01-04-2016Push-leftprincipe helpt internal auditors met toepassen van analytics | ||
Data analytics bieden vele mogelijkheden voor de innovatie van het werk van internal auditors, maar de praktijk leert dat die nog onvoldoende benut worden. In dit artikel bespreken Jacques de Swart, Jan Wille en Michael Zuur, allen werkzaam bij PwC Advisory, hoe het push-leftprincipe internal auditors helpt om data analytics te positioneren in hun werk. De toegenomen belangstelling voor data analytics leidt tot hoge verwachtingen en mogelijkheden, ook voor internal auditors. De situatie lijkt een beetje op big data: iedereen heeft het erover, maar (bijna) niemand gebruikt het nog. We noemen drie soorten verwachtingen. 1 – Kwantificering Ook wordt de internal auditor geacht zijn unieke onafhankelijke positie en toegang tot databronnen om te zetten in op feiten gebaseerde observaties waar de organisatie op kan acteren. Niet alleen de interne maar in toenemende mate ook externe data, kloppen elke dag weer op zijn deur met de brutale boodschap: misschien bevatten wij wel toegevoegde waarde waardoor de organisatie beter in staat zal zijn haar doelen te verwezenlijken. Deze combinatie maakt de vraag of internal auditors ook kwantitatief kunnen duiden wat hun toegevoegde waarde is – inclusief de kans dat zij in hun beoordeling iets over het hoofd zien – op termijn onvermijdelijk. 2 – Effectiviteit 3 – Data driven audit Push-left data analytics als antwoord op uitdagingen Data analytics maken het de internal en external auditor mogelijk om elk van de vier risico’s te kwantificeren. Waar dit niet mogelijk is schrijft het voorzichtigheidsbeginsel een risico van 100% voor. Slimme statistische modellen op diverse databronnen zorgen voor nieuwe mogelijkheden voor de kwantificering van met name het inherente risico, het interne beheersingsrisico en het cijferanalyserisico. Met deze vier risico’s kan de auditor het risico dat hij een tot een verkeerd oordeel komt kwantificeren. Het push-leftprincipe betekent dat een auditor start aan de rechterkant (steekproef/cijferanalyse) en op basis hiervan kijkt naar het interne beheersingsrisico om dan stil te staan bij het inherente risico. Vaak zullen audits precies andersom gaan. Starten met het inschatten van inherente risico. Dan kijken naar processen, het beoordelen van interne beheersingsmaatregelen om te eindigen bij een steekproef (van links naar rechts). Echter, de belangrijkste meerwaarde van het push-leftprincipe volgt als we juist van rechts naar links gaan. De internal auditor kan elke bevinding (bijvoorbeeld uit een steekproef) die hij zelf doet gebruiken om de zekerheid links van hem te vergroten. Als we rechts beginnen betekent dit dat hij gevonden fouten in zijn steekproeven gebruikt bij zijn cijferanalyses. Inzichten uit de cijferanalyses en steekproeven kunnen leiden tot business rules die in de interne beheersing van de processen kunnen worden ingebed. Geconstateerde zwakheden in de interne beheersing die zo worden ontdekt, kunnen leiden tot aanbevelingen tot productrationalisatie ter verlaging van het inherente risico, zodat delen van de interne controle overbodig worden. Een dergelijke aanbeveling is de ultieme push left. Hoe verder naar links de aanbeveling doorwerkt hoe hoger doorgaans ook de toegevoegde waarde. Het bovenstaande wordt aangegeven met de drie push-leftpijlen onder de figuur. Binnen de organisatie bevindt de internal auditor zich rechts in de keten, terwijl hij via zijn controlemix wel de risico’s in de hele keten in kaart brengt. Hij heeft dus de mogelijkheden om een beweging naar links te initiëren. Op basis van de bevindingen van de toezichthouder of de externe auditor krijgt hij vanuit rechts ook nog eens goede ideeën voor steekproeven en cijferanalyses in zijn schoot geworpen. Naast het afgeven van gekwantificeerde zekerheid als daar aanleiding toe is initieert hij zo ook verbeteringen in zijn organisatie. Dit zijn de op feiten gebaseerde observaties waar de organisatie op kan acteren en waarvoor de internal auditor meer waardering zal oogsten en meer waarde zal kunnen toevoegen. Hij doet dit primair als continue verbeteraar van zijn eigen organisatie en pas secundair als verbeteraar van de auditprocessen. Kortom, het push-leftprincipe zorgt ervoor dat de internal auditor zijn onzekerheid kwantificeert, steeds effectiever werkt maar vooral ook continu verbetering aanjaagt binnen zijn organisatie. Last but not least, zijn werk wordt er een stuk interessanter door en eventueel koudwatervrees voor data analytics zal snel omslaan in enthousiasme en kansen! Jacques de Swart is als partner verantwoordelijk voor de data-analytics afdeling van PwC Advisory. Jan Wille en Michael Zuur zijn beiden senior manager binnen de data-analytics afdeling van PwC Advisory. |
01-04-2016