Blog Archieven - Pagina 3 van 6

ARC (vak)praat met… Jeroen Bisseling, Audit & Risk Manager bij EDSN

Om de ontwikkelingen in onze vakgebieden nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? In deze ARC Vakpraat spreken we met Jeroen Bisseling, Audit & Risk Manager bij EDSN. Jeroen heeft ongeveer 20 jaar ervaring in het vakgebied, in vaste dienst én als zelfstandig professional. Jeroen heeft de afgelopen twee jaar binnen EDSN opmerkelijke veranderingen meegemaakt.

Welke rol speelt EDSN binnen de energiesector en welke uitdagingen spelen er?

EDSN staat voor Energie Data Services Nederland en faciliteert de energietransitie binnen Nederland door de energiemarkt zoveel mogelijk te digitaliseren, gegevensuitwisseling te faciliteren en het IT-landschap te moderniseren. Dat doen we voor het energie ecosysteem in Nederland, bestaande uit regionale en landelijke netbeheerders en tal van andere aangesloten partijen. EDSN speelt daar een centrale rol in. Denk hierbij aan het aanmelden van zonnepanelen; dat gebeurt via de infrastructuur van EDSN, maar ook het inzichtelijk krijgen van de netcongestie.

Er spelen heel veel uitdagingen voor EDSN en om de energietransitie mogelijk te maken wordt er ontzettend veel van ons gevraagd. Waar we enkele jaren terug nog met minder dat FTE werkten, zijn wij inmiddels in de laatste paar jaren significant gegroeid. In 2023 hebben wij 87 nieuwe collega’s mogen verwelkomen. Binnen ons team zijn er drie nieuwe vaste collega’s ingestroomd. Dat is voor EDSN natuurlijk een mooie groei. Deze groei geldt ook voor de applicaties die we beheren. Dat betekent dat we de groei moeten kunnen bijbenen, maar ook met een hoog niveau van dienstverlening, want er worden steeds hogere eisen gesteld aan security, privacy, etc.

Welke rol speelt de afdeling Audit & Risk hierin en welke uitdagingen spelen er specifiek voor de afdeling? Hoe blijf je relevant als afdeling?

We dragen bij aan het behalen van de doelstellingen; er is geen weerstand tegen 2^e en 3^e lijnsrollen, zoals ik dat in het verleden bij andere organisaties wel eens heb meegemaakt. Omdat we diensten naar een hoger niveau moeten tillen, zie je dat risk daar een faciliterende rol in heeft. Bijvoorbeeld door een gedegen controlframework neer te zetten om betrouwbare processen te waarborgen. Dit gebeurt samen met de 1^e lijn.

Audit zit, uiteraard, in een meer toetsende rol om eventuele pijnpunten bloot te leggen. Soms is het inzetten van de 2^elijn beter, soms de derde lijn. Vorig jaar is overigens het eerste jaar dat wij echt audits zijn gaan uitvoeren. Voorheen liepen risk en audit meer door elkaar heen.

Wat opvalt is dat internal audit en riskmanagement zijn gecombineerd. Kun je iets meer vertellen over de gedachte hierachter?

Dit is historisch zo gegroeid. Audit en risk vormen in de praktijk één team, omdat het anders te klein wordt om efficiënt aan te sturen. Een aparte chef audit en chef risk zou te veel zijn, en deze combinatie is niet ongewoon in de energiesector. Zoals gezegd zijn we het afgelopen jaar meer audits gaan uitvoeren, waarmee er ook natuurlijker een splitsing tussen is ontstaan.

Planning was geen reden van samenwerking: we werken agile dat vooral goed werkt voor audit. Risk is meer faciliterend en moet mee in de planning van de operationele teams. Beide vakgebieden regelen dit zelf.

Aanvullend: welke onderwerpen zul je alleen aantreffen bij EDSN en niet bij andere audit & riskafdelingen?

De basis voor audit ligt in General IT controls en applications controls. We testen met name IT-applicaties, gezien de basis van EDSN als IT-bedrijf in de energiesector. Wat bijzonder is, is dat we vaak in de keten werken, dus samen met de netbeheerders. Dat zie je in andere sectoren nog beperkt gebeuren. Dit geldt ook voor risk. De onderwerpen zijn niet uniek. Dat geldt wel voor de omvang en complexiteit van ons IT-landschap.

Hoe identificeert en beheert de afdeling de specifieke risico’s die verband houden met de activiteiten van EDSN, met name in de context van cybersecurity en operationele betrouwbaarheid?

Vanuit veiligheidsoverwegingen kan ik hier niet al te veel over zeggen. Wat ik wel kan zeggen is dat we recent hebben meegedaan ISIDOOR IV: een landelijke oefening waar, naast de Rijksoverheid, gemeenten en veiligheidsregio’s, medewerkers van elektriciteitsnetbeheerder Tennet, energie- en drinkwaterbedrijven en internetproviders aan mee deden. Onze crisis-casus was om EDSN gebouwd. Doelstelling is om te kijken in hoeverre je weerbaar bent tegen cyberrisks. Het was een nuttige oefening. We hebben veel geleerd en onze interne documentatie en procedures kunnen aanscherpen. Dat is positief. We zijn nu veel beter voorbereid.

Hoe houd je rekening met de steeds veranderende technologische omgeving en welke impact hebben nieuwe technologieën op uw interne auditpraktijken? Is er voldoende kennis binnen de afdeling hiervoor om deze te beoordelen?

EDSN werkt aan het ontvlechten en modulair maken van grote systemen met enorme databases. Daar komt veel nieuwe technologie bij kijken. Hier proberen we als team, met name risk, bij te ondersteunen. Opleidingen en samenwerkingen met teams borgen dat we klaar zijn voor de toekomst. Indien wenselijk maken we eventueel gebruik van guest auditors uit de business om het kennisniveau op peil te brengen en te houden. Uiteraard houden wij er rekening mee dat deze guest auditor niet zijn eigen werk beoordeelt.

Dus de transitie naar duurzame energie en andere veranderingen in de energievoorziening hebben geen invloed gehad op de auditkalender?

Dat klopt niet helemaal. We hebben software gekocht die congestie managet en verhandelt. Dus omdat er congestie is en er gehandeld wordt in energie, komt dit platform wel op de auditkalender. De audituniverse wordt daarmee groter. Het blijft echter gericht op het risico gebaseerd beoordelen van IT en dataverwerking.

EDSN werkt samen met auditafdelingen van netbeheerders. Waarom is dat en hoe werkt dat?

Samenwerken met de keten is best innovatief. Dit doen we zowel met audit- als met riskmanagement. We werken via een samenwerkings operating model met de regionale netbeheerders en daarin is zowel een risicomanagement- als een audit capability opgenomen. We werken samen met de teams van bijvoorbeeld Stedin, Enexis en Alliander. Onlangs hebben we een onderzoek afgerond, waarbij we kijken naar de hele keten en naar de voor- en achterkant van de dataverwerking. Alle partijen zijn enthousiast over de samenwerking, ook de auditees.

We zijn altijd benieuwd naar innovatieve activiteiten binnen onze drie vakgebieden. Waar vind jij dat jullie als afdeling vernieuwend in zijn?

Zoals gezegd vind ik de samenwerking met de keten echt uniek en vormt een meerwaarde. Daarnaast werken wij inmiddels agile. Of dat nu nog innovatief is, is de vraag. Veel afdelingen werken zo, denk ik.

EDSN beheert en faciliteert de uitwisseling van energiegegevens binnen de Nederlandse energiemarkt. Data is key. In hoeverre maakt de afdeling gebruik van geavanceerde technologieën, zoals data-analyse en AI, om efficiëntie te verbeteren en diepere inzichten te verkrijgen?

Dat is nog beperkt, maar als we dat gaan doen maken we gebruik van een slimme collega uit de business. Onze operationele teams maken uiteraard volop gebruik van data-analyse en automatisering van repeterende werkzaamheden.

Welke veranderingen voorzie je in de werkzaamheden voor audit & risk de komende jaren?

De bekende steeds toenemende digitalisering en daardoor de enorme toename van cyberrisico’s. IT-auditors zijn schaars en moeilijk om binnen te halen. Ook CSRD is een belangrijke pijler. Ik zie om me heen dat auditafdelingen leeg getrokken worden om daarin een rol te spelen.

Ik zie ook dat audit en risk zeker blijvertjes zijn. Waar eerst nog wel eens werd gedacht dat we onszelf overbodig konden maken en dat IT-audit en risk kon vervallen, ben ik er heilig van overtuigd dat dat niet gaat gebeuren.

6 basisvoorwaarden voor een goed CSRD-project

Veel audit-, risk- en compliance professionals veren enthousiast op, bij het horen van de termen ESG en CSRD. We spelen kennelijk graag een relevante rol in de (transparantie van de) verduurzaming van organisaties. Dat zien we ook terug bij werving van vast personeel. In de huidige krappe arbeidsmarkt reageert er nauwelijks iemand op een geplaatste vacature, behalve als men in die functie een rol mag spelen bij het realiseren van ESG-ambities. We begrijpen het eerlijk gezegd wel.

Ook wij mogen bij een aantal van onze klanten deskundigheid op het gebied van ESG inzetten. Veelal zijn dat organisaties die binnen afzienbare tijd moeten gaan voldoen aan de CSRD. Door hen worden we gevraagd om (1) een eerste nulmeting te doen naar de stand van zaken, (2) het project te toetsen, of (3) inhoudelijke deskundigheid in het project te leveren. Daarbij zien we welke uitdagingen men heeft en hoe daarmee wordt omgegaan. In deze blog delen we een aantal praktijksituaties en waardevolle inzichten met je.

Niet zomaar ‘een projectje’

Veelal worden ESG-ambities gerealiseerd middels een projectmatige aanpak. Maar we hebben het niet zomaar over een projectje dat met een standaard projectaanpak kan worden gerealiseerd. Wat maakt dit soort projecten dan zo bijzonder?

Om te beginnen draait het – wanneer je aan de CSRD moet voldoen – om wettelijke vereisten, met een harde deadline. Er is kortom geen tijd voor uitloop, waardoor tijdig beginnen het devies is. Enkele andere bijzondere kenmerken van ESG-projecten:

Voor het merendeel van de betrokkenen is het nieuw.
Het raakt de strategie van de organisatie.
Het betreft de gehele organisatie en raakt vele functies.
Er zijn afhankelijkheden van belangrijke stakeholders binnen en buiten de organisatie.

Is de Project Governance op orde?

Gelet op de hiervoor benoemde, bijzondere kenmerken van een CSRD-project, is het belangrijk om het project vanaf de start goed te organiseren. Zonder direct een nogal formele insteek te willen kiezen, vinden we dat een CSRD-project het label ‘Strategisch’ dient te krijgen. Het voordeel hiervan is meestal dat er een stuurgroep wordt geformeerd waarin het verantwoordelijke bestuurslid zitting neemt. Ook worden daardoor hopelijk gestructureerd de kansen & risico’s van het project in kaart gebracht, inclusief de risico-mitigerende maatregelen.

Een als Strategisch bestempeld project verdient eveneens Quality Assurance. Een functie die meestal ten dienste staat van de stuurgroep en de projectmanager. Opererend als een ‘critical friend’: proactief aandragend, challengend en toetsend. Quality Assurance kan haar toetsen richten op: het projectplan, het proces, de deliverables en de opvolging van adviezen. De inzichten en verbeterpunten worden gedeeld middels snelle, korte memo’s. Het project kan daardoor zowel goede voortgang boeken als continu verbeteren.

Andere belangrijke basiszaken bij een CSRD-project

Zoals gezegd, is er doorgaans veel enthousiasme rondom het brede onderwerp ESG. Om succesvol een strategische verandering door te voeren, zoals het voldoen aan de CSRD-vereisten, is er uiteraard meer nodig dan enthousiasme. We zien in de praktijk dat het geen kwaad kan om goed stil te staan bij de belangrijkste waarborgen voor een succesvol verandertraject. We behandelen hier zes belangrijke basiszaken waaraan in het begin van het project goed aandacht dient te worden besteed.

1. Een goed kennisniveau

Velen profileren zich op dit moment als dé ESG-expert, maar de CSRD-vereisten (en hoe daaraan te voldoen) is voor de meesten nieuw. Ook externe consultants zijn veelal nog het wiel aan het uitvinden. Des te belangrijker is het dat er intern een goed kennisniveau wordt opgebouwd, bij alle sleutelfunctionarissen. Niet alleen om de vereisten écht te begrijpen, maar ook om een sterkere positie in te kunnen nemen naar externe consultants. Een eventuele hulpvraag aan externe consultants kan daardoor beter worden geformuleerd en het risico dat een externe aan het stuur komt te zitten van uw CSRD-project wordt voorkomen. Er is gelukkig steeds meer kennis voor het grijpen: goede trainingen, cases van vergelijkbare organisaties en informatie bij branche- of beroepsorganisaties.

2. Urgentiebesef

Zonder urgentiebesef is er sowieso een kleine kans van slagen, leerden we vanuit alle theorieën ten aanzien van veranderingsmanagement. Heb je het idee dat het nog ontbreekt aan dat noodzakelijke ‘burning platform’? Op zijn minst verwachten we dat de verantwoordelijkheid voor het voldoen aan de CSRD-vereisten bij één van de bestuurders in de portefeuille is belegd. Ook dient uiteraard het belang en de waarde ervan duidelijk te zijn benadrukt richting de organisatie (inclusief de gevolgen van gemiste kansen of het niet voldoen aan de vereisten). Is er meer nodig? Onderneem dan alsjeblieft aanvullende stappen, want nogmaals: zonder urgentiebesef gaat het onderwerp niet vliegen.

3. Een duidelijke ESG-visie

Wellicht een ‘no-brainer’, maar het hebben van een duidelijke visie over ESG is eveneens belangrijk. Als het goed is, gaat die visie verder dan louter het doel om tijdig te voldoen aan wettelijke vereisten, of een omschrijving die voldoet aan de SMART-vereisten. Idealiter is de visie ook ambitieus, inspirerend en verwijst hij duidelijk naar de waarden van de organisatie. Is dat het geval, dan zullen vele medewerkers op die visie aanhaken.

4. Multidisciplinariteit

De CSRD kan vanuit vele perspectieven worden benaderd. Omdat het gaat om ‘voldoen aan wetgeving’ zien we bij een aantal klanten dat de Compliance- of Legal-functie de lead neemt. Wordt het primair gezien als een rapportage-uitdaging, dan zien we dat Control het voortouw neemt. Los van wie de lead neemt in het project: laat het breder gaan dan het speelveld van de projectleider. CSRD gaat immers de gehele organisatie aan. Een multidisciplinaire (project)aanpak is daarom onontbeerlijk.

5. Een ESG-cultuur

Een goede organisatiecultuur is van cruciaal belang voor succes en de effectiviteit van een organisatie. Dat geldt ook voor het realiseren van de ESG-ambities. In de praktijk zien we de volgende mooie uitingen van een ESG-cultuur: er wordt veel gecommuniceerd over ESG, het onderwerp wordt tastbaar gemaakt voor de medewerkers, participatie van collega’s wordt gestimuleerd, gemotiveerde en/of belangrijke medewerkers (‘influencers’) worden als hefboom ingezet en (last but not least) het management benadrukt het belang en geeft het goede voorbeeld.

6. Kijk eerst wat je al hebt

Ondanks dat het onderwerp voor het merendeel nieuw is, betekent het niet persé dat je vanaf scratch hoeft te beginnen. Stel eerst vast wat er binnen je organisatie al bestaat op duurzaamheidsgebied. Het kan zijn dat er ergens binnen je organisatie al initiatieven ontplooid zijn (maar nog beperkt zichtbaar en aantoonbaar waren), of er waren al zaken waaraan je moest voldoen. Het toepassen van een nulmeting is hiervoor een hele goede methode. Laat je verrassen en wie weet maak je direct een vliegende start met je project. Ook de ESG-cultuurdragers binnen je verandertraject heb je dan gelijk gevonden. Andersom werkt deze inspanning ook. Als blijkt dat er toch wel veel vernieuwd moet worden, kan van onderschatting vervolgens geen sprake meer zijn, en lost dit het probleem van urgentiebesef misschien ook direct op.

Veel succes en aarzel niet!

Natuurlijk hopen we dat je op basis van ons blog hebt kunnen vaststellen dat de belangrijkste basiszaken in jullie CSRD-project op orde zijn. Is dat nog niet geval, dan hebben onze ervaringen wellicht aangezet tot verdere verbetering. We wensen je veel succes bij de mooie uitdagingen die voor je liggen!

Aarzel niet om contact met ons op te nemen. Vanzelfsprekend zijn we benieuwd naar jouw ervaringen tot nu toe. Ook zetten we desgewenst graag onze kennis en ontwikkelde formats in, om je te helpen bij een soepele implementatie van de CSRD-vereisten binnen jouw organisatie. Zie hier onze dienstverlening op een rijtje.

Sander van Oosten
Partner ARC People

ARC (vak)praat met… Damian Borstel, AI expert

Om de ontwikkelingen in onze vakgebieden nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? In deze ARC People (vak)praat focussen we ons op Artificial Intelligence (AI), momenteel een hot topic en interviewen we met plezier Damian Borstel, Senior Toezichthouder (Expertisecentrum) bij de AFM. Dit interview is op persoonlijke titel.

Naast zijn functie bij AFM, is Damian actief in het geven van trainingen op het gebied van AI en is hij actief als expert member bij NEN en CEN/CENELEC. CEN (Comité Européen de Normalisation) en CENELEC (European Committee for Electrotechnical Standardization) zijn twee Europese organisaties die zich bezighouden met normalisatie, het ontwikkelen van technische normen en standaarden voor verschillende industrieën en sectoren. Daarnaast is hij ook lid van de NOREA kennisgroep Algorithm & Assurance en als kers op de taart recentelijk begonnen met zijn PhD aan de UvA m.b.t. ‘Toezicht op AI in de financiële sector’.

Waarom de interesse in AI?

Ik heb altijd al interesse gehad in IT. Meer dan 30 jaar geleden ben ik begonnen met mijn XT-pc en kwam door gaming al snel in aanraking met AI en merkte ik dat de ene game dit beter onder controle had dan een andere. Tijdens mijn post-doc voor mijn RE-titel aan de UvA ontstond de interesse om mijn thesis te houden over Algorithm Assurance, hieruit ontstond mijn ‘algorithm assurance kubus’ (een kubus waarbij aspecten als randvoorwaarden, vertrouwen, (data)proces en ESG samenkomen om zo op een gedegen manier (mogelijk in de toekomst) assurance af te kunnen geven rekening houdende met de onderlinge relaties tussen de aspecten) en steeds grotere fascinatie voor het onderwerp AI. Het is immers bijna overal, van smart watches, IoTs in huis tot in auto’s aan toe.

Kun je een beeld geven van de omvang van AI binnen organisaties?

Alvorens een beeld te geven over de omvang van AI, dient er meer duidelijkheid te komen over wat AI of een AI-systeem precies is. De OECD heeft recent een nieuwe definitie gepubliceerd, maar is niet verankerd in een wet. Gelukkig komt dit op korte termijn wel en zal dit beschreven worden in de aankomende EU AI Verordening. Dit maakt het makkelijker om aan te geven wat AI is en daarmee ook de omvang van AI. Een precieze omvang kan ik niet geven, maar dat de omvang alleen maar toe zal nemen wel. Het wordt immers organisaties en/of werknemers zonder data science kennis erg gemakkelijk gemaakt om door gebruik van low-code/no-code tooling AI in bestaande bedrijfsprocessen toe te voegen. Nu sinds een jaar ChatGPT en andere Large Language Models (LLMs) naambekendheid hebben en de kracht en eenvoud van deze tooling zullen er alleen maar meer voor zorgen dat de omvang zal toenemen op korte termijn.

Door de vragende manier waarop deze tools werken, kan je snel je gedachten erop loslaten. Dit maakt het eenvoudig om te vragen naar efficiëntie slagen of risico’s omtrent een bepaald proces. Daarmee wordt het een assistent om input te leveren aan taken. Wel is het zo dat sinds ook het schandaal met Samsung, waar geheime bedrijfscode openbaar werd gemaakt door gebruik te maken van de openbare ChatGPT versie, er voorzichtig wordt omgegaan met het gebruik van AI buiten de eigen beveiligde omgeving.

Waar worden we er al mee geconfronteerd (wellicht zonder dat we het weten)?

Zoals net aangegeven komen we dit overal tegen. De WRR noemt het ook een systeemtechnologie en een professor van Stanford (Andrew Ng) geeft aan dat AI meer impact zal hebben dan elektriciteit. Als straks de AI Verordening van kracht is, zal door de transparantieverplichtingen, het nog duidelijker worden in hoeverre je in aanraking komt met AI. Dit is dan wel AI direct met jou ‘communiceert’. De AI tooling in organisaties zelf of die mogelijk achter andere AI ‘verscholen’ zit, zijn misschien minder inzichtelijk. Er is een interessante website die inzicht geeft welke AI-tooling er allemaal is: theresanaiforthat.com.

Waar het gaat om een ‘neuraal netwerk’, is dit nog beperkt door de grote kosten die hiermee gepaard gaan. Echter, worden zeer complexe Excel sheet en dergelijke wel breed ingezet (die mogelijk ook onder de AI-definitie gaan vallen). Ook kan het zeker voorkomen dat de respons of het advies die door een persoon gegeven worden, uit prompts van een AI-tool worden gehaald die de ‘correcte’ respons aan bijvoorbeeld een helpdeskmedewerker geven. De vraag die dan nog overblijft is of deze persoon nog kritisch nadenkt of dat deze slechts een ‘doorgeefluik’ is.

Bij uitbesteding lijkt me dit ook een relevante topic: wat wordt voorzien door AI aan de klant?

De Big Tech bedrijven zijn in de lead met het aanbieden van interessante en user-friendly AI tooling. Hierdoor zullen vele (delen van) processen worden uitbesteed. Third party management (TPM) zal steeds belangrijker worden, maar dus ook de interne kennis om te begrijpen wat deze derden partijen (precies) doen. Je moet immers kritische vragen kunnen stellen over bv. welke datasets er gebruikt zijn.

Zeker kleine bedrijven kunnen ook geconfronteerd worden met AI zonder het te weten. Deze hebben namelijk minder capaciteit om onderzoek te doen naar partners of derden die mogelijk wel degelijk gebruik maken van AI voor hun interne processen. Inzicht hebben dan wel contractueel vastleggen wanneer er AI gebruikt wordt, is dan eigenlijk een must. Je blijft immers als bedrijf eindverantwoordelijk en transparantie over het (mogelijke) gebruik van AI heeft impact op het vertrouwen.

Welke risico’s zie je voor organisaties in het gebruik van AI?

Er zijn verschillende risico’s te benoemen. Je kan denken aan governance, transparantie, ethiek, uitlegbaarheid, privacy risico’s bij gebruik van persoonsgegevens, schending van mensenrechten, datakwaliteit, discriminatie en biases. Ook risico’s op gebied van cybersecurity zijn actueel. Kwaadwillende/hackers kunnen bv door gebruik van WormGPT makkelijk phishing aanvallen doen of malware laten schrijven en dit is pas het begin. Zo kan het door de beperkte transparantie naar data en processen achter de tools, het eenvoudig voorkomen dat deze op de verkeerde populatie gebaseerd zijn waardoor de uitkomsten (accuracy/performance van het model) minder accuraat kan zijn dan vooraf gesteld. Het is daarmee van groot belang om een TPM-afdeling te hebben, of in ieder geval de kritische vragen te blijven stellen. Naast dat je er wel vanuit gaat dat een bedrijf correct om gaat met haar data en systemen, blijf je als gebruiker dan wel tussenpersoon ook de verplichting houden kritisch te blijven. Om na te gaan of de data die gebruikt wordt voor de modellen wel in lijn zijn met de doelgroep. Ook om na te gaan of er voldoende aandacht is geweest voor de privacy van degenen wiens data wordt gebruikt.

Welke wetgeving komt op organisaties af (en per wanneer) over AI?

Binnen EU komt eerst de EU AI Verordening. Er zijn nu onderhandelingen tussen de Europese Commissie (EC), Europees Parlement (EP) en Europese Raad (ER), ook wel de triloogonderhandelingen genoemd. Naar verwachting zal de AI Verordening uiterlijk begin volgend jaar definitief zijn en dan per direct ingaan, maar waarschijnlijk wel met een overgangsperiode van ongeveer twee jaar. Dit is op moment van schrijven nog onduidelijk. Daarnaast komt de AI Liability Directive en AI Treaty van de Raad van Europa er ook aan. Afhankelijk van de organisatie dien je ook nog rekening te houden met de DMA, DSA, NIS2, CSA, CRA en als je internationaal opereert met de VS ook op termijn mogelijk met de ‘Artificial Intelligence Research, Innovation, and Accountability Act’ (ook wel Bipartisan U.S. AI Bill genoemd) en publicaties van o.a. de G7 en VN.

Hoe de wetgeving eruit komt te zien, waar de grens getrokken gaat worden en waar de grijze gebieden gaan zijn, dat is vooralsnog onduidelijk. Zo zal er een meldplicht aankomen wanneer er diensten door ‘high-risk’ AI-systemen geleverd worden. Echter kan het zijn dat wanneer bijvoorbeeld een klantadviseur informatie in tikt en suggesties van een scherm af leest, dat dit voldoende afstand is om niet gemeld te hoeven worden.

Momenteel zijn er al meer dan 60 LLMs, maar zeker meer dan 1.000 tussenaanbieders die daar dan weer gebruik van maken binnen Europa en zo ook in Nederland. Niet alleen als Big Tech, maar ook als tussenpersoon zal je aan de regelgeving moeten voldoen. De aankomende AI Verordening is horizontale wetgeving en gericht op (bestaande) productregulering. Dan mag je verwachten dat een product met CE keurmerk dat het dan allemaal klopt inclusief de AI. Niet alle sectoren kennen echter het CE keurmerk en daar dient het op een andere manier opgelost te worden. Dat zal onder andere uit de finale wetteksten en guidance van CEN/CENELEC moeten blijken.

Zijn er al bedrijven met een AI beleid?

Dit is lastig te beantwoorden. Zoals eerder aangegeven dient eerst vastgesteld te worden wat AI is. Binnenkort hebben wij de AI Verordening waardoor het duidelijker zal worden. Organisaties die al gebruik maken van modellen (bv banken en verzekeraars) zullen mogelijk eerder een modellen (/AI) beleid hebben dan de bakker om de hoek. Al kan de bakker ook AI gebruiken om te voorspellen hoeveel en welke broden hij moet maken. Misschien is er wel een verband met het weer of bv. feestdagen, maar voor deze causale verbanden heeft de bakker om de hoek waarschijnlijk geen AI nodig. Mogelijk heeft hij dit wel nodig voor de inkoop van graan. In deze handel zijn er namelijk ook veel handelaren betrokken die voldoende middelen hebben om met AI-tooling de graanprijs proberen te voorspellen (a.d.h.v. bijvoorbeeld het weer of andere variabelen). Recentelijk heeft Google een AI-model (GraphCast) beschikbaar gesteld (open-source) om met je eigen pc snel een weervoorspelling te doen. Zo zie je maar weer dat AI-tooling steeds toegankelijker wordt voor iedereen en niet altijd supercomputers nodig zijn.

En bij welke risico’s kan audit, risk en compliance ondersteunen bij het gebruik van AI?

Ik denk dat ze alle drie binnen hun eigen rol en verantwoordelijkheden een bijdrage kunnen leveren in het mitigeren van de eerdergenoemde risico’s. Volgens mij is alleen wel een overview van de relevante wetgeving die je eigen organisatie raakt belangrijk en daarnaast het opstellen van een algoritme/AI-register om zo de omvang/aantallen, welke door derden ontwikkeld/onderhouden zijn en impact beter te kunnen inschatten.

AI verandert de auditkalender maar verandert het ook hoe wij auditen?

Goede vraag, ik denk het uiteindelijk wel. Het zal vooral een tool zijn die auditors zal ondersteunen. Net als in de zorg nu al (in pilots) gebeurt. Een AI-systeem kan bv. veel sneller op een röntgenfoto zien waar mogelijke kankercellen zitten. In China hebben ze ook een competitie gehouden tussen dokters en een AI-systeem. Je raadt het misschien al, het AI-systeem won twee keer de challenge waarbij de tweede challenge de accuracy nog hoger was.

AI-tooling helpt straks auditors in het schrijven van een rapport, rapporteren van bevindingen, of het opstellen van een jaarplan. Ook door te vragen naar sectorspecifieke risico’s, maar er is geen formule of model die 100% weet wat jij wilt. Met goede prompts (vragen) kan je wel een betere uitkomst realiseren. Het is daarmee een aanvulling en daarmee een extra tool in jouw gereedschapskist als auditor, meer dan dat je er volledig op kan steunen. Het mooie van deze tooling zoals een LLM is, dat je het ook kan ‘navragen’ hoe de LLM tot een bepaalde uitkomst komt.

Bijkomend is wel dat bij bijvoorbeeld de openbare ChatGPT, de data naar Amerika verzonden wordt. In het geval van specifiekere vragen over processen of bedrijfsgevoelige zaken binnen jouw organisatie, is het belangrijk om juist een afgesloten omgeving te gebruiken. Zodat de buitenwereld niet weet dat je daar aan het auditen bent.

Aanvullend: leidt het tot meer continuous monitoring waardoor internal audit (en risk en compliance) meer tijd krijgen voor andere minder repetitief werk?

Ik denk zoals in dit artikel beschreven is, zal de AI-tooling de auditors helpen in de dagelijkse praktijk. Op korte termijn (en in middels al mogelijk indien akkoord van je IT-afdeling) is de Microsoft co-pilot een mooi voorbeeld van een digitale assistent die ervoor zal zorgen dat je als gebruiker/auditor meer tijd over zal houden voor meer belangrijke taken. Continuous monitoring is een mooie gedachte, maar aangezien de LLMs nog minimaal 10% fouten maken/kunnen hallucineren en bij het doen van een audit, komt ook het ‘direct in de ogen aankijken’ tijdens interviews aan te pas en dat ‘aanvoelen en sturen’ zie ik een LLM op korte termijn nog niet (goed) doen. Ook de net ontwikkelde AI pin niet, maar de ontwikkelingen gaan snel (OpenAI Q* misschien?) en zijn leuke gadgets. Als mens zijn we natuurlijk ook niet perfect, maar hebben in beginsel wel meer empathie dan een LLM. Het empathische vermogen is immers één van de moeilijkste dingen van de hersenen om na te bootsen. De toekomst (voor auditors) zal waarschijnlijk zijn dat een LLM de andere LLM zal gaan (continuous) auditen, omdat de menselijke auditor dit (de uitkomsten in sommige situaties) niet meer kan (bevatten). OpenAI heeft recentelijk een paper

gepubliceerd waarbij ze GPT2 proberen te begrijpen/auditen met GPT4. Nadeel is wel dat je een blackbox gaat auditen met een andere blackbox en dat je de huidige versie nog niet kan auditen/begrijpen… voordeel van een LLM is dan wel weer dat je ook om uitleg kan vragen met de juiste prompts (tot een bepaald niveau en indien bepaalde vragen/prompts niet afgeschermd zijn).

Om continuous monitoring te gebruiken, zal het LLM specifieke bevoegdheden nodig hebben, bijvoorbeeld voor Python, Word en wat andere tooling, plus toegang tot specifieke files en data, maar ook gerichte prompts moeten ontvangen, om ervoor te zorgen dat de performance van de output (juistheid/volledigheid) zal verbeteren. Gebruikt iedereen dezelfde tooling, dan zal die steeds sneller verbeteren door de continu feedback die iedereen erop geeft. Wel blijft het risico dat de AI-tool gaat hallucineren, zoals eerder aangegeven. Hierdoor blijft het controleren en valideren van de resultaten belangrijk. Het kritische denkvermogen van de professional zal belangrijk zijn. Mogelijk dat we op de langer termijn een steeds kleinere groep van ‘goed’ functionerende LLM’s overhouden wegens de hoge kosten voor o.a. rekenkracht en negatieve belasting van het milieu (bv. water om te koelen).

Maakt het naar jouw mening wellicht de audit, risk en of compliance functie overbodig?

Als je op deze website kijkt dan zou de AI-impact 60% zijn met een opsomming welke taken dan het meest geraakt zullen worden. Ik sluit mij dan ook aan bij de phrase uit het artikel: ‘AI will not replace people, people with AI will replace people’.

Er zullen zeker banen verdwijnen, maar er komen ook meer banen bij. Al zullen mensen zich wel moeten laten omscholen. Door de insights van AI zal er gerichter gekeken kunnen worden naar specifieke taken, die een grotere impact hebben voor de gewenste resultaten.

Hoewel het ons werk veel efficiënter, of makkelijker zal maken, zal het niet compleet vervangen. Het zal de afweging van het bestuur zijn wat met de vrijgemaakte capaciteit te doen. Het kan heel goed ervoor zorgen dat de taken waar we niet aan toe kwamen, nu wel 100% beoordeeld kunnen worden in plaats van met minder mensen dezelfde hoeveelheid werk doen. Die afweging ligt dan weer bij het bestuur. Het is in ieder geval een tool die zal helpen om beter, sneller, efficiënter of juist nieuwe dingen te doen waar je nog niet aan toe gekomen bent.

Of leidt AI tot meer werk omdat er meer data kan worden verwerkt wat tot meer vragen en dus onderzoeken leidt?

Meer data heeft voor- en nadelen. Een voordeel voor het model is dat het model steeds beter wordt in een bepaald gebied. Nadeel is dat de uitkomsten niet altijd te volgen zijn (immers correlaties en geen causale verbanden). De mens zal proberen te begrijpen wat de output is en hoe deze tot stand is gekomen, maar met steeds complexere modellen wordt het ook steeds moeilijker. Dit raakt ook een belangrijk artikel in de EU AI Verordening m.b.t. human oversight. Dit is belangrijk, maar er komt een moment in tijd dat wij als mensen niet meer (precies) begrijpen of de output juist en volledig is.

Het is belangrijk dat er daarmee ook een soort ‘kill switch’ komt om het uit te zetten, maar ook dan moet je nog steeds wel begrijpen wat de uitkomst is en hoe deze tot stand is gekomen. Daarnaast dient ook geregeld te zijn dat bij het opnieuw ‘aanzetten’ van het AI-systeem niet dezelfde onwenselijke dingen gebeuren. Belangrijk blijft de ‘uitlegbaarheid’ van de rapporten en onderbouwende processen richting de consument en de toezichthouder.

Wanneer is AI in staat tot maatwerk zoals normenkaders? Je hebt altijd detailinfo nodig over een organisatie/processen/systemen om hiertoe te komen.

Je kan een normenkader redelijk eenvoudig laten maken, maar die moet uiteindelijk toegespitst zijn op de organisatie, en hoe deze het proces ingericht heeft. Heb je het over IT, bv. het proces change management dan kan je redelijk hetzelfde verwachten als output bij eenzelfde prompt. Echter je hebt mogelijk andere criteria voor een rundveehandelaar, dan voor een verzekeraar. Daarin is de vraag hoeveel persoonlijke kennis van de organisatie nodig is. Zet je de vraag voor een normenkader uit bij een LLM, dan houd je het risico dat deze zich met synthetische, fictieve, data heeft verrijkt en als hier biases of omissies inzitten dan zal dit alleen maar meer worden versterkt. Het blijft belangrijk om de LLM daarom te controleren (’te begrijpen’), in de data (input) en in de output om ervoor te zorgen dat de punten die aangeleverd worden relevant zijn voor je sector, en niet overgenomen zijn vanuit andere onderzoeken die niet van toepassing zijn.

Sommige experts stellen ook dat het internet steeds meer gevuld wordt met synthetische data, mis- en/of met desinformatie. Zeker als betrouwbare bronnen, bijv. Kluwer, de DPG media, hun media af proberen te schermen. Het gevaar blijft daarmee dat de gegenereerde normenkaders en andere documenten niet sterk onderbouwd zijn met betrouwbare onderliggende informatie. Die normenkaders gegenereerd door LLMs lijken in eerste instantie interessant, maar blijf zelf kritisch nadenken.

Natuurlijk kan je een LLM gebruiken die alleen jouw eigen data gebruikt, maar dan moet je het model intern trainen voor jouw specifieke situatie, met jouw eigen data. Via bijvoorbeeld Microsoft heb je het nieuwste model van Open AI, via hun Azure platform, die specifiek voor jouw situatie kan inzetten en voeden met jouw data binnen een gesloten omgeving. De vraag daarin blijft wel, heb je zelf genoeg data om hem goed te laten werken.

Bij Microsoft zijn ze wel bezig met de co-pilot, om die op de achtergrond jouw (geselecteerde) bedrijfsdocumenten te laten screenen en op basis van deze documenten jouw antwoord te geven, indien gewenst in jouw stijl van schrijven.

Men is ook bezig met sectorspecifieke modellen, bijvoorbeeld in de zorgsector en de academische wereld, waar er op basis van hun eigen datasets een LLM getraind wordt. Zo houd je ook de kwaliteit hoger dan wanneer je een openbaar model maakt. Het nadeel is dat je niet automatisch datasets van andere partijen erin toevoegt. Deze zal je mogelijk moeten kopen in de toekomst. Wel kan je dan grip houden op welke data(kwaliteit) je wel, of niet, toevoegt aan de dataset. In de bestaande modellen zal je kritisch moeten blijven naar de bias die onbedoeld meegenomen worden door de modellen en waar nodig de informatie te tweaken om deze waar mogelijk te beperken. Een AI-systeem zonder biases is echter niet mogelijk. Biases kunnen in het hele proces zitten (input, model, output en governance).

Hoe krijgen en behouden de functies audit, risk en compliance kennis over AI? De ontwikkelaars begrijpen het niet eens altijd zelf?

Het doen en volgen van opleidingen en trainingen. Voordeel is dat door AI er een tailormade programma uiteindelijk gemaakt kan worden voor elke functie en persoon. Stil zitten is echter geen optie. Je kan dus kijken wat universiteiten, IIA en andere beroepsorganisaties aanbieden. Nadeel is echter dat voor auditors en risk managers nog niet veel beschikbaar is. Op compliance gebied steeds meer en op technisch gebied is er wel heel veel beschikbaar.

Heeft de gemiddelde audit, risk en compliance afdeling op dit moment wel de kennis?

Dit is voor mij moeilijk in te schatten. Op basis van de trainingen en colleges die ik geef merk ik wel dat er veel behoefte is en er ook veel vragen spelen. Doordat AI niet meer zal verdwijnen dienen de afdelingen wel een plan op te stellen om ervoor te zorgen dat er een bepaalde basiskennis aanwezig per werknemer en specialistische kennis voor enkele relevante thema’s.

Het kennisniveau is eerder beperkt aanwezig dan ruimschoots op alle facetten van een AI-systeem. Er zijn werknemers die er veel vanaf weten, maar bij de meeste ontbreekt de nodige kennis. Daarnaast zal het voor de grotere organisaties en afdelingen makkelijker zijn om de kennis in huis te halen. Voor de kleinere organisaties is het lastig. Wat niet zegt dat de modellen niet gebruikt (kunnen) worden, zoals eerder gezegd no-code/low-code mogelijkheden. Dit neemt de nodige risico’s met zich mee waar je ook als auditor achter dient te komen. Een Stanford professor gaf aan dat de ontwikkeling en implementatie van een AI-systeem in een bedrijfsproces vroeger tussen 6 tot 9 maanden duurde, nu kan het binnen enkele uren tot een week duren.

Zeker met de snelheid van implementatie is het bijna onmogelijk om (alle) risico’s buiten huis te houden en daarom is tijdige communicatie met de audit, risk en compliance afdelingen cruciaal. Waar namelijk de ene week er nog niet over gesproken wordt over AI-systemen, kan het volgende week al geïmplementeerd zijn. Wees alert op de ambities van jouw eigen organisatie en afdelingen en stem hier je nieuwe risk assessment voor het jaarplan op af.. Door de snelle opvolgende technologische ontwikkelingen en het gemak van implementatie, kan dit ook mogelijk een effect hebben op de verhouding tussen geplande audits/werkzaamheden en ad hoc werkzaamheden.

Interesse in dit onderwerp of wilt u meer informatie over AI binnen Audit, Risk en Compliance? Neem contact op met Marc van Heese.

Optimaliseer Compliance: digitale uitdagingen en kansen voor financiële instellingen

Compliance bij identificatie en transacties

Als kersverse penningmeester van een bridgeclub met circa 50 leden, stuitte ik op een uitdaging bij het verkrijgen van digitale bankbevoegdheden. De huidige procedures blijken tijdrovend en complex, en het naleven ervan brengt de nodige hindernissen met zich mee.

Digitale bankzaken: een uitdaging voor kleine verenigingen

Omdat ik nog geen rekening heb bij een Nederlandse grootbank, moest ik me aanmelden met een traditioneel papieren formulier. Het ingevulde formulier, waarbij de zittende penningmeester heeft meegetekend, heb ik opgestuurd naar een antwoordnummer en vervolgens wachtte ik op een reactie. Met de verwerkingstijd word je geduld behoorlijk op de proef gesteld. Hoewel ik een ruime ervaring heb op het gebied van financiële mandatering en documentatie is het goed invullen van overdrachtsformulier van deze bank een heuse uitdaging gebleken. De onduidelijkheid rond wie moest tekenen en wat er precies werd verwacht, leidde tot afkeuringen en vertragingen.

Inmiddels is na de 2^e afkeuring besloten het volledige formulier van vier pagina’s opnieuw in te vullen en te laten ondertekenen door de vertrekkende penningmeester, de nieuwe penningmeester en de nog zittende bestuursleden. Twee maanden later en na meerdere stappen wacht ik nog steeds op groen licht. Na akkoord moet me dan nog bij een bankvestiging melden met een identiteitsbewijs en dan hoop ik eindelijk namens de bridgeclub bankzaken te kunnen regelen. Dan moet natuurlijk nog wel het installeren van de bank app en toegangscodes e.d. goed gaan.

De worsteling van financiële instellingen

Mijn ervaring maakt duidelijk dat bedrijven – en zeker financiële instellingen – worstelen met de operationele invulling van de aangescherpte wet- en regelgeving rondom identificatie. Compliance met betrekking tot banktransacties lijkt eveneens doorgeschoten, met jaarlijks twee miljoen “ongebruikelijke transacties” die onderzocht moeten worden. Omringende landen onderzoeken alleen “verdachte transacties”, wat veel minder werk is. Aan steeds toenemende wetgeving, zoals Wwft , Wft, GDPR, Sanctiewetgeving, moet worden voldaan. Dat deze wetgeving niet altijd op elkaar aansluit of zelfs haaks op elkaar staat maakt compliance complex. Deze uitdagende omgeving vraagt om duidelijk en eenduidig compliancebeleid. Om hier inhoud aan te geven is expertise en capaciteit nodig, Gezien de vraag in de markt is dit niet altijd voorhanden en staat er veel druk op de compliance functie.

Explosieve groei van compliance afdelingen

Natuurlijk is het goed dat er regels zijn om criminaliteit en fraude te beperken. Om aan alle regelgeving te voldoen en weg te blijven bij forse boetes is de omvang van compliance-afdelingen bij banken én het personeelsbestand van toezichthouders echter explosief gestegen. Duizenden mensen zijn nu betrokken bij compliance, wat aanzienlijke kosten met zich meebrengt die bedrijven en burgers uiteindelijk betalen. Compliance wordt momenteel nog veel verricht met behulp van verschillende systemen en is hierdoor tijdrovend. Het ontwikkelen en uitrollen van effectievere tooling waarbij klantdata is gecentraliseerd zal de werkdruk verlichten. Nieuwe technologieën als AI kunnen hierbij een rol spelen.

Een heroverweging van de proportionaliteit en effectiviteit van richtlijnen en toezicht, samen met een gedegen digitalisering van compliance, kan aanzienlijke besparingen opleveren. Het zal echter waarschijnlijk nog even duren voor deze verbeterslag gerealiseerd is.

Ondersteuning op het brede compliance gebied

Compliance beslaat meerdere gebieden, waaronder duurzaamheid, en vereist aanzienlijke capaciteit en expertise. Heeft u als financiële instelling of bedrijf op ad hoc basis of structureel moeite om de compliancewerkzaamheden tijdig en goed uit te voeren? Dan ondersteunen de specialisten van ARC People u graag om dit effectief en efficiënt op orde te krijgen.

Hans Sieraad
Associate, ARC People

Bekijk onze compliance services

Weerstand? Interessant!

Als audit-, risk- en compliance professionals bewegen we ons door de gehele organisatie. Daarbij hebben we te maken met uiteenlopende risico’s en een diverse groep collega’s die daarvoor verantwoordelijkheid dragen. We signaleren verbeterpotentieel en adviseren zowel gevraagd als ongevraagd. Niet vreemd dat we daarbij ook af en toe weerstand ervaren. Daarover valt veel te schrijven. In dit blog deel ik enkele praktijksituaties en waardevolle inzichten met je.

Weerstand voorspellen? Een slimme zet

Uiteraard probeer je als professional van tevoren in te schatten of je weerstand kunt gaan verwachten. Volgens theorieën op het gebied van onderzoeksmethodologie dien je zelfs voorafgaand aan jouw onderzoek of project een krachtenveldanalyse te maken. Daarin stel je jezelf onder andere de vragen “Wat vormt een bedreiging voor mijn project?” en “Wat kan mijn werk stimuleren?”. Vervolgens kun je van tevoren nadenken over de te nemen maatregelen waarmee je een eventuele bedreiging kunt mitigeren óf een stimulerende situatie verder kunt uitbuiten. Stel je bijvoorbeeld voor dat twee managers voortdurend elkaar de schuld geven; een groepsinterview kan dan helpen voorkomen dat je in het midden van een machtsstrijd belandt. Of als er iemand op C-level erg positief is over jouw project, laat die persoon dan het belang ervan benadrukken binnen de organisatie.

Jouw eigen mindset is enorm van belang

Let wel: niet alle weerstand is van tevoren te voorspellen. De kunst is om dat vooral níet erg te vinden. Je eigen mindset speelt hierbij een cruciale rol. Het herinnert me aan de tijd dat ik startte met doceren voor groepen. Ik bereidde me tot laat in de avond voor en probeerde elke mogelijke vraag van studenten vooraf te bedenken, inclusief de ideale antwoorden. Uiteraard volgden er de volgende dag allerlei vragen die ik niet had voorzien. Ik stelde daarna voor mezelf een aantal zaken vast: (1) vragen uit de groep geven een leuke dynamiek, (2) wat zou het vreselijk saai zijn als er helemaal géén vragen zouden komen en (3) als docent hoef ik niet per se alle antwoorden te hebben (soms zit de kennis namelijk in de groep óf kun je er een huiswerkopdracht van maken, voor een volgende les).

Zo kun je ook kijken naar het fenomeen weerstand. Is er helemaal geen weerstand? Doet dit onderwerp de mensen dan niets? Ben ik dan eigenlijk wel met iets relevants bezig? En weerstand is zó interessant: dan wil je toch weten wat er écht speelt? Kom je daarover goed in gesprek, dan geeft dat een enorme verbinding met je gesprekspartner. Ik herinner me een situatie waarbij ik twee medewerkers aan tafel kreeg, die allebei direct een gesloten houding aannamen. Zo van “Wij gaan jou liever niets vertellen”. Mijn collega van Audit & Risk zag ik daar zichtbaar van schrikken, maar bij mij wekte het juist veel interesse. Ik was er nu toch….en wilde dus weten wat er speelde. Daarom stelde ik de beginvraag: “Keken jullie uit naar onze komst?” De twee dames in kwestie lachten schamper en zeiden “Nou, eigenlijk niet.” Een simpele vervolgvraag in de trant van “Oh, vertel?” bleek al voldoende om binnen twee minuten een zeer interessant gesprek te krijgen.

Niets doen is geen optie!

Natuurlijk realiseer ik me dat je de weerstand wel moet kunnen waarnemen. Daar begint het: neem je het niet waar, dan kun je er ook niets mee doen. Mijn praktijk is echter dat de meeste audit-, risk- en compliance-professionals de signalen van weerstand heus wel herkennen, maar te vaak gaan ze door met hun inhoudelijke werk of procedures, zonder de weerstand aan te pakken. Neem je weerstand waar? Probeer er dan ook iets mee te doen. Eigenlijk is niets doen geen optie.

Veelal komt weerstand uit dezelfde hoek

De Roos van Leary blijf ik een zeer interessante theorie vinden, die je helpt begrijpen hoe gedrag en reacties in interacties werken. Ken je die theorie nog niet, dan raad ik je aan om je erin te verdiepen. Het geeft je inzicht in je eigen gedrag en helpt verklaren waarom anderen op een bepaalde manier reageren. Het stelt je ook in staat om beter in te schatten hoe mensen aan tafel zitten en welke interventies effectief kunnen zijn om hen richting jouw doel te bewegen. Mijn ervaring is dat wanneer je leert te spelen met het gedrag en de interventies uit de Roos van Leary, dat het bijna eng is hoe eenvoudig je anderen kunt meekrijgen.

Voor wie de Roos van Leary al wel kent: ik heb ervaren dat de meeste weerstand van managers komt vanuit dezelfde hoek van de Roos van Leary, namelijk de hoek van het Boven- en Tegengedrag. Het is verleidelijk om in reactie daarop ook Tegengedrag te vertonen, door bijvoorbeeld een zin uit te spreken die begint met het woord ‘maar’. Deze machtsstrijd dient echter te worden voorkomen. Een bewuste, tegengestelde interventie is hierbij het juiste antwoord. De route die meestal blijkt te werken, is als volgt: (1) beginnen met begrip tonen voor datgene wat de manager zei, (2) richting ‘samen’ bewegen door woorden als ‘we’ of ‘samen’ te gebruiken en te benadrukken dat hij een belangrijke speler is voor jou, waarna (3) je het initiatief neemt, door bijvoorbeeld te zeggen “Ik stel voor dat…”. Zo manoeuvreer jij je in de situatie dat je initiatief kunt blijven nemen, terwijl de ander volgt vanuit de gedachte van ‘samen’.

Een inzicht na jaren

Krijg je weerstand op een memo of rapport dat je schreef, waarin je een tekortkoming of verbeterpotentieel benadrukte? Na jarenlang pittige discussies te hebben gevoerd met allerlei managers, realiseerde ik me dat een kleine aanpassing in de manier waarop ik de bevindingen beschreef, alle weerstand vrijwel onmiddellijk wegnam. Een enkele collega merkte op dat hij vond dat ik een te flexibele ruggengraat had; naar zijn zin bewoog ik te veel mee met de business. Maar: ik paste nooit de inhoudelijke bevinding aan. Die bleef overeind. Wat paste ik dan wel aan? In plaats van alleen de conclusies te delen, begon ik ook meer context te bieden. Hoe heeft het zover kunnen komen? Waren er andere factoren van invloed daarop? Hoe lang bestond de situatie al? Door die contextuele informatie verbeterde de acceptatie aan de andere kant van de lijn aanzienlijk.

Omarm weerstand als een kans

Het klinkt misschien gek, maar ik wens je veel weerstand toe, de komende tijd. Het houdt je scherp, je zult er zelf veel van leren en veel door leren van anderen. Wil je van gedachten wisselen over weerstand die jou wordt geboden? Aarzel dan niet om contact met me op te nemen. Ik denk graag mee over uitdagende situaties en de oplossing daarvoor!

Sander van Oosten
Partner bij ARC People

Vernieuwende rol van Internal Audit in de DNB Richtlijnen voor Informatiebeveiliging

De DNB Good Practice Informatiebeveiliging

De Nederlandsche Bank (DNB) heeft een ‘Good Practice Informatiebeveiliging’ opgesteld als richtlijn voor financiële instellingen in Nederland. Deze good practice heeft tot doel de financiële instellingen te ondersteunen bij het effectief en efficiënt inrichten van hun informatiebeveiligingsbeleid en -praktijk. Internal Audit kan hierbij veel waarde toevoegen.

De DNB Good Practice Informatiebeveiliging fungeert als een richtlijn voor organisaties in hun streven naar een waterdichte informatiebeveiliging. Dus om ‘in control’ te geraken op het vlak van ICT. Deze praktijkrichtlijnen van De Nederlandsche Bank (DNB) bevatten inzichten en best practices voor het beschermen van informatie. Interne auditafdelingen kunnen deze richtlijnen integreren in hun werk. Het biedt een kader om informatiebeveiliging te beoordelen in lijn met externe normen.

De verschuiving van financiële audits naar bredere operationele (waaronder ICT) audits opent de deur naar het identificeren van nieuwe kansen en risico’s. Het is niet langer voldoende om alleen terug te kijken; auditors moeten vooruit kijken en opkomende bedreigingen aanpakken. Door het uitvoeren van Control Self Assessments krijgt de organisatie beter en eerder zicht op het functioneren van beheersmaatregelen en de ontwikkeling van risico’s. Cyberdreigingen zijn een perfect voorbeeld van een snelgroeiend risico dat vraagt om veel aandacht. Door verder te gaan dan de norm, kunnen internal auditors waarde toevoegen door veerkracht te kweken in een steeds veranderend landschap.

Een ander aspect van deze evolutie is de grotere nadruk op de leveranciersketen. Veel organisaties vertrouwen op externe dienstverleners, wat nieuwe lagen van complexiteit en potentiële risico’s met zich meebrengt. Internal auditors moeten hun aandachtsgebied uitbreiden naar deze externe partners en beoordelen in hoeverre zij voldoen aan de vereiste normen voor informatiebeveiliging. Het opzetten van een systematisch assurance-proces voor deze leveranciers versterkt niet alleen de beveiliging, maar verhoogt ook het vertrouwen van belanghebbenden.

De rol van Internal Audit bij de DNB Good Practice Informatiebeveiliging

In een tijdperk waarin verandering de enige constante is, moeten internal auditors zich aanpassen om relevant te blijven. De combinatie van de evoluerende rol van audit en de leidraad van DNB Good Practice Informatiebeveiliging opent nieuwe deuren voor Internal Audit. Door buiten de gebaande paden te treden, opkomende risico’s aan te pakken en de leveranciersketen te versterken, kunnen auditors hun positie versterken als strategische partners in de organisatie.

De rol van internal audit (interne audit) bij de implementatie en naleving van deze good practice is daarmee van cruciaal belang. Enkele rollen van interne audit in deze context zijn bijvoorbeeld:

Toetsing van beleid: Interne audit kan beoordelen of de informatiebeveiligingsbeleidslijnen en -procedures van een financiële instelling in lijn zijn met de aanbevelingen van de DNB good practice.
Control Self Assessments: Hoewel CSA’s vaak worden uitgevoerd door de business (1^e en ook 2^e lijn) zelf, speelt interne audit een vitale rol bij het opzetten, faciliteren en verrijken van dit proces. Hier gaan wij later in dit artikel verder op in.
Risicobeoordeling: Interne audit kan assisteren bij of een onafhankelijke beoordeling uitvoeren van de risicoanalyse die wordt uitgevoerd als onderdeel van het informatiebeveiligingsbeleid.
Awareness en training: Interne audit kan het management adviseren en bijstaan over de noodzaak van training en bewustwordingsprogramma’s rond informatiebeveiliging, zoals aanbevolen in de DNB good practice.
Incidentenanalyse: In het geval van beveiligingsincidenten kan interne audit een onafhankelijke analyse uitvoeren van het incident, de oorzaken identificeren en aanbevelingen doen voor verbeteringen om herhaling in de toekomst te voorkomen.
Advies en aanbevelingen: Op basis van hun bevindingen kunnen internal auditors aanbevelingen doen voor verbeteringen in de informatiebeveiliging van de organisatie.
Stakeholdercommunicatie: Interne audit kan fungeren als een communicatiekanaal tussen het management, de Raad van Bestuur en andere belanghebbenden, om hen te informeren over de status en effectiviteit van het informatiebeveiligingsbeleid van de organisatie.

De Rol van Internal Audit bij Control Self Assessments

Eenvoudig gezegd is CSA een methode waarbij medewerkers en teams binnen een organisatie hun eigen processen, risico’s en controles beoordelen. Het kan zowel formeel als informeel zijn, met structuren variërend van eenvoudige checklists tot uitgebreide workshops. De kracht van CSA ligt in het direct betrekken van de medewerkers die verantwoordelijk zijn voor de processen, omdat zij vaak het beste de risico’s en nodige controles begrijpen.

Hoewel CSA’s vaak worden uitgevoerd door de operationele (ICT) teams zelf en gefaciliteerd worden door bv de CISO, kan Interne Audit een belangrijke rol spelen bij het opzetten, faciliteren en verrijken van dit proces. Enkele manieren waarop internal audit waarde kan toevoegen:

Faciliteren en ondersteunen: Internal auditors kunnen dienen als onpartijdige facilitators tijdens CSA-sessies, waardoor wordt geborgd dat de evaluatie volledig en eerlijk is. Door hun ervaring met verschillende bedrijfsprocessen kunnen ze ook best practices en inzichten delen.
Training en voorbereiding: Internal auditors kunnen teams trainen in het gebruik van CSA-tools en -technieken, en hen voorzien van de nodige middelen om effectieve beoordelingen uit te voeren.
Validatie van resultaten: Hoewel CSA zelfevaluatie betreft, is het essentieel dat de resultaten gevalideerd worden om zeker te zijn van hun nauwkeurigheid en volledigheid. Interne auditors kunnen een onafhankelijke beoordeling geven van de CSA-resultaten, en deze koppelen aan hun eigen audit bevindingen.
Integratie met risicobeheer: De resultaten van CSA’s kunnen worden geïntegreerd in het bredere risicobeheerproces van de organisatie. Internal audit kan helpen bij het prioriteren van risico’s en het beoordelen van verbeterplannen op basis van de resultaten van de CSA.
Continu verbeteren: Door het observeren van verschillende CSA-sessies en het vergelijken van resultaten, kunnen internal auditors trends en patronen identificeren die kunnen leiden tot verbeteringen in het CSA-proces zelf of in de onderliggende processen die worden beoordeeld.

De rol van Internal Audit bij het beoordelen van assuranceverklaringen in de outsourcingsketen

Het is belangrijk om van leveranciers van in de outsourcingsketen te eisen om een assuranceverklaring te overleggen om inzicht te krijgen in de behersing van risico’s en compliance aan te tonen. In veel sectoren is er een strikte regelgeving hieromtrent, zo vereist DNB dit dan ook, en assuranceverklaringen kunnen aantonen dat leveranciers zich aan deze en andere regels houden. Daarnaast zijn deze verklaringen vaak onderdeel van contractuele afspraken en zorgen ze voor meer transparantie in de samenwerking. In het huidige digitale tijdperk kunnen ze ook bevestigen dat de beveiligingspraktijken van de leverancier op orde zijn. Het hebben van dergelijke verklaringen kan het vertrouwen van stakeholders versterken en helpt organisaties bij het identificeren van verbeterpunten.

Een van de gebieden waar Internal Audit een aanzienlijke waarde kan toevoegen, is het beoordelen van assurance verklaringen in de leveranciersketen. Hier volgen enkele manieren waarop IA dit kan doen:

Evaluatie: Internal Audit kan een evaluatie uitvoeren van de assurance verklaringen die door leveranciers worden verstrekt, om de adequaatheid, nauwkeurigheid en relevantie ervan te beoordelen.
Expertise bij beoordeling: Internal auditors hebben expertise in risicobeheer en assurance. Ze kunnen deze expertise toepassen bij het beoordelen van de betrouwbaarheid en dekking van assurance verklaringen, met name als het gaat om technische of gespecialiseerde gebieden.
Bewaken van consistentie: Internal Audit kan toezien op de consistentie tussen de assurance verklaringen van leveranciers en de interne beleidslijnen, normen en vereisten van de organisatie.
Identificatie van risico’s: Door de assurance verklaringen van leveranciers kritisch te beoordelen, kan Internal Audit potentiële risico’s of zwakke plekken identificeren die anders over het hoofd zouden kunnen worden gezien.
Validatie van derden: Internal Audit kan een rol spelen bij het valideren van derden (zoals externe auditors) die de assurance verklaringen hebben afgegeven, om te zorgen voor hun onafhankelijkheid, competentie en betrouwbaarheid.
Assurance mapping: Internal Audit kan assurance verklaringen van leveranciers integreren in de algemene auditplanning, zodat er een holistisch overzicht ontstaat van de risico’s en maatregelen binnen de gehele leveranciersketen.
Brug tussen leveranciers en management: Internal Audit kan fungeren als een brug tussen leveranciers en het hoger management, door te waarborgen dat belangrijke informatie uit assurance verklaringen op de juiste manier wordt gecommuniceerd en geïnterpreteerd.
Voortdurende monitoring: De dynamische aard van de leveranciersketen betekent dat risico’s en omstandigheden kunnen veranderen. Internal Audit kan een voortdurend monitoringsproces instellen voor assurance verklaringen, zodat er tijdig kan worden gereageerd op veranderingen.

Conclusie

Concluderend benadrukt de ‘Good Practice Informatiebeveiliging’ van De Nederlandsche Bank (DNB) het belang van informatiebeveiliging voor financiële instellingen in Nederland. Internal Audit speelt hierin een cruciale rol, met name bij het waarborgen van de naleving van deze richtlijnen, het faciliteren van Control Self Assessments en het beoordelen van assuranceverklaringen in de outsourcing keten. De samenwerking tussen CSA’s en interne audits zorgt voor een robuustere aanpak van risicobeheer. Bovendien speelt Internal Audit een significante rol bij het evalueren van assurance verklaringen van externe leveranciers, waarbij ze bijdragen aan een holistisch overzicht van risico’s en maatregelen binnen de gehele leveranciersketen. Het is dus duidelijk dat de vernieuwende rol van Internal Audit onmisbaar is bij het versterken van informatiebeveiliging in lijn met de DNB-richtlijnen.

Meer weten of een keer vrijblijvend sparren? Lees verder of neem contact op met Carlo Bavius.

Ontdek de laatste inzichten

Benieuwd naar de laatste inzichten? Lees onze recente blog of download gratis ons volledige whitepaper. Hierin gaan we dieper in op de IB Monitor en vullen aan waar nodig met recentere publicaties. We bespreken ook de nieuwe vooruitzichten en de impact van recente regelgeving zoals DORA en NIS2 op de Nederlandse financiële sector.

Ga naar blog Download whitepaper

Ethisch dilemma voor internal auditors: mogen we overal werken?

Duistere praktijken en morele vragen

De zomervakantie betekent voor mij altijd weer tijd om te lezen; over het algemeen non-fictie en vaak ook business gerelateerd. Zo heb ik deze zomer het boek over het consultancybedrijf McKinsey gelezen: De macht van McKinsey van Walt Bogdanich en Michael Forsythe. Een onthutsend boek over het reilen en zeilen van McKinsey. Het is schrikbarend te lezen hoe zij opereren: werken voor dubieuze regimes, boosten van verkopen van omstreden producten, maar ook hoe zij omgaan met belangenconflicten – of misschien zelfs wel opzoeken. In het boek kwam aan het licht hoe McKinsey heeft geholpen bij het vermarkten van verslavingsgevoelige producten als sigaretten, maar ook de pijnstiller OxiContyn van Purdue, dat heeft gezorgd voor een half miljoen doden in 20 jaar door overdoses [1]. Het bedrijf is inmiddels voor haar handelswijze veroordeeld tot een miljardenvergoeding.

Persoonlijk zou ik nooit voor een bedrijf als Purdue kunnen werken, maar bij mij kwam ook de vraag op of je wel als internal auditor bij een dergelijk bedrijf mág werken, rekening houdend met de voor de beroepsgroep geldende gedragscode van het IIA. Ik heb deze gedragscode er daarom maar eens op nageslagen.

Integriteit onder de microscoop

Feitelijk worden in deze gedragscode alleen de vier beginselen, integriteit, objectiviteit, geheimhouding en competentie, uitgewerkt in een aantal gedragsregels. Naar mijn beleving is de code vooral gericht op gedragingen die vertrouwen moeten wekken voor de klanten en auditees van internal audit. Het belangrijkste beginsel dat van toepassing is op voornoemde situatie is integriteit. Hoewel de huidige gedragscode dit begrip niet expliciet definieert, biedt de nieuwe (concept) gedragscode meer duidelijkheid en wordt integriteit omschreven als “Behaving in a manner that can withstand scrutiny by peers and others. It involves fair dealing, truthfulness, and having the courage to act appropriately, even when facing pressure to do otherwise or when doing so might create potential adverse personal or organizational consequences.” [2]

De huidige gedragsregels bieden iets meer houvast (dan de beginselen) en dan met name 1.3: “Zijn niet bewust partij in enige onwettelijke activiteit en nemen niet deel aan handelingen die het beroep van internal auditor of de organisatie in diskrediet kunnen brengen.”

De grenzen van betrokkenheid

Je kan je afvragen of het werken voor een bedrijf die de wet overtreedt, betekent dat je bewust partij bent. Wat is de definitie van partij zijn? Mij lijkt in dienst zijn wel ‘partij zijn van’; maar hoe ver rijkt dat dan? Heineken die niet tijdig meewerkt aan het recyclen van blikjes? Moet je dan als internal auditor ook uit dienst, in mijn definitie van ‘partij zijn van’? Het lijkt mij redelijk om te kijken naar de gradatie van overtreding en of deze al dan niet bewust is. In geval van het voorbeeld van Heineken zou ik het te ver vinden gaan om uit dienst te treden bij een dergelijke overtreding. In geval van Purdue bestaat er bij mij geen twijfel: bij een bedrijf met zo’n schadelijke impact en overtreding van de wet is er geen andere optie dan het indienen van je ontslag als internal auditor.

Wellicht kun je het in dienst blijven bij ‘foute’ bedrijven nog goed praten c.q. gedogen met het argument dat sommige (institutionele) beleggers hanteren als zij blijven beleggen in bijvoorbeeld olie-reuzen: als je geen aandeelhouder bent, dan kun je ook geen invloed uitoefenen op het beleid. Dat argument gaat wat mij betreft niet op bij de uitoefening van een internal auditfunctie: als auditor bepaal je niet het beleid; je toetst hooguit of het efficiënt en effectief wordt uitgevoerd. Uiteraard controleer je ook of de bedrijfsvoering compliant is, maar als een organisatie willens en wetens strafbaar handelt, ook na hierop gewezen te zijn, lijkt mij een uitdiensttreding de enige optie. Je kan als internal auditor de organisatie niet eigenhandig bijsturen.

Toenemende uitdaging voor internal auditors

Ik besef dat het is lastig om vaste richtlijnen te ontwikkelen die van toepassing zijn voor elke situatie van niet wettelijk handelen door organisaties. Het blijft subjectief, denk ik. Dus ook hier komt professional judgement om de hoek kijken. Maar met de komende wetgeving over ESG, zoals de CSRD, verwacht ik dat er steeds vaker lastige situaties zullen ontstaan.

Ik ben benieuwd hoe mijn vakgenoten tegenaan kijken. Het is wat mij betreft wel een discussie waard.

Marc van Heese,
Partner bij ARC People

[1] US Supreme Court halts Purdue Pharma bankruptcy settlement pending review | Reuters

[2] Disposition of Glossary: 2017 International Standards for the Professional Practice of Internal Auditing to 2023 Proposed Global Internal Audit Standards.

De commissaris zonder internal audit; ra(a)deloos?

Toezicht houden op de interne beheersings- en controlesystemen is een kerntaak van een RvC. Een afdeling die goed inzage kan geven in de interne beheersing is een internal audit afdeling. Bij veel instellingen ontbreekt een internal audit afdeling. Hoe krijgt een RvC bij dit soort instellingen dan inzicht in de mate van interne beheersing?

Rol Raad van Commissarissen

Een Raad van Commissarissen (RvC) heeft vier taken, te weten (Schuit en Jaspers, 2017):

Het houden van toezicht;
Het geven van advies;
Het goedkeuren van besluiten;
Het uitoefenen van de functie van werkgever

In dit artikel wordt gefocust op het toezicht houden. Toezicht houden is het toetsen of de handelingen van het bestuur voldoen aan de daaraan gestelde eisen, en zo nodig ingrijpen om de handelingen te corrigeren (Strikwerda en ten Wolde, 2017). Toezicht houden op de opzet en werking van de interne beheersings- en controlesystemen is daarbij een kerntaak (Kersten, 2016). Ook in de Corporate Governance Code is vastgelegd dat het bestuur verantwoordelijk is voor de strategie met bijbehorend risicoprofiel en het beheersen van de risico’s.

Oorzaak falend toezicht

Falend toezicht vindt veelal zijn oorsprong in falend risicomanagement (Reumkens, 2021). Reumkens benoemt 13 gevarenzones waar het mis kan gaan bij het toezicht houden. Ongeveer de helft heeft betrekking op de risicobeheersing:

Te risicovol beleid;
Beslissingen zonder onderzoek naar mogelijke risico’s;
Systemen van risicobeheersing en interne controle zijn ontoereikend;
Het gewraakte risico wordt niet geconstateerd of onvoldoende materieel geacht;
Ontbreken van criteria en richtlijnen voor beheersing van geconstateerde risico’s;
Geen periodieke beoordeling van feitelijke exposure.

Kortom, om goed invulling te geven in de toezichthoudende taak is focus op interne beheersing van groot belang.

Toenemende risico’s voor een commissaris

De Wet bestuur en toezicht rechtspersonen, die 1 juli 2021 van kracht is geworden, geeft een wettelijk taakomschrijving en verscherping van de persoonlijke aansprakelijkheid van toezichthouders bij stichtingen en verenigingen. Dit zijn organisaties waar over het algemeen geen tweede en derde lijnsfuncties aanwezig zijn.

Bij het Meavita-debacle is de RvC ook aansprakelijk gesteld voor de inadequate risicobeheersing en het ontbreken van goede stuurinformatie op concernniveau (Ondernemingskamer, 2015). Toezicht houden op risicomanagement is daarmee niet meer vrijblijvend. Klaassen stelt dan ook terecht dat de taakopvatting van een raad van toezicht in een zorgstichting niet wezenlijk verschilt met die van de RvC van een (beursgenoteerde) vennootschap (Klaassen, 2016).

Relevantie internal audit

Een afdeling die bij uitstek inzage geeft in de interne beheersing is internal audit. Internal audit geeft onafhankelijke en objectieve assurance en adviezen over de toereikendheid en effectiviteit van governance en risicomanagement. Bij financiële instellingen is deze afdeling verplicht. Internal audit rapporteert aan het bestuur maar ook aan de RvC , vaak via een auditcommittee. Hiermee krijgt de RvC zicht op de mate van interne beheersing. Strikwerda en ten Wolde (2017) noemen internal audit als een nuttige – zo niet noodzakelijke – functie voor de RvC bij het toezicht houden.

Producten internal audit

Internal audit levert specifieke producten die een beeld geven over de interne beheersing van een organisatie. Voordat een auditrapport wordt opgeleverd, is hier een scala aan voorbereidende producten aan vooraf gegaan die een RvC inzage geeft in de interne beheersing zoals het bepalen van de audit universe en de risico-analyse daarop.

Een internal audit rapport geeft een oordeel over de mate van interne beheersing over een specifiek onderwerp. Verder neemt het hoofd van de internal auditafdeling over het algemeen ook deel aan de auditcommittee vergaderingen waar zijn mening kan worden gevraagd. Tot slot is er een jaarlijks gesprek met de voorzitter van het auditcommittee.

Positionering internal audit

Naast deze producten, is ook de positionering en werkwijze van de internal audit afdeling relevant. Kernbegrippen van internal audit zijn objectief en onafhankelijk en systematisch onderzoek.

Chuah en Bendermacher onderschrijven het belang van de objectiviteit en onafhankelijkheid van een internal audit functie voor de RvC. Zij stellen dat “de IAF kan als geen ander een wezenlijke rol spelen, door objectieve en ongefilterde informatie te verstrekken aan de auditcommissie, zodat zij in staat wordt gesteld om haar toezichtstaken op adequate wijze uit te voeren” (Chuah en Bendermacher, 2017).

Bovenstaande genoemde producten en positionering en werkwijze bieden de RvC goede inzichten in de interne beheersing en vormen daarmee een belangrijk onderdeel voor het kunnen houden van goed toezicht.

Erkenning rol internal audit

Onderzoek toont inderdaad aan dat internal audit een comfort provider is voor het audit committee (Sarens, De Beelde en Everaert, 2009). Wallage en van Leeuwen hebben aan de hand van eerder uitgevoerde (internationale) onderzoeken uiteengezet dat een internal audit afdeling en grote bijdrage kan leveren aan de interne risicobeheersing (Wallage en van Leeuwen, 2017). Ook Driessen en Wakkerman onderkennen het nut van een internal auditfunctie voor de RvC: “Commissarissen hebben steeds meer behoefte aan onafhankelijke en zichtbare toetsing van de interne beheersing van de organisatie waarop zij toezicht houden. Zij hechten daarom aan een internal-auditfunctie.”

De Monitoring Commissie stelt sinds 2016 dat een organisatie een internal audit afdeling zou behoren te hebben. In principe 1.3 van de Corporate Governance Code stelt de Monitoring Commissie o.a. dat de RvC jaarlijks dient vast te stellen dat, indien voor de interne audit functie geen interne audit dienst is ingericht, er adequate alternatieve maatregelen zijn getroffen en beziet of er behoefte bestaat om een interne audit dienst in te richten. De Code richt zich weliswaar op beursgenoteerde ondernemingen, maar is steeds vaker een leidraad voor niet-beursgenoteerde ondernemingen en ook andere codes, onder andere voor de cultuursector.

Risico’s bij niet-financiële en niet -beursgenoteerde instellingen zijn niet per se minder of kleiner maar hoe krijgen zij dan inzicht in de mate van interne beheersing, wanneer een internal auditfunctie ontbreekt?

De externe auditor als alternatief

Het nut van een internal auditfunctie voor een RvC is duidelijk. Maar welke compenserende maatregelen heeft een RvC voor handen als er geen internal auditfunctie aanwezig is?

Binnen een organisatie is veel informatie voorhanden waarmee een beeld kan worden verkregen over de beheersing (Paape, 2021). Denk hierbij aan:

Managementletter externe accountant;
Medewerkerstevredenheid-onderzoeken;
Vaststelling of er (veel) rechtszaken zijn;
Klanttevredenheid;
AVG meldingen.

Bovengenoemde zaken geven een beeld van de interne beheersing. Echter, het is geen gestructureerd samenvattend beeld hiervan. Genoemde zaken zijn vaak input voor een risicoanalyse van internal audit of worden gebruikt bij een internal audit zelf in de vooronderzoeksfase waar een beeld wordt gekregen van waar de focus in de audit moet komen te liggen. Dit is een duidelijk voorbeeld van het voordeel van het hebben van een internal auditfunctie.

Literatuuronderzoek

Over hoe een RvC de mate van interne beheersing kan vaststellen, is niet heel veel geschreven in de literatuur. Van Leeuwen en Wallage stellen dat de RvC het management moet vragen om een verklaring dat zij zowel de opzet als de werking van de interne beheersingsomgeving getoetst heeft (van Leeuwen en Wallage, 2011). De RvC zal deze verklaring met het management bespreken. Een dergelijke zelfcontrole biedt onvoldoende waarborgen en daarom zal de RvC ook kennis moeten nemen van de werkzaamheden die ten grondslag hebben gelegen aan de verklaring. Daarbij tekenen Van Leeuwen en Wallage ook aan: “Uiteraard neemt de RvC ook kennis van constateringen van in- en externe accountants op het vlak van de interne beheersomgeving.” Toch een verwijzing naar een internal auditfunctie.

Ook Stolp en de Nijs Bik stellen dat wanneer de RvC niet kan vertrouwen op de door het bestuur verstrekte informatie, zij kritische vragen moet stellen en aanvullende informatie moet vragen en zich laten informeren door de externe accountant (Stolp en de Nijs Bik, 2015).

Opvallend is dat vaak naar de externe accountant wordt verwezen. Uit recent onderzoek blijkt namelijk dat de RvC een voorkeur heeft voor een uitspraak van internal auditor boven die van externe accountant. Behalve voor uitspraken over de betrouwbaarheid van de financiële rapportages en sommige financiële risico’s (Commissarissen benchmarkonderzoek risicomanagement 2019-2020, Grant Thornton). Uit jaarverslagen blijkt veelal dat de externe accountant wordt gezien als vervangende maatregel voor het niet hebben van een internal auditfunctie (Chuah en Bendermacher, 2017).

Samenvattend kan worden gesteld dat in de literatuur de externe accountant vaak wordt gezien als dé compenserende maatregel voor het ontbreken van een internal auditfunctie. Een beperkte maatregel omdat de externe accountant zich richt op de jaarrekening en ook vooral terugkijkt, en niet zoals de internal auditor, insight en foresight biedt (van Heese, 2021).

Onderzoek bij de commissaris

De literatuur geeft beperkt suggesties hoe een commissaris het gebrek aan een internal audit afdeling kan compenseren. Daarom is een klein aantal interviews gehouden met commissarissen die zowel ervaring hebben met een RvC bij een organisatie zonder een internal audit afdeling, als ervaring met een RvC bij een organisatie met een internal audit afdeling (dan wel ruim ervaring hebben met internal audit afdeling). Het aantal actieve commissariaten varieert tussen de 2 en 4 en het aantal jaar ervaring als commissaris tussen de 5 en 20 jaar.

De geïnterviewde commissarissen onderschrijven dat de risico’s voor de organisaties zonder een internal audit afdeling niet kleiner zijn vergeleken met de organisaties mét een dergelijke afdeling. “Helemaal niet. Alle organisaties zijn druk met ICT- en wetgevingsrisico’s.”

Maatregelen commissaris

Uit de interviews blijkt dat, om meer zicht te houden op de interne beheersing van een organisatie waar geen three lines is, de commissaris de volgende maatregelen neemt:

Managementletter externe accountant;
Medewerkerstevredenheid-onderzoeken;
Vaststelling of er (veel) rechtszaken zijn;
Klanttevredenheid;
AVG meldingen.

“Je doet meer als er geen three lines of defense is. Je hebt meer vergaderingen over specifieke onderwerpen waar je je meer in moet verdiepen.”

Geïnterviewden onderschrijven dat de rol van de accountant belangrijker is wanneer de internal auditor ontbreekt, zoals de literatuur stelt. Maar de commissaris is ook kritisch op de rol van de externe accountant en zijn toegevoegde waarde op het gebied van interne beheersing: “De accountantsverklaring is a: negatief geformuleerd en b: ze kijken naar de continuïteit en financiële risico’s. Al het andere nemen ze niet mee.”

Samenvattend

Onderzoeken tonen aan dat de internal auditor een belangrijke rol speelt bij het toezicht houden op de interne beheersing van een organisatie. De commissaris moet dus op zoek naar alternatieven bij het ontbreken van een internal audit afdeling, want de risico’s zijn niet per se kleiner bij organisaties zonder een internal audit afdeling.

De (beperkte) literatuur wijst met name naar de externe accountant als dé compenserende maatregel voor het ontbreken van een internal auditfunctie.

In de praktijk wordt de externe accountant als compenserende maatregel deels onderschreven maar is men ook kritisch c.q. realistisch over de mate waarop hier kan worden gesteund ten behoeve van een oordeel over de interne beheersing van een organisatie.

Belangrijke compenserende maatregelen zijn volgens hen:

Als commissaris meer zelf navragen c.q. onderzoek doen;
Ingrijpen in de interne beheersing van de organisatie om de interne beheersing te verbeteren;
Zorgen voor een evenwichtige samenstelling van de raad zodat alle kritische aandachtsgebieden worden afgedekt;
Inhuren van externe expertise.

Met bovengenoemde maatregelen, inclusief steunen op de externe accountant, wordt het ontbreken van een internal auditor gecompenseerd.

Meer internal audit?

Mogelijk zal ook in die organisaties de internal auditor alsnog zijn intreden doen.

Naar aanleiding van dit onderzoek zei één geïnterviewde: “Het is eigenlijk een terechte challenge die je bij me neer legt: wanneer zouden we een internal auditor moeten nemen? Het is nu allemaal wel heel erg ad hoc. Je moet het eigenlijk structureel borgen. Bij een goede interne beheersing, ga je excessen voorkomen.”

Een andere commissaris zei: “Misschien zijn wij als commissarissen nog onbekend met wat het (internal audit) ons allemaal zou kunnen opleveren. Dat zou voor mij hier nog wel eens de conclusie kunnen zijn. Het triggert mij wel.”

Kortom, er gloort (nog meer) hoop voor de internal auditor maar er is ook nog aardig wat werk aan de winkel om de bekendheid verder te vergroten.

Drs. Marc van Heese RO RE CIA is partner bij ARC People en vervult voor aan ARC People geoutsourcete auditfuncties de rol als Chief Audit Executive en is sparringspartner voor CAE’s. Dit artikel is een samenvatting van het paper dat Marc heeft geschreven als afronding van de Nyenrode Commissarissencyclus. Dit artikel is ook verschenen in het AuditMagazine van september 2022.

“Daarom ben ik overgestapt naar ARC People”

De afgelopen maanden heeft ARC People weer enkele ervaren professionals in IT Audit en Risk aan zich weten te verbinden. Waarom zijn zij overgestapt en hoe ervaren zij het tot nu toe? Anita van der Leeuw licht haar overstap toe.

Jij bent recent overgestapt naar ARC People. Kun je daar iets over vertellen?

“Ik ben vanaf het begin van mijn carrière opgeleid bij een Big4 (PwC). Ik heb daar heel veel competenties geleerd voor het auditvak en in 15 jaar tijd enorm veel organisaties gezien.”

Hoe ben je in contact gekomen met ARC?

“Toen ik bij ARC People een open inschrijving deed, omdat ik nog niet precies wist wat mijn volgende carrièrestap zou zijn, werd ik snel terug gebeld door Marlous, recruiter van ARC People, en wees zij mij op de vacature Senior Manager IT Audit & Risk binnen ARC People. Zodra ik de waarden van ARC zag, wist ik dat deze functie voor mij voorbestemd was.”

Hoe heb je het eerste contact met ARC People ervaren?

“Heel positief. Het enthousiaste telefonische contact is wat mij in eerste instantie enthousiasmeerde. De eerste afspraak werd snel geregeld. Toen ik in de sollicitatiegesprekken met de partners zag en voelde dat de gecommuniceerde waarden niet alleen maar opgesomd stonden op de site, maar dat deze waarden ook door de partners doorleefd werden, voelde ik mij direct thuis. ”

Wat heeft jou getriggerd om over te stappen?

“Zoals aangegeven heb ik de eerste jaren veel geleerd bij PWC maar nadat ik manager was geworden, merkte ik dat ik mij steeds meer moest aanpassen aan de Big4 governance. Hierdoor kon ik minder mijzelf zijn. Tijdens een intensief coaching traject met een externe coach merkte ik dat PwC en ik te ver uit elkaar waren gegroeid op het gebied van waarden: hoe doe je zaken. Er wordt teveel gekeken naar wat de klant vraagt, maar minder ‘wat heeft de klant nodig’. In de gesprekken met de partners (Marc en Sander) merkte ik vrij snel dat zij meer op de laatste lijn zitten: wat is er nodig om het probleem op te lossen en hoe kunnen we dat in gezamenlijkheid doen, co-creatie met de klant, zodat, als ARC People weg gaat, de klant het zelfstandig kan blijven doen.”

Wat hoop je te vinden binnen ARC People?

“Mijn grootste missie is om mijn klanten te helpen groeien en veranderen.  Bij PwC was mijn rol externe IT auditor. De nadruk ligt dan veel meer op het toetsen van organisaties aan de norm en het zorgen dat PwC als firm compliant is met wet- en regelgeving. In mijn huidige rol bij ARC help ik klanten vanuit mijn interne rol (als Senior Interne (IT) Auditor) gaps te identificeren en adviseer ik de organisatie hoe deze gaps het meest effectief en efficiënt opgelost kunnen worden. Dit leidt dan vervolgens tot groei en verandering in de organisatie. ”

Wat zijn er ervaringen tot nu toe?

“Ik ben na 5 maanden erg blij om te zeggen dat de eerder genoemde waarden in alles wat ARC People doet vooraan staan. Vooral het doorleven van de waarde van lange-termijn relaties is in mijn ogen uniek. ARC People gaat niet voor korte termijn winst, maar is er echt volledig op gefocust om lange-termijn relaties met klanten aan te gaan. Hier hoort ook openheid, eerlijkheid en duidelijkheid bij. Dit zijn ook exact mijn sterkste persoonlijke waarden.”

Waarom zou je anderen adviseren om eens in gesprek te gaan met ARC People?

“Bij ARC voel ik dat ik mijzelf kan zijn en ook wordt gewaardeerd om wie ik ben. Ik ben veel meer in charge van mijn eigen succes.”

Niets negatiefs?

“Negatief is een groot woord: bij mijn vorige werkgever had ik de mogelijkheid om elke dag een groot aantal mensen te coachen en te begeleiden. Bij ARC werk ik veel meer samen met andere professionals (die een zee aan ervaring hebben). Af en toe mis ik het coachen van jong talent. Het goede nieuws is dat ik binnenkort 2 nieuwe trainees ga coachen en mijn doel is om dat de komende tijd verder uit te breiden.”

ARC (vak)praat met… Anita van der Leeuw, Senior Manager IT Audit & Risk

Om de ontwikkelingen in ons vakgebied nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met (eind)verantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? Deze maand praten we met onze eigen collega Anita van der Leeuw, Senior Manager IT Audit & Risk, over de ontwikkelingen en uitdagingen in het vakgebied.

Kun je eerst wat meer vertellen over jouw ervaring binnen audit en risk tot op de dag van vandaag?

In 2007 ben ik bij PwC Accountants begonnen in het SOx (Sarbanes-Oxley) traineeship. Vanuit daar ben ik op een natuurlijke manier doorgestroomd naar het IT audit vakgebied. In de afgelopen 14 jaar heb ik heel breed kennis en ervaring opgedaan in dit vakgebied. Ik heb externe audits uitgevoerd waar ik teams aanstuurde variërend van 3 tot 10 minder ervaren medewerkers. Deze audits bestonden uit IT audits als onderdeel van de jaarrekening controle maar ook uit Third Party Assurance en overige verklaringen (SOC, ISAE3402, COS3000, AUP). Naast de externe audits heb ik een breed pallet aan overige opdrachten uitgevoerd, zoals interne audits, risico assessments, DigiD assessments en cyber security onderzoeken. Op het gebied van risicomanagement heb ik klanten geholpen met het mitigeren van IT risico’s en het opstellen van interne controle raamwerken. Mijn klanten varieerden in verschillende branches en grootte, waarbij de nadruk lag op grote multinationals.

Omdat ik bedrijven graag écht verder wil helpen – in plaats van hoofdzakelijk controleren – heb ik de overstap gemaakt naar ARC People. Ik sta nog steeds volledig achter deze overstap, want bij mijn huidige opdrachtgever heb ik nu al mooie resultaten neergezet om de interne beheersing volwassener te maken door middel van een audit. Van de gesprekken die ik voer binnen deze audit leren zowel de opdrachtgever als ik ontzettend veel. Mijn rol is nu meer gericht op het adviseren van organisaties waardoor we concrete verbeterstappen kunnen maken.

Wat vind jij de belangrijkste taak van een IT auditor en hoe geef je hier invulling aan?

Naar mijn mening is de belangrijkste taak van een IT auditor om met management mee te denken over IT (en bredere) risico’s zodat management passende maatregelen kan nemen. Een belangrijk onderdeel is dat de IT auditor hierbij ook goed op de hoogte is van de recente ontwikkelingen. In mijn advies neem ik deze daarom ook altijd mee. Dit kunnen bijvoorbeeld onderwerpen zijn zoals ransomware, cyber security en Internet Of Things. Door actuele ontwikkelingen en observaties te belichten houd ik het management scherp en kritisch. Soms ontwikkelen deze observaties zich zelfs tot een aparte audit.

Welke ontwikkelingen zie je op dit moment in het vakgebied van IT audit en hoe sta jij tegenover deze ontwikkelingen?

Het vakgebied van IT audit is continu in ontwikkeling. Op dit moment is de IT audit verklaring door beroepsvereniging NOREA een belangrijk topic, maar het is nog onduidelijk wanneer dit geïmplementeerd gaat worden. Verder speelt er veel op het gebied van cyber security, ransomeware en continuous monitoring, maar ook data-analyse, robotisering en AI zijn enorm actueel. Doordat ARC People actief is bij verschillende klanten in allerlei branches, kom ik veel in aanraking met deze ontwikkelingen. Als organisatie zijn wij gespecialiseerd in audit, risk en compliance en iedereen is dag-in-dag-uit bezig met het vakgebied. Mijn collega’s en ik werken nauw samen en delen onze kennis met elkaar, zodat iedereen up-to-date is van de laatste ontwikkelingen en innovaties.

Wat zijn op dit moment de grootste uitdagingen die spelen en hoe draag je bij aan deze uitdagingen?

Er is momenteel een groot tekort aan goede professionals. De vraag naar gespecialiseerde IT auditors, cyber security experts en specialisten op het gebied van data-analyse is ontzettend groot en goede professionals zijn schaars. Ik zie ook dat veel Big4 auditors het vakgebied verlaten en dat er onvoldoende nieuwe aanwas is. Gelukkig zijn er veel initiatieven om het vak aantrekkelijker te maken voor starters. Binnen het ARC Talent Program begeleid ik trainees door hen te coachen en enthousiast te maken voor het technische gedeelte van het vakgebied. Ik geef zelf trainingen, maar we organiseren ook veel inhoudelijke activiteiten zoals masterclasses en sessies met gastsprekers om de trainees actief te betrekken bij alles wat het vak te bieden heeft.

Wat zijn volgens jou de voordelen van het combineren van (IT) audit en risk management?

Naar mijn mening zouden audit en risk management altijd samen moeten gaan. IT audits kunnen beter en effectiever uitgevoerd worden door kennis van risk management toe te voegen, maar andersom is deze samenwerking er uiteraard ook. Door audits uit te voeren leer je de pijnpunten in de processen te herkennen waarmee je een organisatie vervolgens kan helpen om deze op te lossen en kansen te benutten. Via risicomanagement help je organisaties om de risico’s zoveel mogelijk te mitigeren door controlemaatregelen in te richten. Door deze vakgebieden te combineren kun je beter bijdragen aan het implementeren van interne beheersmaatregelen en aan een robuuste interne controle. Dit helpt op zijn beurt weer om gemakkelijker door externe audits te komen. Het gaat beide hand-in-hand.

Wat maken deze vakgebieden interessant en leuk voor jou?Ik haal veel energie uit de gesprekken die ik voer met klanten, leveranciers en opdracht teams. Door oprechte interesse te tonen ontstaan er waardevolle gesprekken en uitkomsten. Het vakgebied is uitdagend en volop in ontwikkeling. Het is belangrijk om continu op de hoogte blijven van ontwikkelingen in het vakgebied en veranderingen in de regelgeving. Al zolang ik me kan herinneren houd ik ervan om nieuwe kennis op te doen. Dit vakgebied stimuleert mij om mij continu te blijven ontwikkelen, zowel op professioneel vlak als op het gebied van mijn persoonlijke ontwikkeling.