Creëer impact door de digitale strategie te omarmen

3 december 2020 Anoep Singh en Jan Driessen
PDF
In dit artikel:

De toenemende digitalisering van onze maatschappij ervaren we elke dag wanneer we het nieuws lezen, onze kinderen naar school brengen en aan het werk zijn. Omdat technologische veranderingen (en met name digitalisering) zoveel impact op onze samenleving hebben en we verwachten dat deze impact nog verder toeneemt, definieerde PwC technologische veranderingen als een van de vijf megatrends. 1

Dit artikel is overgenomen met toestemming van de redactie van het blad Audit Magazine van IIA en de auteurs.

Een megatrend zien we als een macro-economisch en geostrategisch fenomeen, dat significante impact heeft op onze maatschappij en ons economisch en commercieel landschap hervormt. Digitalisering heeft impact op ons gedrag, de verwachtingen van onze stakeholders en de manier waarop we onze diensten aan onze klanten leveren. Maar hoe goed zijn organisaties voorbereid om op tijd de kansen te benutten die digitalisering biedt? Welke risico’s brengt deze megatrend met zich mee? En wat betekent digitalisering voor internal audit? Vragen genoeg om nader te onderzoeken.

‘Digital fitness’

Met het jaarlijkse onderzoek naar de zogenaamde ‘state of the internal audit profession’, zoekt PwC naar antwoorden op deze vraagstukken en met name op de rol die internal audit hoort te vervullen (zie tekstkader ‘PwC Annual State of the Internal Audit Profession Study’). De conclusie uit dat onderzoek is dat de mate van ‘digital fitness’ van de internal auditfunctie (IAF) in het groeipad van assurance provider naar een trusted advisor, zich op twee manieren uit.

Ten eerste betreft dit de mate waarin de IAF zich kan meten met de rest van de organisatie met betrekking tot kennis van en ervaring met digitalisering. Ten tweede uit de digital fitness zich in de strategie van de IAF en de doorvertaling daarvan in de manier van werken. Met andere woorden, hoe graag adopteert de IAF nieuwe tools en technieken en op welke wijze worden deze gebruikt tijdens de uitvoering van de audits? Immers, als de IAF te ver achterloopt, ontstaan er vanzelfsprekend gaten tussen de lines of defense en kunnen mogelijke risico’s verborgen of onontdekt blijven in de organisatie. Een ontwikkeling naar een digitale IAF (digital fitness) is in onze ogen noodzakelijk voor de IAF, wil zij waarde kunnen toevoegen en relevant blijven.

Een ‘digitale’ functie: talent, technologie en vervagende lijnen

In onze optiek moet een IAF digitalisering omarmen wil zij op termijn waarde kunnen blijven toevoegen en relevant kunnen blijven voor de organisatie. Maar wat is dan een digitale IAF? Uit het onderzoek komen twee invalshoeken naar voren, namelijk een interne en een externe oriëntatie.

  • Externe oriëntatie – De noodzakelijke vaardigheden en competenties bezitten om stakeholders strategisch te kunnen adviseren en assurance te kunnen verlenen over (opkomende) risico’s door de digitale transformatie van de organisatie.
  • Interne oriëntatie – Het aanpassen van de processen en diensten van de IAF om digitaal en datagedreven te kunnen handelen en zo te anticiperen en te acteren op de risico’s die de digitale transformatie van de organisatie met zich meebrengt.

PwC Annual State of the Internal Audit Profession Study

De PwC State of the Internal Audit Profession Study is een jaarlijks onderzoek dat wereldwijd wordt uitgevoerd naar thema’s die relevant zijn voor de ontwikkeling van internal audit. De laatste jaren is bijvoorbeeld de rol van de IAF in het anticiperen op en omgaan met disruptieve gebeurtenissen (2017) en innovatie (2018) onderzocht. Het onderzoek in 2019 had als thema de digitale internal auditfunctie.

 

De deelnemers aan het onderzoek zijn hoofden Internal Audit en de belangrijkste stakeholders van de IAF, zoals leden van de raad van bestuur, de auditcommissie, en tweedelijnsfuncties zoals risk management en compliance. De kwantitatieve resultaten worden gevalideerd met diepte-interviews met deelnemers. Het onderzoek in 2019 resulteerde in meer dan 2.000 deelnemers uit 99 landen, waaronder ongeveer 40 respondenten uit Nederland.

 

Zie voor de volledige studie: https://www.pwc.com/us/en/services/risk-assurance/library/internal-audit-transformation-study.html

De combinatie van deze invalshoeken stelt de IAF in staat om digital fit te worden. Echter, de praktijk blijkt weerbarstiger. Uit het onderzoek blijkt dat meer dan de helft van de IAF’s achterlopen in de kansen die digitalisering biedt (in het onderzoek aangeduid als ‘beginner’), zowel ten opzichte van de organisatie als ten opzichte van de tweedelijns risk en compliancefuncties. Voor de IAF’s is er dus nog voldoende werk aan de winkel.

Zes gedragingen

Wat moet er gebeuren om een inhaalslag te maken? Het antwoord daarop zien we bij de voorlopers. Als we kijken naar de IAF’s die voorop lopen in het omarmen van digitalisering (in het onderzoek aangeduid als dynamics), zien we zes gedragingen die we als succesfactoren hebben geïdentificeerd.

1. Ken en omarm de digitale strategie

Een digitale IAF begint uiteraard met het kennen van de digitale situatie en -strategie van de organisatie en met het begrijpen wat die strategie betekent voor de organisatie, de systemen en de onderliggende processen. Een auditor kan namelijk geen digitaal proces auditen of erover adviseren als de IAF zelf geen beeld heeft van de digitale transformatie die de eigen organisatie doormaakt.

Het omarmen van de digitale strategie betekent ook lef hebben en nieuwe (digitale) technieken durven te beoordelen zonder dat er een uitgekristalliseerd normenkader voor is gedefinieerd en vastgesteld. Door dat te durven, krijgen de dynamics inzicht in de technieken, de wijze van implementatie en gerelateerde risico’s en is de IAF in staat lessons learned te definiëren en te delen met de organisatie. Hierdoor kunnen de dynamics hun organisatie verder op weg helpen de opkomende technologieën succesvol te implementeren en te gebruiken.

2. Ontwikkel de noodzakelijke competenties en omarm nieuwe specialisten
Om goed met de nieuwe technologieën te kunnen omgaan, moet de IAF ook nieuwe competenties opbouwen. De kennis en vaardigheden van de IAF moeten met het steeds meer digitaal worden van de organisatie meegroeien, zodat zij hierover kunnen adviseren en de inzet van deze technieken kunnen beoordelen. Dit kan door bijvoorbeeld de huidige medewerkers verder te ontwikkelen via gerichte trainingen, door nieuwe collega’s aan te nemen die beschikken over specifieke kennis en vaardigheden, of door de noodzakelijke kennis in te huren. Een alternatief kan zijn dat de IAF samen optrekt met de tweedelijnsfuncties om de pool aan digitaal talent binnen de organisatie te vergroten.

3. Zoek de interactie op met de beleidsbepalers van de digitale agenda
Door goed op de hoogte te zijn van (mogelijke) initiatieven, programma’s en andere ontwikkelingen in de organisatie, kan de IAF beter anticiperen op wat er gaat komen op het gebied van digitalisering. Tegelijkertijd geeft de interactie met beleidsbepalers ruimte aan de IAF om (informele) invloed uit te oefenen, al dan niet gezamenlijk met de tweedelijnsfuncties, door vroegtijdig te adviseren over opkomende risico’s bij de digitalisering van de organisatie. Hierdoor kan er een gedragen standpunt worden ontwikkeld over opkomende risico’s van digitalisering en de beheersing ervan.

4. Digitaliseer het werkpakket en de werkwijze van de IAF
Ook voor de IAF biedt digitalisering en de daarmee samenhangende technieken mogelijkheden om de eigen werkzaamheden anders in te richten. Voorbeelden van digitale technieken die een IAF kan inzetten, zijn data-driven risicobeoordelingen, platformen voor continuous monitoring, populatie-testmethoden en realtime dashboards en -reporting. Begin hierin bescheiden en schaal daarna op. De IAF behaalt quick wins door repeterende activiteiten die veelvuldig worden uitgevoerd te automatiseren of met continuous monitoring anders te auditen.

Met betrekking tot de digitaleringswerkzaamheden in de lijn: start met het adviseren van het management om de organisatie aan de gang te krijgen. Voeg waarde toe door aan de voorkant van de implementatie betrokken te zijn en in die rol te adviseren over risico- en governancevraagstukken. Naarmate deze zaken meer zijn geïmplementeerd, kan de rol van adviseur worden ingeruild voor die van auditor.

5. Begeleid de organisatie in het proactief omgaan met opkomende risico’s
Een snel veranderende organisatie vraagt om een dynamische IAF. Evalueer daarom regelmatig het vastgestelde auditjaarplan op basis van ontwikkelingen, interactie met de organisatie en risicobeoordelingen. Focus bij het laatste met name op de ontwikkeling van (opkomende) risico’s, zowel in kans als impact. Naast het flexibel plannen van audits kan de IAF ook audits uitvoeren met de snelheid van de organisatie door bijvoorbeeld audits in sprints te gaan uitvoeren volgens een agilemethodologie. De IAF kan dan, terwijl een applicatie of tool wordt uitgerold, meekijken en mogelijke risico’s kunnen al tijdens de implementatie worden opgepakt.

6. Werk samen om te komen tot een gezamenlijke en gedragen visie op digitalisering en de beheersing van mogelijke risico’s
Digitalisering heeft een dusdanige impact op de organisatie dat er bij de beheersing een taak ligt die breder is dan de reikwijdte van de IAF alleen. Zoek daarom de interactie op met zowel de eerste als de tweede lijn in het gezamenlijk ontwikkelen van een visie, definities en tooling om opkomende risico’s te beheersen zoals GRC-tools, data analytics en data lakes. Figuur 1 toont de resultaten van vragen over samenwerking en het opbouwen van de digitale vaardigheden aan de deelnemers van het PwC-onderzoek.


Figuur 1:
Resultaat van vragen over samenwerking en opbouwen van digitale vaardigheden (PwC-onderzoek)

Begin vandaag!

De IAF heeft een mandaat en een verantwoordelijkheid voor de organisatie met betrekking tot de beheersing van digitalisering. De trend negeren, is geen optie als de IAF relevant wil blijven voor haar stakeholders en waarde wil toevoegen aan de organisatie. Waar kan de IAF vandaag nog mee beginnen? Kijkend naar de zes gedragingen van een IAF die digitally fit is, komen drie kenmerken veelvuldig terug, namelijk talent, technologie en samenwerking.

Talent
Breng de huidige staat van vaardigheden en competenties van de IAF met betrekking tot digitalisering in kaart. Dit betekent niet alleen kennis hebben van digitalisering, maar ook de vaardigheid om over deze technieken met stakeholders het juiste gesprek te kunnen voeren. Als er vaardigheden en competenties ontbreken, bepaal dan of de noodzakelijke kennis kan worden ontwikkeld of extern moet worden aangetrokken.

Technologie
Blijf up-to-date met digitaliseringsinitiatieven binnen de organisatie en met audittools en technieken. Ga na waar op dit moment in het eigen auditproces al gebruik kan worden gemaakt van digitalisering of automatisering. Ook op deze manier kan worden gezorgd voor het opbouwen van relevante ervaring binnen de IAF.

Samenwerking
Vermijd het denken vanuit silo’s. Start het gesprek met de andere lines of defense om na te gaan hoe zij de digitalisering van de organisatie beoordelen. Ga na of er mogelijkheden zijn om gezamenlijk op te trekken in bijvoorbeeld het ontwikkelen van een gedragen standpunt als het gaat om risico’s en beheersing ervan bij digitalisering en het ontwikkelen van een gezamenlijk digitaal governanceplatform. Bespreek hoe data governance (assurance) over kritische aspecten van de data van de organisatie kan worden vormgegeven.

NOOT

1 PwC onderkent vijf megatrends. Naast technologische veranderingen zijn dat demografische veranderingen, verschuiving in economische macht, versnelling van de verstedelijking, en klimaatverandering en grondstoffenschaarste.

Geen categorie

Anoep Singh MSc RO CIA | Manager GRC/Internal Audit Services bij PwC

Anoep Singh is manager Internal Audit & GRC services bij PwC. Hij adviseert bedrijven bij het implementeren en optimaliseren van hun internal auditfunctie en interne controlesystemen. Voor verschillende klanten is hij manager voor de internal auditfunctie.

Drs. Jan Driessen RO CIA | Partner GRC & Internal Audit Services bij PwC

Jan Driessen is partner Internal Audit & GRC Services bij PwC. Hij adviseert bedrijven bij het implementeren, optimaliseren en automatiseren van hun internal governancesystemen. Voor verschillende klanten is hij eindverantwoordelijk voor de internal auditfunctie.