De vraag die mij als internal auditor intrigeert is ‘welke rol speelde de internal auditor in deze fraude?’. Laat ik voorop stellen dat de externe accountant deze fraude van niet bestaande omzet en cash had moeten vaststellen. Maar had Internal Audit dit niet moeten signaleren van deze fraude moeten hebben?
Ik merkte dat ik nieuwsgierig was of er uberhaupt een internal audit afdeling is bij Wirecard. Op de site van Wirecard was het ‘Investor Relations’ deel van de website niet meer bereikbaar. Ik was geïnteresseerd in de gepubliceerde jaarrekeningen en of daar iets vermeld staat over Internal audit. Een search op linkedin leert dat er wel degelijk internal auditors in dienst waren bij Wirecard. Misschien heeft internal audit ook een rol gehad in het constateren van de fraude, maar vooralsnog weten we dit niet. Ik hoop dat hier later meer duidelijk over wordt.
Welke lessen zijn uit dit schandaal te trekken voor internal audit? Ik zie in ieder geval de volgende lessen:
95% van de winst leek te komen uit transacties met 3 partner bedrijven. Ik weet niet de hoeveelheid partner bedrijven waar Wirecard zaken mee deed, maar dat winst of geen winst afhankelijk is van drie relaties is de moeite waard om verder te onderzoeken en op z’n minst dit te benoemen als een groot risico.
2. Voer periodiek een cultuur audit uit.
Om deze fraude lange tijd uit te voeren en een bedrag van 1,9 miljard te fingeren kan het haast niet anders dan dat hier meerdere functies en lagen aan meegewerkt moeten hebben, in een cultuur met ongewenst gedrag.
3. Neem ‘red flags’ serieus.
Tussen 2015 en 2018 publiceerde de Financial Times al meerdere artikelen over de wijze van accounting en vreemde overnames. Begin 2019 lag de focus van de FT in meerdere artikelen op mogelijke fraude.
4. Er is niet mis met een ‘gewone’ order to cash audit.
Als internal auditors leveren we graag zoveel mogelijk toegevoegde waarde aan onze stakeholders en hebben we het over de strategie, IT security, cultuur audits etc. En daar is helemaal niks mis mee (zoals ik hierboven schets), maar geregeld kijken naar de basis (al dan niet riskbased, op basis van een data-analyse), blijkt toch een noodzaak.
Marc van Heese is partner bij ARC People.