Accountants in Nederland en de EU herzien dit jaar hun oordeelsvorming door snelle inzet van kunstmatige intelligentie in de controlepraktijk. Kantoren testen tools als ChatGPT (OpenAI), Microsoft Copilot en Google Gemini bij dossieranalyse en rapportages. De vraag is hoe menselijk oordeel en algoritmen samenkomen, zonder kwaliteitsverlies en met oog voor de AVG. De Europese AI-verordening en de gevolgen voor overheid en accountants zetten extra druk op de manier van werken.
Accountant blijft eindverantwoordelijk
AI kan het werk versnellen, maar het oordeel blijft bij de accountant. Dat betekent: geen blind vertrouwen op uitkomsten van een model. Automatiseringsbias, de neiging om een systeem te volgen, is een reƫel risico. Professionele scepsis moet daarom expliciet onderdeel zijn van elke AI-ondersteunde stap.
Internationale controle-standaarden zoals ISA 200 en ISA 230 vragen om duidelijk bewijs en goede dossiervorming. Op het moment van schrijven verwachten toezichthouders dat kantoren vastleggen waar AI is gebruikt en hoe uitkomsten zijn beoordeeld. Ook kwaliteitsstandaarden ISQM 1 en ISQM 2 raken hieraan. Zij eisen beheersing van technologische risicoās binnen het stelsel van kwaliteitsbeheersing.
In de praktijk betekent dit dat AI-analyses slechts een startpunt zijn. De accountant moet aannames, bronnen en alternatieve verklaringen toetsen. Conclusies horen te steunen op onafhankelijk verkregen controle-informatie. AI mag helpen zoeken, samenvatten en structureren, maar neemt het oordeel niet over.
AI levert geen auditbewijs
Generatieve AI, zoals GPT-4o of Gemini 1.5, kan teksten en patronen produceren. Maar zulke uitkomsten zijn niet vanzelf controle-informatie. Het risico op hallucinaties, wanneer een model passende maar onjuiste antwoorden geeft, blijft aanwezig. Daarom kan AI-resultaat hoogstens richting geven aan verdere verificatie.
Leveranciers integreren AI in boekhoud- en controlegoede software, zoals Caseware, Twinfield (Wolters Kluwer) en Exact. Kantoren moeten dan weten welke data en modellen onder de motorkap werken. Ook is nodig dat prompts, instellingen en bronnen worden vastgelegd in het dossier. Zonder herleidbaarheid is betrouwbaarheid niet te beoordelen.
De standaard voor controle-informatie (ISA 500) wordt aangescherpt met extra eisen aan externe informatie en geautomatiseerde hulpmiddelen. Op het moment van schrijven bereiden internationale standaardzetters hier implementatiehandreikingen voor. Dat zal de lat voor validatie en bronkritiek verder verhogen. Vooral bij gebruik van externe AI-APIās telt elke stap in de keten mee.
Hallucinatie is wanneer een AI-systeem met grote zekerheid iets beweert dat niet klopt.
AI-verordening stuurt controlepraktijk
De Europese AI-verordening (AI Act) introduceert nieuwe plichten voor aanbieders en gebruikers van AI. Voor general-purpose AI, zoals grote taalmodellen, gelden documentatie- en transparantie-eisen vanaf 2025ā2026. Kantoren die zulke systemen inzetten, worden ādeployersā en moeten risicoās inschatten en logs bijhouden. Dit raakt direct de controle- en adviespraktijk.
Voor cliƫnten met hoog-risico-toepassingen, zoals kredietwaardigheidsbeoordeling, vraagt de wet om strengere beheersing. Accountants zullen dan vaker interne beheersingsmaatregelen en datakwaliteit rond AI beoordelen. Ook vragen auditcommissies om uitleg over modelkeuzes en foutafhandeling. Zo schuift AI van it-kwestie naar governance-onderwerp.
De gevolgen raken ook de overheid, die steeds meer algoritmen gebruikt in dienstverlening en toezicht. Controleurs in de publieke sector moeten nagaan of AI-toepassingen voldoen aan de AI Act en aanbestedingsregels. Duidelijke modeldocumentatie en een impactanalyse worden dan randvoorwaardelijk. Dit versterkt de vraag naar uniforme auditprocedures voor algoritmen.
AVG begrenst datagebruik
De AVG eist dataminimalisatie, doelbinding en passende beveiliging van persoonsgegevens. Wie een cloudmodel gebruikt, moet weten waar data heen gaan en hoe lang ze worden bewaard. Dat geldt nadrukkelijk voor vertrouwelijke klantinformatie in controles en samenstelopdrachten. Versleuteling en Europese datalocaties zijn daarom belangrijke selectiecriteria.
Veel leveranciers bieden inmiddels opties zonder trainingsgebruik van klantdata, zoals Azure OpenAI in EU-regioās. Toch blijft een verwerkersovereenkomst en heldere bewaartermijn noodzakelijk. Kantoren doen er goed aan een Data Protection Impact Assessment (DPIA) te maken bij nieuwe AI-werkstromen. Zo wordt vooraf zichtbaar welke gegevens echt nodig zijn.
Voor testen en opleiding is het verstandig om gesimuleerde of geanonimiseerde data te gebruiken. Gecontroleerde promptbibliotheken kunnen lekken van persoonsgegevens voorkomen. Ook helpt het om gevoelige passages vooraf te blacklinen. Dit verkleint de kans op ongewenste openbaarmaking.
Werkprocessen en vaardigheden veranderen
AI vraagt om herontwerp van werkprocessen met āhuman in the loopā. Prompts, modelversies en controlesporen horen vaste onderdelen van het werkdossier te zijn. Een tweede paar ogen bij AI-ondersteunde analyses verkleint het risico op fouten. Zo blijft de kwaliteit toetsbaar, ook bij hoge tijdsdruk.
Kantoren bouwen best een register van gebruikte datamodellen en algoritmen, met eigenaar, doel en risicoās. Frameworks zoals het NIST AI RMF en de komende ISO 42001 kunnen daarbij houvast geven. Europese normalisatie via CEN/CENELEC sluit aan op de AI Act. Dit maakt het eenvoudiger om aan te tonen dat processen āin controlā zijn.
Vaardigheden van teams veranderen mee. Permanente educatie van de Nederlandse beroepsorganisatie NBA richt zich steeds meer op data en AI. Toezichthouder AFM let, op het moment van schrijven, op de impact van digitalisering op controleteams en kwaliteitsbewaking. Kleine kantoren kunnen starten met laag-risico taken, zoals dossiervorming en conceptbrieven, en later opschalen.