IT-internal auditor nauwelijks toegerust op nieuwe technologische risico's

(Bron:www.accountant.nl)

IT-auditors binnen internal auditfuncties (IAF's) besteden wereldwijd nauwelijks aandacht aan nieuwe technologische risico's.

Dat blijkt uit internationaal onderzoek van KPMG onder 250 ondernemingen. Ondernemingen hebben te maken met nieuwe risico's als gevolg van robotica, machine learning, kunstmatige intelligentie (algoritmes) en het Internet of Things, waarbij alles en iedereen door het internet met elkaar verbonden is. De IT-internal auditor houdt zich vooral bezig met de belangrijkste operationele risico's waarmee het bedrijf te maken heeft, zoals het falen van interne procedures en de ongeoorloofde toegang tot de kwetsbare bedrijfssystemen.

Het gebrek aan aandacht voor nieuwe technologische risico's wordt volgens KPMG vooral ingeven door een gebrek aan kennis van bijvoorbeeld cyber security, data & analytics en privacywetgeving. "Uit het onderzoek blijkt dat veertig procent van de IT-internal auditors op dit moment vooral oog heeft voor de belangrijkste operationele risico's, zoals het verrichten van algemene IT-controles, controles van de applicaties die de onderneming gebruikt en het beheren van de toegang tot de systemen", aldus KPMG.

Comfortzone

Volgens KPMG opereren IT-auditors te veel vanuit hun comfortzone, een houding die vooral zou worden veroorzaakt door een gebrek aan kennis van de nieuwe technologieën. Daarnaast speelt geld een belangrijke rol. "De toenemende druk op de IAF's om meer aandacht te besteden aan de 'nieuwe' risico's houdt geen gelijke tred met het geld dat bedrijven hieraan uitgeven", constateert Bart van Loon, partner bij KPMG's Internal Audit, Risk & Compliance Services.

Van Loon: "Ruim veertig procent geeft aan dat de budgetten voor de IT-internal audit functie gelijk blijven. Bijna tien procent voorziet dit jaar en volgend jaar zelfs een daling. Ruim dertig procent geeft aan dat dit soort budgetten wellicht zou kunnen stijgen. Maar als de investeringen niet minimaal op hetzelfde niveau blijven ontstaat er een reëel gevaar dat de IT-internal auditor niet in staat zal zijn om voldoende zekerheid te bieden bij alle soorten risico's die de onderneming loopt. Dus niet alleen de risico's die betrekking hebben op de kernactiviteiten. Wij zien overigens wel dat internal auditfuncties in Nederland hierin in toenemende mate investeren."

Budget

Voldoende budget is volgens KPMG dan ook een van de belangrijkste voorwaarden om adequaat te kunnen reageren op alle nieuwe risico's en beter geïntegreerde controle-instrumenten te kunnen toepassen in de volledige internal auditcyclus. "De investeringen zijn ook noodzakelijk om data & analytics continu en systematisch te kunnen invoeren en integreren in de internal audits. Om het budget te kunnen oprekken hebben bedrijven een aantal mogelijkheden, zoals het verder automatiseren van de audit workflow, het invoeren van agile auditing en de inzet van auditors die beschikken over de laatste IT-kennis, zoals auditors met een hackersachtergrond. Gezien het tempo waarin nieuwe risico's op veel bedrijven afkomen, is het overigens wel de verantwoordelijkheid van de IAF om het bestuur en auditcommissie te wijzen op de huidige beperkingen van de audits die zij kunnen leveren."

Data privacy

Van Loon constateert dat de technologische risico's voor veel ondernemingen steeds groter worden en voortdurend veranderen. Van Loon: "Voor veel bedrijven is het echter van essentieel belang om te kunnen profiteren van de commerciële mogelijkheden die de nieuwe technologieën bieden. Technologieën die aanzienlijke risico's met zich mee kunnen brengen en bedrijven steeds vaker het doelwit maken van hackers en fraudeurs. Naast cyber security moeten met name de data privacy risico's veel meer aandacht krijgen van de IT-internal auditor. Zeker nu een groot aantal ondernemingen voor de beslissing staat of zij hun data wel of niet over te brengen naar de cloud. Het belang van data privacy wordt benadrukt door de invoering van de General Data Protection Regulation in de Europese Unie en de Algemene Verordening Gegevensbescherming in Nederland. Bedrijven die hier niet aan voldoen kunnen vanaf mei 2018 boetes tot vier procent van hun jaaromzet tegemoet zien. "