Skip to main content

Must haves risicobeheersing bij de transitie naar WTP

Met de overgang naar de nieuwe Wet Toekomst Pensioenen (WTP) zijn er nog veel vragen over hoe risicobeheersing moet worden ingericht. Deze blog biedt ondersteuning met enkele essentiële richtlijnen. Na een algemene introductie wordt risicobeheersing besproken vanuit de plan-do-check-act (PDCA)-cyclus. Tot slot wordt de rol van de sleutelfunctie risicobeheer belicht.

Risicobeheersing door sleutelfuncties

De in de pensioenwetgeving verankerde sleutelfunctiehouders risicobeheer, interne audit en actuarieel moeten borgen dat vanuit hun taakgebied voldoende (zorgvuldig en zichtbaar) aandacht wordt besteed en gereflecteerd op de beheerste bedrijfsvoering van het pensioenfondsbestuur. Dit geldt vanzelfsprekend ook voor de omvangrijke en complexe transitie naar WTP.

In deze blog focus ik mij op de rol van sleutelfunctiehouder risicobeheer bij de WTP transitie, die voldoende aandacht voor risicobeheer moet borgen.

Plan-Do-Check-Act Cyclus

In het FTK besluit artikel 18 staat waaraan een pensioenfonds moet voldoen bij een beheerste bedrijfsvoering: ”het fonds stelt onder meer strategieën, processen en rapportageprocedures schriftelijk vast om op individueel en geaggregeerd niveau de risico’s waaraan het fonds en door het fonds uitgevoerde pensioenregelingen zijn of kunnen worden blootgesteld regelmatig te onderkennen, meten, bewaken en beheren en hierover te rapporteren.”

Om hieraan te voldoen is het essentieel te werken met een gestructureerde en gefaseerde aanpak langs een Plan-Do-Check-Act Cyclus, PDCA-cyclus.

In aanvulling op het bestuur (“1e lijn”) ziet de onafhankelijke risicobeheerfunctie (“2e lijn”) er hierbij op toe dat risicobeheersing binnen deze PDCA cyclus voldoende aandacht krijgt.

Risicobeheersing bij de transitie naar WTP

Het gaat te ver om in deze blog een integraal overzicht te geven van de brede rol van de sleutelfunctiehouder risicobeheer en hiermee verband houdende werkzaamheden. Er wordt met een behandeling in hoofdlijnen volstaan, door elke fase van de PDCA-cyclus enkele must haves te benoemen. Tot slot wordt aandacht besteed aan de plaats van de sleutelfunctiehouder risicobeheer in projectorganisatie.

Deze must haves dragen bij aan een tijdige opdrachtaanvaarding en het opleveren van een in opzet risicobeheerst implementatieplan en communicatieplan, waarna de operationele transitie en het invaren op de geplande invaardatum zal plaatsvinden.

Plan-fase

  • Beoordeel de toereikendheid van een integraal projectplan. Check volledigheid, begrijpelijkheid en overzichtelijkheid van mijlpalen/fases leidend tot een tijdige transitie. In het open-boek-toezicht geeft DNB een handreiking met welke mijlpalen kan worden gewerkt. Belangrijke elementen bij het projectplan zijn een adequate projectorganisatie en vastlegging taken, verantwoordelijkheden en bevoegdheden, waaronder die van de sleutelfunctiehouders. Geef over de bevindingen een opinie en monitor opvolging van de aanbevelingen.
  • Bij de transitie is er veel afhankelijkheid van derden, zoals uitvoeringsorganisaties en sociale partners. Veranker en beheers deze afhankelijkheden in het project-transitieplan.
  • Definieer vooraf go/no momenten en procedures voor als no go momenten zich voordoen om continuïteit van het proces te waarborgen.

Do-fase

  • Beoordeel de tijdigheid en toereikendheid  van de oplevering van deelproducten/mijlpalen. Geeft voorafgaand aan de besluitvorming voor elk materieel deelproduct/mijlpaal een risico-opinie. Borg een tijdige behandeling van de risico-opinie bij de besluitvorming, bijvoorbeeld door aanwezigheid bij de vergadering.
  • Zie toe op volledigheid en robuustheid van risicoanalyses door de preseigenaren en het tijdig actualiseren hiervan. Geef een opinie met oordeel en aanbevelingen

Check-fase

  • Check periodiek een logische opvolging van de mijlpalenplanning en nog openstaande acties en aanbevelingen, onder meer met behulp van periodieke voortgangsrapportages. Beoordeel de toereikendheid van de rapportages en bevindingen en geeft hierover een opinie. Neem bij de beoordeling ook de afhankelijkheid van derde partijen mee.

Act-fase

  • Zie toe op opvolging van kritische aanbevelingen en bijsturing van gesignaleerde tekortkomingen, zodat na opdrachtaanvaarding tijdige oplevering van het implementatieplan, communicatieplan en de operationele uitvoering  van de transitie kan plaatsvinden.

Tot slot

Een beheerste transitie naar WTP heeft geen kans van slagen, als de sleutelfunctiehouders hun rol niet goed kunnen uitoefenen. Daarom wordt ter afsluiting aandacht besteed aan de plaats van de sleutelfunctiehouder risicobeheer in de projectorganisatie.

Plaats sleutelfunctiehouder risicobeheer in de projectorganisatie

Om goed invulling te geven aan zijn rol  moet de sleutelfunctiehouder risicobeheer door het bestuur in staat gesteld worden zijn functie op een objectieve, eerlijke en onafhankelijke manier te vervullen (FTK artikel 22c). De sleutelfunctiehouder moet dit in samenspraak met het bestuur borgen. In beginsel zal dit geborgd zijn in de bestuurlijke governance, vastgelegd in de ABTN en reglementen. Daarnaast moet de sleutelfunctiehouder hier met een onafhankelijk en professioneel optreden een bijdrage aan leveren. Voldoende, tijdige, brede zichtbaarheid en communicatie met deelnemers in de projectorganisatie is hierbij een must.

Een periodieke afstemming tussen sleutelfunctiehouders, die ieder vanuit hun eigen taakgebied toezien op het proces, is inmiddels eveneens waardevol gebleken. Met een sleutelfunctiehoudersoverleg wordt de structurele en integrale  controle op het transitieproces versterkt. Onderdeel van deze afstemming is dat sleutelfunctiehouders kennis nemen van elkaars bevindingen en opinies en hiervan waar nodig en effectief gebruik van maken. Met name de beoordeling van de sleutelfunctiehouder actuarieel, onder meer waar het betreft de plausibiliteit van actuariële uitgangspunten en berekeningen geven de sleutelfunctiehouder risicobeheer aanvullend inzicht in het beheersingsproces.

Bent u aan het nadenken over de inrichting of aanpassing van de interne auditfunctie bij uw fonds, dan denk ik, bij een (digitale) kop koffie graag vrijblijvend met u mee. Neem gerust contact met mij op.

Hans Sieraad,
Associate bij ARC People

Het tekort aan Internal Auditors: innovatieve en strategische oplossingen gewenst

Als eindverantwoordelijke van een bureau dat o.a. auditdiensten aanbiedt, merk ik dagelijks de krapte op de arbeidsmarkt voor internal auditors in Nederland. Het aantal internal auditfuncties neemt nog steeds toe, internal auditors stromen door naar andere functies en de instroom van nieuwe auditors is onvoldoende. Een bijkomende uitdaging is dat relatief veel arbeidskrachten de overstap maken naar ondernemerschap als zzp’er. De flexibiliteit, autonomie en stijgende tarieven die het zzp-schap lijkt te bieden, trekt veel auditprofessionals aan. Soms pakt de werkelijkheid van het zzp-schap minder romantisch uit dan vooraf gedacht, maar daarover schrijf ik wellicht een andere keer.

In de jaren dat ik de beroepsvereniging, het Instituut van Internal Auditors (IIA) Nederland, mocht vertegenwoordigen als bestuurslid (2008-2014), focusten we vooral op de bekendheid en relevantie van het vakgebied richting allerlei organisaties. We legden met het IIA ook de basis voor advocacy & lobby naar o.a. de pers, toezichthouders en commissarissen. O.a. de vermelding van internal audit in de corporate governance code werd terecht gevierd als succes. Maar eerlijk gezegd zijn we in die tijd iets heel belangrijks vergeten: de instroom bevorderen…

De kloof dichten

De behoefte aan gekwalificeerde professionals overstijgt momenteel het aanbod en daarvoor zijn duidelijk aanwijsbare redenen. En hoe de toekomst er uit ziet? Mijn verwachting is dat deze schaarste verder zal toenemen. Om deze kloof te kunnen dichten, moeten we innovatieve en strategische oplossingen inzetten. Het is daarbij essentieel dat zowel de beroepsvereniging (IIA), organisaties met auditfuncties, als onderwijsinstellingen een belangrijke rol spelen. Ook de commerciële dienstverleners kunnen hun invloed positief aanwenden.

In deze blog roep ik niet alleen op tot snelle, noodzakelijke actie, maar schets ook kort enkele initiatieven die we kunnen nemen om meer professionals aan te trekken en op te leiden voor de mooie, belangrijke rol van internal auditor.

Onderwijs en training

Een belangrijke stap lijkt me de samenwerking met onderwijsinstellingen. Uiteraard ook met degenen die al specifieke auditopleidingen aanbieden, zoals de Erasmus Universiteit en UvA met de RO-studie en de Haagse Hogeschool en Avans+ met het niveau eronder. Samenwerking die verder gaat dan over het curriculum en de kwaliteit: juist ook over hun propositie, doelgroep benadering en algehele marketing.

Er is echter nog meer te winnen bij andere universiteiten en hogescholen. Bij de werving van onze eigen audit trainees merken we dat afgestudeerden vrijwel nooit eerder in hun studie hoorden over internal audit. Zelfs niet in studies Bedrijfs- of Bestuurskunde, die toch dicht bij ons vakgebied liggen. Dit verdient een specifieke propositie van de beroepsgroep, richting een weloverwogen aantal geselecteerde studies. Weten we onder de aandacht te komen? Dan kunnen deze studies worden ondersteund bij het aanbieden van specifieke interne auditprogramma’s. Door gastcolleges te geven en stages aan te bieden, krijgen studenten de kans om praktijkervaring op te doen en zich te verdiepen in het vakgebied.

De huidige certificering tot Certified Internal Auditor (CIA) kan nog meer worden ingezet om studenten te motiveren zich verder te specialiseren in internal auditing. Het zou al een enorme winst zijn als men alleen Part 1 (Essentials of Internal Auditing) aan het CV zou toevoegen, als eerste stap (eventueel naar meer?). Voor werknemers die al kozen voor een andere baan, maar interesse kregen voor ons bijzondere vak, kunnen gerichte bijscholingsprogramma’s worden ingezet.

Bewustwording en promotie

Voor een betere instroom is het verhogen van de zichtbaarheid en aantrekkelijkheid van de functie van internal auditor cruciaal. Vrijwel alle zichtbare uitingen van dit moment richten zich echter van auditor tot auditor, veelal over inhoudelijk gedetailleerde vraagstukken. Deze gaan nauwelijks over de functie, richting niet-auditors, dus evenmin richting potentiële nieuwe collega’s.

Promotiecampagnes kunnen de voordelen en carrièremogelijkheden van de functie benadrukken. Uiteraard zijn er diverse opties om deze campagnes te voeren: via social media, job fairs of beroepsoriëntatiedagen. Het gebruik van testimonials en succesverhalen zijn daarbij essentieel. Van zowel het huidige management, hoe het is om met een instromer te werken, als de ervaring van de instromer zelf. Mooie recente voorbeelden daarvan zijn die van Laura van den Ing in AuditMagazine en van één van onze opdrachtgevers over de samenwerking met een trainee. Wordt ervoor gekozen om bijna-afstuderende studenten te benaderen? Maak dan vooral gebruik van de inzichten van degenen die recent instroomden. Ongetwijfeld denken zij graag mee, vanuit hun enthousiasme, kennis en ervaring.

Business Auditors en Audit traineeships

Natuurlijk zijn er nog andere mogelijkheden om de kloof tussen vraag en aanbod te verkleinen. Het inzetten van business auditors blijft een interessante benadering. Verschillende bedrijven, zoals multinationals en grote financiële instellingen, hebben succesvolle programma’s opgezet waarbij business auditors (collega’s die een audit kunnen uitvoeren omdat ze tijdelijk zijn uitgeleend door andere bedrijfsafdelingen) worden ingezet. Deze programma’s hebben aangetoond dat business auditors niet alleen de effectiviteit van audits kunnen verbeteren, maar ook kunnen bijdragen aan een cultuur van voortdurende verbetering en risicobewustzijn binnen de organisatie.

Het concept van business auditors biedt een innovatieve en praktische oplossing voor het tekort aan internal auditors. Door gebruik te maken van de bestaande talenten en expertise binnen de organisatie, kunnen bedrijven hun auditcapaciteit versterken en tegelijkertijd de professionele ontwikkeling van hun medewerkers bevorderen.

Audit traineeships bieden een gestructureerde en effectieve manier om nieuwe talenten te ontwikkelen in de auditsector. Ze combineren praktijkervaring, training, en professionele coaching om deelnemers klaar te stomen voor een succesvolle carrière in auditing. Zowel bedrijven als trainees profiteren van deze programma’s, doordat ze helpen om de kloof tussen theorie en praktijk te overbruggen en een robuuste pipeline van gekwalificeerde auditors te creëren. Ook brengt het de bestaande collega’s nieuwe energie en ideeën. Lees hier meer over het traineeship waarmee ARC People al meer dan 15 jaar audittalenten toevoegt aan het vakgebied. Het concept werkt: enkele talenten van jaren geleden zijn inmiddels onze opdrachtgevers geworden!

Arbeidsvoorwaarden en carrièrepaden

Uiteraard helpt het voor het aantrekken en behouden van internal auditors ook wanneer er competitieve salarissen en aantrekkelijke secundaire arbeidsvoorwaarden voor de functie gelden. Het extra benadrukken van een goede werk-privé balans, flexibele werkmogelijkheden én de mogelijkheid tot het maken van échte impact kan vooral jongere professionals aanspreken; zij hechten immers relatief veel waarde aan deze elementen.

Het schetsen van duidelijke carrièrepaden voor internal auditors draagt eveneens bij aan de aantrekkelijkheid van het beroep. Hierbij dienen vooral de volgende elementen te worden benadrukt: promotiekansen, doorgroeimogelijkheden naar hogere posities binnen de organisatie, continu leren, snelle ontwikkeling en uitbreiding van het persoonlijke netwerk.

Hetzelfde werk ánders doen

Uiteraard kun je als oplossingsrichting er ook nog aan denken om het huidige werk op een andere manier te gaan doen. Zodanig efficiënt dat er met de huidige bezetting meer inzichten kunnen worden opgeleverd aan de organisatie. Daarvoor zijn er legio mogelijkheden. Ik noem er hier slechts enkele. Misschien heeft u deze opties al toegepast?

  • Kijk je een eerste keer ergens naar? Beoordeel eerst alleen eens de opzet.​
  • Is er al een probleem van tevoren bekend? Stap dan door naar een diagnose​.
  • Neigt het al snel naar een ‘Onvoldoende’, in de eerste fase van de audit? Zet de audit tijdelijk stop, draag je normenkader over en kom later terug.​
  • Laat eerst een self-assessment door de auditee​ uitvoeren, alvorens te auditen.

Ook valt er uiteraard te denken aan de inzet van AI voor de interne auditfunctie. Enkele eerste mooie voorbeelden van de toepassing ervan zijn aan het ontstaan. Analyseren van documentatie en ongestructureerde gegevens op basis van een aangedragen norm, geautomatiseerde verwerking van gegevens tot een rapportage, et cetera. Of zijn er routinematige of herhalende taken die, als je eerlijk bent, ook door AI óf een andere functie in de organisatie kunnen worden overgenomen? Afijn, genoeg stof om over na te denken.

Tenslotte

Er heerst schaarste op de arbeidsmarkt voor internal auditors en de verwachting is dat die schaarste zal toenemen. Er zijn dringend acties nodig ter bevordering van de instroom. In deze blog zijn enkele suggesties geschetst. Wellicht hebben deze u al aan het denken gezet, of zelfs al tot actie doen overgaan, ook al zijn sommige suggesties voor de hand liggend. In ieder geval lijkt het verstandig om vanuit de beroepsvereniging wederom een goede advocacy strategie (lees: belangenbehartiging middels beïnvloeding) te ontwikkelen. Net zo concreet als jaren geleden werd opgezet om het vakgebied te promoten bij alle beslissers, maar nu gericht op de belangrijkste stakeholders aan de instroomkant. Die aanpak zou ook aan de instroomkant tot succes moeten kunnen leiden.

Laatste update: 10-09-2024

Verken de mogelijkheden van het ARC Talent Program

Wilt u ook profiteren van het succes van ons traineeship? Ontdek hoe het ARC Talent Program uw team kan versterken en bijdraagt aan voortdurende groei en succes. Neem contact op met Sander van Oosten.

Bent u klaar voor DORA? Ontdek hoe u DORA-compliant wordt

Wat is DORA?

DORA is één van de vele nieuwe wet- en regelgevingen die binnen afzienbare tijd van toepassing worden voor alle financële instellingen binnen de lidstaten van de Europese Unie. DORA staat voor Digital Operational Resilience Act en heeft als voornaamste doel om wet- en regelgeving op het gebied van cyberrisico’s voor de financiële sector te uniformeren en te standaardiseren en om de digitale weerbaarheid tegen cyberaanvallen te versterken.

In tegenstelling tot bijvoorbeeld de NIS2-regelgeving is DORA echter een verordening die niet eerst in lokale wet- en regelgeving geïmplementeerd moet worden voordat deze van kracht is. DORA is daarom per 17 januari 2025 direct van kracht binnen alle lidstaten van de Europese Unie en de implementatie zal ook op het niveau van de Europese Commissie worden gemonitord door de Europese toezichthouders EBA (Europese Bankautoriteit), EIOPA (Europese Autoriteit voor verzekeringen en bedrijfspensioenen) en ESMA (Europese Autoriteit voor Effecten en Markten).

De volgende organisaties vallen onder andere onder DORA:

  1. Banken
  2. Verzekeraars
  3. Beleggingsondernemingen (waaronder pensioenfondsen)
  4. Cryptodienstverleners

De reikwijdte van DORA stopt echter niet bij deze financiële entiteiten omdat DORA deze instellingen tegelijkertijd verplicht om ook regie te houden op de beheersing van cyberrisico’s in de gehele keten, dus ook die van de leveranciers van de instelling die dienstverlening leveren bestaande uit of ondersteund door ICT. Een vermogensbeheer van een pensioenfonds valt bijvoorbeeld ook onder deze definitie. Dit heeft als voordeel dat de Europese toezichthouders alleen toezicht hoeven te houden op de financiële entiteiten in scope van de verordening maar dat tegelijkertijd er door deze entiteiten zelf toezicht wordt gehouden op de rest van de keten.

DORA bestaat uit 3 niveaus

Level 1 – de primaire wetgeving: bestaande uit 5 hoofdonderwerpen.
Level 2 – de technische standaarden: bestaande uit Regulatory Technical Standards (RTS) en Implementing Technical Standards (ITS).
Level 3 – niet-bindende richtlijnen.

Hieronder worden deze 3 niveaus/levels nader toegelicht.

Goed om te weten is dat DORA in tegenstelling tot andere Cyber Security wet-en regelgeving zoals NIS2 of normenkaders zoals NIST en CIS, rule-based is in plaats van principle-based.

DORA level 1 bestaat uit de volgende hoofdonderwerpen uit de primaire wetgeving:

  1. ICT Risicobeheer;
  2. Incidentenbeheer;
  3. Testen van digitale weerbaarheid;
  4. ICT-outsourcing;
  5. Informatie-uitwisseling.

DORA level 2 beschrijft per onderwerp uit de primaire wetgeving de regels die in detail gevolgd moeten worden (RTS), zoals bijvoorbeeld de RTS “ICT incident classification” die in detail ingaat op de classificatie van incidenten. Tevens worden er templates verschaft voor de meest uitgebreide vereisten (ITS), zoals bijvoorbeeld het Register van Informatie voor alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten.

DORA level 3 beschrijft de niet-bindende richtlijnen. Deze zijn bedoeld om best practices te delen, bevatten voorbeelden en praktische tips en zijn uiteindelijk bedoeld om een uniforme toepassing van de regelgeving in alle EU-lidstaten te bevorderen.

Meldingsplicht

Naast het verplicht nemen van maatregelen geldt een meldingsplicht voor financiële instellingen die onder DORA vallen. Deze meldingsplicht is tweeledig:

1. Incidentmelding

Melden van incidenten die een impact hebben op de dienstverlening van een financiële instelling. Dit gaat verder dan de huidige eisen van De Nederlandsche Bank (DNB).

2. Meldplicht derde partijen

Alle contractuele overeenkomsten voor het leveren van ICT-diensten moeten worden vastgelegd in een register. Ondernemingen moeten daarbij opnemen of de afgenomen diensten kritieke of belangrijke activiteiten ondersteunen. Toezichthouders kunnen dit register opvragen. Daarnaast dienen nieuwe overeenkomsten jaarlijks te worden gerapporteerd. Overeenkomsten met betrekking tot kritieke of belangrijke functies moeten ook tussendoor actief gemeld worden bij de toezichthouder¹.

Sancties

De specifieke sancties voor de DORA variëren afhankelijk van de context en de mate van niet-naleving. De gevolgen kunnen zijn:

  1. Boetes en financiële sancties. De hoogte kan variëren op basis van de ernst van de inbreuk en de omvang van de instelling.
  2. Beperkingen op bedrijfsactiviteiten. Toezichthouders kunnen beperkingen opleggen aan de activiteiten van financiële instellingen die niet voldoen aan DORA. Dit kan bijvoorbeeld betekenen dat ze bepaalde diensten niet mogen aanbieden of hun activiteiten moeten verminderen.
  3. Reputatieschade. Niet-naleving van DORA kan leiden tot negatieve publiciteit en reputatieschade voor de betrokken instellingen.
  4. Strafrechtelijke vervolging. In ernstige gevallen kunnen individuen binnen de financiële instelling, hoofdzakelijk het bestuur, strafrechtelijk worden vervolgd bij het opzettelijk schenden van de DORA voorschriften.

Grotere rol van het bestuur bij DORA

De reikwijdte van DORA is groter dan alleen de financiële instellingen die benoemd worden in de verordening, omdat de instellingen tegelijkertijd verplicht zijn om regie te houden op de beheersing van cyberrisico’s in de gehele keten.

Wat opvalt, is dat de DORA zeer omvangrijk is, bestaande uit honderden pagina’s en dat deze verordening rule-based is. Afwijking van de regels is maar voor een zeer selecte groep aan organisaties, onder de noemer micro-organisaties, toegestaan. Verder zijn nog niet alle Level 2, ofwel Regulatory Technical Standards, uitgebracht. De laatste batch aan standaarden wordt pas op 17 juli 2024 uitgebracht. Echter, ook deze standaarden moeten per 17 januari 2025 geïmplementeerd zijn door organisaties.

Wat ook opvalt, is de grotere rol voor en verantwoordelijkheid van het bestuur. Zo dienen zij de cybersecurity-maatregelen goed te keuren en toe te zien op de uitvoering ervan. Stevige monitoring is dus vereist. Tevens dient het bestuur verplicht training te volgen.

Zoals vermeld heeft de invoering van DORA verregaande en verstrekkende gevolgen voor financiële entiteiten (en hun leveranciers) en de verwachtte implementatietijd per organisatie is aanzienlijk. Het is daarom belangrijk om zo snel mogelijk te starten.

Volgende stappen: hoe word u DORA-compliant?

Om compliant te worden aan DORA, adviseren wij u de volgende stappen te nemen:

  1. Start met een fit-gap analyse op DORA level 1 niveau. Indien uw organisatie onder DNB toezicht staat kunt u hiervoor ook de DNB Good Practice Informatiebeveiliging 2023 gebruiken. Dit kader wordt al door DNB gebruikt en dekt een groot deel van DORA level 1 af.
  2. Volg de gaps op DORA level 1 niveau op en gebruik hiervoor de “rules” uit de verordening.
  3. Voer een fit-gap analyse uit op DORA level 2 niveau.
  4. Volg de gaps op DORA level 2 niveau op.
  5. Start met de reeds goedgekeurde policies en tijdrovende ITS’en.
  6. Voer opnieuw een fit-gap analyse uit op DORA level 2 niveau (nadat het 2e deel van de level 2 policies zijn uitgebracht op 17 juli 2024, zoals vermeld in de vorige paragraaf).
  7. Volg de laatste gaps op.
  8. Laat eind 2024 een (interne) audit uitvoeren om vast te stellen of aan alle DORA eisen wordt voldaan.

Indien uw organisatie verwacht om niet tijdig (volledig) compliant te zijn dan adviseren wij om in ieder geval de belangrijkste vereisten op orde te hebben, onder andere de vereisten in de RTS’en “Register of Information”, “ICT incident classification” en “Major Incident Reporting”.

Uiteraard vragen deze stappen om verdere detaillering en inhoudelijke kennis om deze verder goed uit te werken.

Wilt u meer weten of een keer sparren over DORA? Ontdek onze diensten of neem direct contact op met Anita van der Leeuw anita@arcpeople.nl of via 06-18682946.

¹ DORA update 2: Aan de slag met DORA: Beheer van ICT-risico van derde aanbieders, AFM, December 2023.

Rol van accountants bij de AvA

Vrijdag 19 april jongstleden plaatste het Financieele Dagblad een artikel over de rol van de externe accountant op de aandeelhoudersvergadering. Hele korte samenvatting: de wens van de aandeelhouders is dat de accountant zich op de aandeelhoudersvergadering ook gaat uitspreken over o.a. risicobeheersing, fraude, cybersecurity en zelfs over cultuur.

Alle respect en waardering voor de expertise van accountants, maar ik vroeg me direct af of de externe accountant hiervoor a) alle expertise in huis heeft en b) voldoende tijd heeft om alle aspecten van deze onderwerpen met de juiste diepgang grondig te toetsen. Om direct antwoord te geven op die vraag: ik kan me dit niet voorstellen. Voor de gemiddelde internal auditor is het namelijk ook al een uitdaging om over al deze onderwerpen assurance te geven, terwijl deze dagelijks rondlopen binnen een organisatie. Dit in tegenstelling tot de korte tijdspanne die de externe accountant rondloopt binnen de te controleren organisatie. Ook de opleiding van de internal auditor is wezenlijk anders dan die van de externe accountant. De internal wordt immers als bedrijfskundige opgeleid (breed), in tegenstelling tot de scholing van de externe accountant die zich nog steeds overwegend richt op de financiële processen.

Voor wie niet weet wat een internal auditor doet: de internal auditor wordt vaak gezien als een ‘tool of management’ en geeft inzicht in de beheersing van de organisatie over diverse onderwerpen die op basis van een risicoanalyse worden geselecteerd. Risicomanagement en IT zijn vaak het onderwerp. Kortom: de internal auditor kijkt of de organisatie goed is ingericht om de gestelde doelen te behalen. Niet elke organisatie heeft een internal auditor (de wettelijke verplichting is er alleen voor financiële instellingen) maar steeds meer organisaties zien nut en noodzaak van deze functie.

Ik begrijp heel goed dat de aandeelhouder meer over risicobeheersing, fraude, cybersecurity en cultuur zou willen weten. Het zijn essentiële onderwerpen die direct van invloed zijn op de financiële resultaten van een onderneming. Steviger verwoord: onderwerpen die direct van invloed zijn op het voortbestaan van een onderneming.  Mijn mening is echter dat de externe accountant deze verwachting niet waar kan maken om de eerder genoemde redenen: kennis van de onderwerpen en de te auditen organisatie en tijdgebrek voor diepgaand en onderbouwd onderzoek. Volgens mij is het al lastig genoeg om assurance te geven over de cijfers en bedrijfscontinuïteit; casussen genoeg die dat onderschrijven (Wirecard, Ahold, Imtech etc.).

Ik zie dat de internal auditor (net als de riskmanager) beter is geëquipeerd en daarmee beter in staat is om een aandeelhouder inzicht te geven in risicobeheersing, fraude, cybersecurity en cultuur. Ik zou de aandeelhouders dan ook adviseren om nog beter inzicht te krijgen in de resultaten van de werkzaamheden van de internal auditor; eventueel door een extra paragraaf in de jaarrekening of een uitnodiging op de AvA.

Drs. Marc van Heese RO RE CIA
Partner bij ARC People en vervult regelmatig voor aan ARC People geoutsourcete auditfuncties de rol als Chief Audit Executive

Ontdek NIS2: uitleg, impact en stappenplan

Wat is NIS2?

NIS2 is één van de vele nieuwe richtlijnen die binnen afzienbare tijd van toepassing worden voor de lidstaten van de Europese Unie. NIS2 is een Europese richtlijn en staat voor Network- and Information Security 2. Het is de opvolger van NIS uit 2016, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). NIS2 is geen aanvulling op de oude NIS maar vervangt deze volledig. Het doel van NIS2 is het verbeteren van zowel de digitale als economische weerbaarheid. De Nederlandse overheid moet NIS2 nog omzetten naar nationale wetgeving. Doel was 17 oktober 2024 maar de regering heeft al aangegeven dat zij dit niet gaat halen¹. Desalniettemin is het algemene advies om als organisatie per 17 oktober 2024 te voldoen aan deze richtlijn; voor de digitale veiligheid van uw organisatie en eisen vanuit uw klanten.

Een belangrijk verschil tussen NIS en NIS2 is dat de richtlijn voor aanzienlijk meer sectoren gaat gelden. Tevens zal er onderscheid worden gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Hieronder een tabel met relevante sectoren. Organisaties die middelgroot (minder dan 250 personen werkzaam zijn en waarvan de jaaromzet 50 miljoen EUR of het jaarlijkse balanstotaal 43 miljoen EUR niet overschrijdt) of groter zijn en actief in één van deze sectoren vallen onder de richtlijn.

Essentieel Belangrijk
Energie Digitale aanbieders
Transport Post- en koeriersdiensten
Bankwezen Afvalstoffenbeheer
Infrastructuur financiële markt Levensmiddelen
Gezondheidszorg Chemische stoffen
Drinkwater Onderzoek
Digitale infrastructuur Vervaardiging / manufacturing
Beheerders van ICT-diensten
Afvalwater
Overheidsdiensten
Ruimtevaart

Verder geldt de richtlijn nog voor specifieke organisaties ongeacht de omvang.

De eisen ten aanzien van te nemen maatregelen voor de mitigatie van cyberrisico’s zijn niet verschillend voor essentiële of belangrijke entiteiten; er is wel verschil in toezicht en sanctiebeleid.

Een ander belangrijk verschil met NIS is dat de toezichthouder bij essentiële entiteiten niet alleen optreedt naar aanleiding van een extern geconstateerde overtreding of een incident maar, bijvoorbeeld door het uitvoeren van audits, ook op zoek kan gaan naar non-compliance. Bij belangrijke entiteiten is alleen de controle achteraf naar aanleiding van een signaal.

De cybersecurity-maatregelen

Er dienen onder meer maatregelen te worden genomen op het vlak van beleid inzake ten aanzien van beveiliging van informatiesystemen, een incidentenprocedure; back-upbeheer en business continuïteitsplannen, beveiliging van de toeleveringsketen, etc. In onze white paper vindt u een verdere uiteenzetting.

Daarnaast wordt in de richtlijn uitdrukkelijk gewezen om bij het bepalen van de maatregelen ook rekening te houden met kwetsbaarheden van de leveranciers van de organisatie en van de leveranciers van de leveranciers.

Meldingsplicht

Naast het verplicht nemen van maatregelen geldt een gefaseerde meldingsplicht voor de organisaties bij significante incidenten die onder NIS2 vallen. Deze bestaat uit een initiële melding (binnen 24 uur), een uitgebreidere 72-uurs incidentmelding en een eindverslag uiterlijk binnen één maand na de indiening van de 72-uurs melding. Het staat de toezichthouder verder vrij om tussentijds verdere informatie op te vragen.

Sancties

Hierboven is al gerefereerd aan de mogelijke sancties die kunnen gelden bij overtreding van de richtlijn. Er is veel overlap van sancties voor essentiële en belangrijke entiteiten. De belangrijkste verschillen zitten in de hoogte van de boetes en voor de essentiële entiteiten geldt aanvullend dat bestuurders kunnen worden geschorst en persoonlijk aansprakelijkheid kunnen worden gesteld als zij hun verplichtingen op grond van de richtlijn niet nakomen.

Onze visie op NIS2

NIS2 geldt voor aanzienlijk meer organisaties dan een eerste indruk doet vermoeden; mede ook doordat entiteiten ook moeten toezien op de mate van beheersing van IT security van hun leveranciers. Het is duidelijk dat NIS2 niet alleen een interne exercitie zal zijn. En dat NIS2 niet alleen impact zal hebben op de organisaties die direct onder de richtlijn vallen maar ook op toeleverende partijen.

Wat opvalt, is dat de genoemde maatregelen niet normerend worden geformuleerd zoals dat bij de DORA (Digital Operational Resilience Act) wel het geval is in de bijbehorende regulatory technical standards.

De overheid adviseert overheidsinstanties aan te sluiten bij bestaande kaders, in dit geval BIO (Baseline Informatiebeveiliging Overheid) waarbij de BIO naar alle waarschijnlijkheid zal worden uitgebreid². Ook wij adviseren om een normenkader te hanteren, bijvoorbeeld de DNB Good Practice Informatiebeveiliging of de handreikingen van het Nationaal Cyber Security Centrum. Uiteraard zijn dit richtlijnen en ontslaat dat de organisatie niet van het zelf nadenken over passende maatregelen. Elke organisatie en ICT-inrichting vraagt eigen maatregelen.

Wat verder opvalt, is de grotere rol voor en verantwoordelijkheid van het bestuur. Zo dienen zij de cybersecurity-maatregelen goed te keuren en toe te zien op de uitvoering ervan. Stevige monitoring is dus vereist. Tevens dient het bestuur verplicht training te volgen.

Kijkend naar de potentiële reikwijdte van de richtlijn, de impact en de sancties is NIS2 een wetgeving om serieus te nemen. Buiten het wetgevende kader zijn de meeste maatregelen die worden genoemd overigens sowieso relevant om te implementeren.

Onze aanpak

Om compliant te worden aan NIS2, adviseren wij u de volgende stappen te nemen:

  • Voer een risicoanalyse uit op informatiebeveiliging/cyber risico’s; raak daar minimaal de onderwerpen uit artikel 21;
  • Geef daarbij speciale aandacht aan uw leveranciersketen;
  • Stel de te nemen noodzakelijke maatregelen vast (al dan niet op basis van een (aangepast) normenkader zoals BIO of DNB Good Practice IB;
  • Laat de genomen maatregelen door het bestuur goedkeuren;
  • Implementeer de maatregelen;
  • Toets periodiek het bestaan en de werking van deze maatregelen (monitoring) en rapporteer hierover aan het bestuur;
  • Zorg voor onderhoud van het via bovenstaande stappen gerealiseerde risico-control framework.

Uiteraard vragen deze stappen om verdere detaillering en inhoudelijke kennis om deze verder goed uit te werken.

Voor meer gedetailleerde informatie over NIS2 kunt u ons gratis whitepaper downloaden.

Wilt u meer weten of een keer sparren over NIS2? Ontdek onze diensten of neem contact op met Marc van Heese via marc@arcpeople.nl of 06-52073162.

¹ Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie | Tweede Kamer der Staten-Generaal

² NIS2-richtlijn NIS2-richtlijn – Digitale Overheid

Internal Audit: pak je rol in de (vernieuwde) DNB Good Practice voor informatiebeveiliging

De DNB Good Practice Informatiebeveiliging

De Nederlandsche Bank (DNB) heeft een ‘Good Practice Informatiebeveiliging’ opgesteld als richtlijn voor informatiebeveiliging bij financiële instellingen in Nederland. Deze good practice heeft tot doel de financiële instellingen te ondersteunen bij het effectief en efficiënt inrichten van hun informatiebeveiligingsbeleid en -praktijk.

De Good Practice wordt al een tijd gebruikt door DNB, ook bij hun jaarlijkse sectorbrede uitvragen, en is onlangs vernieuwd. Er zijn twee versies: de 2019/2020-versie en de 2023-versie. De Good Practice Informatiebeveiliging 2023 (hierna GP IB 2023) bouwt voort op de eerdere versie uit 2019/2020, met de intentie om zoveel mogelijk aan te sluiten op de structuur en inhoud ervan. De herziene versie integreert nieuwe inzichten, praktijkvoorbeelden, en ontwikkelingen in regelgeving, zoals de Digital Operational Resilience Act (DORA) en EIOPA-richtlijnen, om een meer omvattende en actuele gids te bieden voor het managen van informatiebeveiligingsrisico’s. De GP IB 2023 is ook ‘uitgelijnd’ met DORA (Digital Operational Resilience Act) op Level 1. Level 1 bevat de primaire wetgeving die door de Europese wetgevers is vastgesteld. Level 2 bestaat uit meer gedetailleerde technische standaarden en richtlijnen die ontwikkeld worden door Europese toezichthoudende autoriteiten en bedoeld zijn als uitvoeringsmaatregelen die specificeren hoe de vereisten van Level 1 in de praktijk gebracht moeten worden. Dus let op: Level 2 zit heel duidelijk níet in de GP IB 2023. De GP IB 2023 zorgt daarom niet ‘automatisch’ voor compliance tegen DORA, maar is wel een stevig startpunt.

Meer nadruk op de rol van Internal Audit

De rol van Internal Audit binnen de GP IB 2023 krijgt extra nadruk, voortbouwend op de grondbeginselen die al zijn vastgesteld in de 2019-versie. In de 2023-versie is duidelijk te merken dat het belang van een goede rol door Internal Audit zwaarder is gaan wegen. Internal Audit wordt expliciet genoemd als een cruciale component van het drie-lijnenmodel, met de nadruk op hun onafhankelijkheid en de noodzaak voor een risico-gebaseerde benadering van hun werk. De verwachtingen rondom de rapportage, monitoring van aanbevelingen, vergelijking van rapportages en analyse van trends en ontwikkelingen zijn verder verfijnd om de verantwoordelijkheden van Internal Audit duidelijker te omschrijven en te verdiepen. De specifieke taken en verantwoordelijkheden van de Internal Audit Functie zijn bedoeld om te zorgen voor een grondige evaluatie en effectieve monitoring van de ICT-beheersingsraamwerken binnen financiële instellingen.

Een ander aspect in de 2023-versie is de grotere nadruk op de leveranciersketen. De GP IB 2023 legt veel nadruk op de outsourcingsketen (ook vanuit DORA). Veel organisaties vertrouwen op externe dienstverleners, wat nieuwe lagen van complexiteit en potentiële risico’s met zich meebrengt. Internal auditors moeten hun aandachtsgebied uitbreiden naar deze externe partners en beoordelen in hoeverre zij voldoen aan de vereiste normen voor informatiebeveiliging. Het opzetten van een systematisch assurance-proces voor deze leveranciers versterkt niet alleen de beveiliging, maar verhoogt ook het vertrouwen van belanghebbenden.

In een tijdperk waarin verandering de enige constante is, moeten internal auditors zich aanpassen om relevant te blijven. De combinatie van de evoluerende rol van Internal Audit en de leidraad van DNB Good Practice Informatiebeveiliging opent nieuwe deuren voor Internal Audit. Door buiten de gebaande paden te treden, opkomende risico’s aan te pakken en de leveranciersketen te versterken, kunnen auditors hun positie versterken als strategische partners in de organisatie.

De mogelijke rollen van Internal Audit op een rijtje

Zoals al uit de tekst hiervoor blijkt, kan Internal Audit allerlei prikkels geven en rollen aannemen in het kader van de DNB Good Practice. We zetten hieronder een aantal mogelijke rollen op een rij:

  1. Toetsing van beleid: Internal Audit kan beoordelen of de informatiebeveiligingsbeleidslijnen en -procedures van een financiële instelling in lijn zijn met de aanbevelingen van de DNB Good Practice.
  2. Control Self Assessments: Hoewel CSA’s vaak worden uitgevoerd door de business (1e en ook 2e lijn) zelf, speelt Internal Audit een belangrijke rol bij het opzetten, faciliteren en verrijken van dit proces. Hier gaan wij later in dit artikel verder op in.
  3. Risicobeoordeling: Internal Audit kan een onafhankelijke beoordeling doenvan de risicoanalyse die wordt uitgevoerd als onderdeel van het informatiebeveiligingsbeleid (of daarbij assisteren).
  4. Awareness en training: Internal Audit kan het management adviseren en bijstaan over de noodzaak van training en bewustwordingsprogramma’s rond informatiebeveiliging, zoals aanbevolen in de DNB Good Practice.
  5. Incidentenanalyse: In het geval van beveiligingsincidenten kan Internal Audit een onafhankelijke analyse uitvoeren van het incident, de oorzaken identificeren en aanbevelingen doen voor verbeteringen om herhaling in de toekomst te voorkomen.
  6. Advies en aanbevelingen: Op basis van hun bevindingen kunnen internal auditors aanbevelingen doen voor verbeteringen in de informatiebeveiliging van de organisatie.

We willen de internal auditor eveneens aanmoedigen tot een rol waarbij er samen met de organisatie verder wordt gekeken dan alleen de norm die de Good Practice vraagt. Internal Auditors kunnen hiermee extra waarde toevoegen, door te stimuleren dat er veerkracht wordt gekweekt. Veerkracht is immers nodig om het steeds veranderende landschap aan te kunnen, zeker als het om cyber risico’s gaat.

De rol van Internal Audit bij Control Self Assessments 

Eenvoudig gezegd zijn Control Self Assessments (CSA’s) een systematiek waarbij medewerkers en teams binnen een organisatie hun eigen processen, risico’s en interne controles beoordelen. Het kan zowel formeel als informeel zijn, met structuren variërend van eenvoudige checklists tot uitgebreide workshops. De kracht van CSA ligt in het direct betrekken van de medewerkers die verantwoordelijk zijn voor de processen, omdat zij vaak het beste de risico’s en benodigde control(e)s begrijpen. Door het zelf formuleren van verbeterpunten, wordt eveneens gezorgd voor het nodige draagvlak om deze verbeteringen ook zelf te realiseren.

Hoewel CSA’s vaak worden uitgevoerd door de operationele (ICT) teams zelf en gefaciliteerd worden door (bijvoorbeeld) de CISO, kan Internal Audit een belangrijke rol spelen bij het opzetten, faciliteren en verrijken van dit proces. Enkele manieren waarop internal audit waarde kan toevoegen:

  1. Faciliteren en ondersteunen: Internal auditors kunnen dienen als onpartijdige facilitators tijdens CSA-sessies, waardoor wordt geborgd dat de evaluatie volledig en eerlijk is. Door hun ervaring met verschillende bedrijfsprocessen kunnen ze ook best practices en inzichten delen.
  2. Training en voorbereiding: Internal auditors kunnen teams trainen in het gebruik van CSA-tools en -technieken, en hen voorzien van de nodige middelen om effectieve beoordelingen uit te voeren.
  3. Validatie van resultaten: Hoewel CSA zelfevaluatie betreft, is het essentieel dat de resultaten gevalideerd worden om zeker te zijn van hun nauwkeurigheid en volledigheid. Internal auditors kunnen een onafhankelijke beoordeling geven van de CSA-resultaten, en deze koppelen aan hun eigen audit bevindingen. In het geval van de Good Practice kan Internal Audit beoordelen in hoeverre de gerapporteerde (eigen) diplomascores/volwassenheidsniveaus plausibel zijn.
  4. Integratie met risicobeheer: De resultaten van CSA’s kunnen worden geïntegreerd in het bredere risicobeheerproces van de organisatie. Internal Audit kan helpen bij het prioriteren van risico’s en het beoordelen van verbeterplannen op basis van de resultaten van de CSA.
  5. Continu verbeteren: Door het observeren van verschillende CSA-sessies en het vergelijken van resultaten, kunnen internal auditors trends en patronen identificeren die kunnen leiden tot verbeteringen in het CSA-proces zelf of in de onderliggende processen die worden beoordeeld.

De rol van Internal Audit bij het beoordelen van assuranceverklaringen in de outsourcingsketen

Bij outsourcing geldt dat de assuranceverklaringen inzicht geven in de opzet en werking van de eigen controls, die uitbesteed zijn aan de leverancier. Het is daarom belangrijk om van leveranciers van in de outsourcingsketen te eisen dat ze een assuranceverklaring overleggen om inzicht te krijgen in de beheersing van hun risico’s en het aantonen van hun compliance. Dat werd al vereist in de 2019-versie, maar is nu veel prominenter aanwezig in de GP IB 2023.

Assuranceverklaringen zijn vaak onderdeel van contractuele afspraken en zorgen voor meer transparantie in de samenwerking. In het huidige digitale tijdperk kunnen ze ook bevestigen dat de beveiligingspraktijken van de leverancier op orde zijn. Het hebben van dergelijke verklaringen kan het vertrouwen van stakeholders versterken en helpt organisaties bij het identificeren van verbeterpunten.

Eén van de gebieden waar Internal Audit een aanzienlijke waarde kan toevoegen, is het beoordelen van assurance verklaringen in de leveranciersketen. Hier volgen enkele manieren waarop Internal Audit dit kan doen:

  1. Evaluatie: Internal Audit kan een evaluatie uitvoeren van de assurance verklaringen die door leveranciers worden verstrekt, om de adequaatheid, nauwkeurigheid, dekking en relevantie ervan te beoordelen.
  2. Bewaken van consistentie: Internal Audit kan toezien op de consistentie tussen de assurance verklaringen van leveranciers en de interne beleidslijnen, normen en vereisten van de organisatie.
  3. Identificatie van risico’s: Door de assurance verklaringen van leveranciers kritisch te beoordelen, kan Internal Audit potentiële risico’s of zwakke plekken identificeren die anders over het hoofd zouden kunnen worden gezien.
  4. Validatie van derden: Internal Audit kan een rol spelen bij het valideren van derden (zoals externe auditors) die de assurance verklaringen hebben afgegeven, om te zorgen voor hun onafhankelijkheid, competentie en betrouwbaarheid.
  5. Assurance mapping: Internal Audit kan assurance verklaringen van leveranciers integreren in de algemene auditplanning, zodat er een holistisch overzicht ontstaat van de risico’s en maatregelen binnen de gehele leveranciersketen.
  6. Brug tussen leveranciers en management: Internal Audit kan fungeren als een brug tussen leveranciers en het hoger management, door te waarborgen dat belangrijke informatie uit assurance verklaringen op de juiste manier wordt gecommuniceerd en geïnterpreteerd.
  7. Voortdurende monitoring: De dynamische aard van de leveranciersketen betekent dat risico’s en omstandigheden kunnen veranderen. Internal Audit kan een voortdurend monitoringsproces instellen voor assurance verklaringen, zodat er tijdig kan worden gereageerd op veranderingen.

Conclusie

Concluderend benadrukt de ‘Good Practice Informatiebeveiliging’ van De Nederlandsche Bank (DNB) het belang van informatiebeveiliging voor financiële instellingen in Nederland. De meest recente (2023-)versie is uitgelijnd met nieuwe wetgeving zoals DORA en EIOPA. Ook legt het sterkere nadruk op een aantal elementaire inhoudelijke aspecten, waaronder de risico’s in de leveranciersketen. Ook wordt Internal Audit als een cruciale functie gezien, die allerlei relevante rollen kan spelen bij het waarborgen van de naleving van deze richtlijnen. Zij kunnen onder meer de kwaliteit van de Control Self Assessments van de organisatie versterken en de assuranceverklaringen in de outsourcing keten beoordelen. Ook kan er vanuit Internal Audit worden gestimuleerd om verder te kijken dan de (vernieuwde) norm vanuit DNB. Goed beveiligen is namelijk stap 1. Het zorgen voor weerstand om nieuwe of onverwachte risico’s aan te kunnen, is de volgende stap.

Wilt u uw organisatie versterken op het gebied van informatiebeveiliging en voldoen aan de richtlijnen van De Nederlandsche Bank? De specialisten van ARC People staan voor u klaar met deskundig advies en ondersteuning. Lees meer over wat we voor u kunnen betekenen, download ons gratis whitepaper of neem direct contact op met Carlo Bavius voor maatwerkoplossingen die aansluiten op uw behoeften.

Whitepaper DNB Good Practice Informatiebeveiliging

Download gratis ons whitepaper waarin we dieper ingaan de nieuwe vooruitzichten en de impact die regelgeving als DORA en NIS2 heeft op de Nederlandse financiële sector.

De geschiedenis en evolutie van Internal Audit

Inleiding

De geschiedenis van Internal Audit is diepgeworteld in de ontwikkeling van (in eerste instantie) financiële en administratieve controles door de eeuwen heen. In dit artikel maken we een interessante tijdreis. Die tijdreis begint met de oorsprong van het woord ‘audire‘, wat in het Latijn ‘luisteren’ betekent, en eindigt bij de moderne rol van Internal Audit in het kader van de regelgeving vanuit DNB, de nieuwe Nederlandse Corporate Governance Code (CGC) en de Verklaring Omtrent Risicobeheersing (VOR). Als laatste gaan we nog kort in op het ‘ver-agilen’ van Internal Audit activiteiten. Reis je met ons mee?

Oorsprong van het woord ‘Audit’ en vroege voorbeelden van auditing

De oorsprong van het woord ‘audit’ ligt in het Latijnse ‘audire’, wat ‘luisteren’ betekent. Deze terminologie weerspiegelt de vroege praktijken van auditing, die voornamelijk gericht waren op het mondeling verifiëren van financiële informatie. Oorspronkelijk was auditing een proces waarbij mondelinge verslagen van financiële transacties werden aangehoord en gecontroleerd. Naarmate de tijd vorderde, evolueerde de praktijk van auditing van deze eenvoudige mondelinge rapportage naar meer gestructureerde en gedocumenteerde processen.

In de oudheid werd later ook gebruik gemaakt van vastleggingen van boekhoudingen, voornamelijk in de vorm van kleitabletten en papyrusrollen. Deze documenten getuigen van de ontwikkelde boekhoudkundige praktijken die al in oude beschavingen zoals die van de Sumeriërs, Babyloniërs, Egyptenaren en later de Grieken en Romeinen bestonden. De kleitabletten uit Mesopotamië bijvoorbeeld, daterend van rond 3300 v.Chr., behoren tot de vroegste voorbeelden van geschreven boekhoudkundige records en omvatten gedetailleerde lijsten van goederen, transacties en inventarissen. Deze documenten zijn cruciaal voor het vastleggen en vervolgens controleren/auditen van de gegevens. Hoewel zichtbare tekenen van controles of auditing ontbreken, is het zeker dat die er waren. In veel gevallen wijzen de nauwgezetheid en systematiek van de vastleggingen namelijk op een vorm van controle en verificatie. In sommige oude samenlevingen waren er bijvoorbeeld functionarissen verantwoordelijk voor het controleren van de nauwkeurigheid van deze records, wat een vroege vorm van auditing vertegenwoordigt.

Andere voorbeelden van auditing in oude beschavingen:

  • Het Oude Egypte: In het Oude Egypte waren er functionarissen bekend als ‘scribes’ die verantwoordelijk waren voor het opnemen en controleren van de inkomsten en uitgaven van de staat en tempels. Zij voerden audits uit door het controleren van graanopslagen en andere voorraden, en zorgden ervoor dat de hoeveelheden overeenkwamen met de opgetekende records. Dit soort auditing was essentieel voor het beheer van de grote landbouw- en bouwprojecten van het rijk, zoals de bouw van piramides en tempels.
  • Het Oude Griekenland: In het klassieke Griekenland bestonden er openbare functionarissen, bekend als ‘logistai’, die belast waren met het auditen van andere ambtenaren. Na het voltooien van hun termijn moesten ambtenaren een gedetailleerd verslag van hun financiële handelingen voorleggen aan deze logistai, die de verslagen vervolgens controleerden op juistheid en integriteit.
  • Het Romeinse Rijk: In het Romeinse Rijk werden auditors of ‘quaestors’ aangesteld om toezicht te houden op de financiële zaken van de staat. Deze quaestors hadden de taak om inkomsten en uitgaven te registreren en te zorgen voor de integriteit van de staatsfinanciën. Hun rol omvatte zowel het verzamelen van belastingen als het controleren van de overheidsuitgaven.
  • Auditors in deze tijd hadden vaak aanzienlijke macht en verantwoordelijkheid, omdat zij de taak hadden de juistheid van financiële records te verifiëren en daarmee bedrog en corruptie tegen te gaan.

Ontwikkeling van auditing door de middeleeuwen en Renaissance

Tijdens de middeleeuwen en de Renaissance, een periode gekenmerkt door de opkomst van handel en de vorming van machtige staten, evolueerde de praktijk van auditing aanzienlijk. In deze tijd werden meer gestructureerde methoden voor het bijhouden en controleren van rekeningen ontwikkeld, mede door de opkomst van dubbel boekhouden.

Voorbeelden van Auditing in de middeleeuwen en Renaissance:

  • Luca Pacioli en Dubbel Boekhouden: In 1494 publiceerde de Italiaanse wiskundige Luca Pacioli zijn werk ‘Summa de arithmetica, geometria, proportioni et proportionalita’i, dat een gedetailleerde beschrijving bevatte van het dubbel boekhouden. Dit systeem verbeterde de nauwkeurigheid van de financiële administratie.
  • De Hanze: De Hanze, een handelsnetwerk dat Noord-Europa in de middeleeuwen domineerde, maakte gebruik van gedetailleerde boekhoudkundige systemen. Handelaars en steden die deel uitmaakten van de Hanze, hielden nauwkeurige boeken bij van hun transacties. Audits werden uitgevoerd om de betrouwbaarheid van deze financiële administraties te waarborgen.
  • Engelse overheidsinstellingen: In Engeland, tijdens de late middeleeuwen en de vroege Renaissance, werd de ‘Exchequer’ verantwoordelijk voor het beheren van de overheidsfinanciën. Ambtenaren van de Exchequer voerden audits uit om ervoor te zorgen dat belastingen correct werden geïnd en uitgegeven, en om fraude of wanbeheer aan het licht te brengen.
  • Katholieke kerk: In de middeleeuwen speelde de Katholieke kerk een prominente rol in Europa. Kloosters en kerkelijke instellingen hadden uitgebreide landbezittingen en rijkdommen. Om de financiën te beheren, werden regelmatige audits uitgevoerd. Deze controles waren bedoeld om de juistheid van de financiële administratie te verzekeren en om corruptie binnen de kerkelijke hiërarchie tegen te gaan.
  • Stedelijke overheden: In stadsrepublieken zoals Venetië en Florence werden auditors aangesteld om de boekhouding van de stad te controleren.

De opkomst van moderne auditing

Het boekhouden tijdens de periode van de Nederlandse Verenigde Oost-Indische Compagnie (VOC), die actief was van de 17e tot de 18e eeuw, was geavanceerd voor zijn tijd en speelde een cruciale rol in het succes van de onderneming. De VOC was een van de eerste bedrijven die gebruikmaakte van dubbel boekhouden, een methode die een meer accurate en gedetailleerde financiële administratie mogelijk maakte. Deze methode hielp bij het beheren van de complexe handels- en financiële activiteiten van de VOC, die betrekking hadden op meerdere continenten en een grote variëteit aan goederen.

Het boekhoudsysteem van de VOC omvatte gedetailleerde journaals en grootboeken, die transacties registreerden zoals handelsaankopen, verkopen, scheepskosten, en winst- en verliesrekeningen. Deze nauwkeurige administratie was essentieel voor het beheren van de risico’s en winsten in de vaak onvoorspelbare omgeving van de internationale handel in die tijd.

De industrialisatieperiode begon in de tweede helft van de 18e eeuw en duurde tot het begin van de 20e eeuw. De industrialisatieperiode bracht grote veranderingen met zich mee in de zakelijke wereld, wat leidde tot de ontwikkeling van moderne auditpraktijken. Deze veranderingen waren een reactie op de groeiende complexiteit van bedrijfsoperaties en de noodzaak van betrouwbaardere financiële rapportage.

Belangrijke ontwikkelingen in de industrialisatieperiode

  • Opkomst van grootbedrijven: De industrialisatie leidde tot de opkomst van grootbedrijven met uitgebreide financiële netwerken. Dit maakte de behoefte aan formele auditprocessen en -procedures duidelijk, om investeerders en aandeelhouders te verzekeren van de juistheid van de financiële verslaggeving.
  • Introductie van wetgeving voor bedrijven: In reactie op de toenemende complexiteit van het bedrijfsleven en financiële schandalen, werden in verschillende landen wetten aangenomen om de financiële transparantie en verantwoording van bedrijven te verhogen. Een voorbeeld is de “Joint Stock Companies Act” in het Verenigd Koninkrijk, die in 1844 werd ingevoerd en waarin de verplichting van jaarlijkse audits werd vastgelegd.
  • Oprichting van professionele auditorganisaties: De behoefte aan gespecialiseerde kennis in auditing leidde tot de oprichting van professionele organisaties. Een vroeg voorbeeld is het Institute of Chartered Accountants in England and Wales (ICAEW), opgericht in 1880. Deze organisaties stelden normen vast voor de auditpraktijk en boden training en certificering aan voor auditors.
  • Ontwikkeling van auditing technieken: Gedurende deze periode werden ook nieuwe auditing technieken ontwikkeld. De focus verschoof van een eenvoudige verificatie van transacties naar een meer analytische benadering, waarbij de effectiviteit van interne controles en het risicomanagement van een organisatie werden beoordeeld.

De evolutie van internal audit in de 20e eeuw

In de 20e eeuw onderging de praktijk van audit aanzienlijke veranderingen en werd ook gesproken over het verschil tussen External/Financial en Internal Audit (IA), waarbij de focus zich uitbreidde van louter financiële controles naar een meer geïntegreerde benadering van risicobeheer. Interne accountants ontwikkelden zich gaandeweg tot de hedendaagse interne/operational auditors met een brede focus op allerhande risicogebieden. In tegenstelling tot de klassieke/financieel gedreven external audit focus. Deze evolutie werd gedeeltelijk gedreven door veranderingen in de markt en industrienormen, waarbij een verschuiving plaatsvond van een documentgerichte naar een datagerichte aanpak, waardoor interne audit in staat werd gesteld technologie te benutten die het enterprise risk management (ERM) kon verbeteren​​.

Een belangrijke mijlpaal in de geschiedenis van internal auditing is de oprichting van The Institute of Internal Auditors (IIA) in 1941 in de Verenigde Statenii. Het IIA wordt beschouwd als de mondiale stem en erkende autoriteit, leider, belangrijkste pleitbezorger en voornaamste opleider voor het beroep van internal auditing. De oprichting van het IIA markeerde een keerpunt in de professionalisering van internal auditing, met de ontwikkeling van professionele educatieve en ontwikkelingsmogelijkheden, standaarden en andere professionele praktijkrichtlijnen​​. Het Instituut van Internal Auditors (IIA) in Nederland is opgericht in 1968. Het recent toegenomen belang van Internal Audit in bijvoorbeeld de Nederlandse Corporate Governance code kan voor een belangrijk deel worden toegeschreven worden aan de activiteiten van het IIA.

De volgende voorbeelden van evolutie van internal auditing zijn waarneembaar in de 20e eeuw:

  • Van financiële informatie naar geïntegreerde audits: Internal auditing is verschoven van een focus op het beoordelen van financiële informatie naar een meer geïntegreerde benadering, waarbij auditors zekerheid bieden over een combinatie van financiële, operationele, IT- en compliance-audits. Integrated audits stellen internal auditors in staat om informatie vanuit verschillende perspectieven te beoordelen, waarbij zij de gebruikte systemen, ingevoerde gegevens en opgeslagen informatie in hun nauwkeurigheid en de efficiëntie van de gevolgde procedures beoordelen.
  • Toename van het belang van IT-Audits: Met de opkomst van informatietechnologie is IT-auditing een steeds belangrijker onderdeel geworden van de internal auditfunctie. IT-audits richten zich op de beoordeling van de algemene en specifieke IT-controles binnen een organisatie.
  • Groeiende nadruk op risicomanagement: De rol van internal auditing in risicomanagement is in de loop der tijd aanzienlijk gegroeid. Auditors beoordelen nu niet alleen de effectiviteit van risicobeheersingsprocessen, maar bieden ook inzichten en aanbevelingen om deze processen te verbeteren.
  • Uitbreiding naar Compliance en Governance: Naast financiële controles, spelen internal auditors een cruciale rol in het verzekeren van naleving van wet- en regelgeving en het ondersteunen van goede governance binnen organisaties.

Internal Audit en de Nederlandse Corporate Governance Code

De Nederlandse Corporate Governance Code (CGC) van 2022 heeft de Internal Audit Functie (IAF) expliciet opgenomen als een essentieel onderdeel van risicomanagement binnen organisaties. Dit houdt in dat bedrijven nu worden aangemoedigd of zelfs verplicht zijn om een IAF in te richten, of anders adequate alternatieve maatregelen te nemen en deze te verantwoorden. Uit onderzoek van Bogstraiiiet al. (2020) blijkt dat sinds de herziening van de Code in 2016, steeds meer kleine beursfondsen (AMX & AScX) een IAF hebben ingericht. Echter, in 2020 had nog steeds 30,1% van de beursgenoteerde ondernemingen geen IAF​​.

Voor organisaties die te klein zijn om een volledige IAF in te richten, biedt de CGC 2022 de mogelijkheid tot uitbesteding van de interne auditfunctie als een adequaat alternatief. Dit biedt een proportionele oplossing die aansluit bij de specifieke behoeften en vereisten van de organisatie, zonder concessies te doen aan de kwaliteit van de audit.

De CGC 2022 is inhoudelijk een stap dichter bij de kwaliteitsstandaarden van het IIA, met name de International Professional Practices Framework (IPPF) standaarden en de recent uitgebrachte Global Internal Audit Standards (GIAS). De GIAS zijn ontwikkeld door het IIA en vervangt de IPPF van 2017. Dit nieuwe raamwerk is gestructureerd rond vijf domeinen en bevat 15 leidende principes die de kwaliteit en effectiviteit van interne auditdiensten wereldwijd bevorderen. De kernprincipes van integriteit, objectiviteit, competentie, professionele zorgvuldigheid, en vertrouwelijkheid zijn fundamenteel voor dit raamwerk. Deze standaarden zijn ontworpen om best practices te bevorderen en een consistente en uniforme aanpak van interne audits te waarborgen.

De verwachting is dat het aantal Internal Audit Functies zal toenemen vanwege de aanpassingen in de Code die een Internal Audit Functie als essentieel onderdeel van de risicobeheersing aanwijzen.

Internal Audit en regelgeving vanuit De Nederlandsche Bank

De Nederlandsche Bank (DNB) speelt een cruciale rol in het toezicht op de financiële sector in Nederland, waarbij het zich richt op de soliditeit van financiële instellingen en de stabiliteit van het financiële systeem. Een belangrijk instrument in dit toezicht is de uitgifte van good practices, zoals de “Good Practice Informatiebeveiliging 2023” (GP IB 2023), die bedoeld zijn om financiële instellingen te begeleiden bij het inrichten van hun interne beheersingspraktijken, met een specifieke focus op informatiebeveiliging. De GP IB 2023 bouwt voort op de eerdere versie uit 2019/2020, met de intentie om zoveel mogelijk aan te sluiten op de structuur en inhoud ervan. Echter, de herziene versie integreert nieuwe inzichten, praktijkvoorbeelden, en ontwikkelingen in regelgeving, zoals de Digital Operational Resilience Act (DORA) en EIOPA-richtlijnen, om een meer omvattende en actuele gids te bieden voor het managen van informatiebeveiligingsrisico’s.

De rol van Internal Audit binnen de GP IB 2023 krijgt extra nadruk, voortbouwend op de grondbeginselen vastgesteld in de 2019-versie. Ook hier is duidelijk de toename van belang van Internal Audit te merken. Internal Audit wordt expliciet genoemd als een cruciale component van het drie-lijnenmodel, met de nadruk op hun onafhankelijkheid en de noodzaak voor een risico-gebaseerde benadering van hun werk. De verwachtingen rondom de rapportage, monitoring van aanbevelingen, vergelijking van rapportages en analyse van trends en ontwikkelingen zijn verder verfijnd om de verantwoordelijkheden van Internal Audit duidelijker te omschrijven en te verdiepen, vooral in het licht van de steeds evoluerende cyberdreigingen en technologische ontwikkelingen.

Deze specifieke taken en verantwoordelijkheden van de Internal Audit Functie zijn bedoeld om te zorgen voor een grondige evaluatie en effectieve monitoring van de ICT-beheersingsraamwerken binnen financiële instellingen. Internal Audit speelt een essentiële rol in het waarborgen dat de instellingen niet alleen voldoen aan de huidige standaarden van informatiebeveiliging maar ook proactief anticiperen op en zich aanpassen aan toekomstige uitdagingen.

Verklaring Omtrent Risicobeheersing (VOR) en Internal Audit

De Verklaring Omtrent Risicobeheersing (VOR) is een recente toevoeging aan de Nederlandse Corporate Governance Code, ontstaan uit de behoefte om organisaties beter voor te bereiden op de toenemende risico’s die ze tegenwoordig ervaren. Deze risico’s omvatten financiële risico’s, cyberrisico’s, en de naleving van wet- en regelgeving, die allemaal significante gevolgen kunnen hebben voor een organisatie.De nieuwe VOR benadrukt de cruciale rol van de Interne Audit Functie (IAF) binnen organisaties.

Volgens principe 1.3 van de corporate governance code heeft de IAF de verantwoordelijkheid om de opzet en werking van de interne risicobeheersings- en controlesystemen te beoordelen. Deze beoordeling is van fundamenteel belang, aangezien het directe inzichten verschaft aan het bestuur voor de samenstelling van de VOR. De IAF functioneert hierbij als een onafhankelijke en objectieve partij die niet alleen de effectiviteit van de bestaande systemen evalueert, maar ook aanbevelingen doet voor verbeteringen. Deze rol gaat verder dan enkel het controleren van naleving; het omvat ook het adviseren over en bijdragen leveren aan de verbetering van risicomanagement, controle en governance processen. De IAF biedt daarmee een waardevolle bijdrage aan de algehele risicobeheersingscultuur binnen de organisatie, waardoor deze niet alleen compliant is, maar ook veerkrachtiger en aanpasbaar aan veranderende omstandigheden.

In de nieuwe VOR wordt de rol van de IAF nog belangrijker. Naast het beoordelen van financiële verslaggevingsrisico’s, wat al in de code was opgenomen, moet er nu ook aandacht besteed worden aan duurzaamsheidsverslaggeving en de beheersing van operationele en compliance risico’s. Deze risico’s vormen traditioneel een belangrijk object van internal audits. De in de nieuwe VOR opgenomen grondige beoordeling van de effectiviteit van de interne risicobeheersings- en controlesystemen is bij uitstek het domein en de competentie van de IAF. Doordat de IAF gedurende het jaar al aandacht besteedt aan de belangrijkste risico’s, is de IAF de logische partij om deze grondige beoordeling uit te voeren.

Agile Internal Audit

In een tijdperk waarin de zakelijke omgeving sneller dan ooit evolueert, staan Internal Audit Functies voor de uitdaging hun auditmethoden aan te passen om relevant en effectief te blijven. Het adopteren van Agile-principes biedt een goede oplossing om het auditproces nog flexibeler en responsiever te maken. Agile Internal Audit benadrukt de waarde van snelle aanpassingen, continue feedback en nauwere samenwerking met stakeholders. Deze aanpak moedigt het gebruik van sprints aan, waarbij auditprioriteiten worden afgestemd op de meest significante risico’s en kansen voor de organisatie. Door kortere auditcycli te implementeren, kunnen auditors tijdig inzichten leveren die de bedrijfsvoering (en snelle verbetering daarvan) direct ondersteunen. Dit Agile paradigma transformeert de Internal Audit Functies van een statische naar een dynamische functie, waarmee het niet alleen de risicobeheersing verbetert, maar ook strategische waarde toevoegt aan de organisatie.

De uitdaging voor alle Internal Audit Functies zal zijn om, in het licht van agile concepten en technieken, toch nog steeds compliant te blijven aan de Global Internal Audit Standaarden van het IIA. Dat is goed mogelijk, maar vraagt wel specifieke kennis en aandacht.

Afsluiting

Dankjewel dat je deze tijdreis met ons maakte. Overigens verwachten we dat de tijdreis hier niet definitief eindigt. Het vakgebied zal zich namelijk blijven ontwikkelen. Wij zullen die ontwikkeling gepassioneerd blijven volgen en daaraan gerichte bijdragen blijven leveren.

Wil je het met ons hebben over een moderne invulling van de Interne Audit Functie, aarzel dan niet! De bevlogen professionals van ARC People helpen u graag bij het snel en effectief beheersen van de risico’s. Op meerdere risicogebieden en in verschillende vormen, zoals interim collega’s, trainees, co-sourcing, outsourcing en werving. Ook met actuele onderwerpen zoals DORA/NIS2 en ESG helpen we u graag op weg.

Carlo Bavius, Associate Partner 
Sander van Oosten,
Partner

ARC (vak)praat met… Jeroen Bisseling, Audit & Risk Manager bij EDSN

Om de ontwikkelingen in onze vakgebieden nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? In deze ARC Vakpraat spreken we met Jeroen Bisseling, Audit & Risk Manager bij EDSN. Jeroen heeft ongeveer 20 jaar ervaring in het vakgebied, in vaste dienst én als zelfstandig professional. Jeroen heeft de afgelopen twee jaar binnen EDSN opmerkelijke veranderingen meegemaakt.

Welke rol speelt EDSN binnen de energiesector en welke uitdagingen spelen er?

EDSN staat voor Energie Data Services Nederland en faciliteert de energietransitie binnen Nederland door de energiemarkt zoveel mogelijk te digitaliseren, gegevensuitwisseling te faciliteren en het IT-landschap te moderniseren. Dat doen we voor het energie ecosysteem in Nederland, bestaande uit regionale en landelijke netbeheerders en tal van andere aangesloten partijen. EDSN speelt daar een centrale rol in. Denk hierbij aan het aanmelden van zonnepanelen; dat gebeurt via de infrastructuur van EDSN, maar ook het inzichtelijk krijgen van de netcongestie.

Er spelen heel veel uitdagingen voor EDSN en om de energietransitie mogelijk te maken wordt er ontzettend veel van ons gevraagd. Waar we enkele jaren terug nog met minder dat FTE werkten, zijn wij inmiddels in de laatste paar jaren significant gegroeid. In 2023 hebben wij 87 nieuwe collega’s mogen verwelkomen. Binnen ons team zijn er drie nieuwe vaste collega’s ingestroomd. Dat is voor EDSN natuurlijk een mooie groei. Deze groei geldt ook voor de applicaties die we beheren. Dat betekent dat we de groei moeten kunnen bijbenen, maar ook met een hoog niveau van dienstverlening, want er worden steeds hogere eisen gesteld aan security, privacy, etc.

Welke rol speelt de afdeling Audit & Risk hierin en welke uitdagingen spelen er specifiek voor de afdeling? Hoe blijf je relevant als afdeling?

We dragen bij aan het behalen van de doelstellingen; er is geen weerstand tegen 2e en 3e lijnsrollen, zoals ik dat in het verleden bij andere organisaties wel eens heb meegemaakt. Omdat we diensten naar een hoger niveau moeten tillen, zie je dat risk daar een faciliterende rol in heeft. Bijvoorbeeld door een gedegen controlframework neer te zetten om betrouwbare processen te waarborgen. Dit gebeurt samen met de 1e lijn. 

Audit zit, uiteraard, in een meer toetsende rol om eventuele pijnpunten bloot te leggen. Soms is het inzetten van de 2elijn beter, soms de derde lijn. Vorig jaar is overigens het eerste jaar dat wij echt audits zijn gaan uitvoeren. Voorheen liepen risk en audit meer door elkaar heen.

Wat opvalt is dat internal audit en riskmanagement zijn gecombineerd. Kun je iets meer vertellen over de gedachte hierachter?

Dit is historisch zo gegroeid. Audit en risk vormen in de praktijk één team, omdat het anders te klein wordt om efficiënt aan te sturen. Een aparte chef audit en chef risk zou te veel zijn, en deze combinatie is niet ongewoon in de energiesector. Zoals gezegd zijn we het afgelopen jaar meer audits gaan uitvoeren, waarmee er ook natuurlijker een splitsing tussen is ontstaan. 

Planning was geen reden van samenwerking: we werken agile dat vooral goed werkt voor audit. Risk is meer faciliterend en moet mee in de planning van de operationele teams. Beide vakgebieden regelen dit zelf.

Aanvullend: welke onderwerpen zul je alleen aantreffen bij EDSN en niet bij andere audit & riskafdelingen?

De basis voor audit ligt in General IT controls en applications controls. We testen met name IT-applicaties, gezien de basis van EDSN als IT-bedrijf in de energiesector. Wat bijzonder is, is dat we vaak in de keten werken, dus samen met de netbeheerders. Dat zie je in andere sectoren nog beperkt gebeuren. Dit geldt ook voor risk. De onderwerpen zijn niet uniek. Dat geldt wel voor de omvang en complexiteit van ons IT-landschap.

Hoe identificeert en beheert de afdeling de specifieke risico’s die verband houden met de activiteiten van EDSN, met name in de context van cybersecurity en operationele betrouwbaarheid?

Vanuit veiligheidsoverwegingen kan ik hier niet al te veel over zeggen. Wat ik wel kan zeggen is dat we recent hebben meegedaan ISIDOOR IV: een landelijke oefening waar, naast de Rijksoverheid, gemeenten en veiligheidsregio’s, medewerkers van elektriciteitsnetbeheerder Tennet, energie- en drinkwaterbedrijven en internetproviders aan mee deden. Onze crisis-casus was om EDSN gebouwd. Doelstelling is om te kijken in hoeverre je weerbaar bent tegen cyberrisks. Het was een nuttige oefening. We hebben veel geleerd en onze interne documentatie en procedures kunnen aanscherpen. Dat is positief. We zijn nu veel beter voorbereid.

Hoe houd je rekening met de steeds veranderende technologische omgeving en welke impact hebben nieuwe technologieën op uw interne auditpraktijken? Is er voldoende kennis binnen de afdeling hiervoor om deze te beoordelen?

EDSN werkt aan het ontvlechten en modulair maken van grote systemen met enorme databases. Daar komt veel nieuwe technologie bij kijken. Hier proberen we als team, met name risk, bij te ondersteunen. Opleidingen en samenwerkingen met teams borgen dat we klaar zijn voor de toekomst. Indien wenselijk maken we eventueel gebruik van guest auditors uit de business om het kennisniveau op peil te brengen en te houden. Uiteraard houden wij er rekening mee dat deze guest auditor niet zijn eigen werk beoordeelt.

Dus de transitie naar duurzame energie en andere veranderingen in de energievoorziening hebben geen invloed gehad op de auditkalender?

Dat klopt niet helemaal. We hebben software gekocht die congestie managet en verhandelt. Dus omdat er congestie is en er gehandeld wordt in energie, komt dit platform wel op de auditkalender. De audituniverse wordt daarmee groter. Het blijft echter gericht op het risico gebaseerd beoordelen van IT en dataverwerking.

EDSN werkt samen met auditafdelingen van netbeheerders. Waarom is dat en hoe werkt dat? 

Samenwerken met de keten is best innovatief. Dit doen we zowel met audit- als met riskmanagement. We werken via een samenwerkings operating model met de regionale netbeheerders en daarin is zowel een risicomanagement- als een audit capability opgenomen. We werken samen met de teams van bijvoorbeeld Stedin, Enexis en Alliander. Onlangs hebben we een onderzoek afgerond, waarbij we kijken naar de hele keten en naar de voor- en achterkant van de dataverwerking. Alle partijen zijn enthousiast over de samenwerking, ook de auditees.

We zijn altijd benieuwd naar innovatieve activiteiten binnen onze drie vakgebieden. Waar vind jij dat jullie als afdeling vernieuwend in zijn?

Zoals gezegd vind ik de samenwerking met de keten echt uniek en vormt een meerwaarde. Daarnaast werken wij inmiddels agile. Of dat nu nog innovatief is, is de vraag. Veel afdelingen werken zo, denk ik.

EDSN beheert en faciliteert de uitwisseling van energiegegevens binnen de Nederlandse energiemarkt. Data is key. In hoeverre maakt de afdeling gebruik van geavanceerde technologieën, zoals data-analyse en AI, om efficiëntie te verbeteren en diepere inzichten te verkrijgen?

Dat is nog beperkt, maar als we dat gaan doen maken we gebruik van een slimme collega uit de business. Onze operationele teams maken uiteraard volop gebruik van data-analyse en automatisering van repeterende werkzaamheden.

Welke veranderingen voorzie je in de werkzaamheden voor audit & risk de komende jaren?

De bekende steeds toenemende digitalisering en daardoor de enorme toename van cyberrisico’s. IT-auditors zijn schaars en moeilijk om binnen te halen. Ook CSRD is een belangrijke pijler. Ik zie om me heen dat auditafdelingen leeg getrokken worden om daarin een rol te spelen.

Ik zie ook dat audit en risk zeker blijvertjes zijn. Waar eerst nog wel eens werd gedacht dat we onszelf overbodig konden maken en dat IT-audit en risk kon vervallen, ben ik er heilig van overtuigd dat dat niet gaat gebeuren.

6 basisvoorwaarden voor een goed CSRD-project

Veel audit-, risk- en compliance professionals veren enthousiast op, bij het horen van de termen ESG en CSRD. We spelen kennelijk graag een relevante rol in de (transparantie van de) verduurzaming van organisaties. Dat zien we ook terug bij werving van vast personeel. In de huidige krappe arbeidsmarkt reageert er nauwelijks iemand op een geplaatste vacature, behalve als men in die functie een rol mag spelen bij het realiseren van ESG-ambities. We begrijpen het eerlijk gezegd wel.

Ook wij mogen bij een aantal van onze klanten deskundigheid op het gebied van ESG inzetten. Veelal zijn dat organisaties die binnen afzienbare tijd moeten gaan voldoen aan de CSRD. Door hen worden we gevraagd om (1) een eerste nulmeting te doen naar de stand van zaken, (2) het project te toetsen, of (3) inhoudelijke deskundigheid in het project te leveren. Daarbij zien we welke uitdagingen men heeft en hoe daarmee wordt omgegaan. In deze blog delen we een aantal praktijksituaties en waardevolle inzichten met je.

Niet zomaar ‘een projectje’

Veelal worden ESG-ambities gerealiseerd middels een projectmatige aanpak. Maar we hebben het niet zomaar over een projectje dat met een standaard projectaanpak kan worden gerealiseerd. Wat maakt dit soort projecten dan zo bijzonder?

Om te beginnen draait het – wanneer je aan de CSRD moet voldoen – om wettelijke vereisten, met een harde deadline. Er is kortom geen tijd voor uitloop, waardoor tijdig beginnen het devies is. Enkele andere bijzondere kenmerken van ESG-projecten:

  • Voor het merendeel van de betrokkenen is het nieuw.
  • Het raakt de strategie van de organisatie.
  • Het betreft de gehele organisatie en raakt vele functies.
  • Er zijn afhankelijkheden van belangrijke stakeholders binnen en buiten de organisatie.

Is de Project Governance op orde?

Gelet op de hiervoor benoemde, bijzondere kenmerken van een CSRD-project, is het belangrijk om het project vanaf de start goed te organiseren. Zonder direct een nogal formele insteek te willen kiezen, vinden we dat een CSRD-project het label ‘Strategisch’ dient te krijgen. Het voordeel hiervan is meestal dat er een stuurgroep wordt geformeerd waarin het verantwoordelijke bestuurslid zitting neemt. Ook worden daardoor hopelijk gestructureerd de kansen & risico’s van het project in kaart gebracht, inclusief de risico-mitigerende maatregelen.

Een als Strategisch bestempeld project verdient eveneens Quality Assurance. Een functie die meestal ten dienste staat van de stuurgroep en de projectmanager. Opererend als een ‘critical friend’: proactief aandragend, challengend en toetsend. Quality Assurance kan haar toetsen richten op: het projectplan, het proces, de deliverables en de opvolging van adviezen. De inzichten en verbeterpunten worden gedeeld middels snelle, korte memo’s. Het project kan daardoor zowel goede voortgang boeken als continu verbeteren.

Andere belangrijke basiszaken bij een CSRD-project

Zoals gezegd, is er doorgaans veel enthousiasme rondom het brede onderwerp ESG. Om succesvol een strategische verandering door te voeren, zoals het voldoen aan de CSRD-vereisten, is er uiteraard meer nodig dan enthousiasme. We zien in de praktijk dat het geen kwaad kan om goed stil te staan bij de belangrijkste waarborgen voor een succesvol verandertraject. We behandelen hier zes belangrijke basiszaken waaraan in het begin van het project goed aandacht dient te worden besteed.

1. Een goed kennisniveau

Velen profileren zich op dit moment als dé ESG-expert, maar de CSRD-vereisten (en hoe daaraan te voldoen) is voor de meesten nieuw. Ook externe consultants zijn veelal nog het wiel aan het uitvinden. Des te belangrijker is het dat er intern een goed kennisniveau wordt opgebouwd, bij alle sleutelfunctionarissen. Niet alleen om de vereisten écht te begrijpen, maar ook om een sterkere positie in te kunnen nemen naar externe consultants. Een eventuele hulpvraag aan externe consultants kan daardoor beter worden geformuleerd en het risico dat een externe aan het stuur komt te zitten van uw CSRD-project wordt voorkomen. Er is gelukkig steeds meer kennis voor het grijpen: goede trainingen, cases van vergelijkbare organisaties en informatie bij branche- of beroepsorganisaties.

2. Urgentiebesef

Zonder urgentiebesef is er sowieso een kleine kans van slagen, leerden we vanuit alle theorieën ten aanzien van veranderingsmanagement. Heb je het idee dat het nog ontbreekt aan dat noodzakelijke ‘burning platform’? Op zijn minst verwachten we dat de verantwoordelijkheid voor het voldoen aan de CSRD-vereisten bij één van de bestuurders in de portefeuille is belegd. Ook dient uiteraard het belang en de waarde ervan duidelijk te zijn benadrukt richting de organisatie (inclusief de gevolgen van gemiste kansen of het niet voldoen aan de vereisten). Is er meer nodig? Onderneem dan alsjeblieft aanvullende stappen, want nogmaals: zonder urgentiebesef gaat het onderwerp niet vliegen.

3. Een duidelijke ESG-visie

Wellicht een ‘no-brainer’, maar het hebben van een duidelijke visie over ESG is eveneens belangrijk. Als het goed is, gaat die visie verder dan louter het doel om tijdig te voldoen aan wettelijke vereisten, of een omschrijving die voldoet aan de SMART-vereisten. Idealiter is de visie ook ambitieus, inspirerend en verwijst hij duidelijk naar de waarden van de organisatie. Is dat het geval, dan zullen vele medewerkers op die visie aanhaken.

4. Multidisciplinariteit

De CSRD kan vanuit vele perspectieven worden benaderd. Omdat het gaat om ‘voldoen aan wetgeving’ zien we bij een aantal klanten dat de Compliance- of Legal-functie de lead neemt. Wordt het primair gezien als een rapportage-uitdaging, dan zien we dat Control het voortouw neemt. Los van wie de lead neemt in het project: laat het breder gaan dan het speelveld van de projectleider. CSRD gaat immers de gehele organisatie aan. Een multidisciplinaire (project)aanpak is daarom onontbeerlijk.

5. Een ESG-cultuur

Een goede organisatiecultuur is van cruciaal belang voor succes en de effectiviteit van een organisatie. Dat geldt ook voor het realiseren van de ESG-ambities. In de praktijk zien we de volgende mooie uitingen van een ESG-cultuur: er wordt veel gecommuniceerd over ESG, het onderwerp wordt tastbaar gemaakt voor de medewerkers, participatie van collega’s wordt gestimuleerd, gemotiveerde en/of belangrijke medewerkers (‘influencers’) worden als hefboom ingezet en (last but not least) het management benadrukt het belang en geeft het goede voorbeeld.

6. Kijk eerst wat je al hebt

Ondanks dat het onderwerp voor het merendeel nieuw is, betekent het niet persé dat je vanaf scratch hoeft te beginnen. Stel eerst vast wat er binnen je organisatie al bestaat op duurzaamheidsgebied. Het kan zijn dat er ergens binnen je organisatie al initiatieven ontplooid zijn (maar nog beperkt zichtbaar en aantoonbaar waren), of er waren al zaken waaraan je moest voldoen. Het toepassen van een nulmeting is hiervoor een hele goede methode. Laat je verrassen en wie weet maak je direct een vliegende start met je project. Ook de ESG-cultuurdragers binnen je verandertraject heb je dan gelijk gevonden. Andersom werkt deze inspanning ook. Als blijkt dat er toch wel veel vernieuwd moet worden, kan van onderschatting vervolgens geen sprake meer zijn, en lost dit het probleem van urgentiebesef misschien ook direct op.

Veel succes en aarzel niet!

Natuurlijk hopen we dat je op basis van ons blog hebt kunnen vaststellen dat de belangrijkste basiszaken in jullie CSRD-project op orde zijn. Is dat nog niet geval, dan hebben onze ervaringen wellicht aangezet tot verdere verbetering. We wensen je veel succes bij de mooie uitdagingen die voor je liggen!

Aarzel niet om contact met ons op te nemen. Vanzelfsprekend zijn we benieuwd naar jouw ervaringen tot nu toe. Ook zetten we desgewenst graag onze kennis en ontwikkelde formats in, om je te helpen bij een soepele implementatie van de CSRD-vereisten binnen jouw organisatie. Zie hier onze dienstverlening op een rijtje.

Sander van Oosten
Partner ARC People

ARC (vak)praat met… Damian Borstel, AI expert

Om de ontwikkelingen in onze vakgebieden nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? In deze ARC People (vak)praat focussen we ons op Artificial Intelligence (AI), momenteel een hot topic en interviewen we met plezier Damian Borstel, Senior Toezichthouder (Expertisecentrum) bij de AFM. Dit interview is op persoonlijke titel.

Naast zijn functie bij AFM, is Damian actief in het geven van trainingen op het gebied van AI en is hij actief als expert member bij NEN en CEN/CENELEC. CEN (Comité Européen de Normalisation) en CENELEC (European Committee for Electrotechnical Standardization) zijn twee Europese organisaties die zich bezighouden met normalisatie, het ontwikkelen van technische normen en standaarden voor verschillende industrieën en sectoren. Daarnaast is hij ook lid van de NOREA kennisgroep Algorithm & Assurance en als kers op de taart recentelijk begonnen met zijn PhD aan de UvA m.b.t. ‘Toezicht op AI in de financiële sector’.

Waarom de interesse in AI?

Ik heb altijd al interesse gehad in IT. Meer dan 30 jaar geleden ben ik begonnen met mijn XT-pc en kwam door gaming al snel in aanraking met AI en merkte ik dat de ene game dit beter onder controle had dan een andere. Tijdens mijn post-doc voor mijn RE-titel aan de UvA ontstond de interesse om mijn thesis te houden over Algorithm Assurance, hieruit ontstond mijn ‘algorithm assurance kubus’ (een kubus waarbij aspecten als randvoorwaarden, vertrouwen, (data)proces en ESG samenkomen om zo op een gedegen manier (mogelijk in de toekomst) assurance af te kunnen geven rekening houdende met de onderlinge relaties tussen de aspecten) en steeds grotere fascinatie voor het onderwerp AI. Het is immers bijna overal, van smart watches, IoTs in huis tot in auto’s aan toe.

Kun je een beeld geven van de omvang van AI binnen organisaties?

Alvorens een beeld te geven over de omvang van AI, dient er meer duidelijkheid te komen over wat AI of een AI-systeem precies is. De OECD heeft recent een nieuwe definitie gepubliceerd, maar is niet verankerd in een wet. Gelukkig komt dit op korte termijn wel en zal dit beschreven worden in de aankomende EU AI Verordening. Dit maakt het makkelijker om aan te geven wat AI is en daarmee ook de omvang van AI. Een precieze omvang kan ik niet geven, maar dat de omvang alleen maar toe zal nemen wel. Het wordt immers organisaties en/of werknemers zonder data science kennis erg gemakkelijk gemaakt om door gebruik van low-code/no-code tooling AI in bestaande bedrijfsprocessen toe te voegen. Nu sinds een jaar ChatGPT en andere Large Language Models (LLMs) naambekendheid hebben en de kracht en eenvoud van deze tooling zullen er alleen maar meer voor zorgen dat de omvang zal toenemen op korte termijn.

Door de vragende manier waarop deze tools werken, kan je snel je gedachten erop loslaten. Dit maakt het eenvoudig om te vragen naar efficiëntie slagen of risico’s omtrent een bepaald proces. Daarmee wordt het een assistent om input te leveren aan taken. Wel is het zo dat sinds ook het schandaal met Samsung, waar geheime bedrijfscode openbaar werd gemaakt door gebruik te maken van de openbare ChatGPT versie, er voorzichtig wordt omgegaan met het gebruik van AI buiten de eigen beveiligde omgeving.

Waar worden we er al mee geconfronteerd (wellicht zonder dat we het weten)?

Zoals net aangegeven komen we dit overal tegen. De WRR noemt het ook een systeemtechnologie en een professor van Stanford (Andrew Ng) geeft aan dat AI meer impact zal hebben dan elektriciteit. Als straks de AI Verordening van kracht is, zal door de transparantieverplichtingen, het nog duidelijker worden in hoeverre je in aanraking komt met AI. Dit is dan wel AI direct met jou ‘communiceert’. De AI tooling in organisaties zelf of die mogelijk achter andere AI ‘verscholen’ zit, zijn misschien minder inzichtelijk. Er is een interessante website die inzicht geeft welke AI-tooling er allemaal is: theresanaiforthat.com.

Waar het gaat om een ‘neuraal netwerk’, is dit nog beperkt door de grote kosten die hiermee gepaard gaan. Echter, worden zeer complexe Excel sheet en dergelijke wel breed ingezet (die mogelijk ook onder de AI-definitie gaan vallen). Ook kan het zeker voorkomen dat de respons of het advies die door een persoon gegeven worden, uit prompts van een AI-tool worden gehaald die de ‘correcte’ respons aan bijvoorbeeld een helpdeskmedewerker geven. De vraag die dan nog overblijft is of deze persoon nog kritisch nadenkt of dat deze slechts een ‘doorgeefluik’ is.

Bij uitbesteding lijkt me dit ook een relevante topic: wat wordt voorzien door AI aan de klant?

De Big Tech bedrijven zijn in de lead met het aanbieden van interessante en user-friendly AI tooling. Hierdoor zullen vele (delen van) processen worden uitbesteed. Third party management (TPM) zal steeds belangrijker worden, maar dus ook de interne kennis om te begrijpen wat deze derden partijen (precies) doen. Je moet immers kritische vragen kunnen stellen over bv. welke datasets er gebruikt zijn.

Zeker kleine bedrijven kunnen ook geconfronteerd worden met AI zonder het te weten. Deze hebben namelijk minder capaciteit om onderzoek te doen naar partners of derden die mogelijk wel degelijk gebruik maken van AI voor hun interne processen. Inzicht hebben dan wel contractueel vastleggen wanneer er AI gebruikt wordt, is dan eigenlijk een must. Je blijft immers als bedrijf eindverantwoordelijk en transparantie over het (mogelijke) gebruik van AI heeft impact op het vertrouwen.

Welke risico’s zie je voor organisaties in het gebruik van AI?

Er zijn verschillende risico’s te benoemen. Je kan denken aan governance, transparantie, ethiek, uitlegbaarheid, privacy risico’s bij gebruik van persoonsgegevens, schending van mensenrechten, datakwaliteit, discriminatie en biases. Ook risico’s op gebied van cybersecurity zijn actueel. Kwaadwillende/hackers kunnen bv door gebruik van WormGPT makkelijk phishing aanvallen doen of malware laten schrijven en dit is pas het begin. Zo kan het door de beperkte transparantie naar data en processen achter de tools, het eenvoudig voorkomen dat deze op de verkeerde populatie gebaseerd zijn waardoor de uitkomsten (accuracy/performance van het model) minder accuraat kan zijn dan vooraf gesteld. Het is daarmee van groot belang om een TPM-afdeling te hebben, of in ieder geval de kritische vragen te blijven stellen. Naast dat je er wel vanuit gaat dat een bedrijf correct om gaat met haar data en systemen, blijf je als gebruiker dan wel tussenpersoon ook de verplichting houden kritisch te blijven. Om na te gaan of de data die gebruikt wordt voor de modellen wel in lijn zijn met de doelgroep. Ook om na te gaan of er voldoende aandacht is geweest voor de privacy van degenen wiens data wordt gebruikt.

Welke wetgeving komt op organisaties af (en per wanneer) over AI?

Binnen EU komt eerst de EU AI Verordening. Er zijn nu onderhandelingen tussen de Europese Commissie (EC), Europees Parlement (EP) en Europese Raad (ER), ook wel de triloogonderhandelingen genoemd. Naar verwachting zal de AI Verordening uiterlijk begin volgend jaar definitief zijn en dan per direct ingaan, maar waarschijnlijk wel met een overgangsperiode van ongeveer twee jaar. Dit is op moment van schrijven nog onduidelijk. Daarnaast komt de AI Liability Directive en AI Treaty van de Raad van Europa er ook aan. Afhankelijk van de organisatie dien je ook nog rekening te houden met de DMA, DSA, NIS2, CSA, CRA en als je internationaal opereert met de VS ook op termijn mogelijk met de ‘Artificial Intelligence Research, Innovation, and Accountability Act’ (ook wel Bipartisan U.S. AI Bill genoemd) en publicaties van o.a. de G7 en VN.

Hoe de wetgeving eruit komt te zien, waar de grens getrokken gaat worden en waar de grijze gebieden gaan zijn, dat is vooralsnog onduidelijk. Zo zal er een meldplicht aankomen wanneer er diensten door ‘high-risk’ AI-systemen geleverd worden. Echter kan het zijn dat wanneer bijvoorbeeld een klantadviseur informatie in tikt en suggesties van een scherm af leest, dat dit voldoende afstand is om niet gemeld te hoeven worden.

Momenteel zijn er al meer dan 60 LLMs, maar zeker meer dan 1.000 tussenaanbieders die daar dan weer gebruik van maken binnen Europa en zo ook in Nederland. Niet alleen als Big Tech, maar ook als tussenpersoon zal je aan de regelgeving moeten voldoen. De aankomende AI Verordening is horizontale wetgeving en gericht op (bestaande) productregulering. Dan mag je verwachten dat een product met CE keurmerk dat het dan allemaal klopt inclusief de AI. Niet alle sectoren kennen echter het CE keurmerk en daar dient het op een andere manier opgelost te worden. Dat zal onder andere uit de finale wetteksten en guidance van CEN/CENELEC moeten blijken.

Zijn er al bedrijven met een AI beleid?

Dit is lastig te beantwoorden. Zoals eerder aangegeven dient eerst vastgesteld te worden wat AI is. Binnenkort hebben wij de AI Verordening waardoor het duidelijker zal worden. Organisaties die al gebruik maken van modellen (bv banken en verzekeraars) zullen mogelijk eerder een modellen (/AI) beleid hebben dan de bakker om de hoek. Al kan de bakker ook AI gebruiken om te voorspellen hoeveel en welke broden hij moet maken. Misschien is er wel een verband met het weer of bv. feestdagen, maar voor deze causale verbanden heeft de bakker om de hoek waarschijnlijk geen AI nodig. Mogelijk heeft hij dit wel nodig voor de inkoop van graan. In deze handel zijn er namelijk ook veel handelaren betrokken die voldoende middelen hebben om met AI-tooling de graanprijs proberen te voorspellen (a.d.h.v. bijvoorbeeld het weer of andere variabelen). Recentelijk heeft Google een AI-model (GraphCast) beschikbaar gesteld (open-source) om met je eigen pc snel een weervoorspelling te doen. Zo zie je maar weer dat AI-tooling steeds toegankelijker wordt voor iedereen en niet altijd supercomputers nodig zijn.

En bij welke risico’s kan audit, risk en compliance ondersteunen bij het gebruik van AI?

Ik denk dat ze alle drie binnen hun eigen rol en verantwoordelijkheden een bijdrage kunnen leveren in het mitigeren van de eerdergenoemde risico’s. Volgens mij is alleen wel een overview van de relevante wetgeving die je eigen organisatie raakt belangrijk en daarnaast het opstellen van een algoritme/AI-register om zo de omvang/aantallen, welke door derden ontwikkeld/onderhouden zijn en impact beter te kunnen inschatten.

AI verandert de auditkalender maar verandert het ook hoe wij auditen?

Goede vraag, ik denk het uiteindelijk wel. Het zal vooral een tool zijn die auditors zal ondersteunen. Net als in de zorg nu al (in pilots) gebeurt. Een AI-systeem kan bv. veel sneller op een röntgenfoto zien waar mogelijke kankercellen zitten. In China hebben ze ook een competitie gehouden tussen dokters en een AI-systeem. Je raadt het misschien al, het AI-systeem won twee keer de challenge waarbij de tweede challenge de accuracy nog hoger was.

AI-tooling helpt straks auditors in het schrijven van een rapport, rapporteren van bevindingen, of het opstellen van een jaarplan. Ook door te vragen naar sectorspecifieke risico’s, maar er is geen formule of model die 100% weet wat jij wilt. Met goede prompts (vragen) kan je wel een betere uitkomst realiseren. Het is daarmee een aanvulling en daarmee een extra tool in jouw gereedschapskist als auditor, meer dan dat je er volledig op kan steunen. Het mooie van deze tooling zoals een LLM is, dat je het ook kan ‘navragen’ hoe de LLM tot een bepaalde uitkomst komt.

Bijkomend is wel dat bij bijvoorbeeld de openbare ChatGPT, de data naar Amerika verzonden wordt. In het geval van specifiekere vragen over processen of bedrijfsgevoelige zaken binnen jouw organisatie, is het belangrijk om juist een afgesloten omgeving te gebruiken. Zodat de buitenwereld niet weet dat je daar aan het auditen bent.

Aanvullend: leidt het tot meer continuous monitoring waardoor internal audit (en risk en compliance) meer tijd krijgen voor andere minder repetitief werk?

Ik denk zoals in dit artikel beschreven is, zal de AI-tooling de auditors helpen in de dagelijkse praktijk. Op korte termijn (en in middels al mogelijk indien akkoord van je IT-afdeling) is de Microsoft co-pilot een mooi voorbeeld van een digitale assistent die ervoor zal zorgen dat je als gebruiker/auditor meer tijd over zal houden voor meer belangrijke taken. Continuous monitoring is een mooie gedachte, maar aangezien de LLMs nog minimaal 10% fouten maken/kunnen hallucineren en bij het doen van een audit, komt ook het ‘direct in de ogen aankijken’ tijdens interviews aan te pas en dat ‘aanvoelen en sturen’ zie ik een LLM op korte termijn nog niet (goed) doen. Ook de net ontwikkelde AI pin niet, maar de ontwikkelingen gaan snel (OpenAI Q* misschien?) en zijn leuke gadgets. Als mens zijn we natuurlijk ook niet perfect, maar hebben in beginsel wel meer empathie dan een LLM. Het empathische vermogen is immers één van de moeilijkste dingen van de hersenen om na te bootsen. De toekomst (voor auditors) zal waarschijnlijk zijn dat een LLM de andere LLM zal gaan (continuous) auditen, omdat de menselijke auditor dit (de uitkomsten in sommige situaties) niet meer kan (bevatten). OpenAI heeft recentelijk een paper

gepubliceerd waarbij ze GPT2 proberen te begrijpen/auditen met GPT4. Nadeel is wel dat je een blackbox gaat auditen met een andere blackbox en dat je de huidige versie nog niet kan auditen/begrijpen… voordeel van een LLM is dan wel weer dat je ook om uitleg kan vragen met de juiste prompts (tot een bepaald niveau en indien bepaalde vragen/prompts niet afgeschermd zijn).

Om continuous monitoring te gebruiken, zal het LLM specifieke bevoegdheden nodig hebben, bijvoorbeeld voor Python, Word en wat andere tooling, plus toegang tot specifieke files en data, maar ook gerichte prompts moeten ontvangen, om ervoor te zorgen dat de performance van de output (juistheid/volledigheid) zal verbeteren. Gebruikt iedereen dezelfde tooling, dan zal die steeds sneller verbeteren door de continu feedback die iedereen erop geeft. Wel blijft het risico dat de AI-tool gaat hallucineren, zoals eerder aangegeven. Hierdoor blijft het controleren en valideren van de resultaten belangrijk. Het kritische denkvermogen van de professional zal belangrijk zijn. Mogelijk dat we op de langer termijn een steeds kleinere groep van ‘goed’ functionerende LLM’s overhouden wegens de hoge kosten voor o.a. rekenkracht en negatieve belasting van het milieu (bv. water om te koelen).

Maakt het naar jouw mening wellicht de audit, risk en of compliance functie overbodig?

Als je op deze website kijkt dan zou de AI-impact 60% zijn met een opsomming welke taken dan het meest geraakt zullen worden. Ik sluit mij dan ook aan bij de phrase uit het artikel: ‘AI will not replace people, people with AI will replace people’.

Er zullen zeker banen verdwijnen, maar er komen ook meer banen bij. Al zullen mensen zich wel moeten laten omscholen. Door de insights van AI zal er gerichter gekeken kunnen worden naar specifieke taken, die een grotere impact hebben voor de gewenste resultaten.

Hoewel het ons werk veel efficiënter, of makkelijker zal maken, zal het niet compleet vervangen. Het zal de afweging van het bestuur zijn wat met de vrijgemaakte capaciteit te doen. Het kan heel goed ervoor zorgen dat de taken waar we niet aan toe kwamen, nu wel 100% beoordeeld kunnen worden in plaats van met minder mensen dezelfde hoeveelheid werk doen. Die afweging ligt dan weer bij het bestuur. Het is in ieder geval een tool die zal helpen om beter, sneller, efficiënter of juist nieuwe dingen te doen waar je nog niet aan toe gekomen bent.

Of leidt AI tot meer werk omdat er meer data kan worden verwerkt wat tot meer vragen en dus onderzoeken leidt?

Meer data heeft voor- en nadelen. Een voordeel voor het model is dat het model steeds beter wordt in een bepaald gebied. Nadeel is dat de uitkomsten niet altijd te volgen zijn (immers correlaties en geen causale verbanden). De mens zal proberen te begrijpen wat de output is en hoe deze tot stand is gekomen, maar met steeds complexere modellen wordt het ook steeds moeilijker. Dit raakt ook een belangrijk artikel in de EU AI Verordening m.b.t. human oversight. Dit is belangrijk, maar er komt een moment in tijd dat wij als mensen niet meer (precies) begrijpen of de output juist en volledig is.

Het is belangrijk dat er daarmee ook een soort ‘kill switch’ komt om het uit te zetten, maar ook dan moet je nog steeds wel begrijpen wat de uitkomst is en hoe deze tot stand is gekomen. Daarnaast dient ook geregeld te zijn dat bij het opnieuw ‘aanzetten’ van het AI-systeem niet dezelfde onwenselijke dingen gebeuren. Belangrijk blijft de ‘uitlegbaarheid’ van de rapporten en onderbouwende processen richting de consument en de toezichthouder.

Wanneer is AI in staat tot maatwerk zoals normenkaders? Je hebt altijd detailinfo nodig over een organisatie/processen/systemen om hiertoe te komen.

Je kan een normenkader redelijk eenvoudig laten maken, maar die moet uiteindelijk toegespitst zijn op de organisatie, en hoe deze het proces ingericht heeft. Heb je het over IT, bv. het proces change management dan kan je redelijk hetzelfde verwachten als output bij eenzelfde prompt. Echter je hebt mogelijk andere criteria voor een rundveehandelaar, dan voor een verzekeraar. Daarin is de vraag hoeveel persoonlijke kennis van de organisatie nodig is. Zet je de vraag voor een normenkader uit bij een LLM, dan houd je het risico dat deze zich met synthetische, fictieve, data heeft verrijkt en als hier biases of omissies inzitten dan zal dit alleen maar meer worden versterkt. Het blijft belangrijk om de LLM daarom te controleren (’te begrijpen’), in de data (input) en in de output om ervoor te zorgen dat de punten die aangeleverd worden relevant zijn voor je sector, en niet overgenomen zijn vanuit andere onderzoeken die niet van toepassing zijn.

Sommige experts stellen ook dat het internet steeds meer gevuld wordt met synthetische data, mis- en/of met desinformatie. Zeker als betrouwbare bronnen, bijv. Kluwer, de DPG media, hun media af proberen te schermen. Het gevaar blijft daarmee dat de gegenereerde normenkaders en andere documenten niet sterk onderbouwd zijn met betrouwbare onderliggende informatie. Die normenkaders gegenereerd door LLMs lijken in eerste instantie interessant, maar blijf zelf kritisch nadenken.

Natuurlijk kan je een LLM gebruiken die alleen jouw eigen data gebruikt, maar dan moet je het model intern trainen voor jouw specifieke situatie, met jouw eigen data. Via bijvoorbeeld Microsoft heb je het nieuwste model van Open AI, via hun Azure platform, die specifiek voor jouw situatie kan inzetten en voeden met jouw data binnen een gesloten omgeving. De vraag daarin blijft wel, heb je zelf genoeg data om hem goed te laten werken.

Bij Microsoft zijn ze wel bezig met de co-pilot, om die op de achtergrond jouw (geselecteerde) bedrijfsdocumenten te laten screenen en op basis van deze documenten jouw antwoord te geven, indien gewenst in jouw stijl van schrijven.

Men is ook bezig met sectorspecifieke modellen, bijvoorbeeld in de zorgsector en de academische wereld, waar er op basis van hun eigen datasets een LLM getraind wordt. Zo houd je ook de kwaliteit hoger dan wanneer je een openbaar model maakt. Het nadeel is dat je niet automatisch datasets van andere partijen erin toevoegt. Deze zal je mogelijk moeten kopen in de toekomst. Wel kan je dan grip houden op welke data(kwaliteit) je wel, of niet, toevoegt aan de dataset. In de bestaande modellen zal je kritisch moeten blijven naar de bias die onbedoeld meegenomen worden door de modellen en waar nodig de informatie te tweaken om deze waar mogelijk te beperken. Een AI-systeem zonder biases is echter niet mogelijk. Biases kunnen in het hele proces zitten (input, model, output en governance).

Hoe krijgen en behouden de functies audit, risk en compliance kennis over AI? De ontwikkelaars begrijpen het niet eens altijd zelf?

Het doen en volgen van opleidingen en trainingen. Voordeel is dat door AI er een tailormade programma uiteindelijk gemaakt kan worden voor elke functie en persoon. Stil zitten is echter geen optie. Je kan dus kijken wat universiteiten, IIA en andere beroepsorganisaties aanbieden. Nadeel is echter dat voor auditors en risk managers nog niet veel beschikbaar is. Op compliance gebied steeds meer en op technisch gebied is er wel heel veel beschikbaar.

Heeft de gemiddelde audit, risk en compliance afdeling op dit moment wel de kennis?

Dit is voor mij moeilijk in te schatten. Op basis van de trainingen en colleges die ik geef merk ik wel dat er veel behoefte is en er ook veel vragen spelen. Doordat AI niet meer zal verdwijnen dienen de afdelingen wel een plan op te stellen om ervoor te zorgen dat er een bepaalde basiskennis aanwezig per werknemer en specialistische kennis voor enkele relevante thema’s.

Het kennisniveau is eerder beperkt aanwezig dan ruimschoots op alle facetten van een AI-systeem. Er zijn werknemers die er veel vanaf weten, maar bij de meeste ontbreekt de nodige kennis. Daarnaast zal het voor de grotere organisaties en afdelingen makkelijker zijn om de kennis in huis te halen. Voor de kleinere organisaties is het lastig. Wat niet zegt dat de modellen niet gebruikt (kunnen) worden, zoals eerder gezegd no-code/low-code mogelijkheden. Dit neemt de nodige risico’s met zich mee waar je ook als auditor achter dient te komen. Een Stanford professor gaf aan dat de ontwikkeling en implementatie van een AI-systeem in een bedrijfsproces vroeger tussen 6 tot 9 maanden duurde, nu kan het binnen enkele uren tot een week duren.

Zeker met de snelheid van implementatie is het bijna onmogelijk om (alle) risico’s buiten huis te houden en daarom is tijdige communicatie met de audit, risk en compliance afdelingen cruciaal. Waar namelijk de ene week er nog niet over gesproken wordt over AI-systemen, kan het volgende week al geïmplementeerd zijn. Wees alert op de ambities van jouw eigen organisatie en afdelingen en stem hier je nieuwe risk assessment voor het jaarplan op af.. Door de snelle opvolgende technologische ontwikkelingen en het gemak van implementatie, kan dit ook mogelijk een effect hebben op de verhouding tussen geplande audits/werkzaamheden en ad hoc werkzaamheden.

Interesse in dit onderwerp of wilt u meer informatie over AI binnen Audit, Risk en Compliance? Neem contact op met Marc van Heese.