Performance en strategie-uitvoering

Hoe ziet de toekomst van de interne auditfunctie eruit? Wat is de rol van data science binnen audit? In gesprek met prof.dr. Edo Roos Lindgreen RE, hoogleraar Data science in auditing aan de Universiteit van Amsterdam.

Voor onze lezers die u niet kennen: wie is Edo Roos Lindgreen?

“Ik heb informatica gestudeerd aan de Universiteit van Amsterdam (UvA). Daarnaast heb ik gewerkt als developer. Na korte tijd gewerkt te hebben bij een startup heb ik promotieonderzoek met betrekking tot informatiebeveiliging gedaan aan de Technische Universiteit Delft. Vervolgens ben ik bij KMPG gaan werken in diverse functies, waaronder in IT-audit en advisory. Bovendien ben ik een aantal jaren verantwoordelijk geweest voor het uitvoeren en opzetten van het innovatieprogramma binnen KPMG.”

“In 1998 werd ik docent aan de UvA en in 2002 ben ik benoemd als deeltijd hoogleraar IT en Auditing. Sinds twee jaar ben ik fulltime hoogleraar Data science in auditing. In die hoedanigheid verzorg ik onderwijs en voer ik onderzoek uit op het snijvlak van auditing en data science. Tevens ben ik programmadirecteur van de opleidingen Executive MSc of Internal Auditing (EMIA) en Executive Programme of Digital Auditing (EPDA), en eindverantwoordelijk voor het Institute of Executive Programs van UvA.”

Hoe definieert u het vak data science?

“Data science is de wetenschap en praktijk die zich bezighoudt met het verzamelen, bewerken, verwerken en interpreten van data om inzicht te krijgen en conclusies te kunnen trekken. Hierbij wordt gebruikgemaakt van zowel gestructureerde als ongestructureerde data, vanuit zowel interne als externe bronnen. Het gaat om het verkrijgen en geven van inzicht en hierbij is statistiek ontzettend belangrijk. De auditor hoeft geen data-expert te zijn maar de basiskennis is wel noodzakelijk.”

“Zonder voldoende kennis is het risico van verkeerde conclusies levensgroot. De auditor moet weten wanneer welke methoden en technieken toegepast dienen te worden. Er zijn een paar simpele dingen die de auditor in ieder geval moet weten. Een voorbeeld daarvan is dat een hoge mate waarin twee variabelen met elkaar samenhangen (correlatie) niet per definitie betekent dat er een causaal verband is tussen deze variabelen. Correlatie en causaliteit zijn twee verschillende dingen. Hier zie je ook een verschil tussen een ‘gewone’ wetenschapper en een data scientist.”

Wat is dat verschil dan?

“Een wetenschapper zoekt doorgaans oorzakelijke verbanden en stelt op basis daarvan een model op en verkrijgt daarmee inzicht. Een data scientist gaat op zoek naar patronen en verbanden en stelt op basis daarvan een model op waarmee inzicht wordt verkregen. Daarnaast moet je als auditor oppassen voor ‘spurious correlations’: een toevallig verband tussen twee variabelen die niets met elkaar te maken hebben. Zo blijkt er een sterk verband te zijn tussen de gemiddelde temperatuur in een bepaald jaar en het aantal films met Nicolas Cage in de hoofdrol. Een laatste gevaar is dat mensen – en dus ook auditors – de neiging hebben overal patronen in te zien, ook als die er niet zijn. Veel processen die wij observeren zijn willekeurig, dat is nu eenmaal zo.”

“Interne auditors denken soms dat ze toegang hebben tot alle informatie en deze ook krijgen. Maar dat is niet altijd zo”

Hoe kijkt u naar de relevantie van de beroepsgroep van interne auditors?

“De relevantie van de beroepsgroep wordt steeds groter. Wat is de ‘why’ van een interne auditfunctie? Dat is naar mijn mening het geven van aanvullende zekerheid aan het bestuur, de auditcommissie, de aandeelhouders en vele andere stakeholders. Stakeholders verkrijgen primair zekerheid door eigen observaties en rapportages uit de eerste lijn. Maar soms is er dan sprake van schijnzekerheid, omdat zaken mooier worden voorgesteld dan ze zijn. In die gevallen is het de derde lijn die zekerheid geeft.”

“In de herziene Corporate Governance Code wordt een prominentere rol ingeruimd voor een interne auditfunctie. De functie is een steeds belangrijker voelspriet voor de auditcommissie om te meten of alle risico’s adequaat worden beheerst en of de strategie van de organisatie goed wordt uitgevoerd. We zien een verschuiving in de eisen die worden gesteld aan de interne auditfunctie; steeds minder compliance en steeds meer performance. De werkzaamheden worden meer proactief en zijn gericht op het auditen van een consistente uitvoering van de strategie en op de sturing en beheersing van de organisatie.”

Welk profiel heeft de interne auditor nodig in de toekomst?

“Vroeger had je de interne accountant die de interne cijfers controleerde, en bij een aantal organisaties is dat nog steeds zo. In de tweede helft van de jaren negentig kwam de nadruk te liggen op operational audits. Vervolgens werd compliance steeds belangrijker, mede door de schandalen aan het begin van deze eeuw. En op dit moment zien we weer een beweging naar operational audit en strategie-uitvoering.”

“Dit is een natuurlijke ontwikkeling die de interne auditor doormaakt en die gestuurd wordt door de behoeften van de stakeholders. De interne auditor past zich hierop aan, dat gaat heel organisch. Een deel van de populatie interne auditors past zich iedere keer aan de ontwikkelingen aan. Daarnaast komen er specialisten op nieuwe gebieden, zoals data science of gedrag en cultuur. En er blijven natuurlijk ook financiële experts. Het belangrijkste is dat een interne auditfunctie diversiteit heeft in het team. Hiermee moet rekening worden gehouden bij het aannamebeleid.”

Hoe ziet u de interne auditfunctie in 2025?

“Compliance blijft een belangrijk werkgebied van de functie, zeker in de financiële sector. Ik denk dat de functie belangrijker wordt in impact en omvang. De belangrijkste uitdagingen zijn het aantrekken van goede mensen, het behouden van goede mensen en het krijgen van waardering vanuit de business. Met dat laatste bedoel ik dat interne auditors zich moeten afvragen: hoe voeg ik waarde toe? Geef ik inzichten die de organisatie niet had?”

“Een andere trend is dat er meer aandacht uitgaat naar performance en strategie-uitvoering, dus meer proactief. Internal auditing wordt zeker meer data driven. Het besef groeit steeds meer dat een interne auditfunctie deze expertise op peil moet brengen en houden. Er moet geïnvesteerd worden in tools, technieken, kennis, middelen en mensen.”

Nog meer trends?

“Gedrag en cultuur krijgen een steeds prominentere plaats. Gedrag en cultuur worden vaak aangeduid als zachte factoren, onterecht wat mij betreft. Deze factoren zijn keihard en bepalend voor wat er in een organisatie echt gebeurt. Gedrag valt niet te ontkennen. Over gedrag kun je niet liegen: het vindt plaats en heeft een grote impact. Cijfers zijn eigenlijk veel zachter. Cijfers representeren een bepaalde interpretatie van de werkelijkheid. Er kunnen legio aannamen in zitten. Dat maakt manipulatie veel makkelijker. Veel auditcommissies vinden de betrouwbaarheid van de financiële rapportage helemaal niet zo interessant meer, ze zien het meer als een hygiënefactor. Zij zijn meer geïnteresseerd in strategie en risicobeheersing. Dat gaat ook – juist – over gedrag en cultuur. Immers, het zijn de medewerkers die de strategie moeten uitvoeren.”

“Elvis Presley zong het al: ‘Before you abuse, criticize and accuse, walk a mile in my shoes’”

Hebt u wijzigingen aangebracht in het curriculum van de auditopleidingen richting 2025?

“Voor het succes van een interne auditfunctie is omvang een belangrijke factor. Hoe groter de omvang, hoe meer diversiteit kan worden aangebracht. Voor het inrichten van het curriculum is het belangrijk dat je weet wie je doelgroep is. Leid ik een specialistische interne auditor op voor een grote bank met een superervaren team? Of leid ik een jonge auditor op die werkt bij een woningcorporatie met een klein en relatief onervaren team? Wij willen de internal auditopleiding van keuze zijn voor alle interne auditors in Nederland, of je nu bij een grote of een kleinere organisatie werkt. Er wordt een breed spectrum aan auditors opgeleid.”

“Wat de student in ieder geval moet leren zijn de basisbeginselen van auditing. Bij de basis hoort ook de inrichting van de administratieve organisatie en processen (accounting information systems, voorheen BIV/AO). Een belangrijk vak in het eerste jaar, een soort combinatie van een marathon en een ontgroening. Daarna komt de specialisatie met vakken als management accounting, ethiek en integriteit, quality assurance review, managing the internal audit function, personal development, internal governance en internal audit excellence. In dit laatste vak is veel aandacht voor gedrag en cultuur.”

“En natuurlijk het vak data science for auditors, een gecomprimeerde versie van een groter programma dat we hebben ontwikkeld voor de accountantsopleiding. In dit vak leren de studenten de eerste beginselen van data science, zoals: ‘hoe stel ik een data driven auditplan op?’, wat is regressie?’, ‘wat is machine learning’?’ We zouden graag meer tijd aan dit onderwerp willen besteden, maar dan moet er ook een vak verdwijnen anders wordt de opleiding te zwaar, dat is een lastige keuze. Gelukkig komt data science steeds meer voor in de reguliere masteropleidingen. Dus uiteindelijk hoeven wij dat niet meer te doen. Het toepassen in de dagelijkse praktijk blijft wel een aandachtspunt voor ons. Hetzelfde geldt voor gedrag en cultuur, ook hier zouden we meer tijd aan willen besteden.”

In uw oratie stelt u dat er een paradigmaverschuiving nodig is. Kunt dit toelichten?

“Onze huidige omgang met data en computers is ontstaan in de jaren zeventig van de vorige eeuw, toen de computer voor het eerst werd geïntroduceerd in bedrijven. Destijds hebben auditors bepaald hoe daar mee om te gaan en deze manier van werken hebben ze de afgelopen drie á vier decennia meegenomen. De interne auditor kijkt naar de interne beheersing in de systemen. En zo wordt er nog steeds gewerkt.”

“Maar nu is er een nieuwe wereld. Er is een oceaan aan data die voor iedereen toegankelijk is, met fantastische tools die de interne auditor kan gebruiken om in die data te gaan zoeken en deze te analyseren. Maar daar moeten ze wel even aan wennen. Het gewenste paradigma is de focus hebben op data en niet op systeemcontroles. En de data zijn niet alleen data van de organisatie zelf, maar ook van externe bronnen en zowel gestructureerd als ongestructureerd. Deze paradigmaverschuiving zal zonder twijfel plaatsvinden, dat is een kwestie van tijd.”

Welke blinde vlekken heeft de beroepsgroep?

“De beroepsgroep heeft soms een blinde vlek voor de waardering van hun werk door de auditees en stakeholders. Hoe kijken deze partijen tegen de interne auditfunctie aan? De beroepsgroep heeft soms een te rooskleurig zelfbeeld, schat de appreciatie van de business te hoog in. Veel auditors leven een beetje in een bubbel, net zoals medewerkers in iedere andere beroepsgroep overigens. Interne auditors denken soms dat ze toegang hebben tot alle informatie en deze ook krijgen. Maar dat is niet altijd zo. We moeten de bubbel zien te doorbreken door in de spiegel te blijven kijken, ook proberen te voelen wat het effect is van ons werk op de ander. Een uiterst kritische blik en een onderzoekende geest combineren met enig empathisch vermogen. Een rotatieprogramma kan hierbij enorm helpen. Laat de business een tijdje bij de interne auditfunctie komen werken en laat interne auditors in de business werken. Elvis Presley zong het al: ‘Before you abuse, criticize and accuse, walk a mile in my shoes.’”