Essay

Internal audit als witte zwaan

Edo Roos Lindgreen^‡, John Bendermacher^§, Frans Eusman^|

‡ Universiteit van Amsterdam, Amsterdam, Netherlands

§ CAE, Brussel, Belgium

| CAE, Amsterdam, Netherlands

Corresponding author: Edo Roos Lindgreen ( e.e.o.rooslindgreen@uva.nl )

Academic editor: Annemarie Oord

This is an open access article distributed under the terms of the Creative Commons Attribution License (CC BY-NC-ND 4.0), which permits to copy and distribute the article for non-commercial purposes, provided that the article is not altered or modified and the original author and source are credited.

Citation: Roos Lindgreen E, Bendermacher J, Eusman F (2025) Internal audit als witte zwaan. Maandblad voor Accountancy en Bedrijfseconomie 99(4): 175-180. https://doi.org/10.5117/mab.99.154653

Samenvatting

De snelle opeenvolging van impactvolle externe gebeurtenissen in dit decennium heeft bij veel bestuurders en toezichthouders geleid tot een veranderde kijk op risico’s en risicobeheersing, en daarmee ook op de rol van internal audit. In dit opiniestuk gaan de auteurs in op deze ontwikkeling, het belang van scenarioplanning en op de uitdagingen die internal audit de komende jaren verder te wachten staan. Aan de orde komen onder meer de rol van de tweede lijn, onafhankelijkheid, transparantie, human capital, organisatiecultuur, AI, ESG en regelgeving.

Trefwoorden

Internal auditing, black swans, scenarioplanning, transparantie, gedrag en cultuur, AI, ESG, cybersecurity

Relevantie voor de praktijk

Chief Audit Executives (CAE’s) en internal audit professionals krijgen de komende jaren te maken met grote en deels onvoorspelbare veranderingen. Auteurs geven in dit paper een beknopte visie op deze ontwikkeling, gebaseerd op eigen ervaringen en gedachtewisselingen met experts in het vakgebied, en hopen hiermee een bijdrage te leveren aan een internal auditfunctie die is voorbereid op de toekomst.

1. Inleiding

Panta rhei, schreef de Griekse filosoof Heraclitus 2500 jaar geleden. Alles stroomt. De wereld is constant in verandering, en in die verandering moeten mensen hun plaats kennen. Never a dull moment, maakten de Engelsen daar later onderkoeld van. De huidige aaneenschakeling van mondiale crises, geopolitieke aardverschuivingen en technologische revoluties illustreert de waarde van deze wijsheden. Een pandemie, wereldwijde inflatie, echte oorlogen, handelsoorlogen en de stormachtige opkomst van kunstmatige intelligentie (AI): de parade van “black swans” (Taleb 2007) roept bijna de vraag op of er nog wel witte zwanen bestaan.

De sociaal-economische impact van deze gebeurtenissen kan moeilijk overschat worden. Het aantal faillissementen steeg wereldwijd, met 7% in 2023 en 9% in 2024, in de Verenigde Staten zelfs met tientallen procenten, mede als gevolg van de pandemie (Allianz 2024). Sanctiemaatregelen tegen Rusland, opgelegd door de Europese Unie en de Verenigde Staten, raakten en raken tal van bedrijven en instellingen met business in dit land (BZ 2025). De crisis in het Midden-Oosten leidde tot verdeeldheid en wereldwijde protesten. Het nieuwe buitenlandbeleid van de Verenigde Staten maakt enorme investeringen in de Europese defensie-industrie noodzakelijk. AI versnelde de opkomst van de grote technologiebedrijven en hun oprichters, die zich via de Amerikaanse verkiezingen ook een plaats op het politieke wereldtoneel wisten toe te eigenen (AIVD 2024). En wie weet wat er nog meer gebeurt – of beter: gebeurd is – in de maanden tussen het moment van schrijven en het moment van lezen van dit artikel.

In al deze dynamiek blijft internal audit stabiel. Dat was vijf tot tien jaar geleden niet de verwachting; auditing zou nooit meer hetzelfde zijn, dachten velen toen. Continuous auditing zou gemeengoed worden (Chan et al. 2018). Blockchain zou een game changer voor auditing zijn (Psaila 2018). Hetzelfde zou gelden voor data analytics (Protivity 2018). Verder zouden auditors veel meer tijd gaan besteden aan gedrag en cultuur. Van al deze voorspellingen of droomwensen is weinig terechtgekomen. Continuous auditing is er nooit echt gekomen. Blockchain is als een nachtkaars uitgegaan – behalve bitcoin, inmiddels omarmd door Wall Street (Schmitt 2024), en “crypto”, niet meer dan een digitale ongereguleerde miljardenmarkt voor gokkers en zwendelaars. Eerlijk is eerlijk, audits zijn meer data-gedreven geworden, en auditors zijn meer aandacht gaan besteden aan gedrag en cultuur, maar de verschillen met vijf jaar geleden zijn veel kleiner dan door sommigen verwacht.

2. Een nieuwe visie op risicobeheersing

Dat internal auditing een stabiele factor is, betekent niet dat het vakgebied heeft stilgestaan. Wat in elk geval sterk veranderd is, is de visie op risicobeheersing, en daarmee ook de visie op de rol en inrichting van de derde lijn. Leunde deze visie ooit sterk op het traditionele post-SOx-model waarin risico’s vrijwel direct werden vertaald naar mitigerende maatregelen die dus in het auditplan afgedekt moesten worden (en dus leidden tot lange lijsten met risico’s en beheersingsmaatregelen), de meeste organisaties kiezen inmiddels bewust voor een efficiëntere en effectievere aanpak die nog steeds risk-based is, maar waarin focus op de meest impactvolle risico’s zwaarder weegt dan het streven naar volledigheid, en waarin meer gekeken wordt naar de adequaatheid van governance en het functioneren van risicomanagement en de tweede lijn.

Wat verdwenen is, of in elk geval verminderd, is het geloof in de maakbaarheid van risicobeheersing. Hier heeft een zekere naïviteit plaatsgemaakt voor realisme. Dachten we vroeger misschien nog dat we alle belangrijke risico’s in onze organisaties konden afdekken door een adequaat stelsel van beheersingsmaatregelen, de afgelopen vijf jaar is die gedachte – of hoop – bijgesteld, nu is gebleken dat de grootste risico’s niet voortkomen uit de bestaande, min of meer stabiele situatie, maar uit plotselinge, vaak onverwachte gebeurtenissen buiten de organisatie. Zo werd Heineken begin dit jaar plotseling geconfronteerd met de dreiging van Amerikaanse importheffingen van 25% op producten uit Mexico. Een snel antwoord op zo’n dreiging is er niet; het openen van een brouwerij in de Verenigde Staten duurt minimaal 5 jaar. Euroclear kreeg in korte tijd de verantwoordelijkheid voor 200 miljard euro aan geblokkeerde tegoeden van de Russische Centrale Bank en tientallen miljarden op bevroren bankrekeningen. En zo kan vrijwel elke organisatie wel voorbeelden noemen van “black swans” die de afgelopen jaren opdoken maar daarvoor niet scherp op de risicoradar van de eerste, tweede en derde lijn hadden gestaan. Binnen veel organisaties is de aandacht van internal audit dan ook verschoven van een meer traditionele benadering van risicobeheersing en compliance naar focus op strategische risico’s enerzijds, en op wendbaarheid en weerbaarheid van de organisatie anderzijds.

2.1. Ontwikkelingen

Voor de komende jaren zien wij een aantal uitdagingen, veranderingen en ontwikkelingen in het werk van internal audit. Belangrijke en onderling samenhangende thema’s hierbij zijn scenarioplanning, de tweede lijn, onafhankelijkheid, transparantie, verwachtingen, AI, ESG, “human capital” en regelgeving. Deze thema’s komen hieronder kort aan de orde.

2.1.1. Scenarioplanning

Volatiliteit, onzekerheid, complexiteit en ambiguïteit (VUCA) zullen wereldwijd de komende jaren eerder toe- dan afnemen (zie Barber (1992)). De aandacht van het bestuur en het audit committee – en daarmee van internal audit – zal de komende jaren dan ook meer gericht zijn op het vermogen van de organisatie om op onverwachte gebeurtenissen te anticiperen en te reageren dan op de gebruikelijke beheersing van de “normale” operationele en financiële risico’s. In veel organisaties is er hernieuwde aandacht voor scenarioplanning. Heeft de organisatie een proces om vroegtijdige waarschuwingssignalen op te vangen die een voorbode kunnen zijn van een strategische discontinuïteit? Is er een adequate contingency planning – met andere woorden: kan de organisatie in een crisis snel reageren, volgens een duidelijke governance, en is er een helder beeld hoe de ‘critical third parties’ in IT hierop voorbereid zijn (zie ook DORA (2022))? De situatie doet denken aan het midden van de jaren zeventig. Toen bleek dat de “black swan” van de oliecrisis in 1973–1974 veel ondernemingen grote schade had berokkend, maar juist waarde had gecreëerd voor ondernemingen die voorbereid waren op dit scenario en hun respons klaar hadden. Het onder organisatiekundigen beroemde paper van Igor Ansoff uit 1975, Managing Strategic Surprise by Response to Weak Signals, kan na een halve eeuw zo weer uit de kast gehaald worden (Ansoff 1975).

2.1.2. De tweede lijn

Naast deze bijzondere categorie van risico’s moeten ook de meer gangbare operationele en financiële risico’s geadresseerd worden. We zien hier een grotere rol voor de tweede lijn en daarmee een duidelijker scheiding tussen de tweede en derde lijn. Was de tweede lijn in de financiële wereld al sterk ontwikkeld, ook in andere sectoren wint deze aan belang. De rol van internal audit verschuift daarbij van direct toezicht op de beheersing van specifieke risico’s naar toezicht op de inrichting en werking van een deugdelijk proces voor risicobeheersing. Specifieke risico’s of beheersingsmaatregelen kunnen steekproefsgewijs aan de orde komen; ‘the proof of the pudding is in the eating’. Data-analyse en continuous monitoring/continuous auditing brengen de tweede en derde lijn daarbij dichter bij elkaar.

2.1.3. Onafhankelijkheid

CAE’s treden steeds vaker op als sparringpartner voor het bestuur en de lagen daaronder. De CAE is onafhankelijk, kent de organisatie door en door en is doorgaans vrij van politiek belang. Vooral binnen informeel-zakelijk opererende Nederlandse organisaties maken deze eigenschappen de CAE tot een gewaardeerd gesprekspartner. In ondernemingen met een meer formele of hiërarchische cultuur is die rol vaak beduidend kleiner. Als de rol van sparringpartner omslaat naar die van biechtvader, kan een bijzondere situatie ontstaan: de CAE kan signalen over risico’s of tekortkomingen in de beheersing ervan immers niet negeren. Zoals altijd kan een te innige relatie met de business de internal auditor bewust of onbewust beïnvloeden en zo de onafhankelijkheid in gevaar brengen (IPPF 2024). De CAE moet zich hiervan bewust zijn, misschien nog meer dan vroeger. Onafhankelijkheid is naar onze mening het hoogste goed van de internal auditor. Internal audit is niet per se een businesspartner. Businesspartners zijn er genoeg; onafhankelijke auditors daarentegen zijn schaars.

2.1.4. Transparantie

Waren de rapporten van internal audit in vroeger dagen strikt bedoeld voor intern gebruik, de laatste jaren is de kans op openbaarmaking toegenomen – bijvoorbeeld via een beroep op de Wet Open Overheid (WOO), in een juridische procedure, door een intentioneel lek, of door een inbraak. Bij het presenteren van de bevindingen uit openbaar gemaakte rapporten zullen de media – inclusief de sociale media – weinig rekening houden met de context waarbinnen een onderzoek heeft plaatsgevonden. In plaats daarvan is er “cherry picking”, waarbij losse onderdelen in het rapport uit hun verband worden gehaald en geïsoleerd worden gepresenteerd. De gevolgen kunnen groot zijn. Een kritisch rapport kan, wanneer openbaargemaakt, leiden tot reputatieschade, maar ook tot rechtszaken of claims. Voor een beursgenoteerde onderneming kunnen de bevindingen in een auditrapport bovendien directe gevolgen hebben voor de beurskoers. Interne auditrapporten kunnen zo vaker een onderdeel gaan worden van externe bespiegelingen, die dankzij internet een eeuwigdurend eigen leven gaan leiden. Daar is weinig aan te doen. Werkelijk gevoelige onderwerpen kun je weliswaar onder audit privilege of legal privilege laten onderzoeken, maar deze aanpak is omslachtig en – als er advocaten bij betrokken zijn – ook kostbaar, en in de meeste gevallen daarom niet wenselijk. De IAF zal in zijn aanpak meer rekening moeten houden met mogelijke openbaarmaking van zijn rapportages, wat nieuwe eisen stelt aan formulering en woordkeuze. De dreiging van openbaarmaking kan leiden tot een “chilling effect” (Goold 2010). Voor internal auditors kan dat betekenen: het gevoel hebben op eieren te lopen, alles voorzichtig en politiek correct willen formuleren, de kool en de geit willen sparen. Je zou verwachten dat deze ontwikkeling de impact van internal audit beperkt, maar het tegendeel lijkt waar: juist door de toegenomen transparantie krijgen auditrapporten een zwaardere lading, wat de impact, de positie en ook de verantwoordelijkheid van internal audit verder versterkt.

2.1.5. Verwachtingen

Er lijkt soms een kloof te bestaan tussen de daadwerkelijke opdracht van de IAF en de – soms onrealistische en impliciete – verwachting van de stakeholders: bestuur, hoger management, audit committee. Het is een kloof die we al lang kennen uit de wereld van de externe accountant. Soms lijken stakeholders te verwachten dat de auditor altijd alles onderzoekt en dat alle risico’s daarmee volledig zijn afgedekt. Een fraude of ander incident leidt dan tot de vraag: waarom heeft de auditor dat niet gezien? Het antwoord mag duidelijk zijn: internal audit is er niet om fraude te detecteren, maar om te toetsen of er een goed werkend proces is om fraude zo goed mogelijk te voorkomen, in lijn met de risk appetite van de organisatie. Die risk appetite vertaalt zich direct naar het budget, de omvang en de taakstelling van het apparaat voor risicobeheersing, en zo kan het heel goed zijn dat een relatief klein organisatieonderdeel waar een fraude heeft plaatsgevonden de afgelopen twee jaar niet in scope geweest is. Wil de organisatie toe naar een lagere risk appetite, dan kan dat, maar niet zonder investering in de tweede en derde lijn.

2.1.6. Human capital en organisatiecultuur

Het IIA geeft aan dat menselijk kapitaal een belangrijk punt van aandacht zou moeten voor de IAF (IIA 2025). Het wordt steeds moeilijker om de personele bezetting goed af te stemmen op de eisen die daaraan worden gesteld in tijden van grote technologische veranderingen, demografische verschuivingen en de turbulentie rond Diversity, Equity and Inclusion (DEI). (Overigens blijft ook de IAF zelf niet gevrijwaard van deze problematiek; een krappe arbeidsmarkt kan het ook voor de IAF lastig maken om voldoende gekwalificeerde auditors aan te trekken en op te leiden.) Human capital is in veel gevallen nog een onderbelicht thema op de agenda van de IAF. Datzelfde geldt voor gedrag en cultuur. Risico’s die samenhangen met gedrag en cultuur moeten naar onze mening een prominentere plaats krijgen op de auditagenda; dit blijft in de praktijk een onderschat aandachtsgebied, ondanks herhaalde signalen uit de wetenschap en de beroepsorganisatie IIA (IIA 2025).

2.2. AI

Natuurlijk gaan de verbluffende ontwikkelingen op het gebied van AI niet aan internal audit voorbij. Ook auditors zijn de afgelopen twee jaar gebruik gaan maken van generatieve AI voor het analyseren van data, het opstellen van plannen, het uitvoeren van hun opdracht, het verwerken van resultaten en het verbeteren van hun rapportages. De inzet van AI kan direct positieve effecten hebben op de efficiency van het auditproces, maar het is nog niet zo dat er blind kan worden vertrouwd op de output van AI-tools. Omissies en hallucinaties zijn nog steeds aan de orde van de dag en auditors moeten checks en dubbele checks uitvoeren om de juistheid en volledigheid van bevindingen te waarborgen. De CAE doet er goed aan om teams de ruimte te geven om te experimenteren en te leren, ook al kan de vraag hoeveel dat dan oplevert of gaat besparen – en op welke termijn – nog niet worden beantwoord – ook niet met behulp van AI. Belangrijk voor internal audit is de toepassing van AI door de organisatie en de risico’s die dat met zich meebrengt – waarbij het grootste risico wellicht strategisch is: investeert de organisatie wel voldoende in het werken met en opbouwen van kennis rond AI, of is men bezig de boot te missen? Andere inmiddels welbekende risico’s hebben betrekking op privacy, het delen van vertrouwelijke gegevens, en het niet voldoen aan wet- en regelgeving (AIA 2024). Maar er valt ook te denken aan manipulatie van software, algoritmes of trainingsdata, of het gebruiken van onjuiste of onvolledige informatie als gevolg van biases of hallucinaties. Tijdens een recent rondetafelgesprek met Chief Information Officers (CIO’s) waren de meeste deelnemers het erover eens dat AI gaat leiden tot grote micro- en macro-economische verschuivingen (CIOnet 2025). Enkele CIO’s hadden juist het standpunt dat AI “just another technology” is, een innovatie die snel zijn weg zal vinden in onze processen en systemen en daarna onzichtbaar en vanzelfsprekend zal worden. De tijd zal het leren.

2.3. ESG

Duurzaamheid vormde de afgelopen jaren in veel opzichten een centraal thema. Er kwam Europese wetgeving in de vorm van de Corporate Sustainability Reporting Directive (CSRD 2022) en de European Sustainability Reporting Standards (ESRS 2023) en duurzaamheid vond zijn weg in de nieuwe Corporate Governance Code (MCGC 2022). Bedrijven en instellingen maken zich op voor het leveren van de vereiste duurzaamheidsrapportages; accountantskantoren bereiden zich voor op het verstrekken van assurance bij deze rapportages. De aandacht is daarbij vaak meer gericht op compliance dan op daadwerkelijke wijzigingen in de strategie, processen en gedrag (Balch 2025). Wij kunnen niet ontkennen dat er op het gebied van duurzaamheid sinds kort een andere wind is gaan waaien. De maatschappelijke belangstelling voor duurzaamheid lijkt af te nemen – een sterke daling van het aantal universitaire masterscripties over duurzaamheid is daarvoor bijvoorbeeld een graadmeter – en de regering-Trump in de Verenigde Staten vaart op duurzaamheidsgebied bepaald een andere koers dan haar voorgangers. Zelfs de Europese Commissie, verantwoordelijk voor de CSRD, heeft na de recente verkiezingen meer aandacht voor ‘global competitiveness’ en heeft in de zogeheten Omnibusverordening een reductie van rapportageverplichtingen aangekondigd (EU 2025). Toch zal het thema duurzaamheid ook de komende jaren relevant blijven voor internal audit – niet alleen vanuit regelgeving, maar ook vanuit de strategie en eigen verantwoordelijkheid van de organisatie. Wel zien we ook hier een verschuiving van de activiteiten van internal audit; was internal audit voorheen vaak actief betrokken bij het beoordelen van niet-financiële rapportages die werden uitgegeven door de corporate communicatieafdeling, tegenwoordig vervult de tweede lijn die rol, worden de rapportages opgesteld door de financiële afdeling, en verschuift de rol van internal audit naar het monitoren en evalueren van het proces om een dialoog met de stakeholders te voeren, om daarna de strategie, targets, roadmap en aanpassing van processen en gedrag te kunnen beoordelen – en uiteindelijk ook de data en rapportages. Dit roept een reliance-vraag op: in hoeverre zal de externe accountant kunnen en willen steunen op de tweede lijn en/of de bevindingen en conclusies van de IAF? Volgens de richtlijnen voor het accountantsberoep kan en mag dat alleen onder strikte voorwaarden (NBA 2024), en in de praktijk zal de accountant steeds minder vaak steunen op het werk van de IAF.

2.4. Regelgeving

Naast de EU AI Act en de CSRD is ook andere Europese wet- en regelgeving relevant voor internal audit. Neem de Digital Operational Resilience Act (DORA); een Europese verordening die is ontworpen om de digitale weerbaarheid van financiële instellingen te verbeteren en die in januari van dit jaar in werking is getreden (DORA 2022). DORA gaat ook in op ketenaansprakelijkheid: IT-dienstverleners moeten aan dezelfde beveiligingseisen voldoen als financiële instellingen. Dat brengt voor internal audit in de financiële wereld extra werk met zich mee, ook al omdat de toezichthouder hier actieve belangstelling toont. Niet alleen Europa zorgt voor extra regeldruk; ook onze eigen overheid draagt een flinke steen bij. Het Adviescollege Toetsing Regeldruk (ATR) meldt in haar jaarverslag over 2023 geparafraseerd dat Nederlandse bedrijven, instellingen en professionals zuchten onder een toenemende druk van regels op regels voor werkelijk elk denkbare uitzondering (ATR 2023). De stapeling van regels werkt belemmerend op de efficiency, het innovatievermogen en het enthousiasme van organisaties en individuen. Bij het opstellen van die regels wordt volgens het ATR veel te weinig rekening gehouden met de praktische uitvoerbaarheid ervan. Bedrijven zien zich geconfronteerd met stijgende kosten om aan die regels te voldoen; in Nederland alleen stijgen die kosten met naar schatting een kwart tot meer dan één miljard euro per jaar (ATR 2024; MKB 2020).

Sinds mensheugenis is bekend dat een eerlijke en veilige samenleving niet zonder wetten en regels kan (Hammurabi 1780 BC). Regels komen niet uit de lucht vallen; ze zijn vaak een reactie op calamiteiten of andere situaties die we maatschappelijk of politiek gezien als onwenselijk beschouwen. Regels belemmeren de autonomie en beperken de vrijheidsgraden waarbinnen een onderneming kan opereren, maar zorgen daarmee tegelijkertijd voor een gelijk speelveld, waarin de deelnemers gelijke kansen hebben en waarin deelnemers niet een oneerlijk voordeel kunnen behalen ten koste van andere deelnemers – of van de samenleving (Roos Lindgreen 2018). De roep om deregulering is dus ook van alle tijden en klinkt de laatste tijd luider dan ooit, zoals in een recent rapport van Mario Draghi, voormalig president van de ECB (Draghi 2024). Draghi erkent dat regelgeving noodzakelijk is voor het functioneren van de interne markt, maar stelt ook dat de huidige regelgeving het concurrerend vermogen van Europa in de weg staat. Hij pleit onder meer voor slimmere regelgeving en minder bureaucratie. Natuurlijk, regelgeving is niet altijd het beste instrument om risico’s te beheersen, en we willen allemaal minder regels. Maar is dit realistisch, gelet op het huidige niveau van risk appetite in onze huidige samenleving? Soms lijkt het erop alsof die risk appetite naar nul gedaald is. Alle risico’s moeten afgedekt zijn, en als er iets misgaat, is er direct de roep om regels, nóg meer regels. Het is verdedigbaar om te stellen dat deregulering alleen zinvol is wanneer wij als samenleving bereid zijn om een hoger risicoprofiel te accepteren.

3. Tot slot

De komende jaren krijgen bedrijven en instellingen te maken met grote veranderingen in hun omgeving. In deze onrustige en veranderlijke wereld hebben de stakeholders van internal audit – bestuur en audit committee – een toenemende behoefte aan inzicht in strategische risico’s, in de risico’s van “black swans”, het vermogen om met deze risico’s om te gaan of er zelfs van te profiteren, in de wendbaarheid en weerbaarheid van de organisatie. Om toegevoegde waarde te kunnen blijven bieden, moet internal audit aan deze behoefte voldoen. Ook al initieert internal audit geen veranderingen – dat is aan het management –, de organisatie kan in een proces van scenarioplanning goed gebruikmaken van de inzichten en de vaak vooruitziende blik van internal audit. Tegelijkertijd moet internal audit zelf ook profiteren van nieuwe technologieën en werkwijzen en daarin investeren. Belangrijk daarbij is mee te bewegen met de golven zonder daar een speelbal van te worden. Laat internal audit dus een baken van rust zijn in een zee van onrust. Of, beter gezegd: een witte zwaan in een zee vol zwarte zwanen.

Prof. dr. E. Roos Lindgreen RE – Edo is hoogleraar Data Science in Auditing en programmadirecteur van de Executive MSc of Auditing Studies aan de Universiteit van Amsterdam.

J. Bendermacher RA CIA CRMA – John was tot 1 september 2025 Chief Internal Auditor bij Euroclear en is lid van de Monitoringcommissie Corporate Governance Code.

Drs. F. Eusman – Frans is Executive Director Global Audit bij The Heineken Company en Chairman of the Board bij IIA Nederland.

Dankwoord

De auteurs danken J. Alders, H. Chuah, D. Daams, P. Hartog, J. Heimel, R. van Hienen, M. de Koeijer, V. Moolenaar, L. Post, M. Rozenberg en D. Stopetie voor hun input en/of reflecties op de conceptversie van dit artikel.

Verantwoording

Bij het schrijven van dit artikel is gebruik gemaakt van ChatGPT 4o voor het vinden van relevante informatiebronnen. De links in de referenties zijn geraadpleegd in februari 2025.

Literatuur

AIA (2024) EU AI Act. [27 februari 2024] https://artificialintelligenceact.eu/high-level-summary/

AIVD (2024) Versterkte dreigingen in een wereld vol kunstmatige intelligentie - een analyse van het effect van AI op de nationale veiligheid. Rapport. https://www.aivd.nl/documenten/publicaties/2024/12/10/versterkte-dreigingen-in-een-wereld-vol-kunstmatige-intelligentie

Allianz (2024) Global Insolvency Outlook: Reality Check. Report. https://www.allianz.com/content/dam/onemarketing/azcom/Allianz_com/economic-research/publications/specials/en/2024/february/24_02_28_Global-insolvencies.pdf

Ansoff HI (1975) Managing strategic surprise by response to weak signals. California Management Review 18(2): 21–33. https://doi.org/10.2307/41164635

ATR (2024) Jaarverslag 2023. Adviescollege Toetsing Regeldruk. https://www.adviescollegeregeldruk.nl/documenten/2024/05/13/atr-jaarverslag-2023

Balch O (2025) Wave of regulation drives demand for sustainability advice. Financial Times. [27 February 2025]

Barber HF (1992) Developing Strategic Leadership: The US Army War College Experience. Journal of Management Development 11(6): 4–12. https://doi.org/10.1108/02621719210018208

Chan DY, Chu V, Vasarhelyi MA (2018) Continuous auditing: theory and application. Emerald Publishing. [ISBN: 978-1-78743-414-1] https://doi.org/10.1108/9781787434134

CIOnet (2024) De CIO als Commissaris. Rondetafelgesprek. [21 januari 2025]

CSRD (2022) Directive (EU) 2022/2464 of the European Parliament and of the Council of 14 December 2022 amending Regulation (EU) No 537/2014, Directive 2004/109/EC, Directive 2006/43/EC and Directive 2013/34/EU, as regards corporate sustainability reporting. https://eur-lex.europa.eu/eli/dir/2022/2464/oj

DORA (2022) Commission Delegated Regulation (EU) 2024/1774 of 13 March 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying ICT risk management tools, methods, processes, and policies and the simplified ICT risk management framework. https://eur-lex.europa.eu/eli/reg_del/2024/1774/2024-06-25

Draghi M (2024) The future of European competitiveness. https://commission.europa.eu/topics/eu-competitiveness/draghi-report_en

EU (2025) Proposal for a directive of the European Parliament and of the Council amending Directives (EU) 2022/2464 and (EU) 2024/1760 as regards the dates from which Member States are to apply certain corporate sustainability reporting and due diligence requirements. COD 2025/0044. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52025PC0080

Goold BJ (2010) CCTV and Human Rights. Citizens, Cities and Video Surveillance: Towards a Democratic and Responsible Use of CCTV. Paris. European Forum for Urban Security.

Hammurabi (1780 BC) Codex. https://ehammurabi.org/

IIA (2024) Global Practice Guide: Auditing Culture, 2^nd Edition.

IIA (2025) Risk in focus – hot topics for internal auditors. ECIIA.

MCGC (2022) De Nederlandse Corporate Governance Code. Monitoringcommissie Corporate Governance Code. https://www.mccg.nl/documenten/2022/12/20/corporate-governance-code-2022

Ministerie van Buitenlandse Zaken (2025) Werken sancties? Buitenlandse Zaken in begrijpelijke taal. https://www.rijksoverheid.nl/ministeries/ministerie-van-buitenlandse-zaken/het-werk-van-bz-in-de-praktijk/weblogs/2025/werken-sancties

MKB (2020) Onderzoek MKB-Nederland: regeldruk ondernemers stijgt schrikbarend. https://www.mkb.nl/artikelen/onderzoek-mkb-nederland-regeldruk-ondernemers-stijgt-schrikbarend

NBA (2024) HRA, NV COS standaard 610. Koninklijke Nederlandse Beroepsorganisatie van Accountants.

Protiviti (2018) Data analytics wordt game changer voor internal audit afdelingen. Rapport. https://www.protiviti.com/sites/default/files/2022-06/2018-internal-audit-capabilities-and-needs-survey-protiviti.pdf

Psaila S (2018) Blockchain: A game changer for audit processes. Deloitte publication. https://www.deloitte.com/mt/en/services/audit-assurance/perspectives/mt-blockchain-a-game-changer-for-audit.html

Roos Lindgreen E (2018) Mine!. Oratie. Universiteit van Amsterdam.

Schmitt W (2024) Bitcoin rally pushes BlackRock ETF over $10bn in record time. Financial Times. [10 March 2024]

Taleb N (2007) The Black Swan: The Impact of the Highly Improbable. Random House.

﻿Samenvatting

Trefwoorden

﻿Relevantie voor de praktijk

﻿1. Inleiding

﻿2. Een nieuwe visie op risicobeheersing

﻿2.1. Ontwikkelingen

﻿2.1.1. Scenarioplanning

﻿2.1.2. De tweede lijn

﻿2.1.3. Onafhankelijkheid

﻿2.1.4. Transparantie

﻿2.1.5. Verwachtingen

﻿2.1.6. Human capital en organisatiecultuur

﻿2.2. AI

﻿2.3. ESG

﻿2.4. Regelgeving

﻿3. Tot slot

﻿Dankwoord

﻿Verantwoording

﻿Literatuur