‘IT auditor opereert te veel vanuit comfortzone’

IT auditors binnen Internal Auditfuncties (IAF’s) besteden wereldwijd nauwelijks aandacht aan de nieuwe technologische risico’s die de onderneming loopt als gevolg van robotica, machine learning, kunstmatige intelligentie (algoritmes) en het Internet of Things, waarbij alles en iedereen door het internet met elkaar verbonden is.

De IT internal auditor houdt zich vooral bezig met de belangrijkste operationele risico’s waarmee het bedrijf te maken heeft, zoals het falen van interne procedures en de ongeoorloofde toegang tot de kwetsbare bedrijfssystemen. Het gebrek aan aandacht voor nieuwe technologische risico’s wordt vooral ingeven door een gebrek aan kennis van bijvoorbeeld cyber security, data & analytics en privacywetgeving.

Uit internationaal onderzoek van KPMG onder 250 ondernemingen blijkt dat 40% van de IT internal auditors op dit moment vooral oog heeft voor de belangrijkste operationele risico’s, zoals het verrichten van algemene IT controles, controles van de applicaties die de onderneming gebruikt en het beheren van de toegang tot de systemen.  

Comfortzone

Uit het onderzoek blijkt dat de IT auditor te veel vanuit zijn comfortzone opereert, een houding die vooral wordt veroorzaakt door een gebrek aan kennis van de nieuwe technologieën. Daarnaast speelt geld een belangrijke rol. “De toenemende druk op de IAF’s om meer aandacht te besteden aan de ‘nieuwe’ risico’s houdt geen gelijke tred met het geld dat bedrijven hieraan uitgeven”, constateert Bart van Loon, partner bij KPMG’s Internal Audit, Risk & Compliance Services. Van Loon: “Ruim 40% geeft aan dat de budgetten voor de IT internal audit functie gelijk blijven. Bijna 10% voorziet dit jaar en volgend jaar zelfs een daling. Ruim 30% geeft aan dat dit soort budgetten wellicht zou kunnen stijgen. Maar als de investeringen niet minimaal op hetzelfde niveau blijven ontstaat er een reëel gevaar dat de IT internal auditor niet in staat zal blijken te zijn om voldoende zekerheid te bieden bij alle soorten risico’s die de onderneming loopt. Dus niet alleen de risico’s die betrekking hebben op de kernactiviteiten. Wij zien overigens wel dat Internal Auditfuncties in Nederland hierin in toenemende mate investeren.” 

D&A integreren in internal audit

Voldoende budget is volgens Huck Chuah van KPMG dan ook één van de belangrijkste voorwaarden om adequaat te kunnen reageren op alle nieuwe risico’s en beter geïntegreerde controle-instrumenten te kunnen toepassen in de volledige internal auditcyclus. Chuah: “De investeringen zijn ook noodzakelijk om data & analytics continu en systematisch te kunnen invoeren en integreren in de internal audits. Op het budget te kunnen oprekken hebben bedrijven een aantal mogelijkheden, zoals het verder automatiseren van de audit workflow, het invoeren van agile auditing en de inzet van auditors die beschikken over de laatste IT kennis, zoals auditors met een hackersachtergrond. Gezien het tempo waarin nieuwe risico’s op veel bedrijven afkomen, is het overigens wel de verantwoordelijkheid van de IAF om het bestuur en auditcommissie te wijzen om op de huidige beperkingen van de audits die zij kunnen leveren.”

Meer aandacht voor data privacy

Van Loon constateert dat de technologische risico’s voor veel ondernemingen steeds groter worden en voortdurend veranderen. Van Loon: “Voor veel bedrijven is het echter van essentieel belang is om te kunnen profiteren van de commerciële mogelijkheden die de nieuwe technologieën bieden. Technologieën die aanzienlijke risico’s met zich mee kunnen brengen en bedrijven steeds vaker het doelwit maken van hackers en fraudeurs. Naast cyber security moeten met name de data privacy risico’s veel meer aandacht krijgen van de IT internal auditor. Zeker nu een groot aantal ondernemingen voor de beslissing staat of zij hun data wel of niet over te brengen naar de cloud. Het belang van data privacy wordt benadrukt door de invoering van de General Data Protection Regulation in de Europese Unie en de Algemene Verordening Gegevensbescherming in Nederland. Bedrijven die hier niet aan voldoen kunnen vanaf mei 2018 boetes tot 4% van hun jaaromzet worden opgelegd.”

Gerelateerde artikelen