Auditors en RPA

In deze rubriek reageren auditprofessionals op een stelling.

RPA zorgt ervoor dat er in de toekomst minder auditors nodig zijn

Tim Breukhoven MSc Auditor

Coöperatie VGZ UA

Oneens

“De werkzaamheden van de auditor blijven bestaan aangezien de auditor ook bij RPA een oordeel dient te vellen over de kwaliteit van de beheersing. Zo mitigeren hard controls bedreigingen zoals manipulatie in de configuratie van de robot of het uitvallen van robots na het uitvoeren van updates. Soft controls blijven van belang om te waarborgen dat mensen de robot configureren conform de gestelde normen en kaders. Daarnaast vervangt RPA voornamelijk de repetitieve werkzaamheden binnen de IAF, waardoor de auditor meer tijd heeft voor complexe of omvangrijke audits om daarmee zijn toegevoegde waarde (alsmede de vraag naar auditors) te verhogen.” 

Arjen van Nes

Onafhankelijk auditor en adviseur op het gebied van risk, audit en compliance

Oneens

“RPA gaat ervoor zorgen dat veel administratief bulkwerk geautomatiseerd wordt afgehandeld. Daarmee kan de controle op die werkzaamheden in een financial audit eenvoudiger worden door een controle op de RPA (audit trail). RPA’s kennen echter ook uitval. De afwerking daarvan en de controle daarop zullen vermoedelijk meer werk opleveren. Daarnaast zijn RPA’s ‘changemanagementgevoelig’, veranderingen in de IT-omgeving (patches en nieuwe releases bijvoorbeeld) kunnen ertoe leiden dat de RPA niet meer (goed) functioneert. RPA’s zouden dus misschien weleens voor meer auditwerk kunnen gaan zorgen. Ik heb mijn glazen bol afgestoft en voorspel dat de IT-auditor er werk bij krijgt en de financial auditor minder te doen zal hebben.
RPA’s kunnen ook effect hebben op de werkzaamheden van internal auditors die door de RPA’s mee te nemen in hun onderzoek een oordeel kunnen geven over bulkprocessen als onderdeel van hun audit. Iets wat vroeger misschien niet zo snel in scope zou zijn geweest, omdat daarvoor de uren niet beschikbaar waren. Dat levert niet meer of minder auditors op, maar wel meer toegevoegde waarde.” 

Randy Ramlal

Interne auditor Heijmans nv

Oneens

“De handmatige processen/taken worden weliswaar overgenomen door robots en daardoor kan de audit ‘coverage’ worden vergroot, maar tegelijkertijd wordt het werkgebied van auditors uitgebreid. De IAF zal meer moeten inspelen op ‘nieuwe’ risico’s die ontstaan door de uitrol van RPA, het evalueren/beoordelen van de beheersing van risico’s rondom RPA en het auditen van de RPA software. RPA geeft auditors de mogelijkheid om diepgaander onderzoek uit te voeren (door bijvoorbeeld meer interviews, observaties en analyses), daar was voorheen minder tijd voor vanwege de planning. Mijn mening is dan ook dat wij, auditoren, nog even hard nodig zijn mits wij mee-evolueren met de digitalisering. Voorwaarde is wel dat het bestuur de kwaliteit van IA laat prevaleren boven de kwantiteit!”

Marinus de Pooter

Eigenaar van MdP | Management, Consulting & Training

Oneens

“Er zullen niet minder internal auditors nodig zijn. Wel andere, meer gespecialiseerde. Die kunnen hun toegevoegde waarde blijven bewijzen door de interne organisatie rondom het inzetten van deze ‘robots’ te onderzoeken. RPA brengt niet alleen kansen en voordelen, maar tevens bedreigingen en nadelen. Zo kan het eigenaarschap van de robots onduidelijk belegd zijn. Er kunnen onbewuste én opzettelijke fouten in de codes zitten. Vertrouwelijke gegevens kunnen geautomatiseerd opgeslagen worden op onbeveiligde locaties. Ook kunnen mensen misbruik maken van de inloggegevens van de robots. Kortom, assurance en advies met betrekking tot de interne beheersing rondom RPA blijven ruimschoots nodig.”