allerlei soorten software. In deze context spreken we over CAATs (Computer Assisted Audit Techniques of Computer Aided Audit Tools) of CAATTs (Computer Assisted Audit Tools and Techniques). In de ruime zin staat dit voor alle software die gebruikt wordt om het auditproces beter te laten verlopen. Uiteraard hoeft het niet steeds om ingewikkelde en dure software te gaan.

Richard Lanza (Lanza, 2005) zet 3 punten in de verf die je in gedachten moet houden wanneer je software inschakelt in forensische accountancy: In de eerste plaats kan je het beste met eenvoudige, relatief goedkope software starten en iteratief werken. Ten tweede moet je er voor zorgen dat je zoveel mogelijk cash return hebt. Ten slotte moet je er een gewoonte van maken om de resultaten van de automatische fraudedetectie taken regelmatig na te kijken.

De bedoeling van CAATTs is om 100% van de transacties op onregelmatigheden te onderzoeken. Elke onregelmatigheid kan vervolgens door de forensisch accountant verder onderzocht worden. Als gevolg hiervan zullen er veel meer fraudegevallen aan het licht komen dan bij traditionele audit, waardoor de efficiëntie en de effectiviteit verhoogt. CAATTs laat toe om analytische testen (bijvoorbeeld Benford’s law) uit te voeren voor specifieke risico’s in alle fasen van het auditproces. Daarnaast helpt het bij het opstellen van rapporten over de gegevensanalyse en zorgt het voor een continue monitoring van de gegevens. (Coderre, 1999).

Wil de forensisch accountant een beslissingsboom opstellen, dan kan hij gebruik maken van de ‘C4.5 software’ van Ross Quinlan, die gebaseerd is op zijn gelijknamig algoritme. Een Neuraal Netwerk toepassen op gegevens kan door bijvoorbeeld gebruik te maken van ‘ModelQuest Enterprise’ of ‘NeuroSolutions’ (Cerullo, Cerullo, 2006). ‘BNet.builder’ kan gebruikt worden om een Bayesian Belief Network op te stellen (River, 2004).

27

In de praktijk is het echter zo dat forensische accountants voornamelijk gebruik maken van software die gebaseerd is op een combinatie van verschillende dataminingtechnieken en die - in sommige gevallen - specifiek is aangepast aan de ervaringen die men op het gebied van fraudeopsporing reeds heeft opgedaan. Hieronder volgt een overzicht van de in de forensische accountancy meest gebruikte software met een aantal voor- en nadelen. Om na te gaan hoe bedrijven sommige software in de praktijk toepassen en wat hun ervaringen hiermee zijn, heb ik contact opgenomen met PricewaterhouseCoopers en Deloitte.

3.1 Microsoft Excel Hoewel je bij fraudesoftware misschien niet meteen zou denken aan Microsoft Excel, wordt dit toch gebruikt. Oorspronkelijk analyseerde en onderzocht men gegevens met Excel; naarmate computers meer ontwikkelden, werd er meer gebruik gemaakt van Access, aangezien bij deze laatste de tabellen vergrendeld kunnen worden, zodanig dat de gegevens niet kunnen gewijzigd worden (cfr. infra).

Bijna iedereen bezit Excel, wat deel uitmaakt van het Microsoft Office pakket, waardoor deze tool dus ‘gratis’ te gebruiken is. Met Excel kan je fraude vroegtijdig op het spoor komen (voornamelijk in de post ‘handelsdebiteuren’) en op deze manier er voor zorgen dat je zoveel mogelijk cash kunt recupereren. Het laat je eveneens toe om problemen betreffende de interne controle te identificeren (Lanza, 2006a).

Als auditsoftware heeft Excel de volgende functies: Functie Horizontale Analyse

Verklaring Analyseert de stijgingen en dalingen in een balans over twee of meerdere periodes.

Verticale Analyse

Onderzoekt de elementen van de balans en de resultatenrekening gedurende een specifieke periode. Elk item van de balans wordt hierbij weergegeven als een percentage van de totale som van activa, terwijl elk element van de resultatenrekening een percentage van de nettoverkopen is.

28

Ratio’s berekenen

Laat toe ratio’s te vergelijken.

Trendanalyse

Vergelijken van analytische testen over meerdere jaren om er patronen in te herkennen en zo mogelijke fraude op te sporen.

Performance maatstaf

Identificeert kritische succesfactoren die het mogelijk maken de geboekte vooruitgang in het bereiken van specifieke doelstellingen te bepalen.

Statistiek

Laat toe gemiddelde, standaarddeviatie,… te berekenen.

Stratificatie

Telt het aantal en de waarden van records van de populatie die binnen de vooropgestelde intervallen valt.

Aging

Produceert samenvattingen van oudere gegevens op de cutoffdatum, wat nuttig kan zijn om de flow te zien over een bepaalde periode.

Benford’s law/ digitale

Cfr. supra

analyse Regressie analyse

Analyseren van gegevens waarin (mogelijk) sprake is van een specifieke samenhang (regressie).

Monte Carlo simulatie

Laat toe een simulatie te maken van een bepaalde categorie, gebruik makend van een schatting, waarbij de waarschijnlijkheid van die schattingen gegeven is.

Bijeenvoegen

Voegt twee bestanden samen tot 1 bestand.

Berekend veld

Maakt berekeningen met behulp van gegevens uit een bepaald bestand.

Duplicaten

Zoekt naar gegevens die dubbel voorkomen.

Gegevens filteren

Kopieert bepaalde gegevens uit een bestand in een ander bestand (‘als’ en ‘waar’).

Exporteren

Maakt het mogelijk om bestanden in een ander softwareformaat te zetten om testen uit te voeren.

Ontbrekende gegevens

Spoort onvolledigheden op.

Sorteren

Maakt het sorteren van data mogelijk.

Relateren

Laat toe relationele databases te creëren.

29

Steekproeftrekking

Maakt toevallige steekproeven mogelijk.

Samenvatten

Accumulatie van numerieke gegevens.

Kruistabel

Analyseren van gegevens door ze in rijen en kolommen te zetten.

Tabel 3: Functies van MS Excel (eigen werk, gebaseerd op Lanza, 2003 & Lanza, 2006a) Uit deze functies blijkt dat Excel op een aantal dataminingtechnieken steunt. Om de functie ‘trendanalyse’ te kunnen uitvoeren, werd er uitgegaan van een Neuraal Netwerk (cfr. supra). Fraude en toevallige fouten zorgen voor veranderingen. Door huidige en historische gegevens te vergelijken en patronen te zoeken, kunnen die veranderingen opgespoord worden.

Excel is ook in staat Benford’s law (cfr. supra) toe te passen.

Stratificatie, het opsporen van dubbele of ontbrekende gegevens, het uitvoeren van een regressieanalyse, het filteren van gegevens en het opstellen van relationele databases is mogelijk door gebruik te maken van beslissingsregels. Voor ‘stratificatie’ bepaalt men met behulp van ‘als [voorwaarde] dan [categorie X]’ tot welke categorie gegevens behoren die in een bepaald interval liggen. Men telt vervolgens het aantal gegevens en de som van de waarden per categorie, eveneens gebruik makend van beslissingsregels. Als je bijvoorbeeld factuurnummers rangschikt van klein naar groot kan je Excel eenvoudig laten weergeven of er nummers ‘ontbreken’ of ‘dubbel’ voorkomen en hoeveel dit er zijn. Als het verschil tussen het tweede en het eerste nummer groter is dan één, dan ontbreken er gegevens; is dit verschil nul, dan komen er gegevens dubbel voor. Uiteraard is dit een heel eenvoudig voorbeeld en kan er met veel meer voorwaarden rekening gehouden worden. Aangezien een regression tree en een decision tree ongeveer synoniemen zijn, is de ‘regressieanalyse’ eveneens gesteund op een beslissingsboom. Ook de functies ‘gegevens filteren’ en ‘relationele databases’ kunnen maar plaatsvinden omdat er bepaalde voorwaarden vooropgesteld worden. De forensisch accountant moet deze beslissingsregels zelf opstellen. Excel kan deze regels uitvoeren, omdat dit steunt op de techniek van de beslissingsboom.

De Monte Carlo simulatie werkt ongeveer zoals een Bayesian Belief Network: men maakt een schatting van een bepaalde categorie en de waarschijnlijkheid van die schatting is gegeven. 30

Excel als auditsoftware heeft een aantal beperkingen (Lanza, 2006a)


Kan slechts 65 536 rijen gegevens onderzoeken met de versie van 2003, terwijl de database van grote bedrijven vaak veel meer gegevens bevat. De versie 2007 maakt dit al een beetje goed met zijn 1,1 miljoen rijen.




Documenteert het werk dat de auditor uitgevoerd heeft niet in een simpel verslag (dus de auditor kan dit verslag niet gebruiken voor zijn working papers).




Gegevens kunnen gewijzigd worden, waardoor de integriteit niet voldoende beschermd wordt.




Kan niet elk bestandsformaat lezen.




Excel is niet op maat gemaakt van de auditor. Hij kan er wel de nodige informatie uithalen, maar moet er meer moeite voor doen om dit te verkrijgen dan wanneer hij gespecialiseerde auditsoftware zou gebruiken.




Het is niet eenvoudig om een procedure die gebruikt werd op een bepaald bestand eveneens toe te passen op een ander bestand (Lanza, 2006a).

3.2 Microsoft Access Deze tool zit eveneens in het MS Office pakket begrepen, wat ook dit ‘gratis’ maakt. Ze kan echter - in tegenstelling tot Excel - miljoenen gegevens onderzoeken en is meer op maat gemaakt van de auditor. Deze tool is heel gebruiksvriendelijk en laat toe om gemakkelijk gegevens toe te voegen zonder de applicatie te moeten verlaten. Belangrijke voordelen zijn dat je gegevens niet kan wijzigen zonder volmacht en dat je de gemaakte queries kan behouden om later toe te passen in andere bestanden (Lanza, 2004b). De belangrijkste componenten van Access die dataminers verlangen zijn de mogelijkheid tot het opstellen van tabellen, queries en rapporten. Zo kan je bijvoorbeeld queries opstellen om fraude in verband met de uitbetaling van lonen te ontdekken (Johnson, 2005).

Access heeft een aantal functies: het is in staat om Benford’s law toe te passen, voegt twee bestanden samen tot één bestand en maakt berekeningen met behulp van gegevens uit een bepaald bestand. Daarnaast zoekt Access naar identieke en ontbrekende gegevens, kopieert het bepaalde gegevens uit een bestand in een ander bestand en maakt het sorteren van data mogelijk. Ten slotte kunnen bestanden in een ander softwareformaat worden gezet om testen uit te voeren, kunnen kruistabellen en relationele databases gecreëerd worden en kunnen er samenvattingen gemaakt worden van numerieke waarden (Lanza, 2003) & (Lanza, 2004b).

31

Microsoft Access werd ontwikkeld door gebruik te maken van ‘Benford’s law’ en ‘beslissingsbomen’. Deze laatste techniek maakt het mogelijk om identieke en ontbrekende gegevens op te sporen, gegevens te filteren en relationele databases op te stellen. Ook hier stel je ‘als…dan…’ regels op, maar Access is maar in staat hier mee om te gaan, omdat het gebaseerd is op beslissingsbomen.

Access als fraudesoftware heeft als beperking dat het maar efficiënt is, zolang de gegevensbestanden niet groter zijn dan 1 Gigabyte. Bij bestanden die groter zijn, werkt het heel traag (Lanza, 2006b).

Voorgenoemde software wordt voornamelijk gebruikt als eerste screening en is niet ontwikkeld met als primair doel fraude op te sporen. Onderstaande programma’s daarentegen werden specifiek ontwikkeld om de taak van de auditor te verlichten.

3.3 TopCAATs TopCAATs is een heel recent ontstaan softwareprogramma dat als doel heeft fraude op te sporen en binnen de vertrouwde omgeving van Microsoft Excel werkt. Het is bijgevolg heel gebruiksvriendelijk en vereist dus weinig of geen training. TopCAATs kan evenveel gegevens aan als Excel. Voor de versie van 2007 betekent dit concreet dat er 1,1 miljoen rijen zijn, hoewel de 65 534 van vorige versies voor de meeste rapporten al voldoende is. Het programma reduceert de benodigde tijd van de auditor met 100 uren per jaar, maar de auditor blijft een noodzakelijke spilfiguur voor het selecteren van de gepaste testen en het interpreteren van de verkregen resultaten. Het kan zowel op steekproefgegevens als op het volledige grootboek toegepast worden (What is TopCAATs?, 2008).

TopCAATs beschikt over meer dan 100 functies, waaronder het toepassen van Benford’s law om de natuurlijkheid van de getallen na te gaan, het detecteren van outliers - wat gebeurt via de Relative Size Factor techniek - om vervolgens de aard hiervan te ontdekken, het vergelijken van bestanden om te verifiëren of gegevens in beide bestanden identiek zijn, het opsporen van ontbrekende getallen, stratificatie, het filteren van gegevens en het opstellen van relationele databases, wat ook hier kan omdat TopCAATs gebaseerd is op de techniek van de beslissingsboom.

32

Daarnaast produceert TopCAATs samenvattingen van gegevens op cutoffdatum, voegt het twee bestanden samen tot één bestand, maakt het berekeningen met behulp van gegevens uit een bepaald bestand, worden gegevens gesorteerd, kunnen bestanden in een ander softwareformaat worden gezet om testen uit te voeren en kunnen kruistabellen gecreëerd worden. Er is mogelijkheid om steekproeven te trekken, statistische getallen te berekenen, accumulatie van numerieke gegevens toe te passen en verschillen tussen twee versies van rapporten aan te halen (Lanza, 2009).

Specifiek voor audit werden sectiemodules ontwikkeld, die toelaten om op een snelle manier bijna elke categorie van de balans aan analyse te onderwerpen en speciaal te kijken naar de gebieden met een verhoogd risico. Binnen elke module worden er berekeningen gemaakt door TopCAATs, die vervolgens nagaat of de gerapporteerde en de berekende gegevens overeenkomen (Section modules, 2008).

3.4 ACL ACL, voluit Audit Command Language, maakt het mogelijk om op snelle wijze de effectiviteit van de interne controlesytemen te valideren, zodanig dat de bedrijfsdoelstellingen kunnen bereikt worden. De flexibiliteit van dit softwarepakket laat toe om een reeks analytische auditbenaderingen te implementeren (auditanalyses, regelmatige controles van de auditplannen en automatische en continue controlemonitoring van de dagelijkse operaties van kritische businessprocessen) en om op een kostefficiënte manier alle gegevens te bestuderen, te onderzoeken en te analyseren. Sinds 1987 stelt ACL financiële beslissingsnemers in staat om fraude op te sporen, risico’s te verminderen en winsten te verhogen. Door gebruik te maken van ACL

kunnen

ook

de

lonen,

uitgaven

van

werknemers,

handelsvorderingen

en

leveranciersschulden, die vatbaarder zijn voor fraude, onderzocht worden op een adequate manier (Products, 2009).

Het ACL programma bestaat uit 3 grote onderdelen: ‘view’, ‘navigator’ en ‘command log’. Het ‘viewvenster’ bestaat uit de gegevens die bewerkt, gesorteerd en gewijzigd kunnen worden om er vervolgens testen mee uit te voeren, het ‘navigatorvenster’ geeft tabellen en andere objecten weer, terwijl het ‘command log venster’ het onderdeel is dat de resultaten en de conclusies van de testen bijhoudt en toegevoegd kan worden aan de werkpapieren van de auditor.

33

ACL heeft al grote faam verworven en wordt ingeschakeld door onder andere 85% van de Fortune500 bedrijven en dit in 150 landen. Ook Deloitte (Audit Command Language (ACL), 2009) en de andere Big Four bedrijven maken gebruik van ACL.

ACL heeft als algemene functies: samenvattingen van oudere gegevens op de cutoffdatum produceren (aging), Benford’s law toepassen, twee bestanden samenvoegen tot één bestand, berekeningen maken met behulp van gegevens uit een bepaald bestand, gemiddelden, standaarddeviatie, … berekenen, gegevens sorteren en stratificatie toepassen. Daarnaast zoekt ACL naar gegevens die dubbel voorkomen, kopieert het bepaalde gegevens uit een bestand in een ander bestand, spoort het onvolledigheden op en maakt het sorteren van data mogelijk. Tenslotte zijn toevallige steekproeven mogelijk, kunnen bestanden in een ander softwareformaat worden gezet om testen uit te voeren, kunnen kruistabellen en relationele databases gecreëerd worden en is er accumulatie van numerieke gegevens. (Lanza, 2003) & (Lanza, 2004a). Uit deze functies blijkt dat ook ACL steunt op Benford’s law en dat ook hier de stratificatie, het opsporen van ontbrekende en dubbele gegevens, het opstellen van relationele databases en het filteren van gegevens enkel mogelijk is door de techniek van de beslissingsboom.

De ACL software beschikt over een aantal versies, die telkens de klemtoon ergens anders leggen.

De desktop editie zorgt voor een analyse en geïntegreerde rapportering van alle gegevens en transacties. Het maakt enkel-lezenbestanden aan, zodat de integriteit van de brongegevens niet geschaad wordt. De tool identificeert trends en gaat op zoek naar outliers. Zelfs de kleinste afwijkingen kunnen gevonden worden. Dit is mogelijk omdat het programma steunt op een Neuraal Netwerk en de Relative Size Factor. Daarnaast normaliseert het gegevens om consistentie en accurate resultaten te verzekeren en worden de analytische testen geautomatiseerd. Via e-mail ontvang je meteen informatie over de resultaten (ACL Desktop Edition, 2009).

ACL AuditExchange 2009 is het eerste analytisch gemanaged platform ter wereld dat speciaal voor auditteams ontwikkeld werd. Door dit systeem verbetert de productiviteit en de performantie. Kritieke auditinformatie wordt opgeslagen op 1 centrale locatie, zodat ieder lid van het auditteam het gemakkelijk kan terugvinden en ermee kan werken op zijn specifiek domein. Zelfs wanneer iemand van het team het bedrijf verlaat, kunnen de overblijvende werknemers deze kennis blijven gebruiken (ACL AuditExchange, 2009). 34

ACL Server Edition geeft de mogelijkheid tot het eenvoudig onderzoeken en vergelijken van 100% van de gegevens, alsof die zich op je desktop bevinden. Bovendien kan je gegevens vergelijken die afkomstig zijn van verschillende systemen om op deze manier foutieve transacties te ontdekken. Je kunt ze direct verwerken op de server, waardoor je dezelfde voordelen als de server geniet: fouttolerantie, automatische back-up, veiligheid, betrouwbaarheid en een groot verwerkingsvermogen. ACL zorgt er wel voor dat brongegevens niet veranderd worden. Via de ‘data definition wizard’ kan je de tabellen, gegevens en velden selecteren die je nodig hebt voor je analyse. De efficiëntie van je analyse stijgt, je bespaart tijd en de performantie wordt groter. (ACL Server Editions, 2007). De continue controlemonitoring (CCM), die rekening houdt met de SOx wetgeving (cfr. supra), verschaft een onafhankelijk controlemechanisme om de effectiviteit van de interne controles te verzekeren, om de operationele risico’s te verminderen, om het winstverlies te minimaliseren en om het risico van fraude te temperen, terwijl het voldoet aan bepaalde wettelijke vereisten. CCM is in staat om verdachte activiteiten en problemen rond scheiding van taken op te sporen en geeft meteen informatie over verdachte zaken via een web browser interface. De analytische parameters van dit controlesysteem kunnen aangepast worden, zodat ze aan de specifieke vereisten van de organisatie voldoen. CCM beschikt over verschillende modules (Continuous Controls Monitoring, 2009): Purchase to payment module: identificeert betalingen/lonen die te hoog zijn, vergeten kortingen, fraude en inefficiënties. De outliers kunnen ontdekt worden via de Relative Size Factor. Purchasing Card Module: identificeert ongeautoriseerd gebruik van betaalkaarten door hoge volumes aankooptransacties te controleren en te analyseren. Travel & Entertainment Module: kijkt of het beleid van de organisatie met betrekking tot reis- en andere extra uitgaven gevolgd wordt, spoort alle uitgaven op en rapporteert op basis hiervan misbruik en eventuele fraude. General Ledger Module: kijkt of de integriteit van de boekingen niet geschonden wordt. Dit moet er voor zorgen dat er minder fouten voorkomen in de jaarrekeningen en dat de afsluiting van het boekjaar sneller kan gebeuren.

35

Payroll Module: stelt je in staat om meteen fouten, fraude of misbruiken te ontdekken in de betalingen van de lonen en om dus te kijken of deze wel overeenkomen met de in de contracten vastgelegde bedragen. Order to Cash Cycle Module: identificeert de plaatsen waar inkomsten wegvloeien en merkt verdachte transacties op (Continuous Controls Monitoring, 2009). Het interne controleproces is geautomatiseerd, waardoor de taak van de auditor om toe te kijken of alles wel volgens de regels gebeurt kleiner wordt. Voordelen van CCM (Continuous Controls Monitoring, 2009)


Geeft een snelle waarschuwing aan het management dat er iets fout is, zodat deze snel kunnen ingrijpen.




Test ALLE transacties en gegevens.




Spoort fraude nog beter op en reduceert hierdoor businessrisico’s.




Werkt efficiënt en effectief.

Navraag bij enkele bedrijven leerde mij hoe en waarvoor ACL gebruikt wordt en wat hun oordeel hierover is. Deze informatie heb ik verkregen via een eenvoudig contact en diende enkel om te peilen naar de toepassing van de softwarepakketten in de realiteit.

a)

PricewaterhouseCoopers

PricewaterhouseCoopers (PWC) ziet ACL eerder als een tool om audit te ondersteunen dan om forensische accounting mee te voeren. Toch maken ze er gebruik van voor kleinere opdrachten, waarbij ze zelf niet de tijd hebben om de nodige queries te schrijven of op speciaal verzoek van hun klanten. Een forensisch accountant van PWC gaf volgende voor- en nadelen aan, vanuit haar persoonlijke ervaring met ACL. Als voordelen merkte ze op dat ACL een aantal functionaliteiten heeft, zoals het opsporen van ontbrekende gegevens, clusteren, snelle samenvattingen maken, … die eveneens grafisch voorgesteld worden, wat het geheel overzichtelijker maakt. De grafische interface, bestaande uit alles wat werken met een programma eenvoudiger maakt, zoals iconen, de mogelijkheid tot verdelen van het venster in 2 delen, …, wordt eveneens vaak gezien als een voordeel, hoewel het niet bijdraagt tot dieper onderzoek.

36

Een eerste nadeel is dat ACL bepaalde stappen onderneemt zonder de onderzoekers hiervan op de hoogte te brengen. Zo maakt het afrondingen tot op decimalen, terwijl dit tot grote verschillen kan leiden in het uiteindelijke resultaat. Je kunt zelf scripts schrijven om de functionaliteiten uit te breiden, maar het is in een andere ‘taal’, die veel minder gekend is dan SQL. In de server edition is het niet evident om queries te wijzigen om het programma sneller te laten werken. (Trivino Sally, PWC, 19 maart 2009).

b)

Deloitte

Deloitte maakt gebruik van ACL, maar vult dit aan met zelfgeschreven queries. Voor het schrijven van deze queries vertrekken ze vanuit hun eigen ervaringen met fraudegevallen. Op basis van onderzoek dat ze zelf hebben uitgevoerd gedurende de afgelopen tien jaar hebben ze een lijst van fraude-indicatoren opgesteld. Al deze indicatoren werden vertaald naar dataanalysetesten, (bijvoorbeeld leveranciers met het adres van een werknemer, heractivatie van oude leveranciers, transfers van oude bedragen naar wachtrekeningen, klanten/leveranciers met een ongeldig BTW-nummer, betalingen naar bankrekeningnummers die niet in de leveranciersmasterdata staan, …) die vervolgens geautomatiseerd werden onder de vorm van ACL scripts en SQL statements.

3.5 ActiveData Dit is een softwareprogramma van InformationActive Inc. dat je in staat stelt gegevens te analyseren en te controleren op een vlotte, goedkope wijze. De bedoeling van dit product is de auditor zijn werk beter en vlotter te laten uitvoeren, waardoor de kans op fraude daalt en aandeelhouders of investeerders een grotere zekerheid krijgen van de correctheid van de bedrijfsgegevens. Via deze tool kan je bestanden vergelijken en samenvoegen, identieke en ontbrekende gegevens opsporen, Benford’s law toepassen, statistiek uitvoeren, relationele databases creëren, accumulatie van numerieke gegevens, … . Ook ActiveData steunt dus op Benford’s law en beslissingsbomen (Lanza, 2009).

Dit pakket wordt vooral gebruikt om de items ‘te innen vorderingen’ en ‘handelsdebiteuren’ te onderzoeken op onregelmatigheden. Veel bekende en grote bedrijven maken gebruik van deze software waaronder BDO, Ernst&Young, Procter&Gamble, …Door toepassing van ActiveData spaart de auditor veel tijd uit, waardoor het kostenefficiënt is. Als dit programma een uitbreiding is van het gewone Microsoft Excelpakket en bijgevolg evenveel gegevens aankan, spreken we over ActiveData for Excel. Gaat het echter om een grotere hoeveelheid gegevens, dan kan er 37

gebruik gemaakt worden van ActiveData for Office, wat een uitbreiding vormt op het Officepakket. Aangezien het zich situeert binnen de Officeomgeving vereist het weinig of geen training om hier vertrouwd mee te geraken. ActiveData for Excel voegt meer dan 100 functies toe aan de gewone Excelsoftware en laat de auditor toe allerlei gegevensanalyses door te voeren, de werkboeken en bestanden te beheren en controle te hebben over de geselecteerde gegevens, maar is beperkt tot de capaciteit van Excel (ActiveData For Excel - Detailed Overview, 2008). ActiveData For Office kan een veel groter aantal gegevens aan, maar blijft werken binnen het Microsoft Office pakket. Het integreert bijgevolg MS Access, Word, Excel en Internet Explorer (ActiveData For Office - Detailed Overview, 2008). Tabel 4 geeft de eigenschappen van ActiveData for Excel en ActiveData for office weer. Eigenschap

ActiveData for Excel

ActiveData for Office

1 048 576 rijen (Excel Aantal te bewerken records

2007) 65 536 rijen (Excel

2 biljoen rijen

2000, XP, 2003) Toevoegen/samenvoegen van gegevens







Excelgebaseerde

uitgebreider dan Excel

Audit log: telkens wanneer er iets significant verandert een record schrijven met wat/wanneer veranderde

records

Berekeningen uitvoeren op velden







Digitale analyse (Benford's law)







Opsporen van ontbrekende gegevens







Opsporen van identieke gegevens













Bestanden omzetten in ander opmaak (bv van Excel naar Word)

38

Sorteren van gegevens













bestand zetten







Mogelijkheid om steekproeven te trekken

























Gegevens uit bestanden halen en naar andere bestanden overbrengen Gegevens uit meerdere bestanden in 1

Statistische getallen berekenen op de gegevens Laat toe om samenvattingen te maken van bepaalde gegevens Manipulatie van gegevens binnen de Excel spreadsheets Navigeren door je excel werkboeken mbv workbook navigator




Ondersteunende bestanden toevoegen/ mogelijkheid om verschillende bestanden




samen te openen en samen aan te werken Vastleggen van acties om te


automatiseren Licentiekost per gebruiker

$249

$449

Tabel 4: Vergelijking tussen ActiveData for Excel en ActiveData for Office (Eigen werk, gebaseerd op ‘Comparison of ActiveData for Excel vs. ActiveData for Office, 2008’) Tabel 4 toont dat beide soorten slechts in een aantal zaken van elkaar verschillen: ActiveData for Office kan veel meer records onderzoeken en kan acties automatiseren. Daarnaast is er de

39

mogelijkheid om verschillende bestanden samen te openen en er samen aan te werken. Anderzijds

is

ActiveData

for

Excel

veel

goedkoper

Verder vertonen beide ook heel wat gelijkenissen.

dan

ActiveData

for

Office.

ActiveData beschikt over verschillende

functies die ook bij de andere softwarepakketten terug te vinden zijn.

3.6 IDEA IDEA, voluit Interactive Data Extraction and Analysis, laat toe om tegen lage kost interne controle uit te voeren en op deze wijze fraude op te sporen. IDEA wordt gebruikt in 13 talen en 90 landen door onder andere financiële en interne auditors, forensische accountants en managers (IDEA, product profile, 2007). Dit softwarepakket maakt het mogelijk gegevens te toetsen aan Benford’s law en steunt op beslissingsbomen (IDEA, features & functions, 2007).

IDEA heeft een aantal functies. De meest gebruikte functie van IDEA is de extractiefunctie, die items identificeert die aan bepaalde vereisten voldoen. Deze vereisten worden ingevoerd door gebruik te maken van de ‘equation editor’ en alle records die hieraan voldoen worden vervolgens als output in een nieuwe database gestopt. Als een bestand toegevoegd wordt aan de IDEA database en ongeldige gegevens bevat, dan wordt er automatisch een database gecreëerd waarin deze fouten worden opgenomen, wordt in het oorspronkelijke bestand de fout aangeduid in het rood en krijgt het de vermelding ‘error’. Met de zoekfunctie kan je snel de gewenste informatie terugvinden. IDEA maakt stratificatie mogelijk,

spoort

identieke

bestanden

(bijvoorbeeld

identieke

rekeningnummers,

factuurnummers,… ) en ‘gaten’ (bijvoorbeeld checknummers vanaf een bepaald bedrag) op. Deze functies kunnen uitgevoerd worden omdat dit softwarepakket steunt op de techniek van de beslissingsbomen.

IDEA beschikt over een ‘visual connector’ (IDEA, features & functions, 2007), die het mogelijk maakt een database te creëren. Deze is opgebouwd uit andere databases waartussen er een link bestaat omdat ze gemeenschappelijke delen hebben. IDEA beschikt ook over een functie die velden uit twee databases in één database samenbrengt, waarop er vervolgens testen kunnen uitgevoerd worden. De vergelijkingsfunctie laat toe om numerieke velden uit twee verschillende bestanden te vergelijken en zo hieruit verschillen te ontdekken. IDEA laat eveneens toe om gegevens te sorteren, zodat de performantie van sommige functies verbetert. Velden kunnen worden toegevoegd, verwijderd of veranderd van naam. Om de gegevens grafisch voor te stellen kan je via IDEA allerlei soorten grafieken tekenen. Het is eveneens mogelijk om statistische 40

getallen te berekenen (minimum, maximum, gemiddelde, standaardafwijking,…). Met de ‘agingfunctie’ kan je bestanden oproepen vanaf een specifieke datum. Dit kan bijvoorbeeld gaan om openstaande rekeningen die je op het einde van het jaar oproept, zodat je kunt bepalen hoe groot de provisie voor dubieuze debiteuren moet zijn (IDEA, features & functions, 2007). IDEA laat toe om berekeningen te maken met behulp van gegevens uit een bepaald bestand en bepaalde gegevens uit een bestand te kopiëren in een ander bestand. Ook zijn toevallige steekproeven mogelijk, kunnen bestanden in een ander softwareformaat worden gezet om testen uit te voeren en kunnen kruistabellen gecreëerd worden.

Benford’s law kan toegepast worden, omdat de software ook op deze techniek gebaseerd is (Lanza, 2003) & (Lanza, 2004a).

Voordelen (IDEA, features & functions, 2007):


Aangezien IDEA ontworpen is door auditors, voldoet dit aan de vereisten van auditors en stelt het je in staat om je mogelijkheden tot controle uit te breiden.




Gebruiksvriendelijk: je hoeft geen uitgebreide ICTkennis te hebben om met IDEA te kunnen omgaan.




Werkt met een alleen-lezenbestand, waardoor de brongegevens niet gewijzigd kunnen worden.




IDEA stelt je in staat om op een kostefficiënte en tijdsefficiënte manier fraude op te sporen.




Vereist Windows 2000, Windows XP of Windows Vista als sturingssysteem. Er is dus geen grote kost nodig om IDEA te implementeren, aangezien een groot deel van de bedrijven ondersteund worden door Windows. De resultaten kunnen in elke normale wordformaten, spreadsheets, HTML, XML, PDF of RTF gerapporteerd worden.

De mogelijkheden van IDEA zijn echter beperkt tot de grootte van de harde schijf.

41

3.6.1 Vergelijking van ACL, ActiveData for Excel, IDEA, Excel, Access en TopCAATs Eigenschappen

ACL

ActiveData IDEA

Excel

Access

TopCAATs

Produceert samenvattingen van oudere gegevens

+

+

+

+

-

+

Integreert 2 bestanden in 1 bestand als er identieke velden zijn

+

+

+

+

+

+

Gegevens zijn opgeslagen op centrale server, zodat iedereen er aan kan

+

-

-

-

-

-

+

-

+

-

+

-

Horizontale analyse

-

-

-

+

-

-

Verticale analyse

-

-

-

+

-

-

Maakt berekeningen met behulp van gegevens uit een bepaald bestand

+

+

+

+

+

+

Ratio’s

-

-

-

+

-

-

+

-

+

+

+

+

Steunt op Benford’s law voor het opsporen van eventuele fouten

+

+

+

+

+

+

Trendanalyse

-

-

-

+

-

-

Zoekt naar duplicaten

+

+

+

+

+

+

Maakt een alleen-lezenbestand aan/laat niet toe gegevens te wijzigen zonder volmacht

Maakt kruistabellen, waardoor het toelaat op een overzichtelijke manier bepaalde gegevens te analyseren

42

Maakt het mogelijk om bestanden in een ander softwareformaat te zetten om testen uit +

+

+

+

+

+

Kopieert bepaalde gegevens uit een bestand in een ander bestand (“als” en “waar”)

+

+

+

+

+

+

Performance measure

-

-

-

+

-

-

Spoort onvolledigheden op

+

+

+

+

+

+

Maakt het sorteren van data mogelijk

+

+

+

+

+

+

Laat toe relationele databases te creëren

+

+

+

+

+

+

Maakt toevallige steekproeven mogelijk

+

+

+

-

-

+

Berekent statistische grootheden

+

+

+

+

-

+

Telt waarden binnen bepaalde intervallen

+

+

+

+

-

+

Accumulatie van numerieke gegevens

+

+

+

+

+

+

Laat toe om regressieanalyse uit te voeren

-

-

-

+

-

-

Zoekt naar outliers

+

-

-

-

-

+

Haalt verschillen aan tussen twee versies van een rapport

-

-

-

-

-

+

te voeren

Tabel 5: Vergelijking tussen ACL, ActiveData for Excel, IDEA, Excel, Access en TopCAATs (gebaseerd op Lanza, 2009)

43

Tabel 5 vat de eigenschappen van de besproken software nog eens samen. Hieruit blijkt dat het nut van Excel (en zijn add-ins ActiveData en TopCAATs) zeker niet onderschat mag worden. Het heeft een aantal unieke eigenschappen, zoals de mogelijkheid tot het voeren van een regressie- en een trendanalyse, het berekenen van ratio’s, het toepassen van een horizontale en verticale analyse en de performance measure. Opmerkelijk is dat alle programma’s in staat zijn om Benford’s law toe te passen. ACL en TopCAATs zijn de enige tools die outliers kunnen opsporen. Excel, ActiveData for Excel en TopCAATs maken echter geen kopie van de benodigde gegevens, terwijl ACL, IDEA en Access dit wel doen, waardoor de brongegevens bij deze laatste drie niet veranderd worden. Al deze pakketten kunnen goed ingezet worden voor fraudeopsporing: Excel en Access voornamelijk als eerste screening, aangezien deze wel de testen uitvoeren, maar de procedure omslachtiger is, terwijl ACL en IDEA ontworpen zijn met de bedoeling fraude op te sporen en bijgevolg efficiënter te werken (Lanza, 2009).

Er zijn nog een aantal verschillen die niet in de tabel zijn opgenomen. Wat de prijs betreft is de gebruikerslicentie van ACL en IDEA meer dan dubbel zo duur als die van de andere software. Deze laatste twee kunnen wel meer en op snellere wijze informatie verwerken. ActiveData for Office werkt ook snel, in tegenstelling tot ActiveData for Excel en Excel zelf (Lanza, 2006b).

Uit onderzoek (The 12th Annual Internal Auditor Software Survey, 2006) naar de software die gebruikt wordt voor gegevensextractie en -analyse is gebleken dat bedrijven het vaakst gebruik maken van Excel, gevolgd door ACL. De tevredenheid over de functionaliteiten van ACL liggen echter hoger dan die van Excel. Als software om fraude (preventief) op te sporen gebruikt 35% van de ondervraagden ACL, 34% Excel, 6% Access en 5% IDEA, hoewel de tevredenheid over IDEA een stuk hoger ligt dan die over Excel. ACL en Excel zijn ook de softwarepakketten die voornamelijk gebruikt worden bij het continu opvolgen van gegevens.

3.7 EnCase Dit softwarepakket werd ontwikkeld door Guidance in 1997 (EnCase Forensic Features and Functionality: Every Investigation Matters, 2008). Guidance Software is leider in digitale onderzoeksoplossingen. Hun klantenbestand bestaat uit meer dan 100 van de Fortune500 bedrijven, maar ook overheden, kleine bedrijven, consultingbedrijven en rechtbanken maken gebruik van deze tool. Enkele van hun bekende klanten zijn Chevron, Ford, Pfizer, PricewaterhouseCoopers,…

44

Op een snelle, maar grondige wijze worden met behulp van deze tool digitale gegevens onderzocht, geanalyseerd en gerapporteerd, terwijl men nauwlettend in het oog houdt dat dit alles op correcte wijze verloopt. Guidance biedt verschillende softwarepakketten aan, maar wat relevant is met betrekking tot deze masterproef is het pakket EnCase Forensic en EnCase Enterprise Edition.

a)

EnCase Forensic

Met behulp van deze eerste tool kan de auditor grote hoeveelheden digitale gegevens (op harde schijf of op CD-rom) behandelen. Het programma kan ingezet worden voor het opsporen van uiteenlopende zaken, bijvoorbeeld het opsporen van financiële fraude, belastingfraude, onderzoek naar overtreding van het concurrentiebeding,… EnCase Forensic beschikt over een intuïtieve grafische gebruikersinterface, superieure analyse, versterkte e-mail- en internetondersteuning en een sterke scripting engine, waardoor het in staat is grootschalige en ingewikkelde onderzoeken van het begin tot het einde goed uit te voeren (EnCase Forensic Features and Functionality: Every Investigation Matters, 2008). Hoe werkt EnCase Forensic nu precies?

Figuur 8: Werking van EnCase Forensic in 4 stappen (How EnCase Forensics works, 2007)

Uit figuur 8 blijkt dat er 4 stappen te onderscheiden zijn (EnCase Forensic Features and Functionality: Every Investigation Matters, 2008). In de eerste stap wordt er een exacte kopie gemaakt van het originele bestand. Men verifieert de integriteit door MD5 (Message Digest Algorithm 5) hashwaarden te produceren voor de gerelateerde bestanden en door het voeren van een Cyclische overtolligheidcontrole (CRC). Men vergelijkt de hashwaarden en de originele waarden. Als blijkt dat deze dezelfde zijn, mag men aannemen dat de gegevens niet gewijzigd zijn. CRC is een manier om bitfouten, die optreden tijdens gegevensopslag of transport, op te

45

sporen. Men controleert dit om er voor te zorgen dat er aan het bewijs niets veranderd wordt en dat het nadien als rechtsgeldig bewijs in de rechtbank kan gebruikt worden. Wanneer deze kopies klaar zijn kan de onderzoeker de bestanden van meerdere media of schijven gezamenlijk onderzoeken. Er wordt ook een index voorzien in meerdere talen die toelaat op een snelle en efficiënte wijze het gewenste bestand te vinden (EnCase Forensic Features and Functionality: Every Investigation Matters, 2008).

In een derde stap worden de verdachte bestanden onderzocht en geanalyseerd. Encase is ondermeer in staat internet en e-mail te doorzoeken, op zoek te gaan naar specifieke tekst binnen de documenten, bestanden terug te vinden die men heeft proberen verwijderen, … . Daarnaast kan EnCase patronen ontdekken in wanneer bestanden werden aangemaakt en het laatst gewijzigd of geopend werden (Fei, B.K.L., 2007). Je kunt ook bestanden analyseren door gebruik te maken van de vele ingebouwde filters en voorwaarden. Deze filters en voorwaarden kan je ook combineren via ‘en’ en ‘of’, zodat je nieuwe queries verkrijgt. Via Enscript, een programmeertaal die vergelijkbaar is met Java, kan je programma’s ontwikkelen die tijdrovende onderzoekstaken of procedures automatiseren (EnCase Forensic Features and Functionality: Every Investigation Matters, 2008).

Als laatste stap stelt de onderzoeker een rapport op voor het management (dit is eveneens bruikbaar in de rechtbank) wanneer relevante gegevens op het spoor gekomen zijn. Deze gegevens kunnen in meerdere bestandsformaten opgesteld worden om ze opnieuw aan onderzoek te onderwerpen. Dit rapport bevat een lijst van alle onderzochte bestanden en van alle bezochte URL’s, samen met het tijdstip waarop deze sites werden bezocht (EnCase Forensic Features and Functionality: Every Investigation Matters, 2008).

Voordelen van EnCase Forensic:


Bewijsmateriaal wordt op een correcte manier ontdekt en vastgelegd.




Er wordt niets veranderd in het oorspronkelijke bestand, aangezien men een kopie gebruikt.




Er wordt automatisch een rapport opgesteld van de gegevens.




Aangezien fraude vroegtijdig opgespoord wordt, probeert men te beperken dat de reputatie van het bedrijf geschaad wordt.




MD5-hash checksums waarborgen de integriteit (Guidance, EnCase, Forensic edition, Onderzoek van data en bewijsvoering, 2009).




Deze ene tool werkt op verschillende besturingssystemen. 46




Verkort

de

onderzoekstijd

door

taken

te

automatiseren

met

behulp

van

voorgeprogrammeerde EnScript modules.


Is in staat informatie te ontdekken die men heeft proberen verwijderen of verbergen.




Gaat gemakkelijk om met grote hoeveelheden gegevens.




Laat toe om bewijsstukken van fraude te gebruiken in een rechtszaak.




Laat toe aan niet-ingewijden om het bewijs te begrijpen met behulp van een reviewoptie. (EnCase Forensic, 2007)

Nadeel
b)

Het is een van de duurste commerciële tools voor fraudeopsporing (Fei, 2007).

EnCase Enterprise Edition

Deze software voert een forensische analyse uit op de servers en werkstations overal in het netwerk en zorgt ervoor dat er onmiddellijk gereageerd wordt op fouten. Door gebruik te maken van deze tool, wordt het tijdrovende onderzoeksproces geautomatiseerd (EnCase Enterprise, 2008). Deze software voegt aan EnCase Forensic netwerkversterkende capaciteiten toe voor beveiliging, administratie en onderzoek. EnCase Enterprise werkt door 5 componenten, namelijk de ‘examiner’, de ‘SAFE’ (Secure Authentication For EnCase), de ‘Servlet’, de ‘Enterprise Connection’ en de ‘Incident Response Analysis (snapshot)’, samen te brengen in 1 systeem. De ‘examiner’ is de software die de onderzoeker toelaat de aangeduide knooppunten te onderzoeken. De ‘SAFE’ is een server die de gebruikers legaliseert, toegangsrechten beheert, een overzicht behoudt van de transacties, communicatie regelt tussen de Examiner en de Servlet en voorziet in veilige gegevenstransmissie. De SAFE communiceert met de onderzoekers en de gewenste knooppunten door gebruik te maken van gecodeerde gegevens, zodat de onderlinge communicatie tussen de componenten beschermd wordt. De ‘Servlet’ is een passief softwareinstrument dat geïnstalleerd is op de werkstations en constante bescherming moet bieden. De ‘Enterprise Connection’ zorgt voor een veilige, virtuele verbinding tussen de onderzoeker en de te onderzoeken knooppunten. De ‘Incident Response Analysis (snapshot)’ tenslotte verschaft op een snelle manier gedetailleerde informatie over een situatie op een specifiek moment. EnCase Enterprise werkt als volgt (figuur 9): in een eerste fase logt de onderzoeker in op de SAFE, de server die ervoor zorgt dat hij toegang krijgt. Eens hij ingelogd is, zendt de 47

onderzoeker een verzoek tot informatie naar het knooppunt dat hij wenst te onderzoeken. Deze verkregen informatie wordt aan onderzoek onderworpen en - indien nodig - verder geanalyseerd. Tenslotte wordt er een rapport opgesteld (How EnCase Enterprise Works, 2008).

Figuur 9: Werking van EnCase Enterprise (How EnCase® Enterprise Works, 2008)

Voordelen van EnCase Enterprise:
Werkt op verschillende platforms: Windows, Linux, ….
De resultaten van dit onderzoek kunnen rechtsgeldig gebruikt worden in een rechtszaak.
Identificeert fraude, waar het ook plaatsvindt in het netwerk (EnCase Enterprise, 2008).
Reageert onmiddellijk, zonder dat het systeem tot stilstand moet worden gebracht, waardoor de schade beperkt is.
Onderzoekt en analyseert meerdere machines tezelfdertijd op diskniveau.
Vindt informatie, zelfs al heeft men die proberen verbergen of verwijderen (EnCase Enterprise Detailed Product Description, 2005).

48

EnCase steunt op de techniek ‘beslissingsboom’, aangezien er een aantal voorwaarden en filters reeds ingebouwd zijn in het programma, die je zo kunt gebruiken of die je kunt combineren om nog specifiekere queries te maken. PWC maakt gebruik van het EnCasepakket. Ook hier verkreeg ik via een interview informatie over wat hun ervaringen zijn en welke tekorten ze ervaren.

PricewaterhouseCoopers Zoals reeds aangehaald is PWC een gebruiker van EnCase. Ze gebruiken dit om kopieën te maken van elektronische media, zoals CD’s, om aan forensisch onderzoek te onderwerpen. PWC vindt het een voordeel dat EnCase de mogelijkheid biedt om volledige forensische weerspiegelingen te maken met een hoge betrouwbaarheid en vrij eenvoudig te gebruiken interface. Een ander voordeel is volgens hen de scripting functie (die toelaat om bepaalde taken te automatiseren) en de mogelijkheid om meerdere bestandssystemen te ondersteunen. Als nadelen halen ze aan dat de tijd die nodig is om gegevens te verwerven relatief lang is en dat de opgestelde index minder goed is in vergelijking met andere door hen gebruikte tools. De manier waarop e-mails onderzocht worden vinden ze minder goed. (Trivino Sally, PWC, 19 maart 2009).

3.8 Ktrace KPMG ontwierp zelf software voor fraudedetectie, genaamd Ktrace. Dit helpt forensische accountants om onregelmatigheden in grote hoeveelheden gegevens te ontdekken. Eén van de testen die Ktrace uitvoert is Benford’s law. Daarnaast wordt er bij de meeste testen op zoek gegaan naar transacties die aan bepaalde voorwaarden voldoen en onderzoekt men of er geen gegevens dubbel voorkomen. Dit kan dus omdat Ktrace gebaseerd is op een beslissingsboom (De Cremer Hilde, KPMG, 13 oktober 2008). Ktrace (Introducing KPMG’S Approach to Proactive Forensic Data Analysis: Ktrace, 2009) helpt bij het opsporen van fictieve personeelsleden en verkopers, illegale transacties, fouten met betrekking tot facturen, inkomsten en uitgaven die bewust klein gehouden worden, …

De software creëert een TRACE diagram (Transactional Representation of Assets and Court Evidence) dat een bondige samenvatting geeft van de onderzochte transacties, van waar het verdwenen geld naartoe is, van wie de betrokkenen zijn, … en ondersteunt hiermee rechtszaken (Nunn, McGuire, Whitcomb, Jost, 2006).

49

Ktrace onderzoekt volgende categorieën (De Cremer Hilde, KPMG, 13 oktober 2008): handelsschulden, betaalkaarten, te innen vorderingen, voorraden, lonen, uitgaven voor zakenreizen, verkopen en reserves. Bij ‘handelsschulden’ onderzoekt men of de verkopers en de rekeningen niet fictief zijn en of er geen gedupliceerde rekeningen zijn. Verder kijkt men ook naar gestructureerde betalingen, belangenconflicten en provisies. Onder ‘betaalkaarten’ onderzoekt men of er sprake is van gedupliceerde aankoop- en vergoedingsschema’s, ongeautoriseerde en onjuiste aankopen en ongeautoriseerde gebruikers. ‘Te innen vorderingen’ moet onderworpen worden aan onderzoek naar het werkelijke bestaan van de klant. Ook bij de ‘voorraden’ wordt er nagegaan of de geboekte aankopen werkelijk gebeurd zijn, noodzakelijk waren en niet gedupliceerd waren, of deze voorraden wel op de juiste manier afgeschreven worden, wat de oorzaken zijn van een plotse enorme voorraadverlies en of de provisies en de betalingen niet illegaal gebeuren. Bij ‘lonen’ moet men controleren of de lonen niet werden uitgekeerd aan fictieve personen, of de extra betalingen en bonussen juist gebeuren en of de salarissen en uren aan inflatie onderworpen zijn. In de categorie ‘uitgaven voor zakenreizen’ controleert Ktrace of de uitgaven wel echt gebeurd zijn en slechts één keer aangerekend werden, of de betaalkaart van het bedrijf correct gebruikt werd voor deze uitgaven en of dit enkel gebruikt werd voor uitgaven gerelateerd aan het werk. Ook bij ‘verkopen’ wordt gekeken of de verkopen echt gebeurd zijn, of de klanten echt bestaan en of de verkopen op het juiste moment geboekt werden. Bij ‘reserves’ stelt men zich de vraag of de uitgaven correct gedaan werden en niet fictief waren en of er geen te grote reserves aangelegd werden om het inkomen lager te doen lijken. De software gaat eveneens na of er geen sprake is van earnings management en of het management geen te hoog commissieloon kreeg. Ktrace maakt gebruik van een combinatie van gevorderde analytische gegevenstools en methodologie. Het programma doorzoekt alle gegevens op fraude in plaats van enkel een steekproef te nemen en laat toe om gegevens die fout lijken verder te onderzoeken. Verder maakt het op een geïntegreerde wijze gebruik van externe gegevens.

Figuur 10 maakt de werking duidelijk: men stopt alle bestanden die men wil onderzoeken op potentiële red flags in het programma. Dit programma maakt een analytisch proces door. In dit proces gaat men na of relationele databases geen dubbele of foutieve informatie bevatten (normalisatie) en of de gegevens voldoen aan bepaalde vereisten (validatie).

50

De te onderzoeken gegevens worden getoetst aan gegevens uit een externe database. Daarnaast maakt men gebruik van algoritmen. Ktrace trekt enkel conclusies op basis van het resultaat van meerdere algoritmen en niet zomaar omwille van 1 onregelmatigheid. Wanneer de gegevens deze analytisch testen doorlopen hebben, geeft een rapport alle mogelijke fouten weer in verband met klanten, verkopers, medewerkers, transacties en rekeningen, die de forensisch accountant vervolgens verder kan onderzoeken (Forensic technology: the new digital era, 2008).

Figuur 10: Werking van Ktrace (De Cremer Hilde, KPMG, 13 oktober 2008)

Belangrijkste voordelen van Ktrace:


Verschaft een gedetailleerde lijst met potentiële red flags en overtredingen van het beleid




Onderzoekt ook de gegevens die makkelijker vatbaar zijn voor fraude (bijvoorbeeld leveranciersschulden).




Identificeert controlegebreken.




Geeft een gedetailleerd overzicht van alle verdachte transacties (De Cremer Hilde, KPMG, 13 oktober 2008).

Belangrijkste nadelen van Ktrace:
Er kan een onjuiste input van parameters gebeuren.
De ontvangen gegevens zijn niet steeds volledig of nauwkeurig.
De resultaten worden onjuist geïnterpreteerd.
Voert een analyse uit, maar vereist meestal dat je hiermee nog verder werkt (De Cremer Hilde, KPMG, 18 maart 2009).

51

Conclusie Wanneer we kijken naar hoofdstuk 2 van deze masterproef, merken we dat deze technieken vrij theoretisch zijn. Een aantal van deze dataminingtechnieken - Benford’s law, beslissingsbomen en de Relative Size Factor - blijken praktisch toepasbaar en zitten grotendeels verweven in de verschillende softwarepakketten die ingeschakeld worden door auditors. De overige technieken Neuraal Netwerk, Bayesian Belief Network en Zipf’s law - blijken goed werkend in theorie, maar zijn minder concreet toepasbaar. Deze technieken vragen veel tijd om opgesteld te worden, waardoor de ontwikkelaars van de softwarepakketten eerder andere technieken gebruiken, waarvan ze weten uit ondervinding dat deze voldoen aan de vereisten van de auditor. In de toekomst kan men proberen om deze technieken nog aan te passen, waardoor ze eenvoudiger te implementeren zijn in de software. Daarnaast kan men op zoek blijven gaan naar nieuwe technieken die nog beter beantwoorden aan de criteria van de auditor.

52

Algemeen besluit Vele bedrijven worden geconfronteerd met fraude, wat grote gevolgen heeft. Om die reden is men op zoek gegaan naar manieren om fraude aan te pakken en preventief op te sporen. Op juridisch vlak zijn er een aantal wetten en normen ontstaan, die de mogelijkheid tot fraude moeten beperken, maar dit lost uiteraard nog niet alles op. Daarnaast worden er forensische accountants ingeschakeld om, met behulp van dataminingtechnieken, fraude vroegtijdig op te sporen. De belangrijkste technieken werden behandeld. De eerste soort is een beslissingsboom, die observaties in mutueel exclusieve subgroepen verdeelt. Een Neuraal Netwerk vervolgens is een niet-lineair statistisch analyseprogramma dat via trial & error historische gegevens vergelijkt met nieuwe gegevens, op zoek gaat naar patronen en automatisch een model creëert voor die gegevens. De waarschijnlijke relatie tussen een aantal variabelen wordt grafisch weergegeven door een Bayesian Belief Network (Kirkos et al., 2007). Benford’s law, genoemd naar Frank Benford, stelt dat, in om het even welke lijst van cijfergegevens, het eerste cijfer in zekere mate voorspelbaar is. Zo komt ‘1’ als eerste cijfer het meest voor en gaat die frequentie achteruit naarmate men dichter ‘9’ nadert (Durtschi et al., 2004). Zipf’s law (Huang et al., 2008), waarvan Benford’s law een speciaal geval zou zijn, is een wet die oorspronkelijk in de linguïstiek werd gebruikt, maar nu zijn opmars maakt in de forensische accountancy. Als laatste techniek is er ook nog de Relative Size Factor, die op zoek gaat naar outliers (Panigrahi, 2006). Een forensisch accountant schakelt steeds vaker een computer in om via bepaalde software zijn werk te vereenvoudigen. Deze software hoeft echter niet duur te zijn (Lanza, 2003) & (Lanza, 2004a/b). Microsoft Excel en Access bijvoorbeeld zijn goedkope tools die weinig tijd vragen, aangezien de meeste computers uitgerust zijn met het Officepakket - maar toch efficiënt zijn als middel om fraude op te sporen. ActiveData en TopCAATs zijn add-ins van Excel en breiden diens mogelijkheden uit. Daarnaast worden ook ACL, IDEA en EnCase vaak ingezet. Sommige bedrijven ontwikkelen hun eigen software, zodat die maximaal inspeelt op hun persoonlijke behoeften. Het voorbeeld dat werd opgenomen in deze masterproef is Ktrace van KPMG (De Cremer Hilde, KPMG, 18 maart 2009). Uiteraard heeft elke techniek zijn voor- en nadelen. Aangezien de manier waarop men fraudeert evolueert, is het nodig dat in de toekomst die nadelen weggewerkt worden en men technieken en software ontwikkelt die nog meer inspelen op de persoonlijke behoeften van elk bedrijf.

53

Lijst van de geraadpleegde werken Boeken Kamber, M. en Han, J., 2006, Data mining: concepts and techniques, San Francisco: Elsevier, pp. 291-306. Rokach, L. en Maimon, O., 2006, Data mining and knowledge discovery handbook, USA: Springer, Science & Business, pp. 183-184, pp. 194.

Artikels/papers American Institute of Certified Public Accountants, 2002, What does new audit standard SAS No. 99, Consideration of fraud in a financial statement audit, mean for business and industry members?, The CPA Letter, Business and Industry Supplement, vol. 82, n° 9, november 2002, URL:. Balasubrahmanyan, V.K. en Naranan, S., 2002, Algorithmic information, complexity and Zipf´s law, Glottometrics, n° 4, 2002, pp. 1-26. Calderon, T.G. en Cheh, J.J., 2002, A roadmap for future neural networks research in auditing and

risk

assessment,

International

Journal

of

Accounting

Information

Systems

vol 3,n° 4, december 2002, pp. 203-236. Carpenter, T.D., 2007, Audit Team Brainstorming, Fraud Risk Identification, and Fraud Risk Assessment: Implications of SAS No. 99, The accounting review, vol 82, n° 5, oktober 2007, pp. 1119-1140. Cerullo, M. en Cerullo, V., 2006, Using neural network software as a forensic accounting tool, Journalonline,

vol

2,

2006,

URL:
CONTENTID=30760&TEMPLATE=/ContentManagement/ContentDisplay.cfm>.

Chen, H.J., Huang, S.Y. en Kuo C.L., 2009, Using the artificial neural network to predict fraud litigation: some empirical evidence from emerging markets, Expert systems with applications, vol 36, n° 2, maart 2009, pp. 1478-1484. Coderre, D., 1999, Computer assisted techniques for fraud detection, The CPA journal, vol 69, n° 8, augustus 1999, pp. 57-60. Durtschi, C., Hillison, W. en Pacini, C., 2004, The effective use of Benford’s law to assist in detecting fraud in accounting data, Journal of forensic accounting, vol 5, pp.17-34. Engela, E., Hayesb, R.M. en Wang, X., 2007, The Sarbanes–Oxley Act and firms’going-private decisions, Journal of Accounting and Economics, vol 44, n° 1-2, September 2007, pp.116145. VI

Fei, B.K.L., 2007, Data Visualisation in Digital Forensics, URL:.

Flowerday, S., Blundell, A.W. en Von Solms, R., 2006, Continuous auditing technologies and models: a discussion, Computers & security, vol 25, n° 5, juli 2006, pp. 325-333. Geyer, C.L. en Williamson, P.P., 2004. Detecting fraud in data sets using Benford’s law, Simulation & computation. vol 33, n° 1, februari 2004, pp. 229-246. Greene, C., 2003, SAS 99, another implement for the fraud examiner’s toolbox, The white paper, vol 17, n° 3, mei/juni 2003, pp31-33, pp. 41-42. Huang, S.M., Yen, D.C., Yang, L.W. en Hua, J.S., 2008, An investigation of Zipf’s law for fraud detection, Decision support systems, vol 46, n° 1, december 2008, pp. 70-83. Hung, L.T.H. en Chen, Y.L., 2009, Using decision trees to summarize associative classification rules, Expert Systems with Applications, vol 36, n° 2, maart 2009, pp. 2338–2351. Instituut der bedrijfsrevisoren, 2006a, Algemene controlenormen, Vademecum 2007, paragraaf 1.3.4 Instituut der bedrijfsrevisoren, 2006b, Fraude en onwettige handelingen, Vademecum 2007, deel 2 Johnson, T., 2005, Data mining: a tool for all fraud examiners, Fraud magazine, vol 19, n°1, januari/februari 2005, pp. 32-34, pp. 56-60. Kirkos, E., Spathis, C. en Manolopoulos, Y., 2007, Data mining techniques for the detection of fraudulent financial statements, Expert systems with applications, vol 32, n° 4, mei 2007, pp. 995-1003. Lammers, E.J., 2000, Forensische accountancy, IBR periodieke berichten 1/2000, URL:.

Lanza, R.B., 2003, Fear not the software, proactively detecting occupational fraud using computer audit reports, The white paper, vol 17, n° 5, September/oktober 2003, pp. 31-33, pp. 41-42. Lanza, R.B., 2004a, Fraud data interrogation tools: comparing best software for fraud examinations, Fraud magazine, vol 18, n° 9, november/december 2004, pp. 32-35; pp. 57-59. Lanza, R.B., 2004b, The pros and cons of MS Access as a fraud busting tool, Fraud magazine, vol 18, n° 4, juli/augustus 2004, pp. 7-14. Lanza, R.B., 2005, Top three best practices when automating proactive fraud detection systems, Fraud magazine, vol 19, n° 5, September/oktober 2005, pp. 15-16. Lanza, R.B., 2006a, Using Excel as an audit software, URL:.

VII

Lanza, R.B., 2006b, When Microsoft is not the best choice, Fraud magazine, vol 20, n° 5, september/oktober 2006, pp.14-19. Lanza, R.B., 2009, Comparison of generalized audit software, URL:.

Leinicke, L.M., 2006, Digital analysis primer fighting the fraud by the numbers, Fraud magazine, vol. 20, n° 1, januari/februari 2006, pp. 33-35, pp. 51-52, pp. 54. Maeyaert, P. en Staelens, F.; 2007, Fraude en de bedrijfsrevisor, 14 September 2007, URL:< http://www.ibr-ire.be/ned/download.aspx?type=2&id=4788&file=1746>.

Needleman, T., 2000, Consulting software tools, Practical accountant, vol 33, n° 9, september 2000, pp. 68. Newman, M.E.J., 2005, Power laws, Pareto distributions and Zipf’s law, Contemporary Physics, vol 46, n° 5, September/Oktober 2005, pp. 323-351. Niedermayer, D., 1998, An introduction to Bayesian Networks and their contemporary applications, URL: . Nigrini, M.J., 1996, A tax payer compliance application of Benford’s law, Journal of the American Taxation Association, vol 18, n° 1, pp. 72-91. Nunn, L., McGuire, B. L., Whitcomb, C. en Jost, E., 2006, Forensic accountants: financial investigators, Journal of business & economics research, vol 4, n° 2, februari 2006. Panigrahi, P.K., 2006, Discovering fraud in forensic accounting using data mining techniques, The chartered accountant, april 2006, pp. 1426-1430. Quinlan, R., 1986, Induction of decision trees, Machine learning, vol 1, n° 1, maart 1986. River, C., 2004, About Bayesian Belief Networks, Charles River Analytics, Inc. 2004, URL:.

Stone, A., 2003, Using software to sniff out fraud, Business week online, 30 september 2003, URL:.

The 12th Annual Internal Auditor Software Survey, augustus 2006, URL:< http://www.acl.com/pdfs/IIA_Survey_Summary.pdf>.

The 2009 Belgian Code on Corporate Governance, 2009, URL :, 12 maart 2009.

Websites ACL Audit Exchange, 2009, URL:, 9 februari 2009. ACL Desktop Edition, 2009, URL:, 9 februari 2009.

VIII

ACL Server Editions, 2007, URL:, 25 maart 2009. ActiveData For Excel - Detailed Overview, 2008, URL:, 11 februari 2009.

ActiveData For Office - Detailed Overview, 2008, URL:< http://www.informationactive.com/aa/?x=show&f=main>, 11 februari 2009.

A Survey into Fraud Risk Mitigation in European Countries, 2007, URL:,

1 oktober 2008. Audit Command Language (ACL), 2009, URL: ,

9 februari 2009. Comparison

of

ActiveData

for

Excel

vs.

ActiveData

for

Office,

2008,

URL:,

9 februari 2009. Continuous Controls Monitoring, 2009, URL:, 9 februari 2009. EnCase Enterprise, 2008, URL:, 10 april 2009. EnCase Enterprise Detailed Product Description, 2005, URL :< http://www.guidancesoftware.com/downloads/getpdf.aspx?fl=.pdf>, 10 april 2009.

EnCase Forensic, 2007, URL:, 16 februari 2009. EnCase

Forensic

Features

and

Functionality:

Every

Investigation

Matters,

2008,

URL:<www.guidancesoftware.com>, 16 februari 2009.

Forensic technology: the new digital era, 2008, URL:, 17 februari 2009.

Fraud detection, 2009, URL:, 15 februari 2009. Guidance EnCase Forensic edition, Onderzoek van data en bewijsvoering, 2009, URL:, 9 maart 2009.

How

EnCase®

Enterprise

Works,

2008,

URL :
products/ee_works.aspx>, 10 april 2009.

IX

How EnCase Forensics works, 2007, URL:, 16 februari 2009. IDEA,

features

&

functions,

2007,

URL:
Features%20functions.pdf>, 13 november 2008. IDEA,

product

profile,

2007,

URL:
Profile%20for%20viewing.pdf >, 13 november 2008.

Introducing KPMG’S Approach to Proactive Forensic Data Analysis: K-Trace, 2009, URL:,

10 februari 2009. Products, 2009, URL:, 15 februari 2009. Section modules, 2008, URL:, 19 februari 2009. What is TopCAATs?, 2008, URL:, 19 februari 2009.

E-mail De Cremer Hilde, KPMG, 13 oktober 2008. De Cremer Hilde, KPMG, 18 maart 2009. Leyman Peter, Deloitte, 23 maart 2009. Trivino Sally, PWC, 19 maart 2009.

X

Bijlagen Bijlage 1: Voorbeelden van red flags (Maeyaert, Staelens, 2007) Accounts Payable Process


Recurring identical amounts from the same vendor.




Unusual even dollar or high cash disbursement amounts for routine odd dollar or low value purchase.




Multiple remittance addresses for the same vendor.




Vendor addresses do not agree with vendor approval application.




Sequential invoice numbers from the same vendor or invoice numbers with an alpha suffix.




Payments to vendor have increased dramatically for no apparent reason.




Lack of segregation of duties between the following: Processing of accounts payable invoice and updates to vendor master files Check preparation and posting to vendor account Check preparation and mailing of signed checks




No proper documentation of additions, changes, or deletions to vendor master file.




Excessive credit adjustments to a particular vendor and/or credit issued by unauthorized department (credits involving quantities and price).




Systematic pattern of adjustments to accounts payable for goods returned.




No reconciliation performed of accounts payable subledger to general ledger control account.




Insufficient supervisory review of accounts payable activity.




Lack of documentation for payment of invoices.




Cash disbursements for unrecorded liabilities and routine expenses (e.g., rent) when all expenditures must be vouchered prior to payment.




Excessive miscodings to same expense account.




Payments made on copies of invoices, not originals.




Paid invoices not properly canceled, allowing for reprocessing.




High volume of manually prepared disbursement checks.




Unrestricted access to blank checks, signature plates, and check-signing equipment.




Missing or easy access to blank checks, facsimile, and manual check preparation machines.




Vendor invoices are received by department other than accounts payable (purchasing).




Vendor complaints noted by credit rating services regarding slow or no payments not justified by disbursement schedule.

XI

Purchasing Process


Turnover among buyers within the purchasing department significantly exceeds attrition rates throughout the organization.




Purchase order proficiency rates fluctuate significantly among buyers within comparable workload levels.




Dramatic increase in purchase volume per certain vendor(s) not justified by competitive bidding or changes in production specifications.




Unaccounted purchase order numbers or physical loss of purchase orders.




Rise in the cost of routine purchases beyond the inflation rate.




Unusual purchases not consistent with the categories identified by prior trends or operating budget.

Payroll Process


Dramatic increase in labor force or overtime not justified by production or sales volume.




Turnover within the payroll department significantly exceeds attrition rates throughout the organization.




Missing or easy access to blank checks, facsimile, and manual check preparation machine.




Tax deposits are substantially less than those required by current payroll expenses.




High volume of manually prepared payroll checks.

Cash Receipts Process


Improper safeguarding of cash under lock and key.




No segregation of duties between the following: Receiving cash and posting to customer accounts Issuing receipts and deposit preparation




Infrequent bank deposits, allowing cash to accumulate.




Consistent shortages in cash on hand.




Consistent fluctuations in bank account balances.




Closing out cash drawer before end of shift.




Excessive number of voided transactions on a regular basis without proper explanation.




Missing copies of pre-numbered receipts.




Not balancing cash to accounts receivable subledger.




Insufficient supervisory review of cashier's daily activity.

XII

Accounts Receivable Process


Lack of accountability for invoice numbers issued.




Lack of segregation of duties between the following: Processing of accounts receivable invoices and posting to subledger Posting to accounts receivable subledger and cash receipts




Lack of policies and procedures regarding write-offs to satisfy industry standards.




Frequent undocumented and/or unapproved adjustments, credits, and write- offs to accounts receivable subledger.




Low turnover or slow collection cycle for accounts receivable.




Dramatic increase in allowance for doubtful accounts in view of positive economic events and stringent credit policies.




No reconciliation of accounts receivable subledger to general ledger control account.




Insufficient supervisory review of accounts receivable activity as well as customer account aging schedule.




Unrestricted access to subledgers and general ledger.

Inventory/Production Process


Credit balances in inventory accounts.




Consistent fluctuations in inventory accounts between months (e.g. debit balance one month, credit balance the next).




Excessive inventory write-offs without documentation or approvals.




Unusual volume of adjustments, write-offs, and disposal of material, inventory, or fixed assets.




Unrestricted access to inventory storage areas by non-responsible employees and/or vendors.




Significant weaknesses in inventory cut-off procedures.




No policy regarding identification, sale, and disposal of obsolete and surplus materials.




Finished goods inventory turnover rate does not correlate with operating cycle.




No segregation of duties between: Receipt of inventory and issuing of materials Recording of inventory accounts and ordering materials Identification of obsolete and surplus materials and sale and disposal of such materials

XIII




There is no policy regarding inventory levels to be maintained (i.e., minimums, maximums, reorder points).




Systematic pattern of improperly labeled inventory and raw materials.




Poor review of inventory accounts, write-offs, and physical access to storage areas.




Lack of regular physical inventories carried out by independent personnel.




Consistent production overruns beyond sales demand and backlog orders.




Excessive production waste, spoilage, or other loss of raw materials.




Physical replacement of finished goods within production area beyond a reasonable period of time.




Abnormal expenditures for external maintenance services beyond normal repairs and capability of internal repair service personnel.




Extended delay of goods marked for shipment maintained within shipping area.

Finance Process


Significant adjustments to accrued liabilities, accounts receivable, contingencies, and other accounts prior to acquisition of new financing.




Dramatic change in key leverage, operating, and profitability ratios prior to obtaining financing.




Adopting a change in accounting principle or revising an accounting estimate prior to obtaining financing.




Increase in short-term cash and a decrease in receivables while sales are increasing prior to seeking new financing.




A change in external activities, legal counsel, or treasury department head prior to obtaining new financing.




A delay in issuance of monthly, quarterly, or annual financial reports prior to seeking new financing.

XIV

Bijlage 2: Algoritmen bij de Zipfanalyse (Huang et al., 2008) 1. Algoritme voor de selectie van variabelen

2. Algoritme voor het ontwikkelen van patronen

3. Algoritme voor het berekenen van alle mogelijke patronen van de variabelen

4. Algoritme voor het sorteren van de geanalyseerde patronen op basis van hun frequentie

5. Algoritme om het betrouwbaarheidsinterval te berekenen.

XV

6. Algoritme om de Z-statistiek toe te passen

XVI