Inleiding

De accountant dient (NV COS 315.18) inzicht te verwerven in het voor financiële verslaggeving relevante informatiesysteem, met inbegrip van de daarop betrekking hebbende bedrijfsprocessen, met inbegrip van onder meer:

• die transactiestromen in het kader van de activiteiten van de entiteit die significant zijn voor de financiële overzichten; en
• de procedures binnen zowel de informatietechnologie als de handmatige systemen, waardoor de transacties tot stand worden gebracht, vastgelegd, verwerkt, voor zover noodzakelijk gecorrigeerd, overgenomen in het grootboek en waarover in de financiële overzichten wordt gerapporteerd.

Voor de risico-inschattingswerkzaamheden kan de accountant verzoeken om inlichtingen, het doen van cijferanalyses en/of het verrichten van observaties en inspecties. Als onderdeel van deze werkzaamheden kun je auditsoftwaretoepassingen gebruiken.

Bijna alle entiteiten maken gebruik van informatietechnologie, namelijk een financiële administratie om hun transacties vast te leggen. Het verkrijgen van financiële data in elektronische vorm en het analyseren hiervan met behulp van auditsoftwaretoepassingen behoort dus tot de mogelijkheden, zeker als die data die daarvoor benodigd zijn vrij eenvoudig zijn te downloaden in de vorm van de XML Auditfile en hierbij gestandaardiseerde analyses beschikbaar zijn.

Dit artikel gaat in op het gebruik van de XML Auditfile als onderdeel van de risico-inschattingswerkzaamheden van de accountant bij een jaarrekeningcontrole.

XML Auditfile

In het bedrijfsleven is een groot scala aan softwarepakketten voor het voeren van de financiële administratie in gebruik. Ieder pakket biedt in meerdere of mindere mate de mogelijkheid om overzichten van journaalboekingen te exporteren. De formaten waarin gegevens geëxporteerd kunnen worden, variëren echter sterk per softwarepakket, waardoor bij de uitwisseling van deze gegevens vaak conversie vereist is.

Om de uitwisseling van veelgebruikte gegevens uit de grootboekadministratie van ondernemers te vergemakkelijken heeft het XML-platform, een samenwerking van de Belastingdienst, de SRA (samenwerkende registeraccountants & accountants-administratieconsulenten) en softwareleveranciers, XML Auditfile ontwikkeld. Dit is een standaard-bestandsformaat waarin gegevens uit de grootboekadministratie kunnen worden opgeslagen. De eerste versie (1999) van deze standaard was de Auditfile Financieel (ADF), een op ASCII, fixed length gebaseerd bestandsformaat. Op basis van deze standaard heeft het XML-platform een vernieuwde standaard ontwikkeld: de XML Auditfile Financieel (XAF), welke sinds 2003 beschikbaar is.

De XML Auditfile Financieel bevat de volgende gegevens:

• Header: algemene gegevens (bedrijfsnaam, boekjaar, datum, valuta, etc.) en controletotalen;
• Grootboekrekeningen: overzicht van grootboekrekeningen, eventueel met leadcode;
• Grootboekmutaties: overzicht van alle grootboektransacties, onderverdeeld naar dagboek;
• Stamgegevens (optioneel): overzicht van alle debiteuren en crediteuren.

Een belangrijke toepassing van de XML Auditfile is bij de belastingcontrole. De wet verplicht ondernemers om de financiële administratie in digitale vorm te bewaren en aan te leveren, tenzij deze zo beperkt in omvang is dat zij op papier gemakkelijk gecontroleerd kan worden. De XML Auditfile maakt het voor zowel de belastingdienst als ondernemers eenvoudiger om de benodigde gegevens in digitale vorm uit te wisselen.

De XML Auditfile biedt echter ook belangrijke voordelen voor de accountant die inzicht wil krijgen in de grootboekmutaties. Wanneer een onderneming gebruikmaakt van een boekhoudpakket dat de mogelijkheid biedt om een XML Auditfile te exporteren, kan deze gebruikt worden voor het uitvoeren van data-analyse. Specifieke kennis van het door de onderneming gebruikte boekhoudpakket is dan niet meer nodig. De XML Auditfile kan in een, speciaal voor dit doel ontwikkeld, softwareprogramma worden ingelezen en geanalyseerd.

Inmiddels bieden verschillende softwarepakketten de mogelijkheid om een XML Auditfile te exporteren, waaronder:

• Exact;
• Microsoft Dynamics (waaronder Navision, Accapta);
• Unit4;
• AFAS;
• AccountView.

(Bron: www.softwarepakket.nl)

Enkele softwarepakketten bieden daarnaast de mogelijkheid om XML Auditfile in te lezen om deze bijvoorbeeld te kunnen analyseren. Wat opvalt is dat enkele grote ERP-systemen zoals SAP, Oracle, Baan en JD Edwards niet in dit rijtje vermeld staan. Een export van transactiegegevens is wel mogelijk, maar zoals vermeld zullen het bestandsformaat en de opmaak hierbij variëren, waardoor bij de uitwisseling van deze gegevens vaak conversie vereist is.

De kwaliteit van de export van de XML Auditfile varieert. Het merendeel van de softwarepakketten genereert goed bruikbare XML Auditfiles, maar bij het inlezen van bestanden hebben we soms geconstateerd dat de geëxporteerde XML Auditfiles significant afwijken van de door de Belastingdienst gepubliceerde standaard. Afwijkingen van de XML-standaard leiden tot het niet kunnen analyseren van de data. Bij een analyse van verschillende XML Auditfiles hebben we afwijkingen aangetroffen die variëren van minimale zaken (veldinhoud te lang, verplicht veld overgeslagen) tot grote afwijkingen (volgorde van de inhoud volledig door elkaar gegooid, niet gegroepeerd per dagboek). Soms is de oorzaak gelegen in het feit dat de entiteit gebruikmaakt van een verouderde versie van het financiële softwarepakket.

Veelal zijn dan diverse en tijdrovende aanpassingen nodig om de data te kunnen inlezen en om de gestandaardiseerde analyses te kunnen uitvoeren.

Beschikbare tools voor inlezen en gebruik XML Auditfile

Op het gebied van data-analyse zijn er diverse tools beschikbaar, zowel generieke data-analysesoftware zoals IDEA of ACL, als financiële software met data-analysemogelijkheden. Zo kent de administratieve software Exact de mogelijkheid om zogenaamde spilanalyses uit te voeren op de gegevens in Exact, maar ook op andere XML Auditfiles vanuit andere systemen. Met een spilanalyse is het mogelijk een interactief overzicht op te stellen waarin de administratieve gegevens van de klant inzichtelijk worden gemaakt. Met behulp van dit overzicht kan de gebruiker gedetailleerde informatie over onder meer saldi en transacties bekijken.

IDEA van CaseWare is een bestandanalysesoftware om data te kunnen inlezen, weergeven, analyseren, manipuleren en selecteren. Een add-in is beschikbaar om eenvoudig de XML Auditfile in te kunnen lezen. Daarnaast biedt SmartAnalyzer diverse gestandaardiseerde analyses van bijvoorbeeld uitzonderlijke boekingen. Een nadeel van het gebruik van IDEA bij het opstellen van diverse analyses met behulp van SmartAnalyzer is dat voor ieder overzicht een nieuw bestand wordt gecreëerd. Dit leidt bij het uitvoeren van meerdere analyses tot een omvangrijke hoeveelheid aan bestanden en data. En hoewel geheugenruimte op je laptop niet zo duur is, is het houden van overzicht, het bepalen van wat je wel en niet wilt bewaren in het controledossier dan een tijdrovende bezigheid.

De Auditfileviewer van de Belastingdienst biedt de gebruiker de mogelijkheid om een XML Auditfile in te lezen en informatie op transactieniveau te bekijken. De mogelijkheden van verdergaande analyses en het creëren van eigen overzichten zijn hierin echter beperkt.

Alhoewel de nodige tools beschikbaar zijn voor data-analysedoeleinden, bestaat er geen standaardoverzicht met gebruikelijke analyses voor de uitvoering van de risico-inschattingswerkzaamheden bij een jaarrekeningcontrole. Doordat de XML Auditfile de financiële data op een gestandaardiseerde wijze beschikbaar stelt, biedt dat een mogelijkheid om te komen tot gestandaardiseerde analyses en rapporten. De tijd die gemoeid is met het verkrijgen en inlezen van data en het creëren en opvolgen van vele uitzonderingsrapportages, vormt vaak een belemmering bij het toepassen van data-analyses. Ondanks dat is de toegevoegde waarde van CAATs in de jaarrekeningcontrole duidelijk, zoals beschreven in een eerder Compact-artikel ([Tole10]).

Bij een efficiënte en effectieve tool zal de accountant met zo weinig mogelijk handelingen zoveel mogelijk informatie uit het bestand moeten kunnen halen welke relevant is voor de planning en uitvoering van de jaarrekeningcontrole. De accountant kan bij een klant een export van het grootboek in het XML Auditfile bestandsformaat opvragen. Door gebruik te maken van gestandaardiseerde rapporten kan de accountant op eenvoudige wijze inzicht krijgen in de transactiestromen van de organisatie. Tevens bestaat de mogelijkheid om de data te exporteren naar bijvoorbeeld Excel voor verdere analyse.

De relatie tussen de analyses en audit evidence is vaak onduidelijk ([Tole10]). Het is daarom van belang dat de standaardrapportages vanuit de XML Auditfile aansluiten op de beweringen in de jaarrekening. Natuurlijk kun je rapportages per grootboekrekening opstellen, maar dit komt het inzicht veelal niet ten goede en is te gedetailleerd als startpunt voor de risico-inschattingswerkzaamheden van de accountant. Een handige groepering van grootboekrekeningposten is de groepering of aggregatie per jaarrekeningpost. Naast de groepering per jaarrekeningpost is ook een vaste indeling van dagboekcodes wenselijk om de veelheid van dwarsdoorsneden als startpunt voor de risico-inschattingswerkzaamheden te beperken. Dus niet zes verschillende dagboekcodes voor memoriaalposten maar een geaggregeerde dagboekcode voor alle memoriaalposten als startpunt. De dagboekcodes vormen een belangrijke bron van inzicht in de transactiestromen, maar in enkele gevallen draagt het aantal gehanteerde dagboekcodes door een entiteit niet bij aan een eenvoudig totaaloverzicht of helikopterview van de uitgevoerde transacties.

De aggregatie van data is één van de belangrijkste uitdagingen bij data-analyses voor de risico-inschattingswerkzaamheden. Enerzijds zijn deze werkzaamheden op een hoger detailniveau en is aggregatie gepast. Anderzijds wil je door de aggregatie niet bijzonderheden verliezen die aanwijzingen geven tot bepaalde risico’s. Bij alle standaardrapportages is het wenselijk om in te kunnen zoomen op de onderliggende details.

Doelstelling bij het opstellen van analyses, met behulp van zelfontwikkelde tools, is niet zozeer het genereren van zoveel mogelijk verschillende analyses, maar juist te bepalen welke overzichten bijdragen aan het inzicht van de accountant in de transactiestromen in het kader van de activiteiten van de entiteit die significant zijn voor de financiële overzichten. En hoe dit inzicht vervolgens bijdraagt aan de opzet en implementatie van de controleaanpak. In de volgende paragraaf zal hier verder op worden ingegaan.

Analyses ten behoeve van de opzet en implementatie van de controleaanpak

Hierna wordt voor enkele van deze analyses beschreven hoe zij bijdragen aan het verbeterde inzicht in de bedrijfsprocessen en transactiestromen en het efficiënt en effectief inrichten van de controle. De volgende overzichten of draaitabellen komen aan de orde:

• totaaloverzicht transacties per dagboek per jaarrekeningpost;
• overzicht transacties van een jaarrekeningpost per tegenjaarrekeningpost;
• overzicht transacties van een jaarrekeningpost per periode;
• overzicht stratificatie van de transacties van een jaarrekeningpost.

Totaaloverzicht transacties per dagboek per jaarrekeningpost

Een overzicht waarbij per jaarrekeningpost het totaal van de transacties vanuit de diverse dagboeken op de betreffende jaarrekeningpost is geboekt, biedt inzicht in de soorten transacties en boekingsgangen die de entiteit hanteert. Op basis daarvan kunnen de routinematige en niet-routinematige transacties worden onderscheiden en bijzondere transactiestromen en boekingsgangen worden geïdentificeerd.

Ook kunnen logische verbanden in de transacties en geld- en goederenbeweging worden gesignaleerd. Op basis van deze analyse kan de accountant bepalen welke jaarrekeningpost de nadere focus verdient en waar een systeem- of gegevensgerichte aanpak mogelijk is. Waar bijvoorbeeld logische verbanden in de transacties en geld- en goederenbeweging blijken, zou de accountant weinig gegevensgerichte werkzaamheden hoeven te verrichten en worden routinematige transacties normaal systeemgericht gecontroleerd. In figuur 1 is een voorbeeld van een totaaloverzicht transacties per dagboek per jaarrekeningpost opgenomen.

Figuur 1. Voorbeeld totaaloverzicht transacties per dagboek per jaarrekeningpost.

Uit figuur 1 blijkt onder andere het logische verband tussen debiteuren (714.000), omzet (600.000) en de te betalen 19% btw (114.000) bij de omzetboeking. Een vergelijkbaar verband blijkt uit de inkopen van de voorraden. Duidelijk is het geld- en goederenverband dat uit de transacties van de dagboeken en begin- en eindbalans blijkt. Op basis van vorengenoemde verbanden kan de accountant voor de controle op juistheid, volledigheid en bestaan van debiteuren, omzet en kostprijs omzet steunen op de effectieve werking van de interne beheersing rondom deze transactiestroom. De profesioneel-kritische accountant zal bij zo’n duidelijk verband in de geldbeweging, op basis van zijn professionele oordeelsvorming, nagaan welke risico’s nog aanwezig zijn en welke aanvullende controle-informatie hierbij nodig is.

Bij een verdere splitsing van de vorenvermelde totaalbedragen per dagboek in debet- en creditbedragen (niet in figuur 1 opgenomen) ontstaat inzicht in bijvoorbeeld de omvang van de retouren (debet voorraden/omzet en credit debiteuren/kostprijs omzet) die plaatsvinden. Verder geven de transacties via het memoriaal inzicht in de omvang van handmatige posten. De verwerking van retouren en handmatige posten zal waarschijnlijk geschieden via een ander proces waarvoor andere risico’s en interne beheersingsmaatregelen van toepassing zijn en waarvoor een andere controleaanpak wenselijk is.

Overzicht transacties van een jaarrekeningpost per tegenjaarrekeningpost

Met data-analyse kun je transacties van een specifieke jaarrekeningpost sorteren naar de tegenrekening (op jaarrekeningpostniveau). Zo’n overzicht laat op het niveau jaarrekeningpost (of grootboekrekening) zien waar het andere deel van de boeking is geboekt en biedt daarmee inzicht in de gehanteerde boekingsgangen. Tevens kunnen ongebruikelijke transacties, waaraan extra aandacht dient te worden besteed, worden geïdentificeerd.

Indien bij bankmutaties als tegenrekening kostenposten blijken, dan zijn deze transacties geboekt buiten het reguliere inkoopproces (niet via inkoopboek en crediteuren). Een nadere analyse zal dan inzicht kunnen geven in de aard van deze posten, zoals periodieke machtiging voor bepaalde kostensoorten als energiekosten, spoedbetalingen of anderszins. In figuur 2 is een voorbeeld van een overzicht transacties van de jaarrekeningpost bank per tegenjaarrekeningpost opgenomen.

Figuur 2. Voorbeeld overzicht transacties van de post bank per tegenjaarrekeningpost.

Overzicht transacties van een jaarrekeningpost per periode

Een overzicht van transacties per periode geeft weer in welke periode van het jaar (bijvoorbeeld maand) de transacties van een bepaalde jaarrekeningpost zijn verantwoord. Op basis van dit overzicht kan de accountant analyseren of het verloop van de transacties over het jaar heen gebruikelijk is en bij de aard van de activiteiten van de entiteit past (seizoenspatronen). Dezelfde analyse op het niveau van een grootboekrekening kan nuttig zijn. In figuur 3 is een voorbeeld van een overzicht van de transacties van de post debiteuren per maand gegeven.

Figuur 3. Voorbeeld overzicht transacties van de post bank per maand.

Uit figuur 3 blijkt dat het bedrag aan debet en credit debiteurentransacties relatief hoger is aan het begin van het jaar. Omdat in dit voorbeeld de betreffende entiteit ruimten voor een periode van één jaar ter beschikking stelt en deze aan het begin van het jaar factureert, past dit verloop bij de aard van de activiteiten van de entiteit.

Overzicht stratificatie van de transacties van een jaarrekeningpost

Een ander overzicht dat snel inzicht biedt in de aard en omvang van transacties is een stratificatie van de transactiestromen. In deze analyse worden de transacties van een jaarrekeningpost ingedeeld naar enkele lagen die gerelateerd zijn aan de omvang per transactie. De accountant kan deze omvangslagen bepalen op basis van zijn uitvoeringsmaterialiteit. Bijvoorbeeld (i) transacties > 75% van de materialiteit, (ii) transacties tussen 75% en 5% van de materialiteit en (iii) transacties < 5% van de materialiteit. Deze analyse geeft de accountant inzicht in de samenstelling van de transacties op een jaarrekeningpost. Het inzoomen naar transacties op grootboekniveau is ook mogelijk. Indien bijvoorbeeld de betreffende jaarrekeningpost uit veel transacties bestaat maar waarvan 80% wordt gevormd door enkele transacties groter dan 75% van de tolerantie, kan de accountant bepalen dat een gegevensgerichte controleaanpak op deze post efficiënter en effectiever is.

Resultaten van de data-analyse en gebruik hiervan als controle-informatie

In een eerder Compact-artikel ‘AudIT Innovation’ ([Veld10]) is benoemd dat door gebruik te maken van centraal beschikbare data en (financiële) processen, routinematige transactionele processen efficiënter kunnen worden gecontroleerd. In dat artikel ligt de focus op centralisatie van ERP-systemen. Maar voor kleinere entiteiten zonder (gecentraliseerde) ERP-systemen kan het gebruik van de XML Auditfile een hulpmiddel zijn voor het bepalen van de controleaanpak.

De diverse analyses die mogelijk zijn geven snel inzicht in de aard en omvang van transactiestromen van een entiteit. Bij een entiteit bleek een opvallend seizoenspatroon voor facturering en debiteurenontvangsten. Bij een andere entiteit bleek door de implementatie van een nieuw financieel systeem de boekingsgang significant gewijzigd te zijn met diverse nieuwe tussenrekeningen waarvan de impact nog niet volledig was onderkend. Vervolgens is gebleken dat dit soort overzichten bijzonder behulpzaam is voor nieuwe teamleden. Bij teamleden met enige ervaring met de entiteit leverden bovenstaande overzichten vaak een bevestiging op van het beeld van de entiteit dat zij al hadden, maar leidden zij veelal niet tot nieuwe of andere inzichten. De overzichten zijn in zo’n situatie wel behulpzaam om de huidige kennis en risico’s te bevestigen en te documenteren.

De beschikbare overzichten geven ook snel inzicht in de kwaliteit van de financiële administratie. Bij diverse entiteiten constateerden we een veelvuldig gebruik van handmatige boekingen (memoriaalposten) al dan niet in combinatie met verzamelboekingen aan het einde van de maand, waarbij verschillende memoriaalposten als een journaalpost waren verwerkt. Hierdoor waren overzichten als boeking per tegenrekening soms onbruikbaar omdat niet één of enkele tegenrekeningen bij een boeking waren gebruikt. Een overzicht naar tegenrekening, waarbij je het journaalpostnummer als identificatie gebruikt, levert dan al gauw een lang overzicht op met een flinke hoeveelheid aan grootboekrekeningen. Een belangrijke conclusie die je dan kunt trekken is dat een controle van de handmatige journaalposten meer tijd vergt om de diverse regels van zo’n journaalboeking op aanvaardbaarheid te toetsen. De overzichten gaven in dat geval onvoldoende inzicht in de transactiestromen. Bij de uitvoer van (verplichte) werkzaamheden ten aanzien van journaalposten zou dit ook naar voren zijn gekomen.

Bij enkele entiteiten waren de bankboekingen niet eenvoudig als volledige journaalposten te onderkennen. De mutaties hadden in dat geval elk een aparte transactie-identificatie meegekregen, wat in eerste instantie dan leidt tot enkelvoudige journaalposten. Met data-analysesoftware kun je hierbij wel een work around creëren (transactieID aanpassen voor bankmutaties), maar dit kost extra tijd en niet iedere eindgebruiker kan dat op eenvoudige wijze zelfstandig.

In deze auditstandaarden zoals die gelden voor perioden eindigend op of na 15 december 2010 zijn auditsoftwaretoepassingen (Computer Assisted Audit Techniques, CAATs) gedefinieerd als geautomatiseerde controlewerkzaamheden waarbij gebruik wordt gemaakt van de computer. In deze standaarden wordt in enkele paragrafen specifiek ingegaan op het gebruik van auditsoftwaretoepassingen. Tabel 1 geeft een overzicht.

Tabel 1. Passages die specifiek ingaan op het gebruik van auditsoftwaretoepassingen. [Klik hier voor grotere afbeelding]

Een belangrijke vraag was in hoeverre de overzichten bijdragen aan een efficiënte uitvoering van de risico-inschattingswerkzaamheden van de accountant. De auditstandaarden onderkennen de toepassing van auditsoftware als een mogelijkheid voor het verkrijgen van informatie, doorzoeken van informatie, vaststellen van afwijkingen, toetsen van transacties en verkrijgen van controle-informatie over de werking van interne beheersingsmaatregelen.

De standaarden geven niet aan hoe je dit het meest efficiënt kunt doen. Data-analyse kan bijzonder tijdrovend zijn indien data niet zijn gestandaardiseerd en/of indien het einddoel onduidelijk is. Met data uit de XML Auditfile is het inlezen van data eenvoudig. De standaardoverzichten zijn ook eenvoudig te vervaardigen. De interpretatie hiervan en bepaling van de impact op de opzet en implementatie van de controleaanpak blijft in belangrijke mate steunen op de professionele oordeelsvorming van de professioneel-kritische accountant. Hoe meer gestandaardiseerd het transactieverwerkingsproces verloopt bij een entiteit, hoe makkelijker het is om harde verbanden te onderkennen en die te gebruiken als maatstaf voor de selectie van transacties met een verhoogd risico.

Het gebruik van tooling om de XML Auditfile in te lezen en standaardrapportages te genereren zal de controleaanpak niet wezenlijk veranderen. Wel geven de standaardrapportages inzicht hoe transactiestromen worden verwerkt, en inzicht in de kwaliteit van de administratie, en daarmee zijn zij een bijzonder handig hulpmiddel bij de uitvoering van de risico-inschattingswerkzaamheden.

Samenvatting

Auditstandaarden geven de mogelijkheid om auditsoftwaretoepassingen in te zetten gedurende de diverse fasen in de audit. Bij de invoering van de nieuwe standaarden is de wijze waarop auditsoftwaretoepassingen kunnen worden ingezet, niet gewijzigd. Door gebruik te maken van beschikbare data kunnen routinematige transactionele processen efficiënter worden gecontroleerd.

De XML Auditfile is met name bij kleinere entiteiten zonder (centrale) ERP-systemen een belangrijke bron van input die kan worden gebruikt. Dit overzicht bevat alle financiële transacties van een entiteit. Om de aansluiting met de jaarrekeningcontrole te maken en om de hoeveelheid aan overzichten te beperken (voor een helikopterview) is hierbij een nadere groepering naar jaarrekeningpost gewenst.

Door gebruik te maken van standaardoverzichten kan efficiënt inzicht worden verkregen in de aard en omvang van de transactiestromen. Dit inzicht is bijzonder handig voor nieuwe teamleden en veelal een bevestiging van het inzicht bij bestaande teamleden.

De interpretatie van de overzichten en de bepaling van de impact op de opzet en implementatie van de controleaanpak blijven in belangrijke mate steunen op de professionele oordeelsvorming van de professioneel-kritische accountant. Hoe meer gestandaardiseerd het transactieverwerkingsproces verloopt bij een entiteit, hoe makkelijker het is om harde verbanden te onderkennen en die te gebruiken als maatstaf voor de selectie van transacties met een verhoogd risico. De uitdaging hierbij is om de tooling zodanig te standaardiseren dat deze grootschalig en efficiënt kan worden ingezet, waarbij de focus niet moet liggen op de tooling maar op de toegevoegde waarde voor de controle en de entiteit.