Keteninformatiemanagement

Blockchaintechnologie dwingt tot versterking interne beheersing en integrale auditing

22 september 2020 René Matthijsse
PDF
In dit artikel:

Blockchain zal leiden tot een andere wijze van kijken naar de beheersing van risico’s en de vastlegging en inrichting van processen. Auditors hebben een strategische rol gekregen en moeten hun visie geven op allerlei integrale thema’s. Het is de vraag of de auditor zich voldoende bewust is van de risico’s naarmate de samenwerking met ketenpartners intensiever wordt en de innovatie in technologie toeneemt. Blockchaintechnologie kent op zichzelf geen fundamentele verschillen met bekende technologieën, maar leidt wel tot serieuze consequenties op specifieke risicogebieden. Deze trend dwingt tot de doorontwikkeling van audit en andere assuranceproducten in de richting van integrale auditing.

Samenvatting

Iedere nieuwe generatie technologie leidt tot een nieuwe generatie beheersmaatregelen. Organisaties en community’s die digitaal met elkaar communiceren, maken feitelijk deel uit van dataplatformen en ecosystemen voor de uitwisseling van data. Blockchaintechnologie kent op zichzelf geen fundamentele verschillen met de meer traditionele technologieën, maar leidt wel tot serieuze consequenties op specifieke risicogebieden. Deze technologische innovatie dwingt tot de doorontwikkeling van audit en andere assuranceproducten in de richting van integrale auditing. Het lijkt erop dat de interne organisatie en beheersmaatregelen belangrijker zijn dan de technologie op zichzelf. Gedreven door deze technologische ontwikkeling kan het COSO-model wellicht een nieuwe impuls leveren aan de versterking van de interne beheersing.

Allianties en keteninformatiemanagement

Platformeconomie en samenwerking

In de huidige platformeconomie maken organisaties in bedrijfsleven en publieke sector deel uit van een ecosysteem, waarin partijen met elkaar gegevens uitwisselen via dataplatforms. Het succes van deze organisaties hangt steeds meer af van het vermogen tot samenwerking met third party ketenpartners zoals afnemers, toeleveranciers, kennisinstellingen en ook personen. Partijen uit bedrijfsleven, overheden en samenleving werken in toenemende mate samen op basis van informatie-uitwisseling, maken gebruik van digitale systemen en functioneren in ketens en netwerken. Zij zijn met elkaar verbonden via informatieketens en hebben met elkaar verenigbare doelen. Door samenwerking en communicatie in ketens en netwerken is het geheel meer dan de som der delen.

Een dergelijke extended enterprise is een uitgestrekt weefsel van relaties, waarbij alle niveaus en functiegebieden zijn betrokken en waarin de interne en externe grenzen vervagen (zie figuur 1). Deze nieuwe vormen van organisatiestructuur zijn niet simpelweg scheppingen van procesgerichte organisaties die hun bedrijfsprocessen horizontaal hebben gemaakt om zodoende kosten te besparen en sneller te kunnen reageren. Het heeft eerder te maken met een fundamentele heroverweging van de aard en het functioneren van organisaties en van de relaties tussen organisaties en personen.

Figuur 1: Extended enterprise, overzicht Declaratieketen Ziekenhuiszorg, EY 2015

De veelal innovatieve organisaties zijn in de kern sterk informatiegedreven real-time organisaties, die met behulp van actuele informatie voortdurend en onmiddellijk reageren op stimuli vanuit een dynamische omgeving. Informatie en goederen worden just in time ontvangen vanuit het ecosysteem, en voor de distributie van veelal verrijkte informatie geldt hetzelfde. De partijen streven aldus op een effectieve wijze naar information sharing, naar verbetering van klanttevredenheid, mogelijke kostenreductie en tijdconcurrentie.

De ontwikkeling naar crossovers, veelal via dataplatforms, is gericht op integratie van processen en systemen op organisatie-overstijgend niveau. Een sterke relatie tussen de partijen is nodig om de beoogde win-wineffecten te bereiken en te behouden. Processen en systemen die ontworpen zijn om traditionele grenzen te overschrijden, zullen een groeiend onderdeel van de digitale economie en informatiesamenleving uitmaken.

Keteninformatiemanagement

De kern van de platformeconomie is information sharing, in sterke mate gestimuleerd door selfservice-concepten, sociale media en collaboratiesystemen. In dit kader betreft keteninformatiemanagement vooral het structureren en automatiseren van de communicatie die nodig is om de data aan elkaar beschikbaar te stellen en waarover alle deelnemers in de keten en in het ecosysteem moeten kunnen beschikken. In tegenstelling tot de klassieke automatisering, waarbij de toepassingen voornamelijk gericht zijn op interne problemen, richt keteninformatiemanagement of keteninformatisering zich voornamelijk op communicatie tussen organisaties binnen het ecosysteem.

De voordelen van geautomatiseerde horizontale system-to-system ketenintegratie komen het beste tot uiting in informatieketens die voldoen aan karakteristieken zoals: de keten bevat processen waarin organisaties gezamenlijk periodiek hetzelfde informatieproces uitvoeren; de informatieketen kent een groot verwerkingsvolume (veel berichtenverkeer), en organisaties kunnen de aansluitende backoffice-taken geautomatiseerd afhandelen.

Wanneer organisaties veel aangewezen zijn op human-to-human communicatie, blijkt dit vaak de zwakke schakel in het keteninformatiesysteem. De nadelen wegen met name zwaar vanaf het moment dat het volume en de frequentie van gegevensuitwisseling en informatieverwerking tussen organisaties toeneemt. Dit wordt nog aangevuld met twee generieke trends, die ieder een uiting zijn van het streven naar integratie. De eerste trend is het streven naar modulariteit en integreerbaarheid van opzichzelfstaande informatiesyste­men, wat waarneembaar is in diverse sectoren. De tweede generieke trend is dat de huidige informatiesystemen steeds verder uitgebreid worden met minder gestructureerde multimedia-elementen, zoals sociale media en mobiele toepassingen.

De belangrijkste karakteristiek bij keteninformatisering is het ontbreken van een formele hiërarchie. Open netwerken met grote databanken met gegevens die gemeenschappelijk door de betrokken organisaties gebruikt worden, vergen meer samenwerkingsbereidheid dan in ketens waar dat formele gezag wel aanwezig is. Keteninformatiemanagement richt zich daarom voornamelijk op overzicht en minder op inhoud. In dit kader wordt eerder gesproken van ketencoördinatie dan van ketenregie.

De specifieke context van keteninformatiemanagement vormt een wezenlijk aandachtspunt bij keteninnovatie en ketensamenwerking. Deze context wordt allereerst gevormd door het ecosysteem of de beleidssector waarvan de keten onderdeel uitmaakt. Markten of beleidssectoren verschillen sterk van elkaar en deze verschillen zijn van grote invloed op de mogelijkheden van keteninnovatie en ketensamenwerking. De diverse markten en doelgroepen kennen bijvoorbeeld verschillende stadia van ontwikkeling ten aanzien van samenwerking, technologische infrastructuur en klantgerichtheid en verschillen ten aanzien van de mate van complexiteit.

Interconnectie en interoperabiliteit

Collaboratiesystemen, mobiele toepassingen, sociale media en de cloud vormen krachtige instrumenten waarmee informatie een onmiddellijk effect krijgt. De koppeling van de computersystemen van leveranciers en klanten voor het plaatsen van orders, het verzenden van facturen en rekeningen en het bijhouden van de stand van zaken, bespaart organisaties een aanzienlijke hoeveelheid geld in vergelijking met niet-digitale methoden. Toch is het nog maar het prille begin van digitaal zakendoen die de stofwisseling van bedrijfsleven en overheden doet veranderen, en waardoor de relaties tussen ondernemingen, overheden en samenleving structureel zullen veranderen. De formele informatiesystemen met gestructureerde applicaties en data zullen bijvoorbeeld snel worden aangevuld of vervangen door informele informatiesystemen met ongestructureerde data.

Digitalisering creëert een scala aan nieuwe toepassingen. Dit betekent niet alleen dat de communicatie in de keten verandert, maar vooral ook dat er meer informatie beschikbaar komt (big data), dat informatie sneller verwerkt kan worden (fast close) en dat er sneller, betere analyses gemaakt kunnen worden (business intelligence). De explosie aan data betekent ook dat organisaties zich moeten afvragen wat ze nu eigenlijk willen meten en weten. Informatiewaarde houdt verband met waardecreatie. Daarbij zijn ook de inrichting van de databanken en de organisatie rondom de databanken van primair belang.

Zodra binnen een ecosysteem met ketens en netwerken een overkoepelend informatiebeleid wordt vastgesteld, zoals bij gesloten permissioned netwerken, zal zich dat moeten richten naar de ontwikkelingen bij de afzon­derlijke partijen. Interoperabiliteit op basis van standaardisering is een noodzaak voor goede dienstverlening en bedrijfsvoering van de overheid en ook voor de efficiencywinst van bedrijven.

Het gedistribueerde informatiebeleid dat gevoerd wordt, zal in het ecosysteem moeten doorwerken. In dit geval is een benadering vanuit een digitale informatie-infrastructuur of dataplatform een goed uitgangspunt ter ondersteuning van het communiceren tussen ecosysteem en omgeving. De samenwerking tussen CIO en CTO wordt steeds urgenter ten behoeve van een juiste afstemming van organisatie en inrichting, en zelfs kritiek voor het ecosysteem, net als de samenwerking tussen accountant en IT-auditor.

De grootschaligheid impliceert een groot aantal third partypartijen en actoren, waardoor behoefte ontstaat aan normalisering en standaardisatie, op het gebied van de gegevensuitwisseling. Vanuit de heterogeniteit van belangen en achtergronden (network governance en collusion) ontstaat behoefte aan een systematische benadering van het besluitvormingsproces mede met het oog op doorlooptijd, kosten en beoogde consensusvorming. Alleen langs deze soms moeizame weg kan interoperabiliteit tot stand komen.

Digitale connectie: blockchain als game changer

Een blockchain is een gedistribueerde database die permanente, transparante en integere opslag van data beoogt te waarborgen. De datastructuur is te vergelijken met een grootboek, waarbij minimaal twee partijen betrokken zijn bij de vastlegging van gegevens binnen een geautoriseerd netwerk (peer-to-peer). Een blockchain kenmerkt zich in de basis als een open en decentraal netwerk waarin gegevensmutaties door de betrokken partijen integraal worden bijgehouden zonder tussenkomst van derden. Blockchaintechnologie faciliteert het realiseren van economische basisbeginselen die het mogelijk maken economische waarde te hechten aan het transactieproces en het (financieel) instrument dat op het netwerk draait. Het garanderen van vertrouwen vormt de essentie van de blockchaintechnologie.

 “Of all the emerging technologies we’re currently seeing, blockchain has the potential to have the biggest impact on businesses and society at large. Enterprises are increasingly looking at how they can adopt this technology and revolutionize how they deliver products and services.”

RON HALE, CHIEF RESEARCH AT COORACLARE INSTITUTE

Blockchain wordt gezien als een significante technologische innovatie sinds het internet en wordt zelfs aangemerkt als disruptief. Als de voortekenen ons niet bedriegen zal de impact aanzienlijk zijn. [EY17], [KPMG18], [PWC18]

Blockchain kan in twee typen omgevingen worden toegepast: public en private. De public blockchain kenmerkt zich door een open netwerk dat voor eenieder toegankelijk is. Het publiek, zijnde de betrokken partijen, hoeft daarvoor niet te voldoen aan voorwaardelijke mechanismen om toegang te verkrijgen tot de transactieketen. Integendeel, de public blockchain staat juist open voor zoveel mogelijk toetreders, mede omdat dit een positieve invloed heeft op de te waarborgen betrouwbaarheid van de data in de blockchain. De keuze voor een type omgeving is afhankelijk van de organisaties en aard van processen waarin de blockchain een vertrouwensfunctie moet invullen. Een bekend fenomeen dat gebruikmaakt van de public blockchaintechnologie is de Bitcoin.

Figuur 2: Werking blockchain, Onguard Fintech Barometer, 2018

Relevant voor de beroepsuitoefening van accountants, controllers en IT-auditors is de private blockchain. Deze vertegenwoordigt ten opzichte van de public blockchain meer maatwerk en is meer toegespitst op de organisatie waarin deze wordt toegepast en op de processen waarin de blockchain een vertrouwensfunctie dient te vervullen met betrekking tot opgeslagen informatie. Een primair verschil met de public blockchain is de benodigde autorisatie om toegang te krijgen tot de private blockchain. Er bestaat dus een bestuurlijke hiërarchie. Dit houdt per definitie in dat authenticatiemechanismen moeten worden gedefinieerd om toegang tot de vastgelegde transacties in de private blockchain te normeren.

Het consensus-protocol vormt de basis van de blockchaintechnologie en gaat uit van minimale voorwaarden om de werking van blockchaintechnologie te garanderen. In feite zijn de voorwaarden te beschouwen als preventieve, voorgeprogrammeerde maatregelen. Deze hebben de vorm van een algemeen geaccepteerde rules set die betrouwbare en integere informatievoorziening binnen het blockchainsysteem waarborgt en zo de beoogde vertrouwensfunctie van de blockchain realiseert. Doordat deze minimale voorwaarden echter, praktisch en technisch gezien, niet kunnen worden gegarandeerd brengen deze per definitie risico’s met zich mee welke in ogenschouw moeten worden genomen bij gebruik van de blockchain.

Smart contracts worden gebruikt om proceshandelingen te automatiseren aan de hand van voorgeprogrammeerde condities. De condities betreffen de voorwaarden, oftewel de business rules set, waaraan moet worden voldaan voordat de transacties tussen partijen worden voltooid. Deze smart contracts zijn niet per definitie gebaseerd op blockchaintechnologie, maar de ontwikkelingen rondom de blockchain leiden wel tot toenemende interesse in smart contracts gezien de onderscheidende attributen van de blockchaintechnologie. Zij kunnen namelijk worden geprogrammeerd op de blockchain waardoor deze contractuele transacties binnen de blockchain worden geautomatiseerd. Hierdoor zijn permanentie, transparantie en integriteit gewaarborgd.

Het proces waarin smart contracts toegevoegde waarde hebben is de waardeoverdracht, zoals bij eigendomsakten. In de praktijk kan er sprake zijn van meerdere processtappen die moeten worden doorlopen voordat een waardeoverdracht kan worden gefinaliseerd tussen bijvoorbeeld twee partijen, waarbij veelal eveneens sprake zal zijn van een te verrichten (tegen)prestatie door de betrokken partijen. Door de benodigde processtappen en prestaties te programmeren kan een derde, onafhankelijke partij overbodig worden gemaakt.

De risico’s rondom datamanagement richten zich met name op de kwaliteitscriteria van de data in de blockchain: integriteit, beschikbaarheid en vertrouwelijkheid. Zoals benoemd als onderdeel van interoperabiliteit zal informatie vanuit de organisatie lokaal moeten overgaan naar een gedistribueerd netwerk, draaiend op internet. In geval van gevoelige (persoons)informatie en de daaraan gerelateerde privacywetgeving zijn daarom adequate beheersmaatregelen nodig om ongeautoriseerde toegang en gebruik van deze gegevens te voorkomen. De blockchain steunt voorts op het consensus protocolmechanisme dat data integer opgeslagen blijft in de blockchain en tevens continu beschikbaar is voor belanghebbenden. Deze gegevens zijn kritisch om (daaropvolgende) transacties in de blockchain effectief te realiseren.

De vele voordelen van blockchain zijn grofweg te categoriseren naar drie domeinen die aansluiten op de gegeven definitie van de blockchain: permanentie, transparantie en integriteit. Hoewel de voordelen grotendeels ontleend kunnen worden aan de inherente karakteristieken van blockchain op zichzelf, wordt gestreefd om van de voordelen een mapping te maken naar de drie domeinen volgens de formele definitie van de blockchain.

De blockchain kent ook critici die de voordelen ten opzichte van de status quo betwisten. Zo zou de blockchain in theorie tot gewenste voordelen kunnen leiden, maar wordt de praktische invulling daarvan onderschat. Veelgenoemde argumenten op basis van huidige literatuur zijn: complexiteit, twijfel rondom het waarborgen van privacy (AVG), toenemende energiekosten gerelateerd aan het toevoegen van additionele transacties in de systeemketen (chain), gebrek aan benodigde uniforme infrastructuur en consensus over algoritmen bij smart contracts.

Een efficiënt informatienetwerk is uiteindelijk gebaat bij digitalisering van de gegevensuitwisseling tegen zo laag mogelijke kosten, bezien over het gehele ecosysteem en dus zonder deeloptimalisering. De realisatie van dergelijke informatienetwerken – het zijn eigenlijk communicatiestelsels of dataplatforms geworden – heeft vaak ingrijpende gevolgen. De dynamieken in allianties en nieuwe technologie zoals blockchain leiden tot enorme potentiële groeigebieden voor uitwisseling van allerlei data. En dit alles in combinatie met privacy en security compliance. Afnemersgroepen, organisatorische aspecten, voorwaarden en consequenties moeten eerst zorgvuldig beoordeeld worden.

Blockchain gaat de administratieve organisatie niet vervangen, maar zal wel leiden tot andere accenten in de beheersing van (IT-)risico’s en de vastlegging en inrichting van de administratieve en operationele processen. Blockchain zal leiden tot een andere wijze van kijken naar de beheersing van risico’s en de vastlegging en inrichting van processen. De noodzaak voor een goede administratieve organisatie en interne controle (AO/IC) blijft bestaan, waarbij het zwaartepunt zal verschuiven van handmatige controles naar nog meer geautomatiseerde en functioneel geïntegreerde controles. Overdracht van informatie is tegenwoordig geïntegreerd in de informatiesystemen en is daardoor niet meer op zichzelf zichtbaar.

De continuïteit van de keten en daarmee van de blockchain is een risico voor elke deelnemer en het maken van duidelijke afspraken en waarborgen hierover zijn cruciaal. Het opstellen van business cases is dan ook belangrijk.

Blockchain assurance

Naar verwachting zal de toepassing van blockchaintechnologie impact hebben op de controlewerkzaamheden van auditors, met name de controlerend accountant en de IT-auditor. Welke impact blockchaintechnologie precies zal hebben op de controlewerkzaamheden van de accountant en IT-auditor, blijft echter onderbelicht. De NOREA Kennisgroep Keteninformatiemanagement is van mening dat het voor de ontwikkelrichting van de financiële functie van belang is dat inzicht gegeven wordt in de samenhang tussen actuele technologische innovaties en het werkveld van de financiële functie.

De technologische transformatie gaat allerminst aan de financiële functie voorbij. Technologische innovatie en de voortschrijdende digitalisering hebben vergaande consequenties voor de bedrijfsvoering van organisaties. In dit verband zijn drie stadia van technologische ontwikkeling, prominente technologische innovaties te onderscheiden, ieder met eigen consequenties voor het werkveld van de financiële functie. De drie zijn: digitalisering (waaronder robotisering), dataficering (data analytics en big data) en transformatie (meer in het bijzonder blockchain). Waar de stadia digitalisering en dataficering in feite beschikbare technologische innovaties omvatten, geldt dat niet voor het stadium transformatie en meer in het bijzonder blockchain. In ieder geval niet wat de toepassing in het financiële werkveld betreft. Afgaande op wat blockchain inmiddels voor andere processen doet, belooft het niet een simpele aanpassing, maar veel meer een radicale transformatie van de wijze waarop de financiële functie en het financiële werkveld zullen worden vormgegeven.

Grofweg kunnen we stellen dat technologische innovatie ten minste twee veranderingen met zich meebrengen die van invloed zijn op het werkveld van de financiële functie. De eerste verandering is de voortgaande automatisering van transactie verwerkende processen door onder andere robotic process automation (RPA), machine learning met andere vormen van kunstmatige intelligentie en blockchain. De tweede verandering is de enorme toename van de hoeveelheid beschikbare data die beschikbaar is voor beslissingsondersteuning.

Het is de vraag of de accountant zich voldoende bewust is van de veranderingen in risico’s naarmate de samenwerking met ketenpartners (externalisatie) intensiever wordt en de innovatie in technologie toeneemt. Internet is immers de basis geworden van nieuwe ondernemingsmodellen, nieuwe processen en nieuwe manieren voor het distribueren van kennis. Uiteindelijk leiden deze ontwikkelingen tot nagenoeg volledig gedigitaliseerde organisaties waarin de processen, informatiesystemen en relaties met de klant digitaal zijn geregeld, wellicht zelfs met ingebouwde beheersmaatregelen.

Blockchain kent ook nadelen welke in het kader van een implementatietraject in ogenschouw moeten worden genomen. Het KPMG Blockchain Maturity Model bijvoorbeeld, geeft een opsomming van relevante IT-risico’s onderverdeeld naar verschillende domeinen. De risico’s zijn geïdentificeerd op basis van hetgeen voornamelijk in de onderzochte literatuur naar voren is gekomen en hebben ook met name betrekking op het gedistribueerd grootboek.

Figuur 3: Overzicht risicogebieden, KPMG, 2019

Professor De Man (VU Amsterdam) heeft vanuit het perspectief van alliantiebesturing in het bedrijfsleven onderzoek gedaan.[MAN19] Hij geeft twee benaderingen van besturing weer: control en trust.

De controlbenadering definieert kaders en doet dit vooral via formele regels en procedures. Er wordt vanuit gegaan dat mensen uit eigenbelang handelen en dat samenwerkingspartners niet alleen overlappende doelstellingen hebben, maar tegelijkertijd ook een conflicterend belang. Vanuit een controlbenadering wordt vooral gezocht naar waardecreatie door het delen van kosten en risico’s, het scheppen van marktmacht en het optimaliseren van processen door samenwerking. In termen van besturingstechnieken vertaalt de controlbenadering zich in een sterke nadruk op strategie, structuren en systemen.

In de trustbenadering staat de motivatie om samen te werken centraal. De vraag hierbij is hoe in een alliantie van de onderlinge verschillen gebruik kan worden gemaakt om waarde te creëren en hoe mensen kunnen worden gemotiveerd zoveel mogelijk bij te dragen. De aanname achter de trustbenadering is dat niet zozeer sprake is van mogelijk conflicterende doelen, maar dat door samenwerking juist complementaire doelen kunnen worden bereikt. Binnen een trustbenadering zijn andere besturingstechnieken relevant dan binnen een controlbenadering. Meer dan op systemen ligt de nadruk op gezamenlijke normen en waarden en de opbouw van vertrouwen tussen partners.

Afgezien van de discussie of de ene benadering beter is dan de andere, geldt dat in sommige omstandigheden meer controle-elementen van belang zijn, terwijl in andere situaties de elementen van de trustbenadering meer aandacht verdienen. Nadat de strategische keuze is gemaakt voor een control- of een trustbenadering of een combinatie, kan een gedetailleerd operationeel besturingsmodel of auditmodel worden ontworpen.

Auditors en controllers hebben een meer strategische rol gekregen en moeten hun visie geven op allerlei integrale thema’s. Het gaat dan vaak meer om waardecreatie dan om cijfers. Professional judgement en principle based auditing vormen vaak eerder een basis voor het verschaffen van zekerheden dan de gangbare geoperationaliseerde normenkaders met uitgewerkte toetsingsciteria en procedures. Dit zorgt tegelijkertijd ook voor de urgentie om innovatie te betrekken in audit en assurance, aangezien de belangrijke risico’s vaak op de grensvlakken van partijen en gebruikers liggen.

De transparante permanente vastlegging van (persoons)gegevens in de blockchain, waar meerdere partijen inzicht in hebben, kan enorme compliance-risico’s met zich meebrengen in het licht van eventuele nieuwe wet- en regelgeving op een later moment. Dit betreft een van de voornaamste discussies als het gaat om implementatierisico’s met betrekking tot de blockchain.

In termen van tijdspanne zal blockchain, met mogelijk de grootste technologische invloed, nog de meeste tijd in beslag nemen voordat dit zich een zichtbare en onomkeerbare plek in organisaties heeft verworven. De overige genoemde vormen van technologische innovatie en het inzetten van big data zijn bij vooroplopende organisaties al een feit. Verwacht wordt dat deze toepassingen mainstream zijn binnen drie tot vijf jaar.

Tussentijdse bevindingen

De NOREA Kennisgroep Keteninformatiemanagement voert een lopend onderzoek uit naar blockchain assurance. Bij de diverse cases en expertgesprekken is inmiddels naar voren gekomen, dat blockchain-implementaties een zeer groot aantal risicogebieden kennen die relevant zijn voor zowel de interne besturing en beheersing als voor de assurance provisioning door accountants, controllers en IT-auditors. In het onderzoek wordt in eerste instantie de focus gelegd op de uitwerking van een beperkte set met onderscheidende risicogebieden, namelijk:

  • policy making & decision making;
  • network third party consensus & collusion;
  • cybersecurity;
  • data management & privacy;
  • compliance international law & regulation.

Blockchaintechnologie kent op zichzelf geen fundamentele verschillen met andere technologieën, maar leidt wel tot serieuze consequenties op andere risicogebieden, zoals bijvoorbeeld network governance en collusion. Het lijkt erop dat organisatie en inrichting een grotere rol spelen dan de technologie op zichzelf. Wellicht dat bij de noodzakelijke versterking van de interne beheersing de toepassing van het COSO-model nieuwe inzichten kan leveren wat betreft de verdieping van assurance provisioning.

Blockchain pretendeert fraudebestendig te zijn, maar de praktijk heeft inmiddels anders aangetoond. Er zijn diverse gevallen bekend, met name in Azië, waarbij op basis van vervalsingen van digitale eigendomscertificaten grootschalige fraude heeft plaatsgevonden. Dit zou eigenlijk betekenen dat intellectual property rights sterk in waarde zouden verminderen.

De menselijke geest is oneindig creatief. Dit betekent dat traditionele audits van informatievoorziening en IT-audit weliswaar heel waardevol blijft, maar dat blockchain-assurance vooral moet liggen op die risicogebieden die een meer bestuurlijk en interactief karakter hebben, zoals governance, bestuurlijke organisatie, financiering en onderlinge verrekening. Het decentrale karakter van open blockchain-netwerken (network governance) baart hierbij natuurlijk zorgen doordat er geen hiërarchie bestaat.

Afsluiting

Paradigma’s verschuiven: een nieuwe generatie technologie zal leiden tot een nieuwe generatie beheersmaatregelen en nieuwe auditbenaderingen. Het zijn de regels van vandaag die je toepast op de projecten van morgen. Hierbij wordt het onderscheid relevant tussen een control-benadering en een trust-benadering, ook bij besloten (permissioned) blockchain netwerken. Naar verwachting zal meer aandacht noodzakelijk zijn voor soft controls. Bij open netwerken leidt de toepassing van blockchain tot vele nieuwe risicogebieden, zonder dat sprake is van overkoepelende aansturing.

Literatuur

[COSO13] Enterprise Risk Management-Integrated framework; Executive summary. COSO Committee of Sponsoring Organizations of the Treadway Commission, 2013.

[COSO20] Blockchain and internal control: the COSO perspective. COSO Committee of Sponsoring Organizations of the Treadway Commission, July 2020, https://www.coso.org/Documents/Blockchain-and-Internal-Control-The-COSO-Perspective-Guidance.pdf, geraadpleegd op 26 augustus 2020.

[DELO18] Global blockchain survey 2018: Breaking blockchain open. Deloitte, United States, 2018, https://www2.deloitte.com/ro/en/pages/technology-media-and-telecommunications/articles/global-blockchain-survey-2018.html, geraadpleegd op 26 augustus 2020.

[DUTC18] Blockchain security: a framework for trust and adoption. Dutch Blockchain Coalition, 2018, https://www.academia.edu/39881756/Blockchain_Security_A_Framework_for_Trust_and_Adoption, geraadpleegd op 26 augustus 2020.

[EY17] Global Blockchain Benchmarking Study 2017; EY / University of Cambridge UK, 2017, https://www.ey.com/Publication/vwLUAssets/ey-global-blockchain-benchmarking-study-2017/$File/ey-global-blockchain-benchmarking-study-2017.pdf, geraadpleegd op 26 augustus 2020.

[FINTE18] Fintechfutures.com. Managing the risks of blockchain. fintechfutures.com, March 2018, https://www.fintechfutures.com/2018/03/managing-the-risks-of-blockchain/, geraadpleegd op 26 augustus 2020.

[ISAC19] Blockchain preparation audit program. ISACA, 2019.

[KPMG18] Blockchain maturity model. KPMG Advisory, Amstelveen, 2018, https://assets.kpmg/content/dam/kpmg/nl/pdf/2018/advisory/blockchain-maturity-model.pdf, geraadpleegd op 26 augustus 2020.

[MAN19] Man, A.P. de et al. How to survive the organizational revolution; A guide to agile contemporary operating models, platforms and ecosystems. BIS Publishers. 2019.

[PWC18] PWC, Blockchain is here. What’s your next move? Global Blockchain Survey 2018. United Kingdom, United States, https://www.pwccn.com/en/research-and-insights/global-blockchain-survey-2018.html, geraadpleegd op 26 augustus 2020.

 

Geen categorie

Dr. R. (René) Matthijsse RE

René was werkzaam bij diverse grote ondernemingen in de IT sector, onder meer KPN, Capgemini en KPMG. Hij werd benoemd als associate professor bij de IT Auditing-opleiding op de Vrije Universiteit Amsterdam en als lector aan FONTYS University of Applied Sciences met als specialisatiegebied Keteninformatiemanagement en Control. Daarnaast is hij lid van de NOREA Kennisgroep Keteninformatiemanagement. Hij is onlangs met pensioen gegaan.