Computable-columnist Edo Roos Lindgreen is benoemd tot hoogleraar IT & Auditing aan de Universiteit van Amsterdam. Half oktober hield hij zijn inaugurele rede. De man die ooit voor zijn promotieonderzoek onderzocht waarom het zo eenvoudig is om computers te kraken, gaat nu aan accountants uitleggen hoe belangrijk ict en informatiebeveiliging zijn.
Vroeger was de accountant het prototype van de stoffige boekhouder. Nu heeft de beroepsgroep bij sommigen het imago van de snelle jongens die voorzien van een laptop en gestoken in driedelig pak zich in een Golfje GTI naar hun klanten spoeden. Waar ze hun werk niet altijd even goed doen, getuige de vele boekhoudschandalen van de laatste tijd. Aan deze mensen geeft Roos Lindgreen één dag in de week college over IT en Auditing. Hij doet dat als deeltijdhoogleraar op de postdoctorale opleiding Accountancy aan de Universiteit van Amsterdam. De universiteit heeft de leerstoel in het leven geroepen om de accountants in hun opleiding meer en intensiever kennis te laten maken met de verworvenheden van de informatietechnologie in relatie tot hun beroep.
Jaarrekening
Accountants komen veelvuldig in aanraking met ict. In de eerste plaats komt het cijfermateriaal waarop de jaarrekeningen zijn gebaseerd, voort uit informatiesystemen. Die gegevens moeten betrouwbaar zijn, anders kun je als accountant toch de jaarstukken niet controleren en goedkeuren. Daarbij gaat het om de betrouwbaarheid van niet alleen de gegevens, maar ook de administratieve organisatie eromheen. Neem een van de pijlers van de administratieve organisatie: het principe van controletechnische functiescheiding. Vroeger kon dat principe worden gewaarborgd door paraferende afdelingshoofden. Tegenwoordig bepaalt het informatiesysteem wie toegang heeft tot welke functies. "Niet alleen de gegevens, maar ook de maatregelen die de betrouwbaarheid van die gegevens moeten waarborgen, vormen dus een integraal onderdeel van de informatiesystemen", aldus verklaart Roos het bestaan van zijn leerstoel.
Een tweede reden waarom de accountant zich intensiever dan vroeger met ict moet bezig houden ligt in het belang van ict voor de continuïteit van een organisatie. Een slecht geïmplementeerd of verkeerd gekozen informatiesysteem kan tot administratieve – en dus financiële – problemen leiden. Een accountant zal daarnaast ict-kennis moeten hebben om te weten wat je met investeringen in de informatietechnologie moet doen in relatie tot de jaarrekening. Moeten die investeringen worden gezien als kosten die direct ten laste komen van de winst- en verliesrekening? Of als investeringen die als activa op de balans kunnen worden opgenomen en in een paar jaar afgeschreven kunnen worden? Dat laatste kan alleen maar als de desbetreffende investering een bijdrage levert aan de omzet en winst. "Dat nu", zegt Roos Lindgreen, "is lang niet altijd het geval bij ict-projecten. Ik vind dat één van de meest schrijnende onderwerpen in de wereld van de ict: één op de vier projecten mislukt nog steeds faliekant. Iedereen weet welke factoren die mislukkingen veroorzaken. En toch tuimelen we met elkaar steeds weer in diezelfde valkuilen."
Een derde reden waarom accountants volgens Roos ingevoerd behoren te zijn in de ict-problematiek heeft alles te maken met hun rol als adviseur van het management. Roos Lindgreen: "Die adviesfunctie wordt nogal ter discussie gesteld. Zeker na het Enron-schandaal. De kritiek is naar mijn mening gerechtvaardigd. De controlerende functie en adviesfunctie zullen strikter gescheiden moeten worden. Maar ik deel de mening niet dat accountants in de nabije toekomst hun advieswerk helemaal zullen staken. Denk eens aan de enorme hoeveelheid regels en richtlijnen waarover in het kader van de controle op de jaarrekeningen geadviseerd kan worden. En dan zijn er nog activiteiten die zowel tot de certificerende als adviserende rol gerekend kunnen worden: reviews, samenstellingsopdrachten en boekenonderzoek bij fusies en overnames, zogeheten ‘due diligence’-onderzoek. Die adviesrol blijft bestaan. En daarvoor zal de accountant toch ook wel enig verstand van informatietechnologie moeten hebben."
Informatiebeveiliging
ict zou dus een elementair onderdeel van elke accountantsopleiding moeten zijn, zo luidt de conclusie van Roos die naast hoogleraar ook partner is bij Kpmg Information Risk Management. In zijn dagelijkse praktijk merkt hij dat het beheersen van risico’s die verbonden zijn aan het gebruik van informatietechnologie een onderwerp is dat sterk in de belangstelling staat. En dus zal het ook een aandachtspunt voor de accountant moeten zijn. "Ga maar na. Een goede beveiliging is een voorwaarde voor de betrouwbaarheid van de financiële gegevens en de effectiviteit van de maatregelen die genomen moeten worden op het gebied van de administratieve organisatie en interne controle. De accountant zal dus kennis moeten hebben van beveiligingsmaatregelen die kunnen worden getroffen. Bijvoorbeeld van de Code voor Informatiebeveiliging of Itil. Want stel je voor dat hij bij de controle van de jaarrekening voldoende aandacht heeft geschonken aan de toepassing van ict. En dat hij de functiescheidingen op organisatorisch gebied in orde heeft bevonden, maar niet heeft gekeken – of laten kijken – naar de beveiliging op applicatieniveau of in de technische infrastructuur. Wat is dan uiteindelijk de accountantsverklaring bij de jaarrekening waard?", aldus Roos Lindgreen.
Risicomanagement
Roos zelf heeft veel belangstelling voor de beveiligingsaspecten van informatiesystemen. Dat is niet vreemd. Hij heeft informatica gestudeerd, als systeemprogrammeur en softwareontwikkelaar ‘in de klei’ gestaan en is gepromoveerd op beveiligingsaspecten van ict-systemen bij de ‘hack-professor’ Herschberg in Delft. Hij kijkt dus ook als praktijkman naar de beveiliging van zowel applicaties en technische infrastructuren. Naar zijn stellige overtuiging zijn applicaties dikwijls zo lek als een mandje. Met name vanwege de gebrekkige authenticatie- en autorisatiemechanismen. Ook in de ‘digitale kruipruimte’ van de informatiesystemen is het vaak kommer en kwel. "Een van mijn conclusies is dat de beveiliging van de infrastructuur in veel organisaties ernstige gebreken vertoont. Die gebreken vinden hun oorsprong in tekortkomingen in het tactische en operationele beheer. Daarom zijn we niet in staat de inherente onveiligheid van de componenten in die infrastructuur te beheersen, maar haar juist te verergeren", aldus Roos Lindgreen. Om die reden zal hij de komende jaren zeker gaan nadenken over het opzetten van een postdoctorale opleiding ‘risicomanagement’. Verder wil hij tijdens zijn colleges uitgebreid stilstaan bij niet alleen de relatie tussen de accountant en informatietechnologie, maar ook de beheersing van de risico’s rond ict en de onafhankelijke toetsing daarvan. "Daaraan lijkt op dit moment een zekere maatschappelijke behoefte te ontstaan", aldus Roos Lindgreen die niet wars is van ‘understatements’.
Cok de Zwart