Ontwikkelingen op het gebied van IT in de accountantscontrole

Interview: Brigitte Beugelaar

Waar beweegt het beroep zich naartoe?

Voor een optimale inzet van IT in de audit is het van belang dat de IT-auditor naadloos geïntegreerd in het controleteam opereert. Het betreft hier zowel de audit van IT (toetsen van opzet, bestaan en werking van algemene beheersingsmaatregelen in de IT-omgeving en van specifieke IT application controls) als de audit met IT. Deze laatste behelst de inzet van data-analyse en tooling in het controleproces. Deze tooling helpt ook bij het opzetten van de grafische presentatie van controleresultaten met behulp van bijvoorbeeld een Qlikview-dashboard naar diverse stakeholders. Hierbij valt nog veel te winnen in de wijze waarop controleresultaten inzichtelijk gemaakt worden voor de gecontroleerde organisatie.

De inzet van data-analyse vormt tegelijkertijd ook een uitdaging waar het gaat om de interpretatie van de resultaten. Wat zien we nu en wat betekent het? Hoe meer data beschikbaar komen voor de analyse, des te meer nieuwe vragen dit kan oproepen.

Een van de lessen bij internationale controleklanten is dat de data-analyses lastig zijn te standaardiseren en/of industrialiseren voor grote internationale bedrijven. Het begint bij het stellen van de juiste en relevante vragen bij uitvraag van de data: wat wil ik weten en wat levert het op?

Stap twee is dan het verkrijgen van de data, bijvoorbeeld door inzet van gespecialiseerde data-analyseteams waardoor dit ook efficiënt kan plaatsvinden op een centrale locatie.

Vervolgens start de fase van het op een juiste wijze interpreteren van de ontvangen data. Hier kan de analogie met het pellen van een ui op losgelaten worden. Na het afpellen van de eerste schil is er een tweede schil, etc. Ook bij de analyse van de data moet je bij elke uitkomst van de analyse de vraag stellen: ‘So what?’

Door inzet van data-analyse worden de uitkomsten van de audit meer robuust, relevant en inzichtvol voor opdrachtgevers en management.

Wat zijn de veranderingen in het beroep?

Ik zie vanuit de regelgeving en wetgevers een toename in eisen. Hierdoor kan een nieuwe verwachtingskloof ontstaan tussen maatschappelijk verkeer en de beroepsgroep. De vraag die dan opkomt is of en hoe we deze kloof toereikend gaan dichten.

Gelet op de beschikbaarheid van de data verwacht de klant juist dat de accountant hier meer mee doet en zaken (tijdiger) signaleert. De klant verwacht meer kwaliteit juist doordat we de data hebben.

Daarnaast zie ik dat de concurrentie zal toenemen binnen het beroep. Er zijn nieuwe innovatieve partijen die de markt veroveren op dit terrein, bijvoorbeeld softwarebedrijven die accountants in dienst nemen om de controle geautomatiseerd uit te voeren.

Verder zullen in de samenstelling van de controleteams andere disciplines nodig zijn, waarbij geldt dat zelfs binnen de groep van IT-auditors onderscheid gemaakt moet worden tussen inzet van diverse specialismen zoals cybersecurity, datacenterbeveiliging en data-analyse.

Zijn er grote verschillen tussen landen?

Een aantal landen loopt sterk voorop zoals het Verenigd Koninkrijk, Nederland en Ierland. Dit wordt sterk gedreven door roulatieverplichtingen vanuit de regelgeving in Nederland en door concurrentie in het Verenigd Koninkrijk en Ierland. De Duitsers, Fransen en Amerikanen zijn nog weinig vernieuwend in hun controleaanpak. Daarbij geldt dat het beroep vanuit zichzelf niet erg vernieuwend is.

Vanuit de Verenigde Staten hoor ik wel eens geluiden die duiden op een controleaanpak die volledig geënt is op het uitvoeren van gegevensgerichte werkzaamheden. Dit wordt ingegeven door de verwachting dat control exceptions en control failures een systeemgerichte controleaanpak niet effectief en inefficiënt maken. De aanname is dan (impliciet of expliciet) dat er toch niet kan worden gesteund op maatregelen van interne controle, dus dan schiet men direct maar richting een gegevensgerichte aanpak.

Een volkomen controle door data-analyse behoort wellicht weer tot de mogelijkheden. Je kunt je daarbij afvragen of we daarmee terugkeren naar de bron van ons beroep: het eigenhandig opstellen van cijferoverzichten en deze vergelijken met de verantwoording die door de klant is opgesteld.

Is een cultuurverandering of mindshift nodig?

Ja, deze is zeker nodig. Ik zie al wel de nodige beweging, maar we zijn er nog lang niet.

Inzet van data-analyse vraagt om een kritische auditattitude: nadenken over wat je exact wilt bereiken met de analyse. Het begint met het stellen van de juiste vragen, goed luisteren en dan doorvragen. Ook moet de angst worden weggenomen voor het vinden van verschillen naar aanleiding van de analyse en voor het uitzoeken hiervan. De big picture moet hierbij in het oog gehouden worden, alsmede de controletolerantie. Niet elk verschil is direct een fout. Daarnaast dient vanuit een controleperspectief naar de data gekeken te worden.

Beschikken over 100 procent van de data van de klant wil nog niet zeggen dat er ook 100 procent assurance gegeven wordt dat deze gegevens compleet en juist zijn. Dit is afhankelijk van door welke bril je naar de data kijkt. De materialiteitsgrens dient meegenomen te worden in de data-analyse. Stratificeer de gegevens voordat je begint met het uitvoeren van analyses.

Dit geldt ook voor de uitkomsten van de gegevensanalyse. Wat zie je en wat had je verwacht te zien (vanuit de initiële vraagstelling)? Waartoe leiden de inzichten? Opnieuw kan hier de analogie met het pellen van een ui worden getrokken, maar dan wellicht met de bijbehorende tranen. Dit kan dan leiden tot inzichten in procesverbeteringen voor de klant.

De ingezette weg van industrialisatie en standaardisatie van data-analysemethodieken en -tooling kan ertoe leiden dat er (opnieuw) een commodity ontstaat waarbij er geen aandacht is voor toegevoegde waarde naar klanten. Dit veroorzaakt verdere prijsdruk, want niemand wil voor een commodity betalen. Een schoolvoorbeeld van een bedrijf dat wel een prijs kan vragen voor zijn producten op basis van klantwaarde is Apple. Zij zijn in staat om voor een commodity, namelijk een telefoon, een significant hogere prijs te vragen dan hun concurrenten. Dit omdat de klanten een toegevoegde waarde ervaren bij Apple en bereid zijn daarvoor te betalen.

Hoe zien de auditteams van de toekomst eruit?

In elk geval zijn deze multidisciplinair samengesteld met subject matter experts. Dit is nodig omdat de complexiteit en de verwachtingen toenemen, alsmede de regeldruk. Voor de aftekenend accountant geldt de ongedeelde verantwoordelijkheid voor de financial audit. Echter, teneinde deze verantwoordelijkheid te kunnen dragen heeft deze accountant minimale kennis nodig. Hij zal zelfstandig kennis moeten nemen van de werkzaamheden van de IT-auditor. Dit betreft zowel de planning en scoping van de werkzaamheden als een begrip van hoe de werkzaamheden zijn uitgevoerd, wat de resultaten daarvan zijn en welke conclusies daaruit kunnen worden getrokken. Een naadloos geïntegreerde IT-audit in de jaarrekeningcontrole vereist meer dan uitstekende communicatievaardigheden van de IT-auditor naar zijn collega’s.