Dit schrijft de toezichthouder in het rapport ‘12 bouwstenen voor veiliger inzet geavanceerde (GenAI)-audittools’. De AFM ziet grote verschillen tussen de dertien organisaties die in het onderzoek zijn betrokken. Vooral enkele grote kantoren beschikken over geformaliseerd beleid, monitoring en duidelijke beveiligingskaders. Bij de meerderheid is het beleid versnipperd of ontbreekt het zelfs volledig. Daardoor worden risico’s onvoldoende ondervangen. De AFM benadrukt dat audit-tooling alleen veilig en verantwoord kan worden ingezet wanneer risicomanagement, databorging en controlemethodologie systematisch zijn geborgd.
Groeiend gebruik
In het Financieele Dagblad erkent AFM-projectleider Patrick Sohier dat AI-processen efficiënter kan maken en analyses kan verdiepen, maar dat de toepassing “verantwoord en beheerst” moet gebeuren. De toezichthouder ziet juist op dat vlak nog veel ruimte voor verbetering. Zo schat de AFM dat inmiddels circa 12 procent van de wettelijke controles bij de grote zes kantoren gebruikmaakt van tooling met AI-componenten, een aandeel dat de komende jaren verder zal stijgen door personeelstekorten, digitalisering en de uitfasering van oudere pakketten.
Datakwaliteit
Een kernprobleem blijft datakwaliteit. De AFM stelt vast dat accountants te vaak vertrouwen op door cliënten aangeleverde gegevens zonder voldoende te toetsen of deze relevant en betrouwbaar zijn. GITC’s (General IT Controls, algemene IT-beheersmaatregelen) worden met regelmaat niet of onvoldoende beoordeeld. Daardoor kan een groot deel van de dataset die als controle-informatie wordt gebruikt onvolledig of onjuist zijn. Bovendien ontbreekt vaak een consistent en gedocumenteerd ETL-proces, wat de reproduceerbaarheid van analyses onder druk zet. ETL staat voor ‘Extract, Transform, Load’ (extraheren, transformeren, laden).
Lekken
Uit het FD-artikel blijkt dat de toezichthouder waarschuwt voor nieuwe risico’s, zoals het lekken van vertrouwelijke data. Accountants beschikken over grote hoeveelheden gevoelige informatie, variërend van koersgevoelige bedrijfsdata tot persoonsgegevens. Als deze onbedoeld in trainingsdata van generatieve AI-modellen terechtkomen, kan dat leiden tot ernstige incidenten. Dat vraagt niet alleen om strikte afspraken met cliënten, maar ook met een snel groeiend aantal softwareleveranciers. De markt voor AI-tooling groeit snel, met aanbieders zoals het Nederlandse Datasnipper. Daarnaast experimenteren sommige kantoren met eigen AI-toepassingen, wat het toezicht en de beheersing verder complex maakt.
Een ander risico is dat AI de rol van junior-medewerkers gedeeltelijk overneemt. De AFM vreest dat minder ervaring met basiscontrolewerkzaamheden kan leiden tot lacunes in vaktechnische kennis wanneer deze medewerkers sneller doorschuiven naar complexere taken.
Overreliance
Het rapport benadrukt verder de risico’s van ‘overreliance’. Doordat AI-uitkomsten overtuigend kunnen ogen, bestaat het gevaar dat accountants conclusies kritiekloos overnemen. De AFM waarschuwt expliciet voor hallucinaties: AI-systemen kunnen ogenschijnlijk plausibele, maar feitelijk onjuiste informatie presenteren. Het FD wijst daarbij op recente incidenten in andere sectoren, zoals de advocatuur, waar beroepsbeoefenaars zich lieten misleiden door jurisprudentie dat AI had verzonnen, en een Deloitte-rapport in Australië dat onjuiste, door AI gegenereerde passages bevatte. Volgens de AFM moet AI nooit een black box worden: uitkomsten moeten altijd verifieerbaar of reproduceerbaar blijven.
Onvoldoende kennis
Ook ziet de toezichthouder dat veel teams onvoldoende kennis hebben om audit-tools correct en vaktechnisch verantwoord toe te passen. Daardoor sluiten analyses niet altijd aan op geïdentificeerde risico’s of leveren ze minder controlebewijs op dan verwacht. Soms worden afwijkingen uit lijstwerk onvoldoende opgevolgd, of zelfs geheel genegeerd. De AFM pleit daarom voor meer training, duidelijke interne richtlijnen en integratie van tooling in de controleaanpak.
Bestuurders cruciaal
De rol van bestuurders is cruciaal. Zij moeten een cultuur creëren waarin digitalisering wordt omarmd, maar medewerkers kritisch blijven op risico’s en de ethische implicaties van innovatie. De toezichthouder ziet goede voorbeelden van organisaties die centraal beleid, infrastructuur en monitoring stimuleren, maar de sector als geheel heeft grote stappen te zetten.
Fundament evalueren
De AFM roept kantoren op hun fundament te evalueren aan de hand van de twaalf bouwstenen, die uiteenlopen van informatiebeveiliging tot datavalidatie, kennisontwikkeling en opvolging van tool-uitkomsten. De onderste lagen – governance, datakwaliteit en implementatie – moeten eerst stevig staan voordat generatieve AI verantwoord kan worden ingezet. De toezichthouder kondigt aan de komende jaren scherper te gaan toetsen op de beheerste inzet van audit-tooling, zeker nu het busy season aan de vooravond staat en de afhankelijkheid van digitale hulpmiddelen verder toeneemt.
Lees hier het AFM-rapport.
Bron: AFM, FD.
Geef een reactie