De ontwikkelingen gezien door de ogen van een kritische, maar nieuwsgierige auditor.

Discussie Column 29 april 2025

AI in de audit morgen wordt echt niet veel spannender dan gebruik van data-analyse vandaag

"The future is already here – it's just not evenly distributed." Deze quote van sciencefictionschrijver William Gibson wordt door Josh W. Comeau treffend tot leven gebracht in zijn blog The Post-Developer Era. Hij stelt dat we misschien op weg zijn naar een tijd waarin AI een deel van het ontwikkelwerk overneemt, maar dat dit niet betekent dat de rol van de softwareontwikkelaar verdwijnt. Integendeel: die verandert.
Als auditor las ik zijn stuk met een mengeling van herkenning, nieuwsgierigheid en lichte argwaan. Want als dit geldt voor developers, geldt het dan ook voor ons? Spoiler: ja. Maar niet zoals je misschien denkt.

Ondertussen startte de AFM een themaonderzoek naar zowel inzet van data-analyse in de audit (ja, wij doen ook mee) als inzet van advanced analytics. En nee, wij zien nog geen mogelijkheid voor inzet van advanced analytics, behoudens een klein stukje process mining.
De inzet van LLM's (prompts) stel ik voor het gemak maar even gelijk aan het inzetten van Google Search, of het gebruik van grootmoeders receptenboek.

De uitkomst van het AFM-onderzoek naar advanced analytics zal naar mijn verwachting gelijk zijn aan de titel van deze bijdrage, het rapport van de AFM komt al deze zomer.

AI: de nieuwe assistent, geen nieuwe partner

Comeau laat zien dat zelfs de meest geavanceerde AI-tools, zoals GitHub Copilot of Google’s AI-geassisteerde programmeerhulp, niet zelfstandig software opleveren. Ze kunnen ondersteunen, versnellen, fouten suggereren – maar het blijft de menselijke ontwikkelaar die de code begrijpt, bewaakt en uiteindelijk publiceert.

Dat is in de auditpraktijk niet anders. Tools als Python, MindBridge.AI, DataSnipper, CaseWare IDEA, Power BI , Tableau, Alteryx of RPA-oplossingen (Robotic Process Automation) helpen ons om patronen te herkennen, risico's te signaleren en controles effectiever uit te voeren. En ja, in deze technologie zitten kleine stukjes AI verstopt. Maar dat betekent niet dat audits AI-driven zijn.
In mijn club gebruiken we bijvoorbeeld Alteryx en ja daar zit AI-techniek in, om data sneller en effectiever in te lezen en te rubriceren. En ja, je kunt op de knop 'voorspellingen' klikken en een en ander bekijken, maar de kern blijft: eerst zelf nadenken, dan scripten, dan duiden en er dan over praten. Er is niets AI aan deze audits. Het is data-analyse, een bekend fenomeen sinds de beginjaren negentig.

Welke andere AI-audit tools andere kantoren claimen te hebben en in te zetten in de audit is mij een raadsel. Hetzelfde geldt voor inzet van machine learning (getrainde audit algoritmes). En nogmaals, ik negeer even de LLM's.
Ja, ik ben nog steeds fan van process mining, hoewel het feitelijke gebruik van deze technologie in de audit volgens mij schromelijk wordt overdreven. Voor de liefhebbers: de AFM heeft AI, machine learning en process mining samen in de categorie advanced analytics geplaatst.
Let op, AI weet niets van materiële foutenmarges, controlestandaarden of professioneel-kritische oordeelsvorming. Daarvoor blijven wij nodig. De bekende HI-factor still rocks.

Het risico van audit op de automatische piloot

Maar stel nu dat we straks wel uiteenlopende AI-audit driven algoritmes hebben, zelfdenkend, zelflerend. Ik fantaseer er wel over. Wat Comeau "vibe coding" noemt - het klakkeloos overnemen van AI-gegenereerde suggesties - heeft straks dan ook wellicht een auditvariant. Laten we het "black box auditing" noemen: het vertrouwen op AI-analyses zonder te begrijpen hoe het model tot zijn conclusies komt.
Dát is gevaarlijk terrein. Niet alleen omdat we daarmee ons professioneel scepticisme inruilen voor gemak, maar ook omdat we mogelijk blind worden voor bias in data, foute aannames of overmatige correlaties die niets zeggen over causaliteit.

De NBA-handreiking over het gebruik van data-analyse in de controlepraktijk benadrukt daarom terecht het belang van begrip, documentatie en verantwoording. En dan gaat het hier over old school data-analyse, ofwel IST-data gebruiken in het nu, vergelijken met SOLL-posities, of logische verbanden reperformen.
AI kan vast veel, maar snapt geen context. AI ziet straks dat 'Leverancier X' altijd iets boven de € 9.900 factureert. De auditor weet dat dit nét onder de autorisatiedrempel ligt en dat dit reden is voor nader onderzoek.

AI-hype gepraat vraagt om nieuwsgierige auditors, om nu reeds te leren met bestaande technologie om te gaan, niet morgen. In plaats van onze rol te marginaliseren, daagt AI-hype gepraat ons uit om meer kennis te ontwikkelen. Over data. Over modellen. Over hoe data-analyse gebaseerde algoritmes werken. En vooral: over hoe we nu bestaande technologie gebruiken om onze controle-opdrachten krachtiger, actueler en relevanter te maken.
Dat vraagt om een andere mindset. Niet alleen bij jonge accountants, maar ook bij partners en opdrachtgevers.
De accountant van vandaag hoeft geen programmeur te zijn, maar wél datagedreven, kritisch en leergierig. Die weet hoe hij data-analyse-tools inzet én weet wanneer hij ze wantrouwt. En ja, mochten we straks die zelflerende AI-algoritmes hebben, "true AI", dan kunnen we de lessen van vandaag doortrekken naar de toekomst. Maar wat er ook gebeurt, het duiden, begrijpen en valideren zal altijd een rol van de auditor zelf blijven. Dus goed dat er in het beroepsprofiel nu meer aandacht komt voor data-analyse; het is als de pizza, de bodem is data-analyse.

De toekomst van de audit is menselijk - mét machine

De echte vraag is niet of AI de auditor vervangt. De vraag is: hoe zorgen we dat AI ons straks nog beter maakt? Hoe borgen we kwaliteit, onafhankelijkheid en integriteit in een tijd waarin technologie meer kan dan ooit, maar ook moeilijker uitlegbaar wordt?

Net als in de wereld van softwareontwikkeling komt het antwoord hierop niet uit de tool zelf, maar van de professional die ermee werkt. Of zoals Comeau afsluit: 'AI is a tool, not a teammate." Ik zou daaraan willen toevoegen: en het is aan ons straks om te bepalen hoe we dat gereedschap gebruiken. Met gezond wantrouwen, nieuwsgierigheid en vooral: met onze professionele verantwoordelijkheid.

Goed om die discussie nu al te voeren, ook met de AFM, maar laten we eerst nog maar eens de good old data-analysereis afmaken. Zelfs anno 2025 is dat nog een hele uitdaging. En voor de young professionals: maak je geen zorgen over de AI-hype, zelfs niet rond LLM's, jullie blijven keihard nodig.