Welke lessen zijn te trekken uit het Wirecard debacle?

Het debacle rondom Wirecard is nu al een tijd aan de gang. Het einde is nog niet in zicht, waarbij de CEO (Markus Braun) al gevangen zit in afwachting van zijn proces en een van de andere hoofdverdachten (COO Jan Marsalek) op moment van schrijven nog steeds op de vlucht is.

Er zijn al veel artikelen, columns en blogs verschenen over Wirecard. Via deze blog probeer ik een aantal lessen te trekken en zaken aan te geven die mij zijn opgevallen. Hopelijk helpt dit Bestuurders, Risk Managers, (Internal) Auditors, Accountants en andere stakeholders schandalen zoals deze in de toekomst te voorkomen.

Achtergrond

Waar ging het Wirecard debacle ook alweer over? Wirecard, opgericht in 1999, verzorgde online betaaldiensten. In het begin voornamelijk aan porno- en gok websites, maar door overnames en een zeer sterke groeicurve werd Wirecard een gerespecteerde, beursgenoteerde onderneming die op een gegeven moment zelfs bancaire diensten aanbiedt. De ongewoon sterke groei trekt echter de aandacht want in 2008 komen al de eerste geruchten van boekhoudfraude via een aandeelhoudersvereniging. Onderzoek van Ernst&Young (die kort daarna als accountant wordt aangesteld) brengt echter niets aan het licht. In 2011-2014 neemt Wirecard een aantal dubieuze betaaldienst firma’s in Azië over hetgeen bijdraagt aan de sterke groei waarbij veel investeerder worden aangetrokken. In 2015 begint de Financial Times (FT) echter met een serie van artikelen over Wirecard waarbij de boekhoudpraktijken wederom worden betwist. Vanaf dat moment nemen dergelijke geruchten steeds meer toe, waarbij Wirecard zich verdedigt met het argument dat dit gedaan wordt om short shellers in de kaart te spelen. Audits door EY leveren keer op keer goedkeurende accountantsverklaringen op, waardoor het aantal investeerders toeneemt en de onderneming weer meer overnames kan doen. Begin 2019 wijzen klokkenluiders echter op onregelmatigheden in het kantoor in Singapore. Tevens komt de Financial Times erachter dat ongeveer de helft van Wirecards business is uitbesteed en de betreffende derde partijen niet blijken te bestaan. FT blijft in 2019 rapporteren dat de omzet en wist van Wirecard is opgeblazen (met name in lokale entiteiten) en klanten niet blijken te bestaan. Onder druk van de buitenwereld laat Wirecard begin 2020 een onderzoek doen door KPMG. De uitkomst is dat KPMG niet kan verifiëren dat de cijfers inderdaad kloppen. Tevens blijkt er 1,9 miljard euro “kwijt” te zijn. Inmiddels is er een politieonderzoek begonnen en in juni wordt de CEO gearresteerd. Kort daarna gaat Wirecard failliet.

Onderstaand zet ik uiteen wat mij opvalt aan deze casus en zaken rondom de interne beheersing van Wirecard en wat hiervan geleerd kan worden.

Ongewone zaken (rondom de interne beheersing)

Management override / tone at the top: Een goede “tone at the top” is uiteraard cruciaal voor een goed functioneren van (de interne beheersing van) een organisatie. Uit de Wirecard casus blijkt duidelijk dat de top van deze organisatie zelf “all-in” was, bewust deze fraude pleegde en bewust stakeholders misleidde. Hier is weinig tegen te doen, in tegenstelling tot bijvoorbeeld individuen die fraude plegen (zie bijvoorbeeld Nick Leeson bij Barings en Jerome Kerviel bij SocGen).

Accountant die de controle niet goed uitvoert: Gebleken is dat EY heeft verzuimd goed door te vragen naar een derdenrekening waar de bewuste 1,9 miljard euro zou staan. Ook zijn eerdere signalen en waarschuwingen van klokkenluiders in de wind geslagen. Inmiddels heeft EY hiervoor excuses aangeboden, maar het is wederom gebleken dat een controle van een dergelijke grote onderneming die veel zaken doet met derde partijen, geen sinecure is.

Dubieuze rol van entiteiten in andere landen: Een aspect dat vaker wordt gezien bij Fraudes. Lokale entiteiten in remote locaties waar lastig toezicht op te houden is. Ik denk dat het cruciaal is dat dit aspect in de Internal Audit planning van organisaties wordt meegenomen en dat er minstens 1 bezoek per jaar aan entiteiten in andere landen gepland wordt.

Falende Toezichthouder: Dit is een lastig en pijnlijk aspect. Het schijnt dat medewerkers van de Duitse toezichthouder BaFin zelfs aandelen hadden in Wirecard. Dit leert ons dat interne compliance regels ten aanzien van restricties op het houden en verhandelen van aandelen en opties cruciaal zijn om de onafhankelijkheid van toezichthoudende functies te waarborgen. Zeker bij een Toezichthouder. Dit wordt ook bevestigd in het “Peer review Report” van ESMA (European Securities Markets Authority) waarin wordt aangegeven dat het handelen in aandelen Wirecard door medewerkers van de toezichtafdeling de onafhankelijkheid van BaFin in gevaar bracht.

Cultuur in de organisatie: Dit punt hangt natuurlijk samen met “Management override / tone at the top: Het feit dat zelf het Top management van Wirecard betrokken was zegt veel over de cultuur en integriteit van deze organisatie. Maar wellicht dat ook de Duitse, over het algemeen wat hiërarchische cultuur een rol heeft gespeeld en durfden onderschikten eventuele misstanden niet aan te kaarten of te melden.

Signalen waar lange tijd niets mee gedaan werd: Ondanks dat er al lange tijd geruchten en artikelen verschenen over de gang van zaken bij Wirecard hebben diverse betrokken bij deze zaak (EY, BaFin, verschillende banken) niets met deze signalen gedaan. Het blijkt toch dat indien er ergens aanhoudende geruchten zijn, het raadzaam is dit te onderzoeken.

Omzetten en winsten die te mooi om waar te zijn waren: Dit is natuurlijk een klassieker bij fraudes zoals deze. Om de verwachtingen van topmanagement en beleggers waar te maken werden omzetten en winsten opgeblazen via vervalste facturen en niet bestaande klanten om een fictieve geldstroom te creëren in een remote entiteit (Singapore). Met natuurlijk hogere beurskoersen en bonussen als gevolg. Het is fijn als een organisatie een zeer grote omzet groei laat zien, maar als dit te mooi lijkt om waar te zijn is het de uitdaging je niet te laten verblinden door hogere koersen en bonussen maar kritisch te zijn en verifiëren of de omzet stijging reëel en verklaarbaar is.

Gebruik van dubieuze derde partijen: Wirecard gebruikte op een gegeven moment een aantal derde partijen die voor Wirecard transacties uitvoerden voor klanten waarvoor Wirecard dan een commissie betaalde. Het bleek dat op enig moment zelfs de helft van Wirecards omzet en bijna de volledige winst via deze partijen werd gegenereerd. En deze partijen waren niet transparant in hun Bedrijfsvoering en werden ook niet goed gecontroleerd door Accountants. Het is dus altijd van groot belang om partijen waar je zaken mee doet grondig te onderzoeken voordat een relatie wordt aangegaan, maar ook tijdens de samenwerking altijd te zorgen dat een goed toezicht en controle is en aandacht voor de integriteit van de Bestuurders en organisatie.

Recapitulatie

Bovenstaande punten lijken open deuren. Helaas is dit vaker het geval bij fraude gevallen, en toch ontstaan er altijd weer nieuwe fraude casussen. Toch zijn bij de Wirecard case toch weer enkele rode draden te zien. Te beginnen met aandacht voor Integriteit in het Bestuur. Tone at the top is van levensbelang voor organisaties. Daarnaast is het verbeteren intern toezicht van belang, zeker ook in lokale entiteiten. Ook al is de onderneming nog zo succesvol, deze casus heeft weer laten zien dat bij een gebrekkig intern toezicht, een onderneming in zeer korte tijd ten gronde gericht kan worden. Tenslotte is het goed als er nog meer aandacht is voor de kwaliteit en diepgang van de accountantscontroles. Daar zijn de laatste jaren natuurlijk al grote stappen gezet, maar het is nu toch weer gebleken dat dit een aandachtspunt blijft.

Deze blog is geschreven door Remco Spruyt, medeoprichter van INTERMEDIATE Interim Professionals. Wellicht dat u na het lezen van deze blog eens wilt praten over het verbeteren van het intern toezicht of interne controle bij uw eigen organisatie. INTERMEDIATE kan gekwalificeerde Risk Managers en Auditors leveren die kunnen helpen dit in uw organisatie op een hoger niveau te krijgen.