Heineken Business Framework: een GRC-casus

Heineken voerde de afgelopen twee jaar een project uit om de governance, risk en compliance-activiteiten naar een hoger niveau te tillen. Een interview met Joop Brakenhoff, executive director Global Audit, over de aanpak en ervaringen.

Wat was de aanleiding voor dit project?

“Door de omvangrijke groei van Heineken en de daaraan gerelateerde organisatiewijzigingen ontstond er een sterke behoefte aan een geïntegreerd GRC-raamwerk.”

Waarom is dit project door Global Audit opgestart?

“Zoals vaker bij internal auditfuncties gebeurt, gaf de raad van bestuur ons de opdracht om met een aanpak te komen nadat we in enkele van onze internal auditrapportages het GRC-onderwerp hadden besproken. Dit onder het motto: als je het zo goed weet, laat het dan ook maar zien. Global Audit is van nature een functie met een breed gezichtsveld en heeft wereldwijd contacten met iedere functie en elk bedrijfsonderdeel. Daarnaast hebben we vanuit onze functie veel kennis in huis op het gebied van governance, risk en compliance en is Global Audit derhalve het best gepositioneerd om dit project te faciliteren. Het ‘faciliteren’ is heel belangrijk. Ik ben er stellig van overtuigd dat dergelijke projecten niet door een internal auditfunctie alleen moeten worden uitgevoerd. Een breed draagvlak en betrokkenheid van de top van de onderneming, de corporate functies en het werkmaatschappijmanagement, zijn absoluut vereist om het geheel tot een succes te maken.”

Wat was de aanpak?

“Allereerst hebben we het GRC-raamwerk ontworpen. Hierbij lag de uitdaging om GRC op een simpele, herkenbare en totaal geïntegreerde wijze weer te geven, waarbij de relatie zichtbaar is tussen onze missie en visie en de strategische doelstellingen (Shaping our future), de waarden en normen (Values) en de wijze waarop we zijn gestructureerd en georganiseerd (One Heineken). Vervolgens hebben we een link gemaakt naar gewenst gedrag (Code of Business Conduct), hoe we werken (Rules) en hoe we de balans kunnen vinden tussen risico’s en kansen (Risk management). Dit geheel, met de aansluiting naar de ontwikkeling van onze medewerkers (People), ondersteunende geautomatiseerde systemen (Systems) en gestandaardiseerde bedrijfsprocessen (Processes) noemen we het Heineken Business Framework (HBF) (zie figuur 1). De volgende stap was om een concrete vertaling te maken naar de Heineken Rules (HeiRules).”

Vertel eens over de HeiRules

“Om de bedrijfsdoelstellingen te kunnen behalen is het een eerste vereiste om duidelijk te communiceren binnen de onderneming wat er van iedereen wordt verwacht (How we work). Deze wijze van werken hebben we voor iedere functie vastgelegd in de HeiRules. Na gesprekken met de belangrijkste stakeholders stelden wij een opzet voor waarbij naast een set van vernieuwde rules ook de zogenaamde ORCA-structuur werd ontwikkeld. ORCA staat in dit geval voor Objective, Risks, Controls en Assurance. Met het ORCA-model worden de volgende essentiële vragen beantwoord: wat wil de onderneming met de HeiRules bereiken (Objectives)? Welke grote risico’s (Risks) kunnen het bereiken van deze doelstellingen in gevaar brengen? Welke beheersmaatregelen (Controls) zijn er nodig om deze risico’s zoveel mogelijk te beperken? En welke monitoringmaatregelen hebben we geïmplementeerd om vast te stellen dat deze controls ook werken (Assurance)? Ten slotte is een control self assessment (CSA) geïmplementeerd om te beoordelen in hoeverre de werkmaatschappijen, regio’s en corporate functies voldoen aan de HeiRules.”

Hoe hebben jullie dit georganiseerd?

“De HeiRules omvat de wijze van werken die betrekking heeft op alle functies, waaronder supply chain, marketing, human resources, en finance. Dit vereist veel afstemming tussen de managers die verantwoordelijk zijn voor deze functies. Daarbij was het bij de start niet altijd direct duidelijk wie eindverantwoordelijk was voor een bepaalde HeiRule. Daarom hebben we aan het begin van het project voor iedere corporate functie een zogenaamde rulecoördinator benoemd, die binnen zijn functie het HeiRule-project moest coördineren. Het is een iteratief proces geworden, waarbij door waardevolle bijdragen van alle betrokkenen er uiteindelijk een goed en bruikbaar eindproduct is ontstaan. Zo hebben we bijvoorbeeld het aantal rules geherstructureerd van 450 tot 37, maar die beschrijven dan ook waar het binnen Heineken vanuit groepsperspectief en functioneel perspectief echt om draait. Iedere HeiRule omvat slechts twee pagina’s. De eerste bladzijde bestaat uit de titel, een ondertitel met de essentie van de rule, uitleg voor wie de rule geldt, waarom we de rule hebben, do’s & don’ts, en welke gedetailleerde standaards en procedures voor de implementatie en uitvoering van de rule bestaan. De tweede bladzijde geeft de ORCA-structuur weer met de gedetailleerde objectives, risks en controls.”

“Hoe zorg je ervoor dat de nieuwe rules duidelijk en beschikbaar zijn voor iedere werknemer? De onderneming opereert via 165 brouwerijen in 71 landen”

Welke problemen zijn jullie zoal tegengekomen?

“Een belangrijk struikelblok was dat sommige rules voor iedere medewerker binnen Heineken golden en andere rules slechts voor een beperkte groep. Zo geldt bijvoorbeeld een rule over alcoholgebruik voor iedereen binnen het bedrijf, terwijl een rule ten aanzien van de productkwaliteit met name gericht is op brouwerijpersoneel. Ook kwam het voor dat een deel van een rule voor iedereen binnen de onderneming gold en een ander deel voor slechts een beperkte groep. We kwamen tot de conclusie dat alles wat te maken heeft met gewenst gedrag tot uiting moest komen in de Code of Business Conduct (HeiCode) en alles wat te maken heeft met de gewenste manier van werken in de HeiRules terecht moest komen. Gedrag geldt voor iedere medewerker, terwijl een manier van werken alleen van toepassing is op diegenen die het betrokken werk verrichten.”

“Een ander cruciaal punt was communicatie. Hoe zorg je ervoor dat de nieuwe rules duidelijk en beschikbaar zijn voor iedere werknemer? De onderneming opereert via 165 brouwerijen in 71 landen met daarnaast verkoop- en andere kantoren in vrijwel alle landen in de wereld en heeft in totaal meer dan 85.000 medewerkers. Om het belang van de HeiRules te onderstrepen moest de communicatie vanuit de raad van bestuur starten (tone at the top). Het belang van goede communicatie naar alle werkmaatschappijen en corporate functies moet niet worden onderschat. Daarnaast hebben we ook een e-learning module in drie talen ontwikkeld, zodat iedereen op managementniveau in staat was om persoonlijk kennis te nemen van het belang en de inhoud van de nieuwe HeiRules. Tegelijkertijd werd een kennisdatabase op het kennisplatform geïntroduceerd waarmee we de HeiRules en de bijbehorende standards en procedures eenvoudig toegankelijk konden maken voor alle werkmaatschappijen en corporate functies.”

Hoe hebben jullie het CSA georganiseerd?

“We zijn al vrij vroeg in het proces begonnen met het selecteren van een GRC-tool die het CSA proces kon faciliteren. De geselecteerde tool kon, tegen redelijke kosten, vrij snel aangepast en geïmplementeerd worden en is redelijk gemakkelijk bruikbaar en uitbreidbaar met andere modules. De HeiRules is een standaard raamwerk dat voor iedere werkmaatschappij geldt. Er hoefde dus geen specifieke set van controls voor iedere entiteit te worden ingevoerd. Dat was mogelijk omdat de controls op een wat hoger niveau waren beschreven, niet op transactieniveau. Dat maakte het proces aanzienlijk eenvoudiger en geeft de werkmaatschappijen de ruimte om de controls naar lokale omstandigheden in te richten.”

“Een ander punt is dat men geen bewijsstukken hoeft te verzamelen ter ondersteuning van de uitkomst van de self assessment. Om de CSA ook operationeel te maken zijn de verbeterplannen (acties) voor controls die nog niet optimaal werken een verplicht onderdeel van de CSA. Een belangrijk neveneffect van de CSA is dat het eigenaarschap van zowel de HeiRules als van het control framework flink is verbeterd en de verantwoordelijkheden veel duidelijker zijn. Corporate functies worden nu dan ook vaker en eerder benaderd met vragen over bepaalde standards en procedures, hetgeen de samenwerking tussen werkmaatschappijmanagement en corporate functies heeft verbeterd. Gebaseerd op de uitkomsten van de CSA tekent het werkmaatschappijmanagement, het regiomanagement en het functioneel management een letter of representation (LOR) na de jaarafsluiting.”

“Ook voor het CSA-proces hebben we rulecoördinators benoemd. De financieel directeur van iedere werkmaatschappij kreeg deze rol toebedeeld. Deze is verantwoordelijk voor de coördinatie van het gehele CSA-proces binnen de eigen werkmaatschappij. De financieel directeur kreeg deze rol omdat deze de rol van het verzamelen van informatie over alle functies binnen diens entiteit al van nature vervult en binnen de werkmaatschappij verantwoordelijk is voor het geheel van de interne beheersingsmaatregelen (controls). De rulecoördinators werden ondersteund door specifieke e-learning modules, quick reference cards, frequently asked questions (FAQ’s) en een helpdesk. Indien nodig kon de rulecoördinator bovendien een beroep doen op steun van de Local Internal Auditors bij de implementatie van het proces.”

“In anderhalve maand tijd hebben we uiteindelijk van 76 entiteiten in totaal meer dan 9000 CSA-uitkomsten ontvangen. Bijna zevenhonderd medewerkers waren betrokken bij dit CSA-proces. Ondanks de korte implementatietijd werden alle CSA-uitkomsten tijdig ontvangen, waardoor we op tijd een geconsolideerd CSA-evaluatierapport konden uitbrengen aan de raad van bestuur en het audit committee.”

Hoe nu verder?

“Het uitvoeren van de CSA is een jaarlijkse cyclus in het vierde kwartaal. Via het CSA-proces zal ieder jaar in juni de voortgang van de verbeterplannen worden beoordeeld. Ten slotte zullen de HeiRules twee keer per jaar worden geactualiseerd, om verouderen en verlies van relevantie te vermijden. Recent hebben we een elektronische enquête naar alle betrokkenen uitgestuurd om verbeterpunten in kaart te brengen. Daarnaast gaat maandelijks een nieuwsbrief uit, zodat de betrokkenen op de hoogte blijven van de laatste ontwikkelingen en planning. Als Global Audit kunnen we verder waarde aan het CSA-proces toevoegen door audits uit te voeren op extreme uitslagen van de CSA’s ten opzichte van een benchmark, op het terecht als effectief classificeren van belangrijke controls en op de voortgang van de verbeterplannen.”