de IT-Auditor nummer 2 | 2011 29

Wiskundige steek-proeven en IT-audit

E Technieken als kritische deelwaarne-

mingen en data-analyse werken het

best bij het zo snel mogelijk lokalise-

ren van fouten. Wat de auditor echter

wil (of liever: zou moeten willen), is

zo snel mogelijk de populatie – het

bestand met gelogde gegevens in casu

– goedkeuren. Wiskundige steek-

proeven bieden hem het gereedschap

om de toereikendheid van zijn onder-

zoek te expliciteren. Dat wil zeggen:

zijn subjectiviteit te objectiveren.

Mijn voorbeeld gaat weliswaar over

het werk van de IT-auditor, het kan

evengoed over de compliance tests

van een compliance officer, een inter-

nal auditor of een financial auditor

gaan.

Om te komen tot zo’n beschouwing

exerceert dit artikel in het hoofd-

stuk ‘Basiszaken Steekproeven’ door

een deel van de steekproeftheorie.

De zaken met betrekking tot de

jaarrekeningcontrole (financial

audit) zijn beknopt vertolkt, omdat

Arjan Hassing1 eerder al een uiteen-

zetting over geldsteekproeven heeft

gegeven. In ‘Steekproef bij een IT-

audit’ wordt gezocht naar theoreti-

sche steun bij compliancetests uit de

jaarrekeningcontrole en komen we

door middel van een uitstapje via

methodologie en een potentiële val-

kuil terecht bij de relatie tussen IT-

auditbudget, hoeveelheid werk en

tolerantie. Het artikel sluit af met

een samenvatting.

BASISZAKEN STEEKPROEVEN

In dit artikel wordt onder een ‘steek-

proef ’ een mathematische steekproef

verstaan. Steekproeftechnieken, geba-

seerd op wiskunde dus, kunnen

worden gebruikt om schattingen te

maken en om te toetsen. In beide

gevallen is een aselecte trekking van

steekproefelementen nodig. Alle ele-

menten uit zo’n populatie moeten een

gelijke trekkingskans (gehad) hebben.

Een onderzoek, zoals het voorbeeld

in de inleiding, is op goedkeuring

gericht. Dat houdt in dat zo’n onder-

zoek a priori een toetsingsonderzoek

is. Wat houdt nu zo’n toetsing met

behulp van een steekproef in en welke

voetangels en klemmen kent zo’n

steekproef?

Steekproeven en toetsen

De methodologie van een toet-

singsonderzoek is als volgt: men

formuleert een nulhypothese en

een alternatieve hypothese. De

Een IT-auditor kan een oordeel geven over de

toewijzingen van rechten aan gebruikers. Hij zal

dan beoordelen of er procedures voor zijn, of die

procedures hebben bestaan en vooral ook of die

procedures hebben gewerkt. Idealiter zou de

auditor over een schouder willen meekijken (en

dat voldoende frequent). Hij zal meestal vaststellen

dat een bestand met gelogde toewijzingen van

rechten het dichtst komt bij dat over de schouder

meekijken. Dergelijke bestanden zijn omvangrijk.

Heel omvangrijk. Alle records bekijken, levert wel

erg veel werk op. Welke technieken zijn dan

beschikbaar om tot een oordeel te komen? Een

kritische deelwaarneming? Data-analyse?

Steekproeven?

HEIN KLOOSTERMAN

de IT-Auditor nummer 2 | 201130

nulhypothese luidt: ‘Goedkeuring

is (nog) niet mogelijk’. De onder-

zoeker gaat proberen ‘bewijs’ te

vinden om de alternatieve hypo-

these te kunnen stellen: ‘Goedkeu-

ring is mogelijk’. Het resultaat in

controletermen luidt dan: “Er is

een toereikende controle uitge-

voerd om (ongeclausuleerd) te

kunnen goedkeuren.” Kan men niet

tot die alternatieve hypothese

komen,2 dan dient de populatie te

worden gezuiverd. Na zuivering

kan de populatie opnieuw ter con-

trole worden aangeboden en kan

men opnieuw het onderzoek gaan

uitvoeren.

Randvoorwaarden en

begrippen

Meetbaarheid

Het toepassen van steekproeven ver-

eist meerdere – voor de hand liggende

– zaken.

In de eerste plaats moet ieder te

meten element ook gemeten kunnen

worden.3

Aanwijsbaarheid

Om met behulp van statistiek te

kunnen schatten of toetsen, is het

verder nodig dat de elementen (vol-

doende) aselect kunnen worden aan-

gewezen.

Toetsbaarheid

Bij het toetsen is het verder nodig dat

bij ieder getrokken element, ook de

norm waaraan getoetst wordt, kan

worden vastgesteld. Dit element van

toetsbaarheid is elementair.4 Let wel:

de toetsbaarheidseis geldt niet alleen

voor toetsingsonderzoeken met

behulp van steekproeven, maar voor

ieder toetsingsonderzoek. Uiteraard

ook voor onderzoeken die integraal5

worden uitgevoerd.

In literatuur over steekproeven wordt

vaak gesproken over ‘foutdefinitie’.

Methodologisch zou ‘goeddefinitie’

eerder in aanmerking komen als term,

omdat de evidence die per te onder-

zoeken item verzameld gaat worden,

duidelijk moet maken dat dat item

‘goed’ is. Er wordt dus bewijs gezocht

om de alternatieve hypothese te

ondersteunen.

Steekproefparameter betrouwbaarheid

Van groot belang is de statistische

betrouwbaarheid waarmee men

bereid is te werken. In het auditvak is

de term ‘betrouwbaarheid’ een homo-

niem.6 Bij het toepassen van statistiek

is betrouwbaarheid een kansbegrip.

Met dat begrip – samen met het

begrip ‘onnauwkeurigheid’ – wordt de

onzekerheid in de uitkomsten van het

onderzoek aangeduid.

Steekproefparameter onnauwkeurig-

heid

De onnauwkeurigheid van een (goed-

keuringssteekproef ) is een aandui-

ding van de slechtste populatie die

met een kans ‘betrouwbaarheid’ nog

net wordt goedgekeurd. Dit kan ook

wel een worst case scenario worden

genoemd.7

Trekkingselementen

Als element van schatting of toetsing

kan men de afzonderlijke records

nemen, alsook de geldeenheden waar-

uit die records bestaan.

Financiële controle: a priori geld-

steekproeven

In de accountantscontrole wil men

doorgaans de uitkomsten uitdrukken

in geld. Het ligt dan voor de hand te

kiezen voor het selectie-element

‘geldeenheid’. De kritische grens,

zoals bijvoorbeeld ‘materialiteit’8, kan

men dan ook in geld vaststellen. Wat

kan leiden tot een overzichtelijke9

aanpak.

Samengevatte eisen

Samengevat is de belangrijkste eis

die aan auditing kan worden gesteld

de eis van controleerbaarheid, dus

de eis van het in beginsel kunnen

vergelijken van alle paren Ist- en

Soll-posities. Wil de audit gebruik-

maken van steekproeven, dan

gelden aanvullend de eisen dat er

een ‘norm voor onbetrouwbaarheid’

(complement van betrouwbaar-

heid) wordt vastgesteld en een

‘norm voor onnauwkeurigheid’.10

Bij

het toepassen van geldsteekproeven

gebruiken accountants voor die

onbetrouwbaarheid de term ‘steek-

proefrisico’ en voor onnauwkeurig-

heid de termen ‘controletolerantie’

en ‘materialiteit’.

Geldsteekproeven

Het toepassen van geldsteekproe-

ven11

neemt als uitgangspunt dat de

te beoordelen elementen geldeenhe-

den zijn. Dat betekent dat de trek-

king wordt verricht op een (virtuele)

populatie geldeenheden. Na de trek-

king vindt de beoordeling van de

geselecteerde posten12

plaats. De

beoordeling van een post is er (in de

context van de controle van een jaar-

rekening) op gericht om vast te stel-

len dat die post goed is. Het doel is

dat er uiteindelijk voldoende goede

elementen zijn vastgesteld om de

nulhypothese te kunnen verwerpen

en de alternatieve hypothese kan

worden aanvaard. Dit betekent dat

de financiële verantwoording goed-

gekeurd kan worden.

Postensteekproeven

Een postensteekproef bestaat uit

aselect aangewezen elementen van de

te beoordelen populatie. Als er sprake

is van een (elektronisch) bestand,

dan zijn de records ervan de te selec-

teren elementen. De technische

hulpmiddelen spreken daarom van

record sampling. Ieder element of

record dient in beginsel een gelijke13

kans te hebben om getrokken te

worden. Deze trekkingmethode heet

random selectie. Een elektronisch

bestand, zoals het bestand met

gelogde gegevens uit de inleiding, kan

worden benaderd met een audit tool

zoals bijvoorbeeld IDEA of ACL.

Dit gereedschap voorziet in de trek-

kingsmethode random selectie.

De meeste theorieën over steekproeven

gaan ervan uit dat de steekproefpara-

meters, zoals de statistische onbe-

trouwbaarheid en een maximaal aan-

vaardbare onnauwkeurigheid (zeg: een

materialiteit in posten of in  records),

bekend zijn. Uit die parameters pleegt

de IT-Auditor nummer 2 | 2011 31

dan vervolgens de steekproefomvang te

worden afgeleid.

Het vaststellen van een (goedkeu-

rings-)norm is geen sinecure. De

vraag is ook of die parameter niet

eigenlijk een gevolg is van de hoeveel-

heid werk (de steekproefomvang).

STEEKPROEF BIJ EEN IT-AUDIT

De casus

In het voorbeeld van de inleiding

ging het om het beoordelen van de

toewijzing van rechten aan de ver-

schillende gebruikers. Het toewij-

zen van rechten tot het toevoegen,

het wijzigen, het verwijderen en het

raadplegen van records wordt door-

gaans niet voor iedere afzonderlijke

gebruiker vastgesteld, maar voor

groepen gebruikers. Iedere gebrui-

kersgroep wordt wel ‘rol’ genoemd.

De rechten per rol plegen zo te

worden ingericht dat raadplegen

wordt beperkt door middel van een

need to know-uitgangspunt, idealiter

het muteren en het verwijderen van

records niet dan in uitzonderings-

gevallen wordt toegestaan en het

toevoegen van records overeen

moet komen met de betreffende rol.

De toewijzing van rollen, gevoegd

bij de reeds uitgegeven rollen, kan

worden gecontroleerd als per

gebruiker de beginsituatie is vast-

gesteld en per wijziging wordt

beoordeeld of de gebruiker niet te

veel of te weinig rechten krijgt ver-

geleken met de functie die hij op

dat moment bekleedt. Hoeveel van

die wijzigingen moet de auditor

beoordelen? Wat is het audit risk

met betrekking tot de IT-auditor?

Wat is de onnauwkeurigheid die is

toegestaan bij zo’n onderzoek?

Kortom, wat zijn de audit- en dus

de steekproefparameters?

De betekenis van de vast te

stellen parameters

Betrouwbaarheid

De literatuur over controle hanteert

niet een eenduidig begrip ‘risico’.14

De

begrippen ‘betrouwbaarheid’ en

‘onnauwkeurigheid’ dreigen daardoor

min of meer als synoniem te worden

gebruikt. Onbetrouwbaarheid15

is,

zoals gesteld, een kans (op ten

onrechte goedkeuren van een foute

populatie). Voor de onbetrouwbaar-

heid hanteert men de term risk.16

Onnauwkeurigheid

Onnauwkeurigheid is (in accoun-

tantscontrole) de foutomvang van de

worst case.17

Ter vergelijking: in het geval van geld-

steekproeven hanteert men het begrip

‘materialiteit’ (of een daarvan afge-

leide grootheid: controletolerantie)

voor de onnauwkeurigheid.

IT-auditrichtlijnen en

steekproeven

ISACA heeft in een van de guideli-

nes18

onderkend dat IT-auditors

steekproeven kunnen toepassen.

Deze standaard is (mijns inziens te)

letterlijk overgeschreven van de

accountantsstandaarden en beschrijft

daarom zowel financiële als niet-

financiële steekproeven bij het uitvoe-

ren van IT-audits. In het voorbeeld

van het onderzoek naar de rolverde-

ling helpt deze richtlijn ons niet

verder.

De richtlijnen voor de accountants-

controle geven wel algemene bewoor-

dingen voor onderzoeken met behulp

van steekproeven, maar geven geen

recept of een model waarmee het

aantal te verrichten compliance tests

helder wordt gemaakt.

De praktijk van de financiële con-

trole kan ons wellicht wel verder

helpen. Zo zien we in de praktijk

van de controle compliance tests

van 25, 30, 37, 45 of 60 waarnemin-

gen. Het door middel van een steek-

proef doorploegen van een logbe-

stand is immers te kwalificeren als

een compliance test. In de literatuur

heb ik geen beslissingsmodel

kunnen vinden dat dergelijke aan-

tallen verklaart.

Voldoende omvang van een

steekproef (audit sufficiency)

De IT-auditor is – net als de financial

auditor – bij het definiëren van zijn

onderzoek gehouden (expliciet) te

definiëren wat hij sufficient evidence

vindt. Het gaat in het geval steek-

proeven worden gebruikt, zo zagen

wij, om twee parameters. Te weten

‘betrouwbaarheid’ en ‘(on)nauwkeu-

righeid’.

Betrouwbaarheid

Sluit de IT-auditor zich aan bij de

95 procent (statistische) betrouw-

baarheid zoals zijn collega’s in de

financiële audit hanteren? Het lijkt

mij een bevredigend uitgangspunt.

Onnauwkeurigheid; tolerantie

Wat neemt een IT-auditor als uit-

gangspunt voor de onnauwkeurig-

heid?19

Welk aanknopingspunt moet

hij hanteren?20

De meeste tests op het goed werken

van de organisatie gaan er (impliciet)

vanuit dat de organisatie in voortdu-

ring goed heeft gewerkt: die werking

moet alleen nog in voldoende mate

worden vastgesteld. Die ‘voldoende

mate’ is abstract.

In [HEER74] en [BLOK93] wordt

gesproken over het afwegen van nut

en kosten van een (steekproef )

onderzoek. Beide bronnen geven

geen maat voor het vaststellen van de

‘onnauwkeurigheid’ of de tolerantie.

Wellicht bieden de uitgangspunten

die voor wetenschappelijke toetsings-

onderzoeken zijn bedacht21

mogelijk-

heden.

In de auditconsiderans zal de ver-

wachting toetsbaar zijn gedefinieerd.

Men zal aangeven hoeveel effort men

ervoor over heeft om te proberen de te

bewijzen stelling te valideren.22

De te

bewijzen stelling is dan ‘de populatie is

goed genoeg’ en dat wordt aangetoond

met voldoende paren Ist- en Sollposi-

ties die overeenstemmen. Die hoe-

veelheid effort is subjectief, net als een

onnauwkeurigheid dat is. De winst is

echter dat die ‘voldoende effort’ de

‘maatschappelijke kosten van de audit’

representeert. De subjectieve kwalifi-

catie ‘onnauwkeurigheid’ wordt zo

geobjectiveerd door de vertaling

naar ‘de kosten van de audit’. Dat

de IT-Auditor nummer 2 | 201132

achteraf groter is dan wat vooraf is

begroot.

De te hanteren statistische betrouw-

baarheid is vastgesteld op 95 procent.

Stel, men heeft een onderzoek

gepland en in het budget steekproef

van samen 120 te controleren ele-

menten begroot. Dit aantal was geba-

seerd op het uitgangspunt dat de

populatie waaruit de compliance tests

moesten worden getrokken, bestond

uit één (super)populatie die weer uit

twee (deel)populaties bestaat. Elke

deelpopulatie had een tolerantie

(maximale foutfractie) van 5 pro-

cent.24

Dat levert per deelpopulatie 60

waarnemingen en dus in totaal 2 * 60

= 120 waarnemingen.

Als er opeens vijf (deel)populaties

van dezelfde (super)populatie blijken

te zijn, moeten er dan 5 * 60 = 300,

dus weer 60 per deelpopulatie, waar-

nemingen worden genomen?25

Dit

zou schrijnend zijn, nu de omvang

van de totale te beoordelen (super)

populatie niet groter is dan die twee

vooraf verwachte (deel)populaties.

We kunnen dus concluderen dat het

vaststellen van een tolerantie ter

grootte van een percentage per deel-

populatie leidt tot een ongewenst

effect: het uit de hand lopen van het

controlebudget.

Als men op basis van het budget had

gesteld dat de tolerantie 2,5 procent

van de (super)populatie was, dan was

daarmee de gewenste controle-

inspanning van deze IT-auditor vast-

gelegd. Dit lijkt mij een redelijke

wijze van werken. Mocht het blijken

dat er sprake is van een serie deelpo-

pulaties dan zouden die daar naar

evenredigheid uit de totale steekproef

kunnen ‘putten’.26

Welke vragen blijven?

Als de IT-auditor een deelwaarne-

ming wil verrichten, ligt het toepas-

sen van mathematische steekproeven

voor de hand. De IT-auditor moet

zich nog wel buigen over de parame-

ters die hij gaat toepassen. Mag hij

bijvoorbeeld de 95 procent betrouw-

baarheid overnemen van de financial

auditors? En mag hij het gedeelte van

zijn IT-auditbudget dat bestemd is

voor detailonderzoeken vertalen naar

een tolerantie, een onnauwkeurigheid

(in de audit)?

De eerste vraag lijkt bevestigend te

kunnen worden beantwoord. Ik vind

het evident dat ook de tweede vraag

bevestigend wordt beantwoord.

Vinden mijn collega’s dat ook?

SAMENVATTING

Net als in financial auditing is in IT-

auditing het toepassen van steekproe-

ven geen gemeengoed. Dat is de reden

voor de twee inleidende paragrafen

over steekproeven.

Omdat veel IT-audits detailcontroles

kennen en die controles vaak het

karakter van compliance tests hebben,

lenen die detailcontroles zich, net als

andere compliance tests, voor posten-

steekproeven. Postensteekproeven

zouden moeten worden ingericht als

mathematische steekproeven. De

omvang van de steekproeven lijkt te

volgen uit het auditbudget. Het toe-

passen van steekproeven zal het con-

cretiseren van gedachten over suffi-

ciency van IT-audits stimuleren.

IT-auditors zullen hun inzichten en

ervaringen moeten delen. ■

betekent dat naarmate de vaststelling

van de overeenkomst tussen Soll en

Ist moeilijker is vast te stellen het

gerechtvaardigd lijkt minder van der-

gelijke vaststellingen te doen. Nog

steeds kan de ‘effort’ of de ‘onnauwkeu-

righeid’ niet objectief worden afgeleid

uit grootheden van de te controleren

organisatie, maar de beroepsgroep23

heeft een handvat om de inspanning

als aanvaardbaar te duiden: de hoe-

veelheid te verrichten onderzoek

wordt transparant gemaakt.

Het forum [GROOT81]

NOREA zou binnen de beroeps-

groep kunnen waarnemen dat IT-

auditors zich vertrouwd voelen als zij

een betrouwbaarheid van 95 procent

(is gelijk aan een auditrisico van 5

procent) hanteren.

Verder zou NOREA kunnen waar-

nemen dat IT-auditors de omvang

van de hoeveelheid werk laten afhan-

gen van de omstandigheden bij de

gecontroleerde.

Uitgaande van verschillende omstan-

digheden bij verschillende audits

komt mij een onnauwkeurigheid in

een range van pakweg 10 procent tot

1 procent in eerste instantie als rede-

lijk voor. Het onnauwkeurigheids-

percentage kan dan afhankelijk

worden gemaakt van de effort per

onderzochte vraag of set vragen.

Het lijkt mij de moeite waard onder-

zoek onder IT-auditors te doen naar

de omvang van hun detailonderzoe-

ken in relatie tot de betreffende popu-

laties.

Valkuil?

In de praktijk wordt vaak een maxi-

male foutfractie als onnauwkeurig-

heid vastgesteld. Het formuleren

van een onnauwkeurigheid door

middel van een maximale foutfractie

(of -percentage) blijkt echter een

valkuil te herbergen. Als er sprake is

van meerdere deelonderzoeken,

bestaat de neiging om een eenmaal

bepaalde fractie op al die delen toe

te passen. Daardoor dreigt het uit-

gangspunt te worden verlaten dat de

effort die voor goedkeuren nodig is,

Hein (H.H.W.) Kloosterman RE RA is betrokken bij de accoun-

tantsopleiding van de Business Universiteit Nyenrode. Daarnaast is hij

de Erasmus Universiteit (ESAA) en de EDP-auditopleiding van de VU.

Verder is hij ondermeer lid van de redactieraad van Handboek EDP-

audit en werkt hij als zelfstandig adviseur op het gebied van IT-audit

en Statistical Audit.

de IT-Auditor nummer 2 | 2011 33

Noten

1. [HASS07] en [HASS08].

2. Dat wil zeggen de nulhypothese blijft gelden. En die

luidt: de verantwoording kan niet goedgekeurd wor-

den. In de accountantspraktijk kan men daarvoor

lezen: de verantwoording kan zonder verbetering

niet goedgekeurd worden.

3. De elementen moeten met andere woorden toets-

baar zijn, vergeleken kunnen worden met een norm.

De waarde van de Ist-positie moet dus kunnen wor-

den vastgesteld.

4. De eis van toetsbaarheid heeft dus twee pijlers:

meetbaarheid en een maatstaf waaraan de gemeten

waarde kan worden geconfronteerd; ofwel: vaststel-

len Ist-positie en vaststellen Soll-positie.

5. Met andere woorden: de hele populatie, de hele

massa, of het hele universum.

6. Homoniem = één woord dat meerdere betekenissen

heeft

7. Als een populatie wordt gekeurd met een betrouw-

baarheid van 95% en een onnauwkeurigheid van

1%, dan betekent dit dat een steekproef van 300 ele-

menten uit een populatie die 1% onjuiste elementen

bevat, er 5% kans is dat al die 300 elementen als

goed kunnen worden gekwalificeerd.

8. Materialiteit is een vertaling die accountants van het

begrip onnauwkeurigheid hebben gemaakt.

9. Transparant zowel als repeteerbaar.

10. De eisen met betrekking tot betrouwbaarheid en

onnauwkeurigheid moeten tesamen “redelijke

zekerheid” uitbeelden.

11. In de artikelen van Hassing zijn geldsteekproeven

aan de orde geweest.

12. Bij deze techniek zijn de “posten” de records waarin

zich de getrokken geldeenheden bevinden.

13. Hier is geabstraheerd van steekproeven zonder

teruglegging. Daardoor kan ik afzien van de behan-

deling van de hypergeometrische verdeling. Dat is

aanvaardbaar omdat de steekproeven waarover het

in dit artikel gaat veel en veel kleiner zijn dan de

populatieomvang.

14. Men gebruikt risico tenminste in de betekenis:

kwade kans, effect van een kwade kans, oorzaak

van een ongewenst effect. Daarnaast worden die

begrippen nog toegepast op het bedrijfsgebeuren,

het vastleggen van het bedrijfsgebeuren en het

controleren van de vastleggingen van het bedrijfs-

gebeuren.

15. In kansen betrouwbaarheid = 1 – onbetrouwbaar-

heid; onbetrouwbaarheid is de kans op ten onrechte

goedkeuren.

16. Men gebruikt meerdere begrippen: audit risk, sam-

pling risk, et cetera. Dit artikel laat risico-analyse

volgens het “audit risk model” of “audit assurance

model” buiten beschouwing.

17. De slechtste populatie die een dergelijk steekproef-

resultaat kan laten zien.

18. IS Guideline G10: Audit Sampling.

19. Een geldsteekproef is bij een compliance test of

andere detailtests die bij een IT-audit kunnen wor-

den toegepast niet aan de orde. Een geldbedrag als

“materialiteit” dus ook niet.

20. In een IT-audit is er sprake van “tests of controls”, of

“tests of control effectiveness”, of termen van die

orde. Dus niet of de financiële waarde van een gese-

lecteerd element juist is!

21. De redenering in [POP75] en [GROOT81] komt erop

neer dat de onderzoeker zijn best moet doen de

geponeerde stelling te ontkrachten. Als dat niet

lukt, blijft de geponeerde stelling gelden.

22. Dit lijkt op de essentie van de verdedigingsgronden

van de onderzoekstechniek case study: Een enkele

beoordeling is zodanig omvangrijk dat het geoor-

loofd is het aantal pogingen tot falsificatie van de

stelling te beperken tot een behapbaar geheel.

23. [GROOT81] noemt het “forum” als referentiegroep.

Daarmee introduceert hij in plaats van een individu-

ele subjectiviteit, de subjectiviteit van een groep. In

casu zou er sprake kunnen zijn van een beroeps-

groep.

24. Enig rekenwerk levert dat uitgaande van 95%

betrouwbaarheid, 5% onnauwkeurigheid,

Poissonverdeling en nul fouten in de steekproef, er

tenminste 3/0,05 = 60 elementen per deelpopula-

tie gecontroleerd moeten worden. Zie onder meer

[TOUW07], hoofdstuk 6 en [GUY98], hoofdstuk 3.

25. Dit is een situatie waarin menig (financial) audi-

tor verstrikt raakt. De wijze van werken is na te

lezen in een aantal controleprotocollen van

ministeries.

26. Deze techniek lijkt op het “niet toedelen van contro-

letoleranties” zoals beschreven in [BLOK96]. De

techniek komt neer op naar evenredigheid toereke-

nen van de controle-inspanning aan de subpopula-

ties. De onnauwkeurigheid voor het geheel (in

financial audits de materialiteit voor de jaarrekening

als geheel) wordt afgeleid uit de toegestane work-

load voor dat geheel.

Literatuur

[BLOK93] Blokdijk, J.H. (1993), Afweging van kosten en

nut bij steekproeven in de accountantscontrole,

Maandblad voor Accountancy en Bedrijfseconomie, sep-

tember, pp 383 – 392.

[BLOK96] Blokdijk, J.H. (1996), Het toedelen van contro-

letolerantie, Maandblad voor Accountancy en

Bedrijfseconomie, juli/augustus, pp 350 - --.

[GROOT81] Groot, A.D. de, Methodologie, Grondslagen

van onderzoek en denken in de gedragswetenschappen,

Uitgeverij Mouton, Den Haag.

[GUY98] Guy, D.M., D.R. Carmichael, O.R. Whittington

(1998), Audit Sampling; an introduction; John Wiley and

Sons, Inc., New York.

[HASS07] Hassing, A.J.A. (2007), De statistische steek-

proef; uitdaging voor de EDP-auditor deel 1, De EDP-

auditor, nr. 4, pp. 16 – 19.

[HASS08] Hassing, A.J.A. (2008), De statistische steek-

proef; uitdaging voor de EDP-auditor deel 2, De EDP-

auditor, nr. 1, pp. 30 – 33.

[HEER74] Heerden, A. van (1974), Steekproeven als

middel van accountantscontrole, Vijftig jaar MAB, pp

368 – 391 (oorspronkelijke publicatie MAB december

1961), Muusses, Purmerend.

[POP79] Popper, Karl R. (1979), The Growth of Scientific

Knowledge, Klostermann Texte Philosophie, Frankfurt

am Main.

[TOUW07] Touw, P., L. Hoogduin, Statistiek voor Audit en

Controlling, SDU Uitgevers b.v., Den Haag.