Traditiegetrouw doken tegen jaareinde tientallen verschillende lijstjes op: meest beluisterde tracks van 2021, bestverkochte boeken van 2021, 5 goede voornemens voor 2022, must-visits in 2022…. Voorbeelden genoeg!

Ook de wereld van de interne audit ontsnapt niet aan de lijstjes-heisa.

Het rapport ‘2022 - Risk in Focus’, dat voor jaareinde uitkwam, bespreekt de hot topics voor interne audit in 2022.
Hieronder worden de top 5 risico’s voor 2022, volgens 738 Europese CAE-leden, voor u toegelicht.

5. Is uw organisatie klaar voor volgende crisissen?

Bedrijfsbranden, aardbevingen, elektriciteitsstoringen, daar was uw organisatie op voorzien. Maar met de gevolgen van een pandemie van dergelijke grootte hielden weinig bedrijfscontinuïteitsplannen rekening mee. Hoe effectief heeft uw organisatie gereageerd in deze crisis? Een zorgvuldige evaluatie van het antwoord op deze vraag en het in kaart brengen van de ‘lessons learned’ dringen zich op. Op basis daarvan moeten de procedures voor crisismanagement, disaster response en uiteindelijk de bedrijfscontinuïteitsplannen aangepast worden.

Als interne auditor is het uw taak om na te gaan in welke mate de organisatie zijn bedrijfscontinuïteitsplannen heeft aangepast en rekening heeft gehouden met toekomstige crisissen en mogelijke scenario’s. Daarnaast is het ook van belang om te na te gaan in welke mate het management de mogelijke langetermijngevolgen van deze crisis begrijpt, in kaart heeft gebracht & de bedrijfsstrategie daarop heeft aangepast.

4. Houdt u de juiste mensen aan boord?

Telewerken, videogesprekken, digitale teambuildings… het gebrek aan fysieke sociale interactie met collega’s kan verregaande gevolgen hebben voor uw organisatie. Niet alleen voelen werknemers zich minder ‘deel van het geheel’, sommigen raken hun werk ook moe of verliezen de connectie met de organisatie. En dat doet veel werknemers nadenken en overwegen om een andere job te zoeken. Menselijk kapitaal en talent management is dus één van de topprioriteiten voor veel organisaties in 2022.

Daarnaast mogen de gevolgen op de bedrijfscultuur en -strategie niet vergeten worden. Creativiteit, innovatie, delen van ideeën… deze waarden lijden allemaal onder de opkomst van het virtuele en hybride kantoor. ‘Flexible ways of working are here to stay’, wijst Europees onderzoek uit, dus moet uw organisatie voorbereid zijn op menselijke gevolgen hiervan.

In hoeverre zijn het management (op alle niveaus) en HR zich bewust van het effect op de cultuur en strategie? Worden er acties ondernomen om de kernwaarden en missie van de organisatie (extra) te promoten? Welke acties worden er ondernomen door het management om voeling met de werknemers te behouden? Zijn er systemen in plaats om de gevolgen op bv. productiviteit, werknemerstevredenheid, innovatie… te meten en te monitoren? Dat zijn de vragen die interne audit moet stellen.

3. Een digitale versnelling hoger

Meer dan ooit bracht de pandemie de focus op digitale transformatie en nieuwe technologieën. De snelheid waarmee digitale oplossingen ontwikkeld worden, en de risico’s die ermee gepaard gaan, houdt bijna elke interne auditor wakker. Waar digitalisatieprojecten in het verleden voornamelijk vanuit de IT-functies (mee) aangestuurd werden, is het door de opkomst van low-code of no-code platformen voor eindgebruikers eenvoudiger dan ooit om zelf snel applicaties te bouwen of te laten bouwen. Op deze manier is het moeilijk om als organisatie nog een totaalbeeld te hebben van de digitalisatieomvang, wie de verantwoordelijken zijn, welke businessprocessen erdoor beïnvloed worden en wat de risico’s zijn.

Als interne auditor is het belangrijk om na te gaan op welke manier het overzicht bewaard wordt. Is de IT-functie volledig op de hoogte van alle digitalisatieprojecten die er in uw organisatie lopende zijn? Hoe wordt gegarandeerd dat al deze low-code projecten ook dezelfde, bestaande procedures voor softwareontwikkeling, - gebruik en -onderhoud volgen? Worden ook deze applicaties voldoende getest vooraleer ze in gebruik worden genomen? Wordt er voldoende rekening gehouden met de veiligheidsrisico’s?

2. Naar een duurzame wereld

Het klimaat, en bij uitbreiding duurzaamheid, blijven ‘hot topics’ in de komende jaren. In april vorig jaar nam de EU een pakket van maatregelen aan als deel van hun missie om de uitstoot van broeikasgassen tegen 2030 met 55% te reduceren en koolstofneutraliteit te bereiken tegen 2050.

Het spreekt voor zich dat dit in de komende jaren verder zijn weerslag zal hebben op de activiteiten van tal van organisaties. Niet alleen zullen organisaties hun huidige activiteiten duurzamer moeten maken, andere organisaties zullen hun volledige businessmodel moeten aanpassen aan de wijzigende regelgevingen. Daarnaast zullen ook meer en meer bedrijven verplicht worden te rapporteren over de duurzaamheidsacties die ze ondernemen.

De taak van interne audit bestaat erin om na te gaan in hoeverre uw organisatie reeds processen geïmplementeerd heeft om de wijzigende regelgeving te identificeren, prioriteren en te implementeren. Op welke manier wordt de naleving van de wetgeving in uw bedrijf opgevolgd en gecontroleerd? Is er een gecontroleerd proces rond duurzaamheidsrapportering? Reflecteren de gemaakte statements de werkelijkheid?

1. En als absolute topprioriteit… de cybercrimineel

Net als vorig jaar blijft cybercriminaliteit de topprioriteit voor interne audit in 2022. Hybride werken, toenemende digitalisering… het brengt allemaal nieuwe risico’s met zich mee, niet op het minst op he vlak van informatieveiligheid. Cybercriminelen hebben daar handig gebruik van gemaakt de voorbije jaren, met gigantische stijgingen in het aantal (succesvolle) aanvallen als gevolg.

Hoewel (bijna) elke organisatie informatieveiligheid intussen op de agenda heeft gezet, is iedere organisatie op een ander punt van maturiteit. Interne audit moet dan ook in eerste instantie evalueren op welke manier ze de meest toegevoegde waarde kan leveren.

In de minst mature organisaties focust interne audit zich best op de fundaties: in welke mate is de business in staat om de risico’s m.b.t. informatieveiligheid naar behoren te identificeren? En worden de nodige harde (bv. regelmatige software updates, tweefactorauthenticatie…) en zachte controles (creatie van awareness, een cybersecuritycultuur…) geïmplementeerd?

Wanneer aan de bovenstaande basisprincipes is voldaan, moet interne audit zich toeleggen op het vermogen van de organisatie om adequaat te reageren en herstellen van een cyberaanval. Interne audit gaat in dat geval na of er continuïteitsplannen zijn en of die begrepen worden door de medewerkers. Daarnaast gaat de interne auditor na of er een toegewijd team voor cybercrisismanagement aanwezig is in de organisatie met duidelijke, afgelijnde verantwoordelijkheden en tijdige rapportage van incidenten.

Maar als de voorbije jaren ons iets geleerd hebben, dan is het wel dat er geen zekerheden meer in het leven zijn. Waar gisteren de Delta variant nog nieuw was, is vandaag Omikron overheersend. Als interne auditor is het dus van belang om op de hoogte te blijven van het steeds wijzigende risico-landschap. Waar ‘risk assessment’ traditiegetrouw een jaarlijkse, grote oefening was waarop het auditplan voor het komende jaar/de komende jaren was afgestemd, wordt het evalueren van nieuwe en bestaande risico’s meer en meer een continue audittaak. En zo blijven we ons afvragen welke nieuwe risico’s er in 2022 zullen opduiken, die de lijstjes van volgend jaar zullen aansturen.

 

Zoekt u ondersteuning bij het identificeren of aanpakken van uw bedrijfsrisico’s? Contacteer ons vrijblijvend voor een verhelderend gesprek.

Jolien Vromant - 28 januari 2022