“Een kleine IA is geen beperking maar juist een kans!”
Pas op de plaats is een rubriek waarin auditors van kleine auditdiensten aan het woord komen. Dit keer Carline Hollemans, senior interne auditor bij levensverzekeringsmaatschappij Onderlinge ’s-Gravenhage (OG).
Kunt u iets over OG vertellen?
“Ik ben in november (2020) gestart bij de internal auditafdeling van OG. OG is een kleine, regionale onderlinge levensverzekeringsmaatschappij. Binnen internal audit werk ik met één andere collega (ongeveer twee fte). Mijn collega is afgelopen zomer begonnen, dat betekent dat wij allebei redelijk nieuw zijn in het bedrijf. In totaal werken ongeveer 120 mensen bij OG, inclusief wat externe inhuur. Ik denk dat twee fte prima past voor de internal auditafdeling. Met één fte moet je er veel omheen regelen, maar meer dan twee is niet nodig. De tweede lijn bestaat uit ongeveer drie fte. Dit omvat compliance, operational risk management en financial risk management in combinatie met de actuariële functie.”
Hoe kijkt u terug op uw eerste jaar?
“Dat was best een lastige start vanwege de beperkingen in verband met corona, maar ook doordat mijn naaste collega binnen een paar weken na mijn start zelf vertrok. Gelukkig was de interim-auditmedewerker beschikbaar die al twee jaar bekend is binnen OG, aan hem heb ik veel gehad. Hij kende de organisatie goed. Daarnaast kon ik nieuwe collega’s niet persoonlijk ontmoeten omdat nagenoeg iedereen thuis werkte. OG heeft iedereen aangemoedigd om elkaar buiten te ontmoeten. Ik heb dat ook gedaan door met collega’s kennis te maken tijdens een wandeling op het strand, in de stad of in de natuur. Dat was erg leuk en heeft me geholpen met het integreren in de organisatie en het inpassen in de bedrijfscultuur. Toen de zon weer meer ging schijnen, ben ik vanaf de lente meer naar kantoor gegaan om zo de organisatie en mijn collega’s nog beter te leren kennen. Je wordt geen onderdeel van de organisatie als je je collega’s niet persoonlijk ontmoet.”
Hoe zijn jullie gepositioneerd binnen OG?
“We vallen direct onder de directie en hebben een lijn naar de raad van commissarissen. Een aantal keer per jaar hebben wij overleg met de auditcommissie en het risk committee (ACRC). We bespreken daar onze kwartaalrapportages. Dit is een verslag van de uitgevoerde werkzaamheden, bijzondere bevindingen die wij hebben gedaan, kort de uitkomsten van audits die wij hebben uitgevoerd en we rapporteren dan over de status van actiepunten uit eerdere audits. Daarnaast hebben we een jaarrapportage wat feitelijk een optelling van de eerdere drie kwartaalrapportages is, aangevuld met de rapportage over het vierde kwartaal. De ACRC bestaat uit vertegenwoordiging van de raad van commissarissen en de directie, waar risk management, compliance en internal audit, afhankelijk van het onderwerp, aanschuiven.”
“Ik ben van oorsprong RE, dus als er IT-audits zijn voer ik die uit. Mijn collega is RA, hij richt zich op de meer financieel gerelateerde audits uit”
Waar bestaan jullie werkzaamheden voornamelijk uit?
“Onze audits bestaan vooral uit operationele- en IT-audits. Ik ben van oorsprong RE, dus als er IT-audits zijn voer ik die uit. Mijn collega is RA, hij richt zich op de meer financieel gerelateerde audits uit, maar wij doen geen echte financial audits. Mocht er een onderwerp zijn waar wij onvoldoende verstand van hebben dan hebben wij de optie om extern in te huren. Dat kunnen we bijvoorbeeld ook doen voor externe reviews op onze auditdossiers. Maar op dit moment dekken wij samen alle onderwerpen af en reviewen we elkaars dossiers. We hebben allebei ruime en brede werkervaring, dus we redden ons heel goed op dit moment.”
Jullie voeren dus geen werkzaamheden voor de jaarrekening uit?
“We doen geen begeleiding bij jaarrekeningcontroles of risk-managementactiviteiten, maar voeren puur het jaarplan uit voor OG en tevens voor herverzekeringsmaatschappij De Hoop (een deelneming van OG). De Hoop heeft de internal auditwerkzaamheden namelijk uitbesteed aan OG. Voor OG voeren we per jaar ongeveer tien á vijftien audits uit. Ongeveer 10% van de auditcapaciteit wordt besteed aan De Hoop. De afdeling is sinds 2019 IIA-gecertificeerd en we investeren veel tijd in het op peil houden van deze certificering en onderhouden het kwaliteitssysteem als geheel.”
Hoe stelt u het jaarplan op?
“In juni 2021 zijn we begonnen en hebben een rondje langs alle managers, adjunct-directeuren en sleutelfuncties gemaakt. We hebben met hen op basis van het audit universe uitvoerige gesprekken gevoerd om een beeld te krijgen waar zij en wij de risico’s zien voor OG. Omdat wij bij internal audit allebei nieuw waren, hebben wij relatief veel tijd aan de risicobeoordeling besteed. Ook om zelf goed te begrijpen wat elke afdeling exact doet. Dat was na een aantal reorganisaties de afgelopen jaren niet altijd even duidelijk. Daar hebben we ook de vraag gesteld wat wij zouden kunnen auditen dat helpt om in de toekomst inzicht en overzicht te krijgen. Op basis van al die gesprekken hebben wij een long list samengesteld met onderwerpen die wij zouden kunnen auditen. Hierbij hebben we rekening gehouden met het meerjarenplan dat er ligt, waarin een aantal verplichte onderwerpen zijn opgenomen. Bijvoorbeeld de ORSA (own risk self assessment) die wij verplicht elk jaar auditen.”
Hoe hebt u keuzen gemaakt in het auditplan?
“Doordat we het audit universe goed in beeld hebben, hebben we een gedegen risicoanalyse uitgevoerd waaruit het meerjarenplan is ontstaan, en konden we daarna keuzen maken voor het jaarplan. Hierbij hebben we goed gekeken naar de onderwerpen waar nog nooit een audit op is uitgevoerd. OG heeft vorig jaar nieuwe dienstverlening in huis gehaald, wat voor nieuwe auditonderwerpen zorgt, zowel technisch als organisatorisch. Wij gaan ons dit jaar in de uitvoering van het jaarplan daarom ook richten op die nieuwe dienstverlening, om te kijken in welke mate sprake is van beheerste bedrijfsvoering, een van de pijlers binnen OG.”
Voeren jullie met name audits uit of advieswerkzaamheden?
“We voeren weleens een adviesopdracht uit, maar het meeste is toch echt auditwerk.”
Trekken jullie veel op met de tweede lijn?
“Ja, dat doen we zeker. We hebben minstens één keer per maand ons sleutelfunctieoverleg waarin we elkaar bijpraten. En we delen rapportages met elkaar, zodat iedereen van elkaar weet wat er speelt. Die samenwerking proberen we goed te benutten.”
“Wij hebben een eigen verantwoordelijkheid in wat wij doen en hoe we dat doen. Wij hebben geen manager en alle werkzaamheden worden in goed overleg uitgevoerd. Ik vind dat erg prettig”
Wat ziet u als verschil met grotere organisaties?
“Je bent in een kleine organisatie meer op elkaar aangewezen. Ook bij het uitvoeren van audits merk ik dat je vaak met dezelfde personen praat, omdat er simpelweg niet zoveel mensen in de organisatie werken.”
Waar hebt u gewerkt voor OG?
“Ik werk nu acht jaar als auditor, waarvan het merendeel als extern IT-auditor bij Mazars en Qbit. Daarvoor heb ik bij andere bedrijven zoals MN en Deloitte gewerkt in andere functies aan de IT-kant, zoals projectmanager, procesbeheerder en directieadviseur. Juist die werkervaring is erg nuttig in mijn huidige werk als auditor, omdat ik ook aan de andere kant van de tafel heb gezeten.”
Merkt u dat uw IT-kennis goed van pas komt bij OG?
“Ja absoluut. Bijvoorbeeld het nieuwe platform dat OG recentelijk heeft overgenomen is volledig op IT-gebaseerd. We zetten veel meer in op IT en de digitale achtergrond, ondanks dat onze doelgroep wat ouder is en daardoor sommige zaken nog steeds op papier gaan. We werken volledig in de cloud en wat digitaal kan dat doen we digitaal.”
Wat ziet u als grootste kansen van een kleine auditafdeling?
“Wij hebben een eigen verantwoordelijkheid in wat wij doen en hoe we dat doen. Wij hebben geen manager en alle werkzaamheden worden in goed overleg uitgevoerd. Ik vind dat erg prettig. Mijn collega en ik hebben meer dan genoeg werkervaring om daar zelf goede afwegingen in te maken. Voor mij is het klein zijn qua fte geen beperking, maar juist een kans! Als we qua capaciteit tekort zouden komen, hebben we altijd de ruimte om externe specialisten in te huren.”
Wat is het leukste om te auditen?
“Het leukste is om nieuwe onderwerpen te auditen, zoals de nieuwe producten die wij nu aanbieden of andere onderwerpen waar nog nooit een auditor naar heeft gekeken. Daar liggen de grootste kansen om toegevoegde waarde te leveren. Als je altijd al het naadje van de kous wilt weten, dan is dat ook het leukst om te doen. Veel leuker dan een audit die al vijf keer eerder is uitgevoerd.”
Over
Carline Hollemans is opgeleid als IT-auditor en heeft bij verschillende grote bedrijven ervaring opgedaan. Enkele jaren geleden maakte ze de overstap naar internal audit. Sinds december 2021 is zij commissielid bij het IIA van de PAS. Hollemans hoopt dit jaar haar RO-studie af te ronden.
Reacties (0)
Lees meer over dit onderwerp:
“Zoek elkaar op en deel je uitdagingen”
Pas op de plaats is een rubriek waarin auditors van kleine auditdiensten aan het woord komen. Dit keer Jan Rodenburg, hoofd Interne Audit bij Saxo Bank MER.
Lees meer"Voel je vooral niet klein"
Diederik Geerits, hoofd Audit & Risk bij Nederlandse Loterij over de mooie kanten en uitdagingen van een kleine auditdienst gecombineerd met een riskfunctie.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.