Er waren al veel spanningen in de wereld: de inval van Rusland in Oekraïne in 2022, de dreiging van een oorlog in Azië (China met Taiwan, spanningen in de Zuid-Chinese zee), een richting van politiek (extreem) rechts in Europa, etc. Na de verkiezing van Trump komen daar nieuwe oorlogsdreigingen (Groenland, Iran) en handelsbarrières bovenop. Wat vroeger een zekerheid leek (bijvoorbeeld Amerika is onze vriend) is tegenwoordig op zijn best twijfelachtig. Aanvullend spelen er klimaatrisico’s en onduidelijkheid over Europese wetgeving (zie het CSRD dossier). Kortom de VUCA wereld (Volatility, Uncertainty, Complexity en Ambiguity) is in alle hevigheid losgebarsten. Het is onzekerheid troef in de bestuurskamers van organisaties.
De beroepsverenging (en veel van haar leden) ziet zichzelf graag als trusted advisor van de board. Door niet enkel hindsight en insight te bieden maar wellicht ook foresight. Door niet alleen focus te leggen op bedreigingen, maar ook op kansen. Als er één moment is waarop Internal Audit relevant kan worden als trusted advisor, dan is het toch nu. Alleen focus op ‘standaard’ onderwerpen en processen door Internal Audit is in deze tijd wel wat karig, maar ook zeker risicovol. Je hoort wel eens: je kan met een goedgekeurde jaarrekening failliet gaan. Dus wat is de toegevoegde waarde van een externe accountant? Als de internal auditor in deze tijd niet oplet, kan dit ook voor hem gaan gelden. Dat gevaar is er zeker wanneer de internal auditor vooral de focus legt op de intern gerichte processen. Je kunt dan een situatie hebben waarbij al je uitgebrachte auditrapporten een positief oordeel hebben, terwijl de organisatie ‘in brand’ staat onder invloed van alle externe ontwikkelingen. Dan heb je wellicht toch de verkeerde auditonderwerpen gekozen (of de audits niet goed uitgevoerd, maar daar gaan we maar even niet vanuit).
Macro-economische en geopolitieke onzekerheid staat in de ‘Risk in focus 2025’ op nummer 5 in de lijst van belangrijkste risico’s, volgens de Chief Audit Executives in Europa. Mijns inziens is dit wat laag maar mogelijk ligt dit aan het feit dat de enquête hiervoor al in het eerste half jaar van 2024 is gehouden[1].
Aan welke onderwerpen kun je dan denken, die meer toegevoegde waarde hebben in deze turbulente wereld? En waar zou je dan de accenten op kunnen leggen? Hieronder volgt een aantal suggesties.
In hoeverre de onderwerpen allemaal relevant zijn, is uiteraard afhankelijk van verschillende factoren, zoals de soort organisatie, in welke markten de organisatie actief is, hoe internationaal georiënteerd etc. Onderstaande opsomming zal dan ook niet overal van toepassing zijn.
Risicomanagement
Start met een audit naar (strategisch) risicomanagement. Om onzekerheid het hoofd te bieden en passende maatregelen te kunnen nemen, is een strategische risicoanalyse onontbeerlijk. Internal Audit zou dus een audit kunnen uitvoeren naar het strategisch risicomanagement binnen de organisatie. Relevante vragen in deze audit kunnen zijn: is deze analyse er, wie voert deze uit, wie zijn betrokken en in welke rol, welke externe deskundigheid wordt gebruikt (personen of rapportages), etc. Allemaal vragen die de kwaliteit van de analyse kunnen beïnvloeden.
Inkoop (zekerheid van leveranciers en prijs)
Door alle ontwikkelingen kan het voor sommige in te kopen producten & diensten de vraag zijn of de leveranties wel gegarandeerd zijn en blijven en of de condities wel gelijk blijven. Belangrijke vragen bij een dergelijke audit kunnen zijn: zijn alle strategische inkopen bekend, zijn de criteria voor wat strategisch nog even relevant, zijn de alternatieven in kaart gebracht, zijn er exit-plannen om bij een leverancier weg te kunnen, wat is de invloed van transportkosten op de in te kopen producten, is de gehele keten (en zijn daarmee afhankelijkheden) van het in te kopen product en de daarbij behorende risico’s duidelijk, voldoet de inkoop aan alle in- en externe ESG eisen, etc.
Voorraad
Dit onderwerp borduurt verder op het vorige: zijn de benodigde strategische voorraden bekend, worden deze goed gemonitord, is er bij het voorraadbeheer rekening gehouden met de producten die in ontwikkeling zijn, is er rekening gehouden met sterk fluctuerende vraag in de markt, etc. Voor dienstverleners waarbij de capaciteit sterk afhankelijk is van human resources gelden andersoortige vragen: kan er snel op of af worden geschaald, tegen welke kosten, is er andersoortige expertise nodig, hoe snel kan die eigen worden gemaakt, etc.
Productielocaties
Evident een belangrijk onderwerp, uiteraard heel actueel gezien de handelsbarrières maar ook de fysieke toegang wordt een steeds relevanter thema. Denk aan bijvoorbeeld een oorlog in Taiwan. Toegang tot een productiefaciliteit is dan nagenoeg onmogelijk. Denk bij een audit naar dit onderwerp onder meer aan: welke criteria zijn bepalend voor het openen van een nieuwe productiefaciliteit en worden deze altijd gehanteerd (denk bijvoorbeeld aan toegang tot betaalbare energie), hoe mobiel is een productiefaciliteit (kunnen machines relatief eenvoudig worden weggehaald), is er een markt om de faciliteit eventueel te verkopen indien noodzakelijk?
Lobby
Het beïnvloeden van overheden is van alledag. Dat kan op verschillende manieren: via een eigen lobbyist, door aan te sluiten bij een brancheorganisatie met een eigen lobby, PR etc. Een audit kan beginnen met de vraag of lobbyen relevant en haalbaar is voor de organisatie.
Beleggingen
Sommige organisaties hebben beleggingen behorend bij de primaire dienstverlening (o.a. verzekeraars), sommige organisaties hebben dit vanuit overtollig cash. Met beleggen bedoelen we hier geen strategische deelnemingen (zie het onderwerp Deelnemingen verderop in dit artikel). Door alle ontwikkelingen is het duidelijk dat de beurs zeer volatiel kan zijn. Afgelopen week was er sprake van een echte rollercoaster en het einde is nog niet in zicht. Aandachtspunten voor een audit kunnen zijn: zijn er stresstesten uitgevoerd, zijn de mogelijke gevolgen besproken in de juiste gremia, zijn er wijzigingen doorgevoerd, hoe wordt er gemonitord, kan er snel worden gehandeld, wat zijn de afhankelijkheden hierbij van derde partijen, welke afspraken zijn gemaakt bij fiduciair management, wordt daarover gerapporteerd en wie beoordeelt dit, hoe wordt er gehedged, zijn er beleggingen met margin calls, wordt de complexiteit van het financiële product goed doorgrond. Misschien herinnert u zich nog de collateralized debt obligations (CDO’s, in het Nederlands herverpakte kredieten) uit de kredietcrisis van 2008.
Valutarisico’s
Dit risico spreekt voor zich. Belangrijke punten die hier kunnen spelen zijn: welke valutarisico’s zijn er, welke zijn gehedged en welke niet en hoe, wordt bij inkoop of sales rekening gehouden met valutarisico’s, zijn hier interne richtlijnen voor vastgelegd.
Deelnemingen
Het hebben van deelnemingen kan diverse positieve zaken brengen, zoals het in huis halen van kennis, vergroten van de markt, uitschakelen van concurrentie etc. Maar uiteraard kunnen deelnemingen in deze VUCA wereld ook leiden tot extra risico’s. Bijvoorbeeld doordat de deelneming actief is in een specifiek land en/of een risicovolle mede-aandeelhouder kent uit een land dat op een sanctielijst staat of daarop kan komen te staan. Vergezocht? Er zijn al genoeg bedrijven die hun deelnemingen in Rusland voor een appel en een ei van de hand hebben moeten doen. Aandachtspunten bij deelnemingen zijn onder andere: zijn alle deelnemingen in kaart, zijn alle mede-aandeelhouders bekend, zijn er afspraken gemaakt over toetreding van nieuwe aandeelhouders in de deelneming, welke afdeling monitort deze zaken binnen de organisatie, wat is de maximale financiële impact bij een gedwongen verkoop, wat is het afbreukrisico, etc.
Veiligheid personeel
Mede door de social media kan er razendsnel negatieve berichtgeving ontstaan over bedrijven, met alle mogelijke gevolgen van dien voor de werknemers. Een schokkend voorbeeld daarvan is de recente moord op een bestuurder van een Amerikaanse zorgverzekeraar, die werd beschuldigd van het weinig vergoeden van zorgkosten. Punten van aandacht zijn: is er een analyse gemaakt van mogelijke risicogebieden; denk aan geografische risicogebieden, gevaarlijk klantcontact, naar buiten toe zichtbaar personeel etc. Wordt social media gemonitord (wordt er negatief gesproken over onze organisatie), is er awareness bij relevante medewerkers, is er een PR dan wel marketing afdeling die dit in scope heeft etc. Voorbeeld: militairen die te tracken zijn via een hardloop-app.
Bovenstaande lijst is vast en zeker uit te breiden, zeker als gekeken wordt naar specifieke bedrijfskenmerken. In de eerder genoemde risicoanalyse kan hier dieper op in worden gegaan.
Afhankelijk van het onderwerp en de diepgang van de audit, kan het raadzaam c.q. noodzakelijk zijn om specifieke expertise in te huren om alle relevante risico’s van dat onderwerp boven tafel te krijgen en beheersmaatregelen te kunnen beoordelen. Een matig uitgevoerde audit door gebrek aan kennis voegt maar beperkt waarde toe en kan afbreuk doen aan de reputatie van Internal Audit.
Uiteraard moet er ook aandacht blijven voor het going concern en daarmee de meer reguliere onderwerpen. Maar een kalender met alle processen bekijken in 3 jaar is niet meer afdoende. Er zal meer met een strategische bril naar de auditplanning moeten worden gekeken.
Drs. Marc van Heese RO RE CIA is partner bij ARC People en is onder andere verantwoordelijk partner voor diverse aan ARC People geoutsourcete risk- en auditfuncties.
[1] https://www.iia.nl/SiteFiles/Risk%20in%20Focus%202025.pdf
