Research Article
Print
Research Article
Data-analyse in de controlestandaarden; uitdagingen en ontwikkelingen
expand article infoPeter Eimers, Remco ter Steege§
‡ Vrije Universiteit, Amsterdam, Netherlands
§ Mazars, Amsterdam, Netherlands
Open Access

Samenvatting

Accountants moeten in hun jaarrekeningcontrole voldoen aan de algemeen aanvaarde controlestandaarden. Controlestandaarden1 die de basis vormen voor het werkprogramma van de accountant, geven de noodzakelijke kaders aan. Het omarmen van nieuwe technologie in de controle kan bij de accountant leiden tot onzekerheid over het voldoen aan deze controlestandaarden, die mogelijk niet de snelheid bijhouden van de ontwikkelingen in de praktijk. In de laatste paar jaren hebben deze controlestandaarden data-analyse inmiddels zichtbaar omarmd, hetgeen een belangrijke stimulans is voor accountants om data-analyse verder te integreren in de controleaanpak.

Trefwoorden

Controle, data-analyse, innovatie, standaarden

Relevantie voor de praktijk

De inzet van data-analyse draagt – mits goed toegepast – bij aan de kwaliteit, relevantie en efficiency van de jaarrekeningcontrole. Daarbij is toenemende aandacht in nieuwe controlestandaarden een noodzakelijk kader.

1. Inleiding

De toepassing van data-analyse in de audit is niet nieuw. Eimers and Van Leeuwen (2015) beschrijven dat data-analyse al meer dan 20 jaar wordt toegepast door accountants, wat zich kenmerkte door de toepassing van data-analyse in een gegevensgerichte controleaanpak. Met de groeiende complexiteit van computersystemen en een internationale beweging naar een systeemgerichte controleaanpak is data-analyse een lange tijd minder in de spotlights geweest. Dat is inmiddels weer sterk veranderd: ‘De impact op de diepgang en reikwijdte van een controleaanpak die gebruikmaakt van data-analysetechnieken neemt hiermee potentieel sterk toe.’ (Eimers and Van Leeuwen 2015). Die bijdrage met de focus op het effect van typologie op datastromen was onderdeel van een MAB-special over data-analyse uit 2015, waarin onder andere ook is ingegaan op de toepassing van data-analyse in het MKB (Snoei and Van Nieuw Amerongen 2015) en process mining (Van der Aalst and Koopman 2015).

Ook in de internationale academische literatuur is er groeiende aandacht voor het gebruik van data-analyse in de controle. Voorbeelden hiervan zijn Earley (2015) en Dagilienė and Klovienė (2019). De nadruk wordt veelal gelegd op de toegevoegde waarde van data-analyse, in het bijzonder het verkijgen van inzicht en het kunnen detecteren van afwijkingen. Austin et al. 2021 beschrijven de rol van de regulator in de rol van standard setter in het vooraf verstrekken van duidelijkheid over wat wel en niet kan met data-analyse. Uit de door hen gehouden interviews maken zij op dat audit managers onzeker zijn of de hen gebruikte data-analayses toereikend zijn in de ogen van de regulator in de rol van inspectie achteraf (Austin et al. 2021).

Vanuit het groeiende besef dat data-analyse kan bijdragen aan controlekwaliteit en dat de controle­standaarden daarbij een rol kunnen spelen, startte de International Auditing and Assurance Standards Board (IAASB) in 2015 de Data Analytics Working Group2 die een verkennende studie uitvoerde naar de groeiende impact van technologie op de audit, met een specifieke focus op data-analyse (IAASB, 2016). Achterliggende vraag was of de van toepassing zijnde controlestandaarden een belemmering kunnen vormen voor een bredere toepassing van data-analyse in de praktijk. In die publicatie worden belangrijke uitdagingen genoemd van zowel praktische als conceptuele aard, die een bredere toepassing van data-analyse in de weg staan. In het Verenigd Koninkrijk voerde de Financial Reporting Council (FRC, de landelijke audit regulator) een thematisch onderzoek uit naar het gebruik van data-analyse door accountantsorganisaties. Dit gebeurde in een context van een aanzienlijke kantoorroulatie bij controles van beursgenoteerde ondernemingen waar auditinnovatie een belangrijke keuzefactor was bij de selectie van de nieuwe accountant. FRC stelde: ‘The use of data analytics is not as prevalent as the market might expect’ (FRC 2017). Met andere woorden: accountants hebben hun mond vol van innovatie maar de daadwerkelijke toepassing in de praktijk valt tegen. In een vervolgstudie concludeerde de FRC: ‘Three years on and there has been a step change, with data-led audits more prevalent and the use of technology being routine at the largest UK firms’ (FRC 2020).

Ook in Nederland is er in toenemende mate aandacht voor data-analyse in de controle, zowel bij de NBA (NBA 2019) als bij de AFM met een onderzoek naar data-analyse bij de niet-OOB-kantoren (AFM 2021a) en een onderzoek naar de interne kwaliteitsonderzoeken bij OOB-kantoren waarin ook technologie in de controle wordt genoemd, met als specifiek aandachtspunt de betrouwbaarheid van brongegevens (AFM 2021b).

Uit deze publicaties blijkt dat de toepassing van data-analyse soms minder eenvoudig is dan deze op het eerste gezicht lijkt, tegelijkertijd lijken techniek en regelgeving het gebruik ervan meer dan voorheen te ondersteunen. Deze bijdrage verkent het speelveld van de methodologische aspecten rond het gebruik van data-analyse in de controle. In paragraaf 2 gaan wij in op de traditioneel geringe aandacht voor data-analyse in de controlestandaarden. Paragraaf 3 vervolgt met de groeiende aandacht voor data-analyse aan de hand van de IAASB-publicatie. Paragraaf 4 gaat in op de nieuwe controlestandaard 315 waarin data-analyse expliciet wordt genoemd in het kader van de risicoanalyse. Paragraaf 5 geeft een nadere uitwerking door middel van publicaties die invulling geven aan de geconstateerde dilemma’s bij de toepassing van data-analyse. In paragraaf 6 gaan wij nader in op de conceptuele vraag of het niveau van zekerheid wordt verhoogd door data-analyse. Deze bijdrage sluit af met een conclusie.

2. Traditioneel geringe aandacht voor data-analyse in de controlestandaarden is verklaarbaar

De internationaal algemeen aanvaarde controlestandaarden worden uitgegeven door de IAASB. De totstandkoming van nieuwe standaarden geschiedt in een due process waarbij het publieke belang voorop staat.

Elke standaard begint met een op principes gebaseerde doelstelling (het waarom, de ‘objective’) die gevolgd wordt door vereisten (het wat, de ‘requirements’) die de benodigde invulling geven aan deze doelstellingen. Elke standaard kent ook toepassingsteksten (het hoe, ‘application material’) waarmee de accountant invulling geeft aan het toepassen van de vereisten. Alhoewel de vereisten rules-based kunnen overkomen, zijn ze nog steeds gebaseerd op de principes uit de doelstellingen. Een voorbeeld hiervan is Standaard 315, waarin vereisten staan waar de accountant in elke controle naar moet kijken in het kader van risicoanalyse: de omgeving van de entiteit, de van toepassing zijnde regelgeving, het businessmodel en de activiteiten, systemen en processen, de plaats van IT in die systemen en processen, de governance en aansturing van de entiteit en signalen uit tussentijdse cijfers. Dit kan rules-based overkomen, maar dient een hoger principle-based doel: op basis van kennis van de entiteit en haar omgeving een zo breed mogelijke analyse uitvoeren ter identificatie van risico’s op een materiële afwijking, Op die wijze wordt de kans op het missen van mogelijke risico’s verkleind.

Door het principle-based karakter van de standaarden zijn ze tijdloos. En daarmee ook het ritme van een jaarrekeningcontrole: om aan het eind terecht te kunnen verklaren dat de jaarrekening de goede foto van de werkelijkheid geeft (‘getrouw beeld’), zal de accountant allerlei werkzaamheden moeten verrichten die bijdragen aan voldoende en geschikte controle-informatie. Dat doet de accountant door een risicoanalyse uit te voeren die gericht is op het identificeren van afwijkingen van materieel belang.

Data-analyse kan worden gebruikt in de controle, al waren de controlestandaarden tot de ISA 315 (revised 2019) zeer beperkt in het benoemen van data-analyse. Standaard 330 (over de respons op de onderkende risico’s op materiële afwijkingen) gebruikt de term auditsoftwaretoepassingen (‘computer-assisted audit techniques’). De Standaard geeft in de toepassingsparagraaf A16 aan dat data-analyse kan worden gebruikt voor het sorteren en filteren van data en door een hele populatie te testen in plaats van een steekproef of een (al dan niet statistisch bepaalde) deelwaarneming. En in de toepassingsparagraaf A27 wordt data-analyse expliciet gekoppeld aan het testen van de effectieve werking van interne beheersingsmaatregelen.

Los van het principle-based karakter van de standaarden is er een andere verklaring voor de geringe aandacht voor data-analyse: inhoudelijk zijn de standaarden jarenlang niet gewijzigd. Zo is Standaard 330 laatstelijk aangepast in 2010 met de indeling van doelstellingen-vereis­ten-toepassing, maar inhoudelijk bestond deze standaard al per 2005. En die standaarden waren in 2003 afgerond na een voorbereiding van enkele jaren.

Voor de IAASB was de toenemende discrepantie tussen de aandacht voor technologie in de praktijk en de geldende controlestandaarden aanleiding tot het instellen van een Data Analytics Working Group en een omvangrijk project voor de revisie van ISA 315.

3. De groeiende aandacht voor data-analyse: het IAASB-project

Reflecterend op de toenemende impact van technologie heeft de Data Analytics Working Group van de IAASB een verkennend onderzoek uitgevoerd naar het groeiend gebruik van data-analyse in de praktijk (IAASB 2016). Deze verkenning had als doel om stakeholders te informeren over de acties die de IAASB heeft ingezet en om te laten zien wat de IAASB doet aan een effectief en gepast gebruik van data-analyse in de jaarrekeningcontrole. Daarnaast was de publicatie ook bedoeld om input te verkrijgen van een brede groep van stakeholders over mogelijk aanvullende aspecten die in de publicatie niet waren benoemd. Meer dan 50 stakeholders vanuit de hele wereld en vanuit verschillende invalshoeken hebben gereageerd op deze publicatie (IAASB 2018).

De Data Analytics Working Group benadrukt dat de kwaliteit van een jaarrekeningcontrole kan worden verhoogd door het toepassen van data-analyse (IAASB 2016). Met name in complexe en hoog-volume dataomgevingen heeft de accountant de mogelijkheid om met data-analyse een diepgaander begrip van de entiteit en zijn omgeving te verkrijgen. Daarnaast helpt data-analyse om op een andere wijze controle-informatie te verzamelen van grotere populaties, inclusief de mogelijkheid om betere, op risico’s gebaseerde selecties te maken die gevolgd kunnen worden door aanvullende testwerkzaamheden. Ten slotte biedt het bredere en diepere inzicht van de accountant over de entiteit en haar omgeving de mogelijkheid om de gecontroleerde entiteit te spiegelen over zijn eigen risk assessment en uitvoering van haar activiteiten. Dit betekent dus dat data-analyse in verschillende fases van de controle kan bijdragen aan een betere controle. Dit is gevisualiseerd in figuur 1.

Figuur 1.

De impact van data-analyse op de kwaliteit van de controle (bron: IAASB 2016).

De publicatie stelt dat de (in 2016 van toepassing zijnde) controlestandaarden de toepassing van data-analyse niet verbieden, maar anderzijds ook niet stimuleren. De achterliggende reden is dat de controlestandaarden tot stand zijn gekomen in een tijdperk dat technologie een veel minder grote impact had op entiteiten en accountants, zoals in de overige paragraaf is benoemd.

Er past ook nuchterheid bij het toepassen van data-analyse: het kunnen testen van 100% van een populatie kan controlezekerheid geven, maar vertelt daarmee nog niet het hele verhaal van het getrouwe beeld. De jaarrekening wordt immers enerzijds gevoed door hoog-volumetransacties met weinig oordeelsvorming, zoals inkoop- en verkooptransacties die leiden tot mutaties in voorraden, crediteuren en debiteuren. Anderzijds kent de jaarrekening ook vele schattingsposten waar de accountant professionele oordeelsvorming op moet toepassen. Denk hierbij aan cijfers in de balans en de resultatenrekening, zoals de waardering van (im)materiële vaste activa, voorraden, debiteuren en voorzieningen, maar ook aan de vele toelichtingen in de jaarrekening. Daarnaast is het van belang aansluiting te houden met de fysieke werkelijkheid: hoe kan worden vastgesteld dat transacties geen ‘papieren’ werkelijkheid zijn maar ook echt hebben plaatsgevonden? Data-analyse kan voor een deel de traditionele testprocedures vervangen, zolang er voldoende (bevestigende) signalen zijn dat het over echte transacties gaat. Voorbeelden hiervan zijn aansluiting met de kasontvangsten in een winkel, het ontvangen van bestellingen of het uitleveren van goederen.

Data-analyse is niet zozeer een nieuwe controletechniek die thuishoort in Standaard 500, maar is een moderne toepassing van deze bestaande soorten controlewerkzaamheden. Dit blijkt uit figuur 2. Intensief gebruik van data-analyse in de verschillende fases in de controle kan leiden tot een dynamischer en iteratief controleproces. Het intensief gebruik van data leidt telkens tot nieuwe inzichten en kan daarmee tot meerdere aanpassingen van de vooraf bedachte controleaanpak leiden.

Figuur 2.

De dynamiek van een controle met gebruikmaking van data-analyse (bron: IAASB 2016).

Deze switch in controleaanpak met minder handmatig testwerk op hoog-volumetransacties maar met meer interpretaties van wat de data wel of niet vertellen, vraagt van de accountant om in hoge mate professioneel-kritisch te zijn en professionele oordeelsvorming toe te passen.

De IAASB Data Analytics Working Group benoemt ook een aantal uitdagingen voor de toepassing van data-analyse in de praktijk. Deze uitdagingen zijn opgenomen in tabel 1. Daarbij zijn 2 categorieën te onderscheiden:

  • belemmeringen van praktische aard;
  • belemmeringen van conceptuele aard.

De in tabel 1 genoemde uitdagingen van conceptuele aard hebben de specifieke aandacht gekregen van de IAASB. Naar aanleiding van deze publicatie en de ontvangen consultatiereacties van een brede groep stakeholders, heeft de werkgroep aan de IAASB geadviseerd om data-analyse in komende revisies van standaarden mee te nemen (IAASB 2018). In lijn met de publicatie is niet gekozen voor een aparte standaard over data-analyse, omdat dat dit contrair is aan het uitgangspunt dat data-analyse een moderne toepassing is van bestaande soorten controletechnieken. Ook zou opname in Standaard 520 over cijferanalyse data-analyse tekort doen, omdat die standaard beperkt is tot de gegevensgerichte (test)fase van de controle. De IAASB heeft de adviezen van de werkgroep overgenomen. Hiermee heeft IAASB haar antwoord gegeven op de in paragraaf 1 genoemde vraag of de controlestandaarden een bredere toepassing van data-analyse zouden kunnen verhinderen.

Tabel 1.

Uitdagingen bij de toepassing van data-analyse in de praktijk (ontleend aan: IAASB 2016)

Van praktische aard Van conceptuele aard
Data-acquisitie Positie van IT general controls
Wetgevingsaspecten (zoals dataprotectie) Relevantie en betrouwbaarheid van externe data
Interacties met toezichthouders Aard van controle informatie met data-analyse
Investeren in het opnieuw trainen van auditors Hoe om te gaan met uitzonderingen
Documentatievereisten bij toepassing data-analyse
Quality control proces inzake tooling op het niveau van accountantsorganisaties

4. Ontwikkeling in de standaarden: data-analyse in Standaard 315 (Revised 2019)

De prominentere aandacht voor data-analyse in de controlestandaarden is zichtbaar in Standaard 315 (Risico’s op een afwijking van materieel belang identificeren en inschatten). Deze in 2019 door IAASB afgeronde ISA 315 is van toepassing voor boekjaren die beginnen op of na 15 december 2021. Dat betekent voor een onderneming die het kalenderjaar als boekjaar heeft de jaarrekening 2022.

De nieuwe Standaard reflecteert de sterk toegenomen impact van technologie in het kader van de risicoanalyse door de accountant. In de eerste plaats gaat het over de impact van technologie voor activiteiten, processen en systemen van de te controleren entiteit. Dat blijkt bijvoorbeeld uit:

  • een specifieke paragraaf over het information system (ISA 315.25);
  • het belang van het vaststellen van opzet en bestaan van general IT controls (ISA 315.26), ook al kiest de accountant voor een gegevensgerichte controleaanpak;
  • een uitgebreide toelichting over het verkrijgen van inzicht in de IT-omgeving en de IT general controls (Appendix 5 en 6 van ISA 315).

In de tweede plaats gaat het om het gebruik van geautomatiseerde hulpmiddelen en technieken (‘automated tools & techniques’ volgens ISA 315). Deze verzamelnaam voor data-analyses komt op meerdere plaatsen terug in de toepassingsgerichte paragrafen van de nieuwe standaard, dit is gerangschikt in tabel 2 (ontleend aan Hayes et al. 2021). Gezien de conceptuele opzet van de standaarden is data-analyse niet opgenomen in de vereisten van de standaard. In vergelijking met de vorige ISA 315 is dit een uitgebreid overzicht aan toepassingen, aangezien de oude standaard geen enkele verwijzing naar data-analyse kende. Daarnaast blijkt uit de tabel dat er naast de inmiddels traditionele journal entry testing ook aandacht is voor het gebruik van data in het vormen van een begrip over de transactiestromen. Alhoewel niet genoemd, is process mining hiervan een voorbeeld (Van der Aalst and Koopman 2015). Met process mining wordt de volgtijdigheid van transacties in beeld gebracht en kan snel onderscheid worden gemaakt tussen verwachte en afwijkende handelingen. Gezien de wetmatigheid van de grote volumes kan dit onderscheid de accountant helpen in het onderkennen van verschillende risiconiveaus van beide soorten handelingen. Een voorbeeld hiervan is een webstore: als iemand vandaag bestelt en er wordt beloofd dat er morgen wordt bezorgd, dan kan dat geen toeval zijn: de onderneming is een IT-datagedreven onderneming, die de traditionele verbandscontroles in het systeem heeft geïncorporeerd. Wanneer een process mine aantoont dat de transacties volgens deze logische verwachting zijn verlopen, kan dit betekenen dat de accountant een lager risico op deze leveringen onderkent en een hoger risico op de transacties die een andere route gevolgd hebben. Dit betekent dat de accountant door het inzicht van de data de gegevensgerichte werkzaamheden (zoals steekproeven) neerwaarts kan bijstellen.

Tabel 2.

Expliciete verwijzing naar data-analyse in ISA 315 (Revised 2019) (vertaald uit: Hayes et al. 2021).

Expliciet gebruik van data-analysetoepassingen in ISA 315 (Revised 2019)
Waar Hoe Ref
Risico-inschattings werkzaamheden (315.14) Op grote aantallen gegevens (van het grootboek, subgrootboeken of andere operationele gegevens) alsmede voor analyse, herberekeningen, opnieuw uitvoeren of aansluitingen. 315.A21
Het toepassen van geautomatiseerde cijferanalyses op de gegevens kan worden aangeduid als data-analyse. 315.A31
Waarnemen of inspecteren, in het bijzonder activa, bijvoorbeeld door het gebruik van waarnemingshulpmiddelen op afstand (bijvoorbeeld een drone). 315.A35
Inzicht in de entiteit en haar omgeving (315.19) Om inzicht te verwerven in transactiestromen en verwerking als onderdeel van de werkzaamheden van de accountant om inzicht te verwerven in het informatiesysteem. 315.A57
Een uitkomst van deze werkzaamheden kan zijn dat de accountant informatie verkrijgt over de organisatiestructuur van de entiteit of degenen met wie de entiteit zakendoet (bijvoorbeeld leveranciers, klanten, verbonden partijen).
Inzicht verkrijgen in het informatiesysteem van de entiteit (315.25) Om directe toegang tot of een digitale download te verkrijgen van de databases in het informatiesysteem van de entiteit die administratieve vastleggingen van transacties opslaan. 315.A137
Inzicht bevestigen over hoe transacties door het informatiesysteem stromen door journaalboekingen of andere digitale vastleggingen met betrekking tot een bepaalde transactie of een volledige populatie van transacties, te traceren van initiatie in de administratieve vastleggingen tot opname in het grootboek.
Analyse van complete of grote sets transacties kan ook leiden tot het identificeren van variaties van de normale of verwachte verwerkingsprocedures voor deze transacties, die kunnen leiden tot de identificatie van risico’s op een afwijking van materieel belang.
Het testen van journaalboekingen (315.26aii) Bij handmatige grootboeksystemen kunnen niet-standaard journaalboekingen mogelijk worden geïdentificeerd door inspectie van grootboeken, dagboeken en ondersteunende documentatie. 315.A161
Wanneer geautomatiseerde procedures worden gebruikt voor het bijhouden van het grootboek en het opstellen van financiële overzichten, is het mogelijk dat dergelijke boekingen alleen in elektronische vorm bestaan waardoor ze gemakkelijker zijn te identificeren door het gebruik van geautomatiseerde technieken.
Identificeren van significante transactiestromen, rekeningsaldi en toelichtingen. (315.29) De accountant kan geautomatiseerde technieken gebruiken om te helpen bij de identificatie van significante transactiestromen, rekeningsaldi en toelichtingen. 315.A203
Een volledige populatie van transacties kan worden geanalyseerd met gebruik van geautomatiseerde hulpmiddelen en technieken om hun aard, bron, grootte en hoeveelheid te begrijpen.
Door de stromen van een hele populatie van opbrengsttransacties te analyseren, kan de accountant eenvoudiger een significante transactiestroom identificeren die nog niet eerder was geïdentificeerd.
Inzicht in het gebruik van informatietechnologie door de entiteit in de componenten van het systeem van interne beheersing van de entiteit (315 bijlage 5) Gebruik van validatie softwarehulpmiddelen, die formules of macro’s controleren, zoals spreadsheet integriteitshulpmiddelen. 315 bijlage 5, par. 14

5. Recente publicaties voor toepassing van data-analyse in de praktijk

Zoals in paragraaf 3 aangegeven is data-acquisitie een van de uitdagingen in de praktijk. In de controlestandaarden zal daarvoor geen oplossing worden geboden, aangezien deze meer conceptueel van aard zijn. Inmiddels zijn er wereldwijd diverse publicaties gepresenteerd die een duiding gegeven aan deze uitdagingen. Tabel 3 bevat een overzicht van een aantal relevante uitingen die wereldwijd zijn verschenen.

Tabel 3.

Overzicht van relevante invulling van de uitdagingen met data-analyse in de controle.

Publicatie Focus
NBA (NBA 2019) Pragmatische uitleg over de toepassingsmogelijkheden van data-analyse bij een controle binnen de context van de NV COS
IAASB FAQs
(IAASB 2020a) Aandachtspunten voor documentatie van data-analyse in het controledossier
(IAASB 2020b) Gebruik van data-analyse voor zowel risicoanalyse als voor gegevensgerichte procedures
(IAASB 2020c) Uitleg hoe data-analyse in de risicoanalyse kan worden uitgevoerd en hoe dit de professioneel-kritische houding van de accountant stimuleert.
(IAASB 2021a) Aandacht voor het risico van het te veel vertrouwen op data-analyse (‘overreliance’)
(IAASB 2021b) Aandachtspunten voor audit planning
AGS (AGS 2021) Praktische voorbeelden van toepassing van data-analyse in de verschillende fases van de controle
CPAB (CPAB 2021) Vanuit het gezichtspunt van een regulator: aandachtspunten voor input en output van data in de verschillende fases van de controle. Aandacht voor Quality management op het niveau van de accountantsorganisatie.
AUASB (AUASB 2021) Aandachtspunten bij de integriteit van data inclusief documentatie en hoe integriteit is geborgd is tijdens het gehele proces
NOREA (NOREA 2021) IT General controls in relatie tot data-analyse

Een praktische insteek voor de data-acquisitie is te vinden in NBA Handreiking 1141. De handreiking gaat daarbij uit van het Extract, Transform en Load (ETL)-proces. Dit is een analyse van het gehele proces vanaf het bronsysteem tot aan het lezen van de data in de data-analyse tool.

ETL is een zorgvuldig proces. Bezwaar dat tegen ETL wordt genoemd is dat de doorlooptijd lang kan zijn en flexibiliteit mogelijk ontbreekt. In de praktijk zal een langere doorlooptijd de kostenefficiency van data-analysetoepassingen bedreigen. De afgelopen jaren is echter een innovatieve ontwikkeling van de ETL-tools zichtbaar die de hierboven genoemde bezwaren wegnemen. Ook zien we alternatieven voor ETL in de vorm van meer open ended data-preparation oplossingen.

Dit zijn toepassingen waarbij ruwe data vanuit de brongegevens worden geëxporteerd en via voorgedefinieerde datastructuren worden opgeschoond, verrijkt en gevalideerd tot voor het doel bruikbare data.

Bij het vaststellen van de betrouwbaarheid van data gaat de handreiking ervan uit dat gesteund kan worden op de opzet, het bestaan en de werking van de IT general controls en de geautomatiseerde systeemconfiguraties en/of application controls. In de praktijk komt echter frequent voor dat tekortkomingen geconstateerd worden in de IT general controls dan wel application controls. Dergelijke tekortkomingen hoeven niet automatisch een belemmering te zijn voor de toepassing van data-analyse. NOREA (NOREA 2021) stelt dat, afhankelijk van de mogelijkheid tot afstemming met primaire registraties of externe bronnen, het wellicht mogelijk is om de betrouwbaarheid van een dataset vast te stellen.

Door de ontwikkelingen op het gebied van data-extractie en ook een meer oplossingsgerichte visie ten aanzien van tekortkomingen in de IT general controls of application controls neemt de mogelijkheid voor bredere toepassing van data-analyse door de accountant tijdens een jaarrekeningcontrole toe.

Naast een oplossing voor data-acquisitie gaat de handreiking van de NBA ook in op de toepassingsmogelijkheden van data-analyse gedurende de verschillende fases in de controle, zoals fraude, de bijdrage aan voldoende en geschikte controle-informatie) en de documentatievereisten.

Figuur 3.

Het ETL-proces (bron: NBA 2019).

6. De bijdrage van data-analyse aan controlekwaliteit

Stijgt het niveau van zekerheid bij (een toenemende) toepassing van data-analyse door de accountant? Dit vraagt een nadere analyse. IAASB Data Analytics Working Group (IAASB 2016) stelt:

Being able to test 100% of a population does not imply that the auditor is able to provide something more than a reasonable assurance opinion or that the meaning of “reasonable assurance” changes.

Bij een jaarrekeningcontrole wordt de accountant geacht met een redelijke mate van zekerheid een oordeel te geven of de jaarrekening een getrouw beeld geeft van vermogen en resultaat en de bijbehorende toelichtingen. Standaard 200.13 definieert een redelijke mate van zekerheid als: ‘een hoge mate van zekerheid maar niet absoluut’. Een redelijke mate van zekerheid kan de accountant geven na het trekken van de conclusie of er voldoende en geschikte controle-informatie is verzameld. Met andere woorden: een redelijke mate van zekerheid is het beste wat de accountant kan doen, maar de accountant is niet alwetend. Er wordt gezocht naar overtuigend maar niet sluitend bewijs. Het Stramien voor Assuranceopdrachten, artikel 73 in de NV COS zegt hierover het volgende:

Het terugbrengen van het opdrachtrisico tot nul is zelden haalbaar of kosteneffectief en ‘een redelijke mate van zekerheid’ is, derhalve, minder dan absolute zekerheid, als gevolg van factoren als de volgende:

  • het gebruikmaken van selectief toetsen;
  • de inherente beperkingen van de interne beheersing;
  • het feit dat veel van de assurance-informatie die voor de accountant beschikbaar is, eerder overtuigend is dan dat deze sluitend bewijsmateriaal verschaft;
  • het gebruiken van professionele oordeelsvorming bij het verzamelen en evalueren van assurance- informatie en het vormen van conclusies op basis van die informatie;
  • in bepaalde gevallen de kenmerken van het onderzoeksobject wanneer dit wordt gemeten of geëvalueerd ten opzichte van de criteria.’ (NBA 2021)

Inherente beperkingen veroorzaken de kloof tussen een hoge en absolute mate van zekerheid (Standaard 200.A47). FEE onderscheidt twee soorten inherente beperkingen (FEE 2007): De eerste zijn omstandigheden die ‘beyond control’ zijn, zoals samenspanning tussen de te controleren entiteit en leveranciers, ondanks de ingebouwde veiligheidskleppen van een zorgvuldig inkoopproces. De tweede zijn omstandigheden waar de accountant wel iets aan zou kúnnen doen, maar dat het niet rationeel is óm te doen (‘some control’). Denk hierbij aan het geaccepteerde steekproefrisico waarbij een massa wordt goedgekeurd terwijl deze massa onjuistheden bevat. De accountant kan dus zorgvuldig de steekproef hebben uitgevoerd, maar er blijft een resterend risico over.

Controle-informatie bevat een combinatie van informatie uit verschillende bronnen; zowel intern gegenereerde als externe data buiten de entiteit. Deze bronnen kunnen elkaar versterken of aanleiding geven tot nader onderzoek om, binnen de grenzen van de gestelde materialiteit, voldoende controlezekerheid te verkrijgen. De accountant dient daarbij actief op zoek te gaan naar controle-informatie vanuit meerdere informatiebronnen. Dit is te vergelijken met het maken van een puzzel, waarbij de puzzelstukken samen de afbeelding van een grote puzzel compleet maken. Geen enkel puzzelstuk op zichzelf maakt de gehele afbeelding. En mocht er bij een puzzelstuk een hoek af zijn of zelfs een stuk ontbreken, dan zoekt de accountant naar alternatieve bronnen om de puzzel te tonen. Het toenemende gebruik van data-analyse kan in die zin een nieuw puzzelstuk zijn dat mogelijk andere puzzelstukken kan vervangen of aanvullen. Zo zal een test op een hele populatie een steekproef kunnen vervangen (mits dezelfde beweringen worden getest). Ook kan een data-analyse op de logging van superusers in het IT-systeem leiden tot de conclusie dat deze superusers weliswaar een ruimere toegang tot het IT-systeem hadden dan gewenst, maar dat zij daar geen gebruik van hebben gemaakt: geen enkel puzzelstuk maakt echter de hele puzzel. Een te grote focus op de data kan dus een schijnzekerheid geven (IAASB 2021a). Dit laatste geldt ook voor iedere andere controleprocedure op zichzelf. Bij data-analyse is dit te ondervangen door op meerdere plaatsen de verbinding te maken met fysieke grootheden (zoals voorraad­tellingen) en externe bronnen (zoals contracten of rechtstreeks verkregen informatie van de bank).

De toenemende beschikbaarheid en toepassingsmogelijkheden van data-analyse tooling roepen de vraag op of de accountant wordt geacht nu meer informatie te verzamelen dan voorheen om te komen tot een redelijke mate van zekerheid. Regulators hebben zich expliciet uitgesproken dat data-analyse kan bijdragen aan controlekwaliteit (IFIAR 2017). Wordt daarmee impliciet verwacht dát de accountant data-analyse toepast, omdat het bijvoorbeeld instrumenteel is aan het detecteren van fraudes? Wanneer een professional een hulpmiddel ter beschikking heeft dat het risico op een ten onrechte afgegeven controleverklaring kan verminderen, zal hij dit hulpmiddel willen toepassen. Het is daarom de verwachting dat in de praktijk het gebruik van data-analyse in toenemende mate een gegeven zal zijn, ook al bestaat er geen verplichting om dit te doen.

Het niveau van zekerheid neemt hiermee toe, maar het concept van redelijke mate van zekerheid verandert niet. Figuur 4 brengt dit in beeld. Als de accountant met data-analyse fouten of fraudes met een materieel effect op de jaarrekening detecteert die sporen hebben achtergelaten in de administratie en voorheen onopgemerkt bleven, dan is er nu sprake van een prestatiekloof. Met data-analyse kan dus de prestatiekloof worden verkleind.

Figuur 4.

De invloed van data-analyse op het niveau van zekerheid.

Daarnaast is het mogelijk om met data-analyse fouten of fraudes te detecteren die voorheen in alle redelijkheid niet hadden kunnen worden onderkend. Zo zal het koppelen van interne data aan (publiekelijk beschikbare) externe data in omstandigheden leiden tot de identificatie van mogelijke onregelmatigheden. Een voorbeeld hiervan is aan de hand van marktcijfers per segment of regio een verwachting opbouwen voor gegevensgerichte cijferanalyse. Het niet toepassen van data-analyse kan dus de prestatiekloof vergroten. De inherente beperking van ‘beyond control’ wordt hiermee uitgedaagd en zal mogelijk kleiner worden. Toch zullen ook de verwachtingen stijgen over welke hulpmiddelen de accountant inzet: als de technologie beschikbaar is, waarom deze dan niet gebruiken? Dit kan te maken hebben met complexe vraagstukken, maar kan ook zijn gekoppeld aan de hoogte van de materialiteit: het kan zijn dat gebruikers van jaarrekeningen minder sympathie hebben voor afwijkingen die weliswaar onder de huidige materialiteit liggen, maar relatief eenvoudig zijn te voorkomen met data-analyse. Daarmee ontstaat mogelijk een nieuwe verwachtingskloof. Het overall niveau van zekerheid is inmiddels hoger dan voorheen, maar zoals we hierboven aangeven is dit nog steeds een redelijke en geen absolute mate van zekerheid.

7. Conclusies

Met de introductie van ISA 315 (Revised 2019) heeft de IAASB een belangrijke stap voorwaarts gezet in het zichtbaar omarmen van technologie in de jaarrekeningcontrole. Enerzijds door een expliciete aandacht voor IT als onderdeel van de bedrijfsprocessen van de onderneming (‘auditing of IT’), anderzijds door het omarmen van data-analyse door de accountant (‘auditing with IT’). Omdat de controlestandaarden zijn gebaseerd op principes, bestaat de aandacht voor data-analyse met name in de toepassingsgerichte teksten.

Er zijn praktische en conceptuele uitdagingen die de toepassing van data-analyse in de praktijk complex maken. Verschillende partijen geven hieraan invulling met het uitgeven van nadere guidance. Met een goede toepassing van data-analyse kan de kwaliteit van de jaarrekeningcontrole toenemen, alhoewel het concept van redelijke mate van zekerheid niet wijzigt.

Prof.dr. Peter Eimers RA is hoogleraar Audit & Assurance aan de Vrije Universiteit en partner bij EY. Hij is lid van de IAASB Technology Working Group.

Remco ter Steege RA is director bij het Professional Practice Department van Mazars.

Noten

1

In deze bijdrage worden de termen controlestandaarden, ISA en Standaard gebruikt. Met controlestandaarden wordt bedoeld: de verzameling standaarden die van toepassing is op een jaarrekeningcontrole. Met ISA worden de originele standaarden bedoeld die door de IAASB zijn uitgegeven (IAASB 2019). Waar gesproken wordt over Standaard (met hoofdletter) wordt een individuele standaard bedoeld uit de NV COS (NBA 2021), al dan niet voorzien van een nummering van de betreffende Standaard.

2

Later hernoemd in de IAASB Technology Working Group.

Literatuur

  • Austin AA, Carpenter TD, Christ MH, Nelson CS (2021) The Data Analytics Journey: Interactions Among Auditors, Managers, Regulation, and Technology. Contemporary Accounting Research (Fall 2021) 38(3): 1888–1924. https://doi.org/10.1111/1911-3846.12680
  • Eimers PWA, Van Leeuwen OC (2015) De typologie als basis voor een effectieve en efficiënte data-analyse. Maandblad voor Accountancy en Bedrijfseconomie (oktober) 89(10): 348–358. https://doi.org/10.5117/mab.89.31175
  • IAASB (2019) International Standard On Auditing 315 (Revised 2019): Identifying And Assessing The Risks Of Material Misstatement. Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements, 2020 Edition Volume 1.
  • IAASB (2020c) Use of Automated Tools and Techniques When Performing Risk Assessment Procedures in Accordance with ISA 315 (Revised 2019), November 2020. applewebdata://416006F0-A672-4CF3-AF02-5960CE2B0B68/THE USE OF AUTOMATED TOOLS AND TECHNIQUES WHEN IDENTIFYING AND ASSESSING RISKS OF MATERIAL MISSTATEMENT IN ACCORDANCE WITH ISA 315 [REVISED 2019].
  • Snoei WG, Van Nieuw Amerongen CM (2015) Toepassing van (big) data-analyse in de MKB-jaarrekeningcontrole in een relatief eenvoudige omgeving. Maandblad voor Accountancy en Bedrijfseconomie, oktober, 89(10): 377–385. https://doi.org/10.5117/mab.89.31178
  • Van der Aalst WMP, Koopman A (2015) Process mining: data analytics voor de accountant die wil weten hoe het nu echt zit. Maandblad voor Accountancy en Bedrijfseconomie 89(10): 359–368. https://doi.org/10.5117/mab.89.31176