01 3
NIVRA
Audit Alert
2 augustus 2001
r2
Audit Alert 11: werkzaamheden accountant in het kader van de Regeling Organisatie en Beheersing (ROB) van De Nederlandsche Bank
oo
Inleiding De Sectorcommissie Banken en Beleggingsinstellingen (SBB) van het Koninklijk NIVRA (NIVRA) heeft met De Nederlandsche Bank (DNB) overleg gevoerd over de werkzaamheden die van de accountant worden verwacht in het kader van de Regeling Organisatie en Beheersing (ROB) die op 29 maart 2001 is uitgevaardigd. Deze Audit Alert is totstandgekomen onder consultatie van DNB. Bij de totstandkoming van deze Audit Alert heeft tevens afstemming met de Commissie Controlevraagstukken en -Richtlijnen (CCR) van het NIVRA plaatsgevonden.
en v
De ROB is mede opgezet tegen de achtergrond van de maatschappelijke ontwikkelingen op het gebied van corporate governance, compliance en integriteit en omvat een algehele herziening en samenvoeging van de regelingen van DNB op het gebied van de administratieve organisatie en interne controle. De ROB is van kracht geworden op 1 april 2001 met een overgangstermijn van één jaar. Gedurende deze overgangstermijn zullen de onderzoeken van DNB en de externe accountant in beginsel nog plaatsvinden op basis van de oude regelgeving, tenzij de instelling geheel of gedeeltelijk opteert voor een onderzoek op basis van de nieuwe ROB.
kk
Aanbevolen wordt om in de management letter over het jaar 2001 inzake de voortgang (status) van de implementatie van de ROB te rapporteren. Gelet op de overgangsregeling behoeft de instelling, zowel door DNB als door de externe accountant, tot 1 april 2002 formeel nog niet op basis van de ROB getoetst te worden (tenzij de instelling hiervoor nadrukkelijk wel opteert). Uiteraard gelden in dat geval tot deze datum nog de rapportageverplichtingen van de accountant op grond van de oude regelingen (met name het Memorandum omtrent de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking). Het is echter niet meer nodig om nog separaat te rapporteren uit hoofde van de specifieke regelingen ”Bestuurderskredieten” en ”Afgeschermde rekeningen”. In plaats van een afzonderlijke rapportage kan voortaan volstaan worden met een vermelding van majeure afwijkingen (indien van toepassing) in de management letter.
etr o
Door DNB is aangegeven dat voor onderwerpen waarvan zij van mening is dat richtlijnen van algemene aard niet toereikend zijn, zij beleidsregels zal publiceren ter nadere interpretatie en invulling van bepalingen van de ROB. Status Audit Alert Deze Audit Alert is bedoeld als een tijdelijke handreiking voor de leden, die in relatie moet worden gezien tot de hiernavolgende paragrafen. Geadviseerd wordt goede nota van de Audit Alert te nemen.
Ing
Binnen het NIVRA is de rol en verantwoordelijkheid van de accountant in relatie tot toezichthouders onderwerp van nadere discussie. De bedoeling van het bestuur is om te zijner tijd in overleg met de Raad van Financiële Toezichthouders te komen tot een specifieke richtlijn voor de accountantscontrole bij onder toezicht staande instellingen met aanvullende checklisten voor de diverse toezichtswetten.
01 3
In de vorige paragraaf is aangegeven dat DNB beleidsregels kan publiceren ter nadere interpretatie en invulling van de ROB. Dit betekent dat de hierna nog te bespreken rol van de accountant en de te verrichten werkzaamheden in de loop der tijd kunnen wijzigen. Achtergronden en uitgangspunten De regeling vindt haar grondslag in artikel 22 lid 1 van de Wet toezicht kredietwezen 1992 (Wtk 1992): ‘De Bank kan aan de kredietinstellingen aanbevelingen en algemene richtlijnen voor hun bedrijfsvoering geven met betrekking tot de administratieve organisatie - met inbegrip van de financiële administratie en de interne controle - alsmede met het oog op het voorkomen van belangenconflicten’.
-
Administratieve organisatie bij kredietinstellingen; Organisatie valuta-arbitrage; Risicobeheer derivaten bij kredietinstellingen; Memorandum inzake het toezicht van de Bank op het renterisico; Memorandum betreffende enige specifieke aspecten van de rol van de Raad van Commissarissen in het bankwezen; Memorandum omtrent de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking; en Brief en considerans inzake uitbesteding van de geautomatiseerde gegevensverwerking.
oo
-
r2
De ROB vervangt de volgende richtlijnen en aanbevelingen, welke DNB in het verleden heeft uitgevaardigd:
-
en v
Enkele specifieke regelingen, die betrekking hebben op het onderdeel ‘het voorkomen van belangenconflicten’ in het hiervoor geciteerde artikel 22 lid 1 Wtk 1992, en die als richtlijnen worden beschouwd (zie hierna), blijven separaat van kracht, evenwel met inachtneming van het hierna genoemde met betrekking tot de rol van de accountant: Richtlijn insiderregeling Regeling bestuurderskredieten Regeling afgeschermde rekeningen
kk
Van de laatste twee regelingen vervalt artikel 6 waarin in beide regelingen een specifieke taak wordt opgelegd aan de externe accountant voor wat betreft de controle op de naleving. De beide regelingen worden voortaan meegenomen bij de toetsing en beoordeling in het kader van artikel 23 van de ROB.
etr o
In de ROB zijn diverse algemene uitgangspunten geformuleerd waarbij in de eerste plaats de verantwoordelijkheden van de instelling zijn geregeld. Vervolgens zijn algemene richtlijnen en aanbevelingen gegeven voor (1) risicobeheersing, (2) organisatorische maatregelen, (3) informatie en communicatie en (4) toetsing, beoordeling en bijstelling. Tenslotte zijn regels gesteld voor de rollen en taken van het bestuur en de raad van commissarissen. In de ROB zijn verder de volgende specifieke risicogebieden onderscheiden: Kredietrisico; Marktrisico; Liquiditeitsrisico; Operationeel risico; Informatietechnologie; Uitbesteding van (delen van) bedrijfsprocessen; Integriteitsrisico; Rechten en plichten van (potentiële) cliënten.
Ing
-
In de ROB is onderscheid gemaakt tussen ‘richtlijnen’ (met een verplichtend karakter) en ‘aanbevelingen’ (die weliswaar geen verplichtend karakter hebben, maar waarvan de instelling alleen op goede gronden mag afwijken).
2
01 3
Rol van de accountant Artikel 23 van de ROB luidt als volgt:
r2
‘De opdracht van de instelling aan de externe accountant voorziet in een toetsing en beoordeling op hoofdlijnen terzake van de toereikendheid van de organisatie-inrichting en het beheersingsmechanisme. De in de vorige zin bedoelde toetsing en beoordeling wordt uitgevoerd door de externe accountant met inachtneming van de artikelsgewijze richtlijnen van deze regeling, waarbij specifieke aandacht wordt besteed aan de in paragraaf 2.5 aangegeven ITaspecten. De overige op artikel 22 Wtk 1992 gebaseerde regelingen worden bij deze toetsing en beoordeling tevens in acht genomen. De instelling beschikt over vervolgprocedures die erin voorzien dat gesignaleerde tekortkomingen en gebreken, mede onder toezicht van de interneauditfunctie, tot een gepaste bijstelling leiden.’
en v
oo
DNB acht de onafhankelijke toetsing en beoordeling van de ROB door de externe accountant van groot belang, zowel voor de instelling zelf, meer in het bijzonder voor de taakvervulling van de raad van commissarissen terzake, als voor DNB in het kader van het door haar uit te oefenen toezicht op de instelling. De regeling geeft geen nadere voorschriften voor de systematische toetsing en beoordeling zowel binnen de lijn als door de interne-auditfunctie inzake de toereikendheid van de organisatieinrichting en het beheersingsmechanisme die door de instelling dient te worden verzorgd (artikel 21 ROB). Met name de periodiciteit van toetsing en rapportagevorm van zowel de zelfbeoordeling door de lijn en als de toetsing door de interne-auditfunctie is door DNB in de regeling aan de discretie van het bestuur van de instelling overgelaten. Uiteraard kan de externe accountant wel gebruikmaken van de interne rapportages, terzake van de toetsing en beoordeling van de organisatie-inrichting en het beheersingsmechanisme, waarvoor de instelling heeft gekozen. Het NIVRA beveelt aan om de beschikbare interne rapportages als uitgangspunt te gebruiken voor de verplichte toetsing op hoofdlijnen door de externe accountant (artikel 23 ROB). Deze rapportages kunnen de vorm hebben van rapportages van de interne-auditfunctie en rapportages door de lijn. Te verrichten werkzaamheden Aard van de opdracht en opdrachtbevestiging DNB gaat ervan uit dat de werkzaamheden die door de externe accountant in dit kader moeten worden verricht zoveel mogelijk worden geïntegreerd met de werkzaamheden die worden uitgevoerd in het kader van de controle van de jaarrekening. Praktisch gezien zal de ROB volgens DNB slechts tot aanvullende werkzaamheden leiden waar het onderzoek van de beheersing van de (materiële) risico’s niet tot de scope van de jaarrekeningcontrole zou behoren.
etr o
kk
Hiervoor is reeds aangegeven dat de opdracht aan de externe accountant door de instelling moet voorzien in een toetsing en beoordeling op hoofdlijnen van deze regeling. Dit is dus een opdracht die anders is dan de opdracht tot controle van de jaarrekening. In feite is hier sprake van een opdracht tot het verrichten van overeengekomen specifieke werkzaamheden. Dat deze werkzaamheden in belangrijke mate zullen samenvallen met de werkzaamheden, die noodzakelijk zijn in de context van de jaarrekeningcontrole (hetgeen overigens niet steeds het geval behoeft te zijn), doet niet af aan de noodzaak om deze additionele opdracht zelfstandig in een opdrachtbevestiging vast te leggen. Dit kan gebeuren als onderdeel van (c.q. aanvulling op) de opdrachtbevestiging die wordt gehanteerd voor de jaarrekeningcontrole of in een afzonderlijke opdrachtbevestiging.
Ing
Indien wordt gekozen voor opname in de opdrachtbevestiging voor de controle van de jaarrekening, dan dient hierin expliciet een passage te worden opgenomen waarin wordt aangegeven dat deze bevestiging ook betrekking heeft op de te verrichten werkzaamheden op grond van artikel 23 van de ROB. Het wordt niet noodzakelijk geacht in de opdrachtbevestiging een (uitvoerige) opsomming van de te verrichten werkzaamheden op te nemen. Volstaan kan worden met de mededeling dat de werkzaamheden zullen worden verricht die voorvloeien uit artikel 23 van de ROB en die in deze Audit Alert nader zijn omschreven. De volgende tekst dient als voorbeeld van hetgeen terzake in de opdrachtbevestiging kan worden opgenomen: ‘Wij zijn voorts met u overeengekomen de werkzaamheden te verrichten die, voor zover voor … [naam kredietinstelling] relevant, voortvloeien uit artikel 23 van de Regeling Organisatie en Beheersing van De Nederlandsche Bank en die nader zijn omschreven in Audit Alert 11 d.d. 2 augustus 2001 uitgegeven door het Koninklijk Nederlands Instituut van Registeraccountants.’
3
01 3
Bijlage 1 bij deze Audit Alert bevat een voorbeeld van een opdrachtbevestiging voor de situatie waarin wordt gekozen om deze werkzaamheden vast te leggen in een afzonderlijke opdrachtbevestiging. Gelet op de overgangsregeling is het van belang dat de accountant nog dit jaar overleg voert met de instelling omtrent de wijze van implementatie van de ROB en de keuze of wel of niet (geheel of gedeeltelijk) reeds getoetst wordt op basis van de nieuwe regeling. De accountant volgt hierbij de keuze van de instelling. De opdrachtbevestiging voor additionele werkzaamheden dient evenwel uiterlijk voor 1 april 2002 definitief te zijn.
r2
Doelstelling en reikwijdte van de te verrichten werkzaamheden Artikel 23 van de ROB schrijft voor dat de opdracht aan de accountant voorziet in een toetsing en beoordeling ‘op hoofdlijnen’ terzake van de toereikendheid van de organisatie-inrichting en het beheersingsmechanisme.
oo
De toevoeging ‘op hoofdlijnen’ refereert enerzijds aan de diepgang van de beoogde toetsing en beoordeling, welke in samenhang moet worden bezien met het door de instelling tot stand te brengen niveau van risicobeheersing, namelijk de beheersing van die risico’s die een materiële invloed kunnen hebben op de financiële prestaties, financiële positie, continuïteit of reputatie van de instelling. Anderzijds geeft de toevoeging aan dat het hier een secundaire toetsing en beoordeling betreft. Immers, de primaire toetsing en beoordeling geschiedt door de instelling zelf, zowel binnen de lijn als door de interne-auditfunctie, gericht op de toereikendheid van de organisatie-inrichting en het beheersingsmechanisme.
en v
Van de externe accountant wordt verwacht dat hij zijn toetsing en beoordeling met name richt op de reikwijdte en diepgang van de door de instelling uitgevoerde toetsing en beoordeling, op de uitkomsten daarvan, alsmede op de door de instelling ingestelde vervolgprocedures. Van de accountant wordt dus niet verwacht dat hij de onderscheiden aspecten van de regeling zelfstandig middels lijncontroles toetst. Tot zijn werkzaamheden behoort echter wel een beoordeling van het functioneren van de interne-auditfunctie, met inachtneming van de in de regeling gestelde minimumeisen ten aanzien van deze functie.
kk
Samengevat impliceert de toevoeging ‘op hoofdlijnen’ dat de te verrichten werkzaamheden zijn gericht op de toetsing en beoordeling van de toereikendheid van de opzet, alsmede van de feitelijke implementatie in de bedrijfsprocessen (het bestaan), van de betreffende organisatie-inrichting en het beheersingsmechanisme, en derhalve niet op de (doorlopend goede) werking. Onverminderd het voorgaande is de werking, op onderdelen, vanzelfsprekend gewoonlijk wel van belang in de context van de jaarrekeningcontrole, maar de toetsing hiervan maakt vooralsnog geen onderdeel uit van de in het kader van de ROB te verrichten werkzaamheden. Mochten uit de jaarrekeningcontrole bevindingen over de werking voortvloeien, die van materieel belang zijn, dan worden deze gewoonlijk al in de management letter gerapporteerd aan het bestuur.
etr o
De concrete invulling van de te verrichten (additionele) werkzaamheden is sterk afhankelijk van de aard van de instelling en moet daarom van geval tot geval worden vastgesteld. Het zal voorkomen dat de instelling zelf inventariseert in hoeverre de ROB wordt nageleefd en dat in een dergelijke situatie de hiervan gemaakte interne rapportage als uitgangspunt kan dienen voor de door de externe accountant te verrichten werkzaamheden.
Ing
De desbetreffende toetsing en beoordeling zal in het algemeen worden uitgevoerd op basis van (onder meer): - Eerdere ervaringen met de instelling; - Kennisnemen van verantwoordingen/inventarisaties inzake de ROB, zoals vervaardigd door de instelling zelf; - Gesprekken met bestuur, raad van commissarissen (c.q. audit committee, indien aanwezig) en anderen van de instelling; - Gesprekken met de staf van de interne accountantsdienst en het kennisnemen en beoordelen van het audit-plan, werkdossiers en rapportages van interne accountants; - Kennisnemen van rapportages van toezichthouders (DNB en Stichting Toezicht Effectenverkeer); - Kennisnemen van overige relevante interne (beleids)documenten;
4
Kennisnemen van notulen van relevante vergaderingen (zoals van bestuur, raad van commissarissen, riskmanagementcommissies).
01 3
-
De externe accountant zal bij zijn onderzoek waar mogelijk steunen op de werkzaamheden van de interne-auditfunctie. Indien de interne-auditfunctie is ingericht als een interne accountantsdienst, waar 1 één of meerdere registeraccountants werkzaam zijn, is RAC 610 eveneens van toepassing.
Teneinde de accountant te ondersteunen bij zijn werkzaamheden uit hoofde van de ROB is door de SBB een checklist samengesteld welke als Bijlage 2 bij deze Audit Alert opgenomen is.
oo
r2
Rapportage door de accountant Het algehele oordeel van de accountant over de organisatie-inrichting en het beheersingsmechanisme behoeft niet in zijn rapportage te worden opgenomen. Ingevolge de regeling gaat DNB er echter van uit dat in de rapportage(s) van de accountant ten minste melding wordt gemaakt van (1) de bevindingen van materieel belang inzake de beheersing van IT-risico’s en (2) andere geconstateerde majeure afwijkingen van de ROB en van de overige op artikel 22 Wtk 1992 gebaseerde regelingen. Gesignaleerde majeure tekortkomingen en gebreken terzake van de toereikendheid van de organisatieinrichting en het beheersingsmechanisme worden door de accountant in zijn management letter aan het bestuur gerapporteerd. In samenvattende vorm zullen ook de commissarissen van de bevindingen op de hoogte worden gesteld. Deze rapportage kan plaatsvinden in de jaarlijks uit te brengen management letter, ofwel in één of meer separate rapportages. In dit laatste geval dient volgens DNB in de management letter naar deze separate rapportage(s) te worden verwezen. Hierover het volgende.
en v
Indien de uitkomsten in de management letter worden meegenomen, dan wordt aanbevolen dat hierin een afzonderlijke paragraaf over de ROB wordt opgenomen. Hierin kan worden aangegeven dat de toetsing en beoordeling zoals bedoeld in artikel 23 heeft plaatsgevonden en dat voor de uitkomsten, voorzover voortvloeiend uit de jaarrekeningcontrole, wordt verwezen naar de andere onderdelen van de management letter. In deze afzonderlijke paragraaf kan dan worden ingegaan op de eventuele uitkomsten van de werkzaamheden die additioneel, dus los van de jaarrekeningcontrole, zijn uitgevoerd. Indien geen additionele bevindingen zijn geconstateerd, dan wordt dit vermeld, bijvoorbeeld als volgt:
kk
‘Conform artikel 23 van de Regeling Organisatie en Beheersing van De Nederlandsche Bank hebben wij in overeenstemming met de opdrachtbevestiging d.d. … de werkzaamheden verricht, die zijn omschreven in Audit Alert 11 d.d. 2 augustus 2001 uitgegeven door het Koninklijk Nederlands Instituut van Registeraccountants. Anders dan de bevindingen zoals omschreven in deze management letter hebben deze werkzaamheden geen andere bevindingen opgeleverd waarvan kennisneming door u noodzakelijk zou zijn.’
Ing
etr o
De management letter of de afzonderlijke rapportage(s) worden door de instelling aan DNB verstuurd. Dit laat onverlet de eigen verantwoordelijkheid van de accountant uit hoofde van de Tripartiete Over2 eenkomst voor wat betreft de verzending van de management letter en de zelfstandige meldingsplicht van de accountant zoals bedoeld in artikel 30 lid 4 en 5, alsmede artikel 55 lid 6 en 7, van de Wtk 1992.
1 2
RAC 610: Gebruikmaken van de werkzaamheden van interne accountants Tripartiete overeenkomst inzake de informatieverschaffing door de externe accountant van een geregistreerde kredietinstelling aan De Nederlandsche Bank.
5
01 3
Ten slotte De tekst van de ROB is opgenomen in paragraaf 4201 van het Handboek Wtk van De Nederlandsche Bank en kan worden geraadpleegd op de internetsite van DNB: www.dnb.nl.
r2
Nadere informatie over deze Audit Alert kan worden verkregen bij de secretaris van de Sectorcommissie Banken en Beleggingsinstellingen: Koninklijk NIVRA De heer drs. F.E. van Gelder Postbus 7984 1008 AD Amsterdam telefoon: 020-3010355 fax: 020-3010302 E-mail:
[email protected]
Ing
etr o
kk
en v
oo
De audit alert is tevens te downloaden op de internetsite van het Koninklijk NIVRA: http://www.nivra.nl/Controle/NIVRA-publicaties.htm.
6
Bijlage 1: Voorbeeld opdrachtbevestiging werkzaamheden externe accountant voortvloeiend uit de Regeling Organisatie en Beheersing (ROB).
01 3
De onderstaande opdrachtbevestiging is totstandgekomen in het overleg tussen het NIVRA en DNB en kan niet los worden gezien van de rest van de Audit Alert. Aan het Bestuur van … [naam kredietinstelling] Geacht Bestuur,
r2
Conform artikel 23 van de Regeling Organisatie en Beheersing, zoals opgenomen in paragraaf 4201 van het Handboek Wtk van De Nederlandsche Bank, heeft u ons verzocht een toetsing en beoordeling op hoofdlijnen uit te voeren terzake van de toereikendheid van de organisatie-inrichting en het beheersingsmechanisme van … [naam kredietinstelling].
Deze brief is bedoeld om de voorwaarden en de doelstelling van de aan ons verstrekte opdracht te bevestigen.
oo
1. Wij zullen de opdracht uitvoeren en over de uitkomsten rapporteren in overeenstemming met algemeen aanvaarde richtlijnen inzake opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden. 2. Wij zijn met u overeengekomen de werkzaamheden te verrichten die, voor zover voor … [naam kredietinstelling] relevant, zijn omschreven in Audit Alert 11 d.d. 8 augustus 2001 uitgegeven door het Koninklijk Nederlands Instituut van Registeraccountants.
en v
3. De uitkomsten van onze werkzaamheden zullen wij rapporteren in onze jaarlijkse management letter in de vorm van een rapport van bevindingen. Deze management letter/dit rapport is uitsluitend voor u bestemd en het rapport (of delen daaruit) mag zonder onze uitdrukkelijke toestemming vooraf niet aan derden ter beschikking worden gesteld. Wel geven wij u toestemming deze management letter/dit rapport aan De Nederlandsche Bank ter beschikking te stellen. 4. Op de werkzaamheden ter uitvoering van deze opdracht zijn de hierbij gevoegde Algemene Voorwaarden van toepassing. 5. [Opgave van de verwachte kosten]
Voor akkoord: … [naam kredietinstelling]
Ing
etr o
Hoogachtend,
kk
Gaarne verzoeken wij u het bijgevoegde tweede exemplaar van deze brief ondertekend en gedateerd aan ons te retourneren als blijk van uw instemming met de inhoud van deze brief.
Bijlage: Algemene Voorwaarden
7
8
Ing en v
kk
etr o 01 3
r2
oo
Eventueel te rapporteren punten voor de management letter Ja Nee N.v.t. Dossier
oo
r2
Richtlijn/aanbeveling Deze bijlage bevat een opsomming van alle artikelen uit de ROB en is uitsluitend bedoeld als een mogelijk hulpmiddel voor de dossiervorming van de accountant en om na te gaan: wat de relevantie is van de diverse artikelen voor de betreffende instelling mede ter bepaling van de diepgang van de beoordeling; in hoeverre de organisatie en beheersing reeds is beoordeeld uit hoofde van de jaarrekeningcontrole; op welke onderdelen kan worden gesteund op de werkzaamheden van de interne-auditfunctie; en welke punten eventueel uit hoofde van de ROB gerapporteerd dienen te worden. Is nagegaan of de ROB en andere op artikel 22 Wtk gebaseerde richtlijnen zijn gewijzigd? Zo ja, zijn de eventuele implicaties hiervan voor de uitvoering van de opdracht beoordeeld en verwerkt?
01 3
Bijlage 2: Checklist werkzaamheden externe accountant voortvloeiend uit de Regeling Organisatie en Beheersing (ROB).
1.1 VERANTWOORDELIJKHEID VAN DE INSTELLING
kk
en v
Artikel 1 De instelling is verantwoordelijk voor een zodanige organisatie en beheersing van bedrijfsprocessen dat daarmee wordt voorzien in een beheerste en integere bedrijfsvoering. Artikel 2 Ter concretisering van de op haar rustende verantwoordelijkheid beschikt de instelling over een organisatiestructuur en een beheersingsmechanisme die ten minste voldoen aan de eisen zoals in deze regeling zijn opgenomen. Artikel 3 De organisatiestructuur en het beheersingsmechanisme zijn op systematische en toegankelijke wijze vastgelegd. Artikel 4 De instelling is verantwoordelijk voor een zodanige aansluiting van haar organisatie en beheersing van bedrijfsprocessen met die van dochtermaatschappijen en andere door de instelling beheerste entiteiten, dat geen afbreuk kan worden gedaan aan een beheerste en integere bedrijfsvoering door de instelling zelf.
etr o
1.2 ORGANISATIE-INRICHTING EN BEHEERSINGSMECHANISME 1.2.1 Basisdoelstellingen
Ing
Artikel 5 De organisatie-inrichting en het beheersingsmechanisme gaan uit van de doelstellingen en strategie van de instelling en omvatten procedures ten aanzien van de vaststelling, evaluatie en bijstelling van deze. Artikel 6 De organisatie-inrichting en het beheersingsmechanisme: 1. zijn ingericht op de continuïteit van de bedrijfsvoering; 2. zijn afgestemd op de aard, omvang en complexiteit van de instelling; 3. worden geactualiseerd uit hoofde van veranderende omstandigheden; 4. houden rekening met alle bedrijfsprocessen en risico’s.
9
01 3
r2
Richtlijn/aanbeveling Artikel 7 De instelling beschikt over helder geformuleerde beleidsuitgangspunten die gericht zijn op risicobeheersing en integer handelen. Artikel 8 De instelling draagt zorg voor een systematische risicoanalyse die gericht is op het identificeren, meten en evalueren van alle risico’s. Artikel 9 De risicoanalyse wordt uitgevoerd of begeleid door deskundigen die onafhankelijk zijn van de functies die verantwoording afleggen over commerciële en/of financiële prestaties.
Eventueel te rapporteren punten voor de management letter Ja Nee N.v.t. Dossier
en v
oo
Aanbeveling Voor de grotere en meer complexe instellingen wordt aanbevolen een zelfstandige afdeling in te stellen die belast is met risicoanalyse en die rechtstreeks onder het bestuur ressorteert. Een dergelijke afdeling heeft tot taak een overzicht te verkrijgen van de risico’s die de instelling loopt en of deze in overeenstemming zijn met het gekozen risicoprofiel dat voortvloeit uit de doelstellingen en strategie van de instelling en met de relevante wet- en regelgeving. De behoefte aan een zelfstandige afdeling is mede afhankelijk van de bevoegdheden waarover de commerciële en financiële afdelingen beschikken en de geldende rapportagelijnen. Artikel 10 De instelling draagt zorg voor de uitwerking en implementatie van de beleidsuitgangspunten in organisatorische en administratieve procedures en maatregelen welke geïntegreerd zijn in de bedrijfsprocessen. Artikel 11 De instelling draagt zorg voor een systematisch toezicht op de naleving van organisatorische en administratieve procedures en maatregelen die gericht zijn op risicobeheersing en integer handelen.
kk
Aanbeveling Voor de grotere en meer complexe instellingen wordt aanbevolen één of meer commissies in te stellen die belast zijn met het toezicht op de risicobeheersing van de instelling en die rechtstreeks onder het bestuur ressorteren, dan wel worden voorgezeten door het voor het desbetreffende risicogebied verantwoordelijke bestuurslid. Deze commissies stellen tevens vast of interne voorschriften worden nageleefd. Er zijn verschillende commissies denkbaar, zoals een krediet(risico)commissie, een marktrisicocommissie, een balansbeheercommissie en een operationeel-risicocommissie. De behoefte aan dergelijke commissies is mede afhankelijk van de afstand tussen het bestuur en de bedrijfsprocessen waar de risico’s zich manifesteren.
etr o
1.2.3 Organisatorische maatregelen
Ing
Artikel 12 De instelling draagt zorg voor een eenduidige verdeling van taken, verantwoordelijkheden en bevoegdheden en eenduidige rapportagelijnen die in overeenstemming zijn met deze verdeling. Artikel 13 De instelling beschikt over procedures en maatregelen ter beheersing van gedelegeerde taken, verantwoordelijkheden en bevoegdheden. Artikel 14 De instelling beschikt over procedures en maatregelen ter beheersing van aan derden uitbestede (delen van) bedrijfsprocessen. Artikel 15 De instelling stelt, op belangentegenstellingen gebaseerde, functiescheidingen in om te voorzien in een beheerste en integere uitvoering van werkzaamheden.
10
1.2.4 Informatie en communicatie
oo
r2
Artikel 17 De instelling beschikt over een systeem van verzameling, verwerking en verstrekking van interne en externe informatie dat voorziet in een effectieve beheersing van bedrijfsprocessen en daarmee samenhangende risico’s mogelijk maakt. Artikel 18 De instelling beschikt over procedures en maatregelen ter voorkoming van het oneigenlijke gebruik van informatie. Artikel 19 De instelling beschikt over procedures en maatregelen om de beveiligde en continue werking van elektronische informatie- en communicatiemiddelen te waarborgen. Artikel 20 De instelling beschikt over effectieve interne en externe communicatiekanalen voor de beheersing van bedrijfsprocessen.
01 3
Richtlijn/aanbeveling Artikel 16 De instelling beschikt over procedures en maatregelen inzake de vervulling van sleutelfuncties.
Eventueel te rapporteren punten voor de management letter Ja Nee N.v.t. Dossier
en v
1.2.5 Toetsing, beoordeling en bijstelling
etr o
kk
Artikel 21 De instelling draagt zorg voor een systematische toetsing en beoordeling, zowel binnen de lijn als door de interne-auditfunctie, van de toereikendheid van de organisatie-inrichting en het beheersingsmechanisme en beschikt over vervolgprocedures die erin voorzien dat gesignaleerde tekortkomingen en gebreken, mede onder toezicht van de interneauditfunctie, tot een gepaste bijstelling leiden. Artikel 22 De instelling beschikt over een permanente interne-auditfunctie, die rechtstreeks onder de hoogste leiding ressorteert. Deze functie beschikt over: voldoende deskundigheid om de werkzaamheden van de lijnorganisatie te toetsen en te beoordelen; voldoende onafhankelijkheid om op eigen initiatief bevindingen rechtstreeks aan de voorzitter van het bestuur te rapporteren; voldoende middelen om werkzaamheden op verantwoorde wijze, naar eigen inzicht en waar nodig op eigen initiatief te verrichten; vrije toegang tot alle activiteiten, functionarissen, locaties en informatie.
Ing
Aanbeveling Teneinde de onafhankelijke positie en taak van de interne-auditfunctie te waarborgen wordt aanbevolen haar doelstelling en mandaat op schrift te stellen, bijvoorbeeld in een audit charter. Tevens wordt aanbevolen, dat een dergelijke audit charter door de interne-auditfunctie wordt opgesteld, door het bestuur wordt goedgekeurd en aan alle geledingen binnen de instelling wordt gecommuniceerd. Aanbeveling Aanbevolen wordt, dat, zodra organisatie en middelen zulks toelaten, de interne-auditfunctie als interne-accountantsdienst binnen de organisatie wordt geïnstitutionaliseerd.
11
1.3. ROL EN TAKEN VAN BESTUUR EN COMMISSARISSEN
oo
1.3.1 Bestuur Artikel 24 Het bestuur is verantwoordelijk voor de uitwerking en naleving van de op grond van deze regeling op de instelling rustende verplichtingen
en v
Aanbeveling Aanbevolen wordt dat het orgaan dat de bestuurders benoemt, in overleg met het bestuur, een profielschets opstelt waarin het de integriteit en de naar zijn oordeel nodig geachte deskundigheid en beschikbaarheid van het bestuur omschrijft, teneinde daarmee de instelling van een passende aansturing en beheersing te verzekeren.
kk
Aanbeveling Tevens wordt aanbevolen er bij de samenstelling van het bestuur op te letten dat het bestuur als geheel een goed begrip heeft van alle risico’s die de instelling loopt en van de wijze waarop deze risico’s kunnen worden beheerst. Artikel 25 Het bestuur is verantwoordelijk voor het toezicht op de organisatieinrichting en het beheersingsmechanisme. Binnen het bestuur dient duidelijk te zijn wie primair verantwoordelijk is voor de beheersing per onderscheiden risicogebied.
etr o
Aanbeveling Aanbevolen wordt dat het bestuur zich bij de uitoefening van haar taken laat bijstaan door één of meer commissies/functies, zoals één of meer risicobeheercommissie(s), een beloningscommissie en een compliance-functie. Artikel 26 Het bestuur draagt er zorg voor dat: • zijn taakverdeling en werkwijze in een reglement zijn vastgesteld; • het regelmatig vergadert; en • een schriftelijk verslag van zijn vergaderingen wordt gemaakt.
Ing
Aanbeveling Met het oog op het belang van regelmaat van de vergaderingen van het bestuur wordt aanbevolen dat het tenminste tweewekelijks vergadert. Artikel 27 Het bestuur draagt er zorg voor dat elke (schijn van) verstrengeling tussen de privé-belangen of andere functies van zijn leden en de zakelijke belangen van de instelling wordt vermeden.
12
01 3
r2
Richtlijn/aanbeveling Artikel 23 De opdracht van de instelling aan de externe accountant voorziet in een toetsing en beoordeling op hoofdlijnen ter zake van de toereikendheid van de organisatie-inrichting en het beheersingsmechanisme. De in de vorige zin bedoelde de toetsing en beoordeling wordt uitgevoerd door de externe accountant met inachtneming van de artikelsgewijze richtlijnen van deze regeling, waarbij specifieke aandacht wordt besteed aan de in paragraaf 2.5 aangegeven IT-aspecten. De overige op artikel 22 Wtk 1992 gebaseerde regelingen worden bij deze toetsing en beoordeling tevens in acht genomen. De instelling beschikt over vervolgprocedures die erin voorzien dat gesignaleerde tekortkomingen en gebreken, mede onder toezicht van de interne-auditfunctie, tot een gepaste bijstelling leiden.
Eventueel te rapporteren punten voor de management letter Ja Nee N.v.t. Dossier
1.3.2 Raad van commissarissen
r2
Artikel 29 De raad van commissarissen houdt toezicht op de vervulling van de ingevolge deze regeling op het bestuur rustende taken. Daartoe beoordeelt de raad op hoofdlijnen de organisatie-inrichting en het beheersingsmechanisme die door de instelling, onder leiding van het bestuur, zijn ingesteld.
01 3
Richtlijn/aanbeveling Artikel 28 Het bestuur draagt er zorg voor dat de raad van commissarissen tijdig beschikt over alle relevante interne en externe informatie die noodzakelijk is voor de uitoefening van zijn wettelijke en statutaire taken.
Eventueel te rapporteren punten voor de management letter Ja Nee N.v.t. Dossier
oo
Aanbeveling Aanbevolen wordt dat het orgaan dat de commissarissen benoemt, in overleg met de raad van commissarissen, een profielschets opstelt waarin het de integriteit en de naar zijn oordeel nodig geachte deskundigheid en beschikbaarheid van de leden van de raad van commissarissen omschrijft, die voortvloeien uit de omvang en complexiteit van de instelling en de daaraan gerelateerde risico’s.
en v
Aanbeveling Tevens wordt aanbevolen er bij de samenstelling van de raad van commissarissen op te letten dat hij in staat is te beoordelen of het bestuur de taken vervult die ingevolge deze regeling op het bestuur rusten, waaruit voortvloeit dat de raad als geheel inzicht heeft in de risico’s die de instelling loopt en in de wijze waarop deze risico’s kunnen worden beheerst.
etr o
kk
Aanbeveling Aanbevolen wordt dat de raad van commissarissen, afhankelijk van de omvang en complexiteit van de instelling beschikt over een audit committee, bestaande uit de leden van de raad dan wel uit een vertegenwoordiging daarvan. Het audit committee voert regelmatig overleg met de interne-auditfunctie en de externe accountant van de instelling teneinde zich te laten informeren over de bevindingen van hun werkzaamheden. Hierbij is de organisatieinrichting en het beheersingsmechanisme een specifiek aandachtspunt. De bevindingen van het audit committee worden besproken in de plenaire raad van commissarissen. Artikel 30 De raad van commissarissen ziet er op toe dat er waarborgen zijn dat de interne-auditfunctie haar werkzaamheden onafhankelijk kan verrichten. Artikel 31 De raad van commissarissen draagt er zorg voor dat: • zijn taakverdeling en werkwijze in een reglement zijn vastgelegd; • hij regelmatig vergadert; en • een schriftelijk verslag van zijn vergaderingen wordt gemaakt.
Ing
Aanbeveling Met het oog op het belang van regelmaat van de vergadering van de raad wordt aanbevolen dat hij tenminste tweemaandelijks vergadert. Artikel 32 De raad van commissarissen draagt er zorg voor dat elke (schijn van) verstrengeling tussen de privé-belangen of andere functies van zijn leden en de zakelijke belangen van de instelling wordt vermeden. Artikel 33 De raad van commissarissen van de instelling functioneert onafhankelijk ten opzichte van het bestuur van de instelling.
13
Richtlijn/aanbeveling 2.1 KREDIETRISICO
oo
r2
Artikel 34 De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van kredietrisico’s. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling en dienen onder meer te voorzien in (1) autorisatieprocedures, (2) limietstellingen, (3) limiet- bewaking en (4) procedures en maatregelen voor noodsituaties. Artikel 35 De instelling voert op systematische wijze een analyse van kredietrisico’s uit. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen. Artikel 36 De instelling werkt de beleidsuitgangspunten ter beheersing van kredietrisico’s nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen. Artikel 37 De instelling houdt op systematische wijze toezicht op de naleving van de organisatorische en administratieve procedures en maatregelen inzake de beheersing van kredietrisico’s.
01 3
Eventueel te rapporteren punten voor de management letter Ja Nee N.v.t. Dossier
etr o
kk
en v
Aanbeveling Voor de grotere en meer complexe instellingen wordt aanbevolen een krediet(risico)commissie in te stellen die belast is met het toezicht op de beheersing van de kredietrisico’s die de instelling loopt en die rechtstreeks onder het bestuur ressorteert en aan hem rapporteert, dan wel wordt voorgezeten door het voor kredietrisico’s verantwoordelijke bestuurslid. De commissie ziet er op toe dat het bestuur goed geïnformeerd blijft over het risicoprofiel van de instelling en op de hoogte wordt gebracht van significante problemen en ontwikkelingen. Artikel 38 De instelling beschikt over een informatiesysteem dat toereikend is voor de systematische meting, bewaking en documentatie van alle kredietrisico’s, zowel op instellingsniveau als op het niveau van de onderscheiden bedrijfsonderdelen. De kredietrisico’s die de instelling loopt, dienen tijdig te worden gerapporteerd onder vermelding van geconstateerde (dreigende) probleemkredieten en/of (dreigende) limietoverschrijdingen. Deze rapportering geschiedt overeenkomstig de door de instelling ingestelde rapportagelijnen, met inachtneming van de in artikel 24 gestelde verantwoordelijkheid van het bestuur en de in artikel 29 gestelde taak van de raad van commissarissen. 2.2 MARKTRISICO
Ing
Artikel 39 De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van de onderscheiden marktrisico’s. De beleidsuitgangspunten worden vastgesteld en gecommuniceerd aan alle relevante geldingen van de instelling en dienen onder meer te voorzien in (1) autorisatieprocedures, (2) limietinstellingen, (3) limietbewaking en (4) procedures en maatregelen voor noodsituaties. Artikel 40 De instelling voert op systematische wijze een analyse van de onderscheiden marktrisico’s uit. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen.
14
01 3
r2
Richtlijn/aanbeveling Artikel 41 De instelling werkt de beleidsuitgangspunten ter beheersing van de onderscheiden marktrisico’s nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en dagelijkse werkzaamheden van alle relevante geledingen. Artikel 42 De instelling houdt op systematische wijze toezicht op de naleving van de organisatorische en administratieve procedures en maatregelen inzake de beheersing van de onderscheiden marktrisico’s.
Eventueel te rapporteren punten voor de management letter Ja Nee N.v.t. Dossier
2.3 LIQUIDITEITSRISICO
en v
oo
Aanbeveling Voor de grotere en meer complexe instellingen wordt aanbevolen één of meer commissies in te stellen die belast zijn met het toezicht op de beheersing van de onderscheiden marktrisico’s die de instelling loopt en die rechtstreeks onder het bestuur ressorteren en aan hem rapporteren, dan wel worden voorgezeten door het/de voor marktrisico’s verantwoordelijke bestuurslid/leden. Een marktrisicomissie en een balansbeheercommissie zijn voorbeelden van dergelijke commissies. De commissies zien er op toe dat het bestuur goed geïnformeerd blijft over het risicoprofiel van de instelling en op de hoogte wordt gebracht van significante problemen en ontwikkelingen. Artikel 43 De instelling beschikt over een informatiesysteem dat toereikend is voor de systematische meting, bewaking en documentatie van de onderscheiden marktrisico’s, zowel op instellingsniveau als op het niveau van de onderscheiden bedrijfsonderdelen. De marktrisico’s die de instelling loopt, dienen tijdig te worden gerapporteerd onder vermelding van geconstateerde (dreigende) limietoverschrijdingen. Deze rapportering geschiedt overeenkomstig de door de instelling ingestelde rapportagelijnen, met inachtneming van de in artikel 24 gestelde verantwoordelijkheid van het bestuur en de in artikel 29 gestelde taak van de raad van commissarissen.
Ing
etr o
kk
Artikel 44 De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van liquiditeitsrisico’s. De beleidsuitgangspunten worden vastgesteld en gecommuniceerd aan alle relevante geledingen van de instelling en dienen onder meer te voorzien in (1) autorisatieprocedures, (2) limietstellingen, (3) limietbewaking en (4) procedures en maatregelen voor noodsituaties. Artikel 45 De instelling voert op systematische wijze een analyse van liquiditeitsrisico’s uit. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen. Artikel 46 De instelling werkt de beleidsuitgangspunten nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen.
15
Richtlijn/aanbeveling Artikel 47 De instelling houdt op systematische wijze toezicht op de naleving van de organisatorische en administratieve procedures en maatregelen inzake de beheersing van liquiditeitsrisico’s.
2.4 OPERATIONEEL RISICO
en v
oo
r2
Aanbeveling Voor de grotere en meer complexe instellingen wordt aanbevolen een (balansbeheer)commissie in te stellen die belast is met het toezicht op de liquiditeit en de balansverhoudingen van de instelling en die rechtstreeks onder het bestuur ressorteert en aan hem rapporteert, dan wel wordt voorgezeten door het voor liquiditeit en balansbeheer verantwoordelijke bestuurslid. De commissie ziet er op toe dat het bestuur goed geïnformeerd blijft over het risicoprofiel van de instelling en op de hoogte wordt gebracht van significante problemen en ontwikkelingen. Artikel 48 De instelling beschikt over een informatiesysteem dat toereikend is voor systematische meting, bewaking en documentatie van alle liquiditeitsrisico’s, zowel op instellingsniveau als op het niveau van de onderscheiden bedrijfsonderdelen. De liquiditeitsrisico’s die de instelling loopt, dienen tijdig te worden gerapporteerd onder vermelding van geconstateerde (dreigende) limietoverschrijdingen. Deze rapportering geschiedt overeenkomstig de door de instelling ingestelde rapportagelijnen, met inachtneming van de in artikel 24 gestelde verantwoordelijkheid van het bestuur en de in artikel 29 gestelde taak van de raad van commissarissen.
01 3
Eventueel te rapporteren punten voor de management letter Ja Nee N.v.t. Dossier
etr o
kk
Artikel 49 De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van operationele risico’s. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling. Artikel 50 De instelling voert op systematische wijze een analyse van operationele risico’s uit. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen. Artikel 51 De instelling werkt de beleidsuitgangspunten ter beheersing van operationele risico’s nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen. Artikel 52 De instelling houdt op systematische wijze toezicht op de naleving van organisatorische en administratieve procedures en maatregelen inzake de beheersing van operationele risico’s.
Ing
Aanbeveling Voor de grotere en meer complexe instellingen wordt aanbevolen een commissie in te stellen die belast is met het toezicht op de beheersing van operationele risico’s van de instelling en die rechtstreeks onder het bestuur ressorteert en aan hem rapporteert, dan wel wordt voorgezeten door het voor operationele risico’s verantwoordelijke bestuurslid. De commissie ziet er op toe dat het bestuur goed geïnformeerd blijft over het risicoprofiel van de instelling en op de hoogte wordt gebracht van significante problemen en ontwikkelingen.
16
01 3
r2
Richtlijn/aanbeveling Artikel 53 De instelling beschikt over een informatiesysteem dat toereikend is voor de systematische meting, bewaking en documentatie van alle operationele risico’s, zowel op instellingsniveau als op het niveau van de onderscheiden bedrijfsonderdelen. De operationele risico’s die de instelling loopt, dienen tijdig te worden gerapporteerd onder vermelding van geconstateerde (dreigende) calamiteiten en verliezen. De rapportage geschiedt overeenkomstig de door de instelling vastgestelde rapportagelijnen, met inachtneming van de in artikel 24 gestelde verantwoordelijkheid van het bestuur en de in artikel 29 gestelde taak van de raad van commissarissen.
Eventueel te rapporteren punten voor de management letter Ja Nee N.v.t. Dossier
2.5 INFORMATIETECHNOLOGIE (IT)
kk
en v
oo
Artikel 54 De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van IT-risico’s. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling. Artikel 55 De instelling voert op systematische wijze een analyse van IT-risico’s uit. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen. Artikel 56 De instelling draagt zorg voor de uitwerking en implementatie van de beleidsuitgangspunten ter beheersing van IT-risico’s in zichtbare organisatorische en administratieve procedures en maatregelen, welke geïntegreerd zijn in de IT-processen en de dagelijkse werkzaamheden van alle relevante geledingen. Tevens wordt voorzien in een systematisch toezicht op de naleving daarvan. Aanbeveling Voor de grotere en meer complexe instellingen wordt aanbevolen het toezicht op de risicobeheersing rond de IT neer te leggen bij een risicobeheersingcommissie die rechtstreeks onder het bestuur ressorteert en aan hem rapporteert, dan wel wordt voorgezeten door het voor IT-zaken verantwoordelijke bestuurslid. De commissie ziet er op toe dat het bestuur goed geïnformeerd blijft over het risicoprofiel van de instelling en op de hoogte wordt gebracht van significante problemen en ontwikkelingen.
etr o
Artikel 57 De instelling draagt zorg voor specifieke maatregelen die een afdoende beveiliging van de informatie en de continuïteit van de IT waarborgen. De rechtszekerheid en de privacy van de cliënten dienen bij gebruikmaking van IT-toepassingen in voldoende mate te zijn gewaarborgd. 2.6 UITBESTEDING VAN (DELEN VAN) BEDRIJFSPROCESSEN
Ing
Artikel 58 De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van de risico’s die samenhangen met het uitbesteden van werkzaamheden. De beleidsuitgangspunten worden vastgelegd en gecommuniceerde aan alle relevante geledingen van de instelling. Artikel 59 In geval de instelling onvoldoende waarborgen kan verkrijgen voor het handhaven van een beheerste en integere bedrijfsvoering, wordt niet tot uitbesteding van de desbetreffende bedrijfsprocessen overgegaan.
17
2.7 INTEGRITEITSRISICO
en v
oo
01 3
r2
Richtlijn/aanbeveling Artikel 60 De instelling draagt zorgt voor een systematische analyse van risico’s die samenhangen met de uitbesteding van werkzaamheden. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen. Artikel 61 De instelling werkt de beleidsuitgangspunten ter beheersing van uitbestedingsrisico’s nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen. Artikel 62 De instelling legt de afspraken inzake uitbesteding met de externe dienstverlener/leverancier vast in een schriftelijke overeenkomst. Deze overeenkomst dient mede te voorzien in de bevoegdheid van de Bank om informatie in te winnen omtrent de uitbestede werkzaamheden bij de externe dienstverlener respectievelijk bij zijn externe accountant en desgewenst onderzoek te doen of te laten doen bij de externe dienstverlener/leverancier. Deze laatste verplichting geldt niet voor deelname aan een systeem als bedoeld in artikel 212a, onder b, van de Faillissementswet. Artikel 63 Niet toegestaan is de uitbesteding van: • de in artikel 22 van deze regeling bedoelde interne- auditfunctie aan een niet tot de groep behorende dienstverlener; • de financiële administratie en het opmaken van de jaarrekening aan de controlerende externe accountant van de instelling, dan wel aan het kantoor waarmee de externe accountant is verbonden. Artikel 64 De instelling beschikt over procedures en maatregelen om toezicht te houden op de wijze waarop de externe dienstverlener/leverancier invulling geeft aan de uitbestede werkzaamheden.
Eventueel te rapporteren punten voor de management letter Ja Nee N.v.t. Dossier
kk
Artikel 65 De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van integriteitsrisico’s en draagt zorg voor een bedrijfscultuur waarin integriteitsnormen en –regels op een hoog niveau staan. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling.
Ing
etr o
Aanbeveling Voor internationaal opererende instellingen wordt aanbevolen ter zake van integriteitsaspecten van de bedrijfsvoering over een minimumstandaard te beschikken. Artikel 66 De instelling draagt zorg voor een systematische analyse van integriteitsrisico’s. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen. Artikel 67 De instelling draagt zorg voor de uitwerking en implementatie van de beleidsuitgangspunten in organisatorische en administratie procedures en maatregelen, welke geïntegreerd zijn in de bedrijfsprocessen en die bijdragen aan een integriteitsbewuste bedrijfscultuur.
18
01 3
r2
Richtlijn/aanbeveling Artikel 68 De instelling draagt zorg voor een systematisch toezicht op de naleving van organisatorische en administratieve procedures en maatregelen inzake de beheersing van integriteitsrisico’s en beschikt over procedures die erin voorzien dat gesignaleerde tekortkomingen en gebreken worden gerapporteerd en, mede onder toezicht van de in artikel 69 bedoelde ‘compliance’-functie, tot een gepaste bijstelling leiden. Artikel 69 De instelling beschikt over een onafhankelijke ‘compliance’-functie voor het toezicht op de naleving van de interne normen, voorschriften en gedragsregels alsmede voor het toezicht op de realisatie van bijstelling naar aanleiding van gesignaleerde tekortkomingen en gebreken.
Eventueel te rapporteren punten voor de management letter Ja Nee N.v.t. Dossier
en v
oo
Aanbeveling Het verdient aanbeveling dat de ‘compliance-officer’ toestemming heeft om desgewenst rechtstreeks contact op te kunnen nemen met (het aangewezen lid van) de raad van commissarissen in die gevallen dat het een aangelegenheid betreft die het (mogelijk) niet naleven van de richtlijnen door (één der) bestuursleden zelf raakt. Artikel 70 De instelling draagt zorg voor een systematische toetsing van de toereikendheid van de opzet en de werking van organisatorische en administratieve procedures en maatregelen inzake de beheersing van integriteitsrisico’s. De instelling beschikt over vervolgprocedures die erin voorzien dat gesignaleerde tekortkomingen en gebreken, mede onder toezicht van de interne-auditfunctie, tot een gepaste bijstelling leiden. 2.8 RECHTEN EN PLICHTEN VAN (POTENTIËLE) CLIENTEN
etr o
kk
Artikel 71 De instelling beschikt over helder geformuleerde beleidsuitgangspunten met betrekking tot de wijze waarop informatie over producten en diensten, alsmede over de bij de dienstverlening gebruikte communicatiekanalen, aan (potentiële) cliënten verstrekt wordt, en draagt zorg voor de organisatorische inbedding van een correcte en zorgvuldige informatieverstrekking. Artikel 72 De instelling informeert de cliënt over de wijze waarop klachten worden behandeld en zorgt dat aan de klachtenbehandeling een organisatorische inbedding wordt gegeven. Hiertoe beschikt de instelling over helder geformuleerde beleidsuitgangspunten die nader worden uitgewerkt in procedures en maatregelen voor klachtenanalyse en de mogelijk daaruit voortvloeiende aanpassing van de interne procedures en maatregelen. SPECIFIEKE REGELINGEN
Ing
Richtlijn insiderregeling (onderdeel 3205 Handboek Wtk) Regeling bestuurderskredieten (onderdeel 3206 Handboek Wtk) Regeling afgeschermde rekeningen (onderdeel 3211 Handboek Wtk)
19
01 3 r2 oo en v kk etr o Ing
Koninklijk Nederlands Instituut van Registeraccountants A.J. Ernststraat 55 postbus 7984 1008 AD Amsterdam telefoon 020 301 0 301 fax 020 301 0 302 e-mail:
[email protected] www.nivra.nl
