De afgelopen jaren groeit het enthousiasme rond Large Language Models (LLM’s) binnen de accountancysector. AI-believers beloven dat je journaalposten kunt uploaden, event logs kunt laten interpreteren of zelfs complete procesmodellen kunt laten reconstrueren via natuurlijke taal. Ik lees use-cases op Linkedin, waarbij ik denk, dat kan helemaal niet.
Voor de helderheid, we hebben het hier over clientdata en niet over een set van anonieme (demo)data. U weet, een AI-model is gewoon een derde partij. Zonder AI zou u uw clientdata ook niet overdragen aan een willekeurige vreemde.
De verleiding is begrijpelijk — wie wil er niet minder handwerk, meer snelheid en ‘slimmere’ auditss
Maar achter die belofte ligt een vraag die wij als beroep onvoldoende stellen: mogen wij als accountants überhaupt controle-informatie analyseren met behulp van een LLM? En zo ja: binnen welke grenzen?
1. Waarom (data)- analyse via een LLM fundamenteel oncontroleerbaar is
Een audit draait om controleerbare en reproduceerbare analyses. We moeten exact kunnen uitleggen hoe we van brondata tot conclusie zijn gekomen. Elke stap moet herleidbaar, toetsbaar en documenteerbaar zijn volgens COS 230 en COS 500.
Een LLM werkt precies andersom. Het model voorspelt woorden op basis van waarschijnlijkheid, niet op basis van controleerbare logica. Het gebruikt interne patronen die niet zichtbaar of toetsbaar zijn. De uitkomst is niet gegarandeerd reproduceerbaar en de verwerking kan niet worden gereconstrueerd.
Daarom kan een LLM niet voldoen aan onze vaktechnische eisen. Het mag dus géén controle-informatie analyseren. Niet voor journaalposten, niet voor facturen, niet voor contracten, niet voor anomalieën en niet voor risico-identificatie.
2. Wat valt onder ‘analyse van controle-informatie’?
In discussies wordt vaak gespeeld met terminologie: ‘data-analyse’, ‘analyse van data’, ‘process mining’, ‘text mining’, ‘AI-driven analytics’ of ‘prompt-to-dashboard’. Maar voor onze beroepsregels maakt dat geen enkel verschil.
Zodra informatie audit-relevant is, valt elke verwerking onder dezelfde eisen van COS, AVG, VGBA en ISQM 1. Dat betekent dat de volgende datastromen nooit in een LLM mogen worden verwerkt:
– journaalposten en grootboekmutaties
– event logs en procesdata uit ERP’s
– salarisinformatie
– facturen, contracten en orderregels
– interne bevindingen of risicobeoordelingen
– dashboards of KPI’s met cliëntdata
– fraude-analyses op basis van echte data
3. De mythe van de on-premise oplossing
Steeds vaker horen we de tegenwerping: ‘Maar wij draaien de LLM volledig on-premise, dus het mag wél.’ Kort door de bocht, on-premise betekent dat het LLM in kluis zit, zonder verbinding met het internet. In theorie is dat dus de veiligste optie. In de praktijk blijkt dit een mythe.
Een echte on-premise LLM vereist onder meer:
– eigen GPU-servers
– modelweights die volledig op eigen hardware staan
– geen telemetrie of cloudcomponenten
– een interne vector database
– IAM, SSO en logging volgens ISQM 1
– air-gapped of zero-trust segmenten
En de lijst gaat verder en is lang en vooral kostbaar, dit nog los van performance uitdagingen. Wij hebben een kleine virtuale on premise uitgebreid getest. Mission failed.
Dit zijn omgevingen die voor veel kantoren onbetaalbaar zijn. Hoeveel accountantskantoren beschikken vandaag over zo’n omgeving? Vrijwel geen, hoewel ik verwacht dat de Big4 dit wel heeft.
Maar zelfs áls een kantoor zo’n perfecte omgeving heeft, blijft één kernpunt overeind: ook een on-premise LLM voldoet niet aan COS 500. De verwerking is niet controleerbaar, niet herleidbaar en niet te reconstrueren.
4. Hoe kunnen we LLM’s dan wél verantwoord inzetten?
LLM’s zijn niet geschikt voor analyse van controle-informatie. Maar ze zijn wél nuttig voor het ondersteunen van het (vaktechnische) auditproces, mits binnen duidelijke kaders. En ja, ook ik zie die kansen na 18 maanden pilots.
Toegestane toepassingen:
– herschrijven of structureren van (vaktechnische) teksten
– maken van memo’s, instructies of uitleg
– trainingsmateriaal voor data-analyse
– uitleg van regelgeving of standaarden
– synthetische voorbeelden of oefendatasets
– ondersteuning bij documentatie of planning
– risico-overzichten zonder cliëntdata
Verder is duidelijk dat met bronnen als Titel 9, COS; RJ en IFRS (mits legaal verkregen), aangevuld met andere bronnen,
Nogmaals, niet-toegestane toepassingen:
– uploaden van werkelijke transacties of logs
– facturen, contracten of salarisinformatie verwerken
– procesdata of event logs analyseren
– steekproeven of risico’s laten bepalen door een LLM
– dashboards genereren op basis van cliëntdata
– conclusies trekken op basis van LLM-output
5. Waarom deze discussie nu gevoerd moet worden
De sector beweegt sneller dan de regels. Marketing door kantoren loopt ver vooruit op de werkelijkheid van COS, AVG en onze geheimhoudingsplicht. Teams experimenteren enthousiast, vaak zonder vaktechnisch kader. En data belandt sneller in AI-tools dan bij een compliance officer.
Juist daarom is het belangrijk dat we als beroepsgroep helderheid geven: analyse van controle-informatie via een LLM is vaktechnisch uitgesloten. Niet om innovatie te blokkeren, maar om het vertrouwen en de kwaliteit van ons werk te beschermen.
LLM’s zijn krachtige hulpmiddelen. Ze helpen ons leren, schrijven, structureren en denken. Maar één ding moeten we helder houden:
LLM’s zijn niet geschikt voor (data)-analyse van controle-informatie. Niet nu, en waarschijnlijk ook niet in de nabije toekomst.
De audit blijft een vak dat draait om bewijs, herleidbaarheid en reproduceerbaarheid, precies de elementen die een LLM niet kan bieden. Laten we daarom het gesprek voeren over hoe we AI verantwoord inzetten, zonder onze fundamenten los te laten.
De enorme hype is dus terug te brengen naar vooral ‘ vaktechnische ondersteuning’, wat een accountantskantoor er los van andere assurance werkzaamheden meedoet is aan hun. Een LLM template voor HRM handboek, ontzettend leuk.
En ik volg alleen maar wat ik in de standaarden lees. Ik was natuurlijk ook benieuwd naar wat de AFM denkt en verwacht inzake inzet LLM-modellen en in welke veilige vorm, die nieuwsgierigheid is reeds beantwoord. Diezelfde nieuwsgierigheid heb ik ook nog naar de zienswijze van de NBA.
