De vraag die Norman Marks (iemand die al jaren met SOX bezig is) recent stelde – kunnen we AI gebruiken voor SOX en Internal Control over Financial Reporting (ICFR) – lijkt op het eerste gezicht een technisch onderwerp. Maar voor een CFO is dit geen IT-discussie en ook geen semantische auditkwestie. Het is een governancevraag.
Zodra iemand in de organisatie zegt dat “AI nu 100% van de transacties test”, verschuift het gesprek namelijk direct naar comfort en zekerheid. De impliciete belofte is duidelijk: volledige dekking, minder risico, meer assurance.
En precies daar moet een CFO het onderscheid maken tussen dekking en effectiviteit.
100% testing is niet nieuw
Volledige populatietesting wordt in veel organisaties al jaren toegepast. Denk aan analyses op dubbele betalingen, overschrijding van autorisatielimieten, boekingen buiten periode of conflicterende functies. Dit is rule-based data-analyse: vooraf gedefinieerde regels die integraal over een dataset worden losgelaten.
Deterministisch. Reproduceerbaar. Uitlegbaar.
Als vandaag wordt gezegd dat AI “alles controleert”, is de eerste vraag dus: wat is hier werkelijk nieuw?
Wanneer AI feitelijk niets anders doet dan bestaande regels sneller en breder toepassen, spreken we niet over een fundamentele verandering van Internal Control over Financial Reporting. We spreken over efficiëntere uitvoering.
Dat is waardevol, maar geen paradigmawisseling.
Wanneer verandert het speelveld wél?
Het wordt wezenlijk anders wanneer AI geen vaste regels uitvoert, maar patronen herkent. Wanneer modellen afwijkend gedrag detecteren zonder dat dit vooraf expliciet is gedefinieerd.
Dan test je niet alleen transacties.
Dan vertrouw je op een model.
En dat model wordt onderdeel van je interne beheersingsomgeving.
Voor een CFO betekent dit dat Internal Control over Financial Reporting een extra dimensie krijgt. Naast procesbeheersing ontstaat modelbeheersing. Vragen die dan relevant worden zijn: hoe is het model getraind? Op welke historische data? Hoe wordt modeldrift gemonitord? Wie valideert de uitkomsten? Is de output uitlegbaar richting accountant en toezichthouder?
Waar klassieke data-analyse controleerbaar en voorspelbaar is, introduceert modelgedreven AI een nieuw risicodomein.
Efficiëntie neemt toe, maar complexiteit ook.
Dekking is geen controle-effectiviteit
Hier zit de kern van het debat.
Internal Control over Financial Reporting draait niet primair om het analyseren van transacties. Het draait om het effectief ontwerpen en uitvoeren van interne controles die betrouwbare financiële verslaggeving waarborgen.
Dat gaat over:
- de kwaliteit van het control design,
- de consistentie van uitvoering,
- de werking van functiescheiding,
- de preventie van management override,
- de cultuur van compliance binnen de organisatie.
100% testing – of die nu via AI of klassieke analytics plaatsvindt – kan afwijkingen detecteren. Maar het zegt niets over de kwaliteit van het onderliggende control framework.
Een systeem kan geen fouten signaleren, terwijl het proces structureel kwetsbaar is ontworpen. Of andersom: een model kan afwijkingen signaleren die geen materiële impact hebben, maar veel ruis veroorzaken.
Voor een CFO is dit een cruciaal onderscheid. Volledige populatiedekking voelt als volledige zekerheid. Maar Internal Control over Financial Reporting gaat niet over comfort. Het gaat over aantoonbare effectiviteit.
Het risico van technologische schijnzekerheid
In de huidige markt wordt “AI in SOX” soms gepresenteerd als een volgende stap in volwassenheid. Alsof technologie automatisch leidt tot betere beheersing.
Maar als AI rule-based analytics vervangt, verandert er inhoudelijk weinig.
En als AI modelgedreven oordelen introduceert, verschuift het risico naar model governance.
In beide gevallen blijft de verantwoordelijkheid bij het management. De CFO blijft uiteindelijk degene die verklaart dat Internal Control over Financial Reporting effectief is.
En die verklaring kan niet worden gedelegeerd aan een algoritme.
Wat moet de CFO zichzelf afvragen?
De relevante vraag is dus niet: gebruiken wij AI in onze controles?
De relevante vraag is: versterkt deze technologie aantoonbaar de effectiviteit van onze Internal Control over Financial Reporting?
Verhoogt het onze transparantie richting audit committee en toezichthouder?
Is de werking uitlegbaar?
Is de governance robuust ingericht?
En begrijpen wij de beperkingen net zo goed als de voordelen?
Technologie kan Internal Control over Financial Reporting ondersteunen.
Maar zij kan het niet vervangen.
Conclusie
De discussie over AI in SOX en Internal Control over Financial Reporting moet minder gaan over 100% testing en meer over 100% begrip.
- Begrip van processen.
- Begrip van risico’s.
- Begrip van modelbeperkingen.
Volledige dekking van data is geen volledige zekerheid over controle-effectiviteit.
Voor CFO’s ligt daar de kern. Niet in de vraag of AI kan helpen, maar in de vraag of governance meegroeit met technologie.
En governance blijft, ook in het tijdperk van AI, uiteindelijk mensenwerk.
