Inspireren. Verbinden. Veranderen.

Boom Management

Artikelen Top 10-risico’s voor 2020

Top 10-risico’s voor 2020

23 september 2019Leestijd: 5 minutenKwaliteitsmanagement

Acht Europese instituten voor Internal Auditors hebben de 10 meest impactvolle risico’s van 2020 voor organisaties in kaart gebracht. Het rapport is een jaarlijkse barometer van wat internal auditors beschouwen als hoogste risicoprioriteiten voor hun organisaties. En van wat hen bezighoudt bij het voorbereiden van hun komende auditplannen.

De top-10 bevat onder andere risico’s die al een aantal jaren meedraaien, zoals cybersecurity en digitalisering en die zich blijven ontwikkelen. Daarnaast vormen geopolitieke en economische ontwikkelingen, zoals de Brexit en spanning tussen China en de VS, mogelijke externe risico’s. Klimaatverandering is als grootste stijger op 10 binnengekomen.

De interne audit

Risico’s zijn van alle tijden en iedereen heeft ermee te maken. Organisaties willen weten welke risico’s de grootste impact zullen hebben en in welke risico’s mogelijke kansen schuilen. Internal audit jaarplannen zijn gebaseerd op inschattingen van deze risico’s. Het rapport Risk in Focus 2020 geeft gerichte input om de specifieke risico’s in de eigen organisatie te evalueren en te vertalen naar het eigen audit jaarplan.

Aan het onderzoek deden ruim 500 Chief Audit Executives(CAE) van toonaangevende ondernemingen mee uit verschillende bedrijfstakken in acht landen. Het rapport Risk in Focus geeft vragen die internal audit aan zichzelf en de organisatie zou moeten stellen, en gerichte handvatten om de specifieke risico’s in de eigen organisatie te evalueren.

Lees ook: Risicogericht Auditen: 5 stappen

Top 10-risico’s

Het rapport Risk in Focus 2020 behandelt de volgende 10 risico’s:

  1. Cybersecurity & data privacy: rising expectations of internal audit (78%)
  2. The increasing regulatory burden (59%)
  3. Digitalisation & business model disruption (58%)
  4. Looking beyond third parties (36%)
  5. Business Resilience, brand value & reputation (31%)
  6. Financial risks: from low returns to rising debt (30%)
  7. Geopolitical instability & the macroeconomy (29%)
  8. Human capital: the organisation of the future (27%)
  9. Governance, ethics & culture: the exemplary organisation (26%)
  10. Climate change: risk vs opportunity (14%)

Hoogte risico versus bestede tijd

Opvallend in het rapport is dat er op verschillende items een onbalans lijkt tussen de hoogte van de risico’s en de tijd die een audit-afdeling eraan besteedt. Interne auditors besteden nog relatief veel tijd aan de meer traditionele risico’s, zoals financial controls, compliance en governance. Relatief weinig tijd besteden ze aan de nieuwere risico’s, zoals cybersecurity en digitalisering, de externe risico’s en aan de soft controls (human capital en cultuur). Daar ligt een grote uitdaging voor 2020.

Cybersecurity: stijgende verwachtingen van interne audit

Een reeks cybersecurity-incidenten hield het onderwerp bovenaan de bedrijfsagenda in 2018 en 2019. Opmerkelijke voorbeelden zijn de ontdekking van de kwetsbaarheden Spectre en Meltdown die vrijwel alle Intel-verwerkingschips betreffen, de blootstelling van 50 miljoen persoonlijke informatie van Facebook-gebruikers en een ‘megalek’ van hotelketen Marriott die de gegevens van 500 miljoen klanten in gevaar bracht.

Het aanhouden van de cyberdreiging vereisen dat interne audit waakzaam en attent blijft.

Het aanhouden van de cyberdreiging – en de financiële en reputatiekosten die gepaard gaan met langdurige uitvaltijd, gestolen gegevensactiva en negatieve berichtgeving in de pers – vereisen dat interne audit waakzaam en attent blijft. Zelfs als de inspanningen van het bedrijf om het risico van informatiebeveiliging te beperken zeer volwassen zijn, is er behoefte aan de derde verdedigingslinie om op de hoogte te blijven van veranderingen die van invloed zijn op het informatiebeveiligingsrisicoprofiel van het bedrijf.

Klimaatverandering: risico versus kans

In de vorige editie van dit rapport noemde 8% van de CAE’s ‘Milieu en klimaatverandering’ als een top vijf-risico; dit is dit jaar bijna verdubbeld tot 14%. Milieu- en sociale ethiek werd vorig jaar als een hot topic genoemd, waarbij CAE’s zich richten op de regelgevingsaspecten van milieuduurzaamheid, zoals geïntegreerde rapportage. Dit jaar zien we dat audit-executives aandacht besteden aan de actie van klimaatverandering zelf, waarbij 17% van onze geïnterviewden dergelijke kwesties naast ecologische duurzaamheid benadrukken.

De zorgen variëren. Banken met klanten in de agrovoedingssector zien problemen met betrekking tot weersomstandigheden. In de telecomsector wordt de infrastructuur fysiek aangetast, waardoor hogere investeringen nodig zijn voor onderhoud. Vanuit strategisch oogpunt worden bedrijven in toenemende mate gedwongen om hun toekomst te evalueren in een veranderende fysieke omgeving.

Top 5-risico’s 2025

Naast het benoemen van risico’s voor 2020 geeft het rapport ook een inkijkje in de top-5 risico’s die men op de middellange termijn verwacht. Over het algemeen is er een kleine toename of afname te zien over een periode van vijf jaar. Opvallend is dat de traditionele risico’s waar internal audit van oudsher sterk in is afnemen en de accenten verschuiven naar de nieuwere risico’s. Van twee van die nieuwere risico’s verwacht men bijvoorbeeld dat die over vijf jaar een veel grotere rol gaan spelen.

Als eerste verdergaande disruptieve digitalisering en als tweede klimaatverandering. Daar waar nu respectievelijk 58% en 14% van de CAE’s het als risico benoemen, wordt met 75% digitalisering alleen maar ‘hotter’.

Voor wat betreft klimaatverandering benoemt maar liefst een dubbel aantal CAE’s (28%) dit als een van de top-5 risico’s voor over 5 jaar. Om hierop voorbereid te zijn, is het goed om nu al als IAF op kleine schaal te starten met het auditen van risico’s op dit vlak.

Vragen aan de interne auditor

Per risico zijn vragen aan de interne auditor toegevoegd, zoals deze op het gebied van cybersecurity:

Top 10_risico's

Bron: Instituut van Internal Auditors. Download hier het rapport ‘Risk in Focus 2020’

 

 

Meer leren over risicomanagement en de rol van de kwaliteitsprofessional en auditor?

Bekijk hier het programma van de Collegereeks Kwaliteit in digitale transitie,

met onder andere een college van risico-expert Martin van Staveren