“Bij Jumbo vullen we op een pragmatische manier risk en audit in”

Voor een grote retailer als Jumbo is ketenmanagement essentieel. Wat betekent dat voor de invulling van de interne auditfunctie? Audit Magazine sprak hierover met Vincent de Boer, manager Risk en Audit bij Jumbo.

Hoe zou u het bedrijf Jumbo omschrijven?

“Jumbo is de op een na grootste foodretailer in Nederland. Het is een familiebedrijf, een nationale speler met het hoofdkantoor in Veghel. Jumbo heeft 581 winkels, zowel eigen winkels van Jumbo als zelfstandige franchiseondernemers, met een totale consumentenomzet van bijna 7 miljard euro. Naast de Jumbo supermarkten kunnen klanten ook online boodschappen doen en kent Jumbo het concept van een foodmarkt (inmiddels zijn er drie Jumbo Foodmarkets). Daarnaast heeft Jumbo recent de restaurantketen La Place overgenomen. Dit past heel goed in ons concept dat we de klant maximaal willen bedienen. De consument wil op een prettige manier consumeren. Dat kan bij Jumbo door boodschappen te doen, door ergens iets te gaan eten, door thuis te laten bezorgen, et cetera. Je ziet dat grenzen tussen foodkanalen vervagen, we noemen dat ‘blurring’. En wij willen de klant maximaal volgen. Jumbo is een mooi bedrijf waar ik graag over vertel!” 

Wat zijn de belangrijkste ketens van Jumbo?

“Het vertrekpunt voor Jumbo is de klant. En als je bij de klant vertrekt, dan denk je in ketens. We willen de klant het vertrouwen geven dat we weten waar het product vandaan komt. Dat we vanuit duurzaamheid en mvo (maatschappelijk verantwoord ondernemen – red.) weten hoe ons product geproduceerd is. Wij maken onderscheid tussen onze private labelproducten en de A-merken. Voor de A-merken geldt dat de fabrikanten zelf heel goed weten waar hun producten vandaan komen en daar ook primair voor verantwoordelijk zijn. We maken met hen afspraken waar hun producten aan moeten voldoen: op het gebied van mvo, voedselveiligheid, waar het product vandaan komt, et cetera. Bij private-labelproducten zijn wij zelf verantwoordelijk, van grondstof tot klant moeten wij weten waar het product vandaan komt en wat er precies in het product zit om de kwaliteit en voedselveiligheid te kunnen waarborgen.”

“Jumbo is een ‘every day low price-formule’, waarbij de focus op kosten essentieel is”

“Een andere invalshoek is de logistieke keten, dus hoe wij de producten bij de klant krijgen. Die keten is voor ons vanuit onder meer efficiency van belang. We willen tegen de laagste kosten de producten vanuit de producent/leverancier bij de klant krijgen, want dat betekent dat we uiteindelijk de laagste prijs kunnen garanderen. Jumbo is een ‘every day low price-formule’, waarbij de focus op kosten essentieel is.”

Waarom heeft Jumbo een convenant met de Belastingdienst?

“Door het convenant wat we in 2014 hebben gesloten met de Belastingdienst en de franchiseondernemers is er ook op fiscaal vlak sprake van een keten. In het convenant staat dat we ons houden aan de fiscale wet- en regelgeving. Met afvaardigingen van Jumbo, de ondernemers en de Belastingdienst hebben we dat samen opgesteld. Voordeel voor een ondernemer: vorm van horizontaal toezicht waarbij de Belastingdienst steunt op de centrale controles door Jumbo en de ondernemer bij een controle door de Belastingdienst op dit onderdeel niet hoeft te worden gecontroleerd. Voordeel voor de Belastingdienst: die kunnen qua workload nooit alle ondernemers op integrale wijze controleren, maar op deze wijze is indirect toch controle van alle ondernemers mogelijk. Voordeel voor Jumbo: bescherming van onze reputatie. Het is een bijzonder convenant waar ook de Belastingdienst blij mee is. Recent is de toepassing bij Jumbo onderdeel geworden van het opleidingscurriculum van de Belastingdienst. Ik zie dit ook als een goed voorbeeld van ketenmanagement: hoe wij er uiteindelijk met elkaar voor zorgen dat de branche zich houdt aan de geldende fiscale wet- en regelgeving, Jumbo haar reputatierisico afdekt en we vanuit ons gezamenlijk belang uiteindelijk op een mooie manier efficiënt toezicht houden op de keten.”

Wat is de rol van Risk en Audit bij ketenmanagement?

“De rol van de afdeling Risk en Audit bij ketenmanagement was in directe zin tot het afgelopen jaar beperkt, anders dan dat wij door middel van het Internal Control Framework de kernprocessen auditen. Jumbo doet vanuit de operationele eerste lijn heel veel aan ketenmanagement. Vanuit dat ketendenken hebben we een groot deel van onze processen ingericht. Door het uitvoeren van audits besteden we specifiek aandacht aan ketenmanagement als er sprake is van een actueel risico en we verwachten dat het proces mogelijk niet op orde is. Vanuit onze riskrol zijn we wel direct betrokken bij risicomanagement binnen de keten en specifieke risico’s in de keten op het gebied van voedselveiligheid en de waardestroom (geld en goederen). Vanuit voedselveiligheid is het uitvoeren van audits in de keten al gemeengoed. Echter, op korte termijn starten we ook vanuit Risk en Audit met gerichte audits in de keten op het juist naleven van contractafspraken door onze (toe)leveranciers.”

Vanuit Risk en Audit werken we vanuit de methodiek van de ‘4 bollen’ (zie figuur 1). Het begint in alle gevallen bij inzicht in je risico’s, dus risk management: welke risico’s loop je, zijn ze actueel en wat zou je er aan willen of moeten doen om je risico te beheersen? De volgende stap voor ons is dan: heb ik de risico’s nu allemaal goed onderkend in de processen, zijn de processen goed ingericht en zijn daar uiteindelijk de juiste maatregelen genomen? Vervolgens kom je bij het gebied internal control: borg ik in de processen de juiste checks and balances om te zorgen dat internal control/klanttevredenheid/kwaliteit, et cetera, goed is geborgd en uiteindelijk ook te meten is? Dit vanuit het idee: meten is weten. Als laatste toetsen we vanuit Internal Audit de werking van de interne beheersing in die processen. Dat leidt tot zekerheid dat we de risico’s op een juiste wijze beheersen (efficiënt en effectief) en mogelijk ook tot nieuwe risico’s of andere weging van die risico’s en dan doorlopen we de cirkel opnieuw. Immers, de organisatie en onze omgeving is continu aan verandering onderhevig en wij dus ook.”

“We werken met een internal controlframework van Jumbo, het ICF, daarin zitten in feite alle basiscontrols die je vanuit interne beheersing en dus als accountant mag verwachten van een foodretailer. Dan heb je het over autorisaties, continuïteit, procuratieregelingen, geld-goederenbeweging, prijzen, IT-controls en over finance controls zoals ‘three way matches’. Alle basiscontrols auditen we structureel, het is uiteindelijk onze basis om zichtbaar in control te zijn en daarover zekerheid te kunnen verstrekken aan de proceseigenaren en het management. Daarnaast heb je de risk based audits. Die zijn gericht op de actuele ontwikkelingen binnen Jumbo. Een ander onderdeel is het conditiestelsel met onze ondernemers waarin het uitgangspunt is dat de ketenmarge volgens een bepaalde sleutel wordt verdeeld. Maar wat is dan de ketenmarge en hoe verdeel je die? Dat zijn onderwerpen die in ons auditplan een plaats kunnen hebben. Het auditplan staat echter niet ‘vast’ gedurende het jaar, aangezien de omgeving blijft veranderen. We bepalen continu of de onderdelen uit ons auditplan nog de meest relevante audits zijn. Het auditplan wordt ook jaarlijks in het audit committee vastgesteld en gedurende het jaar besproken.”

“Om onze rol goed te kunnen vervullen moeten mijn mensen weten wat er in de business gebeurt. Als team moeten we middenin Jumbo staan. Ons netwerk is onze kracht. Alleen op basis hiervan kunnen wij komen tot een goed risk based auditplan. Om de belangrijkste risico’s te bepalen hebben we de risico’s opgedeeld in: de basis op orde, business risks en strategische risks. Voor alle drie hebben we een Top-8 benoemd.”

Hoe ervaart u de combinatie van Risk en Audit binnen één afdeling?

“Feitelijk heb ik twee takken van sport: de risk en securitytak en de internal control en internal audittak. Zo valt bijvoorbeeld risicomanagement op de winkelvloer ook binnen mijn afdeling. Ik adviseer over de controls die ik verwacht en het uitvoeren van de controls. Of de controls actueel zijn is de verantwoordelijkheid van de business. Vervolgens audit ik of de business die controls goed uitvoeren/de risico’s goed afdekken. Daarover rapporteer ik. Ik ben me ervan bewust dat ik verschillende petten op heb. Vanuit vaktechnisch oogpunt kun je daar best een discussie over voeren, maar het is wel hoe we het bij Jumbo doen en daarmee de meeste toegevoegde waarde voor Jumbo hebben. Het voelt voor het management van Jumbo heel vreemd als ik alleen maar zou adviseren of alleen maar zou controleren. Ik moet ook gewoon verantwoordelijkheid nemen voor hoe we het als Jumbo goed kunnen inrichten, wat ik dan van iedereen verwacht, wat ik adviseer en hoe het uiteindelijk dan passend is binnen Jumbo.”

“Ik zeg ook tegen mijn auditteam: ‘Jullie moeten mij altijd challengen vanuit je vak: welke rol speel je hier nu Vincent, wat doe je hier nou?’”

“Dat is soms best een grijs gebied. Ik zeg ook tegen mijn auditteam: ‘Jullie moeten mij altijd challengen vanuit je vak: welke rol speel je hier nu Vincent, wat doe je hier nou?’ Ik loop soms bewust wat meer in het grijze gebied rond, wil meer de businesspartner zijn. Op deze wijze spelen we een rol in die gebieden die voor Jumbo op dat moment het meest relevant (lees risicovol) zijn. Mijn mensen moeten wel buiten het grijze gebied blijven wanneer zij audits uitvoeren, zij moeten dan echt in hun auditrol blijven. Het gevaar is namelijk dat we als afdeling te veel de werkzaamheden die gericht zijn op het ‘inrichten en oplossen’ naar ons toe trekken. Dat moet niet, wij moeten de business altijd betrekken in de oplossing, zij zijn het die de processen uitvoeren en beheersen en dus de eigenaar moeten blijven. De kracht zit voor mij altijd in de controls in die eerste en tweede lijn. Iemand die bijvoorbeeld verantwoordelijk is voor private label, die de controls moet toetsen, die moet dat doen omdat hij er zelf het belang van inziet. Als hij het alleen maar doet omdat ik het vraag, dan heb ik waarschijnlijk de verkeerde controls benoemd of is het de verkeerde persoon op de verkeerde plek.”

“De proceseigenaar moet vanuit zijn rol begrijpen waarom bepaalde controls plaatsvinden in een proces. Zo moet een supply manager aan een medewerker goederenontvangst op een site die verantwoordelijk is voor inkomende goederen, uit kunnen leggen waarom hij niet alleen moet controleren dat de kwaliteit goed is, maar ook dat de pakbon overeenstemt met wat hij uiteindelijk daadwerkelijk geleverd krijgt en dat de pakbon ook gewoon aansluit op de bestelling. Ik geef vaak het belang aan om te begrijpen waar het risico over gaat: de medewerker goederenontvangst moet niet alleen de buitenste laag controleren, maar ook dat wat eronder ligt want daar stopt een leverancier die ‘kwaad wil’ de producten met een beperkte houdbaarheidsdatum of mindere kwaliteit. Op die manier een collega laten begrijpen waarom hij verder moet kijken en wat de reden is van deze control, daar gaat het om.”

Wat betekent uw manier van werken voor de kennis en kunde van mensen op uw afdeling?

“Wat ik heel belangrijk vind is dat mijn medewerkers gevoel hebben voor de retailprocessen die je binnen Jumbo tegen komt. In mijn team zit bijvoorbeeld iemand die niet over specifieke auditkennis beschikt, maar wel over echte retailkennis. Hij is afkomstig uit de business. Het is een procesman die weet hoe al die retailprocessen werken. Daarnaast heb ik een RA RE in mijn team omdat uiteindelijk alles IT-driven is. Het is belangrijk dat ik die IT-component integraal onderdeel laat uitmaken van onze audits en uiteindelijk deze kennis ook maximaal kan inzetten voor data-analyses.”

“Qua kennis en kunde is het van belang dat je alert blijft op de zogenoemde tunnelvisie. Ik heb recent iemand van de Big Four aangenomen omdat ik me realiseer dat ik inmiddels al weer zes jaar in food retail rond loop. Ook een groot aantal van mijn mensen zit al lang in food retail. Als je niet oppast word je onderdeel van de business. Ik heb nu dus weer een ‘verse’ RA aangenomen die, als het goed is, mij en mijn team weer audit wise op scherp zet.”

“Als ik een leveranciersaudit doe werk ik samen met mensen van kwaliteit en commercie. Zij laten mij begrijpen hoe zo’n commercieel proces uiteindelijk werkt”

“Qua ontwikkeling van audit binnen Jumbo wil ik naar meer multidisciplinaire auditteams. Als ik een leveranciersaudit doe werk ik samen met mensen van kwaliteit en commercie. Zij laten mij begrijpen hoe zo’n commercieel proces uiteindelijk werkt. Hoe zo’n kwaliteitsborgingsproces werkt. En zo verrijken zij onze auditafdeling met kennis, kunde en een andere kijk op de processen en van belang zijnde controls.”

Ziet u nog nieuwe auditontwikkelingen bij Jumbo?

“De behoefte van het management en de commissarissen zit op dit moment echt in het financieel in control zijn. Dat de externe accountant uiteindelijk maximaal kan steunen op onze audits, dat we zichtbaar in control zijn. Dat is ook wel te begrijpen: Jumbo is de afgelopen jaren immers ontzettend hard gegroeid en daardoor ook kwetsbaarder geworden op een aantal onderdelen. Vanuit deze (finance)rol levert onze afdeling daarmee ook maximaal support aan de business. De uitdaging voor mij is de auditfunctie te verbreden. Te laten zien dat je als auditfunctie nog heel veel meer kan doen, zoals meer aandacht voor procesoptimalisatie, data-analyse, multidisciplinaire auditteams. Dus je niet beperken tot de basisaspecten van interne beheersing, maar aandacht hebben voor het bredere risicoperspectief.”