Auditen in Happy Land, verdiepen en verbreden

13-02-2024 Pieter de Kok Blog

Het is weer bijna voorjaar, dit keer 2024, wellicht is dat de oorzaak, maar ik krijg dan altijd de ‘auditkriebels’. Tijd dus voor een vraag vanuit een Data Driven Auditpraktijk. “Waarom discussiëren we niet over verrijking van ons mooie auditvak?”

In onze overzichtelijke auditpraktijk probeer ik samen met mijn team invulling te geven aan deze vraag. Maar we worstelen een beetje met de toonzetting om ons heen. Wel veel gedoe over randzaken, maar nog niet echt de eerste contouren van een écht vernieuwend speelveld.

De focus ligt – blijft liggen – op het onderwerp ‘kwaliteit’, van een Assurance-product dat al in de jaren tachtig en negentig volledig is uitontwikkeld.

Als auditteam hebben wij met elkaar vijf heldere doelstellingen geformuleerd die wij stap voor stap willen zetten om ‘Assurance-verrijking’ te realiseren:

  1. Assurance Op Elk Moment kunnen afgeven.
  2. Assurance Op Maat – afhankelijk van de assurancevraag en de vraagsteller – kunnen afgeven.
  3. Artificial Intelligence (AI), robotisering en algoritmes maximaal integreren op moment dat ze daadwerkelijk ‘ontstaan’.
  4. Kennisdeling met ondernemingen (onze audit cliënten) rondom het vraagstuk interne beheersing (ongoing monitoring) verbreden.
  5. Open staan voor joined assurance; met andere partijen in de keten o.a. gezamenlijk verantwoordelijkheid nemen om ongoing monitoring te verbinden aan ongoing auditing in een keten.

Het fundament is maximale inzet van (advanced) data-analyse, process mining en datavisualisatie en natuurlijk one day van Artificial Intelligence. Dit allemaal ter ondersteuning van het belangrijkste aspect van ons vak: het overdragen van bevindingen, kennis en ervaringen: de people factor van ons beroep.

Onze mindset hebben we als volgt gevisualiseerd:

 

Ondergrens, bovengrens

Wij hanteren een denkmodel waarin we zowel Basis Auditing als Data Driven Auditing hebben gedefinieerd. Elke werkstap, elke analyse, zien wij als een bouwsteen en moet bijdragen aan de optelsom van Data Driven Auditing.

 

 

De relatieve omvang van een ‘bouwsteen’ (zie visualisatie 2) staat voor de mate waarin die bouwsteen bijdraagt in de opbouw naar Data Driven Auditing.

 

Visualisatie 2

 

 

 

 

 

 

 

In onze Data Driven Auditing setting kiezen we voor een insteek, gebaseerd op:

  • Beoordeling opzet en bestaan van de relevante interne beheersingsmaatregelen en activiteiten;
  • Toetsen van totstandkoming van normen die worden gebruikt om uitzonderingen- en trends te analyseren;
  • Uitvoeren van deelwaarnemingen rondom het toetsen van de juistheid van secundaire data t.b.v. betrouwbaarheid dataset
  • Integraal toetsten van data populaties op basis van geformuleerde auditvragen.

Dit laatste doen we op basis van:

  • Het integraal toetsen van transacties aan business rules (e.g. juistheid van toepassingen kortingen rondom toetsten juistheid van prijscomponent);
  • Het integraal toetsen van transacties aan normen (e.g. juistheid van rente laten rondom leningen portfolio’s);
  • Het opbouwen van trend- en uitzonderingsanalyses op basis van ook open data en verzamelde data uit voorgaande boekjaren;
  • Het opbouwen van BETA-formules (verbanden) en detailanalyses op verstoringen.

Met deze insteek komen we ook op Data Driven Auditing uit. Een aanpak die niet alleen kwalitatief goed is, maar ook meerwaarde heeft in vergelijking met Basis Auditing model. Dat denk ik. Maar we weten eigenlijk niet of dit zo is. Het is geen geheim dat ik zelf meer ‘Assurance’ toedicht aan een data driven insteek, dan aan de nog mateloos populaire systeemgerichte benadering.

Niemand die het antwoord denk ik echt weet. Wellicht de statistici onder ons. Of de Foundation for Auditing Research, het ‘accountancy lab’. Het is een denkmodel. Maar wanneer is kwaliteit écht kwaliteit en wie heeft die wijsheid?

Elk moment
De dynamiek van Basis Auditing volgt de klassieke paden van de interim in het najaar en de afronding van het klassieke gegevensgerichte deel rondom de jaarrekening in het voorjaar, waarbij sommige teams soms pas eind van de winter volgende kalenderjaar klaar zijn.

Hoge drukpan-audits, twaalf maanden per jaar.

‘Continu’ staat voor het nu, vandaag of morgen afgeven van assurance. En wel assurance zoals we nu ook assurance afgeven. Het fenomeen jaarrekening heb ik een hele lang tijd geleden al eens ‘weggeschreven’.  Het gaat om assurance over een financiële cijferopstelling.  Dat mag ook in 3D of in een prachtige infographic.

‘Continu’ vereist ook een continu auditproces dat synchroon loopt met het interne beheersings- en rapportageproces van de ondernemingen die we controleren. Nog belangrijker, het vereist een continu proces van dataontsluiting, data-validatie en -analyse in Data Driven Auditing. In Happy Land komt het interne perspectief (ongoing monitoring) en het externe audit perspectief, ongoing auditing, samen.

Op maat
Assurance op maat: afhankelijk van de vraagsteller, wordt gefaciliteerd door een assurance platform waarop cliënten, maar ook andere stakeholders, hun assurance vraag beantwoord zien worden.

De cliënt wordt door de fiscus getoetst? De fiscus stelt vragen bij transfer pricing, juistheid van prijzen, volledigheid van opbrengstverantwoording? Met toestemming van de cliënt helpen wij de fiscus op weg. De fiscus logt in op een real-time assurance-platform dat onderdeel is van Data Driven Auditing.

Zonder veel fantasie kunnen we het aantal ‘assurance op maat’ vragen uitbreiden met minimaal honderd andere voorbeelden.

Integratie van AI
In 1992 en 1993 las ik de eerste artikelen over Artificial Intelligence in de audit.  Ik was student en Hans Verkruijsse was mijn held. In 1996 verschenen de eerste studierapporten.  Stap voor stap zullen de zelflerende algoritmes de transacties van onze auditcliënten continu monitoren. Het zou mij niet verbazen dat deze algoritmes straks zijn gemaakt door cross over van accountants / data-scientist,  ‘specialized’ in algoritmes.

Even over standaardisatie, voordat ik ‘maximale kennisdeling’ nog toelicht. Ik ben groot voorstander van standaardisatie in de controle, ik ben voorstander van alles wat de weg vrij maakt naar maximale kennisdeling. En die weg is vrij concreet, er valt namelijk heel wat te standaardiseren.

  • Testen van ITGC? Een datascript dat de feitelijke toegang, rechten en rollen toetst aan geformuleerde normen, uit te breiden naar andere ITGC-onderwerpen zoals change management. Wie ‘changed’ wat, wanneer en waarom? Eenvoudig te standaardiseren per server-/applicatieomgeving.
  • Testen van application controls? Een datascript met hierin de vertaalslag tussen de belangrijkste business rules die in de applicaties ‘bestaan’ en de werking toetsen aan de onderliggende datapopulaties? Inzicht in Wat, Wanneer rondom Wat Niet Zou Mogen Kunnen, maar Toch Gebeurt? Van creditnota’s tot retouren. Van dubbele betalingen tot de te hoge kortingen. Eenvoudig te standaardiseren per IT-systeem.
  • Testen van de werking van interne beheersingsmaatregelen in processen, op transactieniveau? Eenvoudig te standaardiseren in process mining scripts. Eventlogs zitten in de IT-systemen.
  • Initiële cijferbeoordelingen, richting geven aan de controle? Eenvoudig te standaardiseren. COS 310-, updated COS 315-datascripts over verschillende IT-Daat-systemen heen.
  • Signalen detecteren voor frauderisico’s? Naast het betere denkwerk vooraf eenvoudig te standaardiseren in COS 240 datascripts, met hierin alle fraude overwegingen verwerkt in ‘IF THEN ELSE’- en ‘SHOW ME’-vragen.

Na deze standaarden gaan we posten verder controleren: trendanalyses, totaalverbandcontroles, cijferanalyses, heel ‘op maat’, goed over nagedacht, audit riskmodel in volle werking.

Maximale kennisdeling
Wat ons vak zo mooi maakt, is de kans om van betekenis te zijn, om kennis over te dragen. Dat aspect valt nooit en te nimmer te standaardiseren. We hebben de data, we kennen de IT-systemen, we weten wie die stakeholders zijn, we weten wat de zorgpunten bij onze cliënten zijn.

Elke cliënt is uniek als het gaat om de invulling van het vraagstuk interne beheersing (in control).  In mijn omgeving varieert dit van maximaal ‘in control’ tot het besef dat grote verbeterstappen noodzakelijk zijn.

Dus als we Assurance afgeven bij de overweging ‘volledigheid van opbrengstverantwoording’, waarom dit niet direct combineren met een scherpe analyse van de nettomarge, vanuit invalshoeken die de ondernemer nog niet heeft? Inzichten in resultaten per product, regio, afnemer, leverancier, medewerker, verkoopkanaal. Plotten, scatteren, visualiseren, maar vooral delen, verrijken en bespreken. U heeft de data. U heeft de kennis.

Als we wel iets formeels zeggen over de continuïteit van de IT-systemen, waarom dan geen heldere analyse dat in een aantal systemen bijvoorbeeld te veel application controls aan staan die controle op controle stapelen? Controls die het interne proces rondom verwerking van transacties blokkeren. Een kwalitatieve benadering, ondersteund door de slimme inzet van process mining. 

Samen – verbinden ongoing monitoring en ongoing auditing

In de keten, straks wellicht ondersteund door slimme AI, kunnen we assurance afgeven in samenwerking met andere auditors en/of professionals. Denk aan de agroketens. Van Data Driven Auditing via Koe in de wei, via mestbeweging, melkbeweging, tot de zuivelproducenten. Denk aan het traject van schadeverzekeraars, naar schadebrokers, naar schade-expertisebedrijven. Van premies naar schade-uitkeringen.

‘Hoe reëel dichtbij is het dat we praten over ‘assurance door de keten heen’?’

Voorbeelden van geïntegreerde datastromen, gekoppeld aan het fysieke, logistieke events, die continue gevolgd kunnen worden. Hoe reëel dichtbij is het dat we praten over ‘assurance door de keten heen’?

Bij mij groeien de hyacinten alweer in de tuin, het voorjaar 2024 is losgebarsten. Mooie gelegenheid om de toonzetting wat positiever en innovatiever te maken rondom mooie beroep. Als we de tijd hebben, want in de huidige deadline setting lijken we hopeloos van te zitten.

Pieter de Kok
Geschreven door:

Pieter de Kok