Hot topics internal audit 2018
Hieruit blijkt dat de nieuwe Europese Data Protection Regulation, cybersecurity en het tempo waarin innovaties plaatsvinden hoog op de agenda staan.
In zes Europese landen werden de Chief Audit Executives (CAEs) van toonaangevende ondernemingen uit verschillende bedrijfstakken geïnterviewd. Op basis van de interviews is een beknopte handreiking uitgebracht. Daarin zijn negen onderwerpen geselecteerd die een stempel zullen drukken op de prioriteitsstelling in de internal auditplannen voor 2018. IIA Nederland verwacht met dit onderzoek een belangrijke ondersteuning te geven aan alle CAEs in Nederland.
Hot topics internal audit
Tijdens de conferentie van de Europese Instituten van Internal Auditors in Bazel, Zwitserland werd op 21 september 2017 het rapport “Risk in Focus, hot topic for internal audit 2018” gepresenteerd. De negen hot topics die in het rapport naar voren komen, zijn:
- GDPR en de uitdaging van gegevensbeveiliging;
- Cybersecurity: op weg naar volwassenheid;
- Tempo van innovatie;
- Complexiteit van regelgeving en onzekerheid;
- Politieke onzekerheid: Brexit en ander onbekende gebeurtenissen;
- Leveranciersrisico’s en 3rd party assurance;
- Het cultuurenigma;
- Bemensing: voorbereiden op de toekomst;
- Ontwikkelen van de internal auditfunctie.
Niet opgewassen tegen cyberdreiging
Er is één risico dat voor alle CAEs uit alle landen hoog op de agenda staat: cybersecurity. Geen verrassing aangezien alle bedrijven afhankelijk zijn van technologie en zodoende te maken hebben met de risico’s die daaraan verbonden zijn. Toch is er nog een groot gat tussen bewustzijn van en het daadwerkelijk voorbereid zijn op cyberdreigingen. Het is aan de internal audit afdeling om organisaties een breed beeld te geven op in hoeverre ze opgewassen zijn tegen cyberbedreigingen.
Slechts 2% voldoet op dit moment aan GDPR
Na cybersecurity vraagt het voldoen aan de EU’s General Data Protection Regulation, kortweg GDPR, veel aandacht van de CAEs. Uit recent onderzoek onder 900 beslissers blijkt dat slechts 31% van mening is te voldoen aan de eisen van de GDPR en slechts 2% is daar helemaal zeker van. Een wezenlijke risicofactor dus. Voor wie boetes wil voorkomen, is er dus werk aan de winkel. De deadline van 25 mei 2018 nadert met rasse schreden. De internal audit afdeling zal in kaart moeten brengen hoe waarschijnlijk het is dat de organisatie voldoet aan de regelgeving tegen de tijd dat de deadline is verstreken.
Innoverend landschap
Het sterk veranderende, innoverende landschap is eveneens een hot topic dat de CAEs in hun auditplan 2018 benoemen. Marktleiders moeten steeds vaker denken als start-up om bij te kunnen blijven. Dit constant moeten blijven innoveren – of juist het niet bij kunnen benen – wordt door de CAEs als reëel risico gezien.
Verschillen per land en sector
Naast de top-3 risicogebieden die voor alle CAEs in de diverse sectoren en landen gelden, zijn er beoogde risico’s die per sector en per land verschillen. Zo levert voor het Verenigd Koninkrijk de Brexit politieke onzekerheid op om rekening mee te houden. En de financiële sector maakt zich ten opzichte van andere sectoren grotere zorgen over de steeds meer complexe regelgeving. Voor deze sector speelt de MiFID II (second Markets in Financial Instruments Directive) die onder andere regelgeving met zich meebrengt die tot meer transparantie moet leiden. In juli 2017 bleek 90% nog niet te voldoen hieraan en MiFID II is 3 januari 2018 van kracht.
Over het onderzoek
Aan het onderzoek deden CAEs uit Frankrijk, Italië, Nederland, Spanje, het Verenigd Koninkrijk en Zwitserland en werkzaam bij marktleiders in de bouw & infra, financiële sector, IT, maakindustrie, overheid, detailhandel, telecommunicatie en utiliteit & energie mee. De rode draad door het onderzoek is de fundamentele impact die technologie heeft op zowel organisaties als het vak van de internal auditors.