Blog Archives

Inleiding

De geschiedenis van Internal Audit is diepgeworteld in de ontwikkeling van (in eerste instantie) financiële en administratieve controles door de eeuwen heen. In dit artikel maken we een interessante tijdreis. Die tijdreis begint met de oorsprong van het woord ‘audire‘, wat in het Latijn ‘luisteren’ betekent, en eindigt bij de moderne rol van Internal Audit in het kader van de regelgeving vanuit DNB, de nieuwe Nederlandse Corporate Governance Code (CGC) en de Verklaring Omtrent Risicobeheersing (VOR). Als laatste gaan we nog kort in op het ‘ver-agilen’ van Internal Audit activiteiten. Reis je met ons mee?

Oorsprong van het woord ‘Audit’ en vroege voorbeelden van auditing

De oorsprong van het woord ‘audit’ ligt in het Latijnse ‘audire’, wat ‘luisteren’ betekent. Deze terminologie weerspiegelt de vroege praktijken van auditing, die voornamelijk gericht waren op het mondeling verifiëren van financiële informatie. Oorspronkelijk was auditing een proces waarbij mondelinge verslagen van financiële transacties werden aangehoord en gecontroleerd. Naarmate de tijd vorderde, evolueerde de praktijk van auditing van deze eenvoudige mondelinge rapportage naar meer gestructureerde en gedocumenteerde processen.

In de oudheid werd later ook gebruik gemaakt van vastleggingen van boekhoudingen, voornamelijk in de vorm van kleitabletten en papyrusrollen. Deze documenten getuigen van de ontwikkelde boekhoudkundige praktijken die al in oude beschavingen zoals die van de Sumeriërs, Babyloniërs, Egyptenaren en later de Grieken en Romeinen bestonden. De kleitabletten uit Mesopotamië bijvoorbeeld, daterend van rond 3300 v.Chr., behoren tot de vroegste voorbeelden van geschreven boekhoudkundige records en omvatten gedetailleerde lijsten van goederen, transacties en inventarissen. Deze documenten zijn cruciaal voor het vastleggen en vervolgens controleren/auditen van de gegevens. Hoewel zichtbare tekenen van controles of auditing ontbreken, is het zeker dat die er waren. In veel gevallen wijzen de nauwgezetheid en systematiek van de vastleggingen namelijk op een vorm van controle en verificatie. In sommige oude samenlevingen waren er bijvoorbeeld functionarissen verantwoordelijk voor het controleren van de nauwkeurigheid van deze records, wat een vroege vorm van auditing vertegenwoordigt.

Andere voorbeelden van auditing in oude beschavingen:

• Het Oude Egypte: In het Oude Egypte waren er functionarissen bekend als ‘scribes’ die verantwoordelijk waren voor het opnemen en controleren van de inkomsten en uitgaven van de staat en tempels. Zij voerden audits uit door het controleren van graanopslagen en andere voorraden, en zorgden ervoor dat de hoeveelheden overeenkwamen met de opgetekende records. Dit soort auditing was essentieel voor het beheer van de grote landbouw- en bouwprojecten van het rijk, zoals de bouw van piramides en tempels.
• Het Oude Griekenland: In het klassieke Griekenland bestonden er openbare functionarissen, bekend als ‘logistai’, die belast waren met het auditen van andere ambtenaren. Na het voltooien van hun termijn moesten ambtenaren een gedetailleerd verslag van hun financiële handelingen voorleggen aan deze logistai, die de verslagen vervolgens controleerden op juistheid en integriteit.
• Het Romeinse Rijk: In het Romeinse Rijk werden auditors of ‘quaestors’ aangesteld om toezicht te houden op de financiële zaken van de staat. Deze quaestors hadden de taak om inkomsten en uitgaven te registreren en te zorgen voor de integriteit van de staatsfinanciën. Hun rol omvatte zowel het verzamelen van belastingen als het controleren van de overheidsuitgaven.
• Auditors in deze tijd hadden vaak aanzienlijke macht en verantwoordelijkheid, omdat zij de taak hadden de juistheid van financiële records te verifiëren en daarmee bedrog en corruptie tegen te gaan.

Ontwikkeling van auditing door de middeleeuwen en Renaissance

Tijdens de middeleeuwen en de Renaissance, een periode gekenmerkt door de opkomst van handel en de vorming van machtige staten, evolueerde de praktijk van auditing aanzienlijk. In deze tijd werden meer gestructureerde methoden voor het bijhouden en controleren van rekeningen ontwikkeld, mede door de opkomst van dubbel boekhouden.

Voorbeelden van Auditing in de middeleeuwen en Renaissance:

• Luca Pacioli en Dubbel Boekhouden: In 1494 publiceerde de Italiaanse wiskundige Luca Pacioli zijn werk ‘Summa de arithmetica, geometria, proportioni et proportionalita’ⁱ, dat een gedetailleerde beschrijving bevatte van het dubbel boekhouden. Dit systeem verbeterde de nauwkeurigheid van de financiële administratie.
• De Hanze: De Hanze, een handelsnetwerk dat Noord-Europa in de middeleeuwen domineerde, maakte gebruik van gedetailleerde boekhoudkundige systemen. Handelaars en steden die deel uitmaakten van de Hanze, hielden nauwkeurige boeken bij van hun transacties. Audits werden uitgevoerd om de betrouwbaarheid van deze financiële administraties te waarborgen.
• Engelse overheidsinstellingen: In Engeland, tijdens de late middeleeuwen en de vroege Renaissance, werd de ‘Exchequer’ verantwoordelijk voor het beheren van de overheidsfinanciën. Ambtenaren van de Exchequer voerden audits uit om ervoor te zorgen dat belastingen correct werden geïnd en uitgegeven, en om fraude of wanbeheer aan het licht te brengen.
• Katholieke kerk: In de middeleeuwen speelde de Katholieke kerk een prominente rol in Europa. Kloosters en kerkelijke instellingen hadden uitgebreide landbezittingen en rijkdommen. Om de financiën te beheren, werden regelmatige audits uitgevoerd. Deze controles waren bedoeld om de juistheid van de financiële administratie te verzekeren en om corruptie binnen de kerkelijke hiërarchie tegen te gaan.
• Stedelijke overheden: In stadsrepublieken zoals Venetië en Florence werden auditors aangesteld om de boekhouding van de stad te controleren.

De opkomst van moderne auditing

Het boekhouden tijdens de periode van de Nederlandse Verenigde Oost-Indische Compagnie (VOC), die actief was van de 17e tot de 18e eeuw, was geavanceerd voor zijn tijd en speelde een cruciale rol in het succes van de onderneming. De VOC was een van de eerste bedrijven die gebruikmaakte van dubbel boekhouden, een methode die een meer accurate en gedetailleerde financiële administratie mogelijk maakte. Deze methode hielp bij het beheren van de complexe handels- en financiële activiteiten van de VOC, die betrekking hadden op meerdere continenten en een grote variëteit aan goederen.

Het boekhoudsysteem van de VOC omvatte gedetailleerde journaals en grootboeken, die transacties registreerden zoals handelsaankopen, verkopen, scheepskosten, en winst- en verliesrekeningen. Deze nauwkeurige administratie was essentieel voor het beheren van de risico’s en winsten in de vaak onvoorspelbare omgeving van de internationale handel in die tijd.

De industrialisatieperiode begon in de tweede helft van de 18e eeuw en duurde tot het begin van de 20e eeuw. De industrialisatieperiode bracht grote veranderingen met zich mee in de zakelijke wereld, wat leidde tot de ontwikkeling van moderne auditpraktijken. Deze veranderingen waren een reactie op de groeiende complexiteit van bedrijfsoperaties en de noodzaak van betrouwbaardere financiële rapportage.

Belangrijke ontwikkelingen in de industrialisatieperiode

• Opkomst van grootbedrijven: De industrialisatie leidde tot de opkomst van grootbedrijven met uitgebreide financiële netwerken. Dit maakte de behoefte aan formele auditprocessen en -procedures duidelijk, om investeerders en aandeelhouders te verzekeren van de juistheid van de financiële verslaggeving.
• Introductie van wetgeving voor bedrijven: In reactie op de toenemende complexiteit van het bedrijfsleven en financiële schandalen, werden in verschillende landen wetten aangenomen om de financiële transparantie en verantwoording van bedrijven te verhogen. Een voorbeeld is de “Joint Stock Companies Act” in het Verenigd Koninkrijk, die in 1844 werd ingevoerd en waarin de verplichting van jaarlijkse audits werd vastgelegd.
• Oprichting van professionele auditorganisaties: De behoefte aan gespecialiseerde kennis in auditing leidde tot de oprichting van professionele organisaties. Een vroeg voorbeeld is het Institute of Chartered Accountants in England and Wales (ICAEW), opgericht in 1880. Deze organisaties stelden normen vast voor de auditpraktijk en boden training en certificering aan voor auditors.
• Ontwikkeling van auditing technieken: Gedurende deze periode werden ook nieuwe auditing technieken ontwikkeld. De focus verschoof van een eenvoudige verificatie van transacties naar een meer analytische benadering, waarbij de effectiviteit van interne controles en het risicomanagement van een organisatie werden beoordeeld.

De evolutie van internal audit in de 20e eeuw

In de 20e eeuw onderging de praktijk van audit aanzienlijke veranderingen en werd ook gesproken over het verschil tussen External/Financial en Internal Audit (IA), waarbij de focus zich uitbreidde van louter financiële controles naar een meer geïntegreerde benadering van risicobeheer. Interne accountants ontwikkelden zich gaandeweg tot de hedendaagse interne/operational auditors met een brede focus op allerhande risicogebieden. In tegenstelling tot de klassieke/financieel gedreven external audit focus. Deze evolutie werd gedeeltelijk gedreven door veranderingen in de markt en industrienormen, waarbij een verschuiving plaatsvond van een documentgerichte naar een datagerichte aanpak, waardoor interne audit in staat werd gesteld technologie te benutten die het enterprise risk management (ERM) kon verbeteren​​.

Een belangrijke mijlpaal in de geschiedenis van internal auditing is de oprichting van The Institute of Internal Auditors (IIA) in 1941 in de Verenigde Statenⁱⁱ. Het IIA wordt beschouwd als de mondiale stem en erkende autoriteit, leider, belangrijkste pleitbezorger en voornaamste opleider voor het beroep van internal auditing. De oprichting van het IIA markeerde een keerpunt in de professionalisering van internal auditing, met de ontwikkeling van professionele educatieve en ontwikkelingsmogelijkheden, standaarden en andere professionele praktijkrichtlijnen​​. Het Instituut van Internal Auditors (IIA) in Nederland is opgericht in 1968. Het recent toegenomen belang van Internal Audit in bijvoorbeeld de Nederlandse Corporate Governance code kan voor een belangrijk deel worden toegeschreven worden aan de activiteiten van het IIA.

De volgende voorbeelden van evolutie van internal auditing zijn waarneembaar in de 20e eeuw:

• Van financiële informatie naar geïntegreerde audits: Internal auditing is verschoven van een focus op het beoordelen van financiële informatie naar een meer geïntegreerde benadering, waarbij auditors zekerheid bieden over een combinatie van financiële, operationele, IT- en compliance-audits. Integrated audits stellen internal auditors in staat om informatie vanuit verschillende perspectieven te beoordelen, waarbij zij de gebruikte systemen, ingevoerde gegevens en opgeslagen informatie in hun nauwkeurigheid en de efficiëntie van de gevolgde procedures beoordelen.
• Toename van het belang van IT-Audits: Met de opkomst van informatietechnologie is IT-auditing een steeds belangrijker onderdeel geworden van de internal auditfunctie. IT-audits richten zich op de beoordeling van de algemene en specifieke IT-controles binnen een organisatie.
• Groeiende nadruk op risicomanagement: De rol van internal auditing in risicomanagement is in de loop der tijd aanzienlijk gegroeid. Auditors beoordelen nu niet alleen de effectiviteit van risicobeheersingsprocessen, maar bieden ook inzichten en aanbevelingen om deze processen te verbeteren.
• Uitbreiding naar Compliance en Governance: Naast financiële controles, spelen internal auditors een cruciale rol in het verzekeren van naleving van wet- en regelgeving en het ondersteunen van goede governance binnen organisaties.

Internal Audit en de Nederlandse Corporate Governance Code

De Nederlandse Corporate Governance Code (CGC) van 2022 heeft de Internal Audit Functie (IAF) expliciet opgenomen als een essentieel onderdeel van risicomanagement binnen organisaties. Dit houdt in dat bedrijven nu worden aangemoedigd of zelfs verplicht zijn om een IAF in te richten, of anders adequate alternatieve maatregelen te nemen en deze te verantwoorden. Uit onderzoek van Bogstraⁱⁱⁱet al. (2020) blijkt dat sinds de herziening van de Code in 2016, steeds meer kleine beursfondsen (AMX & AScX) een IAF hebben ingericht. Echter, in 2020 had nog steeds 30,1% van de beursgenoteerde ondernemingen geen IAF​​.

Voor organisaties die te klein zijn om een volledige IAF in te richten, biedt de CGC 2022 de mogelijkheid tot uitbesteding van de interne auditfunctie als een adequaat alternatief. Dit biedt een proportionele oplossing die aansluit bij de specifieke behoeften en vereisten van de organisatie, zonder concessies te doen aan de kwaliteit van de audit.

De CGC 2022 is inhoudelijk een stap dichter bij de kwaliteitsstandaarden van het IIA, met name de International Professional Practices Framework (IPPF) standaarden en de recent uitgebrachte Global Internal Audit Standards (GIAS). De GIAS zijn ontwikkeld door het IIA en vervangt de IPPF van 2017. Dit nieuwe raamwerk is gestructureerd rond vijf domeinen en bevat 15 leidende principes die de kwaliteit en effectiviteit van interne auditdiensten wereldwijd bevorderen. De kernprincipes van integriteit, objectiviteit, competentie, professionele zorgvuldigheid, en vertrouwelijkheid zijn fundamenteel voor dit raamwerk. Deze standaarden zijn ontworpen om best practices te bevorderen en een consistente en uniforme aanpak van interne audits te waarborgen.

De verwachting is dat het aantal Internal Audit Functies zal toenemen vanwege de aanpassingen in de Code die een Internal Audit Functie als essentieel onderdeel van de risicobeheersing aanwijzen.

Internal Audit en regelgeving vanuit De Nederlandsche Bank

De Nederlandsche Bank (DNB) speelt een cruciale rol in het toezicht op de financiële sector in Nederland, waarbij het zich richt op de soliditeit van financiële instellingen en de stabiliteit van het financiële systeem. Een belangrijk instrument in dit toezicht is de uitgifte van good practices, zoals de “Good Practice Informatiebeveiliging 2023” (GP IB 2023), die bedoeld zijn om financiële instellingen te begeleiden bij het inrichten van hun interne beheersingspraktijken, met een specifieke focus op informatiebeveiliging. De GP IB 2023 bouwt voort op de eerdere versie uit 2019/2020, met de intentie om zoveel mogelijk aan te sluiten op de structuur en inhoud ervan. Echter, de herziene versie integreert nieuwe inzichten, praktijkvoorbeelden, en ontwikkelingen in regelgeving, zoals de Digital Operational Resilience Act (DORA) en EIOPA-richtlijnen, om een meer omvattende en actuele gids te bieden voor het managen van informatiebeveiligingsrisico’s.

De rol van Internal Audit binnen de GP IB 2023 krijgt extra nadruk, voortbouwend op de grondbeginselen vastgesteld in de 2019-versie. Ook hier is duidelijk de toename van belang van Internal Audit te merken. Internal Audit wordt expliciet genoemd als een cruciale component van het drie-lijnenmodel, met de nadruk op hun onafhankelijkheid en de noodzaak voor een risico-gebaseerde benadering van hun werk. De verwachtingen rondom de rapportage, monitoring van aanbevelingen, vergelijking van rapportages en analyse van trends en ontwikkelingen zijn verder verfijnd om de verantwoordelijkheden van Internal Audit duidelijker te omschrijven en te verdiepen, vooral in het licht van de steeds evoluerende cyberdreigingen en technologische ontwikkelingen.

Deze specifieke taken en verantwoordelijkheden van de Internal Audit Functie zijn bedoeld om te zorgen voor een grondige evaluatie en effectieve monitoring van de ICT-beheersingsraamwerken binnen financiële instellingen. Internal Audit speelt een essentiële rol in het waarborgen dat de instellingen niet alleen voldoen aan de huidige standaarden van informatiebeveiliging maar ook proactief anticiperen op en zich aanpassen aan toekomstige uitdagingen.

Verklaring Omtrent Risicobeheersing (VOR) en Internal Audit

De Verklaring Omtrent Risicobeheersing (VOR) is een recente toevoeging aan de Nederlandse Corporate Governance Code, ontstaan uit de behoefte om organisaties beter voor te bereiden op de toenemende risico’s die ze tegenwoordig ervaren. Deze risico’s omvatten financiële risico’s, cyberrisico’s, en de naleving van wet- en regelgeving, die allemaal significante gevolgen kunnen hebben voor een organisatie.De nieuwe VOR benadrukt de cruciale rol van de Interne Audit Functie (IAF) binnen organisaties.

Volgens principe 1.3 van de corporate governance code heeft de IAF de verantwoordelijkheid om de opzet en werking van de interne risicobeheersings- en controlesystemen te beoordelen. Deze beoordeling is van fundamenteel belang, aangezien het directe inzichten verschaft aan het bestuur voor de samenstelling van de VOR. De IAF functioneert hierbij als een onafhankelijke en objectieve partij die niet alleen de effectiviteit van de bestaande systemen evalueert, maar ook aanbevelingen doet voor verbeteringen. Deze rol gaat verder dan enkel het controleren van naleving; het omvat ook het adviseren over en bijdragen leveren aan de verbetering van risicomanagement, controle en governance processen. De IAF biedt daarmee een waardevolle bijdrage aan de algehele risicobeheersingscultuur binnen de organisatie, waardoor deze niet alleen compliant is, maar ook veerkrachtiger en aanpasbaar aan veranderende omstandigheden.

In de nieuwe VOR wordt de rol van de IAF nog belangrijker. Naast het beoordelen van financiële verslaggevingsrisico’s, wat al in de code was opgenomen, moet er nu ook aandacht besteed worden aan duurzaamsheidsverslaggeving en de beheersing van operationele en compliance risico’s. Deze risico’s vormen traditioneel een belangrijk object van internal audits. De in de nieuwe VOR opgenomen grondige beoordeling van de effectiviteit van de interne risicobeheersings- en controlesystemen is bij uitstek het domein en de competentie van de IAF. Doordat de IAF gedurende het jaar al aandacht besteedt aan de belangrijkste risico’s, is de IAF de logische partij om deze grondige beoordeling uit te voeren.

Agile Internal Audit

In een tijdperk waarin de zakelijke omgeving sneller dan ooit evolueert, staan Internal Audit Functies voor de uitdaging hun auditmethoden aan te passen om relevant en effectief te blijven. Het adopteren van Agile-principes biedt een goede oplossing om het auditproces nog flexibeler en responsiever te maken. Agile Internal Audit benadrukt de waarde van snelle aanpassingen, continue feedback en nauwere samenwerking met stakeholders. Deze aanpak moedigt het gebruik van sprints aan, waarbij auditprioriteiten worden afgestemd op de meest significante risico’s en kansen voor de organisatie. Door kortere auditcycli te implementeren, kunnen auditors tijdig inzichten leveren die de bedrijfsvoering (en snelle verbetering daarvan) direct ondersteunen. Dit Agile paradigma transformeert de Internal Audit Functies van een statische naar een dynamische functie, waarmee het niet alleen de risicobeheersing verbetert, maar ook strategische waarde toevoegt aan de organisatie.

De uitdaging voor alle Internal Audit Functies zal zijn om, in het licht van agile concepten en technieken, toch nog steeds compliant te blijven aan de Global Internal Audit Standaarden van het IIA. Dat is goed mogelijk, maar vraagt wel specifieke kennis en aandacht.

Afsluiting

Dankjewel dat je deze tijdreis met ons maakte. Overigens verwachten we dat de tijdreis hier niet definitief eindigt. Het vakgebied zal zich namelijk blijven ontwikkelen. Wij zullen die ontwikkeling gepassioneerd blijven volgen en daaraan gerichte bijdragen blijven leveren.

Wil je het met ons hebben over een moderne invulling van de Interne Audit Functie, aarzel dan niet! De bevlogen professionals van ARC People helpen u graag bij het snel en effectief beheersen van de risico’s. Op meerdere risicogebieden en in verschillende vormen, zoals interim collega’s, trainees, co-sourcing, outsourcing en werving. Ook met actuele onderwerpen zoals DORA/NIS2 en ESG helpen we u graag op weg.

Carlo Bavius, Associate Partner 
Sander van Oosten, Partner

Veel audit-, risk- en compliance professionals veren enthousiast op, bij het horen van de termen ESG en CSRD. We spelen kennelijk graag een relevante rol in de (transparantie van de) verduurzaming van organisaties. Dat zien we ook terug bij werving van vast personeel. In de huidige krappe arbeidsmarkt reageert er nauwelijks iemand op een geplaatste vacature, behalve als men in die functie een rol mag spelen bij het realiseren van ESG-ambities. We begrijpen het eerlijk gezegd wel.

Ook wij mogen bij een aantal van onze klanten deskundigheid op het gebied van ESG inzetten. Veelal zijn dat organisaties die binnen afzienbare tijd moeten gaan voldoen aan de CSRD. Door hen worden we gevraagd om (1) een eerste nulmeting te doen naar de stand van zaken, (2) het project te toetsen, of (3) inhoudelijke deskundigheid in het project te leveren. Daarbij zien we welke uitdagingen men heeft en hoe daarmee wordt omgegaan. In deze blog delen we een aantal praktijksituaties en waardevolle inzichten met je.

Niet zomaar ‘een projectje’

Veelal worden ESG-ambities gerealiseerd middels een projectmatige aanpak. Maar we hebben het niet zomaar over een projectje dat met een standaard projectaanpak kan worden gerealiseerd. Wat maakt dit soort projecten dan zo bijzonder?

Om te beginnen draait het – wanneer je aan de CSRD moet voldoen – om wettelijke vereisten, met een harde deadline. Er is kortom geen tijd voor uitloop, waardoor tijdig beginnen het devies is. Enkele andere bijzondere kenmerken van ESG-projecten:

• Voor het merendeel van de betrokkenen is het nieuw.
• Het raakt de strategie van de organisatie.
• Het betreft de gehele organisatie en raakt vele functies.
• Er zijn afhankelijkheden van belangrijke stakeholders binnen en buiten de organisatie.

Is de Project Governance op orde?

Gelet op de hiervoor benoemde, bijzondere kenmerken van een CSRD-project, is het belangrijk om het project vanaf de start goed te organiseren. Zonder direct een nogal formele insteek te willen kiezen, vinden we dat een CSRD-project het label ‘Strategisch’ dient te krijgen. Het voordeel hiervan is meestal dat er een stuurgroep wordt geformeerd waarin het verantwoordelijke bestuurslid zitting neemt. Ook worden daardoor hopelijk gestructureerd de kansen & risico’s van het project in kaart gebracht, inclusief de risico-mitigerende maatregelen.

Een als Strategisch bestempeld project verdient eveneens Quality Assurance. Een functie die meestal ten dienste staat van de stuurgroep en de projectmanager. Opererend als een ‘critical friend’: proactief aandragend, challengend en toetsend. Quality Assurance kan haar toetsen richten op: het projectplan, het proces, de deliverables en de opvolging van adviezen. De inzichten en verbeterpunten worden gedeeld middels snelle, korte memo’s. Het project kan daardoor zowel goede voortgang boeken als continu verbeteren.

Andere belangrijke basiszaken bij een CSRD-project

Zoals gezegd, is er doorgaans veel enthousiasme rondom het brede onderwerp ESG. Om succesvol een strategische verandering door te voeren, zoals het voldoen aan de CSRD-vereisten, is er uiteraard meer nodig dan enthousiasme. We zien in de praktijk dat het geen kwaad kan om goed stil te staan bij de belangrijkste waarborgen voor een succesvol verandertraject. We behandelen hier zes belangrijke basiszaken waaraan in het begin van het project goed aandacht dient te worden besteed.

1. Een goed kennisniveau

Velen profileren zich op dit moment als dé ESG-expert, maar de CSRD-vereisten (en hoe daaraan te voldoen) is voor de meesten nieuw. Ook externe consultants zijn veelal nog het wiel aan het uitvinden. Des te belangrijker is het dat er intern een goed kennisniveau wordt opgebouwd, bij alle sleutelfunctionarissen. Niet alleen om de vereisten écht te begrijpen, maar ook om een sterkere positie in te kunnen nemen naar externe consultants. Een eventuele hulpvraag aan externe consultants kan daardoor beter worden geformuleerd en het risico dat een externe aan het stuur komt te zitten van uw CSRD-project wordt voorkomen. Er is gelukkig steeds meer kennis voor het grijpen: goede trainingen, cases van vergelijkbare organisaties en informatie bij branche- of beroepsorganisaties.

2. Urgentiebesef

Zonder urgentiebesef is er sowieso een kleine kans van slagen, leerden we vanuit alle theorieën ten aanzien van veranderingsmanagement. Heb je het idee dat het nog ontbreekt aan dat noodzakelijke ‘burning platform’? Op zijn minst verwachten we dat de verantwoordelijkheid voor het voldoen aan de CSRD-vereisten bij één van de bestuurders in de portefeuille is belegd. Ook dient uiteraard het belang en de waarde ervan duidelijk te zijn benadrukt richting de organisatie (inclusief de gevolgen van gemiste kansen of het niet voldoen aan de vereisten). Is er meer nodig? Onderneem dan alsjeblieft aanvullende stappen, want nogmaals: zonder urgentiebesef gaat het onderwerp niet vliegen.

3. Een duidelijke ESG-visie

Wellicht een ‘no-brainer’, maar het hebben van een duidelijke visie over ESG is eveneens belangrijk. Als het goed is, gaat die visie verder dan louter het doel om tijdig te voldoen aan wettelijke vereisten, of een omschrijving die voldoet aan de SMART-vereisten. Idealiter is de visie ook ambitieus, inspirerend en verwijst hij duidelijk naar de waarden van de organisatie. Is dat het geval, dan zullen vele medewerkers op die visie aanhaken.

4. Multidisciplinariteit

De CSRD kan vanuit vele perspectieven worden benaderd. Omdat het gaat om ‘voldoen aan wetgeving’ zien we bij een aantal klanten dat de Compliance- of Legal-functie de lead neemt. Wordt het primair gezien als een rapportage-uitdaging, dan zien we dat Control het voortouw neemt. Los van wie de lead neemt in het project: laat het breder gaan dan het speelveld van de projectleider. CSRD gaat immers de gehele organisatie aan. Een multidisciplinaire (project)aanpak is daarom onontbeerlijk.

5. Een ESG-cultuur

Een goede organisatiecultuur is van cruciaal belang voor succes en de effectiviteit van een organisatie. Dat geldt ook voor het realiseren van de ESG-ambities. In de praktijk zien we de volgende mooie uitingen van een ESG-cultuur: er wordt veel gecommuniceerd over ESG, het onderwerp wordt tastbaar gemaakt voor de medewerkers, participatie van collega’s wordt gestimuleerd, gemotiveerde en/of belangrijke medewerkers (‘influencers’) worden als hefboom ingezet en (last but not least) het management benadrukt het belang en geeft het goede voorbeeld.

6. Kijk eerst wat je al hebt

Ondanks dat het onderwerp voor het merendeel nieuw is, betekent het niet persé dat je vanaf scratch hoeft te beginnen. Stel eerst vast wat er binnen je organisatie al bestaat op duurzaamheidsgebied. Het kan zijn dat er ergens binnen je organisatie al initiatieven ontplooid zijn (maar nog beperkt zichtbaar en aantoonbaar waren), of er waren al zaken waaraan je moest voldoen. Het toepassen van een nulmeting is hiervoor een hele goede methode. Laat je verrassen en wie weet maak je direct een vliegende start met je project. Ook de ESG-cultuurdragers binnen je verandertraject heb je dan gelijk gevonden. Andersom werkt deze inspanning ook. Als blijkt dat er toch wel veel vernieuwd moet worden, kan van onderschatting vervolgens geen sprake meer zijn, en lost dit het probleem van urgentiebesef misschien ook direct op.

Veel succes en aarzel niet!

Natuurlijk hopen we dat je op basis van ons blog hebt kunnen vaststellen dat de belangrijkste basiszaken in jullie CSRD-project op orde zijn. Is dat nog niet geval, dan hebben onze ervaringen wellicht aangezet tot verdere verbetering. We wensen je veel succes bij de mooie uitdagingen die voor je liggen!

Aarzel niet om contact met ons op te nemen. Vanzelfsprekend zijn we benieuwd naar jouw ervaringen tot nu toe. Ook zetten we desgewenst graag onze kennis en ontwikkelde formats in, om je te helpen bij een soepele implementatie van de CSRD-vereisten binnen jouw organisatie. Zie hier onze dienstverlening op een rijtje.

Sander van Oosten
Partner ARC People

Om de ontwikkelingen in onze vakgebieden nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? In deze ARC People (vak)praat focussen we ons op Artificial Intelligence (AI), momenteel een hot topic en interviewen we met plezier Damian Borstel, Senior Toezichthouder (Expertisecentrum) bij de AFM. Dit interview is op persoonlijke titel.

Naast zijn functie bij AFM, is Damian actief in het geven van trainingen op het gebied van AI en is hij actief als expert member bij NEN en CEN/CENELEC. CEN (Comité Européen de Normalisation) en CENELEC (European Committee for Electrotechnical Standardization) zijn twee Europese organisaties die zich bezighouden met normalisatie, het ontwikkelen van technische normen en standaarden voor verschillende industrieën en sectoren. Daarnaast is hij ook lid van de NOREA kennisgroep Algorithm & Assurance en als kers op de taart recentelijk begonnen met zijn PhD aan de UvA m.b.t. ‘Toezicht op AI in de financiële sector’.

Waarom de interesse in AI?

Ik heb altijd al interesse gehad in IT. Meer dan 30 jaar geleden ben ik begonnen met mijn XT-pc en kwam door gaming al snel in aanraking met AI en merkte ik dat de ene game dit beter onder controle had dan een andere. Tijdens mijn post-doc voor mijn RE-titel aan de UvA ontstond de interesse om mijn thesis te houden over Algorithm Assurance, hieruit ontstond mijn ‘algorithm assurance kubus’ (een kubus waarbij aspecten als randvoorwaarden, vertrouwen, (data)proces en ESG samenkomen om zo op een gedegen manier (mogelijk in de toekomst) assurance af te kunnen geven rekening houdende met de onderlinge relaties tussen de aspecten) en steeds grotere fascinatie voor het onderwerp AI. Het is immers bijna overal, van smart watches, IoTs in huis tot in auto’s aan toe.

Kun je een beeld geven van de omvang van AI binnen organisaties?

Alvorens een beeld te geven over de omvang van AI, dient er meer duidelijkheid te komen over wat AI of een AI-systeem precies is. De OECD heeft recent een nieuwe definitie gepubliceerd, maar is niet verankerd in een wet. Gelukkig komt dit op korte termijn wel en zal dit beschreven worden in de aankomende EU AI Verordening. Dit maakt het makkelijker om aan te geven wat AI is en daarmee ook de omvang van AI. Een precieze omvang kan ik niet geven, maar dat de omvang alleen maar toe zal nemen wel. Het wordt immers organisaties en/of werknemers zonder data science kennis erg gemakkelijk gemaakt om door gebruik van low-code/no-code tooling AI in bestaande bedrijfsprocessen toe te voegen. Nu sinds een jaar ChatGPT en andere Large Language Models (LLMs) naambekendheid hebben en de kracht en eenvoud van deze tooling zullen er alleen maar meer voor zorgen dat de omvang zal toenemen op korte termijn.

Door de vragende manier waarop deze tools werken, kan je snel je gedachten erop loslaten. Dit maakt het eenvoudig om te vragen naar efficiëntie slagen of risico’s omtrent een bepaald proces. Daarmee wordt het een assistent om input te leveren aan taken. Wel is het zo dat sinds ook het schandaal met Samsung, waar geheime bedrijfscode openbaar werd gemaakt door gebruik te maken van de openbare ChatGPT versie, er voorzichtig wordt omgegaan met het gebruik van AI buiten de eigen beveiligde omgeving.

Waar worden we er al mee geconfronteerd (wellicht zonder dat we het weten)?

Zoals net aangegeven komen we dit overal tegen. De WRR noemt het ook een systeemtechnologie en een professor van Stanford (Andrew Ng) geeft aan dat AI meer impact zal hebben dan elektriciteit. Als straks de AI Verordening van kracht is, zal door de transparantieverplichtingen, het nog duidelijker worden in hoeverre je in aanraking komt met AI. Dit is dan wel AI direct met jou ‘communiceert’. De AI tooling in organisaties zelf of die mogelijk achter andere AI ‘verscholen’ zit, zijn misschien minder inzichtelijk. Er is een interessante website die inzicht geeft welke AI-tooling er allemaal is: theresanaiforthat.com.

Waar het gaat om een ‘neuraal netwerk’, is dit nog beperkt door de grote kosten die hiermee gepaard gaan. Echter, worden zeer complexe Excel sheet en dergelijke wel breed ingezet (die mogelijk ook onder de AI-definitie gaan vallen). Ook kan het zeker voorkomen dat de respons of het advies die door een persoon gegeven worden, uit prompts van een AI-tool worden gehaald die de ‘correcte’ respons aan bijvoorbeeld een helpdeskmedewerker geven. De vraag die dan nog overblijft is of deze persoon nog kritisch nadenkt of dat deze slechts een ‘doorgeefluik’ is.

Bij uitbesteding lijkt me dit ook een relevante topic: wat wordt voorzien door AI aan de klant?

De Big Tech bedrijven zijn in de lead met het aanbieden van interessante en user-friendly AI tooling. Hierdoor zullen vele (delen van) processen worden uitbesteed. Third party management (TPM) zal steeds belangrijker worden, maar dus ook de interne kennis om te begrijpen wat deze derden partijen (precies) doen. Je moet immers kritische vragen kunnen stellen over bv. welke datasets er gebruikt zijn.

Zeker kleine bedrijven kunnen ook geconfronteerd worden met AI zonder het te weten. Deze hebben namelijk minder capaciteit om onderzoek te doen naar partners of derden die mogelijk wel degelijk gebruik maken van AI voor hun interne processen. Inzicht hebben dan wel contractueel vastleggen wanneer er AI gebruikt wordt, is dan eigenlijk een must. Je blijft immers als bedrijf eindverantwoordelijk en transparantie over het (mogelijke) gebruik van AI heeft impact op het vertrouwen.

Welke risico’s zie je voor organisaties in het gebruik van AI?

Er zijn verschillende risico’s te benoemen. Je kan denken aan governance, transparantie, ethiek, uitlegbaarheid, privacy risico’s bij gebruik van persoonsgegevens, schending van mensenrechten, datakwaliteit, discriminatie en biases. Ook risico’s op gebied van cybersecurity zijn actueel. Kwaadwillende/hackers kunnen bv door gebruik van WormGPT makkelijk phishing aanvallen doen of malware laten schrijven en dit is pas het begin. Zo kan het door de beperkte transparantie naar data en processen achter de tools, het eenvoudig voorkomen dat deze op de verkeerde populatie gebaseerd zijn waardoor de uitkomsten (accuracy/performance van het model) minder accuraat kan zijn dan vooraf gesteld. Het is daarmee van groot belang om een TPM-afdeling te hebben, of in ieder geval de kritische vragen te blijven stellen. Naast dat je er wel vanuit gaat dat een bedrijf correct om gaat met haar data en systemen, blijf je als gebruiker dan wel tussenpersoon ook de verplichting houden kritisch te blijven. Om na te gaan of de data die gebruikt wordt voor de modellen wel in lijn zijn met de doelgroep. Ook om na te gaan of er voldoende aandacht is geweest voor de privacy van degenen wiens data wordt gebruikt.

Welke wetgeving komt op organisaties af (en per wanneer) over AI?

Binnen EU komt eerst de EU AI Verordening. Er zijn nu onderhandelingen tussen de Europese Commissie (EC), Europees Parlement (EP) en Europese Raad (ER), ook wel de triloogonderhandelingen genoemd. Naar verwachting zal de AI Verordening uiterlijk begin volgend jaar definitief zijn en dan per direct ingaan, maar waarschijnlijk wel met een overgangsperiode van ongeveer twee jaar. Dit is op moment van schrijven nog onduidelijk. Daarnaast komt de AI Liability Directive en AI Treaty van de Raad van Europa er ook aan. Afhankelijk van de organisatie dien je ook nog rekening te houden met de DMA, DSA, NIS2, CSA, CRA en als je internationaal opereert met de VS ook op termijn mogelijk met de ‘Artificial Intelligence Research, Innovation, and Accountability Act’ (ook wel Bipartisan U.S. AI Bill genoemd) en publicaties van o.a. de G7 en VN.

Hoe de wetgeving eruit komt te zien, waar de grens getrokken gaat worden en waar de grijze gebieden gaan zijn, dat is vooralsnog onduidelijk. Zo zal er een meldplicht aankomen wanneer er diensten door ‘high-risk’ AI-systemen geleverd worden. Echter kan het zijn dat wanneer bijvoorbeeld een klantadviseur informatie in tikt en suggesties van een scherm af leest, dat dit voldoende afstand is om niet gemeld te hoeven worden.

Momenteel zijn er al meer dan 60 LLMs, maar zeker meer dan 1.000 tussenaanbieders die daar dan weer gebruik van maken binnen Europa en zo ook in Nederland. Niet alleen als Big Tech, maar ook als tussenpersoon zal je aan de regelgeving moeten voldoen. De aankomende AI Verordening is horizontale wetgeving en gericht op (bestaande) productregulering. Dan mag je verwachten dat een product met CE keurmerk dat het dan allemaal klopt inclusief de AI. Niet alle sectoren kennen echter het CE keurmerk en daar dient het op een andere manier opgelost te worden. Dat zal onder andere uit de finale wetteksten en guidance van CEN/CENELEC moeten blijken.

Zijn er al bedrijven met een AI beleid?

Dit is lastig te beantwoorden. Zoals eerder aangegeven dient eerst vastgesteld te worden wat AI is. Binnenkort hebben wij de AI Verordening waardoor het duidelijker zal worden. Organisaties die al gebruik maken van modellen (bv banken en verzekeraars) zullen mogelijk eerder een modellen (/AI) beleid hebben dan de bakker om de hoek. Al kan de bakker ook AI gebruiken om te voorspellen hoeveel en welke broden hij moet maken. Misschien is er wel een verband met het weer of bv. feestdagen, maar voor deze causale verbanden heeft de bakker om de hoek waarschijnlijk geen AI nodig. Mogelijk heeft hij dit wel nodig voor de inkoop van graan. In deze handel zijn er namelijk ook veel handelaren betrokken die voldoende middelen hebben om met AI-tooling de graanprijs proberen te voorspellen (a.d.h.v. bijvoorbeeld het weer of andere variabelen). Recentelijk heeft Google een AI-model (GraphCast) beschikbaar gesteld (open-source) om met je eigen pc snel een weervoorspelling te doen. Zo zie je maar weer dat AI-tooling steeds toegankelijker wordt voor iedereen en niet altijd supercomputers nodig zijn.

En bij welke risico’s kan audit, risk en compliance ondersteunen bij het gebruik van AI?

Ik denk dat ze alle drie binnen hun eigen rol en verantwoordelijkheden een bijdrage kunnen leveren in het mitigeren van de eerdergenoemde risico’s. Volgens mij is alleen wel een overview van de relevante wetgeving die je eigen organisatie raakt belangrijk en daarnaast het opstellen van een algoritme/AI-register om zo de omvang/aantallen, welke door derden ontwikkeld/onderhouden zijn en impact beter te kunnen inschatten.

AI verandert de auditkalender maar verandert het ook hoe wij auditen?

Goede vraag, ik denk het uiteindelijk wel. Het zal vooral een tool zijn die auditors zal ondersteunen. Net als in de zorg nu al (in pilots) gebeurt. Een AI-systeem kan bv. veel sneller op een röntgenfoto zien waar mogelijke kankercellen zitten. In China hebben ze ook een competitie gehouden tussen dokters en een AI-systeem. Je raadt het misschien al, het AI-systeem won twee keer de challenge waarbij de tweede challenge de accuracy nog hoger was.

AI-tooling helpt straks auditors in het schrijven van een rapport, rapporteren van bevindingen, of het opstellen van een jaarplan. Ook door te vragen naar sectorspecifieke risico’s, maar er is geen formule of model die 100% weet wat jij wilt. Met goede prompts (vragen) kan je wel een betere uitkomst realiseren. Het is daarmee een aanvulling en daarmee een extra tool in jouw gereedschapskist als auditor, meer dan dat je er volledig op kan steunen. Het mooie van deze tooling zoals een LLM is, dat je het ook kan ‘navragen’ hoe de LLM tot een bepaalde uitkomst komt.

Bijkomend is wel dat bij bijvoorbeeld de openbare ChatGPT, de data naar Amerika verzonden wordt. In het geval van specifiekere vragen over processen of bedrijfsgevoelige zaken binnen jouw organisatie, is het belangrijk om juist een afgesloten omgeving te gebruiken. Zodat de buitenwereld niet weet dat je daar aan het auditen bent.

Aanvullend: leidt het tot meer continuous monitoring waardoor internal audit (en risk en compliance) meer tijd krijgen voor andere minder repetitief werk?

Ik denk zoals in dit artikel beschreven is, zal de AI-tooling de auditors helpen in de dagelijkse praktijk. Op korte termijn (en in middels al mogelijk indien akkoord van je IT-afdeling) is de Microsoft co-pilot een mooi voorbeeld van een digitale assistent die ervoor zal zorgen dat je als gebruiker/auditor meer tijd over zal houden voor meer belangrijke taken. Continuous monitoring is een mooie gedachte, maar aangezien de LLMs nog minimaal 10% fouten maken/kunnen hallucineren en bij het doen van een audit, komt ook het ‘direct in de ogen aankijken’ tijdens interviews aan te pas en dat ‘aanvoelen en sturen’ zie ik een LLM op korte termijn nog niet (goed) doen. Ook de net ontwikkelde AI pin niet, maar de ontwikkelingen gaan snel (OpenAI Q* misschien?) en zijn leuke gadgets. Als mens zijn we natuurlijk ook niet perfect, maar hebben in beginsel wel meer empathie dan een LLM. Het empathische vermogen is immers één van de moeilijkste dingen van de hersenen om na te bootsen. De toekomst (voor auditors) zal waarschijnlijk zijn dat een LLM de andere LLM zal gaan (continuous) auditen, omdat de menselijke auditor dit (de uitkomsten in sommige situaties) niet meer kan (bevatten). OpenAI heeft recentelijk een paper

gepubliceerd waarbij ze GPT2 proberen te begrijpen/auditen met GPT4. Nadeel is wel dat je een blackbox gaat auditen met een andere blackbox en dat je de huidige versie nog niet kan auditen/begrijpen… voordeel van een LLM is dan wel weer dat je ook om uitleg kan vragen met de juiste prompts (tot een bepaald niveau en indien bepaalde vragen/prompts niet afgeschermd zijn).

Om continuous monitoring te gebruiken, zal het LLM specifieke bevoegdheden nodig hebben, bijvoorbeeld voor Python, Word en wat andere tooling, plus toegang tot specifieke files en data, maar ook gerichte prompts moeten ontvangen, om ervoor te zorgen dat de performance van de output (juistheid/volledigheid) zal verbeteren. Gebruikt iedereen dezelfde tooling, dan zal die steeds sneller verbeteren door de continu feedback die iedereen erop geeft. Wel blijft het risico dat de AI-tool gaat hallucineren, zoals eerder aangegeven. Hierdoor blijft het controleren en valideren van de resultaten belangrijk. Het kritische denkvermogen van de professional zal belangrijk zijn. Mogelijk dat we op de langer termijn een steeds kleinere groep van ‘goed’ functionerende LLM’s overhouden wegens de hoge kosten voor o.a. rekenkracht en negatieve belasting van het milieu (bv. water om te koelen).

Maakt het naar jouw mening wellicht de audit, risk en of compliance functie overbodig?

Als je op deze website kijkt dan zou de AI-impact 60% zijn met een opsomming welke taken dan het meest geraakt zullen worden. Ik sluit mij dan ook aan bij de phrase uit het artikel: ‘AI will not replace people, people with AI will replace people’.

Er zullen zeker banen verdwijnen, maar er komen ook meer banen bij. Al zullen mensen zich wel moeten laten omscholen. Door de insights van AI zal er gerichter gekeken kunnen worden naar specifieke taken, die een grotere impact hebben voor de gewenste resultaten.

Hoewel het ons werk veel efficiënter, of makkelijker zal maken, zal het niet compleet vervangen. Het zal de afweging van het bestuur zijn wat met de vrijgemaakte capaciteit te doen. Het kan heel goed ervoor zorgen dat de taken waar we niet aan toe kwamen, nu wel 100% beoordeeld kunnen worden in plaats van met minder mensen dezelfde hoeveelheid werk doen. Die afweging ligt dan weer bij het bestuur. Het is in ieder geval een tool die zal helpen om beter, sneller, efficiënter of juist nieuwe dingen te doen waar je nog niet aan toe gekomen bent.

Of leidt AI tot meer werk omdat er meer data kan worden verwerkt wat tot meer vragen en dus onderzoeken leidt?

Meer data heeft voor- en nadelen. Een voordeel voor het model is dat het model steeds beter wordt in een bepaald gebied. Nadeel is dat de uitkomsten niet altijd te volgen zijn (immers correlaties en geen causale verbanden). De mens zal proberen te begrijpen wat de output is en hoe deze tot stand is gekomen, maar met steeds complexere modellen wordt het ook steeds moeilijker. Dit raakt ook een belangrijk artikel in de EU AI Verordening m.b.t. human oversight. Dit is belangrijk, maar er komt een moment in tijd dat wij als mensen niet meer (precies) begrijpen of de output juist en volledig is.

Het is belangrijk dat er daarmee ook een soort ‘kill switch’ komt om het uit te zetten, maar ook dan moet je nog steeds wel begrijpen wat de uitkomst is en hoe deze tot stand is gekomen. Daarnaast dient ook geregeld te zijn dat bij het opnieuw ‘aanzetten’ van het AI-systeem niet dezelfde onwenselijke dingen gebeuren. Belangrijk blijft de ‘uitlegbaarheid’ van de rapporten en onderbouwende processen richting de consument en de toezichthouder.

Wanneer is AI in staat tot maatwerk zoals normenkaders? Je hebt altijd detailinfo nodig over een organisatie/processen/systemen om hiertoe te komen.

Je kan een normenkader redelijk eenvoudig laten maken, maar die moet uiteindelijk toegespitst zijn op de organisatie, en hoe deze het proces ingericht heeft. Heb je het over IT, bv. het proces change management dan kan je redelijk hetzelfde verwachten als output bij eenzelfde prompt. Echter je hebt mogelijk andere criteria voor een rundveehandelaar, dan voor een verzekeraar. Daarin is de vraag hoeveel persoonlijke kennis van de organisatie nodig is. Zet je de vraag voor een normenkader uit bij een LLM, dan houd je het risico dat deze zich met synthetische, fictieve, data heeft verrijkt en als hier biases of omissies inzitten dan zal dit alleen maar meer worden versterkt. Het blijft belangrijk om de LLM daarom te controleren (’te begrijpen’), in de data (input) en in de output om ervoor te zorgen dat de punten die aangeleverd worden relevant zijn voor je sector, en niet overgenomen zijn vanuit andere onderzoeken die niet van toepassing zijn.

Sommige experts stellen ook dat het internet steeds meer gevuld wordt met synthetische data, mis- en/of met desinformatie. Zeker als betrouwbare bronnen, bijv. Kluwer, de DPG media, hun media af proberen te schermen. Het gevaar blijft daarmee dat de gegenereerde normenkaders en andere documenten niet sterk onderbouwd zijn met betrouwbare onderliggende informatie. Die normenkaders gegenereerd door LLMs lijken in eerste instantie interessant, maar blijf zelf kritisch nadenken.

Natuurlijk kan je een LLM gebruiken die alleen jouw eigen data gebruikt, maar dan moet je het model intern trainen voor jouw specifieke situatie, met jouw eigen data. Via bijvoorbeeld Microsoft heb je het nieuwste model van Open AI, via hun Azure platform, die specifiek voor jouw situatie kan inzetten en voeden met jouw data binnen een gesloten omgeving. De vraag daarin blijft wel, heb je zelf genoeg data om hem goed te laten werken.

Bij Microsoft zijn ze wel bezig met de co-pilot, om die op de achtergrond jouw (geselecteerde) bedrijfsdocumenten te laten screenen en op basis van deze documenten jouw antwoord te geven, indien gewenst in jouw stijl van schrijven.

Men is ook bezig met sectorspecifieke modellen, bijvoorbeeld in de zorgsector en de academische wereld, waar er op basis van hun eigen datasets een LLM getraind wordt. Zo houd je ook de kwaliteit hoger dan wanneer je een openbaar model maakt. Het nadeel is dat je niet automatisch datasets van andere partijen erin toevoegt. Deze zal je mogelijk moeten kopen in de toekomst. Wel kan je dan grip houden op welke data(kwaliteit) je wel, of niet, toevoegt aan de dataset. In de bestaande modellen zal je kritisch moeten blijven naar de bias die onbedoeld meegenomen worden door de modellen en waar nodig de informatie te tweaken om deze waar mogelijk te beperken. Een AI-systeem zonder biases is echter niet mogelijk. Biases kunnen in het hele proces zitten (input, model, output en governance).

Hoe krijgen en behouden de functies audit, risk en compliance kennis over AI? De ontwikkelaars begrijpen het niet eens altijd zelf?

Het doen en volgen van opleidingen en trainingen. Voordeel is dat door AI er een tailormade programma uiteindelijk gemaakt kan worden voor elke functie en persoon. Stil zitten is echter geen optie. Je kan dus kijken wat universiteiten, IIA en andere beroepsorganisaties aanbieden. Nadeel is echter dat voor auditors en risk managers nog niet veel beschikbaar is. Op compliance gebied steeds meer en op technisch gebied is er wel heel veel beschikbaar.

Heeft de gemiddelde audit, risk en compliance afdeling op dit moment wel de kennis?

Dit is voor mij moeilijk in te schatten. Op basis van de trainingen en colleges die ik geef merk ik wel dat er veel behoefte is en er ook veel vragen spelen. Doordat AI niet meer zal verdwijnen dienen de afdelingen wel een plan op te stellen om ervoor te zorgen dat er een bepaalde basiskennis aanwezig per werknemer en specialistische kennis voor enkele relevante thema’s.

Het kennisniveau is eerder beperkt aanwezig dan ruimschoots op alle facetten van een AI-systeem. Er zijn werknemers die er veel vanaf weten, maar bij de meeste ontbreekt de nodige kennis. Daarnaast zal het voor de grotere organisaties en afdelingen makkelijker zijn om de kennis in huis te halen. Voor de kleinere organisaties is het lastig. Wat niet zegt dat de modellen niet gebruikt (kunnen) worden, zoals eerder gezegd no-code/low-code mogelijkheden. Dit neemt de nodige risico’s met zich mee waar je ook als auditor achter dient te komen. Een Stanford professor gaf aan dat de ontwikkeling en implementatie van een AI-systeem in een bedrijfsproces vroeger tussen 6 tot 9 maanden duurde, nu kan het binnen enkele uren tot een week duren.

Zeker met de snelheid van implementatie is het bijna onmogelijk om (alle) risico’s buiten huis te houden en daarom is tijdige communicatie met de audit, risk en compliance afdelingen cruciaal. Waar namelijk de ene week er nog niet over gesproken wordt over AI-systemen, kan het volgende week al geïmplementeerd zijn. Wees alert op de ambities van jouw eigen organisatie en afdelingen en stem hier je nieuwe risk assessment voor het jaarplan op af.. Door de snelle opvolgende technologische ontwikkelingen en het gemak van implementatie, kan dit ook mogelijk een effect hebben op de verhouding tussen geplande audits/werkzaamheden en ad hoc werkzaamheden.

Interesse in dit onderwerp of wilt u meer informatie over AI binnen Audit, Risk en Compliance? Neem contact op met Marc van Heese.

Compliance bij identificatie en transacties

Als kersverse penningmeester van een bridgeclub met circa 50 leden, stuitte ik op een uitdaging bij het verkrijgen van digitale bankbevoegdheden. De huidige procedures blijken tijdrovend en complex, en het naleven ervan brengt de nodige hindernissen met zich mee.

Digitale bankzaken: een uitdaging voor kleine verenigingen

Omdat ik nog geen rekening heb bij een Nederlandse grootbank, moest ik me aanmelden met een traditioneel papieren formulier. Het ingevulde formulier, waarbij de zittende penningmeester heeft meegetekend, heb ik opgestuurd naar een antwoordnummer en vervolgens wachtte ik op een reactie. Met de verwerkingstijd word je geduld behoorlijk op de proef gesteld. Hoewel ik een ruime ervaring heb op het gebied van financiële mandatering en documentatie is het goed invullen van overdrachtsformulier van deze bank een heuse uitdaging gebleken. De onduidelijkheid rond wie moest tekenen en wat er precies werd verwacht, leidde tot afkeuringen en vertragingen.

Inmiddels is na de 2^e afkeuring besloten het volledige formulier van vier pagina’s opnieuw in te vullen en te laten ondertekenen door de vertrekkende penningmeester, de nieuwe penningmeester en de nog zittende bestuursleden. Twee maanden later en na meerdere stappen wacht ik nog steeds op groen licht. Na akkoord moet me dan nog bij een bankvestiging melden met een identiteitsbewijs en dan hoop ik eindelijk namens de bridgeclub bankzaken te kunnen regelen. Dan moet natuurlijk nog wel het installeren van de bank app en toegangscodes e.d. goed gaan.

De worsteling van financiële instellingen

Mijn ervaring maakt duidelijk dat bedrijven – en zeker financiële instellingen – worstelen met de operationele invulling van de aangescherpte wet- en regelgeving rondom identificatie. Compliance met betrekking tot banktransacties lijkt eveneens doorgeschoten, met jaarlijks twee miljoen “ongebruikelijke transacties” die onderzocht moeten worden. Omringende landen onderzoeken alleen “verdachte transacties”, wat veel minder werk is. Aan steeds toenemende wetgeving, zoals Wwft , Wft, GDPR, Sanctiewetgeving, moet worden voldaan. Dat deze wetgeving niet altijd op elkaar aansluit of zelfs haaks op elkaar staat maakt compliance complex. Deze uitdagende omgeving vraagt om duidelijk en eenduidig compliancebeleid. Om hier inhoud aan te geven is expertise en capaciteit nodig, Gezien de vraag in de markt is dit niet altijd voorhanden en staat er veel druk op de compliance functie.

Explosieve groei van compliance afdelingen

Natuurlijk is het goed dat er regels zijn om criminaliteit en fraude te beperken. Om aan alle regelgeving te voldoen en weg te blijven bij forse boetes is de omvang van compliance-afdelingen bij banken én het personeelsbestand van toezichthouders echter explosief gestegen. Duizenden mensen zijn nu betrokken bij compliance, wat aanzienlijke kosten met zich meebrengt die bedrijven en burgers uiteindelijk betalen. Compliance wordt momenteel nog veel verricht met behulp van verschillende systemen en is hierdoor tijdrovend. Het ontwikkelen en uitrollen van effectievere tooling waarbij klantdata is gecentraliseerd zal de werkdruk verlichten. Nieuwe technologieën als AI kunnen hierbij een rol spelen.

Een heroverweging van de proportionaliteit en effectiviteit van richtlijnen en toezicht, samen met een gedegen digitalisering van compliance, kan aanzienlijke besparingen opleveren. Het zal echter waarschijnlijk nog even  duren voor deze verbeterslag gerealiseerd is.

Ondersteuning op het brede compliance gebied

Compliance beslaat meerdere gebieden, waaronder duurzaamheid, en vereist aanzienlijke capaciteit en expertise. Heeft u als financiële instelling of bedrijf op ad hoc basis of structureel moeite om de compliancewerkzaamheden tijdig en goed uit te voeren? Dan ondersteunen de specialisten van ARC People u graag om dit effectief en efficiënt op orde te krijgen.

Hans Sieraad
Associate, ARC People

Als audit-, risk- en compliance professionals bewegen we ons door de gehele organisatie. Daarbij hebben we te maken met uiteenlopende risico’s en een diverse groep collega’s die daarvoor verantwoordelijkheid dragen.  We signaleren verbeterpotentieel en adviseren zowel gevraagd als ongevraagd. Niet vreemd dat we daarbij ook af en toe weerstand ervaren. Daarover valt veel te schrijven. In dit blog deel ik enkele praktijksituaties en waardevolle inzichten met je.

Weerstand voorspellen? Een slimme zet

Uiteraard probeer je als professional van tevoren in te schatten of je weerstand kunt gaan verwachten. Volgens theorieën op het gebied van onderzoeksmethodologie dien je zelfs voorafgaand aan jouw onderzoek of project een krachtenveldanalyse te maken. Daarin stel je jezelf onder andere de vragen “Wat vormt een bedreiging voor mijn project?” en “Wat kan mijn werk stimuleren?”. Vervolgens kun je van tevoren nadenken over de te nemen maatregelen waarmee je een eventuele bedreiging kunt mitigeren óf een stimulerende situatie verder kunt uitbuiten. Stel je bijvoorbeeld voor dat twee managers voortdurend elkaar de schuld geven; een groepsinterview kan dan helpen voorkomen dat je in het midden van een machtsstrijd belandt. Of als er iemand op C-level erg positief is over jouw project, laat die persoon dan het belang ervan benadrukken binnen de organisatie.

Jouw eigen mindset is enorm van belang

Let wel: niet alle weerstand is van tevoren te voorspellen. De kunst is om dat vooral níet erg te vinden. Je eigen mindset speelt hierbij een cruciale rol. Het herinnert me aan de tijd dat ik startte met doceren voor groepen. Ik bereidde me tot laat in de avond voor en probeerde elke mogelijke vraag van studenten vooraf te bedenken, inclusief de ideale antwoorden. Uiteraard volgden er de volgende dag allerlei vragen die ik niet had voorzien. Ik stelde daarna voor mezelf een aantal zaken vast: (1) vragen uit de groep geven een leuke dynamiek, (2) wat zou het vreselijk saai zijn als er helemaal géén vragen zouden komen en (3) als docent hoef ik niet per se alle antwoorden te hebben (soms zit de kennis namelijk in de groep óf kun je er een huiswerkopdracht van maken, voor een volgende les).

Zo kun je ook kijken naar het fenomeen weerstand. Is er helemaal geen weerstand? Doet dit onderwerp de mensen dan niets? Ben ik dan eigenlijk wel met iets relevants bezig? En weerstand is zó interessant: dan wil je toch weten wat er écht speelt? Kom je daarover goed in gesprek, dan geeft dat een enorme verbinding met je gesprekspartner. Ik herinner me een situatie waarbij ik twee medewerkers aan tafel kreeg, die allebei direct een gesloten houding aannamen. Zo van “Wij gaan jou liever niets vertellen”. Mijn collega van Audit & Risk zag ik daar zichtbaar van schrikken, maar bij mij wekte het juist veel interesse. Ik was er nu toch….en wilde dus weten wat er speelde. Daarom stelde ik de beginvraag: “Keken jullie uit naar onze komst?” De twee dames in kwestie lachten schamper en zeiden “Nou, eigenlijk niet.” Een simpele vervolgvraag in de trant van “Oh, vertel?” bleek al voldoende om binnen twee minuten een zeer interessant gesprek te krijgen.

Niets doen is geen optie!

Natuurlijk realiseer ik me dat je de weerstand wel moet kunnen waarnemen. Daar begint het: neem je het niet waar, dan kun je er ook niets mee doen. Mijn praktijk is echter dat de meeste audit-, risk- en compliance-professionals de signalen van weerstand heus wel herkennen, maar te vaak gaan ze door met hun inhoudelijke werk of procedures, zonder de weerstand aan te pakken. Neem je weerstand waar? Probeer er dan ook iets mee te doen. Eigenlijk is niets doen geen optie.

Veelal komt weerstand uit dezelfde hoek

De Roos van Leary blijf ik een zeer interessante theorie vinden, die je helpt begrijpen hoe gedrag en reacties in interacties werken. Ken je die theorie nog niet, dan raad ik je aan om je erin te verdiepen. Het geeft je inzicht in je eigen gedrag en helpt verklaren waarom anderen op een bepaalde manier reageren. Het stelt je ook in staat om beter in te schatten hoe mensen aan tafel zitten en welke interventies effectief kunnen zijn om hen richting jouw doel te bewegen. Mijn ervaring is dat wanneer je leert te spelen met het gedrag en de interventies uit de Roos van Leary, dat het bijna eng is hoe eenvoudig je anderen kunt meekrijgen.

Voor wie de Roos van Leary al wel kent: ik heb ervaren dat de meeste weerstand van managers komt vanuit dezelfde hoek van de Roos van Leary, namelijk de hoek van het Boven- en Tegengedrag. Het is verleidelijk om in reactie daarop ook Tegengedrag te vertonen, door bijvoorbeeld een zin uit te spreken die begint met het woord ‘maar’. Deze machtsstrijd dient echter te worden voorkomen. Een bewuste, tegengestelde interventie is hierbij het juiste antwoord. De route die meestal blijkt te werken, is als volgt: (1) beginnen met begrip tonen voor datgene wat de manager zei, (2) richting ‘samen’ bewegen door woorden als ‘we’ of ‘samen’ te gebruiken en te benadrukken dat hij een belangrijke speler is voor jou, waarna (3) je het initiatief neemt, door bijvoorbeeld te zeggen “Ik stel voor dat…”. Zo manoeuvreer jij je in de situatie dat je initiatief kunt blijven nemen, terwijl de ander volgt vanuit de gedachte van ‘samen’.

Een inzicht na jaren

Krijg je weerstand op een memo of rapport dat je schreef, waarin je een tekortkoming of verbeterpotentieel benadrukte? Na jarenlang pittige discussies te hebben gevoerd met allerlei managers, realiseerde ik me dat een kleine aanpassing in de manier waarop ik de bevindingen beschreef, alle weerstand vrijwel onmiddellijk wegnam. Een enkele collega merkte op dat hij vond dat ik een te flexibele ruggengraat had; naar zijn zin bewoog ik te veel mee met de business. Maar: ik paste nooit de inhoudelijke bevinding aan. Die bleef overeind. Wat paste ik dan wel aan? In plaats van alleen de conclusies te delen, begon ik ook meer context te bieden. Hoe heeft het zover kunnen komen? Waren er andere factoren van invloed daarop? Hoe lang bestond de situatie al? Door die contextuele informatie verbeterde de acceptatie aan de andere kant van de lijn aanzienlijk.

Omarm weerstand als een kans

Het klinkt misschien gek, maar ik wens je veel weerstand toe, de komende tijd. Het houdt je scherp, je zult er zelf veel van leren en veel door leren van anderen. Wil je van gedachten wisselen over weerstand die jou wordt geboden? Aarzel dan niet om contact met me op te nemen. Ik denk graag mee over uitdagende situaties en de oplossing daarvoor!

Sander van Oosten
Partner bij ARC People

De DNB Good Practice Informatiebeveiliging

De Nederlandsche Bank (DNB) heeft een ‘Good Practice Informatiebeveiliging’ opgesteld als richtlijn voor financiële instellingen in Nederland. Deze good practice heeft tot doel de financiële instellingen te ondersteunen bij het effectief en efficiënt inrichten van hun informatiebeveiligingsbeleid en -praktijk. Internal Audit kan hierbij veel waarde toevoegen.

De DNB Good Practice Informatiebeveiliging fungeert als een richtlijn voor organisaties in hun streven naar een waterdichte informatiebeveiliging. Dus om ‘in control’ te geraken op het vlak van ICT. Deze praktijkrichtlijnen van De Nederlandsche Bank (DNB) bevatten inzichten en best practices voor het beschermen van informatie. Interne auditafdelingen kunnen deze richtlijnen integreren in hun werk. Het biedt een kader om informatiebeveiliging te beoordelen in lijn met externe normen.

De verschuiving van financiële audits naar bredere operationele (waaronder ICT) audits opent de deur naar het identificeren van nieuwe kansen en risico’s. Het is niet langer voldoende om alleen terug te kijken; auditors moeten vooruit kijken en opkomende bedreigingen aanpakken. Door het uitvoeren van Control Self Assessments krijgt de organisatie beter en eerder zicht op het functioneren van beheersmaatregelen en de ontwikkeling van risico’s. Cyberdreigingen zijn een perfect voorbeeld van een snelgroeiend risico dat vraagt om veel aandacht. Door verder te gaan dan de norm, kunnen internal auditors waarde toevoegen door veerkracht te kweken in een steeds veranderend landschap.

Een ander aspect van deze evolutie is de grotere nadruk op de leveranciersketen. Veel organisaties vertrouwen op externe dienstverleners, wat nieuwe lagen van complexiteit en potentiële risico’s met zich meebrengt. Internal auditors moeten hun aandachtsgebied uitbreiden naar deze externe partners en beoordelen in hoeverre zij voldoen aan de vereiste normen voor informatiebeveiliging. Het opzetten van een systematisch assurance-proces voor deze leveranciers versterkt niet alleen de beveiliging, maar verhoogt ook het vertrouwen van belanghebbenden.

De rol van Internal Audit bij de DNB Good Practice Informatiebeveiliging

In een tijdperk waarin verandering de enige constante is, moeten internal auditors zich aanpassen om relevant te blijven. De combinatie van de evoluerende rol van audit en de leidraad van DNB Good Practice Informatiebeveiliging opent nieuwe deuren voor Internal Audit. Door buiten de gebaande paden te treden, opkomende risico’s aan te pakken en de leveranciersketen te versterken, kunnen auditors hun positie versterken als strategische partners in de organisatie.

De rol van internal audit (interne audit) bij de implementatie en naleving van deze good practice is daarmee van cruciaal belang. Enkele rollen van interne audit in deze context zijn bijvoorbeeld:

1. Toetsing van beleid: Interne audit kan beoordelen of de informatiebeveiligingsbeleidslijnen en -procedures van een financiële instelling in lijn zijn met de aanbevelingen van de DNB good practice.
2. Control Self Assessments: Hoewel CSA’s vaak worden uitgevoerd door de business (1^e en ook 2^e lijn) zelf, speelt interne audit een vitale rol bij het opzetten, faciliteren en verrijken van dit proces. Hier gaan wij later in dit artikel verder op in.
3. Risicobeoordeling: Interne audit kan assisteren bij of een onafhankelijke beoordeling uitvoeren van de risicoanalyse die wordt uitgevoerd als onderdeel van het informatiebeveiligingsbeleid.
4. Awareness en training: Interne audit kan het management adviseren en bijstaan over de noodzaak van training en bewustwordingsprogramma’s rond informatiebeveiliging, zoals aanbevolen in de DNB good practice.
5. Incidentenanalyse: In het geval van beveiligingsincidenten kan interne audit een onafhankelijke analyse uitvoeren van het incident, de oorzaken identificeren en aanbevelingen doen voor verbeteringen om herhaling in de toekomst te voorkomen.
6. Advies en aanbevelingen: Op basis van hun bevindingen kunnen internal auditors aanbevelingen doen voor verbeteringen in de informatiebeveiliging van de organisatie.
7. Stakeholdercommunicatie: Interne audit kan fungeren als een communicatiekanaal tussen het management, de Raad van Bestuur en andere belanghebbenden, om hen te informeren over de status en effectiviteit van het informatiebeveiligingsbeleid van de organisatie.

De Rol van Internal Audit bij Control Self Assessments

Eenvoudig gezegd is CSA een methode waarbij medewerkers en teams binnen een organisatie hun eigen processen, risico’s en controles beoordelen. Het kan zowel formeel als informeel zijn, met structuren variërend van eenvoudige checklists tot uitgebreide workshops. De kracht van CSA ligt in het direct betrekken van de medewerkers die verantwoordelijk zijn voor de processen, omdat zij vaak het beste de risico’s en nodige controles begrijpen.

Hoewel CSA’s vaak worden uitgevoerd door de operationele (ICT) teams zelf en gefaciliteerd worden door bv de CISO, kan Interne Audit een belangrijke rol spelen bij het opzetten, faciliteren en verrijken van dit proces. Enkele manieren waarop internal audit waarde kan toevoegen:

1. Faciliteren en ondersteunen: Internal auditors kunnen dienen als onpartijdige facilitators tijdens CSA-sessies, waardoor wordt geborgd dat de evaluatie volledig en eerlijk is. Door hun ervaring met verschillende bedrijfsprocessen kunnen ze ook best practices en inzichten delen.
2. Training en voorbereiding: Internal auditors kunnen teams trainen in het gebruik van CSA-tools en -technieken, en hen voorzien van de nodige middelen om effectieve beoordelingen uit te voeren.
3. Validatie van resultaten: Hoewel CSA zelfevaluatie betreft, is het essentieel dat de resultaten gevalideerd worden om zeker te zijn van hun nauwkeurigheid en volledigheid. Interne auditors kunnen een onafhankelijke beoordeling geven van de CSA-resultaten, en deze koppelen aan hun eigen audit bevindingen.
4. Integratie met risicobeheer: De resultaten van CSA’s kunnen worden geïntegreerd in het bredere risicobeheerproces van de organisatie. Internal audit kan helpen bij het prioriteren van risico’s en het beoordelen van verbeterplannen op basis van de resultaten van de CSA.
5. Continu verbeteren: Door het observeren van verschillende CSA-sessies en het vergelijken van resultaten, kunnen internal auditors trends en patronen identificeren die kunnen leiden tot verbeteringen in het CSA-proces zelf of in de onderliggende processen die worden beoordeeld.

De rol van Internal Audit bij het beoordelen van assuranceverklaringen in de outsourcingsketen

Het is belangrijk om van leveranciers van in de outsourcingsketen te eisen om een assuranceverklaring te overleggen om inzicht te krijgen in de behersing van risico’s en compliance aan te tonen. In veel sectoren is er een strikte regelgeving hieromtrent, zo vereist DNB dit dan ook, en assuranceverklaringen kunnen aantonen dat leveranciers zich aan deze en andere regels houden. Daarnaast zijn deze verklaringen vaak onderdeel van contractuele afspraken en zorgen ze voor meer transparantie in de samenwerking. In het huidige digitale tijdperk kunnen ze ook bevestigen dat de beveiligingspraktijken van de leverancier op orde zijn. Het hebben van dergelijke verklaringen kan het vertrouwen van stakeholders versterken en helpt organisaties bij het identificeren van verbeterpunten.

Een van de gebieden waar Internal Audit een aanzienlijke waarde kan toevoegen, is het beoordelen van assurance verklaringen in de leveranciersketen. Hier volgen enkele manieren waarop IA dit kan doen:

1. Evaluatie: Internal Audit kan een evaluatie uitvoeren van de assurance verklaringen die door leveranciers worden verstrekt, om de adequaatheid, nauwkeurigheid en relevantie ervan te beoordelen.
2. Expertise bij beoordeling: Internal auditors hebben expertise in risicobeheer en assurance. Ze kunnen deze expertise toepassen bij het beoordelen van de betrouwbaarheid en dekking van assurance verklaringen, met name als het gaat om technische of gespecialiseerde gebieden.
3. Bewaken van consistentie: Internal Audit kan toezien op de consistentie tussen de assurance verklaringen van leveranciers en de interne beleidslijnen, normen en vereisten van de organisatie.
4. Identificatie van risico’s: Door de assurance verklaringen van leveranciers kritisch te beoordelen, kan Internal Audit potentiële risico’s of zwakke plekken identificeren die anders over het hoofd zouden kunnen worden gezien.
5. Validatie van derden: Internal Audit kan een rol spelen bij het valideren van derden (zoals externe auditors) die de assurance verklaringen hebben afgegeven, om te zorgen voor hun onafhankelijkheid, competentie en betrouwbaarheid.
6. Assurance mapping: Internal Audit kan assurance verklaringen van leveranciers integreren in de algemene auditplanning, zodat er een holistisch overzicht ontstaat van de risico’s en maatregelen binnen de gehele leveranciersketen.
7. Brug tussen leveranciers en management: Internal Audit kan fungeren als een brug tussen leveranciers en het hoger management, door te waarborgen dat belangrijke informatie uit assurance verklaringen op de juiste manier wordt gecommuniceerd en geïnterpreteerd.
8. Voortdurende monitoring: De dynamische aard van de leveranciersketen betekent dat risico’s en omstandigheden kunnen veranderen. Internal Audit kan een voortdurend monitoringsproces instellen voor assurance verklaringen, zodat er tijdig kan worden gereageerd op veranderingen.

Conclusie

Concluderend benadrukt de ‘Good Practice Informatiebeveiliging’ van De Nederlandsche Bank (DNB) het belang van informatiebeveiliging voor financiële instellingen in Nederland. Internal Audit speelt hierin een cruciale rol, met name bij het waarborgen van de naleving van deze richtlijnen, het faciliteren van Control Self Assessments en het beoordelen van assuranceverklaringen in de outsourcing keten. De samenwerking tussen CSA’s en interne audits zorgt voor een robuustere aanpak van risicobeheer. Bovendien speelt Internal Audit een significante rol bij het evalueren van assurance verklaringen van externe leveranciers, waarbij ze bijdragen aan een holistisch overzicht van risico’s en maatregelen binnen de gehele leveranciersketen. Het is dus duidelijk dat de vernieuwende rol van Internal Audit onmisbaar is bij het versterken van informatiebeveiliging in lijn met de DNB-richtlijnen.

Meer weten of een keer vrijblijvend sparren? Lees verder of neem contact op met Carlo Bavius.

Duistere praktijken en morele vragen

De zomervakantie betekent voor mij altijd weer tijd om te lezen; over het algemeen non-fictie en vaak ook business gerelateerd. Zo heb ik deze zomer het boek over het consultancybedrijf McKinsey gelezen: De macht van McKinsey van Walt Bogdanich en Michael Forsythe. Een onthutsend boek over het reilen en zeilen van McKinsey. Het is schrikbarend te lezen hoe zij opereren: werken voor dubieuze regimes, boosten van verkopen van omstreden producten, maar ook hoe zij omgaan met belangenconflicten – of misschien zelfs wel opzoeken. In het boek kwam aan het licht hoe McKinsey heeft geholpen bij het vermarkten van verslavingsgevoelige producten als sigaretten, maar ook de pijnstiller OxiContyn van Purdue, dat heeft gezorgd voor een half miljoen doden in 20 jaar door overdoses [1]. Het bedrijf is inmiddels voor haar handelswijze veroordeeld tot een miljardenvergoeding.

Persoonlijk zou ik nooit voor een bedrijf als Purdue kunnen werken, maar bij mij kwam ook de vraag op of je wel als internal auditor bij een dergelijk bedrijf mág werken, rekening houdend met de voor de beroepsgroep geldende gedragscode van het IIA. Ik heb deze gedragscode er daarom maar eens op nageslagen.

Integriteit onder de microscoop

Feitelijk worden in deze gedragscode alleen de vier beginselen, integriteit, objectiviteit, geheimhouding en competentie, uitgewerkt in een aantal gedragsregels. Naar mijn beleving is de code vooral gericht op gedragingen die vertrouwen moeten wekken voor de klanten en auditees van internal audit. Het belangrijkste beginsel dat van toepassing is op voornoemde situatie is integriteit. Hoewel de huidige gedragscode dit begrip niet expliciet definieert, biedt de nieuwe (concept) gedragscode meer duidelijkheid en wordt integriteit omschreven als “Behaving in a manner that can withstand scrutiny by peers and others. It involves fair dealing, truthfulness, and having the courage to act appropriately, even when facing pressure to do otherwise or when doing so might create potential adverse personal or organizational consequences.” [2]

De huidige gedragsregels bieden iets meer houvast (dan de beginselen) en dan met name 1.3: “Zijn niet bewust partij in enige onwettelijke activiteit en nemen niet deel aan handelingen die het beroep van internal auditor of de organisatie in diskrediet kunnen brengen.”

De grenzen van betrokkenheid

Je kan je afvragen of het werken voor een bedrijf die de wet overtreedt, betekent dat je bewust partij bent. Wat is de definitie van partij zijn? Mij lijkt in dienst zijn wel ‘partij zijn van’; maar hoe ver rijkt dat dan? Heineken die niet tijdig meewerkt aan het recyclen van blikjes? Moet je dan als internal auditor ook uit dienst, in mijn definitie van ‘partij zijn van’? Het lijkt mij redelijk om te kijken naar de gradatie van overtreding en of deze al dan niet bewust is. In geval van het voorbeeld van Heineken zou ik het te ver vinden gaan om uit dienst te treden bij een dergelijke overtreding. In geval van Purdue bestaat er bij mij geen twijfel: bij een bedrijf met zo’n schadelijke impact en overtreding van de wet is er geen andere optie dan het indienen van je ontslag als internal auditor.

Wellicht kun je het in dienst blijven bij ‘foute’ bedrijven nog goed praten c.q. gedogen met het argument dat sommige (institutionele) beleggers hanteren als zij blijven beleggen in bijvoorbeeld olie-reuzen: als je geen aandeelhouder bent, dan kun je ook geen invloed uitoefenen op het beleid. Dat argument gaat wat mij betreft niet op bij de uitoefening van een internal auditfunctie: als auditor bepaal je niet het beleid; je toetst hooguit of het efficiënt en effectief wordt uitgevoerd. Uiteraard controleer je ook of de bedrijfsvoering compliant is, maar als een organisatie willens en wetens strafbaar handelt, ook na hierop gewezen te zijn, lijkt mij een uitdiensttreding de enige optie. Je kan als internal auditor de organisatie niet eigenhandig bijsturen.

Toenemende uitdaging voor internal auditors

Ik besef dat het is lastig om vaste richtlijnen te ontwikkelen die van toepassing zijn voor elke situatie van niet wettelijk handelen door organisaties. Het blijft subjectief, denk ik. Dus ook hier komt professional judgement om de hoek kijken. Maar met de komende wetgeving over ESG, zoals de CSRD, verwacht ik dat er steeds vaker lastige situaties zullen ontstaan.

Ik ben benieuwd hoe mijn vakgenoten tegenaan kijken. Het is wat mij betreft wel een discussie waard.

Marc van Heese,
Partner bij ARC People

[1] US Supreme Court halts Purdue Pharma bankruptcy settlement pending review | Reuters

[2] Disposition of Glossary: 2017 International Standards for the Professional Practice of Internal Auditing to 2023 Proposed Global Internal Audit Standards.