In mijn vorige bijdrage heb ik geschreven over de voorwaarden en de voordelen van Authorized Economic Operator, ofwel AEO. Ik heb geconcludeerd dat AEO een volwassen concept is geworden en dat de opvolger al voor de deur staat, namelijk de Trust & Check Trader (TCT). Voor beide concepten, AEO en TCT, is echter wel duidelijk dat een vergaande mate van compliance en monitoring vereist is. In deze bijdrage behandel ik de diverse activiteiten die nodig zijn om te kunnen concluderen dat aan de AEO-voorwaarden wordt voldaan. Ik besteed onder meer aandacht aan procedures, interne controles en audits. Al deze maatregelen zijn onderdeel van het AEO-Control Framework.
AEO, nog een korte terugblik
Omdat ik in de vorige versie van Weg en Wagen al een bijdrage over AEO heb geschreven, volgen in deze paragraaf slechts kort de ‘essentials’ over AEO. Het doel van AEO is om de internationale toeleveringsketen te beveiligen en tegelijkertijd de douaneprocedures voor betrouwbare bedrijven te stroomlijnen. Er zijn twee soorten AEO-vergunningen: AEO-C (Customs Simplifications) en AEO-S (Security and Safety).
Je wordt niet zomaar AEO. De AEO’er 1) moet voldoen aan de wet- en regelgeving (op het gebied van douane en belastingen), 2) voert een juiste en volledige handels- en vervoersadministratie, 3) voldoet aan financiële verplichtingen (solvabiliteit) en 4) heeft medewerkers die praktisch vakbekwaam zijn. Voor de AEO-S geldt als aanvullende voorwaarde dat aan passende veiligheidsnormen wordt voldaan. Voor het verkrijgen van de AEO-vergunning is een self-assessment nodig waaruit blijkt dat voldoende maatregelen zijn genomen om aan te tonen dat het bedrijf ‘in control’ is.
Tegenover deze voorwaarden staan voordelen. Zo worden bedrijven met AEO-vergunning minder fysiek en administratief gecontroleerd, hebben zij voorrang bij controles en kunnen zij een veel lager bedrag aan zekerheid (garantie) stellen voor de diverse douanevergunningen. Ook kan op verzoek van het AEO-bedrijf een controle op een bepaalde plaats worden uitgevoerd. Een ander voordeel is het feit dat de AEO-vergunning een soort kwaliteitspredikaat is. Veelal vereisen opdrachtgevers of afnemers van bedrijven in de internationale handel de AEO-vergunning. Het verlies ervan kan dan ook grote gevolgen hebben. Daarom is het maar beter om de AEO-vergunning niet te verliezen en de nodige maatregelen te nemen.
Monitoring en AEO-Control Framework
Een essentiële voorwaarde voor het behouden van de AEO-vergunning is dat een onderneming ‘in control’ is. Bij een douanecontrole moet het bedrijf kunnen aantonen welke maatregelen zijn getroffen om deze controle te waarborgen. Dit betekent dat er beschreven procedures en werkinstructies aanwezig moeten zijn, dat interne controles systematisch worden uitgevoerd en vastgelegd, en dat periodieke audits plaatsvinden. Kortom, de processen moeten helder en gedegen zijn gedocumenteerd. Sommige ondernemingen hebben dit van nature in hun bedrijfsvoering verankerd en beschikken over goed gedocumenteerde processen en controles. Voor veel bedrijven voelt het echter als een verplichte exercitie, mede omdat onduidelijk is aan welke eisen precies moet worden voldaan. Bovendien zijn ondernemers doorgaans druk met hun kernactiviteiten, waarbij douanezaken – en al helemaal AEO en monitoring – niet direct als prioriteit worden gezien. Toch is monitoring geen vrijblijvende optie, integendeel!
Een solide beheerssysteem vormt de basis van effectieve monitoring. Dit begint met een grondige risicoanalyse. Wanneer de risico’s in kaart zijn gebracht, kunnen passende beheersmaatregelen worden geïmplementeerd. Denk hierbij aan procedures, werkinstructies en interne controles. Indien een risico zich desondanks voordoet, maken deze beheersmaatregelen het mogelijk om dit te detecteren en aanvullende correctieve maatregelen te treffen. Het doel is te voorkomen dat dezelfde risico’s zich herhalen. Hiermee ontstaat een risicomanagementsysteem dat is gebaseerd op de PDCA-cyclus (‘plan-do-check-act’).
Om op een gestructureerde wijze te kunnen voldoen aan alle AEO-voorwaarden, is het raadzaam om deze beheersmaatregelen te bundelen in een AEO-Control Framework. Dit framework omvat alle relevante componenten: procedures, interne controles, interne audits, meldingen- en incidentenregistratie en rapportages.
Belangrijk is dat het AEO-Control Framework geen exclusieve aangelegenheid van de douaneafdeling is. Voor een douanemanager is het doorgaans geen probleem om procedures op te stellen en deze af te stemmen op de operationele processen. Ook het implementeren en uitvoeren van interne controlemaatregelen behoort vaak tot de mogelijkheden. De uitdaging ontstaat echter bij specifieke aandachtsgebieden zoals veiligheid, screening en opleiding van personeel, financiële aspecten of databeveiliging. Op deze terreinen is de douanemanager binnen de organisatie niet de eindverantwoordelijke, maar hij of zij fungeert wel als centraal aanspreekpunt in het kader van de AEO-vergunning. Het is daarom cruciaal dat andere afdelingen actief betrokken worden en blijven bij AEO-compliance. Het succes van een AEO-Control Framework staat of valt met een goed functionerende communicatiestructuur.
Om dit te borgen, is het zinvol om een (AEO-)compliance team op te zetten waarin vertegenwoordigers uit verschillende afdelingen deelnemen. De samenstelling van dit team hangt af van de omvang en aard van de organisatie, maar doorgaans zijn afdelingen zoals directie/management, douane, kwaliteitsbeheer, inkoop, productie, logistiek, verkoop, bedrijfsbeveiliging, finance, IT en HR betrokken. Opvallend is dat deze afdelingen exact aansluiten bij de structuren zoals beschreven in de AEO-Guidelines. Binnen het compliance team is elke afdeling verantwoordelijk voor het beheer en de controle van haar eigen procedures en rapporteert de uitkomsten van interne controles aan de manager van het (AEO-)compliance team. Op deze manier ontstaat een geïntegreerde en effectieve aanpak die niet alleen bijdraagt aan AEO-compliance, maar ook aan een efficiëntere en beter beheersbare organisatie.
Procedures
Zoals uit het vorenstaande blijkt, vormen procedures (zo nodig aangevuld met werkinstructies) en interne controles de basis. De procedures zijn nodig om medewerkers duidelijk te instrueren hoe zij werkzaamheden moeten uitvoeren. In die procedures moet niet alleen de ‘happy flow’ worden beschreven, maar het is ook van belang dat wordt vermeld hoe met uitzonderlijke omstandigheden wordt omgegaan. Daarbij moet ook duidelijk zijn welke medewerker (rol, functie) welke werkzaamheden mag uitvoeren.
Uit de guidelines die door de Europese Unie zijn beschreven, blijkt dat een aantal procedures verplicht is. Procedures die wij – afhankelijk van de situatie – in ieder geval altijd voorstellen, hebben betrekking op de volgende onderwerpen:
- Acceptatie klant en vertegenwoordiging
- Classificatie & tariefmaatregelen
- Douanewaarde
- Oorsprong
- Aangifte ten invoer
- Aangifte douanevervoer
- Aangifte uitvoer
- Douane-entrepot
- Navordering, terugbetaling en wijzigen van aangifte
De beschrijving van bevoegdheden, verantwoordelijkheden, werkzaamheden en maatregelen dient in elke procedure steeds op een zelfde manier te worden omschreven. Een eenduidig kader werkt immers effectief. Ook moet versie- en vervalbeheer worden toegepast. Overigens wordt bij de beschrijving van de procedures specifiek rekening gehouden met de risico’s die eerder in de risicoanalyse naar voren zijn gekomen.
Interne controles
Ten behoeve van de controle op de juiste uitvoering van de werkzaamheden kan een aantal maatregelen worden getroffen, zoals het uitvoeren van interne controles, interne audits of externe audits. Ik focus hierna eerst op de interne controle.
Een interne controle (ook “IC”) is een controlemaatregel die door het bedrijf zelf wordt uitgevoerd om vast te stellen of de werkzaamheden op de juiste wijze worden uitgevoerd. Aan de hand van de resultaten van de IC, kan worden vastgesteld óf er onregelmatigheden plaatsvinden en of er in dat geval preventieve of corrigerende maatregelen moeten worden genomen. Corrigerende maatregelen hebben betrekking op het verleden, namelijk om de gevolgen te herstellen van datgene dat fout is gegaan. Preventieve maatregelen moeten ervoor zorgen dat de fout die bij de IC is vastgesteld, zich niet herhaalt.
Interne controles worden voornamelijk uitgevoerd op werkzaamheden waarbij een verhoogd risico op een onregelmatigheid bestaat. Het is niet de bedoeling en ook niet mogelijk dat alle werkzaamheden 100% intern worden gecontroleerd. In het kader van de IC’s is het van belang dat duidelijk is wat de aanleiding van de IC is, wát moet worden gecontroleerd, welke (douane-)activiteiten conform en niet-conform zijn, hoe de resultaten van de controle moeten worden vastgelegd en welke correctieve en preventieve maatregelen nodig zijn. Deze elementen worden in beginsel opgenomen in de beschrijving van de IC controle zelf.
De beschrijving van een IC bevat in beginsel de volgende elementen:
- Inleiding over het af te dekken risico: Hierin wordt de achtergrond geschetst van het risico zodat het voor de medewerker die de IC uitvoert duidelijk is waarom hij deze controle uitvoert en wat het risico is.
- Beschrijving van de IC: Hier wordt specifiek en gedetailleerd beschreven wát moet worden vastgesteld en hoe dat wordt vastgesteld.
- Periodiciteit en omvang van de controle: De frequentie van de controle (bijvoorbeeld eenmaal per maand of per kwartaal) en het aantal controles op het geheel (bijvoorbeeld 1% van het aantal aangiften of 10 aangiftedossiers per maand).
- Beschrijving conform / niet-conform: Beschrijving over welk resultaat als conform wordt beschouwd en welk resultaat als niet-conform.
- Wijze van vastlegging: Beschrijving wat moet worden vastgelegd, op welke wijze en/of in welk systeem.
- Beschrijving correctieve maatregelen: Beschrijving van de maatregelen die moeten of kunnen worden genomen wanneer blijkt dat een niet-conform resultaat van de IC geresulteerd kan hebben in het optreden van het risico.
- Beschrijving preventieve maatregelen: Beschrijving van mogelijke maatregelen indien blijkt dat de controle een niet-conform resultaat heeft. De maatregelen hebben tot doel te voorkomen dat het risico zich nogmaals voordoet of om het risico te verminderen.
De IC’s kunnen betrekking hebben op allerlei onderwerpen. In beginsel wordt aangesloten bij de resultaten van de risicoanalyse en de procedures die zijn opgesteld. De IC’s kunnen betrekking hebben op de zelfde onderwerpen als de procedures. Als het bedrijf de AEO-S vergunning heeft, dan zullen de IC’s ook betrekking moeten hebben op de (deel)gebieden zoals veiligheidsincidenten, specifieke veiligheidseisen aan vervoerders en opdrachtgevers, ongeoorloofde toegang, toegang tot laadeenheden, overeenstemmingscontrole tussen binnenkomende en uitgaande goederen en vervoersdocumenten en veiligheidseisen voor diensten door derden.
Omvang controle afhankelijk van omvang onderneming
Een voorbeeld van een interne controle is een controle die een douane-expediteur uitvoert op de procedure vertegenwoordiging. In de procedure vertegenwoordiging is opgenomen dat de douane-expediteur van iedere opdrachtgever een volmacht directe vertegenwoordiging verlangt. De insteek van de controle is afhankelijk van de grootte van de onderneming, maar ook de grootte van het proces. Als de douane-expediteur iedere maand drie nieuwe opdrachtgevers krijgt, dan ligt een integrale controle van deze drie volmachten voor de hand. Krijgt een douane-expediteur iedere maand 100 nieuwe opdrachtgevers, dan ligt een controle van een percentage van de nieuwe opdrachtgevers meer in de lijn der verwachtingen.
De controle van de volmachten is onder meer gericht op:
- ondertekening van de volmacht door de juiste persoon aan de hand van een uittreksel uit het handelsregister;
- afgifte door de juiste entiteit; en
- geldigheid van de volmacht (bijvoorbeeld onbeperkte of beperkte duur).
Interne en externe audits
Met de procedures en interne controles als basis, is al een stevig fundament geplaatst voor het AEO-Control Framework. Maar het framework is daarmee nog niet compleet. Het is namelijk belangrijk dat ook interne audits en zo mogelijk externe audits worden uitgevoerd.
Een interne audit is een controlemaatregel die periodiek wordt uitgevoerd door het bedrijf zelf om vast te stellen of een interne controle daadwerkelijk heeft plaatsgevonden en op de juiste wijze is uitgevoerd, vastgelegd en opgevolgd. Een interne audit wordt in ieder geval niet verricht door een medewerker die de werkzaamheden zelf heeft uitgevoerd en/of de interne controle heeft uitgevoerd. Bij voorkeur vindt de interne audit plaats door een medewerker uit een ander team of in ieder geval door een hoger geplaatste medewerker.
De volgende onderwerpen kunnen periodiek worden geaudit:
- Zijn de IC’s volgens plan uitgevoerd. Daarbij wordt gekeken naar de frequentie en de omvang van de uitgevoerde IC-werkzaamheden.
- Hebben de IC’s inhoudelijk op de juiste wijze plaatsgevonden. Hierbij wordt vastgesteld of de juiste elementen zijn gecontroleerd en of ook alles op de juiste wijze is vastgelegd en gedocumenteerd.
- Zijn de noodzakelijke corrigerende en preventieve maatregelen genomen.
- Zijn de procedures en IC’s, gezien de tussentijdse resultaten van de IC’s, aangepast.
Wanneer een bedrijf pas begint met het AEO-Control Framework, zullen frequenter interne audits moeten worden uitgevoerd. Medewerkers die de IC's uitvoeren kunnen dan regelmatig en uitvoerig terugkoppeling geven over de uitvoering van hun werkzaamheden. Na enige tijd moet echter kunnen worden volstaan met een interne audit die gemiddeld één maal per kwartaal plaatsvindt.
Daarnaast zijn er een aantal onderwerpen die éénmaal per jaar kunnen worden geaudit. Mogelijke onderwerpen zijn de administratie- en bewaarplicht, alsmede het registreren van incidenten en majeure wijzigingen. Tijdens deze audit wordt ook vastgesteld of er – gebaseerd op de interne controles en de rapportage hiervan, alsmede op grond van andere signalen – risico's bestaan die eerder nog niet bekend waren of met het dan geldende pakket aan IC-maatregelen onvoldoende worden afgedekt. Op basis van voornoemde signalen wordt ook vastgesteld of procedures moeten worden aangepast. Overigens is het aanpassen van de IC-maatregelen en de procedures geen activiteit die slechts één keer per jaar mag en kan plaatsvinden. Zo nodig moet dat direct gebeuren. Wel is de interne audit hét moment om specifiek en bewust vast te stellen of aanpassing noodzakelijk is.
Om een zo compleet en objectief mogelijk beeld te krijgen, is het mogelijk dat een externe audit wordt uitgevoerd door een extern adviseur. Deze externe audit dient om vast te stellen of de voorgeschreven interne controles en interne audits daadwerkelijk hebben plaatsgevonden en de resultaten ervan op de juiste wijze zijn uitgevoerd, vastgelegd en opgevolgd. Voorts wordt het gehele AEO-Control Framework – op hoofdlijnen – beoordeeld.
Opvolging controle blijft in praktijk vaak achterwege.
Het uitvoeren van interne controles, interne audits en externe audits is een eerste stap. De opvolging van de bevindingen uit controles en audits is echter een stap die in de praktijk vaak achterwege blijft. Deze tweede stap zorgt er echter juist voor dat herhaling van fouten wordt voorkomen en dat processen worden geoptimaliseerd.
Stel, tijdens een interne controle blijkt dat een onderneming een onjuiste goederencode heeft gehanteerd, waardoor stelselmatig te weinig rechten zijn afgedragen. De constatering is dan de eerste stap, maar het corrigeren – de tweede stap – is minstens even belangrijk. In dat geval wordt van een AEO verwacht dat de onderneming een verzoek om bijbetaling indient. Andersom werkt dat op eenzelfde manier. Als de bevinding uit de interne controle is dat te veel is betaald, dan dient de onderneming een verzoek om terugbetaling in. Uiteraard kan de onderneming ervoor kiezen om geen verzoek om terugbetaling in te dienen, als het belang niet groot genoeg is.
De hiervoor genoemde corrigerende maatregel is echter niet voldoende. Er moeten ook preventieve maatregelen worden genomen. In dit geval kan dat door het geven van een training of het aanspreken van medewerkers.
Conclusie
Zoals ik in mijn vorige bijdrage al heb geconcludeerd, wijzigt de douanewetgeving voortdurend. Het AEO-concept blijft echter met redelijk grote zekerheid nog wel vele jaren bestaan. De komst van de Trust & Check Trader betekent dan ook niet dat het belang van AEO minder wordt, in tegendeel. De TCT zal immers minimaal moeten voldoen aan de AEO-voorwaarden. Dat betekent dat het van extra groot belang is om de komende jaren te investeren in AEO-compliance en ook daadwerkelijk te voldoen aan de voorwaarden. Alleen op die manier kan de AEO-vergunning worden behouden.
