AEO-monitoring en risk based auditing

Risk based auditing binnen het AEO-Control Framework.
Door Samantha
24 september 2019
Samantha

In de afgelopen jaren heeft ons kantoor diverse artikelen gepubliceerd in relatie tot AEO en het onderhoud van het AEO-certificaat, ofwel AEO-monitoring. Met de inwerkingtreding van het Douanewetboek van de Unie (DWU) is niet alleen het belang van AEO en monitoring groter geworden, maar blijkt ook de centrale rol van een risicogerichte benadering. Dit artikel heeft betrekking op beide onderwerpen: risk based auditing binnen het AEO-Control Framework.

De drielaagse risicoanalyse

In 2014 schreven wij een artikel met de titel “Onderhoud AEO op basis van risicoanalyse”. Daarin werd uitgelegd hoe men de AEO-status kan onderhouden met behulp van het model van de drielaagse risicoanalyse. Dit model is feitelijk een (omgekeerde) piramide waarbij een auditor steeds verder “trechtert” om te komen tot een efficiënte analyse en gerichte aanpak. Hieronder nog even in het kort hoe het model werkt:

1) Bij de eerste laag stelt men vast welke processen primair aandacht behoeven. Als een bedrijf als Known Consignor (KC) is gecertificeerd, zullen veel security-aspecten in het kader van luchtvrachtveiligheid al met procedures zijn afgedekt en zouden deze ook al moeten worden gemonitord. Dergelijke aspecten kunnen dan qua ‘potentieel risico’ voor de processen op een lager planworden gezet.

2) In de tweede laag wordt vastgesteld welke deel-onderwerpen in het kader van risicobeheersing relevant zijn om nader te onderzoeken. Als een bedrijf op grond van haar vergunningen verschillende douaneprocessen heeft, dan brengen niet al deze processen even grote risico’s met zich mee.

3) Ten aanzien van de derde laag worden de resterende ‘echte’ risico’s vastgesteld en worden maatregelen geïmplementeerd om deze restrisico’s zoveel mogelijk te beheersen.

Evolutie in kwaliteitsmanagement

Het onderhouden van de AEO-vergunning en het sturen, controleren en zo nodig corrigeren van processen is feitelijk onderdeel van kwaliteitsmanagement. De interne auditor moet in dat opzicht zowel kennis hebben van douaneprocessen, van douanewetgeving als ook van kwaliteitsmanagement (zie hiervoor ons artikel uit 2013 ‘Het AEO-CF en de internal AEO-Auditor’). Interessant is dat het kwaliteitsmanagement zich inmiddels ook steeds meer richt op het signaleren van risico’s en ook kansen.

Naast het feit dat de wetgeving (DWU, nieuwe guidelines, et cetera) en de AEO-monitoring aan verandering onderhevig zijn, geldt dit ook voor kwaliteitsmanagement. Binnen dit vakgebied is inmiddels het zogenoemde “plug-in model” geïntroduceerd. Dit model gaat ervan uit dat iedere kwaliteitsnorm (bijvoorbeeld ISO 9001, ISO 14001, HACCP) bepaalde vergelijkbare kernelementen kent. We hebben het dan bijvoorbeeld over de structuur, termen en definities, alsmede de toepasselijke basiseisen.

Het plug-in model gaat uit van gezamenlijke vergelijkbare kernelementen in de diverse kwaliteitsnormen.

Met dit ‘plug-in model’ wordt vastgesteld welke maatregelen ten behoeve van de diverse normen worden toegepast om te voorkomen dat onnodig dubbel wordt gecontroleerd. Een dergelijke analyse komt de efficiëntie van de monitoring en het auditen uiteraard ten goede. De wijze waarop binnen het kwaliteitsmanagement de aanpak van monitoring en auditing wordt benaderd, is vergelijkbaar met hoe de drielaagse risicoanalyse werkt.

ISO 31000 (risicomanagement)

Risicomanagement kent ook een eigen norm: ISO 31000. Deze norm laat zich het beste omschrijven als “een internationale richtlijn op het gebied van risicomanagement die een universeel begrippenkader en raamwerk biedt voor het beheersen van risico's”.

Een goed ingericht classificatieproces leidt  tot een sluitend en betrouwbaar proces en is een goed verkoopargument.

Een risico wordt daarbij gedefinieerd als het effect van een onzekere factor op het bereiken van de bedrijfs-doelstellingen (missie, visie en beleid van het bedrijf) in zowel positieve zin (kansen) als negatieve zin (risico’s). Binnen het systeem van risicomanagement conform ISO 31000, worden factoren als ‘onzekerheid’, ‘gebeurtenis’ en ‘gevolg’ meetbaar gemaakt en in kaart gebracht door middel van een risicoanalyse. Een dergelijke analyse zal uiteindelijk leiden tot een beter inzicht in de bedrijfsvoering en risicobeheersing. Het bedrijf brengt op deze manier namelijk zelf in kaart waar de risico’s, maar ook de kansen liggen ten aanzien van de eigen processen. Juist het aspect van het denken in kansen naast de risico’s, kan voor veel bedrijven een nieuwe dimensie vormen ten aanzien van de AEO-monitoring zoals deze tot nu toe is uitgevoerd.

Conclusie

Het toepassen van risk based auditing binnen de AEO-monitoring biedt de interne AEO-auditor de mogelijkheid om binnen het bestaande AEO-Control Framework niet alleen de risico’s, maar ook de kansen in kaart te brengen. Met name het kunnen signaleren van kansen biedt de AEO-auditor de mogelijkheid om nog actiever bij te dragen aan het bereiken van de bedrijfsdoelstellingen van het gecertificeerde bedrijf.

Wenst u meer informatie over de AEO-vergunning, AEO- monitoring of auditing? Neem contact op met één van onze adviseurs of juristen via info@customsknowledge.nl.

Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaardt Customs Knowledge geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor de gevolgen hiervan. Dit artikel is niet bedoeld als een specifiek advies. Zie in dit kader ook de Algemene Voorwaarden van Customs Knowledge BV.