Risk in Focus 2023

Risk in Focus 2023

Auteur: Drs. Margot Hovestad RO RE
Beeld: Elisabeth Beelaerts
7 min

In september 2022 verscheen het rapport Risk in Focus 2023 waarin de belangrijkste risico’s zijn geïnventariseerd voor 2023. Het is bedoeld als hulpmiddel voor het opstellen van de auditplannen voor 2023. Peter Hartog, directeur IIA Nederland, en Sam Huibers, manager Vaktechniek IIA Nederland over dé vijf topics van 2023.

Hoe zijn de hot topics voor 2023 tot stand gekomen?

Peter Hartog (PH): “We wilden met alle veertien deelnemende IIA’s het proces met betrekking tot de hot topics veranderen, van een eenmalig jaarlijks rapport naar een community met een meer continue evaluatie en interactieve bespreking. De afgelopen jaren werd een rapport gepubliceerd waarin de resultaten van de enquête en de gesprekken met de chief audit executies (CAE) werden gepresenteerd. Twee jaar gelden hebben we daarnaast practical guidances gemaakt voor een aantal belangrijke, sterk in ontwikkeling zijnde topics. De eerste stap richting het nieuwe proces is dat dit jaar voor het eerst een deel van het onderzoek bestond uit vier round tables met tien CAE’s. Tijdens deze bijeenkomsten hebben zij met elkaar gesproken over vier hot topics en wat de rol van de IAF hierbij kan zijn.”

Peter Hartog: “Het voordeel van de round tables is dat er meer interactie is. In de toekomst willen we hierbij ook graag subject matter experts laten aansluiten”

Hoe is de samenstelling van de round tables bepaald?

PH: “Deze round tables waren samengesteld uit CAE’s die door de verschillende deelnemende IIA-instituten zijn uitgenodigd. Zo heb ik een aantal CAE’s vanuit Nederland uitgenodigd waarvan ik weet dat zij met een bepaald onderwerp veel ervaring hebben.”

Is de opzet voor de rest hetzelfde gebleven?

PH: “We hebben zoals ieder jaar een enquête uitgezet. Daarnaast hebben we negen interviews gehouden met subject matter experts. Alleen het onderdeel van de round tables is nieuw. Het voordeel van deze round tables is dat er meer interactie is. In de toekomst zouden we hierbij ook graag subject matter experts willen laten aansluiten, dus mensen buiten audit die specifieke kennis hebben over een topic.”

Figuur 1. Top-5 risico’s over drie jaar

En het rapport zelf?

PH: “Het rapport is dit jaar ook anders opgezet. De afgelopen jaren werd een beschrijving gegeven van de Top-10 belangrijkste risico’s waarna deze allemaal verder werden uitgewerkt. Dit jaar is ervoor gekozen om er vier thema’s uit te lichten die zijn besproken in de round tables. Het gaat om de thema’s:

  1. Climate change and environmental sustainability;
  2. Human capital, diversity and talent management;
  3. Cybersecurity and data security;
  4. Digital disruption and new technology.”

Waarom deze vier thema’s?

PH: “We hebben gekozen voor de belangrijkste en meest vernieuwende thema’s. Cybersecurity and datasecurity, en digital disruption and new technology zijn twee thema’s die de afgelopen jaren hoog scoorden in het onderzoek en waar we van verwachtten dat deze ook dit jaar weer hoog zouden scoren. De andere twee thema’s worden steeds belangrijker en zijn een nog relatief onontgonnen auditobject van een IAF. Zo staat human capital op nummer twee qua risico’s dit jaar. Dit heeft te maken met diverse aspecten die nu in de maatschappij spelen. Denk aan schaarste op de arbeidsmarkt, diversiteit en inclusie.”

Peter Hartog: “Wat we dit jaar ook weer zien is dat een IAF de meeste tijd besteedt aan de traditionele risico’s en relatief weinig tijd aan de strategische en de zachte risico’s”

Sam Huibers (SH): “Feitelijk worden vijf thema’s behandeld in het rapport. Naast de vier genoemde thema’s wordt ook nog het thema macroeconomic and geopolitical risico behandeld. Door de oorlog in Oekraïne en de COVID-19 pandemie heeft dit thema veel gewicht gekregen. Door de pandemie is hybride werken gemeengoed geworden, met gevolgen voor de cultuur en cybersecurity. De oorlog in Oekraïne heeft duidelijk gemaakt dat bedrijven in een supply chain meer risico lopen. Daarnaast lopen bedrijven in verband met de sancties tegen Rusland compliancerisico’s. Het macroeconomic and geopolitical risico is eigenlijk een soort overkoepelend risico.”

Zijn er nog andere veranderingen die jullie willen doorvoeren?

PH: “De volgende verandering die we willen doorvoeren is dat we toe willen naar een meer continu proces van het kijken naar risico’s. Dit willen we doen door regelmatig round tables te organiseren en te kijken naar de ontwikkelingen van risico’s in de loop van het jaar. Het moet een meer continu proces worden van kennis delen tussen deskundigen. Het rapport blijft wel jaarlijks verschijnen.”

Komen er nog practical guidances zoals vorig jaar?

PH: “De intentie is dat er guidances komen, en dan in de vorm van webinars, die met name zullen gaan over de vraag hóe de verschillende thema’s te auditen. Qua planning wordt op dit moment gedacht aan eind 2022/januari 2023. Deze zullen voor elk van de vijf thema’s worden georganiseerd, getrokken door de diverse IIA’s, maar in een gelijke vorm. We betrekken daarbij de deelnemers van de round tables die ook input hebben gegeven over het betreffende thema.”

Sam Huibers: “De oorlog in Oekraïne heeft bijgedragen aan een stijging van het macroeconomic and geopolitical risico. Echter, een IAF besteedt over het algemeen (nog) niet veel tijd aan dit risico”

SH: “Daarnaast wordt bijvoorbeeld voor climate change and environmental sustainability verwezen naar de reeds bestaande guidance van IIA Nederland. Het doel van deze guidance is IAF’s handvatten te bieden om dit risico te auditen. Op dit moment ligt de focus op de ontwikkeling van KPI’s en de betrouwbaarheid daarvan. Er zijn ook IAF’s die aangeven dat dat een onderwerp is voor de externe accountant en zelf het risicomanagement en de beheersing auditen.”

Wat zijn belangrijke inzichten voor 2023?

SH: “Zoals gezegd heeft de oorlog in Oekraïne bijgedragen aan een stijging van het macroeconomic and geopolitical risico. Dit risico staat in 2023 op nummer drie, dat was in 2022 nummer zeven. Echter, een IAF besteedt over het algemeen (nog) niet veel tijd aan dit risico. Wat we dit jaar ook zien is een lichte stijging in tijdbesteding door een IAF aan het risico human capital, diversity and talent management. Dit komt doordat IAF’s steeds meer aandacht hebben voor organisatieculturen, hybride werken en inclusie.”

PH: “Daarnaast zien we dat digital disruption and new technology gedaald is van de tweede naar de vijfde plaats. De verwachting is dat dit een kleine dip is; we zien dat de inschatting van het belang hiervan over drie jaar weer toeneemt. De huidige daling kan komen door de schaarste op de arbeidsmarkt en de aandacht voor andere topics, zoals de geopolitieke problemen.”

Wat valt op qua tijdbesteding van een IAF op de thema’s?

PH: “Wat we dit jaar ook weer zien is dat een IAF de meeste tijd besteedt aan de traditionele risico’s en relatief weinig tijd aan de strategische en de zachte risico’s. Dat kan een bewuste keuze zijn, maar ook een groeipad; hopelijk geeft dit rapport hiervoor handvatten.”

Figuur 2. Top-5 risico’s waar internal audit de meeste tijd aan spendeert

PH: “De verwachte tijdsbesteding aan het macroeconomic and geopolitical risico is van de vijftiende nu naar de dertiende plaats over drie jaar gegaan; ondanks dat het een hot topic is, wordt er dus maar heel weinig tijd aan besteed. De vraag is of dat niet meer zou moeten zijn gegeven het strategisch belang. Het risico climate change and environmental sustainability stijgt snel. Nu staat dit risico op nummer elf, maar de verwachting is dat dit over drie jaar de vierde plek is. Het is hierbij wel belangrijk dat de IAF zich niet beperkt tot alleen werkzaamheden met betrekking tot compliance en reporting. Er moet ook gekeken worden naar het hele systeem van governance, risico’s en compliance.”

Sam Huibers: “Jonge mensen zijn kritischer en willen alleen werken voor een bedrijf als ze achter de doelstellingen staan van het bedrijf”

SH: “Dit is ook naar voren gekomen in de round tables. Het begint met governance. Daarnaast is het een uitdaging om de audit skills op het juiste niveau te krijgen met betrekking tot dit thema. Dit geldt ook voor het risico digital disruption and new technology, denk hierbij aan algoritmes en machine learning. Auditors moeten voldoende kennis en ervaring hebben om dit te auditen, maar ook om het binnen een IAF te gebruiken.”

PH: “Een belangrijke vraag hierbij, ook voor een IAF, is bijvoorbeeld de werking van algoritmes/machine learning. Hier mogen geen biases inzitten.”

En het belang van het thema human capital, diversity en talent management?

SH: “Ja, talent management geldt zowel voor de organisatie als de IAF. In de maatschappij speelt de vergrijzing. Daarnaast zijn er diverse nieuwe ontwikkelingen en projecten waar specifieke kennis voor nodig is en dat is een uitdaging. Ook zijn jonge mensen kritischer en willen zij alleen werken voor een bedrijf als ze achter de doelstellingen staan van dit bedrijf. Daarbij zijn diversiteit, gelijkheid en inclusie tegenwoordig thema’s in elke organisatie, ook in het kunnen aantrekken van de gewenste medewerkers.”

Het huidige thema van Audit Magazine is cyber resilience. Dit is ook een van de thema’s in Risk in Focus.

SH: “Dit is het nummer een-risico, hier wordt ook de meeste tijd aan besteed door een IAF. Het gaat dan bijvoorbeeld om het reviewen van cyberbeleid en het auditen van toegangsrechten. Met betrekking tot toegangsrechten kan een bedrijf reputatieschade oplopen. Belangrijk is om vast te stellen of iedereen die toegang heeft tot een systeem dat ook echt nodig heeft. Daarnaast is er ook een data-element wat betreft risico en data heeft raakvlakken met verschillende risico’s. Bij het risico climate change and environmental sustainability gaat het ook over de betrouwbaarheid van rapporten en daarmee over de onderliggende data. Een IAF moet niet alleen kijken of er gerapporteerd wordt over de verplichte onderwerpen, maar ook naar de beheersing en governance van data. Daar ligt nog een uitdaging, en dan met name om dit bij de board op tafel te krijgen.”

PH: “Daarnaast blijft cybersecurity een rat race. Een rat race tussen het beveiligen van de bedrijfssystemen en de hackers. Zeker ook omdat ransomware software tegenwoordig eenvoudig online gekocht kan worden.”

Over
Peter Hartog is directeur bij IIA Nederland en doceert aan de ESAA. Daarvoor was hij manager Vaktechniek bij IIA Nederland en werkte hij onder andere bij de SVB, ACS en KPMG.

Sam Huibers is sinds 1 juli 2022 manager Vaktechniek bij IIA Nederland. Daarvoor werkt hij onder andere bij Upfield en Heineken in diverse auditrollen.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (1)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp: