ARC (vak)praat met... Berry Kok, Manager Risk & Internal Audit bij Bijenkorf

Om de ontwikkelingen in ons vakgebied nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? In het eerste gesprek in deze serie praten we met Berry Kok, momenteel Manager Risk & Internal Audit bij de Bijenkorf en per 1 oktober Manager Risk & Internal Audit bij HEMA.

Toen ik begon bij de Bijenkorf waren risicomanagement en internal audit al samen belegd, al werd het internal audit genoemd. Het kwam er dan ook voornamelijk op neer dat 90% van de tijd werd besteed aan vrij traditionele audits en 10% van de tijd aan het bijhouden van en rapporteren van risico-registers. Het onderdeel zijn van een familiebedrijf dat niet beursgenoteerd is, biedt mogelijkheden om iets flexibeler om te gaan met de scheiding tussen tweede- en derdelijns en werkzaamheden. 

Risk en audit zijn communicerende vaten. Ze bieden input aan elkaar. Zo geven risk assessments input bij opstellen van een riskbased internal audit jaarplan en sturing aan de scoping van audits. En aan de andere kant bieden resultaten van audits inzichten in risico’s die nog niet op de radar van het management stonden en goede input voor het kwantificeren van (rest)risico’s. Het combineren biedt wat mij betreft dus alleen maar voordelen. Een aandachtspunt is wel dat ik nog twee keer per jaar verantwoording afleg over hoe ik mijn onafhankelijkheid blijf borgen. Er is hiervoor een aantal maatregelen ingeregeld, zoals werken in tweetallen, peer reviews in het team en ook vanuit het hoofd audit in de UK.

Ik schat in 75% risk en 25% audit. De balans is sinds mijn komst in 2018 aardig omgeslagen.

Los van voor de hand liggende uitdagingen, voortkomend uit de coronapandemie (bijv. sluiting winkels en enorme shift naar online sales), blijft het uitdagend om continu je servicepropositie te vernieuwen, je klanten online en offline te verrassen, maar ook continu te groeien binnen Nederland en Europa. De concurrentie klopt altijd aan de deur, dus je moet de basis op orde hebben, een sterke visie, strategie en beleid hebben, en gezamenlijk vooruit kijken. En ook niet onbelangrijk, de juiste mensen om te groeien. Krapte op de arbeidsmarkt speelt iedereen parten.

Op alle vlakken binnen de organisatie moet de basis op orde zijn. Deze basishygiëne zetten wij, waar nodig, samen met de business neer, of monitoren wij door middel van audits, quickscans, self assessments en data-analyses. Als je huis op orde is, kun je vooruit kijken en de wijde wereld in trekken. 

In de praktijk betekent dit zoal dat wij de lead hebben genomen in het opstellen van een herziende cyber strategie en social media strategie, het opstellen van een bedrijfsspecifiek data governance model en bijhouden van project riskregisters voor onze internationale expansie naar Duitsland, Oostenrijk en Frankrijk. Maar we hebben dus ook assurance geboden over de basishygiëne, zoals key financial controls en ons veiligheid & gezondheidsbeleid.

Het nemen van de lead is hier in de vorm van het initieren van workshops en brainstormsessies. Verder geven wij aan wat wij verwachten in een dergelijke strategie. Wij nemen geen verantwoordelijkheid maar jagen aan en gebruiken onze tools, templates en kennis (van cyber security) om deze strategieën te bepalen. En zorgen dat de belangrijkste risico’s zijn afgedekt. Met een risicobril helpen wij de business de goede dingen te doen.

Uiteraard doen we ook ‘gewoon’ ERM. Ik wil ervoor waken om te denken in hokjes van internal audit, risk of assurance. Het draait om wat de business nodig heeft.

Concreet door a) samen de uitdagingen aan te gaan, zoals met de voorbeelden hiervoor geschetst en b) zaken simpel te houden. Je moet aantonen dat iets relevant is en niet met termen smijten. Noem het storytelling: geef concrete voorbeelden van wat een risico voor hen betekent of liever, die ze al meegemaakt hebben dus zaken benoemen in hun belevingswereld. En c) Positiviteit en vooruitkijken. Benoem niet alleen wat er fout is, maar vooral ook wat er goed is en wat er is verbeterd ten opzichte van vorige keer. En focus op opportunities i.p.v. alleen risico’s. Dit is uiteraard ook makkelijker als je je meer focust op risk dan op audits.

We hebben recent bijvoorbeeld bedrijfskritieke datasets, zoals klant- en medewerkersdata, beoordeeld aan de hand van een zelfgebouwd maturitymodel. Dan stel je met de business vast dat je bijvoorbeeld op niveau 2 zit en dat je naar niveau 4 wilt. Hiermee bied je positive assurance maar je helpt de business ook vooruit door te laten zien wat er moet gebeuren om daar te komen. 

Samenvattend: als we niet kunnen uitleggen wat de toegevoegde waarde is van wat we gaan doen, dan doen we het niet of passen we het aan.

En uiteraard gelden de randvoorwaarden dat je je relaties moet managen, je moet altijd je afspraken nakomen: zeggen wat je doet en doen wat je zegt. Gebruik gezond pragmatisme: de objectieve kameleon, aanpassen waar nodig, maar rug recht houden.

Zorg dat je zo veel mogelijk betrokken bent bij strategische en high impact projecten. Uiteraard in de vorm van support maar geen ownership. In het verlengde daarvan: link risico’s zoveel mogelijk aan strategische doelstellingen en de vision & purpose van de organisatie. En zorg dat de basis aantoonbaar op orde is. Dat zorgt voor rust bij de directie.

En verder maken we meetbaar wat we doen via key success indicators. Dit staat los van de crisistijd overigens. Denk aan hoe lang auditissues openstaan; we zijn niet verantwoordelijk voor het oplossen ervan maar wel voor het aanjagen van het oplossen daarvan. En dat krijg je ook door met de business hierover te sparren. Dit rapporteren we aan de directie en hoofd audit in Engeland. Hier heeft niemand overigens om gevraagd maar dit willen we zelf. De toegevoegde waarde aantonen lukt ook anders zouden we nooit mogen groeien van 2 fte naar 7 fte. Dat doen we bijvoorbeeld ook door aantoonbaar te maken hoe we fraude beheersen via frauderapportages. En tegenwoordig evalueren we ook formeel onze projecten.

Ik denk aan 2 zaken. Eén zijn de emerging risk workshops: hoe zorgen we er voor dat risico’s al op de kaart staan voordat ze relevant worden? Dat doen we door te kijken naar onderwerpen die bij andere sectoren of in andere werelddelen al spelen en kijken vervolgens of dit ook bij ons kan gaan spelen. Het zijn niet zozeer nieuwe risico’s, maar wel voor ons. We kijken dan vanuit thema’s zoals klimaatverandering, verzekeringen of supply chains: welke risico’s spelen nu, welke over een jaar en welke over 3 jaar en welke impact kan dat voor ons hebben?

Het tweede is forward looking (data driven) insights. Hier extrapoleren we data, in samenwerking met de business (bijvoorbeeld BI en fraude teams), op basis scenario’s – zou er een probleem kunnen komen? Denk bijvoorbeeld aan het scenario met een specifieke groei in het buitenland en welke fraude je daar verwacht op basis van je huidige cijfers en benchmarkcijfers van andere partijen. Op basis daarvan kun je monitoren en ook bepalen of het zinvol is om extra personeel aan te nemen om de fraude te voorkomen.

Ik denk niet echt in audit of risk. Overall zie ik weinig innovatie of echte doorbraken. Het is veel van hetzelfde. We praten al járen over soft controls, data analytics etc. Maar what’s new? 

Verder verwacht en zie ik integratie van lines of defense: we moeten minder panisch en meer praktisch doen hierin. 

Ander punt is ESG en sustainability (als onderdeel van ESG) wat een breed/overkoepelend onderwerp is. Governance is al redelijk uitgekauwd. Environmental bestaat al even en begint aardig ingeburgerd te raken. Social is toch wat meer new kid on the block voor ons vakgebied. Daar zullen we ons als vakgebied meer in moeten ontwikkelen.

Dat klopt. Het helpt dat we niet in de financiële sector zitten en dat we eigenaren hebben die gewoon toegevoegde waarde willen zien van een afdeling als de onze. Maar toch kan ook een audit of risk in de financiële sector meer de kant op van het geven van insight.

We moeten met z’n allen (blijven) werken aan de perceptie van Internal audit. Als je niet uitlegt wat je doet, weet ook niemand het. Ik denk dan aan meer vooruitkijken en meedoen, in plaats van terugkijken en vaststellen wat anderen al weten.

Verder ben ik voor het stoppen met het gebruiken van buzzwords zoals analytics, AI, machine learning, agile auditing, soft controls en gewoon het boerenverstand toepassen.

Je bent met alle facetten van de business bezig, met alle lagen van de onderneming, over systemen, processen en mensen en je kan je overal tegen aan bemoeien. Als mensen vragen wat ik doe, dan kan ik een heel breed scala aan onderwerpen noemen: social media, data governance, cybersecurity roadmap, lunch met directie. Het werk is zo divers. Ik heb het elk uur over iets anders. Welke functie kan dat nu zeggen? En door ook risk advisory te doen kun je ook verandering bewerkstelligen. Wij helpen met de strategie. We gaan verder dan de assurance bieden. Je ziet de verbeteringen. 

Berry heeft bedrijfskunde gestudeerd en is vervolgens in 2009 gestart bij Deloitte in het onderdeel Risk Services, waar de dienstverlening rondom risk samenkomt (IT audit, internal audit, risk management etc.). Hij heeft bij Deloitte verschillende opdrachten in binnen- en buitenland gedaan in allerhande branches. In het begin van zijn carrière lag de focus op IT audit (heeft een RE-gevolgd), maar is daarna snel in de wereld van internal audit en risk management beland, en zo ontwikkeld tot een allrounder. 

Sinds september 2018 is Berry werkzaam bij de Bijenkorf. Het Risk & Internal audit team van de Bijenkorf (7FTE) is onderdeel van een breder internationaal team binnen Selfridges Group Audit & Risk (20FTE). De Bijenkorf is onderdeel van Selfridges Group, eigendom van de Weston familie uit Canada, een familiebedrijf met focus op retail en food (zoals Loblaw en diverse warenhuizen in Canada, Ierland, Engeland en Nederland). Per 1 oktober 2021 maakt Berry de overstap naar HEMA, waar hij ook verantwoordelijk wordt voor gecombineerd Risk & Internal audit.