Risk in focus
Eind september 2020 verscheen Risk in focus 2021 – Hot topics for internal auditors. Peter Hartog, manager Vaktechniek IIA Nederland, over dé topics van 2021 die internal auditafdelingen kunnen gebruiken voor de risicoanalyse en planning van 2021.
Hoe komen de hot topics tot stand?
“De topics komen tot stand in een Europees onderzoek door de European Institutes Research Group (EIRG). Deze groep bestaat uit tien Europese instituten van internal auditors en onderzoekt wat de belangrijkste risico’s zijn voor organisaties. De hot topics zijn nu voor de vijfde achtereenvolgende keer verschenen. Het belangrijkste doel is het geven van handvatten voor het opstellen van de jaarlijkse auditplanning, zodat een IAF zich richt op de voor de organisatie meest belangrijke risico’s. Om de hot topics vast te stellen zijn drie activiteiten uitgevoerd:
- Een enquête onder 579 CAE’s. Dit is de basis van het onderzoek; de resultaten daarvan worden verdiept met de andere twee activiteiten.
- Interviews met in totaal 42 CAE’s en voorzitters van de auditcommissie.
- Een Delphistudie (voor de eerste keer). In onze Dephistudie is aan 51 experts op het gebied van de topics gevraagd naar de ontwikkeling per topic, de impact daarvan op de organisatie en wat een IAF zou kunnen doen.”
De afgelopen jaren was de focus van de topics sterk gericht op wát de IAF gaat auditen en minder op het hóe. Daarom is dit jaar het onderzoek uitgebreid met practical guidance. Er zijn drie risicogebieden geselecteerd die belangrijk zijn, (sterk) in ontwikkeling zijn en waar de IAF nu nog relatief weinig aandacht aan besteedt. Die drie zijn cybersecurity, macro-economische ontwikkelingen en klimaatverandering. In de guide staan onder andere normenkaders en casestudies; zij zijn via een webinar gepresenteerd en toegelicht. Daarnaast passen we vanuit IIA Nederland ons trainingsprogramma aan waar nodig, zodat we op alle gebieden ondersteuning bieden.”
“Het rapport is echt geschreven met handvatten voor de auditjaarplanning, dat hebben de andere rapporten niet”
Hoe komt de enquête tot stand?
“De enquête bestaat uit een door de EIRG vastgestelde lijst met risicogebieden. In de enquête wordt vervolgens gevraagd wat de Top-5-risico’s zijn volgens de CAE, nu én over drie jaar. Ook wordt gevraagd naar de Top-5 in tijdsbesteding, zodat een vergelijking kan worden gemaakt tussen het relatieve belang van de risico’s en de tijd die de IAF daaraan besteedt. De lijst is in principe ieder jaar hetzelfde zodat de uitkomsten over de jaren heen vergeleken kunnen worden. Dit jaar is wel een nieuw risico, disaster en recovery, toegevoegd. Dat was nog voor de coronacrisis, maar dat scoorde mede daardoor wel direct hoog. De risico’s zijn vrij breed en algemeen van aard. Door de interviews en de Delphistudie worden deze verder ingevuld.”
Wat zijn de belangrijkste hot topics van 2021?
“De Top-3 is eigenlijk niet gewijzigd: informatiebeveiliging, wet- en regelgeving en digitalisering. Maar corona is een belangrijke factor die eigenlijk alle topics heeft beïnvloed. Dit is ook niet zo vreemd. Het onderzoek is uitgevoerd in april van dit jaar, het hoogtepunt van de pandemie. De risicogebieden die zijn geraakt door corona hebben hoog gescoord. Denk hierbij aan informatiebeveiliging en de risico’s van thuiswerken, maar ook de financiële risico’s, met name de liquiditeit. De gevolgen en risico’s van corona hebben helaas ook hun effect in 2021. In 2020 heeft corona er ook voor gezorgd dat de auditplanning door gewijzigde risico’s is aangepast. Het is daarom belangrijk om de planning flexibel te houden. Het is belangrijk dat een IAF tussentijds kijkt naar de actuele risico’s en daar de planning waar nodig op aanpast.”
Wat zijn nog meer risico’s waar een IAF rekening mee moet houden?
“De IAF dient ook rekening te houden met externe risico’s als disasters, klimaatverandering en de macro-economische en geopolitieke onzekerheid. Deze risico’s kunnen niet worden beïnvloed, zijn lastiger te voorspellen en moeten dus op een andere manier worden beheerst. Een organisatie moet snel op deze risico’s kunnen acteren. Ik denk dat resilience en adaptability, ofwel weerstands- en verandervermogen, twee centrale begrippen in dit rapport zijn. Deze zijn essentieel voor de organisatie om op de diverse risicogebieden de continuïteit te borgen, en zouden dus ook door de IAF moeten worden onderzocht. Ook wil ik de klimaatverandering benadrukken. Zoals je in figuur 1 kunt zien wordt dit als een toprisico benoemd, maar een waar een IAF nog niet veel capaciteit aan besteed.1 De verwachting is wel dat dit over drie jaar veel meer zal zijn. Overigens kan dit figuur door een IAF goed gebruikt worden om de huidige auditwerkzaamheden te evalueren. De vraag is of je als IAF aansluit bij de meest belangrijke risico’s voor de organisatie en dus de zorgen van een raad van bestuur, als er relatief veel aandacht wordt gegeven aan de voor de organisatie minder belangrijk risico.”
Is er ook nog inzicht in de verschillen per land?
“Nederland scoort relatief hoog op zachte aspecten als corporate culture en op de ‘nieuwere’ risico’s als digitalisering en klimaatverandering. We lopen daarin voor, denk ik. Wij besteden relatief minder tijd aan finance en compliance, de traditionele auditgebieden. Wat ook meespeelt is dat we in Nederland de RO-opleiding hebben, die is erg breed van karakter.”
Ieder jaar verschijnen diverse risicorapporten. Wat zijn de verschillen?
“Het hot-topicsrapport is opgesteld vanuit een auditperspectief, omdat de input geleverd wordt door CAE’s. Andere rapporten, zoals van Gartner en Protiviti, zijn algemener. De combinatie van enquête, interview en Delphimethodiek is sterk. Door deze methodiek te gebruiken wordt het rapport aangevuld met informatie van experts op de verschillende risicogebieden. En het belangrijkst is dat het rapport echt is geschreven met handvatten voor de auditjaarplanning, dat hebben de andere rapporten niet.”
Noot
- Bron: Risk in Focus 2021: Hot topics for internal auditors, ECIIA, IIA Nederland, 2020.
Over
Peter Hartog is manager Vaktechniek bij IIA Nederland en doceert aan de ESAA. In het verleden werkte Hartog onder andere bij de SVB, ACS en KPMG.
Reacties (0)
Lees meer over dit onderwerp:
Transport van waarde: een no risk policy
Hoe beheers je de risico’s van bijvoorbeeld ruim 1,4 miljoen transportbewegingen waarbij geld van A naar B wordt gebracht? Audit Magazine sprak met operationeel directeur Ab van Eck en security & risk manager Gert Vos van G4S Cash Solutions.
Lees meerPrivacy: mens en organisatie vragen voortdurend aandacht
Hoe kunnen we adequaat onze privacygevoelige gegevens beschermen en financiële en reputatieschade voorkomen? In dit artikel aandacht voor de organisatorische en menselijke componenten.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.