Tim Steketee (30) werkt sinds anderhalf jaar bij De Beer en woont binnenkort in zijn nieuwe huis in Hilvarenbeek, dat hij momenteel grondig aan het
In een onlangs verschenen publicatie ‘Exploring the growing use of technology in the audit, with a focus on data analytics’ schetst de International Auditing and Assurance Standards Board (hierna: IAASB) de mogelijkheden en uitdagingen met betrekking tot de toepassing van data-analyse in de jaarrekeningcontrole. De IAASB lijkt met haar publicatie een discussie te willen stimuleren over data-analyse in relatie tot de huidige controlestandaarden. Dat is noodzakelijk. Want hoe veelbelovend de toepassingsmogelijkheden van data-analyse ook zijn, hoe passen deze binnen onze huidige controlestandaarden?
De aanleiding voor het schrijven van deze column is de sterk toegenomen aandacht voor data-analyse in de academische literatuur en het accountantsberoep. In de Nadere Voorschriften Controle en Overige Standaarden (hierna: ‘NV COS’) wordt als zodanig niet gesproken over data-analyse. De NV COS lijken daarmee gedateerd in haar uitingen over elektronische data (Snoei en Van Amerongen, 2015). Echter, de huidige controlestandaarden bieden wel ruimte om voldoende en geschikte controle-informatie te verzamelen middels data-analyse (Eimers en Van Leeuwen, 2015).
In deze column omschrijven we op welke wijze data-analyse past binnen de huidige controlestandaarden. De nadere inpassing van data-analyse in het domein van de NV COS kan worden beschouwd als een gedigitaliseerde vorm van een gegevensgerichte cijferanalyse in combinatie met detailcontroles (NV COS 520). Gegevensgerichte cijferanalyses gelden in combinatie met detailcontroles als gegevensgerichte controlemaatregelen om afwijkingen op het niveau van beweringen te detecteren. De toepassingsmogelijkheden van data-analyse als input voor risico-inschattingen blijven buiten het kader van deze column.
NV COS 520 over cijferanalyses
Vanuit deze veronderstelling kunnen we de principes volgens NV COS 520 in het kader van gegevensgerichte cijferanalyse toepassen op data-analyse. De gegevensgerichte cijferanalyse valt uiteen in vier fasen (standaard 520.15):
1.het vooraf ontwikkelen van een verwachting;
2.het vooraf bepalen van een drempelbedrag voor afwijkingen;
3.het vergelijken van de werkelijkheid met de verwachting; en
4.het evalueren van de verklaring voor eventuele afwijkingen aan de hand van brondocumentatie/ detailcontroles, rekening houdend met het materialiteitsbegrip.
Een belangrijk punt van de gegevensgerichte cijfers is het bepalen van het juiste aggregatieniveau van de analyse. Oftewel, die analyse die het meeste inzicht geeft om afwijkingen van materieel belang te kunnen detecteren.
“het inwinnen van inlichtingen verschaft gewoonlijk niet voldoende controle-informatie om te concluderen dat er geen sprake is van een afwijking van materieel belang.”
De toepassing van data-analyse in het kader van een gegevensgerichte cijferanalyse biedt belangrijke aanknopingspunten voor een controleaanpak, waarbij zo veel mogelijk gebruik wordt gemaakt van een databestand met daarin alle transacties van de onderneming. Het resultaat is een diepgaande en breed georiënteerde controle, waardoor de relevantie van de controle toeneemt. Alhoewel de toepassing van data-analyse in de jaarrekeningcontrole goede inzichten heeft gegeven in de bedrijfsprocessen, kwalificeert het in een geïsoleerde toepassing zonder nadere vervolgactie nog niet als voldoende controlebewijs (NV COS 500). Met andere woorden, het inwinnen van inlichtingen verschaft gewoonlijk niet voldoende controle-informatie om te concluderen dat er geen sprake is van een afwijking van materieel belang.
NV COS 530 over steekproeven
Omdat het alleen verkrijgen van inlichtingen van management niet volstaat als controlebewijs, dienen we nadere gegevensgerichte controle te verrichten. Volgens NV COS 530 kunnen we een steekproef verrichten op de betreffende afwijkingen. NV COS 530 biedt handvaten voor het uitvoeren van steekproeven. Merk hierbij op dat deze NV COS spreekt over ‘stratificeren’: het opdelen van de populatie in deelpopulaties.
Voordat de accountant de steekproef trekt, stelt NV COS 520 dat de accountant vooraf een drempelbedrag moeten definiëren voor afwijkingen. Het definiëren van afwijkingen kan worden gedaan in de vorm van hypotheses. De accountant kan definiëren wat voor afwijkingen mogelijk van toepassing zijn op de geconstateerde afwijkingen en daarbij gelijk definiëren aan de hand van welke controle-informatie de betreffende hypothese uitsluit.
Nu de mogelijke afwijkingen zijn gedefinieerd, dient de accountant de omvang van de steekproef te bepalen. De accountantscontroleformule – door sommigen bekritiseerd, omdat dit geen echte formule betreft – geeft ons houvast om te bepalen hoe groot de steekproefomvang moet zijn. Kennen we hem nog? ACR = IR x ICR x CR x SR, waarbij SR staat voor het steekproefrisico.
Laten we stellen dat we het accountantscontrolerisico willen reduceren tot 5%. Als we het inherent risico (IR), het intern beheersingsrisico (ICR) en het cijferanalyserisico (CR) nu inschatten voor de betreffende deelpopulatie, kunnen we berekenen hoe groot het steekproefrisico mag zijn, een basis voor het berekenen van de steekproefomvang.
De NV COS stelt ook dat met een controle op een deelpopulatie alleen een uitspraak kan worden gedaan over die deelpopulatie. We mogen met onze steekproef op de afwijkingen dus wél stellen of we bevonden hebben dat de deze deelpopulatie wel of geen fouten bevat. We mogen absoluut niet aannemen dat de niet nader onderzochte deelpopulatie geen fouten bevat. Wat we wel mogen doen: In onze accountantscontroleformule het cijferanalyserisico (CR) naar beneden bijstellen voor de (nog) niet onderzochte deelpopulatie. Gecombineerd met het inherent risico en intern beheersingsrisico komen we misschien tot een aanvaardbaar accountantscontrolerisico (ACR) voor deze populatie. Echter, misschien dienen we toch nog een steekproef hierop te verrichten, welke in omvang vanzelfsprekend veel kleiner is dan die voor de deelpopulatie voor de gestratificeerde afwijkingen.
Professioneel-kritische instelling
Echter, een professioneel-kritische instelling van de accountant blijft onontbeerlijk om de betrouwbaarheid van de data toereikend te verifiëren en te documenteren. Als we een cijferanalyse verrichten, dan maken we gebruik van door de entiteit gegenereerde controle-informatie. NV COS 500 stelt dat we de betrouwbaarheid (volledigheid en nauwkeurigheid) van deze controle-informatie (lees: data) vast dienen te stellen, vóórdat we deze informatie als basis voor onze controle gebruiken. Deze betrouwbaarheid dienen we primair te ontlenen aan de kwaliteit van de interne beheersing. Zijn we van mening dat de interne beheersing tekort schiet om de betrouwbaarheid van de verkregen informatie te waarborgen, dan dienen we deze betrouwbaarheid middels detailcontroles vast te stellen.
Arnold Westgeest en Marc Buijs zijn één van de voortrekkers op het gebied van de inzet van meer data-analyse in de accountantscontrole. Vanuit onze praktijk is sprake van een breed scala van aansprekende voorbeelden van uitgevoerde accountantscontroles, waarbij geavanceerde data-analysetechnieken succesvol zijn ingezet.
Over de auteurs
Arnold Westgeest is docent aan de Haagse Hogeschool en tevens oprichter van A.J. Westgeest audit & consultancy. Hij heeft zijn postdoctorale studie tot IT-auditor behaald aan de Vrije Universiteit te Amsterdam.
Marc Buijs is Manager Audit & Assurance bij Grant Thornton. Hij heeft zijn post–doctorale studie tot Registeraccountant behaald aan de universiteit van Tilburg en is alumni-lid bij Asset |Accounting & Finance. Zijn klantenpakket bestaat voornamelijk uit middelgrote en grote private internationaal opererende familiebedrijven.
Literatuur:
- Data Analytics Working Group International Auditing and Assurance Standards Board – ‘Exploring the growing use of technology in the audit, with a focus on data analytics’, september 2016.
- Eimers, P., Leeuwen, O. van (2015). De typologie als basis voor een effectieve en efficiënte data-analyse. Maandblad voor accountancy en bedrijfseconomie, 89e jaargang, oktober 2015.
- Snoei, W. , Nieuw Amerongen, N. van (2015). Toepassing van (big) data-analyse in de MKB-jaarrekeningcontrole in een relatief eenvoudige omgeving. Maandblad voor accountancy en bedrijfseconomie, 89e jaargang, oktober 2015.