KPMG: 'IT-internal auditor nauwelijks toegerust op nieuwe technologische risico's'
IT-auditors binnen internal auditfuncties (IAF's) besteden wereldwijd nauwelijks aandacht aan nieuwe technologische risico's.
Dat blijkt uit internationaal onderzoek van KPMG onder 250 ondernemingen. Ondernemingen hebben te maken met nieuwe risico's als gevolg van robotica, machine learning, kunstmatige intelligentie (algoritmes) en het Internet of Things, waarbij alles en iedereen door het internet met elkaar verbonden is. De IT-internal auditor houdt zich vooral bezig met de belangrijkste operationele risico's waarmee het bedrijf te maken heeft, zoals het falen van interne procedures en de ongeoorloofde toegang tot de kwetsbare bedrijfssystemen.
Het gebrek aan aandacht voor nieuwe technologische risico's wordt volgens KPMG vooral ingeven door een gebrek aan kennis van bijvoorbeeld cyber security, data & analytics en privacywetgeving. "Uit het onderzoek blijkt dat veertig procent van de IT-internal auditors op dit moment vooral oog heeft voor de belangrijkste operationele risico's, zoals het verrichten van algemene IT-controles, controles van de applicaties die de onderneming gebruikt en het beheren van de toegang tot de systemen", aldus KPMG.
Comfortzone
Volgens KPMG opereren IT-auditors te veel vanuit hun comfortzone, een houding die vooral zou worden veroorzaakt door een gebrek aan kennis van de nieuwe technologieën. Daarnaast speelt geld een belangrijke rol. "De toenemende druk op de IAF's om meer aandacht te besteden aan de 'nieuwe' risico's houdt geen gelijke tred met het geld dat bedrijven hieraan uitgeven", constateert Bart van Loon, partner bij KPMG's Internal Audit, Risk & Compliance Services.
Van Loon: "Ruim veertig procent geeft aan dat de budgetten voor de IT-internal audit functie gelijk blijven. Bijna tien procent voorziet dit jaar en volgend jaar zelfs een daling. Ruim dertig procent geeft aan dat dit soort budgetten wellicht zou kunnen stijgen. Maar als de investeringen niet minimaal op hetzelfde niveau blijven ontstaat er een reëel gevaar dat de IT-internal auditor niet in staat zal zijn om voldoende zekerheid te bieden bij alle soorten risico's die de onderneming loopt. Dus niet alleen de risico's die betrekking hebben op de kernactiviteiten. Wij zien overigens wel dat internal auditfuncties in Nederland hierin in toenemende mate investeren."
Budget
Voldoende budget is volgens KPMG dan ook een van de belangrijkste voorwaarden om adequaat te kunnen reageren op alle nieuwe risico's en beter geïntegreerde controle-instrumenten te kunnen toepassen in de volledige internal auditcyclus. "De investeringen zijn ook noodzakelijk om data & analytics continu en systematisch te kunnen invoeren en integreren in de internal audits. Om het budget te kunnen oprekken hebben bedrijven een aantal mogelijkheden, zoals het verder automatiseren van de audit workflow, het invoeren van agile auditing en de inzet van auditors die beschikken over de laatste IT-kennis, zoals auditors met een hackersachtergrond. Gezien het tempo waarin nieuwe risico's op veel bedrijven afkomen, is het overigens wel de verantwoordelijkheid van de IAF om het bestuur en auditcommissie te wijzen op de huidige beperkingen van de audits die zij kunnen leveren."
Data privacy
Van Loon constateert dat de technologische risico's voor veel ondernemingen steeds groter worden en voortdurend veranderen. Van Loon: "Voor veel bedrijven is het echter van essentieel belang om te kunnen profiteren van de commerciële mogelijkheden die de nieuwe technologieën bieden. Technologieën die aanzienlijke risico's met zich mee kunnen brengen en bedrijven steeds vaker het doelwit maken van hackers en fraudeurs. Naast cyber security moeten met name de data privacy risico's veel meer aandacht krijgen van de IT-internal auditor. Zeker nu een groot aantal ondernemingen voor de beslissing staat of zij hun data wel of niet over te brengen naar de cloud. Het belang van data privacy wordt benadrukt door de invoering van de General Data Protection Regulation in de Europese Unie en de Algemene Verordening Gegevensbescherming in Nederland. Bedrijven die hier niet aan voldoen kunnen vanaf mei 2018 boetes tot vier procent van hun jaaromzet tegemoet zien."
Gerelateerd
Nieuwe wereldwijde internal auditstandaarden van kracht
Precies een jaar na de publicatie zijn nieuwe Global Internal Audit Standards (GIAS) van kracht geworden. Dat meldt IIA Nederland.
IIA Nederland biedt VOR-handreiking voor internal auditfunctie
Het Instituut van Internal Auditors Nederland (IIA) heeft een 'practice guide' uitgebracht over de Verklaring Omtrent Risicobeheersing (VOR) en de internal auditfunctie.
Uitvoeringsorganisatie SVB wint auditprijs
De Audit Dienst van de Sociale Verzekeringsbank (SVB) heeft de Protiviti Internal Audit Innovation Award van dit jaar gewonnen. De auditdienst van het zelfstandige...
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...