Voorbeelden van data-analyse bij risico-inschatting

Deze toepassing varieert van controles anders uitvoeren ('doing things differently') tot herontwerp van de controle ('doing different things'). 

Gezien de vragen vanuit de praktijk hoe dit past in de controlestandaarden, heeft de NBA-handreiking 1141 in concept ontwikkeld. Leden en belanghebbenden kunnen tot 18 september 2018 op de concepthandreiking reageren.

Data-analyse als kwaliteitsbevorderaar
De beschikbaarheid van digitaal vastgelegde gegevens geeft accountants de kans om deze geautomatiseerd te controleren. Dit kan een kwaliteitsimpuls geven aan de controle. Data analyse kan de accountant helpen de organisatie beter te begrijpen. Het kan ook een rol spelen bij het bepalen op welke interne beheersing de accountant wil steunen. Daarnaast geeft het mogelijkheid om gegevensgerichte werkzaamheden effectiever en efficiënter uit te voeren. Maar data-analyse leidt in de praktijk ook tot uitdagingen. Bij verkeerd gebruik kan de kwaliteit in het gedrang komen. Daarom is het zaak dat de accountant ook bij gebruik van data analyse de juiste vragen stelt en de juiste dingen doet. NBA handreiking 1141 wil daar bij helpen.

Inhoud en opzet handreiking
De controlestandaarden vormen het uitgangspunt voor het verkrijgen van voldoende zekerheid bij een jaarrekeningcontrole en het daarin opgenomen proces is mede de basis voor de handreiking, inhoudend:

Bepalen welke (materiële) risico's er zijn;
– Nagaan hoe de organisatie die risico's zelf beheerst; en 
– Gegevensgericht verkrijgen van de resterend benodigde zekerheid.

De handreiking bevat daarnaast concrete voorbeelden. Bijvoorbeeld over toepassing van data analyse bij het verkrijgen van inzicht in de entiteit, bij risicoanalyse of voor het testen van de interne beheersingsmaatregelen. Verder besteedt de handreiking aandacht aan de volgende onderwerpen:
– de inzet van data-analyse bij het onderkennen van mogelijke fraude;
– het verkrijgen van betrouwbare data;
– de uitkomsten van data-analyse en wat zij de accountant leren.

De handreiking geeft drie voorbeelden van data-analyse bij risico-inschatting:

1. Het management heeft aangegeven dat het overgrote deel van de verkooptransacties tussen de EUR 500 en EUR 2.000 bedraagt, wat overeenkomt met de kennis die de accountant heeft op basis van de controle in voorafgaande jaren. Uit analyse van de verkoopdata blijkt dat er een klein aantal transacties is met een omvang groter dan EUR 10.000. De accountant overweegt of de inschatting van de risico’s aangaande het verkoopproces aanpassing behoeft en past mogelijk de controleaanpak aan gericht op de transacties groter dan EUR 10.000. Ook kan de accountant alvast detailcontroles verrichten op de transacties groter dan EUR 10.000, als dit nodig is. 

2. De accountant maakt een overzicht van gebruikte grootboekrekeningen per dagboek. In een verkoopdagboek is de verwachting dat alleen journaalposten betreffende debiteuren, af te dragen btw en omzet worden verantwoord. Indien ook journaalposten van andere grootboekrekeningen worden verantwoord of indien bijvoorbeeld omzet ook in andere dagboeken is verantwoord, zal de accountant nagaan wat hiervan de reden is. De uitkomst hiervan geeft richting aan de controleaanpak van de jaarrekeningpost ‘omzet’ of leidt tot formulering van een risico op een afwijking van materieel belang die hierop is gebaseerd.

3. De accountant kan process mining inzetten om op basis van (meta)data uit het ERP systeem van de controlecliënt het verloop van het inkoopproces inzichtelijk te maken. Dit verloop kan de accountant vervolgens vergelijken met de beschreven opzet. Deze analyse ondersteunt de accountant enerzijds bij het vaststellen van het bestaan (voor alle betrokken transacties in de data-analyse) van de beschreven opzet; anderzijds verkrijgt de accountant, door het vergelijken van die beschreven opzet met het geconstateerde bestaan informatie over de effectiviteit (het bereiken van doelstellingen) en de efficiëntie van het inkoopproces. In feite kan de accountant hiermee ook zoeken naar sporen van interne beheersingsmaatregelen in het systeem. Door het toepassen van process mining kunnen transactiestromen door het (ERP) systeem van de controlecliënt worden gevolgd. Process mining maakt daarbij onder meer inzichtelijk wie op welk moment een bepaalde transactie heeft uitgevoerd en of een controlemaatregel is toegepast (noot: ook met andere vormen van data-analyse is dit mogelijk). Daardoor is ook zichtbaar of de transactiestroom afwijkt van het reguliere proces, wat helpt bij het identificeren van mogelijke risico’s. Tijdens de risico inschattingswerkzaamheden stelt process mining de accountant in staat om de opzet en het bestaan van een proces/procedure inzichtelijk te maken. 

Meer weten? U kunt hier de volledige handreiking vinden.