Hoe IA kan focussen op de meest relevante risico’s

Hoe IA kan focussen op de meest relevante risico’s

Auteur: Bart van Loon RA CIA - Jeroen Bolt RC - Ara Hovsepjan MSc
Beeld: Donald Teel
3 min

‘Waar maken ze zich druk om?’ Als de toegevoegde waarde van internal audit onder vuur ligt, staat vaak de vraag centraal of de gekozen auditthema’s wel aansluiten op de belangrijkste organisatierisico’s.

De onderbouwing van de gemaakte keuzen wat betreft de gekozen auditthema’s vereist daarom extra aandacht: hoe is de internal auditor deze risico’s op het spoor gekomen en waaruit blijkt dat dit inderdaad de meest relevante risico’s zijn? Een traditionele risicobeoordeling volstaat niet meer om antwoord te geven op deze vragen.

Turbulente en complexe tijden

De huidige dynamiek is onvergelijkbaar met ‘vroeger’, we leven in turbulente en complexe tijden. Wereldwijd wordt dit vaak aangeduid met de term VUCA: de wereld is volatile, uncertain, complex en ambiguous geworden: vluchtig, onzeker, complex en meerduidig. Organisaties worden voortdurend geconfronteerd met de gevolgen daarvan: verandering, transformatie en disruptie is de norm en wie daar niet snel, integraal en flexibel op kan anticiperen en reageren, delft vroeger of later het onderspit.

Om haar relevantie te behouden dan wel te versterken moet internal audit aansluiten op de kansen en risico’s die deze VUCA-wereld in petto heeft voor de organisatie. De eerste en belangrijkste vraag is dan hoe internal audit kan vaststellen wat die kansen en risico’s zijn. Met het oog daarop pleiten wij hier voor een nieuwe aanpak, een aanpak die risico’s niet alleen beoordeelt op kans en impact (de traditionele criteria), maar ook op de snelheid waarmee op die risico’s moet worden gereageerd en op de (oorzakelijke) verbanden die kunnen bestaan tussen de diverse risico’s.

Kwaliteit omhoog

Veel internal auditors werken al risicogericht en het opstellen van een risk assessment ter voorbereiding op het auditjaarplan is dan niets nieuws. Echter, de ervaringen van de afgelopen jaren leren dat de kwaliteit van dit assessment omhoog moet. Met name de COVID-19-pandemie en de Russische inval in Oekraïne laten zien met welke duizelingwekkende vaart risico’s zich kunnen ontwikkelen en ook hoe dergelijke risico’s verbonden zijn met andere risico’s en met praktisch elk aspect van de onderneming of organisatie.

Risico’s benaderen als geïsoleerde en statische (mogelijke) gebeurtenissen heeft in de VUCA-wereld geen toegevoegde waarde meer. Als internal audit echt een bijdrage wil leveren aan het verbeteren van de risicobestendigheid van de organisatie, dan moet de beoordeling van de strategische risico’s van de organisatie – als basis van het auditjaarplan – veel steviger in elkaar zitten.

Netwerktheorieën

Dat kan internal audit doen door gebruik te maken van een risicomanagementbenadering die gebruikmaakt van netwerktheorieën om met elkaar samenhangende risicoclusters te identificeren. Analyse van de clusters laat vervolgens zien welke impact risico’s op elkaar hebben, zodat bijvoorbeeld eventuele domino-effecten aan het licht kunnen komen.

Naast deze verbondenheid kan snelheid als aanvullende risicodimensie worden meegenomen: de tijd die een organisatie heeft om te reageren zodra een risico zich manifesteert. Cyberrisico’s bijvoorbeeld vereisen een relatief grote snelheid van handelen zodra ze zich voordoen. Veranderend consumentengedrag is een voorbeeld van een risico waarbij het minder aankomt op snelheid.

Steviger fundament

Met een verdiepende aanpak langs de hier geschetste lijnen legt internal audit een steviger fundament onder het internal audit jaarplan 2.0. Hierbij kan bijvoorbeeld het dynamic risk assessment (DRA) worden toegepast (zie figuur 1).

Figuur 1. Dynamic risk assessment (DRA)

DRA heeft aangetoond dat duidelijker en beter beredeneerd kan worden waarom voor bepaalde auditthema’s is gekozen. Dat zijn namelijk de thema’s die verband houden met de belangrijkste strategische risico’s voor de organisatie. Internal audit verschaft zichzelf zo de mogelijkheid haar middelen met maximale efficiëntie in te zetten, namelijk gericht op het beheersen van de risico’s die voor de organisatie het meest relevant zijn.

 

Over
Ara Hovsepjan MSc is senior consultant bij KPMG Advisory en richt zich op de dienstverlening rondom interne beheersing, risicomanagement en internal audit.

Jeroen Bolt RC is director bij KPMG Advisory en richt zich op de dienstverlening rondom interne beheersing, risicomanagement en internal audit.

Bart van Loon RA CIA is partner bij KPMG en heeft meer dan twintig jaar ervaring op het gebied van risicomanagement, internal control en internal audit.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp:

Gaan de nieuwe GIAS de professie helpen?

IIA heeft de nieuwe Global Internal Audit Standards (GIAS) uitgebracht, die per 9 januari 2025 van kracht zijn. Wat is de kern van de wijzigingen, wat zijn de aandachtspunten bij de implementatie en hoe gaat het GIAS helpen bij het versterken van de professie?

Lees meer