Home Magazine

Blockchain en IT-auditing

04 maart, 2025
Inleiding
auteurs: Patrick Chu MSc RE en Dr. René Matthijsse RE 

De NOREA Kennisgroep Keteninformatiemanagement heeft in 2024 een onderzoek uitgevoerd met de vraag welke impact blockchain (DLT) heeft in de context van assurance en welke consequenties kunnen bestaan voor de interne beheersing. De centrale vraagstelling was hierbij: Op welke wijze wordt het assurance-proces door de auditor beïnvloed door de toepassing van blockchain tussen organisaties, welke factoren spelen hierbij een rol en wat betekent dit voor de eisen die aan de interne beheersing worden gesteld?

Het onderzoek is uitgevoerd bij vijf Nederlandse organisaties in verschillende sectoren die actief bezig zijn met de implementatie van blockchain voor hun financiële en logistieke transactieprocessen: Mobiliteit, AGF-keten, Afvalverwerking en twee Grootbanken. Bij het onderzoek zijn tientallen expert interviews afgenomen, waaruit  een grote datacollectie kwam. Alle data is verwerkt in een hanteerbaar model voor IT-governance & -assurance bij een blockchain-ecosysteem. Bij het uitgevoerde onderzoek zijn de ontwikkelingen in crypto-netwerken niet meegenomen, want dergelijke netwerken hebben een duidelijk ander informatieprofiel en juridisch kader. Een impressie van de belangrijkste resultaten.
Ervaringen bij implementatie
Dit onderzoek naar de verschillende auditing-aspecten bij de implementatie van blockchain-netwerken is uitgevoerd op basis van vier audit-domeinen, namelijk Governance, Financieel-economische aspecten, Bedrijfsprocessen en Informatiestromen. Het onderzoek toont aan dat nieuwe informatietechnologie zoals blockchain in de toekomst de controllers, accountants en IT-auditors zeker niet minder relevant zal maken, maar dat het wel impact heeft op wat zij doen en de werkwijzen waarop. 
Governance

Uit dit onderzoek is duidelijk naar voren gekomen dat de governance van blockchain-netwerken zowel technologische als bestuurlijke aspecten kent. Daarom is ook de noodzaak ontstaan tot multidisciplinaire auditing: financieel, processen en informatiesystemen. De strategische managementaspecten omvatten zowel de aanleidingen voor de realisatie van een blockchain-ecosysteem als de doelstellingen, die strategisch of economisch van signatuur kunnen zijn.

Ook is naar voren gekomen dat de aansturing van de implementatie een complex proces is door het grote aantal autonome partijen en door het in eerste instantie ontbreken van een gezamenlijk strategisch informatiebeleid.  De diversiteit aan belanghebbenden noodzaakt om rekening te houden met de verschillende invalshoeken, achtergronden en doelstellingen. Als geen structuur bestaat voor de formele besluitvorming en voor de bestuurlijk-organisatorische inrichting, dan wordt de aansturing teveel overgelaten aan de dynamiek in het veld. “Wie betaalt, die bepaalt”. Een bijzondere verantwoordelijkheid betreft het opzetten van (nieuwe) wet- en regelgeving. Blockchains in financiële en logistieke transactienetwerken zijn van nature al gauw internationaal van aard, waardoor de wet- en regelgeving uit verschillende continenten en landen van toepassing is. Er is in deze situatie geen sprake van specifieke regelgeving voor een willekeurige blockchain.

Naarmate blockchain-technologie volwassener wordt, zal de belangrijkste uitdaging liggen op het gebied van governance, stakeholder-management, kosten/batenverhouding en energieverbruik/duurzaamheid. Communicatie en marketing blijken van levensbelang bij blockchain-projecten om de betrokkenheid van alle partijen te beïnvloeden. Vaak blijkt dat er te weinig communicatie plaatsvindt over strategisch beleid en doelstellingen. De aard van de communicatie is in het algemeen technisch georiënteerd, waardoor onvoldoende profilering van de beoogde dienstverlening en voordelen plaatsvindt op de juiste besluitvormingsniveaus. Daardoor is het totaalbeeld voor de betrokken organisaties moeilijk te achterhalen. Een overlegstructuur met de relevante partijen kunnen bepaalde verwachtingen en zichtbaarheid van het project creëren, maar moeten vervolgens wel worden waargemaakt.

Financieel-economisch

Het onderzoek heeft laten zien dat de financieel-economische managementaspecten uitgewerkt worden naar drie deelaspecten, namelijk financiering, verrekening en kosten-baten analyse. Bij alle blockchain-projecten blijkt het belang van een financiële belangenanalyse. Financiering van een blockchain-ecosysteem vereist een (globaal) financieringsmodel vooraf. Voor financiering zijn diverse scenario’s mogelijk zoals exogene financiering (venture capital), endogene financiering of een combinatie van beide. Deelname in financiering wordt veelal overwogen vanuit het opdoen van kennis en ervaring in een innovatieve omgeving met een gedistribueerd grootboek, multi-party consensus en nieuwe technologie. Vertrouwen in het project, in de kwaliteit van de projectorganisatie en de aanwezigheid van draagvlak bij de dominante sectorpartijen spelen een cruciale rol wat betreft financieringsbereidheid. Het blijkt moeilijk om aan het begin betrouwbare schattingen te maken van de kosten, baten en risico’s, zeker als tijdens het blockchain ontwikkeltraject de functionaliteit wordt aangepast.

Verrekening is een separaat onderwerp: investeringen en opbrengsten kunnen aan verschillende partijen toegerekend worden en vallen vaak verschillend in de tijd. Een rechtvaardig verrekenmodel tussen de deelnemende partijen wordt gezien als een kritieke succesfactor. Verrekening gaat samen met het opzetten van een tariefstelsel. Dit tariefstelsel kan versterkt worden door een mogelijke politieke geladenheid. De ene organisatie doet de investering en de andere organisatie verwerft de baten. Dit leidt mogelijk tot belangentegenstellingen die het moeilijk maken consensus te bereiken over de toewijzing van middelen. De waarde van een blockchain netwerk ontstaat door toekomstige projecten en volumes, waardoor baten meestal een indirect karakter hebben.

Bedrijfsprocessen

Er bestaat niet een generieke blockchain-oplossing waarbij alle eigenschappen maximaal scoren, maar er zijn verschillende oplossingen mogelijk met hun eigen voor- en nadelen. Dit betekent dus dat er een afweging gemaakt moet worden, waarbij door een slimme combinatie van eigenschappen te kiezen een zo optimaal mogelijke fit tussen proces en blockchain oplossing gerealiseerd wordt. Omdat de aansluiting tussen de blockchain en het proces bepaald wordt via de blockchain eigenschappen, wordt daarom eerst bepaald welke proceseigenschappen het belangrijkst zijn.
Toepassing van blockchain-technologie kan uit diverse oplossingen bestaan die allen verschillen in kenmerken, voor- en nadelen, en aandachtspunten in vergelijking met traditionele IT. Doordat een hoge waarde van het ene kenmerk een hoge waarde van een ander kenmerk soms uitsluit, is er dus niet één generieke ideale oplossing mogelijk voor alle soorten processen. Daarom zal een afweging gemaakt moeten worden die moet leiden tot de best mogelijke blockchain-oplossing. Een proces kan geoptimaliseerd worden door toepassing van blockchain technologie, echter uitsluitend als en voorzover de juiste fit tussen processtappen en blockchain-kenmerken bepaald wordt. Implementatie van blockchain-toepassingen heeft bij de onderzochte case-studies geleid tot significante aanpassingen in organisatie, inrichting en structuur van bedrijfsprocessen (BPM, BPR, process mining etc).

Informatiestromen

Uit dit onderzoek is naar voren gekomen dat veel kenmerken één op één gerelateerd zijn aan de ITGC’s, die bij blockchain-netwerken veelal beheerd worden door de cloud-providers. Daarom veranderen sommige ITGC-risicoprofielen bij toepassing van blockchain-technologie. Zo is bijvoorbeeld Logische Toegangsbeveiliging veel belangrijker geworden als onderdeel van Sleutelmanagement door de sterke koppeling met identiteit aan de blockchain. Data-management, data-architectuur, security en interconnectie zijn belangrijke kritieke succesfactoren. Het bekende Oracle-probleem (foute data in de blockchain) wordt niet gezien als kritieke succesfactor. Doordat blockchain inherent staat aan het werken in één autonoom systeem betekent dit ook dat per aandachtsgebied het binnen de deelnemende partijen hoogst scorende risicoprofiel leidend wordt voor het blockchain-systeem. Er is geen generieke blockchain mogelijk, maar er is altijd een afweging of compromis tussen de kenmerken van proces, IT-oplossing en blockchain-oplossing nodig.

Tenslotte
Dit onderzoek heeft aangetoond, dat bij blockchain-netwerken de organisatie en inrichting een grotere rol spelen dan de technologie op zich. Blockchain-technologie verschilt niet fundamenteel van andere vormen van informatietechnologie, maar leidt wel tot serieuze consequenties op andere risicogebieden. De beroepsgroep van IT-auditors moet zich goed bewust te zijn van de veranderingen in risico’s naarmate de technologische innovatie en externe integratie sterk toenemen. Blockchain-auditing gaat immers veel verder dan het toetsen van de traditionele ITCG’s. Deze innovaties vereisen de doorontwikkeling van nieuwe kennis, vaardigheden en auditing-methoden. Beroepsmatige samenwerking met andere vakdisciplines tijdens het proces van auditing is zeker noodzakelijk. Hierbij wordt bijvoorbeeld niet alleen gedacht aan samenwerking met accountants en controllers, maar ook met cloud-providers, software engineers, proceseigenaren, juristen en toezichthouders. De beroepsorganisaties moeten hierbij het voortouw te nemen. 
Patrick Chu MSc RE 
Patrick Chu is een ervaren IT Risk Adviseur en IT Auditor die organisaties helpt zich te beschermen tegen nieuwe cyberbedreigingen, opkomende technologische risico’s en compliant worden en blijven aan veranderende wet- en regelgeving.
Met zijn expertise in informatiebeveiliging, IT risk management en compliance zorgt hij ervoor dat organisaties niet alleen veilig blijven, maar ook klaar zijn voor de toekomst.
Dr. René Matthijsse RE
René Matthijsse heeft een brede werkervaring in verschillende sectoren, functies en organisaties. Hij is met pensioen gegaan in 2019. Daarvoor was hij werkzaam bij Fontys Hogescholen als Lector “Informatiemanagement en Control in een ketenomgeving”, docent en examinator Accountancy en Finance, en als Associate Professor aan de Vrije Universiteit Amsterdam bij de Master opleiding IT Auditing, Compliance & Advisory. Eerder was hij werkzaam bij KPMG Management Consulting als Director, bij Capgemini Public Sector als Director, en als directeur bij KPN en Digital Equipment. Hij is momenteel voorzitter van de kennisgroep Keteninformatiemanagement van de NOREA. Hij combineert deze kennis en ervaring met brede kennis van het ICT werkveld.