Voor organisaties die betrokken zijn bij een transactie, geschil, fusie, overname of herstructurering zal de waarde van de betrokken onderneming en haar activa een belangrijke commerciële overweging vormen. Een duidelijk en doordacht beeld van de respectieve waarde is in zulke situaties dan ook essentieel.
Het due diligence-onderzoek brengt de risico's in kaart en onderzoekt mogelijke financiële, fiscale, juridische of operationele valkuilen. Wij bieden robuuste due diligence-diensten aan, die duidelijk zijn afgestemd op de vereisten van onze klanten.
De hertekening van je groepsstructuur kan een aanzienlijke kostenbesparing en/of efficiëntieverbetering betekenen. De herstructureringen van het Wetboek van Vennootschappen en Verenigingen (fusie, splitsing, inbreng of overdracht van bedrijfstak, ...) bezorgen u de juridische middelen om dit te bewerkstelligen.
Fusies en overnames betekenen een uitdaging voor dynamische organisaties. Als manager of ondernemer wil je die uitdaging langs alle kanten bekijken om de beste voorwaarden te bekomen. Daarom werken onze professionals bij fusie-, verkoop- of overnametrajecten op basis van integraal procesmanagement.
Sinds de invoering van het nieuw wetboek van vennootschappen en verenigingen (WVV) is het voor vennootschappen mogelijk om verschillende soorten aandelen of andere effecten uit te geven, zoals aandelen met meervoudig stemrecht of verschillende vermogensrechten. Dit kadert in de intentie van de wetgever om meer flexibiliteit in te bouwen wat betreft een mogelijk verschillende vergoeding van aandeelhouders en het behouden van de controle over de vennootschap, bijvoorbeeld in het kader van een familiale opvolgingsproblematiek. Het is voor de vennootschap eenvoudiger geworden om extern vermogen aan te trekken en passend te vergoeden. Ook de positie van sleutelfiguren binnen de vennootschap kan worden versterkt door het met de effecten verbonden stemrecht te moduleren.
Onze experten helpen uw transfer pricing te documenteren en uw intra-groepstransacties en rapportering te organiseren. Zij ontwerpen en implementeren transfer pricing structuren, zowel voor lokale als voor internationale ondernemingen.
Internationale tewerkstelling is een standaard praktijk geworden in het hedendaagse HR-beleid. Niettemin roept dit zowel bij de expat als bij de werkgever verschillende vragen op.
Uw onderneming is reeds internationaal actief of u overweegt de stap naar het buitenland te maken, dan wil u voortdurend uw inspanningen maximaliseren. Is nationale wetgeving inzake vennootschapsbelasting al complex, dan dragen buitenlandse regels en internationale fiscale wetgeving daar nog verder toe bij.
Als grote organisatie bent u wettelijk verplicht om een commissaris te benoemen die verslag uitbrengt aan de algemene vergadering over de (geconsolideerde) jaarrekening.
Als ondernemer of manager kan u specifieke werkzaamheden toevertrouwen aan uw bedrijfsrevisor. De aard, de omvang en de reikwijdte van deze werkzaamheden of procedures worden steeds in onderling overleg overeengekomen.
De Europese IFRS-normen (International Financial Reporting Standards) zijn sinds 2005 verplicht voor beursgenoteerde ondernemingen in de Europese Unie. Echter, ook voor niet-beursgenoteerde bedrijven of kmo’s bieden deze normen specifieke voordelen.
Bij belangrijke gebeurtenissen legt de Vennootschapswet uw onderneming verplichtingen op inzake controle en rapportering. In welke gevallen is een rapportering vereist?
Als onafhankelijke adviseurs verlenen onze transactiespecialisten onafhankelijk advies. Zij focussen op de volledige transactiecyclus en niet alleen op de financiële elementen ervan. Een onafhankelijke due diligence is in het belang van de koper én de verkoper.
Op basis van onze “to-the-point” analyses identificeren wij samen met u de gepaste herstructureringsmogelijkheden om kasstromen, resultaten en balansposities op korte termijn te helpen verbeteren.
Wat zijn de risico's voor mijn onderneming? Welke stappen moet ik ondernemen om deze risico's te vermijden? Onze business-risk-adviseurs helpen je graag op weg.
Bedrijven beschikken over enorm veel data en die hoeveelheid informatie neemt bovendien elke dag toe. Een dieper inzicht verwerven via data-analyse kan de waarde, de commerciële uitdaging en de mate van inzicht in het bedrijf doen toenemen.
Toekomstbestendige organisaties moeten regelmatig hun strategieën en doelstellingen herzien en daarbij hun tactieken, processen, interne controles en systemen optimaliseren.
Ga aan de slag met duurzaamheid en laat je bijstaan door Grant Thornton. Kies voor onze concrete oplossingen op maat en veranker ESG in je bedrijfsvoering.
Wij kunnen u helpen in uw ESG journey.
Fraudeurs worden steeds inventiever en kunnen verschillende strategieën toepassen afhankelijk van de zwakke punten van hun doelwit. Daarom is het van cruciaal belang om ervoor te zorgen dat in uw organisatie het juiste niveau van preventieve maatregelen tegen frauderisico's aanwezig is.
Het vereist voortdurend management en opvolging om uw organisatie aan de verplichtingen van de fiscale wetgeving te doen voldoen. Onze adviseurs staan u bij met advies op maat, assisteren bij onder andere aangifteverplichtingen of nemen uw volledige complianceproces in handen.
Ons team full-time BTW-specialisten kan u ondersteunen in verschillende domeinen, van advies en risicomanagement tot implementatie en optimalisatie. Naast advies bieden we ook assistentie en support: we kunnen u tevens helpen bij het vervullen van formaliteiten.
Uw onderneming is reeds internationaal actief of u overweegt de stap naar het buitenland te maken, dan wil u voortdurend uw inspanningen maximaliseren. Is nationale wetgeving inzake vennootschapsbelasting al complex, dan dragen buitenlandse regels en internationale fiscale wetgeving daar nog verder toe bij.
Om de beste talenten te kunnen aanwerven en houden, is het van essentieel belang om geoptimaliseerde en concurrerende loonpakketten te kunnen aanbieden. Grant Thornton helpt u met het samenstellen van aantrekkelijke pakketten op maat van uw activiteit en het profiel en expertiseniveau van uw medewerkers.
Onze experten helpen uw transfer pricing te documenteren en uw intra-groepstransacties en rapportering te organiseren. Zij ontwerpen en implementeren transfer-pricing-structuren, zowel voor lokale als voor internationale ondernemingen.
Internationale tewerkstelling is een standaard praktijk geworden in het hedendaagse HR-beleid. Niettemin roept dit zowel bij de expat als bij de werkgever verschillende vragen op. Is een werkvergunning vereist? Welk arbeidsrecht en sociaal zekerheidsrecht is van toepassing? ...
Familiebedrijven zijn generaties van ondernemers die hun organisatie opbouwen over jaren en generaties heen, vaak gepaard met persoonlijk risico’s om hun groeiambities te realiseren. Onze adviseurs begrijpen dat voor een familiebedrijf de accenten anders liggen en dat uw onderneming vaak meer betekent.
Een groeiende onderneming wordt met juridische zaken geconfronteerd. Wij helpen u te informeren over de juridische gevolgen en welke keuzes u kunt maken.
Niet enkel bij sleutelmomenten zoals overnames, aandelentransacties en fusies is juridische ondersteuning van belang. Ook uw normale operationele activiteit kan juridische gevolgen hebben.
Organisaties moeten zich naar verschillende stakeholders toe verantwoorden: aandeelhouders, bestuurders, management zowel intern als extern. Ondersteuning om aan alle rapporteringsvereisten te voldoen door een expert kan ongetwijfeld een meerwaarde betekenen voor uw organisatie.
Het Belgisch arbeids- en socialezekerheidsrecht is een doolhof van reglementeringen waarin een werkgever gemakkelijk zijn weg verliest. Onze juristen adviseren u en staan u bij van bij de aanvang van de arbeidsrelatie met uw werknemer tot aan zijn uitdiensttreding (ontslag, pensioen, enz.).
Elke onderneming is afhankelijk van ICT-ondersteuning. Gelet op het bedrijfskritieke karakter van veel ICT-toepassingen is het afsluiten van degelijke contracten en absolute must. Grant Thornton beschikt over een uitgebreide expertise in de advisering over en redactie van diverse soorten ICT-contracten.
Heeft uw bedrijf nood aan een 100% betrokken ‘gespecialiseerde’ generalist die de ins and outs van uw bedrijf echt kent? Onze adviseurs redeneren vanuit uw business en verlenen pragmatische juridische ondersteuning door op de hoogte te zijn van uw bedrijfsstrategie, haar operaties en de business specifics.
Door een goed georganiseerde en up-to-date commerciële toolbox bij te houden, zorgt u ervoor dat uw onderneming vlot functioneert, blijft voldoen aan de laatste wettelijke vereisten en voorbereid is op eventuele commerciële uitdagingen.
Of u er nu voor kiest om onze experts in te zetten om uw volledige financiële rapportering te verzorgen of u hen als ondersteuning wenst in te zetten voor een welbepaald project of een gedeelte van uw boekhouding: wij hebben de kennis en ervaring om kwaliteitsvolle ondersteuning te bieden op maat van wat u nodig heeft.
Wil je groeien, maar is een voltijdse CFO een brug te ver voor je bedrijf? Met CFO-as-a-Service krijg je financieel advies, op strategisch en operationeel niveau.
Uw financiële informatie is een belangrijke management tool. Daarom is het belangrijk dat het volledige rapporteringsproces, van budgettering tot het indienen van jaarrekeningen en aangiftes volledig in lijn is met de ondernemingsstrategie en informatienoden.
U staat voor de uitdaging om (geconsolideerde) cijfers steeds sneller ter beschikking te stellen, en dit in een reglementaire omgeving die permanent evolueert. U moet de juiste technische keuzes maken om flexibel te blijven wat de informatiesystemen en de organisatie van processen betreft.
Als ondernemer actief in verschillende landen, word je dikwijls geconfronteerd met diverse lokale verplichtingen. Dankzij onze Global Compliance and Reporting-dienstverlening bieden wij u de oplossing in dit regelgevend kluwen.
Als ondernemer ben je elke dag bezig met de core business van je bedrijf. Daardoor heb je vaak geen tijd om na te gaan welke subsidie- en steunmaatregelen voor...
Flexibiliteit en verantwoordelijkheid zijn onze kernwaarden, op en naast de werkvloer. Dus jij kan ambitieus zijn en een goede work-lifebalance nastreven.
Met 72.000 collega’s in meer dan 140 landen zijn we een van de grootste accountancy- en adviesorganiaties wereldwijd. Jij profiteert mee van al die expertise.
Waar jij vandaan komt, is belangrijk voor ons. Diverse denkwijzen, achtergronden en ervaringen maken ons als organisatie net boeiend en scherp. We zijn oprecht geïnteresseerd in jou als mens, dus breng je volledige verhaal mee.
Pas afgestudeerd? Als junior in tax, audit en accountancy krijg je volop de ruimte om je te ontwikkelen. Op jouw ritme en met respect voor je work-lifebalance.
Professional met ervaring en klaar voor een nieuwe stap in je loopbaan? Met een carrièreplan op maat groei je op jouw ritme en in lijn met je wensen en...
Veel expertise in audit, accountancy, tax & legal of advisory? Maak deel uit van ons groeiproject en verbind je naam aan een adviesbureau van wereldniveau.
Onderstaande artikel omschrijft de belangrijkste technologische risicogebieden waarmee interne auditoren en riskmanagers in 2025 rekening moeten houden:
Onderwerpen
Cloud Governance
In mei 2024 voorspelde Gartner dat de uitgaven voor en in de cloud met 20% zouden groeien in 2024 en 22,1% in 2025. Het rapport geeft ook aan dat geavanceerde technologie, zoals generatieve AI, en applicatiemodernisering de drijvende kracht zijn achter deze toename. Deze komen bovenop factoren als schaalbaarheid en kostenefficiëntie, die in het verleden de afhankelijkheid van cloudinfrastructuur hebben aangewakkerd.
Uit een bijkomend rapport van Flexera bleek dat de overgrote meerderheid (89%) van de ondervraagde bedrijven een multi-cloudaanpak hanteert. Hoewel een multi-cloudbenadering organisaties meer veerkracht biedt, verhoogt het ook de complexiteit van operationele beheer- en compliance-inspanningen. Dit kan op zijn beurt leiden tot zwakke(re) punten in de beveiliging, inconsistente naleving op cloudplatforms en ‘gaps’ in de continuïteitscontroles.
Een groeiend percentage aan organisaties gebruikt een combinatie van meerdere publieke clouds. Het gebruik van de private cloud is gestegen van 19% in 2023 naar 23% in 2024 – en zal naar verwachting verder toenemen. Hoewel private cloudomgevingen tegen steeds lagere kosten kunnen worden uitgevoerd dan public cloud, kan de overstap de herintroductie van fysieke beveiliging en technologische infrastructuur(controles) met zich meebrengen.
Een toenemend aantal organisaties initieert initiatieven voor het optimaliseren van cloudkosten en richt speciale FinOps-teams op om de cloudkosten te beheren. Initiatieven voor kostenoptimalisatie in de cloud zijn onder meer: het identificeren en elimineren van ongebruikte resources, het aanpassen van de grootte van computerservices, het benutten van kortingen en het implementeren van geautomatiseerde kostenbewaking.
Om cloudrisico's te beheren en dubbele compliance-inspanningen op cloudplatformen te voorkomen, worden CSPM-tools (Cloud Security Posture Management) ingevoerd. Deze tools worden gebruikt voor het continu monitoren, identificeren en mitigeren van beveiligings- en compliancerisico's in de cloudinfrastructuur.
Oordeel of de multi-cloud aanpak wordt ondersteund door een strategie en businesscase, met duidelijke koppelingen om bredere bedrijfsdoelstellingen mogelijk te maken
Evalueer de processen voor FinOps-budgettering, prognoses en kostentoewijzing in de cloud om ervoor te zorgen dat ze in overeenstemming zijn met het interne beleid
Strategieën herzien voor het optimaliseren van het gebruik van cloudresources en het maximaliseren van het rendement op uitgaven, bijvoorbeeld door onderbenutte resources te identificeren, onnodige uitgaven te elimineren, enzovoort
Identificeer of er duidelijke rapportagemechanismen en verantwoordingsstructuren zijn rond kosten-, risico- en compliancebeheer in de cloud
Test de effectiviteit van cloud-security controles, het verhelpen van geïdentificeerde pijnpunten en de acceptatieprocedures voor cloud risico's
Generatieve AI
Artificiële intelligentie (AI) biedt tal van transformatieve mogelijkheden, maar brengt ook aanzienlijke risico's met zich mee. Om het volledige potentieel van AI te benutten, moeten bedrijven ervoor zorgen dat deze risico's worden beperkt en dat het op een manier wordt ontwikkeld en geïmplementeerd die veilig, rechtvaardig en betrouwbaar is.
Mogelijke zorgen zijn onder meer een gebrek aan inzicht in de complexiteit van de onderliggende AI-modellen, inclusief het potentieel voor onjuiste, ongepaste of bevooroordeelde output, en hun gevoeligheid voor aanvallen en uitbuiting. Cybercriminelen maken ook gebruik van AI voor hun doeleinden, waaronder het maken van deepfakes, het creëren van meer geloofwaardige inhoud voor phishing-campagnes en het profileren en targeten van senior profielen op C-suite-niveau. Naarmate generatieve AI een integraal onderdeel wordt van verschillende industrieën, is het begrijpen en beperken van deze risico's essentieel om het vertrouwen te behouden, de privacy te beschermen en een verantwoorde implementatie te garanderen.
Tijdige aandacht geven aan deze zorgen is van cruciaal belang om onvoorziene gevolgen te voorkomen, bescherming te bieden tegen kwaadwillig gebruik en robuuste kaders op te zetten voor de ethische en veilige implementatie van generatieve AI-technologieën in het snel evoluerende digitale landschap van een organisatie.
In het afgelopen jaar is het AI-risicolandschap aanzienlijk veranderd. In augustus 2024 is de EU AI Act in werking getreden. Het markeert een nieuw tijdperk van wet- en regelgevingstoezicht, waarbij EU-bedrijven worden gedwongen zich aan te passen aan nieuw vastgestelde normen en richtsnoeren, met mogelijk aanzienlijke financiële sancties voor degenen die dit overtreden.
Deze verschuiving heeft de nadruk gelegd op het aantonen van commercieel rendement van investeringen in AI-technologie, waardoor AI-gebruikers onder toenemende druk komen te staan om hun uitgaven te rechtvaardigen. Veel bedrijven beschouwen generatieve AI als een product dat voordelen kan bieden op het gebied van efficiëntie en ondersteuning, maar ze moeten zich ook bewust zijn van de risico's ervan. In een beveiligings- en privacycontext schetsen bedrijven defensieve en offensieve strategieën om de mogelijkheden van AI voor commercieel gebruik te benutten, terwijl ze waarborgen plaatsen om opkomende risico's die AI met zich meebrengt te beperken.
De proliferatie van toegankelijke AI-instrumenten heeft ook het risico van "schaduw-AI" geïntroduceerd. Dit is waar het gebruik van AI IT-afdelingen en intern beleid omzeilt, waardoor de kans op ongeoorloofde publicatie van gevoelige bedrijfsinformatie toeneemt. Dergelijke ontwikkelingen onderstrepen de noodzaak van robuuste governance en strategische investeringen in AI om opkomende risico's effectief te beperken.
Bekijk hoe de organisatie proactieve stappen onderneemt om te voldoen aan de voorgestelde wet- en regelgeving voor de landen waarin ze actief is
Test de effectiviteit van AI-governancecontroles, met een focus op ethiek, beveiliging, verklaarbaarheid, transparantie, verantwoordingsplicht en betwistbaarheid.
Gebruik black box-audittechnieken en -tools om zekerheid te bieden over specifieke AI-gebruiksscenario's binnen het bedrijf
Blijf op de hoogte van evoluerende AI-technologieën, werk samen met datawetenschappers en voer regelmatig risicobeoordelingen uit
Investeer in training van werknemers over AI-risico's en neem AI-gerelateerde audits op in reguliere risicobeheerprocessen om proactieve risicobeperking te garanderen
Cyberbeveiliging
Cyberbeveiliging blijft een cruciaal risico voor Belgische en internationale organisaties. Het Centrum voor Cybersecurity België (CCB) heeft ransomware en hacktivisme bestempeld als een van de belangrijkste cyberdreigingen waarmee bedrijven vandaag worden geconfronteerd.
Volgens een 2024 Sophos rapport zijn 59% van de organisaties wereldwijd het afgelopen jaar getroffen door een ransomware-aanval, waarbij de aanvallers erin slaagden gegevens te versleutelen in 70% van de aanvallen.
Cybersecurityrisico's worden steeds complexer. Veel organisaties hebben al cyberbeveiligingsprogramma's opgezet om hun controles te verbeteren en hun vermogen om zich tegen cyberaanvallen te verdedigen, te detecteren, te reageren en ervan te herstellen.
Meer verfijnde tools, waaronder producten die gebruikmaken van AI, maken het echter gemakkelijker om cyberaanvallen op schaal en in tempo uit te voeren en verhogen de diepgang van deze aanvallen. Organisaties hebben een effectiever controlekader nodig, waarbij gebruik wordt gemaakt van een ruimere verdedigingsstrategie om hun gegevens en activiteiten te beschermen.
Tegen deze achtergrond kiezen organisaties voor een proactievere benadering van cyberbeveiliging door continue monitoring en meer geavanceerde mogelijkheden voor het detecteren van bedreigingen te implementeren.
Definieer een uniform beeld van de cyberbeveiligingsprocessen van de organisatie en vorm aanvullende interne auditplannen om verder te bouwen op deze bestaande modellen, waardoor dubbel werk wordt verminderd
Speel een sleutelrol bij het bieden van garantie over investeringen in cyberbeveiliging en transformatieprogramma's om effectieve capaciteiten te helpen leveren
Beoordeel de bestaande controlemechanismen om u te verdedigen tegen, te detecteren en te reageren op, en te herstellen van een cyberaanval, inclusief het gebruik van back-ups en processen om op aanvallen te reageren
Derde Partijen
Risicobeheer over derde partijen die kritische diensten leveren aan uw organisatie is een cruciaal onderdeel van de algehele risicobeheerstrategie. Management heeft vaak onvoldoende inzicht in de risico's die door deze partijen worden beheerd en het bestaande niveau van zekerheid die zij bieden.
In de huidige verbonden zakelijke omgeving vertrouwen veel bedrijven op externe partijen, verkopers en leveranciers voor kritieke technologische diensten en producten. Het effectief beheren van de risico's rond bedrijfscontinuïteit, cyberdreigingen en gegevensbescherming die verband houden met deze externe relaties is van het grootste belang. De CrowdStrike-storing in 2024, die voor veel bedrijven een cruciale leverancier was, veroorzaakte een aanzienlijke wereldwijde impact - zelfs voor degenen zonder een directe relatie met CrowdStrike. Het uitbesteden van de verantwoordelijkheid voor technologiediensten betekent niet dat de bijbehorende risico's worden uitbesteed. Organisaties moeten hun scala aan assurance-activiteiten uitbreiden om kritieke externe leveranciers te dekken.
Naarmate organisaties steeds meer gebruik maken van externe partijen, zoals cloudoplossingen (SaaS, PaaS en IaaS) en andere managed services, worden hun bedrijfsactiviteiten afhankelijker. Dit maakt hen kwetsbaar als de controles bij deze derde partijen falen.
De NIS2-richtlijn benadrukt de cruciale rol van toezicht door het managementteam bij het beheer van kritieke risico's van derden. Het is belangrijk om te zorgen voor degelijk bestuur en toezicht op deze kritieke relaties met derden, inclusief regelmatige beoordelingen en updates over hun status.
Organisaties zetten steeds vaker interne capaciteiten en functies op - een combinatie van expertise op het gebied van leveranciersbeheer en beveiligingsborging - om deze partners te evalueren en zekerheid te bieden.
Evalueer en ondersteun bij het definiëren van de methodologie voor het identificeren en categoriseren van derde partijen op basis van hun impact en het risiconiveau dat ze vormen, rekening houdend met factoren zoals bedrijfscontinuïteit, cyberdreigingen en gegevensbescherming
Identificeer kritieke partijen (dit hoeven niet noodzakelijkerwijs degenen te zijn met de grootste uitgaven)
Zorg ervoor dat procurement-functies worden betrokken en dat controlebeoordelingen van externe partners zijn ingebed in het onboardingproces
Zorg ervoor dat doorlopende assurance-activiteiten worden uitgevoerd voor de controleomgevingen door rekening te houden met rapportage van service-auditors (zoals SOC2-rapporten), dreigingsgestuurde penetratietests uit te voeren en op de hoogte te blijven van relevante attesten en nalevingsvereisten
Ervoor zorgen dat passende maatregelen worden genomen bij het beëindigen van relaties met leveranciers (teruggave of vernietiging van gegevens, verbreking van de toegang van gebruikers, enzovoort)
Operationele veerkracht
Het vermogen om een verstoring van kritieke diensten te voorkomen, te weerstaan, te herstellen of zich eraan aan te passen, is van vitaal belang om de bedrijfscontinuïteit te waarborgen, financiële verliezen te minimaliseren en het vertrouwen van stakeholders en klanten te behouden. Belangrijke aspecten van operationele veerkracht zijn onder meer:
Risico-identificatie en -beoordeling
Planning van de bedrijfscontinuïteit
Redundantie- en back-upsystemen
Incidentrespons en herstel
Crisismanagement van de toeleveringsketen
Adaptief bestuur en cultuur
Organisaties moeten hun niveau van aanvaardbare verstoring identificeren en beoordelen wat een bedreiging daarvoor vormt. Disruptie voor bedrijven komt in verschillende vormen voor en organisaties hebben een veelzijdige holistische benadering van veerkrachtplanning nodig die technologie, operaties en verkopers of leveranciers omvat. Hoewel er veel aandacht is voor kwaadwillige verstoringen van services - bijvoorbeeld cyberaanvallen - kan de impact van niet-kwaadwillige verstoringen even groot zijn.
In juli 2024 verstoorde de CrowdStrike-storing de activiteiten in sectoren over de hele wereld met aanzienlijke financiële verliezen. Het incident testte de veerkracht van de getroffenen en bracht mogelijke hiaten in hun operationele veerkrachtscenarioplanning aan het licht. Met andere woorden, het toonde het ontbreken van een adequate risico- en impactmapping met betrekking tot geautomatiseerde processen en kritieke verkopers of leveranciers.
Het incident liet ook zien hoe afhankelijk veel organisaties zijn van geautomatiseerde processen, evenals de potentiële risico's als deze mislukken of als deze worden geschonden, wat mogelijk een impact heeft op de bedrijfsvoering boven aanvaardbare niveaus. De mitigatieplannen van veel organisaties voor dergelijke processen bleken ontoereikend te zijn, gezien de aanzienlijke mate van risicoverspreiding.
Financiële dienstverleners begrijpen al vele jaren het belang van operationele veerkracht, wat wordt onderstreept door wettelijke vereisten (DORA). Organisaties uit andere sectoren beginnen een vergelijkbare aanpak te hanteren.
Identificeer bedrijfs- of IT-processen waar vergelijkbare uitvalrisico's mogelijk niet zijn geïdentificeerd of niet op de juiste manier zijn gescoord
Beoordeel de risico's voor de bedrijfsvoering opnieuw, inclusief het in kaart brengen van relaties met derden, om de impact van gepropageerde risico's te beoordelen
Identificeer en implementeer controles om die risico's te beperken op basis van scores
Bekijk de huidige bedrijfscontinuïteitsplannen en werk deze indien nodig bij om meerdere scenario's te dekken, waaronder verlies van IT-systemen
Bied zekerheid over het aantoonbare vermogen om verstoringen te weerstaan door het succes van veerkrachtplannen te valideren
Periodiek herzien en bijwerken om nieuwe risico's, afhankelijkheden of veranderende effecten weer te geven
Transformatieprogramma's
Een goede IT-transformatie is essentieel voor het behoud van de veerkracht van de organisatie. Robuuste IT-transformaties zorgen ervoor dat nieuwe en evoluerende systemen veerkrachtig en veilig zijn en zich kunnen aanpassen aan veranderende zakelijke uitdagingen. Wanneer IT-systemen op de juiste manier worden getransformeerd, zijn ze bestand tegen verstoringen, cyberdreigingen en technische storingen, waardoor een continue werking en dienstverlening wordt gegarandeerd.
Hoogwaardige IT-transformatie stemt technologische vooruitgang ook af op bedrijfsstrategieën, waardoor integratie wordt vergemakkelijkt en de algehele efficiëntie wordt verbeterd. Deze afstemming minimaliseert downtime en beperkt de risico's die gepaard gaan met systeemstoringen. Door prioriteit te geven aan nauwkeurigheid in IT-transformatie, kunnen organisaties een veerkrachtige infrastructuur bouwen die groei, innovatie en klanttevredenheid ondersteunt.
Als de IT-transformatie niet goed verloopt, kan dit leiden tot aanzienlijke problemen met de veerkracht, waaronder operationele verstoringen, inbreuken op de beveiliging en financiële verliezen. Daarom is investeren in nauwkeurige en strategische IT-transformatie essentieel voor het waarborgen van de stabiliteit van de organisatie en het behalen van succes op de lange termijn.
De snelle vooruitgang van technologie, in combinatie met veranderend consumentengedrag en marktdynamiek in de afgelopen 12 maanden, heeft organisaties ertoe aangezet om digitale transformatie te omarmen als een strategische noodzaak. Deze trend wordt gedreven door de noodzaak om de operationele efficiëntie te verbeteren, de klantervaring te verbeteren en concurrerend te blijven in een evoluerend digitaal landschap.
In de afgelopen jaren heeft er een opmerkelijke overgang plaatsgevonden naar het implementeren van cloudgebaseerde ERP-systemen. Bedrijven geven hier steeds meer de voorkeur aan vanwege hun schaalbaarheid, kosteneffectiviteit en flexibiliteit. In tegenstelling tot traditionele on-premise oplossingen, bieden cloudgebaseerde ERP's realtime toegankelijkheid van gegevens en naadloze integratie tussen verschillende bedrijfsfuncties. Deze verschuiving wordt gedreven door de behoefte aan verbeterde operationele efficiëntie, betere beveiliging, het vermogen om zich snel aan te passen aan marktveranderingen en het stroomlijnen van processen in een evoluerend digitaal landschap.
We hebben ook een verschuiving gezien naar een meer gecontroleerde vorm van Agile-levering, omdat bestuurscommissies en sponsors een beter risicobeheer eisen waar Agile te flexibel is geweest.
Stap in de rol van een meer vertrouwde business partner met als doel doorlopende, realtime zekerheid te bieden gedurende de volledige levenscyclus van het programma
Bewaak proactief het risicoprofiel van projecten en programma's om ervoor te zorgen dat assurance-activiteiten zijn afgestemd op de belangrijkste risico's in het programma en op de juiste momenten in de levenscyclus van het programma worden gepland
Stem assurance-benaderingen en -methodologieën af op de cadans van organisatorische benaderingen van levering - dit kan meer flexibiliteit in het assurance-plan omvatten, of regelmatiger rapporteren over een kleinere risico omvang
Een multidisciplinaire assurance-aanpak hanteren om ervoor te zorgen dat er voldoende zekerheid wordt geboden over oplossingsspecifieke en technische aspecten - zoals veerkracht en gegevens- en cyberbeveiliging - bovenop programmagovernance en leveringsgerelateerde risico's
Beheer van gegevens
Zonder een mature vorm van datagovernance lopen artificiële intelligentie (AI) en datagestuurde besluitvorming aanzienlijke risico's. Slecht gegevensbeheer kan leiden tot bevooroordeelde AI-modellen, aangezien onevenwichtige of scheve gegevens discriminerende resultaten kunnen opleveren. Dit ondermijnt de besluitvorming en kan de geloofwaardigheid van een organisatie schaden.
Bovendien verhoogt een gebrek aan governance het risico op inbreuken op de privacy, omdat gevoelige informatie verkeerd kan worden behandeld of blootgesteld. Het gebrek aan duidelijke dataherkomst en -governance kan ook leiden tot ondoorzichtige besluitvorming, waardoor het moeilijk wordt om AI-beslissingen te traceren en te interpreteren. Dit kan leiden tot onethische of schadelijke resultaten, toenemend toezicht door de regelgeving en operationele kosten.
De risico's op het gebied van gegevensbeheer zijn het afgelopen jaar aanzienlijk geëvolueerd als gevolg van verschillende factoren. Toegenomen toezicht op AI-investeringen heeft de noodzaak benadrukt van robuust gegevensbeheer om ervoor te zorgen dat het rendement niet in het gedrang komt.
De toenemende nadruk op ESG-rapportage heeft ook de noodzaak voor het management vergroot om de volledigheid en nauwkeurigheid van niet-financiële rapportage te waarborgen. Er is waterdichte documentatie nodig om de integriteit en herkomst van gegevens aan te tonen.
Ten slotte is er een toenemende vraag om data toegankelijker te maken voor een breder scala aan stakeholders, zowel interne collega's als externe partijen, zoals ketenpartners. Dit staat bekend als 'datademocratisering' en is bedoeld om niet-technische teams in staat te stellen zelf in hun databehoeften te voorzien, met behoud van effectieve data governance-controles.
Maak een afspraak met uw CDO of IT- of afdelingsleiders om aandachtspunten te bespreken en waar gegevensbeveiliging nodig is
Evalueer de datastrategie van de organisatie en beoordeel of de juiste governance aanwezig is om de voortgang te leveren en te bewaken
Identificeer pijnpunten in gegevensbeheer in vergelijking met gangbare praktijken en branchekaders
Test de effectiviteit van data governance-controles, met een focus op beleid, standaarden en kwaliteit, toezicht, naleving, data-architectuur, issuemanagement, datacultuur, datageletterdheid en waardering van data-assets
Security-by-ontwerp
Secure-by-design is een benadering die beveiligingsprincipes vanaf het allereerste begin van de levenscyclus van softwareontwikkeling integreert, zodat systemen inherent veilig zijn. In de context van DevSecOps en Infrastructure-as-code betekent dit dat beveiliging moet worden ingebed in elke fase van ontwikkeling en implementatie, beveiligingscontroles moeten worden geautomatiseerd en consistente veilige configuraties in alle omgevingen moeten worden afgedwongen. Zonder Secure-by-design-principes zijn systemen vatbaarder voor inbreuken op de beveiliging, verlies van gegevens en operationele verstoringen.
Door vanaf het begin beveiligingsprincipes te integreren, helpt Secure-by-design de accumulatie van beveiligingsgerelateerde technische achterstand te voorkomen. Technische achterstand of ‘schuld’ verhoogt de onderhoudskosten, vermindert de wendbaarheid, introduceert beveiligingsproblemen, verlaagt de productiviteit en belemmert innovatie.
Met de toenemende acceptatie van AI-tools kunnen deze worden gebruikt om Secure-by-design-praktijken te verbeteren door beveiligingscontroles te automatiseren en kwetsbaarheden vroeg in het ontwikkelingsproces te identificeren. Ze kunnen code analyseren op mogelijke beveiligingsproblemen, veilige coderingspraktijken afdwingen en continu controleren op bedreigingen, zodat de beveiliging gedurende de hele levenscyclus van de software is geïntegreerd.
Het gebruik van AI voor softwareontwikkeling en -testen kan ook beveiligingslekken introduceren door onveilige code te genereren of gevoelige gegevens bloot te leggen. Bovendien kunnen deze tools vatbaar zijn voor aanvallen van buitenaf, zoals ‘gegevensvergiftiging’, die de systeemintegriteit in gevaar kunnen brengen. Robuuste controles van door AI gegenereerde code zijn essentieel om fouten en vooroordelen te identificeren en te corrigeren en veilige coderingspraktijken te handhaven.
Werk samen met experts op het gebied van technologie en beveiliging om te controleren of beveiliging in alle ontwikkelingsprocessen is geïntegreerd
Geef pragmatische aanbevelingen over hoe beveiligingsvereisten beter kunnen worden meegenomen in de levenscyclus van softwareontwikkeling zonder deze onnodig te vertragen.
Inzicht krijgen in de mate van acceptatie van AI-tools in softwareontwikkelingsprocessen en de due diligence die wordt uitgevoerd op de betrouwbaarheid van deze tools.
Het beleid en de kaders van de organisatie rond het gebruik van AI herzien en ervoor zorgen dat wordt voldaan aan regelgeving en interne beveiligingsnormen
Test de effectiviteit van controles rond veilig ontwerp, codekwaliteit, beveiligingstests enzovoort
Identificeer hiaten in training en bewustzijn rond Secure-by-design en het gebruik van AI-aangedreven ontwikkelingstools
Talent
De meeste organisaties investeren niet in, en maken geen efficiënt gebruik van technologie om belangrijke vaardigheden te identificeren en te ontwikkelen, ondanks het snelle tempo van verandering in de vereiste technische competenties. Sommigen zijn ook niet voldoende in staat om bestaand talent te identificeren en in kaart te brengen voor interne vaardigheidsvereisten. Uit onderzoek van Gartner blijkt dat slechts 15% van de organisaties strategische activiteiten op het gebied van personeelsplanning uitvoert om te bepalen voor welke vaardigheden ze moeten werven of die ze van binnenuit moeten ontwikkelen.
In de technische ruimte is de ontwikkeling van vaardigheden nog belangrijker vanwege het ongekend snelle en wijdverbreide gebruik van automatisering, kunstmatige intelligentie en andere technologieën.
Als organisaties niet veerkrachtig zijn en zich niet snel en effectief aanpassen, kunnen ze te maken krijgen met aanzienlijke risico’s voor of met hun mensen. Dit kan hun vermogen belemmeren om op korte, middellange en lange termijn aan interne of strategische prioriteiten te voldoen.
Door prioriteit te geven aan de ontwikkeling van vaardigheden, kunnen organisaties zich sneller aanpassen en veerkrachtig blijven voor veranderende bedrijfsbehoeften en technologische ontwikkelingen, zoals AI en cyberbeveiliging.
Onderwijsprofessionals verwachten dat AI-ondersteund vaardigheidsbeheer dit jaar een belangrijke investeringsprioriteit zal zijn. Om te begrijpen welke vaardigheden organisaties nu hebben - en waar er lacunes in vaardigheden zijn - is focus nodig, waardoor strategische personeelsplanning een prioriteit wordt.
Hoewel veel organisaties een niveau van personeelsplanning uitvoeren, heeft dit de neiging om zich te concentreren op het aantal rollen in plaats van op de vaardigheden die nodig zijn voor de middellange en lange termijn. Het risico bestaat dus dat u niet over de vereiste vaardigheden beschikt om bedrijfsactiviteiten te ondersteunen.
Bovendien beginnen sommige organisaties AI-technologieën te gebruiken ter ondersteuning van strategische personeelsplanning.
Dit bevindt zich echter nog in een vroeg stadium. De meesten gebruiken nog steeds handmatige processen, wat tijdrovend en zeldzaam is en het een uitdaging maakt om externe marktgegevens op te nemen in strategieën voor de ontwikkeling van vaardigheden.
Als organisaties nu geen actie ondernemen om technologieën, zoals generatieve AI, te integreren, kunnen ze moeite hebben om de kansen te maximaliseren om de vaardigheden van interne werknemers te identificeren en te prioriteren, of om nieuw talent aan te trekken. Dit verhoogt het risico dat de vaardigheidskloof groter wordt, dat er geen efficiënt gebruik wordt gemaakt van vaardigheden die al binnen organisaties aanwezig zijn, of dat u kandidaten misloopt met een overtuigende waardepropositie voor werknemers die een organisatie kan onderscheiden van de concurrentie.
Bij het overwegen van hun eigen vaardigheden en capaciteiten moeten interne audit- en technologierisicofuncties:
Voer strategische activiteiten op het gebied van personeelsplanning uit om de huidige vaardigheden en eventuele lacunes in vaardigheden te identificeren bij het overwegen van de strategische vereisten van het bedrijf.
Instrumenten inzetten om lacunes binnen hun teams aan te pakken door middel van interne bijscholing en werving (intern en extern), met regelmatige evaluaties en dienovereenkomstig acties.
Meer in het algemeen moeten interne audit- en technologierisicofuncties:
De strategische personeelsplanningsactiviteiten van het bedrijf beoordelen en beoordelen of deze de verschillende functies in staat stellen de strategische vereisten op korte, middellange en lange termijn te ondersteunen
Beoordeel hoe de output van strategische personeelsplanningsactiviteiten en gedetailleerde vaardigheidsvereisten worden meegenomen in de personeelsstrategie van de organisatie
Beoordelen in hoeverre opkomende vaardigheidsgebieden, zoals AI, door het bedrijf in overweging zijn genomen
Het gebruik van AI door het bedrijf beoordelen ter ondersteuning van de identificatie van huidige en verwachte lacunes in vaardigheden, het analyseren van vaardigheidstrends en het mogelijk maken van gegevensgestuurde besluitvorming.
Scheiding van taken in verschillende toepassingen
Toenemende regelgeving, zoals de NIS2-richtlijn en controlevereisten, zorgen ervoor dat grote bedrijven gedwongen worden om effectieve functiescheiding (SOD) in te voeren en te handhaven, die cruciaal zijn voor naleving, risicobeheer en financiële integriteit. De belangrijkste risico's in verband met functiescheiding zijn onder meer fraude, fouten, gebrek aan verantwoording en de mogelijkheid voor een gebruiker om een end-to-end-proces uit te voeren zonder toezicht van het management.
SOD-analyses tussen applicaties omvat het evalueren en beheren van SOD-risico's in meerdere bedrijfsapplicaties binnen een organisatie. Dit proces zorgt ervoor dat geen enkel individu controle heeft over alle kritieke aspecten van een zakelijke transactie, zelfs wanneer deze transacties verschillende systemen omvatten. Effectieve SOD-besturingen voor meerdere toepassingen zijn doorgaans gereedschapsgestuurd. Ze vereisen specialistische vaardigheden op het gebied van systeembeheer en bedrijfsprocessen.
Terwijl organisaties zich van oudsher richtten op SOD binnen silo-applicaties, heeft het toegenomen gebruik van software-as-a-service (SaaS)-applicaties geleid tot een behoefte aan een grotere focus op cross-application SOD. Het typische systeemlandschap van een grote organisatie bestaat nu uit een combinatie van ERP's, SaaS en een veelheid aan kant-en-klare en intern ontwikkelde applicaties. Dit landschap verhoogt het SOD-risico vanwege de toegenomen complexiteit bij het beheren en bewaken van identiteiten en toegangsrechten in deze systemen.
Tooling wordt steeds vaker gebruikt om nieuwe en efficiëntere gebruikers- en toegangshercertificeringen te definiëren. Organisaties beginnen te evolueren naar het beoordelen van afwijkingen van gebruikerstoegang aan de hand van een overeengekomen ontwerp voor toegangsbeveiliging. Dit proces moet gepaard gaan met een grondige periodieke beoordeling van het ontwerp van de toegangsbeveiliging door risicospecialisten.
Identificeer gebieden met SOD-risico's in verschillende toepassingen en kwantificeer het risiconiveau
Evalueer regelmatig SOD-risico's in belangrijke applicaties om potentiële conflicten te identificeren en herstelacties voor te stellen
Gebruik gespecialiseerde tools om de detectie en het beheer van SOD-conflicten in meerdere applicaties te automatiseren
Werk nauw samen met experts op het gebied van technologie en bedrijfsprocessen om effectief SOD-beleid en -controles te ontwerpen en te implementeren
Als segregatie niet mogelijk is, implementeer dan compenserende controles, zoals extra monitoring van activiteiten
