Audit & Risk is klaar voor de next step: trusted advisor

Ewoud Benschop, manager Audit & Risk bij de ANWB, vertelt over auditen in een divers spectrum en het voeren van het juiste risicogesprek.

Wie is Ewoud Benschop? En via welke wegen loopt uw carrièrepad?

“Sinds 2016 ben ik manager van de afdeling Audit & Risk binnen de ANWB. Na afronding van mijn studie econometrie ging ik aan de slag als riskmanagementconsultant bij Aon. In 2001 stapte ik vervolgens de auditwereld in bij de internal auditafdeling van Aon, daar was ik actief als (senior) auditmanager. Vervolgens kwam in 2008 de ANWB op mijn pad, waar ik als riskmanager weer voor de riskkant heb gekozen, om ten slotte twee jaar geleden hoofd van de afdeling Audit & Risk te worden. Door mijn hele carrière heen zie ik als rode draad de uitdaging om een organisatie risicobewust te maken en vooral op het juiste moment de goede discussie over risico’s te laten voeren.”

Vertel eens iets over de visie en kernwaarden van de ANWB

“De ANWB bestaat dit jaar 135 jaar. Het mooie vind ik de zichtbaarheid. De ‘gele auto’s van de Wegenwacht’ en ‘ANWB Verkeersinformatie’ zijn daar prachtige voorbeelden van. De wereld om ons heen verandert steeds sneller en de ANWB wil graag waarde blijven toevoegen voor haar leden en stelt zich daarom voortdurend de vraag waar de relevantie zit van de organisatie voor haar leden. Onze missie is: mensen zorgeloos en met plezier onderweg laten zijn. De ANWB onderscheidt daarbij drie hoofdonderwerpen: Mobiliteit, Vakantie en Vrije Tijd. Vaste waarden zijn daarbij dat we deskundig, betrouwbaar en betrokken willen zijn. De medewerkers willen meer doen voor de klant dan de verwachting is. Ook vanuit het team Audit & Risk streven we hiernaar door tijd te nemen voor de interne stakeholders en de natuurlijke adviesrol te willen vervullen.”

Hoe ziet de governance eruit voor ANWB?

“De ANWB is een zowel een vereniging als een bedrijf. De directie bestaat uit negen leden, hierin zijn alle business lines vertegenwoordigd. De directie legt verantwoording af aan de raad van commissarissen (RvC). De hoofddirecteur van de ANWB is ook voorzitter van de vereniging en de leden van de raad van commissarissen hebben ook zitting in de raad van toezicht. De wens om integer en goed bestuur te bevorderen is verankerd in de reglementen voor de RvC en de directie. Zo is er een auditcommissie ingesteld en een commissie voor de benoeming, bezoldiging en selectie van de leden van de RvC en de directie. Dit jaar wordt gebruikt om de huidige inrichting te toetsen aan de herziene Corporate Governance Code.”

“De audit- en riskfunctie valt hiërarchisch onder de CFO, een prima plek om samen met de financecollega’s te werken aan het versterken van de riskmanagementprocessen en de strakke opvolging van interne en externe auditbevindingen. Vanuit mijn rol als hoofd Audit heb ik ook een directe lijn naar de hoofddirecteur en de voorzitter van de auditcommissie. Deze lijnen zijn verankerd in het auditcharter. Zo wordt de onafhankelijke positie vanuit audit vormgegeven. In die hoedanigheid rapporteren wij ook alle audits aan de voltallige directie en bespreken wij deze in de auditcommissie.”

Op welke wijze zijn de three lines of defense ingericht?

“De ANWB kent zeer verschillende activiteiten met elk hun eigen risico’s. Naast onze hulpverlening met wegenwacht, alarmcentrale en onze traumahelikopters, zijn we sterk in auto- en reisverzekeringen en tegelijkertijd zijn we retailer en touroperator. 2017 is gebruikt om de ANWB-strategie op deze activiteiten vanuit één ANWB-gedachte te versterken. Om onze strategische doelstellingen te kunnen halen en de continuïteit van de organisatie te waarborgen, krijgt risicobeheersing veel aandacht. Een solide organisatie qua inrichting, aansturing en cultuur vormt daarvoor de basis.”

“Het is belangrijk dat de auditors de organisatie kennen om de toprisico’s goed in te kunnen schatten, maar tegelijkertijd is een frisse blik ook van waarde. Daarom is een balans tussen ‘oude rotten’ en ‘vers bloed’ belangrijk”

“De ANWB-groep als geheel werkt vanuit de gedachte van het three-lines-of-defensemodel. Op dit moment hebben onze verzekeringsgerelateerde entiteiten, die vanwege de vergunning onder toezicht staan, een inrichting conform het three-lines-of-defensemodel met een afzonderlijke audit-, risk- en compliancefunctie. Hier zie je dat internal audit dus formeel gescheiden is van de overige lines of defense. Binnen de afdeling Audit & Risk zijn audit- en riskfunctie niet strikt gescheiden. Onze riskmanager heeft vooral een aanjagende functie voor risk en niet zozeer een sterk monitorende functie.”

Hoe bepalen jullie de risico’s?

Sinds 2008 bepaalt de directie jaarlijks de toprisico’s van de ANWB en op welke gebieden van beheersing aandacht nodig is. Dat biedt de tweedelijnsafdelingen als Risk, Compliance en Security ondersteuning om hun rol goed te kunnen vervullen. We willen nu samen met deze functies en onze collega’s binnen Finance en Group Strategy, de mogelijkheden verkennen hoe de effectiviteit van ons riskmanagement framework verder versterkt kan worden. De auditfunctie vanuit mijn team Audit & Risk geeft invulling aan de third line of defense en van audit wordt verwacht dat zij de onafhankelijke rol vervullen richting de directie en auditcommissie door het geven van assurance.”

Hoe ziet de afdeling Audit & Risk eruit?

“Binnen Audit & Risk zijn naast de manager, drie (senior) auditors en één riskmanager actief. In het team hebben we een mooie mix aan ervaring op het gebied van financial, operational en IT-audit. Sinds mijn aantreden als manager Audit & Risk, twee jaar geleden, hebben we eerst de focus gelegd op onze interne kwaliteit en productiviteit. Met een auditcharter en auditmanual gebaseerd op de IIA-standaarden en afspraken over onderlinge reviews, hebben we een goede basis gelegd waarop we verder kunnen bouwen. Ook werken we nu voor een deel van onze audits standaard met tweetallen. Hiermee zorgen we voor een optimale uitwisseling van kennis en brengen we verschillende disciplines bij elkaar. Aan de riskkant hebben we in nauwe samenwerking met de financemanagers in korte tijd kunnen zorgen voor een goede inbedding van het riskproces binnen de bestaande rapportagestructuren. Dat helpt enorm in het bestendigen van het proces, ook binnen de business lines van de ANWB. Nu is de afdeling klaar voor de ‘next step’.”

Wat is die next step van Audit & Risk dan?

“We willen ontwikkelen naar de rol van ‘trusted advisor’. We willen een partij zijn waarvan het management en de directie zegt: ‘Daar hebben we wat aan’, en die gevraagd wordt om mee te denken. We willen waarde blijven creëren voor de ANWB door op de juiste plekken het risicogesprek aan te gaan en het management de goede risicoafweging te laten maken om daarop een gebalanceerd riskmanagement framework in te richten.”

Hoe gaat u dit realiseren?

“Om dit te realiseren hebben we grofweg drie hoofddoelen gesteld. Ten eerste willen we meer naar buiten treden als afdeling en zichtbaarder zijn binnen de organisatie, onder de noemer ‘Tell it’. Daarnaast is het aan ons om op de hoogte te blijven van ontwikkelingen binnen de ANWB zodat we daar op kunnen inspelen. Ons tweede hoofddoel is binnen het team kritisch te blijven, elkaar uit te dagen de kwaliteit verder te verhogen. Hier scharen we ook het extra scherp zijn op onze aanbevelingen en de reactie van het management onder. Het is belangrijk dat de auditors de organisatie goed kennen om de toprisico’s te kunnen schatten op waarde en door te vertalen naar auditobjecten, maar tegelijkertijd is een frisse blik op de organisatie en haar risico’s ook van waarde. Daarom is een balans tussen ‘oude rotten’ en ‘vers bloed’ binnen een afdeling belangrijk.”

Verandert de functie van auditor?

“Het is ook ons niet ontgaan dat de wereld en de rol en positie van de auditor stevig in ontwikkeling is. Ik denk dat de auditor die we nu kennen over tien jaar niet meer bestaat in deze hoedanigheid. Ons derde doel is dus dat we meebewegen met alle ontwikkelingen, maar wel op een gedegen en bewuste wijze. Een voorbeeld: de ANWB heeft sinds enkele jaren veel aandacht voor innoveren. Onlangs waren we host voor een IIA PAS-bijeenkomst en hebben we verteld hoe wij een audit op innovatieprojecten hebben ingestoken met als uitgangspunt het onderzoeken of de organisatie voldoende ruimte biedt om innovaties tot een succes te maken. Daarnaast kunnen we de komende jaren ontwikkelen op het gebied van onder andere soft controls, IT en de mogelijkheden van process en data mining.”

“Wij voeren zo’n vijftien audits uit per jaar. Hoog-risicoprofielentiteiten auditen we eens in de twee jaar en entiteiten met een lager risicoprofiel eens in de vier jaar”

Hoe ziet een auditjaar eruit bij Audit & Risk?

“Binnen Audit hebben we een audituniversum, waarin een veertigtal auditobjecten is gedefinieerd. We zoeken de balans tussen enerzijds risk based plannen en anderzijds de wens vanuit de stakeholders de hele organisatie te bestrijken. Omdat de ANWB zeer divers is en een veelheid aan verschillende entiteiten kent, wil de directie en de RvC dat audit met een bepaalde periodiciteit alle kernprocessen audit. De risk based auditplanning start met een lijst toprisico’s op ANWB-groepsniveau, die jaarlijks door de directie wordt vastgesteld. Stap twee bestaat uit het definiëren van de keyrisico’s per auditobject. Hierbij wordt intensief samengewerkt met het management van de entiteiten.”

“Uiteraard vindt ook afstemming plaats met de directie, auditcommissie en de externe accountant. Al met al voeren wij zo’n vijftien audits uit per jaar. Hoog-risicoprofielentiteiten auditen we eens in de twee jaar en entiteiten met een lager risicoprofiel eens in de vier jaar. De onderwerpen per audit variëren sterk. Ze kunnen betrekking hebben op (operationele) klantprocessen of op borging van financieel administratieve afwikkeling. Ook voeren we compliance- en IT-gerelateerde audits uit, met dit jaar natuurlijk aandacht voor de AVG, maar ook een audit op security. Voor komend jaar kijken we welke bijdrage we kunnen leveren aan het borgen van de recent uitgerolde strategie.”

Het thema van dit nummer is Transport en logistiek. In hoeverre is dit thema terug te vinden in jullie audits?

“Voor ons als afdeling is de wegenwacht een van de te auditen entiteiten die we frequent bezoeken. De afgelopen jaren hebben we vooral tijd gestoken in de monitoring van het interne kwaliteitssysteem van de wegenwacht. Onze wegenwachtdienstverlening wordt al jaren zeer hoog gewaardeerd door onze leden. Van groot belang natuurlijk om dat te handhaven en dus alert te blijven op die kwaliteit. Een mooie manier om als afdeling Audit & Risk een bijdrage te leveren aan dit zo bekende onderdeel van de ANWB.”