het Compliancekantoor

Risk Management

De kernvraag die iedere accountantsorganisatie zich met regelmaat zou moeten stellen is: “Zijn we als kantoor ‘fit-for-the-future’?”. Wanneer het antwoord op deze vraag niet meteen volmondig “Ja, natuurlijk!” luidt, dan is er op zijn minst sprake van zaken die voor verbetering vatbaar zijn.

Accountantsorganisaties zullen periodiek hun processen moeten evalueren om ervoor te zorgen dat zij alert zijn op alle potentiële risico’s die het kantoor dan wel de strategie van het kantoor kunnen beïnvloeden. Uiteraard zijn integriteitsrisico’s (SIRA) en het risico van het betrokken raken bij corruptie belangrijke risico’s. Maar accountantsorganisaties lopen nog meer risico’s, bijvoorbeeld op het gebied van IT & databeveiliging, wijzigingen in wet- en regelgeving en de invloed van nieuwe technologieën.

Op basis van een evaluatie van de mogelijke impact van de potentiële risico’s zal een beoordeling gemaakt worden of de bestaande maatregelen – in de vorm van regels en processen – voldoende zijn om eventuele effecten te verminderen dan wel dat aanvullende maatregelen of aanscherpingen van maatregelen noodzakelijk zijn. In dit kader is het van belang dat de beleidsbepalers van de accountantsorganisatie bepalen welk risiconiveau zij acceptabel vinden (de zogenaamde ‘risk appetite’), zodat het systeem van risicobeheersing ook efficiënt wordt ingericht.

Wanneer aanpassing van het systeem van risicobeheersing noodzakelijk is, zal concreet geformuleerd moeten worden welke aanpassingen noodzakelijk zijn, wie verantwoordelijk is voor de implementatie van deze aanpassingen en wanneer de implementatie voltooid moet zijn. Onderdeel van een goed systeem van risicobeheersing is voorts dat op periodieke basis gemonitord wordt dat het systeem ook effectief is, vandaar dat per risicogebied zogenaamde meetpunten (ook wel ‘key performance indicators’ genoemd) worden bepaald, zodat per onderdeel de werking getoetst kan worden. Voorbeelden van ‘key performance indicators’ zijn bijvoorbeeld het aantal en de aard van hack-pogingen en uitkomsten van externe IT-reviews. Uiteraard kan hierbij aangesloten worden bij een reeds aanwezig monitoringsysteem/ PDCA-cyclus.

Wij kunnen uw accountantsorganisatie ondersteunen bij het uitvoeren van een organisatie-brede risicoanalyse. Wanneer de risicoanalyse uitgevoerd en adequaat gedocumenteerd is kunt u ons inschakelen om, samen met u, de periodieke beoordeling van het systeem van risicobeheersing uit te voeren, te bepalen welke aanpassingen noodzakelijk zijn en hoe de monitoring van de werking van het systeem van risicobeheersing uitgevoerd kan worden.

Zie ook:
André de Regt RA partner bij het Compliancekantoor

Interesse in een van onze diensten? Laat dan een bericht achter, we gaan graag met u in gesprek: Neem contact op