AuditBoard heeft de resultaten aangekondigd van het benchmarkonderzoek, Internal Audit’s Expanding Role: The Foundation for Connected Risk. Het onderzoek toont aan dat meer dan de helft van de belangrijkste stakeholders, zoals auditcommissies, bedrijfsraden en financieel directeuren, steeds meer van interne auditteams verwacht.
Ze willen dat deze teams zich meer richten op risico gerelateerde werkzaamheden, terwijl de capaciteit voor advies gerelateerde diensten beperkt is. Deze toegenomen vraag naar risico gerelateerde werkzaamheden, gecombineerd met een tekort aan capaciteit voor risicomanagement, leidt tot een risico-onderdekking binnen organisaties.
Het gebrek aan capaciteit binnen de meeste organisaties om de eisen van het huidige ongekende risicolandschap te beheren, heeft veel bedrijven kwetsbaarder dan ooit gemaakt voor de toenemende risk exposure gap. Dit kan leiden tot schadelijke financiële en reputatieschade, waaronder boetes voor niet-naleving van regelgeving, met een gemiddelde van €13 miljoen per non-compliance incident. Ook kunnen verloren inkomsten of marktaandeel door incidenten met derden optreden, met een gemiddelde van €920 miljoen per incident. Daarnaast kunnen materiële zwaktes leiden tot dalende aandelenkoersen, lagere waarderingen en verminderd investeerdersvertrouwen. De meest kritieke impact is echter ook de meest voorkomende. Bij de meeste organisaties ontvangt het management simpelweg niet de informatie die nodig is om risico-geïnformeerde beslissingen te nemen en bedrijfswaarde te creëren.
Het onderzoek bekijkt waar interne auditteams momenteel het grootste deel van hun tijd doorbrengen en waar aanpassingen kunnen worden gedaan om de focus te verschuiven naar risicogerelateerde activiteiten met toegevoegde waarde.
De bevoegdheden van interne auditteams breiden zich uit, omdat organisaties steeds vaker hun expertise op het gebied van risico’s en controles willen benutten om te kunnen reageren op het huidige, zeer volatiele risicolandschap. Het testen van informatiebeveiligingscontroles lijkt steeds belangrijker te worden, waarbij 82% van de chief audit executives (CAE’s) in enige hoedanigheid betrokken is en 44% eigenaar is of er sterk bij betrokken is.
Daarnaast verdient continue monitoring meer aandacht voor interne audit teams. Slechts 28% van de chief audit executives (CEA) is owner van of sterk betrokken bij continue monitoring van een belangrijk proces, maar 60% van de ondervraagde auditors is op enige wijze betrokken bij Enterprise Risk Management (ERM) en 40% is er helemaal niet bij betrokken.
Interne audit teams krijgen ook te maken met veranderende verwachtingen van veel van haar belangrijkste stakeholders.
Meer dan de helft (55%) van de CAE’s geeft aan dat hun administratieve rapportagemanagers (meestal Chief Financial Officers) interne auditteams de afgelopen twee jaar hebben gevraagd om betrokken te zijn bij meer activiteiten, waaronder ERM, environmental, social, governance, operationele initiatieven en kwaliteitsborging.
Daarnaast zijn Integrated Risk Management (IRM) nog niet volwassen bij de meeste organisaties. Hoewel ondervraagde CAE’s IRM aanwezen als hun belangrijkste gebied voor het vergroten van verantwoordelijkheden, hebben de meeste organisaties nog een lange weg te gaan naar IRM-volwassenheid. IRM werd door CAE’s het meest genoemd als gebied waar ze meer bij betrokken zouden moeten zijn. Opmerkelijk is echter dat IRM niet eens voorkomt in de huidige belangrijkste verantwoordelijkheden van auditors, ondanks dat het een antwoordoptie was.
Enterprise Risk Management (ERM) werd het op één na belangrijkste gebied genoemd waar CAE’s vinden dat ze meer betrokkenheid bij zouden moeten hebben. 96% van de organisaties mist volwassen IRM-programma’s. 11% van de organisaties meldt helemaal geen IRM-strategie te hebben, waarbij audit-, risico- en compliance functies onafhankelijk van elkaar werken. Maar liefst 51% van de organisaties weet dat IRM nodig is, maar heeft geen samenhangende strategie.
Nog eens 24% heeft geen formele strategie, maar zegt dat ze actief werken aan het verbinden van audit-, risico- en compliance functies. Deze bevinding is veelbelovend en weerspiegelt de erkenning van de noodzaak van IRM, ook al gebruiken ze de specifieke term nog niet.
“Organisaties kunnen risico’s beter beheren door een connected risk strategie te hanteren: een moderne, cross-functionele aanpak voor het beheren van risico’s in de hele onderneming,” aldus Tom O’Reilly, Field Chief Audit Executive en Connected Risk Advisor bij AuditBoard. “Het voortouw nemen in connected risk is een natuurlijke evolutie van interne auditrollen, gezien hun brede scala aan governance-, risico- en compliance-expertise, gecombineerd met diepe cross-functionele relaties.”
Methodologie
AuditBoard verzamelde data van 150 respondenten wereldwijd. Het onderzoek werd in februari 2024 uitgevoerd. Alle respondenten identificeerden zichzelf als CAE of interne auditleider. Ongeveer 28% van de respondenten kwam uit de industriële sector, 25% uit financiën/verzekeringen, 19% uit diensten, 19% uit overheid/onderwijs en 10% uit technologie. Meer dan 38% van de respondenten kwam uit organisaties met een jaarlijkse omzet tussen €490 miljoen en €4,5 miljard, 19% €46 miljoen – €490 miljoen, 12% €4,5 miljard – €18,5 miljard, 12% tot €46 miljoen en 7% boven €19 miljard. Nog eens 14% noemde de omzet vertrouwelijk.
Bezoek de website van AuditBoard voor meer informatie. Het volledige onderzoek kunt hier downloaden. Voor meer insights over AI voor audit, risico en compliance, download het eBook.
Meer lezen
