Informatiemanagement: Ontwikkelingen op het raakvlak van finance en IT De financiële functie kan niet bestaan zonder IT. Toch leert de praktijk dat veel financials zich dit onvoldoende realiseren. Er lijkt zelfs een zekere afkeer te bestaan van alles wat met IT te maken heeft. Dit artikel gaat in op drie onderling gerelateerde ontwikkelingen in IT die de komende jaren een belangrijke stempel zullen drukken op de financiële functie: cloud computing, xbrl en process mining. Prof.dr. E.H.J. Vaassen RA: Ofschoon informatie- en communicatietechnologie (IT) in de loop der tijd een vaste plaats heeft gekregen in de meeste opleidingen tot accountant of controller (zie onder andere IAESB, 2007 en de normatieve curricula zoals beschreven in eindtermen en visitatiestatuten voor de RA- en RC-opleidingen) is er in de praktijk van de financiële functie nog steeds een zekere afkeer van alles wat met IT te maken heeft. De heersende opvatting is dat computers gewoon moeten doen waarvoor ze zijn aangeschaft, namelijk het leveren van betrouwbare en relevante informatie. Hoe ze dat doen maakt de gemiddelde financial niet al te veel uit, zolang het maar niet te duur is. Dit lijkt sterk overdreven, maar de praktijk laat heel duidelijk zien dat informatie zoals geautomatiseerde informatiesystemen die produceren vaak zonder nader onderzoek als betrouwbaar wordt beschouwd door de gebruikers, waaronder vooral de financiële functie; waar dit in veel gevallen een onterechte aanname is, die grote risico s in zich heeft. Er zijn dan ook diverse pleidooien gehouden voor meer afstemming tussen de financiële en de ITfunctie. Bij bijvoorbeeld de $ 1,3 miljard overname in 2010 door Symantec van de web security unit van Verisign, noemden Symantec s CIO David Thompson en CFO James Beer de aanstelling van leden van het integratieteam die cross-functionally kunnen werken als de nummer 1 kritieke succesfactor (Karlgaard, 2010). Het lijkt dus van belang dat er een betere afstemming ontstaat tussen de financiële functie en de IT-functie in organisaties. Dit artikel gaat in op drie onderling gerelateerde ontwikkelingen in IT die de komende jaren een belangrijke stempel zullen drukken op de financiële functie, namelijk cloud computing, Extended Business Reporting Language; process mining. Cloud computing In de jaren negentig van de vorige eeuw werd voor het eerst een analogie gemaakt tussen het gebruik van computerdiensten en het gebruik van nutsdiensten zoals elektriciteit, gas en water (zie onder andere Metcalfe, 1999). Als organisaties geen eigen energiebronnen hebben, kunnen ze gebruikmaken van de energievoorziening door derden door aansluiting op een netwerk ( grid ) van een energiebedrijf en door te betalen voor dat gebruik. Voor computerdiensten geldt in principe hetzelfde: de gebruiker van computerdiensten regelt een aansluiting op een netwerk met functionaliteiten en betaalt voor het gebruik. Aldus is de term grid computing gelanceerd. In de computerwereld is een grid een netwerk van computers die samen in feite een supercomputer vormen. Google is een mooi voorbeeld van een organisatie die een groot aantal (> 1.000.000) relatief goedkope computers aan elkaar koppelt om haar diensten te kunnen verlenen. De term cloud is een metafoor voor het internet die gebaseerd is op de manier waarop het internet normaliter in computernetwerkdiagrammen wordt weergegeven, namelijk als een wolk. In die wolk is een complexe IT-infrastructuur ondergebracht. Kenmerkend voor cloud computing is dat de gebruiker die IT-infrastructuur niet fysiek in bezit hoeft te hebben en daarom ook geen technische kennis ervan hoeft te hebben. Daarmee is cloud computing MCA: juni 2011, nummer 3 21
Bij dataverlies kan de cliënt de cloud service provider wel aanspreken, maar dat brengt de data niet terug een logisch vervolg op grid computing. Een groot voordeel van cloud computing vloeit rechtstreeks voort uit het in de inleiding gesignaleerde probleem dat de gebruikers van computers ervan willen uitgaan dat de opgeleverde informatie betrouwbaar en relevant is. Bij cloud computing wordt de behoefte aan gedetailleerde IT-kennis in de gebruikersorganisatie tot een minimum beperkt, doordat er geen eigen IT-infrastructuur meer is die onderhouden moet worden. Andere benamingen naast cloud computing voor in essentie dezelfde benadering van software- en hardwarediensten zijn: Application Service Providing (ASP) en IT die als een dienst wordt aangeboden onder de noemer as a Service (onder andere Software as a Service SaaS, Platform as a Service PaaS, Infrastructure as a Service IaaS). Als we het hebben over cloud computing, bedoelen we meestal de diensten van een externe Cloud Service Provider. Deze diensten kunnen echter ook worden ondergebracht bij een intern servicecentrum. We spreken dan vaak van Server-Based Computing, waarbij een centrale server de software bevat waarvan de diverse gebruikers, die dan worden aangeduid als thin clients (werkstations die nauwelijks eigen verwerkings- en opslagcapaciteit hebben), gebruik kunnen maken zonder die software op het eigen werkstation te moeten downloaden. In de cloud treffen we toepassingen aan als Salesforce.com (voor Customer Relationship Management), social media zoals Facebook, Twitter en LinkedIn, Google Docs (voor tekstverwerking, presentaties en spreadsheets zonder MS Office te hoeven installeren), Twinfield en Yuki (voor online boekhouden), Amazon Web Services, en allerlei toepassingen die databases ontsluiten en koppelen (routeplanners, openbaarvervoerplanners, reserveringssystemen voor hotels of vluchten en dergelijke). Voor 2010 schatte Gartner de totale markt voor cloud services in op zo n $ 60 miljard, met een prognose voor 2014 van $ 150 miljard (Gartner Newsroom, 2010). Het is de taak van de financiële functie om de risico s rondom cloud computing zo goed mogelijk in kaart te brengen. Die risico s zijn te herleiden tot de volgende vier hoofdcategorieën: 1. risico s van externe gegevensopslag; 2. risico s van multi-tenancy; 3. risico s van het gebruik van het internet; 4. risico s van integratie en afstemming. Ad 1. Risico s van externe gegevensopslag Doordat gegevens bij een externe partij zijn opgeslagen geeft de gebruiker alle controle uit handen en loopt hij het risico dat zijn gegevens kwijtraken zonder dat hij daar zelf iets aan kan doen. Als bij de externe partij dataverlies optreedt, kan de gebruiker daar wel een rechtszaak over aanspannen, maar dat brengt zijn data niet terug. Het Amerikaanse dataopslagbedrijf MediaMax verloor in 2007 door een verkeerd geprogrammeerd script een groot aantal gegevens van cliënten, waarvan een deel hersteld kon worden (echter zij waren pas na zeven dagen weer beschikbaar voor de gebruikers) maar een deel niet (Nirvanix Blog, 2008). Overigens is dit probleem niet uniek voor cloud computing zoals bleek toen in 2007 de Britse overheid de gegevens van ruim drie miljoen aspirant-automobilisten kwijtraakte. Een hard disk met daarop naam, adres en e-mailadres van kandidaten voor het theorie-examen ging verloren in de Verenigde Staten. De Britse overheid had een Amerikaans bedrijf ingehuurd om de gegevens te bewaren. Ook de gegevens van 7.500 voertuigen, inclusief de namen en adressen van hun eigenaren, zijn kwijtgeraakt door het verdwijnen van de hard disk (Novum/ AP/AK, 2007). Dit soort incidenten heeft als positief neveneffect gehad dat er een grote bewustwording is van het gevaar dat de gebruiker loopt door zijn data extern op te slaan en te laten beheren door derden. Cloud Service Providers (CSP s) erkennen dat de continuïteit van de opgeslagen data een speerpunt moet zijn. Voor de gebruiker ligt hier de belangrijke taak om vast te stellen of een CSP in staat zal zijn om in continuïteit zijn diensten aan te bieden. Schaalgrootte, financiële positie en reputatie van de CSP spelen daarbij een belangrijke rol. Ad 2. Risico s van multi-tenancy Een Cloud Service Provider heeft normaliter meer dan één klant. Hierdoor kunnen gegevens van de ene klant in handen komen of vermengd worden met de gegevens van een andere klant. Dit kan leiden tot een aantasting van de integriteit van de gegevens en tot vertrouwelijkheidsproblemen. Een adequaat identiteits- en toegangsmanagement bij de CSP zijn derhalve cruciaal. De CSP moet ervoor zorgen dat het single-point-of-failure, dat hij in feite vormt in het informatiesysteem van zijn klant, volledig onder controle is. Een single-point-of-failure is een concentratie van risico op één plek en als het op die plek fout gaat, ligt het gehele systeem plat. 22 MCA: juni 2011, nummer 3
Ad 3. Risico s van het gebruik van het internet Het internet is van nature een bijzonder onveilig netwerk. Dit is inherent aan de aard ervan: het moet namelijk voor het grootst mogelijke publiek gemakkelijk toegankelijk zijn. Aangezien cloud computing altijd gebruikmaakt van het internet (de cloud ís het internet) gelden alle bedreigingen bij het gebruik van internet ook voor cloud computing. Te noemen zijn onder andere: ~ het is vaak onduidelijk wie de eigenaar is van gegevens en processen op internet waardoor het onduidelijk is wie verantwoordelijk is en wie de zeggenschap heeft; ~ het internet is maar beperkt gereguleerd; ~ er is veel illegaal verkeer dat tot problemen met privacy, integriteit, authenticiteit en beschikbaarheid kan leiden; ~ het internet is sterk afhankelijk van technologie waardoor er ook een sterke afhankelijkheid van andere dienstverleners dan slechts de CSP ontstaat; uitval van elektriciteit (energiebedrijf) of datacommunicatieverbindingen (de Internet Service Provider) leiden ertoe dat de diensten van een CSP niet beschikbaar zijn; ~ er zijn allerlei wettelijke complicaties op het terrein van privacy, de geldigheid van elektronische documenten en handtekeningen en vooral conflicterende en onwerkbare wet- en regelgeving in verschillende landen. Deze bedreigingen zijn vaak nog onvoldoende bekend onder beleidsmakers van de overheid en managers waardoor beveiligingsmaatregelen aan de kant van de gebruiker mogelijk ontoereikend zijn. Ad 4. Risico s van integratie en afstemming De grenzen tussen wat tot de gebruiker en wat tot de CSP behoort zijn vaak niet duidelijk afgebakend. De oplossing is uiteraard een goed Service Level Agreement (SLA) opstellen, maar daar zit hem nu juist het probleem. Door de complexiteit van het werken met geavanceerde IT die altijd grensoverschrijdend is (servers staan over de hele wereld en de gebruiker weet meestal niet welke route zijn data volgen) is het opstellen van een sluitende SLA vrijwel onmogelijk. Daarnaast kunnen er allerlei problemen zijn bij het afstemmen van de informatiebeveiliging van de CSP en de gebruiker. Een vooral voor de financiële functie relevant risico is het niet realiseren van de beoogde kostenbesparingen van cloud computing door problemen met integratie en afstemming. De total cost of ownership (TCO) die in beschouwing moeten worden genomen om een gefundeerde keuze tussen een eigen IT-infrastructuur en cloud computing te maken omvatten onder andere (Brivo, 2008): ~ initiële installatiekosten van hardware, softwarelicenties en arbeidskosten van technisch personeel voor het inregelen van de servers, pc s, bedrading en de benodigde software; ~ terugkerende kosten van het SaaS-abonnement, server softwarelicenties en service level agreements voor het onderhoud van hardware en software; ~ reguliere kosten zoals elektriciteit, fysieke serverruimte en uitwijkfaciliteiten; ~ de kosten van de IT-helpdesk, inclusief onderhoud, probleemoplossing, patches en updates voor het serversysteem en de kosten van hardware upgrades en vervanging; ~ de kosten van server downtime en het omgaan met incidenten, inclusief productiviteitsverlies en de kosten van een IT-staf om het systeem te herstellen na een incident; ~ strategische kosten als gevolg van het uitvallen van het systeem en daardoor de organisatie als geheel, inclusief gemiste opbrengsten, permanent verlies van klanten, boetes en reputatieschade. Een in eerste instantie positieve businesscase voor cloud computing kan door de TCO te be schouwen mogelijk negatief uitkomen. Daar komt bij dat er een zeker risico is dat er een vendor-lock-in ontstaat waardoor de CSP geleidelijk aan zijn systeem specifieker maakt en de klant op een gegeven moment slechts door het maken van zeer hoge kosten naar een andere CSP kan overstappen of terug kan naar een eigen IT-infrastructuur. Met xbrl worden rapportages vergelijkbaar, transparant en dus beter MCA: juni 2011, nummer 3 23
Process mining maakt effectievere interne controle mogelijk Extensible Business Reporting Language (xbrl) Tengevolge van de financiële crisis en talloze boekhoudschandalen is de laatste decennia een ware hype ontstaan op het terrein van corporate governance. De maatschappij wil meer en beter toezicht op ondernemingen en eist meer transparantie over hoe managers omgaan met hun ondernemingen. In dit beeld past het afleggen van verantwoording door ondernemingen met een grotere frequentie dan één keer per jaar. Halfjaarcijfers en kwartaalcijfers zijn heden ten dage heel normaal. Een nog hogere frequentie is mogelijk met de huidige IT-ontwikkelingen in de vorm van continue verslaggeving. Bij continue verslaggeving wordt informatie via elektronische kanalen beschikbaar gesteld op het moment dat deze informatie wordt gedigitaliseerd. Dergelijke informatie verandert niet voortdurend wat dat betreft is de aanduiding continu niet helemaal correct maar is wél voortdurend de meest recente informatie die beschikbaar kan zijn. Uit het voorgaande kan worden afgeleid dat continue verslaggeving een korte doorlooptijd tussen digitaliseren van de data en de informatieverzorging vereist. Idealiter zou met de bekende druk op de knop de benodigde informatie moeten kunnen worden opgeleverd. Om dit te realiseren is een efficiënte taal nodig die de benodigde data in hun meest elementaire vorm vastlegt opdat met behulp van de juiste software deze informatie automatisch kan worden geproduceerd. Extensible Business Reporting Language (xbrl) is een dergelijke taal. XBRL is een wereldwijd initiatief om de digitale taal van ondernemingen te uniformeren. Met xbrl wordt daardoor een krachtig hulpmiddel verkregen om financiële verslaggeving vergelijkbaar te maken en dus de kwaliteit van de verslaggeving te verbeteren. XBRL heeft als onderscheidend kenmerk van traditionele instrumenten (zoals dubbel boekhouden) voor het presenteren van bedrijfsgegevens dat metadata (data over data) moeten worden vastgelegd. Als in een verslag een bepaald getal staat, is dit zonder nadere toelichting betekenisloos. Toch staan databases vol met dergelijke ogenschijnlijk opzichzelfstaande gegevens. Pas als metadata worden toegevoegd, krijgen deze gegevens betekenis. Metadata over het genoemde getal kunnen bijvoorbeeld de omschrijving of de maateenheid zijn. XBRL gebruikt een beperkt aantal basisbegrippen, waaronder: elementen, elementnamen, voorbeelddocumenten en taxonomieën. Een element is een feit of een stuk informatie zoals het totaal van de materiële vaste activa in de balans. Een elementnaam wordt altijd in een vast formaat weergegeven en bestaat uit twee elementen die gescheiden zijn door een punt en die een maximumlengte van 80 tekens heeft. Bijvoorbeeld: balancesheet.assets. Een voorbeelddocument is een HTML- of XML-document dat xbrl-elementen bevat zoals de jaarrekening van een onderneming. Een taxonomie wordt door velen als de kern van xbrl beschouwd. Een taxonomie is een classificatiesysteem dat nieuwe elementen definieert door er labels (oftewel tags ) aan toe te kennen en waar een voorbeelddocument gebruik van kan maken. Specifieke taxonomieën zullen worden ontwikkeld of zijn in ontwikkeling voor bepaalde bedrijfstakken (banken, casino s, bouwondernemingen enzovoort) maar ook voor bepaalde accounting jurisdicties (US GAAP, IFRS, RJ enzovoort). Vooral de taxonomieën per accounting jurisdictie bieden interessante perspectieven voor de internationale vergelijkbaarheid van de financiële prestaties van ondernemingen. Process mining Process mining is het in kaart brengen van processen in organisaties om inzicht te krijgen in het verloop van die processen, de mate waarin deze processen voldoen aan daarvoor geformuleerde modelprocessen en de mate waarin er sprake zou kunnen zijn van collisie tussen functionarissen waartussen controletechnische functiescheiding bestaat. Process mining heeft de afgelopen jaren een grote opkomst doorgemaakt, vooral doordat de grote ERP-pakketten de hiervoor benodigde metagegevens (activiteit, toestand, agent en tijdstip) automatisch vastleggen. Bezien vanuit het perspectief van de administratieve organisaties en interne controle maakt process mining het mogelijk om vast te stellen of procedures worden nageleefd zoals ze zijn opgezet en beschreven in het accounting manual van de desbetreffende organisatie. Hierdoor kunnen afwijkingen van procedures op efficiënte wijze worden vastgesteld. Doordat door middel van process mining ook inzicht wordt verkregen in wie (agenten) een bepaalde activiteit uitvoert of initieert, worden ook relaties tussen agenten zichtbaar. Als er bepaalde relaties zijn die vanuit het perspectief van controletechnische functiescheiding niet wenselijk zijn, is er mogelijk sprake van collisie. Interne controle is in essentie te herleiden tot het 24 MCA: juni 2011, nummer 3
naleven van procedures (Vaassen, 2007). Deze opvatting wordt niet door iedereen gedeeld, maar als we teruggaan naar de instrumenten die ons vanuit de AO/IC ter beschikking staan (controletechnische functiescheiding en post hoc aansluitingen maken en dat vastgelegd in procedures voor administratieve handelingen), dan blijkt dat het er steeds niet om gaat de prestaties van organisaties te verbeteren, maar veel meer om gemaakte afspraken na te leven. Die afspraken kunnen dan op drie terreinen liggen waarop naleving door organisaties moet plaatsvinden (Bace en Rozwell, 2006): ~ naleving van wet- en regelgeving (regulatory compliance); ~ naleving van contracten (commercial compliance); en ~ naleving van interne procedures (organizational compliance). Deze drie terreinen staan in een duidelijke samenhang in die zin dat uiteindelijk organizational compliance noodzakelijk is om commercial en regulatory compliance mogelijk te maken. Met andere woorden: een organisatie moet intern handelen in overeenstemming met haar procedures wil ze contracten kunnen nakomen en de van toepassing zijnde wet- en regelgeving kunnen naleven. Ten slotte Cloud computing, xbrl en process mining hebben met elkaar gemeen dat ze zonder IT niet mogelijk zijn, met andere woorden: IT is een enabler van deze verschijnselen. Daarnaast leidt een vergaande toepassing van xbrl tot een andere controleaanpak door de accountant. Waar bij de traditionele jaarrekeningcontrole de nadruk ligt op het getrouwe beeld van de jaarrekening ligt bij rapportages die tot stand zijn gekomen (dit kan ook de jaarrekening zijn) met behulp van xbrl de nadruk op de processen die ten grondslag hebben gelegen aan de totstandkoming van de desbetreffende rapportages (zie Accountancy Nieuws, 2010). Dit betekent dat process mining de audit van xbrl-rapportages op een effectieve manier kan ondersteunen. De audit van xbrl-rapportages zal voorts op een meer continue basis kunnen gaan plaatsvinden doordat bij digitalisering van een transactie (dat is meestal bij invoer) al meteen een bepaalde mate van zekerheid kan worden gegeven door de accountant over de betrouwbaarheid van de desbetreffende invoer. Daarnaast zal ook bij de audit van een CSP in het kader van een ISAE3402-verklaring (de nieuwe en internationale want uitgegeven door de IAASB opvolger van SAS70) gebruik kunnen worden gemaakt van process mining en continuous assurance waardoor de audit efficiënter maar zeker ook effectiever kan worden uitgevoerd. Dit alles zal de komende jaren leiden tot grote veranderingen in de wijze waarop organisaties worden beheerst. De financiële functie zal die veranderingen goed moeten volgen en adequaat reageren door IT als een integraal onderdeel van haar takenpakket te gaan beschouwen. Referenties ~ Accountancy Nieuws (2010). XBRL-jaarrekening vraagt om ander soort audit. AN Nr.10. 25-5-2010. www.accountancynieuws.nl/ actueel/vaktechniek/xbrl-jaarrekening-vraagt-om-ander-soortaudit.92403.lynkx (gelezen 8 mei 2011). ~ Bace, J. en C. Rozwell (2006). Understanding the components of compliance. Gartner Research. July. ~ Brivo (2008). SaaS-TCO, How Web-hosted Software-as-a-Service (SaaS) Lowers the Total Cost of Ownership (TCO) for Electronic Access Control Systems. White Paper. www.brivo.com (gelezen 8 mei 2011). ~ Gartner Newsroom (2010). Gartner Says Worldwide Cloud Services Market to Surpass $68 Billion in 2010. www.gartner.com/it/page. jsp?id=1389313, June 2 (gelezen 6 mei 2011). ~ Gregg, M. (2010). 10 Security Concerns for Cloud Computing. Global Knowledge, Expert Reference Series of White Papers. ~ IAESB (2007). Information Technology for Professional Accountants. International Education Practice Statement 2. IFAC. ~ Karlgaard, R. (2010). Finance and IT: Creating Seamless Integration. www.forbes.com, 21-6-2010. ~ Metcalfe, B. (1999). Internet services moving us back to Multics utility computing of old. Infoworld, October. ~ Nirvanix Blog (2008). MediaMax (The Linkup) Announces Closure Nirvanix Clarifies False Information in Blogosphere. http://developer.nirvanix.com, July 28. ~ Novum/AP/KA (2007). Britse overheid raakt opnieuw persoonlijke gegevens kwijt. De Morgen. www.demorgen.be, 17 december (gelezen 7 mei 2011) ~ OCEG (2007). Ask the Analysts: Where are we going with technology for GRC? www.oceg.org, May 28. ~ Vaassen, E.H.J. 2007. Research Opportunities in Internal Control; Focus on Organizational Compliance. Management Control & Accounting. Jaargang 11, maart. pp.45-50. Prof.dr. E.H.J. Vaassen RA is hoogleraar Accountancy en directeur van de opleiding tot Registeraccountant aan Tilburg University (e-mail: e.h.j.vaassen@uvt.nl). MCA: juni 2011, nummer 3 25