“Voel je vooral niet klein”

Pas op de Plaats is een rubriek waarin auditors van kleine auditdiensten aan het woord komen. Dit keer Diederik Geerits, hoofd Audit & Risk bij Nederlandse Loterij over de mooie kanten en uitdagingen van een kleine auditdienst gecombineerd met een riskfunctie.

Vertel eens over de interne auditfunctie (IAF) van Nederlandse Loterij

“De IAF van Nederlandse Loterij is een onderdeel van de afdeling Audit & Risk. De afdeling Audit & Risk bestaat uit twee auditors, twee risk officers en een afdelingshoofd. Ik streef naar diversiteit in achtergrond bij de medewerkers. Zo hebben we een medewerker met een IT-auditachtergrond, een medewerker met een financial auditachtergrond en een medewerker met een achtergrond als controller. Hierdoor zijn we complementair aan elkaar. De risk officers adviseren, faciliteren en ondersteunen de business met het beheersten van bestaande en nieuwe risico’s. De IAF heeft tien jaar geleden al het IIA Kwaliteitscertificaat ontvangen. Dit was toen nog de IAF van Nederlandse Staatsloterij, voor de fusie met De Lotto (2016). Begin 2020 heeft de IAF het kwaliteitscertificaat opnieuw ontvangen, ditmaal als IAF van Nederlandse Loterij.”

Welk type onderzoeken voert de IAF uit?

“We voeren vooral operational/proces audits uit. In deze audits is IT altijd een onderdeel van de scope en sluiten we aan bij de ontwikkelingen die relevant zijn voor Nederlandse Loterij. We zien steeds meer een verschuiving naar online. Dit neemt waarschijnlijk verder toe met de invoering van de nieuwe Wet kansspelen op afstand, die het mogelijk maakt een vergunning te krijgen voor het aanbieden van online kansspelen. Hierdoor krijgen overigens ook buitenlandse aanbieders de kans om toe te treden tot de Nederlandse markt. Naast de reguliere audits met als scope de primaire processen, zoals deelname, trekking en prijsuitbetaling, kijken we ook naar zaken als governance, incidentenafhandeling en responsible gaming. Ook voeren we quality assurancewerkzaamheden uit bij een aantal projecten.
Waar het werk van de auditors, op basis van het auditjaarplan, redelijk gestructureerd verloopt, hebben de risk officers wat meer te maken met ad-hocwerkzaamheden. We proberen dat zo te sturen, onder andere door middel van een Kanbanbord (agile manier van werken), dat de werkzaamheden worden geprioriteerd en vervolgens zo goed mogelijk over het hele team verdeeld worden. Ik vind het belangrijk dat we als één team opereren en zo het werk van elkaar kunnen opvangen. Uiteraard voeren wij audits die de riskfunctie raken niet zelf uit, daar huren we een onafhankelijke partij voor in.
Daarnaast huren wij ook derden in als het om specifieke kennis gaat. Dit heeft vaak betrekking op kennis die we nodig hebben bij grote projecten en programma’s. Hiervoor maken we vooral gebruik van de diensten van de Big Four, ook bijvoorbeeld met betrekking tot onze jaarlijkse rapportage aan onze toezichthouder (de Kansspelautoriteit).”

Welk effect heeft corona op jullie werkzaamheden?

“Organisatiebreed is het best goed gegaan. We hebben de IT-capaciteit opgeschaald, zodat bijna alle medewerkers prima konden thuiswerken. Daarnaast hebben we meer dan voldoende ruimte op kantoor om de gewenste afstand te kunnen garanderen voor de mensen die er toch moeten zijn. Veel medewerkers stonden na de zomer weer te springen om naar kantoor te gaan, maar helaas heeft de tweede golf voorlopig roet in het eten gegooid.
Het uitvoeren van audits ‘op afstand’ is overigens niet ideaal en dan met name niet bij het afnemen van interviews. Je mist toch de dynamiek van het gesprek. Maar ondanks dit soort kleine minpuntjes, gaat het eigenlijk best goed en loopt alles gewoon door. Verder hebben we in het begin van de coronacrisis een leveranciersscan uitgevoerd om vast te stellen in hoeverre de continuïteit van onze dienstverlening geraakt zou kunnen worden. Ook is risk onderdeel van het crisisteam.”

Met welke uitdagingen krijg je als kleine IAF te maken?

“De grootste uitdaging is het juist inzetten van de schaarse capaciteit. Je kunt niet op alles ‘ja’ zeggen. Het is belangrijk om voor het auditjaarplan een goede risicoanalyse uit te voeren en de uitkomsten te bespreken met de directie en de raad van commissarissen. Het auditjaarplan moet wel een bepaalde mate van flexibiliteit hebben om in te kunnen spelen op actuele ontwikkelingen. Tevens is specifieke kennis een uitdaging. Je kunt als kleine IAF niet alle kennis in huis hebben. Daarom huren we als het nodig is specifieke kennis in.”

Hoe vindt kwaliteitsborging plaats?

“Voor de borging van kwaliteit hebben we procedures opgesteld. We werken met digitale documenten en voeren peer reviews uit op onze werkzaamheden. We maken  geen gebruik van een audit tool, dus niet alles wordt hard afgedwongen. Verder is het dan ook een kwestie van discipline, elkaar scherp houden en kritisch blijven. Uiteraard was het prettig om begin dit jaar het IIA Kwaliteitscertificaat te ontvangen als bevestiging van de kwaliteit van de IAF.”

Algemene informatie
Aantal fte organisatie: 300
Aantal fte IAF: 5
Rapporteert aan: CEO

Hoe blijft u op de hoogte van actuele ontwikkelingen?

“Doordat wij medewerkers hebben met verschillende achtergronden (RA/RE/RC/CIA/AA) blijven wij op de hoogte van informatie uit de verschillende beroepsorganisaties, zoals het IIA. Daarnaast hebben we allemaal onze netwerken, trainingen en nieuwsbrieven, maar vooral een intrinsieke interesse in wat er allemaal speelt en gaat spelen. Ook wordt er jaarlijks een congres over nieuwe ontwikkelingen georganiseerd door de World Lottery Association en European Lotteries. Met betrekking tot de interne ontwikkelingen blijven we op de hoogte doordat we in veel overleggen zitten en veel praten met alle afdelingen van Nederlandse Loterij, ook om onze rol van businesspartner goed te kunnen uitvoeren.  Het helpt dat onze organisatie relatief ‘plat’ is.”

Welke adviezen hebt u voor andere kleine IAF’s?

“Voel je vooral niet klein! Kleine IAF’s kunnen juist veel toegevoegde waarde leveren. Staar je daarbij ook niet blind op alleen het geven van assurance. Juist door het geven van ‘insights’ kun je ook als kleine IAF enorm waardevol zijn voor je organisatie.”

Wat is de ambitie van de IAF op de langere termijn?

“Ik vind het belangrijk dat wij binnen de organisatie als dé expert worden gezien op het gebied van interne beheersing en risicomanagement. We willen de trusted advisor en businesspartner zijn, waarbij wij de organisatie helpen de risico’s te beheersen, elke dag weer een beetje meer.”