“Onze internationale projecten zorgen voor een interessante dynamiek”
Bij Royal HaskoningDHV werken ongeveer zesduizend medewerkers, verdeeld over kantoren in meer dan dertig landen. Voor de internal auditfunctie (IAF) zijn alle landen en internationale projecten in scope. Hoe ga je hiermee om? En waar kijk je naar? Mark Kokke, director Audit Risk Compliance, vertelt over zijn ervaringen.
Wat doet Royal HaskoningDHV?
“Royal HaskoningDHV is een onafhankelijk internationaal advies- en ingenieursbureau. Wij willen leidend zijn in duurzame ontwikkeling en innovatie en leveren hieraan een bijdrage op het gebied van infrastructuur, gebouwen, energie, water en de industrie. Vanuit de kantoren werken we aan projecten van klein tot groot in zo’n 150 landen. We zijn er trots op dat we de titel ‘koninklijke’ in onze naam mogen voeren. We vieren dit jaar ons 140-jarig bestaan, waarbij we ook stil zullen staan bij de positieve impact die we hebben gerealiseerd voor mensen en de leefomgeving.”
Hoe onderscheidt Royal HaskoningDHV zich?
“De aandelen van Koninklijke HaskoningDHV Groep bv zijn in een tweetal stichtingen ondergebracht. Het doel van de stichting HaskoningDHV is onder meer het behartigen van het belang van de groep waarbij de continuïteit, zelfstandigheid en identiteit van de groep voorop staan. Dat geeft een andere dynamiek dan dat je aandeelhouders hebt die elk jaar vooral een hoog rendement willen zien. Het geld dat we aan het eind van het jaar overhouden, wordt geïnvesteerd in het bedrijf en besteed aan de verdere ontwikkeling van het bedrijf (bijvoorbeeld door acquisities) en van de mensen die er werken.”
Hoe is jullie internal auditfunctie (IAF) georganiseerd?
“We zijn – volgens de definities van PAS – een kleine IAF met drie auditors en werken volgens alle standaarden van het IIA. De externe kwaliteitstoets hebben we ook in 2018 weer succesvol doorlopen. Op basis van continue risicoafwegingen voeren we onze audits uit. Voor enkele onderwerpen hebben we de specifieke kennis niet in huis en huren we expertise in, zoals IT-kennis en specifieke kennis over applicaties.”
“Key controls zijn in principe voor elk van onze entiteiten en projecten gelijk”
Zijn er nog specifieke vereisten?
“Er zijn voor Royal HaskoningDHV geen eisen vanuit de wet of toezichthouders om een IAF in te richten, zoals dat wel geldt voor bijvoorbeeld banken en verzekeraars. Toch vindt het management het belangrijk dat er een IAF is die assurance verstrekt over de kwaliteit van de risicobeheersing in onder meer onze projecten.”
In welke landen is Royal HaskoningDHV actief?
“Vanuit onze vestigingen in meer dan dertig landen werken zesduizend professionals aan projecten in meer dan 150 landen. Ons hoofdkantoor is gevestigd in Nederland, met daarnaast kantoren in onder andere het Verenigd Koninkrijk, Zuid-Afrika, Indonesië, Vietnam en India. Onze internationale dekking geeft een interessante dynamiek.”
Zijn alle landen in scope voor internal audits?
“Alle activiteiten van het bedrijf zijn in scope van de IAF. Op basis van de risicoanalyse bepalen we het soort of de soorten audits. We hebben 1) desk reviews (veelal kortere reviews waarbij we een beperkte mate van assurance geven); 2) entiteitaudits (oordeel over de mate van de beheersing van risico’s binnen een entiteit); 3) thema-audits (specifieke onderwerpen die voor de groep van belang zijn of voor een specifieke entiteit). Audits doen we centraal vanuit het hoofdkantoor in Amersfoort (of vanuit een andere plek als de omstandigheden daarom vragen), of we reizen naar een specifieke locatie voor de uitvoering van het veldwerk. De voorbereiding van audits doen we altijd in Nederland om het veldwerk op locatie – in Nederland of daar buiten – zo efficiënt mogelijk uit te kunnen voeren.”
Hoe zorgen jullie voor voldoende lokale kennis en ervaring?
“Centraal worden het beleid, de belangrijkste processen en procedures bepaald. Dat is voor onze audits in Nederland en in het buitenland ons belangrijkste toetsingskader. De ‘couleur locale’ krijg je door een goede voorbereiding en door de gesprekken die je voert met projectmanagers en specialisten ter plaatse. In principe zijn de key controls in de basis hetzelfde, onafhankelijk van het land. De nuance ligt in de uitvoering en het soort project. Zo liggen de risico’s bij projecten waar wij het ontwerp doen anders dan bij projecten waar wij toezicht houden op de uitvoering.”
Wat zijn de relevante auditaspecten binnen projecten?
“Onze missie is ‘enhancing society together’. Dit speelt ook heel sterk mee in de afweging of we een project in een bepaald land of voor een bepaalde klant willen doen. Wil je werken in een land waar de mensenrechten niet helemaal worden nageleefd? Of denk je juist dat je met een project kunt bijdragen aan de verbetering hiervan? Wil je werken aan projecten in een bepaalde industrie, of voor bepaalde klanten waarvan je weet dat ze niet bijdragen aan een verbetering van de leefomgeving? Of kun je met de kennis die wij hebben juist zorgen dat de klant voor oplossingen kiest die zo duurzaam mogelijk zijn. Dat zijn de vragen die we onszelf stellen.”
“Elk land heeft zijn eigen gewoonten en manieren waarop mensen met elkaar omgaan”
Wat zijn voor internal audit de belangrijke thema’s?
“De belangrijke thema’s raken aan onze kernactiviteit: projectmanagement. We maken hierin onderscheid in: get work (het binnenhalen van nieuw werk), do work (het uitvoeren van het werk) en get paid (het betaald worden voor de werkzaamheden die we uitvoeren). Binnen elk thema kunnen weer verschillende vraagstukken worden onderscheiden. Daarbij kun je denken aan het risicomanagement van een project en de waardering van het onderhanden werk, maar ook aan nieuwe ontwikkelingen in de uitvoering van projecten. De digitalisering van het werk (the digital way of working) wordt bijvoorbeeld steeds meer gemeengoed. Dit laatste vergt ook weer andere kennis en kunde van de internal auditor.”
Een voorbeeld?
“‘Vroeger’ kon je eenvoudig vaststellen dat de review van een belangrijke constructieberekening inderdaad was uitgevoerd door iemand met de juiste kennis door na te gaan of alle handtekeningen netjes op de papieren stonden. Nu wordt dit gedaan via elektronische workflows waarbij vraagstukken als de toegangsbeveiliging en een bevoegdhedenmatrix ook onderwerp zijn van het onderzoek door de IAF. Naast projectmanagement zien we dat een groeiend deel van onze omzet komt van digitale producten die wij aan klanten verkopen. Zo werkt bijvoorbeeld het merendeel van de waterbedrijven in Nederland met onze technologie om de prestaties van drink- en afvalwater te waarborgen. Ook deze digitale services zijn onderdeel van onze audits.”
Kun je met dezelfde standaarden en normen internationaal uit de voeten?
“Ik denk dat het zeker mogelijk is. Key controls zijn in principe voor elk van onze entiteiten en projecten gelijk. Soms kunnen er bepaalde nuances zijn, omdat lokale standaarden net iets anders voorschrijven, of omdat de klant andere eisen stelt. Het gaat dan om de beoordeling van het stelsel van beheersmaatregelen. Het mooie is dat wij als internal auditors juist zijn opgeleid om een stelsel van beheersmaatregelen te beoordelen en dan vooral of de betreffende risico’s voldoende beheerst worden.”
Wat zien jullie als belangrijkste cultuurverschil bij het uitvoeren van audits?
“Elk land heeft zijn eigen gewoonten en manieren waarop mensen met elkaar omgaan. Tijdens je audits houd je hier rekening mee. In sommige landen zal een medewerker nooit zijn manager tegenspreken of überhaupt niets zeggen als de manager erbij zit. Je zorgt dus in die gevallen dat je mensen een-op-een spreekt en dat je een open sfeer creëert waarin mensen vrijuit durven spreken.”
Wat is uw meest bijzondere ervaring bij een on-site audit geweest?
“Het leuke van dit werk is inderdaad dat je op sites komt waar het werk wordt uitgevoerd. Er zijn twee projecten die heel veel indruk op me hebben gemaakt. Wij waren betrokken bij de aanleg van een weg in de uitlopers van het Himalayaebergte. Het is daar zo ongelooflijk mooi maar het werk was complexe materie. Een ander project betrof de aanleg van een droogdok voor een vliegdekschip. Megagroot en technisch zeer uitdagend.”
En minder leuke momenten…
“De meest bizarre audit die ik een aantal jaren geleden heb uitgevoerd was in een land op het Afrikaanse continent. Ik kwam aan op het vliegveld en werd tot driemaal toe bevraagd door de douanebeambten en beveiliging of ik ‘iets voor hen had’. Uiteraard doen we daar niet aan mee, maar zij waren wel erg volhardend in hun verzoek en maakten veel indruk. Ik heb ze in ieder geval af weten te wimpelen. Na deze confrontatie werd ik opgepikt door iemand van ons kantoor aldaar en werden we vervoerd in een gepantserde wagen met voor en achter ons bewapende militairen in escortevoertuigen. Die ervaring heeft bijgedragen aan een uitgebreidere risicoanalyse tijdens de audit over dat land en onze business.”
“Het toetsen van de soft controls is lastiger op afstand, dus je moet er meer werk van maken en andere controletechnieken erbij betrekken”
Hoe zorgen jullie, met het digitaal en op afstand werken, voor verbinding met de auditee?
“Dat is een goede vraag en wij denken daar zeker over na. En niet alleen over de verbinding met de auditee, maar ook over het realiseren van voldoende diepgang in de werkzaamheden. De afgelopen anderhalf jaar heeft de IAF, net als het merendeel van onze collega’s, gewerkt vanuit huis. Voor onze internal auditwerkzaamheden doen we alle interviews via Teams en verzamelen we de informatie digitaal. Je merkt dat je bij de uitvoering van audits dan heel erg aangewezen bent op het formele traject. Je mist de gesprekken met de mensen die je op locatie ‘tegen het lijf loopt’ en de informatie die je opdoet tijdens een lunch of andere gelegenheden. “
Hoe gaan jullie daarmee om als IAF?
“Als internal audit hebben wij ons natuurlijk ook afgevraagd of we door lokale aanwezigheid tijdens een audit meer assurance verkrijgen dan op afstand. Ik denk dat het toetsen van de hard controls op afstand net zo goed werkt als wanneer je fysiek aanwezig bent. Het toetsen van de soft controls is lastiger op afstand, dus moet je daar meer werk van maken en andere controletechnieken erbij betrekken. Ik denk dat we in de nabije toekomst meer gaan naar een situatie waarbij we voor een bepaalde audit scope het ene jaar zullen reizen om fysiek aanwezig te kunnen zijn, en dat we de volgende een of twee audits op afstand doen. Het aantal reisbewegingen voor internal audit vermindert daardoor.”
Over
Mark Kokke werkt sinds 2009 bij Royal HaskoningDHV en is director Audit Risk Compliance van Royal HaskoningDHV. Daarvoor werkte hij 23 jaar bij ABN Amro in diverse internal auditrollen. Zijn post-doctorale opleiding Operational Auditing volgde hij aan de Erasmus Universiteit Rotterdam.
Reacties (0)
Lees meer over dit onderwerp:
Kijken hoe het zit
Een jaar geleden aangetreden als directeur van de Rekenkamer Rotterdam. Een jaar met de focus naar binnen en nu het eerste interview met de buitenwereld. Marjolein van Asselt over het belang en de uitdaging van onafhankelijkheid en impact hebben.
Lees meerDe politiek over audit
Josien van Cappelle is twaalf jaar gemeenteraadslid, waarvan een aantal jaren fractievoorzitter. Zij ontving een Europese politieke prijs: de LeaDeR-prijs voor de beste politicus in de oppositie. Ze vertelt over haar ervaringen als politica met audits.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.