Prompt engineering voor auditors: zo haal je alles uit AI-prompts

Tools als ChatGPT of Copilot sluipen steeds vaker de auditpraktijk in. Met goede prompt engineering haal je betrouwbare samenvattingen, scripts en documentatie op zonder je professioneel-kritische houding te verliezen. In dit artikel leggen we de basis uit, delen we kant-en-klare templates en laten we voor-en-na voorbeelden zien die speciaal voor auditors zijn gemaakt.

Wat is prompt engineering en waarom is het relevant?

Generatieve AI (zoals large language models, LLMs) zijn algoritmes die tekst of code kunnen produceren. Geef ze een prompt (ofwel een vraag of opdracht) en ze reageren. ChatGPT kan bijvoorbeeld een memo opstellen of een contract samenvatten. Het model voorspelt simpelweg welk woord logisch volgt op basis van patronen uit enorme trainingssets. Met andere woorden: hoe jij de prompt formuleert, bepaalt in hoge mate de kwaliteit van het antwoord. Duidelijke, specifieke prompts leveren betere output.

Prompt engineering is het ontwerpen en verfijnen van die prompts om de AI te sturen naar een hoogwaardig antwoord. In plaats van een vage vraag te stellen en het beste te hopen, zorg je met een scherpe prompt dat de AI precies begrijpt wat jij wilt.

Waarom jij als auditor er iets aan hebt

Auditors werken met complexe informatie, harde deadlines en hoge nauwkeurigheidseisen. Prompt engineering helpt om AI als productiviteitshulp in te zetten. Denk aan:

• Rapportages en memo’s opstellen: Vraag bijvoorbeeld om een eerste concept van een internal-control-memo of een risico-overzicht.
• Documenten reviewen: Laat AI lange contracten of policies samenvatten en vraag expliciet om afwijkingen of red flags.
• Auditplannen bedenken: Laat het model meedenken over mogelijke testprocedures of controlemaatregelen voor een specifieke casus.

Zo versterk je je professionele oordeel in plaats van het te vervangen. Betere vragen leveren betere input voor jouw auditwerk.

Analytics met GenAI

GenAI voor analytics klinkt verleidelijk: dataset erin, vraag naar outliers en klaar. In de praktijk is dat riskant. Auditwerk vereist reproduceerbare logica, traceerbare transformaties en datasets die je opnieuw kunt draaien in de review. Een LLM kan wel een snippet samenvatten, maar je kunt nooit aantonen hoe de berekening tot stand kwam of of er hallucinaties zijn ontstaan. Gebruik GenAI daarom liever als co-piloot voor je scripts: laat het python-code, SQL of Power Query-stappen genereren die jij lokaal draait. Zo blijft de verwerking in je eigen omgeving, kun je versiebeheer doen en is peer review eenvoudig.

Hoe LLM’s prompts interpreteren

Op hoofdlijnen begrijpen hoe een model je prompt leest, helpt bij het formuleren. LLM’s “denken” niet; ze herkennen patronen. Ze lezen je prompt en voorspellen een aannemelijk antwoord op basis van wat ze eerder hebben gezien. Goed geschreven prompts maken het makkelijker voor het model om jouw bedoeling te begrijpen.

Waarom formulering ertoe doet

De AI volgt je instructies letterlijk – en soms creatief. Ben je te vaag, dan vult het model zelf de gaten in met aannames. Vraag je “Is dit contract oké?”, dan weet het model niet wat “oké” betekent. Maar als je vraagt: “Vat de betalingstermijnen samen en wijs clausules aan die extra risico geven”, heeft het een glasheldere opdracht.

Hallucinaties

Als je prompt onvoldoende context bevat of naar informatie vraagt die niet voorhanden is, verzint het model mogelijk een antwoord. Dat noemen we een hallucinatie. In audits kan dat betekenen dat de AI een fictieve standaard of bron aanhaalt. De PCAOB waarschuwt bijvoorbeeld dat GenAI-resultaten misleidend kunnen zijn hoewel ze overtuigend klinken [PCAOB US]. Vergeet dus nooit dat AI niet “weet” wat waar is; het produceert tekst die waarschijnlijk lijkt. Context geven en een goede promptstructuur kiezen verkleint het risico. En je verifieert altijd de AI-output voordat je erop steunt.

De 5 bouwstenen van een sterke auditprompt

Niet iedere prompt is gelijk. Een goede auditprompt bevat vijf onderdelen – vergelijkbaar met wie, wat, waar, hoe en in welk format.

• Rol: Geef aan vanuit welk perspectief de AI moet antwoorden, bijvoorbeeld “Je bent een interne-audit-assistent” of “Handel als een RA met 10 jaar ervaring.”
• Context: Beschrijf het scenario zodat het model niet hoeft te raden. Denk aan branche, doel, brondata of relevante beperkingen.
• Taak (doel): Vertel exact wat de AI moet doen: “identificeer controlldeficiënties”, “schrijf een executive summary”, “vergelijk dataset X met Y en vlag verschillen.”
• Randvoorwaarden: Zet grenzen voor lengte, toon, wat niet is toegestaan, of het gewenste referentiekader. Bijvoorbeeld “maximaal 200 woorden” of “gebruik de COSO-componenten.”
• Output: Geef aan hoe je het antwoord wilt ontvangen: bullets, tabel, stappenplan, JSON, enzovoort.

Door deze componenten mee te nemen, verminder je ruis en vergroot je de kans op bruikbare output.

De “auditpromptformule” (template)

Een handig ezelsbruggetje:

Rol + Context + Doel + Randvoorwaarden + Outputformaat

Voorbeeldprompt
“Je bent een senior audit-assistent gespecialiseerd in IT-controls. De klant is een financiële instelling. Bekijk het meegeleverde user-access-overzicht en identificeer gebruikers met zowel accounting-rollen als IT-adminrechten; dat is in strijd met beleid. Beperk je tot actieve finance-medewerkers. Rapporteer elke gebruiker als bullet met de conflicterende rechten.”

Hiermee zet je meteen de scène (rol en context), formuleer je de opdracht, geef je de data aan, leg je een beperking op en vraag je om een specifiek format. Dat werkt veel beter dan “Kijk of iemand conflicterende rechten heeft.”

Veelgemaakte promptfouten

Zelfs ervaren auditors trappen in een paar klassieke valkuilen. Zo voorkom je ze:

Ontbrekende context

Zonder achtergrond gaat de AI gokken. “Klopt deze berekening?” zonder cijfers levert hooguit een generieke reactie op. Geef dus altijd doel, cijfers en randvoorwaarden mee.

Ongeordende data

Data in één keer in de prompt plakken zonder uitleg werkt averechts. Beschrijf wat de kolommen betekenen of vraag om specifieke patronen. Is de dataset groot? Laat de AI focussen op een subset (bijvoorbeeld bedragen boven €1 miljoen) of lever een representatieve sample aan.

Geen randvoorwaarden of format

Zonder grenzen krijg je soms een lap tekst terwijl je een tabel wilde. Geef daarom explicite beperkingen: “maximaal 4 bullets”, “gebruik COSO”, “lever het antwoord in JSON.”

Vertrouwelijke gegevens delen

Voer nooit herleidbare klantinformatie in een publieke AI-service in. Veel kantoren verbieden dit expliciet en bovendien loop je privacy- of contractrisico. Anonimiseer gegevens of gebruik alleen goedgekeurde interne oplossingen.

Door deze fouten te vermijden – context geven, data structureren, randvoorwaarden opnemen en privacy bewaken – stijgt de kwaliteit van je prompts direct.

Kant-en-klare auditprompts

Pas onderstaande templates aan op je eigen situatie:

1. Risicoanalyse: “Je bent riskspecialist. Noem de top 5 risico’s voor [scenario] gezien [context]. Geef per bullet kort aan waarom het risico materieel is.”
2. Controlewerkzaamheden: “Handel als ervaren auditor. Stel 3 steekproeven of cijferanalyses voor om [controle/assertie] te testen. Context: [beschrijf de maatregel]. Zet bij elke procedure hoe deze het doel toetst.”
3. Procesoverzicht: “Je bent interne-auditassistent. Vat het proces [naam] samen op basis van [bron]. Focus op sleutelstappen en verantwoordelijken. Output als genummerde lijst.”
4. Auditbevinding schrijven: “Je bent schrijfcoach voor auditors. Schrijf een bevinding over [issue]. Context: [beschrijf de geconstateerde situatie]. Neem Criteria, Condition, Cause en Recommendation op.”
5. Walkthrough-vragen: “Je bereidt een walkthrough voor. Formuleer 5 vragen voor de [proceseigenaar] van [proces] om controlemomenten en gaten te achterhalen.”
6. Policy-compliance check: “Je bent complianceauditor. Vergelijk het beleid [X] met standaard [Y] en som eventuele gaps op. Geef elke gap als bullet met een voorgestelde actie.”
7. Contractanalyse: “Je bent contractreview-assistent. Haal de belangrijkste voorwaarden uit het contract (verplichtingen, betaling, beëindiging) en presenteer ze in 5 bullets.”
8. Analytische review uitleg: “Je bent financieel analist. Leg uit waarom [kenngetal] sterk veranderde tussen [periode 1] en [periode 2] voor [klant]. Beschrijf in één alinea de hoofdverklaring en noem twee extra factoren om te onderzoeken.”
9. Data-extractie (SQL/SAP): “Je bent IT-auditor. Schrijf een query om [gegevens] uit [systeem/tabel] te halen (bijv. alle transacties > €10.000 uit Sales Q4). Lever alleen de SQL-query.”

Deze prompts bevatten al rol, context en duidelijke taken; jij vult alleen de specifics in.

Wanneer gebruik je AI juist niet?

AI is krachtig, maar niet overal geschikt. Wees extra voorzichtig in deze situaties:

• Autoritatieve informatie nodig: Heb je exacte citaten uit standaarden of 100% foutloze berekeningen nodig, ga dan naar de brondocumentatie. LLM’s verzinnen soms referenties of citeren onnauwkeurig.
• Auditbewijs of conclusies: AI-output is géén auditbewijs. Je kunt dus niet vragen “Is de jaarrekening juist?” en het antwoord in het dossier stoppen. Bewijs moet uit cliëntdata, bevestigingen of herleidbare berekeningen komen.
• Gevoelige data: Zonder goedgekeurde, afgeschermde omgeving voer je nooit klantnamen, contracten of financiële details in een publiek model in. Het risico op datalekken of privacy-overtredingen is te groot.
• Professioneel oordeel: Overweeg je materialiteit, een gewogen conclusie of twijfel je aan managementintegriteit? Dat blijft mensenwerk. AI kent de context niet en draagt geen verantwoordelijkheid.

Gebruik GenAI als slimme assistent voor efficiëntie en inspiratie, niet als bron van waarheid. Documenteer wanneer je AI inzet, welk hulpmiddel je gebruikte en hoe je de output hebt gevalideerd. Zo blijft je auditdossier robuust en voldoe je aan de verwachtingen van toezichthouders als de AFM.