Internationalisatie van de Nederlandse controleaanpak
Wat heeft de auditor van nu nodig om moderne completeness assurance aan te kunnen bieden? Moeten we toekomstige auditors opleiden in data science of in control science? Een inkijkje in assurance nu en straks.
Philip Elsas
De Nederlandse controleaanpak geeft op gedegen wijze inhoud aan assurance op volledigheid. De toepassing op volledigheid van de opbrengstenverantwoording is wereldwijd bewezen. De bijbehorende methodologie wordt door passende technologie kosten-effectief, schaalbaar en transferable naar andere zaken dan opbrengsten. En tegelijk creëert die methodologie nieuwe hoogwaardige taken voor de auditor van vlees en bloed.
Volledigheid is belangrijk bij het uitvoeren van controles. Immers, zonder completeness assurance worden alle andere stellingnames (assertions) bij de audit ondermijnd. Want die andere stellingnames zijn dan uitsluitend van toepassing op een deelverzameling. Een deelverzameling die ook kan worden bepaald door iemand die minder goede bedoelingen heeft, een fraudeur.
Verkeerde richting
Voor completeness assurance biedthet huidige Audit Risk Model (ARM) guidance in een verkeerde richting. Zwakke of ontbrekende volledigheidscontrolemaatregelen (hoog Control Risk) worden in het model 'gecompenseerd' door grotere steekproeven of integrale controle ('verlagen' Detection Risk). Maar zwakke of ontbrekende volledigheidscontrolemaatregelen leiden tot ontbrekende data. En ontbrekende data is moeilijk of onmogelijk te ontdekken, ook niet door betere bestudering van (door een slimme fraudeur) beschikbaar gestelde data. Statistiek helpt niet. Artificial Intelligence helpt niet. Datascience helpt niet. De data is er niet en komt ook niet op magische wijze terug. Om dit te voorkomen kunnen betere of nieuwe volledigheidscontrolemaatregelen gebruikt worden.
'Zonder completeness assurance worden alle andere stellingnames (assertions) bij de audit ondermijnd.'
Waar komen die vandaan? Hierin ligt de tweespalt tussen twee methoden: de klassieke Nederlandse owner-ordered auditing en de huidige, geïnternationaliseerde Amerikaanse management-orderded auditing.
De Amerikaanse auditor mag als individuele professional geen betere controlemaatregelen adviseren, omdat hij of zij dan bij een latere audit zijn of haar zelf geadviseerde controles gaat beoordelen en dit dus niet meer onpartijdig kan doen.
Hoe lost de Nederlandse auditor dit dilemma dan op? Door wat wij kennen als de natuurlijke adviesfunctie: gefundeerd op een stevige wetenschap, ontwikkeld en gedragen door de gehele professie. Het natuurlijk advies is daarmee niet slechts het advies van een individuele professional, maar van de gehele professie. De individuele auditor is slechts de communicator daarvan.
Nodig
Wat heeft de auditor van nu nodig om moderne completeness assurance aan te kunnen bieden? Een aantal zaken. Uitgangspunt is een tweerichting Audit Risk Model (ARM), dat het bestaande model (overstatement richting) harmoniseert met de klassieke Nederlandse leer (understatement richting). Een concreet voorstel hiervoor is de afgelopen jaren uitgewerkt in samenwerking met internationale experts.
'Het natuurlijk advies is daarmee niet slechts het advies van een individuele professional, maar van de gehele professie.'
Daarnaast zijn we toe aan een nieuwe operationele vertaling van Limpergs dynamische Auditing Theory of Reasonable Expectations (Carmichael 2003, Blokdijk 1975), in de geest van de reasonable expectation doctrine, zoals die bestaat in de Engelse insurance law en de Franse contrats d'assurance. Dat principe stelt dat, wanneer zich een ambiguïteit voordoet in een assurance overeenkomst, dit opgelost wordt ten gunste van de redelijke verwachtingen van de assurance ontvanger.
Ook is een dynamische norm voor completeness controls onmisbaar, bovenop de CVE (Common Vulnerabilities and Exposures) en de CWE (Common Weakness Enumeration) in information security en cyber security. Het is de ontbrekende schakel voor een moderne 'online Starreveld & Frielink-typologie' als basis voor een kosteneffectieve audit. Gedragen en hosted door de auditprofessie, om de natuurlijke adviesfunctie van de individuele auditor inhoud te geven. Met up-to-date completeness controls, in opzet, bestaan en ononderbroken werking.
Dan de bijbehorende software. Welke producten maken de aanpak kosteneffectief? Ook daar is onderscheid te maken in drie kernproducten:
- Assessment Support: ondersteunt de auditor in de assessment van de completeness controls, waarbij de online basis wordt benaderd om te bepalen of controls ontbreken of zwak zijn.
- Installation & Configuration: ondersteunt de klantorganisatie bij het installeren van betere completeness controls, gebaseerd op een up-to-date baseline template per branchetype.
- Verificatie: verifieert de klantorganisatie completeness control configuration in real-time op ononderbroken werking (heartbeat mechanism).
De volgende stap is een proof of concept. Dat kan bijvoorbeeld via twee of drie show cases in een geïdentificeerde target market van ontvangers van royalties, franchise fees en fees voor het gebruik van intellectueel eigendom. Ook moet dan gekeken worden naar de positionering binnen de audit firm, als onderdeel van de client services.
Dit vraagt om een aantal samenwerkende investeringspartners: Nederlandse member firms van internationale audit firms met launching clients, die mogelijk beide software royalties kunnen ontvangen als Return On Investment. Daarnaast deelname van internationale R&D-project partners uit de academische wereld, zowel op het terrein van informatica als auditing.
'Buitenlandse academische auditors slagen niet in fundamentele samenwerking met informatici, hoezeer zij dat ook proberen.'
Daarbij heeft de boundary spanning tussen beide velden in Nederland al een kwalitatief goede basis, wat weer een aantrekkende werking heeft op internationale audit firms voor kennisproductontwikkeling. Want buitenlandse academische auditors slagen niet in fundamentele samenwerking met informatici, hoezeer zij dat ook proberen. Terwijl in Nederland het initiatief tot samenwerking ook van de informatici komt, die de stevige wetenschap van de Nederlandse controleleer kunnen erkennen. En ten slotte ondersteuning vanuit ontwikkelaars en uitgevers van software voor online training (flight simulator style) en guidance (automatic pilot style). Op het gebied van audit software is Canada wereldleider, met Europese hoofdkantoren in Nederland.
Bijeenkomst
Dit betoog, met een wat technisch karakter, is bedoeld ter overdenking: de computer heeft geen moeite met het overnemen van data processing taken, wel met taken die leiden tot verbetering van controlemaatregelen. Naast het opleiden in data science doet de internationale professie er daarom goed aan toekomstige auditors meer en meer op te leiden in control science; gebaseerd op Nederlandse controleleer methodologie en ondersteund door daarbij passende technologie.
Een eerste bespreking met R&D-project partners is inmiddels gepland door SIKS Smart Auditing (Onderzoekschool Informatie- en Kennissystemen). Datum: vrijdag 26 oktober 2018, locatie: Huize Bergen in Vught. Aan de agenda en de lijst met sprekers wordt hard gewerkt. Ook wordt samenwerking gezocht met de nieuw op te zetten NBA-werkgroep Accounttech. Heeft u interesse in deelname of R&D-samenwerking, dan hoor ik graag van u.
Doelstelling van de R&D-project partners en de Canadese cybersecurity partners is om, naast de academische presentaties ook een bedrijfsbijeenkomst te organiseren. Doel is om Nederlandse memberfirms (eventueel met pilot cliënten) te informeren over participatie in een delegatie en daarmee de belangstelling van enkele reeds geïnteresseerde internationale financiële investeerders verder te versterken.