DSM: auditen in internationaal perspectief

Koninklijke DSM nv is een mondiale onderneming die vanuit wetenschappelijke basis actief is op het gebied van gezondheid, voeding en materialen. Wat betekent die mondiale aanwezigheid voor de internal auditfunctie van DSM? En wat zijn de voordelen en wat de uitdagingen?

Opgericht in 1902 als steenkolenbedrijf heeft Koninklijke DSM nv (DSM) zich ontwikkeld tot een ‘life sciences & materials sciences’ bedrijf dat actief is in gezondheid, voeding en materialen en waar duurzaamheid en innovatie tot de kernstrategie behoren. Producten van DSM zijn tegenwoordig ook terug te vinden in windmolens, zonnepanelen, biomedische materialen en voedingsingrediënten.

DSM’s activiteiten zijn gebundeld in businessgroepen (BG’s) die in grote mate zelfstandig opereren. Het management van de businessgroepen rapporteert direct aan de managing board. Daarnaast neemt DSM deel in een aantal bedrijven. De activiteiten van DSM worden ondersteund door shared-serviceafdelingen (zoals een financial shared service center), functional excellenceafdelingen die zorg dragen voor het op peil houden en verspreiden van expertkennis en -kunde en corporate stafafdelingen ter ondersteuning van de managing board. DSM heeft kantoren en productielocaties in alle werelddelen; van de ruim 24.000 medewerkers werken er meer dan 18.000 buiten Nederland.

Governance en risk management

DSM kent als beursgenoteerde Nederlandse nv het two-tiermodel met een supervisory board en een management board. Figuur 1 geeft DSM’s governance framework en de belangrijkste elementen daarin weer.

Het management framework schrijft onder andere voor dat de code of business conduct en de corporate requirements gevolgd moeten worden en dat de units risk management moeten toepassen. De corporate requirements zijn richtlijnen per functiegebied die units moeten navolgen om de risico’s in hun operaties te beheersen. Er zijn requirements voor onder meer risk management, finance, commerciële processen, manufacturing en safety health & environment (SHE). Met name in het SH-gebied is DSM’s risicoaversie groot en dit onderwerp krijgt dan ook veel aandacht in audits. Het risk managementsysteem van DSM is vormgegeven naar het welbekende COSO-ERM-model.

Three lines of defense en Internal Audit

Binnen DSM wordt het three lines of defensemodel gehanteerd: lijnmanagement is verantwoordelijk voor risk management, een tweede lijn (meestal risk managers en controllers binnen de BG c.q. unit) houdt toezicht en de derde lijn, zijnde Internal Audit, geeft aanvullende zekerheid over het functioneren van het risk managementsysteem.

De afdeling corporate operational audit (COA) is begin 2000 opgericht als opvolger van de klassieke interne accountants dienst (IAD), waarbij de verantwoordelijkheid voor de controle van de jaarcijfers volledig is overgedragen aan de externe accountant en COA zich is gaan richten op operational auditing.

Doel

Het doel van COA is om aanvullende zekerheid aan het management te geven dat de belangrijkste risico’s effectief, efficiënt en duurzaam worden beheerst. Dit gebeurt, in lijn met de IIA Standaarden, door jaarlijks een risk based auditplan op te stellen op basis van een risicomatrix en door gesprekken met het senior management en de managing board. Dit resulteert in zo’n zestig uit te voeren audits per jaar. Enkele voorbeelden:
­

• een audit van de insuranceafdeling in Heerlen waarbij de nadruk ligt op claims handling en extern betalingsverkeer;
• een audit van een productiesite in Augusta (US) waarbij onder andere sterk wordt gefocust op veiligheid, gezondheid en milieu;
• een audit van het financial shared service center in Hyderabad (India) waarbij vooral de controls in de financiële processen onder de loep genomen worden.

Het referentiekader voor de audits wordt gevormd door de corporate requirements en directives (de laatste zijn richtlijnen van tijdelijke aard of voor een beperkte doelgroep).

De fulltime bezetting van COA is een afspiegeling van het internationale karakter van DSM

Werkprogramma

Onder leiding van een lead auditor voert een multidisciplinair auditteam voorafgaand aan een audit een risicoanalyse uit en stelt een werkprogramma op waarin de belangrijkste risico’s en processen worden benoemd. Zonodig wordt het team aangevuld met specialisten uit de business. Vervolgens gaat het team naar de betreffende unit om de audit uit te voeren tijdens een of twee weken ‘veldwerk’. Het resultaat van de audit wordt ter plekke teruggekoppeld en uiteindelijk samengevat in een rapport dat wordt gestuurd naar het unitmanagement en naar het management van de BG waar de unit deel van uitmaakt. De unit en de BG zijn verantwoordelijk voor het tijdig uitvoeren van de acties die in het rapport zijn opgenomen. COA toetst dit bij de volgende audit of waar nodig al eerder door middel van een onaangekondigde audit.

Doorstroommodel

Voor de bemensing van COA heeft DSM gekozen voor het doorstroommodel. DSM-medewerkers met vele jaren ervaring in hun eigen vakgebied (finance, manufacturing, safety health & environment, marketing & sales, ICT & security, quality), een goede staat van dienst en doorgroeipotentieel worden aangetrokken als fulltime auditor voor een periode van ongeveer drie jaar. Dit model kent enkele duidelijke voordelen:
­

• Auditees krijgen tijdens audits te maken met volwaardige gesprekspartners. Dit wordt zeer gewaardeerd, niet alleen kennen de auditors het vakgebied, maar ze zijn ook in staat om een praktische afweging te maken met betrekking tot risk management en controlemaatregelen.
• Auditors krijgen gedurende hun driejaarsperiode de kans om verder te groeien in hun vakgebied door de inbreng van nieuwe ideeën, om te leren van de andere vakgebieden van hun collega-auditors en om veel internationale ervaring op te doen. Ook leidinggevende kwaliteiten kunnen (verder) ontwikkeld worden omdat na ongeveer een jaar auditen ook lead auditorfuncties vervuld kunnen worden. Niet in de laatste plaats ontwikkelt de auditor een breed scala aan sociale en communicatieve vaardigheden door het auditwerk. Vooral een complexere audit biedt een breed scala aan mogelijkheden om deze vaardigheden te verbeteren.
• DSM groeit op het gebied van risk management doordat de auditors met een schat aan risk management- en auditervaring na drie jaar doorstromen naar een volgende (management)functie in de business.

Risico’s

Er kleven echter ook risico’s aan dit model:
­

• COA moet alert zijn op issues met betrekking tot objectiviteit en onafhankelijkheid. Het spreekt voor zich dat auditors niet de unit gaan auditen waar ze net hebben gewerkt, maar ook speelt mee dat de auditor zich er van bewust is dat hij bij iedere audit niet alleen een ‘visitekaartje’ van COA afgeeft maar ook van zichzelf en daarmee invloed heeft op zijn volgende carrièrestap. Supervisie door de lead auditor en auditmanager beperkt de risico’s op dit gebied, en in het algemeen begrijpt de auditee heel goed dat auditors een andere rol hebben gedurende hun dienstverband bij COA.
• Iemand is niet meteen auditor zodra hij een contract tekent bij COA. Vanzelfsprekend wordt er geselecteerd op kennis en kunde en op een kritische en onderzoekende houding, maar daarmee ben je er nog niet. COA investeert veel in audit- en vaardigheidstraining en de eerste audits worden onder begeleiding van een coach uitgevoerd.
• Door de voortdurende uit- en instroom van medewerkers is stabiliteit qua methodologie en procedures een aandachtspunt. Daarom is de auditmanager Finance verantwoordelijk voor het bewaken van de methodologie en continue procesverbetering en heeft hij een RO-opleiding als achtergrond. Van de overige finance auditors wordt verwacht dat ze de CIA-opleiding volgen.

De fulltime bezetting van COA is een afspiegeling van het internationale karakter van DSM en kent inmiddels vele nationaliteiten

Naast de voltijds auditors (15 fte in 2014), maakt COA ook gebruik van parttime auditors. Dit zijn DSM-medewerkers die in dienst blijven van hun unit maar ongeveer twee keer per jaar deelnemen aan een audit vanwege hun specifieke kennis en kunde dan wel vanwege de extra capaciteit die dit oplevert. Vaak zijn dit overigens oud-fulltime auditors. Aangezien dit een ‘bijbaan’ betreft is meer aandacht nodig voor begeleiding van deze parttime auditors, maar de toegevoegde waarde voor auditees, de auditors zelf en voor DSM zijn vergelijkbaar met de eerder besproken voordelen voor fulltime auditors.

Internationalisering

De in de inleiding besproken internationalisering heeft grote invloed op COA. De fulltime bezetting van COA is een afspiegeling van het internationale karakter van DSM en kent inmiddels vele nationaliteiten (we hebben medewerkers uit onder andere de US, China en Brazilië). Deze medewerkers hoeven niet naar Heerlen te verhuizen, waar het hoofdkantoor van DSM is gevestigd en het COA-management huist, omdat de auditors sowieso veel moeten reizen. Gedurende de perioden tussen audits in kan vanuit een kantoor nabij de woonplaats of zelfs van huis uit gewerkt worden. Communicatie vindt veelal via videoconferencing (via het DSM intranet) plaats. Het blijft noodzakelijk elkaar zo nu en dan in het echt te zien, niet in het minst voor de sociale cohesie. Daarom organiseert COA in de auditluwe zomer- en winterperioden een trainingsweek waarbij alle auditors aanwezig zijn.

Reizen

Een ander aspect is het reizen: hoewel om kostenredenen auditors zoveel mogelijk in hun eigen werelddeel worden ingezet, blijft het aantal reizen hoog. De managementassistentes van COA zijn zeer bedreven in de meest ingewikkelde reisschema’s. Gemiddeld is een fulltime auditor zeventien tot twintig weken per jaar van huis. Veel auditors zijn tussen de 35 en 45 jaar en hebben veelal jonge kinderen. Het reizen kan behoorlijke consequenties hebben voor de work-life balance van zowel de auditors als hun partners. Ook hierom is het verstandig de verblijftijd bij COA te beperken tot een jaar of drie.

Cultuur

Cultuurverschillen en diversiteit zijn evident in een wereldwijd opererend concern. Auditors, ieder met hun eigen achtergrond, komen in aanraking met andere culturen en gebruiken. Dat vergt een grote mate van inlevings- en aanpassingsvermogen van auditors en auditees.

Allereerst is taal een aandachtspunt. Hoewel Engels de voertaal is binnen DSM, zijn er genoeg units waar mensen op de werkvloer deze taal niet optimaal beheersen. COA zorgt er dan voor dat er lokale auditors in het team zitten die waar nodig als tolk kunnen optreden. Niet alleen kost dit meer tijd – waar rekening mee gehouden moet worden in het werkprogramma – maar auditors moeten ook voortdurend toetsen of de vragen en antwoorden goed begrepen zijn. Dit om verkeerde conclusies te voorkomen. Zelfs Engelssprekenden kunnen wat gezegd wordt verschillend interpreteren. Als bijvoorbeeld een unit opereert conform de normen, is de audit rating ‘DSM Standard’. In de US wordt dit echter ervaren als een enigszins teleurstellend resultaat; daarom wordt tijdens de kick-off van een audit in de US door de lead auditor benadrukt dat ‘DSM Standard’ betekent dat aan alle verwachtingen voldaan is.

Zo mogelijk nog belangrijker is de ‘kop koffie’ aan het begin van iedere werkdag met de site manager

Communicatie

Ook andere zaken kunnen een audit beïnvloeden. Zo is het in Nederland geen probleem om open en direct over bevindingen te communiceren, maar in andere landen is tact en sensitiviteit nodig om te voorkomen dat de auditee zich een bevinding te persoonlijk aantrekt. Buiten de directe werktijden om blijven gewoonten en gebruiken inwerken op het auditproces. In delen van China wordt het bijvoorbeeld als ongastvrij gezien om een auditteam niet iedere avond mee uit eten te nemen terwijl een auditteam de avonduren vaak hard nodig heeft om indrukken te delen en documenten te lezen. De lead auditor moet dit met tact duidelijk maken aan de auditee.

Tijdens de zomer- en wintertrainingen wordt aandacht besteed aan cultuurverschillen en wordt auditors geleerd om alert te zijn op mogelijke signalen van onbegrip of frustratie. Het best is het dan om dit bespreekbaar te maken met de auditee. Tijdens een audit wordt, met name door de lead auditor, veel tijd en moeite besteed aan formele en informele communicatie. Zo zijn er meerdere feedbackmomenten (aan het eind van ieder interview, aan het eind van iedere auditdag) waarbij een van de doelstellingen is om te horen of de auditors de auditees goed begrepen hebben. Maar zo mogelijk nog belangrijker is de ‘kop koffie’ aan het begin van iedere werkdag met de site manager of de BU-directeur.

Gemeenschappelijke basis

DSM besteedt veel aandacht aan het implementeren van een gemeenschappelijke set normen en waarden die de verschillende culturen binnen het bedrijf bindt en een gemeenschappelijke basis vormen om een high performanceorganisatie te zijn en zo de ambitieuze doelen te bereiken. Dit programma heet de One DSM Culture Agenda. Binnen deze One DSM Culture Agenda zijn er vier thema’s: ‘external orientation’, ‘accountability for performance’, ‘collaboration with speed’ en ‘inclusion and diversity’. Met name het laatste thema is extra relevant voor COA, we hebben een zeer divers team en door de interactie met auditees uit verschillende landen en culturen is ons werk eveneens divers. De toegevoegde waarde van onderlinge verschillen zien en daarvan leren is wellicht een van de grotere uitdagingen van werken in een internationale omgeving en tegelijkertijd misschien wel de belangrijkste ervaring die werken bij COA een medewerker oplevert.