Multi level auditing bij Grontmij
Bij advies- en ingenieursbureau Grontmij werken medewerkers projectmatig samen met (internationale) collega’s en externe partijen. Deze projectmatige omgeving bepaalt de context waarbinnen internal audit binnen het bedrijf opereert.
Het beursgenoteerde advies- en ingenieursbureau Grontmij is in 1915 opgericht met als belangrijkste doel het ontginnen van land voor de voedselproductie. Een eeuw later bestaan de kernactiviteiten van het bedrijf uit advies- en ingenieursdiensten op het gebied van energie, mobiliteit, gebouwen en water. Grontmij telt ongeveer zesduizend medewerkers verspreid over negen landen en genereerde in 2014 een omzet van 659 miljoen euro.
Medewerkers van Grontmij werken intensief samen met (internationale) collega’s en externe partijen om de vaak complexe technische projecten binnen de gestelde eisen en deadlines op te leveren. Deze projectmatige aanpak bepaalt ook de context waarbinnen internal audit binnen het bedrijf opereert. Grontmij kent Quality Risk & Audit (QRA) teams in de negen landen, die lokale verantwoordelijkheid hebben.1 Daarnaast werd eind 2014 ook een interne auditfunctie op hoofdkantoorniveau geïntroduceerd. Een goede samenwerking tussen deze twee functies is cruciaal en het uiteindelijke doel is dat internal audit de hele organisatie bestrijkt.
Projecten
Het vernieuwen van het Nederlandse gasnetwerk. Het sluiten van de ring om Antwerpen. Versterking van de dijken in Marken. Een Deense aardgascentrale ombouwen naar biomassa. Dit zijn slechts enkele voorbeelden van de duizenden projecten die Grontmij in Europa, en soms daarbuiten, uitvoert. Als de basis van het werk van Grontmij bepalen projecten de context waarin internal audit binnen het bedrijf opereert op twee manieren.
Een project, of het nu gaat om een bodemadvies of om een brugconstructie, is altijd een samenwerking met de klant
Enerzijds wint Grontmij veel projecten via aanbestedingen. Hierdoor zijn de adviseurs gewend dat klanten strenge voorwaarden stellen om voor hen te mogen werken. Het gaat dan bijvoorbeeld om het voldoen aan kwaliteitskeurmerken als ISO 9001, ISO 14001, VCA**, CO2 Prestatieladder en Veiligheidsladder. Klanten verwachten dat de adviseurs een goed advies of product leveren en daarbij ook invulling geven aan steeds hoger wordende eisen inzake kwaliteit, duurzaamheid en veiligheid. Sommige klanten gaan nog veel verder en willen vrij precies weten hoe het kwaliteitsmanagementsysteem eruit ziet en hoe de kwaliteit van de producten wordt geborgd. Of bijvoorbeeld hoe het bedrijf omgaat met externe klachten; hoe wordt geleerd van fouten en of het kwaliteitsmanagementsysteem en het kwaliteitsdenken van voldoende hoog niveau zijn om in projecten samen te kunnen werken met andere partijen. Regelmatig komen klanten zelf bij Grontmij vaststellen of een project aan de gestelde kwaliteitseisen voldoet.
Anderzijds zijn primaire en ondersteunende processen en de kwaliteit van de diensten en producten bij Grontmij nauw met elkaar verweven. Processen moeten zo zijn ingericht dat zij de projectteams optimaal in staat stellen om de klanten te bedienen. Een project, of het nu gaat om een bodemadvies of om een brugconstructie, is altijd een samenwerking met de klant. Samen met de klant bespreken de projectmanagers randvoorwaarden, doelstellingen en ambities, waarbij zeker ook duurzaamheid en veiligheid aan de orde komen. Dit alles is input voor de uitvoering van het project, waarbij het uiteraard van belang is dat dit efficiënt en effectief gebeurt. Het uitvoeren van projecten brengt risico’s met zich mee. Voor Grontmij is het essentieel dat deze risico’s optimaal beheerst worden. Het is in het belang van zowel het projectteam, Grontmij, als de klant dat de processen die dit faciliteren goed zijn ingericht. Dit betekent dat Grontmij deze zaken niet alleen op orde moet hebben, maar ook continu moet verbeteren om in deze markt competitief te kunnen blijven.
Lokaal en centraal
Historisch gezien is Grontmij een decentraal georganiseerd bedrijf. Binnen de landenorganisaties werd op verschillende niveaus al lang aan audit gedaan door de eigen QRA-teams en er vond ook verantwoording aan het hoofdkantoor plaats, maar met beperkte detaillering. Als onderdeel van de internationalisering van Grontmij zijn er steeds meer groepsprocessen ingevoerd, waardoor de verantwoording van de landen de laatste jaren steeds uitvoeriger is geworden: maandrapportages zijn nu uitgebreider en managementbesprekingen zijn gedetailleerder. Daardoor ontstaat op groepsniveau een steeds dieper inzicht in hoe de landen zijn georganiseerd en welke best practices over de hele groep kunnen worden gedeeld. De introductie van een interne auditfunctie op hoofdkantoorniveau eind 2014 past in dit internationaliseringproces en helpt het inzicht verder te verdiepen.
Verhogen van risicobewustzijn
Op hoofdlijnen heeft deze interne auditfunctie bij Grontmij twee belangrijke functies. Ten eerste geeft ze onafhankelijk en objectief inzicht in het functioneren van de processen en procedures binnen de organisatie. Ten tweede verhoogt ze het risicobewustzijn binnen de organisatie. Zowel het hoofdkantoor als de QRA-teams in de landen moeten weten welke risico’s er zijn en ervoor zorgen dat men daar op een gestructureerde en consistente wijze mee omgaat.
Internal audit kijkt niet alleen naar de projecten, maar juist ook naar de processen daaromheen en zaken die landsgrenzen overstijgen. Het gaat minder om de technische kwaliteit en meer om risicobeheersing en financiële beheersing in de algemene zin van het woord. Voorbeelden hiervan zijn het toetsen van de naleving van het operational excellenceprogramma, maar ook het auditen van de implementatie van het landenoverstijgende ERP-project en de naleving van het financial control framework. Daarnaast signaleert en deelt internal audit best practices binnen de groep.
Processen inrichten
De afgelopen jaren is er binnen Grontmij veel geïnvesteerd in verschillende groepsbrede processen. Voorbeelden daarvan zijn – behalve het al genoemde operational-excellenceprogramma – het client-firstprogramma (marketingprogramma gericht op het verder verbeteren van klantprocessen), maar ook het proces van inschrijven op tenders en het uitbrengen van offertes. Door dit soort processen te stroomlijnen wordt het bedrijf effectiever en efficiënter en voldoet het beter aan de eisen die door de klanten worden gesteld. Internal audit helpt hierbij door de raad van bestuur een transparant en objectief beeld te geven van de mate waarin deze processen binnen de organisatie zijn geïmplementeerd, maar ook door verdere verbetermogelijkheden te identificeren.
Een groot deel van de operationele risico’s zit in de uitvoering van de projecten en de wijze waarop projectmanagers daarmee omgaan. Het is en blijft mensenbusiness. Internal audit zal een goede balans moeten vinden tussen procesgerichte audits en ook detailgerichte audits op de projecten. Een risk-basedbenadering is hierbij noodzakelijk vanwege het grote aantal projecten dat Grontmij jaarlijks uitvoert. De cascadering van groep naar landenorganisatie helpt daarbij en draagt bij aan het vergroten van de ‘coverage’. Het ambitieniveau ligt op het integreren van alle audits, om op een zo efficiënt mogelijke wijze te voldoen aan de wensen van de verschillende stakeholders.
Interne lobby voor internal audit
Bij het opstarten van de centrale interne auditfunctie moest er veel worden uitgelegd en goodwill worden gecreëerd. Internal audit heeft veel betrokkenen gesproken om te weten wat er speelt in de organisatie, juist omdat er een nieuwe afdeling gecreëerd was met een verregaande bevoegdheid om in de keuken van de landen te kijken.
Ook het heersende idee dat audits simpelweg het afvinken van een checklist inhouden, moest soms worden weggenomen
De grootste uitdaging was het uitleggen van de inhoud van internal audit en het nut ervan voor de organisatie. Iedereen is er van overtuigd dat het een positieve ontwikkeling is, maar heeft daarin wel een eigen beeld van wat internal audit precies is. Zo is er veel gesproken over de focus van internal audit, die anders is dan bijvoorbeeld die van een externe accountant, maar ook van de lokale QRA-teams. Zeker binnen een ingenieursbureau waar sprake is van vele vormen van certificeringen werd de term audit al snel gekoppeld aan (ISO-)normeringen. Ook het heersende idee dat audits simpelweg het afvinken van een checklist inhouden, moest soms worden weggenomen. Het was belangrijk deze kennismaking grondig aan te pakken en zo verwachtingen ten aanzien van de interne auditfunctie te sturen
Een belangrijk verschil met de QRA-teams in de landen is dat de agenda en focus van internal audit met name wordt ingegeven door de raad van bestuur en de raad van commissarissen, terwijl de teams in de landen veel meer lokale thema’s behandelen op verzoek van landendirecties en divisie directies. Voor QRA worden aspecten als veiligheid en duurzaamheid steeds belangrijker thema’s. Veel klanten betrekken deze aspecten bij de beoordeling van de door Grontmij geleverde kwaliteit. Ze verwachten daarbij dat deze aspecten goed zijn verankerd in de dagelijkse bedrijfsvoering. QRA heeft een belangrijke rol om deze verankering binnen de organisatie tot stand te brengen, maar ook om aan klanten aan te tonen dat deze aspecten ook daadwerkelijk goed verankerd zijn, onder andere door middel van het verkrijgen van certificeringen.
Goede samenwerking is cruciaal
Het uiteindelijke doel is dat internal audit de hele organisatie bestrijkt. Sommige organisaties doen dat met een groot centraal team, Grontmij heeft gekozen voor ‘multi level auditing’: een centrale eenheid en meerdere decentrale teams die gezamenlijk de van belang zijnde risico’s van Grontmij afdekken. De uitdaging is wel om alle QRA-teams op een lijn te krijgen en de bevindingen met elkaar te delen. Zo kunnen de risico’s die in de landen worden gelopen ook centraal worden gemonitord.
Daarbij is het belangrijk dat de nationale QRA-teams en internal audit nauw met elkaar samenwerken. Beide partijen hebben hun eigen rol: Grontmij internal audit richting de raad van bestuur en de raad van commissarissen en de QRA-afdelingen richting hun landendirectie. De focus ligt soms iets anders, maar uiteindelijk is het belangrijkste dat iedereen werkt vanuit de wil om de organisatie en haar processen te verbeteren. Een voorbeeld hiervan is het QRA-team in Nederland dat momenteel bezig is haar interne auditprogramma zo goed mogelijk te laten aansluiten bij het ’centrale’ internal auditprogramma. Daarnaast is het belangrijk dat alle landendirecties overtuigd zijn dat het delen van lokale audituitkomsten juist bevorderlijk voor iedereen is. Het vinden van de ideale samenwerkingsvorm is daarbij cruciaal.
Een van de samenwerkingsvormen waarover gedacht wordt is dat het Groep internal audit-programma zich vooral richt op auditing van de landenorganisaties en de bijbehorende risico’s, items die organisatieonderdelen overstijgen, hoge risicoprojecten, maar ook de auditing van de lokale QRA-teams. Uitkomsten van de lokale QRA-audits worden in deze vorm ook gedeeld binnen de groep, waardoor er een consistent en transparant beeld ontstaat van de hele organisatie. Zover is de organisatie nog niet, maar het is wel een interessant perspectief.
Op 1 juni 2015 kondigden Sweco en Grontmij gezamenlijk aan dat Sweco voornemens is alle aandelen van Grontmij over te nemen. Na deze overname zal de wijze waarop internal audit binnen de gecombineerde organisatie vorm gegeven wordt, opnieuw worden bezien.
Noot
- Nederland, Duitsland, België, UK, Denemarken, Zweden, Turkije, Polen, China
Over
Matthijs van Renselaar is hoofd Internal Audit bij Grontmij nv.
Yves Coenegracht is manager Quality, Risk & Auditing bij Grontmij Nederland.
Reacties (0)
Lees meer over dit onderwerp:
Propertize: Internal Audit binnen een bijzondere context
Propertize moet de portefeuille vastgoedfinancieringen en het vastgoed zo kostenefficiënt en rendabel mogelijk afbouwen en daarmee het verlies voor de belastingbetaler zo laag mogelijk houden. Hoe? En wat betekent dit voor Internal Audit?
Lees meerInternal audit en risicomanagement in de bouw
Rob van Wingerden, CEO van Koninklijke BAM Groep, over de ontwikkelingen en risico’s in de bouw- en infrasector en de rol van de internal auditfunctie.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.