Inleiding

Datamining is eigenlijk niets nieuws. Het wordt al jaren gebruikt om invulling te geven aan uiteenlopende informatievraagstukken, een mooi voorbeeld hiervan is marktonderzoek. Met de opkomst van dataminingoplossingen, vaak bekend onder de naam Business Intelligence (BI)-oplossingen, is ook het inzetten van datamining door overheid en bedrijfsleven een populair onderwerp geworden. Een eerder gepubliceerd onderzoek van KPMG ([KPMG09]) wijst erop dat het bedrijfsleven het potentiële nut en misschien ook wel de noodzaak van datamining begint in te zien. Toonaangevende systeemleveranciers zoals SAP en ook gespecialiseerde adviesbedrijven bieden steeds meer kant-en-klare oplossingen aan, waarmee bedrijven door middel van plug en play allerlei analyses kunnen maken. Uit voornoemd onderzoek van KPMG blijkt dat ongeveer dertig procent van de onderzochte bedrijven BI-oplossingen gebruikt. Daarnaast is het merendeel van de bedrijven die nog geen Business Intelligence-oplossing gebruiken, van plan een dergelijke oplossing te implementeren binnen drie jaar. Wel valt op dat de volwassenheid van de toepassing van BI nog in de kinderschoenen staat. BI is voornamelijk nog het domein van een paar (IT-) specialisten, en het ontbreekt veelal aan een gestructureerde aanpak.

Het gebruik van ERP-systemen, met een groei naar ‘single instance’, geeft bedrijven toegang tot enorme volumes aan data. Daarmee is een analyse op voornoemde bedrijfsdata uitermate geschikt om inzicht te bieden in hoe bedrijfsprocessen feitelijk verlopen en om de performance te verbeteren. De data kunnen voor meerdere doeleinden worden gebruikt, zoals:

• het verbeteren van business performance;
• het verbeteren van de datakwaliteit en -integriteit;
• het optimaliseren van werkkapitaal;
• fraudedetectie;
• het verbeteren van supply chain management en voorraadbeheer;
• het standaardiseren en optimaliseren van het gebruik van het ERP-systeem;
• het verbeteren van risk management door het bieden van inzicht in de risico’s die een bedrijf loopt.

Ook de overheid heeft de mogelijkheden van data-analyse ontdekt. Recentelijk is door de staatssecretaris van Onderwijs een brief naar de Tweede Kamer gestuurd waarin zij aangeeft een controle te willen gaan uitvoeren op fraude bij subsidie op kinderopvangkosten. De controle behelst het uitvoeren van een aansluiting tussen twee administraties, de administratie van de belastingdienst en de administratie van het UWV. Door gebruik te maken van datamining kan op een zeer efficiënte en effectieve wijze de informatie worden verkregen die ten behoeve van het uitvoeren van een controle nodig is.

Datamining is daarnaast ook een veelbelovende en efficiënte manier voor bedrijven en auditors om mogelijk ongeautoriseerde transacties, die buiten vooraf gedefinieerde criteria vallen te detecteren, hetgeen in de huidige markt ook wel aangeduid wordt als continuous monitoring / continuous auditing. Hierbij kan gedacht worden aan het overschrijden van kredietlimieten en kortingspercentages bij verkooporders, het niet tijdig uitleveren van orders, en het aantal creditnota’s per dag. Ook auditors beginnen deze mogelijkheden meer en meer te zien en laten in sommige gevallen al software (plug-ins) meelopen in de transactiesystemen van hun klanten of downloaden periodiek data om voor een bepaalde periode de data op onregelmatigheden te detecteren. De auditor verkrijgt hiermee zekerheid voor de jaarrekeningcontrole voor bijvoorbeeld de auditcycles ‘Order to Cash’ en ‘Purchase to Pay’ en de bijbehorende balansposten.

Figuur 1 toont een voorbeeld van een rapportage voor de externe accountant. Uit de rapportage blijkt in hoeverre inkooporders leiden tot goederenontvangst en betaling. Tevens blijken de uitzonderingen en niet-afgeronde inkooporders.

Figuur 1. Voorbeeld van een rapportage aan de externe accountant. [Klik hier voor grotere afbeelding]

Succesvoorbeelden in de praktijk

De succesvoorbeelden uit de praktijk betreffen veelal het analyseren van fraudegevallen, procesoptimalisering, ondersteuning aan de jaarrekeningcontrole en working capital-analyses. Achtereenvolgens beschrijven we een casus inzake een analyse werkkapitaal, een jaarrekeningcontrole en een fraudeonderzoek.

Analyse werkkapitaal

In het huidige economische klimaat besteden bedrijven aandacht aan het beheersen van de werkkapitaalpositie. Vaak beheersen bedrijven hun werkkapitaalpositie op basis van cijfers in de managementinformatie-overzichten. Veelvoorkomende kengetallen voor de werkkapitaalpositie zijn:

• Days Payable Outstanding (DPO): het gewogen gemiddelde van het verschil tussen de feitelijke betalingsdatum en de factuurdatum;
• Days Inventory Outstanding (DIO): het gewogen gemiddelde tussen de waarde van de voorraad en de omloopsnelheid (gemiddeld dagelijks gebruik) van die voorraad;
• Days Sales Outstanding (DSO): het gewogen gemiddelde van de feitelijke ontvangst van de betaling en de factuurdatum.

Wat nu de drijvende factoren, ofwel de proces performance indicatoren, zijn die het werkkapitaal beïnvloeden, is vaak onduidelijk door onvoldoende detaillering in de beschikbare managementinformatie. Door gebruik te maken van de beschikbare details in ERP-systemen is het mogelijk deze DPO, DIO en DSO vanuit de systeeminrichting en feitelijke transacties op te bouwen, waarbij voor alle processtappen de relevante elementen worden meegenomen.

Figuur 2. Voorbeeld van een grafische weergave van betaalgedrag.

Typische bevindingen bij het uitvoeren van een detailanalyse op werkkapitaal zijn:

• De feitelijke betaaldatum voor ontvangen facturen wijkt af van afgesproken betalingstermijn en het bedrijfsbeleid inzake betalingstermijnen. Zo worden ontvangen facturen soms, of in enkele gevallen vaak, eerder betaald dan de uiterste betaaldatum en komt het voor dat kortingen voor vroeg betalen niet of niet volledig worden geïnd.
• Bestellingen vinden plaats zonder dat hiervoor gebruik wordt gemaakt van de voorkeursleveranciers en van de tarieven en betalingstermijnen zoals deze zijn overeengekomen in raamovereenkomsten.
• De feitelijke ontvangst van betalingen wijkt af van de met de afnemer gemaakte afspraken. Hoewel ERP-systemen vaak de mogelijkheid hebben om een automatische escalatie te doen op facturen die lang openstaan, wordt follow-up van een openstaande factuur in veel gevallen te laat en soms niet opgestart.
• Aan de frequentie van factureren ligt vaak geen analyse ten grondslag. Met een betalingstermijn van dertig dagen vanaf einde maand, maakt het voor de timing van betaling niet uit of aan het begin of aan het einde van de maand wordt gefactureerd. U kunt zich voorstellen dat bij een betalingstermijn van dertig dagen na levering het belangrijk is om direct bij levering de factuur mee te sturen.
• Bij het bepalen van aan te houden minimumvoorraden wordt niet of onvoldoende rekening gehouden met karakteristieken van afnemers of leveranciers. De kennis dat een leverancier de neiging heeft om een inkooporder eerder, later of niet volledig af te leveren, wordt bijvoorbeeld niet gebruikt bij het bepalen van de aan te houden minimumvoorraad. Of er worden hoge minimumvoorraden eindproduct aangehouden voor afnemersgroepen met een lage afzet.

Het uitvoeren van deze in eerste instantie technische analyses geeft al de nodige ‘food for thought’. U kunt zich wellicht voorstellen dat het bespreken van deze resultaten met de proceseigenaren en uitvoerenden confronterend kan zijn. Hoe dan ook, het bespreken van de resultaten brengt het resultaat van de analyse verder door oorzaken en concrete verbeteracties te identificeren. Uiteindelijk doel is het werkkapitaal (en de daarbij behorende ‘cash-to-cash cycle time’) te optimaliseren, om daarmee de rentekosten te minimaliseren.

Jaarrekeningcontrole

Inleiding

Door het van kracht worden van de Sarbanes Oxley Act, Tabaksblat, etc., is bij beursgenoteerde bedrijven veel nadruk komen te liggen op interne beheersing. Ook de externe accountant maakt in zijn controleaanpak gebruik van de getroffen interne beheersingsmaatregelen. Niet in de laatste plaats omdat een gegevensgerichte controle vaak hoge kosten met zich meebracht. Een systeemgerichte aanpak kan echter niet altijd worden toegepast vanwege tekortkomingen in de interne controle, waardoor gegevensgerichte werkzaamheden, bijvoorbeeld aanvullende steekproeven, moeten worden uitgevoerd. Hier ligt een enorm besparingspotentieel voor datamining. Door datamining toe te passen op omvangrijke gegevensbestanden opent zich een uitgebreid scala aan mogelijkheden om over de gehele populatie controle-informatie te verkrijgen. In auditjargon wordt dit type controle ook wel aangeduid als Computer Aided Audit Techniques (CAATS). Ter ondersteuning hiervan bestond al een aantal tools, zoals ACL en IDEA. Binnen de accountantscontrole worden deze tools al jarenlang gebruikt door een aantal enthousiaste experts op de kantoren.

Ervaringen tonen aan dat de inzet van CAATS niet altijd succesvol is. Die inzet en de impact op de accountantscontrole is in een eerder Compact-artikel ([Brou07]) beschreven. Enkele observaties ter zake zijn:

• Uitgevoerde analyses leveren vaak uitgebreide uitzonderingsrapportages (lijstwerk) op.
• Het afwerken van de uitzonderingsrapportages is tijdsintensief.
• De relatie tussen de analyses en auditevidence is vaak onduidelijk.
• Een cost-benefitanalyse voor data-analyse ontbreekt veelal doordat er geen duidelijke relatie met de controleaanpak is.

Ondanks bovenstaande punten is de toegevoegde waarde van CAATS in de jaarrekeningcontrole duidelijk. De vraag is nu hoe meer toegevoegde waarde kan worden gecreëerd. In de afgelopen tijd hebben auditors de nodige ervaring opgedaan in het verbeteren van de effectiviteit van de CAATS-aanpak. De succesvolle audits met behulp van datamining hebben een aantal overeenkomsten. Het betreffen de volgende overeenkomsten:

• Een duidelijke link tussen de uit te voeren data-analyse met de controleaanpak. Op basis van de controleaanpak kunnen de juiste analyses worden gedefinieerd per auditcycle.
• Verstrekken van positive assurance in plaats van rapportage van uitzonderingen.
• Optimaal gebruik van de centralisatie van systemen. De data worden centraal vanuit één locatie getest, waardoor duidelijke efficiencyvoordelen behaald kunnen worden.
• Hergebruik van ontwikkelde queries in volgende jaren.

De aanpak voor de controle van de jaarrekening met behulp van data-analyse of CAATS is met deze uitgangspunten verder uitgewerkt. Hieronder wordt geïllustreerd hoe deze aanpak werkt voor een organisatie die recent een SAP-systeem wereldwijd heeft geïmplementeerd.

De aanpak in de praktijk

Deze organisatie heeft wereldwijd een ERP-omgeving, waardoor de totale processen van ‘Order to Cash’ en ‘Purchase to Pay’ centraal vanuit Nederland te controleren zijn. Voor de auditor is bij deze organisatie onder meer van belang dat de invoer van verkooporders juist en volledig is, en verder dat alle orders leiden tot een goederenuitgifte. In overleg met de externe accountant zijn vervolgens analyses uitgevoerd op:

• de invoer van data
  • de invoer van transactiedata en stamtabellen door het testen van parametersettings (invoer en waarschijnlijkheidscontroles);
  • analyseren van wijzigingen van stamdata ten opzichte van voorgaande perioden;
• de verleende toegangsrechten en functiescheidingen, waarna is onderzocht welke transacties zijn uitgevoerd door medewerkers met te veel rechten;
• de juistheid en volledigheid van de geld- en goederenstromen; voor de accountants onder ons: ‘de waardenkringloop van Starreveld’.

In figuur 3 is de aanpak schematisch weergegeven.

Figuur 3. Schematisch overzicht van de controleaanpak met behulp van dataminingtools. [Klik hier voor grotere afbeelding]

Onderstaand volgen twee voorbeelden van de uitkomsten van de data-analyse.

Ongewenste functievermenging

Een voorbeeld van een uitgevoerde analyse is het gegevensgericht analyseren van de logische toegangsbeveiliging, niet alleen voor het hoofdkantoor maar voor alle divisies. In een aantal gevallen waren de toegangsrechten te ruim ingesteld. Een risico op zich. Echter, door in aanvulling op het beoordelen van de compententietabellen ook een feitelijke analyse van transacties uit te voeren, kon worden vastgesteld dat er slechts in enkele gevallen sprake was van een feitelijk ongewenste functievermenging. Met andere woorden, ondanks dat er een leemte was in de inrichting van de logische toegangsbeveiliging was de impact beperkt. Daarnaast konden de gevonden transacties redelijk eenvoudig worden opgevolgd en was de inspanning beperkt.

Betalingen aan leverancier

Door een analyse op de centrale datawarehouseomgeving kon door middel van datamining de zogenoemde ‘three way match’ (aansluiting van bestelling, goederenontvangst en betaling) worden vastgesteld. Het aantal facturen dat niet automatisch is gematchet met een purchase order en/of goederenontvangst maar uiteindelijk wel betaalbaar is gesteld, is een standaard-exceptielijst. Echter, in deze data-analyse werd ook inzichtelijk wat het aantal ‘goede’ betalingen was. Het exceptielijstje kon op deze manier in perspectief (materialiteit) worden geplaatst. Hoewel er in dit geval opvolging noodzakelijk was is het niet ondenkbaar dat er ook gevallen zijn waarbij de lijst in zijn geheel niet meer materieel (belangrijk om op te volgen) is. Tijdens deze analyse werd een aantal mogelijke dubbele betalingen geconstateerd en afwijkingen in de goederenontvangst door mogelijk onjuiste registratie in het magazijn.

Deze uitzonderingen zijn vervolgens aan de gecontroleerde aangeboden voor opvolging. De organisatie heeft met de externe accountant samengewerkt om de belangrijkste afwijkingen te analyseren en na te gaan of er geen ongeautoriseerde transacties hebben plaatsgevonden.

De rapportage heeft vervolgens conform figuur 1 plaatsgevonden.

Voor de accountant heeft deze aanpak een aantal voordelen met zich meegebracht:

• De controle kon grotendeels vanuit Nederland plaatsvinden.
• De data-analyse kon al in de planningsfase worden uitgevoerd, waardoor de risicoanalyse onderbouwd kon worden met feitelijke waarnemingen.
• De accountant heeft in zijn management letter extra aanbevelingen gedaan met betrekking tot het optimaliseren van de bedrijfsprocessen. Deze aanbevelingen zijn tot stand gekomen op basis van analyses op dezelfde data die gebruikt zijn in het kader van de jaarrekeningcontrole.
• De gekozen controleaanpak met behulp van data-analyse sluit aan bij de belevingswereld en de IT-ontwikkelingen van de organisatie.
• De aanpak heeft geleid tot een kwalitatief betere audit (integrale waarnemingen in plaats van steekproeven of deelwaarnemingen).
• De organisatie heeft op basis van de aanbevelingen in de management letter een omvangrijk verbeteringsprogramma opgezet om zelf een stap te maken in het continu volgen van uitzonderingen (continuous monitoring) en heeft de logische toegangsbeveiliging aangescherpt.
• De accountant heeft positive assurance gekregen voor een belangrijk deel van de transactiestroom.
• De accountant heeft tijdens deze controle de in de proposal beloofde efficiencyvoordelen daadwerkelijk gerealiseerd.

Fraudeonderzoek – Gedrukte kortingen

Een uitgeverij geeft een aantal bladen uit. Voor deze organisatie zijn de belangrijkste omzetstromen de opbrengsten uit abonnementen en de opbrengsten van advertenties in bladen. Bij dit bedrijf bestonden geen richtlijnen of andere beheersingsmaatregelen inzake de kortingen die verkoopmedewerkers konden geven aan adverteerders. De verkoopmedewerkers administreerden de kortingen in een maatwerkapplicatie, die gebaseerd is op Oracle. Met betrekking tot de inrichting van voornoemde maatwerkapplicatie had de uitgeverij weinig documentatie of kennis in huis. De accountant werd tijdens de jaarrekeningcontrole geconfronteerd met een gerucht over het toekennen van kortingen aan bevriende adverteerders door verkoopmedewerkers. Ten einde inzicht te krijgen in de aard en omvang van de verstrekte kortingen, besloot de accountant forensische data-analysespecialisten in te zetten.

Door middel van interviews met medewerkers en met de accountant heeft de forensische data-analyse specialist het advertentieproces en de significante risico’s daarin in kaart gebracht. De forensische data-analyse specialist heeft data-analyse ingezet om gegevensgericht vast te stellen of de geïdentificeerde significante risico’s in de praktijk bestonden. Uit de data-analyse bleek dat er meer dan honderd verschillende kortingtypen in de maatwerkapplicatie bestonden, die ook werden gebruikt door de verkoopmedewerkers. Verder bleek uit de data-analyse dat de stroom van creditnota’s zeer omvangrijk was en dat facturen vaak handmatig werden aangepast na de publicatiedatum van de advertentie. Het hierboven genoemde gerucht werd overigens niet onderbouwd door de data-analyse; het bedrag dan wel het kortingspercentage week niet significant af tussen de verschillende verkoopmedewerkers.

De accountant heeft de resultaten van de data-analyse gebruikt als ‘audit evidence’ en om de management letter te schrijven ten aanzien van het ‘Order to Cash’-proces op de advertentieomzetstroom. Naar aanleiding van de bevindingen in de management letter ten aanzien van de advertentieomzetstroom vroeg de uitgeverij de forensische data-analyse specialist om haar te ondersteunen bij het opzetten van een monitoringtool voor voornoemde omzetstroom. De forensische data-analyse specialist heeft voor deze uitgeverij een dashboard gebouwd waarmee door middel van real-time data-analyse de belangrijkste risico’s rond de advertentieomzetstroom gevolgd kunnen worden. De uitgeverij heeft daarnaast naar aanleiding van de bevindingen uit de management letter het aantal kortingtypen in het maatwerksysteem drastisch verminderd. Ook heeft de uitgeverij ‘application controls’ in het maatwerksysteem laten bouwen zodat facturen niet meer handmatig kunnen worden aangepast en creditnota’s dienen te worden geautoriseerd. Alle voornoemde maatregelen hebben tot gevolg gehad dat de opbrengsten uit advertenties met dertig procent zijn gestegen.

Het extractie- en analyseproces

Het definiëren van de analyses gebeurt vaak in een overleg of workshop met verschillende stakeholders, bijvoorbeeld internal audit, proceseigenaren, procesmanagers, externe accountant, enzovoort. De uitkomst van een dergelijke bijeenkomst is vaak een lijst van eisen en wensen die richting geeft aan de data-extractie, de analyse en rapportage.

De dataminingoplossing bestaat uit drie stappen (zie figuur 4):

• data-extractie (downloads);
• data-analyse;
• rapportage en opvolging.

Figuur 4. Data-extractieproces. [Klik hier voor grotere afbeelding]

Bij het analyseren van de targetomgeving (core system) dienen de applicatie(s) en database(s) verkend te worden. Daarbij wordt onder meer geïdentificeerd welke tabellen en velden worden gebruikt, in welke valuta bepaalde velden worden weergegeven, en of velden inclusief of exclusief btw zijn.

De data-analyse kan met veel verschillende standaard eindgebruikeroplossingen worden uitgevoerd, van Microsoft Office tot geavanceerde Business Intelligence-oplossingen en monitoringtools. Los van de gekozen technologie zal de gebruiker van de dataminingoplossing de uit te voeren analyses vooraf moeten definiëren en de targetomgeving moeten analyseren. Op basis hiervan wordt een data request gedefinieerd, ofwel een selectie van tabellen en velden die in de data-extractie moeten worden betrokken. Van belang hierbij is dat naast de velden die direct in de rapportage genoemd worden, ook velden nodig zijn om de analyse op te bouwen, bijvoorbeeld factuurnummers of klantnummers, zodat verschillende tabellen aan elkaar kunnen worden gekoppeld.

De data-extractie kan op verschillende manieren plaatsvinden:

• Het uitvoeren van een SQL-statement op de database. Met SQL-software of een databasemanagementsysteem kan een SQL-statement worden geschreven waarmee direct op de database een selectie wordt gedaan.
• Het maken van een data-extractie via de applicatie. De meeste applicaties hebben wel een transactie die de mogelijkheid biedt om vanuit de applicatie een data-extractie te doen.
• Het installeren van speciale software. Diverse softwareleveranciers hebben specifiek voor data-extractie op ERP-systemen speciale software geschreven om het extractieproces te vereenvoudigen.

Elk van deze alternatieven heeft zijn voor- en nadelen. Het is dan ook goed om vooraf te bepalen welke extractiemethode het meest geschikt is per analyse. Een SQL-statement kan heel goed werken bij een eenmalige analyse, werkt vaak snel, maar vergt ook gedetailleerde kennis van SQL-taal en de databaseomgeving. Een data-extractie via de applicatie werkt goed bij een eenmalige analyse, vergt vaak minder kennis van SQL en database, maar de extractie wordt vaak op de voorgrond van de applicatie gestart. Dit kan van invloed zijn op de performance van het systeem, zeker bij grote analyses. Het installeren van speciale software en het gebruik van extractieprofielen bieden een oplossing voor het herhaaldelijk uitvoeren van standaardqueries. De extractie vindt vaak plaats op de achtergrond met lage rechten zodat de performance van het systeem niet wordt beïnvloed.

Na de extractie van data kan worden gestart met het inlezen en analyseren van data. Het vaststellen van de juistheid en volledigheid van de data-extractie en het inlezen van de data is een stap die nog wel eens wordt overgeslagen met als gevolg dat mogelijk met onjuiste of onvolledige data wordt gewerkt. In theorie bestaan er verschillende manieren om de juistheid en volledigheid van de ingelezen data vast te stellen. De meest sterke controle is het aansluiten van een hashtotaal. In de praktijk is een hashtotaal vaak echter niet beschikbaar en dient een aansluiting te worden gemaakt met standaardrapportages, bijvoorbeeld een proef- of saldibalans.

Nadat de queries zijn uitgevoerd op de data van de organisatie kan worden gestart met het analyseren van de data. Hoe goed de voorbereiding is geweest, blijkt al snel bij het uitvoeren van de data-analyse en de validatie van de eerste resultaten. In de analyse worden vaak verbanden gelegd tussen verschillende tabellen en tellingen gemaakt, of waarden gesommeerd. Indien euro’s, Britse ponden en Amerikaanse dollars bij elkaar worden opgeteld, of geen onderscheid gemaakt wordt tussen data-datums in Amerikaanse conventie en Europese conventie, kunnen er onverwachte resultaten uit de analyse komen. Als niet alle sleutelvelden zijn onderkend tijdens de verkenning van het systeem zal het koppelen van verschillende tabellen niet lukken, of tot vreemde resultaten leiden.

De uitdaging is vervolgens om de data zodanig te analyseren en verbanden te leggen dat data informatie worden. Gedegen kennis van de organisatie, systemen en boekingsgangen is een must om tot een goede analyse te komen. Het blijft mensenwerk, en opletten. Een voorbeeld dat het bovenstaande illustreert, is het verhaal van een overijverige assistent die vanuit fraudeperspectief een analyse maakte van alle boekingen op zondag. Dit leverde een enorme waslijst aan boekingen op. De assistent bracht deze naar zijn manager, die vervolgens deze lijsten moest afwerken (aanwijzing van fraude). Wat bleek uiteindelijk? In het weekend draaiden veel batches, die boekingen genereerden. De lijst van de assistent bleek louter uit voornoemde batches te bestaan. Er was dus niets aan de hand.

Inmiddels is er ruime ervaring opgedaan met het presenteren van data. Het management van een organisatie is vaak geconfronteerd met een overload aan informatie, waardoor het moeilijk is om hoofdlijnen van details te onderscheiden. Indien de auditor het management voorziet van een visuele weergave van de resultaten van de data-analyse, zoals grafieken en overzichtelijke tabellen, zijn de hoofdlijnen per definitie goed zichtbaar. Op het moment dat de auditor grafieken presenteert aan het management van bijvoorbeeld de aantallen handmatige boekingen per vestiging, creditfacturen zonder goederenontvangst, goederenuitlevering aan klanten die hun kredietlimiet hebben overschreden, heb je hun aandacht. Er loopt namelijk geld de deur uit. Van de externe accountant vergen deze verstoringen van de geld- en goederenbeweging veel controletijd die gereduceerd kan worden door data-analyse. Door data-analyse toe te passen op voornoemde verstoringen, slaat de auditor dus twee vliegen in één klap.

Het is duidelijk dat iedere belanghebbende een andere behoefte heeft, maar uiteindelijk altijd de feitelijk onderliggende data tot zijn beschikking wil hebben, ofwel een management dashboard met drill-down functionaliteit. Gelukkig is een drill-down functionaliteit tegenwoordig technisch ook mogelijk, maar wordt deze nog niet in alle gevallen toegepast. Een tussenoplossing die de auteurs in praktijk zien zijn drielaagsrapportages: 1) totaal dashboard, 2) weergave per proces en processtap, en ten slotte 3) lijstwerk met details.

Voor een internationale organisatie heeft de auditor de processen bij de verschillende dochtermaatschappijen vergeleken. Management was zich absoluut niet bewust van de verschillen tussen de verschillende dochtermaatschappijen, wat tot interessante discussies heeft geleid. In figuur 5 is een voorbeeld opgenomen hoe de uitkomsten te presenteren aan de bedrijfsleiding van een onderneming.

Figuur 5. Voorbeeld voor rapportage aan management en de externe accountant. [Klik hier voor grotere afbeelding]

Lessons learned

De kracht van datamining zit niet alleen in het naar boven halen van data maar ook in het kunnen interpreteren en presenteren van data. De sleutel tot een succesvolle data-analyse:

• De data-analist heeft grondige kennis van systemen en boekingsgangen bij de klant, en genereert een query waarmee data geanalyseerd worden, die werkelijk van belang zijn.
• De resultaten worden op een overzichtelijke manier gepresenteerd passend op de informatiebehoefte van de gebruiker.
• Naadloze samenwerking tussen de persoon die kennis heeft van het systeem, de data-analysespecialist, en de gebruiker, die kennis heeft van auditing en de boekingsgangen bij de klant.
• De controle van de geïmporteerde data. In de praktijk is enkele malen geconstateerd dat werk was verricht op onvolledige data. Sindsdien behoren uitgebreide validatieslagen tot de standaardwerkwijze.

Samenvatting

De begrippen datamining en data-analyse zijn niet nieuw. Wel nieuw is het inzicht dat de presentatie van de resultaten van data-analyse de sleutel is tot succes.

Data omzetten in toegevoegde waarde, ofwel Facts to Value, zou naar ons oordeel leidend moeten zijn bij het adviseren van klanten op basis van data-analyse. De stand van de techniek en de veelheid aan beschikbare tools brengen veel mogelijkheden met zich mee. Bij het inzetten van deze tools (onder andere voor data-extractie) dient vanuit de klantvraag en klantsystemen gedacht te worden en niet vanuit de tool. Naast de mogelijkheden om organisaties te ondersteunen nemen ook de interesse en de mogelijkheden toe om in de jaarrekeningcontrole data-analyse in te zetten. Data-analyse en datamining brengen in bepaalde klantsituaties voor de accountantscontrole een enorm besparingspotentieel met zich mee door het zelfstandig kunnen vaststellen van de waardenkringloop. Ook is het vaak mogelijk om de systeemgerichte aanpak voort te zetten door met data-analyse de impact van veelvoorkomende tekortkomingen in de logische toegangsbeveiliging vast te stellen.