Terugblik bijeenkomst IIA PAS en NBA LIO 26 juni

‘Top 10 considerations for 2017’

De PAS Commissie van het IIA en de Ledengroep Intern en Overheidsaccountants (LIO) van het NBA organiseren regelmatig gezamenlijk een verdiepingssessie voor kleine internal auditafdelingen. Deze keer staat het onderwerp ‘auditrisico’s voor kleine IAF’s’ op het programma. De basis voor deze risico’s komen voort uit het rapport van KPMG ‘Top 10 considerations for 2017’.

Het eerste deel van de sessie is met de voltallige groep van bijna 60 deelnemers. Huck Chuah (KMPG Risk Advisory Services) start met de presentatie van het onderzoek dat vertelt wat een 400-tal CFO’s belangrijk vinden bij internal audit. De top 4: verbeteren van risico-identificatie en risicobeoordeling, vooruitkijken en een proactieve houding aannemen, uitdagen van de eerste en tweede lijn en relevante kwesties niet alleen benoemen maar vooral ook goede aanbevelingen geven.

De top 10 risico’s zijn overigens niet zozeer de risico’s voor de internal auditfunctie, maar betreffen veel meer onderwerpen die de internal auditor kan meenemen in de discussie met het management van zijn/haar organisatie. Vervolgens wordt er een zestal van de 10 ‘considerations’ besproken aan de hand van één of twee stellingen, waarbij de deelnemers kunnen stemmen: mee eens of niet mee eens. Er zijn enkele stellingen en discussies die opvallen.

Bij de onderwerpen culture risk/soft controls en cybersecurity gaan stellingen erover dat het niet mogelijk is een oordeel te geven omdat een normenkader ontbrak. Meerdere deelnemers waren het er niet mee eens omdat de internal auditor zelf een normenkader kan opstellen van wat relevant is voor zijn/haar organisatie.

Bij het onderwerp regulatory compliance werd in eerste instantie gedacht dat het voornamelijk bij financiële instellingen een belangrijk thema zou zijn. Echter, er kwamen veel voorbeelden van andere bedrijfstakken waar ook vaak sprake is van regulatory compliance, bijvoorbeeld op het gebied van veiligheid en hygiëne. Eén van de conclusies van de discussie was dat het niet voldoen aan regels en procedures vaak haar oorsprong (root cause) heeft in cultuuraspecten binnen een organisatie, bijvoorbeeld dat ongewenst gedrag niet wordt bestraft door leidinggevenden.

Na de plenaire sessie wordt de groep opgesplitst in drieën voor verdere verdieping in één van de volgende thema’s: cybersecurity, relaties met derde partijen/ketenmanagement en cultuur/soft controls. De belangrijkste take-aways zijn:

• Cybersecurity: De deelnemers hebben inzicht gekregen in de wijze waarop hacks plaatsvinden (inclusief een live demonstratie) en hoe eenvoudig dit eigenlijk is. Het bleek dat het openen van links in een email echt gevaarlijk kan zijn. Daarnaast is door de sprekers een aantal praktische tips gegeven hoe je als (kleine) internal auditafdeling met cybersecurity kunt omgaan.
• Relaties met derde partijen/ketenaansprakelijkheid: Er is uitgelegd welke elementen van belang zijn bij third party risk management binnen de eigen organisatie, maar ook wat van belang is buiten die organisatie. Aspecten die hierbij de aandacht kregen, waren onder andere het uitvoeren van internal audits bij andere/derde partijen in de keten en de mate van vertrouwen die je kunt stellen in verklaringen van derden.
• Cultuur/soft controls. Het advies was een audit naar cultuur/soft controls niet groter maken dan werkelijk is. Het kan heel goed een onderdeel zijn van de reguliere audits die worden uitgevoerd waarbij een goede root cause analyse vaak neerkomt op tekortkomingen die haar oorsprong vindt in cultuur/soft controls.