Het grote belang van IT en data voor banken is onmiskenbaar. Bijna alle activiteiten, processen, procedures en dus ook data liggen immers vast in informatiesystemen. Welke kwaliteitseisen kunnen worden gesteld ten aanzien van big data gezien de risico’s die per onderscheidende factor zijn vastgesteld?
5.1 Kwaliteitseisen van IT auditors
Vanuit de praktijk zijn betrouwbaarheid en beschikbaarheid (of continuïteit) kwaliteitsaspecten die door IT auditors worden gehanteerd. Vanuit het traditionele Nederlandse financial audit perspectief staat in Burgerlijk Wetboek 2 titel 9 artikel 393 lid 4: “(..)De accountant brengt omtrent zijn onderzoek verslag uit aan de raad van commissarissen en aan het bestuur. Hij maakt daarbij ten minste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. De betrouwbaarheid wordt door IT-auditors geoperationaliseerd in de volgende kwaliteitsaspecten:
• Integriteit: de mate waarin gegevens in overeenstemming zijn met de afgebeelde werkelijkheid. Dat wil zeggen: juist, volledig en tijdig;
• Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de IT-processen;
• Controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking is uitgevoerd in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten.
Onder continuïteit wordt verstaan de beschikbaarheid van de gegevens. 5.2 Kwaliteitseisen op basis van wetgeving voor banken
De eisen van 5.1 worden ook door de wetgever voor banken onderkend. Zo staat in de Algemene Maatregel van Bestuur 5:20 als uitwerking van de Wet Financieel Toezicht: “De financiële onderneming
of het bijkantoor beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid (continuïteit) en beveiliging (exclusiviteit) van de geautomatiseerde gegevensverwerking te waarborgen.(..)”.
5.3 Genoemde kwaliteitseisen door respondenten met RE-kwalificatie
Door respondenten met een RE-kwalificatie42 zijn de volgende kwaliteitseisen genoemd:
Integriteit Exclusiviteit Controleerbaarheid Continuïteit
Toezichthouder (TH.1) √ √ √ √
Toezichthouder (TH.2) - √ √ -
Externe consultant (accountancy) (EC.1) - √ √ -
Tabel 5 – Kwaliteitseisen genoemd door respondenten met een RE-kwalificatie.
42
Opvallend is dat integriteit en continuïteit door slechts 1 RE-respondent is genoemd. Alle correspondenten noemen exclusiviteit en controleerbaarheid. Integriteit lijkt voor big data ook minder van belang volgens respondent IT.1: “(..) het waarheidsgehalte kun je op voorhand niet vaststellen. Bij
klassieke data ken je de herkomst en de context van data hetgeen een bepaald level of comfort geeft. Big data vergt andere methoden om het waarheidsgehalte te bepalen voordat er conclusies kunnen worden getrokken.(..)” Er lijkt derhalve een nadruk te liggen op exclusiviteit en controleerbaarheid en
minder op de andere kwaliteitsnormen. Deze nadruk lijkt te worden bevestigd in paragraaf 4.1; met name risico’s ten aanzien van privacy en besluitvorming zijn genoemd door respondenten.
5.4 Kwaliteitseisen per onderscheidende big data factor
In deze paragraaf wordt een koppeling gemaakt tussen de overwegingen vanuit de onderscheidende factoren en de kwaliteitseisen betrouwbaarheid (integriteit, exclusiviteit, controleerbaarheid) en continuïteit. Per onderdeel is beoordeeld welke kwaliteitseis(en) de meest voor hand liggende keuze(n) is (zijn), op basis van de overwegingen.
Overwegingen uit onderscheidende factoren
Rationale bij kwaliteitseisen Kwaliteitseisen
1. Data governance
Wanneer een bank big data wil gebruiken, zal verankering in de processen en koppeling met de strategie plaats moeten vinden; wat wil de bank met big data bereiken. Duidelijke accountability is hierbij noodzakelijk. Policies en procedures moeten worden uitgevaardigd voor de kaders/eisen van het gebruik.
Big data dient te worden bestuurd in overeenstemming met de eisen en doelstellingen van de bank en de mate waarin big data bijdraagt aan de organisatiedoelstellingen.
Betrouwbaarheid: controleerbaarheid, (transparantie).
2. Management: besluitvorming
Management zal de uitkomsten van big data moeten beoordelen op waarheidsgetrouwheid (veracity) en tijdigheid (velocity) en afwegen voor bruikbaarheid bij de besluitvorming, waarbij informatie aansluit op het doel van de besluitvorming. Hierbij zal men moeten nagaan (1) van welke bronnen data afkomstig zijn en (2) op welke wijze de data/informatie tot stand zijn gekomen.
Afweging waarheidsgetrouwheid en tijdigheid bij besluitvorming (passend voor het doel). Hierbij moet men na kunnen gaan waar data vandaan komen e.d. om de mate van waarheidsgetrouwheid vast te stellen. Dit stelt eisen aan de
beheersbaarheid en controleerbaarheid van het proces.
Betrouwbaarheid: controleerbaarheid, (transparantie, beheersbaarheid).
3. Data architectuur
Grote hoeveelheden (on) gestructureerde data (volume, variety) van waaruit selectie van relevante data lastig is te beheersen. Belangrijk is dat de bronnen van de data zijn te herleiden en dat het proces van
informatievoorziening beheersbaar is. Integriteit van m.n. ongestructureerde data is minder van belang43 vanwege de grote hoeveelheden; snelheid (velocity) om actie te ondernemen op basis van
analyse/besluitvorming is meer van belang.
Selectie van data voor het doel waarvoor het wordt gebruikt (o.a. snelheid, velocity) stelt eisen t.a.v. de controleerbaarheid en beheersbaarheid in het proces (met name aanwezigheid van interne capabilities). Exclusiviteit van data in opslag (cloud) en in transit. Betrouwbaarheid controleerbaarheid, (transparantie, beheersbaarheid), exclusiviteit. 43
Overwegingen uit onderscheidende factoren
Rationale bij kwaliteitseisen Kwaliteitseisen
4. Operationeel gebruik
De relatief grote hoeveelheden data (volume) moeten worden
bewerkt/gekoppeld/gecleansed? Is dit betrouwbaar? (variety, veracity) Is dit te beheersen en te controleren?
Selectie uit grote hoeveelheden data voor het doel waarvoor het wordt gebruikt (o.a. snelheid). Dit stelt eisen t.a.v. de
controleerbaarheid en beheersbaarheid, met name als data moet worden
gecleansed/bewerkt, waarbij de integriteit dient te worden gewaarborgd.
Betrouwbaarheid controleerbaarheid, (transparantie, beheersbaarheid), integriteit (bij bewerking).
5. Operationeel gebruik: veiligheid
De kwaliteitscriteria moeten met name het waarheidsgetrouwheid (Veracity) van big data borgen.
Van belang hierbij zijn integriteit van traditionele bron data en
waarheidsgetrouwheid van big data. Dit stelt eisen voor de controleerbaarheid van data. Exclusiviteit: er dienen maatregelen te worden genomen om misbruik van big data te voorkomen.
Betrouwbaarheid: controleerbaarheid Integriteit en exclusiviteit
6. Operationeel gebruik: Compliance
Big data met alle eigenschappen heeft de aandacht van toezichthouders; overtreding van regelgeving leidt vaak tot reputatieschade.
Bij dit onderdeel gaat het om een integere bedrijfs- en procesvoering waarbij
controleerbaarheid, integriteit, exclusiviteit en continuïteit bij big data van belang is. Daarnaast ook de transparante
communicatie aan klanten en
stakeholders. Continuïteit is van belang omdat toezichthouders waarde hechten aan een integere bedrijfsvoering waartoe continuïteit behoort. Betrouwbaarheid: Controleerbaarheid, integriteit, exclusiviteit en continuïteit.
Tabel 6 – Kwaliteitseisen voor data
Op basis van de bovenstaande analyse is vastgesteld dat controleerbaarheid op alle onderdelen van toepassing is. Continuïteit komt alleen voor bij onderdeel 6. Operationeel gebruik: Compliance). Exclusiviteit is van belang bij het onderdeel data architectuur en bij het operationeel gebruik (onderdelen 5. Veiligheid en 6. Compliance). Integriteit begint een rol te spelen bij alle onderdelen van het operationeel gebruik als data wordt bewerkt en opgeslagen.
5.5 Conclusie
Vanuit de praktijk zijn betrouwbaarheid en beschikbaarheid (of continuïteit) kwaliteitsaspecten die door IT auditors worden gehanteerd. Vanuit het traditionele Nederlandse financial audit perspectief staat in Burgerlijk Wetboek 2 titel 9 artikel 393 lid 4 dat vrij vertaald de accountant in het accountantsverslag dient te rapporteren over de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Betrouwbaarheid bestaat uit (1) integriteit (juist, volledig en tijdigheid van data), (2) exclusiviteit (alleen geautoriseerde personen toegang) en (3) controleerbaarheid (mogelijkheden tot om kennisvergaring). Deze normen worden zowel in de regelgeving (zie ook: Algemene Maatregel van Bestuur 5:20 als uitwerking van de Wet Financieel Toezicht) als door respondenten bevestigd.
De analyse wijst uit dat controleerbaarheid op alle onderdelen (data governance, management, data architectuur, operationeel gebruik, veiligheid en compliance) van toepassing is. Continuïteit komt alleen voor bij onderdeel 6. Operationeel gebruik: Compliance). Exclusiviteit is van belang bij het onderdeel data architectuur en bij het operationeel gebruik (onderdelen 5. Veiligheid en 6. Compliance). Integriteit begint een rol te spelen bij alle onderdelen van het operationeel gebruik als data wordt bewerkt en opgeslagen.