Van accountants wordt verwacht dat ze risico’s inschatten op een afwijking van materieel belang. In ons eerdere blog ‘Ken je klant 2.0!’ schreven we al over het toegenomen belang van het inzicht in de entiteit en haar omgeving. Accountants moeten inherente risico’s identificeren en deze evalueren aan de hand van vijf ‘inherente risicofactoren’ uit Standaard 315. In dit blog geven we je 2 tips om als accountant te leren van 634 interne auditors.
Risk in Focus onderzoek
Sinds 2016 voert het Instituut van Internal Auditors (hierna: IIA) jaarlijks het ‘Risk in Focus’ onderzoek uit. In 2022 geven 634 internal auditors[1] hun visie op de belangrijkste risico’s voor hun organisaties. Een inspiratiebron voor externe accountants, want dit geeft ons belangrijke info over welke risico’s mogelijk een rol kunnen spelen bij onze klanten. Internal auditors staan immers dicht bij de dagdagelijkse operationele processen. Wat is dan de top 6 van risicogebieden die zij voorzien voor 2023 en 2026?
[1] Bron: visie van 634 hoofden van internal auditfuncties verspreid over heel Europa. Risk in Focus 2023, Instituut van Internal Auditors, oktober 2022
| Risicogebied | Rank ‘23 | Rank ‘26 |
| Cybersecurity and data security | 1 | 1 |
| Human capital, diversity and talent management | 2 | 2 |
| Macroeconomic and geopolitical uncertainty | 3 | 5 |
| Change in laws and regulations | 4 | 6 |
| Digital disruption, new technologies and AI | 5 | 4 |
| Climate change and environmental sustainability | 6 | 3 |
Het zal je niet verbazen dat cybersecurity en human capital op de nummers 1 en 2 staan. Climate change and environmental sustainability’ stijgt als risico de komende jaren. De verwachting is dat de aankomende duurzaamheidsregelgeving -opgenomen onder change in laws and regulators’ tegen 2026 meer is geïmplementeerd en daarmee als risico afneemt.
Je ziet dat macro-economische en geopolitieke onzekerheid en het risico van wijzigingen in wet- en regelgeving in belang afnemen. De verwachting is dat de oorlog in Oekraïne tegen die tijd minder impact heeft. De inschatting is dat de impact van klimaatverandering en digitale disruptie, nieuwe technologieën en AI in belang toenemen. Maar hoe kun je deze uitkomsten nu gebruiken bij je controle? Hiervoor geven we je twee tips.
Tip 1: Zoek de internal auditor bij jouw klant op en maak gebruik van die input
Volgens Standaard 315 verzoekt de accountant om inlichtingen en verwerft inzicht in de interne auditfunctie. Gebruik de input van de internal auditor bij jouw klant om je risico-inschatting te toetsen met jouw bevindingen. Gebruik hierbij de risicolijst uit het Risk in Focus rapport. Vind je het lastig om dit gesprek aan te gaan?
Hanteer dan de volgende vragen:
- Welke risico’s zien zij in aanvulling voor de organisatie?
- Hoe vertalen ze deze naar hun internal audit plan?
- Hoe schatten zij in dat deze risico’s de verantwoording kunnen raken?
- Wat zijn de belangrijkste beheersmaatregelen en wat is de inschatting van de effectiviteit ervan?
- Heeft de interne auditfunctie nog een rol in het verantwoordingsproces, bijvoorbeeld ten aanzien van de risicoparagraaf?
Bespreek op welke manier je in de jaarrekeningcontrole gebruik kunt maken van de uitkomsten van interne auditwerkzaamheden. Bespreek ook de rol van de interne auditfunctie in het kader van de duurzaamheidsverantwoording en de rol in frauderisicobeheersing en frauderespons.
Tip 2: Vragen voor het bestuur
Neem de uitkomsten uit het gesprek met de internal auditor mee in een gesprek met het bestuur. Of stel de eerdergenoemde vragen direct aan hen. Welke risico’s ziet het bestuur en hoe zijn deze beheerst? Met welke scenario’s werkt het bestuur en wat is de bandbreedte van de mogelijke impact? Hoe verhoudt zich dat ten opzichte van de risicoacceptatieniveaus? Mocht een risico zich manifesteren, hoe staat het dan met de actualisatie van de business continuity en het crisismanagement? Ten slotte, op welke manier gaat het bestuur verantwoorden over de risico’s in het jaarverslag?
Verbeter de risicoidentificatie en inschatting met behulp van de inzichten van 634 internal auditors, want een risico is geen ingecalculeerd risico als je de impact en waarschijnlijkheid niet expliciet ingeschat hebt!
Meer weten?
Wil je meer weten over hoe je de vernieuwde Standaard 315 in de praktijk toepast, lees dan ons blog: ‘Routeplanner voor de herziene standaard 315’. Wil je meer weten over het adviseren over en het toetsen van Business continuity management en crisismanagement, raadpleeg dan de NBA guidance.