“Wat ik doe moet impact hebben”

Een gecombineerde afdeling met audit, compliance, risk en gegevensbescherming heeft interessante voordelen, maar kent ook specifieke aandachtspunten. Maya de Waal over de ontwikkelingen van de afdeling Audit, Monitoring en Control (AMC) van Hogeschool Rotterdam en de uitdagingen van de organisatie.

Wie is Maya de Waal?

“Sinds maart 2022 ben ik manager AMC bij Hogeschool Rotterdam (HR). Hiervoor bekleedde ik een tweedelijnsfunctie bij De Haagse Hogeschool. Dit was een functie die zich onder andere richtte op kwaliteitszorg en beleidsevaluatie, een aanverwante discipline van internal audit. Daarvoor werkte ik bij de Nederlands-Vlaamse Accreditatie Organisatie (NVAO), de accreditatieorganisatie die de kwaliteit van hogescholen en universiteiten bewaakt.”

Het onderwijs loopt als een rode draad door uw carrière

“Ik heb echt een hart voor onderwijskwaliteit. Studenten hebben recht op goed onderwijs en daarom liggen zaken als governance, risicomanagement en kwaliteitszorg me na aan het hart. Helemaal in een grote organisatie als een Randstedelijke hogeschool is het belangrijk dat die zaken op orde zijn, zodat docenten en studenten zich optimaal kunnen ontplooien. Ook de maatschappij als geheel zie ik als een belangrijke stakeholder: zij moeten ervan op aan kunnen dat we kwaliteit leveren en goed omgaan met gemeenschappelijke middelen. Daarom valt ook de doelmatige besteding van gemeenschapsgelden binnen mijn scope. De hoge verwachtingen die we hebben van onze studenten, heb ik dus ook van onszelf als organisatie.”

Hoe werkt extern en intern toezicht in het hoger onderwijs?

“Naast de gebruikelijke entiteiten als de accountant en hele specifieke commissies voor gerichte zaken zoals bijvoorbeeld macrodoelmatigheid, zijn twee organisaties heel belangrijk voor ons. De Inspectie van het Onderwijs heeft als opdracht om de kwaliteit van het stelsel voor hoger onderwijs te beoordelen en bevorderden. Verder zien zij toe op de financiële rechtmatigheid, doelmatigheid en continuïteit, en op de naleving van wettelijke voorschriften door instellingen in het hoger onderwijs.”

“Studenten hebben recht op goed onderwijs en daarom liggen zaken als governance, risicomanagement en kwaliteitszorg me na aan het hart”

En wat is die andere belangrijke organisatie voor jullie?

“Daarnaast bewaakt de NVAO de kwaliteit van de erkende opleidingen van hogescholen en universiteiten. De NVAO geeft op basis van een zesjaarlijks peer-reviewbeoordelingsrapportage een keurmerk (accreditatie) aan de opleidingen wanneer de kwaliteit goed genoeg is. Voor ons een heel belangrijk moment en als internal audit komen we op de helft van die periode langs voor een eigen midterm audit. Vanuit de Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW) volgt verder dat er een raad van toezicht (RvT) is ingesteld die bij zijn werkzaamheden de kwaliteit van onderwijs, onderzoek en kennisvalorisatie centraal stelt. Verzoeken van de RvT krijgen bij ons in de auditagenda dan ook vaak voorrang. Elke hogeschool bepaalt verder zelf hoe zij hun kwaliteitszorgsysteem inrichten. Sommige hogescholen zoals de HR hebben besloten om een interne auditfunctie in te richten, maar dat is zeker niet overal zo.”

Wat is uw drijfveer om in het vakgebied interne audit te werken?

“In het algemeen werk ik graag in de publieke sector. Ik word enthousiast van het op zoek blijven gaan naar manieren waarop we met de hogeschool meer impact kunnen maken. Om zo bij te kunnen dragen aan de maatschappij geeft veel voldoening. We leiden – vaak jonge – mensen op tot professionals om de uitdagingen van vandaag en morgen aan te kunnen. Dat klinkt eenvoudig, maar is in de praktijk een continue zoektocht naar synergie tussen onderwijs, onderzoek en onze omgeving. Het als hogeschool continu inspelen op alle transities in de veranderende wereld vraagt om executiekracht, veranderkracht en aandacht voor kwaliteit. En om maximale meerwaarde te kunnen bieden als risk, compliance en audit moeten we diezelfde krachten aanspreken.”

Wat betekent dat in de praktijk?

“Na binnenkomst in maart 2022 heb ik een IST-SOLL-analyse gemaakt. Daar kwam uit dat we als audit onze onafhankelijke en objectieve aanvullende assurance op alle voor de organisatie relevante vraagstukken moeten gaan richten, in plaats van vooral op het onderwijs in de opleidingen te focussen. Dit alles vanuit een risicogerichte benadering, waarbij we het als onze taak zien om aanjagend en impactvol onze rol in te vullen ten aanzien van de kwaliteitsborging, het kwaliteitssysteem en de kwaliteitscultuur van de hogeschool. Sindsdien zijn we hard bezig om onze auditfunctie door te ontwikkelen.”

Kunt u iets meer vertellen over de interne auditfunctie en over AMC?

“AMC is een gecombineerd team bestaande uit vier functies: audit, risk, compliance en gegevensbescherming. Binnen dit team zijn zes auditoren, een riskmanager, een compliance officer en een functionaris gegevensbescherming werkzaam. We rapporteren direct aan het college van bestuur (CvB). Deze functies zijn zeker niet vanzelfsprekend binnen een hogeschool en tonen het engagement van onze instelling in het waarborgen van integriteit, veiligheid en compliance. Ik ben dan ook erg trots op het feit dat wij als hogeschool ervoor kiezen om op deze terreinen ‘dedicated’ functionarissen in te zetten.”

Welk type audits voeren jullie uit?

“Historisch gezien voerden wij vooral productaudits uit op onderwijs- en onderzoekskwaliteit. We merkten alleen dat we hier steeds minder impact mee maakten. Stap voor stap zijn we onze instrumenten dan ook aan het aanpassen en uitbreiden. Naast de productaudits voeren we operational audits uit en themaonderzoeken. Daarbij proberen we de audits zo te doen dat ze zoveel mogelijk leereffect hebben voor de auditee. Vorig jaar hebben we bijvoorbeeld een zelfscan ontworpen met als doel het niveau waarop auditees zelf risico’s identificeren te verhogen. Aanvullend hebben we onderzocht hoe we op basis van deze zelfscan – de facto een risicoanalyse – tijdens onze audits meer maatwerk kunnen leveren. Een uitdagend en leuk proces. Daarnaast zijn we onze focus voor de komende jaren meer aan het verleggen naar een aantal specifieke bedrijfsvoeringsprocessen van de hogeschool. Concreet krijgt dit uiting in een steeds zwaardere focus op privacy en cybersecurity in onze auditagenda.

“Voortdurende open communicatie en ‘het goede gesprek’ voeren blijven van cruciaal belang”

Wat zijn de voordelen van een gecombineerde interne auditfunctie met risk en compliance?

“Hoewel er ook aandachtspunten zijn, beschouwen wij het als een voordeel dat we vanuit verschillende perspectieven naar één situatie kunnen kijken. De diverse functies vullen elkaar aan, waardoor we in de praktijk vaak vergelijkbare adviezen geven. Door deze adviezen qua vorm en inhoud op elkaar af te stemmen, streven we ernaar om maximale impact te hebben voor de hogeschool. Concreet betekent dit dat we voor het college van bestuur (CvB) en de raad van toezicht (RvT) een gezamenlijke continue rapportage opstellen en, indien relevant, als één AMC-team met hen in gesprek gaan. Deze integratie gaat dus verder dan strikte functiescheiding zoals beschreven in het oude three lines model. Onze focus ligt juist op impact maken, zoals uiteengezet in het herziene three lines model.”

Wat is belangrijk om dit te bereiken?

“Daarvoor is het essentieel dat alle teamleden een volwassen en expliciete rolopvatting hebben binnen hun respectievelijke functies. Audit heeft immers ook een adviserende rol op het gebied van governance en risicomanagement. Tot nu toe heeft dit niet geleid tot problemen met betrekking tot onafhankelijkheid. Mocht deze kwestie ooit opspelen, dan behouden we de flexibiliteit om op professionele wijze externe partijen in te schakelen voor audits of onderzoeken. Daarnaast hebben alle afzonderlijke functies binnen AMC hun eigen charter, waardoor we een duidelijk kader hebben om op terug te vallen wanneer zich uitdagingen voordoen. Voortdurende open communicatie en ‘het goede gesprek’ voeren blijven daarbij van cruciaal belang.”

Nemen jullie cultuur en gedrag mee in jullie werk?

“Wij vinden dat je dit altijd moet meenemen in je audits. Hard en soft controls beïnvloeden elkaar continu en om als opleiding en organisatie duurzaam te kunnen verbeteren, is het belangrijk om doorlopend te sturen op het samenspel van die twee soorten controls. Zo voorkomen en detecteren we problemen en lossen we ze op. Als we tijdens gesprekken doorvragen, is cultuur en gedrag een onderwerp waar je vaak ook op uitkomt als onderliggende reden voor een non-conformity. Maar je kunt ook juist best practices vinden door te kijken naar cultuur en gedrag. Daar zit vaak de ‘kleine kwaliteit’ en mooie inspiratie voor andere organisatieonderdelen. Om de juiste achtergrondinformatie op te halen, meer draagvlak voor onze afdeling te creëren en feeling te houden met wat er op de werkvloer gebeurt, drinken we veel kopjes koffie met andere collega’s. Dit is overigens best een uitdaging in een organisatie waar 4500 mensen werken.

Een ander uitdagend onderwerp: in hoeverre maakt jullie interne auditfunctie gebruik van artificial intelligence?

“Hoewel we nog geen gebruikmaken van artificial intelligence (AI), streven we ernaar om optimaal gebruik te maken van beschikbare data. Hoewel we wel kansen zien voor het gebruik van AI, zien we zeker ook risico’s. Het gebruik van AI moet op een veilige manier en daarvoor zijn eerst bepaalde randvoorwaarden nodig. Als team zijn we momenteel niet in de fase om hierop in te spelen. Wij hebben andere aandachtspunten, zoals de nieuwe strategische beleidsagenda, waar wij onze aandacht op moeten richten. Overigens hebben we laatst wel een referentiekader opgevraagd in AI en daarna aangepast. Dat was een leuke vingeroefening voor de toekomst.”

Op welk gebied zijn nog stappen te maken voor jullie IAF?

“We hebben zeker nog een aantal stappen te zetten in de doorontwikkeling. We kijken vanuit een ontwikkelperspectief elk jaar weer naar onze visie en herijken die waar nodig. Ik geloof dat je om impact te maken als IAF altijd in doorontwikkeling moet zijn. Echter, deze doorontwikkeling is per definitie reactief en afgestemd op de ontwikkeling van de HR. Onlangs is een nieuwe beleidsagenda Talent voor transitie vastgesteld. We nemen hiervan kennis en kijken hoe we daarop kunnen inspelen. Daarnaast wil ik de audit universe beter structureren en de reikwijdte van onze adviesfunctie beter afbakenen: hoe houden we in onze advisering een goede balans tussen de harde en zachte aspecten van kwaliteit zonder op de stoel van een ander te gaan zitten? Hoe ver moeten en willen we daarin gaan? Ook hoop ik de komende jaren steeds zichtbaarder de impact te gaan zien van onze keuzen.”

Nog meer?

“Verder wil ik volgend jaar een stagiair een volwassenheidsmodel voor onze afdeling laten invullen om te zien waar ons verbeterpotentieel zit. Dit gaat ons hopelijk helpen bij het finetunen van onze rol bij het vergroten van de risicovolwassenheid van de organisatie. Ik zie dit als twee mooie doelen voor volgend jaar. De genoemde ontwikkelthema’s sluiten overigens aan bij thema’s die spelen bij auditfuncties van andere hogescholen. Daarom proberen we ook actief van elkaar te leren door twee keer per jaar bij elkaar te komen.”

“Het gebruik van AI moet op een veilige manier en daarvoor zijn eerst bepaalde randvoorwaarden nodig. Als team zijn we nu niet in de fase om hierop in te spelen”

Jullie organiseerden onlangs een Rotterdamse netwerksessie. Waarom?

“Ik ben een groot voorstander van kennisdeling. Daarom hebben we een netwerksessie georganiseerd voor tweede- en derdelijnsfunctionarissen van (semi)publieke organisaties in de regio Rotterdam. Het thema was impact maken. Ook hebben we in januari 2024 weer een sessie georganiseerd met het auditnetwerk van de hogescholen. In deze netwerksessie met hetzelfde thema bespreken we ook hoever je kunt en moet gaan met je adviesfunctie.”

Wat is er uit deze sessie gekomen? Wat is u het meest bijgebleven?

“Dat iedereen in verschillende organisaties werkt, maar wel tegen dezelfde uitdagingen aanloopt. Natuurlijk is niet voor alle problemen dezelfde oplossing mogelijk; het is erg contextafhankelijk, omdat elke situatie weer verschillend is. Toch is het waardevol om te horen waar mensen in het riskmanagement- en auditproces tegenaan zijn gelopen en hoe zij daarmee zijn omgegaan.”

Waar ligt wat u betreft nog ontwikkelpotentieel voor onze sector?

“Auditors hebben beroepstrots en zijn ook terecht trots op de kwaliteit die ze leveren. Ik zie daar zoveel mooie voorbeelden van. Zij gaan er daarmee soms weleens aan voorbij dat op andere plekken binnen de organisatie ook kundig onderzoek wordt uitgevoerd waar ze niet altijd kennis van hebben. Dat is zonde. Juist in het samenbrengen van controle-, monitoring- en auditwerkzaamheden zit meerwaarde. Juist zo creëren en beschermen we waarde voor onze stakeholders.”

Is er nog iets wat u de lezer wilt meegeven?

“De rol van interne audit, compliance en risk management is mijns inziens steeds belangrijker voor de verdere ontwikkeling en het succes van hogescholen in ons Nederland in transitie. Het is een dynamisch en evoluerend vakgebied binnen de onderwijssector, en ik kijk ernaar uit om samen met ons team en andere instellingen in de sector te blijven leren en bouwen aan sterke, veerkrachtige en kwaliteitsgerichte hogescholen. In lijn met de principes van onze nieuwe beleidsagenda, Talent voor transitie, geloof ik dat samenwerking en voortdurende ontwikkeling essentieel zijn om de uitdagingen van morgen aan te gaan. We nodigen de lezer van harte uit om hieraan bij te dragen: altijd welkom op Hogeschool Rotterdam!”