Is financial audit methodologie-arm geworden?
Wat is data-analyse nou precies, en wat hebben we eraan?
Ferry Geertman en Hein Kloosterman
De oktobereditie van het Maandblad voor Accountancy en Bedrijfseconomie (MAB) had als thema data-analyse. Een heel MAB vol heel goede artikelen. Maar wat data-analyse nou is, en wat data-analyse aan controle-informatie kan toevoegen: daarover ging deze editie niet.
De oktobereditie van het MAB gaf hoop, want de poging van de stuurgroep om op het symposium 2015 data-analyse binnen een auditmethodologie te plaatsen heeft naar ons idee nog niet tot schrifturen van grote schoonheid geleid.
Met de column over data-analyse en fraudeonderzoek hebben wij een poging gedaan structuur in data-analyse aan te brengen. Komen we op terug. Paul van Batenburg heeft mild provocerend GEAUZOMOFO (afkorting voor 'geautomatiseerd zoeken naar mogelijke fouten') geïntroduceerd. Daar kwamen wij op terug in de column over de vooraf bedachte risico’s inzake de pgb's (persoonsgebonden budget).
De hoop was dus gevestigd op de bijdragen in het MAB. We hebben in die bijdragen gezocht naar een (holistische) beschrijving van data-analyse. Niet gevonden. Het lijkt een voor vakgenoten evident begrip te zijn.
Daarna keken we of en zo ja, welke auditmethodologie is gehanteerd. Die vonden we ook niet. Althans niet expliciet. Daarom zijn we gaan zoeken naar de rol die de auteurs toedichten aan de data-analyses in hun artikelen; daarin was wel een rode draad te ontdekken.
Die draad was de beoordeling van de interne beheersing. Process mining levert een bijdrage aan het zoeken naar inconsistenties in de (primaire) vastleggingen van de events (transacties, deeltransacties). Continuous monitoring (een pleonasme, omdat monitoring eigenlijk continue directe waarneming betekent) heeft vanuit een iets ander perspectief dezelfde doelstelling: de kwaliteit van de interne beheersing beoordelen.
De risicobenadering met behulp van de waardenkringloop zien we voor het gemak als een variant op process mining. Voor de duidelijkheid: volgens ons zijn verbandscontroles naar hun aard organisatiegerichte controlemaatregelen. De BRA-benadering (business risk analysis) is niet consistent met het audit risk model, omdat de BRA-benadering zoekt naar waar het fout kan gaan en het audit risk model zoekt naar (voor-)informatie over hoe goed (deel)populaties zijn.
Zoals gezegd - en uit onze zoektocht in de artikelen in het MAB kan worden afgeleid - hadden we twee hoofdlijnen verwacht. Ten eerste wat moeten we onder data-analyse verstaan. Ten tweede hoe de evidence die eruit voortvloeit kan worden gebruikt bij het bepalen van noodzakelijke vervolgstappen. Beide komen niet uit de verf.
Onze vraag aan de auteurs - of andere lezers - is nu: levert u de 'missende paragraaf' of moeten wij dat doen?
Gerelateerd
Machine learning in de audit: uitschieters bij vastgoedwaardering
Regressie is een vorm van machine learning met als doel het voorspellen van cijfers op basis van een aantal kenmerken. Met open-sourcesoftware kun je zonder programmeerkennis...
Machine learning in de audit: voorspellen van klantverloop
Het doel van machine learning is om voorspellingen te maken aan de hand van data. Binnen dit veld worden doorgaans drie hoofdtoepassingen onderscheiden: classificatie,...
De steekproefomvang ontmaskerd - deel 5
In vorige columns hebben we verschillende manieren besproken om tot een steekproefomvang te kunnen komen. Deze column is de laatste van de serie waarin we verschillende...
De steekproefomvang ontmaskerd - deel 4
Een accountant die gebruikmaakt van software om een steekproefomvang te berekenen, moet zeker weten dat die software dat goed doet. Daarvoor moet je de rekenmethode...
Symposium: Machine Learning in de audit
Hoe is het momenteel gesteld met de toepassing van Machine Learning in de audit? Aankondiging van een symposium.