Statistical auditing (94)

Fraudeonderzoek en steekproeven

Wat kenmerkt een fraudeonderzoek? Hoe moet men zo'n onderzoek, methodologisch gezien, aanpakken? Kortom: wat wil men bewijzen? Dat de desbetreffende organisatie vast en zeker belazerd is of zelf de boel belazert?

Als een accountant wil vaststellen dat hij, met een aan zekerheid grenzende waarschijnlijkheid, kan afkeuren, heeft hij daarvoor dan een methodologie voorhanden?
Gangbaar bij een financiële controle is de methodologie om het gegevensgerichte deel van de controle als een goedkeuringsonderzoek in te richten. De uitkomst kan dan zijn "het is zonder meer mogelijk om goed te keuren" (groen) of "het is mogelijk om na correctie van de geprojecteerde fout goed te keuren” (oranje) of "er is uitgebreid aanvullend onderzoek nodig om eventueel te kunnen goedkeuren" (rood).
De kleuren die ik weergaf sluiten aan bij de “verkeerslichten” in de columns van Paul van Batenburg.
Minder gangbaar is het om het gegevensgerichte deel van een financiële controle niet als goedkeuringsonderzoek in te richten, maar als afkeuringsonderzoek. Misschien klinkt "afkeuringsonderzoek" wat vreemd, maar een afkeuringsonderzoek is in wezen het spiegelbeeld van een goedkeuringsonderzoek. Waar in het goedkeuringsonderzoek de maximale fout de materialiteit niet mag overschrijden om te kunnen goedkeuren, moet bij een afkeuringsonderzoek de minimale fout groter zijn dan de materialiteit om te kunnen concluderen tot afkeuring. Dat is onder meer terug te vinden bij de aanpak van de Europese Commissie: die keurt af als de minimale fout groter is dan 2 procent.

Deze manier van redeneren sluit aan bij wat in strafrechtelijke procedures gangbaar is: het afkeuringsmodel presenteert de omvang van de (mogelijke) fraude met een aan zekerheid grenzende waarschijnlijkheid.
Zoals gezegd gaat deze column over het gegevensgerichte deel van een controle en speelt zich dus af in een administratieve context. De IST-posities zijn dan de boekingen in de financiële administratie. De SOLL-posities moeten afgeleid worden uit een combinatie van primaire vastleggingen, uitkomsten van interviews, gegevens van derden et cetera.
Ik presenteer om te kunnen vergelijken beide methoden. Eerst de meest gebruikte methode, het goedkeuringsonderzoek, en daarna het afkeuringsonderzoek. Die laatste methode vind ik de meest geschikte methode als er sprake is van (het gegevensgerichte deel van) een fraudeonderzoek.

Goedkeuringsonderzoek

Deze column gaat over statistical auditing. Daarom ga ik ervan uit dat er een (gegevensgerichte) geldsteekproef is getrokken. Als de onderzoeker de kleinst mogelijke steekproef wil toepassen om te kunnen goedkeuren, gaat hij uit van een betrouwbaarheid van 95 procent en staat hij geen fouten toe in de steekproef, gegeven de onnauwkeurigheid (toegelaten afwijking) van het onderzoek. Elk element van de onderzochte populatie en dus ook elk element van de steekproef is a priori 'niet goed' en moet door onderzoek tot 'goed' worden opgewaardeerd.

De onderzoeker kan pas dan goedkeuren als hij zoveel goede elementen heeft gezien dat de maximale fout in de populatie kleiner is geworden dan de goedkeuringsgrens (de uitvoeringsmaterialiteit of de materialiteit). De onderzoeker heeft dan zoveel elementen tot 'goed' opgewaardeerd dat daardoor de maximale fout net de materialiteit onderschrijdt. Dus: de slechtste populatie is dan nog net goed genoeg.

Afkeuringsonderzoek

Ik ga (weer) uit van een (gegevensgerichte) geldsteekproef. De onderzoeker gebruikt (weer) een combinatie van betrouwbaarheid en toegelaten afwijking. Elk element van de onderzochte populatie en dus ook elk element van de steekproef is a priori 'niet fout' en moet door onderzoek tot 'fout' worden opgewaardeerd. Dit is het eerste deel van het spiegelbeeld.
Om het spiegelbeeld af te maken bij dit afkeuringsonderzoek: de onderzoeker kan pas dan afkeuren als de minimale fout in de populatie groter is dan de afkeuringsgrens (de uitvoeringsmaterialiteit of de materialiteit). De onderzoeker heeft dan zoveel, a priori 'niet foute' elementen tot 'fout' opgewaardeerd dat daardoor de minimale fout net de materialiteit overschrijdt. Dus: de 'beste' populatie is nog net te slecht.
Misschien overtollig: voldoende bewijs leveren dat er (nog niet) kan worden goedgekeurd is dus niet hetzelfde als afkeuren.
En net zo overtollig: voldoende bewijs leveren dat er (nog niet) kan worden afgekeurd is niet hetzelfde als goedkeuren.
Even een plaatje (met dank aan Paul van Batenburg), met toelichting, dat beide methoden illustreert.

Statistical auditing (94) afbeelding 900x590px

In dit plaatje zijn drie kritische plaatsen aangegeven. De rode lijn geeft de geprojecteerde of meest waarschijnlijke fout aan. De groene lijn geeft maximale fout aan (rechts ervan is de oppervlakte onder de kansverdeling van fouten in een populatie de kans op ten onrechte goedkeuren). De gele lijn geeft de minimale fout aan (links ervan is de oppervlakte onder de kansverdeling van fouten in een populatie de kans op ten onrechte afkeuren).

Afkeuringsonderzoek

Ik heb in deze column de wil om te kunnen afkeuren als drijfveer voor een fraudeonderzoek omschreven. Het model van een afkeuringsonderzoek zoals ik dat schetste is het spiegelbeeld van het model van een goedkeuringsonderzoek. Het voordeel van het afkeuringsmodel is dat de omvang van de (mogelijke) fraude met een aan zekerheid grenzende waarschijnlijkheid kan worden gepresenteerd. Dit is een mate van zekerheid die past bij strafrechtelijke onderzoeken.
Anders (gedeeltelijk in het Engels) gezegd:

  • Een goedkeuringsonderzoek heeft als uitgangspunt: Guilty until proven innocent.
  • Een afkeuringsonderzoek heeft als uitgangspunt: Innocent until proven guilty.

Hein Kloosterman RE RA, gepensioneerd adviseur IT-audit en Statistical Audit. Lid van de Stuurgroep Statistical Auditing.

Gerelateerd

10 reacties

Jan Janssen

@Hein Kloosterman
"En geef nu maar eens een methode met risicogericht controleren die op dezelfde manier de mate van zekerheid aangeeft." >> Dat is inderdaad de makke van alles wat geen statistische steekproef is. De verkregen zekerheid is niet kwantificeerbaar en je kunt er niet omheen om een enorm langdradig memorandum te schrijven waarin je uitlegt waarom je vindt dat je risicogerichte werkzaamheden toch toereikend waren. Blijft echter een lastig verhaal, veel oordeelsvorming, veel mitsen en maren en je legt je hoofd op het spreekwoordelijke hakblok. Dit in tegenstelling tot een correct uitgevoerde steekproef waarbij je kunt stellen 'ik heb 100 transacties nagelopen, niks bijzonders geconstateerd' en je bent klaar.
Omgekeerd... durf ik de stelling wel aan dat áls er enige frauduleuze transacties in een heel grote populatie zijn verscholen, de waarschijnlijkheid groter is dat deze met 2 uur deskundig risico-gericht grasduinen boven water komen dan met 2 uur een steekproef uitvoeren.

Hein Kloosterman

@Jan Janssen
Kunt u mij uitleggen wat de fraudedriehoek toevoegt aan de methodologie op zich?
Immers die driehoek is vaak meer verklarend achteraf dan dat die de vergelijking van Ist met Soll op voorhand ondersteund?

Hein Kloosterman

@Ron Heinen
Was de wereld maar zo simpel. Statistiek houdt zich bezig met het kwantificeren van onzekerheden. Daarbij gebruikt statistiek wiskunde.
De juridische wereld is gebaseerd op logica; dat zou je een deelgebied van wiskunde kunnen noemen.
Als een wet is gebaseerd op logica zouden twistpunten dat ook moeten zijn. In de praktijk is het vaak zo dat bij twistpunten de logica vaak plaats moet maken voor retoriek. Dat betekent dus dat jouw hiërarchie niet (altijd) klopt.
@ Jan Janssen.
Altijd weer die homogeniteit. En die voorliefde voor risicogericht koekeloeren.
In column heb ik weergegeven dat het uitgangspunt van een fraudeonderzoek zou kunnen zijn dat alle elementen wel eens fout zouden kunnen zijn en dat je bewijs wilt leveren dat de populatie aan de eis voldoet dat de minimale fout die erin zit de materialiteit (in het geval van afkeuren) overschrijdt.
In deze zin is er sprake van a priori homogeniteit. En geef nu maar eens een methode met risicogericht controleren die op dezelfde manier de mate van zekerheid aangeeft.

Jan Janssen

Korte aanvulling: de welbekende fraude-driehoek: druk/gelegenheid/rationalisatie.

De waarschijnlijkheid van fraude is bij de ene transactie hoger dan bij de andere transactie.

Jan Janssen

Een stapje terug... Is een van de randvoorwaarden voor het kunnen/mogen trekken van conclusies uit een steekproef dat de steekproef een homogene populatie is? In de context van fraude: een populatie waarbij de fraudekans voor elke euro (ongeveer) even groot is? Gaat dit in de praktijk wel op, is de waarschijnlijkheid van fraude bij de ene transactie (transactie A: contante betaling, op een zondagavond om 23u, door de controller in Russische Roebel met omschrijving 'wederdienst zoals besproken') niet véél groter dan bij de andere transactie (transactie b: reguliere inkoop met 3-way-match).
Lenen steekproeven zodoende wel voor een fraude-onderzoek? Is het niet veel effectiever om risico-gericht transactie-a-achtige transacties onder de loep te nemen?

Natuurlijk kan men stellen, 'maar een steekproef is statistisch', deelwaarnemingen niet, maar dan wil ik graag de (volgens mij) homogene-populatie-randvoorwaarde benadrukken: Dat je 100 nette 3-way-match-transacties naloopt en daar natuurlijk niets 'vindt', waardoor de steekproef groen licht geeft, wil niet zeggen dat er geen dingen gebeuren die het daglicht niet verdragen, dingen die met een risico-gerichte benadering misschien in een halfuurtje voor het daglicht komen.

Ron Heinen

@Hein Kloosterman: Om toelichting te geven op de eerdere reacties op dit artikel en als antwoord op je eerdere vraag kunnen we deze situatie analyseren met de onderstaande wetenschappelijke specificatie hierarchie:

{Wiskunde{Wetgeving{Financieen}}}

Hierin is de Wiskunde als absolute kennis het (eeuwige) fundament van Wetgeving.

Als er een zogenaamd bewijs in de rechtszaal is opgevoerd dat strijdig is met de wiskunde dan zal een goede rechter dit bewijs niet als rechtmatig bewijs accepteren.

Bewijs moet juridisch en wiskundig (bijvoorbeeld statistisch) standhouden in de rechtszaal.

In de beschrijving van het door mij eerder gerefereerde "Audit Analytics: Data Science for the Accounting Profession" kun je bijvoorbeeld lezen dat "...the book demonstrates how to render an audit opinion that is legally and statistically defensible..."

Ron Heinen

@Hein Kloosterman: Ik heb geen kritiek. Ik ben het eens met het principe "Innocent until proven guilty". Deze argumenten houden ook stand in de rechtszaal.

Achtergrond info dat de wiskunde het fundament vormt voor alle wetenschappelijke disciplines is bijvoorbeeld te vinden in Map-of-Science op https://math4sci.com.

Hein Kloosterman

@Paul
Dank!!
@ Ron Heinen
Kunt u schrijven wat u bedoelt? Als u kritiek heeft op mijn stellingen: noem die kritiek.

Ron Heinen

Wiskunde (en dus ook statistiek) is absolute kennis.

Dit betekent dat het over tientallen jaren even geldig zal zijn als nu.

Een mooie uitleg hiervan is gegeven in de filosofie van de wetenschap, zie bijvoorbeeld Lecture 2 op

https://www.youtube.com/channel/UC7Tb7zZldhJfxRCxJY52uMg

Dus dezelfde statistiek is nog steeds geldig als de gehele accountancy over tientallen jaren volledig anders ingericht zijn, bijvoorbeeld gebaseerd op data science.

Paul van Batenburg

Beste Hein:
dank je wel voor deze en al je vorige columns. Altijd bereid de discussie op te rakelen, toch?
Wie meer wil lezen van Hein kan de grotendeels door hem geredigeerde bundel met reeds verschenen columns downloaden via de site van het Limperg Instituut: http://limperginstituut.nl/?media_dl=1001

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.