Controleaanpak

Internationalisatie van de Nederlandse controleaanpak

Wat heeft de auditor van nu nodig om moderne completeness assurance aan te kunnen bieden? Moeten we toekomstige auditors opleiden in data science of in control science? Een inkijkje in assurance nu en straks.

Philip Elsas

De Nederlandse controleaanpak geeft op gedegen wijze inhoud aan assurance op volledigheid. De toepassing op volledigheid van de opbrengstenverantwoording is wereldwijd bewezen. De bijbehorende methodologie wordt door passende technologie kosten-effectief, schaalbaar en transferable naar andere zaken dan opbrengsten. En tegelijk creëert die methodologie nieuwe hoogwaardige taken voor de auditor van vlees en bloed.

Volledigheid is belangrijk bij het uitvoeren van controles. Immers, zonder completeness assurance worden alle andere stellingnames (assertions) bij de audit ondermijnd. Want die andere stellingnames zijn dan uitsluitend van toepassing op een deelverzameling. Een deelverzameling die ook kan worden bepaald door iemand die minder goede bedoelingen heeft, een fraudeur.

Hoe ziet moderne completeness assurance eruit?

Een paar herkenbare voorbeelden waarin digitalisering een grote rol speelt:

  • Hotel franchise: gebruik van externe data voor online reserveringen, kamerdeur keycard locks en kamer motion sensors, als betrouwbare punten van eerste vastlegging van 'quasi-goederen 2.0' en proxy voor werkelijk gerealiseerde omzet.
  • High-end haar salon franchise: online reservering, QR-code in verzegelde, klant-specifieke hotel-size flaconnetjes voor shampoo, conditioner en coloring producten.
  • Pharmaceutische industrie: verifieerbare QR-code onder de verzegelde deksel van een pillenflesje. Scanning door de klant via de mobiele telefoon, met gebruik van een app van de patenthouder. De QR-code  is een 'quasi-goed 3.0', waarbij het punt van eerste controle (en de vastlegging daarvan) verlegd is naar het andere uiteinde van de supply chain.

De assurance is real-time. Voor de klant op product-authenticiteit, voor de patenthouder en eigenaren op brand control en tevens op de volledigheid van de omzet en de verantwoording daarvan.

Verkeerde richting

Voor completeness assurance biedthet huidige Audit Risk Model (ARM) guidance in een verkeerde richting. Zwakke of ontbrekende volledigheidscontrolemaatregelen (hoog Control Risk) worden in het model 'gecompenseerd' door grotere steekproeven of integrale controle ('verlagen' Detection Risk). Maar zwakke of ontbrekende volledigheidscontrolemaatregelen leiden tot ontbrekende data. En ontbrekende data is moeilijk of onmogelijk te ontdekken, ook niet door betere bestudering van (door een slimme fraudeur) beschikbaar gestelde data. Statistiek helpt niet. Artificial Intelligence helpt niet. Datascience helpt niet. De data is er niet en komt ook niet op magische wijze terug. Om dit te voorkomen kunnen betere of nieuwe volledigheidscontrolemaatregelen gebruikt worden.

'Zonder completeness assurance worden alle andere stellingnames (assertions) bij de audit ondermijnd.'

Waar komen die vandaan? Hierin ligt de tweespalt tussen twee methoden: de klassieke Nederlandse owner-ordered auditing en de huidige, geïnternationaliseerde Amerikaanse management-orderded auditing.

De Amerikaanse auditor mag als individuele professional geen betere controlemaatregelen adviseren, omdat hij of zij dan bij een latere audit zijn of haar zelf geadviseerde controles gaat beoordelen en dit dus niet meer onpartijdig kan doen. 

Hoe lost de Nederlandse auditor dit dilemma dan op? Door wat wij kennen als de natuurlijke adviesfunctie: gefundeerd op een stevige wetenschap, ontwikkeld en gedragen door de gehele professie. Het natuurlijk advies is daarmee niet slechts het advies van een individuele professional, maar van de gehele professie. De individuele auditor is slechts de communicator daarvan. 

Nodig

Wat heeft de auditor van nu nodig om moderne completeness assurance aan te kunnen bieden? Een aantal zaken. Uitgangspunt is een tweerichting Audit Risk Model (ARM), dat het bestaande model (overstatement richting) harmoniseert met de klassieke Nederlandse leer (understatement richting). Een concreet voorstel hiervoor is de afgelopen jaren uitgewerkt in samenwerking met internationale experts. 

'Het natuurlijk advies is daarmee niet slechts het advies van een individuele professional, maar van de gehele professie.'

Daarnaast zijn we toe aan een nieuwe operationele vertaling van Limpergs dynamische Auditing Theory of Reasonable Expectations (Carmichael 2003, Blokdijk 1975), in de geest van de reasonable expectation doctrine, zoals die bestaat in de Engelse insurance law en de Franse contrats d'assurance. Dat principe stelt dat, wanneer zich een ambiguïteit voordoet in een assurance overeenkomst, dit opgelost wordt ten gunste van de redelijke verwachtingen van de assurance ontvanger.

Ook is een dynamische norm voor completeness controls onmisbaar, bovenop de CVE (Common Vulnerabilities and Exposures) en de CWE (Common Weakness Enumeration) in information security en cyber security. Het is de ontbrekende schakel voor een moderne 'online Starreveld & Frielink-typologie' als basis voor een kosteneffectieve audit. Gedragen en hosted door de auditprofessie, om de natuurlijke adviesfunctie van de individuele auditor inhoud te geven. Met up-to-date completeness controls, in opzet, bestaan en ononderbroken werking. 

Dan de bijbehorende software. Welke producten maken de aanpak kosteneffectief? Ook daar is onderscheid te maken in drie kernproducten:

  • Assessment Support: ondersteunt de auditor in de assessment van de completeness controls, waarbij de online basis wordt benaderd om te bepalen of controls ontbreken of zwak zijn.
  • Installation & Configuration: ondersteunt de klantorganisatie bij het installeren van betere completeness controls, gebaseerd op een up-to-date baseline template per branchetype.
  • Verificatie: verifieert de klantorganisatie completeness control configuration in real-time op ononderbroken werking (heartbeat mechanism).

De volgende stap is een proof of concept. Dat kan bijvoorbeeld via twee of drie show cases in een geïdentificeerde target market van ontvangers van royalties, franchise fees en fees voor het gebruik van intellectueel eigendom. Ook moet dan gekeken worden naar de positionering binnen de audit firm, als onderdeel van de client services.
Dit vraagt om een aantal samenwerkende investeringspartners: Nederlandse member firms van internationale audit firms met launching clients, die mogelijk beide software royalties kunnen ontvangen als Return On Investment. Daarnaast deelname van internationale R&D-project partners uit de academische wereld, zowel op het terrein van informatica als auditing.

'Buitenlandse academische auditors slagen niet in fundamentele samenwerking met informatici, hoezeer zij dat ook proberen.'

Daarbij heeft de boundary spanning tussen beide velden in Nederland al een kwalitatief goede basis, wat weer een aantrekkende werking heeft op internationale audit firms voor kennisproductontwikkeling. Want buitenlandse academische auditors slagen niet in fundamentele samenwerking met informatici, hoezeer zij dat ook proberen. Terwijl in Nederland het initiatief tot samenwerking ook van de informatici komt, die de stevige wetenschap van de Nederlandse controleleer kunnen erkennen. En ten slotte ondersteuning vanuit ontwikkelaars en uitgevers van software voor online training (flight simulator style) en guidance (automatic pilot style). Op het gebied van audit software is Canada wereldleider, met Europese hoofdkantoren in Nederland.

Bijeenkomst

Dit betoog, met een wat technisch karakter, is bedoeld ter overdenking: de computer heeft geen moeite met het overnemen van data processing taken, wel met taken die leiden tot verbetering van controlemaatregelen. Naast het opleiden in data science doet de internationale professie er daarom goed aan toekomstige auditors meer en meer op te leiden in control science; gebaseerd op Nederlandse controleleer methodologie en ondersteund door daarbij passende technologie.

Een eerste bespreking met R&D-project partners is inmiddels gepland door SIKS Smart Auditing (Onderzoekschool Informatie- en Kennissystemen). Datum: vrijdag 26 oktober 2018, locatie: Huize Bergen in Vught. Aan de agenda en de lijst met sprekers wordt hard gewerkt. Ook wordt samenwerking gezocht met de nieuw op te zetten NBA-werkgroep Accounttech. Heeft u interesse in deelname of R&D-samenwerking, dan hoor ik graag van u. 

Doelstelling van de R&D-project partners en de Canadese cybersecurity partners is om, naast de academische presentaties ook een bedrijfsbijeenkomst te organiseren. Doel is om Nederlandse memberfirms (eventueel met pilot cliënten) te informeren over participatie in een delegatie en daarmee de belangstelling van enkele reeds geïnteresseerde internationale financiële investeerders verder te versterken.

Philip Elsas is oprichter en director van ComputationalAuditing.com. Hij startte zijn bedrijf in 2003 in Nederland en woont en werkt sinds 2006 in Canada.

4 reacties

Peter Eimers

@Pieter @Philip
Graag met jullie eens dat er nieuwe vormen (breedte en diepte) van Assurance mogelijk zijn waardoor tailormade Assurance mogelijk is voor specifieke doelgroepen.

Ik refereerde alleen aan het misverstand inzake volledigheid opbrengstverantwoording in een reguliere jaarrekeningcontrole vanuit onze Nederlandse historie in de context van de huidige controlestandaarden.

@Philip: uitdnodiging uiteraard aanvaard!

Pieter de Kok

Super goed initiatief Philip! Ben er graag bij. Mijn mindset is; ja, prachtig 'de controlestandaarden', maar onze cliënten denken in termen van kwaliteit audit (standaarden) + meerwaarde! Dus gewoon én én, en volledigheid en opbrengstverantwoording. In het licht van NBA3.0, Accountants3.0 (Coney), lijkt mij dat de insteek die we moeten gaan volgen met elkaar. Audit Risks, Business Risks, inzichten hierin worden door iedereen gewaardeerd.

De data-technieken zijn al sinds de jaren '90 om dit in te vullen. Ik lees nog steeds dat DA audit toepassingen als 'nieuw' worden gepresenteerd. Een aantal van de tools die we nu nog steeds gebruiken (denk aan ACL.com) waren er al in de jaren 90! Ja, er is een nieuwe generatie bijgekomen, dus ik geloof helemaal in jouw mindset!

Wat tussen nu en Continuous / Real-time staat is niets meer dan 'timing' van werkzaamheden. Een spin-off is Assurance Op Maat - bijvoorbeeld Franchinemers versus Franchisegever. Technisch kan alles al. Super goed dat je aandacht vraagt voor de Nederlandse aanpak.

Philip Elsas

Beste Peter,
Op indringend advies van vooraanstaande Amerikaanse auditors is de volledigheid en de opbrengstenverantwoording geheel losgekoppeld. Het gaat hier primair over de volledigheid.

Met hen als mede-internationaliseerders is die nieuwe ARM ontwikkeld. Daarin blijft de bestaande ARM intact en behoudt geldigheid voor overstatement. Met een voorafgaand nieuw deel voor understatement, gebaseerd op de Nederlandse methodiek.

Daarmee is volgens onze medestanders de angel uit de weerstand van Amerikaanse auditors. Zij behouden wat zij hebben maar daarnaast ontstaat dus de benodigde ruimte om volledigheid een meer robuuste assurance te geven.

De groep van onze Amerikaanse medestanders noemt dit graag de equational approach (inderdaad naar de Frielink equations) voor internationalisatie en om hun eigen import te versoepelen.

Het gaat hier in deze kantlijn wat ver om dit nieuwe ARM model inhoudelijk te behandelen. Wel komt dit uitgebreid aan bod op de SIKS Smart Auditing bijeenkomst.

Graag nodig ik je dan ook meteen hier ter plekke uit om als panellist te spreken op deze bijeenkomst. We kunnen daarvoor gezamenlijk iets voorbereiden.

Peter Eimers

Beste Philip, graag met je eens dat technologie ons helpt om de volledigheid van opbrengstverantwoording te benaderen!

Past wel de nuance dat het Hollandse gedachtengoed rond dit thema voortkomt uit de tijd dat we nog geen controlestandaarden hadden en Starreveld/Frielink een normatieve visie hadden ontwikkeld waar vele accountants mee zijn opgegroeid.

Volledigheid opbrengstverantwoording is in de moderne controlestandaarden uiteraard nog steeds belangrijk, maar is niet by default belangrijker dan de andere beweringen/controledoelstellingen.

Daarbij hoort ook de aloude discussie of het gaat om de maximaal mogelijk omzet (business risk) of om de vraag dat het geld dat is ontvangen ook wordt verantwoord (audit risk). Denk bijvoorbeeld aan het boeken van een vliegticket of hotel via internet waar algoritmes achterhangen: deal or no deal...

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.