På tampen av året gjør vi gjerne opp status. Så også i år. Mangt kan sies om 2020. Det er ingen floskel å si at verden har forandret seg og at fremtiden er preget av høy grad av usikkerhet. Og usikkerhet handler jo om risiko.
Høy grad av usikkerhet er krevende, også for internrevisjoner. Men kan hende er 2021 året for å ta i bruk agile metoder innen revisjon og tilpasse oss ytterligere det dynamiske risikobildet?
Når problemstillingene preges av kompleksitet og høy grad av usikkerhet, kan agile metoder innen revisjon komme til sin rett. «Agile Auditing – Transforming the Internal Audit Process»
Et dynamisk risikobilde fordrer at vi tilpasser kursen jevnlig. Vi hører at virksomheter som har håndtert Covid-19 godt har fått et helt annet syn på risikostyring. Her har man lykkes i å øke bevisstheten rundt viktigheten av proaktiv risikostyring, gode rammer og interne styringsprosesser. Samarbeid på tvers bidrar til å utforske ulike perspektiver rundt hvordan risikoer kan påvirke virksomheten.
I denne sammenhengen har vi sett at flere virksomheter har blitt mer oppmerksomme på svakheter forbundet med primært å ta i bruk tradisjonelle metoder for risikostyring. Når man opererer under høy usikkerhet kan den tradisjonelle risikomatrisen (heat map) med sannsynlighet og konsekvens som vurderingskriterier ofte være misvisende og tidvis direkte feil.
Virksomheter som har lykkes med å utvide sitt risikoperspektiv har blitt bedre til å ta risikoinformerte beslutninger, og oppnår større støtte fra sine interessenter gjennom å presentere et mer nyansert risikobilde i sin kommunikasjon. Under følger to eksempler på hvordan vi i KPMG bistår våre kunder med å utvide sin forståelse av risiko:
1. I tradisjonelle metoder for risikostyring vurderes som oftest hver risiko for seg, uten at man synliggjør hvordan risikoer kan påvirke hverandre. Dette kan føre til at man suboptimaliserer den lokale risikostyringen på bekostning av en mer optimalisert helhetlig risikostyring. Ved å anvende KPMGs dynamiske risikovurderingsmetodikk får man synliggjort avhengigheter på tvers av risikoer, som danner et bedre grunnlag for å prioritere risikostyringstiltak som gir størst helhetlig effekt (beskrivelse av Dynamic Risk Assessment).
2. I forbindelse med utarbeidelsen av internrevisjonsprogram er det relevant å vurdere hvor stort handlingsrom man har til å proaktivt styre risiko. KPMG benytter i egnede tilfeller en ny beskrivelse av risiko som inkluderer oppsiderisiko forbundet med oppnåelse av strategiske mål. For noen risikoer kan det være åpenbart at virksomheten må innta en mer reaktiv posisjon og planlegge for ulike utfall, mens for andre risikoer kan de i større grad proaktivt påvirke årsakssammenhenger og sin respons til disse. Dette risikobildet utgjør et utmerket utgangspunkt for å skreddersy et revisjonsprogram bestående av å anvende ulike revisjonsteknikker for forskjellige risikoområder hvor virksomheten har høy eller lav grad av proaktiv styringsevne. Figuren under viser et eksempel på hvordan et slikt risikobilde kan se ut.
En rekke bransjer står også ovenfor krevende omstillinger. Men her åpner det seg også muligheter for virksomheter som evner å identifisere oppsidene til risikoer.
Hvordan skal internrevisjoner forholde seg til det komplekse risikobildet?
I ECIIAs Risk in Focus 2021 pekes det på at det er en mismatch mellom alvorlighetsgraden av risiko knyttet til for eksempel klimaendringer og tid og ressurser brukt på revisjon av dette området. I henhold til rapporten sier kun 6 % av revisjonssjefene at klimaendring og bærekraft er en av topp fem risikoområder internrevisjonen fokuserer på. 23 % mener at disse områdene vil være et hovedfokus om tre år. I tillegg følges det også opp med egen practical guides for en rekke hot topics som internrevisjoner bør sette fokus på fremover. Disse omfatter blant annet cyber security, makroøkonomi og geopolitisk usikkerhet, samt klima, miljø og bærekraft; Cybercecurity – practical guidance og Practical guidance on macroeconomic and geopolitical uncertainty.
IIA Global følger opp med egen risikorapport for Nord-Amerika «OnRisk 2021 – A Guide to Understanding, Aligning and Optimizing Risk» .
En ting er i så fall sikkert; fremtidens risikobilde blir ikke mindre komplekst og dynamisk. Men vi skal møte den med de riktige verktøyene og tilnærmingen: Proaktivt.