Evalueren: fouten vinden, en dan?
We maken even pas op de plaats in de reeks over het evalueren van geldsteekproeven. Want: wat als we het audit risk model (ARM) hebben toegepast? Evalueren we dan met het ontdekkingsrisico dat met de formule van het ARM (AR = IR * ICR * CAR * OR) tot stand kwam? Of hanteren we het audit risk-percentage? En mag dat wel? Zijn er regels voor?
Ferry Geertman en Hein Kloosterman
Het is een dilemma voor veel accountants. Men denkt vooraf dat de geldsteekproef (of andere substantive tests) een foutloze uitkomst geeft, maar dat is niet zo. Zijn een paar foutjes niet erg? Of gooien die de boel in de war? In column 38 'Als ik niet kan goedkeuren' geeft Paul van Batenburg een aantal tips om dit dilemma het hoofd te bieden.
Omdat het audit risk model - of nu het rekenmodel wordt gebruikt of de Bayesiaanse variant - uitgaat van een verwachting dat er in de steekproef geen fouten zullen worden gevonden, is het vinden van een fout op zijn zachtst gezegd lastig. Wij laten met een voorbeeld een aantal mogelijkheden de revue passeren.
Stel er is een populatie van € 1.000.000 en bij de controle ervan gaat men uit van een materialiteit van € 10.000. In procenten is dus de materialiteit p(kritisch) = 1 procent. Zonder reductie levert dat een geldsteekproef op van 300 euro’s (want bij 95 procent betrouwbaarheid geldt dat R = 3; daaruit volgt de steekproefomvang R / p(kritisch) = 3 / 0,01 = 300).
Schone steekproef
Risicoanalyse kan dan de volgende uitwerking krijgen. Als er geen specifiek risico verwacht is, dan is dat een 'schone steekproef' van een aantal waarnemingen waard. Vaak past men R = 2 toe; dat betekent hier dat er nog 200 gegevensgerichte waarnemingen moeten worden gedaan en 100 schone waarnemingen worden meegeteld als gevolg van het afwezig zijn van dat specifieke risico.
Als de conclusie luidt dat de kwaliteit van de interne beheersing goed is, is dat ook een 'schone steekproef' van een groot aantal waarnemingen waard; bijvoorbeeld 200 (1). Dan blijven er nog 100 gegevensgerichte waarnemingen over. En als de toepassing van cijferanalyse niet een negatieve uitkomst geeft, zou die ook nog eens een 'schone steekproef’ waard kunnen zijn (2).
Foutloos
Als de gegevensgerichte steekproef – die met dat berekende ontdekkingsrisico, zeg maar – geen fouten toont, mag men als einduitkomst nemen dat er een steekproef van in dit geval 300 elementen is getrokken die allemaal foutloos waren. De controle voldoet dan aan de eis dat als de populatie een fout ter grootte van de materialiteit - in dit geval 10.000 - bevat, de kans om dat niet te ontdekken ten hoogste 5 procent bedraagt.
Stel in dit voorbeeld dat we een fout vinden in de beperkte gegevensgerichte steekproef van 100 gegevensgerichte elementen. Dat is strijdig met het idee van die verwachte schone steekproef. Hoe kunnen we zo’n uitkomst het hoofd bieden?
Foutverwachting
Het vinden van een fout levert een foutverwachting op. In het voorbeeld: stel dat er 100 gegevensgerichte waarnemingen zijn gedaan en daarin zat een fout. Dan is de foutprojectie 1 keer het interval (dat bij die gegevensgerichte steekproef van 100 is gehanteerd). Tot zover het simpele gedeelte.
Dan het berekenen van de bovengrens. Belangrijke literatuur, Leslie, Teitlebaum en Anderson (1979), geeft aan om met het gehanteerde betrouwbaarheidspercentage, het ontdekkingsrisico dat hoort bij R = 1 in dit voorbeeld, te gaan werken. Het ontdekkingsrisico dat bij R = 1 hoort is 36,8 procent (en dus de betrouwbaarheid 63,2 procent).
Bovengrens
Allereerst de vooronderstelling, de premisse, dat het niet gecontroleerde deel foutloos zou zijn: is die stelling te handhaven? Waar moeten we nu van uitgaan? Dat het aantal waarnemingen dat uit voorinformatie ontstond en de gegevensgerichte steekproef broertjes en zusjes van elkaar zijn? Mag ik dan - in het voorbeeld - verwachten dat die niet gegevensgericht gecontroleerde steekproef twee fouten bevat omdat die twee keer zo groot is als de wel gegevensgericht gecontroleerde steekproef? En hoe bereken ik nu de bovengrens? Er zijn vijf mogelijke opties.
Optie 1: De bovengrens die wordt berekend met het ontdekkingsrisico is in het voorbeeld R(1 fout) bij een risico van 36,8 procent; dat wordt 2,1458 * J = 2,1458 * 10.000 = 21.458.
Optie 2: Om een vergelijkbare opstelling te maken en dan naar het ontdekkingsrisico van 5% te herrekenen nemen we het verwachte aantal fouten in een steekproef van 300, de niet gereduceerde steekproef, dus. Dat levert R(3 fouten) bij een risico van 5 procent; dat wordt 7,7537 * J = 7,7537 * 3.333 = 25.843. Men kan ook dit zien als een redelijke schatting van de bovengrens, gegeven de verkregen informatie.
Optie 3: Men controleert 100 elementen gegevensgericht, vindt daarin 1 fout en telt er 200 correcte elementen bij omdat men blijft steunen op de IB. De evaluatie gebeurt bij 95 procent betrouwbaarheid. Dit levert een bovengrens op van 4,7439 * 3.333 = 15.812.
Optie 4: Deze optie is als optie 1, dus men controleert 100 elementen gegevensgericht en evalueert bij 63,2 procent betrouwbaarheid maar doet alsof dat 95 procent is omdat men blijft steunen op de IB.
Optie 5: Men controleert alsnog de 200 elementen die werden 'verdiend' door te steunen op de IB, omdat men vindt dat het vinden van een fout de nul-foutenpremisse frustreert.
Schematisch zien de opties er als volgt uit:
Opties | R | Bovengrens | Steunen IB | Projectie |
Optie 1 | 2,1458 | 21.458 | Ja, impliciet | 10.000 |
Optie 2 | 7,7537 | 25.843 | Nee | 10.000 |
Optie 3 | 4,7439 | 15.812 | Ja, expliciet | 3.333 |
Optie 4 | 2,1458 | 21.458 | Ja, expliciet | 3.333 |
Optie 5 | N.v.t. | Nog niet bekend | Nee | n.v.t. |
De conclusie in alle vijf de gevallen (bij optie 5 expliciet) luidt dat nog niet kan worden goedgekeurd, omdat de materialiteit is overschreden. We zouden nog de projectie kunnen laten corrigeren. Bij de vier opties in het voorbeeld waar een bovengrens is berekend, biedt dat geen soelaas. Er zal dus extra werk moeten worden verricht om beter te kunnen schatten. Wat vinden onze lezers? Zien zij een oplossingsrichting?
Noot
(1) Sommige - niet alle - kantoren hanteren een waarde R = 1.
(2) Sommige kantoren laten bij substantive tests kiezen tussen steekproeven of cijferanalyse, maar staan niet toe dat op de betreffende deelpopulatie beide technieken worden toegepast.
Gerelateerd
Machine learning in de audit: stratificeren van bedrijfslocaties
In dit derde en laatste deel van een reeks columns over machine learning in de audit gaat het over clusteren. De auteurs laten zien hoe je met een open-source statistiekprogramma...
Machine learning in de audit: uitschieters bij vastgoedwaardering
Regressie is een vorm van machine learning met als doel het voorspellen van cijfers op basis van een aantal kenmerken. Met open-sourcesoftware kun je zonder programmeerkennis...
Machine learning in de audit: voorspellen van klantverloop
Het doel van machine learning is om voorspellingen te maken aan de hand van data. Binnen dit veld worden doorgaans drie hoofdtoepassingen onderscheiden: classificatie,...
De steekproefomvang ontmaskerd - deel 5
In vorige columns hebben we verschillende manieren besproken om tot een steekproefomvang te kunnen komen. Deze column is de laatste van de serie waarin we verschillende...
De steekproefomvang ontmaskerd - deel 4
Een accountant die gebruikmaakt van software om een steekproefomvang te berekenen, moet zeker weten dat die software dat goed doet. Daarvoor moet je de rekenmethode...