Research Article |
Corresponding author: Joost van Buuren ( j.buuren@nyenrode.nl ) Academic editor: Barbara Majoor
© 2022 Joost van Buuren, Wiebren Wijma.
This is an open access article distributed under the terms of the Creative Commons Attribution License (CC BY-NC-ND 4.0), which permits to copy and distribute the article for non-commercial purposes, provided that the article is not altered or modified and the original author and source are credited.
Citation:
van Buuren J, Wijma W (2022) Over kwaliteitsborging van datagedreven controlemethodologie. Maandblad voor Accountancy en Bedrijfseconomie 96(1/2): 15-25. https://doi.org/10.5117/mab.96.78556
|
Dit artikel geeft een beschouwing over de ontwikkeling van innovaties in de controlemethodologie. Allereerst wordt een literatuuronderzoek uitgevoerd, waarin lessen uit het verleden en het heden aan de orde komen. Vervolgens wordt het Systems engineering management raamwerk beschreven en toegepast op de innovatieprocessen van accountants. Conclusies uit beide analyses zijn dat er meer aandacht moet zijn voor de behoeften van assurance-gebruikers, de theorievormingsfase van de controlemethodologie en de implementatie van het kwaliteitsbeheersingssysteem. Het Systems engineering management raamwerk biedt goede handvatten om de kwaliteit van het innovatieproces en de controlemethodologie te borgen.
Controlekwaliteit, datagedreven controleaanpak, systems thinking, systems engineering, data-analyse
In dit artikel wordt vanuit een literatuurstudie een overzicht gegeven van enablers en disablers bij innovatie van controlemethodologie. Vervolgens worden de succesfactoren benoemd bij innovatie en het Systems engineering management raamwerk toegelicht. Tot slot worden concreet de handvatten beschreven om de kwaliteit van de innovatieprocessen en de controlemethodologie te borgen.
Het goede nieuws is dat accountants in beweging zijn gekomen en vernieuwend bezig zijn, zoals met de datagedreven controleaanpak. De datagedreven controleaanpak onderscheidt zich van de traditionele controleaanpak, doordat zowel in de planningsfase als in de uitvoerende fase veel meer nadruk ligt op data-analyse. Hierbij kan gedacht worden aan het importeren van data uit ERP-pakketten en andere IT-systemen in eigen audit platforms ter voorbereiding van de risicoanalyse en het uitvoeren van controlestappen. Deze voorbereiding kan bestaan uit een serie van standaard cijferbeoordelingen met risico-indicatoren en het uitvoeren van cijferanalyses, zoals een sluitende geld-goederenbeweging. Een dergelijke aanpak kan veel mogelijkheden bieden voor verbetering van de controlekwaliteit. Accountants zijn echter niet gewend te innoveren en het is de vraag hoe de kwaliteit van de ontwikkelde controlemethodologie is geborgd. Vanwege hun maatschappelijke functie hebben accountants de belangrijke taak om thought leadership te tonen, enerzijds door vernieuwing te realiseren voor assurance-gebruikers en anderzijds door verantwoordelijkheid te nemen om de transitie in controlemethodologie op verantwoorde en zorgvuldige wijze in te vullen.
Dit artikel geeft een beschouwing van de ontwikkeling van de datagedreven controlemethodologie met lessen uit het verleden en het heden aan de hand van het model van ‘institutionele verandering’ van
In de eeuw dat het beroep bestaat, zijn er slechts enkele belangrijke aanpassingen gedaan aan de controlemethodologie. De grootste verandering betrof de overgang van de systematische controle naar de risicogerichte controlemethodologie in de jaren tachtig van de 20ste eeuw (
Toch bood de BRA-aanpak, ook wel Strategic Systems Audit (SSA) genoemd (
Redenen hiervoor zijn onder andere dat de indruk bestond dat het vooral een fee-driven-project was, om meer adviesdiensten te kunnen verlenen (
Het model van Greenwood (2002) bestaat uit de fases, zoals uiteengezet in Figuur
Het model van
De les die geleerd kan worden uit (of na) de analyse van de BRA-innovatie, is dat aan elk van de legitimiteitsbegrippen moet worden voldaan. Om accountants te ondersteunen de ‘datagedreven’ audit tot een succes te maken, wordt in de volgende sectie een analyse gemaakt van de ontwikkeling van datagedreven controlemethodologie aan de hand van de vijf fases in Figuur
De ontwikkelingen van meer complexiteit bij gecontroleerde bedrijven en met name meer nadruk op immateriële bezittingen, zoals software en patenten, hebben zich doorgezet in de afgelopen decennia. Dit uit zich ook in de roep om meer niet-financiële informatie en controle daarvan, die nuttig is om de immateriële bezittingen te duiden (Knechel 2021). Door de technologische ontwikkelingen is de beschikbaarheid van data enorm toegenomen en ze worden door bedrijven ook gebruikt (
Ook fase 2 van ‘preïnstitutionalisering’ wordt beschreven in de literatuur. Er zijn diverse toepassingen bedacht van big data en data-analyse in de controle. Deze toepassingen variëren van IT-tooling, zoals dashboards, reperformance, journal-entry testing, tot geautomatiseerde aansluitingen tussen administraties en logische aansluitingen tussen standen van databases (
Fase 3 van ‘theorievorming’ staat momenteel volop in de aandacht in de literatuur en in het beroep. Opvallend is dat er in de geraadpleegde academische literatuur weinig tot geen bewijsvoering is dat er enerzijds zodanige problemen zijn met de huidige aanpak, dat die moeten worden opgelost en anderzijds dat deze problemen alleen met de nieuwe technologie opgelost kunnen worden. Er zijn ons geen onderzoeken bekend die audit failures toeschrijven aan een gebrekkige methodologie. Ook hebben wij geen onderzoeken gevonden die aantonen dat een nieuwe methodologie daadwerkelijk tot betere controlekwaliteit leidt. Ook de beroepspraktijk heeft dat niet gerapporteerd. In de oorzakenanalyse van de NBA is een gebrek in de methodologie niet als oorzaak geduid (
Daarentegen wordt wel aandacht besteed aan de onderbouwing van de rechtvaardiging van de nieuwe technologie. Deze rechtvaardiging betreft vooral de relatie met de controlestandaarden (
Verder wordt er in de literatuur beschreven waarmee het beroep rekening moet gaan houden als zij de big data- en data-analysemethodologie gaat toepassen. Enerzijds betreft dit een beschrijving van aspecten als de kwaliteitsborging in het proces van data-extractie, het gereedmaken en importeren van data en het veilig bewaren van data in bijvoorbeeld Hadoop-omgevingen (
Vanuit de literatuur lijkt de pragmatische legitimiteit van de datagedreven controlemethodologie dus vooral gebaseerd te zijn op ‘dat het kan’ binnen de standaarden en als commerciële strategie, maar er is geen wetenschappelijke onderbouwing van kwaliteitsverhogende eigenschappen. Wel worden er diverse vraagstukken aangereikt die moeten worden opgelost, omdat die de pragmatische legitimiteit kunnen belemmeren.
De adoptie van de technologie in de praktijk is tweeledig. Enerzijds wordt vanuit interviewstudies aangegeven dat de nieuwe tooling positief uitpakt voor een diepgaandere kennis van de klant. De visualisatietool blijkt bijvoorbeeld zoveel meer inzicht aan accountants te geven, dat accountants meer auditcomfort ervaren (
Anderzijds worden er vaak ‘losse eindjes’ gevoeld in de nieuwe methodologie en wordt de nieuwe tooling vooral als add-on gezien om tot een betere besluitvorming te komen. Daardoor dreigt het risico van een dubbele controle en inefficiëntie (Saliijeni et al. 2021). Ook blijkt de datavolwassenheid van de klanten belangrijk om de nieuwe tooling te implementeren: zo moet het ERP-/IT-systeem van voldoende niveau zijn (
Samenvattend blijkt de zichtbaarheid van de nieuwe technologie steeds meer toe te nemen, terwijl de perceptie van de pragmatische legitimiteit nog laag is, met name ten aanzien van de voordelen ten opzichte van de veranderkosten.
Voor de verspreiding van de nieuwe methodologie en tooling worden verschillende strategieën toegepast. Er zijn kantoren met een centrale uitrol, andere verwachten meer van de ‘olievlekwerking’ (
Tot slot is het opvallend dat de belanghebbenden van de controle nauwelijks betrokken worden in dit innovatietraject.
Kortom, de nieuwe methodologie is nog niet de ‘nieuwe standaard’ en voelt nog onwennig aan. Het beeld dat uit de literatuur naar voren komt, is dat de cognitieve legitimiteit nog te laag is voor een brede acceptatie. Bij die acceptatie dienen niet alleen de accountants te worden meegenomen, maar ook de andere belanghebbenden in de controle: investeerders, kredietverstrekkers, toezichthouders en gecontroleerde organisaties.
Het beeld uit de literatuurstudie is dat de innovatie van controlemethodologie met name problemen blijkt te ondervinden in fase 3 van theorievorming, fase 4 met de uitrol en fase 5 van reïnstitutionalisering. Er zijn methoden beschikbaar om deze problemen te voorkomen. Zo biedt het concept van systems thinking handvatten om begrip te verkrijgen van de systemen en de samenhang van systemen en zo beter te begrijpen wat nodig is (
De Amerikaanse defensie heeft na de Tweede Wereldoorlog het concept van system-thinking uitgewerkt in een SE-raamwerk, om de kwaliteit van een systeem (hard- en software) gedurende de hele lifecycle te borgen, dat wil zeggen de ontwikkeling, implementatie en het operationeel houden van complexe systemen (
Het SE-raamwerk in Figuur
Ook staat een System Engineering Management Plan (SEMP) centraal, waar alle elementen in de product life cycle zijn beschreven. Het SEMP is een levend document dat periodiek bijgewerkt wordt met nieuwe inzichten en verwachtingen omtrent economische en technische levensduur. Ook de afstoting van computersystemen is relevant om vooraf te doordenken, met name wat betreft het borgen van vertrouwelijke gegevens en privacy in geval van software. De afzonderlijke onderdelen van het SE-raamwerk zullen nader worden toegelicht in de volgende paragrafen.
De samenhang tussen het
Het SE-raamwerk is passend bij de nieuwe standaard voor kwaliteitsborging ‘International Standard on Quality Management 1’ (ISQM 1), die een systematisch en risicogericht beheersingsraamwerk vereist.
Tot slot is in deze literatuurreview nog een inventarisatie van succesfactoren bij systeemontwikkeling uitgevoerd. Allereerst is systems thinking van belang voor succes, waarbij gedacht kan worden in vijf principes (
Deze vijf principes dienen te worden uitgewerkt in KPI’s in het kader van performance management. Dzaiallas and Blind (2019) beschrijven 82 indicatoren die in de praktijk worden gebruikt als KPI’s bij de verschillende fases van innovatie-ontwikkeling. In lijn met het ‘multidimensionale denken’-principe, stellen Hacklin et al. (2012) dat multidisciplinaire samenwerking belangrijk is voor succesvolle innovaties. Solmaimani et al. (2019) benadrukken in een onderzoek onder 243 Nederlandse bedrijven dat zowel de harde als de zachte kanten bij LEAN-innovatieprocessen belangrijk zijn.
Accountants staan voor de uitdaging te vernieuwen en zijn daar volop mee bezig. Uit het literatuuronderzoek in sectie 2 blijkt dat dit moeizaam gaat en dat er een gebrek aan legitimiteit is van de methodologie. Er zijn daarom twee redenen waarom accountants moeten leren van branches die al veel ervaring hebben opgedaan met innovatietrajecten. De eerste reden betreft de effectiviteit van de innovatie, namelijk dat de kwaliteit geborgd wordt, zodat het systeem niet alleen aan alle daaraan te stellen eisen voldoet, inclusief de gestelde measures of success, maar ook de benodigde pragmatische en cognitieve legitimiteit heeft bij de belanghebbenden en gebruikers in de brede zin van het woord. De borging van de legitimiteit is niet in de laatste plaats belangrijk vanwege de maatschappelijke vertrouwensfunctie van de accountant. De tweede reden is de efficiëntie van het innovatieproces, waarbij de doorlooptijd en kosten van de ontwikkeling en implementatie beheerst worden.
In de volgende paragrafen worden enkele belangrijke onderdelen uit het SE-raamwerk toegepast op de ontwikkeling van controlemethodologie.
Centraal in de innovatie van controlemethodologie staat de inventarisatie van de belanghebbenden (zie Figuur
De overige belanghebbenden, zoals de interne organisatie, de beroepsgroep en de toezichthouder, opleidingen en onderzoek, ondersteunen en faciliteren bij het realiseren van de missie. Een accountantskantoor zal op systematische wijze moeten bepalen welke prioriteit belanghebbenden krijgen in de systeemontwikkeling. De behoeften van cliënten zullen vanuit commercieel oogpunt vast een hoge prioriteit krijgen, maar mogen, gegeven de maatschappelijke functie van de accountant, niet de hoogste prioriteit krijgen in de ontwikkeling van controlemethodologie.
Na vaststelling van de behoeften is het belangrijk om vereisten vast te stellen waaraan de systeemoplossing moet voldoen (Figuur
Veel van de vereisten zijn al vastgelegd in standaarden en raamwerken ter borging van een minimumkwaliteit van de analyses. Centraal staat het doel van de systeem plossing: welke behoeften moeten bediend worden? Voor een accountantskantoor is het daarom van belang controlekwaliteit te definiëren en dit gaat verder dan alleen ‘voldoen aan de standaarden’. Anders is er namelijk geen morele legitimiteit om te veranderen, want kantoren moeten nu al voldoen aan de standaarden. Als basis wordt gebruikt voor de definitie van controlekwaliteit (
“De kwaliteit van een assurance-opdracht is de mate waarin voldoende en geschikte assurance-informatie is verkregen om een conclusie tot uitdrukking te brengen om de mate van vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de meting of evaluatie van het onderzoeksobject ten opzichte van criteria zo veel mogelijk te versterken.”
De definitie sluit aan bij de definitie van assurance-opdrachten (art. 10 Stramien voor Assurance opdrachten), maar met toevoeging van de vetgedrukte woorden, waarin de kwaliteit wordt gekoppeld aan de dynamiek van de veranderende behoeften betreffende de controles. Het is aan kantoren om aan dit dynamische behoeftepatroon tegemoet te komen, specifiek voor de assurance-gebruikers in de markten waarin zij opereren. Vervolgens zullen de kantoren (strategische) keuzes moeten maken om hun ambities over de ‘mate’ en ‘zo veel mogelijk’ te bepalen en kwaliteitsaspecten te definiëren waaraan de systeemoplossing uiteindelijk moet voldoen. Deze vereisten kunnen verder aangevuld worden met eisen ten behoeve van de dienstverlening aan cliënten.
De eisen voor interne gebruikers hebben betrekking op functionele, technische en prestatie-eisen in de brede zin van het woord. Enerzijds moet de systeemoplossing voldoen aan de eisen die het accountantskantoor zelf stelt aan controlemethodologie (deze criteria moeten worden vastgelegd in het beleid voor kwaliteitsbeheersing!) en de beroepsreglementering, zoals de Handleiding Regelgeving Accountancy (HRA 2020). Anderzijds moet de systeem plossing goed werkbaar zijn in de praktijk van alledag. Ook moet de kwaliteit van de data geborgd zijn. Hiervoor zijn diverse standaarden beschikbaar, zoals het ‘GS1 Data Quality Framework’ (GS 2010), XBRL en het ‘Referentie GrootboekSchema’ (
De eisen voor de bedrijfsvoering betreffen vooral de kwaliteitsbeheersing, dat aan eisen van het beroep is voldaan en dat de bedrijfsdoelen worden behaald. Hierbij kan ook gedacht worden aan de eisen dat de systeemoplossing aangesloten moet kunnen worden op bestaande software-oplossingen (legacy software) en moet passen bij de vaardigheden van medewerkers. Voor deze eisen zijn al veel raamwerken beschikbaar, ter illustratie worden de volgende genoemd: het SE-raamwerk voor lifecycle management, het ‘Capability Maturity Model Integration’-raamwerk (CMMI) voor het optimaliseren van (IT-)ontwikkelprocessen, het COBIT5-raamwerk voor de ontwikkeling en het beheer van IT-systemen, het Risk IT-raamwerk (ISACA 2020) en Skills Framework (SFIA 8) voor een gestandaardiseerde omschrijving van functies en taken en ervaringsniveaus van personeel. Tot slot moet de bedrijfsvoering van het accountantskantoor voldoen aan de eisen van kwaliteitsbeheersing, zoals omschreven in de ISQM-1- en ISQM-2-standaarden (
Tot slot worden er eisen gesteld vanuit de overheid en maatschappij waaraan voldaan moet worden, respectievelijk waarop geanticipeerd zal moeten worden. Het is belangrijk om te bedenken dat elk van bovengenoemde eisen voortkomt uit een eigen dynamiek en zich op een eigen manier ontwikkelt, maar wel invloed uitoefent op de systeemoplossing en mogelijke toekomstige aanpassingen. Een feedback loop met nieuwe ontwikkelingen die invloed kunnen hebben op de werking van een systeemoplossing is daarom belangrijk.
Een volgend onderdeel is dat er moet worden vastgelegd en afgestemd met de belanghebbenden wanneer de systeemoplossing een succes is. Samen met belanghebbenden moet de succesdefinitie van de systeemoplossing worden vastgelegd. Dit wordt uitgedrukt in de zogenoemde Measures of Success (MoS); dit zijn meetbare doelen die moeten worden behaald (zie ook Figuur
Bij innovatie van controlemethodologie kan gedacht worden aan verbetering van de effectiviteit van de controlemethodologie met een bepaalde percentage, zoals het beter detecteren van bepaalde onjuistheden of het verhogen van het vertrouwen van een bepaalde groep gebruikers. Er dienen meerdere maatstaven per MoS te worden gedefinieerd. De verbetering dient vastgesteld te worden middels wetenschappelijk verantwoordbare testprocedures in de verificatie- en validatiefase. Verificatie betreft het vaststellen dat de systeemoplossing voldoet aan de gestelde functionele, technische en prestatie-eisen. Validatie betreft de beoordeling of de systeemoplossing voldoet aan de behoeften van de belanghebbenden.
Een uitdaging voor het ontwikkelen van nieuwe controlemethodologie is dat alle onderdelen van het controleproces moeten worden gespecificeerd en gedefinieerd (zie Figuur
Het Systems engineering management plan (SEMP) betreft het hart van het SE-raamwerk en vormt het centrale document voor lifecycle management van de systeemoplossing: van ontwikkeling tot implementatie en afstoting. Het beschrijft alle onderdelen, zoals benoemd in Figuur
In het SEMP zijn ook de eisen opgenomen omtrent de inhoud van de verificatie- en validatietestprocedures, de implementatieplannen (inclusief risicoanalyses) en de operations-plannen met handboeken en handleidingen. Voor de theorievormingsfase (zie Figuur
Tot slot is het van belang om (delen van) de systeemoplossing te certificeren, om het vertrouwen in de methodologie te versterken, te beginnen met privacy, data handling en databeveiliging.
Met vernieuwingen in de controlemethodologie begeven accountants zich steeds meer op het terrein van de ontwikkeling van systeemoplossingen. Accountantskantoren zullen steeds meer technologiegedreven bedrijven worden. En dat biedt goede mogelijkheden voor het beroep om relevant te blijven in een wereld die steeds verder digitaliseert, verandert en veeleisender wordt. Het biedt ook de mogelijkheid om een continue verhoging van controlezekerheid na te streven; onzes inziens een belangrijke opdracht voor de accountant in het kader van diens maatschappelijke opdracht. Deze ontwikkeling gaat echter moeizaam. Uit de literatuuranalyse komt naar voren dat bij de datagedreven controleaanpak de theorievorming veelal tekortschiet, waardoor de pragmatische legitimiteit laag is vanwege onzekerheid of aan de beroepsreglementering is voldaan. Verder wordt de methodologie (mogelijk onterecht) als complex ervaren. Ook zijn voor de gebruikers de veronderstelde voordelen van de nieuwe methodologie onvoldoende duidelijk en niet voldoende wetenschappelijk aangetoond, wat de pragmatische legitimiteit verder verlaagt. Tot slot is het opmerkelijk, vanuit de maatschappelijke rol van de accountant gezien, dat de behoeften van de assurance-gebruikers niet als uitgangspunt voor vernieuwing zijn benoemd, maar wel het streven naar meer relevantie en toegevoegde waarde richting de controlecliënt.
Om de kwaliteit van de controle te borgen, zal de accountant ook het proces van innovatie en implementatie van de controlemethodologie moeten professionaliseren.
In de maakindustrie en softwarebranche is al veel kennis beschikbaar over het op systematische wijze innoveren en borgen van kwaliteit.
Aandachtspunten bij de ontwikkeling van de controlemethodologie zijn het centraal stellen van de behoeften van assurance-gebruikers en het zorgvuldig definiëren en specificeren van measures of success en vereisten, te beginnen met een accountantskantoorspecifieke definitie van controlekwaliteit. Verder biedt systems thinking accountants veel mogelijkheden voor de ontwikkeling en verrijking van de controlemethodologie. Het SE-raamwerk biedt goede aanknopingspunten om de kwaliteitsbeheersing van controlemethodologie te borgen gedurende de gehele levensduur van de controlemethodologie. Veel meer aandacht voor de theoretisering van de controlemethodologie is echter een essentiële eerste stap die gezet moet worden en laat het thought leadership van een accountantskantoor zien.
Prof. dr. J.P. (Joost) van Buuren RA is hoogleraar Auditing & Assurance en verbonden aan Nyenrode Business Universiteit. Zijn leerstoel is gericht op controlemethodologie en controlekwaliteit.
Wiebren Wijma is een Senior Cost Manager/Engineer (CCE CPP) met meer dan 35 jaar ervaring in Cost Managementfuncties in de scheepsbouw, olie en gas, lucht- en ruimtevaart, telecom, elektronica, constructie-, bouw- en infrasector.
Academische referenties
Niet-academische referenties