Magazine

'Machines kunnen geen conclusies trekken'

Auditsoftware is buitengewoon nuttig bij zowel speciale onderzoeken als de reguliere accountantscontrole. Maar het idee dat software de hele controle zal kunnen doen, leidt tot schijnzekerheid. Zowel controleren als frauderen blijft mensenwerk.

Dit artikel is verschenen in de Accountant nr. 11, 2007

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Carlos Neves Cordeiro

Dat de accountantscontrole de afgelopen jaren van karakter veranderd is, is geen onthutsende ontboezeming. Waar de accountant nog geen tien jaar geleden kon volstaan met de mededeling dat de jaarrekening een getrouw beeld van de bedrijfswerkelijkheid gaf, zal hij nu met heel wat meer en overtuigender argumenten moeten komen om die bewering te staven.

Naast de grote recente schandalen leidt ook het toegenomen claimrisico er toe dat de accountant behoefte heeft aan meer controlebewijs. In combinatie met een efficiëntere uitvoering van de controle leidt dit veelal tot een (verhoogde) inzet van auditsoftware.

Arsenaal

Wat begon als standaardcontroleprogrammatuur is in de loop van de jaren uitgegroeid tot een waar arsenaal van geautomatiseerde hulpmiddelen, zogenoemde Computer Assisted Audit Tools & Techniques (CAATT’s). Een van de meest toegepaste is de zogenoemde auditsoftware.

Daarmee kan de gebruiker (rekenkundige) controlebewerkingen uitvoeren op gegevens in computerbestanden. Voorbeelden van dergelijke bewerkingen zijn: waarnemingen (van elektronische controlesporen bijvoorbeeld), selecties, sorteringen, berekeningen, vergelijkingen, rubriceringen, samenvoegingen, statistische functies, steekproeffuncties of afdrukken. Zo kan de accountant registraties aan elkaar koppelen en bestanden met elkaar vergelijken.

Forensisch onderzoek

Auditsoftware kan worden ingezet ten behoeve van eenmalige (bijzondere) onderzoeken, of repeterende (reguliere) onderzoeken.

Het bekendste type bijzonder onderzoek zijn de forensische onderzoeken. Door het leggen van relaties tussen afzonderlijke (transactie)bestanden kan met behulp van auditsoftware de fraude vaak worden opgespoord. De afzonderlijke vastleggingen in verschillende (sub)systemen - en in sommige gevallen de terugzetting van back-up’s - zorgen er voor dat door de fraudeur gewiste sporen weer zichtbaar worden.

Worden er leveringen buiten de administratie gehouden? Welnu, koppel de gegevens van de debiteurenadministratie aan die van de weegbrug, de rijschema’s, de benzinekosten, de laadbrieven en dergelijke. Tien tegen één dat er afwijkingen aan de dag treden als er is gesjoemeld.

Accountants kunnen auditsoftware ook goed bij verschillende onderdelen van de jaarrekeningcontrole (eenmalig) inzetten. Zo kan bij een cliënt met duizend werknemers de post loonkosten op consistentie worden beoordeeld.

Continuous auditing

Continuous auditing verheugt zich momenteel in een grote belangstelling. Daarbij worden continue audits uitgevoerd op transacties en processen. De gegevens worden vaak opgehaald met behulp van zogenaamde mobiele ‘agenttechnologie’, een programma dat zorgt voor het op verschillende locaties ophalen van de voor de analyse relevante gegevens uit een database.

Terwijl een auditor van oudsher periodiek een audit uitvoert op systemen en transacties, voorziet continuous auditing in een methode om deze audits, meer keren per dag geautomatiseerd uit te voeren, waarbij de transacties worden getest op vooraf gedefinieerde criteria. Het is echter de vraag of de vooraf gedefinieerde geautomatiseerde controles doeltreffend zijn in het detecteren van mogelijk frauduleuze transacties. Er lijkt eerder sprake van een zekere schijnzekerheid.

Schijnzekerheid

Met continuous auditing kunnen namelijk alleen gegevens worden doorzocht die digitaal toegankelijk zijn. Wat niet in het systeem is vastgelegd, zoals side letters en mondelinge afspraken, blijft buiten beeld. Bovendien zullen fraudeurs hun schimmige transacties er net zo laten uitzien als andere, bonafide transacties.

Continuous auditing is wellicht zelfs nog makkelijker te manipuleren dan een accountant. Hoe ‘simpel’ is het immers niet voor een intelligente, frauderende programmeur om het controleprogramma bepaalde sectoren te laten overslaan? Of om de uitkomst van het onderzoek van tevoren te bepalen? Bijvoorbeeld door het programma een bepaald percentage fouten te laten vinden - en de werkelijk serieuze fouten buiten beeld te houden - zodat het voor de leek ‘duidelijk’ is dat het programma zijn werk ‘goed’ heeft gedaan.

Nee, continuous auditing kan hooguit indicaties geven voor fraude, zoals een hartfilmpje of bloedonderzoek hooguit afwijkingen kan laten zien. Uiteindelijk is het alleen de door de wol geverfde accountant of arts die dergelijke signalen op de juiste wijze kan duiden.

Daar komt bij dat er ook al is de informatieverwerking in hoge mate geautomatiseerd, uitzonderingssituaties blijven bestaan die niet of niet geheel door het systeem kunnen worden afgehandeld. Ondanks het samenstel van alle mogelijke controles kunnen er fouten ontstaan als het systeem situaties te verwerken krijgt waarmee in de ontwikkelings- en testfase geen rekening is gehouden. De onderneming dient dus altijd controlemaatregelen te treffen om te kunnen vaststellen dat systeemfouten tijdig worden gesignaleerd.

Weg met auditsoftware?

Moeten we continuous auditing en auditsoftware dan maar terzijde schuiven? Dat zou hetzelfde zijn als de arts adviseren zijn stethoscoop aan de wilgen te hangen en louter op zijn eigen oren te vertrouwen. Wie een jaarrekening moet samenstellen, weet als weinig anderen hoezeer men moet leunen op tal van informatiesystemen.

Maar als een van die systemen ‘ergens’ een gebrekkig gegeven genereert - al dan niet door malafide mensenhanden gevoed - en doorgeeft aan andere systemen die ermee aan de slag gaan, dan is wel veel werk uit handen van mensen genomen, maar is het percentage foutloos werk er zeker niet door gestegen. En dan mag de externe accountant die zich over de jaarrekening mag buigen, uitzoeken of datgene wat op tafel ligt wel is wat het voorgeeft te zijn: het getrouwe beeld van de bedrijfswerkelijkheid.

Waarden en normen

Het is de vraag of het wel juist is als de gecontroleerde de maatstaven van de controleur gaat aanhouden, in plaats van andersom. Wie weet dat het continuous auditing & monitoring-programma vooral let op bepaalde aspecten, zal ervoor zorgen dat deze in de pas lopen met wat de controleur wil zien.

Controle moet niet alleen door een onafhankelijke kritische persoon worden ingesteld, maar moet zelf ook onafhankelijk van het gecontroleerde systeem zijn. Controle moet een verrassend aspect in zich dragen, iets ongewoons, afwijkends, ongebruikelijks meebrengen.

Een geprogrammeerde controle is daarmee niet gediskwalificeerd. Het is een controle die in het toepassingsprogramma zelf is opgenomen en die erop is gericht een gegeven met een norm te vergelijken. Wordt er een afwijking geconstateerd, dan volgt een signaal aan de gebruiker. Het is vervolgens aan deze gebruiker om daar iets mee te doen. Wanneer de oliedrukmeter van een auto aangeeft dat het oliepeil te laag is, is het aan de bestuurder om niet alleen olie bij te vullen, maar ook om zich af te vragen of de motor niet te veel olie verbruikt de laatste tijd. De conclusies zijn dus aan de gebruiker.

Controleren blijft mensenwerk

Een arts beschikt over geavanceerde apparatuur om bloeddruk, hartslag, cholesterolgehalte en wat al niet te laten meten - nauwkeuriger, doelmatiger en sneller dan hij ooit zelf zou kunnen – maar het is en blijft uiteindelijk de arts zelf die moet bepalen of de aangetroffen waarden ‘materieel’ zijn of niet. Alleen hij bepaalt welke behandeling gepast is, terwijl zijn collega er misschien weer iets anders tegen kan aankijken.

Het is voor een accountant die zijn vak verstaat niet veel anders. Alert en professioneel-kritisch tegenover de uitspraken en opmerkingen van zijn cliënt, zal hij moeten vertrouwen op zijn eigen gezonde verstand.

Hij zal omzetcijfers niet ‘zomaar’ voor zoete koek slikken. Hij zal willen nagaan of de cijfers die het bedrijf presenteert, in overeenstemming zijn met wat er feitelijk is aangeleverd. Het is best mogelijk dat de kosten die zijn opgegeven voor de winterschilder, in allerlei administraties op de juiste wijze verantwoord zijn, maar hoe komen al die bladders dan aan de kozijnen? Een goede accountant zal altijd zijn ogen en oren open houden en niet over één nacht ijs gaan.

Frauderen blijft mensenwerk

Zoals keer op keer blijkt dat virusscanners te kort schieten en nieuwe virusdefinities vrijwel wekelijks moeten worden opgehaald van internet, zo kennen ook auditsoftware en andere controleprogrammatuur en -methodieken hun houdbaarheidsdatum. Keer op keer blijkt echter dat één factor de spelbreker is: de mens zelf. Een fraudeur zal nooit ophouden te pogen het systeem en al zijn beveiligingen te frustreren. Hij zal net zo lang blijven zoeken tot er een zwakke plek in de verdediging is gevonden. Of dat nu een zwakke plek in een programma is, of in een systeem, protocol, methodiek of waar ook.

Wel kunnen we proberen het de fraudeur zo moeilijk mogelijk te maken. Daartoe is een gedachteomslag nodig, een ‘prismabril’ waarmee de werkelijkheid ook vanuit een onmogelijke hoek beschouwd kan worden. Antifraudesystemen kunnen ons daarbij helpen, maar het zijn en blijven middelen, nooit een doel op zich.

Adequate fraudebestrijding betekent werken vanuit een andere ‘denkdimensie’: boven systemen uitstijgen om er juist toezicht op te kunnen houden en ervoor te zorgen dat de mens er zelf geen deel van wordt. Anders wordt controleren net zo moeilijk als jezelf aan je eigen laarzenriemen optrekken.

Noot
Carlos Neves Cordeiro is forensisch onderzoeker bij 4iTrust Groep BV.

Booten: je aan je laarzenriemen omhoog trekken

Een van de opmerkelijkste literaire producten van de achttiende eeuw zijn de avonturen van baron Von Münchhausen van de Duitse schrijver Rudolf Erich Raspe (1739-1794). Raspe beschrijft de lotgevallen van kletsmajoor en fantast baron Hieronymus von Münchhausen, die naar eigen zeggen op een afgeschoten kanonskogel was meegelift, naar de maan was gevlogen en zich aan zijn eigen laarzenriemen uit een moeras had getrokken.

Dat laatste beeld dringt zich onwillekeurig op wanneer sommigen beweren dat met de geautomatiseerde audit - in de vorm van continuous reporting/monitoring en continuous auditing/assurance - financiële systemen voor eens en altijd kunnen worden doorgelicht op betrouwbaarheid.

Het is mijns inziens onmogelijk een systeem zichzelf te laten controleren op betrouwbaarheid. Net zoals het onmogelijk is zichzelf aan laarzenriemen omhoog te trekken, al is de term booten (opstarten) van een computer hier volgens internetencyclopedie Wikipedia wel aan ontleend.

Geprogrammeerde controles

De accountant kan veel controlewerk ‘uitbesteden’ aan auditsoftware. Dat kan antwoord geven op bepaalde vragen, zoals:

  • Komen de gegevens inderdaad in het systeem voor (bestaanbaarheidscontrole)?
  • Zijn de in te voeren gegevens waarschijnlijk (redelijkheidscontrole)? Wat is de relatie tussen de salarisschaal en het ingevoerde feitelijke salaris?
  • Is er een bepaald direct verband tussen twee of meer grootheden aanwezig (verbandscontrole)? Is het verband tussen het geboekte verkoopbedrag en de geboekte omzetbelasting aannemelijk?)
  • Komt het totaal van de ingevoerde gegevens overeen met wat de gegevensleverancier opgeeft (totalencontrole)?
  • Ontbreken er geen gegevens (volledigheidscontroles)? Lopen de nummers van de ingevoerde gegevens wel door?

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.