Een andere kijk op blockchain

Zorgt blockchain voor een evolutie van ons auditvak? Voor sommigen is het begrip blockchain nog een ver-van-mijn-bedshow, maar de toepassing ervan wordt door steeds meer organisaties gebruikt.

De interne auditor komt steeds meer in aanraking met deze technologie. Dat betekent niet dat de auditor een diepgaand begrip moet hebben van de geavanceerde technologie, de versleutelingsmethoden en de complexe algoritmen. Het is wel noodzakelijk om basiskennis van blockchain te hebben en de risico’s die hiermee gemoeid zijn.

Als we hier de woorden ‘block’ en ‘chain’ gebruiken, hebben we het over digitale informatie (het block) die is opgeslagen in een openbare database (de chain). Herkenbare voorbeelden van deze technologie zijn het kunnen volgen van het eigenaarschap van concertkaartjes en het volgen van voedselproducten van boerderij tot winkel. Met blockchain krijgen we een andere kijk op transacties en informatie. Blockchain zorgt ervoor dat deze informatie niet altijd meer binnen de organisatiegrenzen te vinden is. In plaats daarvan is er een permanent gedeeld grootboek dat alle belanghebbenden real time dezelfde informatie biedt.

Hoewel blockchain een aantal inherente (beveiligings)voordelen heeft, hangt de beveiliging van het blockchainplatform uiteindelijk af van de mensen en processen die de beveiliging van de apparaten verzorgen waarop de geregistreerde transactie plaatsvindt. De vraag is dan ook of een blockchainimplementatie in control is wanneer die zonder voldoende risicoafwegingen in productie wordt gebracht.

De opkomst van blockchain vereist dat wij nadenken over de gevolgen hiervan voor onze interne auditaanpak. Enerzijds geeft de ontwikkeling van blockchain interne auditors de kans om makkelijker aan realtime data te komen, de kwaliteit van controles te verbeteren en de benodigde tijd voor het uitvoeren van controles te verminderen. Zeker als interne auditors handmatige periodieke controles vervangen door controles op een continu geautomatiseerde basis, kunnen zij van nog meer toegevoegde waarde zijn door het bieden van continuous assurance. Het grote voordeel is dat de organisatie tijdig kan bijsturen indien afwijkingen geconstateerd worden. Anderzijds vraagt de ontwikkeling van blockchain om een meer centrale rol van de interne auditor, waar de auditor niet alleen traditionele zekerheid biedt, maar ook als een vertrouwde bedrijfsadviseur over nieuwe organisatierisico’s adviseert. Vanuit deze gedachten zouden interne auditors al bij de planningsfase betrokken moeten zijn bij de implementatie en het gebruik van op blockchain gebaseerde applicaties. Werkzaamheden omvatten dan het valideren van adequate governance-, risicobeheer- en controleprocedures.

Het is niet ondenkbaar dat interne auditors van verschillende bedrijven de samenwerking opzoeken. Veel blockchaininitiatieven zullen plaatsvinden buiten de traditionele muren van de IT-organisatie. Er zijn openbare blockchains waarop applicaties kunnen worden uitgevoerd en die reeds bestaande bestuursstructuren hebben, maar er zijn ook private blockchains die alleen toegankelijk zijn voor geïdentificeerde belanghebbenden. Elk van deze blockchains heeft zijn eigen governancestructuur, waarbij mogelijk meerdere belanghebbenden vanuit meerdere organisaties betrokken zijn. Interne auditors van al deze belanghebbenden zullen moeten samenwerken om ervoor te zorgen dat de structuren aan al hun vereisten voldoen.

Een van de belangrijkste strategische voordelen die interne auditors hebben, is hun kennis van de organisatie. Deze kennis is van cruciaal belang als het gaat om het ondersteunen van de implementatie van blockchain. Met deze kennis is het mogelijk om de organisatie van een adequate beoordeling van de governance-, risico- en controleomgeving te voorzien zonder zelf in de complexe technologie te hoeven duiken.

Elke nieuwe opkomende technologie die door een organisatie wordt gebruikt zal moeten worden geëvalueerd. De snelheid waarmee blockchaintechnologie geïmplementeerd wordt kan per organisatie verschillen. Daarom zal ook de wijze variëren waarop interne auditfuncties reageren op de risico’s en kansen die daarmee gepaard gaan. Maar de algehele uitdaging voor de interne auditor blijft hetzelfde: op de hoogte blijven van de risico’s en kansen die zich voordoen met technologische ontwikkelingen als blockchain.

Dit artikel is de derde in een reeks van vier, waarin Audit Magazine een andere kijk op blockchain onderzoekt. Deze bijdrage is van Liane van Eerde, manager Internal Audit bij KPMG.