default logo

Data-analyse voor Auditors – Deel 4

Deze blogpost vormt het vierde deel van de 5-delige serie: ‘Data-analyse voor Auditors’. Wij hebben deze serie ontwikkeld omdat wij vaak de vraag krijgen hoe auditors data-analyse in de praktijk kunnen inzetten.

In de vorige aflevering van data-analyse voor Auditors hebben wij vooral gekeken naar de vragen ‘wat zien we in de cijfers?’ en ‘wat valt er op?’. Daarnaast hebben wij een beeld gevormd bij de opzet en kwaliteit van de interne beheersingsomgeving.

In deze aflevering bespreek ik de toepassing van data-analyse in de controlefase van het data-driven controleproces. Ik zal in het bijzonder stilstaan bij het ‘gegevensgericht’ controleren van de werking van interne beheersingsmaatregelen.

Inzichtelijk maken van processtromen

Het inzichtelijk maken van de werking van processen hebben wij bewust in de controlefase opgenomen. Hierbij heb ik het niet over de ‘test of controls’ op basis van een deelwaarneming (zie hierboven), maar om het gegevensgericht onderzoeken van de werking van de AOIC in een end-to-end proces.

Een specifieke variant van data-analyse is process-mining. Dit is een data-analyse techniek waarbij de logica van de analyse (het algoritme) al is uitgedacht. Wanneer de tool gevoed wordt met de benodigde data kan er razendsnel inzicht verkregen worden in de werkelijke flow van een bepaald proces (inclusief de feitelijke werking van de AOIC).

Lees hier meer over het hoe, wat en waarom van process mining.

Resultaten van process mining analyses in de vorm van afwijkingen in het proces ten opzichte van de verwachting dienen uiteraard verder onderzocht te worden. Ook hier geldt dat de uitkomsten van deze analyse met andere controletechnieken gevalideerd dienen te worden zodat er uiteindelijk voldoende evidence is voor het vormen van een oordeel.

Gegevensgerichte cijferanalyses (COS 330)

Dit is de stap na grasduinen en het in kaart brengen van risico’s is het verder naleven van COS 330. De definitie is bekend: het doel van de accountant is het verkrijgen van voldoende en geschikte controle-informatie over de ingeschatte risico’s.

Wat wij met deze analyse kunnen doen is inhoud geven aan COS 330, lid 6, 7, 18 en verder. Met behulp van data-analyse is elk auditteam in staat om een snelle en inzichtelijke analyse te maken op basis van de uitgangspunten van COS 330.

Voorbeeld: uitzendbureau

Met data-analyse zijn voor kwartaal één tot en met drie alle verloningen en omzetregels met elkaar in relatie gebracht. De controlevraag hierbij is:

‘Is elk uur dat is verloond ook daadwerkelijk gefactureerd?’

Uit de analyse blijkt dat het gat tussen uren verloond en uren gefactureerd dit jaar erg groot is. Er zijn materieel minder uren verloond dan gefactureerd. Is deze verloning volledig?

Uit een analyse kan bijvoorbeeld blijken dat een cliënt dit jaar een groter deel van de uitleen via een nieuwe ZZP-constructie heeft opgezet. Deze uren worden niet verloond, maar de cliënt ontvangt wel inkoopfacturen. De transactiestromen in scope zijn omzet, verloning en ZZP-kosten.

Richting jaareinde wordt een verbandscontrole met data-analyse ingezet aan de hand van de volgende formule:

ZZP-uren ingeleend = ZZP-uren uitgeleend = som van de inkoopfacturen + marge = verwachte opbrengsten.

Deze verwachting toetsen we met behulp van data-analyse aan de gerealiseerde omzet. Afgrenzing omzet en volledigheid ZZP inkoopfacturen lopen direct mee.

COS 240

Als onderdeel van de planningsfase van het data-driven controleproces heeft het auditteam mogelijke frauderisico’s al intern en extern besproken. Het inzetten van een analyse waarin de belangrijkste invalshoeken vanuit de COS 240 zijn verwerkt kan snel mogelijke concrete aanwijzingen of opvolgingen opleveren.

Een script analyseert op basis van vooraf gedefinieerde fraude indicaties: het geheel van de journaalposten inclusief memoriaalboekingen. Denk hierbij aan journaalboekingen die:

  • Teruggedraaid zijn of handmatig zijn aangepast;
  • Gepost zijn door medewerkers die normaal geen journaalboekingen posten;
  • Teruggeboekt zijn in voorgaande periodes.

Met de uitkomsten van het script, conform COS 240, kan verder in kaart gebracht worden welke specifieke aanvullende gegevensgerichte controlewerkzaamheden ingezet gaan worden rondom de geïdentificeerde transacties en posten in de jaarrekening. Dit gebeurt uiteraard zoveel mogelijk met aanvullende analyses die ik hieronder verder ga toelichten.

Analyses op significante posten

Alles wat ik hierboven heb geschreven is gericht op de controlefase handen en voeten geven. Zie dit als het toewerken naar een prachtige reis waarin we richting conclusies op ‘posten-niveau’ gaan.

Soms zitten in deze werkstappen al rechtstreeks haakjes naar de feitelijke balansposten, maar het werk is nog niet gedaan. In deze fase wordt een op-maat werkprogramma ontwikkelt gericht op de audit assertions (juistheid, volledigheid, bestaan en waardering). Dit zijn werkzaamheden die wij elk kwartaal kunnen uitvoeren waarbij we richting de jaareinde controle de punten op de ‘i’ kunnen zetten.

Voorbeelden van analyses die significante posten raken en waarin zowel technieken van uitzondering analyses, trendanalyses, steekproeven, verbandcontroles en detailanalyses samenkomen zijn:

  • Omzet en marge analyses;
  • Voorraad en kostprijs verkopen analyses;
  • BTW-analyses;
  • Kostenanalyses (over jaren heen, per afdeling).
Voorbeeld omzet en marge analyses

Stel, in 2017 neem je een opdracht over van een collega kantoor. Tijdens de kennismakingen stelt het bestuur van een groothandelsbedrijf vol enthousiasme dat er intern ‘grip’ is op het inkoop-, voorraad- en verkoopproces. Dat klinkt goed!

Uit een collegiaal gesprek en uit het dossierreview waarin lijncontroles en proceduretesten weelderig aanwezig zijn is niets bijzonders naar voren gekomen: cliënt geaccepteerd! Niets aan de hand. Totdat je een aantal stappen wilt maken met behulp van data-analyse.

Je vraagt alle inkoop- en verkooporders op en vraagt een dump van de voorraadbewegingen die door een gespecialiseerde logistiek partner worden gemanaged. Hiernaast vraag je de interne marges op per productgroep en start je met een aantal analyses als:

  • Laat alle transacties zien die boven- en onder de marge range vallen.
    Hieruit blijkt bijvoorbeeld dat de handel beweegt met het weer. Het zijn seizoenproducten, dus maken we een trendanalyse van de omzet en zetten dit af tegen KNMI data. Mooi weer betekent meer verkoop van zomerkleding en andersom.
  • Sluit Q aangemeld voor goederenontvangst aan op het inkoopboek.
  • Een verbandcontrole op Q op basis van de BV (gecontroleerd), waarbij Q beginvoorraad + Q Ingekocht – Q eindvoorraad = gelijk aan de verwachte Q verkocht.

Uit de uitzonderinganalyse blijkt dat een groot deel van de omzet ver onder de marges ligt. Artikelen volgen te laat de seizoenspatronen en verbanden in Q kunnen niet worden gemaakt.

In deze stap van data-analyse worden verschillende bronnen gecombineerd en met elkaar vergeleken om meer zekerheid te verkrijgen over de te controleren data. Denk hierbij aan een aansluiting van de mutaties uit het bankdagboek met alle bankmutaties uit de bank-applicatie, of het koppelen van de uitgaande goederenstroom aan KNMI-data.

Volgende week

In de volgende en alweer laatste aflevering van deze serie bespreek ik de laatste fase van het data-driven controleproces: rapporteren. Hierin zal ik toelichten hoe interactieve data-visualisaties waarde kunnen toevoegen aan het intern en extern communiceren van de uitkomsten van een controle.

WELLICHT OOK INTERESSANT VOOR U:
  1. Julia Koning Beantwoorden

    Interessant stuk! Ik ga alle 5 de delen lezen!

Laat een reactie achter

*

Send this to a friend