De data analyse volwassenheidsschaal voor Internal Audit
De Data Analyse volwassenheidsschaal voor Internal Audit: 5 belangrijke overwegingen
13 januari 2022 

De Data Analyse volwassenheidsschaal voor Internal Audit: 5 belangrijke overwegingen

De Data Analyse volwassenheidsschaal voor Internal Audit: 5 belangrijke overwegingen

Organisaties worden zich bewust van de voordelen van het verbeteren van data analyse in hun interne audit (zoals blijkt uit de resultaten van ons Audit Trends 2020 rapport). In dit artikel richten we ons op de beslissing over de volwassenheid van data analyse: welke mix en welk niveau van data analyse is geschikt voor de organisatie in kwestie?

Om deze vraag te beantwoorden, nemen we vijf belangrijke overwegingen door die essentieel zijn voor het beantwoorden van deze vraag:

  • Verschillende soorten data analyse;
  • Potentiële voordelen van geautomatiseerde data-analyse;
  • De data analyse-volwassenheid;
  • Algemene overwegingen bij het nemen van de beslissing over de volwassenheid van data analyse
  • De volwassenheid, beslissing en compliance audit

 

1. Verschillende soorten data analyse

 

Eenvoudig gezegd is "data analyse" het onderzoeken en verkrijgen van inzichten uit gegevens. Op het eerste gezicht staat data analyse centraal in de traditionele interne audit: een eenzame auditor die dubbele betalingen voor inkooporders in journaalposten opspoort, maakt gebruik van data analyse. De vraag voor een organisatie is dan ook niet óf, maar hóe zij data-analyse bij internal audit wil introduceren.

Om deze vraag te beantwoorden, moet de organisatie verschillende soorten data analyse overwegen:

  • Descriptive analyse interpreteert historische gegevens. De auditor met zijn hierboven geschetste journaal voert descriptive/statistische analyses uit.
  • Predictive analyse voorspelt toekomstige uitkomsten op basis van historische gegevens. Een eenvoudig, bekend en effectief voorbeeld van predictive analyse in audit is het gebruik van Benford’s law bij het opsporen van mogelijk frauduleuze transacties. Een voorspelbare verdeling van getallen in veel natuurlijk voorkomende reeksen kan worden gebruikt om onregelmatige transacties te identificeren.
  • Diagnostische analyse onderzoekt de gegevens en vraagt "waarom?" Een eenvoudig voorbeeld: een toename van het aantal wanbetalingen op leningen bij een bank kan correleren met een toename van het aantal goedgekeurde leningen, wat wijst op versoepelde leningscriteria als de oorzaak van de wanbetaling.
  • Prescriptive analyse identificeert de beste handelwijze op basis van de analyse van gegevens. Door bijvoorbeeld verdenkingen van fraude op twee afzonderlijke gebieden te vergelijken met twee afzonderlijke controles, kan prescriptive analyse de voorkeur geven aan controles.

 

2. De potentiële voordelen van geautomatiseerde gegevensanalyse

 

De verschillende soorten analyse die hierboven zijn beschreven, kunnen allemaal handmatig worden uitgevoerd. De belangrijkste voordelen vloeien echter voort uit het automatiseren van data analyse. Enkele potentiële voordelen zijn:

  • Testen van controles: Met software kunnen auditors 'scripts' gebruiken. Een reeks instructies aan de software toevoegen om te onderzoeken of interne controles zijn geschonden. Het script vermindert niet alleen de impact van menselijke fouten, die onvermijdelijk zijn bij een handmatige controle, maar maakt de actie ook gemakkelijk herhaalbaar. Tevens is het gebruik van deze scripts een mogelijkheid om tijd te besparen om overige werkzaamheden uit te voeren;

  • Gegevensintegriteit: De handmatige overdracht of extractie van gegevens voor interne auditprocessen verhoogt de kans op gegevenscorruptie, die door automatisering kan worden geëlimineerd;

  • Audit van de gehele populatie: Traditioneel is audit sterk afhankelijk van steekproeven om conclusies te trekken over de gegevens als geheel. De snelheid van geautomatiseerde analyses biedt de mogelijkheid controles te evalueren over het geheel van de gegevens;

  • Lagere financiële kosten: in sommige gevallen kunnen gegevensanalytici tijd vrijmaken voor meer routinematige taken van auditors, zodat zij zich kunnen richten op auditactiviteiten met toegevoegde waarde.

 

3. De data analyse-volwassenheid

 

Wat de voordelen van het automatiseren van data analyse ook zijn, de organisatie moet op strategisch niveau bepalen hoe data analyse het beste kan bijdragen aan de auditdoelstellingen van de organisatie. Dit omvat het onderkennen hoe data analyse kan bijdragen aan de selectie, planning, uitvoering, rapportage en follow-up fasen van de audit.

Deze strategische activiteit kan baat hebben bij een beschouwing van data-analyse in termen van 'volwassenheid'. Een volwassenheidsschaal voor data-analyse varieert van 1 tot 5, afhankelijk van het type analyse dat wordt ingezet, de mate van automatisering, regelmaat en integratie met andere bedrijfssystemen.

Volwassenheidsschalen zijn gebruikelijk om het vermogen van data-analyse in verschillende bedrijfstakken te verklaren. KPMG heeft de onderstaande vijfpunten schaal voorgesteld voor internal audit (hoewel hun aandacht in dit geval uitgaat naar de plannings- en uitvoeringsfasen):

  1. Traditionele auditing: Data analyse kan worden gebruikt, maar is voornamelijk beschrijvend en wordt toegepast tijdens de planningsfase.
  2. Ad-Hoc Geïntegreerde Analyse: Dit kan zowel beschrijvende als diagnostische analyse omvatten in de plannings- en uitvoeringsfasen (bijv. het identificeren van uitschieters), maar wordt eerder op een 'ad-hoc' dan op een systematische manier uitgevoerd.
  3. Continue risicobeoordeling en -audit: Dit kan alle soorten of categorieën van data analyse omvatten in een vooraf gedefinieerde geautomatiseerde set. Deze set levert doorlopend gegevens aan auditors.
  4. Geïntegreerde Continuous Auditing en Continuous Monitoring: Een volledige set van geautomatiseerde analyse wordt ingezet, en ze maken continue monitoring door het management mogelijk, evenals een continue gegevensstroom naar de audit afdeling. De systemen zijn grotendeels naadloos op elkaar aangesloten en geïntegreerd.
  5. Voortdurende verzekering van Enterprise Risk Management: Een volledige set van geautomatiseerde analyses wordt ingezet, net als bij niveau 4. Daarnaast wordt nog meer de nadruk gelegd op het afstemmen van continue gegevensanalyse op strategische ondernemingsdoelstellingen. Het interne auditplan is "dynamisch" in antwoord op risicofluctuaties.

 

4.  Algemene overwegingen bij de volwassenheidsbeslissing

 

Het voordeel van de volwassenheidsschaal is dat deze erkent dat data-analyse geen 'alles of niets' aangelegenheid is: Bij de meeste interne audits wordt een zekere mate van gegevensanalyse toegepast. Aan de andere kant zou men kunnen denken dat de volwassenheidsschaal impliceert dat het 'beter' is om verder op de schaal te staan.

Er is een andere manier om ernaar te kijken.

Het gewenste volwassenheidsniveau hangt af van de specifieke risico's, de risicobereidheid, de beperkingen en de controledoelstellingen van de organisatie (zo zijn voor kleinere organisaties de kosten en moeite van de implementatie van gegevensanalyse op niveau 5 waarschijnlijk niet de moeite waard).

Samen met de beslissing over de volwassenheid van data analyse moet de organisatie beslissen welke instrumenten zij daarvoor zal gebruiken. Voor een grotere analyse-functionaliteit zijn meer gespecialiseerde of krachtige oplossingen nodig. Terwijl desktopinstrumenten (bv. Excel of Access) in sommige gevallen zullen volstaan, kan in andere gevallen bedrijfssoftware (bv. SAS of Oracle) of gespecialiseerde auditoplossingen (zoals CaseWare IDEA) noodzakelijk zijn.

Bovendien moet de organisatie bij het nemen van de volwassenheidsbeslissing rekening houden met de optimale vaardigheden voor interne audit. Volwassenheid vereist de juiste mix van expertise op het gebied van data-analyse. Dit kan worden bereikt via opleiding of detachering van bestaande auditors, of directe aanwerving van specialisten op het gebied van data-analyse.

 

5. De maturiteitsbeslissing en compliance audit

 

Zoals hierboven vermeld, kan de volwassenheidsbeslissing niet worden genomen zonder na te gaan hoe data-analyse kan helpen zekerheid te verschaffen voor de specifieke risico's waarmee die organisatie wordt geconfronteerd. Als voorbeeld geven wij drie compliance risico’s waaraan organisaties mogelijk aandacht moeten besteden. Hierbij wordt gekeken hoe data-analyse toegepast kan worden in de audit terugkoppeling:

  • Gegevensbescherming: De General Data Protection Regulation (GDPR) stellen strenge eisen aan bedrijven die met Europese consumenten te maken hebben. Twee gebieden met een aanzienlijk compliance risico zijn datalekken en responstijden op verzoeken van klanten om hun eigen gegevens ("data subject access requests"). Hier kunnen scripts worden toegepast op alle gegevens van de organisatie om de toereikbaarheid van de bestaande controles te testen;

  • Anti-witwaspraktijken (AML) en Know Your Customer (KYC): Een cruciale vereiste voor de naleving van deze wetten is identiteitsverificatie. In plaats van een willekeurige steekproef van geverifieerde identiteiten te nemen, kunnen voorspellende analyses worden ingezet om een steekproef te identificeren van de identiteiten die het meest waarschijnlijk frauduleus zijn.

  • Toegang tot nutsvoorzieningen: In veel rechtsgebieden zijn nutsbedrijven verplicht om klanten die in aanmerking komen voor financiële hulp niet af te sluiten. De gevolgen van niet-naleving kunnen ernstig zijn (levensreddende klanten kunnen bijvoorbeeld afhankelijk zijn van een elektriciteitsaansluiting om te overleven). Diagnostische analyse zouden kunnen worden gebruikt om verschillende datasets te onderzoeken om te bepalen wat correleert met een hoog niveau van onterechte afsluiting. Diagnostische analyse zouden bijvoorbeeld gegevensreeksen over afgesloten klanten kunnen vergelijken met gegevensreeksen over klanten die in aanmerking komen voor financiële steun om vast te stellen waar gegevens niet op de juiste manier met elkaar in verband zijn gebracht.

 

Welke mix van analyse en automatisering is geschikt voor jou?

 

De belangrijkste vraag voor organisaties is niet of ze data analyse moeten introduceren bij internal audit, maar welke mix van analyse en analyse-automatisering geschikt is voor die organisatie. Een nuttige manier om hierover na te denken is met een data analyse volwassenheidsschaal: De organisatie kan zich op de schaal positioneren, afhankelijk van de risico's die zij loopt, haar risicobereidheid, haar beperkingen en haar auditdoelstellingen.

Wij hebben drie voorbeelden gegeven waarbij data-analyse nuttig kan zijn bij compliance-audits. Elke organisatie moet als onderdeel van haar volwassenheidsbeslissing nagaan hoe data-analyse ingezet kan worden bij de audit van de specifieke risico's waarmee de organisatie wordt geconfronteerd.