Statistical auditing (47)

Data analyse als heilige graal - dacht het niet

Kan data-analyse de steekproef vervangen? Wij deden een klein onderzoek op basis van een SVB-rapport. Het resultaat was verbluffend.

Ferry Geertman en Hein Kloosterman

Op het Limperg symposium van 20 mei 2015 hebben we weer naar zeer interessante voordrachten geluisterd en gediscussieerd over steekproeven en data-analyse waarin iedere spreker duidelijk vanuit zijn eigen competentie, interesse of misschien wel commercieel belang sprak. Dat geeft niet zolang de discussie fair gevoerd wordt en daar waar mogelijk op feiten is gebaseerd.

Een van de discussies die ook in deze reeks columns gevoerd wordt is de vergelijking van data-analyse met steekproeven en de vraag of data-analyse een vervanger kan zijn van steekproeven.

We doen een klein feitenonderzoek op basis van het rapport van de SVB inzake de doorlooptijd van betalingen aan zorgverleners in relatie tot Persoonsgebonden Budgetten (PGB). De essentie van het rapport is dat de auditdienst van de SVB de betalingen aan zorgverleners heeft onderzocht op de tijdigheid ervan. De auditdienst heeft daarvoor een steekproef gehanteerd. Naast allerlei evaluaties van de steekproef heeft de auditdienst ook gekeken naar foutoorzaken die vooraf als bekend werden aangemerkt.

Het rapport geeft op pagina 5 een lijst van mogelijke foutoorzaken. Het is een lange lijst: 39 mogelijke fouten maar liefst! Zo'n lange lijst biedt natuurlijk prachtige handvatten voor het definiëren van queries (en als die wat al te ingewikkeld worden maken we er scripts van) om de gehele populatie te onderzoeken op al die foutsoorten.

De auditdienst had dus met data-analyse de gehele populatie kunnen onderzoeken op deze foutsoorten en ze op een uitzonderingslijst voor nader onderzoek kunnen zetten. De rest van de populatie mag dan verondersteld vrij te zijn van fouten,...  of niet?

Het antwoord op deze vraag kunnen we geven omdat de auditdienst ervoor heeft gekozen om een steekproef uit te voeren. In het rapport, om precies te zijn op pagina 14, heeft de auditdienst van 295 betalingen die een doorlooptijd van meer dan tien dagen hadden, beschreven wat de foutoorzaak is. Van zestig procent (179) van deze - te late - betalingen  geeft de dienst aan dat de foutoorzaak niet op de lijst van (39) mogelijke foutoorzaken voorkomt.

Dat is nog niet alles: in bijlage V (pagina 22) staat dat van de te laat betaalde declaraties die na 1 april zijn ingediend tachtig procent (!) een andere foutoorzaak heeft dan gedefinieerd op de lijst van 39. En van de te laat betaalde declaraties die na 15 april zijn binnengekomen heeft zelfs negentig procent (!!) een andere foutoorzaak  dan gedefinieerd op de lijst van 39.

Wij zijn benieuwd wat de gepresenteerde feiten zouden zijn geweest als alleen data-analyse was uitgevoerd  op de mogelijke foutoorzaken. Had de ontvanger van het rapport dan wel een conclusie kunnen trekken?

Gelukkig dat de auditdienst zich niet heeft laten verleiden tot (alleen) geautomatiseerd zoeken naar mogelijke fouten ('geauzomofo' zoals Van Batenburg dat noemt)! Zo'n steekproef biedt uitkomst(en).

Ir. Ferry Geertman RE CISA is managing director bij de KEY Group.

Hein Kloosterman RE RA, gepensioneerd adviseur IT-audit en Statistical Audit. Lid van de Stuurgroep Statistical Auditing.

Gerelateerd

17 reacties

Willem Gravesande

@Pieter de Kok 20 augustus 2015: Quote:"Hoeveel % gebruikt steekproeven op een Paul van Batenburg niveau?"

Op https://www.ndax.nl/drive/DS/sc.html is een handige calculator te vinden voor het nemen van steekproeven.

Paul van Batenburg

@Pieter de Kok, ik kom graag nog even terug op jouw reactie van 20 augustus. Ik citeer:
"Hoeveel % gebruikt steekproeven op een Paul van Batenburg niveau?"
Dank voor dit compliment (ik beschouw het als een compliment), maar ik weet het antwoord niet. Ik weet wel hoe iemand dat niveau kan bereiken: van 16-18 november organiseert Nyenrode Business Universiteit een driedaagse cursus Statistical Auditing. Inlichtingen bij Peter Waas of mijzelf (docenten) of bij Nick Vos van Nyenrode

WG

@Hein Kloosterman 23 augustus 2015

Dank voor de reactie.

Quote: "@WG
Jammer dat de site ndax.nl een lege pagina showt (op mijn iPad). De URL is niet in zijn geheel leesbaar.
Jammer."

Dit komt omdat de nieuwe interface met de schuivende panelen lange woorden (waaronder lange URL's) niet ondersteund. Dat is inderdaad jammer.

Quote: "De kritiek die gegeven is komt mij als irrelevant over."

Het was niet als kritiek maar als aanvulling bedoeld. Conclusies welke getrokken kunnen worden uit data-analyse kunnen hooguit hypotheses zijn.

Wanneer deze hypotheses verstrekkende gevolgen kunnen hebben voor betrokkenen, dan dienen deze eerst getest en geaccepteerd of verworpen te worden (in de reeele wereld).

Diederik Meijer

Moet je niet simpelweg concluderen dat de lijst van 39 mogelijke fouten incompleet is? En dat als je die lijst als basis voor data-analyse gebruikt, het daarom vrijwel zeker fout moet gaan?

Kortom, het probleem zit niet in de methode, maar in de gehanteerde feitelijke uitgangspunten.

Het lijkt mij geen probleem met data-analyse de verdachte transacties op te sporen en de toepasselijkheid van mogelijke oorzaken te testen.

Transacties waar geen bekende oorzaak bij gevonden wordt kunnen nader worden onderzocht, aan de hand waarvan de lijst met 39 mogelijke oorzaken kan worden verbeterd.

Hein Kloosterman

@Frans Kersten
Wat richtlijnen betreft: net als alle codificatie lopen richtlijnen doorgaans achter bij de ontwikkeling van methodologie (van audit in dit geval).
Ik kan wel een voorbeeld bedenken waarbij data-analyse informatie toevoegt en invloed heeft op de besluitvorming in de controle.
Zoals eerder gesteld: consistentiecontrole brengt naar voren of en in welke mate de gegevens m.b.t. de financiële transacties consistent zijn (i.s.m. de waardekringloop).
Consistentie onderbouwt een mate van vertrouwen in de interne organisatie.
Wellicht dan minder gegevensgerichte waarnemingen nodig.
Hierover is veel gepubliceerd.

Hein Kloosterman

@WG
Jammer dat de site ndax.nl een lege pagina showt (op mijn iPad). De URL is niet in zijn geheel leesbaar.
Jammer.
De kritiek die gegeven is komt mij als irrelevant over.

Hein Kloosterman

@Pieter.
We probeerden met deze column te weerleggen dat het zoeken naar vooraf gedefinieerde fouten 'assurance' zouden geven, dus aggregeerbaar bewijs.
Deze, te weerleggen, stelling kwam niet uit de lucht vallen! Die is door de zachte elementen van professional judgement veel verkondigd.
Wij stellen dus eigenlijk: wie bewijs zoekt dat een populatie fouten bevat levert geen bewijs dat die populatie foutarm of foutvrije is

Pieter Steekproef de Kok

Dag Hein,

Dank voor je toelichting. Ik blijf met wat vragen zitten. De kop van het artikel, het voorbeeld, de verbinding met bijdrage 46, de toonzetting rondom data-analyse , feitelijke audit voorbeelden versus dit voorbeeld, de boodschap. Anyway, voor je het weet zie ikzelf spoken:)

Ik heb het idee dat Statistical Auditing team wellicht aangevuld moet worden met audit kleuren (Philip wil vast meedoen, ik kan t hem vragen want hij is nu ook verbonden aan Coney), of ervaren auditors die met data-analyse / process mining in t veld actief zijn. Op die manier kunnen we de verbindig maken en casus uitwerken / delen waarin de samenhang tussen technieken beter uit de verf komt.

Maar ik hoor graag wat anderen er van vinden, wellicht sla ik weer door in mijn enthousiasme!

Goed weekend

Hein Kloosterman

@Pieter
Natuurlijk jagen wij op een spook. Dat spook is niet 'data analyse'. Daarvan hebben we in de praktijk voldoende goede voorbeelden gezien om de waarde ervan te kunnen inschatten. Het spook is ook niet 'het vervangen van steekproeven door data analyse'. Want dat zou betekenen dat er een bewuste uitruil van technieken was gedaan. Wat wij in de praktijk hebben ervaren is dat het toepassen van risico analyse zonder referentie aan steekproeven plaatsvindt. Die loskoppeling begint al in het boek van Knechel. En in de praktijk vinden velen dat het toepassen van risico analyse in de financial audit op basis van niet valideerdbare technieken mag: het is immers 'professional judgement'. In een van de columns hebben we data analyse geclassificeerd in drie hoofdstromen: cijferanalyse m.b.v. statistiek, consistentiecontroles (zoals b.v. met de methoden en technieken van Philip Elsas) en overige data analyse (onder meer de technieken die lijkt op wat de snelle marketing boys uitspoken).
In column 46 heeft Paul de vraag gesteld of het GEAUZOMOFO zekerheid toevoegt. Wij laten met behulp van het voorbeeld zien dat het vooraf bedenken van mogelijke foutoorzaken een klus is waar je niet te veel vertrouwen in kunt stellen.
Wij zien beide technieken als supplementair (niet per se complementair).

WG

@WG 21 augustus 2015: De correcte URL voor de presentatie is https://www.ndax.nl/drive/BigDataChallengesAndOpportunitiesForMathematicians.pdf

WG

@Statistical auditing (47) 20 augustus 2015: "Gelukkig dat de auditdienst zich niet heeft laten verleiden tot (alleen) geautomatiseerd zoeken naar mogelijke fouten ('geauzomofo' zoals Van Batenburg dat noemt)! Zo'n steekproef biedt uitkomst(en)."

In z'n algemeenheid biedt wiskunde uitkomsten bij de wetenschappelijke aanpak van data-analyse, zie bijvoorbeeld de gegeven presentatie op het Nederlands Mathematisch Congres 2015 op https://www.ndax.nl/drive/ECLI_NL_GHAMS_2014_3946.pdf

Data-analyse in een wetenschappelijk proces bestaat uit Observatie , Dataverzamelen, Hypethese formulering, Hypethese test en Hypethese acceptatie/verwerping.

De laatste 2 stappen worden echter vrijwel nooit uitgevoerd bij de reguliere data-analyse.

Voor de geinteresseerden hebben we nog een aantal interessante referenties op dit gebied.

Paul van Batenburg

Nogmaals: mee eens, Pieter, een vanzelfsprekende combinatie van substantive tests: de vanzelfsprekende blunders eerst wegfilteren en de rest met een steekproef toetsen. Mijn zuurgraad blijft daarna op normale waarden. Deden we het al niet zo voordat de hype kwam? Alleen nu doen we het beter gestructureerd.
En Frans, dat bewijs kan je pas krijgen als je data analyse nader specificeert. Zolang het Geauzomofo is, zal het geen assurance opleveren want de norm is niet de juiste maar een onjuiste waarde. Zie mijn vorige column. En moet het ook assurance opeleveren? Is Auditing het zoeken naar fouten of het bevestigen dat de gecontroleerde dat afdoende en succesvol gedaan heeft? Als je kijkt naar die vormen van data analyse waarbij de soll positie de juiste waarde is (bijvoorbeeld gegevensgerichte cijferanalyse) kan je verwachten dat het assurance oplevert

Alexander

Is het heel gek als ik het eng vind dat de SVB niet zelf in staat is om de doorlooptijd en foutoorzaken uit hun systemen te halen? De SVB heeft toch de opdracht gekregen om declaraties binnen 10 dagen te betalen, dan moeten ze daar toch op kunnen monitoren?

- Waarom is een declaratie niet van invoer tot uitbetaling te volgen?
- Kunnen er dan ook declaraties uitbetaald worden, die nooit zijn ingevoerd (fraude?)?
- Waarom zijn 39(!) foutcodes niet voldoende, zodat 90% een ander foutoorzaak heeft? Hoe registreren en monitoren ze dan zelf?
- Als ze hier zelf niet op monitoren, hoe kunnen ze dan processen verbeteren zodat het in de toekomst wel beter gaat?

Ik hoop wel dat ze intern enige geauzomofo doen op onjuiste data, onwaarschijnlijke getallen (ik declareer nu een bedrag van € 5.000.000) en data-analyse op hoogte van uitbetaalde bedragen per rekeningnummer. Het zou toch jammer zijn als de accountant er pas achter kwam dat....

Ik hoop dat er voldoende controle is middels steekproef en data-analyse ;-)

Frans Kersten

Beste Paul en Pieter,

Heb eerder op deze site als eens een reactie achtergelaten dat ik vergeefs gezocht heb naar een vaktechnisch onderbouwd document of en wanneer dataanalyse kan/mag leiden tot vermindering van de steekproefomvang. Nog steeds niet gevonden.
Ondertussen wordt er wel 133 pagina's volgeblaat in een standaard 3000 die wat mij betreft rechtstreeks de prullebak in mag.

Overigens vraag ik mij af of deze casus wel een voorbeeld is voor data analyse. Ik zou simpel volstaan met laten signaleren of de datum overschreden wordt. Pas als dat een onacceptabel aantal gevallen is zou ik nader onderzoek doen. Een van de stappen is dan om te bepalen in hoeverre (vervolg) dataanalyse kan helpen om oorzaken te vinden.

Pieter de Kok

haha Paul, alle respect, maar hoeveel % van de auditors gebruikt data-analyse op enig niveau? Grootboek screenen op zoek naar fouten met een tooltje is geen data-analyse he!?

Hoeveel % gebruikt steekproeven op een Paul van Batenburg niveau?

Als ik alleen al kijk naar de aantal actieve licenties van een tool als ACL op de gehele NL audit populatie (toch niet de minste tool) (ik weet bijna zeker dat IDEA of andere prachtige tools % gelijk zijn) dan is het gebruik van echte data-analyse tools nog zeer beperkt.

Ik heb in aflevering 2 Pietertje Op Zoek Naar Vernieuwing een scriptie gelinkt, met daarbij 23 barrières voor inzet van data-analyse, met een uitgebreide populatie van mensen ook verbonden aan jouw kantoor. Ik vrees dat een vergelijkbaar onderzoek rondom inzet steekproeven op een gelijk aantal barrières uitkomt.

Zo uit mijn losse pols durf ik de stelling wel aan dat het spook dat roept dat "data-analyse de vervanger is voor steekproeven" een heel klein spookje is. Ik zou er als steekproef guru niet bang van worden :). De kracht en waarde van steekproeven staat als een paal boven water.

En je kan niet met droge ogen volhouden dat data-analyse alleen voor testing interne beheersing is. Mag hoor, maar dat slaat werkelijk nergens op.

Ik snap de toon zeg maar niet helemaal, ik snap de zorgen niet, ik denk dat beide technieken elkaar prachtig kunnen aanvullen, en dat ik graag eens uit jullie steekproef clubje een positieve bijdrage zou willen zien ipv het inmiddels zich wat herhalende credo 'ach dat data-analyse is niets'.

De zuurgraad op deze geweldige website is al vaak zo hoog, waarom niet positieve insteek?

Jullie groep heeft zo veel kennis, waarom niet een serie met voorbeelden waar data-analyse, process mining & steekproeven casustiek op positieve manier worden belicht?

We begraven die heilige graal ok? Niemand claimt deze graal, voor zover ik weet, of kan overzien.

Groeten!

Paul van Batenburg

Zeker, Pieter, een perfecte match: vooraf een steekproef die je vertelt welke risico's zo belangrijk zijn dat je ze met een data analyse moet uitfilteren, en achteraf een steekproef die je vertelt of je nog materiële fouten achtergelaten hebt.
Maar: is dit nu een tool voor de extreme accountant of voor de interne beheersing?
En ja, dit spook kom ik dagelijks tegen: accountants die denken dat als je maar genoeg hebt gezocht naar vooraf bekende risisco's, (geauzomofo) de resterende massa vanzelfsprekend geen fouten meer bevat. "Ik heb zo veel fouten gevonden, de rest moet wel schoon zijn"...

pieter.dekok@coney.nl

"..de vraag of data-analyse een vervanger kan zijn van steekproeven".

Leuk stuk! Maar in de 21 jaar dat ik met data-analyse bezig ben heb ik nog nooit ergens onderbouwd gelezen dat data-analyse de vervanger zou moeten zijn van steekproeven. Het instrument steekproeven is super waardevol!

Verder ken ik denk ik aardig wat data-analyse liefhebbers, en heb ik deze statement ook nooit gehoord.

Jagen jullie op een spook dat er niet is?

Data-analyse in assurance domein gebruik je voor controletechnieken als verbandcontroles, detailcontroles, verbinden van data velden en uitkomsten toetsen aan business rules, soms in combinatie met steekproeven, soms standalone.

Hiernaast heb je dan de keuze om in je audit data-analyse in te zetten om de client inzichten te geven in andere processen, niet primar gekoppeld aan audit assertions. Denk aan analyse van klachtenprocessen, offerte processen, etc ectc - wij noemen dat de 'funfactor'.

Met steekproeven kan je prachtige analyse doen, SOLL normen toetsen (eg zijn alle verkoopprijzen op basis van juiste autorisaties tot stand gekomen), die je vervolgens gebruikt voor IST (gerealiseerde prijzen) versus SOLL (met steekproef getoetst) - afwijkingen ga je verder analyseren.

Juist de combinatie is heel waardevol.

Waarom niet een prachtige kop, "Steekproeven en Data-analyse Een Geweldige Krachtige Combinatie" zodat we huidige generatie en studenten positief meenemen in deze combinatie?

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.