Actualiteit

IIA Global heeft een nieuwe Practice Guide uitgebracht over het auditen van het risicomanagement van het uitbesteden van activiteiten (Auditing third party risk management). De timing daarvan is heel passend, nu samenwerkingsverbanden steeds meer toenemen en het rapport Risk in Focus juist third parties als belangrijk aandachtsgebied voor cybersecurity benoemt.  Uit onderzoek blijkt namelijk dat 63% van de cybersecurity-inbreuken is terug te herleiden naar derde partijen aan wie taken zijn uitbesteed. Dat maakt third party management een belangrijk onderwerp voor auditors. Deze praktijkgids biedt daar de handvatten voor. The Practice Guide: Auditing Third Party Risk Management is a useful tool to become better informed on risks related to third-party provider management. Risks across the full vendor life cycle are considered, including the appropriate sourcing, ongoing management, and termination of vendors. Further exploration into risks resulting from the types of services being provided and the sensitivity of data being shared is covered. Sample audit guidance is offered, making this a robust resource with tangible tools. The eBook Practice Guide: Practice Guide: Auditing Third-party Risk Management costs $25.00  

Protiviti heeft een wereldwijd onderzoek uitgevoerd naar de status van cybersecurity. Het rapport The Cybersecurity Imperative geeft een breed overzicht van de huidige status van de risico’s en de maatregelen om deze te beheersen: The Cybersecurity Imperative: Managing Cyber Risks in a World of Rapid Digital Change. "By 2021, cybercrime is likely to cost the world $6 trillion annually – more than the combined GDP of the UK and France, but as companies embrace new technologies, so do hackers, and the reluctance of organizations to share cybersecurity information makes benchmarking and planning more challenging – Until now."

De Practice Guide Auditing Model Risk Management (Supplemental Guidance) is in het Nederlands vertaald als Auditing Modelrisicomanagement. Deze uitgave over Auditing Modelrisicomanagement (MRM) geeft een overzicht van de verantwoordelijkheden van de internal auditfunctie met betrekking tot MRM en beschrijft de methoden en processen die internal auditors kunnen gebruiken om het ontwerp, de implementatie en de werking van het MRM-raamwerk van hun organisatie te beoordelen. Modelrisicomanagement is opgenomen in de regelgeving op het gebied van financiële dienstverlening die door toezichthouders over de hele wereld is uitgevaardigd. Verbeterde regels voor kapitaal, liquiditeit en hefboomwerking zijn bedoeld om de negatieve effecten te verzachten die onvoldoende gekapitaliseerde organisaties kunnen hebben op de economie. Als reactie hierop hebben organisaties in de sector financiële dienstverlening hun activiteiten aangepast en blijven zij hun activiteiten aanpassen om aan deze voorschriften te voldoen. Omdat modeloutput bepaalde beslissingen van het senior management beïnvloedt en soms zelfs bepaalt, kunnen modelfouten een organisatie aan een aanzienlijk risico blootstellen. Bovendien worden modellen steeds belangrijker, complexer en gevarieerder. Als gevolg hiervan zijn organisaties voor het voorkomen, opsporen en corrigeren van modelfouten afhankelijk van interne controlesystemen. De internal auditfunctie (IAF) speelt een sleutelrol in het verzekeren van het senior management en de raad van bestuur dat het interne controlesysteem binnen het MRM kader op optimale niveaus werkt in het hele proces van risicomodellering en dat de resultaten overal in de organisatie juist worden geïnterpreteerd.

The Internal Audit Foundation has just released The Role of Internal Audit in Integrated Reporting: A South African Case Study. The case study highlights the importance of internal audit’s ability to maintain a dual focus on both the integrated report as well as the integrated reporting process as a whole. The case study includes insights from stakeholders on what they view as internal audit’s role in integrated reporting and what they view as current gaps. The case study also delves into key skills and attributes necessary for internal auditors to fulfill their role, including: Independence and objectivity Business acumen Specialist skills Integrated thinking Materiality  As this case study attests, as the role of internal audit continues to extend beyond the realm of financial reporting across the globe, it is critical for practitioners to ensure their thinking and their practice evolve simultaneously towards a more integrated approach.

Op 4 oktober 2018 presenteerde de taskforce IA AM namens IIA Nederland en NBA-LIO de nieuwe versie van het Internal Audit Ambition Model op het European Conference for Super Internal Auditors in Madrid. Met het Internal Audit Ambition Model kunnen internal auditors niet alleen het huidige kwaliteitsniveau van hun internal auditfunctie (IAF) visualiseren, maar ook hun ambitieniveau bepalen om de IAF verder te professionaliseren. Het model wordt sinds kort actief betrokken bij de uitvoering van kwaliteitstoetsingen en geeft een mooie kapstok bij de opleidingen over internal audit. De beroepsverenigingen willen alle internal auditors inspireren en aansporen het IA AM toe te passen. Het model kan op basis van zes thema’s, onder andere Professional Practices, Accountability en People Management, gebruikt worden als self-assessment tool, als roadmap om de ambities van de IAF te realiseren en als communicatiemiddel naar stakeholders.

Accountants in business kunnen op verschillende manieren te maken krijgen met fraude: zelf fraude plegen, mogelijke fraude toedekken of zelf vermoedens hebben van fraude binnen de organisatie waar men werkzaam of bij betrokken is. De vraag óf en hoe men moet handelen als er een vermoeden van fraude is, kan erg ingewikkeld te beantwoorden zijn. De Ledengroep Accountants in Business van de NBA heeft in de afgelopen jaren een aantal moresprudentie-werksessies georganiseerd om over dit onderwerp te discussieren. Deze sessies hebben geleid tot de uitgave Omgaan met vermoedens van fraude. Het document biedt als helpende hand het Moreel Intervisiemodel aan, dat bestaat uit zes stappen, in de vorm van duidelijk te beantwoorden vragen. Het model wordt verduidelijkt aan de hand van een drietal dilemma’s en biedt weloverwogen tips en adviezen over hoe te handelen bij het omgaan met vermoedens van fraude. Tevens vindt u in deze moresprudentie een aantal interviews met accountants in business die het podium durfden te pakken om iets te vertellen over hun persoonlijke ervaringen met het omgaan met vermoedens van fraude. 

De Internal Audit Foundation heeft een nieuw onderzoeksrapport uitgebracht: Aligning Internal Audit Activities and Scope to Organizational Strategy – How the Business Environment and Organizational Strategy Impact Internal Audit. De centrale vraag in het onderzoek was hoe internal audit haar activiteiten kan het beste afstemmen op de strategie van de organisatie. Dit is des te belangrijker gezien de huidige snelheid van veranderingen, waarop organisaties moeten reageren. In de resultaten kan een onderscheid worden gemaakt naar de betekenis voor de inhoud van de audit activiteiten en voor de inrichting van de auditfunctie. Voor wat betreft de inhoud worden de belangrijkste (strategische) risico’s benoemd. Voor de inrichting van de functie worden nuttige handvaten gegeven voor het dynamiseren van de auditplanning, de benodigde capaciteiten (het groeiende belang van IT vaardigheden) en het stijgende belang van consulting activities om de toegevoegde waarde te vergroten.  

Prof. dr. Leen Paape is op 6 september 2018 aangesteld als hoogleraar Corporate Governance aan Nyenrode Business Universiteit. Tijdens zijn oratie bij de aanvaarding van het ambt stelde hij dat de stabiliteit en toekomst van de samenleving in het geding komen door ons huidige corporate governance-systeem. Zijn inaugurele rede is getiteld ‘Corporate governance: de oogkleppen van het paard en de blik van de adelaar. Waarom het belangrijk is het geheel te zien en niet alleen de losse delen’. In zijn rede roept hij ons allen op onze blik te verruimen en voortdurend te focussen op de toekomst. “We kunnen natuurlijk niet alles voorzien. Een systeem is adaptief en heeft een zelf organiserend vermogen. Echter, door voortdurend te focussen op de – duurzame - waardecreatie op de lange termijn, kunnen we beter inzicht krijgen in de noodzakelijke aanpassingen voor een betere balans.”

Voor het derde achtereenvolgende jaar hebben diverse Europese Instituten van Internal Auditors, waaronder IIA Nederland, onderzocht wat de 'hot topics' zijn voor de auditplanning voor het komende jaar. Hieruit blijkt dat cybersecurity voor 2019 het hoogst op de agenda staat, op de voet gevolgd door gegevensbescherming en digitalisering. In deze snel veranderende wereld heeft elke organisatie te maken met risico’s, die bovendien veelvuldig veranderen. Internal Audit jaarplannen zijn gebaseerd op inschattingen van deze risico’s. Het is dus een uitdaging om de aandacht te blijven richten op de risico’s die het belangrijkst zijn. Het rapport Risk in Focus geeft gerichte input om de specifieke risico’s in de eigen organisatie te evalueren. Cybersecurity is duidelijk het grootste aandachtspunt voor Chief Audit Executives. Maar liefst twee derde (66%) van alle respondenten geeft aan dat cybersecurity één van de vijf belangrijkste risico's is waarmee hun organisatie wordt geconfronteerd. Dit geldt voor de internal auditfuncties in alle deelnemende landen en alle sectoren. Tegelijkertijd blijkt echter ook dat er sprake is van een grote diversiteit in relevante risico’s.

IIA Global benadrukt in een nieuwe ‘Global Perspectives and Insights’ het belang van agility en innovatie door de IAF en biedt daar handvatten voor. Beide onderwerpen zijn nauw met elkaar verweven en essentieel om als IAF relevant te zijn en echte toegevoegde waarde te blijven bieden. "If internal auditors are to remain relevant and add real value to their organizations, their speed, flexibility, and proactive approach to problem solving must be optimized. The report Perspectives and Insights: Agility and Innovation defines what it means to be agile and innovative in today's marketplace and how the two are interdependent. The modern internal audit function needs to tie traditional audit activities more closely to the organization’s strategic objectives and risks. Most chief audit executives (CAEs) recognize that reality already — either at some visceral level, through conversations with the board and executives in the first line of defense, or through implementation of The International Standards for the Professional Practice of Internal Auditing. In fact, conformance to the Standards requires that internal audit evaluate risks from the perspective of achieving the organization’s strategic objectives. This is not optional, but rather a necessity to ensure internal audit serves its role to protect and enhance organizational value." This is for members only. To access it and other valuable resources, become a member today.

Er zijn aanvullende richtlijnen verschenen in de vorm van een Global Technology Audit Guide. Deze GTAG gaat over het auditen van ‘Insider Threats’ ofwel het risico dat eigen medewerkers bewust of onbewust informatiesystemen of data beschadigen. In het huidige digitale tijdperk wordt de bescherming daarvan steeds belangrijker, zowel tegen externe als interne bedreigingen. De 'Global Technology Audit Guide: Auditing Insider Threat Programs' is zodoende een zinvolle aanvulling op de vele publicaties op het gebied van cybersecurity. De GTAG gaat uitgebreid in op de aard van de interne bedreigingen alsmede op de rol die internal audit daarbij kan en moet spelen, zowel in audits als in mogelijke adviesdiensten. De guide geeft: Een overview van de risico’s en hun impact; Handvatten voor het opzetten van een audit, inclusief voorbeelden van te gebruiken control-frameworks; Tips om de resultaten te rapporteren. This is for members only. To access it and other valuable resources, become a member today.

Soft controls, oftewel cultuur en gedrag, zijn belangrijk. Ze kunnen een grote impact hebben op een organisatie. Maar hoe doe je soft controls audits? Hoe zorg je ervoor dat je gedrag en cultuur kunt meten en beoordelen? De IIA Young Professionals organiseerden op 3 juli 2018 een event bij Nuon om een antwoord te vinden op deze vraag. Sprekers van KPMG, DNB en ACS deelden ieder op bevlogen wijze hun eigen inzichten die in deze publicatie zijn terug te lezen.

Thomson Reuters heeft, voor het vijfde achtereenvolgende jaar, een rapport uitgebracht over cultuur en gedragsrisico's: Culture and Conduct Risk 2018: Benchmarking 5 years of implementation. Hieruit blijkt dat belang hiervan toeneemt, ook als onderwerp in het toezicht, maar dat het nog zoeken is hoe hier het beste vorm aan te geven. Slechts weinig organisaties hebben een robuust framework voor cultuur en het management van het gedragsrisico. Het rapport geeft een overzicht van de ontwikkelingen in regelgeving en toezicht alsmede in relevante factoren voor het gedragsrisico, waaronder een handzaam overzicht van de indicatoren voor een adequate risicocultuur. "Thomson Reuters has undertaken its fifth annual survey on how firms around the world are managing the challenges presented by the regulatory focus on culture and conduct risk. As in previous years, the research provides an opportunity for firms, and specifically compliance practitioners, to give their views and opinions on how they manage culture and mitigate conduct risk in the financial services industry. Since its inception, the survey has highlighted distinct industry-wide and year-on-year trends against which firms can benchmark their own progress and has proved to be a valuable and trusted resource for firms and their compliance officers." Klik hier om het rapport te downloaden

If internal auditors are to remain relevant and add real value to their organizations, their speed, flexibility, and proactive approach to problem solving must be optimized. The report Perspectives and Insights: Agility and Innovation defines what it means to be agile and innovative in today's marketplace and how the two are interdependent. The modern internal audit function needs to tie traditional audit activities more closely to the organization’s strategic objectives and risks. Most chief audit executives (CAEs) recognize that reality already — either at some visceral level, through conversations with the board and executives in the first line of defense, or through implementation of The International Standards for the Professional Practice of Internal Auditing. In fact, conformance to the Standards requires that internal audit evaluate risks from the perspective of achieving the organization’s strategic objectives. This is not optional, but rather a necessity to ensure internal audit serves its role to protect and enhance organizational value. Two realities thwart that need, however. First, organizations simply have more risks coming at them, and those risks can harm the organization in swift, painful ways: a social media campaign that emerges overnight; a sexual harassment scandal that ousts a key employee; a food safety incident; a merger of competitors or suppliers; a new trade or regulatory policy that upends years of carefully constructed business models. Second, the reality is that CAEs also must dedicate resources to additional tasks providing assurance support for other assurance providers within and for the organization, including monitoring how operational risks are managed; compliance testing; the preparation of evidence for external auditors; and the vetting of accounting policies to ensure compliance with anti-bribery statutes. By continuing to fulfill those more traditional audit tasks, while also becoming agile and innovative, internal audit can transform into something that works more swiftly to help the rest of the organization address an increasingly chaotic, unpredictable environment. That will be a struggle, but one that The IIA feels can be done with awareness of and alignment to the organization’s strategic objectives and risks.

Ceo's van private- en familiebedrijven maken zich het meeste zorgen over cyberdreigingen en gebrek aan talent. Dat blijkt uit de 21ste PwC CEO Survey. 39% van de ceo's ziet cyberdreigingen als de grootste bedreiging van groei. Veel ceo's maken zich zorgen over de snelheid waarmee technologie verandert, en of hun bedrijf opgewassen is tegen de nieuwe dreigingen die daaruit voortkomen, maar ook of hun bedrijf op tijd kan inspelen op de kansen die nieuwe technologieën bieden. Bij gebrek aan talent draait het vooral om het gebrek aan digitaal talent; bijna driekwart van de ceo's zegt zich daar zorgen over te maken, en 48 procent van de private bedrijven zegt dat het erg of enigszins moeilijk is om dit soort werknemers te vinden. Bij familiebedrijven is dit zelfs 57%.