Door Tom Reukers | Foto: Unsplash
De eerste weken van de coronacrisis liggen achter ons. Als gevolg van onzekerheid, hectiek en korte tijdslijnen was in veel organisaties snelle besluitvorming nodig. Daarbij kan afgeweken zijn van de reguliere interne processen. Lopen organisaties als gevolg van deze situatie onaanvaardbare interne beheersingsrisico’s?
We geven twee voorbeelden van mogelijke bedreigingen van de interne beheersing als gevolg van de coronacrisis. Aansluitend geven we je drie tips hoe je deze bedreigingen signaleert, deze mitigeert en aantoonbaar ‘in control’ blijft.
Bedreiging 1: toegenomen IT-security- en cyberrisico’s
Doordat medewerkers in zeer korte tijd en masse thuis zijn gaan werken, is het gebruik van IT-systemen veranderd. Dit heeft diverse cyberrisico’s tot gevolg. Hierbij kun je bijvoorbeeld denken aan het gebruik van onveilige verbindingen of het opslaan van bedrijfskritische informatie op privé-gegevensdragers.
Medewerkers vertonen ook ander surfgedrag, waardoor het risico op blootstelling aan phishing en malware toeneemt. Ze zijn bijvoorbeeld vaker op zoek naar informatie over het coronavirus. Er zijn dit jaar tussen 14 en 18 maart 3.600 nieuwe domeinnamen geregistreerd die de term ‘coronavirus’ bevatten. De meeste van die websites zijn er met goede bedoelingen, maar dat geldt niet voor allemaal. Het klikken op een link naar zo’n website of het bezoeken ervan kan leiden tot onaanvaardbare risico’s.
Daarnaast wordt vaker niet-geautoriseerde of niet-geteste software door medewerkers geïnstalleerd. Een actueel voorbeeld zijn apps die toetsaanslagen simuleren, waardoor medewerkers ‘actief’ lijken te zijn. Naast de risico’s die dit oplevert voor de systeemperformance en de kans op malware, is dit gedrag ook niet in lijn met de bedrijfswaarden.
Bedreiging 2: doorbreking van beheersmaatregelen
Als gevolg van de uitval van mensen, bijvoorbeeld door ziekte, kan het nodig zijn om systeemautorisaties en tekenbevoegdheden tijdelijk uit te breiden. Er bestaat een risico dat managers en medewerkers zelf oplossingen zoeken om de continuïteit van de primaire processen te waarborgen en hierbij functiescheidingen doorbreken. Er worden mogelijk processtappen uitgevoerd door personen die daarvoor niet geautoriseerd zijn.
Is er zicht op zulke afwijkingen en doorbrekingen binnen je organisatie? Zijn alle transacties geïdentificeerd, gecontroleerd en geautoriseerd zoals zou moeten? Ofwel, ben je ‘aantoonbaar in control’? Aantoonbare werking van beheersmaatregelen staat ook aan de basis van juiste en volledige operationele rapportages en financiële verantwoordingen. Dit draagt bij aan het realiseren van de bedrijfsdoelstellingen.
Hoe kun je deze risico’s beheersen? We geven je drie direct toepasbare tips.
Tip 1: voer een integrale risicoanalyse uit en kijk ook naar kansen
Voer een integrale risicoanalyse uit. Kijk naar risico’s en kansen over de gehele bedrijfskolom en werk vanuit verschillende crisisscenario’s. Het management selecteert het scenario waar het zich op voor wil bereiden en treft de benodigde maatregelen. Gebruik hiervoor bijvoorbeeld COSO ERM of ISO 31000.
Tip 2: blijf aantoonbaar ‘in control’ bij doorbroken beheersmaatregelen
Maak medewerkers zich ervan bewust dat ze dilemma’s over de keuze tussen de continuïteit van de primaire processen of het doorbreken van beheersmaatregelen met hun leidinggevenden moeten bespreken. Wees alert op doorbroken interne beheersmaatregelen, zoals bijvoorbeeld functiescheidingen. Data-analysetools kunnen hierbij helpen. Het is noodzakelijk om de betreffende transacties te identificeren en onderzoeken. Waar nodig moeten deze (achteraf) worden geautoriseerd. Betrek eventueel de (business)controlfunctie of consulteer internal audit bij aanpassingen van interne beheersmaatregelen. Documenteer en autoriseer wijzigingen op eenduidige wijze.
Tip 3: communiceer actief met interne en externe stakeholders
Communiceer actief over de impact van de coronacrisis met medewerkers. Bespreek prioriteiten en verwachtingen, maar inventariseer ook waarover nog onduidelijkheid is. Betrek medewerkers bij het leveren van een bijdrage of het bedenken van een oplossing. Dit kan tot innovatieve werkwijzen leiden. Stem periodiek af met externe stakeholders zoals leveranciers, partners en klanten. Waar van toepassing doet het management er goed aan ook frequent te communiceren met toezichthouders.
Kriton heeft een uitgebreide analyse opgesteld van de meest voorkomende beheersingsrisico’s als gevolg van de coronacrisis. Daarbij hebben we voorbeelden van mitigerende maatregelen opgenomen. Hieronder zie je een snapshot uit deze analyse. Interesse in een uitgebreide analyse? Mail: treukers@kriton.nl
Over Tom Reukers
Drs. T.T.A. (Tom) Reukers RA CIA CRISC CFE is adviseur/trainer bij Kriton. Hij heeft meer dan vijftien jaar ervaring binnen internal audit, risk management, internal control, compliance en integriteit in internationale context