De belofte van continuous auditing

Door Mischa Masthoff

Vroeger kon je zo een trein binnenlopen. Tijdens de rit bestond de kans dat er een conducteur langs kwam die controleerde of je een kaartje had. Controle door steekproef. Tegenwoordig wordt er op de meeste stations integraal gecontroleerd. De techniek heeft het overgenomen: zonder toegangsbewijs gaan de toegangspoortjes niet open. Meer grip, tegen lagere kosten. Zie daar de potentie van digitalisering. Ook in de accountancy is er de belofte van toegangspoortjes. Continuous auditing; er wordt al sinds 1989 over gepraat en er zijn initiatieven, maar toch wordt het meer dan 30 jaar later in de praktijk niet omarmd door de accountant. Waarom dat is en waarom dat enorm zonde is, leg ik uit in dit artikel. 

Wat is continuous auditing?
Continuous auditing is in 1989 ontstaan bij het bedrijf AT&T Bell Laboratories. Miklos Vasarhelyi en Fern Halper ontwikkelden voor het bedrijf ‘CPAS’ (Continuous Process Auditing System): een systeem waarmee ze de factuurstroom continu konden meten, monitoren en analyseren. 

Het IIA (Institute of Internal Auditors) definieert continuous auditing als volgt: “Continuous auditing is any method used by auditors to perform audit-related activities on a more continuous or continual basis. It is the continuum of activities ranging from continuous control assessment to continuous risk assessment — all activities on the control-risk continuum. Technology plays a key role in automating the identification of exceptions and/or anomalies, analysis of patterns within the digits of key numeric fields, analysis of trends, detailed transaction analysis against cut-offs and thresholds, testing of controls, and the comparison of the process or system over time and/or against other similar entities.”

Een hele mond vol, maar kortgezegd komt het hier op neer: de auditor gebruikt technologie (algoritmes) om de administratie continu te scannen op fouten en risico’s. Als je dat goed doet zijn er geen (of in ieder geval veel minder) steekproeven nodig en hoeven er aanzienlijk minder dossiers te worden gelicht. Mogelijke problemen komen sneller aan het licht en je voorkomt de piekbelasting in het reguliere jaarrekeningproces. 

Ondanks die voordelen wordt continous auditing in de praktijk niet of nauwelijks gebruikt. Dat terwijl continuous monitoring steeds bekender en populairder wordt. 

Beide begrippen hebben raakvlakken, maar verschillen op essentiële punten. Een belangrijk verschil is het feit dat de verantwoordelijkheid voor continuous monitoring bij het management van de organisatie ligt. Dit in tegenstelling tot continuous auditing, waar de verantwoordelijkheid voor het afwikkelen van afwijkingen van de norm bij de afdeling Internal Audit ligt. 

De laatste stap; het door Internal Audit of de accountant op basis van audit testen steunen op de bevindingen van continuous monitoring ontbreekt in de praktijk. Waardoor het jaarrekeningproces alsnog een onnodige piekbelasting is voor administraties. 

De accountant verliest de aansluiting
In de praktijk zie ik dat er een steeds grotere kloof begint te ontstaan tussen continuous monitoring en de accountant. Dat terwijl continuous auditing juist een nauwe samenwerking vereist. 

Meer en meer organisaties gebruiken algoritmes of BI-tooling om hun administratie continu te monitoren. De meest simpele boekhoudpakketten gebruiken controles aan de invoerkant om fouten vroegtijdig te voorkomen. En zelfs HR houdt zich al jaren meer en meer bezig met analytics. En de accountant? Die vaart vooral zijn eigen koers.  

De digitalisering – als daar al sprake van is – binnen de (met name grote) accountantskantoren beperkt zich in de praktijk tot een jaarlijkse digitale scan van de data van de klant tijdens het jaarrekeningproces. Geef me je data, dan zal ik je laten zien wat er fout is gegaan. Dat heeft twee nadelen. 

Het eerste nadeel is dat het gaat om een jaarlijkse scan en geen continue scan. De problemen die er zijn, worden in één keer ontdekt, op een moment dat het eigenlijk al te laat is (midden in de drukte van het jaarrekeningproces, waarin de administratieve organisatie eigenlijk nauwelijks tijd heeft voor herstelwerkzaamheden). Daar komt bij dat je niet alleen wil zien of er sprake is van fouten en risico’s. Je wil ook zien of er daadwerkelijk iets gebeurd is met gevonden fouten en risico’s (en niet pas een jaar later). 

Het tweede nadeel is dat er in de praktijk vaak sprake is van een one size fits all methode. Een voorbeeld uit de praktijk? Een universiteit die zich rot schrok van de uitkomsten van de jaarlijkse scan van de accountant. Totdat bleek dat het overgrote deel van de gevonden fouten en risico’s betrekking had op voorschriften die golden voor de maakindustrie. Veel beter is het om voort te bouwen op de continuous monitoring van de klant zelf. Die is toegesneden op de bedrijfsvoering van de klant en op basis daarvan wordt gedurende het jaar bijgestuurd.  

Natuurlijk zijn er accountantskantoren die bezig zijn met een (beperkte) vorm van meer continue controles, maar inhoudelijk wordt er dan vooral gemonitord op IT controls. Bijvoorbeeld: zien we gebruikersaccounts die meer rechten hebben dan ze zouden moeten hebben? Ook daarbij ontbreekt de aansluiting tussen de accountant en het hart van de bedrijfsvoering van de klant. 

Anders gezegd, als de accountant niet voorbouwt op continuous monitoring binnen de klant zelf kan er nooit sprake zijn van continuous auditing, dan is het op zijn best een losstaand audit-tooltje. 

Er is in de afgelopen 30 jaar bij mijn weten geen enkel voorbeeld te vinden waarbij de accountant in de praktijk feitelijk steunt op continuous auditing. 

Hoe dat komt? De paradox is dat er bij automatisering altijd duidelijk is waar er zich risico’s op manipulatie voordoen. Bij ieder risico dat je oplost kun je er vrij makkelijk een ander risico bij verzinnen. Je komt uiteindelijk altijd op een punt waarbij er een kwetsbaarheid ontdekt wordt die onzekerheden met zich meebrengt. Dat die onzekerheden zich ook voordoen bij de ouderwetse manier (steekproeven), wordt dan gemakshalve vergeten. 

Wat als…
Een voorbeeld. Bij een klant van ons – een organisatie die bekend staat als voorloper op het gebied van continous monitoring – controleren algoritmes de administratie continu op allerhande fouten en risico’s. Verkeerde BTW-codes, dubieuze declaraties, dubbele facturen, enzovoorts. Gevonden fouten en risico’s (zogenaamde ‘uitzonderingen’) worden aantoonbaar afgehandeld door de administratie. Daarbij registreert de software wanneer welke uitzondering is ontdekt en wie, wat, wanneer vervolgens gedaan heeft om de uitzondering af te handelen. 

De organisatie ging in overleg met de accountant om te bespreken of deze op de aanpak kon steunen bij het opstellen van de jaarrekening. continuous auditing in optima forma. Wat volgde was een reeks van vragen. 

• Maken jullie gebruik van hashtotals en row counts? 
• Is er een change management procedure waarin wijzigingen in controles worden vastgelegd en geaccordeerd?
• Worden er periodiek gespecialiseerde partijen ingeschakeld om de beveiliging van de software te testen? 
• Is de audit trail van wie, wat, wanneer gedaan heeft met welke uitzondering op ieder moment eenvoudig opvraagbaar? 
• Worden wijzigingen in de controles geregistreerd in een versiebeheersysteem? 
• Is er sprake van een rechtenstructuur en afdoende autorisaties?
• Zijn er rapporten beschikbaar van wanneer welke controle heeft gedraaid? 
• Volgt er een automatisch signaal als een controle een foutmelding geeft? 
  
Op iedere vraag volgde een positief antwoord. Op een na. Mutaties in de configuratie van de controle konden door ons als leverancier rechtstreeks in de onderliggende database plaatsvinden, zonder dat dat vastgelegd werd in een logbestand. 

Dus nee, er moesten gewoon steekproeven worden getrokken. 

Voor continuous auditing is technologie is niet langer de beperkende factor. Mindset is de beperkende factor. 

De potentie van continuous auditing
Het punt is, als je maar lang genoeg blijft vragen kom je vroeg of laat een zwak punt tegen. Vanuit een audit-bril is kritisch zijn en doorvragen een belangrijke eigenschap. Maar pragmatisme is dat op enig moment ook. De NS is overgestapt op automatisch toegangspoortjes. Ondanks het feit dat je – als je toevallig een polsstok bij je hebt – er theoretisch gewoon ook overheen kunt springen. Natuurlijk zijn er mensen die het poortje forceren en alsnog zwartrijden. Maar ten opzichte van de steekproeven van de conducteurs heb je meer grip, tegen lagere kosten. 

Die potentie heeft continous auditing ook. Door als accountant – in alle redelijkheid – gericht en pragmatisch te helpen om continous monitoring te verheffen tot continuous auditing krijg je als accountant ruimte om gerichter in te zoomen op de aspecten die nog niet goed gaan binnen de organisatie. Zo kun je onder andere meer aandacht besteden aan de vraag of fouten feitelijk hersteld worden in plaats van de vraag wat er potentieel allemaal fout gaat. Als je dat dan ook nog meer verspreid over het jaar doet, is er binnen de organisatie meer rust en ruimte om (tijdig) te herstellen. 

Zo word je als accountant deel van de oplossing in plaats van alleen de degene die het probleem constateert. 

Accountants, Nederland rekent op jullie. Rekenen jullie dan ook een beetje op Nederland?

Mr. Mischa Masthoff is een van de oprichters van Realtime B.V. Met RealtimeMonitor en wijcontrolerenjedata.nl controleert het bedrijf de administraties van zijn klanten continu en automatisch op fouten en risico’s.