De discutabele rol van de accountant

Schoenmaker blijf bij je leest

door: Yuri Bobbert en Wim Zethof

Als gevolg van verschillende incidenten staat de rol van de accountant ter discussie. Dat betreft niet meer alleen zijn controlefunctie maar steeds vaker zijn adviesfunctie. Onder andere als het gaat om risicosignalering, beheersing en rapportering aan stakeholders.

Zoals Piersma en Couwenbergh eerder in Het Financieele Dagblad aangaven wassen accountantskantoren steeds vaker de handen in onschuld door erop te wijzen dat risicoanalyse niet hun opdracht is. Tevens geven ze aan dat het hen ontbreekt aan officiële normen om hierover uitspraken te kunnen doen. Een soortgelijke valkuil lijkt nu te ontstaan bij risicobeheersing in de IT. Een gebied waar de accountancywereld steeds meer commerciële kansen probeert uit te nutten, gezien het feit dat it-audits deel uitmaken van de jaarrekening. Naast de it-audit (controle) verschuift de functie van de accountant steeds meer naar advies. Uit empirisch onderzoek onder Nederlandse controleplichtige organisaties blijkt echter dat de analyse en de controle door de accountantskantoren op informatiesystemen nogal oppervlakkig, op basis van checklists, worden uitgevoerd. De nadruk ligt op vertrouwelijkheid en integriteit van de data. Minder op informatievoorziening, uitwisseling en continuïteit van informatiesystemen. Iets wat bij integraal it-risicomanagement wel dient te worden onderzocht.

Kwade opzet
Een ongeluk zit in een klein hoekje, getuige het recente faillissement van Impairment Resources in de Verenigde Staten of wat te denken van Diginotar[1] dichter bij huis. Een ander voorbeeld uit de praktijk is de verhoogde controle op gebruikersautorisaties en het gebruik van sterke wachtwoorden bij toegang tot financiële data. Het begint bijna te lijken op de paspoortcontrole op een vliegveld. Het zegt echter niets over en doet niets met de ‘kwade’ opzet van die gebruiker. Juist die is vanuit integriteit en audit-trail-perspectief voor de it-audit van belang, zeker als tegelijkertijd de achterdeur gewoon openstaat. Overigens blijkt in de helft van de onderzochte gevallen dat het beheer onder andere op deze achterdeur al jarenlang niet plaatsvindt[2]. Sterker nog, veel van de ondervraagden geven aan dat ze dit sterke wachtwoordbeleid een vorm van schijnveiligheid vinden en dat ze het als zeer belemmerend ervaren. Iedereen kent het probleem van het vergeten wachtwoord bij terugkomst van vakantie en de frustratie die dat met zich meebrengt. Met als gevolg een toename van de post-its met wachtwoorden onder toetsenborden.

Schaap met vijf poten
Het motto lijkt ‘Alles voor de handtekening op de jaarrekening’. Steeds meer wordt duidelijk dat de kennis van de accountant, zelfs van zijn it-auditafdeling, tekort schiet als het gaat om diepgaande kennis van it-systemen en de adequate af- en bescherming ervan. De kennis en focus richt zich bij de controle meer op de methode en het proces dan op de inhoud van de materie en de context van het te auditteren object. Zeker als deze zijn gevirtualiseerd, gedistribueerd, extern staan (cloud computing) of dynamische koppelingen hebben met derden. Vanwege de sterke toename van informatiesystemen waar kritische financiële data op staan, van digitale verbindingen met de boze buitenwereld én de exponentiële groei van digitale bedreigingen (virusverspreiding, diefstal, hacks[3]) wordt verwacht dat de accountant het spreekwoordelijke schaap met vijf poten is. Vergelijk het met een schoenmaker die orthopedisch advies moet gaan geven.

Beleid en uitvoering
De klantvraag om de technische risicoanalyses en de daaruit voortvloeiende technische interventies synchroon te laten lopen met het beleid – wat er in de meerderheid van de gevallen niet eens is – levert in de praktijk voornamelijk hoofdpijn op. Dat komt omdat de vertaling van beleidskaders naar technische interventies complex is en onderhevig aan snelle verandering. Een wachtwoordbeleid is redelijk eenvoudig te verwoorden en door te voeren, even los van de noodzaak en effectiviteit ervan. Een virtuele scheiding van publieke en bedrijfskritieke data blijft echter voor veel organisaties complex. Dus wordt het niet gedaan. Dit is te vergelijken met het plaatsen van de kast met de bedrijfsadministratie in de centrale lobby, terwijl de voordeur wagenwijd openstaat.

De volgende nachtmerrie
Juist wanneer de CEO of CIO blindvaart op ‘ons zal dat niet gebeuren’ of ‘daar hebben wij maatregelen voor getroffen’, is het noodzakelijk dat zij zelf toetsen of dat ook echt zo is. Desnoods door een externe deskundige die niet in opdracht van de it-afdeling of de auditor werkt, maar juist in opdracht van een aansprakelijk (accountable) orgaan zoals het bestuur. Om in accountancy-termen te blijven ‘vertrouwen is goed, controle is beter’. Bij deze controle is de ‘hoog over’-methode door de omgeschoolde accountant dus niet meer toereikend. Diepgaande materiekennis is nodig van de potentiële risico’s, de kans erop en de impact ervan, zeker als de bedrijfsvoering grotendeels afhankelijk is van it-systemen. Het Centraal Bureau Statistiek[4] rapporteerde eerder al over de toenemende economische schade die hieruit voortkomt en de koppositie die Nederland hierin vervult[5]. Zowel overheid als bedrijfsleven kunnen hier niet langer aan de zijlijn blijven staan. Zij moeten ook deze risicobeheersing pro-actiever gaan aanpakken.

Digitale stakeholder analyse
Een land als Zuid-Afrika geeft het goede voorbeeld. Daar heeft de overheid strikte kaders vastgesteld voor corporate governance qua technologische risicoanalyses[6]. Een andere recente ontwikkeling van goede governance doet zich voor tijdens het World Economic Forum[7]. Daar is het volgende voorgesteld: “Map highly interconnected key risks in the cyberspace and networked ecosystem and illustrate how they might unfold, while addressing the causes to identify effective intervention.” Dit kunnen we vertalen naar een ‘digitale stakeholder analyse’. Dit is een van de meest principiële corporate governance praktijken, die overigens zelden door EU bedrijven wordt toegepast. Maar het geeft een RvC, een bestuur en de controlerende accountant wel degelijk inzage in digitale risico’s die zakenpartners kunnen brengen en die de accountancy it-audit mogelijk over het hoofd ziet. Dit is voor een accountant wellicht complex en kennisintensief, maar voor een belegger of potentiële overnamekandidaat is het zeker van belang. De keuze om dit transparant te maken en meer geïntegreerd te rapporteren naar de markt, ligt bij de organisatie[8].

Internationale studies uit de VS en uit Japan tonen aan dat gedegen it-risicomanagement juist concurrentievoordeel kan bieden[9], of positieve aandeelhouderswaarde, omdat de markt de organisatie kan zien als een betrouwbare digitale handelspartner[10]. Toch blijft de primaire vraag staan of we bij de accountant ooit dergelijke diepgaande complexe technologiekennis mogen verwachten. Kennis die nodig is in deze zeer snel veranderende wereld van cybercriminaliteit. Of moet de schoenmaker bij zijn leest blijven?

Yuri Bobbert MSc is onderzoeker aan de Universiteit van Antwerpen op het gebied van Business Information Security Governance. En als Lector verbonden aan NOVI University of Applied Sciences.

Wim Zethof RE RA is consultant op het gebied van audit, risk management en compliance.

Beiden zijn verbonden aan B-Able.

 

 

 



[1] R. Prins, ‘Diginotar Bancruptcy Public Report’, Dutch Government, Den Haag, 2011.

[2] Y. Bobbert, Maturing Business Information Security, Utrecht: IBISA, 2010.

[3] D. Kerr, J. Gammack en R. Boddington, ‘Overview of Digital Business Security Issues’, 2011.

[4] CBS, ‘Veel incidenten ICT-beveiliging bij bedrijven’, januari 2011. Online: http://www.cbs.nl/nl-NL/menu/themas/bedrijven/publicaties

[5] ANP, ‘Sociale Netwerken gevaar voor bedrijfsleven’, 5 januari 2011. Online: www.vk.nl

[6] King, ‘King Report on Corporate Governance for South Africa’, Cliffe Dekker, 2002.

[7] World Economic Forum, ‘Unlocking Value Personal Data Collection Usage Report 2013’, World Economic Forum, Davos, 2013.

[8] IIRC, ‘Towards Integrated Reporting – Communicating Value in the 21st Century’, International Integrated Reporting Council (IIRC), 2011.

[9] G. Westerman and R. Hunter, IT Risk, Turning Business Threats into Competitive Advantage, Boston MA: Harvard Business School Press, 2007.

[10] M. Ishiguro, T. Hideyuki, K. Matsuura and I. Murase, ‘The Effect of Information Security Incidents on Corporate Values in the Japanese Stock Market’, The Graduate School of Interdisciplinary Information Studies, The University of Tokyo, p. 15, 2011.

Gerelateerde berichten...