Data analyse: jaarrekeningcontrole efficiënter? Referaat Eric Pols Eric Pols MSc. (Studentnummer: 275589) Rotterdam, 14 10 2011, Definitief IT Auditing, ESAA Rotterdam Begeleider: Jan Pasmooij RE RA RO
2 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
Voorwoord Data analyse.. veel collega s wisten het al. Ikzelf nog niet. Ik heb zelf lang nagedacht over mijn onderwerp. Veel collega s vonden het echter vanzelfsprekend dat ik mijn referaat over data analyse zou gaan schrijven. Binnen KPMG sta ik namelijk bekend als een gedreven dataanalist. Daarnaast word ik weleens EriQuery genoemd. Ik ben blij dat die collega s toen zo over mijn referaatonderwerp dachten en dit ook aan mij kenbaar maakten. Dit heeft ervoor gezorgd dat ik er uiteindelijk zeker van was een goed bij mezelf passend onderwerp gekozen te hebben. Op dit moment, een aantal maanden later, ligt het eindproduct er. Ik ben er trots op! Dit heb ik echter niet volledig alleen gedaan. Ik wil daarom bij deze mijn begeleider van de Erasmus bedanken voor de constructieve feedback. Daarnaast mijn vriendin voor de mentale ondersteuning en het tekstueel reviewen. De geïnterviewden wil ik bedanken voor de tijd die ze er in gestoken hebben en de prettige gespreken. Als laatste wil ik nog mijn directe collega s bedanken voor de sparmomenten over dit onderwerp. Ik wens u veel leesplezier toe en hoop daarnaast dat het u handreikingen geeft om toe te passen in de praktijk. Wat mij betreft is het referaat nog interessanter en leuker geworden dan ik verwacht had! Eric Pols 14 oktober 2011 3 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
4 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
Inhoudsopgave 1 Introductie... 7 1.1 Probleemstelling... 7 1.2 Onderzoeksdoelstelling... 7 1.3 Vraagstelling... 7 1.4 Reikwijdte... 8 1.5 Aanpak... 8 1.6 Structuur... 9 1.7 Motivatie keuze onderwerp... 9 1.8 Doel van dit referaat... 9 1.9 Terminologie... 9 2 Samenvatting... 11 2.1 Prijsdruk de baas... 11 2.2 Positive assurance... 11 2.3 Kwantificeren van kwalitatieve bevindingen... 11 2.4 Integrated audit... 11 2.5 Terugrelateren aan significiant accounts... 11 3 Inleiding data analyse... 13 3.1 Containerbegrip... 13 3.2 Type data analyses... 13 3.3 Voorwaarden data analyse... 15 3.4 Uitvoering... 18 3.5 Samenvatting... 19 4 Fases van de jaarrekeningcontrole... 21 4.1 Planning... 21 4.2 Control evaluation... 21 4.3 Substantive procedures... 22 4.4 Conclusie & Afronding... 22 4.5 Samenvatting... 23 5 Efficiëntievoordelen... 25 5.1 Planning... 25 5.2 Control evaluation... 25 5.3 Substantive procedures... 27 5.4 Conclusie & Afronding... 27 5.5 Samenvatting... 27 6 Rol van de accountant... 29 6.1 Planning... 29 6.2 Control evaluation... 29 6.3 Substantive procedures... 30 6.4 Conclusie & Afronding... 30 6.5 Samenvatting... 30 7 Aanpak... 31 7.1 Planning... 31 7.2 Control evaluation... 31 7.3 Substantive procedures... 34 7.4 Conclusie & Afronding... 34 5 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
7.5 Samenvatting... 35 8 Additionele voordelen... 37 8.1 Planning... 37 8.2 Control evaluation... 37 8.3 Substantive procedures... 37 8.4 Conclusie & Afronding... 37 8.5 Samenvatting... 38 9 Continuous Auditing / Continuous Monitoring... 39 9.1 Planning... 40 9.2 Control evaluation... 40 9.3 Substantive procedures... 40 9.4 Conclusie & Afronding... 41 9.5 Samenvatting... 41 10 Modelvorming... 43 10.1 Fases jaarrekeningcontrole... 43 10.2 Impact per materiële post... 44 10.3 Voorbeelduitwerking... 45 11 Praktijktoetsing... 47 11.1 Prijsdruk... 47 11.2 Planningsfase... 47 11.3 Control evaluationfase... 48 11.4 Substantive proceduresfase... 49 11.5 Conclusie & Afrondingsfase... 50 11.6 Schema innovatieve aanpak... 51 11.7 Voorbeelduitwerking... 51 12 Conclusie... 53 12.1 Introductie... 53 12.2 Evaluatie praktijktoetsing... 53 12.3 Conclusie... 54 12.4 Aanbeveling... 55 12.5 Evaluatie doelstelling... 56 12.6 Vervolgonderzoek... 56 12.7 Mening auteur... 56 13 Literatuur... 57 Bijlage A: Interviewvragen... 59 Bijlage B: Geïnterviewden... 60 6 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
1 Introductie 1.1 Probleemstelling De laatste jaren staan de tarieven voor een jaarrekeningcontrole enorm onder druk. Veel klanten beschouwen de jaarrekening namelijk als een uniform product (commodity). Dit argument voor een lager tarief wordt voornamelijk genoemd tijdens de tariefonderhandelingen. Accountantskantoren gaan daar deels in mee om belangrijke klanten niet te verliezen of nieuwe interessante klanten te winnen. Het Financieel Dagblad schrijft bijvoorbeeld op 18 juli 2011 dat de 25 Midkapfondsen in 2010 6% minder betaald hebben voor de jaarrekeningcontrole [FDmk11]. Daarnaast heeft ook de Rabobank onderzoek gedaan naar de Accountancybranche. Zij schrijven in juli 2011: Klanten van accountancykantoren zijn sinds de recessie prijsbewuster geworden. Dit heeft geleid tot een onverminderde prijsconcurrentie die de gehele sector raakt. [Rabo11] Reden om hierin mee te gaan, is voor de accountantskantoren dat naast het kernproduct (de accountantsverklaring) vaak ook aanvullende diensten tegen een beter tarief geleverd kunnen worden. Idealiter zou echter ook het kernproduct winstgevender zijn. Data analyse wordt in vakliteratuur (zie literatuurlijst) aangedragen als één van de oplossingen om efficiënter te kunnen auditen. Het resultaat van data analyse biedt dan ook een meerwaarde aan de klant. [Tole10] Een theoretische onderbouwing daarvan in combinatie met empirisch onderzoek ontbreekt echter. 1.2 Onderzoeksdoelstelling De doelstelling is te onderzoeken in hoeverre en hoe data analyse de jaarrekeningcontrole efficiënter kan maken. 1.3 Vraagstelling Binnen het onderzoek worden onderstaande hoofd en deelvragen behandeld. 1.3.1 Hoofdvraag In hoeverre en hoe kan het gebruik van data analyse de jaarrekeningcontrole efficiënter maken? 1.3.2 Deelvragen 1 Hoe kan data analyse ondersteunen per fase van de jaarrekeningcontrole? Per fase wordt een data analyse anders toegepast. Tijdens de planningsfase bijvoorbeeld, zal data analyse voornamelijk worden toegepast om de omvang van transactiestromen binnen een proces in kaart te brengen. Hiermee kan de focus worden bepaald. 2 Welke efficiëntievoordelen zijn met data analyse te behalen? 3 In hoeverre verandert de rol van de accountant? Het gebruik van data analyse binnen de jaarrekeningcontrole, niet alleen gericht op gegevensgericht onderzoek, zorgt ervoor dat de werkwijze van de accountant verandert. 7 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
4 Welke aanpak dient gehanteerd te worden? Om data analyse succesvol toe te passen binnen een jaarrekeningcontrole dient een gedegen aanpak gehanteerd te worden. 5 Brengt data analyse tijdens de jaarrekeningcontrole de klant additionele voordelen? De accountant kan wellicht waarde toevoegen door data analyseresultaten te delen met de klant. 6 Hoe verhoudt ad hoc data analyse zich tot Continuous Auditing / Continuous Monitoring? De laatste jaren passen steeds meer bedrijven Continuous Auditing / Continuous Monitoring systemen toe. Hierbij worden controles van de accountant overgenomen door Internal Audit (CA) en later door de organisatie zelf (CM). Het onderzoek richt zich niet op 1.4 Reikwijdte organisaties met dergelijke systemen. Dit onderzoek richt zich alleen op data analyse in het kader van de jaarrekeningcontrole. Daarnaast wordt bij dit onderzoek als uitgangspunt genomen dat de klant gebruik maakt van een gangbaar ERP systeem voor de belangrijkste ondersteunende processen. Dit zijn inkoop, boekhouding en verkoop. Tijdens het onderzoek zal SAP als voorbeeld gehanteerd worden. De klant heeft geen adequaat Continuous Auditing/Monitoringsysteem waar de accountant op kan steunen geïmplementeerd. Het onderzoek richt zich op zowel Business als op IT controls. 1.5 Aanpak De aanpak zal gebaseerd zijn op literatuuronderzoek in combinatie met kwalitatief empirisch onderzoek. Het empirisch onderzoek zal bestaan uit interviews met accountants en IT auditors die werkzaam zijn binnen de private sector en de Rijksoverheid. Fase Omschrijving Methodiek Introductie Vaststellen probleem Desk research Literatuurstudie Conceptmodel dataanalyse jaarrekening Interviews Praktijktoetsing uitwerken Wat beschrijft de literatuur over data analyse in de jaarrekeningcontrole Opstellen van een conceptmodel op basis van literatuur en persoonlijke good practices Interviewen van 9 accountants met enige IT achtergrond of IT auditors bij zowel grote accountantskantoren als internal audit afdelingen bij grote organisaties. In het interview bespreken van het conceptmodel, de visie van de geïnterviewden en praktijkervaringen Uitwerken praktijktoetsing van het model op basis van de interviewresultaten Desk research Desk research Interview Desk research Conclusie Conclusies opstellen Desk research Tabel 1: Aanpak onderzoek 8 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
1.6 Structuur De structuur van dit referaat is als volgt: Introductie: Uitwerking van probleemstelling en aanpak onderzoek; Samenvatting; Per hoofdstuk een uitwerking van de deelvragen op basis van literatuurstudie en ervaring van de auteur; Modelvorming: Bespreking van het gevormde model op basis van het onderzoek; Praktijktoetsing: Toetsing van het model op basis van interviews; Evaluatie praktijktoetsing en conclusie. 1.7 Motivatie keuze onderwerp Vanuit mijn werkzaamheden bij KPMG heb ik dagelijks te maken met data analyse op ERPsystemen. In het bijzonder heb ik te maken met SAP. Ongeveer een kwart van deze werkzaamheden voer ik uit in het kader van de jaarrekeningcontrole. Tijdens deze opdrachten merkte ik dat er steeds behoefte is aan efficiënter auditen, zoals ook in de probleemstelling beschreven is. 1.8 Doel van dit referaat De uitkomsten van dit onderzoek hoop ik in de praktijk toe te kunnen passen. Daarnaast hoop ik hiermee waardevolle informatie aan IT auditors en accountants te kunnen geven. Met name aan hen die te maken hebben met data analyse. Echter, ook aan mensen die op dit moment nog niet hiermee werken, maar wel willen weten wat de (on)mogelijkheden van data analyse tijdens de jaarrekeningcontrole zijn. 1.9 Terminologie In dit referaat worden termen gebruikt die mogelijk niet voor alle lezers bekend zijn. De belangrijkste termen zijn daarom in deze paragraaf toegelicht. Application controls: Beheersmaatregelen (controls) die in IT systemen zijn ingericht. Denk aan het vier ogen principe bij wijzigingen op crediteurenstamgegevens. Assertion Level Controls: Dit zijn beheersmaatregelen (controls) die bepaalde beweringen (bijvoorbeeld volledigheid, juistheid, bestaan en tijdigheid) over jaarrekeningposten ondersteunen en die in de organisatieprocessen zijn verankerd. Een beheersmaatregel kan handmatig, IT afhankelijk of volledig geautomatiseerd worden uitgevoerd. Auditmatrix: In een auditmatrix zijn de processen van de klant gekoppeld aan risico s en bijbehorende beheersmaatregelen. Data analyse: Het gehele proces van verzamelen, modelleren en omzetten van data met als doel bruikbare informatie te genereren. Data analist: Medewerker die belast is met het uitvoeren van data analyses. Dit kan zowel een accountant of een IT auditor zijn zolang deze maar over de benodigde vaardigheden beschikt. 9 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
Entity Level Controls: Organisatiebrede beheersmaatregelen (controls) die op een hoger niveau liggen dan Assertion Level Controls. Bij de beoordeling van de Entity Level Controls wordt de beheersingsstructuur van een organisatie beoordeeld, zoals de organisatiebrede risicoanalyse door het management en de algehele controleomgeving. Fase Control evaluation : Jaarrekeningcontrolefase waarin opzet, bestaan en werking van beheersmaatregelen (controls) geëvalueerd worden. [Meul07] Fase Substantive procedures : Jaarrekeningcontrolefase waarin gegevensgerichte werkzaamheden uitgevoerd worden, zoals cijferbeoordeling, verbandscontroles en steekproeven. [Meul07] Gegevensgerichte aanpak: Controle door individuele posten of documenten te beoordelen. Hierbij wordt niet gesteund op het interne controlesysteem van de klant. IT General Control (ITGC): Beheersmaatregelen (controls) die ingericht zijn om de ITomgevingen te beheersen. Denk aan wijzigingsbeheer en toegangsbeheer. Effectieve ITGC s zijn een basisvoorwaarde om te kunnen steunen op application controls. ITGC s zorgen er namelijk voor dat application controls niet onterecht (tijdelijk) uitgeschakeld kunnen worden. Significant account (materiële post / betekenisvolle grootboekrekening): Een grootboekrekening of een groep van grootboekrekeningen is betekenisvol indien het onjuistheden kan bevatten die een materieel effect op de jaarrekening hebben. Ook als deze niet materieel zijn, maar ervoor kunnen zorgen dat de reputatie van de klant of relatie met klanten, aandeelhouders en publieke opinie negatief beïnvloed kan worden, valt deze er onder. Factoren die in overweging genomen kunnen worden bij de bepaling van de significant accounts zijn als volgt: Omvang en samenstelling van de rekening Aard van de rekening Aard van de transacties die plaatsvinden Gevoeligheid van de rekening voor manipulatie of verlies Volume van transacties / activiteit op de rekening Veranderingen in de organisatie die van invloed zijn op de rekening Saldo op de rekening ten opzichte van de totale saldi Systeemgerichte aanpak: Controle door middel van toetsing of de administratieve organisatie en het systeem van interne controle voldoen aan de gestelde eisen. 10 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
2 Samenvatting 2.1 Prijsdruk de baas Accountants krijgen steeds meer te maken met prijsdruk op de jaarrekeningcontrole. Het Financieel Dagblad schreef bijvoorbeeld dat de 25 Midkapfondsen in 2010 hiervoor 6% minder betaald hebben. Uit dit uitgevoerde onderzoek blijkt dat data analyse als een oplossing gezien wordt om de prijsdruk de baas te kunnen. Niet alleen om daarmee de jaarrekeningcontrole efficiënter en effectiever uit te voeren, maar ook door toegevoegde waarde aan de klant te kunnen bieden. In dit onderzoek is een model gevormd en gevalideerd wat hierbij kan ondersteunen. Uitgangspunten inzake dit model zijn als volgt: 2.2 Positive assurance Door middel van data analyse kan positive assurance gegeven worden. Dit door posten geautomatiseerd te evalueren en aan te geven bij welke posten geen onjuistheden geconstateerd zijn. Routinematige transactionele processen kunnen op basis hiervan efficiënter worden gecontroleerd zodat de accountant meer tijd over heeft om zich te kunnen richten op niet routinematige posten. Daarnaast kan de accountant zich meer gaan richten op niet routinematige eigen werkzaamheden zoals het beoordelen van waarderingen. 2.3 Kwantificeren van kwalitatieve bevindingen Systeemgerichte onderzoeken resulteren veelal in kwalitatieve bevindingen. Deze bevindingen zijn in veel gevallen moeilijk te vertalen naar de impact op de jaarrekening. Data analyse kan hierbij ondersteunen door deze bevindingen te kwantificeren naar het financiële belang. 2.4 Integrated audit Om het maximale uit een data analyse te halen is het van belang dat de accountant, dataanalist en IT auditor nauw samenwerken. Dit zorgt ervoor dat alleen die data analyses die bijdragen aan het doel uitgevoerd worden en de resultaten juist geïnterpreteerd worden. Een data analyse krijgt pas zijn waarde bij een gedegen interpretatie. 2.5 Terugrelateren aan significiant accounts Om de drie bovenstaande uitgangspunten toe te passen worden in het ontwikkelende model de bevindingen teruggerelateerd aan de significiant accounts. Hierdoor wordt de kwantitatieve impact van een bevinding op de significiant accounts inzichtelijk. Uit dit onderzoek blijkt dat deze methode kan zorgen voor een efficiëntere jaarrekeningcontrole. Enerzijds door met minder manuren dezelfde zekerheid te kunnen geven, anderzijds door meer zekerheid met hetzelfde aantal manuren te kunnen geven. 11 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
12 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
3 Inleiding data analyse In dit hoofdstuk wordt beschreven wat data analyse inhoudt en wat de toepassingsmogelijkheden binnen audits zijn. Data analyse is een breed begrip, met deze reden wordt in dit hoofdstuk het begrip ingekaderd. 3.1 Containerbegrip Data analyse is een containerbegrip. Het neemt dan ook zowel in de theorie als in de praktijk verschillende vormen aan. Denk enerzijds aan eenvoudige, maar onbeheerste analyses in Excel tegenover geavanceerde analyses met een serveromgeving. Los van hoe de data analyse ingericht is, heeft het altijd tot doel om bruikbare informatie op te leveren. Binnen dit onderzoek definiëren we data analyse daardoor als volgt: Data analyse is het gehele proces van verzamelen, modelleren en omzetten van data met als doel bruikbare informatie te genereren. Van belang in deze definitie is dat het gaat om het gehele proces. Data analyse is niet alleen het technisch uitvoeren van de analyse, maar er komt meer bij kijken. Denk hierbij aan het opstellen van de eisen voorafgaand aan de analyse, maar ook de interpretatie achteraf. Onderstaande afbeelding (Figuur 1) geeft aan welke stappen bij een data analyse horen. Eisen opstellen Data opzoeken Data onttrekken Verwerken Interpreteren Figuur 1: Stappen binnen een data analyse 3.2 Type data analyses Voor de inzet van data analyses als onderdeel van audits wordt in dit onderzoek het volgende onderscheid gemaakt. Dit onderscheid geeft aan bij welk type werkzaamheden data analyse als tool kan ondersteunen (Figuur 2), in de subparagrafen wordt dit verder per type toegelicht. 1. Ondersteunen systeemgebaseerde aanpak 2. Ondersteunen procesanalyse 3. Ondersteunen gegevensgerichte aanpak 4. Beantwoorden specifieke vragen Figuur 2: Inzet van data analyses bij audits 3.2.1 Ondersteunen systeemgebaseerde aanpak Dit type data analyse heeft tot doel om de werking van beheersmaatregelen te testen. Daarnaast kunnen eventuele restrisico s door niet effectief werkende beheersmaatregelen 13 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
verminderd worden. De focus ligt bij deze analyses op ingerichte application controls en user controls. De analyses worden uitgevoerd in de vorm van (key) control indicatoren waarbij de indicator (bijvoorbeeld een uitzonderingsrapportage) aangeeft in hoeverre de beheersmaatregelen effectief gewerkt heeft. Expliciet staat er in Ondersteunen systeemgebaseerde aanpak het woord Ondersteunen omdat met alleen data analyse geen systeemgebaseerde aanpak gehanteerd kan worden. Een degelijke proces, risico en beheersingsanalyse dient hieraan vooraf te gaan om de data analyse waardevol te laten zijn. Bij dit type data analyse horen bijvoorbeeld de volgende analyses: open crediteurenposten, facturen die buiten een workflow omgeboekt zijn en geblokkeerde facturen welke handmatig vrijgegeven moesten worden. Om deze analyses goed binnen de auditaanpak te kunnen plaatsen dienen deze altijd gekoppeld te zijn aan een auditmatrix. [Scho11] Zie hieronder een voorbeeld (Figuur 3). In de auditmatrix zijn de processen gekoppeld aan risico s en bijbehorende beheersmaatregelen. Met behulp van data analyse kunnen deze beheersmaatregelen getoetst worden op werking, voor zover nodig. Daarnaast blijft er mogelijk een restrisico over doordat controls niet effectief werken of dat de controls per definitie al niet het volledige risico mitigeren. Met data analyse kan dit restrisico verkleind worden door te analyseren in hoeverre dit daadwerkelijk tot onjuistheden geleid heeft in de periode waar de jaarrekening betrekking op heeft. Figuur 3: Audit matrix met de relatie tussen processen, risico's en controls 14 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
3.2.2 Ondersteunen procesanalyse Doel van dit type data analyse is om inzicht te geven in de processen en om te ondersteunen bij de scoping van audits (bijvoorbeeld in de planningsfase). De focus ligt hierbij op de relevante processen voor de jaarrekening, meestal financiële en primaire processen. De uitkomsten van dit type data analyse zijn vaak high level overzichten met daarin de omvang van de transactiestromen die door de processen heen zijn gegaan. Hierbij gaat het bijvoorbeeld om een overzicht van geboekte inkoopfacturen per afdeling, betalingen per crediteur en documenttypes die in gebruik zijn. 3.2.3 Ondersteunen gegevensgerichte aanpak Dit type data analyse heeft ten eerste het doel om de steekproefmassa te bepalen. De focus ligt hierbij op het genereren van totaallijsten met alle relevante boekingen die in een bepaalde periode plaats hebben gevonden. Daarnaast heeft dit type data analyse het doel om uitzonderingen in kaart te brengen in het proces. Op basis van specifieke karakteristieken worden (mogelijk) onjuiste posten geselecteerd. Voorbeelden hierbij zijn overzichten van aangemaakte bestellingen, geboekte facturen en uitgevoerde betalingen. 3.2.4 Beantwoorden specifieke vragen Doel van dit type data analyse is om specifieke vragen die tijdens een audit aan het licht komen te beantwoorden. Dit zijn veelal ad hoc vragen die niet direct aan een audit matrix of planning te koppelen zijn. Dit type data analyse dient wel zoveel mogelijk voorkomen te worden omdat de uitkomst pas goed geïnterpreteerd kan worden als deze gekoppeld is aan bijvoorbeeld een audit matrix. Daarnaast is het waarschijnlijk niet efficiënt, omdat een dergelijke analyse maar beperkt bedraagt aan de jaarrekeningcontrole. Een voorbeeld van een dergelijke analyse is: Is een gebruikersaccount gedurende de vakantie van de betreffende persoon misbruikt? Men heeft bijvoorbeeld het vermoeden dat gebruikersaccounts misbruikt worden en men wil hier graag dieper op ingaan. 3.3 Voorwaarden data analyse In deze paragraaf worden de eisen beschreven waaraan voldaan dient te worden om een dataanalyse uit te kunnen voeren. Met al deze eisen dient rekening gehouden te worden in de ontwerpfase van de audit waarbij data analyse toegepast gaat worden. 3.3.1 Eisen bron (IT systeem) De IT omgeving en de data representeren de werkelijkheid. Als buiten het systeem om nog lijsten bijgehouden worden zal een data analyse waarschijnlijk beperkt toepasbaar zijn. Met data analyse moet het mogelijk zijn de betreffende informatie te verkrijgen. Dataanalyse kan namelijk geen menselijke beoordeling uitvoeren op de gegevens. De context van de data (systemen en processen) moet duidelijk zijn. De relevante data kan bepaald worden. Te achterhalen moet zijn waar de relevante gegevens in het systeem staan (welke tabellen of rapporten). 15 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
De relevante data kan uit het systeem worden gehaald. De gegevens moeten te downloaden zijn ter verwerking in de data analysesoftware. 3.3.2 Eisen auditproces In de auditmethodologie wordt beschreven waar een auditmethode aan moet voldoen [Otten02]: Een methodologisch verantwoorde benadering, die moet waarborgen dat het auditresultaat relevant en deugdelijk (betrouwbaar en reproduceerbaar) is en dat de audit efficiënt wordt uitgevoerd. Dit is ook van toepassing op data analyse als onderdeel van een audit. Van belang is dat het data analyseresultaat relevant en deugdelijk is. In de ontwerpfase van de audit moeten dus al maatregelen genomen worden om deze relevantie en deugdelijkheid te waarborgen. De relevantie dient gewaarborgd te worden door continu de data analyse aan de auditdoelstelling te koppelen. De deugdelijk dient gewaarborgd te worden door voldoende validaties uit te voeren (betrouwbaarheid) en te zorgen voor een audit log (reproduceerbaarheid). In de Handleiding Regelgeving Accountancy (HRA) wordt ook gesproken over dataanalysesoftware, hierin auditsoftware genoemd. Onder andere in HRA standaard 330 19 staat [HRA110]: Gebruik van auditsoftware kan uitgebreider onderzoek van elektronische transacties en grootboekbestanden mogelijk maken. Dergelijke technieken kunnen worden gebruikt om transacties uit belangrijke elektronische bestanden te selecteren, om transacties met bepaalde kenmerken te selecteren of om de gehele populatie te onderzoeken in plaats van een selectie daaruit. Deze standaard zegt nog niets over de eisen die aan de auditsoftware gesteld worden, maar geeft wel aan dat het gebruik van auditsoftware toegestaan is. Daarnaast mag de documentatie ook digitaal vastgelegd worden, zie hiervoor HRA standaard 230 7 [HRA110]: Controledocumentatie kan zijn vastgelegd op papier, in digitale vorm of op andere gegevensdragers. HRA Relevantie Inzake relevantie schrijft HRA standaard 330 73a het volgende voor [HRA110]: De documentatie van de accountant dient tot uitdrukking te brengen dat het financiële overzicht aansluit op de onderliggende administratie. Van belang is dus dat het resultaat van de dataanalyse (documentatie) aansluit op de financiële overzichten en daarmee relevant is. HRA Deugdelijkheid In HRA standaard 230 9 wordt inzake betrouwbaarheid en reproduceerbaarheid het volgende beschreven [HRA110]: De accountant dient de controledocumentatie zodanig te vervaardigen dat een ervaren accountant die voorheen niet betrokken was bij de controle in staat is om inzicht te verkrijgen in: a. de aard, de tijdsfasering en de omvang van de controlewerkzaamheden die zijn uitgevoerd om te voldoen aan de Standaarden en de vereisten voortkomend uit de van toepassing zijnde wet en regelgeving; b. de uitkomsten van de controlewerkzaamheden en de verkregen controle informatie; 16 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
c. belangrijke onderwerpen die tijdens de controle aan het licht zijn gekomen en de daaruit getrokken conclusies. Daarnaast wordt inzake vastlegging in de HRA Besluit toezicht accountantsorganisaties Artikel 11 lid 3 en 5 het volgende beschreven [HRA110]: lid 3. In het controledossier worden ten minste de volgende gegevens en bescheiden schriftelijk of elektronisch vastgelegd: j. de overige relevante gegevens en bescheiden die van belang zijn voor de onderbouwing van de door de externe accountant afgegeven verklaring en voor het toezicht op de naleving van de bij en krachtens de wet en de Wet op de Registeraccountants onderscheidenlijk de Wet op de Accountants Administratieconsulenten gestelde regels. 3.3.3 Eisen auditor (data analist) Om als data analist een relevant en deugdelijk data analyseresultaat op te kunnen leveren moet je voldoen aan het volgende profiel: Kennis van de ERP functionaliteit (inzicht in transacties en procesgangen); de context van de analyse moet namelijk bekend zijn voor de data analist. Ervaring met data analysesoftware; foutief gebruik van de software zorgt er namelijk voor dat de resultaten onbetrouwbaar worden. HBO/WO werk en denkniveau; er wordt namelijk van de data analist verwacht dat deze niet alleen de technische uitvoering doet, maar ook functioneel meedenkt met de opdrachtgever. Affiniteit met databases; de technische uitvoering van data analyse bestaat namelijk vooral uit het koppelen van tabellen. Een database bestaat uit tabellen. Kennis van ERP datastructuren (tabellen en velden); kennis van de betekenis van de tabellen en velden is nodig om tot betrouwbare resultaten te komen. Communicatief vaardig; bij data analyse is het van belang goed de resultaten te valideren door interviews te houden om daarmee de betrouwbaarheid te verhogen. 3.3.4 Eisen accountant (opdrachtgever) Als enige specifieke vereiste voor de accountant voor data analyse geldt dat deze enige affiniteit met data analyse moet hebben. Hij of zij moet zich namelijk een voorstelling kunnen maken bij wat er binnen een data analyse gebeurt om het resultaat te kunnen interpreteren. Daarnaast gelden de eisen die normaal gesproken van een accountant, die betrokken is bij ITsysteemgerelateerde audits, verwacht worden. Denk hierbij aan het kennis hebben van de procesgangen rondom het IT systeem. 3.3.5 Eisen data analysetools De data analysetools dienen ook aan eisen te voldoen om een volgens de auditmethodologie deugdelijk resultaat te genereren. Zoals in de hierboven genoemde HRA standaard 230 9 beschreven staat dient de controledocumentatie dusdanig vervaardigd te zijn, dat een ervaren accountant die voorheen niet betrokken was bij de controle in staat is de uitkomsten te 17 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
begrijpen. Daarnaast dient de uitkomst volgens de auditmethodologie reproduceerbaar te zijn. Om aan bovenstaande te voldoen dient de data analysesoftware te beschikken over een zogenaamde audit log. Dit houdt in dat alle stappen die plaatsvinden vanaf het bronbestand vastgelegd worden. Een ervaren accountant of data analist kan dan namelijk volgen wat er plaats heeft gevonden en kan de analyse opnieuw op dezelfde manier uitvoeren. De dataanalysesoftware biedt vaak geen mogelijkheid om vast te leggen waar het bronbestand vandaan komt en met welke selectiecriteria het verkregen is; dit dient dan in het dossier vastgelegd te worden. 3.4 Uitvoering Data analyse kan op vele manieren uitgevoerd worden. Echter dienen wel alle stappen zoals eerder genoemd in figuur 1 (de 5 data analysestappen) doorlopen te worden. Daarbij zijn vooral de stappen Eisen opstellen en Interpreteren van belang om waardevolle uitkomsten te kunnen bereiken. In de stap Eisen opstellen dient door de data analist met de opdrachtgever gedetailleerd afgestemd te worden wat exact verwacht wordt en of aan alle voorwaarden voor een data analyse voldaan wordt. Door dit vooraf goed af te stemmen wordt de kans op verrassingen achteraf of onbruikbare resultaten kleiner. Daarnaast is de stap Interpreteren van belang waarbij de data analist in overleg met de opdrachtgever of proceseigenaar de resultaten interpreteert. Dit is nodig om weging te kunnen geven aan de resultaten zodat het nut vergroot wordt. De technische uitvoering kan enerzijds eenvoudig in Excel, maar ook met geavanceerdere tools zoals IDEA, ACL of een SQL server. Bij alle methodes geldt wel dat voldaan moet worden aan de eisen die in de vorige paragraaf beschreven zijn. Bij gebruik van Excel is de kans groot dat niet aan alle voorwaarden voldaan wordt, denk bijvoorbeeld aan de auditlog. Hieronder is een voorbeeld weergegeven van een data analyselandschap waarbij de auditor gebruik maakt van geavanceerdere tooling (Figuur 4). De auditor heeft in dit geval een eigen SQL database op een server staan binnen het accountantskantoor inclusief een analysetool. De auditor maakt gebruik van een standaard set van analyses, die per klant aangevuld worden met specifieke verzoeken. Dit landschap is gebaseerd op het uitvoeren van ad hoc analyses, deze omgeving wordt per klant bijvoorbeeld twee keer per jaar gebruikt ten behoeve van de jaarrekeningcontrole. 18 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
Figuur 4: Voorbeeld data analyselandschap voor ad hoc analyses 3.5 Samenvatting Data analyse is een ruim begrip en wordt in dit onderzoek omschreven als het gehele proces van verzamelen, modelleren en omzetten van data met als doel bruikbare informatie te genereren. Data analyse kan op verschillende manier ingezet worden bij audits, namelijk ter ondersteuning van een systeemgebaseerde aanpak, een procesanalyse en een gegevensgerichte aanpak. Een audit zal nooit volledig bestaan uit data analyse, maar dataanalyse zal ondersteunend zijn. Om data analyse toe te kunnen passen dient aan een aantal voorwaarden voldaan te worden. Volgens de auditmethodologie is het belangrijk dat het auditresultaat en daarmee het data analyseresultaat relevant en deugdelijk is. Met de eisen dient al rekening gehouden te worden in de ontwerpfase van de betreffende audit om daarmee te waarborgen dat eraan voldaan wordt. 19 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011
20 Data analyse: jaarrekeningcontrole efficiënter? Referaat IT Auditing Eric Pols 14 10 2011