default logo

Data-analyse voor Auditors – Deel 2

Deze blogpost vormt het tweede deel van de 5-delige serie: ‘Data-analyse voor Auditors’. Wij hebben deze serie ontwikkeld omdat wij vaak de vraag krijgen hoe auditors data-analyse in de praktijk kunnen inzetten.

In dit tweede deel zullen wij stilstaan bij grasduinen (COS 300) en risico-inschattende werkzaamheden (COS 315). Twee toepassingen van data-analyse die kunnen worden ingezet tijdens de planningfase van het data-driven controleproces.

De vorige aflevering van deze serie eindigde ik met een uiteenzetting van drie toepassingen van data-analyse in de planningfase van een data-driven controleproces:

  • Grasduinen;
  • Risico-inschattende werkzaamheden;
  • Onderzoeken ITGC en Application Controls.

Grasduinen (COS 300)

De meest eenvoudige vorm van data-analyse is grasduinen: het filteren en sorteren van data. Door het filteren worden datavelden en regels uitgesloten die niet waardevol zijn voor een analyse. Hierdoor kan er gefocust worden op alleen de belangrijkste uitkomsten of afwijkingen.

In de planningsfase van het controleproces waarbij we risico’s willen identificeren om daar later op in te kunnen spelen is grasduinen een veel gebruikte toepassing. Denk hierbij bijvoorbeeld aan de volgende toepassingen:

  • Door te filteren op alleen debetboekingen in de P&L van het verkoopboek ontstaat er snel inzicht in de correcties op de omzet. Of deze juist zijn weten we nog niet.
  • Door te filteren op het aantal memoriaal boekingen per periode verkrijgen we snel inzicht in de omvang van de boekingsstromen waar in principe geen interne beheersing op van toepassing is. Als we dit koppelen aan wie, wanneer en waarom memoriaalboekingen plaatsvinden dan kunnen we ook duiden of dit in lijn is me de verwachting.
  • Door alle mutaties die in de financiële administratie zijn verantwoord te plotten op een kalender (en dit in combinatie met het tijdstip en medewerkers) wordt snel inzicht verkregen in door wie en wanneer welke transactie verwerkt is, inclusief grip op opvallende transacties.

Allemaal voorbeelden van data-analyse, maar als je het zo leest niks nieuws onder de zon en al helemaal geen ‘rocket science’. Naast genoemde voorbeelden zijn er nog legio andere analyses toe te passen waardoor we geautomatiseerd kunnen grasduinen door de administratie om zo inzicht te krijgen in welke posten en processen extra aandacht verdienen tijdens het controleproces.

Er zijn legio analyses toe te passen waardoor we geautomatiseerd inzicht kunnen krijgen in welke posten en processen extra aandacht verdienen tijdens het controleproces.

Bijkomend voordeel is dat de data scripts uitgevoerd kunnen worden op een groot aantal verschillende audit cliënten of divisies. Hiernaast kunnen deze analyses met een steeds hogere frequentie worden gedraaid wanneer de data-analyse aanpak robuuster wordt.

Risico-inschattende werkzaamheden (COS 315)

Zoals hierboven beschreven is een mogelijke uitkomst van het ‘grasduinen’ een lijstje met aandachtspunten voor de lopende controle. COS 315, lid 6. spreekt in dit verband over cijferanalyses.

Dit is mede input voor onze risico-inschattende werkzaamheden. Mede, want veelal hebben we lessen geleerd in voorgaande controles, hebben we mogelijk al gesprekken gevoerd met cliënten waaruit nieuwe verhaallijnen zijn ontstaan of hebben we nieuws vernomen rondom sectoren waarin onze cliënten actief zijn. Wie heeft Google Alerts niet aanstaan tegenwoordig?! Over data-analyse gesproken!

Met de inzet van data-analyse kunnen aandachtspunten voor een gehele populatie direct in kaart gebracht worden.

Opvallende boekingen, vreemde trends en opvallende transacties vormen dus een deel van de input voor onze risico-overwegingen. Met de inzet van data-analyse kunnen aandachtspunten voor een gehele populatie direct in kaart gebracht worden. In deze fase gaan we dus een stapje verder.

Voorbeeld

Tijdens de analyses op het verkoopboek van een online handelsonderneming valt het meer dan gemiddeld aantal debetfacturen op. In deze fase gaan we met data-analyse onderzoeken wat de ‘root cause’ is van deze trend. Zijn dit retouren? Om welke producten, leveranciers, afnemers gaat het?

Door in te zoomen op de ‘root cause’ verzamelen we controle-informatie om een voorziening te beoordelen en om in te schatten hoeveel ‘exposure’ er in openstaande vorderingen bestaat met betrekking tot retourproducten. Dergelijke analyses zorgen direct voor meerwaarde bij een cliënt.

Volgende week

Volgende week ga ik verder met de laatste toepassing van data-analyse in de planningsfase: ITGC en Application Controls. In onze mindset zijn dit de belangrijkste thema’s die ook wij graag vanuit een data-analyse invalshoek benaderen. Hierbij staat de vraag centraal:

‘Wat zien we nu echt fout gaan rondom ITCG en Application Controls?’

In tegenstelling tot de vraag:

‘Wat kan er in theorie allemaal fout gaan?’

WELLICHT OOK INTERESSANT VOOR U:

Laat een reactie achter

*

Send this to a friend