Ik gaf eerder aan dat een accountant basisbegrip van computers zou moeten hebben. Dat basisbegrip valt weer te geven met drie vragen. De eerste vraag lijkt misschien meteen de filosofische kant op te gaan. Maar geen zorgen, we houden het praktisch.

Wie leert programmeren, ontdekt al vrij snel het essentiële verschil tussen computers en mensen: een computer doet wat je zegt, niet wat je wilt.

Voor programmeurs is dat soms erg frustrerend. Wie wel eens opdrachten heeft gegeven aan een mens, weet dat je er op kan rekenen dat je eigen onduidelijkheid wordt gecompenseerd door het welwillend interpreteren van je opdracht door de ontvanger van die opdracht. Computers doen dat niet. Dat heeft overigens een voordeel: computers maken geen fouten (tenzij ze al fout gebakken zijn). Wat computers moeiteloos doen, is de fout van een programmeur goed uitvoeren. Maar een ongewenste uitkomst is in principe nooit veroorzaakt door de computer.

Dat we inmiddels in staat zijn computers op een zo hoog abstractieniveau te programmeren dat ze wel menselijk gedrag lijken te vertonen, doet daar niets aan af. Wie denkt dat we ooit kunstmatige intelligentie kunnen maken met computers doordat computers steeds menselijker worden, heeft er feitelijk niets van begrepen. Kunstmatige intelligentie is prima mogelijk, mits we bereid zijn te aanvaarden dat mensen ten diepste niet ingewikkelder zijn dan computers.

Ooit had ik een gastcollege van een bekende accountant/IT auditor tijdens het vak controleleer bij Nyenrode. Deze gastdocent legde uit dat je de werking van een geautomatiseerde control moest testen door een statistische steekproef te doen op de werking van de control. Kort samengevat: deze gastdocent begreep het verschil tussen computers en mensen niet. Immers, een computer zal onder dezelfde omstandigheden ALTIJD dezelfde uitkomsten geven. Statistische deelwaarnemingen voegen daar niets toe. Eén test is genoeg. De computer zal altijd doen wat deze die ene keer deed, zolang de omstandigheden hetzelfde zijn.

Wie deze eerste vraag begrijpt, als accountant, begrijpt dus waarom controls testing echt anders moet bij geautomatiseerde controls ten opzichte van handmatige controls. De betekenis van General Computer Controls moge hier ook duidelijk zijn. Wie de controls over de automatisering in de grip heeft, heeft de geautomatiseerde controls in de grip.

Ook voor de samenstellend accountant zijn er interessante consequenties. Wie eenmaal een rapport generator goed heeft ingericht, hoeft nooit meer de uitkomsten te controleren. Die zijn voortaan altijd goed. Ja, mits alles volledig geautomatiseerd loopt natuurlijk.

En daar zit natuurlijk meteen de uitdaging. Mensen kunnen begrijpen dat een bepaalde uitkomst onjuist of onwenselijk moet zijn. Computers niet.

In de context van fraude, is het verschil tussen mensen en computers ook aardig. Een computer fraudeert niet. Cfo-fraude is met een computer simpelweg onmogelijk. Je kan een computer niet voor de gek houden of overbluffen. Daar staat tegenover: een computer denkt ook echt niet na. Als jij bij een login-scherm als naam zoiets opgeeft als  ‘ OR ‘1’=‘1 en de programmeur heeft daarmee geen rekening gehouden, dan zal de computer niet uit zichzelf zeggen "goh, wat een gekke naam heeft u, die zal ik maar eens niet in mijn SQL-commando verwerken".

Ja maar, ja maar, AI dan? Sorry. AI is zoals gezegd slechts een abstractie van datzelfde basissysteem van een CPU die de opdrachten uitvoert die een programmeur aan de CPU voedt. En het niveau van AI is nog niet zover dat je tegen ChatGPT kan zeggen "ik wil graag dat je site XYZ beschermt tegen illegale gebruikers" en dat je dan krijgt wat je vraagt.

Wie mee wil doen met #klooienmetcomputers kan dat doen via GitHub. Maak een account op github.com en zoek naar Abmvk/kmc. Het account Abmvk volgen kan ook. Lezers zijn vrij te gebruiken wat ze willen en om zelf zaken toe te voegen of aan te passen, vragen te stellen of commentaar te leveren.