Omarm de digitale strategie

De toenemende digitalisering van onze maatschappij ervaren we elke dag wanneer we het nieuws lezen, onze kinderen naar school brengen en aan het werk zijn. Omdat technologische veranderingen (en met name digitalisering) zoveel impact op onze samenleving hebben en we verwachten dat deze impact nog verder toeneemt, definieerde PwC technologische veranderingen als een van de vijf megatrends.¹

Een megatrend zien we als een macro-economisch en geostrategisch fenomeen, dat significante impact heeft op onze maatschappij en ons economisch en commercieel landschap hervormt. Digitalisering heeft impact op ons gedrag, de verwachtingen van onze stakeholders en de manier waarop we onze diensten leveren aan onze klanten. Maar hoe goed zijn organisaties voorbereid om op tijd de kansen te benutten die digitalisering biedt? Welke risico’s brengt deze megatrend met zich mee? En wat betekent digitalisering voor internal audit? Vragen genoeg om nader te onderzoeken.

De digitaliseringstrend negeren is geen optie als de IAF relevant wil blijven voor haar stakeholders en waarde wil toevoegen aan de organisatie

‘Digital fitness’

Met het jaarlijkse onderzoek naar de zogenaamde ‘state of the internal audit profession’, zoekt PwC naar antwoorden op deze vraagstukken en met name op de rol die internal audit hoort te vervullen (zie kader). De conclusie uit dit onderzoek is dat de mate van ‘digital fitness’ van de internal auditfunctie (IAF) in het groeipad van assurance provider naar een trusted advisor, zich op twee manieren uit. Ten eerste betreft dit de mate waarin de IAF zich kan meten met de rest van de organisatie met betrekking tot kennis van en ervaring met digitalisering. Ten tweede uit de digital fitness zich in de strategie van de IAF en de doorvertaling daarvan in de manier van werken. Met andere woorden, hoe graag adopteert de IAF nieuwe tools en technieken en op welke wijze worden deze gebruikt tijdens de uitvoering van de audits? Immers, als de IAF te ver achterloopt, ontstaan er vanzelfsprekend gaten tussen de lines of defenses en kunnen mogelijke risico’s verborgen of onontdekt blijven in de organisatie. Een ontwikkeling naar een digitale IAF (digital fitness) is in onze ogen noodzakelijk voor de IAF wil zij waarde kunnen toevoegen en relevant blijven.

Het PwC Annual State of the Internal Audit Profession Study
De PwC State of the Internal Audit Profession Study is een jaarlijks onderzoek dat wereldwijd wordt uitgevoerd naar thema’s die relevant zijn voor de ontwikkeling van internal audit. De laatste jaren is bijvoorbeeld de rol van de IAF in het anticiperen op en omgaan met disruptieve gebeurtenissen (2017) en innovatie (2018) onderzocht. Het onderzoek in 2019 had als thema de digitale internal auditfunctie.
De deelnemers aan het onderzoek zijn hoofden Internal audit en de belangrijkste stakeholders van de IAF, zoals leden van de raad van bestuur, de auditcommissie, en tweedelijnsfuncties zoals risk management en compliance. De kwantitatieve resultaten worden gevalideerd met diepte-interviews met deelnemers. Het onderzoek in 2019 resulteerde in meer dan 2000 deelnemers uit 99 landen, waaronder ongeveer 40 respondenten uit Nederland.
Zie voor de volledige studie: www.pwc.com

Een ‘digitale’ functie: talent, technologie en vervagende lijnen

In onze optiek moet een IAF digitalisering omarmen wil zij op termijn waarde kunnen blijven toevoegen en relevant kunnen blijven voor de organisatie. Maar wat is dan een digitale IAF? Uit het onderzoek komen twee invalshoeken naar voren, namelijk:

• Externe oriëntatie – De noodzakelijke vaardigheden en competenties hebben om stakeholders strategisch te kunnen adviseren en assurance te kunnen verlenen met betrekking tot (opkomende) risico’s als gevolg van de digitale transformatie van de organisatie.
• Interne oriëntatie – Het aanpassen van de processen en diensten van de IAF om digitaal en datagedreven te kunnen acteren en zo te anticiperen en te acteren op de risico’s die de digitale transformatie van de organisatie met zich meebrengt.

De combinatie van deze invalshoeken stelt de IAF in staat om digital fit te worden. Echter, de praktijk blijkt weerbarstiger. Uit het onderzoek blijkt dat meer dan de helft van de IAF’s achterlopen in de kansen die digitalisering biedt (in het onderzoek aangeduid als ‘beginner’), zowel ten opzichte van de organisatie als ten opzichte van de tweedelijns risk- en compliancefuncties. Voor de IAF’s is er dus nog voldoende werk aan de winkel.

Zes gedragingen

Wat moet er gebeuren om een inhaalslag te maken? Het antwoord daarop zien we bij de voorlopers. Als we kijken naar de IAF’s die voorlopen in het omarmen van digitalisering (in het onderzoek aangeduid als ‘dynamics’), zien we zes gedragingen die we als succesfactoren hebben geïdentificeerd.

1. Ken en omarm de digitale strategie
   Een digitale IAF begint uiteraard met het kennen van de digitale situatie en -strategie van de organisatie en met het begrijpen wat die strategie voor de organisatie, de systemen en de onderliggende processen betekent. Een auditor kan namelijk geen digitaal proces auditen of erover adviseren als de IAF zelf geen beeld heeft van de digitale transformatie die de eigen organisatie doormaakt. Het omarmen van de digitale strategie betekent ook lef hebben en nieuwe (digitale) technieken durven te beoordelen zonder dat er een uitgekristalliseerd normenkader voor is gedefinieerd en vastgesteld. Door dat te durven, krijgen de dynamics inzicht in de technieken, de wijze van implementatie en gerelateerde risico’s en is de IAF in staat lessons learned te definiëren en te delen met de organisatie. Als gevolg hiervan kunnen de dynamics hun organisatie verder op weg helpen om de opkomende technologieën succesvol te implementeren en te gebruiken.

2. Ontwikkel de noodzakelijke competentie en omarm nieuwe specialisten
   Om goed met de nieuwe technologieën te kunnen omgaan, moet de IAF ook nieuwe competenties opbouwen. De kennis en vaardigheden van de IAF moeten met het steeds meer digitaal worden van de organisatie meegroeien, zodat zij hierover kunnen adviseren en de inzet van deze technieken kunnen beoordelen. Dit kan door bijvoorbeeld de huidige medewerkers verder te ontwikkelen via gerichte trainingen, door nieuwe collega’s aan te nemen die beschikken over specifieke kennis en vaardigheden, of door de noodzakelijke kennis in te huren. Een alternatief kan zijn dat de IAF samen optrekt met de tweedelijnsfuncties om de pool aan digitaal talent binnen de organisatie te vergroten.

3. Zoek de interactie op met de beleidsbepalers van de digitale agenda
   Door goed op de hoogte te zijn van (mogelijke) initiatieven, programma’s en andere ontwikkelingen in de organisatie, kan de IAF beter anticiperen op wat er gaat komen op het gebied van digitalisering. Tegelijkertijd geeft de interactie met beleidsbepalers ruimte aan de IAF om (informele) invloed uit te oefenen, al dan niet gezamenlijk met de tweedelijnsfuncties, door vroegtijdig te adviseren wat betreft opkomende risico’s met betrekking tot de digitalisering van de organisatie. Hierdoor kan er een gedragen standpunt worden ontwikkeld richting opkomende risico’s en de beheersing ervan als gevolg van de digitalisering.

4. Digitaliseer het werkpakket en de werkwijze van de IAF Ook voor de IAF biedt digitalisering en de daarmee samenhangende technieken (zoals data-driven risicobeoordelingen, continuous-monitoringplatformen, populatie testmethoden en realtime dashboards en -reporting) mogelijkheden om de eigen werkzaamheden anders in te richten. Begin hierin bescheiden en schaal daarna op. De IAF behaalt quick wins door activiteiten die repeterend van aard zijn en veelvuldig worden uitgevoerd te automatiseren of door middel van continuous monitoring anders te auditen. Met betrekking tot de digitaleringswerkzaamheden in de lijn: start met het adviseren van het management om de organisatie in gang te krijgen en voeg waarde toe door aan de voorkant van de implementatie betrokken te zijn en in die rol te adviseren over risico- en governancevraagstukken. Naarmate deze zaken meer zijn geïmplementeerd, kan de rol van adviseur worden ingeruild voor die van auditor.
5. Begeleid de organisatie in het proactief omgaan met opkomende risico’s
   Een snel veranderende organisatie vraagt om een dynamische IAF. Evalueer daarom regelmatig het vastgestelde audit jaarplan op basis van ontwikkelingen, interactie met de organisatie en risicobeoordelingen. Focus bij het laatste met name op de ontwikkeling van (opkomende) risico’s, zowel in kans als impact. Naast het flexibel plannen van audits kan de IAF ook audits uitvoeren met de snelheid van de organisatie door bijvoorbeeld audits in sprints uit te gaan voeren volgens een agilemethodologie. De IAF kan dan, terwijl een applicatie of tool wordt uitgerold, meekijken en mogelijke risico’s kunnen al tijdens de implementatie worden opgepakt.

6. Werk samen om tot een gezamenlijke en gedragen visie te komen op digitalisering en de beheersing van mogelijke risico’s
   Digitalisering heeft een dusdanige impact op de organisatie dat er een bredere taak ligt met betrekking tot beheer-sing dan door de IAF alleen. Zoek daarom de interactie op met zowel de eerste als de tweede lijn in het gezamenlijk ontwikkelen van een visie, definities en tooling om opkomende risico’s te beheersen zoals GRC-tools, data analytics en data-lakes. In figuur 1 zijn de resultaten opgenomen van de vragen die we aan de deelnemers hebben gesteld over samenwerking en het opbouwen van de digitale vaardigheden.

Begin vandaag!

De IAF heeft een mandaat en een verantwoordelijkheid voor de organisatie met betrekking tot de beheersing van digitalisering. De trend negeren is geen optie als de IAF relevant wil blijven voor haar stakeholders en waarde wil toevoegen aan de organisatie. Waar kan de IAF vandaag nog mee beginnen? Kijkend naar de zes gedragingen van een IAF die digitally fit is, komen drie kenmerken veelvuldig terug, namelijk talent, technologie en samenwerking.

Talent – Breng de huidige staat van vaardigheden en competenties van de IAF in kaart met betrekking tot digitalisering. Dit betekent niet alleen kennis hebben van digitalisering, maar ook de vaardigheid om met stakeholders het juiste gesprek te kunnen voeren over deze technieken. Als er vaardigheden en competenties ontbreken, bepaal dan of de noodzakelijke kennis kan worden ontwikkeld of extern moet worden aangetrokken.

Technologie – Blijf up-to-date met betrekking tot digitaliseringsinitiatieven binnen de organisatie en met audittools en technieken. Ga na waar op dit moment in het eigen audit-proces al gebruik kan worden gemaakt van digitalisering of automatisering. Ook op deze manier kan worden gezorgd voor het opbouwen van relevante ervaring binnen de IAF.

Samenwerking – Vermijd het denken vanuit silo’s. Start het gesprek met de andere lines of defense om na te gaan hoe zij de digitalisering van de organisatie beoordelen. Ga na of er mogelijkheden zijn om gezamenlijk op te trekken in bijvoorbeeld het ontwikkelen van een gedragen standpunt als het gaat om risico’s (en beheersing) met betrekking tot digitalisering en het ontwikkelen van een gezamenlijk digitaal governanceplatform. Bespreek hoe data governance (assurance) kan worden vormgegeven over kritische aspecten van de data van de organisatie.

Noot

1. PwC onderkent vijf megatrends. Naast technologische veranderingen zijn dat demografische veranderingen; verschuiving in economische macht; versnelling van de verstedelijking en klimaatverandering; grondstoffenschaarste.