Interview met Martijn Hohmann van Intersolve
Voor ons magazine sprak onze collega Wessel Westerveld met Martijn Hohmann, CEO van Intersolve over de rol van internal audit als ondersteuning bij interne beheersing, maar ook als strategische sparringpartner en de transitie die Intersolve momenteel doormaakt. Intersolve is marktleider in de cadeaukaartenbranche en bevindt zich thans in een heroriëntering om haar interne organisatie en processen te verbeteren c.q. te optimaliseren. Een interessant moment om hierover in gesprek te gaan!
Kun je jezelf kort introduceren voor de lezers?
Ik ben econoom van huis uit, met een specialisatie in financiën en beleggingen – dus de corporate finance-kant van de economie. Mijn loopbaan begon in de bancaire sector, eerst in investment banking en daarna in retail banking. In de loop der jaren ben ik me steeds meer gaan richten op marketing en distributie van financiële instellingen.
Later ben ik verantwoordelijk geweest voor het opzetten van een online spaarbank. Operationeel liep die sterk, maar door de financiële crisis in 2008 hebben we de activiteiten moeten beëindigen. Dat was een intensieve periode, maar ook een leerzame. Daarna ben ik samen met een co-founder een Fintech-startup begonnen. We ontwikkelden digitale en cloud core banking-systemen voor Nederlandse en internationale banken. Dat bedrijf is uiteindelijk verkocht.
Sinds een half jaar ben ik de opvolger van André Moen, de oprichter van Intersolve, die het bedrijf bijna 30 jaar heeft geleid. Dat zijn grote schoenen om te vullen, maar ik doe dat met veel energie en met een duidelijke visie op de volgende fase van het bedrijf.
Hoe kijk jij aan tegen de rol van Internal Audit? Wat verwacht jij daarvan als bestuurder?
Binnen het three lines-model vind ik het logisch en noodzakelijk dat beleid en uitvoering periodiek onafhankelijk worden getoetst. Zonder zo’n onafhankelijke blik kun je blind worden voor processen die je “altijd al zo doet”. Organisaties ontwikkelen nu eenmaal gewoontes, en daar sluipen risico’s in.
Voor mij heeft Internal Audit drie belangrijke functies. Ten eerste een frisse, onafhankelijke blik op onze operatie en de risico’s die we lopen. Ten tweede specialistische expertise: auditors moeten risico’s kunnen signaleren waar wij ons misschien nog niet volledig van bewust zijn, zeker in een wereld die continu verandert. Ten derde moeten bevindingen helder en objectief worden vastgelegd, zodat ik richting stakeholders – zoals commissarissen of toezichthouders – goed kan verantwoorden waar we staan.
Ik verwacht van een Internal Auditor dat hij of zij goed kan uitleggen wat het risico is, waarom het relevant is en welke impact het kan hebben. Die inhoudelijke relatie tussen bestuurder en auditor vind ik essentieel.
Zie je de toegevoegde waarde vooral in aanvullende zekerheid?
Ja, maar het gaat verder dan zekerheid alleen. Ik ga ervan uit dat mensen naar eer en geweten handelen, maar dat sluit niet uit dat er verkeerde interpretaties of blinde vlekken ontstaan. Het is belangrijk dat iemand de uitdaging aandurft om te zeggen: “Dit klopt niet” of “Hier kijken jullie te licht overheen.”
Dat is geen wantrouwen, maar professioneel scherp houden. De onafhankelijke positie is de echte toegevoegde waarde. Het rapport dat daaruit voortkomt is belangrijk voor governance, maar voor mij zit de kern in de inhoudelijke dialoog en de challenge.
Je hebt bij verschillende instellingen gewerkt. Zie je verschillen in hoe Internal Audit wordt ingevuld?
Zeker. Bij grote banken stond Internal Audit soms relatief ver van de business. Dat kan leiden tot afstand en minder dialoog. Bij middelgrote organisaties zag ik vaker dat auditors zichtbaarder en benaderbaarder waren. Dan ontstaat er meer interactie en zelfs enthousiasme als risico’s serieus worden opgepakt. Ik heb beide kanten meegemaakt: een meer formele, bijna toezichthoudende houding en een constructieve samenwerking waarbij je samen zoekt naar maximale beheersing. Die laatste werkt in mijn ervaring beter, mits de onafhankelijkheid duidelijk blijft.
Zit het verschil vooral in de houding van de auditor?
Het komt van twee kanten. Als bestuurder moet je de waarde van Internal Audit volledig omarmen. Zeker in een gereguleerde sector hoort controle bij het speelveld. Als je dat niet accepteert, zit je eigenlijk in de verkeerde sector. Tegelijk mag je van auditors verwachten dat ze pragmatisch zijn. De perfecte oplossing bestaat niet altijd. Er zijn vaak meerdere manieren om risico’s te mitigeren. Het gaat om wederzijds respect en het vinden van een oplossing die zowel ruimte laat voor ondernemerschap als voor beheersing.
Hoe kijk je aan tegen de ontwikkeling naar een meer advisory rol voor Internal Audit?
Daar zit voor mij een spanningsveld. Als Internal Audit te adviserend wordt, loop je het risico dat je later je eigen advies moet beoordelen. Dat vind ik een reële zorg.
Wat ik wél waardeer, is een reflectieve rol. Als wij een strategische wijziging overwegen, vind ik het waardevol als Internal Audit aangeeft: hier en hier zitten de belangrijkste risico’s, daar moet je extra alert op zijn. Niet door het ontwerp over te nemen, maar door kritische vragen te stellen. Een assessment op een design van processen of controls vind ik bijvoorbeeld zeer nuttig. Waarom zou je iets volledig implementeren om pas daarna te horen dat het fundamenteel niet klopt? Maar de auditor moet niet op de stoel van het management gaan zitten.
Hoe borg je dan de onafhankelijkheid?
Door het expliciet te maken. Als dezelfde auditor meedenkt in de ontwerpfase en later assurance moet geven, kan dat spanning opleveren. Dat kun je ondervangen door rollen te scheiden of te rouleren. Belangrijker nog is dat verwachtingen en mogelijke conflicten rondom onafhankelijkheid open besproken worden. Dan blijft het gezond.
Waar zit de valkuil als auditors de business goed moeten begrijpen?
Begrip is noodzakelijk om risico’s goed te wegen. Zonder kennis van de sector kun je geen proportionele oordelen vellen. De valkuil is dat je te veel begrip krijgt en daardoor minder kritisch wordt.
Risico nemen hoort bij ondernemen. Het gaat niet om het vermijden van alle risico’s, maar om het bewust managen ervan. Sommige risico’s accepteer je, andere niet. Die discussie wordt beter naarmate auditors meer sectorkennis hebben. Daarnaast zijn er zachte risico’s – gedrag, cultuur, samenwerking – die minder eenvoudig meetbaar zijn, maar wel bepalend kunnen zijn voor hoe een organisatie functioneert. Ook die verdienen aandacht.
Jullie zijn bezig met een strategische heroriëntatie. Wat houdt die in?
Ons huidige dienstenpalet is in de loop der jaren breed geworden. Meer varianten betekent meer processen en dus meer complexiteit en risico’s. We willen vereenvoudigen, maar zonder functionaliteit voor klanten te verliezen.
De kern is slimmer productiseren: minder variatie in uitvoering, meer standaardisatie in processen. Dat moet leiden tot een beter beheersbaar risicoprofiel en efficiëntere bedrijfsvoering. We werken toe naar een duidelijke end state: hoe ziet het product eruit, hoe leveren we het en hoe zijn processen, data- en geldstromen ingericht? Vanuit control willen we al in het ontwerp meenemen hoe we risico’s beheersen.
Moet risicobeheersing al in het ontwerp zitten?
Ja. Ik geloof sterk in workflow-based werken en het standaardiseren en automatiseren van repeterende stappen. Mensen zet je in waar ze echte waarde toevoegen; de rest moet zo veel mogelijk geautomatiseerd en gecontroleerd verlopen. Door privacy, compliance en financiële controls direct in processen in te bouwen, voorkom je dat je achteraf moet corrigeren. Met onze schaal in transacties en datastromen is dat de enige duurzame manier om beheersbaar te blijven.
Betekent dit dat je vaker ‘nee’ moet verkopen?
Dat zal gebeuren. Niet elke klantvraag moet tot maatwerk leiden. Als een behoefte vaker voorkomt, is dat een productontwikkelingsvraag. Maar individuele uitzonderingen maken de organisatie complexer en verhogen het risicoprofiel.
Moeten klanten zich aanpassen aan een uniformer product?
We willen klanten migreren naar een eenduidiger manier van leveren. Dat betekent dat sommige oude varianten worden uitgefaseerd, met duidelijke communicatie en overgangstermijnen. Het doel is meer uniformiteit en voorspelbaarheid, wat uiteindelijk ook de kwaliteit voor klanten verhoogt.
Neem je risk- en controlkosten mee in die keuzes?
Zeker. Een klant kan commercieel aantrekkelijk lijken, maar veel extra controls en toezicht vragen. Als je dat zichtbaar maakt in je risicocanvas, zie je snel of iets structureel gezond is. Soms is het dan verstandig om afscheid te nemen of een klant te helpen overstappen, zodat de organisatie eenvoudiger en beter beheersbaar wordt, terwijl we onze kernproposities juist versterken.
