De belangrijkste onderzoeksthema's in 2016 waren:

• risicoanalyses verzelfstandigingen (Natuurcentrum Arnhem, de Connectie, sociale wijkteams);
• risicoanalyses en evaluaties organisatie ontwikkeling;
• risicoanalyse Grex-Schuytgraaf;
• bijdrage aan de ontwikkeling Van Wijken Weten door evaluaties en onderzoeken;
• diverse overige risicoanalyses en evaluaties (o.a. zaakgericht werken, opdrachtgeverschap openbaar vervoer, risicoanalyse Giro Gelderland).

Financial audits
De financial audits vinden hun basis in de Verordening financieel beleid en beheer, waarbij getrouwheid en rechtmatigheid de belangrijkste invalshoeken zijn. De keuze van de onderwerpen wordt bepaald door het ingeschatte risico en door de omvang ("materialiteit") van de uitgaven en inkomsten die hiermee samenhangen. De belangrijkste processen die in 2016 zijn onderzocht, zijn:

• Sociaal Domein;
• inkoop en aanbesteding;
• personeelskosten;
• subsidieverstrekking aan derden;
• belastingen;
• verbonden partijen, zoals de Woning Onderhoud Stichting.

Frauderisico- analyse
De frauderisico-analyse is gericht op het onderkennen van bedrijfsrisico's. Het geeft inzicht in de mogelijk aanwezige prikkels naar medewerkers en aanwezigheid van gelegenheid die leiden tot frauduleus handelen door medewerkers, maar ook inzicht in de genomen maatregelen ter voorkoming van frauduleus handelen.

Het college is verantwoordelijk voor het voorkomen en ontdekken van frauduleus handelen. Het vastleggen van de analyse ondersteunt het college bij het aansturen van de interne beheersing en het uitoefenen van toezicht daarop. De interne beheersing heeft o.a. betrekking op de aanwezigheid van een  interne controlefunctie en risicomanagement, of sprake is van voldoende functiescheiding, autorisaties, mandatering en de effectiviteit van (IT-) beveiliging.

Weerstandsvermogen
Een belangrijk ijkpunt voor de financiële positie vormt het noodzakelijk te reserveren weerstandsvermogen voor de risico's. Auditing en Risicomanagement zorgt steeds voor een zo actueel mogelijk beeld; zie de paragraaf Weerstandsvermogen en risicobeheersing.

IT- audit en informatiebeveiliging

• in 2016 is gestart met het inrichten van de IT-auditfunctie vanuit de gedachte dat IT onlosmakelijk is verbonden met de bedrijfsvoering en de financiële vastlegging. Ook wordt onderkend dat IT-auditing kan en moet adviseren en toetsen als het gaat om informatiebeveiliging;
• informatie is één van de belangrijkste bedrijfsmiddelen van een gemeente. Toegankelijke en betrouwbare overheidsinformatie is essentieel voor een gemeente, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt aan burgers en raadsleden en die met minimale middelen maximale resultaten behaalt. De bescherming van waardevolle informatie is hetgeen waar het uiteindelijk om gaat. Hoe waardevoller de informatie is, hoe meer maatregelen er getroffen moeten worden;
• het project ENSIA (Eenduidige Normatiek Single Information Audit) wordt vanuit de overheid in 2017 voor het eerst uitgerold en heeft tot doel het verantwoordingsproces bij gemeenten te vereenvoudigen. In eerste instantie ligt de nadruk op het verantwoordingsproces rondom informatieveiligheid;
• om het project ENSIA zo goed mogelijk te voeden is de gemeente Arnhem bezig met het inrichten van een ISMS-proces (Information Security Management System) voor informatiebeveiliging. Dit proces beoogt een gestructureerde, continue aantoonbare kwaliteitsverbetering van de informatiebeveiliging van de gemeente Arnhem.