Opinie 29 april 2013

IT-auditors en accountants, een 'wicked problem'

In mijn vorige opiniebijdrage gaf ik aan dat de kloof tussen accountant en IT-auditor een functionele is. Ik voeg er nu iets aan toe: de frictie tussen de twee disciplines is een zogenoemd wicked problem.

Het verschijnsel wicked problem is voor het eerst formeel beschreven in 1973 door prof. Horst Rittel. Hij gebruikte het concept onder andere bij het ontwerp van systemen en organisaties. In het kort komt het hier op neer: er zijn eenvoudige, moeilijke en complexe problemen, én er zijn wicked problems.

De eerste drie soorten problemen zijn vooral technische vraagstukken, waarbij de relatie tussen oorzaak en gevolg relatief eenvoudig is te begrijpen. Tegenover een probleem stellen we een maatregel.

Bij wicked problems werkt dit helaas niet. Daar spelen fricties op andere niveaus mee en is het verband tussen oorzaak en gevolg niet direct vast te stellen.

Het concept van wicked problems wordt vaak toegepast bij het analyseren van sociale en morele vraagstukken die veelal spelen tegen een achtergrond van technologische innovaties en veranderende omgevingen: Zonder aandacht voor de sociaal-menselijke vraagstukken zullen technische maatregelen falen.

Sterker, die sociale vraagstukken en menselijke belangen kunnen dusdanig de boventoon gaan voeren dat het zicht op de onderliggende technische vraagstukken wordt vertroebeld. En dat leidt weer tot verkeerde inzichten, technische ingrepen en maatregelen.

De frictie tussen IT-auditing en accountantscontrole is zo'n wicked problem. Dat dit niet wordt onderkend, is goed zichtbaar in enkele recente artikelen over de non-samenwerking tussen IT-auditors en accountants. Vakgroepen gaan elkaar te lijf en ridiculiseren elkaar. Vanuit de accountantscontrole worden karikaturen geschetst van IT-auditors.

Er worden technische maatregelen voorgesteld, zoals data-analyse, om systeemgerichte controle overbodig te maken, zonder aan te geven of dit methodologisch wel verantwoord is. Er wordt gesteld dat IT-audit in feite financial audit is als we maar overgaan tot integrated audit. Terwijl assurance bij IT in een volstrekt andere dimensie zit dan assurance bij een jaarrekening. Dit alles tegen de achtergrond dat het accountantsberoep in een diepe morele en economische crisis verkeert. Hoe fout kan het gaan!

Uiteraard is er geen sprake van onoverkomelijke technische problemen. Maar er spelen heel andere vraagstukken en belangen waardoor accountants en IT-auditors elkaar niet willen of kunnen begrijpen. Sociale belangen, budgettaire belangen, prijsdruk, urenverantwoordingen, kantoorregimes, financiële belangen, verkeerde prikkels, AFM- controles, keuzes gemaakt in de levering van diensten en tools door kantoren en marktpositioneringsvraagstukken. Historische principles en rules die in de nieuwe context van cloud en keteninformatisering geen geldigheid meer hebben, maar waar angstvallig aan wordt vastgeklampt om posities en status te beschermen.

Daarbij staat de geloofwaardigheid van de accountant richting klant op het spel. Wanhopig wordt IT omarmd om toch nog 'sexy' over te kunnen komen bij cliënten. Maar de accountant heeft de slag om via IT toegevoegde waarde te kunnen leveren allang gemist, en probeert dit te maskeren door window dressing en door hard toe te slaan richting IT-auditors.

Heeft u op Accountant.nl wel eens op het tabje 'vaktechniek' gedrukt? En vervolgens ook gekeken wat daar over IT is geschreven? Het zal u weinig tijd kosten, want er staat bijzonder weinig content.

Ondertussen staat de IT-wereld in brand, stappen onze cliënten massaal in IAAS, PAAS, SAAS-webtoepasingen en worden ERP-pakketten verdrongen door Apps.  Webtoepassingen blijken helaas vaak uiterst kwetsbaar te zijn. Banken worden stilgelegd en hun imago wordt geschaad door DDOS-attacks. De klap van Diginotar dreunt nog steeds na en de overheid maakt zich terecht grote zorgen over de veiligheid van systemen. Bedrijven en instellingen zijn massaal gehackt en regelmatig komt in het nieuws dat gevoelige bestanden op straat liggen. Systemen zijn zo lek als een mandje en de basisfunctiescheidingen blijken in de ICT-realiteit helemaal niet te bestaan.

Ondertussen zijn de bevindingen van IT-auditors nog steeds niet goed te vertalen naar de impact op de jaarrekeningcontrole. En waar gaan we ons druk over maken? Audit Integration!

Hoe naïef. In plaats dat wordt onderkend dat we cliënten meer moeten voorzien van gefocust IT-advies en IT-assurance, los van de jaarrekeningcontrole, schieten we in een audit integration-kramp die dit juist gaat belemmeren.

Stel dat ICT binnen organisaties de laatste twintig jaar twintig keer relevanter is geworden. Hoeveel meer ruimte is er binnen de accountantscontrole gekomen om serieus aandacht te geven aan IT door een deskundige? En is de cliënt bereid om binnen de accountantscontrole voor deze noodzakelijke aandacht te betalen? Zou dit in de bestaande business modellen, marktbenadering en met audit integration nou echt gaan lukken? En is het methodologisch eigenlijk wel mogelijk om IT-assurance en advies te geven, integrated binnen de jaarrekeningcontrole?

Ik denk het allemaal niet. Rigoureuze andere benaderingen zijn nodig. Zolang we dat niet durven te onderkennen gaat de zo nodige samenwerking niet lukken. De IT-auditor moet vooral zelf in de nieuwe marktontwikkelingen springen en hopen dat 'de kloof' hem beschermt tegen oneigenlijke discussies en vaktechnische valkuilen die voor hem worden neergelegd.

De samenwerking tussen IT-auditor en accountant is een wicked problem. Dat moeten we eerst maar eens onderkennen.