Skip to main content

Blog Archives

Older posts
Newer posts

Innovatie van Internal Audit: 2 jaar verder. Waar staan we nu?

Inmiddels al ruim 2 jaar geleden schreef ik een blog over innovatie van Internal Audit, of liever het gebrek daaraan. Korte samenvatting: de wereld verandert in een heel hoog tempo. Buiten de geopolitieke ontwikkelingen zijn de veranderingen vooral ingegeven door technische ontwikkelingen, zoals quantum computing, flash channel techniek etc. Dat deze ontwikkelingen bepalend zijn voor bedrijfsmodellen en daarmee ook voor Internal Audit, is evident. Maar wat is nu het juiste antwoord van Internal Audit op al deze ontwikkelingen? Hoe kan het vakgebied hier in meegaan en relevant blijven? Wat doet onze beroepsgroep daaraan en welke rol speelt de beroepsvereniging IIA?

Nog meer vragen

In mijn zoektocht naar antwoorden vond ik destijds voor mijzelf vooral nog meer vragen. Is data-analyse nog vernieuwend, of is er straks een Artificial Intelligence tool waar je je data invoert, de tool vervolgens zelf externe databases betrekt (het weer, verkeer etc.) en met conclusies komt die we als auditor niet hadden kunnen bedenken? Waarom is er eigenlijk nog een separate RE- en RO-opleiding (weliswaar met een gedeeld eerste jaar)? De disruptieve bedrijven zoals TESLA, Google en Spotify hebben een Internal Audit functie, maar kijkend naar wat openstaande audit vacatures bij deze bedrijven, zie je vooral de term SOx: hebben we straks alleen nog maar bestaansrecht vanwege wetgeving? Gezien de urgentie (die er wat mij betreft was), pleitte ik destijds voor een ‘deltawerkenplan’ binnen het IIA, dat het vakgebied futureproof moest gaan houden. 

En waar staan we nu?

Allereerst de ontwikkelingen. 2 jaar verder kunnen we zeker stellen dat de wereld sterk is veranderd, de impact van Corona is een evidente. De technologische ontwikkelingen lijken (mede door Corona) een versnelling te ondergaan: online vergaderen, meer online bestellen en betalen. Bedrijven die eerst succesvol waren, hebben het moeilijk en challengers zoals Picknick groeien nu tegen de klippen op. Kijkend naar vragen van onze klanten, worden de IT-auditor en IT-riskmanager binnen 2 jaar meer gevraagd dan de ‘reguliere’ auditor en riskmanager; dit geldt zowel voor vaste functies als interim posities. Ook de toezichthouders hebben duidelijk hun focus verlegd naar IT.

Een platform voor innovatie

Dan de reactie op mijn oproep: deze was gelukkig niet aan dovemans oren gericht. Het IIA reageerde positief en heeft vervolgens een innovatie commissie in het leven geroepen, met een aantal enthousiaste vrijwilligers, waaronder ikzelf. De belangrijkste ontwikkelingen zijn in kaart gebracht, inclusief de gevolgen daarvan voor het audit vakgebied. Deze zijn gecategoriseerd naar de indeling van het IIA ambition model. Dit alles is samengevat in het innovatieplatform. Per onderwerp zijn er moderators en experts die zoveel mogelijk kennis over de onderwerpen verzamelen en beschikbaar stellen (PS voor enkele onderwerpen zoekt het IIA nog experts). Ook is er ruimte voor discussie. Onderwerpen die aan bod komen zijn bijvoorbeeld RPA, agile auditing, talent shortage, artificial intelligence & robotics en zo verder.  Dit alles om de auditprofessionals zoveel mogelijk te ondersteunen in het innoveren van hun afdeling.

Goed nieuws voor de innovatie van Internal Audit

Betekent dit dat het vakgebied er nu is en mee kan gaan in de vaart der volkeren? Wat mij betreft nog niet. Er zijn nog veel audit afdelingen in Nederland die weinig voortgang boeken op de in het innovatieplatform genoemde onderwerpen. Niet alle ontwikkelingen zijn uiteraard (even) relevant voor elke internal audit afdeling, maar het begrijpen, toetsen en zelf toepassen van de relevante technologische ontwikkelingen is een absolute noodzaak om van waarde te kunnen blijven voor je organisatie. Gelukkig zie ik ook meer en meer lichtpuntjes: afdelingen die wel veel effort in innovatie steken. Kijk maar eens in het laatste AuditMagazine, waarin een aantal innovaties aan bod komt. Ook zijn er steeds meer auditafdelingen die naast assurance (vaak terugkijkend) meer insights geven en vooruitkijken, betrokken worden bij strategische besluiten en flexibele auditkalenders hebben met meer en meer ‘exotische’ onderwerpen daarop. Kortom: het vakgebied komt meer en meer in beweging en dat is goed nieuws.

Werk jij binnen een innovatieve auditafdeling?

Het werk in de commissie heeft mijzelf ook aan het denken gezet en er mij toe aangezet om een aantal handreikingen te gaan schrijven over innovatie binnen Internal Audit. Het doel is om voor een aantal belangrijke ontwikkelingen te kijken hoe auditafdelingen deze succesvol hebben geïmplementeerd. Om andere auditafdelingen te inspireren en handvatten aan te reiken aan auditfuncties die met het betreffende onderwerp willen starten. Daarom doe ik gelijk een oproep: werk jij nu binnen een innovatieve auditafdeling en wil je graag vertellen hoe jullie afdeling een specifieke innovatie handen en voeten hebben gegeven, dan kom ik graag met jou in contact.

Mocht voor sommige genoemde innovaties gelden dat je geen idee hebt wat je er als auditor mee zou moeten, dan geef ik hierbij een eerste tip: kijk eens op het IIA innovatieplatform en vraag jezelf af: ‘Zeggen de onderwerpen mij wat, zijn ze relevant voor mijn afdeling of organisatie… en zo ja: ben ik er al mee bezig?’ Veel succes!

Marc van Heese
Partner ARC People

De kansen en uitdagingen binnen risk en compliance

Suzanne Walraven is onlangs gestart als Risk & Compliance expert in de rol van consultant bij één van onze opdrachtgevers. Zij schreef een blog over haar werk en over de belangrijkste thema’s en grootste kansen binnen risk en compliance.

“Goed risicomanagement gaat niet alleen over het identificeren van risico’s en het vermijden van alle risico’s, maar juist ook over het identificeren van kansen zoals digitalisering en robotisering.”

Vertel eens wat over jezelf

Na mijn Master Rechten aan de Universiteit van Utrecht ben ik gaan werken als bedrijfsjurist. Ik werd al snel gevraagd om daarnaast – naast mijn rol als bedrijfsjurist – mee te helpen bij het opzetten en testen van interne controle maatregelen met betrekking tot de financiële rapportage om aan te tonen dat de cijfers in de jaarrekening een getrouw beeld van de werkelijkheid geven (SOx compliant zijn, oftewel een in-controlverklaring). Mijn interesse voor risicobeheersing en interne controle is toen ontstaan en ben ik mij verder gaan specialiseren in dit vakgebied door verschillende rollen te vervullen (o.a. SOx specialist, internal operational auditor, risk & compliance consultant).  

Aangezien ik de afgelopen 17 jaar veel verschillende rollen heb vervuld bij grote bedrijven binnen de domeinen audit, risk en compliance, was de keuze voor ARC People snel gemaakt. Als consultant bij ARC People krijg ik de kans om mijn kennis en ervaring te delen door bij verschillende opdrachtgevers te werken en tegelijkertijd het bedrijf verder uit te bouwen op het gebied van risk en compliance. Mijn eerste opdracht stond al meteen klaar en ik ben dan ook gelijk begonnen bij mijn eerste opdrachtgever, een grote speler op het gebied van gebiedsontwikkeling, waar ik het Compliance team ga ondersteunen. 

Welke uitdagingen zie jij op het gebied van risk en compliance en hoe speel jij daarop in?

Sinds ik ben begonnen met werken in 2003, en de Nederlandse Corporate Governance Code en de Sarbanes-Oxley Act werden ingevoerd, zijn (ook niet-beursgenoteerde) bedrijven hard aan de slag gegaan met de invulling van goede corporate governance en risicobeheersing.

Als bedrijf moet je continu vooruit blijven kijken en zorgen dat je voldoende in-control blijft met de juiste balans tussen het beheersen van risico’s en identificeren danwel implementeren van controlemaatregelen. Risicomanagement gaat niet alleen over het identificeren van risico’s, maar ook over het identificeren van opportunities (bijv. digitalisering, robotisering).

De uitdagingen die ik tegenkom zijn o.a. het ontbreken van adequate risico & control frameworks, risk management tool, risicobewuste cultuur, dashboard, de werking van controle maatregelen niet aan kunnen tonen, onduidelijke rollen en verantwoordelijkheden, risico management niet geïntegreerd in de werkprocessen. 

Goed risicomanagement gaat niet alleen over het identificeren van risico’s en het vermijden van alle risico’s, maar juist ook over het identificeren van kansen (bijv. digitalisering, robotisering). Het is een continu beheersproces: welke risico’s is de organisatie bereid te nemen en hoe kunnen we die risico’s beheersen en mitigeren? Daarbij is het management verantwoordelijk voor het realiseren en bewaken van de doelstellingen tegen reële kosten en dat deze met een hoge mate van waarschijnlijkheid worden gerealiseerd. 

Je hebt ontzettend veel ervaring op het gebied van risk en compliance. Met welke thema’s krijg jij regelmatig te maken?

Het implementeren danwel professionaliseren van een risicomanagement proces. Uitgangspunt is een geïntegreerde aanpak van risico’s waaraan een organisatie is of kan worden blootgesteld in de toekomst. Risico’s zijn er in alle soorten en maten: strategische risico’s, operationele risico’s, financiële risico’s en risico’s op het gebied van non-compliance met wet- en regelgeving. Veel voorkomende risico thema’s zijn bijvoorbeeld: cyber security en dataprivacy, veranderingen in wet- en regelgeving, marktontwikkelingen, klimaatverandering, business continuity, aantrekken en behouden van de juiste mensen, reputatieschade.  

Je hebt ook een periode als auditor gewerkt. Hoe helpt de combinatie van jouw ervaring met audit, risk én compliance bij jou werkzaamheden? 

In het Three Lines model zijn de domeinen audit, risk en compliance sterk met elkaar verbonden. Soms zijn ze van elkaar afhankelijk, maar ze kunnen elkaar ook zeker versterken. De gemene delers zitten in de kennisgebieden en het denken vanuit risico’s. Binnen de financiële sector moeten audit, risk en compliance strikt van elkaar gescheiden zijn, maar daarbuiten zie ik veel dat de functies vanuit efficiency-oogpunt met elkaar gecombineerd worden. Ik zie dan ook steeds vaker risk en compliance committees, waarin alle drie de domeinen vertegenwoordigd zijn. In mijn werk krijg ik veel te maken met zowel audit als risk en compliance; door mijn ervaring kan ik meedenken op alle niveaus. Dat is een groot voordeel, want in organisaties waar de drie domeinen zich sterk hebben ontwikkeld, is juist de uitdaging ontstaan hoe de verschillende functies het beste op elkaar kunnen worden afgestemd.

Waarom heb jij gekozen voor ARC People?

Het team van ARC People bestaat uit leuke enthousiaste collega’s met veel vakinhoudelijke kennis. Doordat ieder zijn eigen expertise heeft, kunnen we elkaar helpen en versterken. En door het indrukwekkende netwerk van ARC People kunnen zij mij interessante opdrachten aanbieden. Daarnaast mag ik ook meebouwen aan het bedrijf, wat ik ontzettend leuk vind!

Benieuwd onze specialisten voor uw organisatie kunnen betekenen? Bekijk het overzicht van onze diensten >

Interimmen in tijden van Corona: vrijheid versus vastigheid

In mijn werk als Recruitment Consultant bij ARC People heb ik dagelijks contact met auditors, risicomanagers en compliance officers, zowel op freelancebasis als in loondienst. Vanzelfsprekend is het afgelopen Coronajaar ook op ons bureau van invloed geweest. Werving & selectie procedures werden on hold gezet, interim opdrachten werden vroegtijdig beëindigd en trainee-aanvragen werden uitgesteld. Ik besloot uit te zoeken of freelancers interesse zouden hebben in een overstap naar loondienst en ik leerde een mooie les!

“Ik ging het gesprek aan met freelancers uit ons netwerk, enkele mooie vaste vacature in de armslag ter bespreking.”

Onvermijdelijke overstap

Het was voor ons spannend of dit een initiële ‘paniekreactie’ van klanten was of toch structureler van aard. Het bleek gelukkig het eerste want terugkijkend op 2020 hebben we alsnog veel mooie vacatures kunnen vervullen, evenals enkele uitgebreide co- en outsourcing trajecten mogen uitvoeren. Ook bleek de behoefte aan tijdelijke inhuur nog steeds daar, zij het wel in minder grote getale. Hierdoor bekroop mij de gedachte dat als er binnen de ARC-doelgroep, over de hele linie minder behoefte aan tijdelijke inhuur was – freelancers mogelijk interesse zouden hebben in een overstap naar loondienst. Immers, behoefte aan meer zekerheid in onzekere tijden leek me een goed voor te stellen overweging! Redelijk overtuigd van deze gedachte ben ik vervolgens het gesprek aangegaan met ons eigen freelance netwerk om mijn ‘gelijk’ te toetsen, enkele mooie vaste vacatures in de armslag ter bespreking.

Uitgaan van je eigen kracht, ook in onzekere tijden

Niets bleek minder waar en mijn aanname onterecht. En natuurlijk, het specialisme van de ARC-doelgroep speelt hierbij een grote rol. Daar blijft – ook in Corona tijd – vraag naar. Maar klanten worden wel kritischer en de markt verschuift van vraag- naar meer aanbodgestuurd. Echter, geen enkele freelancer waarmee ik hierover sprak bleek geïnteresseerd. Nee, men wilde ‘het even afwachten’, ‘was in gesprek met’ of ‘bezig met’. Want de vrijheid van eigen baas zijn ruil je niet zomaar in. Nee, je gaat je onderscheiden, zet door, netwerkt, bent gericht op samenwerken en vergroot je kennis met certificeringen of anderzijds. En pas als dat allemaal geen nieuwe opdracht oplevert, dan zou het misschien kunnen dat… Binnen ons eigen uitgebreide netwerk van interim professionals heeft slechts een enkele freelancer de overstap gemaakt naar een vaste baan.

Vrijheid versus vastigheid. Afgaan op je eigen kunnen, uitgaan van je eigen kracht, ook in onzekere tijden. Mooie les!

Wil jij altijd de nieuwste vacature en interim opdrachten in jouw mailbox ontvangen? We houden je graag op de hoogte! Schrijf je in voor de ARC Interimdesk.

Co-sourcing: samen bouwen aan IIA Standards compliance

Internal audit functies, groot of klein, willen aantoonbare kwaliteit leveren. Dé kwaliteit-lakmoesproef voor internal audit is de 5-jaarlijkse (vanuit het IIA verplichte) externe kwaliteitstoets tegen de IIA Standards. Waar het voor grote audit functies vaak al een flinke uitdaging is om te voldoen aan de kwaliteitsvereisten, is het dat voor kleinere internal audit functies zeker. Maar al te vaak komt het voor dat internal audit functies hoopvol de kwaliteitstoets ingaan, helaas soms met een negatief eindresultaat tot gevolg. 

“Waar het voor grote audit functies vaak al een flinke uitdaging is om te voldoen aan de kwaliteitsvereisten, is het dat voor kleinere internal audit functies zeker.”

Om dit te voorkomen, kiezen veel kleinere internal audit functies ervoor om de noodzakelijke kwaliteitsreviews te laten uitvoeren door een externe partij als co-sourcing partner. ARC People neemt dan de operationele review van bijvoorbeeld het (concept)audit plan, het dossier en het rapport op zich. Hiermee wordt kwaliteit geborgd tot in de operationele/dagelijkse processen van de internal audit functie. Ervaring leert dat dit essentieel is om gedurende het jaar compliant te werken aan de IIA Standards. ARC People is uiteraard geaccrediteerd door het IIA om kwaliteitstoetsingen uit te voeren, om zo de nodige kennis op het vlak van de IIA Standards in te kunnen brengen. 

Verder spreekt het voor zich dat de reviews uitgevoerd worden door ervaren, door de wol geverfde professionals, desgewenst op CAE level. Als laatste zorgen we dat de reviews op een geformaliseerde en gestandaardiseerde wijze plaatsvinden op vaste punten in het audit-proces én bijvoorbeeld tijdens het opstellen van het audit universe, audit jaarplan en het uitvoeren van de jaarlijkse QAIP (Quality Assessment & Improvement Program). 

IIA Standards compliance vereist maatwerk

Voldoen aan de IIA Standaarden betekent overigens niet dat iedere internal audit functie op dezelfde manier moet worden ingericht. De diversiteit aan organisaties is enorm, net als de wijze waarop internal audit functies zijn ingericht. Het voldoen aan de IIA vereisten betekent dus dat ook hier maatwerk is vereist en de nodige ervaring en inzicht op welke manier de naleving het meest efficiënt kan worden gerealiseerd. Al met al flink wat kwaliteitsvereisten, waar nieuwe en bestaande audit functies een behoorlijke klus aan hebben. Jezelf laten bijstaan door een professionele partij is eerder vanzelfsprekend dan optioneel.

Benieuwd wat we kunnen betekenen voor uw organisatie? Neem dan contact met mij op via carlo@arcpeople.nl of 06 400 50 555. Ik vertel je er graag meer over.

Lees hier ook het eerste deel van deze blogserie >

ATM, de nieuwe DNB toezichtaanpak voor pensioenfondsen

DNB heeft met ingang van 2021 een nieuwe data-gedreven en geautomatiseerde aanpak om doelmatig en gestructureerd toezicht te kunnen houden op pensioenfondsen: ATM (Actualisatie Toezicht Methodologie). Het is een aanpak om het toezicht dynamischer te maken, waardoor sneller ingespeeld kan worden op ontwikkelingen. 

Hoe werkt de DNB toezichtaanpak?

De pensioenfondsen worden ingedeeld in een impactklasse. Iedere impactklasse kent een eigen intensiteit van het toezicht. Bij de uitvoering van de toezichtstaken en derhalve ook bij de indeling van de impactklassen is proportionaliteit een belangrijk uitgangspunt. Ook complexiteit speelt een belangrijke rol.

Om prioriteiten te bepalen, worden op basis van informatieverzameling de risico’s bepaald. Door te werken met automatische scores en het afdwingen van onderbouwing bij afwijken van deze automatische scores, is het toezicht consistent en zijn onderlinge vergelijkingen mogelijk.

In een basisprogramma (BP) dat op alle pensioenfondsen van toepassing is, wordt een oordeel verkregen over het risicoprofiel (risiconiveau en -beheersing). Dit vormt het startpunt voor een eventuele verdieping in een risico-gebaseerd programma (RP).

Onderstaand een schematische weergave van het basisprogramma, dat op alle pensioenfondsen van toepassing zal zijn. Bij de aanpak wordt vanuit 5 risicogebieden, de beheersing van 17 risico’s beoordeeld. 

DNB Toezichtaanpak - Risicotaxonomie Basisprogramma
Bron: DNB brochure ‘ATM, de vernieuwde toezichtaanpak’

Wat betekent dit voor u?

Omdat het toezicht meer data-gedreven wordt, zullen ook de middelgrote en kleine fondsen de verantwoordingsrapportages over het financieel en organisatorisch ‘in control’ zijn, op orde moeten hebben, zodat bij de informatie-uitvraag van DNB, transparant en duidelijk inzicht kan worden gegeven in gevraagde data en beheersing van de risico’s. Voor een aantal pensioenfondsen betekent dit dat de kwaliteit van (risico)managementrapportages omhoog moet. Te denken valt onder meer aan een beter inzicht in de beheersing van strategische en niet financiële risico’s, waaronder IT.

Meer informatie kan worden verkregen in de DNB brochure: ATM, de vernieuwde toezichtaanpak.

Voor vragen over deze toezichtsaanpak, of andere vragen over pensioenfondsen kunt u terecht bij onze pensioenexpert Hans Sieraad via hans@arcpeople.nl of 06 513 892 61.

Bekijk ook onze cases voor de verhalen van onze klanten >

Luisteren steeds meer ondergesneeuwd

Luisteren: de kern van het auditvak

Ongetwijfeld weet u dat het woord ‘audit’ is afgeleid van het Latijnse woord ‘audire’, dat staat voor ‘luisteren’. Het woord ‘auditor’ laat zich vervolgens letterlijk vertalen naar ‘toehoorder’ of ‘iemand die komt luisteren’. En logischerwijs is de auditee dan de ‘spreker’. Het mag duidelijk zijn: luisteren is de essentie van het auditvakgebied!

Assurance en het bijbehorende oordeel kan belemmeren

Tegelijkertijd wordt er nogal nadrukkelijk van de auditor gevraagd om een beoordeling te doen c.q. oordeel te vellen, in hoeverre de organisatie erin slaagt om de risico’s te beheersen. De internal auditor beoordeelt de kwaliteit van governance, risicomanagement en control. En juist het vellen van dat oordeel kan het echte luisteren in de weg staan. In het IIA AuditMagazine (Haakma en Stoelwinder, 2013) werden daarom al eens de volgende drie handreikingen voor effectief luisteren gedaan:

  • Start het gesprek in volle aanwezigheid;
  • Luister met een open, nieuwsgierige en waardevrije houding;
  • Luister op basis van gelijkwaardigheid.

Luisteren is gelukkig te leren

Recentelijk trok een ander artikel mijn aandacht, met de titel ‘Luister dan! We luisteren steeds slechter, maar gelukkig kunnen we het leren’ (Beukers, 2020). Beukers interviewde Kate Murphy, die bijna twee jaar wetenschappelijk onderzoek deed naar luisteren. Hoopgevend vond ik de stelling van Murphy, dat luisteren te leren is. Volgens Murphy is het een vaardigheid, die wel heel veel oefening vraagt. Je wordt beter naarmate je het meer doet. Bij al dat oefenen is het van groot belang om niet alleen te letten op wat er wordt gezegd, maar ook hoe het gezegd wordt en je af te vragen waarom mensen iets vertellen.

Murphy pleit ook voor meer stiltes (“een stilte zonder ongemak is immers een teken van goede vriendschap”). Je mag ook uitspreken dat je even over iets moet nadenken, waardoor je laat merken dat je recht doet aan wat de ander zei.

Waarom is luisteren zo relevant?

Ik begon meer en meer te lezen over het thema luisteren. En in het weekend, bij een goed glas wijn, vroeg ik me af: waarom ben ik eigenlijk zo gegrepen door het begrip luisteren? Ik kreeg enkele verklaringen op een rijtje. Allereerst ben ik best kritisch op mijn eigen luistervaardigheid, maar ik merk wanneer het wél lukt om echt te luisteren, dat tot waardevolle inzichten en mooie verbindingen leidt. In aanvulling daarop kwam ik voor mezelf tot de volgende onderbouwingen van de relevantie van luisteren:

  • In de huidige pandemie verschraalt het leven, met de beperktere mogelijkheden om elkaar te ontmoeten. We hebben minder mogelijkheden om naar elkaar te luisteren. Bij de spaarzame ontmoetingen (face-to-face, maar vooral online) is het belangrijk om door goed luisteren vast te stellen of het wel écht goed met de ander gaat.
  • Net als het merendeel van de Nederlanders (Sociaal Cultureel Planbureau, 2019) heb ook ik het gevoel dat de polarisatie verder toeneemt. Ik lijk ook steeds meer geroep, geschreeuw en stellingnames om me heen te horen. Die vervolgens weer leiden tot nieuwe stellingen en reacties. Waardevrij luisteren wordt in een verder toenemende polarisatie steeds unieker c.q. meer onderscheidend.
  • Psychologische veiligheid bevordert het werkplezier, stimuleert een open feedbackcultuur, draagt bij aan innovatie en aan de bevlogenheid van medewerkers. Maar in een tijd waarbij het voor vele organisaties draait om overleven, komt de psychologische veiligheid onder druk te staan. Specifiek voor auditors geldt: bij ontbrekende psychologische veiligheid (en vertrouwen), wordt er vanuit argwaan geen informatie gedeeld en overheersen angst en schaamte om betrouwbare informatie te delen met een luisterende collega.

Vinden we luisteren nog wel zo belangrijk?

Er zijn, zoals gezegd, niet alleen minder gelegenheden om überhaupt te kunnen luisteren. Ook zijn er steeds meer afleidingen die ons ervan afhouden. Alleen al de 3.000 (reclame)boodschappen die we per dag op ons afgevuurd krijgen, zorgen voor te veel prikkels om te kunnen verwerken met de hersenen. Of wat te denken van onze angsten en gewoonten, die maken dat we een digitaal scherm verkiezen boven een face-to-face gesprek, of waardoor we het sturen van een appje verkiezen boven een telefoongesprek.

We begeven ons graag op allerlei social media. Maar juist die social media versterken het verkondigen van stellingen en het vellen van een waardering of oordeel over die stelling, door een like of dislike. Ook lokken ze eigen, nieuwe stellingen als reactie uit.

Een andere interessante invalshoek is, om te kijken wat uw en mijn kinderen meekrijgen in hun opleidingen. Welnu, de opleiding van mijn zoon besteedt veel aandacht aan allerlei vaardigheden. Debatteren, pitchen en presenteren: ze komen allemaal ruimschoots langs. Maar luisteren? Dat deed me realiseren: recent is het competency framework voor Internal Auditors vernieuwd. Ik ging direct zoeken naar het woord luisteren, maar dat vond ik helaas niet terug. Wel werd er veel nadruk gelegd op het belang van advocacy (waarbij het in mijn beleving vooral draait om het ‘uitdragen’ van het belang van internal auditing) en stakeholder management.

Nog meer onderscheidend zijn door te luisteren

Luisteren is de kern van het auditvak. De relevantie van luisteren voor de beroepsgroep van auditors is dus hoog. De relevantie van luisteren lijkt zelfs toe te nemen. Als auditor kun je nog meer onderscheidend zijn wanneer je een goed luisteraar bent. De nadruk ligt in zijn algemeenheid namelijk meer op andere vaardigheden dan op luisteren. En allerlei factoren bemoeilijken het goede luisteren en de openheid van het delen van informatie. Het is me nog duidelijker geworden: luisteren is moeilijk, maar het is belangrijk en het is te leren en te verbeteren. De komende tijd ga ik verder werken aan mijn luistervaardigheden. Doet u met me mee? Samen kunnen we luisteren weer nieuw leven inroepen.

Binnenkort volgt er nog een blog over dit onderwerp. Wil je dit niet missen én op de hoogte blijven van ander nieuws op het gebied van audit, risk en compliance? Schrijf je dan hier in voor onze nieuwsbrief.

Sander van Oosten
Partner bij ARC People

Grotere diversiteit aan auditvragen vraagt om flexibiliteit

In Nederland kennen we ongeveer 900 internal audit functies. Dat aantal groeit nog steeds. De groei zit vooral in de kleinere audit functies. Niet alleen het aantal audit functies groeit, ook de diversiteit aan auditvragen, neemt de afgelopen jaren toe. En daarmee nemen ook de uitdagingen toe.

Klein en fijn, maar met uitdagingen

80% van de internal audit functies in Nederland bestaat uit minder dan 5 fte. Een relatief kleine audit functie kent vele voordelen. Je bent wendbaar, er zijn korte lijnen en je wordt gedwongen om de meest relevante onderwerpen te kiezen. Natuurlijk geeft het ook uitdagingen. Het is bijvoorbeeld moeilijker om in te spelen op piekbelastingen en om blijvend te beschikken over de gewenste en veranderende inhoudelijke kennis. Want de praktijk is: risico’s veranderen en komen sneller op; auditvraagstukken variëren sterker en worden steeds meer thematisch.

“Er zijn steeds nieuwe audittechnieken, waaronder data-analyse, nodig om efficiënt en relevant te blijven.”

Er zijn bijna geen ‘standaard’ audits meer, alles wordt maatwerk. Ook zijn steeds nieuwe audittechnieken (waaronder data-analyse) nodig om efficiënt en relevant te blijven. Verder is audit-innovatie noodzakelijk om met minder uren, meer resultaat te boeken. Als laatste, maar niet minder belangrijk, is het noodzakelijk om ondanks alle uitdagingen compliant te zijn aan de IIA Standards (daarover meer in mijn volgende blog).

Flexibiliteit in capaciteit én kennis zijn te organiseren

De steeds uitdagender wordende realiteit van de internal audit functie kan het hoofd worden geboden door capaciteit, flexibiliteit en kennis weloverwogen te organiseren in relatie tot de behoefte. Veelal gebeurt dat door middel van een samenwerkingsconstructie. 

Driehoek capaciteit kennis flexibiliteit

Sommige audit functies kiezen voor de inzet van business auditors, dat kan een deel van de behoefte invullen. Maar vanwege de noodzakelijke afstand van de 3e linie tot 1e en 2e linie zien we bij onze klanten de behoefte aan een duurzame samenwerkingsconstructie in de vorm van co-sourcing. 

Als vaste co-souringspartij kennen wij de organisatie, zijn we ingespeeld op de noodzaak om snel professionals te leveren met de juiste kennis én competenties en kunnen we de auditwerkzaamheden uitvoeren op de momenten dat dat het meest zinvol is. Capaciteit, flexibiliteit en/of specialistische kennis worden daarbij op- en afgeschaald naar behoefte. Gerichte inzet van auditspecialisten zorgt op deze manier ook voor kostenbesparingen, doorlooptijden van audits worden verkort en krapte op de arbeidsmarkt wordt ondervangen. Eén van de belangrijkste factoren om bij een co-sourcingsrelatie rekening mee te houden is een goede kennisoverdracht en -borging. Natuurlijk besteden we daar veel zorg aan, net als het onderhouden van de relatie gedurende de langjarige samenwerking.

Benieuwd hoe we uw organisatie kunnen ondersteunen bij het voldoen aan de toenemende diversiteit aan auditvragen? Neem dan contact met mij op via carlo@arcpeople.nl of 06 400 50 555. Ik vertel je er graag meer over.

Lees hier ook het tweede deel van deze blogserie >

Een internal auditor voor Ajax? Schot voor open doel

Een beetje oplettende lezer heeft het vast gezien: door een administratieve fout is de nieuwe miljoenen spits Sébastien Haller van Ajax niet opgenomen op de spelerslijst voor de Europa League en mag daarom dit seizoen niet in deze belangrijke competitie spelen. ‘Het gaat om een detail met hele grote consequenties’, zei de trainer Ten Hag. Van de spits wordt veel verwacht. Voor de beeldvorming: met een transfersom van 22,5 miljoen euro is het de duurste aankoop ooit van een Nederlandse club!

Hoe kan zoiets gebeuren, vraag je je af, als er zulke belangen spelen? Het zover mogelijk komen in de Europa League levert miljoenen op.  Met een jaaromzet van 162 miljoen zijn dat toch aanzienlijke bedragen. Ik ben gelijk maar eens gaan kijken in het jaarverslag van Ajax. Hoe zit het met risicomanagement en internal audit? Het is immers een beursgenoteerde onderneming en de Corporate Governance Code is van toepassing.

In het jaarverslag 2019/2020 vind je een uitgebreide risicoparagraaf met aandacht voor de Corporate Governance Code volgens het principe ‘comply or explain’. De 10 belangrijkste risico’s staan keurig opgesomd, inclusief de bijbehorende  beheersmaatregelen. Er is ook een three lines model, maar daar is iets geks mee aan de hand. De managers zijn de 1st line of defence. De 2nd line of defence zijn de afdelingen Finance & Control en Legal & Compliance. Er is dus geen specifieke risicomanagementfunctie (wat niet direct een issue hoeft te zijn).  Wat wel vreemd is: de afdeling Finance & Control heeft ook een rol als internal auditor, de 3rd line of defence, samen met de externe accountant. Quote uit de risicoparagraaf: “De RvC en de auditcommissie concluderen dat de ‘3rd line of defence’ naar behoren functioneert en dat daarom geen separate interne auditor nodig is.

Je gaat het pas zien als je het doorhebt

Uit het jaarverslag is niet op te maken of er binnen de afdeling Finance & Control scheiding is tussen de uitvoerders van de 2e lijns werkzaamheden en de 3e lijnswerkzaamheden, maar duidelijk is dat het governance systeem op een cruciaal punt niet heeft gewerkt. Is het risico nooit geïdentificeerd, is er geen beheersmaatregel gedefinieerd, of heeft deze nooit gewerkt? Achteraf is het de koe in de kont kijken, maar wellicht is een separate functie van risicomanager en een functie van internal auditor toch niet zo’n gek idee? Om met een groot ajacied te spreken: “je gaat het pas zien als je het doorhebt”. Dat geldt zeker ook voor interne beheersing.

Als liefhebber van deze vakgebieden en voetbal (van Ajax), bied ik Ajax graag onze diensten aan en om de tegenvaller van de Haller-casus een klein beetje te compenseren, tegen een gereduceerd tarief. Een vrijblijvende sparringssessie over een gedegen én efficiënte inrichting van de three lines kan altijd.

Dit laatste geldt natuurlijk ook voor andere organisaties. Neem gerust even contact op via marc@arcpeople.nl of 06 52 07 31 62.

Werking van een proces vaststellen met steekproeven

Wanneer auditors de werking van een IT- of bedrijfsproces vast willen stellen, nemen ze vaak een deelwaarneming. Op Internet zijn talloze voorbeelden te vinden van tabellen die aangeven hoeveel posten minimaal beoordeeld moeten worden, afhankelijk van hoe vaak een proces in een jaar wordt uitgevoerd (zie bijvoorbeeld het Control Framework Horizontaal Toezicht Zorg, geraadpleegd op 24 november 2020). Een deelwaarneming is geen steekproef. Omdat met een deelwaarneming doorgaans minder posten worden gecontroleerd, is de zeggingskracht stukken lager dan wat met een steekproef mogelijk is. In dit artikel wordt toegelicht hoe een statistische steekproef zou kunnen worden gebruikt om een uitspraak te doen over de werking van een proces. Ingegaan wordt op de vraag wat een steekproef precies is, uit welke stappen die bestaat en welke alternatieven er zijn.

Wat zijn steekproeven?

Bij een steekproef wordt een beperkt aantal posten gecontroleerd. Het aantal moet groot genoeg zijn om een statistisch verantwoorde uitspraak over de hele populatie te kunnen doen. In een geldsteekproef wordt die populatie gevormd door de bedragen die in de jaarrekening worden genoemd. In een postensteekproef bestaat de populatie uit het aantal keren dat zich een gebeurtenis heeft voorgedaan, bijvoorbeeld hoe vaak een proces in een periode is uitgevoerd. In dit artikel gaat het uitsluitend over de postensteekproef. Gecontroleerd wordt dan of een beheersingsmaatregel in alle onderzochte gevallen effectief is geweest, bijvoorbeeld of de impact van een wijzigingsverzoek correct is bepaald.

De populatie bestaat uit een aantal elementen waarvan de kenmerken worden bepaald. In het eerder genoemde voorbeeld zijn de elementen de verzameling wijzigingsverzoeken en is het bepalen van de impact een kenmerk. In een steekproef wordt een uitspraak gedaan of een kenmerk van een element goed of fout is en op basis hiervan statistisch getoetst of het aantal fouten in de populatie onder een vooraf vastgestelde grens ligt. Statistici spreken dan van een Bernoulli-experiment. Die uitspraak wordt met een bepaalde betrouwbaarheid gedaan. Omgekeerd aan de betrouwbaarheid is de kans dat het oordeel over de hele populatie verkeerd is. Gebruikelijk is een betrouwbaarheid van 95%. Dat betekent dat in hooguit 5% van de gevallen de auditor ten onrechte een goedkeurend oordeel geeft. Verder gaat het oordeel gepaard met een bepaalde nauwkeurigheid, oftewel de schatting van het aantal fouten in de populatie. Gebruikelijk is dat ten hoogste 1% fouten in de populatie acceptabel is. Accountants spreken in plaats van nauwkeurigheid over materialiteit.

Het uitvoeren van een steekproef is aan een aantal spelregels gebonden. Ten eerste moet duidelijk zijn welke elementen tot de populatie behoren en welke niet. Ten tweede mag geen misverstand bestaan hoe kenmerken gemeten worden en wanneer die als ‘goed’ worden bestempeld. Ten derde worden elementen willekeurig en onafhankelijk van de kenmerken geselecteerd om te controleren. Tot slot mag een element pas worden goedgekeurd als voldoende informatie is verzameld om te kunnen concluderen dat aan alle criteria is voldaan.

Stappenplan

Benieuwd naar de zes stappen van een goede steekproef? Download hier het volledige artikel.

Door: Wout Schiphorst, interim consultant via ARC People

Bron: auditinfo.nl

Deze tekst wordt ter beschikking gesteld onder de Creative Commons licentie Naamsvermelding-NietCommercieel-GelijkDelen 4.0 Internationaal (CC BY-NC-SA 4.0). De volledige tekst van de licentie is te lezen op: https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode.nl

Toezicht DNB: werk aan de winkel voor risk management en internal audit

DNB is de laatste jaren aan het versnellen als het gaat om het verdiepen en specifiek maken van het toezicht. Een aantal recente publicaties van DNB laat zien hoe dat toezicht er in de toekomst uitziet. Zo ook de recent verschenen DNB publicatie “Visie op toezicht 2021 – 2024”. Dit is een interessante publicatie voor onder toezicht staande instellingen, omdat het aangeeft hoe een onder toezicht staande instelling in kan spelen op die veranderende manier van toezicht. Na het lezen van deze publicatie is duidelijk dat er behoorlijk wat werk aan de winkel is voor deze instellingen.

Een korte samenvatting van de veranderingen in het toezicht:

  • Het toezicht in Nederland zal steeds meer worden gestuurd door Europese ontwikkelingen, door wet- en regelgeving vanuit de Europese Commissie en publicaties van verschillende Europese financiële toezichthouders;
  • Datakwaliteit en Informatie (cyber) beveiliging zijn én blijven hele belangrijke onderwerpen. Al eerder bracht DNB de Good Practice Informatiebeveiliging en de Guidance Datakwaliteit uit. Het voldoen aan deze normatieve publicaties is een enorme opgave. Het is juist hier dat de competenties van de risk manager en de internal auditor kunnen worden ingezet voor het belang van de gehele organisatie. DNB vereiste al eerder het uitvoeren van Control Self Assessments, waarbij de 1e en de 2e lijn zélf onderzoeken of ze voldoen aan de normen. De verwachting is dat DNB meer gebruik gaat maken van assessments en analyses van risk management van de instelling, bij voorkeur gevalideerd door de internal auditor;
  • De komende jaren is het data, data en nog eens data. DNB zal zelf inzage vragen in data van de instelling. Deze gaan de nu al vereiste periodieke rapportages aanvullen en mogelijk zelfs deels vervangen. Besef goed wat daar staat: DNB gaat in de data zelf kijken! Datakwaliteit wordt onvermijdelijk het belangrijkste onderwerp de komende jaren. Dit betekent dat van zowel risk management als internal audit mag worden verwacht dat ze de flink wat aandacht besteden aan dat onderwerp, ieder vanuit de eigen rol in de organisatie. Deze verandering zal in veel gevallen betekenen dat extra capaciteit, maar vooral ook aanvullende kennis noodzakelijk is;
  • DNB kan fouten zelf ontdekken in de data en het spreekt voor zich dat de instelling dit beter kan voorkomen. Datakwaliteit is mede afhankelijk van ‘data quality by design’ en kan alleen worden bereikt door een optimale interne beheersing en ontwikkeling onder architectuur;
  • Cyber security specifiek en informatiebeveiliging in zijn algemeenheid moeten op orde zijn. DNB verwacht een continue investering in weerbaarheid en (bestuurders-)awareness én dat instellingen “zelf aantonen dat ze hun informatiebeveiliging op orde hebben”. Daarmee doelt DNB erop dat er Control Self Assessments worden uitgevoerd die (weer) worden gevalideerd door de Internal Auditor. De verwachting is dat veel instellingen moeite zullen hebben met aantonen dat ze ‘op orde zijn’. We verwachten een sterke invloed vanuit de 2e lijn om de 1e lijn te helpen om de maatregelen goed te implementeren, maar ook om zelf aan te tonen dat de maatregelen hebben gewerkt. Risk management kan de 1e lijn ondersteunen bij het implementeren van de controls en de Control Self Assessments, terwijl Internal Audit haar rol in de 3e lijn kan benutten voor het leveren van de (brood)nodige onafhankelijke assurance;
  • Diezelfde eis van aantoonbaarheid geldt voor de toeleveranciers van instellingen. Outsourcing wordt daarmee één van de volgende belangrijke onderwerpen, met de noodzakelijke ISAE3402 verklaringen van de dienstverleners en het implementeren van service level management voor alle uitbestede diensten;
  • Van bestuurders en commissarissen wordt een verhoogd kennisniveau verwacht op het vlak van informatiebeveiliging. Het verwijzen naar de IT security manager bij een vraag over IT security zal naar alle waarschijnlijkheid niet worden geaccepteerd;
  • Kunstmatige Intelligentie, nu al regelmatig aanwezig in de vorm van chatbots, maar ook steeds vaker in bedrijfsprocessen, vereist de nodige beheersmaatregelen. De algoritmisering van businessprocessen kan en mag niet leiden tot mindere mate van beheersing en het functioneren van bedrijfsprocessen;
  • Outsourcing, van IT of bedrijfsprocessen, blijft een speerpunt van DNB. DNB benoemt zelfs (en dat is uitzonderlijk) een positieve ontwikkeling, namelijk het vaker inzetten van onafhankelijke IT auditors bij de beoordelingen van cybersecurity en uitbestedingsmaatregelen;
  • Duurzaamheidsrisico’s vormen een relatief nieuw speerpunt. Erg concreet is DNB daar nog niet over, maar de verwachting is dat DNB vooral de samenwerking gaat opzoeken, juist om dit concreter te maken;
  • Verandervermogen is een nieuw speerpunt, met daaraan gekoppeld het aansluiten van het bedrijfsmodel op het risicoprofiel. Ontwikkelingen gaan snel en DNB ziet het verschil tussen IT bedrijven en financiële instellingen vervagen. Risico beheersing moet altijd geborgd blijven, zowel in stabiele omgevingen als dynamische. Fintech is niet de toekomst, Fintech is het heden.

ARC People helpt een aanzienlijk aantal banken, verzekeraars en pensioenfondsen met deze vraagstukken vanuit zowel het risicomanagementperspectief als internal audit perspectief. Benieuwd naar onze visie? Neem dan contact op met één van onze partners >

Older posts
Newer posts