Risk in Focus 2022

In september 2020 verscheen Risk in focus 2022 – Hot Topics for Internal Auditors. Peter Hartog, ad interim-directeur en manager Vaktechniek bij IIA Nederland, vertelt over dé topics van 2022 en de veranderingen ten opzichte van 2021.

De hot topics komen tot stand in Europees IIA-verband. Is de aanpak voor 2022 veranderd?

“De aanpak is, met uitzondering van de Delphi-studie (die in 2021 wel is uitgevoerd), niet wezenlijk veranderd. We zijn weer begonnen met het uitzetten van een survey. Op deze survey hebben we in 2021 meer respondenten gehad dan het jaar daarvoor. Daar zijn we heel blij mee.”

“De survey is de fundering van de risico-inventarisatie en is ieder jaar min of meer hetzelfde om vergelijking in de tijd mogelijk te maken. Zo vragen we vaste risicocategorieën uit. Het tweede deel van de inventarisatie zijn de interviews met CAE’s. Daarmee vertalen we de risicocategorieën naar specifieke hot topics voor het komende jaar; we vullen deze als het ware in. Dit jaar is nieuw dat we ook voorzitters van auditcommissies en CEO’s hebben geïnterviewd. Hiermee krijg je andere invalshoeken dan alleen vanuit auditperspectief.”

“Het belangrijkste is dat een IAF kijkt naar de doelstelling van de organisatie en aan de hand daarvan naar de toprisico’s en de tijd die zij daaraan wil besteden”

Waarom is er geen Delphi-studie uitgevoerd?

“Bij de verschillende IIA-instituten die meededen was onvoldoende capaciteit beschikbaar, mede door COVID-19. Een Delphi-studie uitvoeren kost veel tijd. Het is een intensief traject waarbij deskundigen worden geïnterviewd. Deze deskundigen vinden, vervolgens de interviews afnemen en uitwerken, dat kost veel tijd. In 2023 willen we wel weer een Delphi-achtige studie uitvoeren, in ieder geval experts van buiten erbij betrekken.”

Wat zijn de belangrijkste hot topics voor 2022?

“Iemand zei tegen mij: ‘Als je door de oogharen kijkt dan is het overall thema resilience, weerbaarheid’. Het vermogen van een organisatie om te reageren op veranderingen dus. Dit onderwerp komt ook terug in de ondertitel van het rapport Auditing amid rapid change. Het speelt bij een groot aantal topics als cybersecurity and data security, human capital, diversity and talent management, en climate change and environmental sustainability.”

Welke hot topics zijn gestegen ten opzichte van 2021?

“De belangrijkste stijger in belang is climate change and environmental sustainability. Dit topic wordt de afgelopen jaren steeds belangrijker. Er mag eigenlijk geen auditafdeling meer zijn die niet nadenkt over het onderwerp klimaat. Daarnaast namen topics met een menselijk aspect in belang toe: drie van de topics uit de Top-15 hebben dit aspect in zich.”

Wat valt verder op in de topics van 2022?

“Eerlijk gezegd zijn de uitkomsten op hoog niveau niet heel verrassend, maar zijn de specifieke ontwikkelingen zeker bruikbaar voor de planning van een IAF. Topics met betrekking tot compliance en financieel risico dalen iets, maar blijven hoog scorende topics. Cyber security blijft ieder jaar stijgen, maar dit jaar procentueel wel minder hard. De impact van een cyberaanval blijft natuurlijk groot voor een organisatie. Primaire processen kunnen worden stilgelegd. Daarnaast is er steeds meer aandacht voor klimaatverandering.”

“Als je door de oogharen kijkt dan is het overall thema resilience, weerbaarheid. Dus het vermogen van een organisatie om te reageren op veranderingen”

“Voor het risico business continuity, crisis management and disasters response zijn nu zowel de korte als lange termijn belangrijk. Risk in focus 2020 keek met name naar de korte termijn, via if-…, then…-achtige analyses; Risk in focus 2021 juist naar de langetermijneffecten van gebeurtenissen op de continuïteit. Nu worden beide als het ware gecombineerd.”

Wat is opvallende aan de tijd die een IAF besteed aan een risico?

“Wat opvalt is dat aan nieuwe risico’s relatief weinig tijd wordt besteed en aan traditionele risico’s meer tijd (zie graphic) .

Het kan natuurlijk verschillende redenen hebben om aan risico’s die voor de organisatie zelf minder hoog scoren toch veel tijd te besteden. Mogelijk is de risicoanalyse niet geheel up-to-date, maar het kan ook zijn dat de IAF op die gebieden nog in ontwikkeling is, of dat de organisatie daarvoor andere functies gebruikt, of dat de IAF juist sterk wordt gewaardeerd op de traditionele risico’s, die immers nog steeds hoog scoren.”

“Als een IAF opgesteld is voor de traditionele onderwerpen, zoals de administratieve en frauderisico’s en de governance en control daarop, dan audit een IAF deze onderwerpen. Ik beschouw deze onderwerpen als de hygiënefactoren van de organisatie. Je wint er geen klanten mee, maar het is de basis die een organisatie op orde moet hebben. Het belangrijkste is dat een IAF kijkt naar de doelstelling van de organisatie en aan de hand daarvan naar de top-risico’s en de tijd die zij daaraan wil besteden. Dit kan betekenen dat de scope van de audit gaat veranderen.”

 Wat zijn de belangrijkste ontwikkelingen van de risico’s door de tijd?

“De risico’s die stijgen door de tijd heen hebben voor een groot deel te maken met het menselijk aspect (zie figuur  1). In het rapport wordt dit workforce fatigue and cultural erosion genoemd.

De risicogebieden human capital en cultuur zijn daarin samengenomen. Daardoor zit daar een verscheidenheid aan mogelijke aspecten in. Een aspect is bijvoorbeeld: wat zijn de consequenties van thuiswerken (geweest)? Denk hierbij aan productiviteit, creativiteit en het gevoel erbij te horen als medewerker. Een ander aspect is bijvoorbeeld diversiteit, integriteit en fraude, de zorg om voldoende medewerkers vast te houden en aan te trekken.”

“Een ander mooi aspect vind ik de psychologische veiligheid, dat is voortgekomen uit een onderzoek bij Google naar de effectiviteit van teams. Het onderzoek ging over wat maakt dat een team effectief is. Dat bleek niet te liggen aan de vaardigheden en competenties in de teams, maar met name aan de psychologische veiligheid. Het gevoel dat je niet gestraft wordt als je eens iets probeert of fout doet. Daar moet je dan als auditor toch ook naar kijken als je iets wilt zeggen over de beheersing in termen van het waarborgen dat doelen worden bereikt. ”

“Er mag eigenlijk geen auditafdeling meer zijn die niet nadenkt over het onderwerp klimaat”

Komen er practical guidances?

“Het voornemen is om practical guidances c.q. handvatten te maken voor het onderwerp human capital. We willen deze opstellen voor topics die in belang toenemen maar waar nog weinig ervaring mee is. Het idee is om met verschillende guidances te komen, bedoeld om handvatten te leveren, niet om te vertellen hoe het moet.”

Hoe kan een IAF de topics gebruiken in de organisatie?

“Risk in focus moet gezien worden als een gids, of wellicht menukaart. Deze kan een IAF doorlopen en vervolgens iedere keer de vraag stellen: is het relevant voor de organisatie waar ik werk? Is het antwoord positief, dan is het in beginsel ook relevant voor de IAF.”

“Vervolgens moeten de relevante topics worden besproken met de diverse stakeholders. Daarnaast stelt de CAE zich de vraag of genoeg kwaliteit en kwantiteit aanwezig is om de onderkende topics te auditen. Als blijkt dat een topic steeds belangrijker wordt, dan moet gezorgd worden dat de juiste competenties aanwezig zijn. Aan de hand van de doorkijk in het rapport naar 2025 kan een IAF vaststellen of voor de verwachte belangrijke topics kennis ontwikkeld moet worden.”

Noot

1. www.iia.nl