New kid zoekt accountant
High tech-bedrijven, variërend van Google en Booking.com tot kleinere startups, verschillen sterk in hoe ze hun processen beheersen en daarmee ook hoe ze financieel in control zijn. De klassieke aanpak van accountants botst met hun realiteit. Dat begint in de praktijk pijn te doen. Gevolg: sommige partijen gaan naarstig op zoek naar een accountant die ‘hen wel begrijpt’.
Dit artikel is verschenen in Accountant Q1, 2019
Bekijk alle artikelen uit dit nummer
Dit is geen verhaal over high tech audits. Het is een verhaal over de audit van high tech-bedrijven. Dat lijkt een nuanceverschil, maar is veel meer dan dat. Over het eerste is al veel gepubliceerd, over het tweede veel minder. Maar dat neemt niet weg dat het tweede onderwerp aandacht verdient, zo stelt Frank Verbeeten. De hoogleraar accounting aan de Universiteit van Amsterdam put uit interviews die hij hield voor een onderzoek onder een flink aantal van die high tech-bedrijven. Anoniem, dat was de afspraak met de desbetreffende organisaties.
Computer betaalt target
Een eerste voorbeeld is een groot technologiebedrijf dat het budgetteringsproces vrijwel volledig laat verzorgen door algoritmes en daarmee korte metten maakt met de tijdvretende handmatige operatie die vaak nodig is om de benodigde informatie boven tafel te krijgen. Simpel gezegd: de computer bepaalt voortaan je target voor volgend jaar en blijkt dat op basis van de beschikbare data ook prima te kunnen. Volgens Verbeeten zet ook een bekende Nederlandse multinational momenteel stappen in deze richting. Daar is het echter wat lastiger, omdat het vraagt om verandering van al jaren ingesleten routines. New kids on the block (NKOTB) hebben geen last van die ballast uit het verleden en kunnen dus sneller compleet nieuwe aanpakken omarmen.
Een tweede voorbeeld is een jong platformbedrijf waar de financiële beheersing eigenlijk weinig heeft te maken met het financiële systeem. De basis van de beheersing is een algoritme dat rapporteert welke facturen of transacties op het platform uit het reguliere proces vallen. Die uitzonderingen krijgen (persoonlijke) aandacht. Met een feedback loop leert het algoritme om deze analyse steeds verfijnder uit te voeren. Dergelijke bedrijven gaan volgens Verbeeten heel anders om met het financiële systeem en denken ook veel minder vanuit functiescheidingen. Algoritmes bieden de mogelijkheid het meeste werk te doen en de verantwoordelijkheid te nemen voor bijvoorbeeld alle stappen in een betaalproces: vaststellen, goedkeuren en uitbetalen. De financiële beheersing hangt daarmee dus sterk af van de kwaliteit van de programmeurs - voor de software - en de data-scientist - voor de gebruikte algoritmes.
DevOps
Een derde voorbeeld is dat veel van deze bedrijven DevOps - een samentrekking van development en operations - omarmen. Kort gezegd: softwareontwikkeling wordt niet in een veilige omgeving los van de praktijk gedaan, maar aanpassingen worden gewoon direct live gezet. Werkt de aanpassing goed, dan blijft de nieuwe versie staan. Werkt het niet goed, dan wordt de aanpassing teruggetrokken. Google is groot geworden met deze filosofie in veel van haar producten en sprak daarbij van Always in Beta.
Een bedrijf als Booking.com is bekend vanwege het zogeheten A/B-testen: elke dag worden vele aanpassingen gedaan in het systeem om voortdurend te optimaliseren. De gebruiker - u als klant - is eigenlijk de tester. Dat is een wereld van verschil met de traditionele ‘watervalaanpak’, waar vaak maanden aan een stuk nieuwe software wordt gewerkt dat vervolgens eerst uitgebreid wordt getest voordat het in gebruik wordt genomen. En daarmee is er ook een wereld van verschil in hoe een accountant - met gebruik van IT-auditkennis - naar de controls in een IT-systeem kijkt. Want naar welk systeem kijk je dan eigenlijk? Naar dat van 23 of 24 september?
In beton gegoten
De voorbeelden maken duidelijk dat er een andere realiteit is ontstaan in hoe deze new kids on the block hun financiële processen beheersen. Een realiteit waar accountants nog aan moeten wennen. “Het was voor één van deze partijen reden om op zoek te gaan naar een andere accountant. Een accountant die hen wel begrijpt”, zegt Verbeeten, die ook nu geen naam kan noemen. Zijn collega hoogleraar Edo Roos Lindgreen - data science in auditing - begrijpt dat wel. “Deze nieuwe partijen trekken alles in het digitale domein. En veel accountants zijn daar nog niet klaar voor. Hun aanpak is in beton gegoten, veelal ook als gevolg van wet- en regelgeving. Het is de hoogste tijd voor modernisering.”
Dat het nog niet erg wil vlotten met die modernisering werd in januari 2019 ook duidelijk uit een analyse van de NBA van vacatures voor financieel specialisten. In slechts drie procent van de gevallen werd gevraagd naar kennis en/of ervaring met nieuwe technologie, zoals data-analyse, robotics, data mining, process mining, data visualisatie of machine learning. Voor meer traditionele technologie, zoals Excel, boekhoud- en erp-pakketten, lag dat percentage ongeveer op het tienvoudige.
Precies die kennis van data-analyse en aanverwante onderwerpen is echter nodig om te doorgronden hoe een nieuwe generatie bedrijven hun financiële stromen beheersen. Roos Lindgreen heeft daarbij ook een leerzame historische analogie. “Bij de opkomst van de moderne telecombedrijven wisten veel accountants in de jaren tachtig ook niet zo goed hoe ze dat moesten aanpakken. PriceWaterhouseCoopers was toen eigenlijk de enige die daarop een antwoord had. Het kantoor heeft daarvan nog decennia lang profijt gehad.”
Twee hoofdzaken
Terug naar de high tech-wereld anno 2019. Wie er op afstand naar kijkt ziet twee hoofdzaken die vragen om een andere aanpak door accountants. Ten eerste de voortdurende wijzigingen in systemen - als gevolg van DevOps, in plaats van de meer statische traditionele wereld. Ten tweede de steeds dominanter wordende algoritmes die ook in de financiële functie een steeds grotere rol gaan spelen. Data scientist Dennis van de Wiel zit bij KPMG in het hart van deze ontwikkelingen. Aan hem de vraag: hoe moet de accountant het dan wel aanpakken? “DevOps laat zien dat bedrijven veel wendbaarder zijn. Minder statisch. Maar om daar toch grip op te krijgen kun je ook weer een beroep doen op technologie waarmee je automatisch detectieve maatregelen en correcties kunt uitvoeren.”
Een identieke redenering is ook mogelijk voor het thema algoritmes: “Algoritmes bepalen bijvoorbeeld hoeveel voorraad je aan moet houden, of voorspellen de cashflow. Ze bepalen ook welke uitzonderingen in processen door mensen moeten worden beoordeeld. Dat betekent ook dat je als accountant in je controle een beeld moet krijgen over hoe die algoritmes werken. Functiescheidingen vormen de hoeksteen van een traditionele audit, het standaard antwoord op geïdentificeerde risico’s. Dat hoeft niet langer zo te zijn in een omgeving waar algoritmes het meeste werk doen. Er moet een nieuw antwoord komen op de vraag waar het risico dan ligt.”
Professionalisering
Er is nog een wereld te winnen. Om de systeemgerichte controle door accountants mogelijk te maken is in veel gevallen een professionalisering nodig aan de kant van de klant. Van data scientists mogen we op zijn minst dezelfde professionaliteit verwachten als van software ontwikkelaars. De laatsten zijn al decennia gewend aan frameworks voor quality control, versiebeheer, testen en dergelijke. Zaken die van groot belang zijn voor een (IT) auditor. De data science-afdelingen zijn nog veel jonger en hebben nog niet altijd een professionele omgeving opgezet waarin ze aantoonbaar de kwaliteit van hun werk laten zien. Zodat een accountant erop kan steunen.
Er is ook een compleet andere benadering denkbaar dan zo’n systeemgerichte aanpak. Je kunt als accountant ook juist sterk gegevensgericht te werk gaan. Peter Engel (zie ‘Wat nou functiescheiding?’) bouwt vanuit zijn bedrijf Actuals.io toepassingen die als een ‘sensor’ op het bestaande platformsysteem financiële transacties ‘aftappen’ naar een separaat systeem. Dat systeem levert hun opdrachtgevers financiële inzichten op en is ook een manier om zekerheid over financiële informatie te krijgen. “In eenvoudige omgevingen kan dat prima werken”, zegt Roos Lindgreen erover, “maar als de complexiteit toeneemt kom je daar niet mee weg”.
Ook ten aanzien van de oprukkende algoritmes is een gegevensgerichte aanpak denkbaar. Bij simpele algoritmes - gebaseerd op business rules - is dat eigenlijk vrij eenvoudig. Maar op steeds meer plaatsen zien we hoe algoritmes zichzelf steeds verder bekwamen in de analyse. Zulke zelflerende algoritmes zijn niet gebaseerd op simpel te controleren beslisregels. De vraag of ze ‘deugen’ is dan ook moeilijker aan te tonen. Er zijn wel een paar methoden voor - voor de liefhebbers: zie kader - maar daarvoor is kennis nodig die nu vaak niet bij accountants(kantoren)
beschikbaar is. De high tech-bedrijven stellen accountants dan ook voor best lastige nieuwe vragen. Maar ze scheppen ook een marktkans.
Wat nou functiescheiding?
Peter Engel is oprichter van Actuals.io en richt zich op het bieden van zekerheid over financiële informatie, met gespecialiseerde diensten aan high tech-bedrijven als Helloprint, Multi Tank Card en Takeaway.com.
Hoe kan een accountant hiervan profiteren?
We loggen elke revenue trigger - zoals een maaltijdbestelling - door onze eigen ‘sensor’ op de systemen van de klant aan te brengen en helpen daarmee als onafhankelijke derde partij om tot zekerheid te komen wat de omzet is. De accountant van deze partijen kan hiervan ook gebruikmaken. Die steunt dan minder op functiescheidingen in een organisatie of de IT-controls in een systeem; beide vaak lastig perfect te krijgen bij dergelijke high tech-bedrijven. Door deze aanpak steun je niet op functiescheidingen, maar laat je een derde partij continu registreren, rondrekenen en rapporteren.
Waarom bent u hiermee begonnen?
Ik zag hoe IT-auditors en accountants worstelen met de audit van systemen bij high tech-bedrijven. De auditmethodologie is verouderd en kan maar moeilijk omgaan met de dynamiek. Wat vaak gebeurde is dat de klant op verzoek van de accountant bepaalde zaken moest inrichten en bewijzen. Dan krijg je dus dat ‘het moet van de accountant’ en dat is een heel slechte redenering. Ik denk dat wij een moderne oplossing bieden om te bewijzen dat hun systemen functioneren en transacties juist en volledig verwerkt worden.
Hoogleraar Roos Lindgreen denkt dat het alleen werkt in overzichtelijke situaties en geen oplossing is voor meer complexe omgevingen. Wat vindt u daarvan?
Ik zou niet weten waarom dat niet uit te breiden is naar een meer complexe omgeving. Je gaat dan met meerdere ‘sensoren’ en databronnen werken, in combinatie met tabellen om een complexere rondrekening of berekening te maken. Hier zal een nauwere samenwerking met een klant nodig zijn en ga je echt tot de kern van het toepassen van data science, analyse en procesverbetering. Wat mij betreft is dit de nieuwe realiteit van finance- en audit professionals: proberen de data te volgen in plaats van iets te vinden van complexe omgevingen.
We staan dus nog maar aan het begin?
Ik ben ervan overtuigd dat er ruimte is voor challengers in de markt die via deze weg werken. Klanten zoeken ook naar die partijen. Voor het onderhoud van je Tesla ga je immers ook niet naar de garage om de hoek.
De audit van de algoritmes
Pionier Christian Sandvig beschreef in 2014 in een paper (Auditing Algorithms: Research Methods for Detecting Discrimination on Internet Platforms) vijf methodes over hoe we de werking van een algoritme kunnen toetsen. Weliswaar schreef Sandvig het specifiek voor het toetsen of een algoritme geen bias (discriminatie) kent, maar conceptueel is het voor andere algoritmes bruikbaar. Elke methode heeft volgens hem duidelijke voor- en nadelen.
1 CODE AUDIT: Het algoritme wordt publiek gemaakt, zodat wetenschappers kunnen testen hoe het werkt. Nadeel: openbaarmaking kan veel schade doen aan de werking of is simpelweg onmogelijk omdat het gaat om concurrentiegevoelige informatie. Dit nadeel zal in veel gevallen groter zijn dan de voordelen - meer zekerheid over de deugdelijkheid van het algoritme.
2 NONINVASIVE USER AUDIT: Hierbij wordt niet de code zelf getest maar wordt een onderzoek onder gebruikers van het algoritme uitgevoerd, om vast te stellen hoe het algoritme werkt. Een van de grote nadelen is dat gebruikers (a) gekleurde antwoorden kunnen geven en (b) over bepaalde zaken vanuit privacyoverwegingen geen antwoord willen geven. Daarmee blijven bepaalde negatieve effecten van het algoritme dus buiten het onderzoekdomein.
3 SCRAPING AUDIT: Een onderzoeker test het algoritme door met een speciaal programma een groot aantal query’s op het algoritme af te vuren en te analyseren tot welke output dit leidt. Een vorm van simulatie die ook vaak wordt gebruikt om kwaliteitscontrole te doen op softwareproducten voordat deze in gebruik worden genomen. Meest voor de hand liggende methode om in het financiële domein zekerheid te krijgen over de werking van algoritmes.
4 SOCK PUPPET AUDIT: Lijkt op de scraping audit, maar in dit geval worden de query’s vanuit fictieve testgebruikers naar het algoritme verstuurd. Dit verschil kan relevant zijn omdat een algoritme mogelijk anders omgaat met gebruikers dan met testprogramma’s. Het algoritme wordt dan ook misleid: de onderzoeker doet alsof het om echte gebruikers gaat.
5 COLLABORATIVE OF CROWDSOURCED AUDIT: Eigenlijk een specifieke vorm van de sock puppet audit, met één verschil: in dit geval is er sprake van echte mensen van vlees en bloed, in plaats van nep user accounts. Vergelijk het met mystery shoppers die bij winkels testen hoe ze worden behandeld. Een belangrijk nadeel hier is dat het onpraktisch en kostbaar kan uitpakken.