Het ontstaan van het computertijdperk begint met de geschiedenis van het rekenen. Via de kerfstok, het telraam, de rekenliniaal naar de zakrekenmachine. In 1833 werd de eerste analytische machine gebouwd die wiskundige bewerkingen kon uitvoeren, waarbij de input via ponskaarten verliep. In 1953 werd in Nederland (Amsterdam) de eerste elektronische computer gebouwd. Met (wellicht wat te) grote stappen komen we via miniaturisatie uit in de periode 1975 – 1985 van de homecomputers. In 1981 presenteerde IBM haar eerste PC. En zo komen we in het huidige tijdperk met een grote diversiteit aan mobiele apparaten. Computers raken accountants tweezijdig. Enerzijds als hulpmiddel, maar anderzijds ook als onderdeel van de controleomgeving bij cliënten.
De Wet Computercriminaliteit (WCC) – ingevoerd in 1993 – houdt in dat accountants melding moeten maken van ‘de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking’. Onze beroepsvereniging bracht in datzelfde jaar een Audit Alert uit waarin – naar aanleiding van de WCC – de volgende passage te lezen is:
‘De volgende vraag luidt of dit een uitbreiding van de taak van de accountant betekent; moet de automatische gegevensverwerking apart worden gecontroleerd? Uit de perspublicaties zouden uw cliënten dit wellicht kunnen afleiden. Hier dreigt echter dan weer een zogenaamde verwachtingskloof tussen accountant en cliënt te ontstaan. In dit verband verdient het aanbeveling om met de cliënt in overleg te treden teneinde duidelijkheid te verschaffen over de inhoud en de reikwijdte van de aan de accountant opgelegde rapportageverplichting aan de Raad van Commissarissen en aan het bestuur. Gezien de uitlatingen van de minister, is een afzonderlijke controle namelijk niet nodig. Duidelijk kan worden gesteld dat géén extra werkzaamheden, buiten die welke tot de normale jaarrekeningcontrole behoren, behoeven te worden verricht.’
Big Data, Privacy, SaaS, Phishing, Phreakers, Brouters, Eavesdropping, XaaS en Masquerading
Jarenlang was de volgende door onze beroepsvereniging gepresenteerde optie bij accountants in de controlepraktijk een geliefde zinsnede om ‘af te zijn’ van de gevolgen van de automatisering bij hun cliënten.
‘De accountant heeft op grond van de feitelijke situatie bij de cliënt een controleaanpak gekozen waarbij de geautomatiseerde gegevensverwerking niet in zijn controle is betrokken. Derhalve kan hij geen mededelingen doen omtrent de bevindingen met betrekking tot de betrouwbaarheid en de continuïteit ervan’.
In het kader van dit artikel is het niet mijn intentie om al te veel naar het verleden te kijken en wellicht te moeten constateren dat van bovenstaande zinsnede ten onrechte te langdurig gebruik is gemaakt. Zoals reeds beschreven heeft automatisering een enorme ontwikkeling doorgemaakt. Het einde is nog niet in zicht, zeker als we vaststellen dat de Wet van Moore (een tweejaarlijkse verdubbeling van het aantal transistors in een geïntegreerde schakeling, vanwege technische vooruitgang) nog steeds geldt. Wet- en regelgeving loopt veelal enigszins achter de werkelijkheid aan. Onze controlecliënten zijn – zonder veel uitzonderingen – hoog geautomatiseerd en erg afhankelijk van deze automatisering. Het verraderlijke is tegenwoordig dat het allemaal zo simpel en vanzelfsprekend uitziet. Alle elementen van IT worden tegenwoordig ‘As-a-Service’ aangeboden. Alles gaat ‘met een druk op de knop’. Prachtig als het functioneert, maar wat te doen als het niet werkt? En wat gebeurt er op de achtergrond? U als controlerend accountant behoort hiervan iets te vinden! Heeft u grip op de actualiteiten? Big Data, Privacy, SaaS, Phishing, Phreakers, Brouters, Eavesdropping, XaaS en Masquerading om maar eens wat kreten te noemen.
Assurance vraagt minimaal een CISA-opleiding
Hoe zorgen we als beroepsgroep ervoor dat we de spreekwoordelijke boot niet missen? Niet geheel toevallig heeft de Commissie Eindtermen Accountantsopleiding (CEA) eind vorig jaar de nieuwe opleidingseisen voor accountants vastgesteld. Heel vroeger hadden we het onderscheid tussen RA’s met en AA’s zonder een controlebevoegdheid. Onder de nieuwe eindtermen onderkennen we twee oriëntaties (die zowel door RA’s als AA’s kunnen worden ingevuld) Assurance en Accountancy, waarbij de eerste categorie accountants bestemd is voor primair het uitvoeren van de wettelijke controles en de tweede categorie voor het midden- en kleinbedrijf (aanduiding: MKB) en de accountants in business (aanduiding: Finance). Oneerbiedig gezegd zijn we dus weer terug bij af, met dien verstande dat we de RA’s van toen thans aanduiden met Assurance en de AA’s van toen met MKB. Ofschoon ik de politieke achtergronden kan begrijpen, had ik zelf graag gezien dat we de RA titel zouden reserveren voor de controlerende accountants en de AA titel voor de niet controlerende MKB accountants. Ik constateerde eerder al dat wet- en regelgeving noodzakelijkerwijs achterloopt op de praktijk. De nieuwe eindtermen moeten worden geïmplementeerd. Opleidingsinstituten moeten zich heroriënteren. Het duurt een paar jaar voordat de nieuwe regels ‘up and running’ zijn. Als we niet oppassen lopen we in 2018 of 2019 weer achter de feiten aan. Ofschoon in de eindtermen Assurance (A&A 11.3) concrete aandacht wordt geschonken aan informatietechnologie vind ik het een gemiste kans om voor de oriëntatie Assurance niet meer en striktere eisen te stellen op dit vlak. Naar mijn mening moeten deze accountants in de toekomst beschikken over minimaal een CISA-opleiding (Certified Information Systems Auditor), misschien zelfs wel aangevuld met een C|CISO opleiding (Chief Certified Information Security Officer), zeker nu de Nederlandse (maar later ook de Europese) wetgever zich bemoeit met databeveiliging en privacy (Meldplicht datalekken).
ISACA
Via de CISA opleiding kom ik bij ISACA en daarmee bij het laatste item dat ik wil belichten in dit artikel. ISACA (Information Systems Audit and Control Association) is de beroepsvereniging van de CISA’s en heeft een erg goede en vooral actuele en praktische website en een dito huisblad. Verplicht leesvoer voor accountants zou ik zeggen. In mijn artikel vraag ik aandacht voor de steeds toenemende informatietechnologie en de gevolgen voor de controlerend accountant. Omdat het accountantsberoep de laatste jaren niet altijd positief in de pers is gekomen, kan het geen kwaad om – zoals hierboven is gebeurd – te wijzen op belangrijke ontwikkelingen, risico’s en aandachtspunten. Anderzijds kunnen we de informatietechnologie bij controlecliënten ook gewoon presenteren als een normaal proces, zoals het productieproces of het inkoopproces, waardoor we stevige uitdagingen (IT) kunnen terugbrengen tot beheersbare processen. In ISACA Journal volume 1 2016 wijst Graciela Braga op de mogelijkheden van COBIT. Haar artikel is getiteld ‘How COBIT 5 Improves the Work Process Capability of Auditors, Assurance Professionals and Assessors’. Via een combinatie van COBIT 5 en ISO 15504 beschrijft ze ‘the basis for the measurement framework and assessment process’, die wellicht heel goed bruikbaar is voor onze huidige praktijk.
Ik sluit af met een kop uit het FD van maandag 8 februari 2016, waarin Martin Ford wordt geïnterviewd: ‘Banen die routineus en voorspelbaar zijn, gaan verdwijnen’. Het accountantsberoep zal niet verdwijnen, maar – vanwege automatisering – wel drastisch veranderen. Als beroepsgroep moeten we daar meer dan ooit, nu op inspelen! Audit-as-a-Service? Anything-as-a-Service!
Eric J.H.J. Mantelaers RA CISA C|CISO is als partner verbonden aan RSM Nederland Accountants N.V. en als docent aan de postdoctorale accountantsopleiding van Maastricht University. Hij is PhD-fellow aan de Open Universiteit en lid van een lectoraat aan Hogeschool Zuyd.
Geef een reactie