Wat verwacht de CBFA inzake interne audit?

Wat verwacht de CBFA inzake interne audit? Enkele aandachtspunten

Caroline Vandevelde, Coördinator CBFA Christel Beaujean, Beaujean, Adjunct-adviseur CBFA

Seminarie CBFABVPI 11 februari 2010

Structuur van de uiteenzetting deel 1 1.

Circulaire CPP-2007-2-WIBP (art. 77 WIBP)

2.

Plaats in de organisatie

3.

Uitoefening van zijn opdracht

4.

Verwachtingen van de CBFA 2

1.

Circulaire CPP-2007-2-WIBP

1.1. Inleiding : Deugdelijk bestuur Principe nr. 1 - Beleidsstructuur Principe nr. 2 - Organen van de IBP Principe nr. 3 - Interne controle Principe nr. 4 - Compliancefunctie Principe nr. 5 - Bedrijfscontinuïteit Principe nr. 6 - Interne audit Principe nr. 7 - Uitbesteding Principe nr. 8 - Erkend commissaris of revisoraatvennootschap Principe nr. 9 - Aangewezen actuaris Principe nr. 10 - Interne informatieverspreiding Principe nr. 11 - Externe informatie 3

1. Circulaire CPP-2007-2-WIBP 1.2. Principe nr. 6 : interne audit "Bevoegd operationeel orgaan (OO) neemt de nodige maatregelen opdat de IBP zou beschikken over een passende interne auditfunctie die onafhankelijk staat tegenover de geauditeerde activiteiten"

4

1. Circulaire CPP-2007-2-WIBP 1.2. Principe nr. 6 : interne audit "Bevoegd OO neemt de nodige maatregelen opdat de IBP zou beschikken over een passende interne auditfunctie die onafhankelijk staat tegenover de geauditeerde activiteiten"





Bevoegd OO : vaak rvb Passend : proportionaliteit Onafhankelijk : onpartijdig en objectief Activiteiten : alle domeinen van de IBP 5

1.

Circulaire CPP-2007-2-WIBP

1.2. Principe nr. 6 : interne audit





Onafhankelijke beoordelingsfunctie Onderzoek en beoordeling van het passend karakter, de doeltreffendheid en de efficiëntie van de interne controle Assisteert de operationele organen in de effectieve uitoefening van hun verantwoordelijkheden Uiteindelijke uitwerking en invoering van maatregelen blijft verantwoordelijkheid van de bevoegd OO

6

1.

Circulaire CPP-2007-2-WIBP

1.3. Aanstelling


Wie ?  Intern




Personeelslid van de IBP Personeelslid van een bijdragende onderneming Dienstverlener

 Een




of extern aan de IBP

natuurlijke persoon of een rechtspersoon

Aangesteld door ?  Bevoegd




OO

Duur van de opdracht ? 7

1. Circulaire CPP-2007-2-WIBP 1.4. Onafhankelijkheid


Onverenigbaarheden 




≠ Lid van een OO, commissaris, aangewezen actuaris, compliance officer

Belangenconflicten  Uitbesteding




: onafhankelijkheid gewaarborgd

Onafhankelijk t.a.v. de geauditeerde activiteiten  

≠ operationele organisatie ≠ uitwerken, invoeren of zelf uitvoeren van maatregelen inzake organisatie en interne controle

8

1.

Circulaire CPP-2007-2-WIBP

1.4. Onafhankelijkheid


Auditcharter :  Opgesteld door de interne auditor, goedgekeurd door het bevoegd OO en bekrachtigd door de RvB




Inhoud charter:   

Doelstelling en reikwijdte van de functie Plaats in de organisatie Bevoegdheden en verantwoordelijkheden




Initiatiefrecht om iedereen te contacteren en alle documenten in te zien Recht om vaststellingen en beoordelingen vrij te uiten en kenbaar te maken. Recht om de voorzitter van de RvB, de compliance officer, de erkende commissaris of de aangewezen actuaris te informeren

9

1.

Circulaire CPP-2007-2-WIBP

1.5. Bekwaamheid




Professionele bekwaamheid Voldoende om alle activiteitsdomeinen van de IBP te kunnen onderzoeken Beroep op externe deskundigen en uitbesteding maar blijft verantwoordelijk  Kwaliteit

en kwantiteit van de controles  In overeenstemming met controlevereisten IBP

10

1.

Circulaire CPP-2007-2-WIBP

1.6. Uitbesteding



Auditor beschikt over vereiste bekwaamheid Schriftelijke overeenkomst 

Interne auditor :





Bevoegd OO






Instemming met risicoanalyse en planning Opvolging van auditactiviteit Opvolging van de aanbevelingen

Bevoegd OO, de erkend commissaris, de aangewezen actuaris en de CBFA




Taken en verantwoordelijkheden Engagement : uitvoering auditplan en inzet middelen

Toegang tot de documenten (werkprogramma en -documenten)

Voldoende lange duurtijd (beëindiging)

11

Structuur van de uiteenzetting deel 2 1.

Circulaire CPP-2007-2-WIBP (art. 77 WIBP)

2.

Plaats in de organisatie

3.

Uitoefening van zijn opdracht

4.

Verwachtingen van de CBFA

12

2. Plaats in de organisatie 2.1.Algemene beschrijving Aangewezen actuaris Adviseur en rapporteur •Adviesverlening

IBP RvB = verantwoordelijk orgaan (bevoegd OO)

Compliance officer Coördinerende en initiatiefnemende rol Controle en bevordering van het integriteitsbeleid

Interne auditor Rol van interne controleur Controle van de efficiëntie en de doeltreffendheid van de interne controle

aan de RvB over de technisch-actuariële methodes, over de technische voorzieningen, ... •Verslag aan de CBFA over de technische voorzieningen

Erkend commissaris Externe controleur •Controle en verslag over de jaarrekening; •Controle van de interne organisatie

2. Plaats in de organisatie 2.2. Interne auditor en RvB RvB Verantwoordelijk orgaan voor de goede uitvoering van de pensioenregelingen •geregeld nagaan of IBP beschikt over een passende interne controle en interne auditfunctie •bekrachtiging auditcharter •bespreking : minstens 1 x per jaar

Interne auditor Rol van interne controleur Nauwe samenwerking

Controle op de functie

•controle efficiëntie en doeltreffendheid van interne controle (procedures en processen) •opstelling charter en auditplan •informeert voorzitter RVB •neemt kennis van de notulen en van alle documenten

•opvolging

Samenwerking, communicatie, informatie-uitwisseling en controle 14

2. Plaats in de organisatie 2.2. Interne auditor en bevoegd OO Bevoegd OO neemt de nodige maatregelen opdat de IBP over een passende en onafhankelijke auditfunctie beschikt •aanstelling interne auditor •goedkeuring auditcharter, planning, terbeschikking stelling middelen •bij uitbesteding : akkoord en opvolging •inzage documenten auditor •bespreking, evaluatie, opvolging •jaarlijks verslag aan de RvB

Interne auditor Rol van interne controleur Nauwe samenwerking

Controle op de functie

•controleert efficiëntie en doeltreffendheid van volledige interne controle (procedures en processen) •opstelling charter en auditplan •(jaarlijks) verslag •neemt kennis van de notulen en van alle documenten

Samenwerking, communicatie, informatie-uitwisseling en controle 15

2. Plaats in de organisatie 2.3.Interne auditor en compliance officer Interne auditor Rol van interne controleur

Samenwerking

Compliance officer : Coördinerende en initiatiefnemende rol

(o.a. nalevingsaudit) •controle van procedures processen m.b.t. integriteit

en

•neemt kennis van de notulen en van alle documenten

Controle op de naleving van de procedures

onderzoek en bevordering van de naleving van de verschillende bestaande wettelijke en interne regels en beleidslijnen

•informeert de compliance officer

Communicatie, informatie-uitwisseling, samenwerking en controle 16

2. Plaats in de organisatie 2.4.Interne auditor en aangewezen actuaris Interne auditor Rol van interne controleur •controleert efficiëntie en doeltreffendheid van interne controle (informatiestromen) •informeert actuaris

Aangewezen actuaris Auditeur Adviseur en interne rapporteur

Samenwerking

Controle op de naleving van werkingsprocess en

•adviesverlening technischactuariële methodes •verslag over de technische voorzieningen •inzage in documenten auditor

Communicatie, informatie-uitwisseling en samenwerking

17

2. Plaats in de organisatie 2.5.Interne auditor en erkend commissaris Erkend commissaris Auditeur interne Externe controleur

Interne auditor Rol van interne controleur Samenwerking •controleert efficiëntie en doeltreffendheid van interne controle Externe controle •informeert commissaris

de

erkende

•beoordeling in verslag van de administratieve en boekhoudkundige organisatie en de interne controle •inzage in documenten auditor

Communicatie, informatie-uitwisseling, samenwerking en controle 18

Structuur van de uiteenzetting deel 3 1.

Circulaire CPP-2007-2-WIBP (art. 77 WIBP)

2.

Plaats in de organisatie

3.

Uitoefening van zijn opdracht

4.

Verwachtingen van de CBFA

19

3.

Uitoefening van zijn opdracht

3.1. Reikwijdte opdracht


Onderzoek en beoordeling van alle activiteiten  Passende

interne controle, nakoming toegewezen verantwoordelijkheden






Naleving beleidslijnen, risicobeheersing Betrouwbaarheid van de informatie Continuïteit Werking administratieve diensten Uitbestede diensten

 Wettelijk

controlestatuut

20

3.

Uitoefening van zijn opdracht

3.2. Planning - uitvoering


Opstellen van een gedocumenteerd auditplan  Risicoanalyse  Doelstellingen

en reikwijdte  Meerjarenplan, auditcyclus  Vereiste middelen


Onderzoek en evaluatie van beschikbare informatie  Documenteren

van werkzaamheden

21

3. Uitoefening van zijn opdracht 3.2. Uitvoering : audittypes



Financiële audit : boekhouding en jaarrekening Nalevings- of compliance audit : procedures en processen i.v.m. naleving wetgeving en interne beleidslijnen




Operationele audit : kwaliteit en het passende karakter van systemen en procedures, organisatiestructuren en gehanteerde methoden en middelen ten opzichte van de doelstellingen




Managementsaudit : managementsfunctie

22

3.

Uitoefening van zijn opdracht

3.3. Rapportering


Schriftelijk verslag bevindingen en aanbevelingen  elke

opdracht (geauditeerde en bevoegde OO)  Jaarlijks (bevoegd OO)


Inhoud :  Vaststellingen

en aanbevelingen van de auditor met aanduiding van de relatieve belangrijkheid  Reactie van de geauditeerde  Punten van overeenstemming 23

3.

Uitoefening van zijn opdracht

3.4.

Opvolging




Bevoegd OO  




Auditor  




Aanduiden wie bevoegd is voor de opvolging van de aanbevelingen Tijdschema Geregeld nagaan of zijn aanbevelingen werden opgevolgd Rapportering aan bevoegd OO

Raad van bestuur 

In kader van zijn toezichtsopdracht

24

Structuur van de uiteenzetting deel 4 1.

2. 3.

Wat verwacht de CBFA op het vlak van interne audit bij IBP's? Bijzonder geval van uitbesteding Enkele nuttige referenties

25

4.1. Verwachtingen van de CBFA op het vlak van interne audit •

•

•

Audit : "Systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijs en het objectief beoordelen daarvan om vast te stellen in welke mate aan de auditcriteria is voldaan" Specifieke aandacht voor: • Auditcharter • Audituniversum • Risicobeoordeling • Auditplan

Goed begrip van de omgeving

Risicobeoordeling en vastlegging van het auditplan

Rapportering en opvolging

Uitvoering van de auditactiviteiten

Evenredigheidsbeginsel

26

4.1. Verwachtingen van de CBFA op het vlak van interne audit - Enkele voorbeelden Process Uitstippeling van het bestuur en de strategie

Kenmerken van de pensioenplannen

Beheer van de IBP

Gestion fond de pension

Risico's Ongeschikte strategie Discrepantie tussen de uitgestippelde strategie en de uitvoering ervan Niet-naleving door een Niet-naleving van van de de dienstverleningsovereenkomst reglementeringen

Technische kenmerken niet geschikt voor de economische leefbaarheid van de IBP Beheer van de gegevens (aanmaken/wijzigen van de gegevens Onjuiste invoering van de kenmerken van de pensioenplannen m.b.t. de pensioenplannen, de deelnemers, ,,,) in het systeem Actualisering van de informatie Inconsistentie van de gegevens Beheer van de aanvragen tot overdracht Toewijzing van de bedrijfskosten Traceerbaarheid van de verrichtingen Bestaan van bewijsstukken Financieel en administratief beheer Onjuiste invoering van de gegevens Rapportering van onnauwkeurige gegevens Gebrekkige werking van de interfaces tussen verschillende functies Rapportering en communicatie Gebrek aan sturing Beheer van de IT-systemen Integriteit van gegevens niet gegarandeerd Ongeschikt beheer van toegangsrechten Ontbreken van continuïteitsplan Ongeschikt beheer van uitbesteding IT ... ...

Bijdrage n

Berekening van de bijdragen Ontvangst en verwerking van de bijdragen ...

Rekenfout ...

27

4.1. Verwachtingen van de CBFA op het vlak van interne audit - Enkele voorbeelden

Process Uitstippeling en uitvoering van beleggingsstrategie (SIP) Risicobeheer

Beleggingen

Verwerking van de transacties Beheer van de beleggingskosten

Toewijzing van de beleggingsresultaten Waardering ... Prestaties

iquidation des prestations

Berekening en boeking van de reserves en prestaties Betaling van de prestaties Fiscaliteit ...

Risico's Ongeschikte beleggingsstrategie Niet-naleving van de beleggingsstrategie bij beleggingsbeslissingen en bij het beheer van de portefeuille Gebrek aan liquiditeit op korte termijn om aan de verplichtingen te voldoen Onvoldoende activa Niet-toegelaten transacties Niet-beschikbaarheid van de informatie die nodig is voor het beheer van de activa Risico op overschatting van een actiefbestanddeel dat bij overdracht tot een waardevermindering kan leiden ...

Onvoldoende voorzieningen voor de te betalen prestaties Fout bij de uitvoering van de betalingen ...

28

Structuur van de uiteenzetting deel 4 1.

Wat verwacht de CBFA op het vlak van interne audit bij IBP's?

2.

Bijzonder geval van uitbesteding

3.

Enkele nuttige referenties

29

4.2. Uitbesteding


CPP-2007-2:




"Uitbesteding kan onder meer betrekking hebben op administratieve en financiële functies (boekhouding, actief-/passiefbeheer, beleggingsbeheer …) of op gespecialiseerde functies (interne audit, compliance, …)."




"Uitbesteding vermindert op geen enkele wijze de verantwoordelijkheid van de organen van de IBP, noch ten opzichte van de aangeslotenen en begunstigden, noch ten aanzien van de bijdragende onderneming of de toezichthouders."

30

4.2. Uitbesteding


Verwijzing naar principe nr. 7 + Audit van de uitbestede activiteit alsof het om een interne activiteit ging




Bijvoorbeeld:




Uitbestedingsbeleid  Heeft de IBP een uitbestedingsbeleid vastgelegd?  Werd dit beleid goedgekeurd door de raad van bestuur?  Zijn de uitbestedingsvoorwaarden duidelijk afgelijnd in dit beleid?




Toezicht op en evaluatie van de activiteiten die worden uitbesteed of toevertrouwd aan derden  Houdt de IBP regelmatig toezicht op de kwaliteit van de uitbestede activiteiten en evalueert zij die regelmatig ?

31

4.2. Uitbesteding


Beslissing tot uitbesteding  Hoe neemt de IBP een beslissing om uit te besteden of om een beroep te doen op derden voor het verlenen van diensten?  Steunt de instelling haar beslissing tot uitbesteding op een grondige analyse?
beschrijving van de uit te besteden diensten of activiteiten
verwachte effecten van de uitbesteding
raming van de kosten en baten
evaluatie van de risico's die aan het project zijn verbonden (financiële, operationele, wettelijke en reputatierisico's)  Opvolging en beheer van de risico's door de IBP

32

4.2. Uitbesteding


Keuze van onderaannemer of dienstverlener  Elementen die in aanmerking worden genomen ( grootte, reputatie, kostprijs, ...)?  Wordt de keuze met de nodige voorzichtigheid gemaakt?  Continuïteit van de dienstverlening ?  Zijn de aanpassings- en stopzettingsclausules voldoende soepel om alternatieve oplossingen te kunnen uitwerken indien nodig?




Schriftelijke overeenkomst  Geeft de overeenkomst een duidelijke omschrijving van de verantwoordelijkheden van beide partijen ?  Hoe komen de continuïteitsaspecten aan bod in deze overeenkomst?  Herroepbaar karakter van de uitbesteding?  Integriteit van het interne en externe toezicht

33

4.2. Uitbesteding


Bescherming  Welke beveiligingsmaatregelen zijn er getroffen om de confidentialiteit en de integriteit van de gegevens over de aangeslotenen en de begunstigden te allen tijde op een afdoende manier te vrijwaren, ook tijdens de onderlinge en/of externe communicatie ervan?  Hoe worden de veiligheids-, confidentialiteits- en reputatierisico's gedekt door de externe dienstverlener?

34

4.2. Uitbesteding - SAS70 of andere certificering Voor de onderaannemer
Geen of weinig herhaalde audits
Wekt vertrouwen bij de onderaannemer
Het controlebeleid en de controleprocedures van de onderaannemer worden beoordeeld en getest door een onafhankelijke partij
Verbetering van de processen
Marketingtool bij sommige cliënten

Voor de IBP
Verschaft informatie voor de beoordeling van de algemene controleomgeving van de IBP
Garandeert dat de onderaannemer belang hecht aan controle en dat dit ook tot uiting zal komen in zijn prestaties
Beheersing van de auditkosten
Gedeeltelijk antwoord op de bekommernissen die geformuleerd zijn in de 11 principes van circulaire CPP2007-2

35

Structuur van de uiteenzetting deel 4 1.

2. 3.

Wat verwacht de CBFA op het vlak van interne audit bij IBP's? Bijzonder geval van uitbesteding Enkele nuttige referenties

36

4.

Enkele nuttige referenties    

   

COSO Cobit ERM ... http://www.theiia.org/ http://www.iiabel.be/ http://www.ifaci.com/ ...

37

4.





Enkele nuttige referenties Attribute Standards - enkele voorbeelden :  1000 – Purpose, Authority, and Responsibility  1100 – Independence and Objectivity  1200 – Proficiency and Due Professional Care  1300 – Quality Assurance and Improvement Program Performance Standards - enkele voorbeelden :  2000 – Managing the Internal Audit Activity  2100 – Nature of Work  2200 – Engagement Planning  2300 – Performing the Engagement  2400 – Communicating Results  2500 – Monitoring Progress  2600 – Management’s Acceptance of Risks

38

4.


Enkele nuttige referenties Sample Practice Advisories - enkele voorbeelden :  Practice Advisory 2100-2: Information Security  Practice Advisory 2130-1: Role of the Internal Audit Activity and Internal Auditor in the Ethical Culture of an Organization  Practice Advisory 2120.A4-1: Control Criteria  Practice Advisory 2310-1: Identifying Information  Practice Advisory 2320-1: Analysis and Evaluation  Practice Advisory 2330-1: Recording Information

39