Waar we het vorige keer in feite over het wezen van computers hadden, nu een verschil dat vooral voor accountants van betekenis is. Het verschil tussen een computer en pen en papier.

Stel dat je een getal noteert op een velletje papier. Wat doet de pen dan? In meer of mindere mate kerft de pen een groefje in het papier en laat inkt achter in of op die groef. Die inkt kan achteraf weer worden verwijderd, bijvoorbeeld met middelen die de inkt oplossen. Maar de groef in het papier blijft. Natuurlijk zullen er situaties te bedenken zijn waarbij een tekst echt onvindbaar kan worden verwijderd, maar het basisprincipe is toch wel dat de vastlegging van data met pen en papier een fysieke gebeurtenis is, die onwisbare sporen na laat. De klassieke accountant is dan ook niet zelden bezig 'sporen in de administratie' te controleren. Neem een bestand bestaande uit tienduizenden facturen die doorlopend genummerd zijn. Als daar een factuur tussenuit wordt gehaald, is het een tamelijk heidens karwij om de nummering weer sluitend te krijgen, tenzij je een nieuwe factuur tussenvoegt met het verwijderde nummer. Maar dan moet die factuur weer op andere manieren geloofwaardig worden gemaakt. Frauderen is al snel een hele klus.

Vastlegging van data in een computer laat in beginsel geen sporen na. In het direct adresseerbare geheugen niet, maar op een harde schijf evenmin. Wie een doorlopend genummerd bestand met miljoenen facturen wil vernummeren omdat halverwege een factuur is verwijderd, kan dat binnen seconden regelen zonder enig spoor na te laten.
Dat heeft forse consequenties. Als het muteren en verwijderen van gegevens geen sporen nalaat, dan kan je op geen enkele manier achteraf vaststellen wat exact met gegevens is gebeurd. Dat is nogal een uitdaging voor accountants.

Gelukkig is er wel een oplossing. Niet de computer laat sporen na, maar we kunnen wel programma's maken die sporen vastleggen. Audit trails, logbestanden et cetera. Als accountant kan je daarvan gebruikmaken en vaak nog lekker efficiënt ook. Alleen, laat het aanpassen van een audit trail sporen na? Nee natuurlijk. Dus wat is dan de waarde van die audit trail precies?

Hier komen de general computer controls weer om de hoek kijken. Als we een audit trail willen via een betrouwbare logging van alle mutaties in data, dan zal dat moeten worden geprogrammeerd. Dat programma mag nooit worden uitgezet zonder sporen na te laten en de data die dit programma opslaat mag zelf nooit worden gemuteerd. De general computer controls kunnen dat garanderen, maar dan moeten ze wel werken.

Ik heb helaas al te vaak accountants gezien die stelden: ook al werkt een control niet in opzet, als ik in de logging kan zien dat niemand de control heeft doorbroken, dan kan ik daar toch op steunen. Ja, de groeten. Dat kan uitsluitend als je hebt vastgesteld dat die logging betrouwbaar is. En gek genoeg heb ik die vaststelling nou nog nooit correct teruggevonden in een dossier dat begon met die niet-werkende control. 

Wie mee wil doen met #klooienmetcomputers kan dat doen via GitHub. Maak een account op github.com en zoek naar Abmvk/kmc. Het account Abmvk volgen kan ook. Lezers zijn vrij te gebruiken wat ze willen en om zelf zaken toe te voegen of aan te passen, vragen te stellen of commentaar te leveren.