De negen hot topics van de Europese internal auditor in beeld

Zes Europese Instituten van Internal Auditors onderzochten wat de ‘hot topics’ zijn als het gaat om de planning van internal audit activiteiten voor 2018. Tijdens de conferentie van de Europese Instituten van Internal Auditors in Bazel, Zwitserland werd gisteren, op 21 september, het rapport “Risk in Focus, hot topic for internal audit 2018” gepresenteerd. Hieruit blijkt dat de nieuwe Europese Data Protection Regulation, cybersecurity en het tempo waarin innovaties plaatsvinden hoog op de agenda staan. Elke organisatie heeft met risico’s te maken die ook nog eens veelvuldig veranderen. 

In zes Europese landen werden de Chief Audit Executives (CAEs) van toonaangevende ondernemingen uit verschillende bedrijfstakken geïnterviewd. Op basis van de interviews is een beknopte handreiking uitgebracht. Daarin zijn negen onderwerpen geselecteerd die een stempel zullen drukken op de prioriteitsstelling in de internal auditplannen voor 2018.
Uit het rapport blijkt dat er een negental “hot topics voor internal audit” naar voren komen,  en dat zijn:
1. GDPR en de uitdaging van gegevensbeveiliging;
2. cybersecurity: op weg naar volwassenheid;
3. tempo van innovatie;
4. complexiteit van regelgeving en onzekerheid;
5. politieke onzekerheid: Brexit en ander onbekende gebeurtenissen;
6. leveranciersrisico’s en 3rd party assurance;
7. het cultuur enigma;
8. bemensing: voorbereiden op de toekomst;
9. ontwikkelen van de internal auditfunctie.
De dreiging van cybercriminaliteit
Er is één risico dat voor alle CAEs uit alle landen hoog op de agenda staat: cybersecurity. Geen verrassing aangezien alle bedrijven afhankelijk zijn van technologie en zodoende te maken hebben met de risico’s die daaraan verbonden zijn. Toch is er nog een groot gat tussen bewustzijn van en het daadwerkelijk voorbereid zijn op cyberdreigingen. Het is aan de internal audit afdeling om organisaties een breed beeld te geven op in hoeverre ze opgewassen zijn tegen cyberbedreigingen.
Slechts twee procent voldoet op dit moment aan GDPR
Na cybersecurity vraagt het voldoen aan de EU’s General Data Protection Regulation, kortweg GDPR, veel aandacht van de CAEs. Uit recent onderzoek onder 900 beslissers blijkt dat 31% van mening is te voldoen aan de eisen van de GDPR en slechts 2% is daar helemaal zeker van. Een risicofactor dus. Voor wie boetes wil voorkomen, is er dus werk aan de winkel. De deadline van 25 mei 2018 nadert met rasse schreden. De internal audit afdeling zal in kaart moeten brengen hoe waarschijnlijk het is dat de organisatie voldoet aan de regelgeving tegen de tijd dat de deadline is verstreken.
Innovatie en verschillen per land en sector
Het sterk veranderende, innoverende landschap is eveneens een hot topic dat de CAEs in hun auditplan 2018 benoemen. Marktleiders moeten steeds vaker denken als start-up om bij te kunnen blijven. Dit constant moeten blijven innoveren – of juist het niet bij kunnen benen – wordt door de CAEs als reëel risico gezien.
Naast de top-3 risicogebieden die voor alle CAEs in de diverse sectoren en landen gelden, zijn er beoogde risico’s die per sector en per land verschillen. Zo levert voor het Verenigd Koninkrijk de Brexit politieke onzekerheid op om rekening mee te houden. En de financiële sector maakt zich ten opzichte van andere sectoren grotere zorgen over de steeds meer complexe regelgeving. Voor deze sector speelt de MiFID II (second Markets in Financial Instruments Directive) die onder andere regelgeving met zich meebrengt die tot meer transparantie moet leiden. In juli 2017 bleek 90% nog niet te voldoen hieraan en MiFID II is 3 januari 2018 van kracht.
Over het onderzoek: Aan het onderzoek deden CAEs uit Frankrijk, Italië, Nederland, Spanje, het Verenigd Koninkrijk en Zwitserland en werkzaam bij marktleiders in de bouw & infra, financiële sector, IT, maakindustrie, overheid, detailhandel, telecommunicatie en utiliteit & energie mee. De rode draad door het onderzoek is de fundamentele impact die technologie heeft op zowel organisaties als het vak van de internal auditors.