Corresponding author: Edo Roos Lindgreen ( e.e.o.rooslindgreen@uva.nl ) Academic editor: Peter Hartog
© 2020 Edo Roos Lindgreen, Michel Vlak, Arthur Verkerke.
This is an open access article distributed under the terms of the Creative Commons Attribution License (CC BY-NC-ND 4.0), which permits to copy and distribute the article for non-commercial purposes, provided that the article is not altered or modified and the original author and source are credited.
Citation:
Roos Lindgreen E, Vlak M, Verkerke A (2020) Digitalisering en de impact op de internal auditfunctie. Maandblad Voor Accountancy en Bedrijfseconomie 94(3/4): 137-145. https://doi.org/10.5117/mab.94.49800
|
Digitalisering en de daarmee samenhangende opkomst van de data-gedreven economie hebben een grote invloed op de internal auditfunctie (IAF). Digitalisering leidt tot een veranderend risicobeeld voor organisaties en leidt tot een verbreding van het werkterrein en de scope van de werkzaamheden van de IAF. Tegelijkertijd stelt digitalisering de internal auditor in staat het werk beter, sneller en met meer diepgang te doen, zodat de IAF meer toegevoegde waarde kan leveren aan zijn stakeholders. Hoewel IAF’s vooruitgang boeken bij het incorporeren van digitalisering in de “audit universe” en auditaanpak, is het tempo niet hoog genoeg om de ontwikkelingen bij te houden. IAF’s worstelen met het toepassen van technologie binnen de auditaanpak en het ontsluiten van data; IT vereist specifieke kennis en expertise die schaars en moeilijk te verkrijgen en te behouden lijkt. Om relevant te blijven in een digitale wereld dienen IAF’s durf te tonen, te experimenteren en te investeren in kennis en vaardigheden in en voorzieningen voor het gebruik van technologie en data binnen het auditproces, zoals ook blijkt uit de in dit paper gepresenteerde casus Auditdienst Rijk. Naast het commitment en de support van de Raad van Bestuur (RvB) en de Audit Committee (AC), de belangrijkste stakeholders van de IAF, vereist dit ook een daadwerkelijke investering in termen van geld en menselijke capaciteit.
Internal audit, technologie, digitalisering, dataficering
Dit artikel biedt inzicht in de mate waarin interne auditfuncties worstelen met de adoptie van technologie en data. Een heldere casusbeschrijving biedt inspiratie en ook praktische handvatten.
Misschien begon de technologische transformatie in de jaren 60 van de vorige eeuw, met de grootschalige toepassing van geïntegreerde circuits in computersystemen (
De gevolgen van deze ontwikkeling kunnen moeilijk worden overschat: van nieuwe toepassingen en nieuwe verdienmodellen die leiden tot de veelbesproken disruptie van hele sectoren in onze economie, tot vraagstukken op het gebied van cyberveiligheid, privacy, inclusiviteit, gelijkheid en de betrouwbaarheid van nieuws en informatie, tot nieuwe eisen die worden gesteld aan het kennis- en ervaringsniveau van burgers en werknemers.
Digitalisering staat niet op zichzelf, maar is één van de wereldwijde megatrends die de OECD in een ander recent onderzoeksrapport benoemt, naast globalisatie, veiligheid, vergrijzing, individualisering, urbanisatie, klimaatverandering en schaarste aan grondstoffen (
De IAF blijft niet van deze ontwikkelingen verschoond. Digitalisering brengt immers niet alleen nieuwe risico’s met zich mee, het kan er ook toe leiden dat de waarschijnlijkheid en impact van bestaande risico’s ingrijpend kunnen wijzigen, en het is de IAF die het topmanagement en de raad van commissarissen aanvullende zekerheid geeft over de opzet en werking van het stelsel van maatregelen voor risicobeheersing (
In dit artikel gaan we eerst in op de impact van digitalisering op de bestuursagenda en de betekenis hiervan voor de agenda van de IAF, zowel vanuit het perspectief van ‘object van audit’ als vanuit het perspectief van ‘tool van audit’, ofwel technologie en data als hulpmiddel in audits. Vervolgens behandelen we de wijze waarop IAFs hier in de praktijk mee omgaan en wat nodig is om technologische ontwikkeling een plaats te geven in de auditaanpak. We sluiten af met de casus Auditdienst Rijk, die een doorkijk geeft hoe technologie en data-analyse succesvol kunnen worden geïntegreerd in de auditaanpak.
In alle ons bekende recente onderzoeken naar de risico’s waar topmanagers en toezichthouders wakker van liggen, wordt de ranglijst aangevoerd door aan digitalisering gerelateerde risico’s.
Neem bijvoorbeeld het recente rapport “Risk in Focus 2020” van het Institute of Internal Auditors (IIA) op basis van een survey onder 528 respondenten en kwalitatieve interviews met 46 Chief Audit Executives (CAE’s), waarin de volgende “hot topics” worden benoemd (
Uit een recent onderzoek onder 825 topmanagers komt de volgende top-10 naar voren (
Een vergelijkbaar onderzoek onder 1911 risico-experts komt tot de volgende top-10 (
Hoewel de onderzoeken vanuit verschillende invalshoeken zijn ingestoken, bestaat de grootste gemene deler van deze lijstjes uit drie risicocategorieën die direct samenhangen met digitalisering: disruptie door digitale concurrentie, cyberincidenten en de opkomst van nieuwe technologieën. De conclusie is helder: aan technologie gerelateerde risico’s staan hoog op de agenda van het topmanagement en de raad van commissarissen, ongeacht de partij die het onderzoek uitvoert.
Als het gaat om de impact van digitalisering op de IAF, snijdt het mes aan twee kanten. Enerzijds moet de IAF steeds meer aandacht besteden aan de beheersing van risico’s die samenhangen met digitalisering; digitalisering als object van onderzoek dus. Anderzijds kan zij digitale technologie en data als hulpmiddel inzetten bij het plannen en uitvoeren van de auditwerkzaamheden. Beide kanten komen hierna aan de orde.
In een recente survey onder de CAE’s van 19 Europese multinationals (
Digitalisering en het veranderende risicobeeld leiden niet alleen tot een verbreding van de scope van de werkzaamheden van de IAF, maar veranderen ook de manier waarop de IAF deze werkzaamheden kan uitvoeren, bijvoorbeeld als het gaat om het gebruik van speciale software voor planning van werkzaamheden, samenwerking, digitale dossiervorming, en de administratie van bevindingen en opvolging daarvan. Hoewel auditsoftware al langer wordt gebruikt door IAF’s, worden deze tools steeds krachtiger, aantrekkelijker en eenvoudiger in het gebruik.
Naast de inzet van deze min of meer reguliere tools kunnen IAF’s gebruikmaken van steeds betere tools en technieken om de al maar groeiende hoeveelheid beschikbare data te analyseren. Die tools kunnen variëren van Excel (het Zwitserse zakmes van de data-analyse), klassieke computer-assisted audit tools (CAATS) zoals ACL of Idea, querytools op basis van SQL, business intelligence (BI) tools als PowerBI, Tableau of Spotfire, commerciële analyseomgevingen als SAS, SPSS of Alteryx, tot snelle en krachtige open-source analyseomgevingen met programmeertalen als R en Python in combinatie met Jupyter notebooks (
Een bijzondere variant van data-analyse is process mining, een techniek waarbij speciale software de logfiles van ERP-systemen analyseert om tot een reconstructie van de bedrijfsprocessen en transactiestromen te komen (
Een laatste ontwikkeling is het automatiseren van eenvoudige, repetitieve taken door middel van robotic process automation (RPA), een techniek waarbij intelligente software “meekijkt” met de handelingen van een werknemer achter het toetsenbord, leert welke muisklikken en toetsaanslagen de werknemer uitvoert, en deze vervolgens ook zelfstandig kan uitvoeren. De nadruk ligt meestal op het simpelweg invoeren of transporteren van gegevens in schermgeoriënteerde applicaties en is daarom hooguit geschikt voor het automatiseren van routinematige internal auditactiviteiten.
In de vorige paragraaf is aangegeven dat de impact van digitalisering op de IAF tweeledig is: scopeverbreding met meer aandacht voor de beheersing van risico’s die samenhangen met digitale technologie en data als hulpmiddel bij het plannen en uitvoeren van de auditwerkzaamheden, waarbij sneller en met meer diepgang gewerkt kan worden. Maar wat zien we hiervan in de praktijk daadwerkelijk terug in de inrichting, aansturing en werking van de IAF? Is een technologische transformatie ook waarneembaar bij IAF’s? Vanuit verschillende richtingen komt het geluid dat de ontwikkeling er wel is, maar zeker niet snel genoeg gaat.
Het Institute of Internal Auditors (IIA) is in 2018 met een rapport gekomen waarin de impact van door digitalisering gedreven disruptie aan de orde werd gesteld en waarin CAE’s werden opgeroepen om sneller en met een grotere flexibiliteit in te spelen op disruptieve gebeurtenissen (
Ook wetenschappers publiceren met enige regelmaat over de relatie tussen de IAF en digitalisering.
Tenslotte brengen de grote accountants- en advieskantoren vrijwel jaarlijks onderzoeksrapporten uit waarin dit onderwerp door middel van surveys onder audit executives wordt onderzocht en geanalyseerd. Zulke surveys geven door de praktische insteek, de breedte van het contingent respondenten en de professionele visualisatie van de resultaten een waardevol inzicht in het onderwerp van onderzoek; zie bijvoorbeeld
De zorg genoemd in het laatste punt wordt ook door de voorzitter van het IIA, Richard Chambers gedeeld. In een recente blog uit hij grote zorg over het lage tempo waarmee IAF’s zichzelf vernieuwen (
“Internal audit’s progress over the past, and the successes accomplished, will not be enough to carry the profession forward. Current times require changes in mindset and actions from all internal auditors. Complacency will lead to irrelevance, but decisive moves by CAEs will propel internal audit forward through the transformation required.”
Vervolgens sluit hij af met een omineuze uitspraak:
“elke dag dat internal auditfuncties langer wachten met het innoveren van hun auditaanpak, zal de leercurve steiler worden. Het alternatief is een weg naar beneden en dat is een weg die we ons niet kunnen veroorloven”, aldus
Kennelijk vinden IAF’s het moeilijk om te innoveren en te veranderen. Hoe komt dit?
De afgelopen 12 maanden hebben wij gesprekken gevoerd over de adoptie van technologie en data met CAE’s en medewerkers van IAF’s van meer dan 20 verschillende organisaties. Uit deze gesprekken en uit de eerder genoemde survey onder 19 CAE’s (
IAF’s kunnen voor de adoptie van technologie en met name data globaal worden ingedeeld in vier niveaus van volwassenheid, zie Tabel
Niveaus van adoptie van technologie en data door de IAF.
Niveau | Omschrijving |
---|---|
I | Op dit niveau worden sporadisch technologie-audits uitgevoerd. De audit workflow wordt gedeeltelijk ondersteund door digitale hulpmiddelen. Er worden standaard tools ingezet voor governance, risk en compliance (GRC), samenwerking en communicatie. Data-analyse wordt sporadisch ingezet, veelal met traditionele tools (Excel, IDEA, ACL). Het budget en de steun van het topmanagement om meer te doen zijn vaak beperkt. |
II | Op dit niveau beschikt de IAF over een beperkt aantal specialisten. Technologie-audits zijn een vast onderdeel van de auditagenda. Daarbij is tenminste aandacht voor cybersecurity. Er wordt vaker gebruik gemaakt van data-analyse. Ook worden trainingen en kennissessies voor het IAF-team georganiseerd. Wellicht zijn enkele IT-specialisten of data scientists werkzaam en is een deel van de auditwerkzaamheden geautomatiseerd. Data governance is nog beperkt ingericht en de datakwaliteit is laag. Er is enige steun van het topmanagement om te investeren in IT-expertise en data-analyse. |
III | Op dit niveau wordt gebruik gemaakt van data-analyse in een groot deel van de onderzoeken, soms verplicht. Het team is divers van opbouw en telt meerdere technologie-specialisten en data scientists, die nauw samenwerken met internal audit-professionals en ook complexe technologieonderzoeken uitvoeren. Er worden geavanceerde tools en technieken gebruikt. Data governance is goed ingericht en de datakwaliteit is hoog met organisatiebrede data-repositories (data warehouse of data lake). Er is ruim budget beschikbaar en solide support van het topmanagement. Kennis en expertise op het gebied van data-analyse en analysetools worden gedeeld met de organisatie. |
IV | Dit niveau omvat alle karakteristieken van de voorgaande niveaus. Bovendien is een groot deel van het audit team zelf in staat complexe analyses uit te voeren. De audit is data-driven en het proces van data-extractie, transformatie, analyse en visualisatie is grotendeels geautomatiseerd, in elk geval voor repetitieve audits. |
Naar onze ervaring bevinden de meeste IAF’s zich nog op niveau I of II. Enkele middelgrote tot grote IAF’s in de financiële, productie-, overheids- en de energiesector bevinden zich op niveau III. Niveau IV hebben wij nog niet aangetroffen.
De vraag is, waarom de adoptie van technologie en data door de IAF in zo’n laag tempo plaatsvindt. IAF’s worstelen met het invullen van de technologische transformatie: met het tijdig op peil brengen van de noodzakelijke kennis en vaardigheden om technologische ontwikkelingen te kunnen volgen, laat staan te kunnen auditen, maar ook met het incorporeren van technologie en data-analyse in het auditproces zelf (
Het werven en behouden van het juiste talent met de juiste competenties wordt door vrijwel alle IAF’s als de grootste uitdaging van dit moment gezien. Het blijkt niet alleen moeilijk om nieuw talent met de juiste competenties te vinden en aan te trekken, zoals data scientists, maar ook om de bestaande competenties binnen de IAF af te stemmen op de eisen die de huidige omstandigheden daaraan stellen. Een groot probleem bij het verkrijgen en behouden van de noodzakelijke competenties is dat kennis en vaardigheden op het gebied van technologie en data niet in plaats van, maar in aanvulling op de reeds bestaande noodzakelijke competenties komen. Specialisatie is daarbij onvermijdelijk, waarbij moet worden opgemerkt dat de technologie zo snel verandert, dat het zelfs voor specialisten niet gemakkelijk is om die kennis op peil te houden. Uitgaande van een nagenoeg optimale resource planning door de IAF betekent het opbouwen van nieuwe competenties in veel gevallen een uitbreiding van de capaciteit, een uitbreiding waarvoor echter lang niet altijd middelen ter beschikking worden gesteld door topmanagement. Een alternatief is co- of outsourcing, maar los van het feit dat de juiste kennis niet altijd in de markt voor handen is, is een nadeel van deze aanpak dat de IAF geen in-house kennis en vaardigheden opbouwt en zichzelf afhankelijk maakt van externe partijen.
Daarbij is het incorporeren van technologie en data in het auditproces een kwestie van experimenteren en volharding, ofwel een kwestie van lange adem. Zeker in de beginfase is de IAF veel tijd kwijt met het aanleren van nieuwe technieken en nieuwe manieren van werken en het identificeren en ontsluiten van data. Want in de praktijk blijkt dat het ontsluiten, combineren en analyseren van grote hoeveelheden gestructureerde en ongestructureerde data uit een groot aantal verschillende bronnen, geen sinecure is. En hoe zit het met het doorgronden van bijvoorbeeld algoritmen: welke auditor heeft die expertise? In beide gevallen is specifieke kennis en expertise nodig en juist die blijkt vandaag de dag schaars te zijn. Efficiencywinst treedt pas op als de analyses geautomatiseerd en herhaald gebruikt kunnen worden; zie paragraaf 5 voor enkele voorbeelden.
Tot slot komt uit de gesprekken en survey ook het beeld naar voren, dat het vasthouden aan de bestaande, veilige manier van werken en het vaak wat behoudende karakter van de beroepsgroep obstakels kunnen vormen voor de noodzakelijk geachte vernieuwing. Het aantrekken van nieuw talent en het verhogen van de diversiteit in het team zijn logischerwijs belangrijke instrumenten om zo een impasse te doorbreken. Met name IAF’s van grote financiële en overheidsinstellingen zetten hier serieuze stappen en werven bijvoorbeeld op aanzienlijke schaal IT- en data science-specialisten. De samenwerking tussen deze specialisten en internal auditors verloopt echter niet altijd vanzelf. De specialisten kunnen zich niet altijd verplaatsen in de werking van bedrijfsprocessen en controls, laat staan het auditen daarvan. Omgekeerd is het voor internal auditors niet eenvoudig om de complexe wereld van technologie en data-analyse te doorgronden en vragen te formuleren die de specialisten op basis van hun analyses kunnen beantwoorden.
Om relevant te blijven, moet de IAF waarborgen dat de juiste en voldoende competenties beschikbaar zijn om blijvend aan haar kerntaken te kunnen voldoen. De Raad van Bestuur en het Audit Committee zijn verantwoordelijk om voldoende middelen ter beschikking te stellen. Naast het hebben van een strategisch competentieplan, dient de IAF ook te durven experimenteren met technologie en data en te zorgen voor een goede ondersteuning op het vlak van technologie en data. In het hiernavolgende voorbeeld van de Auditdienst Rijk, laten we zie hoe technologie en data-analyse in het auditproces succesvol ingericht en gebruikt kan worden en welke inzichten hieruit kunnen worden afgeleid.
Het bovenstaande geeft aanleiding tot de vraag: maar hoe is het in de praktijk? In deze paragraaf gaan we in op een specifieke casus: de Auditdienst Rijk (ADR), die zich op niveau III van het eerder gepresenteerde volwassenheidsmodel bevindt en zo als voorbeeld en inspiratie voor andere IAF’s kan dienen. De focus in deze casus ligt op de toepassing van technologie en data-analyse in het auditproces en specifiek welke stappen en voorwaarden nodig zijn om dit succesvol te kunnen doen.
De ADR is de onafhankelijke internal auditor van de Rijksoverheid en de auditautoriteit in Nederland voor de Europese Commissie. De ADR werkt in opdracht van alle ministeries en doet onderzoek op het gebied van financiële, organisatie- en IT-vraagstukken en het beheer van Europese geldstromen. Bij de ADR werken 150 IT-auditors en 20 data scientists op een totaal van circa 650 medewerkers.
Twee van de kerntaken van de ADR zijn de wettelijke taak en vraaggestuurde dienstverlening:
De afgelopen jaren heeft de ADR diverse ontwikkelingen in gang gezet om een IT- en data-gedreven controleaanpak en modernisering van het auditproces te realiseren. Een belangrijk onderdeel hiervan is het inzetten en ontwikkelen van data-analyse vanuit een centraal team: het ADR Analytics-team. Dit team is in november 2016 opgericht en bestaat inmiddels uit ruim 20 fte. Het team heeft een diverse samenstelling wat betreft leeftijd, geslacht en vooropleiding. Waar in het begin vooral het realiseren van de technische randvoorwaarden centraal stonden, ligt de focus nu op het uitdragen van mogelijkheden van data-analyse binnen audit en het ontwikkelen van nieuwe analyses. De nadruk komt dus steeds meer te liggen op het praktisch ondersteunen van de auditors van de ADR en het verder toepassen van data-science-technieken en open-databronnen. Daarnaast is er een toenemende vraag vanuit de ministeries om hulp te bieden bij de data-gedreven monitoring van bedrijfsprocessen.
In de ADR Analytics-omgeving wordt data ontsloten vanuit meerdere bronsystemen. De databronnen die ontsloten worden zijn vooral departementale ERP-pakketten (SAP, Oracle en Exact), maar ook enkele Rijksbrede systemen en openbare data, zoals SAP security-notes. Deze ruwe data wordt aan elkaar gekoppeld en in zogenaamde datakubussen opgeslagen. Deze kubussen worden op twee manieren ontsloten voor de auditors: (1) door middel van gebruiksklare analyses, ontwikkeld door het ADR Analytics-team, en (2) door tooling beschikbaar te stellen waarmee auditors zelf vervolganalyses kunnen maken, eventueel ondersteund vanuit het ADR Analytics-team. Uiteraard zijn de nodige waarborgen getroffen omtrent de volledigheid en betrouwbaarheid van de data en de analyses. Vanuit het ADR Analytics-team is nauw contact met de afdeling vaktechniek om de datakubussen en analyses zo te documenteren dat deze ook tijdens audits gebruikt kunnen worden.
In principe heeft ieder auditteam bij de ADR een linking pin in het ADR Analytics-team. Dit geldt voor de teams die zich bezighouden met de wettelijke taak, en in toenemende mate ook voor de vraaggestuurde teams. De linking pin is het aanspreekpunt voor alle vragen over analyses en data en houdt de hele datastroom van bron tot eindproduct in de gaten en onderhoudt de ontwikkelde analysetools. Auditors kunnen dus een aantal centraal geproduceerde informatieproducten voor hun audit gebruiken; tegelijkertijd worden ze in staat worden gesteld om zelf met tooling (SQL, R, Python, IDEA, etc.) aan de slag te gaan om hun specifieke vragen met behulp van data te kunnen beantwoorden. Hierbij kunnen ze ook ondersteuning krijgen vanuit het centrale analytics-team.
ADR werkt constant aan het uitbreiden van analyses en geëxperimenteerd wordt met het inzetten van meerdere data science-technieken. Onderstaand zijn drie voorbeelden van informatieproducten opgenomen die nu beschikbaar zijn voor auditors van de ADR.
Het informatieproduct “vergelijkende cijfers” geeft een overzicht weer van diverse cijfers per onderdeel van de begroting per maand. Dit gaat om realisatiecijfers per maand van het huidige jaar, het vorige jaar, de begroting van het huidige jaar en een voorspelling van het verdere verloop van het huidige jaar. Voor de voorspelling van het verdere verloop wordt gebruik gemaakt van een analysetechniek die autoregressive integrated moving average (ARIMA) wordt genoemd: op basis van tijdreeksen van de historische realisatie worden seizoentrends gesignaleerd en de gevonden trends worden gebruikt om het verdere verloop van het boekjaar te voorspellen.
De financial auditors gebruiken dit informatieproduct om beter inzicht te krijgen in het te controleren object. Bijvoorbeeld tijdens een cijferbeoordeling om te kijken waar de grootste materiële stromen zitten, of er grote afwijkingen zijn ten opzichte van voorgaande jaren en of er mogelijk sprake gaat zijn van onder- of overuitputting ten opzichte van het beschikbare budget. Door deze informatie overzichtelijk te presenteren is het voor de auditor mogelijk om de cijferbeoordeling meer effectief en meer efficiënt uit te voeren.
Een werkgever mag, tot een bepaalde hoogte en onder bepaalde voorwaarden, onbelast vergoedingen aan werknemers uitkeren. Dit heet de werkkostenregeling (WKR). Om te kijken of WKR-boekingen correct gerubriceerd zijn, is het informatieproduct WKR vs niet-WKR ontwikkeld. Op basis van bepaalde business rules (gerelateerd aan de crediteur, bedrag, boekingsdatum en de omschrijving), krijgt iedere individuele boeking een score, tot die de waarschijnlijkheid van een WKR-plichtige boeking uitdrukt. Deze scores worden vervolgens met behulp van machine learning-technieken als logistische regressie, support vector machines en random forest gewogen. Uiteindelijk resulteert een lijst met boekingen die lijken op WKR-boekingen, maar niet als zodanig zijn geboekt en boekingen die als WKR-boekingen zijn geboekt, maar niet lijken op de andere WKR-boekingen.
Financial auditors gebruiken deze analyse om risicovolle boekingen te selecteren voor nader onderzoek (een risicogerichte deelwaarneming). Dit kan dan weer de basis vormen om uitspraken te doen over hoe goed de rubricering van deze kosten is gedaan en wat de consequenties voor de jaarrekening zijn. Door deze analyse kan in dezelfde controletijd dieper op de materie in worden gegaan (alle boekingen worden immers gecontroleerd op bepaalde kenmerken). Uiteraard moet zorgvuldig worden omgegaan met mogelijke ‘bias’ van deze analyse aangezien de business rules voortkomen uit domeinkennis en aannamen: een vorm van aanvullende controle met behulp van een beperkt aantal steekproeven kan hierbij helpen.
Deze techniek kan ook worden toegepast op andere gebieden waarbij een correcte rubricering van boekingen extra belangrijk is. Momenteel is dezelfde systematiek toegepast voor inhuur- versus niet-inhuurboekingen en apparaat- versus programmakosten.
ADR gebruikt ook data-analyse om de werking van controls te kunnen beoordelen. Om te kunnen controleren welke security notes van SAP geïnstalleerd zijn op een specifiek SAP-systeem, kunnen de geïnstalleerde packages worden uitgelezen. Vervolgens kan dit vergeleken worden met de door SAP gepubliceerde notes, die als open data beschikbaar zijn. Door beide overzichten in de datastraat te verwerken en aan elkaar te koppelen, ontstaat met minimale manuele handelingen periodiek een overzicht van de verschillen tussen de beschikbare en geïnstalleerde security notes. IT Auditors maken bij het controleren van general IT controls (onderdeel aanschaf, wijzigingen en onderhoud van systeemsoftware) gebruik van dit overzicht. Hiermee houden ze tijdens dit soort onderzoeken meer tijd over om te onderzoeken wat de achterliggende oorzaken zijn van eventuele afwijkingen.
De ervaringen met het ADR Analytics-team hebben bij ons geleid tot de volgende vier inzichten.
Management support is essentieel; durf te experimenteren.
Om een analyseomgeving op te kunnen bouwen met meerwaarde voor de eindgebruikers is een door het management gesteunde visie essentieel. Vanuit deze visie kan een concrete opdracht worden geformuleerd waarna kan worden gestart. Soms is het nodig om de stoute schoenen aan te trekken en gewoon te beginnen. Hierbij geldt wel dat de kost voor de baat uitgaat.
Begin met kleine haalbare initiatieven.
Door te starten met het automatiseren van diverse checklists die gebruikt worden in de organisatie en/of andere kleine haalbare initiatieven kan snel de meerwaarde van data-analyse worden ervaren. De efficiëntiewinst (verborgen kosten), maar vooral de kwaliteitswinst (door te automatiseren) die op deze wijze snel kan worden behaald, maakt het mogelijk om daarna meer geavanceerde technieken toe te passen.
Formeer een divers analytics-team.
Voor een goed team is het essentieel om de juiste mix aan mensen te verzamelen. Niet alleen is kennis van ERP, audit of control en analysetechnieken en -tooling nodig, maar ook een mix in leeftijd en achtergronden. Zo ontstaat een setting waarin iedereen iets van elkaar kan leren, wat het groeivermogen van het team vergroot. Voor grotere IAFs zal dit geen probleem zijn; kleinere IAFs zullen hier meer moeite mee hebben, en kunnen ter compensatie diversiteit zoeken in de samenwerking met andere disciplines, waaronder de eerste en tweede lijn of externe partijen.
Zoek verbinding over kennisdomeinen heen.
Niet voor elke stap hoef je het wiel zelf uit te vinden. Zoek verbinding met bestaande data science-initiati even om up to date te blijven en gebruik te maken van en bij te dragen aan de beschikbare kennis. Zoek ook verbinding met IT, zowel de leverancier van de omgeving inclusief de tools als de leveranciers van data. Het combineren van kennisdomeinen is een belangrijke randvoorwaarde voor een succesvolle data-analysestrategie.
Ontwikkelingen op het gebied van technologie, digitalisering en data hebben een grote impact op onze organisaties, leiden tot nieuwe kansen en risico’s, staan vol in de belangstelling van de belangrijkste stakeholders van de IAF en hebben als zodanig impact op de verwachtingen ten aanzien van de IAF. Niet alleen de scope, maar ook de aard en diepgang van de werkzaamheden zelf zullen veranderen. Hoewel enkele IAF’s vooruitstrevend zijn bij het incorporeren van technologie en data in hun werkzaamheden, staat deze ontwikkeling bij de meeste IAF’s nog in de kinderschoenen en dreigt een kloof te ontstaan met de rest van de organisatie.
De vraag kan worden gesteld: moet de IAF nu iets anders gaan doen – er moest toch altijd al naar IT worden gekeken worden? Het antwoord op deze vraag is mede afhankelijk van de volwassenheid van de IAF in kwestie. Het is de stellige overtuiging van de auteurs dat de traditionele aanpak – overeenkomstig met niveau I of II als eerder geschetst – niet langer volstaat, en het risico in zich draagt dat de IAF aansluiting met de rest van de organisatie verliest.
Of de internal auditprofessie er in slaagt om aan te haken en relevant te blijven, zal voornamelijk afhangen van het feit of IAF’s er in slagen om de juiste kennis en expertise aan zich te binden (strategisch competentieplannen), of zij durven en kunnen experimenteren met technologie en data en of zij beschikken over goede ondersteuning op het vlak van IT en data. Naast commitment en support van de Raad van Bestuur en de Audit Committee, de belangrijkste stakeholders van de IAF, vereist dit ook een daadwerkelijke investering in termen van geld en menselijke capaciteit.
Prof. dr. E.E.O. Roos Lindgreen RE is hoogleraar Data Science in Auditing aan de Universiteit van Amsterdam. Hij is programmadirecteur van het Executive Programme of Digital Auditing en de Executive M.Sc. of Internal Auditing en geeft daarnaast leiding aan het Institute of Executive Programmes van de Amsterdam Business School.
Drs. M.O.J. Vlak RO CIA EMITA is zelfstandig audit-, risk- en compliance-professional en daarnaast werkzaam als programmadirecteur aan de Post-Master-opleiding Internal Auditing & Advisory aan de Erasmus Universiteit Rotterdam.
Ir. A. Verkerke CAP is data scientist bij Auditdienst Rijk (ADR).
Deze lijst is zeker niet uitputtend. Het voert te ver om in dit artikel in detail in te gaan op elk van deze onderwerpen. Merk op dat er ook technologische ontwikkelingen zijn waar veel over wordt gepraat en geschreven, maar die in de praktijk nog geen rol van betekenis spelen, zoals blockchain en quantum computing.