Hoe houd je een hypergroeiend online reisplatform in control?

De website Bookings.nl, opgezet in 1996 door een Nederlandse student, groeide uit tot een megabedrijf en is wereldleider in online reserveringen van accommodaties. Reden genoeg om deze online omgeving te verkennen. Een interview met Marco Rozenberg, hoofd Global Internal Audit.

Hoe bent u bij Booking.com terechtgekomen?

“Na negen jaar voor Heineken International te hebben gewerkt, was ik op zoek naar een nieuwe uitdaging. Via een headhunter kwam deze gelegenheid voorbij, Booking Holdings was toentertijd al een tijd op zoek naar een nieuw hoofd internal audit. De fit met de cultuur van het bedrijf was erg belangrijk. Mijn voorganger zat op het hoofdkantoor in Amerika. Aangezien Booking.com nu zo’n groot onderdeel van het bedrijf is en alle productontwikkelingen plaatsvinden in Amsterdam, vond men het een goed idee de rol naar Amsterdam te verplaatsen.”

Hoe ziet uw huidige team eruit?

“Wij zijn de auditafdeling van Booking Holdings, met een sterke focus op Booking.com. Booking.com is verantwoordelijk voor een groot deel van de omzet en winst van de totale groep, heeft zo’n 17.000 mensen in dienst en heeft kantoren in 200+ landen. Inmiddels hebben wij als auditafdeling 21 internal auditors waarvan 16 in Nederland en 5 in Amerika. In 2019 zullen we verder groeien naar 25. We hebben een internationale en jonge club, met een gemiddelde leeftijd van rond de 30. De teamleden hebben bijna allemaal een big-fourachtergrond. De helft van mijn mensen zijn IT-auditors en de andere helft kun je zien als operational auditors.”

‘Hypergrowth’?

“De afgelopen jaren hebben we een enorme groei gezien in personeel. Honderden nieuwe medewerkers die elke maand starten. We hebben jarenlang een transactie- en omzetgroei gekend van meer dan 30%. Dat is wat je noemt ‘hypergrowth’, wat leidt tot bijzondere uitdagingen. Afdelingen schieten uit de grond en veranderen continu, veranderende waarden en druk op de bestaande cultuur, expansie in diverse landen, veel nieuwe partners, nieuwe producten en features die razendsnel worden geïntroduceerd. Daarnaast hebben we te maken met veranderende regelgeving, bijvoorbeeld op het gebied van privacy, en een toename in aandacht van autoriteiten, bijvoorbeeld op het gebied van belastingen en mededinging. Of we alle risico’s die met deze groei samenhangen afdoende mitigeren is een vraag die regelmatig door onze stakeholders, inclusief de chair van het audit committee (AC) wordt gesteld.”

We moeten ons continu afvragen of de bedrijfsvoering nog strookt met de waarden van alle stakeholders en niet enkel met die van de shareholders

Wat is de invloed daarvan op de organisatie?

“De huidige situatie betekent dat veel zaken formeler worden. Tot 2016 was ons business- en verdienmodel nog relatief simpel. We traden op als ‘broker’ tussen bezoeker en accommodatie en rekenden daarvoor een commissie. Inmiddels breiden we onze services uit waarbij ook de geldstromen steeds meer via ons lopen en niet langer alleen tussen bezoeker en hotel. Ook worden we actiever in ‘pricing’ en in het verstrekken van incentives. Daarnaast concurreren we tegenwoordig stevig met AirBnB en hebben we te maken met allerlei wetgeving en ethische vragen gelinkt aan deze kant van onze business (bijvoorbeeld de grote aantallen toeristen in de Amsterdamse Jordaan en de veiligheid van de gasten en de hosts). Als bedrijf hebben we een maatschappelijke rol te vervullen ten aanzien van dit soort onderwerpen. Dit uit zich ook steeds duidelijker in onze company values, een daarvan is ‘the right results – the right way’. We moeten ons continu afvragen of de bedrijfsvoering nog strookt met de waarden van alle stakeholders en niet enkel met die van de shareholders.”

Wat is de impact van SOx op de auditafdeling?

“Vanwege de notering aan de NASDAQ vallen we onder het toezicht van de SEC en is ook de SOx-regelgeving op ons van toepassing. SOx-testing is dan ook een belangrijk onderdeel, dat bijna de helft van onze tijd in beslag neemt. In een Amerikaanse setting is dit heel logisch, maar in een Europese context wordt SOx-testing toch meer gezien als een eerste of tweede line-of-defense-activiteit. We willen het ownership inzake ‘internal controls over financial reporting’ verstevigen binnen de eerste line of defense door middel van tooling en self-assessments. We zijn ervan overtuigd dat dit op lange termijn de beste oplossing is. Bijkomend effect is dat wij hierdoor meer tijd beschikbaar krijgen om ons te focussen op operational audits inzake andere risicogebieden. Echter, onze audit committee chairman is er helder over dat de betrouwbaarheid van onze financiële rapportages absolute prioriteit blijft.”

Hoe kun je audits plannen in zo’n snel veranderende omgeving?

“Bij Booking.com vinden ook nu nog dagelijks veranderingen plaats. Als we een audit zes maanden van te voren voorbereiden is de kans groot dat de audit niet langer relevant is tegen de tijd dat het fieldwork zou starten. Wij definiëren de exacte scope daarom zo laat mogelijk, en indien nodig passen we dit verder aan tijdens de uitvoering van de audit.”

“Ons audit jaarplan beschrijft een ambitie en bevat een aantal ‘placeholders’, zoals een audit op ‘payment initiatives’. Gedurende het jaar vullen we deze placeholders in met concrete audits. De kans is groot dat we ons plan niet exact uitvoeren, omdat we worden ingehaald door de continue ontwikkelingen die door ons belangrijker worden ingeschat dan het originele plan. Gedurende het jaar houden we actief onze ‘backlog’ aan ‘risk areas’ bij, die we ook van een prioriteit voorzien. Deze lijst is leidend bij het eventueel aanpassen van ons plan voor het volgende kwartaal.

“We hebben jarenlang een transactie- en omzetgroei gekend meer dan 30%.  Dat is wat je noemt ‘hypergrowth’”

Als het gaat om rapporteren heb ik een sterke voorkeur voor transparantie, waarbij een auditee letterlijk mee kan lezen met een rapport in wording. Issues worden dan tijdens de audit zichtbaar en het management kan hier ook gedurende de looptijd van de audit op reageren. Zo voorkomen we lange discussies na afloop van de audit. Daarnaast werken we graag zo nauw mogelijk samen met de auditee in het definiëren van de nodige verbeteracties. Hierbij speelt ook de risk & controlfunctie een belangrijke rol in het ondersteunen van management.”

Hoe lopen de rapportagelijnen van de CAE?

“Ik rapporteer aan het audit committee, met een administratieve lijn naar de CFO van de holding. Beide lijnen lopen dus naar Amerika, terwijl ik vanuit Amsterdam werk. Dit heeft zowel voor- als nadelen. Verder wordt ons team in Amsterdam door het management van Booking.com als volwaardig onderdeel van het bedrijf gezien. In dat opzicht spelen we dus meerdere rollen en is het belangrijk de balans goed in de gaten te houden.”

Booking.com
Booking.com is wereldleider in online reserveringen van accommodaties. Via de website worden op drukke dagen zo’n 1,5 miljoen overnachtingen gereserveerd. Het bedrijf is sinds 2005 onderdeel van Booking Holdings, genoteerd aan de NASDAQ (BKNG) met een hoofdkantoor in Connecticut, Amerika. Naast Booking.com heeft deze holding vijf andere bedrijven met een focus op online travel services.

Wat zijn jullie grootste risico’s?

“Gezien onze business zien we een aantal kernrisico’s: cyber security, privacy en IT-continuity. Als de website eruit ligt kost dat miljoenen. Met name op cyber en privacy voeren we elk jaar werkzaamheden uit in elk bedrijf in de holding. Met betrekking tot cyber security hebben we een ‘integrated assurance approach’ gedefinieerd met onze securitystrategist op de holding en de chief information security officers van onze bedrijven. We doen veel met externe ‘vendors’. Onze rol als internal auditafdeling ligt dan meer op onafhankelijke scoping en het beoordelen of de resultaten helder en transparant worden gerapporteerd aan het management. Richting de board of directors hebben we een leidende rol in deze rapportage. Gezien de relatief bescheiden omvang van de auditafdeling kunnen we het ons niet veroorloven om meerdere cyberexperts aan te trekken. Ook het carrière­perspectief voor dergelijke experts is een uitdaging. Mede hierom hebben we een geïntegreerde aanpak opgezet.”

Is de afdeling groot genoeg om alle relevante audits uit te voeren?

“Ik krijg deze vraag ook vanuit het audit committee. Ben ik voldoende bemand om alle relevante werkzaamheden uit te voeren? Dat is een hele lastige vraag om te beantwoorden. Een bevestiging zou betekenen dat ik alle risico’s zou overzien en hier voldoende werk op kan doen. Een ontkenning leidt tot een probleem voor het audit committee en de vraag hoeveel meer resources er dan nodig zijn. Uiteindelijk gaat het erom dat we voldoende investeren in onze control environment en dus in alle lines of defense. Ik geloof niet in een grote internal auditfunctie ter compensatie van gebrekkig risk ownership van management of een gebrekkige ondersteuning door de risk & controlfunctie.”

“Wij hebben met de voorzitter van het audit committee afgesproken een external assessment uit te voeren. De centrale vraag hierbij is of de internal auditfunctie in zijn huidige vorm ‘fit for purpose’ is, gegeven het bedrijf dat we nu zijn. Daar pakken we dan direct een stuk quality assessment in mee. In 2020 willen we vervolgens de IIA-assessment op kwaliteit laten uitvoeren.”