Hoe IA kan focussen op de meest relevante risico’s
‘Waar maken ze zich druk om?’ Als de toegevoegde waarde van internal audit onder vuur ligt, staat vaak de vraag centraal of de gekozen auditthema’s wel aansluiten op de belangrijkste organisatierisico’s.
De onderbouwing van de gemaakte keuzen wat betreft de gekozen auditthema’s vereist daarom extra aandacht: hoe is de internal auditor deze risico’s op het spoor gekomen en waaruit blijkt dat dit inderdaad de meest relevante risico’s zijn? Een traditionele risicobeoordeling volstaat niet meer om antwoord te geven op deze vragen.
Turbulente en complexe tijden
De huidige dynamiek is onvergelijkbaar met ‘vroeger’, we leven in turbulente en complexe tijden. Wereldwijd wordt dit vaak aangeduid met de term VUCA: de wereld is volatile, uncertain, complex en ambiguous geworden: vluchtig, onzeker, complex en meerduidig. Organisaties worden voortdurend geconfronteerd met de gevolgen daarvan: verandering, transformatie en disruptie is de norm en wie daar niet snel, integraal en flexibel op kan anticiperen en reageren, delft vroeger of later het onderspit.
Om haar relevantie te behouden dan wel te versterken moet internal audit aansluiten op de kansen en risico’s die deze VUCA-wereld in petto heeft voor de organisatie. De eerste en belangrijkste vraag is dan hoe internal audit kan vaststellen wat die kansen en risico’s zijn. Met het oog daarop pleiten wij hier voor een nieuwe aanpak, een aanpak die risico’s niet alleen beoordeelt op kans en impact (de traditionele criteria), maar ook op de snelheid waarmee op die risico’s moet worden gereageerd en op de (oorzakelijke) verbanden die kunnen bestaan tussen de diverse risico’s.
Kwaliteit omhoog
Veel internal auditors werken al risicogericht en het opstellen van een risk assessment ter voorbereiding op het auditjaarplan is dan niets nieuws. Echter, de ervaringen van de afgelopen jaren leren dat de kwaliteit van dit assessment omhoog moet. Met name de COVID-19-pandemie en de Russische inval in Oekraïne laten zien met welke duizelingwekkende vaart risico’s zich kunnen ontwikkelen en ook hoe dergelijke risico’s verbonden zijn met andere risico’s en met praktisch elk aspect van de onderneming of organisatie.
Risico’s benaderen als geïsoleerde en statische (mogelijke) gebeurtenissen heeft in de VUCA-wereld geen toegevoegde waarde meer. Als internal audit echt een bijdrage wil leveren aan het verbeteren van de risicobestendigheid van de organisatie, dan moet de beoordeling van de strategische risico’s van de organisatie – als basis van het auditjaarplan – veel steviger in elkaar zitten.
Netwerktheorieën
Dat kan internal audit doen door gebruik te maken van een risicomanagementbenadering die gebruikmaakt van netwerktheorieën om met elkaar samenhangende risicoclusters te identificeren. Analyse van de clusters laat vervolgens zien welke impact risico’s op elkaar hebben, zodat bijvoorbeeld eventuele domino-effecten aan het licht kunnen komen.
Naast deze verbondenheid kan snelheid als aanvullende risicodimensie worden meegenomen: de tijd die een organisatie heeft om te reageren zodra een risico zich manifesteert. Cyberrisico’s bijvoorbeeld vereisen een relatief grote snelheid van handelen zodra ze zich voordoen. Veranderend consumentengedrag is een voorbeeld van een risico waarbij het minder aankomt op snelheid.
Steviger fundament
Met een verdiepende aanpak langs de hier geschetste lijnen legt internal audit een steviger fundament onder het internal audit jaarplan 2.0. Hierbij kan bijvoorbeeld het dynamic risk assessment (DRA) worden toegepast (zie figuur 1).
DRA heeft aangetoond dat duidelijker en beter beredeneerd kan worden waarom voor bepaalde auditthema’s is gekozen. Dat zijn namelijk de thema’s die verband houden met de belangrijkste strategische risico’s voor de organisatie. Internal audit verschaft zichzelf zo de mogelijkheid haar middelen met maximale efficiëntie in te zetten, namelijk gericht op het beheersen van de risico’s die voor de organisatie het meest relevant zijn.
Over
Ara Hovsepjan MSc is senior consultant bij KPMG Advisory en richt zich op de dienstverlening rondom interne beheersing, risicomanagement en internal audit.
Jeroen Bolt RC is director bij KPMG Advisory en richt zich op de dienstverlening rondom interne beheersing, risicomanagement en internal audit.
Bart van Loon RA CIA is partner bij KPMG en heeft meer dan twintig jaar ervaring op het gebied van risicomanagement, internal control en internal audit.
Reacties (0)
Lees meer over dit onderwerp:
Normenkader sustainability management
Hoe kun je als auditor de organisatie ondersteunen bij het borgen van sustainability (duurzaamheid) binnen de organisatie?
Lees meerZuurstof in het management-controlsysteem
Bij de Rijksoverheid klinkt een steeds luidere roep om meer beleidsruimte voor het decentraal management. Aan de andere kant komen er meer regels die deze ruimte juist beperken. Hoe kan deze paradox hanteerbaar worden gemaakt?
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.