Informatiemanagement: Ontwikkelingen op het raakvlak van finance en IT

Vergelijkbare documenten
Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

Cloud werkplek anno Cloud werkplek anno 2014

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

MKB in de Cloud. Prof. dr. J.P.J. (Hans) Verkruijsse RE RA

BIG DATA: OPSLAG IN DE CLOUD

Beveiligingsbeleid Stichting Kennisnet

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

IAM en Cloud Computing

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE

Incidenten in de Cloud. De visie van een Cloud-Provider

Wat is de cloud? Cloud computing Cloud

IBM Connections. Magic XPI. Project uren. fiscaal Financieel

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE SKY S THE LIMIT. De cloud wat is het, en waarom is het de toekomst.

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Databeveiliging en Hosting Asperion

Internal control revolution

Trends en gevolgen voor kwaliteitsmanagement. 3 oktober de kwaliteitsmanager krijgt de handreiking met lean.

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Een alledaags gegeven

Variability in Multi-tenant SaaS Applications:

STORAGE AUTOMATION IT MANAGEMENT & OPTIMIZATION DATAGROEI DE BAAS MET EXTREEM BEHEERGEMAK DOOR AUTOMATISERING EN VIRTUALISATIE

Cloud services: aantrekkelijk, maar implementeer zorgvuldig

Zwaarbewolkt met kans op neerslag

Cloud & Licenties. Welkom bij BSA The Live Sessions De Live Session start binnen enkele minuten. Dank voor uw geduld.

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

DIGITALE HANDTEKENINGEN De hele organisatie profiteert

De transparante compliance keten. De maatschappelijke betekenis van XBRL / SBR

Visie op Cloud & ICT Outsourcing

Offshore Outsourcing van Infrastructure Management

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

Cloud Computing. Broodje IT: Cloud Computing. Agenda:

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

EXIN Cloud Computing Foundation

Het klikt tussen Venice en Isabel 6

Aanmeldformulier open standaarden

Grip op fiscale risico s

STUDIEDAG De wereld verandert bent u er klaar voor? Bereid u voor op Continu Verbeteren

Agenda Next Level in Control. 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility

VMS Implementatie in SAP Omgevingen

ICT-uitbestedingsdiensten en Software as a Service:

The Next Step in Infrastructure

Gegevensbescherming & IT

Efficiënt en veilig werken met cliëntgegevens. Zorg & ICT beurs 15 maart 2017

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

Microsoft Office 365 voor bedrijven. Remcoh legt uit

18 REDENEN OM TE KIEZEN VOOR CENTRIC PROJECTPORTAAL BOUW

SaaS / ASP PIANOo. 20 april 2009, Amsterdam. drs. Arne Smedema a.smedema@mitopics.nl

Het veilig delen van informatie in de zorg

III Stream IT Auditing. UWV / CIP / VU- IT auditing

Helpdesk; service management; ITSM; IT Service Management; RES; IT automation

Kijken, kiezen, maar wat te kopen?

4 redenen om toegang tot online. applicaties te centraliseren

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Verandering en innovatie in de zorg met de REGIE Zorg app

VOOR EN NADELEN VAN DE CLOUD

EIGENSCHAPPEN CONVERGED HARDWARE

GETTING THE BEST OUT OF YOUR SOURCE CODE MODERNISEREN MET UNIFACE

BCM en de Cloud. CSA-nl 10 april 2012 André Koot

Meer Business mogelijk maken met Identity Management

Samenwerken met Exact Online Exact

U zou nooit vooruit betalen voor uw kantoorruimte. Waarom zou u dat wel doen voor uw IT-oplossing?

Janjoris van der Lei. Gedelegeerd bestuurder LCP nv. E-governement oplossingen Cloud infrastructure provider Datacenter uitbater.

REST API. Innovatieve factuurherkenning in uw eigen applicatie

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Software Defined Datacenter Visie van Cisco. Erwin uit de Bos Datacenter Strategie Specialist NL Versie: 5 februari 2015

Optimaliseer het gebruik van uw IT en Telecom infrastructuur

Gevangen. in de Wolken. 25e sambo-ict conferentie Tilburg, 18 januari Fabrice Mous

Antwoordmodel. Open vragen (70 punten)

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Cloud Computing. Bart van Dijk

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN

ONBEGRENSD WERKEN. E-BOOK Online werkplek: toekomst, verleden en heden. Axians

Partnering Trust in online services AVG. Vertrouwen in de keten

1 Dienstbeschrijving all-in beheer

DIGITAAL WERKEN OP WEG NAAR 2020

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

How to make Compliance fit for the future? June 2019

IGEL; Cloud Sourcing Een nieuw werkterrein voor Thin Clients

100% Cloud: Eenvoudiger, Goedkoper, Beter, Veiliger uur // Stan Megens, Everclouds

EXAMENPROGRAMMA. Vakopleiding Bedrijfsadministratie & Accountancy (VBA ) Examen Accounting Information Systems niveau 6 Niveau

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Maximale ontzorging in eigen regie POWERED BY

Dataportabiliteit. Auteur: Miranda van Elswijk en Willem-Jan van Elk

PRIVATE CLOUD. Ervaar het gemak van de private cloud: minder gedoe, meer waarde

Factsheet CLOUD MIGRATIE Managed Services

Nederland haalt de XBRL buit nog niet binnen. Door Ron van Ardenne

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Introductie XBRL GL. XBRL Nederland. Paul Snijders Directeur Semansys Technologies vice chair XBRL Nederland

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V.

Cloud. BSA The Software Alliance

Welkom bij Interconnect. Maartje van Alem Marketing Manager

Vrijheid van vinden. FileLinx Cloud

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

Transcriptie:

Informatiemanagement: Ontwikkelingen op het raakvlak van finance en IT De financiële functie kan niet bestaan zonder IT. Toch leert de praktijk dat veel financials zich dit onvoldoende realiseren. Er lijkt zelfs een zekere afkeer te bestaan van alles wat met IT te maken heeft. Dit artikel gaat in op drie onderling gerelateerde ontwikkelingen in IT die de komende jaren een belangrijke stempel zullen drukken op de financiële functie: cloud computing, xbrl en process mining. Prof.dr. E.H.J. Vaassen RA: Ofschoon informatie- en communicatietechnologie (IT) in de loop der tijd een vaste plaats heeft gekregen in de meeste opleidingen tot accountant of controller (zie onder andere IAESB, 2007 en de normatieve curricula zoals beschreven in eindtermen en visitatiestatuten voor de RA- en RC-opleidingen) is er in de praktijk van de financiële functie nog steeds een zekere afkeer van alles wat met IT te maken heeft. De heersende opvatting is dat computers gewoon moeten doen waarvoor ze zijn aangeschaft, namelijk het leveren van betrouwbare en relevante informatie. Hoe ze dat doen maakt de gemiddelde financial niet al te veel uit, zolang het maar niet te duur is. Dit lijkt sterk overdreven, maar de praktijk laat heel duidelijk zien dat informatie zoals geautomatiseerde informatiesystemen die produceren vaak zonder nader onderzoek als betrouwbaar wordt beschouwd door de gebruikers, waaronder vooral de financiële functie; waar dit in veel gevallen een onterechte aanname is, die grote risico s in zich heeft. Er zijn dan ook diverse pleidooien gehouden voor meer afstemming tussen de financiële en de ITfunctie. Bij bijvoorbeeld de $ 1,3 miljard overname in 2010 door Symantec van de web security unit van Verisign, noemden Symantec s CIO David Thompson en CFO James Beer de aanstelling van leden van het integratieteam die cross-functionally kunnen werken als de nummer 1 kritieke succesfactor (Karlgaard, 2010). Het lijkt dus van belang dat er een betere afstemming ontstaat tussen de financiële functie en de IT-functie in organisaties. Dit artikel gaat in op drie onderling gerelateerde ontwikkelingen in IT die de komende jaren een belangrijke stempel zullen drukken op de financiële functie, namelijk cloud computing, Extended Business Reporting Language; process mining. Cloud computing In de jaren negentig van de vorige eeuw werd voor het eerst een analogie gemaakt tussen het gebruik van computerdiensten en het gebruik van nutsdiensten zoals elektriciteit, gas en water (zie onder andere Metcalfe, 1999). Als organisaties geen eigen energiebronnen hebben, kunnen ze gebruikmaken van de energievoorziening door derden door aansluiting op een netwerk ( grid ) van een energiebedrijf en door te betalen voor dat gebruik. Voor computerdiensten geldt in principe hetzelfde: de gebruiker van computerdiensten regelt een aansluiting op een netwerk met functionaliteiten en betaalt voor het gebruik. Aldus is de term grid computing gelanceerd. In de computerwereld is een grid een netwerk van computers die samen in feite een supercomputer vormen. Google is een mooi voorbeeld van een organisatie die een groot aantal (> 1.000.000) relatief goedkope computers aan elkaar koppelt om haar diensten te kunnen verlenen. De term cloud is een metafoor voor het internet die gebaseerd is op de manier waarop het internet normaliter in computernetwerkdiagrammen wordt weergegeven, namelijk als een wolk. In die wolk is een complexe IT-infrastructuur ondergebracht. Kenmerkend voor cloud computing is dat de gebruiker die IT-infrastructuur niet fysiek in bezit hoeft te hebben en daarom ook geen technische kennis ervan hoeft te hebben. Daarmee is cloud computing MCA: juni 2011, nummer 3 21

Bij dataverlies kan de cliënt de cloud service provider wel aanspreken, maar dat brengt de data niet terug een logisch vervolg op grid computing. Een groot voordeel van cloud computing vloeit rechtstreeks voort uit het in de inleiding gesignaleerde probleem dat de gebruikers van computers ervan willen uitgaan dat de opgeleverde informatie betrouwbaar en relevant is. Bij cloud computing wordt de behoefte aan gedetailleerde IT-kennis in de gebruikersorganisatie tot een minimum beperkt, doordat er geen eigen IT-infrastructuur meer is die onderhouden moet worden. Andere benamingen naast cloud computing voor in essentie dezelfde benadering van software- en hardwarediensten zijn: Application Service Providing (ASP) en IT die als een dienst wordt aangeboden onder de noemer as a Service (onder andere Software as a Service SaaS, Platform as a Service PaaS, Infrastructure as a Service IaaS). Als we het hebben over cloud computing, bedoelen we meestal de diensten van een externe Cloud Service Provider. Deze diensten kunnen echter ook worden ondergebracht bij een intern servicecentrum. We spreken dan vaak van Server-Based Computing, waarbij een centrale server de software bevat waarvan de diverse gebruikers, die dan worden aangeduid als thin clients (werkstations die nauwelijks eigen verwerkings- en opslagcapaciteit hebben), gebruik kunnen maken zonder die software op het eigen werkstation te moeten downloaden. In de cloud treffen we toepassingen aan als Salesforce.com (voor Customer Relationship Management), social media zoals Facebook, Twitter en LinkedIn, Google Docs (voor tekstverwerking, presentaties en spreadsheets zonder MS Office te hoeven installeren), Twinfield en Yuki (voor online boekhouden), Amazon Web Services, en allerlei toepassingen die databases ontsluiten en koppelen (routeplanners, openbaarvervoerplanners, reserveringssystemen voor hotels of vluchten en dergelijke). Voor 2010 schatte Gartner de totale markt voor cloud services in op zo n $ 60 miljard, met een prognose voor 2014 van $ 150 miljard (Gartner Newsroom, 2010). Het is de taak van de financiële functie om de risico s rondom cloud computing zo goed mogelijk in kaart te brengen. Die risico s zijn te herleiden tot de volgende vier hoofdcategorieën: 1. risico s van externe gegevensopslag; 2. risico s van multi-tenancy; 3. risico s van het gebruik van het internet; 4. risico s van integratie en afstemming. Ad 1. Risico s van externe gegevensopslag Doordat gegevens bij een externe partij zijn opgeslagen geeft de gebruiker alle controle uit handen en loopt hij het risico dat zijn gegevens kwijtraken zonder dat hij daar zelf iets aan kan doen. Als bij de externe partij dataverlies optreedt, kan de gebruiker daar wel een rechtszaak over aanspannen, maar dat brengt zijn data niet terug. Het Amerikaanse dataopslagbedrijf MediaMax verloor in 2007 door een verkeerd geprogrammeerd script een groot aantal gegevens van cliënten, waarvan een deel hersteld kon worden (echter zij waren pas na zeven dagen weer beschikbaar voor de gebruikers) maar een deel niet (Nirvanix Blog, 2008). Overigens is dit probleem niet uniek voor cloud computing zoals bleek toen in 2007 de Britse overheid de gegevens van ruim drie miljoen aspirant-automobilisten kwijtraakte. Een hard disk met daarop naam, adres en e-mailadres van kandidaten voor het theorie-examen ging verloren in de Verenigde Staten. De Britse overheid had een Amerikaans bedrijf ingehuurd om de gegevens te bewaren. Ook de gegevens van 7.500 voertuigen, inclusief de namen en adressen van hun eigenaren, zijn kwijtgeraakt door het verdwijnen van de hard disk (Novum/ AP/AK, 2007). Dit soort incidenten heeft als positief neveneffect gehad dat er een grote bewustwording is van het gevaar dat de gebruiker loopt door zijn data extern op te slaan en te laten beheren door derden. Cloud Service Providers (CSP s) erkennen dat de continuïteit van de opgeslagen data een speerpunt moet zijn. Voor de gebruiker ligt hier de belangrijke taak om vast te stellen of een CSP in staat zal zijn om in continuïteit zijn diensten aan te bieden. Schaalgrootte, financiële positie en reputatie van de CSP spelen daarbij een belangrijke rol. Ad 2. Risico s van multi-tenancy Een Cloud Service Provider heeft normaliter meer dan één klant. Hierdoor kunnen gegevens van de ene klant in handen komen of vermengd worden met de gegevens van een andere klant. Dit kan leiden tot een aantasting van de integriteit van de gegevens en tot vertrouwelijkheidsproblemen. Een adequaat identiteits- en toegangsmanagement bij de CSP zijn derhalve cruciaal. De CSP moet ervoor zorgen dat het single-point-of-failure, dat hij in feite vormt in het informatiesysteem van zijn klant, volledig onder controle is. Een single-point-of-failure is een concentratie van risico op één plek en als het op die plek fout gaat, ligt het gehele systeem plat. 22 MCA: juni 2011, nummer 3

Ad 3. Risico s van het gebruik van het internet Het internet is van nature een bijzonder onveilig netwerk. Dit is inherent aan de aard ervan: het moet namelijk voor het grootst mogelijke publiek gemakkelijk toegankelijk zijn. Aangezien cloud computing altijd gebruikmaakt van het internet (de cloud ís het internet) gelden alle bedreigingen bij het gebruik van internet ook voor cloud computing. Te noemen zijn onder andere: ~ het is vaak onduidelijk wie de eigenaar is van gegevens en processen op internet waardoor het onduidelijk is wie verantwoordelijk is en wie de zeggenschap heeft; ~ het internet is maar beperkt gereguleerd; ~ er is veel illegaal verkeer dat tot problemen met privacy, integriteit, authenticiteit en beschikbaarheid kan leiden; ~ het internet is sterk afhankelijk van technologie waardoor er ook een sterke afhankelijkheid van andere dienstverleners dan slechts de CSP ontstaat; uitval van elektriciteit (energiebedrijf) of datacommunicatieverbindingen (de Internet Service Provider) leiden ertoe dat de diensten van een CSP niet beschikbaar zijn; ~ er zijn allerlei wettelijke complicaties op het terrein van privacy, de geldigheid van elektronische documenten en handtekeningen en vooral conflicterende en onwerkbare wet- en regelgeving in verschillende landen. Deze bedreigingen zijn vaak nog onvoldoende bekend onder beleidsmakers van de overheid en managers waardoor beveiligingsmaatregelen aan de kant van de gebruiker mogelijk ontoereikend zijn. Ad 4. Risico s van integratie en afstemming De grenzen tussen wat tot de gebruiker en wat tot de CSP behoort zijn vaak niet duidelijk afgebakend. De oplossing is uiteraard een goed Service Level Agreement (SLA) opstellen, maar daar zit hem nu juist het probleem. Door de complexiteit van het werken met geavanceerde IT die altijd grensoverschrijdend is (servers staan over de hele wereld en de gebruiker weet meestal niet welke route zijn data volgen) is het opstellen van een sluitende SLA vrijwel onmogelijk. Daarnaast kunnen er allerlei problemen zijn bij het afstemmen van de informatiebeveiliging van de CSP en de gebruiker. Een vooral voor de financiële functie relevant risico is het niet realiseren van de beoogde kostenbesparingen van cloud computing door problemen met integratie en afstemming. De total cost of ownership (TCO) die in beschouwing moeten worden genomen om een gefundeerde keuze tussen een eigen IT-infrastructuur en cloud computing te maken omvatten onder andere (Brivo, 2008): ~ initiële installatiekosten van hardware, softwarelicenties en arbeidskosten van technisch personeel voor het inregelen van de servers, pc s, bedrading en de benodigde software; ~ terugkerende kosten van het SaaS-abonnement, server softwarelicenties en service level agreements voor het onderhoud van hardware en software; ~ reguliere kosten zoals elektriciteit, fysieke serverruimte en uitwijkfaciliteiten; ~ de kosten van de IT-helpdesk, inclusief onderhoud, probleemoplossing, patches en updates voor het serversysteem en de kosten van hardware upgrades en vervanging; ~ de kosten van server downtime en het omgaan met incidenten, inclusief productiviteitsverlies en de kosten van een IT-staf om het systeem te herstellen na een incident; ~ strategische kosten als gevolg van het uitvallen van het systeem en daardoor de organisatie als geheel, inclusief gemiste opbrengsten, permanent verlies van klanten, boetes en reputatieschade. Een in eerste instantie positieve businesscase voor cloud computing kan door de TCO te be schouwen mogelijk negatief uitkomen. Daar komt bij dat er een zeker risico is dat er een vendor-lock-in ontstaat waardoor de CSP geleidelijk aan zijn systeem specifieker maakt en de klant op een gegeven moment slechts door het maken van zeer hoge kosten naar een andere CSP kan overstappen of terug kan naar een eigen IT-infrastructuur. Met xbrl worden rapportages vergelijkbaar, transparant en dus beter MCA: juni 2011, nummer 3 23

Process mining maakt effectievere interne controle mogelijk Extensible Business Reporting Language (xbrl) Tengevolge van de financiële crisis en talloze boekhoudschandalen is de laatste decennia een ware hype ontstaan op het terrein van corporate governance. De maatschappij wil meer en beter toezicht op ondernemingen en eist meer transparantie over hoe managers omgaan met hun ondernemingen. In dit beeld past het afleggen van verantwoording door ondernemingen met een grotere frequentie dan één keer per jaar. Halfjaarcijfers en kwartaalcijfers zijn heden ten dage heel normaal. Een nog hogere frequentie is mogelijk met de huidige IT-ontwikkelingen in de vorm van continue verslaggeving. Bij continue verslaggeving wordt informatie via elektronische kanalen beschikbaar gesteld op het moment dat deze informatie wordt gedigitaliseerd. Dergelijke informatie verandert niet voortdurend wat dat betreft is de aanduiding continu niet helemaal correct maar is wél voortdurend de meest recente informatie die beschikbaar kan zijn. Uit het voorgaande kan worden afgeleid dat continue verslaggeving een korte doorlooptijd tussen digitaliseren van de data en de informatieverzorging vereist. Idealiter zou met de bekende druk op de knop de benodigde informatie moeten kunnen worden opgeleverd. Om dit te realiseren is een efficiënte taal nodig die de benodigde data in hun meest elementaire vorm vastlegt opdat met behulp van de juiste software deze informatie automatisch kan worden geproduceerd. Extensible Business Reporting Language (xbrl) is een dergelijke taal. XBRL is een wereldwijd initiatief om de digitale taal van ondernemingen te uniformeren. Met xbrl wordt daardoor een krachtig hulpmiddel verkregen om financiële verslaggeving vergelijkbaar te maken en dus de kwaliteit van de verslaggeving te verbeteren. XBRL heeft als onderscheidend kenmerk van traditionele instrumenten (zoals dubbel boekhouden) voor het presenteren van bedrijfsgegevens dat metadata (data over data) moeten worden vastgelegd. Als in een verslag een bepaald getal staat, is dit zonder nadere toelichting betekenisloos. Toch staan databases vol met dergelijke ogenschijnlijk opzichzelfstaande gegevens. Pas als metadata worden toegevoegd, krijgen deze gegevens betekenis. Metadata over het genoemde getal kunnen bijvoorbeeld de omschrijving of de maateenheid zijn. XBRL gebruikt een beperkt aantal basisbegrippen, waaronder: elementen, elementnamen, voorbeelddocumenten en taxonomieën. Een element is een feit of een stuk informatie zoals het totaal van de materiële vaste activa in de balans. Een elementnaam wordt altijd in een vast formaat weergegeven en bestaat uit twee elementen die gescheiden zijn door een punt en die een maximumlengte van 80 tekens heeft. Bijvoorbeeld: balancesheet.assets. Een voorbeelddocument is een HTML- of XML-document dat xbrl-elementen bevat zoals de jaarrekening van een onderneming. Een taxonomie wordt door velen als de kern van xbrl beschouwd. Een taxonomie is een classificatiesysteem dat nieuwe elementen definieert door er labels (oftewel tags ) aan toe te kennen en waar een voorbeelddocument gebruik van kan maken. Specifieke taxonomieën zullen worden ontwikkeld of zijn in ontwikkeling voor bepaalde bedrijfstakken (banken, casino s, bouwondernemingen enzovoort) maar ook voor bepaalde accounting jurisdicties (US GAAP, IFRS, RJ enzovoort). Vooral de taxonomieën per accounting jurisdictie bieden interessante perspectieven voor de internationale vergelijkbaarheid van de financiële prestaties van ondernemingen. Process mining Process mining is het in kaart brengen van processen in organisaties om inzicht te krijgen in het verloop van die processen, de mate waarin deze processen voldoen aan daarvoor geformuleerde modelprocessen en de mate waarin er sprake zou kunnen zijn van collisie tussen functionarissen waartussen controletechnische functiescheiding bestaat. Process mining heeft de afgelopen jaren een grote opkomst doorgemaakt, vooral doordat de grote ERP-pakketten de hiervoor benodigde metagegevens (activiteit, toestand, agent en tijdstip) automatisch vastleggen. Bezien vanuit het perspectief van de administratieve organisaties en interne controle maakt process mining het mogelijk om vast te stellen of procedures worden nageleefd zoals ze zijn opgezet en beschreven in het accounting manual van de desbetreffende organisatie. Hierdoor kunnen afwijkingen van procedures op efficiënte wijze worden vastgesteld. Doordat door middel van process mining ook inzicht wordt verkregen in wie (agenten) een bepaalde activiteit uitvoert of initieert, worden ook relaties tussen agenten zichtbaar. Als er bepaalde relaties zijn die vanuit het perspectief van controletechnische functiescheiding niet wenselijk zijn, is er mogelijk sprake van collisie. Interne controle is in essentie te herleiden tot het 24 MCA: juni 2011, nummer 3

naleven van procedures (Vaassen, 2007). Deze opvatting wordt niet door iedereen gedeeld, maar als we teruggaan naar de instrumenten die ons vanuit de AO/IC ter beschikking staan (controletechnische functiescheiding en post hoc aansluitingen maken en dat vastgelegd in procedures voor administratieve handelingen), dan blijkt dat het er steeds niet om gaat de prestaties van organisaties te verbeteren, maar veel meer om gemaakte afspraken na te leven. Die afspraken kunnen dan op drie terreinen liggen waarop naleving door organisaties moet plaatsvinden (Bace en Rozwell, 2006): ~ naleving van wet- en regelgeving (regulatory compliance); ~ naleving van contracten (commercial compliance); en ~ naleving van interne procedures (organizational compliance). Deze drie terreinen staan in een duidelijke samenhang in die zin dat uiteindelijk organizational compliance noodzakelijk is om commercial en regulatory compliance mogelijk te maken. Met andere woorden: een organisatie moet intern handelen in overeenstemming met haar procedures wil ze contracten kunnen nakomen en de van toepassing zijnde wet- en regelgeving kunnen naleven. Ten slotte Cloud computing, xbrl en process mining hebben met elkaar gemeen dat ze zonder IT niet mogelijk zijn, met andere woorden: IT is een enabler van deze verschijnselen. Daarnaast leidt een vergaande toepassing van xbrl tot een andere controleaanpak door de accountant. Waar bij de traditionele jaarrekeningcontrole de nadruk ligt op het getrouwe beeld van de jaarrekening ligt bij rapportages die tot stand zijn gekomen (dit kan ook de jaarrekening zijn) met behulp van xbrl de nadruk op de processen die ten grondslag hebben gelegen aan de totstandkoming van de desbetreffende rapportages (zie Accountancy Nieuws, 2010). Dit betekent dat process mining de audit van xbrl-rapportages op een effectieve manier kan ondersteunen. De audit van xbrl-rapportages zal voorts op een meer continue basis kunnen gaan plaatsvinden doordat bij digitalisering van een transactie (dat is meestal bij invoer) al meteen een bepaalde mate van zekerheid kan worden gegeven door de accountant over de betrouwbaarheid van de desbetreffende invoer. Daarnaast zal ook bij de audit van een CSP in het kader van een ISAE3402-verklaring (de nieuwe en internationale want uitgegeven door de IAASB opvolger van SAS70) gebruik kunnen worden gemaakt van process mining en continuous assurance waardoor de audit efficiënter maar zeker ook effectiever kan worden uitgevoerd. Dit alles zal de komende jaren leiden tot grote veranderingen in de wijze waarop organisaties worden beheerst. De financiële functie zal die veranderingen goed moeten volgen en adequaat reageren door IT als een integraal onderdeel van haar takenpakket te gaan beschouwen. Referenties ~ Accountancy Nieuws (2010). XBRL-jaarrekening vraagt om ander soort audit. AN Nr.10. 25-5-2010. www.accountancynieuws.nl/ actueel/vaktechniek/xbrl-jaarrekening-vraagt-om-ander-soortaudit.92403.lynkx (gelezen 8 mei 2011). ~ Bace, J. en C. Rozwell (2006). Understanding the components of compliance. Gartner Research. July. ~ Brivo (2008). SaaS-TCO, How Web-hosted Software-as-a-Service (SaaS) Lowers the Total Cost of Ownership (TCO) for Electronic Access Control Systems. White Paper. www.brivo.com (gelezen 8 mei 2011). ~ Gartner Newsroom (2010). Gartner Says Worldwide Cloud Services Market to Surpass $68 Billion in 2010. www.gartner.com/it/page. jsp?id=1389313, June 2 (gelezen 6 mei 2011). ~ Gregg, M. (2010). 10 Security Concerns for Cloud Computing. Global Knowledge, Expert Reference Series of White Papers. ~ IAESB (2007). Information Technology for Professional Accountants. International Education Practice Statement 2. IFAC. ~ Karlgaard, R. (2010). Finance and IT: Creating Seamless Integration. www.forbes.com, 21-6-2010. ~ Metcalfe, B. (1999). Internet services moving us back to Multics utility computing of old. Infoworld, October. ~ Nirvanix Blog (2008). MediaMax (The Linkup) Announces Closure Nirvanix Clarifies False Information in Blogosphere. http://developer.nirvanix.com, July 28. ~ Novum/AP/KA (2007). Britse overheid raakt opnieuw persoonlijke gegevens kwijt. De Morgen. www.demorgen.be, 17 december (gelezen 7 mei 2011) ~ OCEG (2007). Ask the Analysts: Where are we going with technology for GRC? www.oceg.org, May 28. ~ Vaassen, E.H.J. 2007. Research Opportunities in Internal Control; Focus on Organizational Compliance. Management Control & Accounting. Jaargang 11, maart. pp.45-50. Prof.dr. E.H.J. Vaassen RA is hoogleraar Accountancy en directeur van de opleiding tot Registeraccountant aan Tilburg University (e-mail: e.h.j.vaassen@uvt.nl). MCA: juni 2011, nummer 3 25

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback