het gebruik van dataminingtechnieken in de …...samenvoeging van beide wetsvoorstellen werd de...
TRANSCRIPT
UNIVERSITEIT GENT
FACULTEIT ECONOMIE EN BEDRIJFSKUNDE
ACADEMIEJAAR 2008 – 2009
Het gebruik van dataminingtechnieken in de forensische accountancy
Masterproef voorgedragen tot het bekomen van de graad van
Master in de Toegepaste Economische Wetenschappen
Dorien Roosens
onder leiding van
Prof. dr. Ignace De Beelde
UNIVERSITEIT GENT
FACULTEIT ECONOMIE EN BEDRIJFSKUNDE
ACADEMIEJAAR 2008 – 2009
Het gebruik van dataminingtechnieken in de forensische accountancy
Masterproef voorgedragen tot het bekomen van de graad van
Master in de Toegepaste Economische Wetenschappen
Dorien Roosens
onder leiding van
Prof. dr. Ignace De Beelde
PERMISSION
Ondergetekende verklaart dat de inhoud van deze masterproef mag geraadpleegd en/of
gereproduceerd worden, mits bronvermelding.
Dorien Roosens
I
Woord vooraf
Deze masterproef is tot stand gekomen met de hulp van een aantal mensen die ik hier dan ook
voor wil bedanken.
In de eerste plaats gaat mijn dank uit naar Prof. dr. Ignace De Beelde, mijn promotor, die
aanwijzingen gaf bij het schrijven van deze masterproef en mij interessante tijdschriften
bezorgde.
Een extra bedanking gaat uit naar mijn ouders. Zonder hun financiële en morele steun was deze
opleiding immers niet mogelijk geweest. Steeds weer stonden ze klaar om mij met raad en daad
bij te staan en een luisterend oor te bieden.
Ook mijn zus verdient een bedankje voor de nodige steun tijdens de afgelopen jaren en voor het
nalezen van dit werk.
Ten slotte moet ik ook een woordje van dank richten aan een vriend, die tijdens mijn opleiding
steeds voor mij klaar stond.
II
Inhoudsopgave
Woord vooraf ...................................................................................................................................I
Inhoudsopgave ............................................................................................................................... II
Gebruikte afkortingen ...................................................................................................................IV
Lijst van figuren .............................................................................................................................V
Lijst van tabellen ............................................................................................................................V
Inleiding ..........................................................................................................................................1
Verklaring van de titel.....................................................................................................................2
Hoofdstuk 1: Wetgeving en normen ...............................................................................................4
1.1 Amerika...........................................................................................................................4
1.1.1 Sarbanes-Oxley Act (SOx)......................................................................................4
1.1.2 SAS N° 99 ...............................................................................................................5
1.2 België ..............................................................................................................................6
1.2.1 Code Lippens...........................................................................................................7
1.2.2 ‘Fraude en onwettige handelingen’, 5 juni 1998.....................................................7
Hoofdstuk 2: Dataminingtechnieken...............................................................................................9
2.1 Beslissingsboom..............................................................................................................9
2.2 Neurale Netwerken (NN) ..............................................................................................11
2.3 Bayesian Belief Network (BBN)...................................................................................16
2.4 Benford’s law ................................................................................................................19
2.5 Zipf’s law ......................................................................................................................23
2.5.1 Vergelijking tussen Benford’s law en Zipf’s law..................................................26
2.6 Relative Size Factor ......................................................................................................26
Hoofdstuk 3: Software ..................................................................................................................27
3.1 Microsoft Excel .............................................................................................................28
3.2 Microsoft Access...........................................................................................................31
3.3 TopCAATs....................................................................................................................32
3.4 ACL...............................................................................................................................33
3.5 ActiveData.....................................................................................................................37
3.6 IDEA .............................................................................................................................40
3.6.1 Vergelijking van ACL, ActiveData for Excel, IDEA, Excel, Access en
TopCAATs............................................................................................................................42
3.7 EnCase...........................................................................................................................44
III
3.8 Ktrace ............................................................................................................................49
Conclusie.......................................................................................................................................52
Algemeen besluit...........................................................................................................................53
Lijst van de geraadpleegde werken ...............................................................................................VI
Boeken.......................................................................................................................................VI
Artikels/papers ..........................................................................................................................VI
Websites .................................................................................................................................VIII
E-mail .........................................................................................................................................X
Bijlagen .........................................................................................................................................XI
Bijlage 1: Voorbeelden van red flags (Maeyaert, Staelens, 2007)............................................XI
Bijlage 2: Algoritmen bij de Zipfanalyse (Huang et al., 2008)............................................... XV
IV
Gebruikte afkortingen
BBN: Bayesian Belief Network
CCM: Continue Controlemonitoring
CPT: Conditional Probability Table
CRC: Cyclische overtolligheidcontrole
NN: Neuraal Netwerk
SOx: Sarbanes-Oxley Act
V
Lijst van figuren
Figuur 1: Fraudedriehoek (Greene, 2003).......................................................................................5
Figuur 2: Beslissingsboom (gebaseerd op Kirkos et al., 2007).....................................................10
Figuur 3: Neuraal Netwerk (Calderon, Cheh, 2002).....................................................................12
Figuur 4: Fraudedetectie met behulp van een Neuraal Netwerk (Cerullo, Cerullo, 2006) ..........13
Figuur 5: Basiselementen van een neuron (Calderon, Cheh, 2002)..............................................14
Figuur 6: Bayesian Belief Network met conditional probability table (Rokach, Maimon, 2006,
p194)..............................................................................................................................................16
Figuur 7: Werking van de Zipfanalyse (Huang et al., 2008).........................................................24
Figuur 8: Werking van EnCase Forensic in 4 stappen (How EnCase Forensics works, 2007) ....45
Figuur 9: Werking van EnCase Enterprise (How EnCase® Enterprise Works, 2008).................48
Figuur 10: Werking van Ktrace (De Cremer Hilde, KPMG, 13 oktober 2008)............................51
Lijst van tabellen
Tabel 1: Benford’s verdeling (Nigrini, 1996) ...............................................................................20
Tabel 2: Vergelijking Benford’s law en Zipf’s law (Huang et al., 2008) .....................................26
Tabel 3: Functies van MS Excel (eigen werk, gebaseerd op Lanza, 2003 & Lanza, 2006a)........30
Tabel 4: Vergelijking tussen ActiveData for Excel en ActiveData for Office (Eigen werk,
gebaseerd op ‘Comparison of ActiveData for Excel vs. ActiveData for Office, 2008’) ..............39
Tabel 5: Vergelijking tussen ACL, ActiveData for Excel, IDEA, Excel, Access en TopCAATs
(gebaseerd op Lanza, 2009) ..........................................................................................................43
1
Inleiding
Fraude is van alle tijden en maakt onlosmakelijk deel uit van het bedrijfsleven. Uit oude
geschriften blijkt dat er in Syrië zo’n 3400 jaar geleden al sprake was van fraude en corrupte
praktijken. De wijze waarop fraude gebeurt, is sterk geëvolueerd doorheen de tijd en wordt
steeds geraffineerder. Onderzoek (Fraud detection, 2009) heeft aangetoond dat het gemiddeld 18
maanden duurt vooraleer fraude aan het licht komt. Uit een enquête (A Survey into Fraud Risk
Mitigation in European Countries, 2007), afgenomen door Ernst & Young, blijkt dat 5% van de
jaarlijkse inkomsten van een bedrijf verloren kan gaan als gevolg van fraude. ACL (Fraud
detection, 2009), een bedrijf dat auditsoftware ontwikkelt, spreekt zelfs over 7%. Uiteraard heeft
fraude niet enkel een financiële impact, maar krijgen ook de reputatie en het vertrouwen een
deuk (Huang,Yen, Yang, Hua, 2008). Proactief optreden is dus de boodschap!
Bedrijven maken daarom meer en meer gebruik van allerlei methodes om fraude vroegtijdig op
te sporen. Dit kan gaan van eenvoudige tot erg gesofisticeerde methodes. Vele grote organisaties
hebben een forensische accountant in dienst die, met behulp van een aantal
dataminingtechnieken, fraude op het spoor probeert te komen. Aangezien de manier waarop
fraude gepleegd wordt evolueert, moeten deze technieken steeds verbeterd worden. Het is niet
altijd eenvoudig om dit manueel toe te passen. Daarom zijn er een aantal softwarepakketten
ontwikkeld die gebaseerd zijn op deze technieken en hun nut al bewezen hebben.
Binnen een aantal categorieën is het moeilijker om fraude op te sporen, omdat het maken van een
subjectieve schatting toegelaten wordt. Dit is het geval bij ‘te innen vorderingen’, ‘voorraad’ en
‘verkopen’ (Kirkos, Spathis, Manolopoulos, 2007). Men moet dus op zoek gaan naar technieken
die ook deze categorieën adequaat kunnen ontleden en red flags opsporen (voor voorbeelden van
red flags, zie bijlage 1).
Het vervolg van deze masterproef is als volgt opgebouwd: na een korte verklaring van de titel
behandelt hoofdstuk 1 relevante wetteksten en normen. Hier wordt niet diep op ingegaan,
aangezien dit niet het doel van deze masterproef is. Voor een uitgewerkte juridische versie over
dit onderwerp verwijs ik naar de masterproef van Priscillia Zsombik. In hoofdstuk 2 worden de
belangrijkste dataminingtechnieken beschreven. Ten slotte geeft hoofdstuk 3 een overzicht van
de door de auditor gebruikte software. Dit wordt aangevuld met enkele getuigenissen van
bedrijven, waardoor duidelijk wordt hoe ze software in de praktijk toepassen en wat zij als
voordelen en nadelen ervaren. Een algemeen besluit sluit deze masterproef af.
2
Verklaring van de titel
Vooraleer dieper op het onderwerp in te gaan, staan we even stil bij de betekenis van de
begrippen ‘forensische accountancy’ en ‘dataminingtechnieken’.
‘Forensisch’ is afgeleid van het Latijnse woord ‘forum’, wat verwijst naar de plaats waar men
recht sprak in het oude Rome. Het begrip ‘forensische accountancy’ is een relatief nieuw begrip,
afkomstig uit Angelsaksische landen, dat stilaan de wereld verovert. Deze tak onderzoekt of
financiële transacties op een correcte wijze gebeuren en of er al dan niet fraude gepleegd wordt.
Een forensisch accountant is erg gewild, aangezien zijn oordeel over verdachte transacties
geloofwaardigheid oplevert (Nunn, McGuire, Whitcomb, Jost, 2006).
Zijn profiel: hij beschikt over een uitstekende kennis audit en accounting en een basiskennis
recht en criminologie. Daarnaast is hij vertrouwd met manipulatie van jaarrekeningen, witwassen
van geld, corruptie en geldverduistering en kan hij zich inleven in de geest van een fraudeur.
Sterke mondelinge en schriftelijke vaardigheden zijn noodzakelijk, maar ook
computervaardigheden zijn belangrijk (Lammers, 2000).
Een forensisch accountant hoeft fraude niet aan te geven bij de politie, maar heeft wel een aantal
specifieke taken (Lammers, 2000):
� Inzicht krijgen in de werkwijze van de fraudeur, bewijsmateriaal zoeken en een preventief
beleid opstellen.
� De geleden financiële en morele schade vaststellen.
� Advies verstrekken over de op korte termijn te ondernemen acties (bijvoorbeeld:
bewijsmateriaal veiligstellen).
� Acties ondernemen: de fraudeur ontslaan, andere deskundigen inschakelen of procedures
invoeren om dergelijke fraude te vermijden.
� De betrokkenen opsporen.
� De onderneming ondersteunen bij het ondernemen van juridische stappen.
‘Datamining’ kan gedefinieerd worden als “het op geavanceerde wijze zoeken naar informatie
in grote gegevensbestanden” (Van Dale). Letterlijk betekent dit ‘graven (mining) naar gegevens
(data)’.
3
Er zijn verschillende technieken om aan datamining te doen: door gebruik te maken van een
beslissingsboom, een Neuraal Netwerk, een Bayesian Belief Network, Benford’s law, Zipf’s law
of door de techniek van de Relative Size Factor in te schakelen.
Datamining heeft als hoofdactiviteiten ontdekken, voorspellen en analyseren van afwijkingen
(Panigrahi, 2006).
Een forensisch accountant die gebruik maakt van dataminingtechnieken hoopt dus patronen en
relaties in grote hoeveelheden gegevens te ontdekken en op deze manier onregelmatigheden en
red flags op te sporen, die vervolgens aan een dieper onderzoek onderworpen worden. Op deze
manier kan hij fraude op het spoor komen. Hij hoeft deze technieken niet manueel uit te voeren:
naast Microsoft Excel en Access bestaan een aantal gespecialiseerde softwarepakketten, zoals
Ktrace, IDEA, …(cfr. infra), die steunen op deze technieken en specifiek ontwikkeld werden om
te helpen bij zijn zoektocht naar fraude.
4
Hoofdstuk 1: Wetgeving en normen
Er is een gepaste wetgeving en normering nodig om op een adequate wijze met fraudedetectie en
-preventie om te gaan. Wereldwijd werden er de laatste jaren strengere regels opgesteld, zodat
frauderen moeilijker is geworden. In Amerika zijn de Sarbanes-Oxley Act en SAS n° 99 de
belangrijkste. Een Belgisch alternatief voor de SOx is de Code Lippens; de aanbeveling ‘fraude
en onwettige handelingen’ ligt in de lijn van SAS n° 99. Ze worden hieronder kort besproken.
1.1 Amerika
1.1.1 Sarbanes-Oxley Act (SOx)
De Amerikaanse Democratische senator Paul Sarbanes diende in de senaat in 2002 een
wetsvoorstel in betreffende corporate governance, maar kreeg weinig steun wegens de strenge
maatregelen die erin genomen werden. Michael Oxley paste deze versie aan, maar ook hierop
werd aanvankelijk niet echt enthousiast gereageerd. Toen de wereld geconfronteerd werd met
schandalen zoals Enron en WorldCom, kende het wetsvoorstel plots veel meer bijval. Uit een
samenvoeging van beide wetsvoorstellen werd de ‘Sarbanes-Oxley Act’ geboren die op 30 juli
2002 ingevoerd werd. Het doel van deze wet is preventief fraude op te sporen (Engela, Hayesb,
Wang, 2007).
Hoe werkt dit concreet?
Deze wet, bestaande uit 69 artikels, voorziet in een aantal regels voor op de Amerikaanse beurs
genoteerde bedrijven en haar buitenlandse filialen en voor buitenlandse bedrijven met een
genoteerde vestiging. Op deze wijze probeert men te komen tot corporate governance, dat
nieuwe schandalen moet vermijden.
SOx vereist dat de bijlagen voldoende informatie bevatten over speciale transacties en over
transacties die buiten de balans gebeuren. Daarnaast bepaalt deze wet dat er behalve een jaarlijks
financieel verslag ook een verslag dient opgemaakt te worden waaruit blijkt dat volgens een
interne controle de gemelde cijfers correct zijn. Het doel van deze interne controles is
voorkomen dat men beslissingen neemt die gebaseerd zijn op een verkeerd beeld dat ontstaan is
door onvolledige of onjuiste gegevens. Schandalen zoals Enron konden plaatsvinden doordat
interne en externe controles opzettelijk onjuist werden uitgevoerd.
5
Om het vertrouwen in de accountancy te herstellen, worden die controles geformaliseerd door de
Public Company Accounting Oversight Board (PCAOB). Daarnaast controleert de PCAOB de
controleurs en heeft het de macht om -wanneer de voorwaarden van corporate governance niet
voldaan zijn- gevangenisstraffen en geldboetes op te leggen aan de directie. Ook de voorwaarden
voor het lidmaatschap zijn strenger geworden: de auditor moet onafhankelijk zijn (Engela et al.,
2007).
De Sarbanes-Oxley Act draagt ertoe bij dat frauderen moeilijker zal zijn, maar het zou een utopie
zijn te denken dat hiermee alle problemen van de baan zijn.
1.1.2 SAS N° 99
Dit is de afkorting van ‘Statement on Auditing Standards N° 99: Consideration of Fraud in a
Financial Statement Audit’. Deze norm werd opgesteld door American Institute of Certified
Public Accountants (AICPA) en kwam eveneens ter wereld als gevolg van onder andere het
Enronschandaal.
SAS 99 beschrijft fraude als “an intentional act that results in a material misstatement in
financial statements” (Greene, 2003, p32).
Wanneer er sprake is van fraude zijn er meestal drie voorwaarden voldaan: motief/dwang,
opportuniteit en attitude/rationaliteit. De fraudeur ondervindt dwang of heeft een motief om
fraude te plegen, hij ziet er de mogelijkheid toe en hij overtuigt zichzelf dat zijn daad rationeel is.
Figuur 1 toont deze drie voorwaarden, samengevat in een zogenaamde ‘fraudedriehoek’.
Figuur 1: Fraudedriehoek (Greene, 2003)
Auditors hebben een zware verantwoordelijkheid: ze moeten met een redelijke zekerheid (en
objectief) kunnen verklaren dat de financiële rekeningen vrij zijn van fouten (al dan niet
6
toevallig ontstaan). SAS 53 en 82 - voorgangers van SAS 99 - verschaften voornamelijk een
checklist van frauderisicofactoren die de auditor kon gebruiken. SAS 99 vereist bovendien
brainstormsessies met verschillende auditors. Dit kan helpen om fraude op te sporen. De
bedoeling hiervan is de auditors te laten overleggen welke onderdelen beïnvloed kunnen zijn
door fraude en hoe het management deze fouten zou kunnen verstoppen via financiële
rapportering. De brainstormsessie genereert ideeën over fraude die van een hogere kwaliteit zijn
dan die een individuele auditor zou kunnen bereiken (Carpenter, 2007).
Andere vereisten van SAS 99 (American Institute of Certified Public Accountants, 2002) zijn dat
de auditor moet nagaan in welke mate het management vertrouwd is met fraude; hij moet
informatie verzamelen waaruit hij vervolgens concludeert of er mogelijk sprake is van fraude;
als er bewijs is van mogelijke fraude moet dit meegedeeld worden aan het management. Volgens
deze standaard moet een auditor zes zaken vermelden (Greene, 2003). Eerst en vooral moet hij
het tijdstip en de plaats waarop de brainstormsessie plaatsvond vermelden, wie de aanwezigen
waren en wat er besproken werd. Vervolgens moeten de procedures die toegepast werden om tot
de nodige informatie te komen genoteerd worden. Als derde aspect moet de auditor duidelijk
maken waarom een ongewone situatie, waarbij er ongepaste revenue recognition plaatsvond, niet
als een risico van misclassificatie ten gevolg van fraude aanzien werd. Ten vierde vermeldt de
auditor de resultaten van de procedures, uitgevoerd om het risico van het management dat de
controle met de voeten treedt aan te pakken. De zaken die geleid hebben tot bijkomend
onderzoek vormen een vijfde aspect. Ten slotte moet er duidelijk worden hoe de communicatie
over de fraudegevallen verliep tussen de auditor en het management.
De vereisten die vermeld staan in SAS 99 zijn enkel minimumvereisten. Het is noodzakelijk dat
de auditor hier zelf nog zaken aan toevoegt en als een goede huisvader procedures uitvoert die
hij noodzakelijk acht (Greene, 2003).
1.2 België
Ook in België moet er een ‘Corporate governance code’ gevolgd worden. Voor beursgenoteerde
bedrijven is er de Code Lippens, voor niet beursgenoteerde bedrijven de Code Buysse. Ik ga
enkel dieper in op de eerste soort, aangezien deze code een Belgisch alternatief is van SOx.
7
1.2.1 Code Lippens
De Code Lippens werd vanaf boekjaar 2005 verplicht voor Belgische beursgenoteerde
vennootschappen. Op 12 maart 2009 werd de herziene Code gepubliceerd onder de naam ‘Code
2009’. Deze Code bestaat uit negen principes:
� Principe 1: De vennootschap past een duidelijke governance structuur toe;
� Principe 2: De vennootschap heeft een effectieve en efficiënte Raad van Bestuur die
beslissingen neemt in het belang van de vennootschap;
� Principe 3: Alle bestuurders dienen blijk te geven van integriteit en toewijding;
� Principe 4: De vennootschap heeft een rigoureuze en transparante procedure voor de
aanstelling en de evaluatie van haar Raad en zijn leden;
� Principe 5: De Raad van Bestuur richt gespecialiseerde comités op;
� Principe 6: De vennootschap legt een duidelijke structuur vast voor het uitvoerend
management;
� Principe 7: De vennootschap vergoedt de bestuurders en de leden van het uitvoerend
management op een billijke en verantwoorde wijze;
� Principe 8: De vennootschap zal in dialoog treden met aandeelhouders en mogelijke
aandeelhouders, gebaseerd op een wederzijds begrip van de doelstellingen en de belangen;
� Principe 9: De vennootschap waarborgt een adequate openbaarmaking van haar corporate
governance.
Elk principe is nog eens opgebouwd uit een aantal richtlijnen (The 2009 Belgian Code on
Corporate Governance, 2009).
Daarnaast werden een aantal Europese ISA’s (International Standard on Accounting)
uitgevaardigd, waarop de Belgische normering gebaseerd is.
1.2.2 ‘Fraude en onwettige handelingen’, 5 juni 199 8
In België is er de aanbeveling ‘Fraude en onwettige handelingen’ van 5 juni 1998. Dit vertoont
grote gelijkenissen met ISA 240 (‘Fraude en fouten’, wat in maart 2001 vervangen werd door
‘De verantwoordelijkheid van de auditor om rekening te houden met fraude in het kader van een
controle van financiële overzichten’) en 250 (‘Het in aanmerking nemen van wet- en regelgeving
bij een controle van financiële overzichten’), dewelke Europese normen zijn.
8
‘Fraude en onwettige handelingen’ beschrijft het verschil tussen ‘onwettige handelingen’ en
‘vergissingen’ en geeft aan wat de verantwoordelijkheden van de leiding zijn. Ook wordt
vermeld wat de rol van de revisor is met betrekking tot preventie en opsporing van vergissingen,
fraude en onwettige handelingen, welke procedure hij moet volgen wanneer er aanwijzingen
voor fraude (of vergissingen) en onwettige handelingen bestaan en hoe de auditor moet
communiceren met de leiding, met regelgevende instanties en met de met toezicht belaste
instanties (Instituut der bedrijfsrevisoren, 2006b).
Het doel van de door de auditor uitgevoerde controle is een deskundig en objectief oordeel te
geven over de betrouwbaarheid van de financiële staten. De auditor moet de boekhoudkundige
verwerking van de mogelijke gevolgen van fraude of van een onwettige handeling die werd
vastgesteld of redelijk vaststaand is, beoordelen. Hij moet er zich dus van bewust zijn dat niet
enkel fraude, maar ook andere overtredingen een grote impact op de financiële staten kunnen
hebben (Instituut der bedrijfsrevisoren, 2006b). Toch moet men ook het volgende in acht nemen:
“Wanneer de revisor zijn opdracht uitvoert, houdt hij rekening met de mogelijkheid van fraude.
De controle zal zo opgevat worden, dat de revisor een redelijke kans maakt op het ontdekken van
materiële fouten in de jaarrekening ten gevolge van fraude. Van een controle kan evenwel niet
verlangd worden dat zij elke fraude aan het licht brengt en de revisor is niet verplicht deze op te
sporen.” (Instituut der bedrijfsrevisoren, 2006a).
Deze standaard ligt in de lijn van SAS 99.
Dit was een zeer beperkte blik op wetgevingen en normeringen met betrekking tot fraude,
aangezien dit niet de kern vormt van deze masterproef.
9
Hoofdstuk 2: Dataminingtechnieken
Uiteraard lost een strengere wetgeving het probleem van fraude nog niet volledig op. Steeds
meer bedrijven schakelen daarom een forensisch accountant in, die in zijn zoektocht naar
(indicatoren van) fraude beroep doet op een aantal dataminingtechnieken. Hieronder worden
achtereenvolgens een beslissingsboom, een Neuraal Netwerk en een Bayesian Belief Network
besproken, gevolgd door Benford’s law, Zipf’s law en een vergelijking tussen beide. Als laatste
wordt de Relative Size Factor toegelicht.
2.1 Beslissingsboom
Een beslissingsboom (of decision tree) wordt grafisch voorgesteld als een boomstructuur. Elke
knoop van deze ‘boom’ symboliseert hierbij een test, iedere tak symboliseert de uitkomst van
een test. Door deze boomstructuur worden observaties verdeeld in mutueel exclusieve
subgroepen (Kirkos et al., 2007).
Je stelt de beslissingsboom op door gebruik te maken van een trainingset. Deze bevat gegevens
waarvan zowel de input als de output gekend is. Op een deel van de gegevens van de trainingsset
(‘venster’) pas je splitting criteria toe: de door Ross Quinlan ontwikkelde ID3 (Iterative
Dichotomiser 3), C4.5 of C5.0 algoritmes (wat uitbreidingen van elkaar zijn), een Gini-index,
CHAID, … Deze criteria laten je toe aan de hand van formules te berekenen wat de eerste knoop
is, welke vervolgens komt, … . Bij de Gini-index is dat het attribuut met de kleinste index, bij
ID3 het attribuut met het grootste informatievoordeel, bij C4.5 het attribuut met de grootste
winstratio,… (Kamber, Han, 2006). Op deze manier komt je beslissingsboom tot stand. De
overige gegevens uit die trainingset worden vervolgens geclassificeerd door gebruik te maken
van die reeds opgestelde boom. Als de boom voor elk object een antwoord geeft dat
overeenkomt met het vooropgestelde antwoord, dan heb je een goede beslissingsboom; geeft de
boom niet voor elk object een juist antwoord, dan voeg je een deel van de foutgeclassificeerde
objecten toe aan het ‘venster’ en pas je het proces van in het begin weer toe. Dit herhaal je tot je
voor elk gegeven uit de trainingset het juiste antwoord verkrijgt. Op deze manier heb je een
beslissingsboom opgesteld die je kunt gebruiken om het resultaat bij nieuwe gegevens te
verkrijgen (Quinlan, 1986).
Je kunt ook een beslissingsboom opstellen door alle gegevens uit de trainingset te nemen, maar
deze methode zal meer tijd in beslag nemen dan voorgaande. (Kamber, Han, 2006).
10
Figuur 2: Beslissingsboom (gebaseerd op Kirkos et al., 2007)
Figuur 2 toont een beslissingsboom (dit is een fictief voorbeeld). We kunnen hier nieuwe
gegevens instoppen en de takken volgen.
Uit figuur 2 blijkt dat er geen sprake is van fraude bij bedrijven met een hoge Z-score en een
hoge opbrengst. Ook kunnen we afleiden dat een lage Z-score, een lage nettowinst en een lage
COSAL wijzen op fraude.
Een forensisch accountant kan dus in zijn zoektocht naar fraude gebruik maken van bestaande
beslissingsbomen. Door nieuwe gegevens door de boom te loodsen kan hij ontdekken of er
sprake is van fraude of niet. Daarnaast kan hij ook proberen om zelf nieuwe bomen op te stellen,
die specifiek voldoen aan de criteria die hij wenst te onderzoeken.
Zoals alles heeft deze techniek zowel voor- als nadelen:
Voordelen:
� Maakt de situatie visueel.
� Gemakkelijk interpreteerbaar.
� Helpt bij het beslissingsproces (Hung, Chen, 2009).
� De verworven kennis wordt op een betekenisvolle wijze voorgesteld.
� Laat toe er ALS-DAN regels mee te maken (Kirkos et al., 2007).
11
Nadelen:
� Er is sprake van ‘noise’: niet alle gegevens zijn in werkelijkheid geheel nauwkeurig, maar
steunen soms op metingen of op subjectieve schattingen.
� ID3 vereist dat de targetattributen enkel discrete waarden hebben, maar dit wordt opgelost
door C4.5, die ook continue attributen aankan (Rokach, Maimon, 2006).
2.2 Neurale Netwerken (NN)
In de zakenwereld gaat men steeds meer gebruik maken van Neurale Netwerken. Deze populaire
methode behandelt gegevens zoals het menselijke brein dit doet. Sommige patronen zijn echter
te complex of nauwelijks merkbaar voor de mens. In deze gevallen levert een NN betere
resultaten op. Een Neuraal Netwerk werkt heel snel, aangezien het in staat is om meerdere
operaties tegelijk uit te voeren. Dit is in tegenstelling tot traditionele methoden, die gegevens in
serie verwerken. Toch wordt deze techniek vaak over het hoofd gezien.
Een NN is dus een niet-lineair statistisch analyseprogramma dat via trial & error herhaaldelijk
historische gegevens analyseert, op zoek gaat naar patronen en automatisch een model creëert
voor die gegevens (Cerullo, Cerullo, 2006).
Neurale Netwerken komen voor in verschillende vormen, waarvan back-propagation de
populairste is.
Figuur 3 toont een NN met ‘back-propagation’. Deze bestaat steeds uit een input layer, één of
meer hidden layers en een output layer. Elke neuron (voorgesteld door een knoop) in de input
layer stelt een onafhankelijke variabele voor, de knoop in de output layer is de afhankelijke
variabele. In figuur 3 is er slechts 1 knoop in de output layer, maar dit is niet altijd zo: de output
layer kan bestaan uit meerdere knopen (Cerullo, Cerullo, 2006).
12
Figuur 3: Neuraal Netwerk (Calderon, Cheh, 2002)
Je kunt voor een specifiek probleem een NN opstellen, wat gebeurt in 5 stappen (figuur 4). De
wijze waarop je dit kunt creëren en de werking ervan wordt uitgelegd aan de hand van een
voorbeeld, concreet toegepast op het onderwerp van deze masterproef.
In de eerste stap wordt het probleem geformuleerd: Je wilt nagaan of het topmanagement van een
bedrijf fraude heeft gepleegd. Deze vorm van fraude manifesteert zich meestal in het
overwaarderen van inkomsten en het onderwaarderen van schulden en uitgaven. Dit kan dus tot
uiting komen als je een aantal ratio’s berekent (Cerullo, Cerullo, 2006).
Een volgende stap bestaat uit het opstellen van een database met historische waarden. Die
database moet bestaan uit onafhankelijke inputvariabelen en afhankelijke outputvariabelen. Als
inputvariabelen neem je negen ratio’s, die gebruikt worden door bedrijven om fraude op te
sporen (deze ratio’s kan je bekomen door rondvraag te doen bij een aantal bedrijven). Je
selecteert eveneens 15 bedrijven die deze vorm van fraude hebben gerapporteerd en 15 bedrijven
zonder dergelijke rapportering. Je stelt bijgevolg een database op met de 9 berekende ratio’s van
die 30 bedrijven voor het jaar vooraleer enige vorm van fraude gerapporteerd was. De
outputvariabele geeft aan of er fraude is of niet. Aan deze tweede fase moet er erg veel aandacht
besteed worden, want wanneer dit op een foutieve wijze gebeurt (te weinig gegevens, niet-
representatieve steekproef, …) zal het model weinig waarde opleveren.
13
Figuur 4: Fraudedetectie met behulp van een Neuraal Netwerk (Cerullo, Cerullo, 2006)
Als derde stap wordt het model opgesteld. Hiervoor kies je een trainingset en een testset. In dit
geval nemen we een trainingset van 22 observaties en een testset van de overige 8 observaties.
De trainingset wordt gebruikt om het model te trainen, zodat er patronen herkend worden tussen
de inputs (de ratio’s) en de outputs (is er fraude of niet). De testset bepaalt hoe goed het netwerk
in staat is om te gaan met nieuwe gegevens.
Je stelt dus een NN op met als inputvariabelen de ratio’s van de bedrijven (dit bepaalt dus de
input layer). Een knoop van de hidden layer krijgt als input de output van elke knoop van de
inputlayer, vermenigvuldigd met een bepaald gewicht dat aan elke knoop toegekend is. Dit alles
wordt gesommeerd. Zijn er meerdere hidden layers, dan krijgt de volgende hidden layer als input
weer de output van de vorige layer, vermenigvuldigd met gewichten en ook weer hier
gesommeerd. De gewichten die gegeven worden kunnen de ene ratio zwaarder laten doorwegen
dan de andere, als men denkt dat de ene ratio meer invloed heeft bij het opsporen van fraude.
Figuur 5 toont hoe een knoop er uitziet en welke berekening er gebeurt (Cerullo, Cerullo, 2006).
14
Figuur 5: Basiselementen van een neuron (Calderon, Cheh, 2002)
In formulevorm:
∑= ijij xwu .
waarbij
� uj het totaal inputsignaal van neuron j is
� wij het gewicht van de verbinding tussen neuronen i en j is
� xi het inputsignaal van neuron i is
(Kirkos et al., 2007)
Het definitieve resultaat is te vinden in de output layer. Dit berekende resultaat wordt vervolgens
vergeleken met het verwachte resultaat. Hier vergelijkt men dus of men via het NN de bedrijven
waar fraude gepleegd is kan achterhalen. Dit is mogelijk omdat men weet bij welke bedrijven er
sprake is van fraude en bij welke niet. Het model wordt ‘getraind’ om de kwadratische fout
tussen deze twee resultaten te minimaliseren. Dit kan men via een systeem van trial & error
bereiken: men past de gewichten van de verbindingen steeds aan, tot men een aanvaardbaar
resultaat bekomt. Na de training gebruik je de testset, waarvan je eveneens het te bekomen
resultaat kent. Door deze testset te gebruiken, kan je achterhalen of het leerproces juist is
doorlopen (Cerullo, Cerullo, 2006).
Als vierde stap wordt het resultaat geëvalueerd. Daarvoor vergelijkt men een aantal statistische
getallen van de testset en de trainingset.
Er zijn een aantal factoren die wijzen op een aanvaardbaar model:
15
� als de gemiddelde absolute fout van de testset laag is vergeleken met het outputmaximum en
outputminimum;
� als de minima, maxima, gemiddelde en standaardafwijking van de output van de testset en de
trainingset dicht bij elkaar liggen (Wanneer dit niet het geval is, moet het aantal observaties
verhoogd worden en een nieuw model opgesteld worden);
� wanneer de voorspelde kwadratische fout van de trainingset dicht bij de gemiddelde
kwadratische fout van de testset ligt;
� wanneer R² van de testset dicht bij 1 ligt.
Als blijkt dat het geen aanvaardbaar model is, dan kan men proberen met nieuwe variabelen,
door de steekproefgrootte te verhogen, door een nieuw model te trainen en opnieuw de resultaten
te evalueren.
Is het wel een aanvaardbaar model, dan kan het geïmplementeerd worden voor het opsporen van
fraude. Dit is meteen de laatste stap. Op deze manier kan je dan fraude in andere bedrijven
opsporen door gebruik te maken van het opgestelde Neuraal Netwerk (Cerullo, Cerullo, 2006).
Neurale Netwerken worden in vele gebieden gebruikt: bij de evaluatie van managementfraude,
bij het vormen van een mening over auditprobleemstellingen, om financiële crisissen te
voorspellen, bij de beoordeling van interne controlesystemen en bij beslissingen over
vergoedingen (Chen, Huang, Kuo, 2009).
Voordelen van een Neuraal Netwerk:
� Beantwoordt ‘wat als…’ vragen.
� Is onderworpen aan een adaptief leerproces en kan dus gemakkelijk aangepast worden.
� Kan grote hoeveelheden (inconsistente) gegevens verwerken.
� Biedt een alternatief voor problemen die niet met algoritmen kunnen opgelost worden.
� Blijft een vrij hoge graad van performantie behouden, zelfs al wordt er een deel van het
netwerk vernield.
� Maakt geen veronderstellingen over de onafhankelijkheid van attributen.
� Kan zichzelf organiseren: het kan een eigen voorstelling van een gegevensset maken.
� Werkt heel snel.
� Is gemakkelijk te implementeren voor het opsporen van managementfraude (Cerullo, Cerullo,
2006).
16
Nadelen van een Neuraal Netwerk:
� Het heeft moeite om effectief te werken in een reallife situation.
� Laat onderzoekers niet toe de statistische significantie te bepalen van de gebruikte variabelen.
� Enkel de input en de output zijn observeerbaar; het interne proces (‘Black Box’) om van de
input naar de output te gaan is niet observeerbaar (Calderon, Cheh, 2002).
2.3 Bayesian Belief Network (BBN)
Een Bayesian Belief Network is een grafisch model dat de waarschijnlijke relatie (oorzaken en
effecten) tussen een aantal variabelen evenals historische informatie over deze relatie weergeeft.
De knopen stellen de variabelen voor, de pijlen geven de causale relatie weer tussen deze
variabelen. Variabelen waartussen geen pijl loopt zijn dus onafhankelijk van elkaar. Elke knoop
heeft ‘states’: mogelijke waarden die de variabelen kunnen aannemen.
Als een variabele 100% van een bepaalde waarde aanneemt en 0% van alle andere waarden, dan
is dit een hard bewijs. Zachte bewijzen daarentegen vormen de restcategorie: dit zijn de
bewijzen dat een variabele minder dan 100% in een bepaalde toestand is of meer dan 0% in
andere toestanden. Deze laatste soort wordt voornamelijk gebruikt bij informatie waarover
onzekerheid bestaat (River, 2004).
De pijlen (edges) duiden de richting van het effect aan. Als de pijl van knoop B naar knoop C
gaat, is B (parent node) de ouder van knoop C en is C (child node) het kind en meteen ook
afhankelijk van B. Verder zijn er ook ‘root nodes’, dit zijn de variabelen die geen ouders hebben
en ‘leaf nodes’, wat variabelen zonder kinderen zijn.
Figuur 6: Bayesian Belief Network met conditional probability table (Rokach, Maimon,
2006, p194)
17
Elke knoop heeft een ‘conditional probability table’ (CPT): een tabel die de voorwaardelijke
waarschijnlijkheid weergeeft. Een tabel van een parent node geeft zijn toestanden en de
waarschijnlijkheid van die toestanden weer. De tabel van een child node geeft de toestand van de
parent node en van de child node weer en de conditionele probabiliteit tussen beide (Figuur 6).
Deze techniek is gebaseerd op het theorema van Bayes, ontwikkeld door de wiskundige
Thomas Bayes (1702-1762). In de meest eenvoudige vorm bestaat deze regel uit:
( ) ( ) ( )( )aP
bPbaPabP
.=
met
� P(a): de probabiliteit van a
� P(b): de probabiliteit van b
� P(a|b): de probabiliteit van a gegeven b
� P(b|a): de probabiliteit van b gegeven a
Een meer gebruikte vorm van deze regel:
( ) ( ) ( )( )XP
HPHXPXHP
.=
Met
� Hypothese H: een attribuut X uit de trainingset behoort tot klasse C
� P(HX): posteriori probability of de waarschijnlijkheid dat hypothese H geldt, gegeven het
geobserveerde attribuut X.
� P(XH): waarschijnlijkheid van X, gegeven hypothese H.
� P(H): a priori probability of de marginale waarschijnlijkheid dat hypothese H geldt.
� P(X): marginale waarschijnlijkheid dat X geobserveerd wordt (Niedermayer, 1998).
Als X behoort tot één van de i alternatieve klassen, dan berekent een Bayesian classifier de
waarschijnlijkheid P(Ci X) voor alle mogelijke klassen Ci en wijst X toe aan de klasse met de
hoogste probabiliteit P(Ci X). Je berekent op deze manier voor een aantal attributen uit de
trainingset tot welke klasse ze behoren. Voor elke X geeft P(x|p1, p2, ..., pn) de probabiliteit weer
van variabele X in toestand x gegeven ouder P1 in toestand p1, ouder P2 in toestand p2, …, ouder
Pn in toestand pn (Kirkos et al., 2007). Vervolgens laat je de rest van de trainingset het netwerk
18
doorlopen. Wanneer de classificatie juist blijkt, heb je een BBN dat je kunt gebruiken voor
nieuwe gegevens (Kamber, Han 2006).
Toegepast op het thema van deze masterproef kan een Bayesian Belief Network de
waarschijnlijke relatie weergeven tussen fraude en red flags. Dit model kan opgesteld worden
aan de hand van volgende vergelijking:
( ) ( ) ( )( ) ( ) ( ) ( )
( ) ( )( )SP
FPFSP
NFSPNFPFSPFP
FPFSPSFP
.
..
.=
+=
met
� F: er is sprake van fraude
� NF: er is geen sprake van fraude
� S: signaal dat er fraude is
� P: probabiliteit (Huang et al., 2008)
Je berekent tot welke klasse een deel van de variabelen S uit de trainingset behoren en stelt een
CPT op voor elke variabele. Wanneer de rest van de trainingset het netwerk doorlopen heeft en
juist blijkt te zijn, krijg je een BBN voor deze situatie. Men gebruikt dan het netwerk om de
waarschijnlijkheid te berekenen dat er fraude voorkomt in een nieuw bedrijf, gegeven de red
flags (River, 2004).
Deze dataminingtechniek wordt op veel verschillende gebieden toegepast en is ideaal in situaties
waarbij niet alle informatie (zowel in het heden als het verleden) gekend, volledig, zeker is,… of
waarbij geautomatiseerd denken hoort. Bayesian Belief Network laat toe om zowel een
inductieve als een deductieve redenering op te zetten. Een inductieve redenering zoekt naar een
effect (of meerdere effecten) gegeven de oorzaak, een deductieve redenering voorspelt de
oorzaak gegeven het effect (River, 2004).
Voordelen van Bayesian Belief techniek:
� Makkelijk implementeerbaar.
� Kan op vele gebieden toegepast worden.
� Laat toe om, ondanks onvolledige informatie, een overzichtelijk en duidelijk beeld te geven
van een bepaalde situatie.
19
� Helpt bij het nemen van beslissingen of bij het automatiseren van beslissingsprocessen
(River, 2004).
� Geeft de relaties weer tussen variabelen.
� Geeft op een grafische wijze duidelijk aan welke variabelen afhankelijk en welke
onafhankelijk zijn van elkaar (Niedermayer, 1998).
Nadelen van Bayesian Belief techniek:
� Het is een statisch systeem: het is enkel mogelijk om de ‘voorziene weg’ te volgen. Vraagt
een gebruiker informatie die niet voorzien was, dan kan het systeem hier niet mee omgaan.
� Als je de waarschijnlijkheid van een tak wil berekenen, moeten alle overige takken eveneens
berekend worden. Hierdoor kan het heel duur worden of zelfs praktisch niet uitvoerbaar
wegens het grote aantal variabelen dat er in voorkomt.
� Het nut van een BBN is afhankelijk van de betrouwbaarheid van de voorafgaande kennis die
men heeft: als men de verwachtingen over de kwaliteit van deze kennis te optimistisch of te
pessimistisch inschat, zal dit ongeldige resultaten opleveren (Niedermayer, 1998).
� Men gaat uit van de assumptie dat alle inputs conditioneel onafhankelijk zijn van elkaar. Dit
lukt in de praktijk niet altijd, waardoor het model minder accuraat is (Kamber, Han, 2006).
2.4 Benford’s law
Dit is een van de meest gebruikte machtswetten (Engels: power laws) voor het opsporen van
fraude. Een machtswet is een relatie van de vorm P(x) = Cx -α, met constanten exponent α en C
en een waarschijnlijkheid P(x)dx om een waarde te vinden in het interval gaande van x tot x + dx
met α > 0 (Newman, 2005).
Frank Benford kwam tijdens de jaren ’20 tot de vaststelling dat, in om het even welke lijst van
cijfergegevens, de ‘leading digit’ (dus het eerste cijfer) in zekere mate voorspelbaar is. Zo komt
‘1’ als eerste cijfer het meest voor en gaat die frequentie achteruit naarmate men dichter ‘9’
nadert. Uit tabel 1 blijkt dat ‘1’ als eerste cijfer in 30% van de gevallen zal verschijnen, terwijl
‘9’ slechts in 4,5% van de gevallen als eerste cijfer voorkomt (Geyer, Williamson, 2004).
20
Tabel 1: Benford’s verdeling (Nigrini, 1996)
De waarschijnlijkheid dat een getal een significant eerste cijfer d heeft, wordt weergegeven door
de formule:
( ) ( ) 9,...,1,1log 110 =+== − ddddigittsignificanfirstP
Meer veralgemeend kunnen we stellen dat:
( ) ( )( )111011 ...1log...... −+== kkk ddddDDP
(Geyer, Williamson, 2004)
De hoofddoelstelling is artificiële cijfers op het spoor te komen. Het kan hierbij zowel gaan om
toevallige fouten als om fraude. Fraudeurs vergeten immers vaak deze logica te volgen bij het
aanpassen van cijfergegevens. Dit systeem is erg geliefd omdat het toelaat om op een goedkope
en eenvoudige wijze een eerste test uit te voeren in de zoektocht naar fraude (Stone, 2003).
Wanneer er in een gegevensset twijfel heerst of deze verdacht is of niet, kan men deze digitale
analyse toepassen. Deze vergelijkt de geobserveerde en de verwachte proportie en berekent
hiervan de standaardafwijking. De nulhypothese en alternatieve hypothese zijn als volgt
(Durtschi, Hillison, Pacini, 2004):
� H0: geobserveerde proportie is gelijk aan de verwachte proportie
� H1: geobserveerde proportie is verschillend van de verwachte proportie
De standaardafwijking voor de verwachte proportie van elk cijfer wordt gegeven door volgende
formule:
( ) 2
1
1.
−=
n
pps ii
i
21
met
� Si : de standaardafwijking van elke cijfer, gaande van 1 tot 9
� Pi : de verwachte proportie van een specifiek cijfer gebaseerd op Benford’s law
� n: het aantal observaties
Met behulp van een Z-statistiek kan men dan nagaan of een bepaald cijfer meer of minder
frequent voorkomt in een bepaalde gegevensset dan verwacht wordt bij een Benford verdeling.
Deze Z-statistiek wordt berekend met volgende formule:
i
e
sn
ppz 2
10 −−
=
met
� P0: geobserveerde proportie in de gegevensset
� Pe: verwachte proportie gebaseerd op Benford’s law
� Si: standaarddeviatie voor een specifiek getal
� n: aantal observaties
� De factor 1/(2n) is een continuïteitscorrectiefactor en wordt enkel gebruikt wanneer dit
kleiner is dan de term die in absolute waarde staat.
Of een gegevensset verdacht is of niet, hangt af van het betrouwbaarheidsinterval. Bij een
betrouwbaarheidsinterval van 95% verwerpt men de nulhypothese als de p-waarde < 0,05.
Uiteraard is de verwachte en de geobserveerde proportie nooit helemaal gelijk. Het komt er op
aan te kijken hoe ver deze twee van elkaar afwijken (Durtschi et al., 2004).
Nigrini was de eerste die besloot om Benford’s law toe te passen op accounting data met de
bedoeling fraude op te sporen. Toch kan dit niet bij elke boekhoudkundige transactie gebruikt
worden.
22
In volgende gevallen is het nuttig Benford’s law toe te passen:
� Als de cijfers het gevolg zijn van wiskundige bewerkingen. Voorbeelden hiervan zijn
‘handelsvorderingen’ (aantal verkochte goederen * prijs per stuk) en ‘leveranciersschulden’
(aantal gekochte goederen * prijs per stuk).
� Als de gegevens zich bevinden op het niveau van transacties: verkoopcijfers, uitgaven,
uitbetalingen, …
� Als de database een groot aantal gegevens bevat: transacties gedurende het hele jaar
� Als het gemiddelde van een specifieke groep cijfers groter is dan de mediaan en de helling
positief is, wat het geval is bij de meeste boekhoudkundige cijfers.
(Durtschi et al., 2004)
In volgende gevallen is het NIET nuttig Benford’s law toe te passen:
� Wanneer de gegevensset bestaat uit toegekende cijfers, zoals bij cheques, factuurnummers,…
� Wanneer de cijfers door menselijk toedoen zijn beïnvloed. Een vaak voorkomend voorbeeld
hiervan is een prijs die eindigt op …,99 om psychologische redenen.
� Wanneer het om bedrijfsspecifieke rekeningen gaat. Dit zijn dan rekeningen die met een
specifieke reden voor dat bedrijf worden opgesteld.
� Wanneer het gaat om rekeningen met een ingebouwd minimum of maximum. Bijvoorbeeld:
stel dat er schadevergoedingen gegeven worden tot een bepaald bedrag zonder werkelijk
documenten te moeten voorleggen, dan zal het bedrag net onder het minimumbedrag vaker
voorkomen en is dit een gemanipuleerde vorm van gegevens, waardoor Benford’s logica niet
meer van toepassing is.
� Wanneer er geen transactie vastgelegd is, wat het geval is bij diefstal, smeergeld,…
� Wanneer identieke gegevens voorkomen. Benford’s law is niet in staat om identieke
bankrekeningen, adressen, factuurnummers, … op te sporen (Durtschi et al., 2004).
� In grote gegevensbestanden heeft men naast Benford’s law nog andere technieken nodig,
aangezien met deze wet alleen er veel te veel gegevens moeten gecontroleerd worden en dus
te veel tijd in beslag neemt (Huang et al., 2008).
Benford’s law is een van de meest populaire digitale analysetechnieken. Digitale analyse is een
proces om gegevenssets te analyseren om verdachte patronen en afwijkingen te identificeren met
de bedoeling om de oorzaken van die afwijkingen te vinden.
23
Digitale analyse kent echter een aantal beperkingen (Leinicke, 2006). Ten eerste kost het veel
tijd en energie om de gegevens in de juiste vorm te zetten. Vervolgens gebeurt het vaak dat
gegevens ten onrechte als fout aanzien worden, terwijl er een logische verklaring voor bestaat.
Ten derde neemt het onderzoeken van de mogelijke fouten veel tijd in beslag.
Voordelen van digitale analyse zijn dat het in staat is 100% van de gegevens te onderzoeken.
Daarnaast vertrekt digitale analyse zonder vooroordelen, helpt het bij het plannen van de interne
audit, zorgt het voor een continue monitoring en bezit het een afschrikeffect: zelfs al ontdek je
geen fraude, men weet dat je er achter zoekt.
Je kunt dus best je gegevensset beperken vooraleer je Benford’s law toepast en beseffen dat de
follow-up veel tijd in beslag kan nemen. Toch vormt dit een cruciale stap in het opsporen van
fraude. Digitale analyse kan uitgevoerd worden via software. ACL, MS Access en IDEA (cfr.
Infra) zijn slechts een paar softwarepakketten die zich hier goed toe lenen (Leinicke, 2006).
2.5 Zipf’s law
Oorspronkelijk situeren we Zipf’s law, wat eveneens een machtswet is, in de linguïstiek. In die
context betekent deze wet: de frequentie waarmee een woord voorkomt is ongeveer omgekeerd
evenredig met de rang van het woord in de frequentietabel. Het meest frequente woord komt
ongeveer twee keer zo vaak voor als het op een na frequentste woord, dat op zijn beurt weer twee
keer zo vaak als het vierde frequentste voorkomt, enz. (Balasubrahmanyan, Naranan, 2002).
Benford’s law wordt gezien als een speciaal geval van Zipf’s law. Het grote verschil tussen
digitale analyse en Zipfanalyse is dat de eerste soort enkel met numerieke variabelen kan
werken, terwijl de tweede soort ook stringvariabelen aankan.
Vertrekkende van dit idee hebben Huang et al. (2008) Zipf’s law toegepast op het domein van
accounting en audit. Op deze manier hebben ze een tool gecreëerd voor auditors om hun
zoektocht naar fraude eenvoudiger te maken.
Op figuur 7 zien we de Zipf analyse, die deel uitmaakt van een groter geheel. Het systeem
bestaat uit drie grote delen, namelijk het ontwerpen van een auditprogramma, de Zipfanalyse en
het substantieel testen. We bespreken achtereenvolgens de 3 fasen (Huang et al., 2008).
24
a) Ontwerpen van een auditprogramma
Een auditor moet eerst en vooral nadenken over de doelstellingen die hij wil bereiken. Deze
worden duidelijk gedefinieerd. Er wordt een auditprogramma opgesteld en voorbereidend werk
uitgevoerd. Vervolgens belandt men bij de patterns generation (ontwikkeling van een patroon),
wat meteen de input vormt van de Zipfanalyse.
Figuur 7: Werking van de Zipfanalyse (Huang et al., 2008)
25
b) Zipfanalyse
De fase van patroonontwikkeling, waarmee de Zipfanalyse start, kan opgedeeld worden in 4
stappen. Eerst en vooral moet men de gewenste variabelen selecteren, waarna er een patroon
ontwikkeld wordt voor elke variabele. Vervolgens worden alle mogelijke patronen berekend, aan
de hand van een algoritme. Ten slotte worden alle patronen gesorteerd op basis van de frequentie
waarmee ze voorkomen. Na deze fase berekent de auditor de werkelijke en de theoretische
frequentieverdeling en de betrouwbaarheidsintervallen van zowel de werkelijke als de
theoretische waarden. De Z-score moet vervolgens bepalen of het verschil tussen de werkelijke
en de theoretische waarde significant is en toetst dus volgende hypothese:
� H0: De gegevens zijn niet gemanipuleerd
� H1: De gegevens zijn gemanipuleerd
Deze nulhypothese wordt verworpen op het 5% niveau als de Z-score groter of gelijk is aan 1,96.
Als laatste stap in de Zipfanalyse worden de resultaten overzichtelijk weergegeven in een tabel
of grafiek. (De gebruikte algoritmen zijn vermeld in bijlage 2)
c) Substantiële testen
Deze resultaten brengen ons bij de fase van het ‘substantieel testen’. Als blijkt dat er geen
significante afwijkingen zijn, wordt het proces beëindigd en is er - met 95% zekerheid - geen
sprake van fraude; bij significante afwijkingen wordt er verder gezocht naar mogelijke
verklaringen voor deze afwijkingen. De auditor moet die afwijkingen verder onderzoeken; als
blijkt dat het toch niet om fraude gaat, wordt het proces alsnog beëindigd (Huang et al., 2008).
Voordelen van Zipf’s law:
� Het is in staat om fraude op te sporen met herhaaldelijk opeenvolgende patronen.
� Het werkt efficiënter en effectiever dan 100% sampling (Huang et al., 2008).
Tot hier toe is er slechts weinig literatuur te vinden omtrent Zipf’s law toegepast op het domein
van accounting, waardoor er nog geen nadelen gevonden zijn.
26
2.5.1 Vergelijking tussen Benford’s law en Zipf’s l aw
Benford’s law en Zipf’s law zouden verwant zijn met elkaar. We vergelijken beide methodes in
tabel 2:
Benford’s law Zipf’s law Afgeleid van een natuurwet Afgeleid van een natuurwet
Volgt het principe van een machtswet Volgt het principe van een machtswet
Toont de relatie tussen cijfers en de frequentie
waarmee ze voorkomen
Toont de relatie tussen de volgorde en de
frequentie
Numerieke gegevens zijn noodzakelijk als input Heeft geen specifieke voorvereisten
Reeds lange tijd operationeel Staat nog maar in zijn kinderschoenen
Tabel 2: Vergelijking Benford’s law en Zipf’s law (Huang et al., 2008)
Ze vertonen enkele gelijkenissen. Zo zijn beide afgeleid van een natuurwet en werken ze volgens
het principe van een machtswet. Er zijn echter ook een aantal verschillen op te merken in de
voorvereisten die ze al dan niet stellen, de onderzochte relatie en de tijd dat de methode reeds in
gebruik is in deze context (Huang et al., 2008).
2.6 Relative Size Factor
De “Relative Size Factor” wordt berekend met behulp van volgende eenvoudige formule:
tgegevenssedeuitgetalgrootsteTweede
tgegevenssedeuitgetalGrootste
Deze methode heeft als doel outliers op te sporen. Voor elke categorie (werknemers, verkopers,
leveranciers, …) is er immers bekend in welke range die zich normaal bevindt. Worden er
waarden gevonden die opmerkelijk boven deze marge uitsteken, dan worden deze verder
onderzocht. Deze afwijkingen kunnen immers het gevolg zijn van fraude (Panigrahi, 2006). Deze
methode wordt voornamelijk gebruikt in de categorie ‘leveranciersschulden’ (Leinicke, 2006).
Voordelen en nadelen van de Relative Size Factor techniek:
Deze techniek is eenvoudig toe te passen, maar wordt aanzien als niet erg effectief en efficiënt
voor het opsporen van fraude, aangezien het mogelijk is dat de outliers enkel het gevolg zijn van
toevallige fouten en dat de intentionele fouten verstopt kunnen zitten binnen de aanvaardbare
grenzen (Panigrahi, 2006).
27
Hoofdstuk 3: Software
Traditioneel trok de auditor een conclusie over de betrouwbaarheid van data nadat hij manueel
slechts een beperkte steekproef had onderzocht van 30 tot 50 transacties. Door deze werkwijze te
hanteren konden vele onregelmatigheden aan het oog van de auditor ontsnappen. Er was dus
duidelijk nood aan een beter en diepgaander onderzoek. Vandaag is het bijna ondenkbaar dat een
forensisch accountant alle onregelmatigheden in data manueel zou opsporen. Forensische
accountants maken daarom gebruik van computers en allerlei soorten software. In deze context
spreken we over CAATs (Computer Assisted Audit Techniques of Computer Aided Audit
Tools) of CAATTs (Computer Assisted Audit Tools and Techniques). In de ruime zin staat dit
voor alle software die gebruikt wordt om het auditproces beter te laten verlopen. Uiteraard hoeft
het niet steeds om ingewikkelde en dure software te gaan.
Richard Lanza (Lanza, 2005) zet 3 punten in de verf die je in gedachten moet houden wanneer je
software inschakelt in forensische accountancy: In de eerste plaats kan je het beste met
eenvoudige, relatief goedkope software starten en iteratief werken. Ten tweede moet je er voor
zorgen dat je zoveel mogelijk cash return hebt. Ten slotte moet je er een gewoonte van maken
om de resultaten van de automatische fraudedetectie taken regelmatig na te kijken.
De bedoeling van CAATTs is om 100% van de transacties op onregelmatigheden te
onderzoeken. Elke onregelmatigheid kan vervolgens door de forensisch accountant verder
onderzocht worden. Als gevolg hiervan zullen er veel meer fraudegevallen aan het licht komen
dan bij traditionele audit, waardoor de efficiëntie en de effectiviteit verhoogt. CAATTs laat toe
om analytische testen (bijvoorbeeld Benford’s law) uit te voeren voor specifieke risico’s in alle
fasen van het auditproces. Daarnaast helpt het bij het opstellen van rapporten over de
gegevensanalyse en zorgt het voor een continue monitoring van de gegevens. (Coderre, 1999).
Wil de forensisch accountant een beslissingsboom opstellen, dan kan hij gebruik maken van de
‘C4.5 software’ van Ross Quinlan, die gebaseerd is op zijn gelijknamig algoritme. Een Neuraal
Netwerk toepassen op gegevens kan door bijvoorbeeld gebruik te maken van ‘ModelQuest
Enterprise’ of ‘NeuroSolutions’ (Cerullo, Cerullo, 2006). ‘BNet.builder’ kan gebruikt worden
om een Bayesian Belief Network op te stellen (River, 2004).
28
In de praktijk is het echter zo dat forensische accountants voornamelijk gebruik maken van
software die gebaseerd is op een combinatie van verschillende dataminingtechnieken en die - in
sommige gevallen - specifiek is aangepast aan de ervaringen die men op het gebied van
fraudeopsporing reeds heeft opgedaan.
Hieronder volgt een overzicht van de in de forensische accountancy meest gebruikte software
met een aantal voor- en nadelen. Om na te gaan hoe bedrijven sommige software in de praktijk
toepassen en wat hun ervaringen hiermee zijn, heb ik contact opgenomen met
PricewaterhouseCoopers en Deloitte.
3.1 Microsoft Excel
Hoewel je bij fraudesoftware misschien niet meteen zou denken aan Microsoft Excel, wordt dit
toch gebruikt. Oorspronkelijk analyseerde en onderzocht men gegevens met Excel; naarmate
computers meer ontwikkelden, werd er meer gebruik gemaakt van Access, aangezien bij deze
laatste de tabellen vergrendeld kunnen worden, zodanig dat de gegevens niet kunnen gewijzigd
worden (cfr. infra).
Bijna iedereen bezit Excel, wat deel uitmaakt van het Microsoft Office pakket, waardoor deze
tool dus ‘gratis’ te gebruiken is. Met Excel kan je fraude vroegtijdig op het spoor komen
(voornamelijk in de post ‘handelsdebiteuren’) en op deze manier er voor zorgen dat je zoveel
mogelijk cash kunt recupereren. Het laat je eveneens toe om problemen betreffende de interne
controle te identificeren (Lanza, 2006a).
Als auditsoftware heeft Excel de volgende functies:
Functie Verklaring
Horizontale Analyse Analyseert de stijgingen en dalingen in een balans over twee of
meerdere periodes.
Verticale Analyse Onderzoekt de elementen van de balans en de resultatenrekening
gedurende een specifieke periode. Elk item van de balans wordt hierbij
weergegeven als een percentage van de totale som van activa, terwijl
elk element van de resultatenrekening een percentage van de
nettoverkopen is.
29
Ratio’s berekenen Laat toe ratio’s te vergelijken.
Trendanalyse Vergelijken van analytische testen over meerdere jaren om er patronen
in te herkennen en zo mogelijke fraude op te sporen.
Performance maatstaf Identificeert kritische succesfactoren die het mogelijk maken de
geboekte vooruitgang in het bereiken van specifieke doelstellingen te
bepalen.
Statistiek Laat toe gemiddelde, standaarddeviatie,… te berekenen.
Stratificatie Telt het aantal en de waarden van records van de populatie die binnen
de vooropgestelde intervallen valt.
Aging Produceert samenvattingen van oudere gegevens op de cutoffdatum,
wat nuttig kan zijn om de flow te zien over een bepaalde periode.
Benford’s law/ digitale
analyse
Cfr. supra
Regressie analyse Analyseren van gegevens waarin (mogelijk) sprake is van een
specifieke samenhang (regressie).
Monte Carlo simulatie Laat toe een simulatie te maken van een bepaalde categorie, gebruik
makend van een schatting, waarbij de waarschijnlijkheid van die
schattingen gegeven is.
Bijeenvoegen Voegt twee bestanden samen tot 1 bestand.
Berekend veld Maakt berekeningen met behulp van gegevens uit een bepaald bestand.
Duplicaten Zoekt naar gegevens die dubbel voorkomen.
Gegevens filteren Kopieert bepaalde gegevens uit een bestand in een ander bestand (‘als’
en ‘waar’).
Exporteren Maakt het mogelijk om bestanden in een ander softwareformaat te
zetten om testen uit te voeren.
Ontbrekende gegevens Spoort onvolledigheden op.
Sorteren Maakt het sorteren van data mogelijk.
Relateren Laat toe relationele databases te creëren.
30
Tabel 3: Functies van MS Excel (eigen werk, gebaseerd op Lanza, 2003 & Lanza, 2006a)
Uit deze functies blijkt dat Excel op een aantal dataminingtechnieken steunt. Om de functie
‘trendanalyse’ te kunnen uitvoeren, werd er uitgegaan van een Neuraal Netwerk (cfr. supra).
Fraude en toevallige fouten zorgen voor veranderingen. Door huidige en historische gegevens te
vergelijken en patronen te zoeken, kunnen die veranderingen opgespoord worden.
Excel is ook in staat Benford’s law (cfr. supra) toe te passen.
Stratificatie, het opsporen van dubbele of ontbrekende gegevens, het uitvoeren van een
regressieanalyse, het filteren van gegevens en het opstellen van relationele databases is mogelijk
door gebruik te maken van beslissingsregels.
Voor ‘stratificatie’ bepaalt men met behulp van ‘als [voorwaarde] dan [categorie X]’ tot welke
categorie gegevens behoren die in een bepaald interval liggen. Men telt vervolgens het aantal
gegevens en de som van de waarden per categorie, eveneens gebruik makend van
beslissingsregels.
Als je bijvoorbeeld factuurnummers rangschikt van klein naar groot kan je Excel eenvoudig laten
weergeven of er nummers ‘ontbreken’ of ‘dubbel’ voorkomen en hoeveel dit er zijn. Als het
verschil tussen het tweede en het eerste nummer groter is dan één, dan ontbreken er gegevens; is
dit verschil nul, dan komen er gegevens dubbel voor. Uiteraard is dit een heel eenvoudig
voorbeeld en kan er met veel meer voorwaarden rekening gehouden worden.
Aangezien een regression tree en een decision tree ongeveer synoniemen zijn, is de
‘regressieanalyse’ eveneens gesteund op een beslissingsboom.
Ook de functies ‘gegevens filteren’ en ‘relationele databases’ kunnen maar plaatsvinden omdat
er bepaalde voorwaarden vooropgesteld worden.
De forensisch accountant moet deze beslissingsregels zelf opstellen. Excel kan deze regels
uitvoeren, omdat dit steunt op de techniek van de beslissingsboom.
De Monte Carlo simulatie werkt ongeveer zoals een Bayesian Belief Network: men maakt een
schatting van een bepaalde categorie en de waarschijnlijkheid van die schatting is gegeven.
Steekproeftrekking Maakt toevallige steekproeven mogelijk.
Samenvatten Accumulatie van numerieke gegevens.
Kruistabel Analyseren van gegevens door ze in rijen en kolommen te zetten.
31
Excel als auditsoftware heeft een aantal beperkingen (Lanza, 2006a)
� Kan slechts 65 536 rijen gegevens onderzoeken met de versie van 2003, terwijl de database
van grote bedrijven vaak veel meer gegevens bevat. De versie 2007 maakt dit al een beetje
goed met zijn 1,1 miljoen rijen.
� Documenteert het werk dat de auditor uitgevoerd heeft niet in een simpel verslag (dus de
auditor kan dit verslag niet gebruiken voor zijn working papers).
� Gegevens kunnen gewijzigd worden, waardoor de integriteit niet voldoende beschermd
wordt.
� Kan niet elk bestandsformaat lezen.
� Excel is niet op maat gemaakt van de auditor. Hij kan er wel de nodige informatie uithalen,
maar moet er meer moeite voor doen om dit te verkrijgen dan wanneer hij gespecialiseerde
auditsoftware zou gebruiken.
� Het is niet eenvoudig om een procedure die gebruikt werd op een bepaald bestand eveneens
toe te passen op een ander bestand (Lanza, 2006a).
3.2 Microsoft Access
Deze tool zit eveneens in het MS Office pakket begrepen, wat ook dit ‘gratis’ maakt. Ze kan
echter - in tegenstelling tot Excel - miljoenen gegevens onderzoeken en is meer op maat gemaakt
van de auditor. Deze tool is heel gebruiksvriendelijk en laat toe om gemakkelijk gegevens toe te
voegen zonder de applicatie te moeten verlaten. Belangrijke voordelen zijn dat je gegevens niet
kan wijzigen zonder volmacht en dat je de gemaakte queries kan behouden om later toe te passen
in andere bestanden (Lanza, 2004b).
De belangrijkste componenten van Access die dataminers verlangen zijn de mogelijkheid tot het
opstellen van tabellen, queries en rapporten. Zo kan je bijvoorbeeld queries opstellen om fraude
in verband met de uitbetaling van lonen te ontdekken (Johnson, 2005).
Access heeft een aantal functies: het is in staat om Benford’s law toe te passen, voegt twee
bestanden samen tot één bestand en maakt berekeningen met behulp van gegevens uit een
bepaald bestand. Daarnaast zoekt Access naar identieke en ontbrekende gegevens, kopieert het
bepaalde gegevens uit een bestand in een ander bestand en maakt het sorteren van data mogelijk.
Ten slotte kunnen bestanden in een ander softwareformaat worden gezet om testen uit te voeren,
kunnen kruistabellen en relationele databases gecreëerd worden en kunnen er samenvattingen
gemaakt worden van numerieke waarden (Lanza, 2003) & (Lanza, 2004b).
32
Microsoft Access werd ontwikkeld door gebruik te maken van ‘Benford’s law’ en
‘beslissingsbomen’. Deze laatste techniek maakt het mogelijk om identieke en ontbrekende
gegevens op te sporen, gegevens te filteren en relationele databases op te stellen. Ook hier stel je
‘als…dan…’ regels op, maar Access is maar in staat hier mee om te gaan, omdat het gebaseerd is
op beslissingsbomen.
Access als fraudesoftware heeft als beperking dat het maar efficiënt is, zolang de
gegevensbestanden niet groter zijn dan 1 Gigabyte. Bij bestanden die groter zijn, werkt het heel
traag (Lanza, 2006b).
Voorgenoemde software wordt voornamelijk gebruikt als eerste screening en is niet ontwikkeld
met als primair doel fraude op te sporen. Onderstaande programma’s daarentegen werden
specifiek ontwikkeld om de taak van de auditor te verlichten.
3.3 TopCAATs
TopCAATs is een heel recent ontstaan softwareprogramma dat als doel heeft fraude op te sporen
en binnen de vertrouwde omgeving van Microsoft Excel werkt. Het is bijgevolg heel
gebruiksvriendelijk en vereist dus weinig of geen training. TopCAATs kan evenveel gegevens
aan als Excel. Voor de versie van 2007 betekent dit concreet dat er 1,1 miljoen rijen zijn, hoewel
de 65 534 van vorige versies voor de meeste rapporten al voldoende is. Het programma reduceert
de benodigde tijd van de auditor met 100 uren per jaar, maar de auditor blijft een noodzakelijke
spilfiguur voor het selecteren van de gepaste testen en het interpreteren van de verkregen
resultaten. Het kan zowel op steekproefgegevens als op het volledige grootboek toegepast
worden (What is TopCAATs?, 2008).
TopCAATs beschikt over meer dan 100 functies, waaronder het toepassen van Benford’s law
om de natuurlijkheid van de getallen na te gaan, het detecteren van outliers - wat gebeurt via de
Relative Size Factor techniek - om vervolgens de aard hiervan te ontdekken, het vergelijken van
bestanden om te verifiëren of gegevens in beide bestanden identiek zijn, het opsporen van
ontbrekende getallen, stratificatie, het filteren van gegevens en het opstellen van relationele
databases, wat ook hier kan omdat TopCAATs gebaseerd is op de techniek van de
beslissingsboom.
33
Daarnaast produceert TopCAATs samenvattingen van gegevens op cutoffdatum, voegt het twee
bestanden samen tot één bestand, maakt het berekeningen met behulp van gegevens uit een
bepaald bestand, worden gegevens gesorteerd, kunnen bestanden in een ander softwareformaat
worden gezet om testen uit te voeren en kunnen kruistabellen gecreëerd worden. Er is
mogelijkheid om steekproeven te trekken, statistische getallen te berekenen, accumulatie van
numerieke gegevens toe te passen en verschillen tussen twee versies van rapporten aan te halen
(Lanza, 2009).
Specifiek voor audit werden sectiemodules ontwikkeld, die toelaten om op een snelle manier
bijna elke categorie van de balans aan analyse te onderwerpen en speciaal te kijken naar de
gebieden met een verhoogd risico. Binnen elke module worden er berekeningen gemaakt door
TopCAATs, die vervolgens nagaat of de gerapporteerde en de berekende gegevens
overeenkomen (Section modules, 2008).
3.4 ACL
ACL, voluit Audit Command Language, maakt het mogelijk om op snelle wijze de effectiviteit
van de interne controlesytemen te valideren, zodanig dat de bedrijfsdoelstellingen kunnen bereikt
worden. De flexibiliteit van dit softwarepakket laat toe om een reeks analytische
auditbenaderingen te implementeren (auditanalyses, regelmatige controles van de auditplannen
en automatische en continue controlemonitoring van de dagelijkse operaties van kritische
businessprocessen) en om op een kostefficiënte manier alle gegevens te bestuderen, te
onderzoeken en te analyseren. Sinds 1987 stelt ACL financiële beslissingsnemers in staat om
fraude op te sporen, risico’s te verminderen en winsten te verhogen. Door gebruik te maken van
ACL kunnen ook de lonen, uitgaven van werknemers, handelsvorderingen en
leveranciersschulden, die vatbaarder zijn voor fraude, onderzocht worden op een adequate
manier (Products, 2009).
Het ACL programma bestaat uit 3 grote onderdelen: ‘view’, ‘navigator’ en ‘command log’. Het
‘viewvenster’ bestaat uit de gegevens die bewerkt, gesorteerd en gewijzigd kunnen worden om
er vervolgens testen mee uit te voeren, het ‘navigatorvenster’ geeft tabellen en andere objecten
weer, terwijl het ‘command log venster’ het onderdeel is dat de resultaten en de conclusies van
de testen bijhoudt en toegevoegd kan worden aan de werkpapieren van de auditor.
34
ACL heeft al grote faam verworven en wordt ingeschakeld door onder andere 85% van de
Fortune500 bedrijven en dit in 150 landen. Ook Deloitte (Audit Command Language (ACL),
2009) en de andere Big Four bedrijven maken gebruik van ACL.
ACL heeft als algemene functies: samenvattingen van oudere gegevens op de cutoffdatum
produceren (aging), Benford’s law toepassen, twee bestanden samenvoegen tot één bestand,
berekeningen maken met behulp van gegevens uit een bepaald bestand, gemiddelden,
standaarddeviatie, … berekenen, gegevens sorteren en stratificatie toepassen. Daarnaast zoekt
ACL naar gegevens die dubbel voorkomen, kopieert het bepaalde gegevens uit een bestand in
een ander bestand, spoort het onvolledigheden op en maakt het sorteren van data mogelijk.
Tenslotte zijn toevallige steekproeven mogelijk, kunnen bestanden in een ander softwareformaat
worden gezet om testen uit te voeren, kunnen kruistabellen en relationele databases gecreëerd
worden en is er accumulatie van numerieke gegevens. (Lanza, 2003) & (Lanza, 2004a).
Uit deze functies blijkt dat ook ACL steunt op Benford’s law en dat ook hier de stratificatie, het
opsporen van ontbrekende en dubbele gegevens, het opstellen van relationele databases en het
filteren van gegevens enkel mogelijk is door de techniek van de beslissingsboom.
De ACL software beschikt over een aantal versies, die telkens de klemtoon ergens anders leggen.
De desktop editie zorgt voor een analyse en geïntegreerde rapportering van alle gegevens en
transacties. Het maakt enkel-lezenbestanden aan, zodat de integriteit van de brongegevens niet
geschaad wordt. De tool identificeert trends en gaat op zoek naar outliers. Zelfs de kleinste
afwijkingen kunnen gevonden worden. Dit is mogelijk omdat het programma steunt op een
Neuraal Netwerk en de Relative Size Factor. Daarnaast normaliseert het gegevens om
consistentie en accurate resultaten te verzekeren en worden de analytische testen
geautomatiseerd. Via e-mail ontvang je meteen informatie over de resultaten (ACL Desktop
Edition, 2009).
ACL AuditExchange 2009 is het eerste analytisch gemanaged platform ter wereld dat speciaal
voor auditteams ontwikkeld werd. Door dit systeem verbetert de productiviteit en de
performantie. Kritieke auditinformatie wordt opgeslagen op 1 centrale locatie, zodat ieder lid van
het auditteam het gemakkelijk kan terugvinden en ermee kan werken op zijn specifiek domein.
Zelfs wanneer iemand van het team het bedrijf verlaat, kunnen de overblijvende werknemers
deze kennis blijven gebruiken (ACL AuditExchange, 2009).
35
ACL Server Edition geeft de mogelijkheid tot het eenvoudig onderzoeken en vergelijken van
100% van de gegevens, alsof die zich op je desktop bevinden. Bovendien kan je gegevens
vergelijken die afkomstig zijn van verschillende systemen om op deze manier foutieve
transacties te ontdekken. Je kunt ze direct verwerken op de server, waardoor je dezelfde
voordelen als de server geniet: fouttolerantie, automatische back-up, veiligheid, betrouwbaarheid
en een groot verwerkingsvermogen. ACL zorgt er wel voor dat brongegevens niet veranderd
worden. Via de ‘data definition wizard’ kan je de tabellen, gegevens en velden selecteren die je
nodig hebt voor je analyse. De efficiëntie van je analyse stijgt, je bespaart tijd en de performantie
wordt groter. (ACL Server Editions, 2007).
De continue controlemonitoring (CCM), die rekening houdt met de SOx wetgeving (cfr. supra),
verschaft een onafhankelijk controlemechanisme om de effectiviteit van de interne controles te
verzekeren, om de operationele risico’s te verminderen, om het winstverlies te minimaliseren en
om het risico van fraude te temperen, terwijl het voldoet aan bepaalde wettelijke vereisten. CCM
is in staat om verdachte activiteiten en problemen rond scheiding van taken op te sporen en geeft
meteen informatie over verdachte zaken via een web browser interface. De analytische
parameters van dit controlesysteem kunnen aangepast worden, zodat ze aan de specifieke
vereisten van de organisatie voldoen. CCM beschikt over verschillende modules (Continuous
Controls Monitoring, 2009):
Purchase to payment module:
identificeert betalingen/lonen die te hoog zijn, vergeten kortingen, fraude en inefficiënties. De
outliers kunnen ontdekt worden via de Relative Size Factor.
Purchasing Card Module:
identificeert ongeautoriseerd gebruik van betaalkaarten door hoge volumes aankooptransacties te
controleren en te analyseren.
Travel & Entertainment Module:
kijkt of het beleid van de organisatie met betrekking tot reis- en andere extra uitgaven gevolgd
wordt, spoort alle uitgaven op en rapporteert op basis hiervan misbruik en eventuele fraude.
General Ledger Module:
kijkt of de integriteit van de boekingen niet geschonden wordt. Dit moet er voor zorgen dat er
minder fouten voorkomen in de jaarrekeningen en dat de afsluiting van het boekjaar sneller kan
gebeuren.
36
Payroll Module:
stelt je in staat om meteen fouten, fraude of misbruiken te ontdekken in de betalingen van de
lonen en om dus te kijken of deze wel overeenkomen met de in de contracten vastgelegde
bedragen.
Order to Cash Cycle Module:
identificeert de plaatsen waar inkomsten wegvloeien en merkt verdachte transacties op
(Continuous Controls Monitoring, 2009).
Het interne controleproces is geautomatiseerd, waardoor de taak van de auditor om toe te kijken
of alles wel volgens de regels gebeurt kleiner wordt.
Voordelen van CCM (Continuous Controls Monitoring, 2009)
� Geeft een snelle waarschuwing aan het management dat er iets fout is, zodat deze snel
kunnen ingrijpen.
� Test ALLE transacties en gegevens.
� Spoort fraude nog beter op en reduceert hierdoor businessrisico’s.
� Werkt efficiënt en effectief.
Navraag bij enkele bedrijven leerde mij hoe en waarvoor ACL gebruikt wordt en wat hun
oordeel hierover is. Deze informatie heb ik verkregen via een eenvoudig contact en diende enkel
om te peilen naar de toepassing van de softwarepakketten in de realiteit.
a) PricewaterhouseCoopers
PricewaterhouseCoopers (PWC) ziet ACL eerder als een tool om audit te ondersteunen dan om
forensische accounting mee te voeren. Toch maken ze er gebruik van voor kleinere opdrachten,
waarbij ze zelf niet de tijd hebben om de nodige queries te schrijven of op speciaal verzoek van
hun klanten.
Een forensisch accountant van PWC gaf volgende voor- en nadelen aan, vanuit haar persoonlijke
ervaring met ACL. Als voordelen merkte ze op dat ACL een aantal functionaliteiten heeft, zoals
het opsporen van ontbrekende gegevens, clusteren, snelle samenvattingen maken, … die
eveneens grafisch voorgesteld worden, wat het geheel overzichtelijker maakt. De grafische
interface, bestaande uit alles wat werken met een programma eenvoudiger maakt, zoals iconen,
de mogelijkheid tot verdelen van het venster in 2 delen, …, wordt eveneens vaak gezien als een
voordeel, hoewel het niet bijdraagt tot dieper onderzoek.
37
Een eerste nadeel is dat ACL bepaalde stappen onderneemt zonder de onderzoekers hiervan op
de hoogte te brengen. Zo maakt het afrondingen tot op decimalen, terwijl dit tot grote verschillen
kan leiden in het uiteindelijke resultaat. Je kunt zelf scripts schrijven om de functionaliteiten uit
te breiden, maar het is in een andere ‘taal’, die veel minder gekend is dan SQL. In de server
edition is het niet evident om queries te wijzigen om het programma sneller te laten werken.
(Trivino Sally, PWC, 19 maart 2009).
b) Deloitte
Deloitte maakt gebruik van ACL, maar vult dit aan met zelfgeschreven queries. Voor het
schrijven van deze queries vertrekken ze vanuit hun eigen ervaringen met fraudegevallen. Op
basis van onderzoek dat ze zelf hebben uitgevoerd gedurende de afgelopen tien jaar hebben ze
een lijst van fraude-indicatoren opgesteld. Al deze indicatoren werden vertaald naar data-
analysetesten, (bijvoorbeeld leveranciers met het adres van een werknemer, heractivatie van
oude leveranciers, transfers van oude bedragen naar wachtrekeningen, klanten/leveranciers met
een ongeldig BTW-nummer, betalingen naar bankrekeningnummers die niet in de
leveranciersmasterdata staan, …) die vervolgens geautomatiseerd werden onder de vorm van
ACL scripts en SQL statements.
3.5 ActiveData
Dit is een softwareprogramma van InformationActive Inc. dat je in staat stelt gegevens te
analyseren en te controleren op een vlotte, goedkope wijze. De bedoeling van dit product is de
auditor zijn werk beter en vlotter te laten uitvoeren, waardoor de kans op fraude daalt en
aandeelhouders of investeerders een grotere zekerheid krijgen van de correctheid van de
bedrijfsgegevens. Via deze tool kan je bestanden vergelijken en samenvoegen, identieke en
ontbrekende gegevens opsporen, Benford’s law toepassen, statistiek uitvoeren, relationele
databases creëren, accumulatie van numerieke gegevens, … . Ook ActiveData steunt dus op
Benford’s law en beslissingsbomen (Lanza, 2009).
Dit pakket wordt vooral gebruikt om de items ‘te innen vorderingen’ en ‘handelsdebiteuren’ te
onderzoeken op onregelmatigheden. Veel bekende en grote bedrijven maken gebruik van deze
software waaronder BDO, Ernst&Young, Procter&Gamble, …Door toepassing van ActiveData
spaart de auditor veel tijd uit, waardoor het kostenefficiënt is. Als dit programma een uitbreiding
is van het gewone Microsoft Excelpakket en bijgevolg evenveel gegevens aankan, spreken we
over ActiveData for Excel. Gaat het echter om een grotere hoeveelheid gegevens, dan kan er
38
gebruik gemaakt worden van ActiveData for Office, wat een uitbreiding vormt op het
Officepakket. Aangezien het zich situeert binnen de Officeomgeving vereist het weinig of geen
training om hier vertrouwd mee te geraken.
ActiveData for Excel voegt meer dan 100 functies toe aan de gewone Excelsoftware en laat de
auditor toe allerlei gegevensanalyses door te voeren, de werkboeken en bestanden te beheren en
controle te hebben over de geselecteerde gegevens, maar is beperkt tot de capaciteit van Excel
(ActiveData For Excel - Detailed Overview, 2008).
ActiveData For Office kan een veel groter aantal gegevens aan, maar blijft werken binnen het
Microsoft Office pakket. Het integreert bijgevolg MS Access, Word, Excel en Internet Explorer
(ActiveData For Office - Detailed Overview, 2008).
Tabel 4 geeft de eigenschappen van ActiveData for Excel en ActiveData for office weer.
Eigenschap ActiveData for Excel ActiveData for Office
Aantal te bewerken records
1 048 576 rijen (Excel
2007)
65 536 rijen (Excel
2000, XP, 2003)
2 biljoen rijen
Toevoegen/samenvoegen van gegevens � �
Audit log: telkens wanneer er iets
significant verandert een record schrijven
met wat/wanneer veranderde
Excelgebaseerde
records
uitgebreider dan Excel
Berekeningen uitvoeren op velden � �
Digitale analyse (Benford's law) � �
Opsporen van ontbrekende gegevens � �
Opsporen van identieke gegevens � �
Bestanden omzetten in ander opmaak (bv
van Excel naar Word) � �
39
Sorteren van gegevens � �
Gegevens uit bestanden halen en naar
andere bestanden overbrengen � �
Gegevens uit meerdere bestanden in 1
bestand zetten � �
Mogelijkheid om steekproeven te trekken � �
Statistische getallen berekenen op de
gegevens � �
Laat toe om samenvattingen te maken
van bepaalde gegevens � �
Manipulatie van gegevens binnen de
Excel spreadsheets � �
Navigeren door je excel werkboeken mbv
workbook navigator �
Ondersteunende bestanden toevoegen/
mogelijkheid om verschillende bestanden
samen te openen en samen aan te werken
�
Vastleggen van acties om te
automatiseren �
Licentiekost per gebruiker $249 $449
Tabel 4: Vergelijking tussen ActiveData for Excel en ActiveData for Office (Eigen werk,
gebaseerd op ‘Comparison of ActiveData for Excel vs. ActiveData for Office, 2008’)
Tabel 4 toont dat beide soorten slechts in een aantal zaken van elkaar verschillen: ActiveData for
Office kan veel meer records onderzoeken en kan acties automatiseren. Daarnaast is er de
40
mogelijkheid om verschillende bestanden samen te openen en er samen aan te werken.
Anderzijds is ActiveData for Excel veel goedkoper dan ActiveData for Office.
Verder vertonen beide ook heel wat gelijkenissen. ActiveData beschikt over verschillende
functies die ook bij de andere softwarepakketten terug te vinden zijn.
3.6 IDEA
IDEA, voluit Interactive Data Extraction and Analysis, laat toe om tegen lage kost interne
controle uit te voeren en op deze wijze fraude op te sporen. IDEA wordt gebruikt in 13 talen en
90 landen door onder andere financiële en interne auditors, forensische accountants en managers
(IDEA, product profile, 2007). Dit softwarepakket maakt het mogelijk gegevens te toetsen aan
Benford’s law en steunt op beslissingsbomen (IDEA, features & functions, 2007).
IDEA heeft een aantal functies. De meest gebruikte functie van IDEA is de extractiefunctie, die
items identificeert die aan bepaalde vereisten voldoen. Deze vereisten worden ingevoerd door
gebruik te maken van de ‘equation editor’ en alle records die hieraan voldoen worden vervolgens
als output in een nieuwe database gestopt.
Als een bestand toegevoegd wordt aan de IDEA database en ongeldige gegevens bevat, dan
wordt er automatisch een database gecreëerd waarin deze fouten worden opgenomen, wordt in
het oorspronkelijke bestand de fout aangeduid in het rood en krijgt het de vermelding ‘error’.
Met de zoekfunctie kan je snel de gewenste informatie terugvinden. IDEA maakt stratificatie
mogelijk, spoort identieke bestanden (bijvoorbeeld identieke rekeningnummers,
factuurnummers,… ) en ‘gaten’ (bijvoorbeeld checknummers vanaf een bepaald bedrag) op.
Deze functies kunnen uitgevoerd worden omdat dit softwarepakket steunt op de techniek van de
beslissingsbomen.
IDEA beschikt over een ‘visual connector’ (IDEA, features & functions, 2007), die het mogelijk
maakt een database te creëren. Deze is opgebouwd uit andere databases waartussen er een link
bestaat omdat ze gemeenschappelijke delen hebben. IDEA beschikt ook over een functie die
velden uit twee databases in één database samenbrengt, waarop er vervolgens testen kunnen
uitgevoerd worden. De vergelijkingsfunctie laat toe om numerieke velden uit twee verschillende
bestanden te vergelijken en zo hieruit verschillen te ontdekken. IDEA laat eveneens toe om
gegevens te sorteren, zodat de performantie van sommige functies verbetert. Velden kunnen
worden toegevoegd, verwijderd of veranderd van naam. Om de gegevens grafisch voor te stellen
kan je via IDEA allerlei soorten grafieken tekenen. Het is eveneens mogelijk om statistische
41
getallen te berekenen (minimum, maximum, gemiddelde, standaardafwijking,…). Met de
‘agingfunctie’ kan je bestanden oproepen vanaf een specifieke datum. Dit kan bijvoorbeeld gaan
om openstaande rekeningen die je op het einde van het jaar oproept, zodat je kunt bepalen hoe
groot de provisie voor dubieuze debiteuren moet zijn (IDEA, features & functions, 2007).
IDEA laat toe om berekeningen te maken met behulp van gegevens uit een bepaald bestand en
bepaalde gegevens uit een bestand te kopiëren in een ander bestand. Ook zijn toevallige
steekproeven mogelijk, kunnen bestanden in een ander softwareformaat worden gezet om testen
uit te voeren en kunnen kruistabellen gecreëerd worden.
Benford’s law kan toegepast worden, omdat de software ook op deze techniek gebaseerd is
(Lanza, 2003) & (Lanza, 2004a).
Voordelen (IDEA, features & functions, 2007):
� Aangezien IDEA ontworpen is door auditors, voldoet dit aan de vereisten van auditors en
stelt het je in staat om je mogelijkheden tot controle uit te breiden.
� Gebruiksvriendelijk: je hoeft geen uitgebreide ICTkennis te hebben om met IDEA te kunnen
omgaan.
� Werkt met een alleen-lezenbestand, waardoor de brongegevens niet gewijzigd kunnen
worden.
� IDEA stelt je in staat om op een kostefficiënte en tijdsefficiënte manier fraude op te sporen.
� Vereist Windows 2000, Windows XP of Windows Vista als sturingssysteem. Er is dus geen
grote kost nodig om IDEA te implementeren, aangezien een groot deel van de bedrijven
ondersteund worden door Windows. De resultaten kunnen in elke normale wordformaten,
spreadsheets, HTML, XML, PDF of RTF gerapporteerd worden.
De mogelijkheden van IDEA zijn echter beperkt tot de grootte van de harde schijf.
42
3.6.1 Vergelijking van ACL, ActiveData for Excel, I DEA, Excel, Access en TopCAATs
Eigenschappen ACL ActiveData IDEA Excel Access TopCAATs
Produceert samenvattingen van oudere gegevens + + + + - +
Integreert 2 bestanden in 1 bestand als er identieke velden zijn + + + + + +
Gegevens zijn opgeslagen op centrale server, zodat iedereen er aan kan + - - - - -
Maakt een alleen-lezenbestand aan/laat niet toe gegevens te wijzigen zonder
volmacht + - + - + -
Horizontale analyse - - - + - -
Verticale analyse - - - + - -
Maakt berekeningen met behulp van gegevens uit een bepaald bestand + + + + + +
Ratio’s - - - + - -
Maakt kruistabellen, waardoor het toelaat op een overzichtelijke manier bepaalde
gegevens te analyseren + - + + + +
Steunt op Benford’s law voor het opsporen van eventuele fouten + + + + + +
Trendanalyse - - - + - -
Zoekt naar duplicaten + + + + + +
43
Maakt het mogelijk om bestanden in een ander softwareformaat te zetten om testen uit
te voeren + + + + + +
Kopieert bepaalde gegevens uit een bestand in een ander bestand (“als” en “waar”) + + + + + +
Performance measure - - - + - -
Spoort onvolledigheden op + + + + + +
Maakt het sorteren van data mogelijk + + + + + +
Laat toe relationele databases te creëren + + + + + +
Maakt toevallige steekproeven mogelijk + + + - - +
Berekent statistische grootheden + + + + - +
Telt waarden binnen bepaalde intervallen + + + + - +
Accumulatie van numerieke gegevens + + + + + +
Laat toe om regressieanalyse uit te voeren - - - + - -
Zoekt naar outliers + - - - - +
Haalt verschillen aan tussen twee versies van een rapport - - - - - +
Tabel 5: Vergelijking tussen ACL, ActiveData for Excel, IDEA, Excel, Access en TopCAATs (gebaseerd op Lanza, 2009)
44
Tabel 5 vat de eigenschappen van de besproken software nog eens samen. Hieruit blijkt dat het
nut van Excel (en zijn add-ins ActiveData en TopCAATs) zeker niet onderschat mag worden.
Het heeft een aantal unieke eigenschappen, zoals de mogelijkheid tot het voeren van een
regressie- en een trendanalyse, het berekenen van ratio’s, het toepassen van een horizontale en
verticale analyse en de performance measure. Opmerkelijk is dat alle programma’s in staat zijn
om Benford’s law toe te passen. ACL en TopCAATs zijn de enige tools die outliers kunnen
opsporen. Excel, ActiveData for Excel en TopCAATs maken echter geen kopie van de
benodigde gegevens, terwijl ACL, IDEA en Access dit wel doen, waardoor de brongegevens bij
deze laatste drie niet veranderd worden. Al deze pakketten kunnen goed ingezet worden voor
fraudeopsporing: Excel en Access voornamelijk als eerste screening, aangezien deze wel de
testen uitvoeren, maar de procedure omslachtiger is, terwijl ACL en IDEA ontworpen zijn met
de bedoeling fraude op te sporen en bijgevolg efficiënter te werken (Lanza, 2009).
Er zijn nog een aantal verschillen die niet in de tabel zijn opgenomen. Wat de prijs betreft is de
gebruikerslicentie van ACL en IDEA meer dan dubbel zo duur als die van de andere software.
Deze laatste twee kunnen wel meer en op snellere wijze informatie verwerken. ActiveData for
Office werkt ook snel, in tegenstelling tot ActiveData for Excel en Excel zelf (Lanza, 2006b).
Uit onderzoek (The 12th Annual Internal Auditor Software Survey, 2006) naar de software die
gebruikt wordt voor gegevensextractie en -analyse is gebleken dat bedrijven het vaakst gebruik
maken van Excel, gevolgd door ACL. De tevredenheid over de functionaliteiten van ACL liggen
echter hoger dan die van Excel. Als software om fraude (preventief) op te sporen gebruikt 35%
van de ondervraagden ACL, 34% Excel, 6% Access en 5% IDEA, hoewel de tevredenheid over
IDEA een stuk hoger ligt dan die over Excel. ACL en Excel zijn ook de softwarepakketten die
voornamelijk gebruikt worden bij het continu opvolgen van gegevens.
3.7 EnCase
Dit softwarepakket werd ontwikkeld door Guidance in 1997 (EnCase Forensic Features and
Functionality: Every Investigation Matters, 2008). Guidance Software is leider in digitale
onderzoeksoplossingen. Hun klantenbestand bestaat uit meer dan 100 van de Fortune500
bedrijven, maar ook overheden, kleine bedrijven, consultingbedrijven en rechtbanken maken
gebruik van deze tool. Enkele van hun bekende klanten zijn Chevron, Ford, Pfizer,
PricewaterhouseCoopers,…
45
Op een snelle, maar grondige wijze worden met behulp van deze tool digitale gegevens
onderzocht, geanalyseerd en gerapporteerd, terwijl men nauwlettend in het oog houdt dat dit
alles op correcte wijze verloopt. Guidance biedt verschillende softwarepakketten aan, maar wat
relevant is met betrekking tot deze masterproef is het pakket EnCase Forensic en EnCase
Enterprise Edition .
a) EnCase Forensic
Met behulp van deze eerste tool kan de auditor grote hoeveelheden digitale gegevens (op harde
schijf of op CD-rom) behandelen. Het programma kan ingezet worden voor het opsporen van
uiteenlopende zaken, bijvoorbeeld het opsporen van financiële fraude, belastingfraude,
onderzoek naar overtreding van het concurrentiebeding,…
EnCase Forensic beschikt over een intuïtieve grafische gebruikersinterface, superieure analyse,
versterkte e-mail- en internetondersteuning en een sterke scripting engine, waardoor het in staat
is grootschalige en ingewikkelde onderzoeken van het begin tot het einde goed uit te voeren
(EnCase Forensic Features and Functionality: Every Investigation Matters, 2008).
Hoe werkt EnCase Forensic nu precies?
Figuur 8: Werking van EnCase Forensic in 4 stappen (How EnCase Forensics works, 2007)
Uit figuur 8 blijkt dat er 4 stappen te onderscheiden zijn (EnCase Forensic Features and
Functionality: Every Investigation Matters, 2008). In de eerste stap wordt er een exacte kopie
gemaakt van het originele bestand. Men verifieert de integriteit door MD5 (Message Digest
Algorithm 5) hashwaarden te produceren voor de gerelateerde bestanden en door het voeren van
een Cyclische overtolligheidcontrole (CRC). Men vergelijkt de hashwaarden en de originele
waarden. Als blijkt dat deze dezelfde zijn, mag men aannemen dat de gegevens niet gewijzigd
zijn. CRC is een manier om bitfouten, die optreden tijdens gegevensopslag of transport, op te
46
sporen. Men controleert dit om er voor te zorgen dat er aan het bewijs niets veranderd wordt en
dat het nadien als rechtsgeldig bewijs in de rechtbank kan gebruikt worden.
Wanneer deze kopies klaar zijn kan de onderzoeker de bestanden van meerdere media of
schijven gezamenlijk onderzoeken. Er wordt ook een index voorzien in meerdere talen die
toelaat op een snelle en efficiënte wijze het gewenste bestand te vinden (EnCase Forensic
Features and Functionality: Every Investigation Matters, 2008).
In een derde stap worden de verdachte bestanden onderzocht en geanalyseerd. Encase is
ondermeer in staat internet en e-mail te doorzoeken, op zoek te gaan naar specifieke tekst binnen
de documenten, bestanden terug te vinden die men heeft proberen verwijderen, … . Daarnaast
kan EnCase patronen ontdekken in wanneer bestanden werden aangemaakt en het laatst
gewijzigd of geopend werden (Fei, B.K.L., 2007). Je kunt ook bestanden analyseren door
gebruik te maken van de vele ingebouwde filters en voorwaarden. Deze filters en voorwaarden
kan je ook combineren via ‘en’ en ‘of’, zodat je nieuwe queries verkrijgt. Via Enscript, een
programmeertaal die vergelijkbaar is met Java, kan je programma’s ontwikkelen die tijdrovende
onderzoekstaken of procedures automatiseren (EnCase Forensic Features and Functionality:
Every Investigation Matters, 2008).
Als laatste stap stelt de onderzoeker een rapport op voor het management (dit is eveneens
bruikbaar in de rechtbank) wanneer relevante gegevens op het spoor gekomen zijn. Deze
gegevens kunnen in meerdere bestandsformaten opgesteld worden om ze opnieuw aan onderzoek
te onderwerpen. Dit rapport bevat een lijst van alle onderzochte bestanden en van alle bezochte
URL’s, samen met het tijdstip waarop deze sites werden bezocht (EnCase Forensic Features and
Functionality: Every Investigation Matters, 2008).
Voordelen van EnCase Forensic:
� Bewijsmateriaal wordt op een correcte manier ontdekt en vastgelegd.
� Er wordt niets veranderd in het oorspronkelijke bestand, aangezien men een kopie gebruikt.
� Er wordt automatisch een rapport opgesteld van de gegevens.
� Aangezien fraude vroegtijdig opgespoord wordt, probeert men te beperken dat de reputatie
van het bedrijf geschaad wordt.
� MD5-hash checksums waarborgen de integriteit (Guidance, EnCase, Forensic edition,
Onderzoek van data en bewijsvoering, 2009).
� Deze ene tool werkt op verschillende besturingssystemen.
47
� Verkort de onderzoekstijd door taken te automatiseren met behulp van
voorgeprogrammeerde EnScript modules.
� Is in staat informatie te ontdekken die men heeft proberen verwijderen of verbergen.
� Gaat gemakkelijk om met grote hoeveelheden gegevens.
� Laat toe om bewijsstukken van fraude te gebruiken in een rechtszaak.
� Laat toe aan niet-ingewijden om het bewijs te begrijpen met behulp van een reviewoptie.
(EnCase Forensic, 2007)
Nadeel
� Het is een van de duurste commerciële tools voor fraudeopsporing (Fei, 2007).
b) EnCase Enterprise Edition
Deze software voert een forensische analyse uit op de servers en werkstations overal in het
netwerk en zorgt ervoor dat er onmiddellijk gereageerd wordt op fouten. Door gebruik te maken
van deze tool, wordt het tijdrovende onderzoeksproces geautomatiseerd (EnCase Enterprise,
2008). Deze software voegt aan EnCase Forensic netwerkversterkende capaciteiten toe voor
beveiliging, administratie en onderzoek.
EnCase Enterprise werkt door 5 componenten, namelijk de ‘examiner’, de ‘SAFE’ (Secure
Authentication For EnCase), de ‘Servlet’, de ‘Enterprise Connection’ en de ‘Incident Response
Analysis (snapshot)’, samen te brengen in 1 systeem.
De ‘examiner’ is de software die de onderzoeker toelaat de aangeduide knooppunten te
onderzoeken. De ‘SAFE’ is een server die de gebruikers legaliseert, toegangsrechten beheert, een
overzicht behoudt van de transacties, communicatie regelt tussen de Examiner en de Servlet en
voorziet in veilige gegevenstransmissie. De SAFE communiceert met de onderzoekers en de
gewenste knooppunten door gebruik te maken van gecodeerde gegevens, zodat de onderlinge
communicatie tussen de componenten beschermd wordt. De ‘Servlet’ is een passief software-
instrument dat geïnstalleerd is op de werkstations en constante bescherming moet bieden. De
‘Enterprise Connection’ zorgt voor een veilige, virtuele verbinding tussen de onderzoeker en de
te onderzoeken knooppunten. De ‘Incident Response Analysis (snapshot)’ tenslotte verschaft op
een snelle manier gedetailleerde informatie over een situatie op een specifiek moment.
EnCase Enterprise werkt als volgt (figuur 9): in een eerste fase logt de onderzoeker in op de
SAFE, de server die ervoor zorgt dat hij toegang krijgt. Eens hij ingelogd is, zendt de
48
onderzoeker een verzoek tot informatie naar het knooppunt dat hij wenst te onderzoeken. Deze
verkregen informatie wordt aan onderzoek onderworpen en - indien nodig - verder geanalyseerd.
Tenslotte wordt er een rapport opgesteld (How EnCase Enterprise Works, 2008).
Figuur 9: Werking van EnCase Enterprise (How EnCase® Enterprise Works, 2008)
Voordelen van EnCase Enterprise:
� Werkt op verschillende platforms: Windows, Linux, ….
� De resultaten van dit onderzoek kunnen rechtsgeldig gebruikt worden in een rechtszaak.
� Identificeert fraude, waar het ook plaatsvindt in het netwerk (EnCase Enterprise, 2008).
� Reageert onmiddellijk, zonder dat het systeem tot stilstand moet worden gebracht, waardoor
de schade beperkt is.
� Onderzoekt en analyseert meerdere machines tezelfdertijd op diskniveau.
� Vindt informatie, zelfs al heeft men die proberen verbergen of verwijderen (EnCase
Enterprise Detailed Product Description, 2005).
49
EnCase steunt op de techniek ‘beslissingsboom’, aangezien er een aantal voorwaarden en filters
reeds ingebouwd zijn in het programma, die je zo kunt gebruiken of die je kunt combineren om
nog specifiekere queries te maken.
PWC maakt gebruik van het EnCasepakket. Ook hier verkreeg ik via een interview informatie
over wat hun ervaringen zijn en welke tekorten ze ervaren.
PricewaterhouseCoopers
Zoals reeds aangehaald is PWC een gebruiker van EnCase. Ze gebruiken dit om kopieën te
maken van elektronische media, zoals CD’s, om aan forensisch onderzoek te onderwerpen. PWC
vindt het een voordeel dat EnCase de mogelijkheid biedt om volledige forensische
weerspiegelingen te maken met een hoge betrouwbaarheid en vrij eenvoudig te gebruiken
interface. Een ander voordeel is volgens hen de scripting functie (die toelaat om bepaalde taken
te automatiseren) en de mogelijkheid om meerdere bestandssystemen te ondersteunen. Als
nadelen halen ze aan dat de tijd die nodig is om gegevens te verwerven relatief lang is en dat de
opgestelde index minder goed is in vergelijking met andere door hen gebruikte tools. De manier
waarop e-mails onderzocht worden vinden ze minder goed. (Trivino Sally, PWC, 19 maart
2009).
3.8 Ktrace
KPMG ontwierp zelf software voor fraudedetectie, genaamd Ktrace. Dit helpt forensische
accountants om onregelmatigheden in grote hoeveelheden gegevens te ontdekken. Eén van de
testen die Ktrace uitvoert is Benford’s law. Daarnaast wordt er bij de meeste testen op zoek
gegaan naar transacties die aan bepaalde voorwaarden voldoen en onderzoekt men of er geen
gegevens dubbel voorkomen. Dit kan dus omdat Ktrace gebaseerd is op een beslissingsboom
(De Cremer Hilde, KPMG, 13 oktober 2008). Ktrace (Introducing KPMG’S Approach to
Proactive Forensic Data Analysis: Ktrace, 2009) helpt bij het opsporen van fictieve
personeelsleden en verkopers, illegale transacties, fouten met betrekking tot facturen, inkomsten
en uitgaven die bewust klein gehouden worden, …
De software creëert een TRACE diagram (Transactional Representation of Assets and Court
Evidence) dat een bondige samenvatting geeft van de onderzochte transacties, van waar het
verdwenen geld naartoe is, van wie de betrokkenen zijn, … en ondersteunt hiermee rechtszaken
(Nunn, McGuire, Whitcomb, Jost, 2006).
50
Ktrace onderzoekt volgende categorieën (De Cremer Hilde, KPMG, 13 oktober 2008):
handelsschulden, betaalkaarten, te innen vorderingen, voorraden, lonen, uitgaven voor
zakenreizen, verkopen en reserves.
Bij ‘handelsschulden’ onderzoekt men of de verkopers en de rekeningen niet fictief zijn en of er
geen gedupliceerde rekeningen zijn. Verder kijkt men ook naar gestructureerde betalingen,
belangenconflicten en provisies. Onder ‘betaalkaarten’ onderzoekt men of er sprake is van
gedupliceerde aankoop- en vergoedingsschema’s, ongeautoriseerde en onjuiste aankopen en
ongeautoriseerde gebruikers. ‘Te innen vorderingen’ moet onderworpen worden aan onderzoek
naar het werkelijke bestaan van de klant. Ook bij de ‘voorraden’ wordt er nagegaan of de
geboekte aankopen werkelijk gebeurd zijn, noodzakelijk waren en niet gedupliceerd waren, of
deze voorraden wel op de juiste manier afgeschreven worden, wat de oorzaken zijn van een
plotse enorme voorraadverlies en of de provisies en de betalingen niet illegaal gebeuren.
Bij ‘lonen’ moet men controleren of de lonen niet werden uitgekeerd aan fictieve personen, of de
extra betalingen en bonussen juist gebeuren en of de salarissen en uren aan inflatie onderworpen
zijn. In de categorie ‘uitgaven voor zakenreizen’ controleert Ktrace of de uitgaven wel echt
gebeurd zijn en slechts één keer aangerekend werden, of de betaalkaart van het bedrijf correct
gebruikt werd voor deze uitgaven en of dit enkel gebruikt werd voor uitgaven gerelateerd aan het
werk. Ook bij ‘verkopen’ wordt gekeken of de verkopen echt gebeurd zijn, of de klanten echt
bestaan en of de verkopen op het juiste moment geboekt werden.
Bij ‘reserves’ stelt men zich de vraag of de uitgaven correct gedaan werden en niet fictief waren
en of er geen te grote reserves aangelegd werden om het inkomen lager te doen lijken.
De software gaat eveneens na of er geen sprake is van earnings management en of het
management geen te hoog commissieloon kreeg.
Ktrace maakt gebruik van een combinatie van gevorderde analytische gegevenstools en
methodologie. Het programma doorzoekt alle gegevens op fraude in plaats van enkel een
steekproef te nemen en laat toe om gegevens die fout lijken verder te onderzoeken. Verder maakt
het op een geïntegreerde wijze gebruik van externe gegevens.
Figuur 10 maakt de werking duidelijk: men stopt alle bestanden die men wil onderzoeken op
potentiële red flags in het programma. Dit programma maakt een analytisch proces door. In dit
proces gaat men na of relationele databases geen dubbele of foutieve informatie bevatten
(normalisatie) en of de gegevens voldoen aan bepaalde vereisten (validatie).
51
De te onderzoeken gegevens worden getoetst aan gegevens uit een externe database. Daarnaast
maakt men gebruik van algoritmen. Ktrace trekt enkel conclusies op basis van het resultaat van
meerdere algoritmen en niet zomaar omwille van 1 onregelmatigheid. Wanneer de gegevens
deze analytisch testen doorlopen hebben, geeft een rapport alle mogelijke fouten weer in verband
met klanten, verkopers, medewerkers, transacties en rekeningen, die de forensisch accountant
vervolgens verder kan onderzoeken (Forensic technology: the new digital era, 2008).
Figuur 10: Werking van Ktrace (De Cremer Hilde, KPMG, 13 oktober 2008)
Belangrijkste voordelen van Ktrace:
� Verschaft een gedetailleerde lijst met potentiële red flags en overtredingen van het beleid
� Onderzoekt ook de gegevens die makkelijker vatbaar zijn voor fraude (bijvoorbeeld
leveranciersschulden).
� Identificeert controlegebreken.
� Geeft een gedetailleerd overzicht van alle verdachte transacties (De Cremer Hilde, KPMG,
13 oktober 2008).
Belangrijkste nadelen van Ktrace:
� Er kan een onjuiste input van parameters gebeuren.
� De ontvangen gegevens zijn niet steeds volledig of nauwkeurig.
� De resultaten worden onjuist geïnterpreteerd.
� Voert een analyse uit, maar vereist meestal dat je hiermee nog verder werkt (De Cremer
Hilde, KPMG, 18 maart 2009).
52
Conclusie
Wanneer we kijken naar hoofdstuk 2 van deze masterproef, merken we dat deze technieken vrij
theoretisch zijn. Een aantal van deze dataminingtechnieken - Benford’s law, beslissingsbomen en
de Relative Size Factor - blijken praktisch toepasbaar en zitten grotendeels verweven in de
verschillende softwarepakketten die ingeschakeld worden door auditors. De overige technieken -
Neuraal Netwerk, Bayesian Belief Network en Zipf’s law - blijken goed werkend in theorie,
maar zijn minder concreet toepasbaar. Deze technieken vragen veel tijd om opgesteld te worden,
waardoor de ontwikkelaars van de softwarepakketten eerder andere technieken gebruiken,
waarvan ze weten uit ondervinding dat deze voldoen aan de vereisten van de auditor. In de
toekomst kan men proberen om deze technieken nog aan te passen, waardoor ze eenvoudiger te
implementeren zijn in de software. Daarnaast kan men op zoek blijven gaan naar nieuwe
technieken die nog beter beantwoorden aan de criteria van de auditor.
53
Algemeen besluit
Vele bedrijven worden geconfronteerd met fraude, wat grote gevolgen heeft. Om die reden is
men op zoek gegaan naar manieren om fraude aan te pakken en preventief op te sporen. Op
juridisch vlak zijn er een aantal wetten en normen ontstaan, die de mogelijkheid tot fraude
moeten beperken, maar dit lost uiteraard nog niet alles op. Daarnaast worden er forensische
accountants ingeschakeld om, met behulp van dataminingtechnieken, fraude vroegtijdig op te
sporen. De belangrijkste technieken werden behandeld. De eerste soort is een beslissingsboom,
die observaties in mutueel exclusieve subgroepen verdeelt. Een Neuraal Netwerk vervolgens is
een niet-lineair statistisch analyseprogramma dat via trial & error historische gegevens vergelijkt
met nieuwe gegevens, op zoek gaat naar patronen en automatisch een model creëert voor die
gegevens. De waarschijnlijke relatie tussen een aantal variabelen wordt grafisch weergegeven
door een Bayesian Belief Network (Kirkos et al., 2007). Benford’s law, genoemd naar Frank
Benford, stelt dat, in om het even welke lijst van cijfergegevens, het eerste cijfer in zekere mate
voorspelbaar is. Zo komt ‘1’ als eerste cijfer het meest voor en gaat die frequentie achteruit
naarmate men dichter ‘9’ nadert (Durtschi et al., 2004). Zipf’s law (Huang et al., 2008), waarvan
Benford’s law een speciaal geval zou zijn, is een wet die oorspronkelijk in de linguïstiek werd
gebruikt, maar nu zijn opmars maakt in de forensische accountancy. Als laatste techniek is er
ook nog de Relative Size Factor, die op zoek gaat naar outliers (Panigrahi, 2006).
Een forensisch accountant schakelt steeds vaker een computer in om via bepaalde software zijn
werk te vereenvoudigen. Deze software hoeft echter niet duur te zijn (Lanza, 2003) & (Lanza,
2004a/b). Microsoft Excel en Access bijvoorbeeld zijn goedkope tools die weinig tijd vragen, -
aangezien de meeste computers uitgerust zijn met het Officepakket - maar toch efficiënt zijn als
middel om fraude op te sporen. ActiveData en TopCAATs zijn add-ins van Excel en breiden
diens mogelijkheden uit. Daarnaast worden ook ACL, IDEA en EnCase vaak ingezet.
Sommige bedrijven ontwikkelen hun eigen software, zodat die maximaal inspeelt op hun
persoonlijke behoeften. Het voorbeeld dat werd opgenomen in deze masterproef is Ktrace van
KPMG (De Cremer Hilde, KPMG, 18 maart 2009). Uiteraard heeft elke techniek zijn voor- en
nadelen.
Aangezien de manier waarop men fraudeert evolueert, is het nodig dat in de toekomst die
nadelen weggewerkt worden en men technieken en software ontwikkelt die nog meer inspelen op
de persoonlijke behoeften van elk bedrijf.
VI
Lijst van de geraadpleegde werken
Boeken
Kamber, M. en Han, J., 2006, Data mining: concepts and techniques, San Francisco: Elsevier,
pp. 291-306.
Rokach, L. en Maimon, O., 2006, Data mining and knowledge discovery handbook, USA:
Springer, Science & Business, pp. 183-184, pp. 194.
Artikels/papers
American Institute of Certified Public Accountants, 2002, What does new audit standard SAS
No. 99, Consideration of fraud in a financial statement audit, mean for business and industry
members?, The CPA Letter, Business and Industry Supplement, vol. 82, n° 9, november
2002, URL:<http://www.aicpa.org/pubs/cpaltr/nov2002/supps/audit1.htm>.
Balasubrahmanyan, V.K. en Naranan, S., 2002, Algorithmic information, complexity and Zipf´s
law, Glottometrics, n° 4, 2002, pp. 1-26.
Calderon, T.G. en Cheh, J.J., 2002, A roadmap for future neural networks research in auditing
and risk assessment, International Journal of Accounting Information Systems
vol 3,n° 4, december 2002, pp. 203-236.
Carpenter, T.D., 2007, Audit Team Brainstorming, Fraud Risk Identification, and Fraud Risk
Assessment: Implications of SAS No. 99, The accounting review, vol 82, n° 5, oktober 2007,
pp. 1119-1140.
Cerullo, M. en Cerullo, V., 2006, Using neural network software as a forensic accounting tool,
Journalonline, vol 2, 2006, URL:<http://www.isaca.org/Template.cfm?Section=Home&
CONTENTID=30760&TEMPLATE=/ContentManagement/ContentDisplay.cfm>.
Chen, H.J., Huang, S.Y. en Kuo C.L., 2009, Using the artificial neural network to predict fraud
litigation: some empirical evidence from emerging markets, Expert systems with
applications, vol 36, n° 2, maart 2009, pp. 1478-1484.
Coderre, D., 1999, Computer assisted techniques for fraud detection, The CPA journal, vol 69,
n° 8, augustus 1999, pp. 57-60.
Durtschi, C., Hillison, W. en Pacini, C., 2004, The effective use of Benford’s law to assist in
detecting fraud in accounting data, Journal of forensic accounting, vol 5, pp.17-34.
Engela, E., Hayesb, R.M. en Wang, X., 2007, The Sarbanes–Oxley Act and firms’going-private
decisions, Journal of Accounting and Economics, vol 44, n° 1-2, September 2007, pp.116-
145.
VII
Fei, B.K.L., 2007, Data Visualisation in Digital Forensics,
URL:<http://upetd.up.ac.za/thesis/submitted/etd-03072007-153241/unrestricted/dissertation.pdf>.
Flowerday, S., Blundell, A.W. en Von Solms, R., 2006, Continuous auditing technologies and
models: a discussion, Computers & security, vol 25, n° 5, juli 2006, pp. 325-333.
Geyer, C.L. en Williamson, P.P., 2004. Detecting fraud in data sets using Benford’s law,
Simulation & computation. vol 33, n° 1, februari 2004, pp. 229-246.
Greene, C., 2003, SAS 99, another implement for the fraud examiner’s toolbox, The white paper,
vol 17, n° 3, mei/juni 2003, pp31-33, pp. 41-42.
Huang, S.M., Yen, D.C., Yang, L.W. en Hua, J.S., 2008, An investigation of Zipf’s law for
fraud detection, Decision support systems, vol 46, n° 1, december 2008, pp. 70-83.
Hung, L.T.H. en Chen, Y.L., 2009, Using decision trees to summarize associative classification
rules, Expert Systems with Applications, vol 36, n° 2, maart 2009, pp. 2338–2351.
Instituut der bedrijfsrevisoren, 2006a, Algemene controlenormen, Vademecum 2007, paragraaf
1.3.4
Instituut der bedrijfsrevisoren, 2006b, Fraude en onwettige handelingen, Vademecum 2007,
deel 2
Johnson, T., 2005, Data mining: a tool for all fraud examiners, Fraud magazine, vol 19, n°1,
januari/februari 2005, pp. 32-34, pp. 56-60.
Kirkos, E., Spathis, C. en Manolopoulos, Y., 2007, Data mining techniques for the detection of
fraudulent financial statements, Expert systems with applications, vol 32, n° 4, mei 2007, pp.
995-1003.
Lammers, E.J., 2000, Forensische accountancy, IBR periodieke berichten 1/2000,
URL:<http://www.ibr-ire.be/ ned/periodiekeberichten/berichten000106.aspx>.
Lanza, R.B., 2003, Fear not the software, proactively detecting occupational fraud using
computer audit reports, The white paper, vol 17, n° 5, September/oktober 2003, pp. 31-33,
pp. 41-42.
Lanza, R.B., 2004a, Fraud data interrogation tools: comparing best software for fraud
examinations, Fraud magazine, vol 18, n° 9, november/december 2004, pp. 32-35; pp. 57-59.
Lanza, R.B., 2004b, The pros and cons of MS Access as a fraud busting tool, Fraud magazine,
vol 18, n° 4, juli/augustus 2004, pp. 7-14.
Lanza, R.B., 2005, Top three best practices when automating proactive fraud detection systems,
Fraud magazine, vol 19, n° 5, September/oktober 2005, pp. 15-16.
Lanza, R.B., 2006a, Using Excel as an audit software, URL:<http://www.acfe-belgium.be/excel-
audit-software.pdf>.
VIII
Lanza, R.B., 2006b, When Microsoft is not the best choice, Fraud magazine, vol 20, n° 5,
september/oktober 2006, pp.14-19.
Lanza, R.B., 2009, Comparison of generalized audit software,
URL:<http://www.auditsoftware.net/documents/GeneralizedAuditSoftware.pdf>.
Leinicke, L.M., 2006, Digital analysis primer fighting the fraud by the numbers, Fraud
magazine, vol. 20, n° 1, januari/februari 2006, pp. 33-35, pp. 51-52, pp. 54.
Maeyaert, P. en Staelens, F.; 2007, Fraude en de bedrijfsrevisor, 14 September 2007,
URL:< http://www.ibr-ire.be/ned/download.aspx?type=2&id=4788&file=1746>.
Needleman, T., 2000, Consulting software tools, Practical accountant, vol 33, n° 9, september
2000, pp. 68.
Newman, M.E.J., 2005, Power laws, Pareto distributions and Zipf’s law, Contemporary Physics,
vol 46, n° 5, September/Oktober 2005, pp. 323-351.
Niedermayer, D., 1998, An introduction to Bayesian Networks and their contemporary
applications, URL: <http://www.niedermayer.ca/papers/bayesian/bayes.html>.
Nigrini, M.J., 1996, A tax payer compliance application of Benford’s law, Journal of the
American Taxation Association, vol 18, n° 1, pp. 72-91.
Nunn, L., McGuire, B. L., Whitcomb, C. en Jost, E., 2006, Forensic accountants: financial
investigators, Journal of business & economics research, vol 4, n° 2, februari 2006.
Panigrahi, P.K., 2006, Discovering fraud in forensic accounting using data mining techniques,
The chartered accountant, april 2006, pp. 1426-1430.
Quinlan, R., 1986, Induction of decision trees, Machine learning, vol 1, n° 1, maart 1986.
River, C., 2004, About Bayesian Belief Networks, Charles River Analytics, Inc. 2004,
URL:<http://www.cra.com/pdf/BNetBuilderBackground.pdf>.
Stone, A., 2003, Using software to sniff out fraud, Business week online, 30 september 2003,
URL:<http://www.businessweek.com/technology/content/sep2003/tc20030930_2727_tc131.htm>.
The 12th Annual Internal Auditor Software Survey, augustus 2006,
URL:< http://www.acl.com/pdfs/IIA_Survey_Summary.pdf>.
The 2009 Belgian Code on Corporate Governance, 2009,
URL :<http://www.corporategovernancecommittee.be/library/documents/final%20code/CorporateGo
v%20UK%202009%205.pdf>, 12 maart 2009.
Websites
ACL Audit Exchange, 2009, URL:<http://www.acl.com/products/ax.aspx>, 9 februari 2009.
ACL Desktop Edition, 2009, URL:<http://www.acl.com/products/desktop.aspx>, 9 februari 2009.
IX
ACL Server Editions, 2007, URL:<http://www.acl.com/pdfs/ACL_Server_Data_Sheet.pdf>, 25 maart
2009.
ActiveData For Excel - Detailed Overview, 2008,
URL:<http://www.informationactive.com/ad/?x=show&f=overview>, 11 februari 2009.
ActiveData For Office - Detailed Overview, 2008,
URL:< http://www.informationactive.com/aa/?x=show&f=main>, 11 februari 2009.
A Survey into Fraud Risk Mitigation in European Countries, 2007,
URL:<http://www.ey.com/Global/Assets.nsf/Russia_E/FIDS_ENG/$file/FIDS_ENG.pdf>,
1 oktober 2008.
Audit Command Language (ACL), 2009,
URL: <http://www.deloitte.com/dtt/section_node/0%2C1042%2Csid %25253D14906%2C00.html>,
9 februari 2009.
Comparison of ActiveData for Excel vs. ActiveData for Office, 2008,
URL:<http://www.informationactive.com/data/attachments/ComparisonADEvsADO.pdf>,
9 februari 2009.
Continuous Controls Monitoring, 2009, URL:<http://www.acl.com/products/ccm.aspx>,
9 februari 2009.
EnCase Enterprise, 2008, URL:<http://www.guidancesoftware.com/products/ee_index.aspx>,
10 april 2009.
EnCase
Enterprise Detailed Product Description, 2005,
URL :< http://www.guidancesoftware.com/downloads/getpdf.aspx?fl=.pdf>, 10 april 2009.
EnCase Forensic, 2007, URL:<http://www.guidancesoftware.com/products/ef_index.asp>,
16 februari 2009.
EnCase Forensic Features and Functionality: Every Investigation Matters, 2008,
URL:<www.guidancesoftware.com>, 16 februari 2009.
Forensic technology: the new digital era, 2008,
URL:<http://www.kpmg.com.cn/en/virtual_library/Financial_advisory_services/
New_Digital_Era.pdf>, 17 februari 2009.
Fraud detection, 2009, URL:<http://www.acl.com/solutions/fraud_detection.aspx>,
15 februari 2009.
Guidance EnCase Forensic edition, Onderzoek van data en bewijsvoering, 2009,
URL:<http://www.dataexpert.nl/nl>, 9 maart 2009.
How EnCase® Enterprise Works, 2008, URL :<http://www.guidancesoftware.com/
products/ee_works.aspx>, 10 april 2009.
X
How EnCase Forensics works, 2007,
URL:<http://www.guidancesoftware.com/products/ef_works.aspx>, 16 februari 2009.
IDEA, features & functions, 2007, URL:<http://audimation.com/pdfs/Audimation%20
Features%20functions.pdf>, 13 november 2008.
IDEA, product profile, 2007, URL:<http://audimation.com/pdfs/Audimation%20Product%20
Profile%20for%20viewing.pdf >, 13 november 2008.
Introducing KPMG’S Approach to Proactive Forensic Data Analysis: K-Trace, 2009,
URL:<http://www.us.kpmg.com/services/content.asp?l1id=10&l2id=30&cid=1962>,
10 februari 2009.
Products, 2009, URL:<http://www.acl.com/products/default.aspx>, 15 februari 2009.
Section modules, 2008, URL:<http://www.topcaats.com/etc/?pid=7&mid=12>, 19 februari 2009.
What is TopCAATs?, 2008, URL:<http://www.topcaats.com/etc/?mod=sub&mid=1>,
19 februari 2009.
De Cremer Hilde, KPMG, 13 oktober 2008.
De Cremer Hilde, KPMG, 18 maart 2009.
Leyman Peter, Deloitte, 23 maart 2009.
Trivino Sally, PWC, 19 maart 2009.
XI
Bijlagen
Bijlage 1: Voorbeelden van red flags (Maeyaert, Sta elens, 2007)
Accounts Payable Process
� Recurring identical amounts from the same vendor.
� Unusual even dollar or high cash disbursement amounts for routine odd dollar or low value
purchase.
� Multiple remittance addresses for the same vendor.
� Vendor addresses do not agree with vendor approval application.
� Sequential invoice numbers from the same vendor or invoice numbers with an alpha suffix.
� Payments to vendor have increased dramatically for no apparent reason.
� Lack of segregation of duties between the following:
Processing of accounts payable invoice and updates to vendor master files
Check preparation and posting to vendor account
Check preparation and mailing of signed checks
� No proper documentation of additions, changes, or deletions to vendor master file.
� Excessive credit adjustments to a particular vendor and/or credit issued by unauthorized
department (credits involving quantities and price).
� Systematic pattern of adjustments to accounts payable for goods returned.
� No reconciliation performed of accounts payable subledger to general ledger control account.
� Insufficient supervisory review of accounts payable activity.
� Lack of documentation for payment of invoices.
� Cash disbursements for unrecorded liabilities and routine expenses (e.g., rent) when all
expenditures must be vouchered prior to payment.
� Excessive miscodings to same expense account.
� Payments made on copies of invoices, not originals.
� Paid invoices not properly canceled, allowing for reprocessing.
� High volume of manually prepared disbursement checks.
� Unrestricted access to blank checks, signature plates, and check-signing equipment.
� Missing or easy access to blank checks, facsimile, and manual check preparation machines.
� Vendor invoices are received by department other than accounts payable (purchasing).
� Vendor complaints noted by credit rating services regarding slow or no payments not
justified by disbursement schedule.
XII
Purchasing Process
� Turnover among buyers within the purchasing department significantly exceeds attrition
rates throughout the organization.
� Purchase order proficiency rates fluctuate significantly among buyers within comparable
workload levels.
� Dramatic increase in purchase volume per certain vendor(s) not justified by competitive
bidding or changes in production specifications.
� Unaccounted purchase order numbers or physical loss of purchase orders.
� Rise in the cost of routine purchases beyond the inflation rate.
� Unusual purchases not consistent with the categories identified by prior trends or operating
budget.
Payroll Process
� Dramatic increase in labor force or overtime not justified by production or sales volume.
� Turnover within the payroll department significantly exceeds attrition rates throughout the
organization.
� Missing or easy access to blank checks, facsimile, and manual check preparation machine.
� Tax deposits are substantially less than those required by current payroll expenses.
� High volume of manually prepared payroll checks.
Cash Receipts Process
� Improper safeguarding of cash under lock and key.
� No segregation of duties between the following:
Receiving cash and posting to customer accounts
Issuing receipts and deposit preparation
� Infrequent bank deposits, allowing cash to accumulate.
� Consistent shortages in cash on hand.
� Consistent fluctuations in bank account balances.
� Closing out cash drawer before end of shift.
� Excessive number of voided transactions on a regular basis without proper explanation.
� Missing copies of pre-numbered receipts.
� Not balancing cash to accounts receivable subledger.
� Insufficient supervisory review of cashier's daily activity.
XIII
Accounts Receivable Process
� Lack of accountability for invoice numbers issued.
� Lack of segregation of duties between the following:
Processing of accounts receivable invoices and posting to subledger
Posting to accounts receivable subledger and cash receipts
� Lack of policies and procedures regarding write-offs to satisfy industry standards.
� Frequent undocumented and/or unapproved adjustments, credits, and write- offs to accounts
receivable subledger.
� Low turnover or slow collection cycle for accounts receivable.
� Dramatic increase in allowance for doubtful accounts in view of positive economic events
and stringent credit policies.
� No reconciliation of accounts receivable subledger to general ledger control account.
� Insufficient supervisory review of accounts receivable activity as well as customer account
aging schedule.
� Unrestricted access to subledgers and general ledger.
Inventory/Production Process
� Credit balances in inventory accounts.
� Consistent fluctuations in inventory accounts between months (e.g. debit balance one month,
credit balance the next).
� Excessive inventory write-offs without documentation or approvals.
� Unusual volume of adjustments, write-offs, and disposal of material, inventory, or fixed
assets.
� Unrestricted access to inventory storage areas by non-responsible employees and/or vendors.
� Significant weaknesses in inventory cut-off procedures.
� No policy regarding identification, sale, and disposal of obsolete and surplus materials.
� Finished goods inventory turnover rate does not correlate with operating cycle.
� No segregation of duties between:
Receipt of inventory and issuing of materials
Recording of inventory accounts and ordering materials
Identification of obsolete and surplus materials and sale and disposal of such
materials
XIV
� There is no policy regarding inventory levels to be maintained (i.e., minimums, maximums,
reorder points).
� Systematic pattern of improperly labeled inventory and raw materials.
� Poor review of inventory accounts, write-offs, and physical access to storage areas.
� Lack of regular physical inventories carried out by independent personnel.
� Consistent production overruns beyond sales demand and backlog orders.
� Excessive production waste, spoilage, or other loss of raw materials.
� Physical replacement of finished goods within production area beyond a reasonable period of
time.
� Abnormal expenditures for external maintenance services beyond normal repairs and
capability of internal repair service personnel.
� Extended delay of goods marked for shipment maintained within shipping area.
Finance Process
� Significant adjustments to accrued liabilities, accounts receivable, contingencies, and other
accounts prior to acquisition of new financing.
� Dramatic change in key leverage, operating, and profitability ratios prior to obtaining
financing.
� Adopting a change in accounting principle or revising an accounting estimate prior to
obtaining financing.
� Increase in short-term cash and a decrease in receivables while sales are increasing prior to
seeking new financing.
� A change in external activities, legal counsel, or treasury department head prior to obtaining
new financing.
� A delay in issuance of monthly, quarterly, or annual financial reports prior to seeking new
financing.
XV
Bijlage 2: Algoritmen bij de Zipfanalyse (Huang et al., 2008)
1. Algoritme voor de selectie van variabelen
2. Algoritme voor het ontwikkelen van patronen
3. Algoritme voor het berekenen van alle mogelijke patronen van de variabelen
4. Algoritme voor het sorteren van de geanalyseerde patronen op basis van hun frequentie
5. Algoritme om het betrouwbaarheidsinterval te berekenen.
XVI
6. Algoritme om de Z-statistiek toe te passen