AFSTUDEERSCRIPTIE. Methodiek voor gebruik data analyse ter verbetering kwaliteit bij de jaarrekeningcontrole

Transcriptie

1 AFSTUDEERSCRIPTIE Methodiek voor gebruik data analyse ter verbetering kwaliteit bij de jaarrekeningcontrole Naam: Lex Wagenaar BI CISA Datum: woensdag 21 augustus 2013 Collegejaar: Faculteit: Faculteit der Economische Wetenschappen en Bedrijfskunde Begeleiding: Dr. Ir. Abbas Shahim RE

2 INHOUD 1 Inleiding Aanleiding Hoofdvraag en deelvragen Scope Uitgangspunten Onderzoeksmethodiek en structuur De jaarrekeningcontrole Doel van de jaarrekeningcontrole Aanpak van de jaarrekeningcontrole Data-analyse in de jaarrekeningcontrole Data-analyse Data-analyse in de jaarrekeningcontrole Methodiek voor data-analyse in de jaarrekeningcontrole Beheerfase Client environment Data extraction Extractie-architectuur Datanormalisatie Analyse Reporting Toepassing van de methodiek Opzet proof of concept Programmatuur Analyses Analyseflow Deelnemende bedrijven Bevindingen Proof of Concept Conclusie en discussie Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 2

3 6.1 Verder onderzoek Literatuurlijst Bijlage 1: Verdeling software Bijlage 2: Screenshots programmatuur Bijlage 3: Analyses Bijlage 4: Typologie Starreveld en uitgevoerde analyses in % Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 3

4 1 INLEIDING 1.1 AANLEIDING In de afgelopen jaren is het accountantsberoep verschillende malen negatief in het nieuws geweest. Verschillende accountants zijn voor het tuchtrecht geroepen en de AFM heeft verschillende negatieve rapporten uitgebracht. De conclusie is duidelijk; de accountantskantoren moeten beter gaan presteren. Eén van deze rapporten is van de Autoriteit Financiële Markten (AFM). Uit onderzoek van de AFM bij negen OOBvergunninghouders blijkt dat bij alle kantoren significante afwijkingen zijn geconstateerd ten aanzien van de kwaliteit van de jaarrekeningcontrole (AFM, 2013). De afwijkingen die in het rapport worden benoemd lopen uiteen van de toon aan de top tot specifieke beoordelingsvraagstukken. In de media zijn er ook enkele geruchtmakende rechtszaken uitgelicht, mogelijk is dit slechts het topje van de ijsberg. Binnen de organisatie waarbinnen dit onderzoek wordt uitgevoerd zijn er, naar aanleiding van verscherpte controles, verschillende strategiewijzigingen doorgevoerd om de kwaliteit van de jaarrekeningcontrole te verhogen. Kwaliteit is het doel geworden van de nieuwe strategie, winstgevendheid op korte termijn is minder belangrijk. Onderdeel van deze strategiewijziging is het oprichten van een werkgroep die zich buigt over aanpassingen aan de werkwijze van de accountant, met als doel een hogere mate van assurance te leveren bij de jaarrekeningcontrole zonder dat hierdoor de concurrerende positie van het bedrijf in het geding komt. Door concurrentie worden budgetten voor klanten steeds kleiner (AFM, 2013), geruchten gaan zelfs over het outsourcen van testwerkzaamheden naar India en andere landen waar het arbeidsloon lager ligt. Een lager budget betekent minder tijd en minder tijd betekent, met gelijkblijvende werkzaamheden, een lagere kwaliteit van assurance. Een voorstel vanuit de werkgroep die opgericht is bij de organisatie is het aanpassen van de interne richtlijn BVT ten aanzien van data-analyse tijdens de jaarrekeningcontrole. Hierdoor kan er meer worden gesteund op integrale controle en hoeft er minder te worden gesteund op professional judgement. Data-analyse is zover gevorderd dat er in de meeste gevallen effectief mee gewerkt kan worden, iets wat tien jaar geleden zeker niet het geval was. Dit biedt de ruimte voor het ontwikkelen van nieuwe, efficiëntere manieren om met data-analyse om te gaan. In het verleden was men voornamelijk bezig met het oplossen van technische problemen vóór en tijdens de analyse en het wachten op uitkomsten vanwege de beperkte rekencapaciteit. Tegenwoordig is dit door nieuwe ontwikkelingen op IT-gebied terug te dringen tot kleine proporties. (Boukens, 2012) Daarnaast is de rekencapaciteit en het opslaggeheugen van Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 4

5 standaardlaptops drastisch vergroot. De combinatie van deze factoren zorgt ervoor dat data-analyse klaar is voor een herwaardering. 1.2 HOOFDVRAAG EN DEELVRAGEN Uitgaande van de hiervoor beschreven situatie en de doelstelling vanuit de werkgroep is de hoofdvraag voor dit onderzoek als volgt gedefinieerd: Welke suggesties kunnen worden gedaan m.b.t. data-analyse om de kwaliteit van de jaarrekeningcontrole bij kleine ondernemingen te verhogen? De deelvragen bij deze hoofdvraag zijn als volgt: Waaruit bestaat de jaarrekeningcontrole bij kleine ondernemingen? Wat is data-analyse? Hoe wordt data-analyse ingezet in de jaarrekeningcontrole bij kleine ondernemingen? Welke kenmerken heeft een methodiek die efficiënt en effectief data-analyse toepast in de jaarrekeningcontrole bij kleine ondernemingen? Wat kunnen we leren uit een toepassing van deze methodiek op de jaarrekeningcontrole van diverse kleine ondernemingen? 1.3 SCOPE Door een beperkt budget kan een onderzoek nooit alomvattend zijn. Hieronder zijn enkele zaken besproken die uitgesloten worden van de scope van dit onderzoek: Meer gebruik maken van data-analyse kan mogelijk de relatie tussen de accountant en de klant negatief beïnvloeden. Deze effecten zullen tijdens dit onderzoek niet geanalyseerd worden. Data-analyse beperkt zich in dit onderzoek tot de financiële registratie binnen het te controleren bedrijf, overige toepassingen van data-analyse vallen buiten beschouwing. Bedrijven die hun administratie voeren volgens andere dan Nederlands recht vallen ook buiten de scope van het onderzoek. 1.4 UITGANGSPUNTEN In dit onderzoek zullen de volgende uitgangspunten gebruikt worden: Binnen dit onderzoek wordt ervan uitgegaan dat de registratie van financiële feiten plaatsvindt middels een software-applicatie van waaruit data geëxtraheerd kan worden. Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 5

6 Ondanks dat het in de praktijk voorkomt dat bedrijven software niet correct gebruiken, zal in dit onderzoek het uitgangspunt gebruikt worden van het juiste gebruik van de software. Veel bedrijven in het middensegment hebben geen beschikking over een eigen internal audit-afdeling. In dit onderzoek zal er dan ook vanuit worden gegaan dat deze niet aanwezig is. De controles worden uitgevoerd door de externe accountant. 1.5 ONDERZOEKSMETHODIEK EN STRUCTUUR Tijdens dit onderzoek is gebruik gemaakt van de case study methodiek van Robert K. Yin. Deze methode bestaat uit duidelijk omschreven onderzoeksstappen, te weten: 1. Plannen 2. Ontwerpen 3. Voorbereiden 4. Verzamelen 5. Analyseren 6. Delen Deze stappen staan op verschillende punten met elkaar in verbinding. Zo kan de analyse bijvoorbeeld invloed uitoefenen op het ontwerp. De structuur van het onderzoek wordt gereflecteerd in de wijze van rapporteren. In hoofdstuk 1 wordt de probleemstelling en de onderzoeksvraag neergelegd. In het tweede en derde hoofdstuk worden definities gegeven van de meest belangrijke componenten van de hoofdvraag; namelijk de jaarrekeningcontrole en wat is data-analyse?. Vervolgens wordt in hoofdstuk 4 beschreven hoe data-analyse in de jaarrekeningcontrole gebruikt wordt. In dit hoofdstuk komen enkele problemen aan de orde waar de methodiek, zoals beschreven in hoofdstuk 5, een eerste aanzet tot een oplossing voor probeert te geven. Deze methodiek wordt in hoofdstuk 6 getoetst aan de hand van diverse praktijksituaties.tot slot volgt er een conclusie met een discussie en suggesties voor verder onderzoek. Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 6

7 2 DE JAARREKENINGCONTROLE In dit hoofdstuk zal antwoord worden gegeven op de eerste deelvraag van het onderzoek. Deze luidt: Waaruit bestaat de jaarrekeningcontrole bij kleine ondernemingen? Hierin wordt uiteen gezet wat het doel van de jaarrekeningcontrole is, welke personen hierbij betrokken zijn, welke objecten binnen de organisatie hiervoor relevant geacht worden en hoe deze gebruikelijk plaatsvindt. Binnen de Nederlandse Wet- en regelgeving wordt er geen onderscheid gemaakt tussen de jaarrekeningcontrole bij kleine bedrijven en grote bedrijven. Daarom zal er in dit hoofdstuk een algemene uitleg gegeven worden over de manier waarop de jaarrekeningcontrole uitgevoerd wordt. 2.1 DOEL VAN DE JAARREKENINGCONTROLE Het doel van een accountantscontrole, waaronder de jaarrekeningcontrole, is het versterken van de mate waarin de beoogde gebruikers in de financiële overzichten vertrouwen stellen. Dit wordt bewerkstelligd door het door de accountant tot uitdrukking brengen van een oordeel of de financiële overzichten in alle van materieel belang zijnde opzichten opgesteld zijn in overeenstemming met een van toepassing zijnd stelsel inzake financiële verslaggeving (NV COS 200). In deze uitleg van het doel van een jaarrekeningcontrole komen verschillende personen/objecten naar voren; de beoogd gebruiker, de accountant en het object van onderzoek. De doelstelling van de beoogd gebruiker is op basis van het de financiële overzichten een keuze te maken. Hier kan gedacht worden aan het verstrekken van leningen (e.g. banken) het investeren in de onderneming (e.g. particulieren) of het aangaan van een financiële verbintenis. De doelstelling die de accountant heeft is; Het verkrijgen van een redelijke mate van zekerheid over de vraag of de financiële overzichten als geheel geen afwijking van materieel belang bevatten die het gevolg is van fraude of van fouten, om daarmee de accountant in staat te stellen om een oordeel tot uitdrukking te brengen over de vraag of de financiële overzichten in alle van materieel belang zijnde opzichten in overeenstemming Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 7

8 met het van toepassing zijnde stelsel inzake financiële verslaggeving zijn opgesteld (NV COS 200) Het object van onderzoek zijn bij de jaarrekeningcontrole de financiële overzichten. De accountant dient inzicht te verwerven in de interne beheersing die relevant is voor de controle (NV COS 315). Onderdelen van de interne beheersing kunnen procedures, applicaties en personen zijn. Om een gedegen beeld te krijgen van het object zullen alle relevante bronnen daarvoor beoordeeld moeten worden door de accountant. Het doel bij de jaarrekeningcontrole is zekerheid verschaffen over posten die op de jaarrekening verantwoord worden. Er zijn verschillende manieren waarop een jaarrekeningpost niet kan kloppen. We hebben het hier over de zogenoemde assertions (completeness, existence, accuracy, valuation and presentation). Deze vormen risico s voor het onjuist beoordelen van de jaarrekening door de accountant. De risico s die mogelijk een invloed hebben op de beoordeling van de jaarrekening moeten conform NV COS315 Het onderkennen en inschatten van de risico's van een afwijking van materieel belang door middel van het verwerven van inzicht in de entiteit en haar omgeving geïnventariseerd worden. 2.2 AANPAK VAN DE JAARREKENINGCONTROLE De aanpak voor de jaarrekeningcontrole kan per klant verschillen maar zal in de regel beginnen met het onderzoeken van het object, understanding the business. De context van het bedrijf wordt belangrijk geacht voor het bepalen van de doelstellingen en de scope die de organisatie wil behalen (scoping). Deze doelstellingen kunnen worden bepaald door externe factoren, wet en regelgeving, interne factoren en service level agreements. In het perspectief van de jaarrekeningcontrole is de wet en regelgeving de voornaamste bron voor de doelstellingen. Na het bepalen van de doelstellingen van een organisatie bekijkt de auditor welke zaken invloed kunnen uitoefenen op het behalen van de doelstellingen, dit noemt men de risicoanalyse. De auditor zal aan de hand van de risicoanalyse de organisatie analyseren en zoeken naar beheersmaatregelen en deze testen op opzet en bestaan (Identify and assess risk). Naar aanleiding van deze analyse wordt de aanpak voor de audit vastgesteld (design audit response). Dit wordt vervolgd door het verzamelen van bewijsmateriaal om vast te stellen of de eventuele risico s zich hebben gemanifesteerd (Obtain Audit Evidence). De auditor zal een mening vormen over de scope van het onderzoek en hierover een rapport afgeven (Report). Dit proces is inzichtelijk gemaakt in Figuur 1 BDO Audit manual. Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 8

9 FIGUUR 1 BDO AUDIT MANUAL Deze beschrijving van een audit aanpak is de algemeen geaccepteerde manier van het uitvoeren van audits en wordt ook binnen het onderzoeksbedrijf gebruikt. De controlewerkzaamheden die de accountant binnen de controle uitvoerd om evidence te verzamelen zijn (NV COS 500): Inspectie Waarneming Externe confirmatie Herberekening Herhaling van de uitvoering Cijferanalyses Verzoeken om inlichtingen Op basis van de controlewerkzaamheden van de accountant beoogt deze de materiele risico s van een onjuiste jaarrekening af te dekken. Dit bevestigt de accountant door het afgeven van een goedkeurende verklaring. Tijdens de jaarrekeningcontrole zijn er diverse controles die door de accountant moeten worden uitgevoerd over grotere hoeveelheden datasets waarbij niet in één oogopslag een conclusie kan worden getrokken. De accountant heeft hierbij verschillende mogelijkheden om tot een afdoende mate van assurance te komen. Een belangrijke hiervan is de statistische deelwaarneming, die vaak als nietrendabel wordt gezien, aangezien voor een voldoende betrouwbaarheid en nauwkeurigheid een te grote sample moet worden bekeken. De accountancy heeft hierom een best practice ontwikkeld, waarbij men een deelwaarneming doet en deze sample kiest op basis van professional judgment. Deze best practice levert echter geen statistische onderbouwing op voor het dossier en is puur vanuit kostenoverweging geaccepteerd. Het gebruik van dataanalyse binnen een jaarrekeningcontrole kan gebruikt worden bij verschillende Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 9

10 controlewerkzaamheden. Met name bij de herberekening en de cijferanalyses kan de accountant effectief gebruik maken van data-analyses. Hier wordt in hoofdstuk 4 dieper op ingegaan. Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 10

11 3 DATA-ANALYSE IN DE JAARREKENINGCONTROLE Binnen dit hoofdstuk zal de volgende deelvraag worden beantwoord: Wat is data-analyse? Hoe wordt data-analyse ingezet in de jaarrekeningcontrole bij kleine ondernemingen? Om deze vraag te beantwoorden zal er worden ingegaan op diverse onderzoeken op de gebieden van data-analyse en datanormalisatie. Resultaten uit deze onderzoeken vormen de basis voor het voorgestelde methodiek voor een nieuwe, effectievere manier van omgaan met data-analyse die in hoofdstuk 4 van dit onderzoek gepresenteerd wordt. 3.1 DATA-ANALYSE Data-analyse behelst alles wat te maken heeft met het gestructureerd analyseren van data. De definitie kan als volgt weergegeven worden: Analysis of data is a process of inspecting, cleaning, transforming, and modeling data with the goal of discovering useful information, suggesting conclusions, and supporting decision making. Data analysis has multiple facets and approaches, encompassing diverse techniques under a variety of names, in different business, science, and social science domains. (Wikipedia, the free encyclopedia) Ondanks dat deze definitie niet wetenschappelijk onderbouwd is worden de belangrijkte onderdelen ten aanzien van data-analyse zeker geraakt. Zoals aangegeven wordt dataanalyse op veel verschillende manieren uitgevoerd met veel verschillende doelen. Deze verschillen van weermodellen en wetenschappelijk onderzoek tot bedrijfstoepassingen en marketing. Data-analyse is zeer divers en de term wordt voor veel technieken gebruikt. In dit onderzoek wordt data-analyse gezien als het analyseren, transformeren, modeleren van financiële data ten behoeve van het vaststellen van verbanden uit verschillende bronnen en het analyseren van trends in deze data. 3.2 DATA-ANALYSE IN DE JAARREKENINGCONTROLE Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 11

12 Data-analyse wordt al enkele jaren ingezet door auditors met als doel zekerheid verkrijgen tijdens de jaarrekeningcontrole. Data-analyse voor de jaarrekeningcontrole wordt in de literatuur vaak beschreven als Computer-assisted audit techniques (CAAT) (Vries, 2008). Het doel van het rapporteren van financiële feiten is het geven van informatie die nuttig is voor het management en de stakeholders van een organisatie. Op basis van deze informatie kunnen resources toegewezen worden (NV COS 200). Chan & Vasarhelyi geeft aan dat deze informatie alleen een toegevoegde waarde heeft indien deze betrouwbaar en tijdig beschikbaar is (Chan & Vasarhelyi, 12). Het gebruik van data-analyse in de jaarrekeningcontrole geeft de accountant een efficiency voordeel (Menon & Williams, 2001) en een vermindering van menskracht (Elliott, 1998) waardoor de tijdfactor beter behaald kan worden en daarmee de toegevoegde waarde van het product dat geleverd wordt (Chan & Vasarhelyi, 12). Onderzoek door Binck geeft helder weer dat het gebruik van auditsoftware, en daarmee het gebruik van CAAT, de kwaliteit verbetert van de accountantscontrole (Binck, 2012). Er zijn ook beperkingen te noemen aan het gebruik van CAAT binnen de jaarrekeningcontrole. Het automatiseren van alle traditionele auditprocedures is niet realistisch. Het uitvoeren van deze controles behoeft complexe beoordelingen en een professionele kritische blik, daarnaast is een handmatige controle door een auditor benodigd (Chan & Vasarhelyi, 12). Alles et al. concludeert in een rapport uit 2006 dat 50% van de controles relatief eenvoudig geautomatiseerd kunnen worden. Een extra 25% van de controles kan geautomatiseerd worden door een beperkte aanpassing van de controle (Alles, Brennan, Kogan, & Vasarhelyi, 2006). Uitgaande van de genoemde voordelen van het gebruik van data-analyse in de jaarrekeningcontrole zou verondersteld kunnen worden dat data-analyse veelvuldig gebruikt wordt in deze context. Desondanks blijkt dat accountants deze technieken nog onvoldoende toepassen. Een andere optie dan het beoordelen van een deelwaarneming is de integrale controle van een dataset. Dit is mogelijk door data-analyse. Deze optie wordt zeer beperkt gebruikt vanwege de beperkte kennis van de accountant ten aanzien van data-analyse. Daarnaast ondervindt de accountant weerstand bij de klant, met name de IT-afdelingen, wanneer men data opvraagt bij de klant. Uit ervaring van verschillende accountants blijkt dat er een cultuurverschil bestaat tussen de accountant en de IT-afdelingen. Door dit cultuurverschil en de beperkte kennis van de accountant over de financiële systemen kost het de accountant veel tijd om de benodigde data te verkrijgen. Dit probleem is al langere periode bekend en daarom zijn er binnen het bedrijf door Bureau Vaktechniek al sinds augustus 2007 verplichte CAAT-routines ingesteld (BDO Audit & Assurance, 2007). De verplichte routines die uitgevoerd dienen te worden zijn zeer beperkt Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 12

13 en omvatten het uitlijsten van memoriaalboekingen, het sorteren van het grootboek op bedrag en dergelijke standaard analyses. Deze routines werden plichtsmatig uitgevoerd door de accountant, maar er werd weinig aandacht aan de uitkomsten geschonken tijdens de oordeelsvorming. Er werd zo weinig belang aan gehecht dat de uitkomsten vaak niet boven het niveau van junioren bekeken werden. Application controls hebben de afgelopen jaren veel aandacht gekregen als basis voor assurance. Binnen het vakgebied worden echter steeds vaker vragen gesteld bij de manier waarop deze gecontroleerd worden. "Waarom [zou de auditor] het systeem bekijken als de application controls ook kunnen worden gecontroleerd op de output, zeker met de zeer beperkte deelwaarnemingen die op basis van kostenoverweging worden uitgevoerd? (Batenburg, 2012). Onderzoek van de Vrije Universiteit heeft aandacht geschonken aan de problematiek die accountants weerhoudt van het gebruik van data-analyse in de jaarrekeningcontrole (Vries, 2008). Hierbij wordt een gebrek aan kennis genoemd en ontoereikende inzet van de mogelijke analyses. Kortom, uit ervaring en onderzoek komen enkele structurele problemen naar voren ten aanzien van de inzet van data-analyse in de jaarrekeningcontrole, dit zijn: Data-analyse specialisten zijn niet beschikbaar Data van de te auditen organisatie is niet tijdig beschikbaar Beperkt gebruik tot een aantal verplichte analyses Weinig zekerheid wordt er door de accountant uit de analyses gehaald Er is een cultuurverschil tussen de accountant aan de ene kant en de IT-afdeling van de klant aan de andere kant. Routines die verplicht zijn leveren onvoldoende diepgang en daarmee onvoldoende zekerheid. Vanuit het argument van kosten zijn niet alle accountants overtuigd van het nut van het gebruik van data-analyse. Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 13

14 4 METHODIEK VOOR DATA-ANALYSE IN DE JAARREKENINGCONTROLE "Effective monitoring involves (1) establishing an effective foundation for monitoring, (2) designing and executing monitoring procedures that are prioritized based on risk, and (3) reporting the results, and following up on corrective action where necessary." (Teeter & Brennan, 2008) In dit hoofdstuk wordt ingegaan op deze deelvraag: Welke kenmerken heeft een methodiek die efficiënt en effectief data-analyse toepast in de jaarrekeningcontrole bij kleine ondernemingen? In het vorige hoofdstuk wordt uiteengezet dat data-analyse een toegevoegde waarde heeft voor de jaarrekeningcontrole en dat veel manuele controles de potentie hebben om geautomatiseerd gecontroleerd te worden. In dit hoofdstuk wordt een eerste aanzet tot een methodiek gepresenteerd die de eigenschappen bezit die Teeter et al. essentieel achten voor een effectieve controle. Teeter stelt in zijn artikel dat de keuze voor de te uitvoeren controles gebaseerd moet zijn op risico s. Dit is in lijn met de gebruikelijke standaard voor het uitvoeren van een audit. Voor elk bedrijf individueel worden eerst de risico's bepaald waarna een controleaanpak volgt. Dit is een tijdrovend proces dat vaak tot veel dezelfde risico s en beheersmaatregelen leidt die generiek, geautomatiseerd uitgevoerd kunnen worden. Het doel van de methodiek het behalen van een kwaliteitsvoordeel door middel van het standaardiseren en efficiënt uitvoeren van de risico-analysefase. De vraag die naar voren komt is of het verhogen van de efficiëntie van deze fase door de methodiek de kwaliteit van de audit verhoogt. Zoals Teeter (Teeter & Brennan, 2008) aangeeft: "The cost saving therefore may not be as significant as previously predicted as the audit effort is redirected rather than simply reduced." Hieruit volgt dat kostenbesparing, waarin ook tijdsbesparing, niet het doel kan zijn van het werken met een dergelijk methodiek. Juist het verbeteren van de kwaliteit van de audit is het doel en dit wordt behaald door het gericht inzetten van de tijd die de auditor tot zijn beschikking heeft. Dit gericht benutten van de tijd wordt mogelijk gemaakt door het effectief en efficiënt gebruik van data-analyse conform de hier voorgestelde methodiek. Basisvoorwaarde voor de methodiek is standaardisatie van de data, de risico s, de controls en de rapportageformats. Het meest inzichtelijk kan dit beschreven worden aan de hand Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 14

15 van de stappen die achtereenvolgens doorlopen worden in dit methodiek. De methodiek bestaat uit vier stadia: De client environment De data extraction De analyse Reporting Deze verschillende stadia van het analyseproces kunnen worden weergegeven als in Figuur 2. In dit hoofdstuk zal in algemene termen over de methodiek gesproken worden. Het volgende hoofdstuk zal een meer praktische insteek hebben, hierin wordt een manier beschreven waarop de voorgestelde methodiek toegepast is. FIGUUR 2 STADIA BINNEN DE METHODIEK 4.1 BEHEERFASE Schematisch kan deze fase als volgt worden weergegeven: actor wat wanneer waarom data-analyse specialist data-analyse specialist ontwikkelen van controles passend bij de gedefinieerde risicoprofielen continu proces data-analyse specialist inzetten per casus is te kostbaar, uitbreiden mogelijke analyses change management continu proces continuïteit garanderen, zekerheid t.a.v. controles Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 15

16 De beheerfase onderscheidt zich van de overige fasen in de methodiek doordat het niet geïnitieerd wordt door een aanvraag van een accountant voor een specifieke analyse. De beheerfase kan worden gezien als een continu proces. Het is randvoorwaardelijk voor gedegen analyses waar de accountant zekerheid uit kan verkrijgen. Onderdeel van deze fase is het creëren en beheren van controles passend bij de gedefinieerde risicoprofielen door de data-analyse specialist. Aangezien de data-analyse specialist op dit punt controles ontwikkelt voor meerdere klanten conform een standaard datamodel worden er initieel kosten gemaakt maar zal per casus de beperkte beschikbaarheid van de data-analyse specialist geen factor meer zijn. Een ander aspect is change management. Cruciaal voor deze methodiek is namelijk dat accountants zekerheid verkrijgen vanuit de data-analyses zonder hier extra werkzaamheden voor te hoeven verrichten. Onderdeel van de maatregelen die dit waarborgen is dat wijzigingen op de controles gecontroleerd in productie worden genomen. Effectief change management draagt hier zorg voor. Daarnaast wordt hiermee ook de continuïteit gegarandeerd. Uit de opzet van de methodiek volgt dat het in essentie nooit af is. Veranderingen in de client environments en eventuele veranderingen in wet- en regelgeving hebben gevolgen die door de flexibiliteit van de methodiek opgevangen kunnen worden. 4.2 CLIENT ENVIRONMENT Schematisch kan deze fase als volgt worden weergegeven: actor wat wanneer waarom de accountant afzien van risico- vóór de interim-controle, efficiëncy inventarisatie en bij het opstarten van de typeren bedrijf jaarrekeningcontrole De methodiek is bedoeld voor de accountant om tijdens de jaarrekeningcontrole te gebruiken. In de NV COS315 wordt aangegeven dat de interne beheersingsmaatregelen in opzet en in bestaan getoetst moeten worden, dit kan aan de hand van data-analyse en daarmee aan de hand van de methodiek. Een manier om inzicht te krijgen in de mogelijke risico s van een bedrijf is het bedrijf te typeren conform de typologieën van Starreveld. Hierdoor krijgt de accountant inzicht in de geld-goederenbeweging en de daarmee samenhangende risico s. In de methodiek zullen deze typeringen ook gebruikt worden om een koppeling te maken naar de analyses die uitgevoerd worden. De gangbare methode voor data-analyse begint bij de klant, understanding the business. Tijdens deze fase worden de risico s geïnventariseerd en aan Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 16

17 de hand daarvan worden eventueel data opgevraagd om beheersdoelstellingen te kunnen aantonen. Binnen de voorgestelde methodiek begint men niet bij het inventariseren van de risico s maar vraagt men een standaard dataset uit. Aan de hand van deze dataset kan bepaald worden aan welke typologie de klant voldoet en daarmee tegen welk gestandaardiseerd risicomodel getoetst moet worden. Door deze methodiek te gebruiken kan efficiënter inzicht verkregen worden in de potentiële risico s die tijdens de jaarrekeningcontrole relevant zijn. Vanuit de filosofie die achter de methodiek zit kan de accountant tijd besparen door de inventarisatie van potentiële risico s gedeeltelijk geautomatiseerd uit te laten voeren. Door deze tijd op een later moment aan meer specifieke werkzaamheden te wijden kan de kwaliteit van de jaarrekeningcontrole positief beïnvloed worden. 4.3 DATA EXTRACTION Schematisch kan deze fase als volgt worden weergegeven: actor wat wanneer waarom de accountant opvragen van data bij het opstarten van de jaarrekeningcontrole data van de te auditen organisatie is niet tijdig beschikbaar extractie-systeem standaardiseren van data tijdens de extractie data-analyse specialisten zijn niet beschikbaar De client environments bij klanten zijn erg divers. Bedrijfsdata wordt opgeslagen in verschillende applicaties en deze applicaties verschillen per klant. Deze verschillende applicaties zullen ook verschillend omgaan met de informatie waarover zij beschikken. Sterker nog, eenheden uit de ene applicatie zijn vaak niet te vergelijken met eenheden uit een andere applicatie. Geconcludeerd moet worden dat er geen homogeniteit, betrouwbaarheid en geldigheid tussen de verschillende pakketten bestaat. Zoals beschreven in het voorgaande hoofdstuk zijn deze eigenschappen cruciaal voor het uitvoeren van een effectieve data-analyse (Zigler & Philips, 1961). In het kader van de jaarrekeningcontrole zullen de volgende applicaties relevant zijn: Financiële applicatie Logistieke applicatie Bankapplicatie HR-applicatie Salarisadministratie-applicatie Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 17

18 De methodiek zal ondersteuning moeten bieden voor al deze applicaties en koppelingen hierin zichtbaar maken. Hierbij moet de financiële applicatie centraal staan. Eventuele ondersteunende applicaties zullen buiten beschouwing worden gelaten, hieronder vallen applicaties t.a.v. general IT controls (incident/change management applicaties) en dergelijke. De risico s die hiermee samenhangen t.a.v. de juistheid van de jaarrekeningcontrole zijn dermate klein om deze mee te nemen in de standaardisatie. Het effectiviteitsvoordeel zal nihil zijn, indien deze gestandaardiseerd zouden worden, mogelijk is er zelfs geen sprake van een voordeel. Uit eigen onderzoek blijkt dat er veel verschillende applicaties worden gebruikt voor de verwerking van de financiële gegevens in het MKB. Dit is inzichtelijk gemaakt in bijlage 1. Dit eist prioritering en focus bij de implementatie van de methodiek. Applicaties die worden aangesloten op de methodiek zullen namelijk uitgebreid getest moeten worden. Verschillende belangengroepen (waaronder de overheid) doen pogingen voor standaardisatie van exportfunctionaliteiten uit applicaties, hierbij valt te denken aan de auditfile en XBRL In het jaar 1999 heeft de belastingdienst een eerste stap gemaakt in de standaardisatie van gegevens (Belastingdienst, 2003). Sinds dit jaar is het voor verwerkers van financiële gegevens verplicht om deze te kunnen exporteren naar een zogenoemde auditfile. In deze auditfile zijn de grootboekmutaties, de crediteuren en debiteuren en het rekeningschema in een gestructureerde (XML) vorm aanwezig. Vanuit de praktijk blijkt dat deze methodiek vaak door accountant gebruikt wordt. Toch kunnen we momenteel niet vertrouwen op deze methodieken. Er ontbreekt cruciale informatie in de auditfile om als basis te dienen voor een uitgebreide data-analyse. Voorbeelden van gegevens die ontbreken zijn de gebruikersnamen van de gebruikers die mutaties hebben gedaan, daarnaast ontbreken de sub-administraties welke benodigd zijn voor een degelijk onderzoek (Belastingdienst, 2003). XBRL heeft nog onvoldoende stabiliteit. Het is een concept dat in de toekomst veel kan gaan betekenen voor data-analyse. Momenteel wordt het gebruik ervan echter niet aangeraden aangezien de ontwikkelingen niet consequent zijn en XBRL nog vatbaar is voor veranderingen. Om de diepgang in de methodiek te waarborgen is ervoor gekozen om niet aan te sluiten bij de XBRL-methodologie Extractie-architectuur De methodiek zal de verschillende stappen van de voorbereiding tot de uiteindelijke rapportage beschrijving, daaronder valt ook de manier van analyseren. In de komende paragraaf zal ingegaan worden op verschillende architecturen en de voordelen respectievelijk nadelen hiervan. Er bestaan verschillende datawarehouse architectuurtypen (Shahim, 2005): te weten; - Extraction architecture, waarbij de benodigde data uit de bronnen gehaald wordt Lex Wagenaar Methodiek voor kwaliteitsverhoging jaarrekeningcontrole 18