Blog Archieven - Pagina 3 van 6

6 basisvoorwaarden voor een goed CSRD-project

Veel audit-, risk- en compliance professionals veren enthousiast op, bij het horen van de termen ESG en CSRD. We spelen kennelijk graag een relevante rol in de (transparantie van de) verduurzaming van organisaties. Dat zien we ook terug bij werving van vast personeel. In de huidige krappe arbeidsmarkt reageert er nauwelijks iemand op een geplaatste vacature, behalve als men in die functie een rol mag spelen bij het realiseren van ESG-ambities. We begrijpen het eerlijk gezegd wel.

Ook wij mogen bij een aantal van onze klanten deskundigheid op het gebied van ESG inzetten. Veelal zijn dat organisaties die binnen afzienbare tijd moeten gaan voldoen aan de CSRD. Door hen worden we gevraagd om (1) een eerste nulmeting te doen naar de stand van zaken, (2) het project te toetsen, of (3) inhoudelijke deskundigheid in het project te leveren. Daarbij zien we welke uitdagingen men heeft en hoe daarmee wordt omgegaan. In deze blog delen we een aantal praktijksituaties en waardevolle inzichten met je.

Niet zomaar ‘een projectje’

Veelal worden ESG-ambities gerealiseerd middels een projectmatige aanpak. Maar we hebben het niet zomaar over een projectje dat met een standaard projectaanpak kan worden gerealiseerd. Wat maakt dit soort projecten dan zo bijzonder?

Om te beginnen draait het – wanneer je aan de CSRD moet voldoen – om wettelijke vereisten, met een harde deadline. Er is kortom geen tijd voor uitloop, waardoor tijdig beginnen het devies is. Enkele andere bijzondere kenmerken van ESG-projecten:

Voor het merendeel van de betrokkenen is het nieuw.
Het raakt de strategie van de organisatie.
Het betreft de gehele organisatie en raakt vele functies.
Er zijn afhankelijkheden van belangrijke stakeholders binnen en buiten de organisatie.

Is de Project Governance op orde?

Gelet op de hiervoor benoemde, bijzondere kenmerken van een CSRD-project, is het belangrijk om het project vanaf de start goed te organiseren. Zonder direct een nogal formele insteek te willen kiezen, vinden we dat een CSRD-project het label ‘Strategisch’ dient te krijgen. Het voordeel hiervan is meestal dat er een stuurgroep wordt geformeerd waarin het verantwoordelijke bestuurslid zitting neemt. Ook worden daardoor hopelijk gestructureerd de kansen & risico’s van het project in kaart gebracht, inclusief de risico-mitigerende maatregelen.

Een als Strategisch bestempeld project verdient eveneens Quality Assurance. Een functie die meestal ten dienste staat van de stuurgroep en de projectmanager. Opererend als een ‘critical friend’: proactief aandragend, challengend en toetsend. Quality Assurance kan haar toetsen richten op: het projectplan, het proces, de deliverables en de opvolging van adviezen. De inzichten en verbeterpunten worden gedeeld middels snelle, korte memo’s. Het project kan daardoor zowel goede voortgang boeken als continu verbeteren.

Andere belangrijke basiszaken bij een CSRD-project

Zoals gezegd, is er doorgaans veel enthousiasme rondom het brede onderwerp ESG. Om succesvol een strategische verandering door te voeren, zoals het voldoen aan de CSRD-vereisten, is er uiteraard meer nodig dan enthousiasme. We zien in de praktijk dat het geen kwaad kan om goed stil te staan bij de belangrijkste waarborgen voor een succesvol verandertraject. We behandelen hier zes belangrijke basiszaken waaraan in het begin van het project goed aandacht dient te worden besteed.

1. Een goed kennisniveau

Velen profileren zich op dit moment als dé ESG-expert, maar de CSRD-vereisten (en hoe daaraan te voldoen) is voor de meesten nieuw. Ook externe consultants zijn veelal nog het wiel aan het uitvinden. Des te belangrijker is het dat er intern een goed kennisniveau wordt opgebouwd, bij alle sleutelfunctionarissen. Niet alleen om de vereisten écht te begrijpen, maar ook om een sterkere positie in te kunnen nemen naar externe consultants. Een eventuele hulpvraag aan externe consultants kan daardoor beter worden geformuleerd en het risico dat een externe aan het stuur komt te zitten van uw CSRD-project wordt voorkomen. Er is gelukkig steeds meer kennis voor het grijpen: goede trainingen, cases van vergelijkbare organisaties en informatie bij branche- of beroepsorganisaties.

2. Urgentiebesef

Zonder urgentiebesef is er sowieso een kleine kans van slagen, leerden we vanuit alle theorieën ten aanzien van veranderingsmanagement. Heb je het idee dat het nog ontbreekt aan dat noodzakelijke ‘burning platform’? Op zijn minst verwachten we dat de verantwoordelijkheid voor het voldoen aan de CSRD-vereisten bij één van de bestuurders in de portefeuille is belegd. Ook dient uiteraard het belang en de waarde ervan duidelijk te zijn benadrukt richting de organisatie (inclusief de gevolgen van gemiste kansen of het niet voldoen aan de vereisten). Is er meer nodig? Onderneem dan alsjeblieft aanvullende stappen, want nogmaals: zonder urgentiebesef gaat het onderwerp niet vliegen.

3. Een duidelijke ESG-visie

Wellicht een ‘no-brainer’, maar het hebben van een duidelijke visie over ESG is eveneens belangrijk. Als het goed is, gaat die visie verder dan louter het doel om tijdig te voldoen aan wettelijke vereisten, of een omschrijving die voldoet aan de SMART-vereisten. Idealiter is de visie ook ambitieus, inspirerend en verwijst hij duidelijk naar de waarden van de organisatie. Is dat het geval, dan zullen vele medewerkers op die visie aanhaken.

4. Multidisciplinariteit

De CSRD kan vanuit vele perspectieven worden benaderd. Omdat het gaat om ‘voldoen aan wetgeving’ zien we bij een aantal klanten dat de Compliance- of Legal-functie de lead neemt. Wordt het primair gezien als een rapportage-uitdaging, dan zien we dat Control het voortouw neemt. Los van wie de lead neemt in het project: laat het breder gaan dan het speelveld van de projectleider. CSRD gaat immers de gehele organisatie aan. Een multidisciplinaire (project)aanpak is daarom onontbeerlijk.

5. Een ESG-cultuur

Een goede organisatiecultuur is van cruciaal belang voor succes en de effectiviteit van een organisatie. Dat geldt ook voor het realiseren van de ESG-ambities. In de praktijk zien we de volgende mooie uitingen van een ESG-cultuur: er wordt veel gecommuniceerd over ESG, het onderwerp wordt tastbaar gemaakt voor de medewerkers, participatie van collega’s wordt gestimuleerd, gemotiveerde en/of belangrijke medewerkers (‘influencers’) worden als hefboom ingezet en (last but not least) het management benadrukt het belang en geeft het goede voorbeeld.

6. Kijk eerst wat je al hebt

Ondanks dat het onderwerp voor het merendeel nieuw is, betekent het niet persé dat je vanaf scratch hoeft te beginnen. Stel eerst vast wat er binnen je organisatie al bestaat op duurzaamheidsgebied. Het kan zijn dat er ergens binnen je organisatie al initiatieven ontplooid zijn (maar nog beperkt zichtbaar en aantoonbaar waren), of er waren al zaken waaraan je moest voldoen. Het toepassen van een nulmeting is hiervoor een hele goede methode. Laat je verrassen en wie weet maak je direct een vliegende start met je project. Ook de ESG-cultuurdragers binnen je verandertraject heb je dan gelijk gevonden. Andersom werkt deze inspanning ook. Als blijkt dat er toch wel veel vernieuwd moet worden, kan van onderschatting vervolgens geen sprake meer zijn, en lost dit het probleem van urgentiebesef misschien ook direct op.

Veel succes en aarzel niet!

Natuurlijk hopen we dat je op basis van ons blog hebt kunnen vaststellen dat de belangrijkste basiszaken in jullie CSRD-project op orde zijn. Is dat nog niet geval, dan hebben onze ervaringen wellicht aangezet tot verdere verbetering. We wensen je veel succes bij de mooie uitdagingen die voor je liggen!

Aarzel niet om contact met ons op te nemen. Vanzelfsprekend zijn we benieuwd naar jouw ervaringen tot nu toe. Ook zetten we desgewenst graag onze kennis en ontwikkelde formats in, om je te helpen bij een soepele implementatie van de CSRD-vereisten binnen jouw organisatie. Zie hier onze dienstverlening op een rijtje.

Sander van Oosten
Partner ARC People

ARC (vak)praat met… Damian Borstel, AI expert

Om de ontwikkelingen in onze vakgebieden nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? In deze ARC People (vak)praat focussen we ons op Artificial Intelligence (AI), momenteel een hot topic en interviewen we met plezier Damian Borstel, Senior Toezichthouder (Expertisecentrum) bij de AFM. Dit interview is op persoonlijke titel.

Naast zijn functie bij AFM, is Damian actief in het geven van trainingen op het gebied van AI en is hij actief als expert member bij NEN en CEN/CENELEC. CEN (Comité Européen de Normalisation) en CENELEC (European Committee for Electrotechnical Standardization) zijn twee Europese organisaties die zich bezighouden met normalisatie, het ontwikkelen van technische normen en standaarden voor verschillende industrieën en sectoren. Daarnaast is hij ook lid van de NOREA kennisgroep Algorithm & Assurance en als kers op de taart recentelijk begonnen met zijn PhD aan de UvA m.b.t. ‘Toezicht op AI in de financiële sector’.

Waarom de interesse in AI?

Ik heb altijd al interesse gehad in IT. Meer dan 30 jaar geleden ben ik begonnen met mijn XT-pc en kwam door gaming al snel in aanraking met AI en merkte ik dat de ene game dit beter onder controle had dan een andere. Tijdens mijn post-doc voor mijn RE-titel aan de UvA ontstond de interesse om mijn thesis te houden over Algorithm Assurance, hieruit ontstond mijn ‘algorithm assurance kubus’ (een kubus waarbij aspecten als randvoorwaarden, vertrouwen, (data)proces en ESG samenkomen om zo op een gedegen manier (mogelijk in de toekomst) assurance af te kunnen geven rekening houdende met de onderlinge relaties tussen de aspecten) en steeds grotere fascinatie voor het onderwerp AI. Het is immers bijna overal, van smart watches, IoTs in huis tot in auto’s aan toe.

Kun je een beeld geven van de omvang van AI binnen organisaties?

Alvorens een beeld te geven over de omvang van AI, dient er meer duidelijkheid te komen over wat AI of een AI-systeem precies is. De OECD heeft recent een nieuwe definitie gepubliceerd, maar is niet verankerd in een wet. Gelukkig komt dit op korte termijn wel en zal dit beschreven worden in de aankomende EU AI Verordening. Dit maakt het makkelijker om aan te geven wat AI is en daarmee ook de omvang van AI. Een precieze omvang kan ik niet geven, maar dat de omvang alleen maar toe zal nemen wel. Het wordt immers organisaties en/of werknemers zonder data science kennis erg gemakkelijk gemaakt om door gebruik van low-code/no-code tooling AI in bestaande bedrijfsprocessen toe te voegen. Nu sinds een jaar ChatGPT en andere Large Language Models (LLMs) naambekendheid hebben en de kracht en eenvoud van deze tooling zullen er alleen maar meer voor zorgen dat de omvang zal toenemen op korte termijn.

Door de vragende manier waarop deze tools werken, kan je snel je gedachten erop loslaten. Dit maakt het eenvoudig om te vragen naar efficiëntie slagen of risico’s omtrent een bepaald proces. Daarmee wordt het een assistent om input te leveren aan taken. Wel is het zo dat sinds ook het schandaal met Samsung, waar geheime bedrijfscode openbaar werd gemaakt door gebruik te maken van de openbare ChatGPT versie, er voorzichtig wordt omgegaan met het gebruik van AI buiten de eigen beveiligde omgeving.

Waar worden we er al mee geconfronteerd (wellicht zonder dat we het weten)?

Zoals net aangegeven komen we dit overal tegen. De WRR noemt het ook een systeemtechnologie en een professor van Stanford (Andrew Ng) geeft aan dat AI meer impact zal hebben dan elektriciteit. Als straks de AI Verordening van kracht is, zal door de transparantieverplichtingen, het nog duidelijker worden in hoeverre je in aanraking komt met AI. Dit is dan wel AI direct met jou ‘communiceert’. De AI tooling in organisaties zelf of die mogelijk achter andere AI ‘verscholen’ zit, zijn misschien minder inzichtelijk. Er is een interessante website die inzicht geeft welke AI-tooling er allemaal is: theresanaiforthat.com.

Waar het gaat om een ‘neuraal netwerk’, is dit nog beperkt door de grote kosten die hiermee gepaard gaan. Echter, worden zeer complexe Excel sheet en dergelijke wel breed ingezet (die mogelijk ook onder de AI-definitie gaan vallen). Ook kan het zeker voorkomen dat de respons of het advies die door een persoon gegeven worden, uit prompts van een AI-tool worden gehaald die de ‘correcte’ respons aan bijvoorbeeld een helpdeskmedewerker geven. De vraag die dan nog overblijft is of deze persoon nog kritisch nadenkt of dat deze slechts een ‘doorgeefluik’ is.

Bij uitbesteding lijkt me dit ook een relevante topic: wat wordt voorzien door AI aan de klant?

De Big Tech bedrijven zijn in de lead met het aanbieden van interessante en user-friendly AI tooling. Hierdoor zullen vele (delen van) processen worden uitbesteed. Third party management (TPM) zal steeds belangrijker worden, maar dus ook de interne kennis om te begrijpen wat deze derden partijen (precies) doen. Je moet immers kritische vragen kunnen stellen over bv. welke datasets er gebruikt zijn.

Zeker kleine bedrijven kunnen ook geconfronteerd worden met AI zonder het te weten. Deze hebben namelijk minder capaciteit om onderzoek te doen naar partners of derden die mogelijk wel degelijk gebruik maken van AI voor hun interne processen. Inzicht hebben dan wel contractueel vastleggen wanneer er AI gebruikt wordt, is dan eigenlijk een must. Je blijft immers als bedrijf eindverantwoordelijk en transparantie over het (mogelijke) gebruik van AI heeft impact op het vertrouwen.

Welke risico’s zie je voor organisaties in het gebruik van AI?

Er zijn verschillende risico’s te benoemen. Je kan denken aan governance, transparantie, ethiek, uitlegbaarheid, privacy risico’s bij gebruik van persoonsgegevens, schending van mensenrechten, datakwaliteit, discriminatie en biases. Ook risico’s op gebied van cybersecurity zijn actueel. Kwaadwillende/hackers kunnen bv door gebruik van WormGPT makkelijk phishing aanvallen doen of malware laten schrijven en dit is pas het begin. Zo kan het door de beperkte transparantie naar data en processen achter de tools, het eenvoudig voorkomen dat deze op de verkeerde populatie gebaseerd zijn waardoor de uitkomsten (accuracy/performance van het model) minder accuraat kan zijn dan vooraf gesteld. Het is daarmee van groot belang om een TPM-afdeling te hebben, of in ieder geval de kritische vragen te blijven stellen. Naast dat je er wel vanuit gaat dat een bedrijf correct om gaat met haar data en systemen, blijf je als gebruiker dan wel tussenpersoon ook de verplichting houden kritisch te blijven. Om na te gaan of de data die gebruikt wordt voor de modellen wel in lijn zijn met de doelgroep. Ook om na te gaan of er voldoende aandacht is geweest voor de privacy van degenen wiens data wordt gebruikt.

Welke wetgeving komt op organisaties af (en per wanneer) over AI?

Binnen EU komt eerst de EU AI Verordening. Er zijn nu onderhandelingen tussen de Europese Commissie (EC), Europees Parlement (EP) en Europese Raad (ER), ook wel de triloogonderhandelingen genoemd. Naar verwachting zal de AI Verordening uiterlijk begin volgend jaar definitief zijn en dan per direct ingaan, maar waarschijnlijk wel met een overgangsperiode van ongeveer twee jaar. Dit is op moment van schrijven nog onduidelijk. Daarnaast komt de AI Liability Directive en AI Treaty van de Raad van Europa er ook aan. Afhankelijk van de organisatie dien je ook nog rekening te houden met de DMA, DSA, NIS2, CSA, CRA en als je internationaal opereert met de VS ook op termijn mogelijk met de ‘Artificial Intelligence Research, Innovation, and Accountability Act’ (ook wel Bipartisan U.S. AI Bill genoemd) en publicaties van o.a. de G7 en VN.

Hoe de wetgeving eruit komt te zien, waar de grens getrokken gaat worden en waar de grijze gebieden gaan zijn, dat is vooralsnog onduidelijk. Zo zal er een meldplicht aankomen wanneer er diensten door ‘high-risk’ AI-systemen geleverd worden. Echter kan het zijn dat wanneer bijvoorbeeld een klantadviseur informatie in tikt en suggesties van een scherm af leest, dat dit voldoende afstand is om niet gemeld te hoeven worden.

Momenteel zijn er al meer dan 60 LLMs, maar zeker meer dan 1.000 tussenaanbieders die daar dan weer gebruik van maken binnen Europa en zo ook in Nederland. Niet alleen als Big Tech, maar ook als tussenpersoon zal je aan de regelgeving moeten voldoen. De aankomende AI Verordening is horizontale wetgeving en gericht op (bestaande) productregulering. Dan mag je verwachten dat een product met CE keurmerk dat het dan allemaal klopt inclusief de AI. Niet alle sectoren kennen echter het CE keurmerk en daar dient het op een andere manier opgelost te worden. Dat zal onder andere uit de finale wetteksten en guidance van CEN/CENELEC moeten blijken.

Zijn er al bedrijven met een AI beleid?

Dit is lastig te beantwoorden. Zoals eerder aangegeven dient eerst vastgesteld te worden wat AI is. Binnenkort hebben wij de AI Verordening waardoor het duidelijker zal worden. Organisaties die al gebruik maken van modellen (bv banken en verzekeraars) zullen mogelijk eerder een modellen (/AI) beleid hebben dan de bakker om de hoek. Al kan de bakker ook AI gebruiken om te voorspellen hoeveel en welke broden hij moet maken. Misschien is er wel een verband met het weer of bv. feestdagen, maar voor deze causale verbanden heeft de bakker om de hoek waarschijnlijk geen AI nodig. Mogelijk heeft hij dit wel nodig voor de inkoop van graan. In deze handel zijn er namelijk ook veel handelaren betrokken die voldoende middelen hebben om met AI-tooling de graanprijs proberen te voorspellen (a.d.h.v. bijvoorbeeld het weer of andere variabelen). Recentelijk heeft Google een AI-model (GraphCast) beschikbaar gesteld (open-source) om met je eigen pc snel een weervoorspelling te doen. Zo zie je maar weer dat AI-tooling steeds toegankelijker wordt voor iedereen en niet altijd supercomputers nodig zijn.

En bij welke risico’s kan audit, risk en compliance ondersteunen bij het gebruik van AI?

Ik denk dat ze alle drie binnen hun eigen rol en verantwoordelijkheden een bijdrage kunnen leveren in het mitigeren van de eerdergenoemde risico’s. Volgens mij is alleen wel een overview van de relevante wetgeving die je eigen organisatie raakt belangrijk en daarnaast het opstellen van een algoritme/AI-register om zo de omvang/aantallen, welke door derden ontwikkeld/onderhouden zijn en impact beter te kunnen inschatten.

AI verandert de auditkalender maar verandert het ook hoe wij auditen?

Goede vraag, ik denk het uiteindelijk wel. Het zal vooral een tool zijn die auditors zal ondersteunen. Net als in de zorg nu al (in pilots) gebeurt. Een AI-systeem kan bv. veel sneller op een röntgenfoto zien waar mogelijke kankercellen zitten. In China hebben ze ook een competitie gehouden tussen dokters en een AI-systeem. Je raadt het misschien al, het AI-systeem won twee keer de challenge waarbij de tweede challenge de accuracy nog hoger was.

AI-tooling helpt straks auditors in het schrijven van een rapport, rapporteren van bevindingen, of het opstellen van een jaarplan. Ook door te vragen naar sectorspecifieke risico’s, maar er is geen formule of model die 100% weet wat jij wilt. Met goede prompts (vragen) kan je wel een betere uitkomst realiseren. Het is daarmee een aanvulling en daarmee een extra tool in jouw gereedschapskist als auditor, meer dan dat je er volledig op kan steunen. Het mooie van deze tooling zoals een LLM is, dat je het ook kan ‘navragen’ hoe de LLM tot een bepaalde uitkomst komt.

Bijkomend is wel dat bij bijvoorbeeld de openbare ChatGPT, de data naar Amerika verzonden wordt. In het geval van specifiekere vragen over processen of bedrijfsgevoelige zaken binnen jouw organisatie, is het belangrijk om juist een afgesloten omgeving te gebruiken. Zodat de buitenwereld niet weet dat je daar aan het auditen bent.

Aanvullend: leidt het tot meer continuous monitoring waardoor internal audit (en risk en compliance) meer tijd krijgen voor andere minder repetitief werk?

Ik denk zoals in dit artikel beschreven is, zal de AI-tooling de auditors helpen in de dagelijkse praktijk. Op korte termijn (en in middels al mogelijk indien akkoord van je IT-afdeling) is de Microsoft co-pilot een mooi voorbeeld van een digitale assistent die ervoor zal zorgen dat je als gebruiker/auditor meer tijd over zal houden voor meer belangrijke taken. Continuous monitoring is een mooie gedachte, maar aangezien de LLMs nog minimaal 10% fouten maken/kunnen hallucineren en bij het doen van een audit, komt ook het ‘direct in de ogen aankijken’ tijdens interviews aan te pas en dat ‘aanvoelen en sturen’ zie ik een LLM op korte termijn nog niet (goed) doen. Ook de net ontwikkelde AI pin niet, maar de ontwikkelingen gaan snel (OpenAI Q* misschien?) en zijn leuke gadgets. Als mens zijn we natuurlijk ook niet perfect, maar hebben in beginsel wel meer empathie dan een LLM. Het empathische vermogen is immers één van de moeilijkste dingen van de hersenen om na te bootsen. De toekomst (voor auditors) zal waarschijnlijk zijn dat een LLM de andere LLM zal gaan (continuous) auditen, omdat de menselijke auditor dit (de uitkomsten in sommige situaties) niet meer kan (bevatten). OpenAI heeft recentelijk een paper

gepubliceerd waarbij ze GPT2 proberen te begrijpen/auditen met GPT4. Nadeel is wel dat je een blackbox gaat auditen met een andere blackbox en dat je de huidige versie nog niet kan auditen/begrijpen… voordeel van een LLM is dan wel weer dat je ook om uitleg kan vragen met de juiste prompts (tot een bepaald niveau en indien bepaalde vragen/prompts niet afgeschermd zijn).

Om continuous monitoring te gebruiken, zal het LLM specifieke bevoegdheden nodig hebben, bijvoorbeeld voor Python, Word en wat andere tooling, plus toegang tot specifieke files en data, maar ook gerichte prompts moeten ontvangen, om ervoor te zorgen dat de performance van de output (juistheid/volledigheid) zal verbeteren. Gebruikt iedereen dezelfde tooling, dan zal die steeds sneller verbeteren door de continu feedback die iedereen erop geeft. Wel blijft het risico dat de AI-tool gaat hallucineren, zoals eerder aangegeven. Hierdoor blijft het controleren en valideren van de resultaten belangrijk. Het kritische denkvermogen van de professional zal belangrijk zijn. Mogelijk dat we op de langer termijn een steeds kleinere groep van ‘goed’ functionerende LLM’s overhouden wegens de hoge kosten voor o.a. rekenkracht en negatieve belasting van het milieu (bv. water om te koelen).

Maakt het naar jouw mening wellicht de audit, risk en of compliance functie overbodig?

Als je op deze website kijkt dan zou de AI-impact 60% zijn met een opsomming welke taken dan het meest geraakt zullen worden. Ik sluit mij dan ook aan bij de phrase uit het artikel: ‘AI will not replace people, people with AI will replace people’.

Er zullen zeker banen verdwijnen, maar er komen ook meer banen bij. Al zullen mensen zich wel moeten laten omscholen. Door de insights van AI zal er gerichter gekeken kunnen worden naar specifieke taken, die een grotere impact hebben voor de gewenste resultaten.

Hoewel het ons werk veel efficiënter, of makkelijker zal maken, zal het niet compleet vervangen. Het zal de afweging van het bestuur zijn wat met de vrijgemaakte capaciteit te doen. Het kan heel goed ervoor zorgen dat de taken waar we niet aan toe kwamen, nu wel 100% beoordeeld kunnen worden in plaats van met minder mensen dezelfde hoeveelheid werk doen. Die afweging ligt dan weer bij het bestuur. Het is in ieder geval een tool die zal helpen om beter, sneller, efficiënter of juist nieuwe dingen te doen waar je nog niet aan toe gekomen bent.

Of leidt AI tot meer werk omdat er meer data kan worden verwerkt wat tot meer vragen en dus onderzoeken leidt?

Meer data heeft voor- en nadelen. Een voordeel voor het model is dat het model steeds beter wordt in een bepaald gebied. Nadeel is dat de uitkomsten niet altijd te volgen zijn (immers correlaties en geen causale verbanden). De mens zal proberen te begrijpen wat de output is en hoe deze tot stand is gekomen, maar met steeds complexere modellen wordt het ook steeds moeilijker. Dit raakt ook een belangrijk artikel in de EU AI Verordening m.b.t. human oversight. Dit is belangrijk, maar er komt een moment in tijd dat wij als mensen niet meer (precies) begrijpen of de output juist en volledig is.

Het is belangrijk dat er daarmee ook een soort ‘kill switch’ komt om het uit te zetten, maar ook dan moet je nog steeds wel begrijpen wat de uitkomst is en hoe deze tot stand is gekomen. Daarnaast dient ook geregeld te zijn dat bij het opnieuw ‘aanzetten’ van het AI-systeem niet dezelfde onwenselijke dingen gebeuren. Belangrijk blijft de ‘uitlegbaarheid’ van de rapporten en onderbouwende processen richting de consument en de toezichthouder.

Wanneer is AI in staat tot maatwerk zoals normenkaders? Je hebt altijd detailinfo nodig over een organisatie/processen/systemen om hiertoe te komen.

Je kan een normenkader redelijk eenvoudig laten maken, maar die moet uiteindelijk toegespitst zijn op de organisatie, en hoe deze het proces ingericht heeft. Heb je het over IT, bv. het proces change management dan kan je redelijk hetzelfde verwachten als output bij eenzelfde prompt. Echter je hebt mogelijk andere criteria voor een rundveehandelaar, dan voor een verzekeraar. Daarin is de vraag hoeveel persoonlijke kennis van de organisatie nodig is. Zet je de vraag voor een normenkader uit bij een LLM, dan houd je het risico dat deze zich met synthetische, fictieve, data heeft verrijkt en als hier biases of omissies inzitten dan zal dit alleen maar meer worden versterkt. Het blijft belangrijk om de LLM daarom te controleren (’te begrijpen’), in de data (input) en in de output om ervoor te zorgen dat de punten die aangeleverd worden relevant zijn voor je sector, en niet overgenomen zijn vanuit andere onderzoeken die niet van toepassing zijn.

Sommige experts stellen ook dat het internet steeds meer gevuld wordt met synthetische data, mis- en/of met desinformatie. Zeker als betrouwbare bronnen, bijv. Kluwer, de DPG media, hun media af proberen te schermen. Het gevaar blijft daarmee dat de gegenereerde normenkaders en andere documenten niet sterk onderbouwd zijn met betrouwbare onderliggende informatie. Die normenkaders gegenereerd door LLMs lijken in eerste instantie interessant, maar blijf zelf kritisch nadenken.

Natuurlijk kan je een LLM gebruiken die alleen jouw eigen data gebruikt, maar dan moet je het model intern trainen voor jouw specifieke situatie, met jouw eigen data. Via bijvoorbeeld Microsoft heb je het nieuwste model van Open AI, via hun Azure platform, die specifiek voor jouw situatie kan inzetten en voeden met jouw data binnen een gesloten omgeving. De vraag daarin blijft wel, heb je zelf genoeg data om hem goed te laten werken.

Bij Microsoft zijn ze wel bezig met de co-pilot, om die op de achtergrond jouw (geselecteerde) bedrijfsdocumenten te laten screenen en op basis van deze documenten jouw antwoord te geven, indien gewenst in jouw stijl van schrijven.

Men is ook bezig met sectorspecifieke modellen, bijvoorbeeld in de zorgsector en de academische wereld, waar er op basis van hun eigen datasets een LLM getraind wordt. Zo houd je ook de kwaliteit hoger dan wanneer je een openbaar model maakt. Het nadeel is dat je niet automatisch datasets van andere partijen erin toevoegt. Deze zal je mogelijk moeten kopen in de toekomst. Wel kan je dan grip houden op welke data(kwaliteit) je wel, of niet, toevoegt aan de dataset. In de bestaande modellen zal je kritisch moeten blijven naar de bias die onbedoeld meegenomen worden door de modellen en waar nodig de informatie te tweaken om deze waar mogelijk te beperken. Een AI-systeem zonder biases is echter niet mogelijk. Biases kunnen in het hele proces zitten (input, model, output en governance).

Hoe krijgen en behouden de functies audit, risk en compliance kennis over AI? De ontwikkelaars begrijpen het niet eens altijd zelf?

Het doen en volgen van opleidingen en trainingen. Voordeel is dat door AI er een tailormade programma uiteindelijk gemaakt kan worden voor elke functie en persoon. Stil zitten is echter geen optie. Je kan dus kijken wat universiteiten, IIA en andere beroepsorganisaties aanbieden. Nadeel is echter dat voor auditors en risk managers nog niet veel beschikbaar is. Op compliance gebied steeds meer en op technisch gebied is er wel heel veel beschikbaar.

Heeft de gemiddelde audit, risk en compliance afdeling op dit moment wel de kennis?

Dit is voor mij moeilijk in te schatten. Op basis van de trainingen en colleges die ik geef merk ik wel dat er veel behoefte is en er ook veel vragen spelen. Doordat AI niet meer zal verdwijnen dienen de afdelingen wel een plan op te stellen om ervoor te zorgen dat er een bepaalde basiskennis aanwezig per werknemer en specialistische kennis voor enkele relevante thema’s.

Het kennisniveau is eerder beperkt aanwezig dan ruimschoots op alle facetten van een AI-systeem. Er zijn werknemers die er veel vanaf weten, maar bij de meeste ontbreekt de nodige kennis. Daarnaast zal het voor de grotere organisaties en afdelingen makkelijker zijn om de kennis in huis te halen. Voor de kleinere organisaties is het lastig. Wat niet zegt dat de modellen niet gebruikt (kunnen) worden, zoals eerder gezegd no-code/low-code mogelijkheden. Dit neemt de nodige risico’s met zich mee waar je ook als auditor achter dient te komen. Een Stanford professor gaf aan dat de ontwikkeling en implementatie van een AI-systeem in een bedrijfsproces vroeger tussen 6 tot 9 maanden duurde, nu kan het binnen enkele uren tot een week duren.

Zeker met de snelheid van implementatie is het bijna onmogelijk om (alle) risico’s buiten huis te houden en daarom is tijdige communicatie met de audit, risk en compliance afdelingen cruciaal. Waar namelijk de ene week er nog niet over gesproken wordt over AI-systemen, kan het volgende week al geïmplementeerd zijn. Wees alert op de ambities van jouw eigen organisatie en afdelingen en stem hier je nieuwe risk assessment voor het jaarplan op af.. Door de snelle opvolgende technologische ontwikkelingen en het gemak van implementatie, kan dit ook mogelijk een effect hebben op de verhouding tussen geplande audits/werkzaamheden en ad hoc werkzaamheden.

Interesse in dit onderwerp of wilt u meer informatie over AI binnen Audit, Risk en Compliance? Neem contact op met Marc van Heese.

Optimaliseer Compliance: digitale uitdagingen en kansen voor financiële instellingen

Compliance bij identificatie en transacties

Als kersverse penningmeester van een bridgeclub met circa 50 leden, stuitte ik op een uitdaging bij het verkrijgen van digitale bankbevoegdheden. De huidige procedures blijken tijdrovend en complex, en het naleven ervan brengt de nodige hindernissen met zich mee.

Digitale bankzaken: een uitdaging voor kleine verenigingen

Omdat ik nog geen rekening heb bij een Nederlandse grootbank, moest ik me aanmelden met een traditioneel papieren formulier. Het ingevulde formulier, waarbij de zittende penningmeester heeft meegetekend, heb ik opgestuurd naar een antwoordnummer en vervolgens wachtte ik op een reactie. Met de verwerkingstijd word je geduld behoorlijk op de proef gesteld. Hoewel ik een ruime ervaring heb op het gebied van financiële mandatering en documentatie is het goed invullen van overdrachtsformulier van deze bank een heuse uitdaging gebleken. De onduidelijkheid rond wie moest tekenen en wat er precies werd verwacht, leidde tot afkeuringen en vertragingen.

Inmiddels is na de 2^e afkeuring besloten het volledige formulier van vier pagina’s opnieuw in te vullen en te laten ondertekenen door de vertrekkende penningmeester, de nieuwe penningmeester en de nog zittende bestuursleden. Twee maanden later en na meerdere stappen wacht ik nog steeds op groen licht. Na akkoord moet me dan nog bij een bankvestiging melden met een identiteitsbewijs en dan hoop ik eindelijk namens de bridgeclub bankzaken te kunnen regelen. Dan moet natuurlijk nog wel het installeren van de bank app en toegangscodes e.d. goed gaan.

De worsteling van financiële instellingen

Mijn ervaring maakt duidelijk dat bedrijven – en zeker financiële instellingen – worstelen met de operationele invulling van de aangescherpte wet- en regelgeving rondom identificatie. Compliance met betrekking tot banktransacties lijkt eveneens doorgeschoten, met jaarlijks twee miljoen “ongebruikelijke transacties” die onderzocht moeten worden. Omringende landen onderzoeken alleen “verdachte transacties”, wat veel minder werk is. Aan steeds toenemende wetgeving, zoals Wwft , Wft, GDPR, Sanctiewetgeving, moet worden voldaan. Dat deze wetgeving niet altijd op elkaar aansluit of zelfs haaks op elkaar staat maakt compliance complex. Deze uitdagende omgeving vraagt om duidelijk en eenduidig compliancebeleid. Om hier inhoud aan te geven is expertise en capaciteit nodig, Gezien de vraag in de markt is dit niet altijd voorhanden en staat er veel druk op de compliance functie.

Explosieve groei van compliance afdelingen

Natuurlijk is het goed dat er regels zijn om criminaliteit en fraude te beperken. Om aan alle regelgeving te voldoen en weg te blijven bij forse boetes is de omvang van compliance-afdelingen bij banken én het personeelsbestand van toezichthouders echter explosief gestegen. Duizenden mensen zijn nu betrokken bij compliance, wat aanzienlijke kosten met zich meebrengt die bedrijven en burgers uiteindelijk betalen. Compliance wordt momenteel nog veel verricht met behulp van verschillende systemen en is hierdoor tijdrovend. Het ontwikkelen en uitrollen van effectievere tooling waarbij klantdata is gecentraliseerd zal de werkdruk verlichten. Nieuwe technologieën als AI kunnen hierbij een rol spelen.

Een heroverweging van de proportionaliteit en effectiviteit van richtlijnen en toezicht, samen met een gedegen digitalisering van compliance, kan aanzienlijke besparingen opleveren. Het zal echter waarschijnlijk nog even duren voor deze verbeterslag gerealiseerd is.

Ondersteuning op het brede compliance gebied

Compliance beslaat meerdere gebieden, waaronder duurzaamheid, en vereist aanzienlijke capaciteit en expertise. Heeft u als financiële instelling of bedrijf op ad hoc basis of structureel moeite om de compliancewerkzaamheden tijdig en goed uit te voeren? Dan ondersteunen de specialisten van ARC People u graag om dit effectief en efficiënt op orde te krijgen.

Hans Sieraad
Associate, ARC People

Bekijk onze compliance services

Weerstand? Interessant!

Als audit-, risk- en compliance professionals bewegen we ons door de gehele organisatie. Daarbij hebben we te maken met uiteenlopende risico’s en een diverse groep collega’s die daarvoor verantwoordelijkheid dragen. We signaleren verbeterpotentieel en adviseren zowel gevraagd als ongevraagd. Niet vreemd dat we daarbij ook af en toe weerstand ervaren. Daarover valt veel te schrijven. In dit blog deel ik enkele praktijksituaties en waardevolle inzichten met je.

Weerstand voorspellen? Een slimme zet

Uiteraard probeer je als professional van tevoren in te schatten of je weerstand kunt gaan verwachten. Volgens theorieën op het gebied van onderzoeksmethodologie dien je zelfs voorafgaand aan jouw onderzoek of project een krachtenveldanalyse te maken. Daarin stel je jezelf onder andere de vragen “Wat vormt een bedreiging voor mijn project?” en “Wat kan mijn werk stimuleren?”. Vervolgens kun je van tevoren nadenken over de te nemen maatregelen waarmee je een eventuele bedreiging kunt mitigeren óf een stimulerende situatie verder kunt uitbuiten. Stel je bijvoorbeeld voor dat twee managers voortdurend elkaar de schuld geven; een groepsinterview kan dan helpen voorkomen dat je in het midden van een machtsstrijd belandt. Of als er iemand op C-level erg positief is over jouw project, laat die persoon dan het belang ervan benadrukken binnen de organisatie.

Jouw eigen mindset is enorm van belang

Let wel: niet alle weerstand is van tevoren te voorspellen. De kunst is om dat vooral níet erg te vinden. Je eigen mindset speelt hierbij een cruciale rol. Het herinnert me aan de tijd dat ik startte met doceren voor groepen. Ik bereidde me tot laat in de avond voor en probeerde elke mogelijke vraag van studenten vooraf te bedenken, inclusief de ideale antwoorden. Uiteraard volgden er de volgende dag allerlei vragen die ik niet had voorzien. Ik stelde daarna voor mezelf een aantal zaken vast: (1) vragen uit de groep geven een leuke dynamiek, (2) wat zou het vreselijk saai zijn als er helemaal géén vragen zouden komen en (3) als docent hoef ik niet per se alle antwoorden te hebben (soms zit de kennis namelijk in de groep óf kun je er een huiswerkopdracht van maken, voor een volgende les).

Zo kun je ook kijken naar het fenomeen weerstand. Is er helemaal geen weerstand? Doet dit onderwerp de mensen dan niets? Ben ik dan eigenlijk wel met iets relevants bezig? En weerstand is zó interessant: dan wil je toch weten wat er écht speelt? Kom je daarover goed in gesprek, dan geeft dat een enorme verbinding met je gesprekspartner. Ik herinner me een situatie waarbij ik twee medewerkers aan tafel kreeg, die allebei direct een gesloten houding aannamen. Zo van “Wij gaan jou liever niets vertellen”. Mijn collega van Audit & Risk zag ik daar zichtbaar van schrikken, maar bij mij wekte het juist veel interesse. Ik was er nu toch….en wilde dus weten wat er speelde. Daarom stelde ik de beginvraag: “Keken jullie uit naar onze komst?” De twee dames in kwestie lachten schamper en zeiden “Nou, eigenlijk niet.” Een simpele vervolgvraag in de trant van “Oh, vertel?” bleek al voldoende om binnen twee minuten een zeer interessant gesprek te krijgen.

Niets doen is geen optie!

Natuurlijk realiseer ik me dat je de weerstand wel moet kunnen waarnemen. Daar begint het: neem je het niet waar, dan kun je er ook niets mee doen. Mijn praktijk is echter dat de meeste audit-, risk- en compliance-professionals de signalen van weerstand heus wel herkennen, maar te vaak gaan ze door met hun inhoudelijke werk of procedures, zonder de weerstand aan te pakken. Neem je weerstand waar? Probeer er dan ook iets mee te doen. Eigenlijk is niets doen geen optie.

Veelal komt weerstand uit dezelfde hoek

De Roos van Leary blijf ik een zeer interessante theorie vinden, die je helpt begrijpen hoe gedrag en reacties in interacties werken. Ken je die theorie nog niet, dan raad ik je aan om je erin te verdiepen. Het geeft je inzicht in je eigen gedrag en helpt verklaren waarom anderen op een bepaalde manier reageren. Het stelt je ook in staat om beter in te schatten hoe mensen aan tafel zitten en welke interventies effectief kunnen zijn om hen richting jouw doel te bewegen. Mijn ervaring is dat wanneer je leert te spelen met het gedrag en de interventies uit de Roos van Leary, dat het bijna eng is hoe eenvoudig je anderen kunt meekrijgen.

Voor wie de Roos van Leary al wel kent: ik heb ervaren dat de meeste weerstand van managers komt vanuit dezelfde hoek van de Roos van Leary, namelijk de hoek van het Boven- en Tegengedrag. Het is verleidelijk om in reactie daarop ook Tegengedrag te vertonen, door bijvoorbeeld een zin uit te spreken die begint met het woord ‘maar’. Deze machtsstrijd dient echter te worden voorkomen. Een bewuste, tegengestelde interventie is hierbij het juiste antwoord. De route die meestal blijkt te werken, is als volgt: (1) beginnen met begrip tonen voor datgene wat de manager zei, (2) richting ‘samen’ bewegen door woorden als ‘we’ of ‘samen’ te gebruiken en te benadrukken dat hij een belangrijke speler is voor jou, waarna (3) je het initiatief neemt, door bijvoorbeeld te zeggen “Ik stel voor dat…”. Zo manoeuvreer jij je in de situatie dat je initiatief kunt blijven nemen, terwijl de ander volgt vanuit de gedachte van ‘samen’.

Een inzicht na jaren

Krijg je weerstand op een memo of rapport dat je schreef, waarin je een tekortkoming of verbeterpotentieel benadrukte? Na jarenlang pittige discussies te hebben gevoerd met allerlei managers, realiseerde ik me dat een kleine aanpassing in de manier waarop ik de bevindingen beschreef, alle weerstand vrijwel onmiddellijk wegnam. Een enkele collega merkte op dat hij vond dat ik een te flexibele ruggengraat had; naar zijn zin bewoog ik te veel mee met de business. Maar: ik paste nooit de inhoudelijke bevinding aan. Die bleef overeind. Wat paste ik dan wel aan? In plaats van alleen de conclusies te delen, begon ik ook meer context te bieden. Hoe heeft het zover kunnen komen? Waren er andere factoren van invloed daarop? Hoe lang bestond de situatie al? Door die contextuele informatie verbeterde de acceptatie aan de andere kant van de lijn aanzienlijk.

Omarm weerstand als een kans

Het klinkt misschien gek, maar ik wens je veel weerstand toe, de komende tijd. Het houdt je scherp, je zult er zelf veel van leren en veel door leren van anderen. Wil je van gedachten wisselen over weerstand die jou wordt geboden? Aarzel dan niet om contact met me op te nemen. Ik denk graag mee over uitdagende situaties en de oplossing daarvoor!

Sander van Oosten
Partner bij ARC People

Vernieuwende rol van Internal Audit in de DNB Richtlijnen voor Informatiebeveiliging

De DNB Good Practice Informatiebeveiliging

De Nederlandsche Bank (DNB) heeft een ‘Good Practice Informatiebeveiliging’ opgesteld als richtlijn voor financiële instellingen in Nederland. Deze good practice heeft tot doel de financiële instellingen te ondersteunen bij het effectief en efficiënt inrichten van hun informatiebeveiligingsbeleid en -praktijk. Internal Audit kan hierbij veel waarde toevoegen.

De DNB Good Practice Informatiebeveiliging fungeert als een richtlijn voor organisaties in hun streven naar een waterdichte informatiebeveiliging. Dus om ‘in control’ te geraken op het vlak van ICT. Deze praktijkrichtlijnen van De Nederlandsche Bank (DNB) bevatten inzichten en best practices voor het beschermen van informatie. Interne auditafdelingen kunnen deze richtlijnen integreren in hun werk. Het biedt een kader om informatiebeveiliging te beoordelen in lijn met externe normen.

De verschuiving van financiële audits naar bredere operationele (waaronder ICT) audits opent de deur naar het identificeren van nieuwe kansen en risico’s. Het is niet langer voldoende om alleen terug te kijken; auditors moeten vooruit kijken en opkomende bedreigingen aanpakken. Door het uitvoeren van Control Self Assessments krijgt de organisatie beter en eerder zicht op het functioneren van beheersmaatregelen en de ontwikkeling van risico’s. Cyberdreigingen zijn een perfect voorbeeld van een snelgroeiend risico dat vraagt om veel aandacht. Door verder te gaan dan de norm, kunnen internal auditors waarde toevoegen door veerkracht te kweken in een steeds veranderend landschap.

Een ander aspect van deze evolutie is de grotere nadruk op de leveranciersketen. Veel organisaties vertrouwen op externe dienstverleners, wat nieuwe lagen van complexiteit en potentiële risico’s met zich meebrengt. Internal auditors moeten hun aandachtsgebied uitbreiden naar deze externe partners en beoordelen in hoeverre zij voldoen aan de vereiste normen voor informatiebeveiliging. Het opzetten van een systematisch assurance-proces voor deze leveranciers versterkt niet alleen de beveiliging, maar verhoogt ook het vertrouwen van belanghebbenden.

De rol van Internal Audit bij de DNB Good Practice Informatiebeveiliging

In een tijdperk waarin verandering de enige constante is, moeten internal auditors zich aanpassen om relevant te blijven. De combinatie van de evoluerende rol van audit en de leidraad van DNB Good Practice Informatiebeveiliging opent nieuwe deuren voor Internal Audit. Door buiten de gebaande paden te treden, opkomende risico’s aan te pakken en de leveranciersketen te versterken, kunnen auditors hun positie versterken als strategische partners in de organisatie.

De rol van internal audit (interne audit) bij de implementatie en naleving van deze good practice is daarmee van cruciaal belang. Enkele rollen van interne audit in deze context zijn bijvoorbeeld:

Toetsing van beleid: Interne audit kan beoordelen of de informatiebeveiligingsbeleidslijnen en -procedures van een financiële instelling in lijn zijn met de aanbevelingen van de DNB good practice.
Control Self Assessments: Hoewel CSA’s vaak worden uitgevoerd door de business (1^e en ook 2^e lijn) zelf, speelt interne audit een vitale rol bij het opzetten, faciliteren en verrijken van dit proces. Hier gaan wij later in dit artikel verder op in.
Risicobeoordeling: Interne audit kan assisteren bij of een onafhankelijke beoordeling uitvoeren van de risicoanalyse die wordt uitgevoerd als onderdeel van het informatiebeveiligingsbeleid.
Awareness en training: Interne audit kan het management adviseren en bijstaan over de noodzaak van training en bewustwordingsprogramma’s rond informatiebeveiliging, zoals aanbevolen in de DNB good practice.
Incidentenanalyse: In het geval van beveiligingsincidenten kan interne audit een onafhankelijke analyse uitvoeren van het incident, de oorzaken identificeren en aanbevelingen doen voor verbeteringen om herhaling in de toekomst te voorkomen.
Advies en aanbevelingen: Op basis van hun bevindingen kunnen internal auditors aanbevelingen doen voor verbeteringen in de informatiebeveiliging van de organisatie.
Stakeholdercommunicatie: Interne audit kan fungeren als een communicatiekanaal tussen het management, de Raad van Bestuur en andere belanghebbenden, om hen te informeren over de status en effectiviteit van het informatiebeveiligingsbeleid van de organisatie.

De Rol van Internal Audit bij Control Self Assessments

Eenvoudig gezegd is CSA een methode waarbij medewerkers en teams binnen een organisatie hun eigen processen, risico’s en controles beoordelen. Het kan zowel formeel als informeel zijn, met structuren variërend van eenvoudige checklists tot uitgebreide workshops. De kracht van CSA ligt in het direct betrekken van de medewerkers die verantwoordelijk zijn voor de processen, omdat zij vaak het beste de risico’s en nodige controles begrijpen.

Hoewel CSA’s vaak worden uitgevoerd door de operationele (ICT) teams zelf en gefaciliteerd worden door bv de CISO, kan Interne Audit een belangrijke rol spelen bij het opzetten, faciliteren en verrijken van dit proces. Enkele manieren waarop internal audit waarde kan toevoegen:

Faciliteren en ondersteunen: Internal auditors kunnen dienen als onpartijdige facilitators tijdens CSA-sessies, waardoor wordt geborgd dat de evaluatie volledig en eerlijk is. Door hun ervaring met verschillende bedrijfsprocessen kunnen ze ook best practices en inzichten delen.
Training en voorbereiding: Internal auditors kunnen teams trainen in het gebruik van CSA-tools en -technieken, en hen voorzien van de nodige middelen om effectieve beoordelingen uit te voeren.
Validatie van resultaten: Hoewel CSA zelfevaluatie betreft, is het essentieel dat de resultaten gevalideerd worden om zeker te zijn van hun nauwkeurigheid en volledigheid. Interne auditors kunnen een onafhankelijke beoordeling geven van de CSA-resultaten, en deze koppelen aan hun eigen audit bevindingen.
Integratie met risicobeheer: De resultaten van CSA’s kunnen worden geïntegreerd in het bredere risicobeheerproces van de organisatie. Internal audit kan helpen bij het prioriteren van risico’s en het beoordelen van verbeterplannen op basis van de resultaten van de CSA.
Continu verbeteren: Door het observeren van verschillende CSA-sessies en het vergelijken van resultaten, kunnen internal auditors trends en patronen identificeren die kunnen leiden tot verbeteringen in het CSA-proces zelf of in de onderliggende processen die worden beoordeeld.

De rol van Internal Audit bij het beoordelen van assuranceverklaringen in de outsourcingsketen

Het is belangrijk om van leveranciers van in de outsourcingsketen te eisen om een assuranceverklaring te overleggen om inzicht te krijgen in de behersing van risico’s en compliance aan te tonen. In veel sectoren is er een strikte regelgeving hieromtrent, zo vereist DNB dit dan ook, en assuranceverklaringen kunnen aantonen dat leveranciers zich aan deze en andere regels houden. Daarnaast zijn deze verklaringen vaak onderdeel van contractuele afspraken en zorgen ze voor meer transparantie in de samenwerking. In het huidige digitale tijdperk kunnen ze ook bevestigen dat de beveiligingspraktijken van de leverancier op orde zijn. Het hebben van dergelijke verklaringen kan het vertrouwen van stakeholders versterken en helpt organisaties bij het identificeren van verbeterpunten.

Een van de gebieden waar Internal Audit een aanzienlijke waarde kan toevoegen, is het beoordelen van assurance verklaringen in de leveranciersketen. Hier volgen enkele manieren waarop IA dit kan doen:

Evaluatie: Internal Audit kan een evaluatie uitvoeren van de assurance verklaringen die door leveranciers worden verstrekt, om de adequaatheid, nauwkeurigheid en relevantie ervan te beoordelen.
Expertise bij beoordeling: Internal auditors hebben expertise in risicobeheer en assurance. Ze kunnen deze expertise toepassen bij het beoordelen van de betrouwbaarheid en dekking van assurance verklaringen, met name als het gaat om technische of gespecialiseerde gebieden.
Bewaken van consistentie: Internal Audit kan toezien op de consistentie tussen de assurance verklaringen van leveranciers en de interne beleidslijnen, normen en vereisten van de organisatie.
Identificatie van risico’s: Door de assurance verklaringen van leveranciers kritisch te beoordelen, kan Internal Audit potentiële risico’s of zwakke plekken identificeren die anders over het hoofd zouden kunnen worden gezien.
Validatie van derden: Internal Audit kan een rol spelen bij het valideren van derden (zoals externe auditors) die de assurance verklaringen hebben afgegeven, om te zorgen voor hun onafhankelijkheid, competentie en betrouwbaarheid.
Assurance mapping: Internal Audit kan assurance verklaringen van leveranciers integreren in de algemene auditplanning, zodat er een holistisch overzicht ontstaat van de risico’s en maatregelen binnen de gehele leveranciersketen.
Brug tussen leveranciers en management: Internal Audit kan fungeren als een brug tussen leveranciers en het hoger management, door te waarborgen dat belangrijke informatie uit assurance verklaringen op de juiste manier wordt gecommuniceerd en geïnterpreteerd.
Voortdurende monitoring: De dynamische aard van de leveranciersketen betekent dat risico’s en omstandigheden kunnen veranderen. Internal Audit kan een voortdurend monitoringsproces instellen voor assurance verklaringen, zodat er tijdig kan worden gereageerd op veranderingen.

Conclusie

Concluderend benadrukt de ‘Good Practice Informatiebeveiliging’ van De Nederlandsche Bank (DNB) het belang van informatiebeveiliging voor financiële instellingen in Nederland. Internal Audit speelt hierin een cruciale rol, met name bij het waarborgen van de naleving van deze richtlijnen, het faciliteren van Control Self Assessments en het beoordelen van assuranceverklaringen in de outsourcing keten. De samenwerking tussen CSA’s en interne audits zorgt voor een robuustere aanpak van risicobeheer. Bovendien speelt Internal Audit een significante rol bij het evalueren van assurance verklaringen van externe leveranciers, waarbij ze bijdragen aan een holistisch overzicht van risico’s en maatregelen binnen de gehele leveranciersketen. Het is dus duidelijk dat de vernieuwende rol van Internal Audit onmisbaar is bij het versterken van informatiebeveiliging in lijn met de DNB-richtlijnen.

Meer weten of een keer vrijblijvend sparren? Lees verder of neem contact op met Carlo Bavius.

Ontdek de laatste inzichten

Benieuwd naar de laatste inzichten? Lees onze recente blog of download gratis ons volledige whitepaper. Hierin gaan we dieper in op de IB Monitor en vullen aan waar nodig met recentere publicaties. We bespreken ook de nieuwe vooruitzichten en de impact van recente regelgeving zoals DORA en NIS2 op de Nederlandse financiële sector.

Ga naar blog Download whitepaper

Ethisch dilemma voor internal auditors: mogen we overal werken?

Duistere praktijken en morele vragen

De zomervakantie betekent voor mij altijd weer tijd om te lezen; over het algemeen non-fictie en vaak ook business gerelateerd. Zo heb ik deze zomer het boek over het consultancybedrijf McKinsey gelezen: De macht van McKinsey van Walt Bogdanich en Michael Forsythe. Een onthutsend boek over het reilen en zeilen van McKinsey. Het is schrikbarend te lezen hoe zij opereren: werken voor dubieuze regimes, boosten van verkopen van omstreden producten, maar ook hoe zij omgaan met belangenconflicten – of misschien zelfs wel opzoeken. In het boek kwam aan het licht hoe McKinsey heeft geholpen bij het vermarkten van verslavingsgevoelige producten als sigaretten, maar ook de pijnstiller OxiContyn van Purdue, dat heeft gezorgd voor een half miljoen doden in 20 jaar door overdoses [1]. Het bedrijf is inmiddels voor haar handelswijze veroordeeld tot een miljardenvergoeding.

Persoonlijk zou ik nooit voor een bedrijf als Purdue kunnen werken, maar bij mij kwam ook de vraag op of je wel als internal auditor bij een dergelijk bedrijf mág werken, rekening houdend met de voor de beroepsgroep geldende gedragscode van het IIA. Ik heb deze gedragscode er daarom maar eens op nageslagen.

Integriteit onder de microscoop

Feitelijk worden in deze gedragscode alleen de vier beginselen, integriteit, objectiviteit, geheimhouding en competentie, uitgewerkt in een aantal gedragsregels. Naar mijn beleving is de code vooral gericht op gedragingen die vertrouwen moeten wekken voor de klanten en auditees van internal audit. Het belangrijkste beginsel dat van toepassing is op voornoemde situatie is integriteit. Hoewel de huidige gedragscode dit begrip niet expliciet definieert, biedt de nieuwe (concept) gedragscode meer duidelijkheid en wordt integriteit omschreven als “Behaving in a manner that can withstand scrutiny by peers and others. It involves fair dealing, truthfulness, and having the courage to act appropriately, even when facing pressure to do otherwise or when doing so might create potential adverse personal or organizational consequences.” [2]

De huidige gedragsregels bieden iets meer houvast (dan de beginselen) en dan met name 1.3: “Zijn niet bewust partij in enige onwettelijke activiteit en nemen niet deel aan handelingen die het beroep van internal auditor of de organisatie in diskrediet kunnen brengen.”

De grenzen van betrokkenheid

Je kan je afvragen of het werken voor een bedrijf die de wet overtreedt, betekent dat je bewust partij bent. Wat is de definitie van partij zijn? Mij lijkt in dienst zijn wel ‘partij zijn van’; maar hoe ver rijkt dat dan? Heineken die niet tijdig meewerkt aan het recyclen van blikjes? Moet je dan als internal auditor ook uit dienst, in mijn definitie van ‘partij zijn van’? Het lijkt mij redelijk om te kijken naar de gradatie van overtreding en of deze al dan niet bewust is. In geval van het voorbeeld van Heineken zou ik het te ver vinden gaan om uit dienst te treden bij een dergelijke overtreding. In geval van Purdue bestaat er bij mij geen twijfel: bij een bedrijf met zo’n schadelijke impact en overtreding van de wet is er geen andere optie dan het indienen van je ontslag als internal auditor.

Wellicht kun je het in dienst blijven bij ‘foute’ bedrijven nog goed praten c.q. gedogen met het argument dat sommige (institutionele) beleggers hanteren als zij blijven beleggen in bijvoorbeeld olie-reuzen: als je geen aandeelhouder bent, dan kun je ook geen invloed uitoefenen op het beleid. Dat argument gaat wat mij betreft niet op bij de uitoefening van een internal auditfunctie: als auditor bepaal je niet het beleid; je toetst hooguit of het efficiënt en effectief wordt uitgevoerd. Uiteraard controleer je ook of de bedrijfsvoering compliant is, maar als een organisatie willens en wetens strafbaar handelt, ook na hierop gewezen te zijn, lijkt mij een uitdiensttreding de enige optie. Je kan als internal auditor de organisatie niet eigenhandig bijsturen.

Toenemende uitdaging voor internal auditors

Ik besef dat het is lastig om vaste richtlijnen te ontwikkelen die van toepassing zijn voor elke situatie van niet wettelijk handelen door organisaties. Het blijft subjectief, denk ik. Dus ook hier komt professional judgement om de hoek kijken. Maar met de komende wetgeving over ESG, zoals de CSRD, verwacht ik dat er steeds vaker lastige situaties zullen ontstaan.

Ik ben benieuwd hoe mijn vakgenoten tegenaan kijken. Het is wat mij betreft wel een discussie waard.

Marc van Heese,
Partner bij ARC People

[1] US Supreme Court halts Purdue Pharma bankruptcy settlement pending review | Reuters

[2] Disposition of Glossary: 2017 International Standards for the Professional Practice of Internal Auditing to 2023 Proposed Global Internal Audit Standards.

De commissaris zonder internal audit; ra(a)deloos?

Toezicht houden op de interne beheersings- en controlesystemen is een kerntaak van een RvC. Een afdeling die goed inzage kan geven in de interne beheersing is een internal audit afdeling. Bij veel instellingen ontbreekt een internal audit afdeling. Hoe krijgt een RvC bij dit soort instellingen dan inzicht in de mate van interne beheersing?

Rol Raad van Commissarissen

Een Raad van Commissarissen (RvC) heeft vier taken, te weten (Schuit en Jaspers, 2017):

Het houden van toezicht;
Het geven van advies;
Het goedkeuren van besluiten;
Het uitoefenen van de functie van werkgever

In dit artikel wordt gefocust op het toezicht houden. Toezicht houden is het toetsen of de handelingen van het bestuur voldoen aan de daaraan gestelde eisen, en zo nodig ingrijpen om de handelingen te corrigeren (Strikwerda en ten Wolde, 2017). Toezicht houden op de opzet en werking van de interne beheersings- en controlesystemen is daarbij een kerntaak (Kersten, 2016). Ook in de Corporate Governance Code is vastgelegd dat het bestuur verantwoordelijk is voor de strategie met bijbehorend risicoprofiel en het beheersen van de risico’s.

Oorzaak falend toezicht

Falend toezicht vindt veelal zijn oorsprong in falend risicomanagement (Reumkens, 2021). Reumkens benoemt 13 gevarenzones waar het mis kan gaan bij het toezicht houden. Ongeveer de helft heeft betrekking op de risicobeheersing:

Te risicovol beleid;
Beslissingen zonder onderzoek naar mogelijke risico’s;
Systemen van risicobeheersing en interne controle zijn ontoereikend;
Het gewraakte risico wordt niet geconstateerd of onvoldoende materieel geacht;
Ontbreken van criteria en richtlijnen voor beheersing van geconstateerde risico’s;
Geen periodieke beoordeling van feitelijke exposure.

Kortom, om goed invulling te geven in de toezichthoudende taak is focus op interne beheersing van groot belang.

Toenemende risico’s voor een commissaris

De Wet bestuur en toezicht rechtspersonen, die 1 juli 2021 van kracht is geworden, geeft een wettelijk taakomschrijving en verscherping van de persoonlijke aansprakelijkheid van toezichthouders bij stichtingen en verenigingen. Dit zijn organisaties waar over het algemeen geen tweede en derde lijnsfuncties aanwezig zijn.

Bij het Meavita-debacle is de RvC ook aansprakelijk gesteld voor de inadequate risicobeheersing en het ontbreken van goede stuurinformatie op concernniveau (Ondernemingskamer, 2015). Toezicht houden op risicomanagement is daarmee niet meer vrijblijvend. Klaassen stelt dan ook terecht dat de taakopvatting van een raad van toezicht in een zorgstichting niet wezenlijk verschilt met die van de RvC van een (beursgenoteerde) vennootschap (Klaassen, 2016).

Relevantie internal audit

Een afdeling die bij uitstek inzage geeft in de interne beheersing is internal audit. Internal audit geeft onafhankelijke en objectieve assurance en adviezen over de toereikendheid en effectiviteit van governance en risicomanagement. Bij financiële instellingen is deze afdeling verplicht. Internal audit rapporteert aan het bestuur maar ook aan de RvC , vaak via een auditcommittee. Hiermee krijgt de RvC zicht op de mate van interne beheersing. Strikwerda en ten Wolde (2017) noemen internal audit als een nuttige – zo niet noodzakelijke – functie voor de RvC bij het toezicht houden.

Producten internal audit

Internal audit levert specifieke producten die een beeld geven over de interne beheersing van een organisatie. Voordat een auditrapport wordt opgeleverd, is hier een scala aan voorbereidende producten aan vooraf gegaan die een RvC inzage geeft in de interne beheersing zoals het bepalen van de audit universe en de risico-analyse daarop.

Een internal audit rapport geeft een oordeel over de mate van interne beheersing over een specifiek onderwerp. Verder neemt het hoofd van de internal auditafdeling over het algemeen ook deel aan de auditcommittee vergaderingen waar zijn mening kan worden gevraagd. Tot slot is er een jaarlijks gesprek met de voorzitter van het auditcommittee.

Positionering internal audit

Naast deze producten, is ook de positionering en werkwijze van de internal audit afdeling relevant. Kernbegrippen van internal audit zijn objectief en onafhankelijk en systematisch onderzoek.

Chuah en Bendermacher onderschrijven het belang van de objectiviteit en onafhankelijkheid van een internal audit functie voor de RvC. Zij stellen dat “de IAF kan als geen ander een wezenlijke rol spelen, door objectieve en ongefilterde informatie te verstrekken aan de auditcommissie, zodat zij in staat wordt gesteld om haar toezichtstaken op adequate wijze uit te voeren” (Chuah en Bendermacher, 2017).

Bovenstaande genoemde producten en positionering en werkwijze bieden de RvC goede inzichten in de interne beheersing en vormen daarmee een belangrijk onderdeel voor het kunnen houden van goed toezicht.

Erkenning rol internal audit

Onderzoek toont inderdaad aan dat internal audit een comfort provider is voor het audit committee (Sarens, De Beelde en Everaert, 2009). Wallage en van Leeuwen hebben aan de hand van eerder uitgevoerde (internationale) onderzoeken uiteengezet dat een internal audit afdeling en grote bijdrage kan leveren aan de interne risicobeheersing (Wallage en van Leeuwen, 2017). Ook Driessen en Wakkerman onderkennen het nut van een internal auditfunctie voor de RvC: “Commissarissen hebben steeds meer behoefte aan onafhankelijke en zichtbare toetsing van de interne beheersing van de organisatie waarop zij toezicht houden. Zij hechten daarom aan een internal-auditfunctie.”

De Monitoring Commissie stelt sinds 2016 dat een organisatie een internal audit afdeling zou behoren te hebben. In principe 1.3 van de Corporate Governance Code stelt de Monitoring Commissie o.a. dat de RvC jaarlijks dient vast te stellen dat, indien voor de interne audit functie geen interne audit dienst is ingericht, er adequate alternatieve maatregelen zijn getroffen en beziet of er behoefte bestaat om een interne audit dienst in te richten. De Code richt zich weliswaar op beursgenoteerde ondernemingen, maar is steeds vaker een leidraad voor niet-beursgenoteerde ondernemingen en ook andere codes, onder andere voor de cultuursector.

Risico’s bij niet-financiële en niet -beursgenoteerde instellingen zijn niet per se minder of kleiner maar hoe krijgen zij dan inzicht in de mate van interne beheersing, wanneer een internal auditfunctie ontbreekt?

De externe auditor als alternatief

Het nut van een internal auditfunctie voor een RvC is duidelijk. Maar welke compenserende maatregelen heeft een RvC voor handen als er geen internal auditfunctie aanwezig is?

Binnen een organisatie is veel informatie voorhanden waarmee een beeld kan worden verkregen over de beheersing (Paape, 2021). Denk hierbij aan:

Managementletter externe accountant;
Medewerkerstevredenheid-onderzoeken;
Vaststelling of er (veel) rechtszaken zijn;
Klanttevredenheid;
AVG meldingen.

Bovengenoemde zaken geven een beeld van de interne beheersing. Echter, het is geen gestructureerd samenvattend beeld hiervan. Genoemde zaken zijn vaak input voor een risicoanalyse van internal audit of worden gebruikt bij een internal audit zelf in de vooronderzoeksfase waar een beeld wordt gekregen van waar de focus in de audit moet komen te liggen. Dit is een duidelijk voorbeeld van het voordeel van het hebben van een internal auditfunctie.

Literatuuronderzoek

Over hoe een RvC de mate van interne beheersing kan vaststellen, is niet heel veel geschreven in de literatuur. Van Leeuwen en Wallage stellen dat de RvC het management moet vragen om een verklaring dat zij zowel de opzet als de werking van de interne beheersingsomgeving getoetst heeft (van Leeuwen en Wallage, 2011). De RvC zal deze verklaring met het management bespreken. Een dergelijke zelfcontrole biedt onvoldoende waarborgen en daarom zal de RvC ook kennis moeten nemen van de werkzaamheden die ten grondslag hebben gelegen aan de verklaring. Daarbij tekenen Van Leeuwen en Wallage ook aan: “Uiteraard neemt de RvC ook kennis van constateringen van in- en externe accountants op het vlak van de interne beheersomgeving.” Toch een verwijzing naar een internal auditfunctie.

Ook Stolp en de Nijs Bik stellen dat wanneer de RvC niet kan vertrouwen op de door het bestuur verstrekte informatie, zij kritische vragen moet stellen en aanvullende informatie moet vragen en zich laten informeren door de externe accountant (Stolp en de Nijs Bik, 2015).

Opvallend is dat vaak naar de externe accountant wordt verwezen. Uit recent onderzoek blijkt namelijk dat de RvC een voorkeur heeft voor een uitspraak van internal auditor boven die van externe accountant. Behalve voor uitspraken over de betrouwbaarheid van de financiële rapportages en sommige financiële risico’s (Commissarissen benchmarkonderzoek risicomanagement 2019-2020, Grant Thornton). Uit jaarverslagen blijkt veelal dat de externe accountant wordt gezien als vervangende maatregel voor het niet hebben van een internal auditfunctie (Chuah en Bendermacher, 2017).

Samenvattend kan worden gesteld dat in de literatuur de externe accountant vaak wordt gezien als dé compenserende maatregel voor het ontbreken van een internal auditfunctie. Een beperkte maatregel omdat de externe accountant zich richt op de jaarrekening en ook vooral terugkijkt, en niet zoals de internal auditor, insight en foresight biedt (van Heese, 2021).

Onderzoek bij de commissaris

De literatuur geeft beperkt suggesties hoe een commissaris het gebrek aan een internal audit afdeling kan compenseren. Daarom is een klein aantal interviews gehouden met commissarissen die zowel ervaring hebben met een RvC bij een organisatie zonder een internal audit afdeling, als ervaring met een RvC bij een organisatie met een internal audit afdeling (dan wel ruim ervaring hebben met internal audit afdeling). Het aantal actieve commissariaten varieert tussen de 2 en 4 en het aantal jaar ervaring als commissaris tussen de 5 en 20 jaar.

De geïnterviewde commissarissen onderschrijven dat de risico’s voor de organisaties zonder een internal audit afdeling niet kleiner zijn vergeleken met de organisaties mét een dergelijke afdeling. “Helemaal niet. Alle organisaties zijn druk met ICT- en wetgevingsrisico’s.”

Maatregelen commissaris

Uit de interviews blijkt dat, om meer zicht te houden op de interne beheersing van een organisatie waar geen three lines is, de commissaris de volgende maatregelen neemt:

Managementletter externe accountant;
Medewerkerstevredenheid-onderzoeken;
Vaststelling of er (veel) rechtszaken zijn;
Klanttevredenheid;
AVG meldingen.

“Je doet meer als er geen three lines of defense is. Je hebt meer vergaderingen over specifieke onderwerpen waar je je meer in moet verdiepen.”

Geïnterviewden onderschrijven dat de rol van de accountant belangrijker is wanneer de internal auditor ontbreekt, zoals de literatuur stelt. Maar de commissaris is ook kritisch op de rol van de externe accountant en zijn toegevoegde waarde op het gebied van interne beheersing: “De accountantsverklaring is a: negatief geformuleerd en b: ze kijken naar de continuïteit en financiële risico’s. Al het andere nemen ze niet mee.”

Samenvattend

Onderzoeken tonen aan dat de internal auditor een belangrijke rol speelt bij het toezicht houden op de interne beheersing van een organisatie. De commissaris moet dus op zoek naar alternatieven bij het ontbreken van een internal audit afdeling, want de risico’s zijn niet per se kleiner bij organisaties zonder een internal audit afdeling.

De (beperkte) literatuur wijst met name naar de externe accountant als dé compenserende maatregel voor het ontbreken van een internal auditfunctie.

In de praktijk wordt de externe accountant als compenserende maatregel deels onderschreven maar is men ook kritisch c.q. realistisch over de mate waarop hier kan worden gesteund ten behoeve van een oordeel over de interne beheersing van een organisatie.

Belangrijke compenserende maatregelen zijn volgens hen:

Als commissaris meer zelf navragen c.q. onderzoek doen;
Ingrijpen in de interne beheersing van de organisatie om de interne beheersing te verbeteren;
Zorgen voor een evenwichtige samenstelling van de raad zodat alle kritische aandachtsgebieden worden afgedekt;
Inhuren van externe expertise.

Met bovengenoemde maatregelen, inclusief steunen op de externe accountant, wordt het ontbreken van een internal auditor gecompenseerd.

Meer internal audit?

Mogelijk zal ook in die organisaties de internal auditor alsnog zijn intreden doen.

Naar aanleiding van dit onderzoek zei één geïnterviewde: “Het is eigenlijk een terechte challenge die je bij me neer legt: wanneer zouden we een internal auditor moeten nemen? Het is nu allemaal wel heel erg ad hoc. Je moet het eigenlijk structureel borgen. Bij een goede interne beheersing, ga je excessen voorkomen.”

Een andere commissaris zei: “Misschien zijn wij als commissarissen nog onbekend met wat het (internal audit) ons allemaal zou kunnen opleveren. Dat zou voor mij hier nog wel eens de conclusie kunnen zijn. Het triggert mij wel.”

Kortom, er gloort (nog meer) hoop voor de internal auditor maar er is ook nog aardig wat werk aan de winkel om de bekendheid verder te vergroten.

Drs. Marc van Heese RO RE CIA is partner bij ARC People en vervult voor aan ARC People geoutsourcete auditfuncties de rol als Chief Audit Executive en is sparringspartner voor CAE’s. Dit artikel is een samenvatting van het paper dat Marc heeft geschreven als afronding van de Nyenrode Commissarissencyclus. Dit artikel is ook verschenen in het AuditMagazine van september 2022.

“Daarom ben ik overgestapt naar ARC People”

De afgelopen maanden heeft ARC People weer enkele ervaren professionals in IT Audit en Risk aan zich weten te verbinden. Waarom zijn zij overgestapt en hoe ervaren zij het tot nu toe? Anita van der Leeuw licht haar overstap toe.

Jij bent recent overgestapt naar ARC People. Kun je daar iets over vertellen?

“Ik ben vanaf het begin van mijn carrière opgeleid bij een Big4 (PwC). Ik heb daar heel veel competenties geleerd voor het auditvak en in 15 jaar tijd enorm veel organisaties gezien.”

Hoe ben je in contact gekomen met ARC?

“Toen ik bij ARC People een open inschrijving deed, omdat ik nog niet precies wist wat mijn volgende carrièrestap zou zijn, werd ik snel terug gebeld door Marlous, recruiter van ARC People, en wees zij mij op de vacature Senior Manager IT Audit & Risk binnen ARC People. Zodra ik de waarden van ARC zag, wist ik dat deze functie voor mij voorbestemd was.”

Hoe heb je het eerste contact met ARC People ervaren?

“Heel positief. Het enthousiaste telefonische contact is wat mij in eerste instantie enthousiasmeerde. De eerste afspraak werd snel geregeld. Toen ik in de sollicitatiegesprekken met de partners zag en voelde dat de gecommuniceerde waarden niet alleen maar opgesomd stonden op de site, maar dat deze waarden ook door de partners doorleefd werden, voelde ik mij direct thuis. ”

Wat heeft jou getriggerd om over te stappen?

“Zoals aangegeven heb ik de eerste jaren veel geleerd bij PWC maar nadat ik manager was geworden, merkte ik dat ik mij steeds meer moest aanpassen aan de Big4 governance. Hierdoor kon ik minder mijzelf zijn. Tijdens een intensief coaching traject met een externe coach merkte ik dat PwC en ik te ver uit elkaar waren gegroeid op het gebied van waarden: hoe doe je zaken. Er wordt teveel gekeken naar wat de klant vraagt, maar minder ‘wat heeft de klant nodig’. In de gesprekken met de partners (Marc en Sander) merkte ik vrij snel dat zij meer op de laatste lijn zitten: wat is er nodig om het probleem op te lossen en hoe kunnen we dat in gezamenlijkheid doen, co-creatie met de klant, zodat, als ARC People weg gaat, de klant het zelfstandig kan blijven doen.”

Wat hoop je te vinden binnen ARC People?

“Mijn grootste missie is om mijn klanten te helpen groeien en veranderen.  Bij PwC was mijn rol externe IT auditor. De nadruk ligt dan veel meer op het toetsen van organisaties aan de norm en het zorgen dat PwC als firm compliant is met wet- en regelgeving. In mijn huidige rol bij ARC help ik klanten vanuit mijn interne rol (als Senior Interne (IT) Auditor) gaps te identificeren en adviseer ik de organisatie hoe deze gaps het meest effectief en efficiënt opgelost kunnen worden. Dit leidt dan vervolgens tot groei en verandering in de organisatie. ”

Wat zijn er ervaringen tot nu toe?

“Ik ben na 5 maanden erg blij om te zeggen dat de eerder genoemde waarden in alles wat ARC People doet vooraan staan. Vooral het doorleven van de waarde van lange-termijn relaties is in mijn ogen uniek. ARC People gaat niet voor korte termijn winst, maar is er echt volledig op gefocust om lange-termijn relaties met klanten aan te gaan. Hier hoort ook openheid, eerlijkheid en duidelijkheid bij. Dit zijn ook exact mijn sterkste persoonlijke waarden.”

Waarom zou je anderen adviseren om eens in gesprek te gaan met ARC People?

“Bij ARC voel ik dat ik mijzelf kan zijn en ook wordt gewaardeerd om wie ik ben. Ik ben veel meer in charge van mijn eigen succes.”

Niets negatiefs?

“Negatief is een groot woord: bij mijn vorige werkgever had ik de mogelijkheid om elke dag een groot aantal mensen te coachen en te begeleiden. Bij ARC werk ik veel meer samen met andere professionals (die een zee aan ervaring hebben). Af en toe mis ik het coachen van jong talent. Het goede nieuws is dat ik binnenkort 2 nieuwe trainees ga coachen en mijn doel is om dat de komende tijd verder uit te breiden.”

ARC (vak)praat met… Anita van der Leeuw, Senior Manager IT Audit & Risk

Om de ontwikkelingen in ons vakgebied nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met (eind)verantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? Deze maand praten we met onze eigen collega Anita van der Leeuw, Senior Manager IT Audit & Risk, over de ontwikkelingen en uitdagingen in het vakgebied.

Kun je eerst wat meer vertellen over jouw ervaring binnen audit en risk tot op de dag van vandaag?

In 2007 ben ik bij PwC Accountants begonnen in het SOx (Sarbanes-Oxley) traineeship. Vanuit daar ben ik op een natuurlijke manier doorgestroomd naar het IT audit vakgebied. In de afgelopen 14 jaar heb ik heel breed kennis en ervaring opgedaan in dit vakgebied. Ik heb externe audits uitgevoerd waar ik teams aanstuurde variërend van 3 tot 10 minder ervaren medewerkers. Deze audits bestonden uit IT audits als onderdeel van de jaarrekening controle maar ook uit Third Party Assurance en overige verklaringen (SOC, ISAE3402, COS3000, AUP). Naast de externe audits heb ik een breed pallet aan overige opdrachten uitgevoerd, zoals interne audits, risico assessments, DigiD assessments en cyber security onderzoeken. Op het gebied van risicomanagement heb ik klanten geholpen met het mitigeren van IT risico’s en het opstellen van interne controle raamwerken. Mijn klanten varieerden in verschillende branches en grootte, waarbij de nadruk lag op grote multinationals.

Omdat ik bedrijven graag écht verder wil helpen – in plaats van hoofdzakelijk controleren – heb ik de overstap gemaakt naar ARC People. Ik sta nog steeds volledig achter deze overstap, want bij mijn huidige opdrachtgever heb ik nu al mooie resultaten neergezet om de interne beheersing volwassener te maken door middel van een audit. Van de gesprekken die ik voer binnen deze audit leren zowel de opdrachtgever als ik ontzettend veel. Mijn rol is nu meer gericht op het adviseren van organisaties waardoor we concrete verbeterstappen kunnen maken.

Wat vind jij de belangrijkste taak van een IT auditor en hoe geef je hier invulling aan?

Naar mijn mening is de belangrijkste taak van een IT auditor om met management mee te denken over IT (en bredere) risico’s zodat management passende maatregelen kan nemen. Een belangrijk onderdeel is dat de IT auditor hierbij ook goed op de hoogte is van de recente ontwikkelingen. In mijn advies neem ik deze daarom ook altijd mee. Dit kunnen bijvoorbeeld onderwerpen zijn zoals ransomware, cyber security en Internet Of Things. Door actuele ontwikkelingen en observaties te belichten houd ik het management scherp en kritisch. Soms ontwikkelen deze observaties zich zelfs tot een aparte audit.

Welke ontwikkelingen zie je op dit moment in het vakgebied van IT audit en hoe sta jij tegenover deze ontwikkelingen?

Het vakgebied van IT audit is continu in ontwikkeling. Op dit moment is de IT audit verklaring door beroepsvereniging NOREA een belangrijk topic, maar het is nog onduidelijk wanneer dit geïmplementeerd gaat worden. Verder speelt er veel op het gebied van cyber security, ransomeware en continuous monitoring, maar ook data-analyse, robotisering en AI zijn enorm actueel. Doordat ARC People actief is bij verschillende klanten in allerlei branches, kom ik veel in aanraking met deze ontwikkelingen. Als organisatie zijn wij gespecialiseerd in audit, risk en compliance en iedereen is dag-in-dag-uit bezig met het vakgebied. Mijn collega’s en ik werken nauw samen en delen onze kennis met elkaar, zodat iedereen up-to-date is van de laatste ontwikkelingen en innovaties.

Wat zijn op dit moment de grootste uitdagingen die spelen en hoe draag je bij aan deze uitdagingen?

Er is momenteel een groot tekort aan goede professionals. De vraag naar gespecialiseerde IT auditors, cyber security experts en specialisten op het gebied van data-analyse is ontzettend groot en goede professionals zijn schaars. Ik zie ook dat veel Big4 auditors het vakgebied verlaten en dat er onvoldoende nieuwe aanwas is. Gelukkig zijn er veel initiatieven om het vak aantrekkelijker te maken voor starters. Binnen het ARC Talent Program begeleid ik trainees door hen te coachen en enthousiast te maken voor het technische gedeelte van het vakgebied. Ik geef zelf trainingen, maar we organiseren ook veel inhoudelijke activiteiten zoals masterclasses en sessies met gastsprekers om de trainees actief te betrekken bij alles wat het vak te bieden heeft.

Wat zijn volgens jou de voordelen van het combineren van (IT) audit en risk management?

Naar mijn mening zouden audit en risk management altijd samen moeten gaan. IT audits kunnen beter en effectiever uitgevoerd worden door kennis van risk management toe te voegen, maar andersom is deze samenwerking er uiteraard ook. Door audits uit te voeren leer je de pijnpunten in de processen te herkennen waarmee je een organisatie vervolgens kan helpen om deze op te lossen en kansen te benutten. Via risicomanagement help je organisaties om de risico’s zoveel mogelijk te mitigeren door controlemaatregelen in te richten. Door deze vakgebieden te combineren kun je beter bijdragen aan het implementeren van interne beheersmaatregelen en aan een robuuste interne controle. Dit helpt op zijn beurt weer om gemakkelijker door externe audits te komen. Het gaat beide hand-in-hand.

Wat maken deze vakgebieden interessant en leuk voor jou?Ik haal veel energie uit de gesprekken die ik voer met klanten, leveranciers en opdracht teams. Door oprechte interesse te tonen ontstaan er waardevolle gesprekken en uitkomsten. Het vakgebied is uitdagend en volop in ontwikkeling. Het is belangrijk om continu op de hoogte blijven van ontwikkelingen in het vakgebied en veranderingen in de regelgeving. Al zolang ik me kan herinneren houd ik ervan om nieuwe kennis op te doen. Dit vakgebied stimuleert mij om mij continu te blijven ontwikkelen, zowel op professioneel vlak als op het gebied van mijn persoonlijke ontwikkeling.

ARC (vak)praat met… Bas Mol, Hoofd Compliance & Privacy

Om de ontwikkelingen in ons vakgebied nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? Deze maand praten we met Bas Mol, Hoofd Compliance & Privacy bij BPD Gebiedsontwikkeling.

Kun je wat vertellen over BPD; wat zijn de activiteiten van BPD, wie zijn de klanten van BPD, wat is de doelstelling van BPD en wat is jouw rol hierin?

‘BPD Gebiedsontwikkeling is een gebiedsontwikkelaar die als sinds 1946 leefomgevingen realiseert in Nederland en Duitsland. Sinds onze oprichting 75 jaar geleden in 1946 – toen nog onder de naam van Bouwspaarkas Drentsche Gemeenten – heeft BPD inmiddels de bouw van ruim 365.000 woningen mogelijk gemaakt. BPD zet zich in voor inclusieve leefomgevingen met aandacht voor de fysieke, ruimtelijke en sociale dimensie van wonen. Dat doet BPD vanuit de maatschappelijke overtuiging dat iedereen recht heeft op een fijn en betaalbaar thuis in een prettige leefomgeving. En dat blijven we doen, zodat fijn wonen ook voor de komende generaties mogelijk blijft.’

‘BPD richt zich op alle segmenten van de woningmarkt. De doelgroep van BPD is iedereen in Nederland met een woonbehoefte. Wij realiseren dus sociale huurwoningen, maar ook duurdere koopappartementen en alles wat daar tussenin zit. Onze belangrijkste partners zijn gemeenten, provincies en woningbouwcorporaties. Hiernaast hebben we samenwerkingspartners die wij inschakelen om onze projecten te realiseren, denk aan aannemers, architecten en makelaars. De uiteindelijke klanten van BPD zijn de bewoners van onze leefomgevingen.’

‘De afdeling Compliance & Privacy bestaat momenteel uit vier personen, waaraan ik leiding geef. De afdeling levert een bijdrage aan het streven naar een gezond integriteitsklimaat binnen BPD door onder andere compliance- en privacy beleid op te stellen, advies te geven, monitoring werkzaamheden uit te voeren en collega’s te faciliteren en activeren om zo integer mogelijk te handelen.’

BPD is een dochterbedrijf van Rabobank. Kun je vertellen of, en hoe, dit van invloed is op de afdeling Compliance & Privacy van BPD?

‘BPD is een zelfstandige dochter van Rabobank. De richtlijnen en eisen die gesteld worden aan compliance en integer handelen, zijn als onderdeel van een bank hoog – en daarmee wellicht hoger voor BPD dan voor andere spelers in ons werkveld. Aan de andere kant is dat ook juist iets dat we zelf graag willen.’

‘Uiteindelijk zijn wij als BPD zelf verantwoordelijk voor een beheerste en integere bedrijfsvoering en het managen van onze compliance risico’s. Voor de afdeling Compliance & Privacy is het dus niet persé een nadeel om onderdeel te zijn van een bank. Het past bij BPD dat we als bedrijf onze verantwoordelijkheid willen nemen om op een verantwoorde en betrouwbare wijze ons vak uit te oefenen. Als marktleider zijn we dat ook aan onze stand verplicht. In afstemming met Rabobank bepalen we welke regelgeving en richtlijnen op BPD van toepassing zijn en hoe we dit binnen onze organisatie het beste kunnen inrichten om de compliance risico’s zo klein mogelijk te houden.’

Welke voor- en/of nadelen biedt het om een dochteronderneming te zijn van Rabobank?

‘Zoals gezegd heeft het zeker voordelen dat BPD onderdeel is van een bank. Banken en financiële instellingen hebben de afgelopen jaren laten zien dat zij thema’s als compliance, integriteit en privacy – terecht – heel serieus nemen. De lat ligt daardoor hoog bij Rabobank en daarmee automatisch ook bij BPD, ook omdat we dit als organisatie zelf willen uiteraard.’

‘Nadelen zijn er natuurlijk ook wel. BPD is een gebiedsontwikkelaar en dat is een hele andere business dan banken en financiële instellingen. BPD heeft daardoor een heel ander risicoprofiel dan Rabobank en ook de omvang van het bedrijf – 350 medewerkers in Nederland en 350 medewerkers in Duitsland – is anders. Hierdoor zijn veel richtlijnen en eisen van de bank niet een-op-een te integreren binnen BPD – of dat vraagt om andere, meer risk based, oplossingen om de risico’s toch zoveel als mogelijk te beheersen.’

‘De druk bij banken (vanuit hun poortwachtersfunctie) met betrekking tot regelgeving neemt toe, met name als je het hebt over KYC (Know Your Customer) gerelateerde onderwerpen. Omdat wij een dochteronderneming zijn van Rabobank voelen wij die druk ook. BPD moet bijvoorbeeld ook voldoen aan de sanctiewetgeving terwijl de risico’s op dit gebied voor ons bedrijf veel kleiner zijn dan voor een bank. Dit soort zaken levert soms flinke discussies op met Rabobank, en omdat de druk op banken hierin in de toekomst verder zal toenemen zullen we die discussies moeten blijven voeren. Natuurlijk komen we daar altijd uit.’

Wat vind jij de belangrijkste taak van de afdeling Compliance & Privacy binnen BPD en hoe geef je hier invulling aan?

‘Compliant zijn met in- en externe wet- en regelgeving en integer handelen is een taak van alle medewerkers binnen BPD. Naast de meer traditionele compliance taken zoals het opstellen van beleid, monitoring, follow-up van incidenten, uitvoeren van risicoanalyses en het rapporteren aan de Managing Board van BPD en aandeelhouder Rabobank, speelt de afdeling Compliance & Privacy uiteraard ook een belangrijke rol als de hoeder én aanjager van integriteit. Belangrijk hierbij is dat er continue aandacht is en blijft voor cultuur en gedrag binnen de organisatie. Wij doen er alles aan om een open cultuur te creëren waarin collega’s vooraf aan de bel trekken en om advies durven te vragen in plaats van dat mensen bang zijn voor mogelijke consequenties, incidenten niet melden en we achteraf de boel moeten repareren.’

‘Om die open cultuur te bereiken, besteden wij als afdeling Compliance & Privacy heel veel aandacht aan de thema’s cultuur en gedrag, bijvoorbeeld door een tweejaarlijks terugkerende integriteitsmeting. Door middel van deze meting krijgen we als afdeling een goed beeld van de cultuur en het gedrag binnen de organisatie. De punten die uit deze meting naar voren komen bespreken we uitvoerig tijdens dilemmasessies. Ook met de directies van de verschillende regio’s worden deze punten besproken en wordt er bepaald welke acties daaraan verbonden worden. Er worden dus gerichte acties gekoppeld aan de uitkomsten van de integriteitsmeting.’

‘Naast de rol van cultuurdrager zie ik het ook als een belangrijke taak van de afdeling om te acteren als katalysator van verandering. Met een snel veranderend landschap van regelgeving, eisen van een aandeelhouder, COVID-situatie en verdere digitalisering en automatisering, kun je eigenlijk stellen dat verandering de enige constante is. Naar mijn mening zouden Compliance afdelingen vaker het voortouw moeten nemen om de veranderingen in organisaties – en daarmee dus ook de cultuur van de organisatie – (mede) vorm te geven. Die zouden vaker in staat moeten zijn om een verandering teweeg te brengen door te signaleren waar verbeteringen in de organisatie nodig zijn en door nog meer dan voorheen te dienen als countervailing power. Nu zijn Compliance afdelingen nog te vaak een eiland binnen een organisatie. Er zou meer verbinding moeten worden gezocht met de rest van de organisatie. Ze hoeven niet alleen restrictief te zijn vanuit de optiek van risicobeheersing, maar kunnen ook proactief zijn vanuit een visie wie je als organisatie wil zijn en waar je naartoe zou willen.’

Wat zijn op dit moment de grootste uitdagingen die spelen bij BPD en op welke manier kan de afdeling Compliance & Privacy bijdragen aan deze uitdagingen?

‘De afdeling Compliance & Privacy maakt binnen BPD een professionaliseringsslag door. We zien dat er door toenemende wet- en regelgeving, toenemende regeldruk van onze aandeelhouder, maar vooral ook door de eigen wens voor een professionele compliance organisatie die aantoonbaar in control is, dat er behoefte is voor een volgende stap. Dit sluit ook aan bij de groeiambitie van BPD. Als gevolg daarvan wordt de afdeling minder gezien als de ‘politieagent’, maar juist steeds meer als sparringpartner voor medewerkers van BPD en countervailing power voor de Managing Board. De afdeling vervult steeds meer een adviserende rol en wordt ook eerder door collega’s betrokken bij vraagstukken. Een goede ontwikkeling als je het mij vraagt, want daarmee ben je veel eerder en veel meer in charge om proactief eventuele compliance risico’s te voorkomen en/of te beperken.’

‘Verder hebben wij hier erg veel aandacht voor de soft controls van de organisatie. Uiteraard is dat een thema dat de laatste jaren prominenter aandacht heeft gekregen binnen het compliance domein, maar ik zie dat we hier bij BPD echt ook het verschil mee kunnen maken. Continue aandacht voor thema’s als aanspreekbaarheid, transparantie en voorbeeldgedrag maken dat deze determinanten voor cultuur ook echt gaan leven binnen de organisatie. Daarmee realiseren we niet alleen meer zichtbaarheid voor de afdeling, maar ook meer bewustwording voor het belang van een goede solide compliance organisatie.’

Hoe zorg je er als afdeling Compliance & Privacy voor dat alle regels, normen, beleid en procedures die je als afdeling implementeert gedragen worden binnen BPD door zowel het bestuur als de medewerkers?

‘Er is continue afstemming met de Managing Board over de invulling van ons compliance beleid. Zij zijn uiteindelijk de belangrijkste eigenaren van compliance en integriteit binnen BPD en het mandaat – en ook voorbeeldgedrag – van hen is dus belangrijk. Om alle beleid, regelgeving en procedures binnen ons bedrijf tussen de oren te krijgen, zorgen we voor onder andere verplichte e-learnings, aanvullende kennissessies, kwartaalmeetings, blogs en structurele communicatie voor medewerkers. Het is veelal de kracht van herhaling die telt.’

‘Daarnaast vind ik het erg belangrijk dat we als afdeling goed en helder kunnen uitleggen waarom het zo belangrijk is dat we compliant zijn als BPD. We werken in een sector waar de belangen en de bijbehorende risico’s groot zijn. Juist daarom is het belangrijk om duidelijk te kunnen uitleggen wat onze rol hierin is. Ook gaan we met medewerkers, via onder andere dilemmasessies, het gesprek aan over integriteit en wat er van hen wordt verwacht. Daarom is het ook goed dat medewerkers ons zien als afdeling die hen van advies kan voorzien om de juiste afweging te maken. In de praktijk zien we ook dat collega’s ons steeds makkelijker weten te vinden. Daar willen we de komende tijd verder op voortbouwen.’

Wat is jouw visie op Compliance; wat is de kern?

‘Compliance gaat om gedrag en niet om afvinklijstjes, dat is het eigenlijk meteen al in de kern. De definitie van compliance welke ook gebruikt wordt bij de postgraduate opleiding Compliance & Integriteit Management – De naleving bevorderen en handhaven van nationale en internationale regelgeving alsmede de intern opgelegde regels, normen en voorschriften ter bescherming van de integriteit van het bestuur, de medewerkers en de organisatie, met als doel de daaruit voortvloeiende risico’s voor de kerndoelstellingen van de organisatie te beperken – is natuurlijk prachtig, maar kan gewoon worden samengevat in dat ene belangrijke woord: gedrag!’

Welke ontwikkelingen zie je op dit moment in het vakgebied Compliance en hoe sta jij tegenover deze ontwikkelingen?

‘In lijn met bovenstaande over de kern van compliance zie ik gelukkig steeds meer voedingsbodem ontstaan voor die benadering. Dat komt onder andere ook door al het monnikenwerk dat Sylvie Bleker (hoogleraar Compliance & Integrity Management VU Amsterdam) bijvoorbeeld voor het vakgebied heeft gedaan. Zij stelt ook heel helder en terecht dat de opeenstapeling van regels voor compliance schijnveiligheid heeft gecreëerd. Veel organisaties focussen niet op de kerndoelstellingen van hun organisatie en het gedrag van hun medewerkers, maar zijn bezig met overleven in een woud aan regels. Het afvinken van procedures en het blindstaren op processen heeft prioriteit, maar de tijd ontbreekt om de naleving te monitoren. En zodra er een incident plaatsvindt, roepen toezichthouders of commissarissen vaak weer om nieuwe regels.’

‘Ik denk dat het vakgebied flink in beweging is en blijft, maar dat er wel een transitie gaande is naar een structureel andere manier van kijken en acteren. Dat vergt verandervermogen en lef, maar ik geloof er heilig in dat je alleen daarmee het verschil kan gaan maken. De ontwikkeling naar (nog) meer aandacht voor het aspect gedrag en het sturen en ondersteunen daarop is in ieder geval zeer interessant.

Wat maakt het vakgebied Compliance interessant voor jou?

‘Ik heb het hiervoor al min of meer genoemd. Juist de gedragsaspecten maken dit vakgebied zo ontzettend interessant. Het cliché luidt natuurlijk ook dat het vakgebied compliance iedere dag anders is – en dat is echt zo – maar vooral de enorme transitie die het vakgebied doormaakt, maakt het pas echt leuk. Er is nog zoveel te ontdekken en zoveel anders te doen. Als je ziet dat compliance van een ‘achterkamer’ en technische, restrictieve rol is geëvolueerd naar een meer strategische vooruitkijkende managementfunctie, de ogen en oren van het management en de katalysator van veranderingen binnen organisaties, in slechts een tijdspanne van 20 jaar. Dan kun je je voorstellen dat er nog vele interessante ontwikkelingen aankomen.’