De technologische transformatie van de IAF
Digitalisering en de daarmee samenhangende opkomst van de datagedreven economie hebben een grote invloed op de internal auditfunctie (IAF). Dit artikel biedt inzicht in de kansen en uitdagingen van technologie, maar ook in de mate waarin IAF’s worstelen met de adoptie van technologie, data en innovatie. Een opgenomen casusbeschrijving biedt inspiratie en praktische handvatten.
Digitalisering heeft een enorme invloed op de samenleving, economie en organisaties, maar ook op ons sociale leven en op onszelf als individu. Digitale technologie ontwikkelt zich steeds sneller en wordt op allerlei innovatieve manie ren gecombineerd. De voortdurende ontwikkeling van onze communicatie-infrastructuur en de productie van enorme hoeveelheden data (dataficering) zorgen ervoor dat data een belangrijk strategisch activum zijn geworden. Deze ontwikkeling leidt tot nieuwe toepassingen en nieuwe verdien modellen, die vervolgens weer leiden tot de veelbesproken disruptie van sectoren in onze economie en tot vraagstukken op het gebied van cyberveiligheid, privacy, inclusiviteit, et cetera.
Impact van digitalisering op de bestuursagenda
In recente onderzoeken naar de risico’s waar topmanagers en toezichthouders wakker van liggen, wordt de ranglijst aangevoerd door aan digitalisering gerelateerde risico’s. In het rapport Risk in Focus 2020 (IIA, 2019) bijvoorbeeld, staan cybersecurity en privacy bovenaan in de lijst van hot topics, en digitalisering en disruptie van businessmodellen op nummer drie. Uit een recent onderzoek van Protiviti in 2019 onder 825 topmanagers blijkt een vergelijkbaar beeld, waarbij de volgende onderwerpen in de Top-10 staan: concurrentie van digitale ondernemingen, cyberdreigingen, snelheid van innovatie en disruptie, privacy en security, en onvermogen om data te benutten.
Impact van digitalisering op de internal auditfunctie De IAF blijft niet van deze ontwikkelingen verschoond. Digitalisering brengt niet alleen nieuwe risico’s met zich mee, maar ook bestaande risico’s kunnen ingrijpend wijzigen. Het is de taak van de IAF om over de mate van beheersing van deze risico’s aanvullende zekerheid te geven. Tegelijkertijd biedt digitalisering de IAF een uitgelezen kans om haar werkwijze te moderniseren en haar toegevoegde waarde te verhogen. De belangrijkste reden hiervoor ligt in de toenemende beschikbaarheid van data en tools en technieken om enerzijds werkprocessen te automatiseren en anderzijds data te analyseren en daaruit waardevolle inzich ten te destilleren voor de belangrijkste stakeholders.
Uit wetenschappelijk onderzoek blijkt dat de toepassing van informatie technologie door auditors lager is dan mag worden verwacht
Digitalisering als object van audits
Uit eigen onderzoek onder chief audit executives (CAE’s) van negentien Europese multinationals blijkt dat de belang stelling van het audit committee voor het oordeel van de IAF over aan technologie gerelateerde risico’s de afgelopen jaren sterk is toegenomen. Niet alleen wordt van de IAF verwacht dat deze inzicht geeft in de mate waarin deze risico’s worden beheerst, maar ook dat zij een proactieve rol speelt bij het in kaart brengen van toekomstige risico’s en noodzakelijke beheersmaatregelen. Het werkterrein is daarmee verbreed en we zien dat in toenemende mate audits worden uitgevoerd naar uiteenlopende technologiegerelateerde onderwerpen als cybersecurity, privacy, disruptie, robotisering (RPA), cloud, procesbesturingssystemen, grote technologieprojecten, agileprocessen, devops, algoritmen en artificial intelligence.
Technologie en data als hulpmiddel bij audits
Naast een verbreding van de scope van de werkzaamheden verandert ook de manier waarop de IAF deze werkzaamheden kan uitvoeren, bijvoorbeeld door het gebruik van auditsoftware voor planning, digitale dossiervorming en monitoring van auditbevindingen. Door middel van robotic process automation (RPA) kunnen eenvoudige, repetitieve controletaken worden geautomatiseerd. Daarnaast zijn steeds betere tools beschikbaar om data te analyseren. Deze tools variëren van ACL of IDEA, SQL querytools, PowerBI tot analyseomgevingen als SAS, SPSS of Alteryx. In sommige organisaties kan de IAF daarbij meeliften op gemeenschappelijke data lakes of data warehouses. Tot slot kan process mining worden ingezet, waarbij ERP-systemen kunnen worden geanalyseerd om zicht te krijgen op de werkelijke processen, transactiestromen en op de mate van effectiviteit van beheersmaatregelen.
Ontwikkeling gaat niet snel genoeg
Is de hiervoor genoemde technologische transformatie ook daadwerkelijk waarneembaar bij IAF’s? Vanuit verschillende richtingen komt het geluid dat de ontwikkeling er wel is, maar zeker niet snel genoeg gaat. Het IIA heeft in 2018 het studierapport The Internal Audit Transformation Imperative uitgebracht, waarin wordt geconstateerd dat organisaties geconfronteerd worden met steeds grotere en impactvollere (technologische) disrupties. Daarin is aan CAE’s de oproep gedaan om sneller en met een grotere flexibiliteit hierop in te spelen. Obstakels hierbij zijn beperkte resources, de complexiteit van de organisatie en onrealistische verwachtingen van het management. In 2019 wees het IIA op het bestaan van een zogenoemde risk-audit gap: IAF’s besteden een groot deel van hun tijd aan het toetsen van de beheersing van risico’s die in beperkte mate belangrijk worden gevonden (waaronder risico’s rond financiële beheersing) en relatief weinig tijd aan relevante risico’s (waaronder disruptie). Kennelijk blijven IAF’s in hun traditionele werkzaamheden hangen en hebben zij moeite over te schakelen naar de nieuwe werkelijkheid.
Uit wetenschappelijk onderzoek blijkt bovendien dat de toepassing van informatietechnologie door auditors lager is dan mag worden verwacht. Als redenen worden genoemd het gebrek aan vertrouwen in de eigen vaardigheden, het onvoldoende stimuleren van nieuwe technologieën door organisaties, ontoereikende infrastructuur en te hoge verwachtingen ten aanzien van het te bereiken auditresultaat. Ook de grote accountants- en advieskantoren concluderen in hun jaarlijkse onderzoeksrapporten dat de adoptie van nieuwe technologieën en dat de vertaling daarvan naar nieuwe werkwijzen door IAF’s traag verloopt en dat een roadmap voor innovatie ontbreekt.
Belemmerende factoren voor snellere adoptie
Uit eigen onderzoek, waarbij gesprekken zijn gevoerd met CAE’s en medewerkers van IAF’s van meer dan twintig verschillende organisaties, alsmede uit explorerend onderzoek bij een aantal (middel)grote IAF’s, blijkt een grote diversiteit in de wijze waarop IAF’s met de hiervoor geschetste ontwikkelingen omgaan. IAF’s worstelen met het invullen van de technologische transformatie, maar ook met het incorporeren van technologie en data-analyse in het auditproces zelf. Belemmerde factoren zijn onder meer beperkingen in kennis en vaardigheden, budget, steun van topmanagement, beschikbaarheid en kwaliteit van data, infrastructuur en goede tools en een lage bereidheid om een nieuwe manier van werken te omarmen.
Het werven en behouden van het juiste talent met de juiste competenties wordt door vrijwel alle IAF’s als de grootste uitdaging van dit moment gezien. Het blijkt niet alleen moeilijk om nieuw talent met de juiste competenties te vinden en aan te trekken, zoals data scientists, maar ook om de bestaande competenties binnen de IAF af te stemmen op de eisen die de huidige omstandigheden daaraan stellen. Specialisatie is daarbij onvermijdelijk, waarbij moet worden opgemerkt dat de technologie zo snel verandert, dat het zelfs voor specialisten niet gemakkelijk is om hun kennis op peil te houden. Het opbouwen van nieuwe competenties betekent in veel gevallen een uitbreiding van de capaciteit, waarvoor echter lang niet altijd middelen beschikbaar zijn. Een alternatief is co- of outsourcing, maar los van het feit dat de juiste kennis niet altijd in de markt voor handen is, is een nadeel hiervan dat de IAF geen in-house kennis en vaardigheden opbouwt.
Daarbij is het incorporeren van technologie en data in het auditproces een kwestie van experimenteren en volharden. In de praktijk blijkt dat het ontsluiten, combineren en analyseren van grote hoeveelheden gestructureerde en ongestructureerde data uit een groot aantal verschillende bronnen geen sinecure is, net zoals het doorgronden van algoritmen. Efficiencywinst treedt pas op als analyses geautomatiseerd en herhaald kunnen worden.
Tot slot komt ook het beeld naar voren dat het vasthouden aan de bestaande, veilige manier van werken en het vaak wat behoudende karakter van de beroepsgroep obstakels kunnen vormen voor de noodzakelijk geachte vernieuwing. Met name IAF’s van grote financiële en overheidsinstellingen zetten serieuze stappen en werven op aanzienlijke schaal IT-en data-sciencespecialisten. De samenwerking tussen deze specialisten en internal auditors verloopt echter niet altijd vanzelf. De specialisten kunnen zich niet altijd verplaatsen in de werking van bedrijfsprocessen en beheersmaatregelen, laat staan het auditen daarvan. Omgekeerd is het voor internal auditors niet eenvoudig om de complexe wereld van technologie en data-analyse te doorgronden en vragen te formuleren die de specialisten op basis van hun analyses kunnen beantwoorden.
IAF’s dienen durf te tonen, te experimenteren met kleine haalbare initiatieven en te investeren in kennis en vaardigheden
Casus ADR: toepassing van technologie en data-analyse in het auditproces
Hoewel innovatie langzaam gaat, zijn er ook voorbeelden van organisaties die technologie en data-analyse succesvol in het auditproces hebben geïncorporeerd. Zoals Auditdienst Rijk (ADR), de onafhankelijke internal auditor van de Rijksoverheid en de auditautoriteit in Nederland voor de Europese Commissie. De ADR werkt in opdracht van alle ministeries en doet, vanuit de wettelijke taak of vraaggestuurde dienstverlening, onderzoek op het gebied van financiële, organisatie- en IT-vraagstukken en het beheer van Europese geldstromen. Bij de ADR werken 150 IT-auditors en 20 data scientists op een totaal van circa 650 medewerkers.
De afgelopen jaren zijn diverse ontwikkelingen in gang gezet om een IT- en datagedreven controleaanpak en modernisering van het auditproces te realiseren. Een belangrijk onderdeel hiervan was het ontwikkelen en inzetten van data-analyse door het centrale ADR analyticsteam. Waar initieel het realiseren van de technische randvoorwaarden centraal stond, ligt de focus nu op het uitdragen van mogelijkheden van data-analyse binnen audits, het ontwikkelen van nieuwe analyses en het praktisch ondersteunen van de auditors.
In de ADR analyticsomgeving worden data ontsloten vanuit meerdere bronsystemen, zoals SAP, Oracle en Exact, maar ook enkele Rijksbrede systemen en openbare data, zoals SAP security-notes. Deze ruwe data worden aan elkaar gekoppeld en in zogenaamde datakubussen opgeslagen, die op twee manieren worden ontsloten voor de auditors: 1) door middel van gebruiksklare analyses en 2) met behulp van voor de auditors beschikbare tooling (SQL, R, Python, IDEA, et cetera), waarmee zij zelf vervolganalyses kunnen maken. Ter illustratie behandelen we twee voorbeelden van informatie producten die beschikbaar zijn voor auditors.
Vergelijkende cijfers
Het informatieproduct ‘vergelijkende cijfers’ geeft een overzicht van diverse cijfers per onderdeel van de begroting per maand. Dit gaat om realisatiecijfers per maand van het huidige jaar, het vorige jaar, de begroting van het huidige jaar en een voorspelling van het verdere verloop van het huidige jaar, waarbij gebruik wordt gemaakt van gesignaleerde seizoentrends. Door deze informatie overzichtelijk te presenteren is het voor de internal auditors inzichtelijk waar de grootste materiële stromen zitten, of er grote afwijkingen zijn ten opzichte van voorgaande jaren en of er mogelijk sprake gaat zijn van onder- of overuitputting ten opzichte van het beschikbare budget. Hierdoor kunnen cijferbeoordelingen meer effectief en efficiënt worden uitgevoerd.
Data-analyse
ADR gebruikt daarnaast ook data-analyse om de werking van beheersmaatregelen te kunnen beoordelen, bijvoorbeeld op het gebied van informatiebeveiliging. Om te kunnen controleren welke security notes van SAP zijn geïnstalleerd op een specifiek SAP-systeem, kunnen de geïnstalleerde packages worden uitgelezen. Vervolgens wordt dit vergeleken met de door SAP gepubliceerde notes, die als open data beschikbaar zijn. Door beide overzichten in de datastraat te verwerken en aan elkaar te koppelen, ontstaat met mini male manuele handelingen periodiek een overzicht van de verschillen tussen de beschikbare en geïnstalleerde security notes. IT-auditors maken bij het controleren van general IT controls gebruik van dit overzicht en kunnen direct onder zoek doen naar de achterliggende oorzaken van eventuele afwijkingen.
Conclusie en handreiking
Digitalisering leidt tot een veranderend risicobeeld voor organisaties en tot een verbreding van het werkterrein en de scope van de werkzaamheden van de IAF. Tegelijkertijd stelt digitalisering de internal auditor in staat het werk beter, sneller en met meer diepgang te doen, zodat de IAF meer toegevoegde waarde kan leveren aan haar stakeholders. Hoewel IAF’s vooruitgang boeken bij het incorporeren van digitalisering in de audit universe en auditaanpak, is het tempo van innovatie niet hoog genoeg om de ontwikkelingen bij te houden. IAF’s worstelen met het toepassen van technologie binnen de auditaanpak en het ontsluiten van data: het vereist specifieke kennis en expertise die schaars en moeilijk te verkrijgen en te behouden lijkt.
Om relevant te blijven in een digitale wereld dienen IAF’s durf te tonen, te experimenteren met kleine haalbare initiatieven en te investeren in kennis en vaardigheden in en voorzieningen voor het gebruik van technologie en data binnen het auditproces (zie tabel 1). Naast commitment en support van de raad van bestuur en het audit committee, vereist dit ook een daadwerkelijke investering in termen van geld en menselijke capaciteit.
Dit artikel is een bewerkte versie van het artikel ‘Digitalisering en de impact op de internal auditfunctie’ dat eerder verscheen in het Maandblad voor Accountancy en Bedrijfseconomie, jaargang 94.
Over
Prof.dr. E.E.O. Roos Lindgreen RE is hoogleraar Data Science in Auditing aan de UvA, programmadirecteur van het Executive Programme of Digital Auditing en de Executive MSc of Internal Auditing en verantwoordelijk voor het Institute of Executive Programmes van de Amsterdam Business School.
Drs. M.O.J. Vlak RO CIA EMITA is zelfstandig audit-, risk- en complianceprofessional en daarnaast programmadirecteur bij de post-masteropleiding Internal Auditing & Advisory aan de Erasmus Universiteit Rotterdam.
Ir. A. Verkerke CAP is data scientist bij Auditdienst Rijk (ADR).
Reacties (0)
Lees meer over dit onderwerp:
De ‘perfect storm’ in de energiemarkt
Een combinatie van ontwikkelingen zorgde in de energiemarkt voor hoge afwaardering van activa en het onder druk komen te staan van businessmodellen. Een aantal ontwikkelingen en effecten hiervan voor Vattenfall en de interne auditfunctie
Lees meerWanneer kan men spreken van in control zijn?
In control zijn is een term die veelvuldig gebruikt wordt in organisaties. Dit artikel verschaft helderheid met zes zienswijzen over in control zijn, inclusief per zienswijze enkele beperkingen.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.