Met de komst van Big Data en de beschikbaarheid van krachtige data-analyse-instrumenten staat data-integriteit hoog op de agenda van financials. Wat is het? Welke praktische problemen moeten worden opgelost om data-integriteit te verbeteren? En wat is de rol van de CFO hierin? Prof. dr. Eddy Vaassen RA geeft antwoord op deze vragen tijdens de Collegereeks Fraudebeheersing, Integriteit & Ethiek voor Finance & Control.
Om maar te beginnen bij het begin: wat is data-integriteit? Vaasssen: “Het is niets meer dan de betrouwbaarheid van data. De data moeten in overeenstemming zijn met de werkelijkheid.” Hoe simpel het ook klinkt, organisaties hebben hier vaak problemen mee. “Organisaties hebben vaak te maken met enorm complexe databases. Data komen van binnenuit de organisatie maar ook van buitenaf, zijn gestructureerd maar ook ongestructureerd, en komen in grote hoeveelheden beschikbaar. Doordat de tools om al die data te analyseren steeds beter worden, maken we bij onze besluitvorming steeds meer gebruik van die data. De mogelijkheden voor data-analyse zijn er en daar maken we dan ook gebruik van. Data-integriteit is hiermee een belangrijk thema geworden waar vrijwel alle organisatie mee worstelen.”
Collegereeks Fraudebeheersing, Integriteit & Ethiek
Hoe geeft u als financial invulling aan de bestrijding van fraude? Om die vraag te kunnen beantwoorden moet duidelijk zijn waar het in de kern om gaat bij integer handelen. En dat is minder duidelijk dan vaak wordt gedacht.
In deze collegereeks leren professionals u om te gaan met integriteitskwesties, ethische dilemma’s en morele besluitvorming en hoe u fraude kunt voorkomen.
Data niet compleet
Er speelt een aantal problemen, schetst Vaassen. “Data worden ingevoerd in systemen, maar vervolgens weet je niet of je alle data hebt. Er zijn bijvoorbeeld honderd transacties uitgevoerd en daarvan zitten er maar tachtig in het systeem. Als je dat probleem getackeld hebt, loop je het risico dat de data niet juist zijn. Dat er bijvoorbeeld data gerapporteerd worden die gebaseerd zijn op fictieve transacties. Aan de voorkant, bij het invoeren, moet je daar dus op letten. Maar als de data eenmaal zijn opgeslagen, loop je daar ook weer tegen problemen aan. Databases kunnen tijdens het gebruik worden gecorrumpeerd. Zo kunnen data worden aangepast, verwijderd of toegevoegd als de controls rondom die databases niet op orde zijn.”
Organisatorische en technologische maatregelen
Als organisatie wil je koste wat het kost voorkomen dat medewerkers in de systemen gaan rommelen die daartoe niet bevoegd zijn en mogelijk kwade bedoelingen hebben. “Aan de ene kant heb je daarvoor organisatorische maatregelen. Ervoor zorgen dat je de juiste mensen aanneemt, de kwaliteit bewaakt en hen traint. Via internal controls zorg je er tevens voor dat het werk van de medewerkers wordt gecontroleerd. Aan de andere kant kun je gebruik maken van technologie. Je creëert een informatiesysteem waarbij de invoer automatisch gebeurt. Dan ben je niet afhankelijk van een persoon die misschien een foutje maakt, maar een computer die je kunt programmeren om fouten te voorkomen dan wel te detecteren. Als die database eenmaal is gebouwd, is het ook enorm moeilijk om het te manipuleren.”
Volwassenheid van de organisatie
Het verschilt per organisatie of organisatorische of technologische maatregelen het beste werken, zegt Vaassen. “Het heeft te maken met wat een organisatie wil en waar ze rijp voor is. De volwassenheid van de organisatie op het technologiegebied is hier van groot belang. Een organisatie die begonnen is als IT-platform, bijvoorbeeld Facebook en Google, bestaat omdat er technologie is. Een dergelijke organisatie is veel sneller in staat om technologie als controlemiddel te gebruiken dan een organisatie waarin het altijd ging om de mens die controls in gang moest zetten. Een dergelijke organisatie zoekt haar oplossingen veel meer in de traditionele managementcontrols en internal controls. Maar ook dit type organisatie schuift steeds meer op naar het IT-domein. Er blijft altijd ruimte voor de mens in de organisatie, maar we gaan wél meer gebruikmaken van geautomatiseerde controles waarbij menselijke tussenkomst wordt geminimaliseerd.”
Voldoende kennis van IT?
De ontwikkeling naar een meer datagedreven besluitvorming en dienovereenkomstige beheersingssystemen heeft gevolgen voor de rol van de CFO in een organisatie. Vaassen: “De CFO had tot nog niet zo heel lang geleden vaak IT in zijn of haar portefeuille. De kernvraag daarbij was natuurlijk of die CFO wel voldoende IT-kennis had om daarvoor verantwoordelijk te kunnen worden gehouden. Aan de ene kant zie je dat opleidingen tot registercontroller en andere financieel professionals substantieel meer aandacht besteden aan IT en data-analyse. Een vak als managementcontrol wordt vervangen door business intelligence. Het is ineens een IT-vak geworden, in plaats van een mensenvak. Aan de andere kant zie je de wat oudere CFO’s die die achtergrond in mindere mate hebben. Zij moeten wel bereid zijn om zich te verdiepen in de ontwikkelingen om te weten wat zich afspeelt in het IT-domein. Als je conclusie is dat je daartoe niet geëquipeerd bent, moet je ervoor zorgen dat je daarvoor de juiste mensen aanneemt. En in de board bijvoorbeeld een Chief Technology Officer (CTO) opneemt. Hij of zij neemt de portefeuille IT dan over van de CFO.”
“Ik ben de laatste om te zeggen dat elke CFO een IT-expert moet worden”
Geen keuze
Als organisatie heb je geen keuze om wél of niet mee te gaan in de ontwikkelingen op het het gebied van IT- en data-analyse, vindt Vaassen. “Hoeveel tijd dit kost, verschilt per organisatie en ook per persoon. Ik ben de laatste om te zeggen dat elke CFO een IT-expert moet worden. Op de langere termijn is het een ontwikkeling die je niet kunt stoppen, maar het moet gefaseerd gebeuren, passend bij de organisatie waarin je werkt. Voor sommige organisaties is de volledige overstap naar technologie dichtbij, voor de andere nog heel ver weg. Als je nog sterk op je organisatie leunt en minder op technologie, is het van belang dat je integere medewerkers hebt om integere data te krijgen. Die integriteit moet je, al dan niet via soft controls, proberen te verbeteren om manipulatie van je databases te voorkomen.”
Over Prof. dr. Eddy Vaassen RA
Prof. dr. Eddy Vaassen RA is hoogleraar aan Tilburg University en aan de Erasmus Universiteit Rotterdam en lid van de Commissie Eindtermen Accountantsopleiding. Vaassen is spreker tijdens de Collegereeks Fraudebeheersing, Integriteit & Ethiek, die op 7 april 2022 begint.
Prof. dr. Eddy Vaassen RA is hoogleraar aan Tilburg University en aan de Erasmus Universiteit Rotterdam en lid van de Commissie Eindtermen Accountantsopleiding. Vaassen is spreker tijdens de Collegereeks Fraudebeheersing, Integriteit & Ethiek, die op 7 april 2022 begint.
