Agile auditing @ Jumbo – a good practice

Agile auditing @ Jumbo – a good practice

Auteur: Drs. Annemarie van de Langenberg-de Reuver RC - Ing. Joost van Beijsterveld MSc RE CISA
Beeld: Jumbo - Laura Ockel - Waleed Alzahrani
8 min

Van rapport in de la naar acties op de vloer: hoe Jumbo internal audit het agile-gedachtegoed implementeerde in haar werkwijze. Van log en weinig draagvlak naar wendbaar met een brede acceptatie met behulp van een kwartaalplanproces en een kernteam.

Hoe levert een internal auditafdeling toegevoegde waarde? Dit is de cruciale vraag ten aanzien van het bestaansrecht van het internal auditvakgebied. Als internal auditor wil je niet gezien worden als betweter, idealist of interne politieagent. Daarnaast wil je als internal auditor ook niet dat je doordachte analyses, verbeterplannen en actiepunten in een bureaula belanden. Hoe creëer je als internal auditafdeling commitment en draagvlak? Hoe zorg je ervoor dat verbeteringen worden doorgevoerd en hoe behoud je tegelijkertijd je onafhankelijkheid? In dit artikel is te lezen hoe Jumbo (motto: ‘elke dag beter’) de antwoorden op deze vragen succesvol heeft geïmplementeerd.

Beperkte opvolging van bevindingen

Als internal auditafdeling binnen Jumbo werden wij tot 2020 vooral gezien als een club slimme mensen die processen analyseerden en maanden hard werkten aan degelijke en lijvige rapporten. De vergelijking werd weleens gemaakt met een auto met een vermogen van 400 pk waarvan maar 100 pk werd gebruikt. Onze aanbevelingen waren objectief en feitelijk juist, maar werden beperkt opgevolgd.

Voor de operationeel verantwoordelijke afdelingen kwam de lijst met bevindingen vaak als een verrassing en bovenop al het andere werk. Hierdoor was er geen tijd en capaciteit beschikbaar om iets met de aanbevelingen te doen en volgde men de auditbevindingen beperkt op. Dit leidde tot frustratie bij het auditteam.

Hoe vergroten we de acceptatie?

Ons bestaansrecht is Jumbo ‘elke dag beter’ maken, maar het effect van onze audits was te klein. Dus moesten wij aan de slag met ofwel de kwaliteit ofwel de acceptatie van onze adviezen. Onze inschatting was dat de kwaliteit van de audits en de (vak)inhoudelijk kennis van het auditteam op orde waren, maar dat we een uitdaging hadden in het creëren van draagvlak. We constateerden dat onze werkwijze te rigide en zelfstandig was met te weinig tussentijdse afstemming en bijsturing met onze interne klanten. Dat leidde tot de vraag: hoe kunnen we ons proces aanpassen om de acceptatie van de auditbevindingen te vergroten?

Als de organisatie een audit onderwerp niet ziet zitten, doen we het niet

De oplossing: agile auditing

We besloten om onze interne klanten, de operationeel verantwoordelijke collega’s en controlling, nauwer bij ons proces te betrekken. Hiervoor hebben we een nieuwe werkwijze ontwikkeld die is gebaseerd op agile en die goed past bij het ondernemende karakter van Jumbo. De veranderingen hebben we (conform het agile-gedachtegoed) in kleine stapjes doorgevoerd. Dit was belangrijk, omdat het behoorlijk wat aanpassingsvermogen vereiste van de auditors zelf. Zekerheden kwamen op losse schroeven te staan en dit leidde tot discussies en wezensvragen over het auditvak. Naast het bereiken van meer toegevoegde waarde leidde dit ook tot meer werkplezier bij alle betrokkenen. Graag delen we onze werkwijze om inspiratie en handvatten te geven hoe agile auditing kan werken: ook in uw situatie.

Familiebedrijf Jumbo

Jumbo is een familiebedrijf dat de afgelopen jaren zeer snel is gegroeid door diverse overnames. Er werken op dit moment honderdduizend mensen in de bijna zevenhonderd supermarktwinkels in Nederland en België. Naast de supermarkten en de restaurants van La Place is er ook een groeiend online kanaal. De complexiteit is groot en de technologische en organisatorische veranderingen volgen elkaar in hoog tempo op.

De internal auditafdeling bestaat uit een manager en zeven medewerkers (zes auditors met verschillende RA-, RE- en RO-achtergronden en een fraude- en securityanalist) en is direct gepositioneerd onder de raad van bestuur (RvB). Tevens rapporteert de manager Internal Audit aan de voorzitter van de audit committee. De werkzaamheden van de afdeling bestaan naast het uitvoeren van (operational) audits, uit het reviewen van self assessments op het internal control framework (ICF).

We geven geen assurance, doen geen werkzaamheden voor de accountant en we hebben geen terugkerende audits. Wel dragen we bij aan de doelstellingen van de organisatie en omarmen we het Jumbo DNA (Samen, Ondernemen en Winnen) in onze aanpak.

We voeren audits uit op onderwerpen die actueel zijn en waar de organisatie ook echt op zit te wachten, zoals de evaluatie van een organisatiewijziging of de executie van promoties op de winkelvloer in het licht van operational excellence. Op deze manier geven we advies en inzicht rondom actuele thema’s.

In onze aanpak onderscheiden wij twee hoofdprocessen. Het kwartaalplanproces en het auditproces. We lichten beide toe en beschrijven hoe wij hieraan invulling geven.

Kwartaalplanproces: elke dag van een auditor is goud waard!

De cadans van ons planningsproces
Binnen onze ‘agile auditing @ Jumbo’-aanpak is het kwartaalritme van groot belang. Ieder kwartaal voeren we drie audits uit. Alle audits beginnen en eindigen op hetzelfde moment.

Het voordeel hiervan is drieledig: 1) er is focus en transparantie, 2) de harde deadline dwingt tot keuzen en 3) na ieder kwartaal kan gemakkelijk gewisseld worden van teamsamenstelling.

De harde deadline maakt het extra belangrijk om de scope van de audit goed af te bakenen, te bewaken en af te stemmen. Tegelijkertijd heeft de praktijk ons geleerd dat een langere doorlooptijd (als gevolg van een bredere scope) niet per se leidt tot meer toegevoegde waarde.

Iedereen kan auditonderwerpen aandragen. Wij stimuleren zowel de operationeel verantwoordelijke afdelingen als controlling om aan te geven waar ze risico’s zien, waar ze zich niet helemaal comfortabel over voelen, of waar ze een onafhankelijke mening over willen hebben. Zeker processen die directieportefeuilleoverstijgend zijn, lenen zich bij uitstek goed voor een audit. Uiteraard denken we ook zelf na over mogelijke onderwerpen op basis van onze eigen risico-inschatting, of ze komen als verdiepingsslag uit een voorgaande audit.

Prioritering
De onderwerpen op de backlog wegen en prioriteren we aan de hand van vijf verschillende criteria, waaronder de impact op de klant, het risicoprofiel en de mate waarin het proces onderhevig is aan veranderingen. Dit doen we zes weken voor aanvang van het kwartaal. Voor de Top-5 onderwerpen stellen we vast wat het meeste waarde oplevert voor de organisatie, of alle betrokkenen er voldoende tijd en aandacht aan kunnen besteden en of er voldoende spreiding zit in de onderwerpen.

Op deze manier gaan we altijd aan de slag met zaken die actueel zijn en waar de organisatie op dat moment behoefte aan heeft. Sterker nog, als er geen overeenstemming is en men ziet de toegevoegde waarde van de audit niet in, dan doen we het niet. Het is immers al vaak genoeg gebleken dat de audit dan moeizaam in beweging komt en dat er achteraf weinig opvolging plaatsvindt.

Afstemmen van onderwerpen en uitkomsten
Als de onderwerpen helder zijn, stemmen wij dit af met de RvB, de Jumbodirectie en het audit committee (van de raad van commissarissen) en maken we de ideale teamindeling gebaseerd op de persoonlijke voorkeur, kennis en ervaring van de teamleden en de benodigde (soft) skills. Vervolgens gaan de teams van start. Aan het eind van het kwartaal presenteren wij de bevindingen in een eindpresentatie aan de opdrachtgever en rapporteren wij de uitkomsten op hoofdlijnen aan het audit committee.

Naast het bereiken van meer toegevoegde waarde heeft onze nieuwe aanpak tot meer werkplezier geleid

 

Auditproces: alleen ga je sneller, samen kom je verder!

Het succes van het kernteam
Het formeren van een kernteam met onze interne klant is de belangrijkste succesfactor om daadwerkelijk toegevoegde waarde te leveren, en te zorgen dat er iets met de uitkomsten van de audit gebeurt. Dit is de belangrijkste verandering ten opzichte van de traditionele aanpak. Zonder kernteam geen audit!

In dit kernteam zitten naast de auditors alle relevante personen uit de business die uiteindelijk een rol hebben in het uitvoeren van de gedefinieerde acties (vaak één niveau onder de directie). Vooraf weten we meestal wie in het kernteam hoort, soms vullen we tijdens de audit dit team aan mocht dat nodig zijn.

Voortdurende afstemming en bijsturing
Met het kernteam bespreken we tweewekelijks het verloop van de audit, maar ook de aanpak, voorlopige bevindingen, oplossingsrichtingen en waar nodig sturen we bij of escaleren we.

In overleg met het kernteam passen we tussentijds onze aanpak aan. Zo identificeren we tijdens de audit nieuwe risico’s die het onderzoeken waard zijn en beslissen we samen welke zaken we niet meer kunnen doen. Andersom gebeurt ook regelmatig. Als een bevinding voldoende duidelijk is en men gaat hiermee aan de slag, dan onderzoeken we dit onderwerp niet verder. Op deze manier sturen we tweewekelijks (per sprint) bij, wat veel overbodig auditwerk voorkomt.

Alle disciplines aan tafel
Een ander voordeel van het formeren van een kernteam is dat alle relevante disciplines aan tafel zitten en meteen met elkaar in gesprek gaan over wat wel en niet werkt. Door deze collega’s doorlopend te betrekken, komen de bevindingen achteraf niet als een verrassing en denken ze zelf mee in de oplossingsrichting. Zo creëren we direct draagvlak en komen we tot een gedragen actieplan. Bovendien ontstaat er verbinding tussen de kernteamleden. Dit voordeel komt ook terug in het artikel ‘Wendbaarheid met internal audit deelproducten’ van De Korte, Otten en Schuiten op auditmagazine.nl, dat daar een dubbele interventie wordt genoemd.

En onze onafhankelijkheid dan?
Deze aanpak kan vragen oproepen over onze onafhankelijkheid. Wij bewaken deze onafhankelijkheid te allen tijde. Alleen wij als auditors bepalen de definitieve aanpak, wij waarborgen dat de juiste discussies worden gevoerd en bepalen de inhoud van onze rapportages. Dit doen we het liefst zoveel mogelijk in samenspraak en met input van het kernteam, omdat we hebben geleerd dat je samen het meest bereikt!

Alle audits beginnen en eindigen op hetzelfde moment. De voordelen: focus en transparantie, de harde deadline dwingt tot keuzen, er kan nadien gemakkelijk worden gewisseld van teamsamenstelling

Een actiegericht verbeterplan mét draagvlak
Door agile auditing worden tijdens de audit sommige bevindingen al opgelost door het kernteam. Deze oplossingen nemen we direct op in ons rapport. Voor de overige bevindingen bespreken we gezamenlijk met het kernteam wat de uiteindelijke oplossing is die voor alle partijen werkt. Dit vertaalt zich naar een overzicht met concrete acties, gecommitteerde eigenaren en heldere tijdslijnen. Daarmee gaan we een stuk verder dan het uitbrengen van theoretische adviezen zonder draagvlak die hoogstwaarschijnlijk niet opgevolgd worden.

Eindbespreking
Dit actieplan laten we door de verantwoordelijken uit het kernteam presenteren in de eindbespreking met de opdrachtgever. Discussies vinden rechtstreeks plaats tussen opdrachtgever en verantwoordelijken. Wij auditors zitten de eindbespreking voor en luisteren en spreken kritisch mee.

Sinds de implementatie van onze agile-aanpak ligt de nadruk tijdens de eindbespreking vooral op ‘hoe nu verder?’ Na afloop van de eindbespreking ligt er een definitief actieplan met commitment vanuit de business. Wij monitoren in de toekomst of de afgesproken acties (tijdig) worden opgepakt en geïmplementeerd.

Retrospectie: ‘elke dag beter’
Na afloop van de audit kijken we met het auditteam terug op het verloop van de audit. Enerzijds bespreken we de leerpunten vanuit de kwaliteitsreview. Anderzijds benoemt ieder teamlid wat goed en minder goed ging om hiervan te leren.

Daarnaast sturen we een korte tevredenheidsenquête naar het kernteam en de opdrachtgever. Waar nodig gaan we over de uitkomsten in gesprek. Op deze manier leren we ook vanuit het perspectief van de auditee wat we beter kunnen doen en wat men juist goed heeft ontvangen. Met deze feedback sleutelen we continu aan onze ‘agile auditing @ Jumbo’ aanpak en aan onszelf.

 Tot slot: effectiviteit = kwaliteit x acceptatie

Om meer toegevoegde waarde te leveren en de organisatie op basis van onze audits daadwerkelijk in beweging te krijgen, hebben wij de oplossing voornamelijk gevonden in het verhogen van het draagvlak en de acceptatie bij de auditee. We doen audits die op dat moment relevant zijn (kwartaalplanproces). En binnen de audits zelf betrekken we de verantwoordelijken continu en sturen we steeds bij (auditproces).

Vanuit de traditionele aanpak hadden we voorheen de neiging de auditaanpak tot in detail uit te werken. Het voelde vreemd om af te wijken van de aanpak die ons is aangeleerd en die we jarenlang hebben toegepast. De IIA Standaarden geven je echter de ruimte om het anders te doen. Het is juist krachtig en efficiënt om niet de hele aanpak vooraf tot in detail uit te werken, maar dit enkel op hoofdlijnen te doen en steeds bij te sturen op basis van nieuwe inzichten en veranderende behoeften vanuit het kernteam.

Tabel 1. Overzicht wat ‘agile auditing @ Jumbo’ heeft gebracht

Samengevat hebben we met onze eigen variant op agile auditing veel bereikt en leveren we meer toegevoegde waarde voor Jumbo (zie tabel 1). Het agile-auditingproces wordt omarmd, zowel door het internal auditteam als door de organisatie als geheel. Wij willen echt niet anders meer.

Over
Drs. Annemarie van de Langenberg-de Reuver RC is manager Internal Audit bij Jumbo en heeft naast controlling ook diverse jaren IT-managementervaring.

Ing. Joost van Beijsterveld MSc RE CISA is internal auditor bij Jumbo en heeft een achtergrond als IT-auditor bij BDO.

Meer weten? Schroom niet om contact met ons op te nemen. Mail naar joost.vanbeijsterveld@jumbo.com of annemarie.vandelangenberg@jumbo.com.

Een artikel aanleveren? Lees onze aanleverinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.