“Begin klein met RPA en maak het praktisch”

In Teams verschijnt Jan Joost Bierhoff, directeur IT Audit bij Heineken, in beeld in het smetteloos witte decor van zijn huis waarin hij recentelijk zijn intrek nam. We spreken over hoe de internal auditfunctie van Heineken robot process automation (RPA) inzet tijdens audits en auditen in tijden van corona. Ook probeerden we erachter te komen hoe het de IAF van Heineken is gelukt om twee keer op rij de IIA Innovation award te winnen. Het werd, ondanks een deurbel die bleef hangen, een boeiend gesprek.

Hoe ziet de internal auditfunctie (IAF) van Heineken eruit?

“Heineken kent een auditafdeling met ongeveer 55 fte met als thuisbasis Amsterdam (en drie hubs in Singapore, Mexico en Polen). De IAF staat onder leiding van een chief audit executive (CAE) en vijf directeuren waarvan ik er een ben. De directeuren zijn verantwoordelijk voor de verschillende geografische regio’s en ik voor het IT-domein. Daarnaast zijn de drie directeuren die in Amsterdam zijn gehuisvest verantwoordelijk voor een aantal groepsfuncties. We bestrijken met het team alle operating companies van Heineken wereldwijd. Dit betekent dat we als IAF actief zijn in meer dan zeventig landen. Op dit moment zijn we met ongeveer vijftig personen, omdat een aantal collega’s zijn gedetacheerd bij de business om daar, mede vanwege de coronacrisis, ondersteuning te bieden. Binnen de IAF hebben we auditors met verschillende expertisegebieden zoals IT, hr, mensenrechten, veilige arbeidsomstandigheden binnen/buiten de brouwerij en natuurlijk de brouwerijen. We maken daarnaast veelvuldig gebruik van guest auditors uit de business. Op deze manier voegen we specifieke expertise toe aan het auditteam en de guest auditors leren van onze aanpak en krijgen een kijkje in de keuken van een andere operating company. Daar waar nodig zetten we externen in op specifieke expertisegebieden, bijvoorbeeld ethical hackers. We zetten onze teamleden op basis van hun competenties in. Ben je een expert op het gebied van privacy en gevestigd in Singapore, dan kan het zo maar zijn dat je een audit in Amsterdam doet. Spreek je vloeiend Portugees en ben je een hr-expert uit Polen, dan kan het zijn dat je wordt ingezet voor die belangrijke hr-audit in Brazilië. We hebben als IAF een hiërarchische lijn naar de CEO met onbeperkte/directe toegang tot het audit committee.”

Welke onderwerpen bepalen de focus voor de IAF van Heineken?

“We voeren dit jaar ongeveer 80 van de origineel 120+ audits uit. Ons auditplan bestaat uit drie blokken. Allereerst zijn dit audits naar de toprisico’s die door het risk committee (onder leiding van de CFO) worden bepaald. Dit betreffen de grootste risico’s voor Heineken. Denk dan aan cybersecurity, veiligheid van collega’s in verkoop en logistiek, en verantwoordelijke marketing- en commerciële communicatie. Deze beslaan ongeveer een derde van alle audits. Daarnaast voeren we audits uit naar emerging risks. Dit zijn onderwerpen die bij ons op de radar komen doordat we leren van trends die bijvoorbeeld door het IIA of door Gartner naar voren worden gebracht, of die door onszelf aan het licht worden gebracht. Vaak zijn dit risico’s die samenhangen met grote Heinekenbrede programma’s die wereldwijd worden uitgerold. Ten slotte kennen we nog de categorie van fix the basics. Dit zijn onderwerpen die eigenlijk continue aandacht vergen (hygiënefactoren). De trend is dat het aantal fix the basics audits minder wordt en dat er meer aandacht komt voor emerging risks. Ons auditprogramma is modulair, dus mochten bepaalde onderdelen van een audit niet of minder relevant zijn voor een bepaalde operating company dan nemen we dit onderdeel beperkt of niet mee.”

“We hebben nu robots ontwikkeld die alle etiketten en opdrukken lezen –  in welke taal dan ook – en beoordelen welke informatie daarop staat”

Hoe plannen jullie?

“We werken met een rolling auditplan waarbij we zes kwartalen vooruit plannen. Elke kwartaal voeren we een risicobeoordeling uit en kijken we vooruit. Daarbij stellen we onszelf de vraag of we met onze audits nog steeds de juiste risico’s in het vizier hebben. Daar waar nodig passen we ons plan aan. Door de coronacrisis werken we allemaal meer thuis. Dit leidt tot nieuwe risico’s en daarom hebben we als IAF onder andere een audit toegevoegd rondom het veilig thuiswerken en het werken met Microsoft Teams in het bijzonder. Ook binnen de veiligheidsaudits doen we aanpassingen. We kijken nu niet alleen naar bijvoorbeeld het gebruik van helmen en werkschoenen in de brouwerijen, maar we hebben ook verschillende Covid-teststappen toegevoegd, bijvoorbeeld met betrekking tot desinfectie. Waar voorheen voornamelijk aandacht was voor veiligheidsbewustzijn in de distributiecentra/brouwerijen bij de veiligheidsaudits, is er nu ook een verhoogde focus op veiligheidsbewustzijn op kantoor.”

De impact van de coronacrisis is enorm. Welk effect heeft dit op jullie werk?

“Binnen Heineken hebben we het reizen nu tot een minimum beperkt. Dit heeft een grote impact op ons werk, omdat we normaal gesproken naast een off-siteonderzoek ook altijd een on-sitebezoek brengen aan de operating companies. Het verzamelen van informatie moeten we nu dus op afstand doen en daarbij moeten we creatief zijn. We zorgen er in ieder geval voor dat we alle auditstappen die we normaal bij een on-sitebezoek doorlopen, ook nu doorlopen. Bij een voorraadcontrole neemt de auditee ons met een camera mee naar de opslaglocaties. We zorgen er dan voor dat in ieder geval een van de auditors de locatie goed kent om zo goede gerichte vragen te kunnen stellen. Ook maken we voor de veiligheidsaudits bij brouwerijen gebruik van camera’s en zelfs van drones om bijvoorbeeld het hekwerk rondom brouwerijen en de belijning op locaties te kunnen inspecteren. Waar het veilig is, huren we lokale KPMG-auditors in om indien nodig de locatie te kunnen bezoeken.

 Wordt er ook wat gemist?

“Wat vele collega’s zullen herkennen: je mist wel het face-to-facecontact met de auditees. Zo is lichaamstaal toch lastiger te interpreteren als je elkaar via een scherm spreekt. Ook het persoonlijke contact met de auditees bij de koffieautomaat en na afloop van de audit als je een biertje met ze drinkt, mis je. En toch zijn we tot het besef gekomen dat de meeste audits prima vanaf een afstand uit te voeren zijn. Dit is voor ons wel een eyeopener geweest, omdat je dus tegen lagere kosten in minder tijd en met een aanzienlijk kleinere CO₂-footprint een audit kunt uitvoeren. Ik denk dat dit wellicht kan betekenen dat we in de toekomst meer werk off site zullen doen en minder on site.”

 Maakt Heineken gebruik van RPA en passen jullie het ook toe (als tool) in de audits?

“Ja, binnen Heineken wordt al veel gebruikgemaakt van RPA. Bijvoorbeeld in onze shared service centers waar onder meer de financiële administratie is ondergebracht. Die maken onder andere gebruik van zelflerende robots bij de 3-way match van facturen. In de begintijden van RPA waren het eigenlijk gewoon Excelbestanden met handige scriptjes die veel tijd en werk bespaarden en het maken van fouten verkleinden. In de loop der tijd is Heineken dit gaan professionaliseren en formaliseren, onder andere met behulp van software (bijvoorbeeld Blue Prism). Ondertussen worden de oude scripts niet meer gebruikt en wordt alleen nog gewerkt met geformaliseerde en gevalideerde scripts met de bijbehorende governance daaromheen.”

En het gebruik door de IAF?

“Door de interne controleafdeling van Heineken en door de IAF wordt RPA gebruikt om snel en foutloos bepaalde teststappen te kunnen uitvoeren. Een goed voorbeeld is het auditen van de reis- en onkostenvergoedingen. Voorheen een arbeidsintensief karwei waardoor we slechts een relatief kleine steekproef konden trekken. Nu maken we gebruik van RPA waardoor we de controle sneller en minder foutgevoelig uit kunnen voeren. Bovendien kunnen we nu alle reis- en onkostendeclaraties beoordelen in plaats van slechts een kleine steekproef. We gebruiken robots om op basis van tekstherkenning in foto’s een check uit te voeren en om afwijkende onkostenvergoedingen eruit te filteren, de benodigde data vast te leggen in een database en een JPEG van het oorspronkelijk bonnetje te koppelen aan de betreffende data.”

Nog meer toepassingen?

“Recentelijk is het initiatief gestart om een RPA-toepassing te ontwikkelen om labels, etiketten en bedrukkingen op onze producten te kunnen beoordelen. Die zijn gebonden aan veel verschillende eisen met betrekking tot de informatie die ze moeten bevatten (onder andere voedingswaarden, alcoholpercentage). We hebben nu robots ontwikkeld die alle etiketten en opdrukken lezen – in welke taal dan ook – en beoordelen welke informatie daar op staat. RPA helpt ons dus om sommige audits sneller en beter te doen. Uiteindelijk is het de bedoeling dat de eerste en tweede lijn binnen Heineken deze RPA-toepassingen in beheer nemen en gaan gebruiken. We zullen als IAF dan voor sommige audits gebruikmaken van RPA-toepassingen die in beheer zijn bij de business. Daarnaast is RPA ook onderwerp van een audit geweest. We hebben een audit uitgevoerd op het Heinekenbrede RPA-programma. Hierbij lag de focus op zaken als autorisaties, changemanagement en de principes rondom robotics: wat mogen ze wel en wat mogen ze niet doen? Daarnaast hebben we ook gekeken naar een aspect als intellectueel eigendom: van wie zijn de robots? Een relevante vraag omdat we, zeker in de shared service centers, veel werken met externe partijen.”

Twee keer op rij won Heineken de Internal Audit Innovation Award. Wat is het geheim?

“Dit heeft de IAF van Heineken te danken aan ons diverse en jonge team dat plezier heeft in innoveren en dat ook de vrijheid krijgt om te innoveren. We verwelkomen goede ideeën en we maken ook tijd vrij om deze daadwerkelijk uit te werken. Teamleden krijgen ook bonuspunten in het beoordelingsproces voor innovaties, zeker als deze samen met de business worden ontwikkeld. Het kunnen denken vanuit een businessperspectief en dus niet alleen als auditor, is in mijn optiek een van de belangrijke succesfactoren. Het succes met betrekking tot het inzetten van RPA-toepassingen heeft te maken met dat we het ‘klein’ hebben aangepakt. Je moet het niet te megalomaan maken. Maak het praktisch. Ik moedig andere IAF’s dan ook aan om naar de IT-afdeling te gaan en om samen een idee uit te werken. Investeer als IAF er ook zelf in. Maak RPA vooral niet te ingewikkeld en te moeilijk in het begin. Mijn ervaring is dat IT heel bereidwillig en gretig is om iets goeds en tastbaars te ontwikkelen. Help ze, geef ze een use case die staat als een huis.”

Een mooie beloning toch voor jullie inzet, zo’n award?

“In 2018 wonnen we de Internal Audit Innovation Award voor de inzet van RPA in het auditen van de reis- en onkostendeclaraties. Die had in mijn optiek ABN AMRO misschien wel moeten winnen, omdat zij met een IT-audit van hostingleverancier iets heel slims en baanbrekends hebben bedacht: samen met andere banken een complexe/dure ‘gepoolde’ audit bij cloudleveranciers uitvoeren. Een win-winsituatie voor de betrokken bedrijven, door het kunnen delen van de kosten, maar waarschijnlijk ook voor de hosting leverancier, want zij hoefden slechts één keer een audit te ondergaan. Echt heel goed. Misschien is het wat minder sexy dan RPA bij Heineken, maar op basis van de inhoud hadden ze zeker mogen winnen. Misschien gaan we voor 2020 wel voor de wijze waarop we nu de brouwerij-audits op afstand uitvoeren met de inzet van camera’s, GoPro’s en drones. Een andere optie is de manier waarop we continuous monitoring/auditing binnen Heineken hebben ingericht. We gaan in ieder geval een gooi doen om voor het derde jaar op rij de award te winnen, maar we zijn er ook zeker bij om te leren van andere innovatieve ideeën.”