Van een lineair perspectief naar een golfbenadering

De golven van IT-auditing

3 mei 2017
PDF
In dit artikel:

Wat was in 2004 de voorspelling voor 2015? De toenmalige NOREA-voorzitter Adri de Bruijn filosofeerde destijds over de externe auditor en de beroepsorganisatie in 2015. De aanleiding daarvoor was een symposium ter gelegenheid van het afscheidscollege van prof. Margaret van Biene-Hershey als hoogleraar EDP-auditing aan de Vrije Universiteit te Amsterdam. Zijn beschouwing is gepubliceerd in ‘de EDP-Auditor’1 en was voor de redactie aanleiding om hem opnieuw uit te nodigen om zijn huidige toekomstverwachting met ons te delen.

Hoe ziet het vak eruit in 2027? Bij het 25-jarig bestaan van NOREA is het niet alleen goed terug te kijken op wat bereikt is, maar ook om vooruit te kijken. Wat komt er op de IT-auditor af, en nog belangrijker: wat kan hij of zij er zelf aan beïnvloeden?

Het terugkijken komt in een ander artikel in dit nummer aan de orde. In dit stuk zal ik proberen vooruit te kijken. Proberen, want de toekomst voorspellen is een hachelijke zaak. Ten eerste, omdat in deze transparante wereld alle oude voorspellingen direct teruggehaald kunnen worden: op verzoek van de redactie zal ik dan ook op het eind van dit artikel ingaan op wat er ‘terechtgekomen is’ van mijn voorspellingen uit 2004. Ten tweede, omdat ontwikkelingen minder snel gaan dan gedacht en als ze gebeuren ze plotseling veel sneller gaan dan gedacht: lijkt iets eerst gedurende enige tijd niets te zullen worden, plotseling kunnen we ons de wereld niet meer zonder die ontwikkeling voorstellen. Denk bijvoorbeeld aan internet, mobiele telefoon, Facebook et cetera. Twee gebruikelijke termen om dit verschijnsel te beschrijven zijn het ‘hockeystick-effect’ en Kurzweil’s law of accelerating returns.

Van een lineair perspectief naar een golfbenadering

Een typisch lineaire gedachtegang overigens: we overschatten de voortgang op de korte termijn, raken daardoor soms teleurgesteld en onderschatten de potentie op langere termijn wat tot verbazing en disrupties leidt. We zullen ons erbij neer moeten leggen dat ontwikkelingen thans veel meer exponentieel dan lineair gaan. En dat ons blikveld niet meer lokaal maar globaal wordt bepaald en beïnvloed. Nieuwe ontwikkelingen laten zich niet stoppen door landsgrenzen. In deze veranderende wereld van lineair en lokaal naar exponentiële groei en globaal perspectief zal de IT-auditor zijn of haar weg moeten vinden. En dat geldt ook voor de beroepsorganisatie. Vandaar dat het een heel goed initiatief was om de Commissie Donkers in te stellen, die een Visie 2020 heeft gepresenteerd die het bestuur van NOREA vertaald heeft in een strategienota.

Maar in deze disruptieve wereld kan het wellicht helpen te kijken naar het verleden en daaruit lessen te trekken. In de economische theorieën wordt terug- en vooruitkijkend- gesproken over Kondratieff golven, economische cycli die elkaar afwisselen: na een stijging, komt een daling en daarna weer een stijging. En volgens het Schumpeter-Freeman-Perez-paradigma zijn er vijf golven geweest en komt de zesde eraan:

  • 1771: Industriële revolutie, gebaseerd op textielproductie en aanleg van kanalen;
  • 1829: Tijdperk van stoom en spoorwegen, gebaseerd op stoomkracht en de trein;
  • 1875: Tijdperk van staal en elektriciteit, gebaseerd op Bessemerstaal, elektriciteit;
  • 1908: Tijdperk van olie en de auto, gebaseerd op auto’s en wegen;
  • 1971: Informatietijdperk, gebaseerd op computers, telecommunicatie en het internet;
  • 2015 tot grofweg 2030: Zesde Tijdperk, mogelijk gebaseerd op biotechnologie, nanotechnologie, schone en duurzame energie, milieubescherming, robotisering,  blockchain, nieuwe ontwikkelingen in de gezondheidszorg of nog andere ontwikkelingen.

(Bron: Wikipedia: https://nl.wikipedia.org/wiki/Kondratjevgolf).

De golfbenadering in de IT-auditing

EDP- of IT-auditing bestaat nog niet zo lang, maar toch herken ik daar ook golven in, die de volgende stap richting de toekomst kunnen vormgeven voor de IT-auditor.

Een van de eerste stappen op het terrein van IT-auditing is nu al meer dan zestig jaar geleden gezet. In 1954 zette de Amerikaanse Defensie een computer in om voorraadinventarisaties in de accountantscontrole uit te voeren en grote materieelvoorraden efficiënt te kunnen tellen. Dit geautomatiseerde proces moest door de auditors zelf worden geprogrammeerd,  omdat er geen programma’s voorhanden waren die dit konden doen: de eerste IT-auditors waren dan ook doorgewinterde IT-specialisten. De vraag naar toepassing van de computer in de audit breidde zich uit, omdat op dat moment steeds meer administraties geautomatiseerd werden en gegevens (data) toegankelijk gemaakt moesten worden voor de accountant, die daarmee efficiënter kon controleren. Klinkt dit bekend? Alleen was er een veelheid
aan besturingssystemen en opslagformaten, waardoor de accountant dit niet zelf kon doen maar een EDP-auditor moest inschakelen om dit te kunnen programmeren en uitvoeren. Uit die tijd (de jaren zestig en zeventig van de vorige eeuw) zijn dan ook veel publicaties gericht op data-analyses (Computer Assisted Audit Techniques, CAATs). Langzamerhand konden de accountants dit zelf, ontstonden er nieuwe vraagstukken en gingen de IT-auditors zich op de systemen richten (ERP, logische toegangspad als concept voor informatiebeveiliging, et cetera). Dit gebeurde mede onder invloed van ontwikkelingen zoals COSO en de governance-discussie in de jaren negentig van de vorige eeuw. Ook kregen IT-auditors richting klanten en opdrachten meer een eigen rol naast de accountant.

IT-auditor moet voorop lopen en oplossingen bieden

En nu? Nu zijn we weer (terug) in de golf van data-analyses met termen als  big data analytics, predictive analytics, anomaly detection, AI-based intelligence, Mapping Regulatory Data, et cetera. En in cyberland met internetpentests, Security Operations Centres, et cetera. Voorbeelden waarbij meer gekeken wordt naar de gegevens en wat er gebeurt, dan naar de systemen en concepten die de exclusiviteit en continuïteit moeten borgen. En ook hier vervullen IT-auditors een voortrekkersrol met de introductie van deze nieuwe technieken bij accountants en organisaties.

Dan kom ik nu toe aan mijn voorspellingen voor de jaren die voor ons liggen.

Voorspelling 1: systemen, waarborgen en governance

Mijn eerste voorspelling is dat in de volgende golf de aandacht van IT-auditors (opnieuw) zal uitgaan naar de systemen, waarborgen en governance. Want het is prima om door middel van data-analyses nú of achteraf vast te stellen wat er is gebeurd, maar de technologische ontwikkelingen zullen vragen om waarborgen dat zaken vooraf goed zullen zijn. Het is bijvoorbeeld prima om online of achteraf vast te stellen dat een zelfrijdende auto een botsing veroorzaakt (heeft) maar het liefst wil je dit voorkomen. En dan is de vraag of de systemen, ontwikkel- en distributieprocessen et cetera voldoende waarborgen bevatten om dit te voorkomen. Hetzelfde geldt voor concepten als blockchain, informatiebeveiliging, cloud, smart devices, IoT, robotica, et cetera, wat voor waarborgen zijn hier aanwezig dat je erop kunt vertrouwen?

Voorspelling 2: IT-auditor moet voorop lopen en oplossingen bieden

Wat niet verandert, ook niet in deze vierde golf in de ontwikkeling van IT-auditing, is de rol van de IT-auditor: hij of zij zal voorop moeten lopen. Enerzijds om het publiek bewust te maken van de risico’s van de nieuwe technologische ontwikkelingen en anderzijds om te helpen hier goede oplossingen voor te bieden. Want dit ‘voorop lopen’ heeft een IT-auditor altijd gedaan. En dat vereist ook voor de toekomst dat de IT-auditopleidingen en de beroepsorganisatie investeren in het onderkennen van nieuwe technologische ontwikkelingen en de IT-auditor helpen zich hierop voor te bereiden. En daarmee de maatschappij. Dat is de tweede voorspelling.

Voorspelling 3: belang van IT-auditing in jaarrekeningcontrole zet door

Wat zich als trend verder door zal zetten, in deze vierde golf, is  het belang van IT-auditing in de jaarrekeningcontrole: die zal steeds belangrijker worden, omdat – nogmaals – de systemen en waarborgen zoals ze nu functioneren belangrijker worden dan de cijfers over het verleden. En hierin speelt zoals aangegeven de IT-auditor een cruciale rol. Dat was de derde voorspelling.

Van verleden naar heden

Na deze drie voorspellingen misschien goed om terug te kijken naar mijn voorspelling uit 2004, want zoals gezegd uit het verleden kunnen lessen worden getrokken voor de toekomst.

Mijn oorspronkelijke betoog2 uit 2004 was opgebouwd aan de hand van de ontwikkelingen in de technologie, de ontwikkelingen in organisaties en de ontwikkelingen in de maatschappij. In de technologie zag ik naast de opkomst en grootschalige toepassing van systemen voor Enterprise Resource Planning een groeiend belang voor processystemen, die in de toekomst het hart van een organisatie vormen. De IT-auditors zouden zich hierop gaan richten en moeten bekwamen om ‘onder de motorkap’ van deze processystemen te kijken. Daarnaast voorzag ik dat continuous reporting en continuous auditing, het tegelijkertijd met het beschikbaar komen van die informatie beoordelen van de betrouwbaarheid, in 2015 de standaard zouden zijn. Interne beheersing zou dan uitsluitend nog through the computer kunnen worden benaderd. Als gevolg daarvan voorzag ik, los van de relatie tussen RA en RE, een vertienvoudiging van het beschikbare budget voor de IT-audit in relatie tot de jaarrekeningcontrole dat in 2015 meer dan de helft van het totale externe auditbudget zou bedragen. Naast het beheer zou de technische infrastructuur van de IT-auditors ook gespecialiseerde aandacht voor techniek en architectuur vergen.

Door het toenemende belang van de IT in organisaties en op de managementagenda zou de IT-auditor in 2015 ook op strategisch niveau worden betrokken bij vraagstukken als: doen we de goede dingen en de juiste investeringen in nieuwe technologie? Hoe is ons informatiesysteem ingericht en hebben we onze belangrijke IT-projecten in de greep? Dat stelt hoge eisen aan de analytische vaardigheden en onafhankelijke houding van de IT-auditor. Daarbij zouden TPM’s en/of diverse certificeringstrajecten steeds belangrijkere werkterreinen voor IT-auditors worden. Organisaties zouden zich in de toekomst in toenemende mate bewust zijn van de afhankelijkheid van informatieketens en de risico’s die daaruit voortkomen.

In de maatschappij zou een toenemende invloed merkbaar zijn van wet- en regelgeving en toezichthouders die hoge eisen stellen aan betrouwbaarheid en continuïteit van IT. Dat zou een kans zijn voor IT-auditors. Maar daarbij waarschuwde ik ook voor de dreigende ontwikkeling van een rule based IT-auditing in plaats van de principle based IT-auditing, waarbij het niet langer gaat om het denkwerk maar om het vinkwerk. Ook zou de IT-auditor IT-incidenten en -rampen voorzien.

Als gevolg van het breder wordende terrein van de IT-audit, zouden er ook steeds meer specialisten komen, al dan niet geaccrediteerd voor hun specifieke werkzaamheden. De IT-auditopleidingen zouden hierop moeten vooruitlopen en de beroepsorganisatie zou een veel pluriformer ledenbestand krijgen. De grenzen tussen financial, operational en IT-auditors zouden vervagen en hun beroepsorganisaties zouden in 2015 innig in één organisatie samenwerken.

Nieuwe voorspellingen

Kijkend naar mijn eerste voorspelling richting 2027 van meer systeemgerichte benadering dan gegevensgerichte, dacht ik in 2004 dat dit al eerder zou komen (het Kurzweil-principe komt op), met andere begrippen als processystemen, auditing through the computer, et cetera Maar het gaat dus langzamer dan gedacht, en wat ik nu ook zie: het is soms ’oude wijn’ met ’een nieuwe naam’: data analytics in plaats van CAATS, systeemgericht in plaats van auditing through the computer, et cetera.

De tweede voorspelling over de rol van de IT-auditor, de beroepsorganisatie en de IT-auditopleidingen om voorop te blijven lopen was ook in 2004 al van groot belang. Ik zie wel dat hier een grote uitdaging voor de auditors, opleidingen en beroepsorganisatie ligt om zich continu te blijven veranderen, aanpassen en verbeteren en dat dit een hele grote opgave is. Want we hebben op dit moment geen ‘beroepsbestuurders’ en ‘beroepsopleiders’. Veelal is het een functie naast een hoofdfunctie en zowel in die hoofdfunctie als nevenfunctie is een topprestatie vereist om voorop te blijven lopen. Misschien dat na vijfentwintig jaar NOREA een verdere professionalisering nodig heeft om voorop te kunnen blijven lopen.

Tot slot, de derde voorspelling over de verhouding tussen de accountant en de  IT-auditor. Velen hebben daar al ferme uitspraken over gedaan, maar ook hier gaat het langzamer dan gedacht. Maar ik ben en blijf ervan overtuigd dat het de genoemde richting op zal gaan: je ziet de trend en je ziet de nieuwe ontwikkelingen al in de maatschappij.

Zullen we in 2027 kijken wat hiervan terecht is gekomen?

Noten

  1. Jaargang 14, 2005, nummer 2.
  2. Adri de Bruijn, ‘De externe IT-auditor en de beroepsorganisatie in 2015’, in: de EDP-Auditor, 2005, nr. 2

Adri de Bruijn

Adri de Bruijn is partner PWC-advisory N.V. met als speciaal aandachtsgebied de publieke sector. Daarnaast is hij oud-voorzitter NOREA, lid van de Raad voor Beroepsethiek en actief in de NOREA-Kennisgroep Keteninformatiemanagement.