Datawappies bestaan ze in de accountancy? Waar kun je dan nog wel op steunen? Een blog over de groei van steekproeven als enthousiasme-dodend middel in de accountancy. Beetje scherp aangezet voor ‘scherpte in het debat’ en vol populaire termen, maar serieuze ondertoon. Ik schrijf deze blog namelijk op de dag dat ik voor het 16de jaar een cursus IT-audit, ITGC’s en controle van MKB-ondernemingen zou geven. Door omstandigheden gaat deze niet door (ziekte collega-docent), dus kreeg ik de tijd om eens even mijn gedachten over deze jaren en de situatie van de accountancy van het heden kon ordenen. Kunnen we nu wel of niet op data vertrouwen..?

Wappie?

Eén populaire term is natuurlijk de term wappie. Een wappie is zeer vrij door mij vertaald ‘iemand die de noodzaak niet echt inziet van een vaccin’. Als iedereen geloofd in een oplossing voor een ziekte en jij ziet het niet, dan ben je al gauw een wappie. Zouden we die lijn naar de accountancy door kunnen trekken? Het vaccin heet steekproeven en de ziekte die bestreden wordt is ‘onbetrouwbare data’ en daarna natuurlijk de ‘onterechte goedkeurende verklaring gebaseerd op onbetrouwbare data’. Ik geloof wel in ander vaccin namelijk: ‘steunen op interne beheersing’. En daarbij spelen ITGC’s een rol als fundament (zie P6-methode, https://www.norea.nl/download/?id=3161). Ik zou graag de ziekte ‘overmatige klassieke gegevensgerichte controles voor alle  auditrisico’s’ nog eens tegen het licht houden…..zal na deze populaire opening proberen de nuance terug te vinden. Maar eerst nog even dit….

Enthousiasme dodend

Vorige week stond er in het FD het artikel dat collega’s van Deloitte op zoek zijn naar 2.000 collegae, dat lijkt op politieke uitspraken als 170.000 woningen wilt bouwen in Utrecht….waar halen ze de bouwvakkers vandaan? Waar haalt Deloitte (en wij allen in het beroep) die accountants vandaan. Die vraag kunnen we beantwoorden: A. bij elkaar en B. uit de collegebanken.  Met A. jagen we elkaar wel wat op en brengen bij (jonge) mensen het hoofd op hol, starten een ratrace met hoger salaris, maar goed het is een open markt en onze aanvangssalarissen zijn niet oorverdovend hoog….. En met B gaat het steeds moeilijker. De instroom zakt fors weg en de doorstroming van HBO en Uni naar bedrijfsleven wordt steeds moeizamer. Ik spreek nog wel eens een universitair docent accountancy of IT-audit en die constateren vaak dat assistenten zeer enthousiast beginnen, met een mooie introductie in Portugal, de Baltische staten of in Ierland, contract met mooie studiefaciliteiten, maar nog voor het eerste ‘bussy season’ voorbij is, hangt de vlag er anders bij. Excelbestanden vol exports van bronbestanden die op juistheid en rechtmatigheid moeten worden gecontroleerd. Men kan geen PDF-je meer zien….het enthousiasme zakt met de snelheid van ‘weer een deelwaarneming of (uitgebreide) steekproef’….ik durf te stellen dat er assistenten zijn die dergelijke steekproeven ‘afraffelen’, die steekproeven die niet werkelijk uitgevoerd worden kunnen camoufleren en komt de vraag of dat dan de kwaliteit van de controle ten goede komt?

Consultatie NVCOS 315 nieuw

Dit voorjaar werd kantoren gevraagd te reageren op de concept NVCOS 315. Ik werd getipt om vooral de reactie van EY te bekijken. Betreft brief aan de NBA van 3 mei 2021 (zie NBA-site). Daarin zit bij eerste bullit aan het einde van de alinea een intrigerende zin, ik citeer: ‘Echter zien wij in de praktijk dat weinig teams steunen op interne beheersingsmaatregelen aangezien zij het gevoel hebben dat een interne beheersingsmaatregel aan alle formaliteiten moet voldoen vooraleer hierop gesteund kan worden. Dit gevoel is gegroeid door de terugkoppeling van inspecties in de afgelopen jaren’. EY stelt m.i. de goede vraag: ‘Is de NBA voornemens om hierover om meer duidelijkheid te verschaffen hoe wij hier in de praktijk mee om kunnen gaan?’ Hieruit kun je (zonder veel fantasie) concluderen dat ook een grote partij als EY graag wil weten hoe we anno nu met systeemgerichte controles moeten omgaan….Extra bijzonder omdat die alinea begint met de schaalbaarheid van risico-inschattingswerkzaamheden en de mindere complexiteit van kleine organisaties….we zijn als zoekende accountants met velen…zeker als we een zeer belangrijke stakeholder d’r bij betrekken: de cliënt.

Verbazing bij cliënten

Het zijn overigens niet alleen de fris afgestudeerden waar het enthousiasme zakt. Deze week kreeg ik toch zeker 3 controllers of directeuren bedrijfsvoering aan de telefoon met de vraag. Nu vragen jullie bij de interim controle X [1] facturen op. Weet je wel dat dit allemaal in de Exact, Afas, Navision te vinden is, waarom moeten we dit opzoeken en aanleveren? Is dit nog wel een accountantscontrole van 2021? Een vraag die in het verlengde ligt van de vragen RvC en RvT’s die stellen na vermelding van de zin in de management letter waarbij we zeggen (verkort weergegeven) ‘we kunnen niet steunen op de ITGC’s en hebben daarom onze controle gebaseerd op gegevensgerichte werkzaamheden’. Soms zeggen accountants dat ze dan ook nog aanvullende gegevensgerichte werkzaamheden hebben moeten verrichten. Dat dit meerwerk is, maar dan heb je bij de offerte de werkzaamheden en de aanpak niet goed ingeschat..? Dat is echter ook lastig, ‘in opzet goede AOIB staat er dan in de voorwaarden’…. Dat slecht inschatten kan kantoren zeker overkomen. Wij hebben de afgelopen weken toch weer ervaringen van slechte inschattingen meegemaakt. Diverse offertes verloren. Zelfs een waarbij de concurrentie tot 64% goedkoper kon dan onze aanbieding…gemiddeld komen we zeker rond de 25% hoger uit dan (enkele [2] van) onze collega’s. Hoe zitten uren, budgetten en kwaliteit op één lijn? Wat doen de AQI’s op dit vlak vraag ik me af…

En de RvC’s en de RvT’s vragen zich, bij zinnen als ‘wij kunnen niet steunen op’ af ‘kunnen wij dan wel op interne cijfers vertrouwen’? De accountant is haar of zijn zaak immers niet zeker. We redden ons d’r uit door te vertellen dat we moeite hebben met vaststellen omdat we niet alles ZICHTBAAR kunnen controleren. Het zal in de praktijk best goed gaan, maar wij kunnen het niet vaststellen……bijzondere redenering als naar AOIB anno 2022 kijkt. Wat een verschil in benadering van bedrijven en hun accountants. En dat niet zichtbaar vaststellen heeft dat met de ‘gegevensgerichte keuze te maken’.  Wat kun je nog allemaal aan een PDF-je van een brondocument zien….?

Kromme redenering

Het blijft m.i. een kromme redening. We kunnen de betrouwbare werking van ‘key controls’ in de AOIB niet vaststellen (hoe doe je dat) en pakken daarom maar een in excel-berekende hoeveelheid van de ‘brondocumenten’. Waar komen die brondocumenten vandaan? Wie beheert de databases? Hoe worden die brondocumenten waardevol…. doordat ze een workflow doorlopen en ze (veelal op het document NIET ZICHTBAAR) worden verrijkt met autorisaties of wat we vroeger noemden ‘controletekens’.  Dat niet zichtbaar is wel een groot punt. Op basis van de facturen moet de accountant een oordeel vormen over juistheid en rechtmatigheid. De slimmerds pakken de ‘duale purpose’ even mee. Hebben slim dan ook maar gelijk de lijncontrole opzet en bestaan AOIB uitgevoerd. Deze data vertrouwen? Ik voel wappie-gevoel opkomen. En cliënten, overwegen zijn weer te gaan werken met:…..? 

Brondocumenten of ‘brondocumenten’

We hebben, ook in het MKB, volledig geïntegreerde systemen. Zelfs de ober op het terras pakt zijn scanner of zijn bestelapp en voert de wensen in. Of mensen scannen zelf de QR-code op de tafel, bestellen en (!) betalen. Maar zo zijn er scanners in het magazijn, ontvangstbevestiging in het systeem met track en trace, automatische online orders via een webapplicatie, bestellingen via webapplicatie, pakbonnen voor afdeling logistiek op de iPad, e-facturatie met idealbetaal link, kortom i ben op zoek naar wat dan precies die brondocumenten zijn. Slechts daar waar in de database nog Pdf-bestanden worden opgeslagen, daar kunnen we zelf wat reconstrueren, zonder onze beroemde ‘controletekens’ dat wel…dan. Maar zoals gezegd de controleslagen zitten in workflows in het ERP-systeem, de procurement-applicatie, en de betaalsoftware. Voegen we daar peppol of XML-facturen aan toe dan is het gehele administratieve proces geautomatiseerd. Daar is het fenomeen bronbestand een bericht van ‘oude tijden’. Daarmee wordt het steeds moeilijker om een (assistent-) accountant aan het werk te zetten met detailcontrole aan de hand van een brondocument. Het doet denken aan de oratie van R.W. Starreveld (UvA, 5-10-1959) en zijn latere inzichten. Zei hij nog dat het zo’n vaart niet zou lopen met ‘automatisering van het administratieve proces’….bij leven heeft die uitspraak herroepen. Hoe zou hij naar de huidige situatie kijken….?

Van brondocument naar bronbestand

Ja, zegt u nu, natuurlijk werken we niet meer met brondocumenten in de primaire processen. We werken met bronbestanden. Is dat dan fundamenteel anders? Een bestand kent ook de mogelijkheid om een ‘foto van een situatie’ te maken? Natuurlijk kunnen we een ‘stand-still’ van een proces of een database maken, proces monitoringtools winnen aan populariteit. Maar de betrouwbaarheid (integriteit zeggen IT-ers) van een database wordt bewaakt invoer, verwerkings- en uitvoercontroles. De volledigheid van een transactie wordt in de database bewaakt door verplichte velden en (wellicht) autorisaties op invoer of wijziging. De volledigheid van de transacties volgt uit (diverse) consistentiechecks die in de workflow of zelfs in de database zijn opgenomen.

Daarnaast zijn het systemen die direct aan elkaar gekoppeld handelingen initiëren en er komt geen menselijk handelen meer aan te pas. Het ‘stroomt maar door’ zou je kunnen zeggen. We kennen daar al hele simpele varianten van. Een verkooporder mag verwerkt worden als de marge < 20% + of – afwijking kent. Het automatisch afroepen van inkooporders bij laag voorraadniveau. Het automatisch genereren van een verkoopfactuur of zelfs het verwerken van de via ideal afgewerkte betaling. Kortom we zien grote invloed van de oude term: application controls. De kurk waar een systeemgerichte controle op drijft…. En we kunnen met inspecties, observaties en reperformance er ook best evidence over verzamelen…soms wat houtiger met een bak aan screenshots of soms vloeiend met software als screen-o-matic of andere screenrecording software. Over het testen van application controls komen we straks nog een keer terug….want sreenshots en screenrecording. We lachen er over 5, 10 of 15 jaar heel hard om. Wat een prehistorische controleren….

Ja, maar de ITGC’s zijn niet ‘steunbaar’

Ook bij bronbestanden is het m.i. nodig dat de ITGC’s op orde zijn. Belangrijke vraag die ons controleprogramma dan gaat stellen ‘kunt u steunen op de ITGC’s’. U wordt geholpen met de inventarisatie door vragenlijsten en documentatie, maar daarna komen de uitdagingen. Hoe ziet, in het kader van de IT de risico-formule er uit? Wat is een materiele afwijking of wat is een significante tekortkoming in de ITGC’s. We zien in de praktijk dat dan al gauw iets weten te vinden is wat niet goed werkt, zodat de assistent of controleleider of audit manager (na gelang uw praktijk meer Engels georiënteerd is)  al snel kiest voor ‘niet steunen op, gegevensgerichte controle’. Dat lijkt ‘the easy forward’, maar is dat gegeven het voorgaande over brondocumenten of bronbestanden ook wel de actuele realiteit? Bouwen we niet op drijfzand en krijgen daarmee datawappies toch gelijk? Of kunnen wij hun ongelijk niet bewijzen? Volgens mij moeten we uit deze conservatieve denkwijze omdat het een neerwaartse spiraal voor accountantscontrole is.

In het MKB niet zo’n vaart met ITGC’s op orde?

Daar kunnen we kort over zijn. De MKB-bedrijven van vandaag kunnen voor toegankelijke prijzen en acceptabele consultancykosten best een goede applicatie met worksflows laten draaien in hun bedrijf. Koppeling met webshops of andere (externe) elementen is soms simpele api, maar als het al enige specifieke consultancy vraagt, dan kost dat ook geen 10-duizende euro’s meer.

Daarnaast is er natuurlijk al een andere omwikkeling die we zien. Ten eerste neemt in het MKB de afhankelijkheid van IT in de meeste brede zin flink toe. Bedrijfsleiding is zich daarvan bewust. Ook omdat de IT-kosten een steeds groter hap van de bruto marge opslokt. En waren het nu ook allemaal reguliere kosten, maar veel IT-kosten gaan zitten in vastgelopen innovaties, kennis gebrek of vastgelopen van (key) gebruikers. Deze beide trends (afhankelijkheid en kosten) zorgen vaak een overstap naar een of andere cloud oplossing. Men besteed de applicatie uit via een online oplossing. Dat is toch al zo’n 20 jaar volledig geaccepteerd. Na miljoenen in Exact Online gepompt te hebben komt overigens een toonaangevend bedrijf nu toch met Exact Globe +. Dus niet alles wordt een cloud-oplossing, hoewel….waarop draait dan Globe+? Het MKB heeft haar applicatieserver ergens in een datacentre gehost. Of zelfs wordt de hele infrastructuur van netwerk, applicatie en databaseservers in een datacentre gedraaid. Daarmee komen nieuwe bedreigingen, maar ook nieuwe kansen. In die samenwerking ligt de formalisatiegraad zeker 10 keer hoger dan bij een eigen 0,5 fte systeembeheerder die het combineert met een andere minder voor de hand liggende functie, zoals ‘boekhouding’….dat brengt ons bij één van de grote uitdagingen die (ook in cloud of uitbestedingssituatie) zich voordoet:

Controller als superuser

Ja, we noemen dat ook wel ‘managing and controlling superuser access’ of de uitdagingen van ‘high privileged accounts’. De bottum line is wel, deze rechten of deze accounts zullen er altijd zijn, in ieder systeem. Echter hoe goed de controller ook probeert u van de noodzaak te overtuigen…u kunt die echt maar één keer in uw controle aantreffen. Bij het tweede controlejaar waarin uw aanbeveling niet is opgevolgd heeft u mijns inziens het potentieel risico van een subjectieve verhindering en een compleet vastzittende controle.  Eén ding is duidelijk, u dient veel aanvullend werk te doen bij deze constatering. En niet alleen vanwege de NVCOS 240…

Belangrijk is wel dat iets wat in de ITGC’s fout kan gaan, niet fout hoeft te zijn. Het User-ID met de hoge rechten kan wel bestaan, maar hoeft niet gebruikt te zijn…. ‘Can do is not did do’ zei een Amerikaanse IT-auditor ooit… dus een tegeltje in dit kader is wel:

Kan ≠ gedaan

We moeten echter het probleem van de controller als superuser nog wel iets uitdiepen. We spreken dan eigenlijk over wat in de IT ‘privileged accountmanagement’ genoemd wordt. Daar kun je gewoon in het MKB mee aan de slag gaan. Het gaat om combinatie van processen, procedures en technologische maatregelen. Daarmee kunnen we voor privileged – of superusers die ook financieel-administratieve taken verrichten maatregelen worden ingevoerd dat hij/zij ook de juiste dingen kunnen doen op basis van het principe ‘need-to-have/need to know’ en dat, als het account toch nodig is, er ook een audit trail functioneert.

We kijken naar vier rollen die zich dan voordoen. Daarbij is natuurlijk de meeste wenselijke oplossing dat deze vier functies altijd van elkaar gescheiden zijn. Dat dit bij de meeste MKB-bedrijven niet of niet volledig lukt zijn ons van bewust. Dat vraagt dus extra maatregelen. Na de vier aandachtsgebieden of rollen komen die aan de orde.

Operationeel

De controller moet voor haar (hier is een dame) operationele taken een regulier user-id met normale rollen en rechten hebben. Deze kan door de AD (active directory) ingeregeld worden om zo SSO (single sign on) te regelen. De admin rol in de windowsomgeving, die de AD beheert zou dus niet bij de controller moeten liggen. Zeker moet het admin-wachtwoord goed afgeschermd worden tegen misbruik of naïef gebruik. Zaken als een guestaccount dient in de AD altijd op inactive te staan. In het operationele proces moeten natuurlijk voor de controller de zaken rondom risicovolle processen goed worden afgeschermd. Daarbij dienen mandaten goed in workflow-processen vast te liggen. Autorisatie in betaalproces zijn daarbij cruciaal. Traditionele 4-ogenprincipe (dubbele autorisatie) moet de accountant nog steeds keihard vastgesteld hebben. Dit doet denken aan de klassieke AOIB, maar u moet kennis van de applicatie en bij SSO van de AD hebben. En er moeten beleidsafspraken zijn. Ik denk daarbij aan:

  1. Inrichting van de organisatie…Starreveld zal ons prijzen: goede functiescheidingen. Operationeel en op secundair niveau ook rondom IT-beheersprocessen;
  2. Procedures rondom inname en uitgave van rollen en rechten, calamiteitprocedures of werken op afstand;
  3. Interne controle op rollen en rechten en specifiek de procedures met hoog risico.

Applicatiebeheerder

De controller wordt (gelukkig) al gauw betrokken bij de implementatie van de ERP-oplossing voor de onderneming. Daarmee doet zij of hij ook veel kennis op van de applicatie. De hiaten die daarbij bloot komen te liggen of zelfs juist niet bloot komen te liggen zijn, zo blijkt bij veel reconstructies van fraudes, de aanleiding geweest voor de fraude. “Het was zo gemakkelijk”.  Kortom naast moreel besef moeten ook maatregelen getroffen worden rondom de rol van de applicatiebeheerder. Bij voorkeur is dat iemand buiten de financieel-administratieve processen. Als het toch de controller is, dan wordt in die functie gewerkt met afzonderlijk user-id. Met strenge wachtwoordpolicies en melding van de ‘last pass’ en dergelijke.  Het blijft van groot belang dat de taak van de controller in operationele zin gescheiden wordt van de taak als applicatiebeheerder. Bij een applicatie als Navision zien we rollen als admin, sysadmin, 00all voorbij komen die niet regulier in handen van de controller hoeven te zijn. Als deze bij uitzondering gebruikt moeten worden, dan gaan extra maatregelen gelden. Daar over zo meer.

Systeembeheerder

Deze rol zien we (gelukkig) in het MKB steeds meer in de handen van de externe partijen komen. De systeembeheerder kan echter ook werken met de systeembeheerder rol. De system-admin user of bijvoorbeeld root bij unix kan opgeborgen worden in de kluis en het wachtwoord kan bij uitzondering worden uitgegeven. Voor de kluis zie verder op de beschrijving van de extra maatregelen. Als internen of externen met het system-user-id aan de slag moeten dan moeten we daar bijvoorbeeld zeker een tijdsklok opzetten.

Databasebeheerder

De dB-manager is de functie die het meest dicht op de data dus de transacties zit. Werken in operationele data via dit user-id is zeer hoog risico, vaak zijn daarmee de mogelijkheden om handelingen te camoufleren groot. Een hard geprogrammeerde logging op deze functie is dan ook zeer wenselijk. In deze rol daadwerkelijke ingrijpen in transactiestromen vraagt echter wel veel kennis van de dB-structuur, alle tabellen en integriteitschecks. Het is zeker niet onmogelijk en met de komst van meer en meer power-Bi-achtige tools neemt de kennis van controllers over de tabellenstructuur ook snel toe. Alle sysusers op de dB moeten goed in beeld gebracht worden en als dat duidelijk is zou je via logging moeten achterhalen wie welke verwerkingen heeft verricht.

Extra maatregelen controller als superuser

  1. Basisprocedures
  2. High privileged safe
  3. Limited use
  4. Keystroke logging en session audit

Ad 1. De basisprocedures die nodig zijn, zijn ‘beperkte rechten voor systeembeheer’, slechts wat nodig is voor zijn of haar functie. Uitgangspunt is ‘trust no one’. Een tweede procedure is de snelle sluiting van toegangsrechten als risico’s zijn gesignaleerd. Dat geldt zeker ook bij vertrek of ontslag. Daarbij geldt de regel. User-id intrekken zo vroeg mogelijk in het proces. Laatste maatregel is het vastleggen van de systeembeheerder activiteiten.

Ad 2. Het is mogelijk middels software om de wachtwoorden of toegangsauthenticatie extra beveiligd te organiseren. De klassieke enveloppe in de kluis bij het directiesecretariaat is inmiddels geautomatiseerd. Deze software wordt ook wel PPM genoemd. Privileged password manager is onderdeel van een systeem van beheren van rollen en rechten. Het is speciaal gericht op alle system of admin accounts die ‘hard-coded’ zijn in de software. Dat is dan namelijk niet meer nodig en voorkomt het risico dat je wachtwoorden kunt terugvinden in de scripts.

Ad 3. Limited use gaat ook over de tijdsfactor. Een dergelijk user-id moet een tijdslimiet kennen. Software dwingt dat af en voorkomt langdurig gebruik of langer tijd inactief zijn.

Ad 4. Software als PSM (privileged sessions manager) regelt dat ieder aanslag wordt vastgelegd en dat er ook voldoende zoekfaciliteiten zijn. Deze software staat zeg maar boven de logging of auditfunctie in een applicatie. De accountant zal bij zijn of haar controle bij die logging beginnen. Applicaties als AFAS hebben daar harde en goede en harde logging voor. PSM gaat over unix, windows, AD, web-applicaties, databases, hardware en servers. Daarmee zitten we al dichter op IT en IT-audit.

Steunen op ITGC’s

Het is in de nieuwe NVCOS 315 (vanaf 15-12-2021….) die al bij vraag 2 begint met vragen over de IT-omgeving van de cliënt. Als de inbrengers van de P6-methode in de integrated auditapproach kunnen we ons prima vinden in de stappen die de nieuwe 315 van ons vraagt.

Van materiele posten naar de significante processen (STRT’s) naar de relevante applicaties (STRT’s door ICS’s) naar het identificeren van de ITGC’s die daarmee relevant zijn voor de jaarrekeningcontrole. Dan het evalueren van de IT-controles (applicatie en ITGC’s) voor de controle en dan het uitvoeren van de relevante testwerkzaamheden. Door de collega’s van Kriton mooi weergegeven:

Het uitvoeren van testwerkzaamheden op ITGC’s stuit nog wel op enkele uitdagingen. Nadat we vastgesteld hebben wat de relevante ITGC’s zijn (het object) moeten we nog vaststellen aan welke norm we deze gaan toetsen.

Dan doen zich bevindingen voor. Eerst moeten we dan vaststellen of alles wat (fout) kan (gaan) ook daadwerkelijk fout is gegaan? En als we dan toch fouten hebben kunnen vaststellen doet zich, in het licht van de relevantie, de accountantsvraag voor ‘wat is de invloed op de RAMB’? Is de bevinding ook daadwerkelijk zo materieel voor de controle. Een IT-auditor ziet in een bevinding de een lek in de beveiliging, een gat in de dijk. Het moet 100% waterdicht zijn, maar we weten dat dit nooit het geval is. Hoe gaan we dan om afwijkingen van de norm als het gaat om simpele wachtwoordsyntax? Erg lange ‘aging van een wachtwoord’. Onvoldoende testwerkzaamheden op een minor change? Een uitwijktest met niet de laatste kopie van de productiedatabase? De realiteit van het heden is dus ook: we krijgen nieuwe materialiteitsafweging te maken. Aangezien we efficiënt willen werken houden we ons op applicatieniveau graag vast aan de ‘test of one’ ook wel de To1. We hebben alle ITGC’s goed in beeld, de changes inhoudelijk beoordeeld en dus durven we uit te gaan van het slechts één keer testen van een application control. Een momentopname, dat zeker! Een daarbij komende leuke uitdaging is ook nog de vraag …zijn alle vormen van testwerkzaamheden op de AC’s even impactvol voor het verkrijgen van evidence….

Dus….geen gegevensgerichte controles meer?

Momenteel kan 100% systeemgerichte controle helaas niet. De NVCOS geeft ons, zeker in COS 330 en 240 nog de nodige ‘handmatige controlewerkzaamheden’ mee. Er is sprake van bepaalde gegevensgerichte werkzaamheden ten aanzien van de volgende zaken:

  1. Alle materiele transactie stromen, balansposten en toelichtingen in de jaarrekening;
  2. Materiele journaalposten
  3. Aansluitingen tussen jaarrekening en administratie;
  4. Elk significant risico
  5. Doorbreking van de AOIB door de leiding

Ook in de COS 540 kan sprake zijn van door de accountant uit te voeren puntschattingen. Ook iets was de accountant toch echt zelf moet doen….

Daarbij zij we ons best bewust van documenten die wel bestaan in de digitale wereld. Denk aan arbeidscontracten, notariële akten of onderhandse overeenkomsten. Zelfde geldt voor documenten als uittreksels, statuten of leningovereenkomsten.

Dus gegevensgericht werk blijft. Maar dan toch vaak voor bovengenoemde zaken, alles wat betrekking heeft op transacties in verkoop-, productie, logistieke of inkoopprocessen is inmiddels overgaan naar stroomgrootheden, workflows of gedigitaliseerde processen met gedigitaliseerde (online) autorisaties. Aha, daar wringt de schoen. Bij mijn klanten zijn de rechten in een significante applicatie of zelfs op netwerkniveau niet op orde….het is nog erger. De controller (hoofd administratie, manager financiën, CFO) heeft superuser-rechten of zelfs admin-rechten…..daar kunt u nu dus wel iets tegenin brengen….

Nieuwe gegevensgerichte werkzaamheden

En er komen nieuwe ‘gegevensgerichte’ werkzaamheden voor terug. Deels uit oogpunt van hiaten in IT-beheersing, deels om fraudekansen te detecteren. Daarbij denk ik aan data-analyse 2.0. Het inzetten van de data-analyse tools maar toch ook nog wel excel bij MKB-bedrijf om antwoord te geven op de vraag:

‘Kan doen is ook gedaan’?

Belangrijkste is nog wel, dat IT niet of nooit stil staat. Dat is ook het uitdagende en dus ook voor accountants geldt de uitspraak van Heraclitus…alles stroomt en niets is blijvend…ook wel leuk dat er steeds een nieuwe uitdaging komt…wat dacht van auditing en systeemgerichte controle van nieuwe impact accounting systems….

Uitdagingen van de datawappies in schema weer gegeven:

Kortom voldoende uitdaging en never a dull moment in de accountancy. Maar laten we ons niet gedragen als datawappies. Aan de slag met data in stromen en IT als fundament.

[1] Afhankelijk van diverse inschattingen in risicomodel van de SRA-steekproef. Gemiddeld zo’n 60 stuks.

[2] Namen zijn bij de auteur bekend