Technologische ontwikkelingen en digitalisering hebben een steeds grotere impact op de dagelijkse gang van zaken bij organisaties. Deze ontwikkelingen beïnvloeden de controleaanpak van de accountant en IT-auditor, bij een gedegen aanpak zou dit meer positieve dan negatieve effecten moeten gaan hebben. Tegelijkertijd hebben de accountant en IT-auditor steeds meer digitale middelen tot hun beschikking om de accountantscontrole van een entiteit uit te voeren. Wij spraken met professor Egon Berghout, over deze ontwikkelingen en de gevolgen voor de toekomst op de controleaanpak.
Wat is de impact van de digitalisering op de audit?
De steeds verdere technologische ontwikkeling die door organisaties gebruikt wordt, heeft onder meer impact op de manier waarop een accountantscontrole wordt uitgevoerd. Het doel van de controle verandert immers niet, maar wel de samenstelling van de controlemiddelen, de zogenaamde coëfficiënten van het vak.
Een voorbeeld van hoe coëfficiënten invloed hebben op business is te vinden in de retailsector. De essentie van die sector is in de loop van tientallen jaren niet veranderd: verkoop van artikelen aan consumenten. De manier waarop die verkoop plaatsvindt is wel degelijk gewijzigd; enerzijds betreft dit de toenemende schaalgrootte voor het realiseren van een succesvolle en efficiënte formule (met uitzondering van nichemarkten), anderzijds de transitie van traditionele winkels naar steeds meer online winkels.
Een ideale audit = geen audit (meer nodig hebben), maar dat is eigenlijk geen realistisch vooruitzicht.
Welke elementen hebben invloed op de technologische veranderingen in de audit?
Er zijn verschillende elementen die met elkaar verband houden en tegelijk elkaar in evenwicht houden. Er is sprake van schaalvoordelen, net als in de retail. Daarnaast zie je een toenemende complexiteit als tegenkracht. Deze complicerende factor wordt veroorzaakt door het aantal systemen, het aantal koppelingen tussen deze systemen en de afhankelijkheid van deze twee op de dagelijkse operatie van organisaties.
De huidige wijze van scopen zou eens goed tegen het licht moeten worden gehouden. Nu wordt nog uitgegaan van posten, processen en applicaties. Het uiteindelijke object van onderzoek in het kader van de financial audit is een subset van de informatiesystemen die een organisatie gebruikt, waarbij er overwegend van uit wordt gegaan dat deze in isolatie kunnen worden bekeken en beoordeeld. Bij het uitvoeren van technische beveiligingstesten (zoals een penetratietest) blijkt soms dat op eenvoudige wijze vanuit een systeem dat niet tot de auditscope behoort, ook toegang kan worden verkregen tot de data die wel van belang zijn voor de financial audit.
Voor complexe en expertmatige activiteiten zoals risicoanalyses, het plannen, schattingsposten, rapportages en dergelijke kunnen ook digitale toepassingen worden gebruikt, bijvoorbeeld voor het waarderen van verplichtingen of voorraden. Een voorbeeld is een toepassing, gebaseerd op artificial intelligence (AI), die door KPMG is ontwikkeld om de verplichting van een bedrijf te berekenen, denk hierbij aan uitstaande frequent flyer (air)miles of cadeaubonnen.
Wat zijn de gevolgen van de toenemende complexiteit voor de accountant en IT-auditor?
De toenemende complexiteit heeft invloed op de risico’s voor de entiteit en dus ook voor de controleaanpak van de controlerend accountant en IT-auditor. Ondanks de toenemende interne beheersing bij organisaties zien we dat door de koppelingen van de verschillende systemen – op termijn – sprake kan zijn van toenemende risico’s. Het belang van controle door een onafhankelijke en kritische partij, zoals de accountant of IT-auditor, neemt daardoor toe, zowel voor het maatschappelijk verkeer en beleggers als voor het management en toezichthouders.
Zeker bij partijen die primair afhankelijk zijn van hun IT-omgeving, kan sprake zijn van een continuïteitsrisico als deze IT-omgeving niet functioneert. Zo zagen we recent dat het tanksysteem op Schiphol niet werkte en dat daardoor op Schiphol geen vliegtuigen meer konden vertrekken.
Om de risico’s die gepaard gaan met de toenemende digitalisering en complexiteit af te dekken, is mijn verwachting dat in de uitvoering de mix van controlemiddelen en -werkzaamheden verandert. Er zal meer gesteund gaan worden op application controls en de daarmee samenhangende IT general controls. Het lijkt mij onmogelijk dat de accountant nog om deze IT general controls heen loopt, ook al is er nog weinig gesteund op application controls. Je ziet echter dat dit toch nog vaak gebeurt.
De application controls hebben daarbij onder meer als doel om de kwaliteit van de data, controletechnische functiescheidingen of betrouwbare verwerking te waarborgen. Immers, als de data van onvoldoende kwaliteit zijn, dan heeft dat gevolgen voor alle vervolgstappen, zowel binnen een entiteit als voor de controle. En in het geval van de koppelingen van verschillende systemen is het extra van belang dat de data van goede kwaliteit zijn.
Naast het steunen op application controls zal de accountant gegevensgerichte controlemiddelen, zoals data-analyse, steekproeven en eventueel process mining, gebruiken om de data en procesverloop te controleren. Een steekproef kan daarbij in omvang variëren van enkele items tot de hele populatie, afhankelijk van de mate van uniformiteit.
Met krachtige data-analysetooling en AI-hulpmiddelen kun je vaak de gehele populatie analyseren. Bij data-analyse gaat het veelal om het vinden van uitzonderingen en niet om het verkrijgen van zekerheid, terwijl een steekproef wel zekerheid kan geven (zie ook de recente NBA-handreiking [NBA19]).
Onderzoek wijst uit dat de omvang van het aantal ‘false positives/negatives’ vaak het gevolg is van een ‘onjuiste’ aanpak, omdat er onvoldoende kennis is over hoe de processen nu feitelijk lopen en welke data worden gebruikt. Als de accountant over voldoende kennis van processen en data zou beschikken, zou hij/zij een beter gerichte data-analyse kunnen uitvoeren.
Heeft de toegenomen complexiteit invloed op de verhouding tussen een systeemgerichte en gegevensgerichte controlemix?
De geïdentificeerde risico’s en het daarop afstemmen van de juiste mix aan werkzaamheden staan centraal. Tot op heden schrijven de standaarden een combinatie van systeem- en gegevensgerichte werkzaamheden voor of, als systeemgericht niet kan of ondoelmatig is, alleen gegevensgerichte werkzaamheden.
ESAA-studenten hebben onderzoek gedaan naar de kwaliteits- en efficiëntievoordelen van een IT-gedreven controleaanpak. Ook uit andere onderzoeken blijkt dat het toepassen van data-analyse de audit niet goedkoper maakt, maar vaak wel meer toegevoegde waarde voor de auditklant biedt, omdat deze meer inzicht krijgt in het verloop van zijn processen en waar deze kunnen worden verbeterd. Hierdoor kan ook een verbetering van de interne beheersing worden gerealiseerd. Ook blijkt dat de accountant door het toepassen van vormen van data-analyse een beter inzicht krijgt in de processen en data bij zijn klant. Na de initiële investering in het opzetten van vormen van data-analyse, zullen de toekomstige kosten voor het uitvoeren daarvan dalen, waardoor er op termijn wel besparingen kunnen worden bereikt.
In hoeverre komt er continuous audit in een volledig digitale omgeving?
Nu data steeds ruimer en eenvoudiger beschikbaar zijn, lijkt het niet ondenkbaar dat in de nabije toekomst diverse informatiesystemen kunnen worden voorzien van een module die continu data aftapt en deelt met een accountant of IT-auditor. Deze module zou ook door de (ERP-)leverancier ontwikkeld kunnen worden. Je ziet al eerste, beperkte voorbeelden van dergelijke modules. Hopelijk gaat dit sneller dan met de introductie van SBR/XBRL in Nederland.
In de praktijk blijkt de concrete bijdrage van deze continue datastroom nog beperkt voor zowel accountant als ondernemer. De toegevoegde waarde van een continue datastroom wordt door ondernemers veelal nog niet gezien. De gedachte achter de ontwikkeling dat data ruimer en eenvoudiger beschikbaar zijn, is dat het geven van meer en continue openheid in de onderneming goed is voor meerdere partijen.
Er zijn echter verschillende belangen bij het geven van openheid. Vanuit het maatschappelijk verkeer is het beeld vaak dat entiteiten ernaar moeten streven zo transparant mogelijk te zijn over de resultaten en dat bij voorkeur 24 uur per dag. Een eigenaar of ondernemer kan echter een belang hebben om niet direct resultaten met iedereen te delen, bijvoorbeeld uit concurrentieoverwegingen. Kijk bijvoorbeeld naar hoe weinig bedrijven in hun jaarverslag concreet zijn over verschillende typen incidenten (zoals een cyberaanval of datalek). Hierbij speelt ook de problematiek van afgrenzing en waardering. Daarom is te verwachten dat continuous monitoring voor het management een snellere adoptie zal krijgen dan continuous auditing door de accountant.
Welke ontwikkeling is zichtbaar bij accountantskantoren?
Steeds meer besturen van accountantskantoren onderkennen het belang van digitale technieken tijdens de controle. Er zijn veel opdrachtteams waar een mix van accountants en IT-auditors samen optrekt om de geïdentificeerde risico’s af te dekken. Onze ervaring met studenten leert dat er nog wel een gat is tussen de theorie, het verhaal en de praktijk.
De toenemende complexiteit kan betekenen dat niet veel accountantskantoren de benodigde investeringen in financiën, mensen en hulpmiddelen kunnen opbrengen om auditsituaties met complexe IT geheel te doorgronden.
Hoe ligt de verhouding tussen kosten en baten voor accountants die een digitale aanpak hanteren?
Ontwikkeling van nieuwe methoden en technieken kost tijd en zal veelal het meest efficiënt zijn als deze ingezet kunnen worden in meerdere opdrachten en over meerdere jaren. Gezamenlijke ontwikkeling van nieuwe technieken loont, bijvoorbeeld door deze als beroepsgroep te ontwikkelen. Schaalgrootte loont zeker.
Het juiste moment van investeren is een lastig vraagstuk. De controleaanpak voor het huidige boekjaar is redelijk goed te bepalen, maar de aanpak van volgend jaar bepalen is alweer een stuk lastiger. Iedere controleaanpak is nog vrij organisatie- en situatiespecifiek; daardoor is moeilijk voorspelbaar wanneer en hoe precies een efficiënte overgang naar een systeemgerichte controleaanpak verantwoord mogelijk is.
Wat is de voornaamste drijfveer achter de verandering van de controleaanpak?
De verandering komt deels voort uit de techniek; die dicteert de snelheid van de verandering. De mede door digitalisering gewijzigde organisatievormen en/of processen bij organisaties hebben ook sterke invloed op de controleaanpak. Twintig jaar geleden stond er een klaslokaal vol met computers. De rekenkracht die we toen hadden, zit nu in je mobiele telefoon. Een ander voorbeeld is de zelfrijdende auto; het is zeker dat die er komt, de ontwikkeling van de techniek en faciliterende wetgeving bepalen wanneer. Schumpeters theorie gaf dergelijke processen destijds al aan.
De continue verandering maakt investeren lastiger, maar niet onmogelijk. Wel zijn accountants net als andere beroepsgroepen, zoals rechters en medici, terughoudend met grootscheepse, gestandaardiseerde digitale veranderingen. Ze zijn niet zo opgeleid en hebben minder affiniteit met innovatie en digitalisering.
Welke ontwikkeling is zichtbaar in de postdoctorale accountancy- en IT-auditopleiding?
Het belang van IT-systemen wordt steeds verder geïntegreerd in de opleidingen. Ook bij ESAA is het vak Bestuurlijke informatievoorziening (BIV) & Administratieve organisatie (AO) steeds meer IT-gedreven. Ook onze auditingvakken passen wij continu aan nieuwe technische mogelijkheden. We werken in ons onderwijs samen met studenten accountancy en internal auditors. IT-auditors moeten leren samenwerken.
Accountants van de toekomst moeten sterke affiniteit hebben met IT om de juiste controlemix te bepalen bij de gesignaleerde risico’s. De opleidingen zullen zich daarom steeds meer hierop gaan richten. In feite zou je het liefste willen dat iedere RA ook deels RE is.
Waarom heeft die ontwikkeling van IT in accountancyopleidingen zo lang geduurd?
De integratie van IT in de accountantsopleiding verloopt trager dan gewenst. Er zijn meerdere redenen. Ten eerste: de accountant heeft van nature weinig affiniteit met IT. Dit geldt zelfs nu nog voor de huidige generatie studenten. Ze gebruiken IT-middelen, maar zijn niet geïnteresseerd in hoe het werkt en wat de impact is op processen en interne beheersing. Ten tweede: de ontwikkelingen gaan zo snel dat ze niet door de opleidingen kunnen worden bijgehouden. Ten derde: het opleidingsprogramma is al vol en andere vakken zijn niet bereid ruimte te maken voor IT-modules. Ten vierde: een deel van de huidige docenten heeft ook niet zoveel affiniteit met IT.
Welke rol spelen beroepsorganisaties?
Beroepsorganisaties kunnen een faciliterende rol vervullen en mede zorgen voor de schaalgrootte die ik eerder benoemde. De jaarrekeningcontrole is natuurlijk geen uniek product, dus ze zouden verder met integratie van IT in opleidingen en handreikingen kunnen gaan dan tot op heden is gebeurd.
NBA heeft het initiatief ‘Accounttech’ gestart om de mogelijkheden van IT beter onder de aandacht te brengen van accountants en hen te ondersteunen bij het gebruik daarvan.
Over prof. dr. E.W. Berghout RE CISA
Egon Berghout is Wetenschappelijk Directeur IT Auditing & Advisory bij de Erasmus School of Accounting & Assurance (ESAA). Daarnaast is hij hoogleraar bestuurlijke informatiekunde aan de Rijksuniversiteit Groningen en managing partner van het Information Management Institute in Rotterdam. Hij is werkzaam geweest bij Philips, M&I/Partners, de Technische Universiteit Delft en de London School of Economics and Political Science.
Referentie
[NBA19] NBA (2019). NBA-handreiking 1141: Data-analyse bij de controle. Geraadpleegd op: https://www.nba.nl/wet-en-regelgeving/gedrags-en-beroepsregels/nba-handreiking-1141/.