25 november 2011

Continous auditing is de norm



Het was een zenuwachtige bedoening in conference room 1 van Zilch Accountants. De eerste mensen aan de wereldwijde conference call kwamen binnen, terwijl de technici nog bezig waren om de verbindingen met New York, Shanghai , New Delhi en Frankfurt op te zetten. Op de grote holowand verschenen een voor een de beelden van vergelijkbare vergaderzalen waar ook mensen naar binnen drentelden. In totaal zouden een kleine 75 mensen deelnemen aan deze toch wel bijzondere pre-audit meeting op 03-10- 2020. Een tijdperk waarin continous auditing de norm is geworden.
Zilch had de opdracht gewonnen van Gbank; de bank die was ontstaan door de fusie van Google Bank en Paypal, waardoor de grootste bank ter wereld ontstond die haar diensten ook nog eens vanuit ‘the cloud’ aanbood. Hierdoor was de bank alleen al in 151 landen actief en door de overname 3 jaar geleden van Visa door Google bank en MasterCard door Paypal was met de fusie van Google Bank en Paypal feitelijk het wereldwijde betalingsverkeer verkeer ondergebracht bij één organisatie.

Zilch aangewezen als nieuwe accountant
Wereldwijd was er discussie ontstaan over deze fusie, maar onder de leiding van een speciale mededingingsautoriteit van de VN was er besloten dat het toezicht zou worden ondergebracht bij een toezichtsorgaan bestaande uit bestuurders van de ECB, de Fed en de Chinese centrale bank. Dit toezichtsorgaan had Gbank aangegeven dat zij op zoek moest naar een nieuwe accountant op basis van een zogenaamde beauty contest, waarin de verschillende kantoren moesten aangeven op welke wijze zij deze nieuwe bank wilden gaan controleren. Zilch had deze strijd gewonnen, juist vanwege haar specifieke kennis van ‘the cloud’ en omdat zij niet geschroomd had om enkele zeer ervaren specialisten, zoals de beroemde internetdetective Owen Jericho, als adviseurs aan het team toe te voegen. De bekendmaking van de accountant was wereldwijd in het nieuws geweest en CEO Li Waedra van Zilch had in verschillende talkshows benadrukt dat het een hele eer – maar zeker ook een zware verplichting – was en dat zijn organisatie klaar was voor deze bijzondere opdracht. Zelfs minister-president De Groot had het in zijn wekelijkse vragenuurtje besproken, waarbij hij aangaf dat Nederland nu naast het centrum voor internationale justitie nu ook het centrum voor internationale accountancy is. Dit succes was mede te danken aan het feit dat de accountancyopleidingen in Rotterdam, Amsterdam en Nyenrode gefuseerd waren en gezamenlijk geïnvesteerd hadden in een hypermodern internationaal research center, dat was ondergebracht bij het Limperg Instituut.

Divers samengesteld team
Alle verbindingen waren gelegd en alle deelnemers waren fysiek dan wel virtueel aanwezig. Opdrachtleider Patrick Delimes nam het woord en benadrukte nog eens de bijzonderheid van de opdracht. Hierna stelde hij het team nog eens voor, hoewel iedereen dat natuurlijk al lang op het intranet had uitgezocht. Het team bestond uit 76 leden en bestond uit 8 accountants-EDP-auditors, een 20 tal research programmeurs, een team van forensisch deskundigen, 6 specialisten het gebied van bancaire producten, 2 gedragsdeskundigen en een groot aantal specialisten op het gebied van data-analyse en continuous auditing. Delimes gaf aan dat op basis van een eigen interne analyse met het ITBAM (Intelligent team building and monitoring) programma drie leden bij het oorspronkelijke team waren weggehaald en dat men had besloten om een aantal competenties te versterken door 6 nieuwe leden aan het team toe te voegen. ITBAM zou overigens het presteren van de teamleden continu monitoren.

Inherente risico’s
Na de interne zaken kwam nu het onderzoek naar de inherente risico’s aan bod. Op basis van de hrm-bestanden en de digital rights structure van Gbank waren door NASFFIC (Neural Analysis of Social and Financial Fraud and Internal Control) de key personen binnen de organisatie geanalsyeerd. NASFFIC was niet alleen in staat om inconsequenties in de interne beheersing op te sporen; het maakte tevens een analyse van de betrouwbaarheid van de medewerkers. Hierbij vergeleek het systeem bijvoorbeeld de hrm-gegevens met social media, keek naar het gedrag van medewerkers op het net en speurde tevens in de financiële gegevens van medewerkers om na te gaan of deze bijvoorbeeld in lijn waren met het uitgavenpatroon. Deze zeer strikte controle was overigens algemeen geaccepteerd, nadat in 2018 gebleken was dat een groep skimmers diep was geïnfiltreerd in het management van een Franse bank. Alleen Zilch was in staat geweest om dit systeem verregaand te automatiseren door een aantal deskundigen op het gebied van statistiek en neurale netwerken hierbij te betrekken. Het systeem had in totaal 2.500 personen binnen Gbank aangewezenen als key persoon en deze waren allemaal gescreend.


In totaal had het systeem 1200 opmerkingen geplaatst, die gingen van te veel rechten binnen de geautomatiseerde systemen tot aan een medewerker die een gokverslaving bleek te hebben. Speciaal voor deze opdracht was NASFFIC nog aangepast, omdat er speciale aandacht uitging naar de vele programmeurs die Gbank in dienst had of inhuurde bij derden. Het systeem had twee interne en een externe programmeur herkend als redelijk bekende in de hacker scene.

Continuous audit
De continuous auditors hadden een systeem uitgedacht om de systemen van Gbank continu te kunnen auditen. De systemen van Gbank maakten gebruik van een zogenaamde softwarebus, waarvan de communicatie plaatsvond op basis van XML-berichten. De programmeurs hadden een Auditbot ontwikkeld, die zelfstandig over de softwarebus kon bewegen en XML-berichten kon lezen, volgen en analyseren. Het systeem was zelflerend en zodra er een onregelmatigheid geconstateerd werd, kon het op zoek gaan naar een patroon, om zodoende lacunes in de geprogrammeerde controles binnen de softwarebus op te sporen. Ook konden de accountants zelf de Auditbot aansturen en specifieke deelopdrachten of controles laten uitvoeren. Alle uitkomsten werden verzameld en geïnterpreteerd door het ASS (Audit Support System), dat het weer doorspeelde aan de assistenten in New Delhi voor nadere analyse en toelichting, en om mogelijk meer specifieke deelonderzoeken te doen. Het systeem was meerdere malen getest in kleinere omgevingen, zoals bij een aantal Europese banken, als onderdeel van een stresstest. Probleem bij GBank was wel de heel sterke beveiliging geweest, die in het begin de Auditbots beschouwde als virussen en deze vernietigde. Maar uiteindelijk was het de programmeurs toch gelukt om deze problemen op te lossen zonder de beveiliging aan te passen.

Rood licht
Er was duidelijk wat onrust in Shanghai; op het holoscherm was te zien dat Li Waedra samen met de CFO van Gbank en de bestuurders van de ECB en de Bank of China de ruimte waren binnengekomen en plaatsnamen in de zaal. In New York kwam nu ook de Amerikaanse delegatie binnen. Delimes verwelkomde de gasten. Maar net toen hij zijn presentatie wilde hervatten, verscheen er ineens op het holoscherm een grafische weergave van de wereld met daarop de belangrijkste informatiehubs van de Gbank. Al snel verschenen er lijnen tussen de informatiehubs waarvan de dikte het aantal transacties weergaf. Plotseling zoomde het systeem in op een van de hubs die rood begon te knipperen. Op dat moment klonken er bij meerdere deelnemers gepiep uit hun binnenzak. De deelnemers keken elkaar verschrikt aan, tijdens een demonstratie voor het toezichtsorgaan ontstond een situatie die ze niet hadden verwacht. Delimes keek aandachtig naar het scherm; dit was een wel heel onverwachte vuurdoop.
Op het holoscherm werd er verder ingezoomd. Binnen een van de kantoren in China had een ongebruikelijke transactie plaatsgevonden waarbij de digital rights van Gbank waren doorbroken. Binnen enkele seconden verscheen op het scherm een eerste analyse: het betrof twee medewerkers in de vestiging van Gbank Shenzen. Zij hadden de standaardvoorwaarden in een contract aangepast en een sideletter opgesteld. Helaas wel met de tekstverwerker van de bank en dus had het systeem deze fraude snel geanalyseerd. De Chinese voorzitter van het toezichtorgaan stond plotseling op en vroeg het woord. Hij gaf aan dat het toezichtorgaan twee medewerkers maanden geleden al de opdracht had gegeven om te infiltreren bij de Gbank. Tot nu toe hadden de beveiligingssystemen van Gbank ze niet gedetecteerd. De twee infiltranten hadden vandaag specifieke orders gekregen om een side letter op te stellen, om na te gaan of het systeem dat überhaupt had kunnen detecteren. De leden van het toezichtorgaan waren zeer onder de indruk, de CFO van Gbank wist dat hij nog het nodige te doen had en Delimes gaf een knipoog naar Waedra; dat hadden ze maar mooi geklaard.

Verantwoording
Ik krijg nog wel eens te horen dat ik met mijn verhalen te veel voor de muziek uit loop. Persoonlijk vind ik dat wel meevallen. Maar wat als je jezelf geen belemmering oplegt en een keertje echt gaat dagdromen? Dat deed ik afgelopen zomer na het lezen van het boek ‘Limiet’ van de Duitse schrijver Frank Schatzing. Een zeer boeiend boek (slechts 1089 pagina’s) waaruit ik de hoofdrolspeler Owen Jericho even geleend heb. Als omgeving heb ik maar weer eens Zilch gebruikt, het door het NIVRA ooit ontwikkelde toekomstbeeld van een accountantskantoor. De in het verhaal genoemde technieken zijn geen dagdromen, maar technieken die nu al worden gebruikt.


Geen opmerkingen: