Ongenoegen = imagoschade
Aanbieders van televisie, internet en telefonie, waaronder Ziggo, hebben de laatste jaren te maken met snelle technologische veranderingen. Wat betekent dit voor de internal audit van Ziggo?
Dit artikel is verschenen in Accountant nr. 4, 2013
Bekijk alle artikelen uit dit nummer
In Nederland is Ziggo, als aanbieder van televisie, internet en telefonie, met ongeveer drie miljoen aangesloten huishoudens een belangrijke partij. Er werken 2.900 fte's, merendeel monteurs, call center-medewerkers en mensen die werken aan de technische infrastructuur. Stafafdelingen op het hoofdkantoor zijn daarentegen vrij klein, vertelt Erwin Smit, manager internal audit bij Ziggo. “Ook mijn afdeling is met vier auditors qua omvang beperkt. Het is daarom zaak te focussen en prioriteiten te stellen.” Bij internal audit betekent dit met name operational audit en IT-audit. “Wij richten ons vooral op de processen die leiden tot significante jaarrekeningposten. Door vast te stellen dat processen goed verlopen geven we extra zekerheid over de juistheid en betrouwbaarheid van de gerapporteerde cijfers.”
Risico
Internal audit toetst onder andere processen die te maken hebben met bedrijfsrisico's voor Ziggo. Een voorbeeld is de snel veranderende techniek. “Techniek veroudert snel in de huidige markt”, aldus Smit. “Je moet als bedrijf met de technologische ontwikkeling meegaan. Een voorbeeld is de innovatie op het gebied van digitale tv.”
Een ander risico is dat internet, tv en telefonie voor consumenten een randvoorwaarde voor hun dagelijks leven is geworden en dat de verwachtingen van klanten daardoor erg hoog zijn. Smit: “Particulieren en bedrijven doen steeds meer digitaal. Er wordt meer digitale tv gekeken en de groei van het dataverkeer is zo'n veertig procent per jaar. Een storing bij de provider heeft meteen een grote impact op klanten.” De groei van het dataverkeer stelt verder eisen aan de capaciteit en continuïteit van de infrastructuur en netwerksystemen. Ook dit is een belangrijk bedrijfsrisico.
Onderscheid
Smit maakt bij het toetsen van processen rond bedrijfsrisico's duidelijk onderscheid tussen de verantwoordelijkheid van de business en de taak van internal audit. “De business is aanspreekbaar op de processen. Internal audit bekijkt op basis van de key controls of de desbetreffende afdeling zijn processen op orde heeft.”
Een recent voorbeeld is een audit op de processen rond de verstrekking van digitale tv-ontvangers. Internal audit keek naar de hele keten van deze levering: van marketingactieplan tot voorraadbeheer, daadwerkelijke levering, facturering, doen de digitale tv-ontvangers het, en de capaciteit van het call center. Smit: “Wanneer er ergens in de keten wat misgaat, dan is er direct effect op de bedrijfsvoering én ontstaat er ongenoegen bij klanten, wat leidt tot imagoschade.”
Incident
Internal audit speelt geen directe rol wanneer een incident is geëscaleerd, bijvoorbeeld wanneer er bij een storing heel veel klachten komen. Crisismanagement is een taak van de lijn. Smit: “We kunnen naderhand samen met de afdeling waar het mis is gegaan wel kijken of processen op een andere manier kunnen worden ingericht. Neem het voorbeeld van de digitale tv-ontvangers: je wilt bijvoorbeeld voorkomen dat digitale ontvangers niet meer leverbaar zijn en dat dit tot negatieve publiciteit leidt.” Om dit gestructureerd aan te pakken maakt internal audit eerst een quick scan van hoe het proces in elkaar zit en welke factoren hebben geleid tot een incident.
Terugkerend
Behalve werkzaamheden rond bedrijfsrisico's en incidenten is er ook meer routinematig auditwerk. Smit: “Op verschillende onderwerpen worden repeterende audits gedaan. Voorbeelden zijn een jaarlijkse check op personeelsdeclaraties en of de medewerkers die tekenen voor een betaling voldoende bevoegd zijn.” Belangrijk is ook het zogeheten follow up-werk. “Wanneer we een bepaald proces of afdeling hebben gecontroleerd, brengen we een rapport uit met aanbevelingen. Na een aantal maanden kijken we wat de status is en of een geconstateerd risico inmiddels voldoende wordt beheerst.”
Verder levert internal audit een bijdrage aan de in control statement in het kader van corporate governance. Er wordt getoetst in hoeverre belangrijke key controls op een goede manier worden uitgevoerd.
Onafhankelijk
Binnen het bedrijf heeft internal audit een onafhankelijke positie. De afdeling rapporteert rechtstreeks aan de cfo en de voorzitter van het audit committee. Verder is er gezorgd voor voldoende betrokkenheid van het management, geeft Smit aan. “Er is een zeswekelijks overleg tussen de cfo, de commerciële directeur, de director Internal Control en de manager Internal Audit. Daar bespreken we onder meer het auditplan, bewaken we de voortgang en kijken we wat er met de bevindingen van internal audit is gedaan.” In de dagelijkse gang van zaken is er nauw contact met Internal Control en Risk Management. Smit: “Internal control is vooral aanwezig bij grote projecten om te zorgen dat ze beheerst verlopen. Voor ons levert dit belangrijke informatie op over deze projecten die we gebruiken in de controle achteraf. Met risk management werken we samen aan risicoanalyses.”
Externe accountant
Met externe accountant Ernst & Young wordt goed samengewerkt, vindt Smit. Wel is er een duidelijk onderscheid in werkzaamheden. “De daadwerkelijke jaarrekeningcontrole is de verantwoordelijkheid van de externe accountant. Internal audit werkt daaraan niet mee.” Bij de audit op interne beheersing ligt het genuanceerder. Samen met E&Y worden de risico's op dit gebied bekeken. “Dit kan betekenen dat er voor de externe accountant auditactiviteiten worden gedaan op specifieke processen. Sowieso krijgt E&Y alle auditrapporten die we maken toegestuurd. Ze kunnen bijdragen tot een beter begrip bij de externe accountant over de organisatie van Ziggo.”
Omgekeerd verricht E&Y geen internal auditwerk voor Ziggo, benadrukt Smit. “In het verleden hebben we wel activiteiten uitbesteed aan derde partijen. Nu we een afdeling van vier mensen hebben, is dit niet meer nodig en doen we alles zelf.”
Interne accountancy versus internal audit
In accountantsland is er regelmatig discussie over de, al dan niet terechte, tegenstelling tussen interne accountancy en internal audit. Hoe kijkt Erwin Smit hiernaar? Beide varianten hebben volgens hem voor- en nadelen voor een organisatie. “Het hangt af van het type organisatie en de wensen die er leven. Het is in veel gevallen een capaciteitsvraagstuk. Een grote auditafdeling kan zowel financial als operational audit doen. Een relatief kleine auditafdeling, zoals bij Ziggo, moet een keuze maken. Belangrijk is op welk gebied je voor het bedrijf toegevoegde waarde kunt hebben. Bij ons ligt dit bij het kijken naar de processen in de organisatie en dus bij internal audit.”
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...