Edo Roos Lindgreen

De Amerikaanse wetenschapshistoricus Thomas Kuhn is vooral beroemd om zijn boek The Structure of Scientific Revolutions (1962). Het begrip paradigma staat daarin centraal: een stelsel van aannames, afspraken, theorieën, zienswijzen, modellen en werkmethoden dat in een bepaalde tijdsperiode als waarheid geldt voor een meerderheid van wetenschappers en beroepsbeoefenaren.

Kuhn legt uit dat de wetenschap zich niet continu ontwikkelt, maar schoksgewijs, waarbij om de zoveel tijd een bestaand paradigma omvergeworpen wordt door een nieuw paradigma. Een bekend voorbeeld is de paradigmaverschuiving die Galileo in de zeventiende eeuw veroorzaakte door overtuigend aan te tonen dat de aarde om de zon draait in plaats van omgekeerd. Hij kwam bijna op de brandstapel en kreeg de rest van zijn leven huisarrest, maar het wiel was in beweging gezet, en de zon zou nooit meer om de aarde draaien. 

Informatietechnologie

Ook in de wereld van auditors voltrekt zich op dit moment een paradigmaverschuiving. Die verschuiving heeft alles te maken met ontwikkelingen op het gebied van informatietechnologie. Rekenkracht, opslagcapaciteit en bandbreedte verdubbelen zich al decennialang elke anderhalf jaar.

Deze capaciteitsgroei heeft geleid tot grote vernieuwingen die in golven tot ons gekomen zijn: van het mainframe in de jaren zestig, de minicomputer in de jaren zeventig, de pc in de jaren tachtig en het internet in de jaren negentig tot de stortvloed aan nieuwe toepassingen die ons nu overspoelt en waarvoor onze Amerikaanse collega's soms de term SMAC gebruiken: social, mobile, analytics en cloud - een acroniem waar gemakkelijk recente ontwikkelingen als blockchain, internet of things en machine learning aan toegevoegd zouden kunnen worden.

'Deze vijfde golf van technologische ontwikkeling ontwricht tegenwoordig zo'n beetje elke sector in onze economie.'

Deze vijfde golf van technologische ontwikkeling ontwricht tegenwoordig zo'n beetje elke sector in onze economie. Van supermarkt tot reisbureau, van bank tot universiteit, van ziekenhuis tot telecombedrijf: geen bedrijfstak blijft gespaard. Maar wat betekenen deze ontwikkelingen voor de auditor? Niets minder dan een paradigmaverschuiving. 

Stilstaand doel

De manier waarop auditors met technologie omgaan, stamt uit de jaren zeventig. Dan komen accountants er achter dat hun cliënten steeds vaker een computer gebruiken. Om de elektronische boekhouding te kunnen controleren, schakelen accountants en interne auditors specialisten in: EDP-auditors, waar EDP staat voor electronic data processing. Het technologische landschap is in die dagen nog simpel: de gemiddelde onderneming beschikt over eigen computersystemen waar informatiesystemen op draaien om de belangrijkste bedrijfsprocessen te ondersteunen.

'De manier waarop auditors met technologie omgaan, stamt uit de jaren zeventig.'

Die systemen zijn verbonden met terminals waar eindgebruikers op werken. Op de systemen draaien uiteraard besturingssystemen en aan die systemen zijn databases gekoppeld. Het is een overzichtelijke wereld, waarin nog geen sprake is van computernetwerken, laat staan internet, laat staan cloud. De onderneming is als een boerderij; alle hardware en software staat op het eigen erf en is in principe onder controle. EDP-auditing is schieten op een stilstaand doel. 

Zo ontstaat in de jaren zeventig en tachtig de basis voor het huidige paradigma voor auditing in een geautomatiseerde omgeving, dat, sterk vereenvoudigd, kan worden omschreven als het toetsen van de opzet en werking van beheersingsmaatregelen, en, voor zover nog nodig, het uitvoeren van gegevensgerichte controles op basis van steekproeven.

Goede opzet

De externe accountant bijvoorbeeld kijkt in die jaren eerst naar relevante posten in de jaarrekening, stelt vast welke posten materieel zijn en onderzoekt vervolgens welke bedrijfsprocessen bij deze posten betrokken zijn en welke informatiesystemen deze processen ondersteunen. Ten slotte onderzoekt hij of de betrouwbaarheid van de geautomatiseerde gegevensverwerking wordt gewaarborgd door een goede opzet en werking van maatregelen op de verschillende lagen in de IT-omgeving: de applicatie, de autorisaties en de IT-infrastructuur, en de processen om deze omgeving te ontwikkelen, te onderhouden, te beheren en te gebruiken. Voor het antwoord op die laatste vraag richt hij zich tot de EDP-auditors. 

Deze gaan aan de slag, formeren een beroepsorganisatie en ontwikkelen gedurende de jaren tachtig en negentig een omvangrijk instrumentarium om hun controle uit te voeren en uitspraken te doen over de zogeheten application controls en general IT controls: de beheersingsmaatregelen op applicatie-, respectievelijk infrastructuurniveau. Overigens valt de uitslag van die controle vaak tegen: of de application controls deugen niet, waarna inspectie van de general IT controls niet langer nodig is, of de general IT controls zijn niet goed, waarna het eigenlijk geen zin meer heeft om verder naar application controls en autorisaties te kijken. 

De conclusie is dus meestal: aanvullende gegevensgerichte werkzaamheden zijn noodzakelijk, en dat vindt de accountant helemaal niet erg om te horen, want dat betekent meerwerk. Voor de internal auditor geldt dit in nog sterkere mate: hij legt de focus nog meer op de beheersingsmaatregelen en hanteert daarbij dezelfde normenkaders als de externe accountant en EDP-auditor. 

Controle-instrumentarium

In de jaren tachtig en negentig verandert het IT-landschap drastisch. Met de opkomst van local area networks, personal computers en krachtige minicomputers in de jaren tachtig en de client/server-architectuur, internet, laptops en outsourcing in de jaren negentig maakt de boerderij plaats voor iets dat meer lijkt op een grote stad en ziet de EDP-auditor zich genoodzaakt zijn controle-instrumentarium uit te breiden en aan te passen. 

Standaarden als COBIT, ITIL, ISO17799 en SAS70 helpen hem daarbij. De EDP-auditor, inmiddels omgedoopt tot IT-auditor, breidt zijn werkterrein uit en groeit uit tot een gewaardeerde onafhankelijke deskundige die niet alleen de accountant, maar ook andere stakeholders van bevindingen, aanbevelingen en oordelen op het gebied van inzet en beheersing van IT voorziet. 

Complex landschap

Maar de ontwikkelingen schrijden in een steeds hoger tempo voort. Anno 2017 is het landschap waar de auditor zijn weg in moet zien te vinden complexer dan ooit. Ondernemingen hebben complete bedrijfsprocessen uitbesteed, die via de cloud gebruikmaken van een veelheid aan informatiesystemen die op hun beurt ook weer via de cloud gebruikmaken van een veelheid aan infrastructuurdiensten. 

Niet de laptop, maar de smartphone is het meest gebruikt. Wearables en het internet of things doen hun intrede: honderden miljoenen toegangsapparaten, voorzien van besturingssoftware die almaar uitdijt en daardoor steeds kwetsbaarder wordt. Er is een constante toestroom van nieuwe leveranciers met nieuwe proposities die zoveel voordelen bieden, dat ondernemingen niet lang aarzelen om die services in gebruik te nemen - betrouwbaar of niet. De vijfde golf van technologische innovatie is hier, en het is een tsunami. De grote vraag is: kunnen auditors in deze nieuwe wereld blijven vasthouden aan het oude paradigma dat ooit ontstond in de overzichtelijke, controleerbare wereld van de jaren zeventig? 

Zwerm bewegende doelen

Het antwoord laat zich raden. Was het in de oude wereld al lastig om een goed oordeel te geven over de betrouwbare werking van de application controls en general IT controls, in de nieuwe wereld is dat feitelijk niet meer mogelijk. Daarvoor zijn componenten en spelers in het IT-landschap te talrijk, te verspreid en te veranderlijk. De IT-auditor schiet niet meer op één stilstaand doel, maar op een zichzelf steeds vernieuwende zwerm bewegende doelen.

Wie niet kan vertrouwen op beheersingsmaatregelen, moet de gegevens zelf controleren. Dat klonk de accountant vroeger al als muziek in de oren, maar nu nog meer. De nieuwe wereld wemelt van de data, elk jaar twee keer zoveel, en biedt uitgelezen mogelijkheden om gegevensgerichte controles efficiënter, vollediger, effectiever en met meer toegevoegde waarde uit te voeren dan ooit.

'Wie niet kan vertrouwen op beheersingsmaatregelen, moet de gegevens zelf controleren.'

Veel beter dan vroeger kunnen we door profilering vooraf inschatten welke cliënten, welke posten op de jaarrekening, welke transacties nadere aandacht behoeven. Veel beter dan vroeger kunnen we financiële en niet-financiële gegevens uit verschillende gestructureerde en ongestructureerde bronnen combineren om zo efficiënt tot nieuwe inzichten te komen. Veel beter dan vroeger kunnen we in de infrastructuur op zoek gaan naar digitale sporen die kunnen dienen ter ondersteuning of ontkrachting van bepaalde hypothesen. En veel beter dan vroeger kunnen we lerende algoritmen ontwikkelen en inzetten om ons bij allerlei analyses te ondersteunen. Althans, in theorie. 

Data scientists

In de praktijk blijkt het ontsluiten, combineren en analyseren van grote hoeveelheden gestructureerde en ongestructureerde data uit een groot aantal verschillende bronnen geen sinecure. Wie dat wil doen, moet kennis hebben van data-extractie, statistiek, modellering, analysetechnieken, visualisatie, programmeren en machine learning, en moet in staat zijn het daarbij behorende instrumentarium - dat zich in een hoog tempo ontwikkelt - toe te passen. Ziehier de geboorte van een nieuwe beroepsgroep: de data scientist, die over al deze kennis en ervaring beschikt, deze expertise onderhoudt en ook voortdurend verder ontwikkelt. 

Vakgebieden als marketing, logistiek, strategie en HR hebben de data scientist al jaren geleden omarmd, en opleidingen tot data scientist schieten als paddenstoelen uit de grond. De auditor daarentegen doet veel minder met data science dan je op basis van behoeften en mogelijkheden zou verwachten (Wang et. al., 2014; Yoon et. al., 2015). Wang et. al. noemen als redenen onder meer: te weinig vertrouwen in de eigen vaardigheden; organisatorische druk; beperkingen in de technische infrastructuur; te hoge verwachtingen; en het ontbreken van faciliterende omstandigheden. 

Andere manier van werken

The Economist voorspelde onlangs op basis van onderzoek door Frey en Osborne (2013) dat accountants en auditors over twintig jaar niet meer bestaan. Althans, de kans daarop werd geschat op 94 procent. Voor de komende tijd durf ik deze beroepsgroepen wel gerust te stellen: de kans dat zij over zeg tien jaar nog wél bestaan schat ik op 82,3 procent. Ook in de toekomst willen stakeholders immers nog een redelijke mate van zekerheid hebben over de financiële positie en de kwaliteit van de beheersingsmaatregelen van de bedrijven waar zij in investeren.

'De kans dat accountants over zeg tien jaar nog wél bestaan schat ik op 82,3 procent.'

En mocht die behoefte onverhoopt minder worden, dan zijn veel zaken vastgelegd in wet- en regelgeving die zich niet zo gemakkelijk laat veranderen. Wel zullen auditors op een andere manier gaan werken. In de nieuwe wereld kom je niet meer weg met paradigma’s uit de jaren zeventig; auditors moeten en zullen de komende jaren een nieuwe, data-gedreven aanpak ontwikkelen. 

Eerste stappen

Om deze paradigmaverschuiving te versnellen kunnen auditors drie dingen doen. Eén: zwaar investeren in de benodigde kennis en vaardigheden op het gebied van data science. Twee: data science een centrale plaats geven in de controleaanpak en controleprogramma’s. Drie: korte metten maken met organisatorische en technische obstakels die de grootschalige toepassing van data science in de weg staan.

'Auditors moeten en zullen de komende jaren een nieuwe, data-gedreven aanpak ontwikkelen.'

De grote accountantskantoren en de interne auditafdelingen van grotere organisaties hebben al enige tijd geleden de eerste stappen op dit pad gezet; de meeste middelgrote kantoren en organisaties moeten nog beginnen.

Bij het ontwikkelen van kennis en vaardigheden op het gebied van data science is een belangrijke rol weggelegd voor de auditopleidingen aan de universiteiten, zowel op master- als op postmaster-niveau. Zij moeten data science met spoed een belangrijke plaats geven in het curriculum. De Amsterdam Business School van de Universiteit van Amsterdam wil hiermee voorop lopen. Alle auditopleidingen besteden inmiddels aandacht aan data science, hetzij door data science in bestaande modules te integreren, hetzij door speciale opleidingen en modules te ontwikkelen, zoals het recent ontwikkelde programma Data Science for Auditors dat in 2017 in de Postmaster Accountancy van start zal gaan (Bouwens et. al., 2017). 

Referenties

Bouwens, J., Polman, A. and Roos Lindgreen, E. (2017). Data Science for Auditors - Course Outline. Universiteit van Amsterdam.
Frey, C., and Osborne, M. (2013). The Future of Employment: How Susceptible are Jobs to Computerisation?. Oxford Martin Programme on the Impacts of Future Technology.
Kuhn, T.S. (1962). The Structure of Scientific Revolutions. University of Chicago Press.
Roos Lindgreen, E. (2016). From IT Auditor to Data Scientist. EDPACS. Vol. 53. No. 3. pp. 1-5.
Wang, T. and Cuthbertson, R. (2014). Eight Issues on Audit Data Analytics We Would Like Researched. Journal of Information Systems. Vol. 29. No. 1. pp. 155-162.
Yoon, K., Hoogduin, L. and Zhang, Li. (2015). Big Data as Complementary Audit Evidence. Accounting Horizons. Vol. 29. No. 2. pp. 431-438.