Legt u de verbinding?
Risk managers en internal auditors moeten zich meer vastbijten in de operationele kant van een organisatie. Zo kunnen zij de relatie tussen de strategie en de operatie op het gebied van risicobeheersing voor het management inzichtelijk maken.
In de praktijk constateer ik nogal eens dat de beheersing van organisaties te abstract blijft, omdat de feitelijke kern van vraagstukken niet op tafel komt. Hierdoor worden tekortkomingen in de beheersing niet of niet tijdig blootgelegd en onder de aandacht van het topmanagement gebracht. En dat is een groot risico.
Om van meer en van continue toegevoegde waarde te kunnen zijn, moeten de risk manager en internal auditor veel meer investeren in de kennis van een proces, project of systeem en de vaardigheden ontwikkelen om de relatie te kunnen leggen tussen strategie en operatie.
En dat houdt niet op bij het bestuderen van een (niet actuele) procesbeschrijving of (verouderde) systeemdocumentatie. Het vraagt intensieve bestudering en analyse van de omgeving en het desbetreffende 'vraagstuk' en het kunnen leggen van de koppeling tussen wat de top van een organisatie besluit en de operationele uitwerking daarvan.
Zowel op strategisch als operationeel gebied zie ik organisaties steeds afhankelijker worden van automatisering. In die afhankelijkheid is een (te?) groot vertrouwen in deze automatisering opgesloten. Het uitgangspunt van vertrouwen is goed, maar de vraag is wel of dat gerechtvaardigd is als het begrip van veranderde technologie (nog) onvoldoende tot in de kern duidelijk is.
Meer nog dan in het verleden spelen dergelijke initiatieven zich voor een groot deel onder de motorkap en buiten het gezichtsveld van het management af. Onvoldoende begrip van de beheersing rondom deze initiatieven is dan ook een groot risico en het zichtbaar maken van mogelijke risico's gerelateerd aan de strategie en de operatie is daarom van essentieel belang.
Een concreet voorbeeld waarin de risk manager en internal auditor van waarde kunnen zijn, is bij het ontwikkelen en implementeren van nieuwe systemen. Dit gebeurt veelal onder hoge tijdsdruk. Het kind van de rekening is een gedegen testproces. Scenario's en situaties worden vooraf onvoldoende doordacht en daarmee worden risico's niet of in beperkte mate onderkend, met alle mogelijke gevolgen van dien.
Naast het wijzen van het management en de operatie op het niet naleven van interne procedures heeft deze constatering nog meer waarde als de risk manager en internal auditor zelfstandig systemen testen en onderzoeken. Zo kunnen zij daadwerkelijk de vinger op de zere plek leggen waar het onbeheerste risico's dan wel feitelijke onjuistheden betreft.
Het blootleggen van risico’s en het aandragen van oplossingen door de risk manager en internal auditor geeft het management de zekerheid waar zij naarstig naar op zoek is. Zij moeten echt de onderste steen boven krijgen.
Het houden van interviews of het uitvoeren van self-assessments zijn daarin niet altijd (of alleen) de juiste middelen om tot de kern van een vraagstuk of probleem door te dringen. Gericht onderzoek biedt meer houvast en zekerheid, zeker als over de uitkomsten daarvan op een adequate wijze gemonitord kan worden. Ook nieuwe technieken als process mining geven voor de risk manager en internal auditor meer inzicht in de kwaliteit van de beheersing.
Sluitstuk van de interne beheersingscyclus is dat de risk manager en internal auditor in staat moeten zijn om hun oordeel over de details vervolgens te vertalen naar mogelijke consequenties op corporate niveau. Geredeneerd vanuit de strategie weet de top van de organisatie dan waar eventueel bijgestuurd dan wel gecorrigeerd moet worden; interne beheersing in optima forma.
Gerelateerd
IIA Nederland biedt VOR-handreiking voor internal auditfunctie
Het Instituut van Internal Auditors Nederland (IIA) heeft een 'practice guide' uitgebracht over de Verklaring Omtrent Risicobeheersing (VOR) en de internal auditfunctie.
Uitvoeringsorganisatie SVB wint auditprijs
De Audit Dienst van de Sociale Verzekeringsbank (SVB) heeft de Protiviti Internal Audit Innovation Award van dit jaar gewonnen. De auditdienst van het zelfstandige...
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.