De controller over audit

Charley Gerritse is director Risk, Control & Compliance (verder genoemd: manager RC&C) binnen Coca-Cola Enterprises (CCE). Ignatia Mannoe (IIA YP) en Ronald Lips (Eneco) praten met hem over zijn visie op het beroep, de beroepsgroep en succesvol business partnering met je interne klanten.

Hoe kijkt u tegen de beroepsgroep Internal Audit aan?

“Mijn carrière startte als internal auditor bij de overheid. Al snel merkte ik dat ik mij in die rol beperkt voelde in de mogelijkheden om de klant te helpen, om echt toegevoegde waarde te kunnen leveren. Nadat de bevindingen waren gerapporteerd miste ik de mogelijkheid om de klant verder te ondersteunen, bijvoorbeeld in de vorm van een begeleidingstraject. Daarnaast lag de focus van onze klanten veel meer op het dagelijks management en het realiseren van de bedrijfsdoelstellingen. Als IAD hadden we daar in mijn beleving destijds onvoldoende aandacht voor.”

 Hoe bent u met deze beperkingen omgegaan?’

“Toen de mogelijkheid zich voordeed heb ik de overstap gemaakt naar CCE, waar ik als internal controlspecialist aan de slag ben gegaan binnen de afdeling die toen nog Internal Control heette. De afdeling was volledig gericht op het ontwerpen, implementeren, onderhouden en voortdurend verbeteren van de interne controleomgeving van het bedrijf. We hebben de functie vervolgens langzaam maar zeker uitgebouwd tot wat het nu is. Een volwaardige businesspartner op het gebied van risicomanagement in de breedste zin van het woord. We werken hierbij nauw samen met de enterprise risk management- (ERM) en ethics & compliancefuncties en met de IAD natuurlijk.”

“Je moet het bedrijf en de prioriteiten goed kennen en vanuit die kennis communiceren en handelen”

“Om de bredere scope te benadrukken hebben we destijds ook de naam van de afdeling veranderd in Risk, Control & Compliance. De belangrijkste ingrediënten voor de succesvolle businesspartnerrelatie met het management zijn de bewegingsvrijheid en flexibiliteit die we hebben als functie en dat we daadwerkelijk meehelpen met het realiseren van verbeteringen. Dit is waar je, denk ik, als IAD bij het nastreven van iets vergelijkbaars wellicht tegen beperkingen van de beroepsregels aan kunt lopen, zoals collisiegevaar.”

Aan welke voorwaarden moet worden voldaan om als businesspartner toegevoegde waarde te kunnen leveren?

“Waar en hoe je als businesspartner toegevoegde waarde kunt leveren hangt sterk af van de volwassenheid van de organisatie op het vlak van risicomanagement. Wanneer risicomanagement bijvoorbeeld een geïntegreerd onderdeel is van strategische besluitvormingsprocessen en een vast element is van de veranderagenda, zijn dat indicatoren voor een hogere mate van volwassenheid. Een proactieve adviserende rol voor een IC- of IA-functie is dan min of meer vanzelfsprekend. Dat betekent dat je je strategie volledig kunt richten op het optimaliseren ervan. Bij een lage mate van volwassenheid is er relatief weinig aandacht voor risicomanagement in bijvoorbeeld strategische en operationele besluitvormingsprocessen. Als IC of IAD zul je daar dan ook geen rol van betekenis in spelen. Cultuurverandering is dan een van de uitdagingen waar je je vervolgens in je strategie op zult moeten richten. Het verkopen van de toegevoegde waarde van geïntegreerd risicomanagement aan je interne klant moet hierbij het uitgangspunt zijn.”

Hoe gaat dit bij CCE?

“Bij CCE voert de IAD in nauwe samenwerking met de ERM-functie en het management jaarlijks bedrijfsbrede risk assessments uit. Ze gebruiken de uitkomsten van de assessments als voedingsbron voor de planning van auditactiviteiten. Op die manier realiseren ze een risk based auditaanpak die gekoppeld is aan bedrijfsrelevante risico’s en zo vinden ze aansluiting bij het strategisch belang voor CCE.”

“Belangrijke indicatoren voor volwassenheid op het vlak van risicomanagement (RM) zijn:

• een centraal gecoördineerde methodologische RM-aanpak met een geïntegreerd risk framework;
• toegewijde specialistische support (ERM, IC, IAD);
• periodieke risk assessments met business ownership van geïdentificeerde risico’s;
• actieve monitoring risico’s, risk dashboards, actieplannen;
• RM is een vast onderdeel van strategische besluitvorming (lange termijn en jaarlijkse planningsprocessen);
• RM is een vast onderdeel van change managementprocessen (zie figuur 1).”

Is er nog meer belangrijk?

“Verder hangt het van heel veel factoren af om toegevoegde waarde te kunnen leveren. In algemene zin is de perceptie van de organisatie een belangrijk aandachtspunt. Die moet jou gaan zien als serieuze businesspartner. Om die businesspartner te worden, moet je de klant centraal stellen bij alles wat je doet. Met andere woorden, customer focus. Het klinkt cliché, maar je moet jezelf voortdurend afvragen of jouw perceptie wel aansluit bij die van de klant. Je klant zal zich altijd afvragen wat de toegevoegde waarde van jouw werk zal zijn voor hem. Waarom zou hij er daadwerkelijk zijn aandacht op gaan richten, er energie in steken, tijd en geld aan besteden? Dit betekent dat je het bedrijf en de prioriteiten goed moet kennen en vanuit die kennis moet communiceren en handelen. Zorg er dus voor dat je de taal van het management spreekt en dat er altijd aansluiting is tussen waar jij als businesspartner op focust en wat de strategische prioriteiten zijn van je klant. Veel van de waardering van onze interne klanten bij CCE is het gevolg van het feit dat we niet alleen rapporteren/adviseren, maar dat we daadwerkelijk meehelpen met het realiseren van verbetertrajecten.”

Wat kunnen internal auditors leren van de aanpak  van CCE?

• Probeer de mate van volwassenheid vast te stellen op het vlak van risicomanagement. Het is belangrijk om dit te begrijpen op organisatieniveau, maar ook op het niveau van de interne klant waar je op dat moment voor werkt.

• Zoek het optimum tussen assurance en consultancy. De verdeling is sterk afhankelijk van de mate van volwassenheid van risicomanagement.

• Beperk je niet tot het rapporteren van bevindingen of een geschreven advies. Probeer binnen de ruimte die de beroepsregels je geven je ‘hands on support’ in verbetertrajecten te maximaliseren.

• Zorg ervoor dat wat je doet aansluit op het strategisch belang voor de organisatie.

• Denk en handel altijd vanuit het perspectief van de klant, het toevoegen van waarde is daarbij altijd de focus.

• Zorg voor een gezonde mix van talenten in het team. Medewerkers met veel kennis van de business inlijven is van niet te onderschatten waarde. Het gebrek aan vaktechnische scholing is heel goed op te vangen door de vakspecialisten in het team.

Verandering lijkt een prominente plek te hebben bij CCE. Hoe belangrijk is dit?

“We grappen vaak dat CCE niet alleen Coca-Cola Enterprises betekent maar ook Constantly Changing Environment. Niets is dan ook minder waar, CCE is een ‘change driven’ organisatie. We zijn als bedrijf voortdurend op zoek naar verbetering in alles wat we doen. De focus van mijn team op die veranderagenda is essentieel geweest voor de erkenning als volwaardig business-partner zoals we die nu ervaren. Het analyseren van de impact van aanstaande veranderingen op processen, risico’s en dus de interne controleomgeving, is de basis. Vervolgens werken we samen met het management aan het doorvoeren van de nodige aanpassingen/verbeteringen. We maken op die manier het hele veranderproces mee van de ontwerpfase tot aan stabilisatie. Een bijkomend voordeel is dat je gedegen kennis opbouwt van de processen en de taal leert spreken van je interne klanten. Cruciaal voor succesvolle partnering met je klanten.”