Pieter de Kok

Het is weer voorjaar, wellicht is dat de oorzaak, maar ik krijg de 'auditkriebels' van de recente bijdragen. Tijd dus voor een vraag vanuit een data driven auditpraktijk. "Waarom discussiëren we over standaardisatie van ons vak, maar niet over verrijking van ons vak?"

In onze overzichtelijke auditpraktijk probeer ik samen met mijn team invulling te geven aan deze vraag. Maar we worstelen een beetje met de toonzetting om ons heen. Wel een Arenagroep, maar nog niet echt een vernieuwend speelveld. De focus ligt - blijft liggen - op het  onderwerp 'kwaliteit', van een assurance-product dat al in de jaren tachtig en negentig volledig is uitontwikkeld. Zoveel energie in een product waarvan de levenscyclus toch echt tot zijn einde kan en moet komen.

Als auditteam hebben wij recent met elkaar vijf heldere doelstellingen geformuleerd die wij stap voor stap willen zetten om 'assurance-verrijking' te realiseren:

1. Assurance Op Elk Moment kunnen afgeven.
2. Assurance Op Maat - afhankelijk van de assurancevraag en de vraagsteller - kunnen afgeven.
3. Artificial Intelligence (AI), robotisering en algoritmes  maximaal integreren.
4. Kennisdeling met ondernemingen (onze audit cliënten) rondom het vraagstuk interne beheersing verbreden.
5. Open staan voor joined assurance; met andere partijen in de keten gezamenlijk verantwoordelijkheid nemen.

Het fundament is maximale inzet van (advanced) data-analyse, process mining en datavisualisatie. Dit laatste ter ondersteuning van het belangrijkste aspect van ons vak: het overdragen van bevindingen, kennis en ervaringen: de people factor van ons beroep.

We hebben dit als volgt gevisualiseerd:

Ondergrens, bovengrens

Wij hanteren een denkmodel waarin we virtueel een getal '3' hebben gedefinieerd. Elke werkstap, elke analyse, zien wij als een bouwsteen en moet bijdragen aan de optelsom van '3'.

De relatieve omvang van een 'bouwsteen' (zie visualisatie) staat voor de mate waarin die bouwsteen bijdraagt in de opbouw naar '3'. U herkent de nog breed geldende 1.0-setting.

In onze 3.0-setting kiezen we voor een data driven insteek, gebaseerd op:

• beoordeling opzet en bestaan van de relevante interne beheersingsmaatregelen en activiteiten;
• uitvoeren van deelwaarnemingen rondom het toetsen van de juistheid van input data; en
• het integraal toetsten van data populaties.

Dit laatste doen we op basis van:

• het integraal toetsen van transacties aan business rules (e.g. juistheid van toepassingen kortingen rondom toetsten juistheid van prijscomponent);
• het integraal toetsen van transacties aan normen (e.g. juistheid van rente laten rondom leningen portfolio's);
• het opbouwen van trend- en uitzonderingsanalyses op basis van ook open data en verzamelde data uit voorgaande boekjaren;
• het opbouwen van BETA-formules (verbanden) en detailanalyses op verstoringen.

Met deze insteek komen we ook op '3' uit.  Maar we weten eigenlijk niet of dit zo is. Het is geen geheim dat ik zelf meer 'assurance' toedicht aan een data driven insteek, dan aan de nog mateloos populaire systeemgerichte benadering.

Niemand die het antwoord denk ik echt weet. Wellicht de statistici onder ons. Of de Foundation for Auditing Research, het 'accountancylab'. Het is een denkmodel. Maar wanneer is kwaliteit écht kwaliteit en wie heeft die wijsheid?

Elk moment

De dynamiek van de 1.0-setting volgt de klassieke paden van de interim in het najaar en de afronding van het klassieke gegevensgerichte deel rondom de jaarrekening in het voorjaar, waarbij sommige teams eind van de winter al klaar zijn. Hoge drukpan-audits.

'Het is geen geheim dat ik zelf meer 'assurance' toedicht aan een data driven insteek, dan aan de nog mateloos populaire systeemgerichte benadering.'

'Continu' staat voor het nu, vandaag of morgen afgeven van assurance. En wel assurance zoals we nu ook assurance afgeven. Het fenomeen jaarrekening heb ik een hele lang tijd geleden al eens 'weggeschreven'.  Het gaat om assurance over een financiële cijferopstelling.  Dat mag ook in 3D of in een prachtige infographic.

'Continu' vereist ook een continu auditproces dat synchroon loopt met het interne beheersings- en rapportageproces van de ondernemingen die we controleren. Nog belangrijker, het vereist een continu proces van dataontsluiting, data-validatie en -analyse in een DataFactory. In Happy Land werkt de DataFactory onder beheer van de cliënt en beoordelen wij, als assurance professionals, alleen het productieproces. De kans is echter groot dat we de Fabriek nog eerst zelf verder zullen moeten laten werken, het goede voorbeeld geven.

Op maat

Assurance op maat: afhankelijk van de vraagsteller, gefaciliteerd door een assurance platform waarop cliënten, maar ook andere stakeholders, hun assurancevraag beantwoord zien worden.

De cliënt wordt door de fiscus getoetst? De fiscus stelt vragen bij transfer pricing, juistheid van prijzen, volledigheid van opbrengstverantwoording? Met toestemming van de cliënt helpen wij de fiscus op weg. De fiscus logt in op een real-time assurance-platform dat onderdeel is van de DataFactory.

Zonder veel fantasie kunnen we het aantal 'assurance op maat' vragen uitbreiden met minimaal honderd andere voorbeelden.

Integratie van AI

In 1992 en 1993 las ik de eerste artikelen over Artificial Intelligence in de audit.  Ik was student en Hans Verkruijsse was mijn held. In 1996 verschenen de eerste studierapporten.  Stap voor stap zullen de zelflerende algoritmes de transacties van onze auditcliënten continu monitoren. Het zou mij niet verbazen dat deze algoritmes zijn gemaakt door accountants 'specialized' in algoritmes.

Terug naar standaardisatie, voordat ik 'maximale kennisdeling' nog toelicht. Ik ben groot voorstander van standaardisatie in de controle, van alles wat de weg vrij maakt naar maximale kennisdeling. En die weg is vrij concreet, er valt namelijk heel wat te standaardiseren.

• Testen van ITGC? Een datascript dat de feitelijke toegang, rechten en rollen toetst aan geformuleerde normen, uit te breiden naar andere ITGC-onderwerpen zoals change management. Wie 'changed' wat, wanneer en waarom? Eenvoudig te standaardiseren per server-/applicatieomgeving.
• Testen van application controls? Een datascript met hierin de vertaalslag tussen de belangrijkste business rules die in de applicaties 'bestaan' en de werking toetsen aan de onderliggende datapopulaties? Inzicht in Wat, Wanneer rondom Wat Niet Zou Mogen Kunnen, maar Toch Gebeurt? Van creditnota's tot retours. Van dubbele betalingen tot de te hoge kortingen. Eenvoudig te standaardiseren per IT-systeem.
• Testen van de werking van interne beheersingsmaatregelen in processen, op transactieniveau? Eenvoudig te standaardiseren in process mining scripts. Eventlogs zitten in de IT-systemen.
• Initiële cijferbeoordelingen, richting geven aan de controle? Eenvoudig te standaardiseren. COS 310-, COS 315-datascripts over verschillende IT systemen heen.
• Signalen detecteren voor frauderisico's? Naast het betere denkwerk vooraf eenvoudig te standaardiseren in COS 240 datascripts, met hierin alle fraude overwegingen verwerkt in 'IF THEN ELSE'- en 'SHOW ME'-vragen.

Na deze standaarden gaan we posten verder controleren: trendanalyses, totaalverbandcontroles, cijferanalyses, heel 'op maat', goed over nagedacht, audit risk model in volle werking. Wellicht ook eenvoudig te st…

Maximale kennisdeling

Wat ons vak zo mooi maakt, is de kans om van betekenis te zijn, om kennis over te dragen. Dat aspect valt nooit en te nimmer te standaardiseren. We hebben de data, we kennen de IT-systemen, we weten wie die stakeholders zijn, we weten wat de zorgpunten bij onze cliënten zijn. Elke cliënt is uniek als het gaat om de invulling van het vraagstuk interne beheersing (in control).  In mijn omgeving varieert dit van maximaal 'in control' tot het besef dat grote verbeterstappen noodzakelijk zijn.

'Wat ons vak zo mooi maakt, is de kans om van betekenis te zijn, om kennis over te dragen.'

Dus als we assurance afgeven bij de overweging 'volledigheid van opbrengstverantwoording', waarom dit niet direct combineren met een scherpe analyse van de nettomarge, vanuit invalshoeken die de ondernemer nog niet heeft? Inzichten in resultaten per product, regio, afnemer, leverancier, medewerker, verkoopkanaal. Plotten, scatteren, visualiseren, maar vooral delen, verrijken en bespreken. U heeft de data. U heeft de kennis.

Als we wel iets formeels zeggen over de continuïteit van de IT-systemen, waarom dan geen heldere analyse dat in een aantal systemen bijvoorbeeld te veel application controls aan staan die controle op controle stapelen? Controls die het interne proces rondom verwerking van transacties blokkeren. Een kwalitatieve benadering, ondersteund door de slimme inzet van process mining.

Joined

In de keten, straks wellicht ondersteund door blockchain, kunnen we assurance afgeven in samenwerking met andere auditors en/of professionals. Denk aan de agroketens. Van Koe3.0 in de wei, via mestbeweging, melkbeweging, tot de zuivelproducenten. Denk aan  het traject van schadeverzekeraars, naar schadebrokers, naar schade-expertisebedrijven.  Van premies naar schade-uitkeringen.

'Hoe reëel dichtbij is het dat we praten over 'assurance door de keten heen'?'

Voorbeelden van geïntegreerde datastromen, gekoppeld aan het fysieke, logistieke events, die continue gevolgd kunnen worden. Hoe reëel dichtbij is het dat we praten over 'assurance door de keten heen'?

Ik begrijp dat de Arenadebatten dit voorjaar losbarsten. Mooie gelegenheid om de toonzetting wat positiever en innovatiever te maken.