Skip to main content

Houden we Internal Audit nog voldoende ‘future proof’?

9 juli 2018

De wereld verandert in een heel hoog tempo. Buiten de geopolitieke ontwikkelingen zijn die veranderingen vooral ingegeven door technische ontwikkelingen. Dat hoor je bij iedere lezing, zo ook op het IIA-jaarcongres 2018, afgelopen 7 en 8 juni.

De wijzigingen gaan zelfs zo snel, dat op hetzelfde congres Blokchain wordt uitgelegd, maar bij een andere lezing op datzelfde congres duidelijk wordt dat met quantum computing de security van Blokchain alweer te breken is. Met quantum computing is het de verwachting dat sowieso al het met huidige technieken geëncrypt dataverkeer binnen 1 tot 2 jaar te breken is.

Een vriend, die zich in de bit currency techniek heeft verdiept, vertelde mij dat Blokchain eigenlijk alweer een verouderde techniek is en dat de flash channel techniek (gehanteerd in de bitcurrency IOTA) beter, veiliger en goedkoper is dan de open ledger techniek van Blokchain. En gisteravond hoorde ik op het NOS-journaal dat met quantum internet er een techniek voor internetverbindingen ontstaat die niet te kraken is. Allerlei nieuwe technieken tuimelen over elkaar heen, die maken dat nieuwe technieken razendsnel achterhaald blijken te zijn.

Dat deze ontwikkelingen bepalend zijn voor bedrijfsmodellen en daarmee ook voor Internal Audit, is evident en hierop worden we ook veelvuldig gewezen. Maar wat is nu het juiste antwoord van Internal Audit op al deze ontwikkelingen. Hoe kunnen wij hier in meegaan en relevant blijven? Het roept, eerlijk gezegd, vooral heel veel vragen bij me op. Hieronder een paar vragen die zoal door mijn hoofd schieten.

Data-analyse wordt als speerpunt benoemd in het Internal Audit vak, maar is dat nog wel vernieuwend? Is er straks geen Artificial Intelligence tool waar je je data instopt, de tool vervolgens zelf externe databases betrekt (het weer, verkeer etc.) en met conclusies komt die we als auditor niet hadden kunnen bedenken? Wat is de rol van Internal Audit dan nog bij data-analyse?

Een ander speerpunt is Cultuur, houding en gedrag. Maar in hoeverre zijn audits daarnaar straks nog interessant? Bedrijven worden steeds kleiner. In Duitsland bestaat een loterij uit 2 ontwikkelaars en geavanceerde tooling, verder niets; wat valt hier nog aan cultuur te auditen? In welke mate is de cultuur van een onderneming straks nog bepalend voor succes?

Nieuwe bedrijven zijn steeds vaker organisaties die (continu) online producten en diensten ontwikkelen. Zou kennis van projectmanagement of productontwikkeling niet tot speerpunt moeten worden gemaakt? Of strategievorming? Neemt de directie wel alle relevante ontwikkelingen in de markt mee?

Op het IIA congres woonde ik de lezing ‘IAF in disruptive organisations’ bij. De lezing gaf me nog te algemene antwoorden, dat we moeten investeren in zowel ons personeel als diens kennis. Natuurlijk, maar is dat het antwoord om relevant genoeg te blijven? De disruptive bedrijven TESLA, Google en Spotify kwamen eveneens voorbij. Een terechte vraag uit de zaal was of deze bedrijven een IAF hebben. De spreker moest het antwoord schuldig blijven. Kort onderzoek leerde me dat het antwoord ‘ja’ is; al deze bedrijven hebben een Internal Audit functie. Kijkend naar wat openstaande audit vacatures bij deze bedrijven kwam ik nogal vaak de term SOX tegen; deze bedrijven zijn genoteerd aan de NASDAQ en moeten daarom voldoen aan SOX. Ik kwam geen beschrijvingen tegen waaruit blijkt dat Internal Audit in die bedrijven wordt gezien als een succesfactor van het bedrijf. Dat roept bij mij dan weer de vraag op: hebben we straks alleen nog maar bestaansrecht vanwege wetgeving? En loopt het dan met Internal Audit net zo af als met Arbodiensten? Hebben we straks alleen een rol bij ‘oude’ bedrijven die blijven stilstaan en zo ja, hebben we dan überhaupt een toekomst, aangezien die oude bedrijven dat ook niet hebben? Ik hoop het toch niet.

Brengt een verregaande samenwerking met de IT audit beroepsvereniging NOREA ons naar hogere relevantie? En waarom is er eigenlijk nog een separate RE-en RO-opleiding (weliswaar met een gedeeld eerste jaar)?

Bij het accountantsberoep is de noodzaak tot veranderen dermate hoog, dat het NBA op allerlei manieren effort steekt in een vernieuwingsagenda. Maar hebben wij een commissie Innovatie binnen het IIA? Niet dat ik weet.

Het moge duidelijk zijn: alle technologische ontwikkelingen en de gevolgen daarvan voor Internal Audit roepen bij mij vooral dus veel vragen op en brengen veel onrust (zowel positief als negatief). Zoals gezegd, brengt het IIA de ontwikkelingen binnen het vakgebied Internal Auditing uitgebreid en goed onder de aandacht. Maar: wat doet de beroepsvereniging c.q. beroepsgroep nu écht aan innovatie van het beroep? Kiezen we de juiste innovaties? Is onze stip aan de horizon, van een blijvend relevante functie, wel duidelijk genoeg? Ik krijg de indruk dat er op deze vlakken nog te weinig gebeurt, maar wellicht vinden er zaken plaats waar ik nog geen weet van heb.

Gezien de urgentie, pleit ik voor een ‘deltawerkenplan’ binnen het IIA op dit onderwerp. Laten we starten met een commissie die binnen een jaar met een gedegen plan komt hoe het vakgebied futureproof te houden. Een commissie die er volledig open ingaat en ook een antwoord accepteert dat wellicht minder gunstig kan zijn voor onze beroepsgroep. Ik zou graag meebouwen aan het plan van een future proof Internal Audit Functie. Ik hoop dat we met de beroepsvereniging en beroepsgroep deze uitdaging snel kunnen aangaan.

Marc van Heese, Partner ARC People