Blog Archives

Met de overgang naar de nieuwe Wet Toekomst Pensioenen (WTP) zijn er nog veel vragen over hoe risicobeheersing moet worden ingericht. Deze blog biedt ondersteuning met enkele essentiële richtlijnen. Na een algemene introductie wordt risicobeheersing besproken vanuit de plan-do-check-act (PDCA)-cyclus. Tot slot wordt de rol van de sleutelfunctie risicobeheer belicht.

Risicobeheersing door sleutelfuncties

De in de pensioenwetgeving verankerde sleutelfunctiehouders risicobeheer, interne audit en actuarieel moeten borgen dat vanuit hun taakgebied voldoende (zorgvuldig en zichtbaar) aandacht wordt besteed en gereflecteerd op de beheerste bedrijfsvoering van het pensioenfondsbestuur. Dit geldt vanzelfsprekend ook voor de omvangrijke en complexe transitie naar WTP.

In deze blog focus ik mij op de rol van sleutelfunctiehouder risicobeheer bij de WTP transitie, die voldoende aandacht voor risicobeheer moet borgen.

Plan-Do-Check-Act Cyclus

In het FTK besluit artikel 18 staat waaraan een pensioenfonds moet voldoen bij een beheerste bedrijfsvoering: ”het fonds stelt onder meer strategieën, processen en rapportageprocedures schriftelijk vast om op individueel en geaggregeerd niveau de risico’s waaraan het fonds en door het fonds uitgevoerde pensioenregelingen zijn of kunnen worden blootgesteld regelmatig te onderkennen, meten, bewaken en beheren en hierover te rapporteren.”

Om hieraan te voldoen is het essentieel te werken met een gestructureerde en gefaseerde aanpak langs een Plan-Do-Check-Act Cyclus, PDCA-cyclus.

In aanvulling op het bestuur (“1^e lijn”) ziet de onafhankelijke risicobeheerfunctie (“2^e lijn”) er hierbij op toe dat risicobeheersing binnen deze PDCA cyclus voldoende aandacht krijgt.

Risicobeheersing bij de transitie naar WTP

Het gaat te ver om in deze blog een integraal overzicht te geven van de brede rol van de sleutelfunctiehouder risicobeheer en hiermee verband houdende werkzaamheden. Er wordt met een behandeling in hoofdlijnen volstaan, door elke fase van de PDCA-cyclus enkele must haves te benoemen. Tot slot wordt aandacht besteed aan de plaats van de sleutelfunctiehouder risicobeheer in projectorganisatie.

Deze must haves dragen bij aan een tijdige opdrachtaanvaarding en het opleveren van een in opzet risicobeheerst implementatieplan en communicatieplan, waarna de operationele transitie en het invaren op de geplande invaardatum zal plaatsvinden.

Plan-fase

• Beoordeel de toereikendheid van een integraal projectplan. Check volledigheid, begrijpelijkheid en overzichtelijkheid van mijlpalen/fases leidend tot een tijdige transitie. In het open-boek-toezicht geeft DNB een handreiking met welke mijlpalen kan worden gewerkt. Belangrijke elementen bij het projectplan zijn een adequate projectorganisatie en vastlegging taken, verantwoordelijkheden en bevoegdheden, waaronder die van de sleutelfunctiehouders. Geef over de bevindingen een opinie en monitor opvolging van de aanbevelingen.
• Bij de transitie is er veel afhankelijkheid van derden, zoals uitvoeringsorganisaties en sociale partners. Veranker en beheers deze afhankelijkheden in het project-transitieplan.
• Definieer vooraf go/no momenten en procedures voor als no go momenten zich voordoen om continuïteit van het proces te waarborgen.

Do-fase

• Beoordeel de tijdigheid en toereikendheid  van de oplevering van deelproducten/mijlpalen. Geeft voorafgaand aan de besluitvorming voor elk materieel deelproduct/mijlpaal een risico-opinie. Borg een tijdige behandeling van de risico-opinie bij de besluitvorming, bijvoorbeeld door aanwezigheid bij de vergadering.
• Zie toe op volledigheid en robuustheid van risicoanalyses door de preseigenaren en het tijdig actualiseren hiervan. Geef een opinie met oordeel en aanbevelingen

Check-fase

• Check periodiek een logische opvolging van de mijlpalenplanning en nog openstaande acties en aanbevelingen, onder meer met behulp van periodieke voortgangsrapportages. Beoordeel de toereikendheid van de rapportages en bevindingen en geeft hierover een opinie. Neem bij de beoordeling ook de afhankelijkheid van derde partijen mee.

Act-fase

• Zie toe op opvolging van kritische aanbevelingen en bijsturing van gesignaleerde tekortkomingen, zodat na opdrachtaanvaarding tijdige oplevering van het implementatieplan, communicatieplan en de operationele uitvoering  van de transitie kan plaatsvinden.

Tot slot

Een beheerste transitie naar WTP heeft geen kans van slagen, als de sleutelfunctiehouders hun rol niet goed kunnen uitoefenen. Daarom wordt ter afsluiting aandacht besteed aan de plaats van de sleutelfunctiehouder risicobeheer in de projectorganisatie.

Plaats sleutelfunctiehouder risicobeheer in de projectorganisatie

Om goed invulling te geven aan zijn rol  moet de sleutelfunctiehouder risicobeheer door het bestuur in staat gesteld worden zijn functie op een objectieve, eerlijke en onafhankelijke manier te vervullen (FTK artikel 22c). De sleutelfunctiehouder moet dit in samenspraak met het bestuur borgen. In beginsel zal dit geborgd zijn in de bestuurlijke governance, vastgelegd in de ABTN en reglementen. Daarnaast moet de sleutelfunctiehouder hier met een onafhankelijk en professioneel optreden een bijdrage aan leveren. Voldoende, tijdige, brede zichtbaarheid en communicatie met deelnemers in de projectorganisatie is hierbij een must.

Een periodieke afstemming tussen sleutelfunctiehouders, die ieder vanuit hun eigen taakgebied toezien op het proces, is inmiddels eveneens waardevol gebleken. Met een sleutelfunctiehoudersoverleg wordt de structurele en integrale  controle op het transitieproces versterkt. Onderdeel van deze afstemming is dat sleutelfunctiehouders kennis nemen van elkaars bevindingen en opinies en hiervan waar nodig en effectief gebruik van maken. Met name de beoordeling van de sleutelfunctiehouder actuarieel, onder meer waar het betreft de plausibiliteit van actuariële uitgangspunten en berekeningen geven de sleutelfunctiehouder risicobeheer aanvullend inzicht in het beheersingsproces.

Bent u aan het nadenken over de inrichting of aanpassing van de interne auditfunctie bij uw fonds, dan denk ik, bij een (digitale) kop koffie graag vrijblijvend met u mee.

Hans Sieraad RA

Als eindverantwoordelijke van een bureau dat o.a. auditdiensten aanbiedt, merk ik dagelijks de krapte op de arbeidsmarkt voor internal auditors in Nederland. Het aantal internal auditfuncties neemt nog steeds toe, internal auditors stromen door naar andere functies en de instroom van nieuwe auditors is onvoldoende. Een bijkomende uitdaging is dat relatief veel arbeidskrachten de overstap maken naar ondernemerschap als zzp’er. De flexibiliteit, autonomie en stijgende tarieven die het zzp-schap lijkt te bieden, trekt veel auditprofessionals aan. Soms pakt de werkelijkheid van het zzp-schap minder romantisch uit dan vooraf gedacht, maar daarover schrijf ik wellicht een andere keer.

In de jaren dat ik de beroepsvereniging, het Instituut van Internal Auditors (IIA) Nederland, mocht vertegenwoordigen als bestuurslid (2008-2014), focusten we vooral op de bekendheid en relevantie van het vakgebied richting allerlei organisaties. We legden met het IIA ook de basis voor advocacy & lobby naar o.a. de pers, toezichthouders en commissarissen. O.a. de vermelding van internal audit in de corporate governance code werd terecht gevierd als succes. Maar eerlijk gezegd zijn we in die tijd iets heel belangrijks vergeten: de instroom bevorderen…

De kloof dichten

De behoefte aan gekwalificeerde professionals overstijgt momenteel het aanbod en daarvoor zijn duidelijk aanwijsbare redenen. En hoe de toekomst er uit ziet? Mijn verwachting is dat deze schaarste verder zal toenemen. Om deze kloof te kunnen dichten, moeten we innovatieve en strategische oplossingen inzetten. Het is daarbij essentieel dat zowel de beroepsvereniging (IIA), organisaties met auditfuncties, als onderwijsinstellingen een belangrijke rol spelen. Ook de commerciële dienstverleners kunnen hun invloed positief aanwenden.

In deze blog roep ik niet alleen op tot snelle, noodzakelijke actie, maar schets ook kort enkele initiatieven die we kunnen nemen om meer professionals aan te trekken en op te leiden voor de mooie, belangrijke rol van internal auditor.

Onderwijs en training

Een belangrijke stap lijkt me de samenwerking met onderwijsinstellingen. Uiteraard ook met degenen die al specifieke auditopleidingen aanbieden, zoals de Erasmus Universiteit en UvA met de RO-studie en de Haagse Hogeschool en Avans+ met het niveau eronder. Samenwerking die verder gaat dan over het curriculum en de kwaliteit: juist ook over hun propositie, doelgroep benadering en algehele marketing.

Er is echter nog meer te winnen bij andere universiteiten en hogescholen. Bij de werving van onze eigen audit trainees merken we dat afgestudeerden vrijwel nooit eerder in hun studie hoorden over internal audit. Zelfs niet in studies Bedrijfs- of Bestuurskunde, die toch dicht bij ons vakgebied liggen. Dit verdient een specifieke propositie van de beroepsgroep, richting een weloverwogen aantal geselecteerde studies. Weten we onder de aandacht te komen? Dan kunnen deze studies worden ondersteund bij het aanbieden van specifieke interne auditprogramma’s. Door gastcolleges te geven en stages aan te bieden, krijgen studenten de kans om praktijkervaring op te doen en zich te verdiepen in het vakgebied.

De huidige certificering tot Certified Internal Auditor (CIA) kan nog meer worden ingezet om studenten te motiveren zich verder te specialiseren in internal auditing. Het zou al een enorme winst zijn als men alleen Part 1 (Essentials of Internal Auditing) aan het CV zou toevoegen, als eerste stap (eventueel naar meer?). Voor werknemers die al kozen voor een andere baan, maar interesse kregen voor ons bijzondere vak, kunnen gerichte bijscholingsprogramma’s worden ingezet.

Bewustwording en promotie

Voor een betere instroom is het verhogen van de zichtbaarheid en aantrekkelijkheid van de functie van internal auditor cruciaal. Vrijwel alle zichtbare uitingen van dit moment richten zich echter van auditor tot auditor, veelal over inhoudelijk gedetailleerde vraagstukken. Deze gaan nauwelijks over de functie, richting niet-auditors, dus evenmin richting potentiële nieuwe collega’s.

Promotiecampagnes kunnen de voordelen en carrièremogelijkheden van de functie benadrukken. Uiteraard zijn er diverse opties om deze campagnes te voeren: via social media, job fairs of beroepsoriëntatiedagen. Het gebruik van testimonials en succesverhalen zijn daarbij essentieel. Van zowel het huidige management, hoe het is om met een instromer te werken, als de ervaring van de instromer zelf. Mooie recente voorbeelden daarvan zijn die van Laura van den Ing in AuditMagazine en van één van onze opdrachtgevers over de samenwerking met een trainee. Wordt ervoor gekozen om bijna-afstuderende studenten te benaderen? Maak dan vooral gebruik van de inzichten van degenen die recent instroomden. Ongetwijfeld denken zij graag mee, vanuit hun enthousiasme, kennis en ervaring.

Business Auditors en Audit traineeships

Natuurlijk zijn er nog andere mogelijkheden om de kloof tussen vraag en aanbod te verkleinen. Het inzetten van business auditors blijft een interessante benadering. Verschillende bedrijven, zoals multinationals en grote financiële instellingen, hebben succesvolle programma’s opgezet waarbij business auditors (collega’s die een audit kunnen uitvoeren omdat ze tijdelijk zijn uitgeleend door andere bedrijfsafdelingen) worden ingezet. Deze programma’s hebben aangetoond dat business auditors niet alleen de effectiviteit van audits kunnen verbeteren, maar ook kunnen bijdragen aan een cultuur van voortdurende verbetering en risicobewustzijn binnen de organisatie.

Het concept van business auditors biedt een innovatieve en praktische oplossing voor het tekort aan internal auditors. Door gebruik te maken van de bestaande talenten en expertise binnen de organisatie, kunnen bedrijven hun auditcapaciteit versterken en tegelijkertijd de professionele ontwikkeling van hun medewerkers bevorderen.

Audit traineeships bieden een gestructureerde en effectieve manier om nieuwe talenten te ontwikkelen in de auditsector. Ze combineren praktijkervaring, training, en professionele coaching om deelnemers klaar te stomen voor een succesvolle carrière in auditing. Zowel bedrijven als trainees profiteren van deze programma’s, doordat ze helpen om de kloof tussen theorie en praktijk te overbruggen en een robuuste pipeline van gekwalificeerde auditors te creëren. Ook brengt het de bestaande collega’s nieuwe energie en ideeën. Lees hier meer over het traineeship waarmee ARC People al meer dan 15 jaar audittalenten toevoegt aan het vakgebied. Het concept werkt: enkele talenten van jaren geleden zijn inmiddels onze opdrachtgevers geworden!

Arbeidsvoorwaarden en carrièrepaden

Uiteraard helpt het voor het aantrekken en behouden van internal auditors ook wanneer er competitieve salarissen en aantrekkelijke secundaire arbeidsvoorwaarden voor de functie gelden. Het extra benadrukken van een goede werk-privé balans, flexibele werkmogelijkheden én de mogelijkheid tot het maken van échte impact kan vooral jongere professionals aanspreken; zij hechten immers relatief veel waarde aan deze elementen.

Het schetsen van duidelijke carrièrepaden voor internal auditors draagt eveneens bij aan de aantrekkelijkheid van het beroep. Hierbij dienen vooral de volgende elementen te worden benadrukt: promotiekansen, doorgroeimogelijkheden naar hogere posities binnen de organisatie, continu leren, snelle ontwikkeling en uitbreiding van het persoonlijke netwerk.

Hetzelfde werk ánders doen

Uiteraard kun je als oplossingsrichting er ook nog aan denken om het huidige werk op een andere manier te gaan doen. Zodanig efficiënt dat er met de huidige bezetting meer inzichten kunnen worden opgeleverd aan de organisatie. Daarvoor zijn er legio mogelijkheden. Ik noem er hier slechts enkele. Misschien heeft u deze opties al toegepast?

• Kijk je een eerste keer ergens naar? Beoordeel eerst alleen eens de opzet.​
• Is er al een probleem van tevoren bekend? Stap dan door naar een diagnose​.
• Neigt het al snel naar een ‘Onvoldoende’, in de eerste fase van de audit? Zet de audit tijdelijk stop, draag je normenkader over en kom later terug.​
• Laat eerst een self-assessment door de auditee​ uitvoeren, alvorens te auditen.

Ook valt er uiteraard te denken aan de inzet van AI voor de interne auditfunctie. Enkele eerste mooie voorbeelden van de toepassing ervan zijn aan het ontstaan. Analyseren van documentatie en ongestructureerde gegevens op basis van een aangedragen norm, geautomatiseerde verwerking van gegevens tot een rapportage, et cetera. Of zijn er routinematige of herhalende taken die, als je eerlijk bent, ook door AI óf een andere functie in de organisatie kunnen worden overgenomen? Afijn, genoeg stof om over na te denken.

Tenslotte

Er heerst schaarste op de arbeidsmarkt voor internal auditors en de verwachting is dat die schaarste zal toenemen. Er zijn dringend acties nodig ter bevordering van de instroom. In deze blog zijn enkele suggesties geschetst. Wellicht hebben deze u al aan het denken gezet, of zelfs al tot actie doen overgaan, ook al zijn sommige suggesties voor de hand liggend. In ieder geval lijkt het verstandig om vanuit de beroepsvereniging wederom een goede advocacy strategie (lees: belangenbehartiging middels beïnvloeding) te ontwikkelen. Net zo concreet als jaren geleden werd opgezet om het vakgebied te promoten bij alle beslissers, maar nu gericht op de belangrijkste stakeholders aan de instroomkant. Die aanpak zou ook aan de instroomkant tot succes moeten kunnen leiden.

Laatste update: 10-09-2024

Wat is DORA?

DORA is één van de vele nieuwe wet- en regelgevingen die binnen afzienbare tijd van toepassing worden voor alle financële instellingen binnen de lidstaten van de Europese Unie. DORA staat voor Digital Operational Resilience Act en heeft als voornaamste doel om wet- en regelgeving op het gebied van cyberrisico’s voor de financiële sector te uniformeren en te standaardiseren en om de digitale weerbaarheid tegen cyberaanvallen te versterken.

In tegenstelling tot bijvoorbeeld de NIS2-regelgeving is DORA echter een verordening die niet eerst in lokale wet- en regelgeving geïmplementeerd moet worden voordat deze van kracht is. DORA is daarom per 17 januari 2025 direct van kracht binnen alle lidstaten van de Europese Unie en de implementatie zal ook op het niveau van de Europese Commissie worden gemonitord door de Europese toezichthouders EBA (Europese Bankautoriteit), EIOPA (Europese Autoriteit voor verzekeringen en bedrijfspensioenen) en ESMA (Europese Autoriteit voor Effecten en Markten).

De volgende organisaties vallen onder andere onder DORA:

1. Banken
2. Verzekeraars
3. Beleggingsondernemingen (waaronder pensioenfondsen)
4. Cryptodienstverleners

De reikwijdte van DORA stopt echter niet bij deze financiële entiteiten omdat DORA deze instellingen tegelijkertijd verplicht om ook regie te houden op de beheersing van cyberrisico’s in de gehele keten, dus ook die van de leveranciers van de instelling die dienstverlening leveren bestaande uit of ondersteund door ICT. Een vermogensbeheer van een pensioenfonds valt bijvoorbeeld ook onder deze definitie. Dit heeft als voordeel dat de Europese toezichthouders alleen toezicht hoeven te houden op de financiële entiteiten in scope van de verordening maar dat tegelijkertijd er door deze entiteiten zelf toezicht wordt gehouden op de rest van de keten.

DORA bestaat uit 3 niveaus

Level 1 – de primaire wetgeving: bestaande uit 5 hoofdonderwerpen.
Level 2 – de technische standaarden: bestaande uit Regulatory Technical Standards (RTS) en Implementing Technical Standards (ITS).
Level 3 – niet-bindende richtlijnen.

Hieronder worden deze 3 niveaus/levels nader toegelicht.

Goed om te weten is dat DORA in tegenstelling tot andere Cyber Security wet-en regelgeving zoals NIS2 of normenkaders zoals NIST en CIS, rule-based is in plaats van principle-based.

DORA level 1 bestaat uit de volgende hoofdonderwerpen uit de primaire wetgeving:

1. ICT Risicobeheer;
2. Incidentenbeheer;
3. Testen van digitale weerbaarheid;
4. ICT-outsourcing;
5. Informatie-uitwisseling.

DORA level 2 beschrijft per onderwerp uit de primaire wetgeving de regels die in detail gevolgd moeten worden (RTS), zoals bijvoorbeeld de RTS “ICT incident classification” die in detail ingaat op de classificatie van incidenten. Tevens worden er templates verschaft voor de meest uitgebreide vereisten (ITS), zoals bijvoorbeeld het Register van Informatie voor alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten.

DORA level 3 beschrijft de niet-bindende richtlijnen. Deze zijn bedoeld om best practices te delen, bevatten voorbeelden en praktische tips en zijn uiteindelijk bedoeld om een uniforme toepassing van de regelgeving in alle EU-lidstaten te bevorderen.

Meldingsplicht

Naast het verplicht nemen van maatregelen geldt een meldingsplicht voor financiële instellingen die onder DORA vallen. Deze meldingsplicht is tweeledig:

1. Incidentmelding

Melden van incidenten die een impact hebben op de dienstverlening van een financiële instelling. Dit gaat verder dan de huidige eisen van De Nederlandsche Bank (DNB).

2. Meldplicht derde partijen

Alle contractuele overeenkomsten voor het leveren van ICT-diensten moeten worden vastgelegd in een register. Ondernemingen moeten daarbij opnemen of de afgenomen diensten kritieke of belangrijke activiteiten ondersteunen. Toezichthouders kunnen dit register opvragen. Daarnaast dienen nieuwe overeenkomsten jaarlijks te worden gerapporteerd. Overeenkomsten met betrekking tot kritieke of belangrijke functies moeten ook tussendoor actief gemeld worden bij de toezichthouder¹.

Sancties

De specifieke sancties voor de DORA variëren afhankelijk van de context en de mate van niet-naleving. De gevolgen kunnen zijn:

1. Boetes en financiële sancties. De hoogte kan variëren op basis van de ernst van de inbreuk en de omvang van de instelling.
2. Beperkingen op bedrijfsactiviteiten. Toezichthouders kunnen beperkingen opleggen aan de activiteiten van financiële instellingen die niet voldoen aan DORA. Dit kan bijvoorbeeld betekenen dat ze bepaalde diensten niet mogen aanbieden of hun activiteiten moeten verminderen.
3. Reputatieschade. Niet-naleving van DORA kan leiden tot negatieve publiciteit en reputatieschade voor de betrokken instellingen.
4. Strafrechtelijke vervolging. In ernstige gevallen kunnen individuen binnen de financiële instelling, hoofdzakelijk het bestuur, strafrechtelijk worden vervolgd bij het opzettelijk schenden van de DORA voorschriften.

Grotere rol van het bestuur bij DORA

De reikwijdte van DORA is groter dan alleen de financiële instellingen die benoemd worden in de verordening, omdat de instellingen tegelijkertijd verplicht zijn om regie te houden op de beheersing van cyberrisico’s in de gehele keten.

Wat opvalt, is dat de DORA zeer omvangrijk is, bestaande uit honderden pagina’s en dat deze verordening rule-based is. Afwijking van de regels is maar voor een zeer selecte groep aan organisaties, onder de noemer micro-organisaties, toegestaan. Verder zijn nog niet alle Level 2, ofwel Regulatory Technical Standards, uitgebracht. De laatste batch aan standaarden wordt pas op 17 juli 2024 uitgebracht. Echter, ook deze standaarden moeten per 17 januari 2025 geïmplementeerd zijn door organisaties.

Wat ook opvalt, is de grotere rol voor en verantwoordelijkheid van het bestuur. Zo dienen zij de cybersecurity-maatregelen goed te keuren en toe te zien op de uitvoering ervan. Stevige monitoring is dus vereist. Tevens dient het bestuur verplicht training te volgen.

Zoals vermeld heeft de invoering van DORA verregaande en verstrekkende gevolgen voor financiële entiteiten (en hun leveranciers) en de verwachtte implementatietijd per organisatie is aanzienlijk. Het is daarom belangrijk om zo snel mogelijk te starten.

Volgende stappen: hoe word u DORA-compliant?

Om compliant te worden aan DORA, adviseren wij u de volgende stappen te nemen:

1. Start met een fit-gap analyse op DORA level 1 niveau. Indien uw organisatie onder DNB toezicht staat kunt u hiervoor ook de DNB Good Practice Informatiebeveiliging 2023 gebruiken. Dit kader wordt al door DNB gebruikt en dekt een groot deel van DORA level 1 af.
2. Volg de gaps op DORA level 1 niveau op en gebruik hiervoor de “rules” uit de verordening.
3. Voer een fit-gap analyse uit op DORA level 2 niveau.
4. Volg de gaps op DORA level 2 niveau op.
5. Start met de reeds goedgekeurde policies en tijdrovende ITS’en.
6. Voer opnieuw een fit-gap analyse uit op DORA level 2 niveau (nadat het 2^e deel van de level 2 policies zijn uitgebracht op 17 juli 2024, zoals vermeld in de vorige paragraaf).
7. Volg de laatste gaps op.
8. Laat eind 2024 een (interne) audit uitvoeren om vast te stellen of aan alle DORA eisen wordt voldaan.

Indien uw organisatie verwacht om niet tijdig (volledig) compliant te zijn dan adviseren wij om in ieder geval de belangrijkste vereisten op orde te hebben, onder andere de vereisten in de RTS’en “Register of Information”, “ICT incident classification” en “Major Incident Reporting”.

Uiteraard vragen deze stappen om verdere detaillering en inhoudelijke kennis om deze verder goed uit te werken.

¹ DORA update 2: Aan de slag met DORA: Beheer van ICT-risico van derde aanbieders, AFM, December 2023.

Vrijdag 19 april jongstleden plaatste het Financieele Dagblad een artikel over de rol van de externe accountant op de aandeelhoudersvergadering. Hele korte samenvatting: de wens van de aandeelhouders is dat de accountant zich op de aandeelhoudersvergadering ook gaat uitspreken over o.a. risicobeheersing, fraude, cybersecurity en zelfs over cultuur.

Alle respect en waardering voor de expertise van accountants, maar ik vroeg me direct af of de externe accountant hiervoor a) alle expertise in huis heeft en b) voldoende tijd heeft om alle aspecten van deze onderwerpen met de juiste diepgang grondig te toetsen. Om direct antwoord te geven op die vraag: ik kan me dit niet voorstellen. Voor de gemiddelde internal auditor is het namelijk ook al een uitdaging om over al deze onderwerpen assurance te geven, terwijl deze dagelijks rondlopen binnen een organisatie. Dit in tegenstelling tot de korte tijdspanne die de externe accountant rondloopt binnen de te controleren organisatie. Ook de opleiding van de internal auditor is wezenlijk anders dan die van de externe accountant. De internal wordt immers als bedrijfskundige opgeleid (breed), in tegenstelling tot de scholing van de externe accountant die zich nog steeds overwegend richt op de financiële processen.

Voor wie niet weet wat een internal auditor doet: de internal auditor wordt vaak gezien als een ‘tool of management’ en geeft inzicht in de beheersing van de organisatie over diverse onderwerpen die op basis van een risicoanalyse worden geselecteerd. Risicomanagement en IT zijn vaak het onderwerp. Kortom: de internal auditor kijkt of de organisatie goed is ingericht om de gestelde doelen te behalen. Niet elke organisatie heeft een internal auditor (de wettelijke verplichting is er alleen voor financiële instellingen) maar steeds meer organisaties zien nut en noodzaak van deze functie.

Ik begrijp heel goed dat de aandeelhouder meer over risicobeheersing, fraude, cybersecurity en cultuur zou willen weten. Het zijn essentiële onderwerpen die direct van invloed zijn op de financiële resultaten van een onderneming. Steviger verwoord: onderwerpen die direct van invloed zijn op het voortbestaan van een onderneming.  Mijn mening is echter dat de externe accountant deze verwachting niet waar kan maken om de eerder genoemde redenen: kennis van de onderwerpen en de te auditen organisatie en tijdgebrek voor diepgaand en onderbouwd onderzoek. Volgens mij is het al lastig genoeg om assurance te geven over de cijfers en bedrijfscontinuïteit; casussen genoeg die dat onderschrijven (Wirecard, Ahold, Imtech etc.).

Ik zie dat de internal auditor (net als de riskmanager) beter is geëquipeerd en daarmee beter in staat is om een aandeelhouder inzicht te geven in risicobeheersing, fraude, cybersecurity en cultuur. Ik zou de aandeelhouders dan ook adviseren om nog beter inzicht te krijgen in de resultaten van de werkzaamheden van de internal auditor; eventueel door een extra paragraaf in de jaarrekening of een uitnodiging op de AvA.

Drs. Marc van Heese RO RE CIA
Partner bij ARC People en vervult regelmatig voor aan ARC People geoutsourcete auditfuncties de rol als Chief Audit Executive

Wat is NIS2?

NIS2 is één van de vele nieuwe richtlijnen die binnen afzienbare tijd van toepassing worden voor de lidstaten van de Europese Unie. NIS2 is een Europese richtlijn en staat voor Network- and Information Security 2. Het is de opvolger van NIS uit 2016, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). NIS2 is geen aanvulling op de oude NIS maar vervangt deze volledig. Het doel van NIS2 is het verbeteren van zowel de digitale als economische weerbaarheid. De Nederlandse overheid moet NIS2 nog omzetten naar nationale wetgeving. Doel was 17 oktober 2024 maar de regering heeft al aangegeven dat zij dit niet gaat halen¹. Desalniettemin is het algemene advies om als organisatie per 17 oktober 2024 te voldoen aan deze richtlijn; voor de digitale veiligheid van uw organisatie en eisen vanuit uw klanten.

Een belangrijk verschil tussen NIS en NIS2 is dat de richtlijn voor aanzienlijk meer sectoren gaat gelden. Tevens zal er onderscheid worden gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Hieronder een tabel met relevante sectoren. Organisaties die middelgroot (minder dan 250 personen werkzaam zijn en waarvan de jaaromzet 50 miljoen EUR of het jaarlijkse balanstotaal 43 miljoen EUR niet overschrijdt) of groter zijn en actief in één van deze sectoren vallen onder de richtlijn.

Verder geldt de richtlijn nog voor specifieke organisaties ongeacht de omvang.

De eisen ten aanzien van te nemen maatregelen voor de mitigatie van cyberrisico’s zijn niet verschillend voor essentiële of belangrijke entiteiten; er is wel verschil in toezicht en sanctiebeleid.

Een ander belangrijk verschil met NIS is dat de toezichthouder bij essentiële entiteiten niet alleen optreedt naar aanleiding van een extern geconstateerde overtreding of een incident maar, bijvoorbeeld door het uitvoeren van audits, ook op zoek kan gaan naar non-compliance. Bij belangrijke entiteiten is alleen de controle achteraf naar aanleiding van een signaal.

De cybersecurity-maatregelen

Er dienen onder meer maatregelen te worden genomen op het vlak van beleid inzake ten aanzien van beveiliging van informatiesystemen, een incidentenprocedure; back-upbeheer en business continuïteitsplannen, beveiliging van de toeleveringsketen, etc. In onze white paper vindt u een verdere uiteenzetting.

Daarnaast wordt in de richtlijn uitdrukkelijk gewezen om bij het bepalen van de maatregelen ook rekening te houden met kwetsbaarheden van de leveranciers van de organisatie en van de leveranciers van de leveranciers.

Meldingsplicht

Naast het verplicht nemen van maatregelen geldt een gefaseerde meldingsplicht voor de organisaties bij significante incidenten die onder NIS2 vallen. Deze bestaat uit een initiële melding (binnen 24 uur), een uitgebreidere 72-uurs incidentmelding en een eindverslag uiterlijk binnen één maand na de indiening van de 72-uurs melding. Het staat de toezichthouder verder vrij om tussentijds verdere informatie op te vragen.

Sancties

Hierboven is al gerefereerd aan de mogelijke sancties die kunnen gelden bij overtreding van de richtlijn. Er is veel overlap van sancties voor essentiële en belangrijke entiteiten. De belangrijkste verschillen zitten in de hoogte van de boetes en voor de essentiële entiteiten geldt aanvullend dat bestuurders kunnen worden geschorst en persoonlijk aansprakelijkheid kunnen worden gesteld als zij hun verplichtingen op grond van de richtlijn niet nakomen.

Onze visie op NIS2

NIS2 geldt voor aanzienlijk meer organisaties dan een eerste indruk doet vermoeden; mede ook doordat entiteiten ook moeten toezien op de mate van beheersing van IT security van hun leveranciers. Het is duidelijk dat NIS2 niet alleen een interne exercitie zal zijn. En dat NIS2 niet alleen impact zal hebben op de organisaties die direct onder de richtlijn vallen maar ook op toeleverende partijen.

Wat opvalt, is dat de genoemde maatregelen niet normerend worden geformuleerd zoals dat bij de DORA (Digital Operational Resilience Act) wel het geval is in de bijbehorende regulatory technical standards.

De overheid adviseert overheidsinstanties aan te sluiten bij bestaande kaders, in dit geval BIO (Baseline Informatiebeveiliging Overheid) waarbij de BIO naar alle waarschijnlijkheid zal worden uitgebreid². Ook wij adviseren om een normenkader te hanteren, bijvoorbeeld de DNB Good Practice Informatiebeveiliging of de handreikingen van het Nationaal Cyber Security Centrum. Uiteraard zijn dit richtlijnen en ontslaat dat de organisatie niet van het zelf nadenken over passende maatregelen. Elke organisatie en ICT-inrichting vraagt eigen maatregelen.

Wat verder opvalt, is de grotere rol voor en verantwoordelijkheid van het bestuur. Zo dienen zij de cybersecurity-maatregelen goed te keuren en toe te zien op de uitvoering ervan. Stevige monitoring is dus vereist. Tevens dient het bestuur verplicht training te volgen.

Kijkend naar de potentiële reikwijdte van de richtlijn, de impact en de sancties is NIS2 een wetgeving om serieus te nemen. Buiten het wetgevende kader zijn de meeste maatregelen die worden genoemd overigens sowieso relevant om te implementeren.

Onze aanpak

Om compliant te worden aan NIS2, adviseren wij u de volgende stappen te nemen:

• Voer een risicoanalyse uit op informatiebeveiliging/cyber risico’s; raak daar minimaal de onderwerpen uit artikel 21;
• Geef daarbij speciale aandacht aan uw leveranciersketen;
• Stel de te nemen noodzakelijke maatregelen vast (al dan niet op basis van een (aangepast) normenkader zoals BIO of DNB Good Practice IB;
• Laat de genomen maatregelen door het bestuur goedkeuren;
• Implementeer de maatregelen;
• Toets periodiek het bestaan en de werking van deze maatregelen (monitoring) en rapporteer hierover aan het bestuur;
• Zorg voor onderhoud van het via bovenstaande stappen gerealiseerde risico-control framework.

Uiteraard vragen deze stappen om verdere detaillering en inhoudelijke kennis om deze verder goed uit te werken.

Voor meer gedetailleerde informatie over NIS2 kunt u ons gratis whitepaper downloaden.

¹ Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie | Tweede Kamer der Staten-Generaal

² NIS2-richtlijn NIS2-richtlijn – Digitale Overheid

De DNB Good Practice Informatiebeveiliging

De Nederlandsche Bank (DNB) heeft een ‘Good Practice Informatiebeveiliging’ opgesteld als richtlijn voor informatiebeveiliging bij financiële instellingen in Nederland. Deze good practice heeft tot doel de financiële instellingen te ondersteunen bij het effectief en efficiënt inrichten van hun informatiebeveiligingsbeleid en -praktijk.

De Good Practice wordt al een tijd gebruikt door DNB, ook bij hun jaarlijkse sectorbrede uitvragen, en is onlangs vernieuwd. Er zijn twee versies: de 2019/2020-versie en de 2023-versie. De Good Practice Informatiebeveiliging 2023 (hierna GP IB 2023) bouwt voort op de eerdere versie uit 2019/2020, met de intentie om zoveel mogelijk aan te sluiten op de structuur en inhoud ervan. De herziene versie integreert nieuwe inzichten, praktijkvoorbeelden, en ontwikkelingen in regelgeving, zoals de Digital Operational Resilience Act (DORA) en EIOPA-richtlijnen, om een meer omvattende en actuele gids te bieden voor het managen van informatiebeveiligingsrisico’s. De GP IB 2023 is ook ‘uitgelijnd’ met DORA (Digital Operational Resilience Act) op Level 1. Level 1 bevat de primaire wetgeving die door de Europese wetgevers is vastgesteld. Level 2 bestaat uit meer gedetailleerde technische standaarden en richtlijnen die ontwikkeld worden door Europese toezichthoudende autoriteiten en bedoeld zijn als uitvoeringsmaatregelen die specificeren hoe de vereisten van Level 1 in de praktijk gebracht moeten worden. Dus let op: Level 2 zit heel duidelijk níet in de GP IB 2023. De GP IB 2023 zorgt daarom niet ‘automatisch’ voor compliance tegen DORA, maar is wel een stevig startpunt.

Meer nadruk op de rol van Internal Audit

De rol van Internal Audit binnen de GP IB 2023 krijgt extra nadruk, voortbouwend op de grondbeginselen die al zijn vastgesteld in de 2019-versie. In de 2023-versie is duidelijk te merken dat het belang van een goede rol door Internal Audit zwaarder is gaan wegen. Internal Audit wordt expliciet genoemd als een cruciale component van het drie-lijnenmodel, met de nadruk op hun onafhankelijkheid en de noodzaak voor een risico-gebaseerde benadering van hun werk. De verwachtingen rondom de rapportage, monitoring van aanbevelingen, vergelijking van rapportages en analyse van trends en ontwikkelingen zijn verder verfijnd om de verantwoordelijkheden van Internal Audit duidelijker te omschrijven en te verdiepen. De specifieke taken en verantwoordelijkheden van de Internal Audit Functie zijn bedoeld om te zorgen voor een grondige evaluatie en effectieve monitoring van de ICT-beheersingsraamwerken binnen financiële instellingen.

Een ander aspect in de 2023-versie is de grotere nadruk op de leveranciersketen. De GP IB 2023 legt veel nadruk op de outsourcingsketen (ook vanuit DORA). Veel organisaties vertrouwen op externe dienstverleners, wat nieuwe lagen van complexiteit en potentiële risico’s met zich meebrengt. Internal auditors moeten hun aandachtsgebied uitbreiden naar deze externe partners en beoordelen in hoeverre zij voldoen aan de vereiste normen voor informatiebeveiliging. Het opzetten van een systematisch assurance-proces voor deze leveranciers versterkt niet alleen de beveiliging, maar verhoogt ook het vertrouwen van belanghebbenden.

In een tijdperk waarin verandering de enige constante is, moeten internal auditors zich aanpassen om relevant te blijven. De combinatie van de evoluerende rol van Internal Audit en de leidraad van DNB Good Practice Informatiebeveiliging opent nieuwe deuren voor Internal Audit. Door buiten de gebaande paden te treden, opkomende risico’s aan te pakken en de leveranciersketen te versterken, kunnen auditors hun positie versterken als strategische partners in de organisatie.

De mogelijke rollen van Internal Audit op een rijtje

Zoals al uit de tekst hiervoor blijkt, kan Internal Audit allerlei prikkels geven en rollen aannemen in het kader van de DNB Good Practice. We zetten hieronder een aantal mogelijke rollen op een rij:

1. Toetsing van beleid: Internal Audit kan beoordelen of de informatiebeveiligingsbeleidslijnen en -procedures van een financiële instelling in lijn zijn met de aanbevelingen van de DNB Good Practice.
2. Control Self Assessments: Hoewel CSA’s vaak worden uitgevoerd door de business (1^e en ook 2^e lijn) zelf, speelt Internal Audit een belangrijke rol bij het opzetten, faciliteren en verrijken van dit proces. Hier gaan wij later in dit artikel verder op in.
3. Risicobeoordeling: Internal Audit kan een onafhankelijke beoordeling doenvan de risicoanalyse die wordt uitgevoerd als onderdeel van het informatiebeveiligingsbeleid (of daarbij assisteren).
4. Awareness en training: Internal Audit kan het management adviseren en bijstaan over de noodzaak van training en bewustwordingsprogramma’s rond informatiebeveiliging, zoals aanbevolen in de DNB Good Practice.
5. Incidentenanalyse: In het geval van beveiligingsincidenten kan Internal Audit een onafhankelijke analyse uitvoeren van het incident, de oorzaken identificeren en aanbevelingen doen voor verbeteringen om herhaling in de toekomst te voorkomen.
6. Advies en aanbevelingen: Op basis van hun bevindingen kunnen internal auditors aanbevelingen doen voor verbeteringen in de informatiebeveiliging van de organisatie.

We willen de internal auditor eveneens aanmoedigen tot een rol waarbij er samen met de organisatie verder wordt gekeken dan alleen de norm die de Good Practice vraagt. Internal Auditors kunnen hiermee extra waarde toevoegen, door te stimuleren dat er veerkracht wordt gekweekt. Veerkracht is immers nodig om het steeds veranderende landschap aan te kunnen, zeker als het om cyber risico’s gaat.

De rol van Internal Audit bij Control Self Assessments 

Eenvoudig gezegd zijn Control Self Assessments (CSA’s) een systematiek waarbij medewerkers en teams binnen een organisatie hun eigen processen, risico’s en interne controles beoordelen. Het kan zowel formeel als informeel zijn, met structuren variërend van eenvoudige checklists tot uitgebreide workshops. De kracht van CSA ligt in het direct betrekken van de medewerkers die verantwoordelijk zijn voor de processen, omdat zij vaak het beste de risico’s en benodigde control(e)s begrijpen. Door het zelf formuleren van verbeterpunten, wordt eveneens gezorgd voor het nodige draagvlak om deze verbeteringen ook zelf te realiseren.

Hoewel CSA’s vaak worden uitgevoerd door de operationele (ICT) teams zelf en gefaciliteerd worden door (bijvoorbeeld) de CISO, kan Internal Audit een belangrijke rol spelen bij het opzetten, faciliteren en verrijken van dit proces. Enkele manieren waarop internal audit waarde kan toevoegen:

1. Faciliteren en ondersteunen: Internal auditors kunnen dienen als onpartijdige facilitators tijdens CSA-sessies, waardoor wordt geborgd dat de evaluatie volledig en eerlijk is. Door hun ervaring met verschillende bedrijfsprocessen kunnen ze ook best practices en inzichten delen.
2. Training en voorbereiding: Internal auditors kunnen teams trainen in het gebruik van CSA-tools en -technieken, en hen voorzien van de nodige middelen om effectieve beoordelingen uit te voeren.
3. Validatie van resultaten: Hoewel CSA zelfevaluatie betreft, is het essentieel dat de resultaten gevalideerd worden om zeker te zijn van hun nauwkeurigheid en volledigheid. Internal auditors kunnen een onafhankelijke beoordeling geven van de CSA-resultaten, en deze koppelen aan hun eigen audit bevindingen. In het geval van de Good Practice kan Internal Audit beoordelen in hoeverre de gerapporteerde (eigen) diplomascores/volwassenheidsniveaus plausibel zijn.
4. Integratie met risicobeheer: De resultaten van CSA’s kunnen worden geïntegreerd in het bredere risicobeheerproces van de organisatie. Internal Audit kan helpen bij het prioriteren van risico’s en het beoordelen van verbeterplannen op basis van de resultaten van de CSA.
5. Continu verbeteren: Door het observeren van verschillende CSA-sessies en het vergelijken van resultaten, kunnen internal auditors trends en patronen identificeren die kunnen leiden tot verbeteringen in het CSA-proces zelf of in de onderliggende processen die worden beoordeeld.

De rol van Internal Audit bij het beoordelen van assuranceverklaringen in de outsourcingsketen

Bij outsourcing geldt dat de assuranceverklaringen inzicht geven in de opzet en werking van de eigen controls, die uitbesteed zijn aan de leverancier. Het is daarom belangrijk om van leveranciers van in de outsourcingsketen te eisen dat ze een assuranceverklaring overleggen om inzicht te krijgen in de beheersing van hun risico’s en het aantonen van hun compliance. Dat werd al vereist in de 2019-versie, maar is nu veel prominenter aanwezig in de GP IB 2023.

Assuranceverklaringen zijn vaak onderdeel van contractuele afspraken en zorgen voor meer transparantie in de samenwerking. In het huidige digitale tijdperk kunnen ze ook bevestigen dat de beveiligingspraktijken van de leverancier op orde zijn. Het hebben van dergelijke verklaringen kan het vertrouwen van stakeholders versterken en helpt organisaties bij het identificeren van verbeterpunten.

Eén van de gebieden waar Internal Audit een aanzienlijke waarde kan toevoegen, is het beoordelen van assurance verklaringen in de leveranciersketen. Hier volgen enkele manieren waarop Internal Audit dit kan doen:

1. Evaluatie: Internal Audit kan een evaluatie uitvoeren van de assurance verklaringen die door leveranciers worden verstrekt, om de adequaatheid, nauwkeurigheid, dekking en relevantie ervan te beoordelen.
2. Bewaken van consistentie: Internal Audit kan toezien op de consistentie tussen de assurance verklaringen van leveranciers en de interne beleidslijnen, normen en vereisten van de organisatie.
3. Identificatie van risico’s: Door de assurance verklaringen van leveranciers kritisch te beoordelen, kan Internal Audit potentiële risico’s of zwakke plekken identificeren die anders over het hoofd zouden kunnen worden gezien.
4. Validatie van derden: Internal Audit kan een rol spelen bij het valideren van derden (zoals externe auditors) die de assurance verklaringen hebben afgegeven, om te zorgen voor hun onafhankelijkheid, competentie en betrouwbaarheid.
5. Assurance mapping: Internal Audit kan assurance verklaringen van leveranciers integreren in de algemene auditplanning, zodat er een holistisch overzicht ontstaat van de risico’s en maatregelen binnen de gehele leveranciersketen.
6. Brug tussen leveranciers en management: Internal Audit kan fungeren als een brug tussen leveranciers en het hoger management, door te waarborgen dat belangrijke informatie uit assurance verklaringen op de juiste manier wordt gecommuniceerd en geïnterpreteerd.
7. Voortdurende monitoring: De dynamische aard van de leveranciersketen betekent dat risico’s en omstandigheden kunnen veranderen. Internal Audit kan een voortdurend monitoringsproces instellen voor assurance verklaringen, zodat er tijdig kan worden gereageerd op veranderingen.

Conclusie

Concluderend benadrukt de ‘Good Practice Informatiebeveiliging’ van De Nederlandsche Bank (DNB) het belang van informatiebeveiliging voor financiële instellingen in Nederland. De meest recente (2023-)versie is uitgelijnd met nieuwe wetgeving zoals DORA en EIOPA. Ook legt het sterkere nadruk op een aantal elementaire inhoudelijke aspecten, waaronder de risico’s in de leveranciersketen. Ook wordt Internal Audit als een cruciale functie gezien, die allerlei relevante rollen kan spelen bij het waarborgen van de naleving van deze richtlijnen. Zij kunnen onder meer de kwaliteit van de Control Self Assessments van de organisatie versterken en de assuranceverklaringen in de outsourcing keten beoordelen. Ook kan er vanuit Internal Audit worden gestimuleerd om verder te kijken dan de (vernieuwde) norm vanuit DNB. Goed beveiligen is namelijk stap 1. Het zorgen voor weerstand om nieuwe of onverwachte risico’s aan te kunnen, is de volgende stap.

Wilt u uw organisatie versterken op het gebied van informatiebeveiliging en voldoen aan de richtlijnen van De Nederlandsche Bank? De specialisten van ARC People staan voor u klaar met deskundig advies en ondersteuning. Lees meer over wat we voor u kunnen betekenen met betrekking tot de DNB Good Practice Informatiebeveiliging, download ons gratis whitepaper of neem direct contact op met Carlo Bavius voor maatwerkoplossingen die aansluiten op uw behoeften.