AI maakt het werk van de IT-auditor dynamischer én uitdagender

16 december 2024 Consultancy.nl

De komst van AI revolutioneert onze manier van werken. Dat geldt dubbel en dwars voor de wereld van IT-audit: enerzijds worden veel routinematige taken overgenomen door slimme software, anderzijds maken de risico’s rond AI de controlerende rol van de menselijke auditor alleen maar belangrijker. We spraken twee KPMG’ers die deze dubbele verschuiving dagelijks ervaren in hun werk.

AI staat nog altijd in zijn kinderschoenen, maar over de impact op ons werk zijn inmiddels al boekenkasten volgeschreven – van doemscenario’s waarin computers onze banen inpikken tot droomscenario’s waarin mens en machine samenwerken in perfecte harmonie.

Hoe het daadwerkelijk uitpakt zal de tijd leren, maar één ding is al wel duidelijk: IT-auditors bevinden zich aan de frontlinie van de vele veranderingen: delen van het takenpakket lenen zich uitstekend voor AI-disruptie, maar tegelijkertijd speelt de functie een centrale rol in het garanderen dat AI veilig en ethisch verantwoord wordt ingevoerd binnen organisaties.

Audit Senior Joep van de Wal heeft de vele veranderingen met eigen ogen kunnen aanschouwen, sinds hij drie jaar geleden begon bij KPMG. “Dankzij AI ontstaat meer ruimte voor de inhoud. Doordat repetitieve taken uit handen worden genomen, komt de nadruk meer te liggen op de taken die echte toegevoegde waarde leveren.”

“AI heeft bijvoorbeeld een enorme impact op hoe wij audits uitvoeren”, legt hij uit. “Routinewerk zoals het analyseren van contracten of het opzoeken van standaarden wordt steeds meer geautomatiseerd. Dit bespaart tijd en stelt ons in staat om onze productiviteit te verhogen.”

De waarde van AI gaat echter verder dan alleen extra efficiëntie – AI is ook in staat om bergen data door te spitten waar een mens nooit doorheen zou komen. Traditioneel werken IT-auditors met steekproeven om te controleren of de regels en procedures worden nageleefd. Een robotcollega die de hele nacht én het weekend doorwerkt – zonder lunchpauzes – kan véél grotere datasets onder de loep nemen.

“Daardoor tilt AI ook de kwaliteit van ons auditwerk omhoog”, geeft Joep aan. “We kunnen completer én secuurder te werk gaan in onze controlerende functie. En met de inzet van steeds meer predictive AI kunnen we ook meer vooruitkijkende waarde bieden aan onze stakeholders.”

“Het gebruik van AI geeft ons de ruimte om meer energie te stoppen in complexere uitdagingen die meer denkvermogen vereisen.”

Meer generiek kan AI auditors ook ontlasten in hun projectmatige en administratieve werkzaamheden, zoals het maken van presentaties, opstellen van vergaderverslagen, uitwerken van communicatie-updates en nog veel meer.

“Binnen KPMG maken we gebruik van een eigen generatieve AI-oplossing, vergelijkbaar met ChatGPT”, vertelt Joep. “Dit versnelt onze werkzaamheden aanzienlijk.”

Opgeteld is AI in korte tijd uitgegroeid tot een onmisbare tool voor IT-auditors, geeft hij aan; een tool die waarde toevoegt voor henzelf, het kantoor én de klant: “Het gebruik van AI geeft ons de ruimte om meer energie te stoppen in complexere uitdagingen die meer denkvermogen vereisen. Zo kunnen we in de management letter aangeven waar IT-risico’s liggen rond nieuwe innovaties.”

Verantwoorde AI

Zo brengt de voortdurende innovatie binnen het bedrijfsleven nieuwe risico’s met zich mee, waarop IT-auditors ze kunnen wijzen. Een van de complexe uitdagingen binnen het takenpakket van de IT-auditor anno 2024 is toezien op een verantwoorde inzet van AI, oftewel ‘responsible AI’.

“Over het enorme potentieel van AI zijn de meeste mensen het wel eens. Maar dat potentieel gaat wel gepaard met grote risico’s”, zegt Angelica van Beemdelust, die deel uitmaakt van het Responsible AI-team binnen KPMG.

Dit team houdt zich bezig met het verantwoord gebruik van AI. “Dus alles om een algoritme heen – van datamanagement tot ethiek en wetgeving”, licht Angelica toe. “Wij auditen algoritmes, maken risicoanalyses en helpen organisaties om beleid op te stellen, zodat AI veilig en verantwoord kan worden ingezet.”

“Vertrouwelijkheid is een van de fundamentele beginselen van het beroep.”

De noodzaak hiervan wordt vooral duidelijk door te kijken naar de gevallen waarin dit níet goed ging, met in ons eigen land als dieptepunt de toeslagenaffaire. De Belastingdienst werkte jarenlang met een deels AI-gedreven risicoselectiesysteem dat mensen met een dubbele nationaliteit vaker als verdacht bestempelde. Een vergelijkbaar discriminerend algoritme werd ook ingezet door DUO.

“AI, mits verkeerd ingezet, kan leiden tot ernstige problemen zoals discriminatie, privacyschendingen en foutieve uitkomsten”, schetst Angelica. “Ons werk is cruciaal om te zorgen dat AI geen ongewenste gevolgen heeft. Het Responsible AI-team helpt opdrachtgevers bij het verminderen van dergelijke risico’s door ethische en technische kaders te ontwikkelen waarmee bedrijven veilig kunnen werken met algoritmes.”

Zelf is Angelica inmiddels anderhalf jaar aan boord. Voorbeelden van projecten waaraan ze heeft gewerkt zijn het auditen van algoritmes, het inventariseren van algoritmes binnen een organisatie, het opstellen van beleidsstukken en ethische principes en het uitvoeren van risicobeoordelingen.

Uitdagingen bij de implementatie

Joep herkent het belang van verantwoorde AI. Zelf geen onderdeel van het Responsible AI-team, heeft hij in zijn werk toch vrijwel dagelijks te maken met het thema.

Vaak hebben ethische overwegingen ook raakvlakken met de vele algemenere aandachtspunten die aandacht vragen bij de implementatie van AI-toepassingen. Privacy is een van de belangrijkste. “Zo moet worden gewaarborgd dat AI-tools confidentieel met klantgevoelige informatie omgaat”, geeft Joep aan. “Vertrouwelijkheid is een van de fundamentele beginselen van het beroep.”

Ook in bredere zin is informatiebeveiliging cruciaal. De IT-auditor heeft als taak om de cyberweerbaarheid van IT-systemen en applicaties te toetsen op standaarden binnen de markt en wet- en regelgeving rond databescherming. “Door de almaar toenemende complexiteit van de AI-tools wordt de vakkundigheid van de IT-auditor steeds belangrijker”, ziet Joep.

“Het is niet verantwoord om AI maar zijn eigen gang te laten gaan.”

Neem optical character recognition, een AI-oplossing die het inlezen en matchen van facturen automatiseert. “Dit wordt bij veel organisaties binnen de inkoopfunctie gebruikt”, vertelt hij. “Bij zo’n oplossing komt veel kijken. De accountant moet daarvan iets vinden, en zo ook de IT-auditor. Het maakt het werk van de IT-auditor complexer.”

De mens blijft cruciaal

Juist vanwege dit samenspel tussen toenemende complexiteit en – al dan niet ethische – risico’s, is de menselijke component nog altijd essentieel binnen het vak, benadrukt Angelica. “AI kan veel routinetaken overnemen, maar het nemen van complexe en ethische beslissingen blijft mensenwerk.”

“AI kan bijvoorbeeld individuele beveiligingsmaatregelen analyseren, maar er is echt een IT-auditor voor nodig om ter plekke te bepalen hoe effectief de samenwerking tussen de verschillen beveiligingsmaatregelen is”, illustreert ze. “Bovendien is het niet verantwoord om AI maar zijn eigen gang te laten gaan zonder dat er een ‘human-in-the-loop’ aanwezig is.”

Wordt blindelings vertrouwd op de uitkomsten van AI, dan lopen organisaties volgens Angelica een onverantwoord risico op besluitvorming aan de hand van zogeheten ‘false predictions’ (en in het geval van Gen AI ‘hallucinations’). “De resultaten van AI zijn zeker niet dé perfecte, foutloze oplossing. Menselijke controle is te allen tijde vereist.”

Op de hoogte blijven

Om de vele snelle veranderingen binnen het vakgebied bij te benen, moeten deze menselijke IT-auditors voortdurend bijblijven met de laatste ontwikkelingen, standaarden en wetgeving. Joep en Angelica prijzen zichzelf hierin gelukkig met een werkgever als KPMG.

“KPMG heeft ruime aandacht voor trainingen”, legt Angelica uit. “Daarnaast kunnen we altijd aankloppen bij gespecialiseerde teams, zoals Forensics en Technology Law, die extra specialistische hulp kunnen bieden. Ook worden tal van innovatie update-meetings georganiseerd, waar AI de laatste tijd uiteraard volop aan bod komt.”

“AI maakt het auditvak dynamischer, uitdagender en – ook niet onbelangrijk – vooral leuker!”

Ze wijst op de nauwe banden die KPMG onderhoudt met de academische wereld: “Ons Responsible AI-team werkt ook samen met universitaire onderzoekers om altijd op de hoogte te blijven van de nieuwste ontwikkelingen.”

Via zogeheten digital audit tracks kunnen de KPMG’ers hun opgedane kennis meteen in de praktijk toetsen. De track helpt medewerkers om diverse applicaties, waaronder AI-gerelateerde, onder de knie te krijgen. “KPMG moedigt medewerkers aan om tools zoals deze te leren gebruiken om hun AI- en data-analysevaardigheden te verbeteren”, aldus Joep.

‘Overbodig? Integendeel’

Met AI nog altijd in de kinderschoenen en al die snelle ontwikkelingen, kan niemand precies voorspellen wat de nabije toekomst in petto heeft – ook niet voor het werk van IT-auditors.

Joep en Angelica lijken zich in ieder geval geen zorgen te maken. “AI neemt veel van het routinematige werk over, maar dat betekent niet dat wij overbodig worden”, is Joep stellig. “AI maakt onze rol alleen maar belangrijker én breder: we adviseren bedrijven nu ook op gebieden als risicomanagement, compliance en de implementatie van technologieën.”

“Ik ben van mening dat AI juist een positief effect zal hebben op het werk van de auditor”, denkt ook Angelica. “Het geeft mensen meer tijd en ruimte om waarde toe te voegen op thema’s die AI niet aankan.”

Zelf kijken ze dan ook vooral uit naar wat AI nog meer zal brengen. Angelica: “AI maakt het auditvak dynamischer, uitdagender en – ook niet onbelangrijk – vooral leuker!”

More on: KPMG
Netherlands
Company profile
KPMG is a Netherlands partner of Consultancy.org
Partnership information »
Partnership information

Consultancy.org works with three partnership levels: Local, Regional and Global.

KPMG is a Local partner of Consultancy.org in Middle East, Netherlands.

Upgrade or more information? Get in touch with our team for details.