Godert van der Poel

"Internal Audit is not just about finding weaknesses in the system, it is about finding opportunities to improve." Deze quote van de Internal Audit Association (IIA) geeft een van de essenties weer van de toegevoegde waarde van auditwerkzaamheden.

De huidige geopolitieke situatie vergroot het belang van een goede export control compliance (ECC). Lag het accent in het verleden op materiaal en software voor de defensie-industrie, door de situatie op dit moment is er een veel groter aandachtsgebied; niet alleen voor bedrijven, maar ook diverse landen waar sancties tegen gelden. Was in het verleden kennis van het materiaal of de mogelijke dual purpose (zowel voor civiele als militaire doelen bruikbaar) van software cruciaal om de juiste beslissingen te nemen, nu komt het accent steeds meer te liggen op de daadwerkelijke end customer.

Dit is voor internationale bedrijven een verhoogd compliance risico. Immers, levering aan een blacklisted land of bedrijf kan verstrekkende gevolgen hebben; niet alleen qua boetes maar zelfs het operationele licentierecht in bepaalde landen kan op de tocht komen te staan.

Wie is nu de eindklant?

Het uiteindelijk verzenden en afleveren van bepaalde goederen zegt nog niets over de daadwerkelijke eindklant, gebruiker van de goederen of software. Customer due dilligence (CDD), Knowing your customer (KYC) is altijd al essentieel geweest voor ECC, maar de toename van landen en bedrijven op de sanctielijsten maakt het alleen maar nog belangrijker.

'Bedrijven en landen die te maken hebben met sancties worden ook steeds creatiever in het ontwijken.'

Bedrijven en landen die hebben te maken met sancties worden ook steeds creatiever in het ontwijken. Het meest eenvoudige is het oprichten van een dochteronderneming, meestal in een ander land. Het ultimate benificial ownership (UBO) is niet wereldwijd ingevoerd en daardoor wordt het lastig om te bepalen wie de eindklant feitelijk is. Daarnaast is het nog steeds in een aantal landen mogelijk om anoniem een vennootschap op te richten, waardoor het buitengewoon moeilijk wordt om te traceren wie de daadwerkelijke eindklant is. Maar digitalisering kan een bijdrage bieden om toch te achterhalen of een levering kan plaatsvinden of niet, dan wel om levering in de toekomst te verhinderen.

Het gebruik van digitalisering bij audits

Digitalisering is de laatste jaren de trend, niet alleen bij frontoffices en het creëren van nieuwe businessmodellen, maar ook bij ondersteunende processen. Een jaar geleden heb ik de digitalisering van onze controleaanpak op gang gebracht en dit heeft een nieuwe manier van werken geïntroduceerd. Het gaat niet om de vraag hoe we de digitalisering kunnen controleren, maar hoe de (interne) auditor gebruik kan maken van en voordeel kan halen uit een meer digitale manier van werken. Met andere woorden: Hoe kunnen we data gebruiken en overstappen op een effectievere en efficiëntere manier om data lakes te gebruiken? Oftewel: de controle efficiënter en effectiever uitvoeren.

'Het gaat niet om de vraag hoe we de digitalisering kunnen controleren, maar hoe de (interne) auditor gebruik kan maken van en voordeel kan halen uit een meer digitale manier van werken.'

De belangrijkste hindernis die mij opviel, was het verkrijgen van een goed gemeenschappelijk begrip van wat het is en hoe het moet worden gedaan. Wat is het verschil met andere audit automation en analyses van afwijkingen, red flags?

Veel mensen denken dat digitalisering van de audit een soort audit automatisering, continue auditing etc. is. Het gaat echter veel verder. Niet een bestaand proces automatiseren en verfijnen, maar onafhankelijk verschillende data combineren maakt het verschil. Een van de grote voordelen ten opzichte van de traditionele manier van werken is dat je door de digitalisering onbevooroordeeld kunt auditeren. Vanuit onze achtergrond, zowel qua opleiding als werkervaring, gaan we vaak kijken en selecteren uit wat er in ons referentiekader staat. Op zichzelf prima, maar het referentiekader is dan de beperking.

Het gaat ook verder dan het beoordelen van uitzonderingen, red flag-rapportages. Zelfs jonge en hoogopgeleide professionals maakten de opmerking dat voor inkoop en compliance er al red flags-rapportages waren en dat verdere analyse niet nodig was. Als de zogenaamde second line of defense, gebruikmaakt van slimme tools om waarschuwingssignalen te creëren, is dat uiteraard prima. Het kan worden beschouwd als digitalisering op hun eigen verantwoordelijkheidsgebied. Voor de auditrol, de derde verdedigingslinie, is dit slechts een onderdeel van de digitalisering van de audit. Audit kan vertrouwen op de tweede verdedigingslinie, maar moet onafhankelijk testen om tot een conclusie te komen. En in dit geval niet door opnieuw dezelfde rapportages te beoordelen en welke follow up er heeft plaatsgevonden. Dat kan in de situatie dat er steeds nieuwe en creatievere manieren gevonden worden om regelgeving te omzeilen onvoldoende zijn.

Audit moet op zoek gaan naar en gebruik maken van de eigen digitalisering. Het gaat juist om van andere bronnen data te halen en dan verbanden te gaan leggen.

Hoe je dat doet?

Is een team van data-analisten nodig? Het is handig, maar geen absolute voorwaarde.

Een van de eerste dingen die gedaan moeten worden, is het gedachtegoed om buiten de gebaande paden te denken. En het allerbelangrijkste: creëer eigenaarschap door betrokkenheid van het management en zorg ervoor dat een van de beste teamleden de leiding heeft over het project. Zorg er ook voor dat er teamleden zijn met diepgaande branche- en proceskennis en een goede affiniteit met informatietechnologie.

'Creëer eigenaarschap door betrokkenheid van het management en zorg ervoor dat een van uw beste teamleden de leiding heeft over het project.'

Het is ook van belang met de CIO/IT-organisatie of de CDO (Chief Data Officer) een vast aanspreekpunt te creëren om kennis te delen en gebruik te maken van wat al aanwezig is.

Er moet een sterke werkrelatie worden opgebouwd met het deel van de organisatie dat zich met de gegevens bezighoudt, meestal de CDO bij grotere organisaties. Er zullen allerlei details zijn die in het begin een beetje frustrerend kunnen zijn en ondersteuning van technische vaardigheden nodig hebben. Dit zijn meestal eenmalige opstartproblemen.

Focus niet te veel op de tools. Er zijn veel tools beschikbaar die de mogelijkheden bieden om vergaande analyses te maken. Het is verstandig dat de cio of cdo technische ondersteuning kan geven. Voor de toolkeuze is het de beste manier om de tools te accepteren die al door de organisatie zijn geselecteerd. De meeste leveranciers geven bij collectieve contracten ook een goed opleidings- en trainingstraject mee, waar men dan makkelijk gebruik van kan maken. De huidige tools zijn over het algemeen eenvoudig om te gebruiken.

Datawarehouses en data lakes zijn essentieel voor het omgaan met complexe analyses. Het is wel cruciaal dat het data lake een (kristalhelder) meer blijft en geen moeras wordt. De kwaliteit van de data is vanzelfsprekend cruciaal. Voor het creëren van draagvlak en enthousiasme is het belangrijk te beginnen met een relatief eenvoudige casus, zodat het zichtbaar is hoe en wat voor een resultaat en toegevoegde waarde kan worden gerealiseerd.

Een voorbeeld ter verduidelijking

Omdat export control compliance (ECC) een relatief groot risico is voor internationale technologie en softwarebedrijven, is dit een goed aandachtsgebied om digitalisering toe te passen. Complexe technologische producten zijn vaak geen massaproducties maar eerder serieproductie, waarbij vaak specifieke elementen worden ingebouwd om aan de behoeften van de cliënten te voldoen. Voorbeelden hiervan zijn vliegtuigen, gasturbines voor elektriciteitscentrales, compressors voor de exploitatie van olie- en gasvelden en dergelijke. Het zijn complexe technologische aangelegenheden, die meestal ook onderdeel van een kritische infrastructuur van een land of bedrijf.

Omdat voor dit soort producten een hoog veiligheidsniveau noodzakelijk is, kenmerken deze producten zich door een voorgeschreven onderhouds- en serviceprogramma. In de handleidingen staan vaak voorgeschreven richtlijnen voor vervanging en revisie van bepaalde onderdelen. Voor de producent is het derhalve vaak goed te plannen wanneer welke onderdelen op voorraad moeten zijn voor de vervanging van een bepaalde vloot machines, of wanneer producten terug moeten voor een totaal servicetraject. De serviceschema's zijn meestal niet verplicht, maar kunnen wel consequenties hebben voor de afgegeven technische performance en uiteindelijk ook een groot veiligheidsrisico vormen. Daardoor is het onderhoud en de vervanging van onderdelen vaak behoorlijk voorspelbaar.

'Door het combineren van verschillende data kan een (potentiële) leverantie aan een gesanctioneerde eindklant herkend worden, die anders niet herkend zou worden als een verboden transactie.'

Vanuit deze informatie kan de eerste basis worden gelegd voor de data tabel. De normaliter te vervangen onderdelen in een technisch complex product, dat ooit is geleverd aan een bedrijf of land dat thans verboden is, kunnen op basis van de technische specificatie van het betreffende onderdeel worden gedownload in een tabel.

Vervolgens kan een tabel worden opgebouwd van leveranties van die onderdelen aan klanten. Deze tabellen kunnen vanuit de data-tooling met elkaar worden vergeleken.  Wat dan bijvoorbeeld wordt geconstateerd, is dat een bedrijf in een land dat welvarend is en de meest recente en innovatieve technologie gebruikt, onderdelen van verouderde technologie bestelt. Deze onderdelen zullen door het bedrijf niet worden gebruikt in het eigen land. Deze worden dan via via doorgeleverd aan de eindklant, zeer waarschijnlijk in een land dat op de sanctielijst staat.

De bovenstaande casus is vereenvoudigd, maar feitelijk is deze vorm van digitalisering gebruikt om verdachte transacties te signaleren. En uiteindelijk te blokkeren. Zeker als bijvoorbeeld ook de leads vanuit CRM systemen in een vergelijkbare digitale analyse worden betrokken.

Conclusie 

Is dit niet ver gezocht en overijverig? In mijn optiek niet. Sancties hebben een zeer geldige reden en dienen gerespecteerd te worden. En zelfregulering is een beproefde manier om regelgeving te beheersen en sancties van toezichthouders te voorkomen. Uiteindelijk mag een verkoop op de korte termijn nooit de license to operate op de lange termijn in gevaar brengen.

'Zelfregulering is de beproefde manier om regelgeving te beheersen en sancties van toezichthouders te voorkomen.'

Overigens is dit niet de enige oplossing. Zoals eerder gemeld neemt de creativiteit om sancties te omzeilen alleen maar toe. Ook technieken zoals additieve manufacturing zijn een manier om toch de noodzakelijke onderdelen te verkrijgen. Dit is een van de redenen dat technologiebedrijven nagenoeg permanent cyberaanvallen hebben in het kader van bedrijfsspionage.

Ter afsluiting waar ik mee begon, de essentie van een dergelijke audit: "Internal Audit is not just about finding weaknesses in the system, it is about finding opportunities to improve."