De lessen van het Wirecard-schandaal voor Internal Audit

De fraude binnen Wirecard is inmiddels in korte tijd veel becommentarieerd. Het management functioneerde niet, de externe accountant EY functioneerde niet en ook de Duitse toezichthouder voor de financiële markten (BaFin) functioneerde niet. In alle stukken die ik tot dusverre heb gelezen, kwam ik het vakgebied internal audit niet direct tegen. Maar uiteraard kan ik wat gemist hebben in de hoeveelheid publicaties. Op de website van Financial Times wordt gesproken over een intern onderzoek naar verdachte transacties in Azië door een ‘intern compliance team’. Mogelijk wordt hiermee Internal audit bedoeld, maar dat kan ik zo niet achterhalen.

De vraag die mij als internal auditor intrigeert is ‘welke rol speelde de internal auditor in deze fraude?’.  Laat ik voorop stellen dat de externe accountant deze fraude van niet bestaande omzet en cash had moeten vaststellen. Maar had Internal Audit dit niet moeten signaleren van deze fraude moeten hebben?

Ik merkte dat ik nieuwsgierig was of er uberhaupt een internal audit afdeling is bij Wirecard. Op de site van Wirecard was het ‘Investor Relations’ deel van de website niet meer bereikbaar. Ik was geïnteresseerd in de gepubliceerde jaarrekeningen en of daar iets vermeld staat over Internal audit. Een search op linkedin leert dat er wel degelijk internal auditors in dienst waren bij Wirecard. Misschien heeft internal audit ook een rol gehad in het constateren van de fraude, maar vooralsnog weten we dit niet. Ik hoop dat hier later meer duidelijk over wordt.

Welke lessen zijn uit dit schandaal te trekken voor internal audit? Ik zie in ieder geval de volgende lessen:

1. Gebruik data-analyse.

95% van de winst leek te komen uit transacties met 3 partner bedrijven. Ik weet niet de hoeveelheid partner bedrijven waar Wirecard zaken mee deed, maar dat winst of geen winst afhankelijk is van drie relaties is de moeite waard om verder te onderzoeken en op z’n minst dit te benoemen als een groot risico.

   2. Voer periodiek een cultuur audit uit.

Om deze fraude lange tijd uit te voeren en een bedrag van 1,9 miljard te fingeren kan het haast niet anders dan dat hier meerdere functies en lagen aan meegewerkt moeten hebben, in een cultuur met ongewenst gedrag.

   3.   Neem ‘red flags’ serieus.

Tussen 2015 en 2018 publiceerde de Financial Times al meerdere artikelen over de wijze van accounting en vreemde overnames. Begin 2019 lag de focus van de FT in meerdere artikelen op mogelijke fraude.

   4.   Er is niet mis met een ‘gewone’ order to cash audit.

Als internal auditors leveren we graag zoveel mogelijk toegevoegde waarde aan onze stakeholders en hebben we het over de strategie, IT security, cultuur audits etc. En daar is helemaal niks mis mee (zoals ik hierboven schets), maar geregeld kijken naar de basis (al dan niet riskbased, op basis van een data-analyse), blijkt toch een noodzaak.

Marc van Heese is partner bij ARC People.