Je column van 6 maart jl. heeft mij in verwarring gebracht. De reacties op deze column zijn ook verontrustend. Op een aantal punten ben ik het 100% met je eens, maar op even zoveel punten 100% oneens.
Waar ik het volstrekt mee eens ben, is dat:
- organisaties complexe systemen zijn, waar heel veel verschillende dingen op allerlei manieren fout kunnen gaan;
- het inschatten van risico’s nog weleens misgaat. Bij het uitvoeren van data-analyses komen vaak risico’s, transactiestromen of tendenties aan het licht die anders zijn dan het team van tevoren had ingeschat;
- standaardisatie op sommige punten van grote toegevoegde waarde kan zijn. Voor veel voorkomende en voor de hand liggende risico´s kan dit, met name jonge, mensen snel op weg helpen.
Waar ik het volstrekt mee oneens ben, is dat dit op te lossen is door standaardisatie alleen. Organisaties zijn complexe systemen met een verscheidenheid aan risico´s. Een standaardaanpak zal voorlopig nog niet volstaan om al die risico´s te adresseren. Dit durf ik te stellen op basis van de verrassingen uit de hiervoor aangehaalde data-analyse. Dergelijke verrassingen komen met name voor bij teams waar de controle ‘gestandaardiseerd´was door de invloed van beroepsbeoefenaren die het eens zijn met je column. Dit wordt veroorzaakt door twee effecten:
- Fouten in posten kunnen meerdere oorzaken hebben (organisaties zijn immers complex). De meest belangrijke daarvan liggen op het gebied van schattingen of complexe transactie die niet allemaal in een standaard controleprogramma kunnen worden gestopt.
- Het team het kritisch en analytisch vermogen moet hebben om tijdens de uitvoering van de standaardwerkzaamheden alert te zijn op andere mogelijke oorzaken van een fout. Maar uit wetenschappelijk onderzoek blijkt al jaren dat wanneer mensen werken op basis van een stappenplan waarin staat: ‘kijk links’, zij niet naar rechts zullen kijken.
Gevaarlijke stelling
Dat brengt mij op het laatste punt waar ik het niet mee eens ben en waar bovendien een gevaarlijke stelling wordt geponeerd. Dat is de boodschap dat een statistische steekproef een oplossing biedt voor het vraagstuk van voldoende gegevensgerichte werkzaamheden. Ook die opvatting is bekend van vakgenoten die standaardisatie aanhangen. Die vakgenoten vergeten echter twee belangrijke dingen:
- Bij het statistisch juist trekken van een steekproef moeten eerst homogene massa’s worden afgezonderd en in die massa’s moeten qua risico gelijksoortige items bij elkaar zitten. Dus ook dan is risicoanalyse nodig. Zonder begrip van de massa en inzicht in wat er fout kan gaan, kan die stratificatie onmogelijk goed plaatsvinden.
- Bij het trekken van een steekproef moet ook de verwachte fout als inputvariabele worden meegegeven. Bij weinig verwachte fouten is de steekproef kleiner, en bij meer verwachte fouten groter. Ook dit is een risico-inschatting, met een diepgaand effect op de uit te voeren werkzaamheden.
Toon
De meeste moeite heb ik met de door jou, omwille van de discussie, gekozen toon. Je kunt de inspanningen van accountants die naar eer en geweten de COS’en proberen te volgen, niet zomaar afdoen als ‘redeneren in plaats van controleren’. Zeker niet als je je, samen met andere voorstanders van standaardisatie, geheel niet inspant om te zoeken naar de beste combinatie van risicoanalyse en standaardisatie. In plaats daarvan propageren jullie dat er een gestandaardiseerde aanpak bestaat die wél alle complexiteit van vandaag de dag kan adresseren. Kijk, dát is pas een verkeerde risico-inschatting.
Tom Koning is werkzaam bij Cygnus Atratus, contentleverancier en adviesbureau op het gebied van kwaliteitsbeheersing bij accountantsorganisaties.
Reactie Marianne van der Zijde, 10-3-2017
Tom,
Leuk dat je reageert en de discussie ook naar dit platform brengt! Een korte reactie. Mijn stuk is geen aanval op diegene die naar eer en geweten de COS proberen te volgen. Dat is ook wat van accountants wordt verwacht. Ik zie wel dagelijks hoe lastig dat is omdat er zoveel professionele oordeelsvorming wordt gevraagd en niet helder is wanneer je het als accountant goed doet. Dat levert in de praktijk veel stress op. Mijn motto is nog altijd accountantscontrole leuker en beter maken.
Mijn hoofdstelling. De oorspronkelijke reden voor introductie van risico-analyse: economische rationaliteit (je kan niet alles controleren en moet dus slim kiezen wat je wel en niet doet) in rap tempo achterhaald aan het worden is. Door digitalisering (data-analyse in brede zin) is integrale controle van transactiestromen nu al c.q. binnen afzienbare termijn economisch rationeel en veel rationeler dan risico-analyse.
Standaardiseren is in mijn ogen afspreken met elkaar hoe je een post gaat controleren op de meest slimme manier. Met gebruikmaking dus van de meest vooruitstrevende digitale controletechnieken. Dat vervolgens de uitkomsten van toepassing van die technieken moeten worden geanalyseerd en goed geïnterpreteerd: ja daar is oordeelsvorming voor nodig.
Voor mij is de vraag: hoe gaan we dat met z’n allen voor elkaar krijgen? Hoe krijgen we zicht op dat einddoel? En ja: daarbij zullen we allerlei beren op de weg tegenkomen, maar dat is voor mij geen reden om die weg niet op te willen gaan en alles bij het oude te laten. Doe je mee?
Wat mij betreft volgt Tom een prima gedachtenlijn. Een lijn die terecht aangeeft dat de biotoop die organisatie heet verder gaat dan feiten, cijfers en checklists. Organisaties zijn complex en dan niet alleen in technisch opzicht maar vooral vanuit sociaal perspectief. Ik gun dan ook eenieder – dus ook de accountant – om organisaties te bekijken vanuit de volgende optiek. “Weten vraagt meer dan weten”. De titel van een meer dan lezenswaardig boekwerk van de hand van Christien Brinkgreve, Sanne Bloemink en Erik Koenen. Verplichte kost voor de accountant en adviseur!
Een kleine tikfout: “Meten vraagt meer dan weten”, is de titel
Beste Marianne,
Je herhaalt hierboven je standpunt, maar gaat niet in op de argumenten van Tom Koning. Is de conclusie dat hij gelijk heeft?
Beste Marianne, standaard waardevolle data-analyses staan klaar en werken ook. Maar er is een groep die allerlei beperkingen en onmogelijkheden ziet. Die groep luistert wel naar jou, ze gebruiken zelf je columns bij toetsingen als jurisprudentie. Dus wat mij betreft hoog tijd dat we de koppen bij elkaar steken.
Een heel herkenbare discussie tussen twee kampen die naar mijn mening nu al meerdere jaren loopt. Ik beschouw het als een NVCOS-kamp (in dit geval vertegenwoordigd door Tom) en een (AFM/SRA) toezicht-kamp (in dit geval vertegenwoordigd door Marianne). Hier zal wellicht niet iedereen het mee eens zijn, maar ik vraag me wel af hoe de gedachtegang van Marianne in de NVCOS past.
Mijns inziens is het van groot belang dat er nu een keer duidelijkheid komt voor de beroepsgroep in zijn geheel. Zodat ik als accountant weet wat er verwacht wordt en dit ook ‘algemeen geaccepteerd’ wordt. Als dit uitmondt in steeds meer standaardisatie in plaats van risico-analyse, dan is dat in ieder geval helder. Dat ik me dan af ga vragen of ik dit beroep wil blijven doen (omdat het voor mij dan minder leuk wordt), dat is dan mijn probleem.
Meten is Weten en Gissen is Missen
Mijn opinie is bedoeld food for thought en ik verwacht dat professionals daar ook op die manier mee om kunnen gaan. Je kan het met me eens zijn of niet. In mijn opinie geef ik onderbouwd aan waarom ik denk dat risico-analyse een achterhaald model is voor de accountantscontrole omdat het conceptueel te complex is, de uitkomst afhankelijk is van de professional die het toepast en de snel digitaliserende financiële wereld zicht geeft op veel simpelere en effectievere controlemethoden. En in de tussentijd: volg gewoon de COS en voer een risico-analyse uit. Het is altijd goed om posten/stromen en beweringen te identificeren waar risico’s inzitten en daar specifiek gerichte werkzaamheden op te doen. En als je daadwerkelijk kunt onderbouwen (en dat kan niet je onderbuikgevoel zijn) dat in materiële posten/stromen onmogelijk kwantitatieve en kwalitatieve (fraude) afwijkingen kunnen voorkomen: ook prima.