Een beetje oplettende lezer heeft het vast gezien: door een administratieve fout is de nieuwe miljoenen spits Sébastien Haller van Ajax niet opgenomen op de spelerslijst voor de Europa League en mag daarom dit seizoen niet in deze belangrijke competitie spelen. ‘Het gaat om een detail met hele grote consequenties’, zei de trainer Ten Hag. Van de spits wordt veel verwacht. Voor de beeldvorming: met een transfersom van 22,5 miljoen euro is het de duurste aankoop ooit van een Nederlandse club!
Hoe kan zoiets gebeuren, vraag je je af, als er zulke belangen spelen? Het zover mogelijk komen in de Europa League levert miljoenen op. Met een jaaromzet van 162 miljoen zijn dat toch aanzienlijke bedragen. Ik ben gelijk maar eens gaan kijken in het jaarverslag van Ajax. Hoe zit het met risicomanagement en internal audit? Het is immers een beursgenoteerde onderneming en de Corporate Governance Code is van toepassing.
In het jaarverslag 2019/2020 vind je een uitgebreide risicoparagraaf met aandacht voor de Corporate Governance Code volgens het principe ‘comply or explain’. De 10 belangrijkste risico’s staan keurig opgesomd, inclusief de bijbehorende beheersmaatregelen. Er is ook een three lines model, maar daar is iets geks mee aan de hand. De managers zijn de 1st line of defence. De 2nd line of defence zijn de afdelingen Finance & Control en Legal & Compliance. Er is dus geen specifieke risicomanagementfunctie (wat niet direct een issue hoeft te zijn). Wat wel vreemd is: de afdeling Finance & Control heeft ook een rol als internal auditor, de 3rd line of defence, samen met de externe accountant. Quote uit de risicoparagraaf: “De RvC en de auditcommissie concluderen dat de ‘3rd line of defence’ naar behoren functioneert en dat daarom geen separate interne auditor nodig is.“
Je gaat het pas zien als je het doorhebt
Uit het jaarverslag is niet op te maken of er binnen de afdeling Finance & Control scheiding is tussen de uitvoerders van de 2e lijns werkzaamheden en de 3e lijnswerkzaamheden, maar duidelijk is dat het governance systeem op een cruciaal punt niet heeft gewerkt. Is het risico nooit geïdentificeerd, is er geen beheersmaatregel gedefinieerd, of heeft deze nooit gewerkt? Achteraf is het de koe in de kont kijken, maar wellicht is een separate functie van risicomanager en een functie van internal auditor toch niet zo’n gek idee? Om met een groot ajacied te spreken: “je gaat het pas zien als je het doorhebt”. Dat geldt zeker ook voor interne beheersing.
Als liefhebber van deze vakgebieden en voetbal (van Ajax), bied ik Ajax graag onze diensten aan en om de tegenvaller van de Haller-casus een klein beetje te compenseren, tegen een gereduceerd tarief. Een vrijblijvende sparringssessie over een gedegen én efficiënte inrichting van de three lines kan altijd.
Dit laatste geldt natuurlijk ook voor andere organisaties. Neem gerust even contact op via marc@arcpeople.nl of 06 52 07 31 62.