IIA Nederland heeft samen met zeven andere Europese instituten voor Internal Auditors de tien meest impactvolle risico’s van 2020 voor organisaties in kaart gebracht op basis van de bevindingen van ruim 500 Chief Audit Executives . Daarbij gaat het onder andere om risico’s die al een aantal jaren bekend zijn, zoals cybersecurity en digitalisering. Daarnaast vormen geopolitieke en economische ontwikkelingen, zoals de Brexit en spanning tussen China en de VS, mogelijke externe risico’s. Klimaatverandering is bovendien als grootste stijger de top 10 binnengekomen. In het rapport Risk in Focus 2020 wordt volgens de opstellers aan de hand van de top tien gerichte input gegeven om de specifieke risico’s in de eigen organisatie te evalueren en te vertalen naar het eigen audit jaarplan.
Top-10 risico’s
- Cybersecurity & data privacy: rising expectations of internal audit (78%)
- The increasing regulatory burden (59%)
- Digitalisation & business model disruption (58%)
- Looking beyond third parties (36%)
- Business Resilience, brand value & reputation (31%)
- Financial risks: from low returns to rising debt (30%)
- Geopolitical instability & the macroeconomy (29%)
- Human capital: the organisation of the future (27%)
- Governance, ethics & culture: the exemplary organisation (26%)
- Climate change: risk vs opportunity (14%)
Hoogte risico versus bestede tijd
Opvallend in het rapport is volgens IIA dat er op verschillende items een onbalans lijkt tussen de hoogte van de risico’s en de tijd die een audit-afdeling eraan besteedt. IAF’s besteden nog relatief veel tijd aan de meer traditionele risico’s, zoals financial controls, compliance en governance. Relatief weinig tijd besteden ze aan de nieuwere risico’s, zoals cybersecurity en digitalisering, de externe risico’s en aan de soft controls (human capital en cultuur). Daar ligt een grote uitdaging voor 2020, stelt IIA.
Top-5 risico’s 2025
Naast het benoemen van risico’s voor 2020 geeft het rapport ook een inkijkje in de top-5 risico’s die op de middellange termijn worden verwacht. Over het algemeen is er een kleine toename of afname te zien over een periode van vijf jaar. Opvallend is dat de traditionele risico’s waar internal audit van oudsher sterk in is afnemen en de accenten verschuiven naar de nieuwere risico’s. Van twee van die nieuwere risico’s verwacht men bijvoorbeeld dat die over vijf jaar een veel grotere rol gaan spelen. Als eerste verdergaande disruptieve digitalisering en als tweede klimaatverandering. Daar waar nu respectievelijk 58% en 14% van de CAE’s het als risico benoemen, wordt met 75% digitalisering alleen maar ‘hotter’. Voor wat betreft klimaatverandering benoemt maar liefst een dubbel aantal CAE’s (28%) dit als een van de top-5 risico’s voor over 5 jaar. Om hierop voorbereid te zijn, is het goed om nu al als IAF op kleine schaal te starten met het auditen van risico’s op dit vlak, stelt IIA.
De bestuurssamenvatting en het rapport zijn op de website van IIA Nederland gratis te downloaden. Ook is er een video op het YouTubekanaal van IIA Nederland.
Geef een reactie