Het eerste interview is gehouden op 2 april 2014 en duurde ongeveer twee uur. De geïnterviewde werkt bij een van de vier grote accountantskantoren als director. Tijdens zijn werk houdt hij zich voornamelijk bezig met risico-inventarisaties en IT audits. Deze persoon is ingeschreven als RA in het accountantsregister en is bezig zijn RE opleiding af te ronden. Zijn klantenportefeuille bestaat voornamelijk uit middelgrote organisaties, zowel profit als non-profit, in het noorden en oosten van Nederland. Vanuit die achtergrond is hij relevant om te interviewen in het kader van deze thesis.
Tijdens het interview zijn de hoofdvragen en alle deelvragen op zijn minst geraakt. Als eerste gespreksthema werd de verantwoordelijkheid van beheersing van de IT omgeving aangesneden. Uit zijn ervaring in het werkveld bleek dat de verantwoordelijkheid op dit terrein in veel gevallen ligt bij de afdeling financiën en dan met name bij de controller. Hiermee wordt volgens de geïnterviewde gelijk een belangrijk punt geraakt. De controller is immers verantwoordelijk voor de controle op de jaarrekening, maar hij wordt hiermee ook gelijk verantwoordelijk gesteld voor de beheersingsmaatregelen die in de IT omgeving zouden kunnen zijn ingebouwd. Er bestaat hiermee het gevaar dat de controller hierdoor invloed heeft op deze beheersingsmaatregelen, terwijl hij controle moet houden op de output van deze systemen. Hij zou in deze gevallen in staat kunnen zijn om functiescheiding te omzeilen. Ook blijkt uit zijn werkervaring een hiermee samenhangend probleem, namelijk dat de primaire verantwoordelijkheid voor de controle over de financiën en financiële rapportering wel is geregeld en de onderneming hiermee vertrouwd is, maar dat diezelfde verantwoordelijkheid wat betreft IT nauwelijks ergens wordt neergelegd. En als deze wel ergens belandt, dan belandt deze bij een functionaris met onvoldoende kennis en zonder functiescheiding, zo stelt hij.
Met het verregaand automatiseren en digitaliseren van processen en administratie verdwijnt ook een groot deel van de audit trail. Dit gezien het feit dat er onvoldoende beheersing is over de IT, zo spreekt hij uit ervaring. De organisatie blijft uiteraard verantwoordelijk voor de jaarrekening en daarmee impliciet ook voor de algemene ICT beheersmaatregelen. Dit blijkt ook tijdens het outsourcen van gedeelten van, of gehele, IT systemen of omgevingen. Hierbij heeft de organisatie een verantwoordelijkheid voor het matchen van de beheersmaatregelen die de partij, waar de zaken zijn geoutsourcet, heeft ingericht en de eigen interne vereisten. Aangegeven wordt dat klanten hier nooit bij hebben stilgestaan en vervolgens ook nooit hebben getoetst.
Het volgende thema dat werd aangesneden waren de risico’s die organisaties zelf identificeren op het gebied van de IT omgeving. Volgens de geïnterviewde is het enige risico, wat veel bedrijven daadwerkelijk identificeren, het mogelijke verlies van data en de uitval van systemen: Het zogenaamde back-up en recovery beleid. Eigenlijk kan iedere klant uit zijn portfolio hier wel iets over zeggen. De focus ligt voornamelijk op het mogelijk falen van de systemen. De rest van de zaken die bij IT systemen komen kijken worden gemanaged op vertrouwen. Wat betreft het aanbrengen en controleren van wijzigingen aan systemen is het slecht gesteld. Hiervoor is geen aandacht en er is onvoldoende kennis. De geïnterviewde geeft aan dat de ontwikkelingen op het IT gebied zo snel gaan dat het voor een hoop mensen niet meer te volgen is. De kloof tussen wat er mogelijk is, wat er wordt ontwikkeld en waarmee gewerkt moet worden, wordt steeds groter. Hierbij speelt ook een belangrijk sociaal aspect mee. Een deel van de bedrijven vindt het lastig om personen die jarenlang goed hebben gefunctioneerd, maar eigenlijk niet mee kunnen, te vervangen voor personeel wat beter in staat is om de veranderingen te absorberen. Er wordt voor deze personen een plaatje ‘gezocht’ in de organisatie. Doordat de business echter mee wil met de nieuwe mogelijkheden en deze ook doorvoert, ontstaat er een druk op het beheersingssysteem. Dit is nog niet aangepast aan de nieuwe situatie voordat de volgende nieuwe ontwikkelingen zich alweer aandienen.
Een ander belangrijk risico, wat wordt overschat, is het uit de hand lopen van de kosten van IT systemen. Daar komt volgens de geïnterviewde nog eens bij dat IT systemen steeds meer kunnen worden gezien als een vaste activa, terwijl personeel steeds flexibeler wordt. Het functionele gedeelte van de IT systemen zijn goed in te schatten en op dat gebied kunnen de kosten ook redelijk tot goed beheerst worden. Op andere gebieden, waar ook weinig aandacht voor is binnen de organisatie, zoals security is dit vrijwel niet het geval. Voor security is nauwelijks een business case te bouwen, immers zijn de risico’s kwalitatief van aard, de kosten van een aanval door hackers is lastig te bepalen, terwijl de kosten kwantitatief zijn. Dit maakt een afweging voor preventieve investeringen op dit gebied lastig. Er zijn geen modellen beschikbaar die deze kwalitatieve risico’s kunnen kwantificeren. Daarnaast leert zijn ervaring dat de kosten voor IT systemen vaak als de verantwoordelijkheid van de ICT afdeling worden gezien. Op de jaarrekening worden ze ook genoemd als IT kosten, terwijl het eigenlijk de verantwoordelijkheid van de business behoort te zijn.
Security blijft een risico wat nauwelijks wordt onderkend. Veiligheid is standaard bij auto’s, denk bijvoorbeeld aan veiligheidsriemen, air backs en bumpers, maar bij IT systemen zit dit er niet standaard in. Dit is een losse propositie. De geïnterviewde vermoedt dat een oplossing niet vanuit de markt zelf zal komen. Hij schetst twee scenario’s. Of het kabbelt nog twintig jaar door op de huidige weg, of de overheid zal ingrijpen nadat zich enkele grote schandalen zich hebben voorgedaan. Hierbij wordt de vergelijking getrokken met corporate governance en de SOX wetgeving. Een andere interessante
anekdote gaat over een bedrijf waarin de complexiteit van wachtwoorden door middel van hoofdletters, cijfers en lengte dusdanig ver was doorgevoerd, dat het voor gebruikers lastig werd om wachtwoorden nog te onthouden. Daarom werden vervolgens deze complexe wachtwoorden, in combinatie met gebruikersnamen, op post-its geschreven en op de computer geplakt. Dat het bewustzijn van security ook op het management niveau nog nauwelijks aanwezig is blijkt uit het feit dat geïnterviewde zo nu en dan mensen uit nodigt om een demonstratie hacken bij te wonen. De aanwezigen ervaren tijdens zo’n workshop mogelijkheden die er zijn om IT systemen te kraken en informatie te stelen. Eerlijkheidshalve geven ze vervolgens toe dat ditzelfde trucje ook eenvoudig bij hun doorgevoerd kan worden.
De accountant ziet IT als een black box. Hij of zij ziet de input en de output en bekijkt of dit logisch is. Voor enkele controles is dit mogelijk. Zo kan een debiteurenlijst prima worden nagelopen aan de hand van een afloopcontrole. Voor posten waarbij een functiescheiding gewenst is, zoals voorraden of crediteuren wordt dit al een stuk lastiger. De oplossing is dat er hier gegevensgericht gecontroleerd wordt en de beheersingsmechanismes geheel buitenbeschouwing worden gelaten. Er is een anekdote bekend over een factuurverwerkingsysteem waarbij het systeem, waarin de autorisaties werden opgeslagen, als een black box werd gezien en de accountant vervolgens met een stapel facturen de autorisatie ging ‘reproduceren’: hij ging de functionarissen langs met de vraag of hij de betreffende facturen had geautoriseerd. Naast dat het nog maar de vraag is of deze controle de gewenste zekerheid verschaft, immers kan een functionaris zich vermoedelijk niet meer herinneren welke facturen hij wanneer heeft geaccordeerd, is deze controle ook duur en complex. Dit is in tegenstrijd met de gedachte om een audit effectief en tegen een aanvaardbaar bedrag uit te voeren. Daarnaast is het een stap terug in de tijd. Vroeger waren alle controles gegevensgericht. Daarna werden controles meer risico gebaseerd waarbij voor een deel gesteund werd op de interne beheersingsmaatregelen en waar dit niet nodig was werden aanvullende gegevensgerichte controles gedaan. Met deze manier van controleren is de gegevensgerichte manier weer leidend. Tegenwoordig is met data analytics echter wel veel mogelijk. Hiermee is een integrale en gegevensgerichte controle tegen aanvaardbare kosten mogelijk. Echter blijft hiermee een grote vraag open: hoe wordt de betrouwbaarheid van de data die wordt gebruikt? Hiervoor blijft basale functiescheiding noodzakelijk en kan er eigenlijk niet om IT systemen heen gecontroleerd worden, zo stelt de geïnterviewde.
Als belangrijke spelers in het IT governance proces worden de business owners wat betreft de ingebouwde controls (application controls) genoemd, evenals een een CIO of gedelegeerde in het management voor de algemene beheersmaatregelen. Uitdrukkelijk dient het management en de toezicht mechanismen op het management hierbij betrokken te worden. Hierin is eigenlijk geen rol weggelegd voor de controller en voor de IT afdeling zelf. De raad van commissarissen heeft binnen de IT governance
op zijn minst twee verantwoordelijkheden. Ten eerste op het gebied van business IT alignement en daarnaast op het gebied van security. Voor het eerste gebied is veel aandacht. Dit blijkt ook uit de vele ERP pakketten die worden geïnstalleerd.
Ook de accountant heeft een rol. Hij moet hierbij hameren op de continuïteit, maar ook op het risico dat security met zich meebrengt. Hij identificeert hier ook een grote kloof tussen de mogelijkheden die er zijn om digitaal in te breken dan wel de boel plat te gooien en de aandacht die er voor is en maatregelen die bedrijven treffen. Uiteindelijk denkt hij dat het niet zover hoeft te komen dat de accountant daadwerkelijk consequenties verbindt aan het onvoldoende richten op het gebied van contiuniteit. Na incidenten schieten veel organisaties wakker en wordt dit goed geregeld.
Klanten zijn van zichzelf van mening dat ze in controle zijn. Zelf zien zij geen risico’s, behalve op het gebied van back-up en recovery. Risico’s op het gebied van kostenbeheersing, security en dergelijke worden nauwelijks geïdentificeerd. Er is onvoldoende kennis om deze risico’s te identificeren. Zoals eerder vastgesteld is de controller hier vaak verantwoordelijk voor, maar dit is niet zijn expertise. Daarnaast is er weinig geld voor. Hij ziet het mogelijk als een oplossing om eenmaal per maand een CIO langs te laten komen. Binnen de SME praktijk gebeurt dit al op het gebied van controllers. Hij stelt maandrapportages op en helpt bij de jaarrekening.
Het management heeft weinig zicht op wat de IT nou eigenlijk doet. Er worden drie mogelijkheden genoemd om dit op te lossen. Ten eerste kan er meer kennis worden binnengehaald door hiervoor geschikte personen aan te nemen, op de tweede plaats vormt de inhuur van een CIO een oplossing zoals hierboven besproken, het uitvoeren van een audit en door het outsourcen van IT. Zijn ervaring is dat een IT audit wordt gezien als een stuk assurance over de werking van de IT afdeling. Voor een het beheersingsstatement is het wellicht nuttig om specifiek te rapporteren over IT. Vooral binnen de non-profit sector wordt dit vaker gezien. Hij identificeert nauwelijks een kloof tussen de verwachtingen die worden geschept tussen de IT auditor en de werkzaamheden die hij uitvoert. Hierbij is scoping uitermate belangrijk. Er moet vooral naar processen gekeken worden en niet specifiek naar applicaties. De applicaties die moeten worden bekeken volgen wel uit het doorlopen van de processen.