Blockchain: maar Garbage in, Garbage out blijft een groot risico!

Gaat Blockchain de Administratieve Organisatie vervangen?

(Dit artikel is in september 2019 geplaatst in het financiële dagblad financieel-management.nl

Typ het woord “Blockchain” in op Google en je wordt overladen met filmpjes, artikelen en interviews met deskundigen over de nieuwe technologie Blockchain. Er worden krachttermen gebruikt zoals “baanbrekend”,  “(r)evolutionair” en “efficiency verhogend”, geen tussenkomst van banken en notarissen meer nodig etc. Sommige deskundigen gaan zelfs verder en stellen dat de Administratieve Organisatie (AO/IC) vervangen zal worden door de Blockchain technologie.

Maar wat is Blockchain eigenlijk?

Een blockchain valt het beste te vergelijken met een soort spreadsheet die op Google Drive of Drop box staat, die je misschien ook wel op je werk gebruikt. Het bestand wordt met meerdere mensen gedeeld, mensen kunnen er in werken en tegelijkertijd ook wijzigingen van anderen zien. Je werkt dus altijd in de laatste, up-to-date versie. Maar er is wel een verschil: in de blockchain kun je alleen onderaan informatie toevoegen. Je kan dus wel dingen wijzigen, maar het verleden blijft staan. Iets uit het verleden kan maar door een iemand tegelijkertijd worden ‘gebruikt’, en dat is voor iedereen zichtbaar. Dat heeft als voordeel dat je verplicht wordt eerlijk te zijn, want het is erg duidelijk als je probeert iets uit het verleden te veranderen.

Wat complexer bekeken, is een Blockchain een database met openbare of private maar versleutelde informatie die over verschillende computers is verdeeld. Het bestaat uit verschillende netwerken (ook wel “nodes” genoemd) van computers. Iedere node bevat een kopie van de informatie in het netwerk. Een transactie komt alleen tot stand als die door alle nodes is gecontroleerd en geverifieerd. Met een Blockchain wordt het mogelijk om complexe informatiestromen tussen organisaties op een eenvoudige manier af te handelen. Simpel gezegd is Blockchain te vergelijken met een digitaal grootboek voor bijvoorbeeld een hele handel- of productieketen. Alle partijen die in de keten bij de handels- of productiestroom betrokken zijn, kunnen hun informatie plaatsen of er vanaf halen. Kortweg gezegd is een blockchain een keten van data-elementen, ook wel blokken genoemd, in volgorde van totstandkoming. Bijvoorbeeld:

Een handelaar tikt in een systeem hoeveel metrische kuub sojabonen zijn schip heeft en dat levert een klein document op: “een blok”. Op basis van de inhoud krijgt dit blok een unieke code. Een koper zegt vervolgens dat hij eigenaar is van de sojabonen, en die informatie komt in een nieuw blok, dat ook een eigen code krijgt op basis van de inhoud. Banken die zijn betrokken bij de koop maken daarop een blok met informatie over de overeenkomst, en ook dat krijgt een unieke code. En de code van elk blok sluit aan op het vorige blok, anders is de keten niet geldig. Dus als iemand knoeit, door bijvoorbeeld achteraf in het eerste blok de voorraad sojabonen een tonnetje hoger te zetten, wordt automatisch de code verandert, en is de blockchain niet meer geldig. Deze valt uit elkaar. Dit ziet elke deelnemer.

Wat is de impact op de administratieve organisatie en interne controle (AO/IC)?

Blockchain is, net als andere technologische ontwikkelingen (zoals Straight Through Processing (STP), Process- en datamining en Fintech) een innovatieve technologie, die kan leiden tot een efficiëntere, transparantere, goedkopere en klantgerichtere bedrijfsvoering.

Maar Blockchain zal ook leiden tot andere accenten in de beheersing van risico’s en de vastlegging en inrichting van processen. Een nieuwe technologie, zoals Blockchain creëert nieuwe risico’s. De noodzaak voor een goede administratieve organisatie en interne controle (AO/IC) blijft bestaan, waarbij het zwaartepunt zal gaan verschuiven van zogeheten handmatige controles naar meer geautomatiseerde controles. Overdracht van informatie via documenten van de ene persoon of organisatie aan de andere, zijn geïntegreerd in het informatiesysteem en zijn daardoor niet meer zichtbaar. Gebruikerscontroles worden hierdoor minder relevant. Het belang van betrouwbare invoer van gegevens (in termen van juistheid, volledigheid en tijdigheid) wordt alleen maar groter. Door Blockchain technologieën verdwijnt er veel informatie onder de “motorkap” en organisaties moeten voorkomen dat ze het overzicht op de bedrijfsvoering en in de keten gaan verliezen en geen zekerheid meer hebben dat de informatie in de gehele Blockchain betrouwbaar is. Het is belangrijk dat organisaties zich hiervan bewust zijn en hun administratieve organisatie hierop inrichten. Neem het voorbeeld van hierboven. Alles kan falen. Wat gebeurt er bijvoorbeeld als de leverancier de container vult met zand, maar in het systeem zet dat het sojabonen zijn?

Hiermee blijft een bekend gegeven in de informatica overeind. Een keten kan uitstekend werken, maar als de basisinformatie niet deugt gaat het toch fout. Het is garbage in, garbage out.’

Welke zaken moeten ingeregeld worden in de administratieve organisatie?

Voor een betrouwbare blockchain zullen verschillende aspecten binnen de administratieve organisatie geregeld moeten worden, waarbij de focus vooral ligt op de kwaliteit van de IT-omgeving. Een adequate IT-omgeving voor de aangesloten organisaties in de blockchain is cruciaal. Thema’s zoals logische toegangsbeveiliging, IT-risicomanagement en IT-Governance worden alleen maar belangrijker. Te denken valt ook aan procedures voor de distributie en het veilig opslaan van cryptografische sleutels, waarmee toegang tot de blockchain gekregen kan worden. Als een persoon, die niet bevoegd zijn om deze sleutels te gebruiken, deze in handen krijgt, dan valt de hele beveiliging van de blockchain weg. Daarnaast wil je ook zekerheid hebben, dat er geen ongewenste deelnemers worden aangesloten op de Blockchain, zoals leveranciers waar je in het verleden slechte ervaringen mee heb gehad. Om deze risico’s te beheersen dienen duidelijke afspraken (in de vorm van contracten of “smart contracts”) met de deelnemers worden gemaakt met voldoende waarborg (in de vorm van certificering) dat de IT-omgeving per deelnemer veilig is en dat verplichtingen duidelijk zijn bij eventuele incidenten. De continuïteit van de keten is een risico voor elke deelnemer en het maken van duidelijke afspraken en waarborgen hierover zijn niet bepaald onbelangrijk. Ook komen tot een algemeen geaccepteerde standaard binnen een gesloten omgeving is waardevol, om “Bitcoin”-achtige taferelen te voorkomen.

Conclusie

Blockchain gaat de administratieve organisatie niet vervangen, maar het zal wel gaan leiden tot andere accenten in de beheersing van (IT)- risico’s en de vastlegging en inrichting van de administratieve en operationele processen. De mens blijft een van de grootste risico’s in een IT-omgeving en om vervelende situaties zoals “garbage in, garbage out” te voorkomen, zullen adequate beheersmaatregelen genomen moeten worden.

AO/IC-training
Heeft u behoefte aan meer kennis en inzicht in de basisprincipes van AO/IC? En hoe deze kennis kan worden toegepast in praktijksituaties?. Schrijft u zich dan hier in voor de basistraining op 4 februari 2019 in een schitterend kasteel in Doorn.

Arjan is partner bij het adviesbureau ACS Partners en mede-oprichter van het label Risk&AO/IC. Dit label ondersteunt organisaties bij het versterken van de Administratieve Organisatie (AO/IC) door AO/IC - trainingen en QuickScans. Arjan is auteur van diverse artikelen over AO/IC in het online financiële dagblad Financieel-Management.nl

Delen