“Winter is coming”, voor de volgers van de populaire serie Game of Thrones is dit een bekende quote waarmee aangegeven wordt dat ‘onheil nadert’. Nagenoeg alle internal auditfuncties (IAF’s) zijn gestart met het uitvoeren van hun internal auditjaarplan en zijn ‘klaar voor de winter’ van 2019. Maar wat nu als deze winter de voorbode is van een crisis zoals we die kennen van 2008/2009?
Op basis van risico-assessments zijn de risico’s voor het komende jaar geïdentificeerd en beoordeeld. Maar wat zijn nu de onderliggende ‘enablers’ (personen of dingen die iets mogelijk maken) van een goed internal auditplan? Staan we als internal auditor voldoende stil bij deze enablers en denken we op holistisch niveau na over waarom we dingen doen zoals we ze altijd doen? Nu er weer een strenge winter aan kan komen, is het wellicht verstandig om bij de basis even stil te staan.
Op technologisch gebied doen zich de komende jaren, met het doorzetten van cloud computing, algoritmes en robotisering, zowel kansen als bedreigingen voor. Ook vanuit wet- en regelgeving zien we een aantal ontwikkelingen die op ons af komen. Tijd voor de Raad van Bestuur, de Raad van Commissarissen en de Auditcommissie (hierna: de hoogste leiding) en de IAF om het risicomanagementproces tegen het licht te houden en weloverwogen de toekomst in te gaan. De IAF dient naast het identificeren van het risico-universum ook rekening te houden met de enablers van een internal auditplan. De tien onderstaande enablers geven richting aan het internal auditjaarplan.
1. Strategie en strategierealisatie
Koppelt de IAF het internal auditjaarplan voldoende aan de realisatie van de strategie en doelstellingen van de organisatie? Worden de key-risico’s in kaart gebracht die strategierealisatie in de weg staan? Groot risico is dat het management en het eerste lijn zich blind staren op de korte termijndoelstellingen en daarbij het groter geheel uit het oog verliezen.
2. Risicobereidheid (risk appetite)
Zijn risicotolerantie en -bereidheid kwantitatief bepaald? Wat is het maximale risico per (deel)gebied dat de hoogste leiding wil nemen en de organisatie kan dragen – bijvoorbeeld de afgesproken bankconvenanten met de kredietverstrekkers? Sommige risico’s moet je accepteren, andere risico’s vragen om actie (verminderen, vermijden of overdragen). Wees dus voorbereid op een dynamische risico-aanpak, maar bepaal ook de grenzen.
3. Risico-identificatie
Wat zijn de grootste risico’s voor de organisatie? Wat is de impact van deze risico’s en hoe waarschijnlijk zijn ze? Hoe zijn ze met elkaar verbonden en wat is de (gecalculeerde) snelheid van een verandering van deze risico’s? Een aantal ‘laag geclassificeerde’ risico’s die met elkaar zijn verbonden, kunnen in samenhang alsnog voor een grote impact zorgen. Misschien een open deur, maar het is belangrijk om het tweedimensionale risico-identificatieproces te vervangen door het moderne vierdimensionale risicomanagementmodel.
4. Risicoanalyse en -beoordeling
Door ‘what-could-go-wrongs’ en ‘what-if’ scenario’s te formuleren en de mogelijke financiële, veiligheids- en reputatieconsequenties door te rekenen, weet de organisatie hoe groot de gevolgen kunnen zijn. Hoe vaak analyseren en beoordelen de hoogste leiding en de eerste lijn de key-risico’s? Worden stress-testing en scenarioplanning toegepast? Hoe effectief kan de organisatie risico’s managen? Door een ‘continuous’ assessment in te plannen met de risicomanagementfunctie, zijn de hoogste leiding en de eerste lijn beter voorbereid, wat de kans op onaangename verrassingen verkleint.
5. Eigenaarschap
Wie heeft het ‘eigenaarschap’ voor de key-risico’s, wie is verantwoordelijk voor wat en wie rapporteert aan wie? Als de risico’s zijn benoemd, is het raadzaam om hieraan – per risico – een functie te koppelen die de risico´s continu in de gaten houdt, beheerst en significante uitkomsten rapporteert aan de hoogste leiding.
6. Cultuur, gedrag en soft controls
Zijn er ´blinde vlekken´ die om aandacht vragen? De organisatiecultuur, het gedrag van medewerkers/management en soft controls drukken een groot stempel op de effectiviteit van risicomanagement. Denk daarom goed na in hoeverre de organisatie bijvoorbeeld transparant of conflictmijdend is. Onder andere voorbeeldgedrag (‘tone at the top’), uitvoerbaarheid, bespreekbaarheid, transparantie en handhaving zijn elementen in het ‘DNB cultuurhuis’ om als toezichthouder of IAF toe te zien op cultuur en soft controls.
7. Risicorapportages
Aan welke eisen moet de risicorapportage voldoen? In hoeverre worden de rapportages gebaseerd op kwantitatieve meetinstrumenten en data-analyse? Hier doen continuous auditing (CA) en continuous monitoring (CM) intrede. Beslissingen kunnen het beste genomen worden als de organisatie over voldoende feiten en toekomstgerichte informatie beschikt. Maak daarom heldere risicorapportages die aansluiten bij de informatiebehoefte van de hoogste leiding.
8. Calamiteiten
Is de organisatie voldoende voorbereid op extreme gebeurtenissen en grootschalige risk events? Neem crisisplannen, BCM, DRP en cyberpreventieplannen opnieuw onder de loep: passen ze nog bij de huidige interne en externe eisen, maar ook bij de verwachtingen van de hoogste leiding?
9. Black swans en third party risks
Houden de hoogste leiding en IAF voldoende rekening met risico’s met een extreem kleine kans en waarschijnlijkheid, maar met een catastrofale impact? Of met risico’s die liggen bij en beheerst worden door derde partijen zoals leveranciers, partners, (onder)aannemers en ketenpartijen? Deze risico’s hebben als belangrijk kenmerk dat ze zeer moeilijk in te schatten zijn. Veel organisaties zullen vele risico’s als onmogelijk of ‘buiten hun bereik’ achten en deze risico’s daarom niet meenemen in de beheersings- en internal auditplannen.
10. Oversight van risicomanagement
Heeft de hoogste leiding een volwassen risicomanagementfunctie in huis om integraal de risico’s te overzien? Zijn de eerstelijns management control, het risicomanagement en de internal auditfunctie complementair aan elkaar? Om risico’s goed in te schatten, moeten de hoogste leiding en de three lines of defense de business, de sector en de impact van veranderingen helder en continu in kaart hebben.
Om te eindigen met een andere quote uit Game of Thrones: “Winter is coming back in a very big way, and you need to be prepared for an extended period of very cold weather”.
Auteur: Huck Chuah is Director bij KPMG Advisory en daarnaast IIA bestuurslid en verbonden aan de Universiteit van Amsterdam voor de Executive MSc of Internal Auditing (EMIA) opleiding.