Zeven innovatieve concepten die internal audit professionaliseren
Heineken heeft dit jaar de Internal Audit Innovation Award (IAIA) in de wacht gesleept. Met de inzet van Robotic Process Automation en data-analyse voor betere fraudedetectie versloeg de bierbrouwer de overige finalisten – ABN AMRO 1, ABN AMRO 2, Arcadis, DELA, het Ministerie van Financiën en Wessanen.
De IAIA werd dit jaar voor de vierde keer georganiseerd door Protiviti en IIA Nederland. De prijs werd in het leven geroepen vanuit de gedeelde ambitie om internal audit als vakgebied verder te helpen. De volgende zeven finalisten presenteerden hun vernieuwingen op het gebied van internal audit.
ABN AMRO 1 - Agile auditen en agile presenteren
ABN AMRO nam met twee teams deel aan de wedstrijd. Het eerste team presenteerde een innovatie die al helemaal geïntegreerd is. In een steeds meer agile werkende organisatie besloot de internal audit afdeling dat het tijd was de principes van agile ook tot uiting te laten komen in zowel de audit zelf – die nu ook in sprints wordt uitgevoerd – als in de presentatie daarvan. De afdeling merkte dat de impact van de uitkomsten van de audits voorheen vaak tegenviel, en zet agile nu in om hier verandering in te brengen. Verschillende groepen stakeholders – die eerst gescheiden de resultaten te horen kregen – worden nu bij elkaar gebracht en via posters op de muur uitgedaagd om met elkaar de dialoog aan te gaan over de auditbevindingen, en zo met nieuwe ideeën te komen.
ABN AMRO 2 - ‘Gepoold’ auditen van cloudleveranciers
Het tweede team van ABN AMRO presenteerde een initiatief dat nog in de kinderschoenen staat, voor een ‘gepoolde’ audit op cloudleveranciers. Organisaties brengen steeds meer gegevens onder in de cloud. Maar hoe weet je dat de cloudleverancier zich aan de regels houdt en kwaliteit levert? Terwijl er certificaten zijn, is het soms goed om dieper te kijken. Een grote leverancier als Microsoft heeft echter wel 100.000 klanten. Moeten die dan allemaal zelf een interne audit uitvoeren? ABN AMRO is nu een van de leidende partners van een gepoolde-audit waarin meerdere bedrijven samen de cloudleverancier auditen. Omdat dit nog geheel nieuw terrein is, moesten er vele werkafspraken worden gemaakt omtrent zaken als privacy, verantwoordelijkheden en juridische aspecten. Het initiatief bevindt zich nog in een beginstadium, maar – in een toekomst waarin de cloud steeds belangrijker wordt – lijkt de impact groot.
Arcadis - Continuous Control Monitoring met GRC-tools
Advies- en ingenieursbureau Arcadis heeft door zijn vele M&A-activiteiten een gefragmenteerd organisatielandschap, wat de interne audit tot een extra grote uitdaging maakt. Om voor meer uniformiteit te zorgen, gebruikt het auditteam nu de Governance, Risk and Compliance (GRC) oplossing van ERP-gigant Oracle. De tool maakt gebruik van Oracle's standaardtoepassing voor Segregation of Duties (SoD), waaraan vervolgens de per locatie variërende Arcadis-regels aan zijn toegevoegd. Zo ontstaat er een harmonisering van de verschillende afdelingen in de vele landen waarbinnen het bedrijf actief is, waarbij tegelijk rekening wordt gehouden met de verschillende regels en wetten die in de landen van toepassing zijn. Het systeem monitort nu meer dan 11.000 gebruikers en 64.000 verschillende verantwoordelijkheden binnen de SoD blueprint.
DELA - Auditresultaten presenteren met storytelling
Terwijl het team van uitvaartverzekeraar DELA vaak erg tevreden was over de resultaten van de net uitgevoerde audit, kwam de presentatie van de resultaten vervolgens toch slecht uit de verf. Het gevolg hiervan was dat de gehoopte verandering vaak uitbleef. De auditors realiseerden zich dat verandering niet teweeg wordt gebracht met een mening, maar met voorbeelden, en besloten op basis van dit inzicht de auditrapportage drastisch om te gooien. In plaats van droge resultaten te presenteren, wordt er nu met storytelling een verhaal geschetst waarin een duidelijke boodschap wordt overgebracht. En met succes, aldus de auditors: waar verandering eerst uitbleef, worden bestuurders nu geïnspireerd om iets te doen met de boodschap die in de verhalende rapporten naar voren komt.
Heineken - Robotics gecombineerd met advanced analytics
De internal audit van Heineken beschikt over een data analytics-team, dat inmiddels ruim honderd audits heeft uitgevoerd. Tijdens de IAIA presenteerde het team een Robotic Process Automation (RPA)-toepassing voor de audit op reisvergoedingen. Deze wordt acht keer per jaar uitgevoerd en betekende voorheen altijd intensieve en tijdrovende handenarbeid, waarbij stapels aan bonnetjes moesten worden gecontroleerd. Nu wordt RPA toegepast, in combinatie met geavanceerde optical character recognition (OCR)-software, waarmee geschreven en getypte bonnetjes in allerlei talen kunnen worden gelezen. De info komt dan allemaal terecht in een database en wordt geanalyseerd, mede aan de hand van mogelijk verdachte zoektermen als ‘club’, ‘party’ en ‘massage’. Zo wordt de detectie van fraude niet alleen versimpeld, maar vooral ook verbeterd.
Ministerie van Financiën - Auditen en presenteren met visuals
De Auditdienst Rijk, onderdeel van het Ministerie van Financiën, gebruikt visuals – zowel tijdens de audit zelf als bij de presentatie van de resultaten – om het auditproces effectiever te maken. Visuals worden nu onder meer ingezet bij de audit op het gebied van kennisdeling. Aan de hand van meer dan twintig factoren binnen drie dimensies – sociale, organisatorische en technische factoren – worden mensen gevraagd om visueel feedback te geven. Het gebruik van visuals zorgt er onder meer voor dat mensen actiever meedoen, nieuwsgieriger zijn, snel denken en reageren, makkelijker communiceren en beter overzicht houden.
Wessanen - Process mining in internal audit
Biologisch voedingsmiddelenbedrijf Wessanen – onder meer bekend van Zonnatura – neemt deel aan de competitie met een geavanceerde process mining-toepassing die vele nieuwe inzichten oplevert over de huidige manier van werken binnen de organisatie. De tool wordt gekoppeld aan de digitale SAP-omgeving waarmee binnen Wessanen wordt gewerkt, zodat het mogelijk is een fact-based analyse uit te voeren over een complete set aan data – in plaats van een steekproef – en zo de verschillende werkprocessen goed in kaart te brengen. Voor de analyse werd anderhalf jaar aan data gebruikt aan de hand waarvan kon worden gekeken waar verbeteringen nodig en/of wenselijk zijn. Op deze manier kan internal audit bijdragen aan continu verbeteren.
En de winnaar is...
Na de zeven pitches had de jury de moeilijke taak om uit de vernieuwende concepten een winnaar aan te wijzen. Hierbij keken ze met name naar drie elementen: (1) innovatiekracht en creativiteit, (2) relevantie voor de internal audit, en (3) bruikbaarheid voor andere auditfuncties. Na een half uur in beraad te zijn geweest, kwam het verlossende woord, bij monde van juryvoorzitter Jantien Heimel, Hoofd Internal Audit bij Nuon/Vattenfall en Voorzitter van IIA Nederland: “De winnaar vandaag is Heineken. Gebruikmakend van een combinatie van technologieën wordt hier een huidig probleem opgelost en het werk leuker gemaakt. Jullie team wilde niet hetzelfde werk keer op keer opnieuw doen en jullie bedachten een innovatieve oplossing.” Daarnaast wees ze op de betrekkelijk lage ontwikkelkosten, waarmee de toepassing ook door andere auditafdelingen relatief makkelijk kan worden geïmplementeerd.
Terwijl de overige finalisten de hoofdprijs zijn misgelopen, benadrukt Heimel tot besluit hoezeer de jury heeft genoten van alle zeven presentaties: “Ik denk echt dat dit het leukste evenement is van het jaar, waarbij je veel energie krijgt door het zien van al deze geweldige initiatieven.” IIA Nederland en Protiviti voegen daar nog aan toe dat ze hopen “volgend jaar nóg meer innovatieve ideeën te zien”.