• No results found

Het nieuwe vertrouwen in de wereld van zekerheidsverschaffers?

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Het nieuwe vertrouwen in de wereld van zekerheidsverschaffers?"

Copied!
154
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 154 pagina )

Hele tekst

(1)

“Het nieuwe vertrouwen in de wereld van

zekerheidsverschaffers?”

Auteur: M.H.H. (Martijn) Broenink MSc RA Documentsoort: Thesis Opleiding: Amsterdam IT-Audit Programme (AITAP) Onderwijsinstelling: Universiteit van Amsterdam Faculteit: Economie en Bedrijfskunde School: Amsterdam Business School Datum: Augustus 2017 Begeleider: M.C. (Koos) Wolters RE CISA

(2)

Inhoudsopgave

Voorwoord ... 4 Samenvatting ... 6 1. Inleiding ... 8 1.1. Aanleiding onderzoek ... 8 1.2. Doel, probleemstelling en onderzoeksvragen ... 10 1.3. Scope onderzoek ... 11 1.4. Onderzoeksmethode ... 12 1.5. Leeswijzer ... 13 2. De blockchain(technologie) ... 14 2.1. Inleiding ... 14 2.2. De blockchain(technologie) ... 14 2.3. Samenvatting ... 20 3. De accountant en de leer van het gewekte vertrouwen ... 21 3.1. Inleiding ... 21 3.2. Bestaansrecht accountant volgens de leer van het gewekte vertrouwen ... 21 3.3. Samenvatting ... 22 4. De accountant en de agency theorie ... 23 4.1. Inleiding ... 23 4.2. Bestaansrecht accountant volgens de agency theorie ... 23 4.3. Samenvatting ... 25 5. Kansen en bedreigingen blockchain voor zekerheidsverschaffers ... 26 5.1. Inleiding ... 26 5.2. Kansen en bedreigingen blockchain voor de accountant ... 26 5.3. Kansen en bedreigingen blockchain voor de IT-auditor ... 29 5.4. Samenvatting ... 30 6. Waarde blockchain voor zekerheidsverschaffers ... 31 6.1. Inleiding ... 31 6.2. Waarde blockchain voor zekerheidsverschaffers volgens de Big4 accountantsorganisaties ... 32 6.2.1. Consensus ... 33 6.2.2. Validatie en security ... 34 6.2.3. Transparantie ... 35 6.2.4. Geen single point of control ... 36 6.2.5. Privacy ... 37 6.3. Waarde blockchain voor zekerheidsverschaffers volgens de MKB accountantsorganisaties .. 38 6.3.1. Consensus ... 39 6.3.2. Validatie en security ... 40 6.3.3. Transparantie ... 41 6.3.4. Geen single point of control ... 42 6.3.5. Privacy ... 43

(3)

6.4. Waarde blockchain voor zekerheidsverschaffers volgens de Beroepsorganisaties ... 44 6.4.1. Consensus ... 45 6.4.2. Validatie en security ... 46 6.4.3. Transparantie ... 47 6.4.4. Geen single point of control ... 48 6.4.5. Privacy ... 49 6.5. Waarde blockchain voor zekerheidsverschaffers volgens de Business ... 51 6.5.1. Consensus ... 51 6.5.2. Validatie en security ... 52 6.5.3. Transparantie ... 53 6.5.4. Geen single point of control ... 54 6.5.5. Privacy ... 55 6.6. Analyse waarde blockchain tussen respondenten ... 56 6.6.1. Consensus ... 57 6.6.2. Validatie en security ... 57 6.6.3. Transparantie ... 58 6.6.4. Geen single point of control ... 58 6.6.5. Privacy ... 59 6.7. Samenvatting ... 59 7. Conclusies en reflectie ... 63 7.1. Inleiding ... 63 7.2. Beantwoording probleemstelling ... 63 7.2.1. Consensus ... 63 7.2.2. Validatie en security ... 64 7.2.3. Transparantie ... 65 7.2.4. Geen single point of control ... 67 7.2.5. Privacy ... 68 7.3. Conclusie(s) ... 69 7.3.1. Kansen ... 70 7.3.2. Bedreigingen ... 71 7.4. Reflectie en vervolgonderzoek ... 73 7.5. Samenvatting ... 73 Literatuur ... 74 Bijlagen ... 77 Bijlage 1. Overzicht kansen en bedreigingen blockchain voor zekerheidsverschaffers ... 77 Bijlage 2. Validatieschema ... 82 Bijlage 3. Details waarde blockchain voor zekerheidsverschaffers ... 83 Bijlage 3.1 Details waarde blockchain voor zekerheidsverschaffers volgens de Big4 accountantsorganisaties ... 83 Bijlage 3.2 Details waarde blockchain voor zekerheidsverschaffers volgens de MKB accountantsorganisaties ... 102 Bijlage 3.3 Details waarde blockchain voor zekerheidsverschaffers volgens de Beroepsorganisaties ... 123 Bijlage 3.4 Details waarde blockchain voor zekerheidsverschaffers volgens de Business ... 144

(4)

Voorwoord

Voor u ligt mijn scriptie welke het afsluitende onderdeel vormt van het Amsterdam IT-Audit Programme (AITAP). Als registeraccountant vervul ik, tenminste volgens Limperg (1932), een belangrijke rol in het realiseren van het publieke vertrouwen. Het vervullen van deze vertrouwensrol kent zowel een zon- als schaduwzijde waarbij de zonzijde het bestaansrecht vertegenwoordigd en de schaduwzijde het mogelijk nutteloos worden van het beroep aan zou kunnen kondigen. Daar waar Limperg (1932) het nutteloos worden toeschrijft aan het beschamen van vertrouwen heeft mij het disruptieve karakter van de, evolutie van de, blockchain(technologie) getriggerd resulterende in dit onderzoek. In de media wordt dit disruptieve karakter breed uitgemeten en zo ook geplot op het traditionele auditproces waarbij thans, nog steeds, het zogeheten ‘double entry bookkeeping’ wordt toegepast. Hierbij vervult de accountant voornamelijk de vertrouwensrol waarbij hij, als onafhankelijk intermediair, zekerheid toevoegt aan de informatie welke voor de stakeholders, in het kader van diens besluitvorming, van belang is. In het artikel How Blockchain Tech Will Change Auditing for Good (11 juli 2015) beschrijft Matthew Spoke het disruptieve effect van de blockchain(technologie) op het auditproces als volgt: “With the ability to compare accounting entries between two trading partners, while maintaining data privacy, this solution could significantly reduce the reliance on auditors for testing financial transactions. Once a match is posted to the blockchain, the transaction is time stamped and irreversibly recorded. “Everyone agrees on consensus that those transactions actually happened, and boom you have that verification. You have the debit, the credit, and the confirmation by the network.” Hetgeen Spoke (2015) beschrijft behoeft niet per direct het nutteloos worden van het beroep te representeren, maar initieert op z’n minst zowel kansen als bedreigingen in relatie tot de blockchain(technologie) voor de zekerheidsverschaffer waartoe de accountant, maar ook de IT-auditor, behoren.

(5)

Dit onderzoek is een eerste aanzet om, vanuit enkele relevante kenmerken van de blockchain(technologie), kansen en bedreigingen te definiëren welke van invloed zouden kunnen zijn op de ‘wereld van zekerheidsverschaffers’. Door deze kansen en bedreigingen te toetsen onder verschillende, aan de accountants- maar ook IT-auditorsprofessie gerelateerde, respondenten geeft een indruk van de wijze waarop tegen het potentieel disruptieve karakter van de blockchain(technologie) wordt aangekeken. De totstandkoming van deze scriptie is mede gerealiseerd door de uitstekende begeleiding van de heer M.C. (Koos) Wolters RE CISA welke onderdeel uit zal gaan maken van het panel tijdens het mondeling slotexamen. Oldenzaal, augustus 2017, M.H.H. (Martijn) Broenink MSc RA

(6)

Samenvatting

Blockchain: “Het nieuwe vertrouwen in de wereld van zekerheidsverschaffers?” betreft de titel van deze scriptie waarmee een duidelijke behoefte is gedefinieerd om, door middel van onderzoek, antwoord te geven op de volgende probleemstelling: “Met welke kansen en bedreigingen kan de gevestigde orde van zekerheidsverschaffers, waaronder accountants en IT-auditors, in de context van de blockchain(technologie) te maken krijgen en welke waarde wordt hieraan gehecht?” Deze probleemstelling is ontleed in een vijftal onderzoeksvragen waarin een duidelijk onderscheid kan worden herkend tussen het scheppen van een theoretisch kader enerzijds en het toetsen ervan in de praktijk anderzijds. Met het scheppen van een theoretisch kader waarin zowel de blockchain(technologie) als het bestaansrecht van de accountant, bezien vanuit een tweetal relevante theorieën, wordt beschreven, is een solide basis gelegd voor een abstract van kansen en bedreigingen welke in de praktijk onder enkele, aan de accountants- maar ook IT-auditorsprofessie gerelateerde, respondenten zijn getoetst. De uitkomsten van het praktijkonderzoek, waar een kwantitatieve weging van de veronderstelde kansen en bedreigingen onderdeel van uit heeft gemaakt, laten zich samenvatten tot een vijftal relevante kansen en een drietal relevante bedreigingen. Deze betreffen achtereenvolgens: Kansen 1. Vanwege de toenemende complexiteit en het, veronderstelde, robuuste karakter van de blockchain(technologie) vereist specifieke deskundigheid van de IT-auditor welke niet tot de ‘standaarduitrusting’ van de externe accountant behoort 2. Zodra Triple-Entry Accounting gemeengoed gaat worden, wordt de rol van de externe accountant ‘nieuw leven’ ingeblazen mede vanwege diens mogelijke ‘nieuwe’ rol als onafhankelijke intermediair in het triple bookkeepingsmechanisme 3. Vanwege de mogelijkheid om een virtuele identiteit aan te nemen en communicatie door middel van een IP-adres kan/mag plaatsvinden, biedt dit perspectief voor de IT-auditor vanuit, onder andere, (verdere) certificeringsbehoefte 4. De veronderstelde verschuiving rondom de afhankelijkheid van de continuïteit van de geautomatiseerde gegevensverwerking van, voornamelijk, centrale databases naar de

(7)

chain (keten) als geheel zal wegens navenante behoefte aan, technische, deskundigheid een aanzienlijk beroep gaan doen op de IT-auditor 5. Daar waar de externe accountant steeds meer gebruik zal gaan maken van het robuuste consensusmechanisme (er is immers sprake van realtime verificatie) met betrekking tot, voornamelijk, routinematige transacties, kan/moet zijn aandacht steeds meer verschuiven naar de niet-routinematige alwaar, in de basis, sprake is van overwegend menselijk handelen en navenante subjectiviteit in relatie tot de van toepassing zijnde wet- en regelgeving (waaronder ten aanzien van financiële verslaggeving) Bedreigingen 1. Aangezien verlies of diefstal van de private sleutel per direct leidt tot verlies of diefstal van de aan de sleutel gekoppelde asset, dient het frauderisico op het oneigenlijk toe-eigenen van activa vanuit een breder perspectief door de externe accountant te worden gekwalificeerd en gekwantificeerd 2. Ondanks de uitdagingen rondom het kunnen identificeren van ‘medestanders’ zorgt de laagdrempeligheid in relatie tot toetreding tot de blockchain voor een (sterk) toenemende kans op het risico op moedwillige manipulatie en, mede, daarmee de mogelijkheid tot ‘double spending’ hetgeen onder andere van invloed is op het risico op een afwijking van materieel belang in de verantwoording 3. Het robuuste karakter hetgeen de blockchain, in de basis, te danken heeft aan het consensusmechanisme vormt voor de externe accountant, naast een kans(en), tegelijkertijd een bedreiging(en) vanwege het (nieuwe) vertrouwen als synoniem voor de blockchain(technologie) Door middel van dit onderzoek is getracht een eerste inzicht te verkrijgen in de mogelijke kansen en bedreigingen van de blockchain(technologie) in de wereld van zekerheidsverschaffers waartoe de accountant en de IT-auditor behoren. Of deze technologie het nieuwe vertrouwen zal (gaan) zijn valt te betwijfelen doch de praktijk ziet hiertoe genoeg kansen.

(8)

1. Inleiding

1.1. Aanleiding onderzoek In het artikel How Blockchain Tech Will Change Auditing for Good (11 juli 2015) haalt Matthew Spoke het Enron schandaal aan als het moment (2001) waarop de wereldwijde auditindustrie het publieke vertrouwen, als (onderdeel van) haar bestaansrecht, ‘verloor’. Ondanks de wereldwijde verhoogde aandacht voor, onder andere, corporate governance en verscherpte wet- en regelgeving (waaronder de Sarbanes-Oxley wet) is de potentie voor financiële verslaggevingsfraude blijven bestaan.

De evolutie van de financiële markten, hetgeen voornamelijk gestalte kreeg in de 20ste en 21ste eeuw, heeft een toenemende behoefte doen ontstaan naar het publiekelijk afleggen van verantwoording. Echter bleek de jaarrekening hiertoe alleen niet voldoende. Zonder vertrouwen was het maatschappelijk verkeer (waaronder investeerders) aangewezen op de beste bedoelingen van het management. Kortom, een complicatie als gevolg van een ‘overeenkomst’ tussen het maatschappelijk verkeer en het management met als resultaat een zekere mate van afhankelijkheid. Vanuit deze problematiek werden tenminste een tweetal theorieën ‘geboren’ te weten de leer van het gewekte vertrouwen (Limperg, 1932) en de agency theorie (o.a. Jensen & Meckling, 1976). Limperg (1932) bekroonde deze ontwikkeling tot de bestaansvoorwaarde voor de functie van de (openbare) accountant als vertrouwensman van het maatschappelijk verkeer. Limperg schrijft hiertoe letterlijk: “De functie van den vertrouwensman immers ontstaat, doordat het maatschappelijk verkeer geen of onvoldoende vertrouwen stelt in de mededelingen en het oordeel van andere functionarissen. Het vertrouwen in de doeltreffendheid der controle en in het oordeel van den accountant vormt dus den bestaansgrond van diens functie.” Verderop in het artikel volgt de zinsnede: “…wordt het vertrouwen beschaamd, dan wordt ook de functie vernietigd, want zij wordt nutteloos.” Is de functie van de accountant, als gevolg van het beschamen van het vertrouwen door de diverse schandalen, vernietigd en wordt deze daarmee nutteloos? Is de interpretatie van vertrouwen, zoals bedoeld door Limperg, nog wel opportuun gezien de evolutie van nieuwe, disruptieve, technologieën? In de context van dit onderzoek zou blockchain hierin, als één van die technologieën, wel eens een significante rol kunnen gaan spelen.

(9)

De evolutie van de blockchain hangt nauw samen met die van de Bitcoin welke gebruik maakt van de blockchain als onderliggende (technische) architectuur. Bitcoin, doch voornamelijk de blockchain, heeft zich in de loop der jaren enerzijds bewezen als waardevol netwerk met kenmerken als transparantie en security waarbij publieke participatie en zichtbaarheid essentieel is doch anderzijds te kampen heeft (gehad) met aspecten als privacy en geautoriseerde toegang (respectievelijk het onderscheid tussen de zogeheten publieke en private blockchains). Binnen dit spectrum voorziet Spoke oplossingen voor diverse, wereldwijde, problemen zowel op het gebied van gecentraliseerde data als ten aanzien van financiële verslaggeving en auditing. Het traditionele auditproces, gebaseerd op het zogeheten ‘double entry bookkeeping’ waarbij elke geregistreerde transactie een tegenboeking kent (lees: debet en credit), is gedurende decennia niet of nauwelijks veranderd. De accountant controleert (mits controleplichtig) en/of verifieert (materiële) transacties zowel van zijn klant als diens stakeholders. In dit proces zou de blockchain een disruptieve rol kunnen spelen hetgeen Spoke kernachtig samenvat: “With the ability to compare accounting entries between two trading partners, while maintaining data privacy, this solution could significantly reduce the reliance on auditors for testing financial transactions. Once a match is posted to the blockchain, the transaction is time stamped and irreversibly recorded. “Everyone agrees on consensus that those transactions actually happened, and boom you have that verification. You have the debit, the credit, and the confirmation by the network.” De blockchain zou, bijvoorbeeld, de rol van een zogeheten ‘externe bevestiging’ op geautomatiseerde wijze kunnen vervullen. Dit betekent tegelijkertijd dat de rol van de accountant, in deze context ook wel de rol van intermediair vertegenwoordigend, ten aanzien van routinematige transacties zou kunnen komen te vervallen. Is dit de bevestiging dat de functie van de accountant, als intermediair/vertrouwenspersoon, door de opkomst van de blockchain nutteloos is geworden? Dit onderzoek zal geen antwoord geven op deze vraag, maar zal aan de hand van de theorie rondom de blockchain(technologie), de leer van het gewekte vertrouwen (Limperg, 1932) en de agency theorie (o.a. Jensen & Meckling, 1976) uitmonden in een overzicht van kansen en bedreigingen met betrekking tot de blockchain(technologie) voor de accountant als zekerheidsverschaffer.

(10)

Het spectrum van zowel disruptieve technologieën als auditing introduceert een tweede, tevens voor dit onderzoek laatste, relevante zekerheidsverschaffer: de IT-auditor. Het plaatsen van zijn deskundigheid in de hiervoor geschetste context zal in dit onderzoek uitmonden in de op diens rol geënte kansen en bedreigingen. Deze kansen en bedreigingen zullen aansluitend in de praktijk onder enkele respondenten (accountants, beroepsorganisaties en de ‘business’) worden getoetst, gevolgd door een analyse en de hieruit te trekken conclusies. 1.2. Doel, probleemstelling en onderzoeksvragen De (verdere) evolutie van de blockchain(technologie) heeft diverse organisaties aangezet tot overpeinzing van de consequenties van deze technologie voor hun ‘business’. Naast enkele accountantsorganisaties, waarbij hier voornamelijk wordt gedoeld op de ‘Big4’ (Deloitte, EY, KPMG en PwC), is ook de NBA (Koninklijke Nederlandse Beroepsorganisatie van Accountants) de inventariserende weg ingeslagen waaruit het in mei 2016 verschenen Meerjaren projectplan Commissie MKB is voortgekomen. Hierin wordt het volgende over de blockchain geschreven: “Een ontwikkeling die zich nu nog niet voordoet, maar die een grote disruptieve werking kan hebben is blockchain.” “Blockchain vormt een bedreiging voor de gevestigde orde van ‘zekerheidsverschaffers’ als accountants, banken en notarissen.” Het doel van dit onderzoek is om, uit de theorie rondom de blockchain(technologie), de leer van het gewekte vertrouwen (Limperg, 1932) en de agency theorie (o.a. Jensen & Meckling, 1976), een overzicht van kansen en bedreigingen met betrekking tot de blockchain(technologie) te abstraheren, hetgeen in de praktijk zal worden getoetst onder de (citaat) “…de gevestigde orde van ‘zekerheidsverschaffers’ als accountants…” (NBA, 2016), beroepsorganisaties en de ‘business’. Nadere analyse van deze confrontatie zal uitmonden in de hieruit te trekken conclusies.

(11)

De aanleiding tot dit onderzoek en het hieruit voortvloeiende doel heeft geleid tot het formuleren van de volgende probleemstelling: “Met welke kansen en bedreigingen kan de gevestigde orde van zekerheidsverschaffers, waaronder accountants en IT-auditors, in de context van de blockchain(technologie) te maken krijgen en welke waarde wordt hieraan gehecht?” Teneinde antwoord te kunnen geven op de hierboven geïntroduceerde probleemstelling, zijn de volgende hiervan afgeleide onderzoeksvragen geformuleerd: 1. Wat is blockchain(technologie)? 2. Waaraan ontleent de accountant zijn bestaansrecht bezien vanuit de leer van het gewekte vertrouwen? 3. Waaraan ontleent de accountant zijn bestaansrecht bezien vanuit de agency theorie? 4. Welke kansen en bedreigingen kunnen worden geabstraheerd vanuit de leer van het gewekte vertrouwen en de agency theorie in de context van de relevante kenmerken van de blockchain(technologie) en welke rol zou hierbij weggelegd kunnen zijn voor de IT-auditor? 5. Welke waarde wordt door de gevestigde orde van zekerheidsverschaffers, waaronder accountants en IT-auditors, gehecht aan de geabstraheerde kansen en bedreigingen rondom de blockchain(technologie)? 1.3. Scope onderzoek Ondanks het disruptieve karakter van de blockchain(technologie) bevindt deze zich nog, vanuit het perspectief van concrete toepassingen (waaronder in de gevestigde orde van zekerheidsverschaffers), in een relatief prematuur stadium. Dit gegeven heeft zich in de keuze voor de onderzoeksmethode vertaald in een vergelijkende casestudy (Verschuuren en Doorewaard, 2015), waarbij de keuze voor en inhoud van deze onderzoeksmethodiek in de hiernavolgende paragraaf nader uiteen zal worden gezet, welke een relatief klein aantal selectieve onderzoekseenheden (lees: aantal respondenten) tolereert. Het relatief premature stadium waarin de blockchain(technologie) thans verkeert alsmede beide theorieën in relatie tot het bestaansrecht van de accountant als zekerheidsverschaffer, is daarnaast van invloed geweest op het aantal te benoemen kansen en bedreigingen.

(12)

De keus om dit te maximaliseren vloeit voort uit de doelstelling om vanuit een overzichtelijke (niet limitatieve) en begrijpelijke context een optimaal raakvlak te creëren tussen de relevante kenmerken van de blockchain(technologie) en de leer van het gewekte vertrouwen en de agency theorie. De combinatie van het hierboven beschrevene heeft er voor dit onderzoek toe geleid dat: 1. Maximaal vijf relevante kernmerken van de blockchain(technologie) zijn gedefinieerd waaraan, vanuit de leer van het gewekte vertrouwen en de agency theorie, kansen en bedreigingen zijn gekoppeld welke vervolgens in de praktijk zijn getoetst onder de hierna te identificeren respondenten; 2. Aan maximaal zeven respondenten het overzicht van kansen en bedreigingen ter toetsing van de theorie is voorgelegd welke als volgt zijn samengesteld: a. Een tweetal externe accountants van verschillende ‘Big4’ accountantsorganisaties; b. Een tweetal externe accountants van verschillende MKB accountantsorganisaties; c. Eén vertegenwoordiger van de NBA (de Beroepsorganisatie van accountants); d. Eén vertegenwoordiger van de NOREA (de Beroepsorganisatie van IT-auditors); en e. Eén vertegenwoordiger van IBM Security (‘business’). 1.4. Onderzoeksmethode De voor dit onderzoek gehanteerde methodiek laat zich kenmerken als casestudy. Volgens Verschuuren en Doorewaard (2015) kan de casestudy als volgt worden gedefinieerd: “een onderzoek waarbij de onderzoeker probeert om een diepgaand en integraal inzicht te krijgen in één of enkele tijdruimtelijk begrensde objecten of processen”. Enkele kenmerken van de casestudy betreffen achtereenvolgens (Verschuuren en Doorewaard, 2015): • Een klein aantal onderzoekseenheden; • Een selectieve ofwel strategische steekproef; • Een open waarneming op locatie; • Kwalitatieve gegevens en dito onderzoeksmethoden. De eerste twee kenmerken zijn reeds kort en bondig toegelicht in paragraaf 1.3. De open waarneming op locatie spreekt feitelijk voor zich. De reeds geïdentificeerde respondenten zijn op locatie benaderd waaraan het overzicht van kansen en bedreigingen, in combinatie met een interview, is voorgelegd, vervolgens de inzichten uit de praktijk zijn vastgelegd gevolgd door een analyse. De informatie welke t.b.v. de in hoofdstuk 6 uitgewerkte analyse is verkregen is, net als de methodiek an sich, overwegend kwalitatief van aard.

(13)

Voor dit onderzoek is de variant vergelijkende casestudy gehanteerd met als reden dat de praktijktoets is afgenomen onder verschillende, aan de accountants- maar ook IT-auditorsprofessie gerelateerde, respondenten. Deze diversiteit biedt derhalve perspectief om de afzonderlijk gedefinieerde ‘cases’ te vergelijken/analyseren. De belangrijkste voordelen van de gehanteerde onderzoeksmethodiek laten zich als volgt samenvatten (Verschuuren en Doorewaard, 2015): • Er kan een integraal beeld worden verkregen, hetgeen vooral een voordeel kan zijn in een onderzoek dat is gericht op verandering van een bestaande situatie (lees: blockchain als veranderpotentieel binnen de wereld van zekerheidsverschaffers); • De resultaten worden vaak eerder door ‘het veld’ herkend, begrepen en geaccepteerd (indien van toepassing), voornamelijk als gevolg van het ‘alledaagse’ karakter van deze methodiek. Als belangrijkste nadeel wordt door Verschuuren en Doorewaard (2015) onderkend: • De externe geldigheid van de resultaten staan mogelijk onder druk. Dit als gevolg van het relatief geringe aantal ‘gevallen’ waardoor het moeilijker is om de bevindingen van toepassing te verklaren op het geheel of op analoge gevallen. Ondanks het relatief ‘geringe’ aantal ‘gevallen’ is voor dit onderzoek gekozen voor een zekere mate van diversiteit (onderscheid tussen beroepsbeoefenaren, beroepsorganisaties en de ‘business’) binnen de groep van respondenten met als doel de potentiële eenzijdigheid te doorbreken en daarmee de externe geldigheid kwalitatief te vergroten. 1.5. Leeswijzer Het onderzoek is opgedeeld in een zevental hoofdstukken. Volgend op de beschrijving van de aanleiding tot dit onderzoek, zoals uiteengezet in dit hoofdstuk, beschrijft hoofdstuk 2 de blockchain(technologie). Het bestaansrecht van de accountant volgens de leer van het gewekte vertrouwen en de agency theorie wordt uiteengezet in respectievelijk hoofdstuk 3 en 4. Het overzicht van kansen en bedreigingen voor zekerheidsverschaffers krijgt gestalte in hoofdstuk 5 gevolgd door de praktijktoets in hoofdstuk 6. Het onderzoek wordt in hoofdstuk 7 besloten met het beantwoorden van de probleemstelling, het formuleren van de voor dit onderzoek relevante conclusie(s) en een reflectie.

(14)

2. De blockchain(technologie)

2.1. Inleiding In dit hoofdstuk staat de beantwoording van de eerste onderzoeksvraag “Wat is blockchain(technologie)?” centraal. Met de uiteenzetting van het theoretisch kader met betrekking tot de blockchain(technologie) in paragraaf 2.2 gaat tevens de abstractie van de voor dit onderzoek relevante kenmerken gepaard. Paragraaf 2.3 sluit het hoofdstuk af met een samenvatting. 2.2. De blockchain(technologie) De definitie van de blockchain(technologie) laat zich het best beschrijven vanuit de context van de Bitcoin. Don en Alex Tapscott (2016) brengen dit als volgt tot uitdrukking: “…kind of like a global spreadsheet or ledger, which leverages the resources of a large peer-to-peer bitcoin network to verify and approve each bitcoin transaction. Each blockchain, like the one that uses bitcoin, is distributed: it runs on computers provided by volunteers around the world; there is no central database to hack. The blockchain is public: anyone can view it at any time because it resides on the network, not within a single institution charged with auditing transactions and keeping records. And the blockchain is encrypted: it uses heavy duty encryption involving public and private keys to maintain virtual security. Every ten minutes all the transactions conducted are verified, cleared and stored in a block which is linked to the preceding block, thereby creating a chain. Each block must refer to the preceding block to be valid. This structure permanently timestamps and stores exchanges of value, preventing anyone from altering the ledger.” “If you wanted to steal a bitcoin, you’d have to rewrite the coin’s entire history on the blockchain in broad daylight.” “So the blockchain is a distributed ledger representing a network consensus of every transaction that has ever been occurred.”

(15)

Vrij vertaald ‘definiëren’ Don en Alex Tapscott (2016) de blockchain(technologie) als een gedistribueerd (distributed) ‘grootboek’ welke een netwerk (public) vertegenwoordigd waarin sprake is van consensus over elke transactie binnen een ‘block’1. Hierbij wordt consensus bereikt door middel van het, elke 10 minuten, verifiëren, opschonen en opslaan (valideren) van alle transacties binnen een block welke gekoppeld is aan het voorgaande block waarmee een ‘chain’/keten wordt gevormd. De kracht van de chain/keten wordt enerzijds ontleend aan de ‘security’ in de vorm van cryptografie (encrypted2), gebruikmakend van zowel private als public ‘keys’, en anderzijds in de kracht van de chain/keten waarbij elk block, wil deze valide zijn, moet refereren aan de voorgaande. De ‘definitie’ van de blockchain(technologie) van Don en Alex Tapscott (2016) introduceert enkele van diens, voor dit onderzoek relevante, kenmerken welke beiden hebben samengevat tot The Seven Design Principles te weten: 1. Network Integrity; 2. Distributed Power; 3. Value as Incentive; 4. Security; 5. Privacy; 6. Rights Preserved; en 7. Inclusion. Ter illustratie volgen hierna een tweetal figuren welke de definitie van de blockchain(technologie), de werking en enkele van de voor dit onderzoek relevante kenmerken verder verduidelijken. 1 Vanwege het internationale karakter van de bockchain(technologie) is besloten woorden en lettergrepen als ‘block(s)’, ‘chain’ en ‘hash’ niet te vertalen en deze éénmalig middels ‘aanhalingstekens’ te introduceren 2 Encrypted, vrij vertaald Encryptie (vercijferen), is het onleesbaar maken van een bericht voor onbevoegden. Men kan het oorspronkelijke bericht alleen achterhalen als men volledige kennis heeft van de gebruikte vercijfermethode (het algoritme) en de bijbehorende waarden (de private en/of publieke sleutel) (van Houten et al, 2015)

(16)

Figuur 1: Het creëren van een nieuw ‘block’, ter illustratie van de werking van de blockchain(technologie). Bron: Goldman Sachs Global Investment Research Volgens Schneider et al. (2016) dient de blockchain te worden omschreven als een tussen twee of meer partijen gedeelde database voorzien van transacties met als doel om security, transparantie en efficiency te vergroten. Schneider et al. (2016) vatten de ‘anatomie’ van de blockchain als volgt kernachtig samen. Een blockchain is: • Een database (met kopieën van deze database verspreid over meerdere locaties of zogeheten ‘nodes’) • Van transacties (tussen twee of meer partijen) • Verdeeld over blocks (waarbij elk block gedetailleerde informatie bevat over de transactie bestaande uit onder andere de verkopende en kopende partij, de prijs en de contractvoorwaarden) • Welke worden gevalideerd binnen het gehele netwerk door middel van encryptie waarbij de betreffende transactiedetails en de unieke handtekeningen van twee of meer partijen worden gecombineerd. De transactie wordt als valide bestempeld wanneer het resultaat van de versleuteling voor alle nodes hetzelfde is • En worden toegevoegd aan de bestaande blocks binnen de chain (zolang het block wordt gevalideerd). Op het moment dat het block niet (meer) valide is, zal op basis van consensus tussen de nodes een correctie (en daarmee herstel) plaatsvinden

(17)

Figuur 2: Enkele kenmerken van de blockchain(technologie). Bron: Goldman Sachs Global Investment Research In tegenstelling tot figuur 1 benadrukt figuur 2 expliciet de eerste drie relevante kenmerken van de blockchain(technologie) binnen de context van dit onderzoek te weten validatie en security en consensus zoals hierboven reeds geïntroduceerd. Voordat transacties worden toegevoegd aan bestaande of nieuwe blocks binnen het netwerk, dient validatie binnen het gehele netwerk (de in de chain fungerende nodes) plaats te vinden. Consensus is representatief voor het gewekte vertrouwen binnen het gehele netwerk alvorens transacties (aan bestaande blocks), na validatie, worden toegevoegd. Figuur 2 illustreert dit als zodanig daar het ongelijke resultaat van de versleuteling bij ‘node 5’ leidt tot het niet, kunnen, valideren ervan waarbij opnieuw consensus moet worden verkregen. Dit kenmerk maakt onderdeel uit van het design principle Network Integrity. Validatie geschiedt door middel van encryptie bestaande uit een combinatie van transactiedetails en de unieke handtekening (private sleutels) van twee of meer partijen uitmondend in een zogeheten hash (versleuteling). De transactie wordt als valide bestempeld wanneer het resultaat van de versleuteling voor alle nodes hetzelfde is. Dit kenmerk maakt, net als consensus, onderdeel uit van het design principle Network Integrity.

(18)

Het kenmerk security binnen het netwerk omvat, naast de beschreven versleuteling, het toevoegen van een timestamp aan elke transactie welke cruciale informatie bevat over het moment waarop deze zich heeft voorgedaan. Op deze wijze zijn transacties op chronologische volgorde (vanaf de eerste tot en met de meest recente) zichtbaar binnen het netwerk en wordt het zogeheten ‘double spending’ voorkomen. Dit kenmerk maakt zowel onderdeel uit van het gelijknamige design principle als Rights Preserved. Resumerend kan in deze context worden verondersteld dat de blockchain(technologie) een verschuiving teweegbrengt met betrekking tot het begrip vertrouwen tot uitdrukking komend in thans – voor het valideren van transacties – noodzakelijke mensen en intermediairs naar nodes en gedecentraliseerde mechanismen (gezamenlijk actief binnen de blockchain) gebaseerd op een consensus protocol. Dit vertrouwen wordt in deze context versterkt door validatie en security welke beiden zijn ‘versleuteld’ binnen het consensus protocol. Don en Alex Tapscott (2016) voegen een relevant kenmerk van de blockchain(technologie), zowel in de context van dit onderzoek als geheel als ten aanzien van het kenmerk vertrouwen, toe: transparantie. Zij schrijven hiertoe het volgende: “Transparency means operating out in the open, in the light of day. “What are they hiding?” is a sign of poor transparancy that leads to distrust. Of course, companies have legitimate rights to trade secrets and other kinds of proprietary information. But when it comes to pertinent information for customers, shareholders, employees, and other stakeholders, active openness is central to earning trust.” Transparantie vormt, tot op zekere hoogte, een belangrijke voedingsbodem voor het creëren van het noodzakelijke vertrouwen om transacties tot stand te brengen. Tegelijkertijd biedt transparantie een mogelijkheid om informatieasymmetrie, als complicatie binnen de agency theorie, te mitigeren. Dit kenmerk maakt onderdeel uit van het design principle Network Integrity.

(19)

In relatie tot de eerder geïntroduceerde design principles dienen de volgende, ten aanzien van de relevantie voor dit onderzoek, nog te worden behandeld: • Distributed Power; • Value as Incentive; • Privacy; en • Inclusion. Distributed Power vertegenwoordigt het volgende voor dit onderzoek relevante kenmerk: Geen single point of control. Don en Alex Tapscott (2016) omschrijven dit kenmerk als de onmogelijkheid voor een individu om het gehele netwerk te kunnen beheren. Het karakter van dit kenmerk vertoont raakvlakken met de eerder geïntroduceerde kenmerken consensus en transparantie. Immers, het gehele netwerk dient consensus te bereiken over de transacties welke, al dan niet door een individu geïnitieerd, aan het netwerk worden toegevoegd. Daarnaast maakt het transparante karakter van het netwerk het voor een individu onmogelijk om ‘ongezien’ handelingen te verrichten. Het design principle Value as Incentive beschrijft de paradox waarbij acties door individuen (bijvoorbeeld het initiëren van een transactie) zowel van toegevoegde waarde voor de individuen (reputatie) als voor het netwerk (instandhouding en ontwikkeling van de keten) als geheel zijn. De aard van dit kenmerk (waardecreatie) in relatie tot de context van dit onderzoek (kansen en bedreigingen van de blockchaintechnologie als disruptieve technologie binnen de gevestigde orde van zekerheidsverschaffers) heeft ertoe geleid om dit kenmerk niet te selecteren. Privacy betreft het laatste, en daarmee vijfde, voor dit onderzoek als relevant bestempelde gelijknamige kenmerk. De blockchain(technologie) biedt de mogelijkheid om je als individu een virtuele identiteit aan te nemen zonder de feitelijke identiteit prijs te geven. Identificatie binnen het netwerk geschiedt aan de hand van, bijvoorbeeld, het IP-adres. Het laatste design principle Inclusion gaat volgens Don en Alex Tapscott (2016) in op de gedachte dat eenieder (arm of rijk, het al dan niet kunnen beschikken over internet etc.) in de economie zou moeten kunnen participeren. De blockchain(technologie) maakt het, onder andere, mogelijk om door middel van de zogeheten Simplified Payment Verification (SPV), transacties te verifiëren met een mobiele telefoon waarbij een internetverbinding, maar ook een bankrekening, identiteit, geboorteakte en thuisadres niet noodzakelijk is.

(20)

De doelstelling van dit kenmerk om ieder individu te kunnen laten participeren in de economie, biedt onvoldoende perspectief voor dit onderzoek met als gevolg dat ook dit kenmerk niet als zodanig is geselecteerd. 2.3. Samenvatting In dit hoofdstuk is antwoord gegeven op de eerste onderzoeksvraag “Wat is blockchain(technologie)?” Samengevat luidt het antwoord als volgt: de blockchain(technologie) als een gedistribueerd (distributed) ‘grootboek’ welke een netwerk (public) vertegenwoordigd waarin sprake is van consensus over elke transactie binnen een ‘block’. Hierbij wordt consensus bereikt door middel van het, elke 10 minuten, verifiëren, opschonen en opslaan (valideren) van alle transacties binnen een block welke gekoppeld is aan het voorgaande block waarmee een ‘chain’/keten wordt gevormd. De kracht van de chain/keten wordt enerzijds ontleend aan de ‘security’ in de vorm van cryptografie (encrypted), gebruikmakend van zowel private als public ‘keys’, en anderzijds in de kracht van de chain/keten waarbij elk block, wil deze valide zijn, moet refereren aan de voorgaande. Daarnaast zijn de voor dit onderzoek relevante kenmerken gedefinieerd welke zich als volgt laten introduceren: 1. Consensus; 2. Validatie en security; 3. Transparantie; 4. Geen single point of control; en 5. Privacy.

(21)

3. De accountant en de leer van het gewekte vertrouwen

3.1. Inleiding Dit hoofdstuk ontleent het bestaansrecht van de accountant aan de theorie volgens de leer van het gewekte vertrouwen. Hiermee wordt, tegelijkertijd, antwoord gegeven op de gelijknamige onderzoeksvraag (paragraaf 3.2). Paragraaf 3.3 vat de kern van het antwoord op de onderzoeksvraag “Waaraan ontleent de accountant zijn bestaansrecht bezien vanuit de leer van het gewekte vertrouwen?” kort en bondig samen. 3.2. Bestaansrecht accountant volgens de leer van het gewekte vertrouwen Door de toenemende mate van afhankelijkheid van derden (voornamelijk vanuit de financieringsbehoefte), uitgedrukt in het maatschappelijk verkeer als verzamelbegrip, en diens druk op ondernemingen om verantwoording af te leggen, deed de functie van de accountant als vertrouwensman van het maatschappelijk verkeer volgens Limperg (1932) zijn intrede. Dat afhankelijkheid nauw samenhangt met vertrouwen blijkt uit het tweede, in oktober van 1932, verschenen artikel van Limperg waarin hij schetst dat “…het maatschappelijk verkeer behoefte heeft aan een volledig onafhankelijke openbare accountant welke een oordeel verstrekt over de verantwoording van de onderneming.” De functie van de accountant zit geworteld in het vertrouwen dat door het maatschappelijk verkeer wordt gesteld in de doeltreffendheid van de controle en in het oordeel van de accountant. Limperg vat de behoefte van het maatschappelijk verkeer samen tot de vraagzijde van de accountantscontrole. In de context van reguliere marktwerking is er, naast de vraagzijde, vanzelfsprekend sprake van een aanbodzijde. Limperg omschrijft deze zijde als de zijde waarin de accountant zijn inspanningen op een zodanig niveau dient te brengen, dat het vertrouwen van het maatschappelijk verkeer niet wordt beschaamd. Ofwel, de accountant is verplicht om zijn arbeid zo te verrichten, dat hij de verwachtingen, welke hij bij het maatschappelijk verkeer opwekt, niet beschaamt. Doet hij dit wel, dan verliest de functie van de accountant haar inhoud. Omgekeerd geldt dat de accountant geen grotere verwachtingen mag opwekken dan voor de verrichte arbeid gerechtvaardigd wordt.

(22)

3.3. Samenvatting Volgens Limperg (1932) ontleent de accountant zijn bestaansrecht vanuit de leer van het gewekte vertrouwen aan de toenemende mate van afhankelijkheid van derden (maatschappelijk verkeer) en diens druk op ondernemingen om verantwoording af te leggen. Hierbij maakt Limperg onderscheid tussen de vraagzijde: De functie van de accountant zit geworteld in het vertrouwen dat door het maatschappelijk verkeer wordt gesteld in de doeltreffendheid van de controle en in het oordeel van de accountant; en de aanbodzijde: Betreft de zijde waarin de accountant zijn inspanningen op een zodanig niveau dient te brengen, dat het vertrouwen van het maatschappelijk verkeer niet wordt beschaamd.

(23)

4. De accountant en de agency theorie

4.1. Inleiding Daar waar in het vorige hoofdstuk de theorie van de leer van het gewekte vertrouwen ter verklaring van het bestaansrecht van de accountant is behandeld, volgt in dit hoofdstuk een tweede pijler: de agency theorie. Met dit hoofdstuk (paragraaf 4.2) wordt tevens antwoord gegeven op de derde onderzoeksvraag “Waaraan ontleent de accountant zijn bestaansrecht bezien vanuit de agency theorie?”. Paragraaf 4.3 besluit, middels de bekende hoofdstukindeling, met een samenvatting. 4.2. Bestaansrecht accountant volgens de agency theorie Roger Dassen (1989) pakt de visie van Limperg op door deze in zijn artikel “De Leer van het Gewekte Vertrouwen: Agency avant la lettre?” als voorloper van de agency theorie neer te zetten. Dassen (1989) schrijft dat de ‘spil’ van Limpergs visie zowel bij de vraag als bij het aanbod wordt gevormd door het element vertrouwen. Daarnaast onderschrijft Dassen de door Limperg geschetste onzekerheid van het maatschappelijk verkeer en de daaruit voortvloeiende behoefte aan informatie en verantwoording. Het sluitstuk in deze vormt de inschakeling van een onafhankelijke deskundige, die tot taak heeft de controle op een dergelijke verantwoording uit te voeren, in het belang van zowel de onderneming als het maatschappelijk verkeer. Hierbij vormt het afleggen van verantwoording enerzijds en de adequate controle daarop anderzijds, de basis voor een vertrouwensrelatie tussen ondernemingsleiding, maatschappelijk verkeer en accountant. Deze elementen: “…divergerende belangen, onzekerheid en verantwoordingsbehoefte op economische gronden scheppen het kader waarbinnen de agency theorie moet worden gezien.” Genoemd kader wordt verder geconcretiseerd door, onder andere, het door Healy en Palepu (2001) verkregen inzicht. Ter introductie van dit inzicht volgt onderstaande schematische weergave (zie figuur 3), voorzien van een korte toelichting.

(24)

Figuur 3: Schematische weergave van de stroom van financiële middelen en informatiestroom binnen de kapitaalmarkt. Bron: Journal of Accounting and Economics 31 (2001) Het door Healy en Palepu (2001) verrichtte empirische onderzoek vond plaats in de context van financiële verslaggeving en publicatie welke voor het management van belang zijn om met investeerders te communiceren over de prestaties en governance3 van de onderneming. In figuur 3 wordt de in hoofdstuk 3, paragraaf 3.2, geïntroduceerde afhankelijkheid van derden gevisualiseerd tot uitdrukking komend in de financieringsbehoefte van een onderneming. Daartegenover staat de behoefte van de investeerders om informatie van de onderneming die daarmee verantwoording (bijvoorbeeld door middel van een jaarrekening) aflegt over de prestaties en governance. Zowel de stroom van financiële middelen als de informatiestroom wordt beïnvloed door intermediairs, in deze context respectievelijk financiële instellingen en accountants. Tegelijkertijd is er sprake van een relatie tussen genoemde intermediairs waarbij financiële instellingen, net als investeerders, tot de stakeholders van een onderneming behoren en als zodanig een informatiebehoefte kennen en de accountant een onafhankelijke rol vervult in het voorzien in die behoefte. Kenmerkend in deze behoeftebevrediging is het (zo volledig mogelijk) elimineren van informatieasymmetrie. 3 Governance: Governance gaat over besturen en beheersen, over verantwoordelijkheid en zeggenschap en over toezicht en verantwoording. De Nederlands Corporate Governance Code (Monitoring Commissie Corporate Governance Code, 8 december 2016)

(25)

Informatieasymmetrie wordt gezien als een van de complicaties binnen de agency theorie waarbij deze theorie, volgens Jensen & Meckling (1976), uit gaat van een overeenkomst waarin de agent (management) zich verplicht om tegen een (vaste of variabele) beloning bepaalde diensten te verrichten ten behoeve van zijn principaal (externe participanten, waaronder investeerders). Deze overeenkomst ontstaat omdat de agent meer dan de principaal in de gelegenheid is om bedoelde inspanningen te verrichten. Alsdan ontstaat voor de principaal de in paragraaf 1.1 geschetste (gedeeltelijke) afhankelijkheid van de beste bedoelingen van de agent. De agency theorie bestudeert de complicaties welke worden opgeroepen door dergelijke overeenkomsten en informatieasymmetrie is er daar één van. Deze complicatie ontstaat als gevolg van het feit dat de principalen niet permanent over de schouder van de agent mee kunnen kijken en uit dien hoofde informatieachterstand oplopen. Daar waar in de leer van het gewekte vertrouwen de behoefte aan en daarmee het bestaansrecht van de accountant wordt ontleend aan het vertrouwen dat door het maatschappelijk verkeer wordt gesteld in de volledig onafhankelijke (openbare) accountant, de doeltreffendheid van de controle en diens oordeel, komt deze behoefte in de agency theorie tot uitdrukking in de informatieachterstand van de principalen ten opzichte van de agent(en), waarbij de agenten voor de keuze worden geplaatst om hetzij: • een hogere vergoeding te betalen aan de principalen; hetzij • ervoor te zorgen dat de informatieachterstand wordt verkleind, resulterend in een specifieke behoefte aan controle-technische deskundigheid, gericht op de beoordeling van een verantwoording. 4.3. Samenvatting Het bestaansrecht van de accountant wordt volgens de agency theorie ontleend aan de bij stakeholders, bijvoorbeeld financiële instellingen, bestaande informatiebehoefte waarbij de accountant een onafhankelijke rol vervult in het voorzien in die behoefte. Kenmerkend in deze behoeftebevrediging is het (zo volledig mogelijk) elimineren van informatieasymmetrie waarbij laatstgenoemde wordt gezien als een van de complicaties binnen de agency theorie.

(26)

5. Kansen en bedreigingen blockchain voor zekerheidsverschaffers

5.1. Inleiding In de hoofdstukken 2 t/m 4 is kort en bondig stilgestaan bij het theoretisch kader rondom de blockchain(technologie) en een tweetal theorieën welke aan de wieg hebben gestaan van het accountantsberoep. In hoofdstuk 2 zijn tevens de voor dit onderzoek meest relevante kenmerken van de blockchain(technologie) geschetst. In dit hoofdstuk wordt het overzicht van kansen en bedreigingen handen en voeten gegeven. Hierbij wordt onderscheid gemaakt tussen de voor de accountant (paragraaf 5.2) en IT-auditor (paragraaf 5.3) relevante kansen en bedreigingen. Een samenvatting in paragraaf 5.4 sluit dit hoofdstuk af. 5.2. Kansen en bedreigingen blockchain voor de accountant Alvorens het overzicht van kansen en bedreigingen wordt geconcretiseerd volgen hieronder, volledigheidshalve, de in hoofdstuk 2 geïntroduceerde voor dit onderzoek meest relevante kenmerken van de blockchain(technologie). 1. Consensus als synoniem voor het (nieuwe) vertrouwen binnen financiële markten 2. Validatie en security als middel om op basis van consensus op een betrouwbare, voornamelijk technische, en veilige manier transacties, voorzien van de minimaal noodzakelijke transactiedetails en een timestamp, te genereren, registeren, beheren én te controleren (Schneider et al., 2016) 3. Transparantie als oplossing voor het mitigeren van de informatieasymmetrie als complicatie binnen de agency theorie 4. Geen single point of control als kenmerk waarbij centraal beheer door een individu onmogelijk wordt gemaakt, daarmee de beschikbaarheid van informatie wordt verbeterd en tezamen met consensus en transparantie een open en collectief netwerk wordt gerealiseerd 5. Privacy als mogelijkheid voor het aannemen van een virtuele identiteit welke, onder andere, perspectief biedt binnen de hiermee samenhangende wet- en regelgeving (waaronder de Wet Bescherming Persoonsgegevens) De hierboven genoemde kenmerken, waarbij er sprake is van een raakvlak tussen de voor dit onderzoek relevante theorieën en –kaders, zullen hierna worden belicht vanuit het perspectief van kansen en bedreigingen ter realisatie van het gelijknamige overzicht. Zonder kansen en bedreigingen nader te definiëren, wordt er in de context van dit onderzoek op een kans gedoeld wanneer deze, in positieve zin, perspectief biedt voor de zekerheidsverschaffer (externe accountant en/of IT-auditor). Voor een bedreiging geldt, logischerwijs, het omgekeerde.

(27)

1. Consensus a. Kans(en): het (nieuwe) vertrouwen binnen de financiële markten, waardoor de rol van intermediairs, waaronder accountants als zekerheidsverschaffers, kan verschuiven van de controle/verificatie van routinematige naar niet-routinematige (veelal onder invloed van enige mate van subjectiviteit) transacties en interne controle (Spoke, 2015) b. Bedreiging(en): het (nieuwe) vertrouwen binnen de financiële markten, waardoor de rol van intermediairs, waaronder accountants als zekerheidsverschaffers, significant minder belangrijk wordt 2. Validatie en security a. Kans(en): validatie en security als middel om op basis van consensus op een betrouwbare, voornamelijk technische, en veilige manier transacties, voorzien van de minimaal noodzakelijke transactiedetails en een timestamp, te genereren, registeren, beheren én te controleren. Daarnaast biedt dit kenmerk, bezien vanuit de context van het consensus protocol, perspectief in het voorkomen van ‘double spending’ (Schneider et al., 2016) hetgeen eveneens een mitigerend effect kan hebben op de kans op een afwijking van materieel belang in de verantwoording b. Bedreiging(en): het moedwillig manipuleren van de blockchaintechnologie om ‘double spending’ mogelijk te maken waardoor de kans op fraude (zowel uit hoofde van financiële verslaggeving als uit hoofde van het oneigenlijk toe-eigenen van activa) toeneemt (Swan, M.) 3. Transparantie a. Kans(en): transparantie als oplossing voor het mitigeren van de informatieasymmetrie als complicatie binnen de agency theorie (Jensen & Meckling, 1976). Dit kenmerk wordt door de blockchain(technologie) verder versterkt door (bijna) realtime beschikbaarheid van informatie (Tapscott, D., Tapscott A., 2016) met de mogelijkheid om transacties realtime, bij alle betrokkenen, te controleren/verifiëren b. Bedreiging(en): het management (de agent) van ondernemingen grijpt de blockchain(technologie) aan als hét middel om de informatieasymmetrie te verkleinen, daarmee de waarde van de onderneming te vergroten en tegelijkertijd de auditkosten te verlagen (Tom Morini, grondlegger van Subledger, geïnterviewd door Ton en Alex Tapscott, 2016)

(28)

4. Geen single point of control a. Kans(en): het niet bestaan van een zogeheten ‘single point of control’ (en daarmee geen centrale database welke ‘single’ op een server draait), betekent dat geen enkel individu het netwerk kan beheren (waaronder uitschakelen) en beschikbaarheid (waaronder de continuïteit van de geautomatiseerde gegevensverwerking) van informatie (beter) wordt gewaarborgd (Tapscott, D., Tapscott A., 2016) b. Bedreiging(en): als gevolg van het gedecentraliseerde karakter van de blockchain(technologie) biedt samenspanning de mogelijkheid om een meerderheid te realiseren waarmee een ‘single point of control’ wordt gecreëerd resulterend in ‘volledige’ beheersing van het netwerk waardoor de kans op fraude (zowel uit hoofde van financiële verslaggeving als uit hoofde van het oneigenlijk toe-eigenen van activa) toeneemt 5. Privacy a. Kans(en): de mogelijkheid om een virtuele identiteit aan te nemen, en daarmee het voorkomen van (centrale) registratie en beheer van NAW-gegevens, en communicatie door middel van een IP-adres, biedt perspectief om privacy te respecteren (Tapscott, D., Tapscott A., 2016) alsook het conformeren aan de hiermee gepaard gaande wet- en regelgeving (waaronder de Wet Bescherming Persoonsgegevens) b. Bedreiging(en): net als een fysieke handtekening is een private sleutel individu-gebonden en is het op gedegen wijze bewaren hiervan cruciaal. In tegenstelling tot een fysieke handtekening is een private sleutel binnen de blockchain(technologie) direct verbonden met een asset (bijvoorbeeld een Bitcoin), zodat bij verlies of diefstal assets, welke zijn gegenereerd met of worden beheerd door middel van deze sleutel, per direct (onrechtmatig) eigendom worden. Iets ‘eenvoudigs’ als een ‘password reset’ behoort niet tot de mogelijkheden (Swan, M.), waardoor niet alleen de kans op fraude (zowel uit hoofde van financiële verslaggeving als uit hoofde van het oneigenlijk toe-eigenen van activa) toeneemt, maar ook sprake is van een bedreiging op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van informatie De hierboven per kenmerk gedefinieerde kansen en bedreigingen zijn samengevat in een tabel welke is opgenomen als bijlage (zie hiertoe Bijlage 1) bij dit onderzoek.

(29)

Teneinde de relevantie van de onderkende kansen en bedreigingen te kunnen valideren, is de respondenten, tijdens het interview, verzocht deze te voorzien van een cijfer gevolgd door een toelichting: • ‘0’ als zijnde niet relevant • ‘1’ als zijnde minder relevant • ‘2’ als zijnde relevant • ‘3’ als zijnde zeer relevant Het ‘validatieschema’ is eveneens als bijlage (zie hiertoe Bijlage 2) bij dit onderzoek opgenomen. 5.3. Kansen en bedreigingen blockchain voor de IT-auditor Het beroep IT-auditor, aanvankelijk (als EDP-auditor) ontstaan als een specialisatie binnen het accountantsberoep, kent diverse raakvlakken met die van financial auditor (ofwel (externe) accountant)). Zo is er onder andere sprake van: • Een vertrouwensrelatie met de stakeholders van het assurance-object; • Het mitigeren van informatiesymmetrie tussen de principaal (eigenaar) en de agent (management) van het assurance-object; • Het verschaffen van zekerheid bij het assurance-object; • Het innemen van een onafhankelijke positie ten opzichte van degene die verantwoordelijk is voor het assurance-object, echter met dien verstande dat de IT-auditor, op grond van opleiding en ervaring, over deskundigheid beschikt op het gebied van informatiebeveiliging, beheersing van IT en de afstemming tussen bedrijfsprocessen en IT. De afhankelijkheid van IT vergroot, mede, daardoor de behoefte aan zekerheid omtrent de kwaliteit van IT. Niet alleen omwille van de continuïteit en kwaliteit van vitale bedrijfsprocessen, maar ook vanwege de hoge eisen die tegenwoordig worden gesteld aan transparantie, IT-governance en compliance (voldoen aan wet- en regelgeving)4. De geïdentificeerde kenmerken en de hieromtrent onderkende kansen en bedreigingen hangen in meer of mindere mate samen met het werkgebied van de IT-auditor. Deze samenhang is hieronder, per kenmerk, beschreven. 4 Bron: https://www.deitauditor.nl

(30)

1. Consensus: daar waar de rol van de accountant mogelijk minder belangrijk wordt als gevolg van de rol van de blockchain(technologie) met betrekking tot het (nieuwe) vertrouwen binnen de financiële markten, biedt dit perspectief voor de IT-auditor als zekerheidsverschaffer met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking 2. Validatie en security: voornamelijk het vakgebied informatiebeveiliging is nauw verbonden met de expertise van de IT-auditor. Diens rol zou in deze context, onder andere, kunnen bestaan uit het verstrekken van zekerheid met betrekking tot de integriteit en vertrouwelijkheid van de informatie binnen de blockchain. Daarnaast kan het binnen het netwerk overeengekomen consensus protocol, en de beheersing hieromtrent, tot de scope van de IT-auditor gaan behoren 3. Transparantie: dit kenmerk is in mindere mate van toepassing op het werkgebied van de IT-auditor 4. Geen single point of control: de beschikbaarheid van de informatie binnen de blockchain vormt het derde onderdeel van het vakgebied informatiebeveiliging behorend tot de deskundigheid van de IT-auditor. Ook ten aanzien van dit kenmerk vormt het consensus protocol een aandachtspunt daar hierin, naast afspraken omtrent validatie en security, aspecten als afstemming tussen de ‘business’ binnen de blockchain en, de kwaliteit van, IT tot uitdrukking komen 5. Privacy: bewustwording is in het kader van informatiebeveiliging een belangrijk uitgangspunt. De IT-auditor kan hiertoe ondersteuning bieden ten tijde van het opmaken van het consensus protocol 5.4. Samenvatting In dit hoofdstuk zijn de per kenmerk, voor zowel de accountant als de IT-auditor, relevante kansen en bedreigingen gedefinieerd en in Bijlage 1 bij dit onderzoek door middel van een tabel gevisualiseerd. Hiermee is antwoord gegeven op de onderzoeksvraag “Welke kansen en bedreigingen kunnen worden geabstraheerd vanuit de leer van het gewekte vertrouwen en de agency theorie in de context van de relevante kenmerken van de blockchain(technologie) en welke rol zou hierbij weggelegd kunnen zijn voor de IT-auditor?”

(31)

6. Waarde blockchain voor zekerheidsverschaffers

6.1. Inleiding Dit hoofdstuk vormt de representatie van de integratie van de resultaten van het praktijkonderzoek en de nader hieromtrent uitgevoerde analyse. Het praktijkonderzoek is, door middel van een vergelijkende casestudy (zie hiertoe paragraaf 1.4), vormgegeven door de, in de paragrafen 5.2 en 5.3 van het vorige hoofdstuk, gedefinieerde kansen en bedreigingen onder de betreffende respondenten te toetsen waarbij hen, tijdens een interview, is gevraagd te ‘reageren’ en te valideren zowel vanuit het perspectief van de externe accountant als die van de IT-auditor. Daar de details van de resultaten zijn uitgewerkt in tabelvorm (zie hiertoe Bijlage 1 Overzicht kansen en bedreigingen) is, vanwege de aanzienlijke omvang, besloten deze als bijlage (zie hiertoe Bijlage 3 Details waarde blockchain voor zekerheidsverschaffers) bij dit onderzoek op te nemen en de voor dit hoofdstuk relevante analyse de van belang zijnde kernpunten te abstraheren uit de details. Elke afzonderlijke paragraaf in dit hoofdstuk vertegenwoordigt een, samenvoeging (bijvoorbeeld ‘Big4 accountantsorganisaties’ als vertegenwoordiger van beide, hieronder vallende, respondenten) van, een respondent. Concreet betekent dit het volgende: • Paragraaf 6.2 beschrijft de waarde van de blockchain voor de zekerheidsverschaffer volgens de Big4 accountantsorganisaties; • Paragraaf 0 beschrijft de waarde van de blockchain voor de zekerheidsverschaffer volgens de MKB accountantsorganisaties; • Paragraaf Fout! Verwijzingsbron niet gevonden. beschrijft de waarde van de blockchain voor de zekerheidsverschaffer volgens de Beroepsorganisaties; en • Paragraaf 0 beschrijft de waarde van de blockchain voor de zekerheidsverschaffer volgens de Business. Elke paragraaf begint de analyse met de weergave van de waarden (validatie) van de, al dan niet tot een samenvoeging behorende, respondent. Voor de correcte interpretatie van de relevantie is hieronder, volledigheidshalve, het validatieschema opgenomen. Relevantie 0. Niet relevant 1. Minder relevant 2. Relevant 3. Zeer relevant

(32)

Naast de analyse van de kernpunten verrijkt paragraaf 6.6 dit hoofdstuk met een analyse waarin de meest opvallende verschillen tussen de respondenten onderling tot uitdrukking komen. Paragraaf 6.7 besluit dit hoofdstuk met een samenvatting. 6.2. Waarde blockchain voor zekerheidsverschaffers volgens de Big4 accountantsorganisaties Kenmerk Kansen en bedreigingen Relevantie externe accountant Relevantie IT-auditor 1. Consensus a. Kans(en) 3 3 b. Bedreiging(en) 1 1 2. Validatie en security a. Kans(en) 2 3 b. Bedreiging(en) 3 1 3. Transparantie a. Kans(en) 2 1 b. Bedreiging(en) 1 0 4. Geen single point of control a. Kans(en) 1 3 b. Bedreiging(en) 1 1 5. Privacy a. Kans(en) 2 3 b. Bedreiging(en) 2 1 Figuur 4: Overzicht relevantie kansen en bedreigingen voor zekerheidsverschaffers volgens Big4-15 behorend tot de Big4 accountantsorganisaties 5 Teneinde de identiteit van de respondenten te respecteren is besloten deze niet openbaar te maken. Derhalve is het onderscheid tussen de twee respondenten van twee verschillende Big4 accountantsorganisaties alsook die van twee verschillende MKB accountantsorganisaties middels respectievelijk ‘Big4-1’ en ‘Big4-2’ en ‘MKB-1’ en ‘MKB-2’ geduid.

(33)

Kenmerk Kansen en bedreigingen Relevantie externe accountant Relevantie IT-auditor 1. Consensus a. Kans(en) 3 2 b. Bedreiging(en) 3 1 2. Validatie en security a. Kans(en) 2 3 b. Bedreiging(en) 1 1 3. Transparantie a. Kans(en) 3 2 b. Bedreiging(en) 1 1 4. Geen single point of control a. Kans(en) 3 3 b. Bedreiging(en) 1 1 5. Privacy a. Kans(en) 2 2 b. Bedreiging(en) 2 1 Figuur 5: Overzicht relevantie kansen en bedreigingen voor zekerheidsverschaffers volgens Big4-2 behorend tot de Big4 accountantsorganisaties 6.2.1. Consensus Kans(en): het (nieuwe) vertrouwen binnen de financiële markten, waardoor de rol van intermediairs, waaronder accountants als zekerheidsverschaffers, kan verschuiven van de controle/verificatie van routinematige naar niet-routinematige (veelal onder invloed van enige mate van subjectiviteit) transacties en interne controle. Analyse De gepretendeerde verschuiving wordt door beide respondenten zowel voor de externe accountant als de IT-auditor als (zeer) reëel (relevant tot zeer relevant) bestempeld. Echter wordt eenduidig teruggegeven of de blockchain in tegenstelling tot de jaarrekening het assurance-object zou moeten zijn. Blockchain als het ‘nieuwe’ vertrouwen binnen de financiële markten gaat volgens de respondenten te ver vanwege het ontbreken van een onafhankelijke deskundige bij het transformeren van data naar informatie. Tegelijkertijd plaatst men vraagtekens bij de deskundigheid van de ‘gemiddelde’ IT-auditor ten aanzien van de technische complexiteit. Bedreiging(en): het (nieuwe) vertrouwen binnen de financiële markten, waardoor de rol van intermediairs, waaronder accountants als zekerheidsverschaffers, significant minder belangrijk wordt.

(34)

Analyse Met betrekking tot de rol van de externe accountant in de context van de geïdentificeerde bedreiging, lopende reacties van beide respondenten aanzienlijk uiteen. Daar waar de bedreiging voor de één minder relevant is vanwege het onlosmakelijk aan vertrouwen verbonden zijn van een onafhankelijke externe deskundige ten aanzien van een jaarrekeningcontrole is deze voor de ander zéér relevant indien niet de jaarrekening maar juist de blockchain het assurance-object is. Tevens wordt het met de blockchain(technologie) gepaard gaande Triple-Entry Accounting aangehaald waarbij een (onafhankelijke) intermediair verantwoordelijk is voor de verificatie van de transacties binnen de blockchain en wordt verondersteld dat dit niet ‘per definitie’ de rol van de externe accountant zou hoeven te/moeten zijn. Voor de IT-auditor is volgens beide respondenten een evidente rol weggelegd in het kader van de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking wegens diens expertise. 6.2.2. Validatie en security Kans(en): validatie en security als middel om op basis van consensus op een betrouwbare, voornamelijk technische, en veilige manier transacties, voorzien van de minimaal noodzakelijke transactiedetails en een timestamp, te genereren, registeren, beheren én te controleren. Daarnaast biedt dit kenmerk, bezien vanuit de context van het consensus protocol, perspectief in het voorkomen van ‘double spending’ hetgeen eveneens een mitigerend effect kan hebben op de kans op een afwijking van materieel belang in de verantwoording. Analyse De relevantie van de kans is voor beide respondenten voor de externe accountant en de IT-auditor respectievelijk relevant en zeer relevant. Beide respondenten zien de blockchain(technologie) als mogelijke grondslag voor het verkrijgen van een naar eigen zeggen ‘basiszekerheid’ op basis waarvan de externe accountant zijn aandacht (steeds) meer kan verleggen naar de niet-routinematige transacties. Realtime verificatie van transacties wordt gekenmerkt als preventieve eigenschap van de blockchain(technologie) om ‘double spending’ (verder) te mitigeren. De interactie tussen de externe accountant en de IT-auditor als gevolg van de eerder beschreven verschuiving en het (meer) doen ontstaan van een ‘basiszekerheid’ mondt uit in het woord synergie waarbij te verkrijgen deugdelijke grondslag eens te meer afhankelijk is van ieders (unieke) deskundigheid.

(35)

Bedreiging(en): het moedwillig manipuleren van de blockchaintechnologie om ‘double spending’ mogelijk te maken waardoor de kans op fraude (zowel uit hoofde van financiële verslaggeving als uit hoofde van het oneigenlijk toe-eigenen van activa) toeneemt. Analyse In tegenstelling tot de rol van de IT-auditor zijn beide respondenten het oneens over de validatie van de bedreiging voor de rol van de externe accountant (respectievelijk zeer relevant en minder relevant). De respondent welke de bedreiging als zeer relevant heeft gevalideerd ziet het risico op ‘double spending’ bezien vanuit de context van de blockchain(technologie) als ‘nieuw’ significant aandachtsgebied. De andere respondent veronderstelt dat de (zeer hoge) mate van transparantie een preventief mitigerend effect zal hebben op genoemd risico. Beide respondenten zien een belangrijke rol weggelegd voor de IT-auditor om vanuit de aspecten mens, organisatie en techniek, al dan niet adviserend, een bijdrage te leveren aan de verdere optimalisatie van het consensusmechanisme met als doel het risico van ‘double spending’ tot een aanvaardbaar ‘laag’ niveau te reduceren. 6.2.3. Transparantie Kans(en): transparantie als oplossing voor het mitigeren van de informatieasymmetrie als complicatie binnen de agency theorie. Dit kenmerk wordt door de blockchain(technologie) verder versterkt door (bijna) realtime beschikbaarheid van informatie met de mogelijkheid om transacties realtime, bij alle betrokkenen, te controleren/verifiëren. Analyse Beide respondenten bestempelen deze kans voor de externe accountant als relevant tot zeer relevant. Desalniettemin wordt de kwaliteit van informatie afhankelijk geacht van het oordeel van een onafhankelijke deskundige en ziet men de rol van intermediair ten aanzien van Triple-Entry Accounting ook wel worden vervuld door genoemde beroepsbeoefenaar. De rol van de IT-auditor zien beide respondenten in deze context, voornamelijk met betrekking tot de realtime beschikbaarheid (continuïteit), niet of nauwelijks wijzigen. Daar waar binnen de blockchain(technologie) gebruik zal worden gemaakt van Triple-Entry Accounting zien beiden de afhankelijkheid van een IT-auditor met, voornamelijk, technische skills toenemen. Bedreiging(en): het management (de agent) van ondernemingen grijpt de blockchain(technologie) aan als hét middel om de informatieasymmetrie te verkleinen, daarmee de waarde van de onderneming te vergroten en tegelijkertijd de auditkosten te verlagen.

(36)

Analyse De gepretendeerde bedreiging zien beide respondenten, zowel voor de externe accountant als voor de IT-auditor, niet of nauwelijks (minder relevant tot niet relevant). Het ‘volledig’ wegnemen van de informatieasymmetrie als gevolg van ‘toepassing’ van de blockchain(technologie) achten beiden zeer onwaarschijnlijk. Het gewenste vertrouwen is, en blijft, voor een groot deel afhankelijk van het oordeel van een onafhankelijke deskundige. In deze casuïstiek wordt het zogeheten zero-knowledge protocol aangehaald waarbij het management, zonder haar rationele ‘geheimen’ prijs te geven, de stakeholders kan overtuigen van de getrouwe weergave van de (financiële) verantwoording. Ondanks de vraagtekens welke hierbij worden geplaatst verwachten beiden geen daling van de auditkosten. 6.2.4. Geen single point of control Kans(en): het niet bestaan van een zogeheten ‘single point of control’ (en daarmee geen centrale database welke ‘single’ op een server draait), betekent dat geen enkel individu het netwerk kan beheren (waaronder uitschakelen) en beschikbaarheid (waaronder de continuïteit van de geautomatiseerde gegevensverwerking) van informatie (beter) wordt gewaarborgd. Analyse Door één respondent wordt deze kans als minder relevant voor de externe accountant gezien. Deze validatie wordt ontleend aan een veronderstelde verschuiving van het niet meer van toepassing zijn van een centrale database naar de (block)chain (keten) als geheel welke de continuïteit van de geautomatiseerde gegevensverwerking vertegenwoordigd met een navenante toename van, voornamelijk, technische expertise. Deze ontwikkeling schrijven beide respondenten als zeer relevant toe aan de IT-auditor. Bedreiging(en): als gevolg van het gedecentraliseerde karakter van de blockchain(technologie) biedt samenspanning de mogelijkheid om een meerderheid te realiseren waarmee een ‘single point of control’ wordt gecreëerd resulterend in ‘volledige’ beheersing van het netwerk waardoor de kans op fraude (zowel uit hoofde van financiële verslaggeving als uit hoofde van het oneigenlijk toe-eigenen van activa) toeneemt. Analyse Beide respondenten achten deze bedreiging zowel voor de externe accountant als de IT-auditor als minder relevant. Beiden zetten vraagtekens bij de mogelijkheid om ‘ongezien’, de

Referenties

Download het nu ( PDF - 154 pagina - 1.81 MB )

GERELATEERDE DOCUMENTEN

'n Kerkhistoriese herlees van The Genadendal Diaries (1792-1796), met as lens die vraag na die verband tussen gender, gesondheid en godsdiens

ʼn Kerkhistoriese herlees van The Genadendal Diaries dra tot dié diskoers by deur die klem te laat val op die verband tussen gender, gesondheid en godsdiens soos dit nie

D3.3 - Effectiveness Report 1

The relationship is weaker (but still significant) against energy savings since becoming a REScoop member. d) Home ownership appears positively statistically related to

An Empirical Comparison of Discrete Choice Experiment and Best-Worst Scaling to Estimate Stakeholders’ Risk Tolerance for Hip Replacement Surgery

Conditional logit analysis was used to estimate attribute weights, level preferences, and the maximum acceptable risk (MAR) for undergoing revision surgery in six hypo-

Realtime stereo vision processing for a humanoid

A stereo matching algorithm has been designed to let the two cameras converge such that the attended target is in the center of both camera images, enabling target depth

Realtime softwarematige radarscan conversie : met GPU programmeren

Wanneer meer dan één sample gebruikt moet worden, wordt de hoeveelheid bestreken samples (samplesCovered) opgedeeld zoals in Figuur 15 schematisch is weergegeven. Dit voorbeeld

Onderzoek realtime

Deelnemers van het onderzoek verwachten dat voor daadwerkelijk gebruik van ‘Smart local home- en energymanagement systems’ de consument zijn realtime verbruiksdata dient te delen

Nieuwe kardinalen uit alle hoeken van de wereld

Het wekte dan ook geen verbazing toen paus Franciscus aankondig- de dat hij eind mei samen met patriarch Bartholomeos in Jeru- zalem de historische ontmoeting van

Realtime detection and coloring of matching operator nodes in workflow nets

list of matching operator node pairs, where a given cluster contains all nodes. of all pairs sharing at least one