4. Continue signaleren
Bedrijfsbreed
Permanent kunnen
controleren van belangrijke
processen.
Tijdige notificatie van trends
en uitzonderingen ter
ondersteuning van risico
beheer
Ad – hoc
Auditor
Verkennend met beperkt
aantal bronnen
Geen vaste frequentie
Gedocumenteerde
conclusies en
aanbevelingen
Gepland
Audit team
Periodieke controle van
processen met meerdere
bronnen
Verbeteren efficiency,
consistency en kwaliteit audits
Continu uitvoeren van (audit)scripts
om direct fouten, uitzonderingen en
trends te identificeren
Specifiek voor het genereren
van audit bevindingen o.b.v. een
moment opname.
Routinematige audits door
specialisten vanuit een
standaard aanpak.
24/7
365
Continue Auditing
Verbeteren
Permanent kunnen leren
van belangrijke
processtappen.
Snel trends en
uitzonderingen ter
ondersteuning van risico-
en proces beheer
Continu zien hoe het proces
werkt en waar zich afwijkingen
en bottlenecks manifesteren
24/7
365
2017 2020
CONEY ONDERWEG NAAR CONTINUOUS AUDITING
5. Data Driven Controle Aanpak
ONDERZOEKEN VAN IST DATA:
- Toetsen aan normen
- Toetsen aan verwachtingen
- Analyseren van trends
- Identificeren van uitzonderingen
- Toetsen aan data van buiten de organisaties
- Integratie van social media data in analyses
- Reperfromen van verbanden (BETA formules)
- Process Minen van IST Bedrijfsrocessen
- Vergelijken van IST Bedrijfsprocessen met SOLL bedrijfsprocessen
- Analyseren van ITGC / Applicatie / Rollen omgeving
- Visualiseren van bevindingen
6. 2. Understand the
business
3A. Asses minimum level of
IC
Reconsider audit
engagement
4. Rank client
1. Client
acceptance
5. Determine significant accounts and run GL data-
analytics
7. Relate significant accounts to processes & controls
8B. Assess design & implementation relevant IC
including application controls (if possible with
process mining)
ICT Complex ICT STANDARD
11. Perform data-validation and data-analysis
10C. Test relevant transactional controls around
variables to be used in data-analytics, if not effective,
or not rely
12. Perform other substantive procedures
13. Wrap up and evaluate the audit
6. Perform risk analysis based on the Coney Business
& Audit Canvas
Plantheauditperform
9. Evaluate level of IC
Light
10B. Test relevant application controls , if possible
with data-analytics
10A. Test relevant IT general controls
3B. Asses dependency and
complexity IT
If possible set up periodic assurance dashboard
8A. Assess design & implementation relevant IT
general controls
10E. Perform test of controls around standards if
used during audit (standard prices, standard
rebates) (SOL vs IST analytics)
Light
10D. Substantive testing of variables (IST) used for
data-analytics based on sample (underlying support)
Light
Light
Several
Applications in
Scope
7. SYSTEEM GERICHT MINDSET DATA DRIVEN MINDSET
ITGC
Applicatio
n Controls
Test of 1
Gegevens
-gericht /
test of
details
INTENSITEIT/
AANDACHT
Lijncontroles
/ test of
controls
ITGC
Applicatio
n Controls
Integraal
Data
Driven
Data-
Analyse
(gegevens
gericht)
Lijncontroles
/ Test of
Contols*
INTENSITEIT/
AANDACHT
Process
Mining
End To End
processen
Gegevens
-gericht /
test of
details
GAP
Data Driven Auditing – GAP ANALYSE
9. RISICO-ANALYSE en INITIELE CIJFERANALYSES – DATA DRIVEN
VOLLEDIG AUTOMATISEREN van RISICO identificatie, trend analyses
VOORAF FORMULEREN VAN VERWACHTINGEN VAN CIJFERS/ TRENDS OP POSTNIVEAU EN
TOETSEN REALISATIE VERUS BUDGET
RICHTING GEVEN AAN DE CONTROLE COS 330
IS BELANGRIJK, WIJ DOEN DIT BIJ VOORKEUR HEEL GERICHT, DYNAMIACH MBT ALLE
TRANSACTIES, MET FILTERS en VISUALS
10. COS 330 – richting geven aan de controle
COS 315 en 330 DATA SCRIPT geeft inzicht in bijvoorbeeld:
1. Dagboek / Mapping matrix
2. Aantal boekingen per dagboek per periode
3. Memoriaal boekingen > uitvoeringsmaterialiteit
4. Debet boekingen P&L via Verkoopboek, of Credit boekingen P&L via
Inkoopboek
5. Boekingen in de P&L rechtstreeks via Bankboek,
Maar ook inzicht in trends, ontwikkelingen, opvallende transacties.
Dit naast alleen een ‘formele vastlegging van verwachtingen’..
16. 3A. Asses minimum level of
IC
Reconsider audit
engagement
4. Rank client
8B. Assess design & implementation relevant IC
including application controls (if possible with
process mining)
ICT Complex ICT STANDARD6. Perform risk analysis based on the Coney Business
& Audit Canvas
Plantheauditperform
9. Evaluate level of IC
Light
FOCUS OP ICT
10B. Test relevant application controls , if possible
with data-analytics
10A. Test relevant IT general controls
3B. Asses dependency and
complexity IT
8A. Assess design & implementation relevant IT
general controls
Light
Light
Light
Several
Applications in
Scope
17. IT GENERAL CONTROLS & APPLICATIONS CONTROLS
THEORIE VERSUS PRAKTIJK
Niet-OOB SEGMENT
TE VEEL (THEORETISCHE) ZEKERHEID TOEGEKEND AAN
IT GENERAL CONTROLS (ITGC)
IN PRAKTIJK STAAT DE VRAAG CENTRAAL:
> WELK ITGC EVENTS TRIGGERT WELKE ONZEKERHEID
IN DE JAARREKENING? WAT ZIJN COMPENSERENDE IC
MAATREGELEN, WELKE DATA-ANALYSES KUNNEN WIJ
HIER TEGENOVER ZETTEN?
18. ITCG ONDERWERPEN IN SCOPE – CHALLENGE EN DOCUMENTEREN
Beperkt /
Initieel
CONEY DEFINITIE
Onderteunend
Herhaalbaar
Belangrijk/
Gedefinieerd
Overheersend/
Strategisch
Access Management
Data Security Programm Development
SLA
Management
Proces Aansturing &
Management
Informatie Strategie Automatiserings
Strategie
Algemeen IT
Beheersingbeleid
Project Management
Access Management
(logische
toegangsbeveiliging)
Change Management
(applicaties /
programma’s)
Proces Architectuur
Migratie Beheer
(nieuwe applicaties)
Availability
Management
(extra relevant 3th
party)
Backup &
Recovery in detail Capacity Management
Incident & Problem
Management
19. Overzicht van het lavastorm canvas
Access Management
(logische
toegangsbeveiliging)
WIE LOGT IN OP WELKE APPLICATIES?
23. MAAR….....
INFORMELE CULTUUR EET PASSWORDEN VOOR ONTBIJT – REALITEIT – EN DAN?
WAT KAN ER ECHT FOUT
GAAN?
DAN GA JE AFPELLEN, WAT INDIEN DAN, EN WAT BETEKENT DIT?
WELKE POSTEN IN DE
JAARREKENING?
WAAR GAAN WE IN DE AUDIT
OP FOCUSSEN en WAAROM?
INTERNE DETECTIE
CONTROLS?
ONDERZOEKEN VAN DE IST DATA
26. LIJNCONTROLES KLASSIEK BENADERD
Niet-OOB SEGMENT
ER WORDT GEVRAAGD NAAR LIJNCONTROLES,
MAAR ER WORDT NIET VOLDOENDE
GELUISTERD / BEOORDEELD IN WELKE IT
SETTING ONDERNEMINGEN OPEREREN,
TE WEINIG FOCUS OP BELANG APPLICATION
CONTROLS
IN PRAKTIJK STAAT VRAAG CENTRAAL:
WELKE END TO END PROCESSEN WORDEN
PRIMAIR ‘CONTROLLED’ DOOR APPLICATION
CONTROLS EN MET WELKE DATA TECHNIEKEN
KUNNEN DEZE WORDEN GETEST?
27. Application controls, Coney mindset – data driven benaderen!
KEY RISKS & KEY PROCESSEN
- Heeft het risico zich voorgedaan? Belangrijker dan het theoretische insteek dat het risico zich
voor kan doen! Inherent risico rondom ICT (hacking, complexiteit, cultuur) is altijd aanwezig.
- Het overschrijden van BUSINESS RULES (AOIC): kwantitatief en kwalitatief;
- Overschrijding van NORMEN
- Betaaltermijnen
- Kredietlimieten
- Kortingspercentages
- Minimale marges (onderschrijiding)
- Retouracceptatie
- Afboeken/ afwaarderen van voorraad
- Afboeken van debiteuren niet via bank
- Levertermijen
- Levervoorwaarden (kwaliteit)
28. MAAR….....
IN MKB+ zijn veel ICT Systemen niet ‘waterdicht’ geïmplementeerd, staan key application
controls niet allemaal aan, of werken ze niet…
REALITEIT – EN DAN?
WAT KAN ER ECHT FOUT
GAAN?
DAN GA JE AFPELLEN, WAT INDIEN DAN, EN WAT BETEKENT DIT?
WELKE POSTEN IN DE
JAARREKENING?
WAAR GAAN WE IN DE AUDIT
OP FOCUSSEN en WAAROM?
INTERNE DETECTIE
CONTROLS?
ONDERZOEKEN VAN DE IST DATA
31. LIJNCONTROLES – PROCESS MINING ONBEKEND
Niet-OOB SEGMENT
ER IS GEEN BELEVING BIJ DE KRACHT EN
ROL VAN PROCESS MINING IN DE AUDIT
In de praktijk staat de vraag centraal:
Hoe kunnen we met process mining
assurance verkrijgen rondom de opzet
en werking van de KEY IC in kritische
bedrijfsprocessen?
34. Inzoomen op interne beheersing……..
Feitelijk doorgronden van bedrijfsprocessen. Opzet en
bestaan..en steeds meer werking.
Geen samples, maar voor 100% van alle transacties
(cases) de werking van processen en maatregelen IB
analyseren.
Toetsen van normatieve modellen (end-to-end) versus
werkelijkheid.
Eenvoudig visualiseren van processen risico’s,
uitzonderingen en controle maatregelen.
Dichter bij belevingswereld medewerkers van
gecontroleerde organisatie.
35. Lijncontrols, Test of Controls, Coney mindset – data driven benaderen
KEY RISK – KEY PROCESSEN
- Heeft het risico zich voorgedaan? Belangrijker dan het theoretische insteek dat het risico zich voor kan doen.
- Veelal gekoppeld aan functiescheiding en taken (kwalitatief)
- Goedkeuren
- Afwijzen
- Toekennen
Denk hierbij aan het toekennen van specifieke rechten voor het boeken van memoraalboekingen
- Maar ook
- Bijvoorbeeld inzicht in interne controle op opvolging uitzonderingen ThreeWayMatching indien 3WayMatching een application control is
38. FRAUDE VRAAGSTUK DYNAMISEREN (COS 240)
Niet-OOB SEGMENT
ER WORDT VEEL NADRUK GELEGD OP VASTLEGGING FRAUDE GESPREKKEN, OVERWEGINGEN,
MOMENTEN VAN FRAUDEGESPREKKEN EN WOORDGEBRUIK (citaten uit de COS versus onze
checklist)
DIT VERSUS AANDACHT VOOR BIJVOORBEELD EEN COS 240 DATA SCRIPT MBT 100% van
TRANSACTIES - SIGNALERING
39. Voorbeeld COS 240 Scripts
COS 240 geeft inzicht in bijvoorbeeld:
1. Verdeling conform Benford’s Law (1 en 2 cijfers)
2. Periodiciteit van boekingen
3. Analyse van verschil tussen moment van boeken en datum in administratie
4. Op welke dag van de week worden mutaties geboekt
5. Analyse van de worden in JP omschrijving
Maar daarnaast ook:
1. Journaalposten met een lege omschrijving;
2. Journaalposten die mogelijk in de opvolgende periode worden gecorrigeerd;
3. Dubbele journaalposten;
4. Journaalposten geboekt op feestdagen;
5. Etc. etc.
43. 2. Understand the
business
3A. Asses minimum level of
IC
Reconsider audit
engagement
4. Rank client
1. Client
acceptance
5. Determine significant accounts and run GL data-
analytics
7. Relate significant accounts to processes & controls
8B. Assess design & implementation relevant IC
including application controls (if possible with
process mining)
ICT Complex ICT STANDARD
11. Perform data-validation and data-analysis
10C. Test relevant transactional controls around
variables to be used in data-analytics, if not effective,
or not rely
12. Perform other substantive procedures
13. Wrap up and evaluate the audit
6. Perform risk analysis based on the Coney Business
& Audit Canvas
Plantheauditperform
9. Evaluate level of IC
Light
10B. Test relevant application controls , if possible
with data-analytics
10A. Test relevant IT general controls
3B. Asses dependency and
complexity IT
If possible set up periodic assurance dashboard
8A. Assess design & implementation relevant IT
general controls
10E. Perform test of controls around standards if
used during audit (standard prices, standard
rebates) (SOL vs IST analytics)
Light
10D. Substantive testing of variables (IST) used for
data-analytics based on sample (underlying support)
Light
Light
Several
Applications in
Scope
44. KEUZES DURVEN MAKEN OM GEGEVENSGERICHT TE CONTROLEN
Niet-OOB SEGMENT
BIJNA AANGEKOMEN BIJ DE KERN VAN DE CONTROLE – INZOOMEN OP 100% IST DATA DOOR:
- TRENDANALYSES
- IST / SOLL ANALYSES (toetsten aan NORMEN)
- OMSPANNENDE VERBANDSCONTROLES
MAAR DAN ONSTAAT ER EEN ENORM DEBAT IN PRAKTIJK OVER INPUT CONTROLS, BRONDATA
versus STEEKPROEVEN EN DEELWAARNEMINGEN, dit NADAT ITGC en APPLICATION CONTROLS
reeds zijn geëvalueerd
48. > Verbandscontrole
analyses
> Cijfer- en trend
analyses
IST
Sluit IST Pverkoop aan op
verkoopovereenkomsten
DUS
Inzetten
steekproeven?
Coney mindset
Keep it Simple
51. “KRACHT van GOEDE AUDIT is de EENVOUD IN SAMENHANG STAPPEN”
D
DA 1
DESIGNED SET OF DATA-ANALYTICS CONTROLS
DA 2 DA 3 DA 4 DA 5
Relevant
ITCG
Relevant
Applicatio
n Controls
Relevant
Transactie
gerelateerde
Controles
TEST IF POSSIBLE WITH PROCESS MINING and/ or DA
TEST IF POSSIBLE WITH PROCESS MINING
TEST IC
Rondom
Normen
PLEIDOOI
59. Te
CONTINUOUS BUSINESS ASSURANCE PLATFORM
Bottom Up
Data-
Analytics
Process
Mining
Visuali-zation
(storttelling)
Business
In Control
(Continuous
Monitoring)
Assurance
(Continuous
Auditing
Continuous
Reporting)
Domein Domein
ASSURANCE EVERYDAY
RvT Invest
ors
Fiscus ORRvBFunds Audit
technology
Integratie “AI” Roboticering / Algoritmes Integrated
FINANCIAL DATA OPERATIONAL DATAFISCAL DATA SUSTAINABILITY DATA
Human Validation &
Communication
ACCESS POINTS
60. Nieuwe kansen door volledige ontsluiting van data bestanden:
Assurance Everyday
Betrokkenheid van alle relevante stakeholders
Data Driven Assurance
Financiele data
Non financiele data
Aansluiten op internationale ontwikkelingen rondom integrated reporting (eg sustainability reporting)
Kansen voor koppeling met andere externe databestanden waardoor meer inzicht kan worden gekregen in
het begrip/inzicht van de business, de risico’s in de bedrijfstak/markten e.d. alsook administratieve
inzichten ( transactiefouten, fraudepatronen, data anomalien en breakdown van interne controles); dit is
bijvangst maar kan waarde toevoegen.
het verschaffen van diepere en meer relevante inzichten in de financiele conditie en performance van het
bedrijf. Dit wordt niet alleen voor het bedrijf maar vooral voor de stakeholders als investeerders etc steeds
belangrijker
(nieuwe) audit vormen zoals social media audits, computing security audits etc etc
61. Roadmap ahead!
Tijdslijn
LEIDERSCHAP
WE NEED
BOUWEN VAN
PLATFORM SHOWCASE
DATA DRIVEN COMPANIES
2017
INTEGRATIE OPLEIDINGEN
IT SECURITY – EDP – AUDITING –DATA- SOFT SKILSS
TU DELFT / EINDHOVEN meets NYENRODE
2018 2019
IT COMPANIES EN AUDIT FIRMS
GAAN STRATEGISCH SAMENWERKEN
EN GEZAMENLIJK INVESTEREN
CONTINUOUS
ASSURANCE
STANDARDS
By IFAC will be issued
305% OOB sector
CONTINUOUS PLATFORM
2020 2023
We moeten
onderdeel worden
van het ECO
systeem (worden)
(blijven) en gezien
worden als groep
die het kunnen
62. VOORBEELD: CONTINUOUS ASSURANCE – NON (SEC) FINANCIAL
VISAFSLAG
(API prijzen/
vissoort)
SENSORDATA
TYPE NETTEN
VISSERBOOT
GPSDATA
VISSERBOTEN
GREENPEACE
REAL TIME
DASHBOARD
OVERBEVISSING
NOORDZEE
ALGORITME
ASSURANCE DIENSTEN:
- Inrichten dashboard
- Assurance rondom data kwaliteit
- Assurance rondom algoritme
- Assurance rondom relevantie Overbevissing
NORMEN
74. ONDERWERPEN – WAT ZIJN DE HOT TOPICS IN ASSURANCE
PRAKTIJK?
1. RISICO-ANALYSE en INITIELE CIJFERANALYSES – DATA DRIVEN
2. IT GENERAL CONTROLS & APPLICATION CONTROLS – LOSLATEN TE ZWARE THEORETISCH BENADERING
3. KLASSIEKE BENADERING AOIC IN DOMINANTE ICT OMGEVING
4. PROCESS MINING (NOG) ONBEKEND
5. FRAUDE VRAAGSTUK DYNAMISEREN (COS 240)
6. KEUZES DURVEN MAKEN OM GEGEVENSGERICHT TE CONTROLEN
7. DURVEN OM MEERWAARE VOOR ONDERNEMINGEN WEER AANDACHT TE GEVEN (ANGST VOORBIJ)
8. MEER AANDACHT VOOR DATA KWALITEIT
NU:
75. ONDERWERPEN – WAT ZIJN DE HOT TOPICS IN ASSURANCE
PRAKTIJK?
1. CONTINUOUS MONITORING MEETS CONTINUOUS AUDITING
2. INRICHTEN VAN REAL-TIME BUSINESS ASSURANCE PLATFORMEN
3. INTEGRATIE VAN BIG DATA
4. ASSURANCE OP MAAT
5. JOINED ASSURANCE MET IT AUDIT, DATA QUALITY EXPERTS, HACKERS, EN ANDERE SPECIALISTEN
6. VERBREDING VAN DE ASSURANCE ROL – INTEGRATED REPORTING 3.0
7. ASSURANCE IN KETENS
IN DE DISCUSSIE VOORUIT – ARENA VISIEGROEP
STRAKS – NEW TECHNOLOGY
1. INTEGRATIE VAN PREDICTIVE ANALYTICS
2. VERDERE ONTWIKKELING SLIMME AUDIT ALGORITMES
3. INTEGRATIE VAN ARTIFICIAL INTELLIGENCE
4. ONTWIKKELING VAN DE BLOCKCHAIN (GLOBAL)
Hierbij hebben we een voorbeeld in Lavastorm van de Adoop casus.
Process Mining – de stappen
Snap het proces, wat wil je bereiken (teken het proces uit)
Bepaal wat je nodig hebt voor je event log
Vraag de data op
Vorm data om tot een event log (plat slaan)
Inlezen in de process mining tool
Analyse
NB: onderschat het belang van stap 1 en 2 niet!
Process mining, mogelijkheden.
SOLL ist, Bottle Necks
Ervaring met procuratie inkoopfacturen -> Autorisatie.
We gaan weer controleren op basis van de geld goederen beweging van Starreveld.
Basis modellen voor verschillende typologien
Op een andere manier kijken naar de klant, verdieping van de analyses, nieuwe invalshoeken.
Soft Controls steeds belangrijker en wel degelijk op invloed, maar hoe te meten en hoe zekerheid aan te ontlenen?
Opstap naar predictive. Getraint om naar het verleden te kijken, hoe slag naar de toekomst.
Ook grote bedrijven en anderen zijn bezig met de stip aan de horizon, hebben allemaal invloed op ons vak.
Most data in digital universe = unstructurerd.
Challenge: extract informatie and value!
Fact: the digital universe and the physical universe are becoming more and more aligned