
Het huidige bedrijfsklimaat verlangt van bedrijven dat zij zich effectief aanpassen aan altijd veranderende marktdynamiek en regelgeving. Als een bedrijf groeit, groeien ook de risico’s en 67 procent van CEO’s van grote organisaties beaamt dat de laatste twee a drie jaar het algemene risico van bedrijfsvoering is gegroeid. Van deze CEO’s denkt 42 procent dat er fundamentele bedrijfsrisico’s in hun bedrijf aanwezig zijn die niet formeel gemanaged worden.
Ernst & Young schrijft dit in haar rapport Risk Assessment and Audit Planning. Het rapport onderzocht het belang van het identificeren van sleutelrisico’s van bedrijven en hoe deze succesvol intern kunnen worden geaudit. Voor het rapport werden 144 CEO’s van grote internationale organisaties ondervraagd.
Risk Gaps
Veel interne auditgroepen hebben geen middelen om zich te richten op fundamentele operationele bedrijfsrisico’s zoals nieuwe faciliteiten of fusies en overnames. Het is ook moeilijk voor deze groepen om te beschikken over de uitvoerige kennis en kunde die nodig zijn om diverse sleutelrisico’s in te schatten. Als de middelen en kennis niet steeds worden bijgesteld, kan er een zogenaamde risk gap ontstaan tussen het veranderende risicoprofiel van een organisatie en de risicobeschrijving. Een dergelijke risk gap kan verregaande negatieve consequenties hebben.
Strategy-based risico-inschatting
Volgens Ernst & Young kan een door interne audit uitgevoerde formele, strategy-based risico-inschatting het vermogen van bedrijven om haar sleutelrisico’s te begrijpen significant bevorderen. Als deze audits goed worden uitgevoerd, zouden zij een integraal deel moeten uitmaken van de risico-inschatting van het management. Een effectieve strategy-based audit behelst een gestructureerd proces dat het fundament wordt waarop risico’s worden ingeschat. Verder wordt het management op deze manier steeds vaardiger in het inschatten van risico’s en is de continuering van de audit gewaarborgd.
Succesfactoren
Het uitvoeren van een strategische risico-inschatting is een complexe en tijdsintensieve taak met enkele kritische succesfactoren. De eerder genoemde kennis en kunde van de auditors is van groot belang. Hierbij moet rekening gehouden worden met de cultuur van het bedrijf en het multidisciplinaire karakter van de vereiste kennis. Verder moeten de auditors kunnen samenwerken met alle partijen in de organisatie, van hoog naar laag. Hulp vanuit het management is hierin vitaal, net zoals alle andere steun – financieel en anders – van de top.
In de contacten met de partijen moeten de auditors in alle gevallen objectief blijven. Een gezonde dosis scepsis is, zeker in het contact met het management, van groot belang, ook al moeten de auditors in feite samen met de partijen een rapport opstellen. Dit rapport kan in principe geschreven worden met of zonder behulp van specifieke technologie, maar uit analyse van vooraanstaande auditcommissies blijkt dat deze verschillende bestaande technologieën combineren om zo tot een unieke audit te komen die geschreven is op maat van de organisatie. Ten slotte moet het auditplan een dynamisch karakter hebben en regelmatig geëvalueerd worden om tijdig veranderende of nieuwe risico’s mee te nemen in het rapport.<