slogan: PLATFORM VOOR PUBLIC GOVERNANCE, AUDIT & CONTROL

De ontwikkeling van het vakgebied AO

De ontwikkeling van het vakgebied AO

2 december 2019 om 11:10 door Arco van de Ven 0 reacties

Public controllers spelen een belangrijke rol in het ontwerp en de evaluatie van de administratieve organisatie. De toepassing van informatietechnologie heeft hierbij van oudsher een belangrijke rol gespeeld. Controllers vinden informatietechnologie belangrijk, maar ervaren het vaak als een lastig en technisch onderwerp dat losstaat van de administratieve organisatie. Wat is nu precies de relatie van informatietechnologie met de administratieve organisatie?1

1. Beginperiode AO

Het ontstaan van het vakgebied Administratieve Organisatie hangt nauw samen met het ontstaan en de ontwikkeling van het accountantsberoep in Nederland eind 19e eeuw. Gepleegde fraudes speelden hierbij een belangrijke rol. Door de maatschappelijke onrust en onvrede werd in de negentiende eeuw de roep om ‘het recht op controle’ groter. Fraudeurs moesten worden gestopt. Met name de Pincoffs-affaire in 1879 legde volgens De Vries (1985:34) de noodzaak tot deskundige controle bloot en heeft indirect geresulteerd in de oprichting van het eerste Nederlandse accountantskantoor Confidentia in 1883. Dit resulteerde erin dat aan accountants ook de vraag werd gesteld hoe administraties ingericht moesten worden. Er was overigens niet alleen de wens tot uitwisseling van praktijkervaringen, maar tevens werd onderkend dat er behoefte was aan theoretische kennis en vorming. Hierbij ging het om meer dan alleen goed weten te boekhouden, het draaide om het dusdanig inrichten van de organisatie dat het doel werd bereikt. Naast algemene richtlijnen werd ook al in het begin van twintigste eeuw beschreven hoe dergelijke principes uitgewerkt moesten worden. Sternheim geeft in 1928 gedetailleerde procesbeschrijvingen voor verschillende typen organisaties.

2. Starreveld en AO

De inhoud van het vakgebied AO werd begin van de jaren zestig verder uitgewerkt en samengevat in de twee delen van de Leer van de Administratieve Organisatie van Starreveld (1962a, 1962b). De studie van de problematiek van AO moest een antwoord geven op welke informatie nodig was (het wat), welke taakverdeling nodig was (het wie) en welke werkwijze hierbij paste (het hoe). De betrouwbaarheid van de informatie speelde een belangrijke rol en bij de invulling van ‘het wie’ werd het scheiden van de ‘beschikkende’, ‘bewarende’, ‘controlerende’ en ‘registrerende’ functies vanuit een controledoelstelling een belangrijke pilaar, in combinatie met het uitwerken van hoe de controlerende functie dwingende verbanden in de geld-goederenbeweging, komende van functionarissen met tegengestelde belangen, moest aansluiten. En ook de ontwikkeling van een typologie van huishoudingen die richting gaf in relatie tot de verantwoording van de opbrengstenstromen bij organisaties waar juist de koppeling met de waardenkringloop in mindere mate of niet mogelijk was.

De rol van de techniek kreeg ook meer aandacht in AO-geschriften. Nathans stelde in 1957 dat kennis van ‘de typen der technische hulpmiddelen’ mede de grondslag vormt van de beschouwing van de interne organisatie (Nathans, 1957:7). Hij heeft het dan over hulpmiddelen zoals vensterenveloppen, formulierensystemen en kantoormachines. Nathans benadrukt hierbij dat de rol van de hulpmiddelen niet zo ver mag gaan dat het voorschrijvend wordt. Economische overwegingen moeten blijven bepalen welk hulpmiddel geschikt is voor de toepassing.

In de wat minder bekende boeken van Starreveld (1964a en 1964b) over administratieve techniek wordt zeer uitgebreid ingegaan op de wijze waarop onder andere ponskaarten en apparaten voor het aflezen en beschrijven van magnetische banden moeten worden ingezet bij het vastleggen, overbrengen, ordenen, opzoeken en bewerken van gegevens. Hiermee geeft hij een nadere invulling van het door Nathans benadrukte aspect dat kennis van de techniek van belang is.

In de vakliteratuur vanaf de zeventiger jaren werd het belang van IT en automatisering zeker onderkend, maar werd ook aangegeven dat integratie in de administratie in de praktijk als lastig werd ervaren. De rol die IT moest spelen in het vakgebied AO werd ook door hoogleraren AO bediscussieerd. De werkgroep ‘Terminologie-Informatiesystemen (Terminis)’ is in 1978 van start gegaan en heeft uiteindelijk pas in 1987 (dus negen jaar later) tot een eindrapportage geleid (Drieënhuizen, 1986). De eindrapportage leidde niet tot een eenduidige ‘leer’, maar tot een nota met als doelstelling: het stimuleren van discussie in een brede kring van betrokkenen.

De verschillen van mening werden ook zeker gevoed door de verschillende invloeden van de toepassing van IT. De invloed die IT had en heeft op de betrouwbaarheid van verantwoordingen ligt zeer dicht bij het accountantsberoep van waaruit het vak is ontstaan. Er verschenen veel publicaties gericht op de invloed die automatisering had op de interne controle. Automatisering maakte het mogelijk om handmatige controles te vervangen door geprogrammeerde controles en door de automatisering nam de behoefte toe aan wat tegenwoordig bekend staat als IT-general controls (bijvoorbeeld Oonincx, Pruijm, 1983, Nivra studierapporten 11, 21, 17 en 19).

De effecten van IT op de standaard controle-technische functiescheidingen werden ook duidelijk en veranderden tevens de mogelijkheden van toepassing van de klassieke theorie. Daar waar de boekhouding van oudsher een registrerende functie had om de verantwoordingen van beschikkende en bewarende functionarissen in het grootboek vast te leggen, werd het nu mogelijk om de registraties in het grootboek grotendeels te automatiseren. Afzonderlijke kantoorvoorraadadministraties worden bijvoorbeeld niet meer bijgehouden, applicaties in de software zorgen voor het aanmaken van facturen vanuit de vastgelegde orders van de verkoopafdeling (beschikkende functie) en dat deze facturen worden geboekt in de debiteurenadministratie (bewarende functie). Via automatische incasso’s kan software de code herkennen van de debiteurenpost en deze na ontvangst van de banktransacties afboeken. Zo worden functies geautomatiseerd die vroeger handmatig werden uitgevoerd en gescheiden moesten worden. Hiermee verschuift de aandacht vanuit AO-perspectief naar in hoeverre de IT-controls adequaat zijn ingericht en niet veranderd kunnen worden. De registrerende en controlerende functies kunnen en worden daarom steeds meer overgenomen door geprogrammeerde controles in de applicaties. Hiermee verschuift het risico van onbetrouwbare informatie naar de kwaliteit van de geprogrammeerde controles en registraties. De kwaliteit moet worden geborgd door in de systeemontwikkeling te bepalen welke geprogrammeerde controles en registraties nodig zijn. Dit betreft kennis die voor een groot deel aansluit bij principes die ook in meer handmatige administraties golden, en hierbij spelen vragen als wie welke informatie mag registeren en welke werkwijzen moeten worden geprogrammeerd. Om te zorgen dat de programmatuur daarna functioneerde zoals het werd beoogd en niet zonder de nodige controles kon worden veranderd, werd het belang van kennis van IT general controls steeds groter. Dit geldt tot op de dag van vandaag.

De verschillen van mening binnen het vakgebied ontstonden niet zozeer over de beschreven verschuiving naar IT controls. Centraal in de discussie kwam te staan of bouwmethoden en de implementatie van nieuwe systemen moesten worden opgenomen in de leerstof. Door het opnemen van de wijze waarop de informatieverzorging werd georganiseerd, werden diverseaspecten van informatiemanagement geïncorporeerd in het vak AO.

3. Interne beheersing en AO

Daar waar de bovengenoemde ontwikkelingen zich nog richtten op de betrouwbaarheid van informatie, kwam er binnen AO steeds meer aandacht voor het achterliggende doel van deze informatie (Van de Ven, 2008). Een onderzoek naar fraudezaken eind tachtiger jaren leidde tot het oprichten van de COSO-commissie die een raamwerk ontwikkelde voor de evaluatie van de interne beheersing in een organisatie. Betrouwbaarheid van financiële rapportages alleen was niet meer voldoende voor het maatschappelijk verkeer. De behoefte aan zekerheid dat organisaties ‘in control’ waren in relatie tot bedrijfsvoering, naleving van wet- en regelgeving en beveiliging van waarden, kreeg binnen AO meer aandacht. Naast de formele maatregelen vanuit de klassieke AO werd het belang van de ‘tone at the top’ benadrukt en kreeg risicoanalyse een belangrijkere plek bij het evalueren van de beheersing van organisaties. De invloed van IT was hierbij slechts een afgeleide, het leidde tot mogelijke risico’s die organisaties moesten beheersen. IT werd derhalve gezien als een belangrijk bedrijfsrisico dat de continuïteit kon bedreigen, of bij het ten onrechte verstrekken van vertrouwelijke gegevens kon leiden tot reputatierisico. Alhoewel risicoanalyse en beheersmaatregelen belangrijke elementen in de interne beheersingsmethodieken zijn, verschoof de aandacht in het vakgebied naar managementaspecten, zoals de stijl van leidinggeven, alignment tussen strategie, verantwoordelijkheidsstructuur en processen, de beloningssystematiek, soft controls en de cultuur in de organisatie.

4. AO nu en in de toekomst

De genoemde drie ontwikkelingen, te weten 1) de verschuiving van handmatige controles naar geprogrammeerde controles en het belang van IT-general controls, 2) de aandacht voor informatiemanagement en 3) het belang van interne beheersing, zijn ook terug te vinden in de nieuwe CEA eindtermen van het vak uit december 2016. Natuurlijk laten IT-ontwikkelingen uitdagingen zien om de inhoud van AO hier verder op aan te passen.

Voordat wordt ingegaan op de consequenties van de huidige IT-ontwikkelingen voor AO is het nodig om in te gaan op de snelheid van IT-ontwikkelingen. Er is in de laatste decennia veel veranderd. In het typologiemodel uit de derde druk van Starreveld, De Mare en Joëls uit 1993 kwam geen type organisatie voor dat zich richtte op informatie of informatiediensten (Starreveld et al, 1993:235). Volgens Statista (2018) zijn Apple, Amazon, Alphabet, Microsoft en Facebook wereldwijd de vijf organisatie die de hoogste beurswaarde hebben. Het grootste deel van de opbrengsten van deze bedrijven komt uit informatie en informatiediensten. De diensten en onderliggende processen zijn hierbij informatieprocessen, waarbij er geen keuze meer is om AO los te zien van informatietechnologie.

Daarnaast is er sprake van een ontwikkeling vanuit de IT waarbij processen niet alleen informatieprocessen zijn, maar in het geheel kunnen worden geautomatiseerd, waarbij de menselijke rol in het proces wordt beperkt. De mogelijkheden van de technologie gaan hierbij heel ver. De blockchaintechnologie is het meest vergaande voorbeeld, waarbij er zelfs sprake kan zijn van een Decentrale Autonome Organisatie, een DAO. De DAO is een organisatie zonder mensen, waarbij alles via een bockchaintoepassing is ingeregeld (zie bijvoorbeeld Tapscott & Tapscott, 2016). Met behulp van smart contracts worden de voorwaarden waarop transacties worden uitgevoerd in de programmatuur opgenomen. Er bestaat dan een totale afhankelijkheid van de kwaliteit van de in de blockchainprogrammatuur opgenomen registraties en controles. Fouten kunnen niet meer door medewerkers worden hersteld. Wat betekent dit voor AO? Is AO dan overbodig en is kennis van IT en informatica alleen voldoende? Naar mijn mening is dit zeker niet het geval. De invloed van blockchainontwikkelingen en smart contracts betekent dat AO weer terugkeert naar het transactieniveau waar het ooit is ontstaan. De vertaling van contract naar registratie van afspraken over de prestatie (de beschikkende functie), het ontvangen van de tegenprestatie (de bewarende functie), de betaling van vergoeding die in verband staat met de afspraak (beschikkende functie) en het controleren dat de geleverde prestatie (controlerende functie) gebeurt op basis van een smart contract die in de blockchainapplicatie moet worden geprogrammeerd. Deze ontwikkeling betekent dat IT geen ‘fremdkörper’ meer kan zijn, omdat de AO alleen uit IT-toepassing bestaat. Maar juist de klassieke wijze van denken heeft waarde om te bepalen wat vanuit een beheersingsgedachte in de blockchainprogrammatuur moet worden opgenomen om de toepassing betrouwbaar te krijgen.

Maar bij ook minder vergaande IT-oplossingen is er een toenemend belang van AO. Zo stijgt bijvoorbeeld de afhankelijkheid van algoritmes die worden toegepast in programmatuur. We zien in toenemende mate dat assortimenten, diensten en prijsstellingen naar individuele klanten worden gebaseerd op algoritmes. Het kunnen vaststellen van hoe de algoritmes werken, betekent dat er bij het programmeren van het algoritme ook aandacht moet zijn voor de mogelijkheid om achteraf de betrouwbaarheid en effectiviteit van algoritmes vast te stellen, of de betrouwbaarheid via continuous monitoring (Verkruijsse, 2010:16) mee te nemen in het ontwerp van de programmatuur. Een gedachtegang die inherent is aan het vakgebied AO, maar niet automatisch wordt meegenomen bij het programmeren van informatiesystemen.

Ook met betrekking tot het aspect informatiemanagement is er in het begin van deze eeuw veel veranderd in de wijze waarop informatiesystemen worden ontwikkeld. In het verleden was er standaard sprake van de waterval-methode. Momenteel is er steeds meer sprake van een ‘agile’ aanpak. Binnen enkele weken moeten er nieuwe functionaliteiten aan klanten worden opgeleverd. De mogelijkheid om functiescheiding toe te passen wordt kleiner omdat teams verantwoordelijk zijn voor alle fasen, inclusief het testen van de software. Een systematische uitwerking van hoe vanuit een AO-invalshoek omgegaan moet worden met ‘agile’ ontwikkeling om klassieke risico’s van betrouwbaarheid in de grip te houden en ervoor zorg te dragen dat noodzakelijke geprogrammeerde controles worden opgenomen in de programmatuur, is één van de nodige nieuwe ontwikkelingen binnen het vakgebied AO.

Met betrekking tot het aspect interne beheersing verandert er ook het nodige. In de bijdrage ‘Complexiteit? Was het maar zo simpel’ (Van de Ven, 2014) wordt ingegaan op de consequenties van de tendens dat steeds meer IT-risico’s en de wijze waarop ze zijn te mitigeren niet meer in standaarden te vangen zijn. Met betrekking tot IT-cyberrisico’s wordt in termen van oorlogsvorming gesproken. Het is een kwestie van actie-reactie, waarbij het voorkomen van schendingen niet altijd mogelijk is, maar het draait om het detecteren en zo snel mogelijk beperken van de schade. Ook bij niet IT-risico’s wordt interne beheersing uitgebreid met aandacht voor strategische risico’s en houdt het nieuwe COSO ERM raamwerk (COSO 2017) rekening met een veel hogere mate van onzekerheid. Voor AO betekent dit dat het aansluiten op normstellingen gebaseerd op langetermijnplannen niet meer altijd geschikt is. Het gedachtegoed van AO is en zal verder moeten worden uitgebreid met theorievorming over beheersing bij een hoge mate van onzekerheid door bijvoorbeeld het gebruik van risicobereidheid en toleranties als instrument bij interne beheersing en risicomanagement. De klassieke nadruk binnen AO op preventieve maatregelen zoals gedetailleerde werkinstructies zal verschuiven naar het vaststellen van ongewenst gedrag op basis van data analytics en process mining en bijsturing.

5. Conclusie

AO is eind van de 19e eeuw ontstaan vanuit de behoefte administraties zodanig in te richten dat faillissementen en fraudes in organisaties konden worden beperkt. De ontwikkeling van het vakgebied AO laat zien dat dit is uitgebreid met IT-controls, aspecten van informatiemanagement en aandacht voor interne beheersing. De ontwikkelingen op IT-gebied zijn zo snel gegaan dat reële processen in organisaties momenteel vaak informatieprocessen zijn. Het uitvoeren hiervan is onmogelijk zonder IT. Maar betekent dit nu dat IT het overneemt van AO en kennis uit het AO-vakgebied zijn waarde verliest? Natuurlijk zijn kennis van IT en IT-ontwikkelingen nog steeds – zoals Nathans al in 1957 stelde – van belang. Maar mijn stelling is dat, net als ten tijde van het ontstaan van het vakgebied de kennis van boekhouden niet voldoende was, het nu de kennis van IT is die niet garandeert dat de betrouwbaarheid van informatie geborgd is. Klassieke vragen over het ‘wat’, ‘wie’ en ‘hoe’ spelen bij vergaande toepassing van IT nog steeds een rol. Wellicht een nog belangrijkere rol omdat de directe betrokkenheid van medewerkers in het proces wordt beperkt. Zij zijn niet altijd meer in de positie om fouten te signaleren en hierop bij te sturen. Maar het vakgebied zal wel met andere oplossingen moeten komen over hoe de betrouwbaarheid en controleerbaarheid van bijvoorbeeld agile systeemontwikkeling en het gebruik van algoritmes moet worden geregeld. Ook met betrekking tot interne beheersing blijft kennis uit het AO-domein relevant, maar de toenemende onzekerheid betekent ook dat de invulling van hoe deze beheersing bereikt kan worden verder zal moeten worden ontwikkeld en aangepast. Wat betekent dit in de toekomst voor AO, in het kader van IT op weg van fremdkörper naar singulariteit? Voor het succesvol opereren van organisaties is IT inmiddels een vereiste geworden. IT als fremdkörper is niet meer houdbaar en een ongewenste situatie voor een vakgebied waar beheersing van organisaties centraal staat. Dat gezegd hebbende: het is tevens ongewenst om de controle over IT kwijt te raken. AO moet gaan over hoe organisaties leidend kunnen zijn en blijven over de rol van IT. Toepassing van AO-kennis moet ervoor zorgen dat singulariteit juist niet wordt bereikt. IT moet een hulpmiddel blijven waarvan de mogelijkheden optimaal worden benut en AO-kennis dient te zorgen voor kwalitatief hoogwaardige dienstverlening, gegeven de mogelijkheden die de informatietechnologie biedt.

Prof. dr. A. van de Ven RA, professor Internal Control & Accounting Information Systems aan TIAS, de business school van de Universiteit van Tilburg.

Noot
1. Dit artikel is gebaseerd op een bijdrage aan een vriendenboek voor het afscheid van professor Verkruijse.

Literatuur

• Committee of Sponsoring Organizations of the Treadway commission (2017), Enterprise Risk Management – Integrating with Strategy and Perfomance, New York: AICPA.
• Drieënhuizen, F. (1987), Terminis – Een discussienota inzake de naamgeving van het vak “Leer van de administratieve organisatie” en het studiegebied “Bestuurlijke informatiekunde”, Amsterdam: Limperg Instituut.
• Everdingen, G.A. van (1898), De fabrieksboekhouding, Handleiding bij het Inrichten van de Boekhouding voor Fabrieken, Amsterdam: Brinkman & Zoon.
• Nathans, J. (1957), Inrichtingsleer als toegepaste bedrijfseconomie – openbare les, Amsterdam: J.M. Meulenhoff.
• Nivra (1982), Studierapport 11: de organisatorische voorwaarden voor de automatisering van de informatieverzorging.
• Nivra (1984), Studierapport 17: kleinschalige automatisering en accountant.
• Nivra (1987), Studierapport 19: kantoorautomatisering.
• Nivra (1988), Studierapport 21: functiescheidingen in software.
• Oonincx, J.A.M. en R.A.M. Pruijm (1983), Interne controle bij systemen voor automatische informatieverzorging, Alphen aan den Rijn: Samsom.
• Starreveld, R.W. (1962a), Leer van de administratieve organisatie Deel I: Algemene grondslagen, Alphen aan den Rijn: N. Samson NV.
• Starreveld, R.W. (1962b), Leer van de administratieve organisatie Deel II: Typologie der toepassingen, Alphen aan den Rijn: N. Samson NV.
• Starreveld, R.W. (1964a), Administratieve techniek, Rationalisering en automatisering van de Bestuurlijke informatieverwerking Deel I, Alphen aan den Rijn: N. Samson NV.
• Starreveld, R.W. (1964b), Administratieve techniek, Rationalisering en automatisering van de Bestuurlijke informatieverwerking Deel II, Alphen aan den Rijn: N. Samson NV.
• Starreveld, R.W., H.B. de Mare en E.J. Joëls (1993), Bestuurlijke Informatieverzorging – deel 2, Typologie van de toepassingen, 3e druk, Alphen aan den Rijn: Samsom Bedrijfsinformatie.
• Statista (2018), Top companies in the world by market value, geraadpleegd op 8 september 2018 https://www.statista.com/statistics/263264/top-companies-in-the-world-by-market-value/.
• Sternheim, A. (1928), Leerboek der Accountancy – Handleiding ten dienste van accountants en assistent-accountants directeuren en commissarissen van naamloze vennootschappen, kooplieden, bankiers en industrieelen – deel II administratieve inrichtingsleer en kostprijsberekening, ’s Gravenhage: N.V. Uitgevers-maatschappij v/h G. Delwel.
• Tappscott, D. en A. Tapscott (2016), Block chain Revolution – how the technology behind bitcoin is changing money, business and the world, Portfolio/Penguin.
• Ven, A.C.N. van de (2008), Administratieve Organisatie: praktisch relevant maar ook wetenschappelijk interessant?, Tilburg: Universiteitsdrukkerij Universiteit van Tilburg.
• Ven, A.C.N. van de (2014), ‘Complexiteit? Was het maar zo simpel!’, in: A. Nuijten en M. van Twist (red), IT-complexiteit en beheersing – op zoek naar woorden voorbij bestaande kaders, Rotterdam: Erasmus School of Accounting and Auditing, p. 9-18.
• Verkruijsse, H. (2010), Bestuurlijke Informatieverzorging: ‘Na het singularity point een nieuwe glanzende toekomst’, Tilburg: Universiteitsdrukkerij Universiteit van Tilburg.
• Vries, J. de (1985), Geschiedenis der Accountancy in Nederland – Aanvang en Ontplooiing, 1895-1935, Assen/Maastricht: Van Gorcum.

Sluiten