Ferry Geertman en Hein Kloosterman

De oktobereditie van het Maandblad voor Accountancy en Bedrijfseconomie (MAB) had als thema data-analyse. Een heel MAB vol heel goede artikelen. Maar wat data-analyse nou is, en wat data-analyse aan controle-informatie kan toevoegen: daarover ging deze editie niet.

De oktobereditie van het MAB gaf hoop, want de poging van de stuurgroep om op het symposium 2015 data-analyse binnen een auditmethodologie te plaatsen heeft naar ons idee nog niet tot schrifturen van grote schoonheid geleid.

Met de column over data-analyse en fraudeonderzoek hebben wij een poging gedaan structuur in data-analyse aan te brengen. Komen we op terug. Paul van Batenburg heeft mild provocerend GEAUZOMOFO (afkorting voor 'geautomatiseerd zoeken naar mogelijke fouten') geïntroduceerd. Daar kwamen wij op terug in de column over de vooraf bedachte risico’s inzake de pgb's (persoonsgebonden budget).

De hoop was dus gevestigd op de bijdragen in het MAB. We hebben in die bijdragen gezocht naar een (holistische) beschrijving van data-analyse. Niet gevonden. Het lijkt een voor vakgenoten evident begrip te zijn.

Daarna keken we of en zo ja, welke auditmethodologie is gehanteerd. Die vonden we ook niet. Althans niet expliciet. Daarom zijn we gaan zoeken naar de rol die de auteurs toedichten aan de data-analyses in hun artikelen; daarin was wel een rode draad te ontdekken.

Die draad was de beoordeling van de interne beheersing. Process mining levert een bijdrage aan het zoeken naar inconsistenties in de (primaire) vastleggingen van de events (transacties, deeltransacties). Continuous monitoring (een pleonasme, omdat monitoring eigenlijk continue directe waarneming betekent) heeft vanuit een iets ander perspectief dezelfde doelstelling: de kwaliteit van de interne beheersing beoordelen.

De risicobenadering met behulp van de waardenkringloop zien we voor het gemak als een variant op process mining. Voor de duidelijkheid: volgens ons zijn verbandscontroles naar hun aard organisatiegerichte controlemaatregelen. De BRA-benadering (business risk analysis) is niet consistent met het audit risk model, omdat de BRA-benadering zoekt naar waar het fout kan gaan en het audit risk model zoekt naar (voor-)informatie over hoe goed (deel)populaties zijn.

Zoals gezegd - en uit onze zoektocht in de artikelen in het MAB kan worden afgeleid - hadden we twee hoofdlijnen verwacht. Ten eerste wat moeten we onder data-analyse verstaan. Ten tweede hoe de evidence die eruit voortvloeit kan worden gebruikt bij het bepalen van noodzakelijke vervolgstappen. Beide komen niet uit de verf.

Onze vraag aan de auteurs - of andere lezers - is nu: levert u de 'missende paragraaf' of moeten wij dat doen?