ROL INTERNAL AUDITOR BIJ NALEVING VERPLICHTINGEN

Transcriptie

1 Auditing Export control en sanctiewetgeving ROL INTERNAL AUDITOR BIJ NALEVING VERPLICHTINGEN Bedrijven uit allerlei sectoren kunnen te maken krijgen met export control en sanctiewetgeving. Bedrijven die in gebreke blijven, kunnen rekenen op aanzienlijke geldboetes, sancties als het intrekken van vergunningen of inbeslagname van goederen, ja zelfs op een zwarte lijst belanden. Vooral het niet-naleven van de Amerikaanse wet- en regelgeving op dit gebied kan verstrekkende gevolgen hebben voor een organisatie. De auteurs ontwikkelden een vijfstappenplan, aan de hand waarvan de internal auditor een concreet werkprogramma kan opzetten. Ook bespreken zij welke controlemaatregelen een bedrijf kan nemen en welke rol de internal auditor hierbij kan spelen. DOOR ANNEMIEKE DE GROOT, GHISLAINE GILLESSEN EN DACO DAAMS Export control en sanctiewetgeving is niet nieuw. Echter, globalisering van de handel, terrorisme en recente internationale politieke ontwikkelingen in het Midden-Oosten hebben geleid tot meer controle van de autoriteiten in binnen- en buitenland, met name door de Amerikaanse autoriteiten, op de naleving van de verplichtingen. In de afgelopen jaren hebben enkele Nederlandse bedrijven de negatieve gevolgen van hun vermeende niet-naleving van Amerikaanse export control en sanctiewetgeving aan den lijve ondervonden. Deze bedrijven lopen niet alleen het risico om te worden bestraft met hoge boetes, verbod op export of op functionarissen persoonlijk gerichte straffen, maar ondervinden ook imagoschade door met naam te worden genoemd in de Nederlandse en Amerikaanse media. In dit artikel komen achtereenvolgens de volgende vragen aan de orde: ~ Wat zijn export controls? ~ Wat betekent export control-compliance in de praktijk? ~ Welke controlemaatregelen kan uw bedrijf nemen? ~ Wat kan uw internal auditor doen? Wat zijn export controls? Export controls (inclusief sancties) zijn instrumenten bedoeld om de verspreiding van militaire en civiel-militaire goederen, diensten en informatie onder controle te brengen en houden of om de economische belangen van landen te dienen of juist te bemoeilijken. In feite betekent dit dat naleving van uw export control en sanctieverplichtingen impact heeft op de gehele organisatie Export controlwetgeving richt zich op de export van strategische goederen, diensten en technische informatie, zoals items met een militair karakter alsmede items die voor zowel civiele 44 FEBRUARI 2012

2 als militaire doeleinden kunnen worden gebruikt (zogenoemde dual-usegoederen). Voorbeelden van goederen die zowel civiele als militaire doeleinden kunnen dienen zijn bepaalde chemicaliën, elektronica, telecommunicatieapparatuur, computers en vliegtuigonderdelen. De export control en sanctiewetgeving bepalen of u goederen mag exporteren, diensten mag verrichten of technische informatie mag overdragen, al dan niet zonder voorafgaande toestemming. De sancties kunnen betrekking hebben op de export van (strategische) goederen en handelsbetrekkingen met bepaalde personen of entiteiten. Export controls zijn vooral van toepassing op ondernemingen binnen de luchtvaartsector en defensie, maar ook in vele andere sectoren, zoals olie en gas, logistiek, technologie, telecommunicatie, chemische en farmaceutische industrie, de financiële en de medische sector. De regelgeving is van toepassing op handels- en/of productiebedrijven in de verschillende sectoren, maar is ook van toepassing op de logistieke of financiële dienstverleners. Export control compliance in praktijk Ingeval uw bedrijf strategische goederen, diensten en/of technische informatie exporteert of wanneer u handelt met gesanctioneerde landen, personen of organisaties, dan zult u rekening moeten houden met de export control en sanctiewet- en regelgeving van Nederland, de Europese Unie, maar mogelijk ook met die van Amerika. Dit laatste speelt onder meer wanneer de goederen Amerikaanse materialen en/of componenten bevatten, geproduceerd zijn op basis van Amerikaanse technologie of software, er personen van Amerikaanse nationaliteit bij betrokken zijn, dan wel als uw bedrijf op andere wijze banden heeft met Amerika. Deze extraterritoriale werking van de Amerikaanse wet- en regelgeving kan verstrekkende gevolgen hebben voor uw inspanningen voor export control compliance. Bij het naleven van dit complexe geheel van internationale regelgeving is er een viertal basisvragen waarop een sluitend antwoord van belang is: ~ Wat wordt er geëxporteerd? ~ Waar naartoe (naar welk land) wordt het geëxporteerd? ~ Wie gaat het gebruiken (eindgebruiker)? ~ Wat gaat ermee gebeuren (eindgebruik)? Voor een productiebedrijf (en deels natuurlijk ook voor een handelsbedrijf) betekent het beantwoorden van deze vragen onder meer dat u inzicht moet hebben in uw inkomende goederenstromen (oorsprong/herkomst van de componenten/ materialen), de productietechnologie, wie er betrokken is geweest bij de productie, wie uw leveranciers zijn, uw dienstverleners, de gebruiksmogelijkheden van de producten, uw klanten, landen van bestemming, wie er betaalt, via welke bank, enz. In feite betekent dit dat naleving van uw export control en sanctieverplichtingen impact heeft op de gehele organisatie van de RD, inkoop, ontvangst, productie, opslag, transport, distributie, verkoop, import, export, personeelszaken, IT, beveiliging en financiën. Bedrijven kunnen niet naar de gevangenis, managers en medewerkers wel Risico s niet-naleving export control Bij niet-naleving van de export control en/of sanctieverplichtingen kunnen de gevolgen voor een bedrijf ingrijpend en verstrekkend zijn. Naast het opgelegd krijgen van aanzienlijke geldboetes, kunnen er ook maatregelen worden opgelegd, zoals het intrekken van vergunningen, inbeslagname van goederen, stillegging van de onderneming, ontzegging van bepaalde privileges (waaronder export). Bedrijven kunnen op een zogenoemde denied party list komen te staan, waardoor andere organisaties geen zaken meer mogen doen met deze bedrijven. Bovendien kan niet-naleving van de export control en sanctiewetgeving tot ernstige reputatieschade leiden. Op de niet-naleving van export control en sanctiewetgeving kunnen gevangenisstraffen worden opgelegd. Bedrijven kunnen niet naar de gevangenis, managers en medewerkers wel. Controlemaatregelen export control De activiteiten van een bedrijf bepalen aan welk geheel van nationale en/of internationale export control en sanctieweten regelgeving naleving moet worden gegeven. Export controlmaatregelen zijn nodig om de risico s van een bedrijf op niet-naleving van export control en sanctiewetgeving te beperken, maar kunnen ook een mitigerende rol spelen in de strafmaatbepaling door de autoriteiten ingeval er onverhoopt toch sprake is van niet-naleving van een van de verplichtingen. Ten onrechte maken bedrijven nogal eens de fout om export control compliance te zien als de verantwoordelijkheid van de afdeling logistiek, douane of export. Zoals hiervoor aangegeven, de naleving van export control en sanctiewetgeving heeft impact op de gehele bedrijfsorganisatie van productontwikkeling, inkoop, verkoop en personeelszaken tot FEBRUARI

3 Op 24 september 2009 heeft een Nederlands bedrijf, zijn directeur en zijn verkoopmanager, beiden Nederlands ingezetene, schuld bekend op aanklachten van de Amerikaanse autoriteiten voor het exporteren van Amerikaanse vliegtuigonderdelen van Amerika naar Iran. De verdachten zouden de onderdelen eerst van Amerika naar Nederland, Cyprus en de Verenigde Arabische Emiraten hebben verstuurd en vandaar doorgevoerd naar Iran. Het bedrijf is met de Amerikaanse autoriteiten overeengekomen om een boete te betalen van $ en is op de lijst van denied parties opgenomen. De verdachten riskeren een mogelijke gevangenisstraf van maximaal vijf jaar, een criminele boete van $ of tweemaal de waarde van de transactie (welke van de twee bedragen het hoogste is) en een civiele boete. financiering. De naleving moet derhalve geborgd zijn in het algehele interne beheersingssysteem van het bedrijf. De wijze waarop de naleving is gewaarborgd en de wijze waarop zij wordt aangestuurd verschilt evenwel van bedrijf tot bedrijf en is mede afhankelijk van de inhoud en omvang van de activiteiten, de beschikbare middelen en het ambitieniveau van het bedrijf. Voorbeelden van controlemaatregelen die minimaal mogen worden verwacht van een bedrijf dat onderdeel is van de handelsketen van strategische goederen of transacties met gesanctioneerde landen, zijn: ~ uitvoeren van een strategische analyse van de bedrijfsactiviteiten, producten, diensten en regionale spreiding en daarmee van toepassing zijnde wet- en regelgeving, classificatie van goederen, landen en handelspartners; ~ uitvoeren van een risicoanalyse en betrokkenheid van het management bij het bepalen van export controlrisico s en in de beslissingen rondom de beheersmaatregelen voor deze risico s; ~ beschikbaarheid van de benodigde export controlkennis binnen de organisatie (bijv. aanstelling van een export control manager met voldoende autoriteit en verantwoordelijkheid om onafhankelijk beslissingen over transacties te nemen); ~ het verzorgen van export controlbewustwordingstrainingen voor medewerkers; ~ procedures en organisatorische maatregelen die waarborgen dat export controlverplichtingen worden nageleefd (bijvoorbeeld vergunningaanvraagprocedure, documenten- en archiveringsprocedure); ~ veiligheidsmaatregelen die waarborgen dat alle handelspartners evenals personeel worden gescreend; ~ monitoren van de rechtmatigheid van de bedrijfsactiviteit, bijvoorbeeld door het analyseren van transacties en dienstaanbiedingen en/of goederenstromen op het voldoen aan vereisten rond export controls; ~ procedures die waarborgen dat wanneer er toch sprake mocht zijn van niet-naleving van een van de verplichtingen, deze niet-naleving wordt gemeld en opgevolgd; ~ schriftelijke vastlegging van de export controlmaatregelen in de kwaliteitshandboeken en werkinstructies van het bedrijf; ~ onafhankelijke audits waarbij onafhankelijk toezicht plaatsvindt op de naleving van de export control en sanctieverplichtingen. Rol internal auditor Vanuit de external auditor is er al aandacht voor de naleving van de export controlwetgeving. De external auditor is namelijk vanuit de Internationale Controle Standaard (ISA) 250 verplicht om de audit te plannen en uit te voeren met een professioneel-kritische instelling, daarbij onderkennend dat een controle omstandigheden en gebeurtenissen aan het licht kan brengen die ertoe leiden dat de vraag wordt gesteld of de entiteit zich houdt aan wet- en regelgeving. ISA 240, inzake fraude, is het tweede voorschrift waardoor de external auditor geïnteresseerd is in risicobeheersing rond export control. Overtreding van de wetten brengt immers onrechtmatig handelen met zich mee. Daarbij is het efficiënt als de external auditor kan steunen op de werkzaamheden van de internal auditor. De internal auditor helpt de organisatie de processen van risicomanagement, beheersing en governance te evalueren en te verbeteren. Volgens de Internationale Standaarden voor de Beroepsuitoefening voor Internal Auditing, standaard 2010 Het rechtmatigheidaspect geeft aan dat iedere foute transactie een overtreding van de wet kan zijn en daarmee direct consequenties heeft stelt de internal auditor zijn jaarplan op op basis van de doelstelling van de organisatie en risicoanalyse. Zo kunnen internal auditors prioriteiten stellen bij de bepaling van de werkzaamheden in het jaarplan. Op basis van de eerder geschetste ontwikkelingen en de risicoanalyse krijgen de risico s rond exportactiviteiten steeds vaker prioriteit in het auditjaarplan. Vanuit het jaarplan monitort de internal auditor de aanwezigheid en werking van de beheersmaatregelen in de organisatie op het gebied van export control of geeft aanbevelingen ter verbetering. Voorbeelden van deze beheersmaatregelen zijn al in de voorgaande paragraaf gegeven. Voor de internal auditor is het belangrijk dat voldoende kennis en kunde aanwezig is 46 FEBRUARI 2012

4 Figuur 1 Stappenplan voor export controls audit op het gebied van export controlwetgeving binnen de internal auditfunctie. Met die kennis kan de internal auditor een werkprogramma opzetten en uitvoeren dat is gericht op de beheersing van de risico s rond export controls, de beheersmaatregelen toetsen en aanbevelingen doen ter verbetering. Uit de vragen die wij krijgen van bedrijven blijkt dat er behoefte is aan een meer concreet stappenplan voor de internal auditor dat is gericht op export controls. Het vijfstappenplan (zie figuur 1) kan uitkomst bieden bij het opzetten van een dergelijk werkprogramma. De nadere uitwerking van dit stappenplan is afhankelijk van de doelstelling van het onderzoek, de risico s en de mate van volwassenheid van de beheersmaatregelen rond export control binnen het bedrijf. In de praktijk blijkt de mate van vastlegging van de risicoanalyse en de identificatie en implementatie van beheersmaatregelen rond export controls weinig expliciet. In de eerste stap van het onderzoek is het dan ook goed om deze vastlegging en volwassenheid vooraf in te schatten. Daarna kan besloten worden of een onderzoek op zijn plaats is, of toch beter het advies gegeven kan worden om te starten met het identificeren van risico s en beheersmaatregelen rond export control en deze eventueel verder te ontwikkelen. Veel stappen in het stappenplan zijn voor internal auditors gesneden koek, echter bij het auditobject export control is op een aantal punten voorzichtigheid geboden. Zoals bijvoorbeeld bij: ~ de analyse van de bedrijfsactiviteiten, producten en/of diensten, regio s en klanten. De eerder beschreven brede aanpak is hierbij noodzakelijk in stap 1. Gedegen kennis van de regels rond export controls is cruciaal om te weten welke elementen van de organisatie meegenomen moeten worden in de analyse. De eerdergenoemde extraterritoriale werking van Amerikaanse regels speelt hierbij een rol; ~ het identificeren van geldende regels, in stap 1. Dan gaat het niet alleen om de regels van het land van waar wordt geëxporteerd. Zoals eerder beschreven, kunnen ook de regels van de landen waar de productonderdelen zijn geproduceerd van invloed zijn; ~ het opstellen van een referentiemodel, in stap 2. Al snel wordt daarbij gedacht aan reguliere beheersmaatregelen om het proces te beheersen vanuit financieel-administratief perspectief, zoals functiescheiding, transactieautorisatie en het maken van aansluitingen. Beheersmaatregelen opgenomen in de processen vanuit rechtmatigheidsperspectief, zoals de vergunningsaanvraag, zijn juist hier belangrijk; ~ het toetsen van de verleende vergunning voor een transactie, in stap 3. Dit vraagt om kennis van deze specifieke materie, en inzicht in de classificatie van goederen, medewerkers, landen en klanten die betrokken zijn bij deze transactie. De internal auditor kan hier teruggrijpen naar ISA 500, zoals voorgeschreven voor de external auditor, controle-informatie. Deze richtlijn geeft immers handvatten voor het verkrijgen van bewijs en het beoordelen van die controle-informatie; ~ de selectie van de te testen transacties, in stap 3. Hierbij kan de internal auditor teruggrijpen naar ISA 530. Het aantal te testen transacties en de stratificatie zijn hier aandachtspunten. Het rechtmatigheidaspect geeft aan dat iedere foute transactie een overtreding van de wet kan zijn en daarmee direct consequenties heeft. Het begrip materieel belang FEBRUARI

5 krijgt daarmee overigens ook een bredere inhoud dan puur financieel. De diversiteit in transacties die binnen de reikwijdte van het onderzoek valt, bepaalt het aantal deelpopulaties dat wordt onderscheiden. Deze factoren zijn bepalend voor de omvang van de steekproef en de wijze van selectie van transacties; ~ de probleemanalyse, in stap 4. Immers, om de oorzaak van falende beheersmaatregelen goed te begrijpen, is inzicht nodig in wetten en regels, de toepassing daarvan, maar ook inzicht in de processen rond de transactie en de kennis van betrokken medewerkers. Het gaat hier vaak niet alleen om het niet tijdig autoriseren van een transactie, maar ook om het onjuist interpreteren van wetten uit verschillende landen. De impact van bepaalde bevindingen wordt ook mede bepaald door de verschillende wetten die van toepassing kunnen zijn op een transactie. aan welke aandacht hij geeft aan de risico s rond export control. De uitwerking van het werkprogramma voor een export controlaudit is afhankelijk van de doelstelling van het onderzoek, de risico s en de mate van volwassenheid van de beheersmaatregelen rond export control. Bij het uitvoeren van de stappen van het werkprogramma is inzicht nodig in meer dan alleen de bedrijfsprocessen. Ook de samenstelling van producten, de afzetgebieden en inzicht in eindgebruikers zijn van belang. Bovendien is diepgaande kennis van internationaal geldende wetten en regels noodzakelijk bij de planning en uitvoering van het onderzoek. Kortom: bij export control helpt de internal auditor de grenzen te bewaken, maar dan moet hij wel op de juiste plaatsen de grensposten versterken. Annemieke de Groot is Senior Manager International Trade Compliance, PwC. Ghislaine Gillessen is Director International Trade Compliance, PwC en Daco Daams is Director Internal Audit Services, PwC. Ten onrechte maken bedrijven nogal eens de fout om export control compliance te zien als de verantwoordelijkheid van de afdeling logistiek, douane of export Deze korte opsomming geeft aan dat de onderzoekstechnieken van de internal audit zeker toepasbaar zijn en de internal auditor het management kan helpen bij het verkrijgen van inzicht en zekerheid. Daarbij is een gedegen voorbereiding van de audit en het betrekken van de juiste expertise bij planning en utvoering wel een aandachtspunt bij deze audits. Samenvatting en conclusies Export controls (inclusief sancties) zijn instrumenten die zijn bedoeld om de verspreiding van militaire en civiel-militaire goederen, diensten en informatie onder controle te brengen en houden, of om de economische belangen van landen te dienen of juist te bemoeilijken. Bij niet-naleving van de export control en/of sanctieverplichtingen kunnen de gevolgen voor het bedrijf ingrijpend en verstrekkend zijn. Naast het opgelegd krijgen van aanzienlijke geldboetes kunnen er ook maatregelen worden opgelegd, zoals het intrekken van vergunningen en inbeslagname van goederen. Om rechtmatig te handelen is inzicht in product en/of dienst, naar welk land wordt het geëxporteerd, de gebruiker en het eindgebruik van belang. De internal auditor geeft bij het opstellen van zijn jaarplan Reserveer alvast in uw agenda: Nationale Controllersdag 2012 op 12 juni Spant! in Bussum 48 FEBRUARI 2012