Skip to main content

Blog Archives

Newer posts

Toezicht DNB: werk aan de winkel voor risk management en internal audit

DNB is de laatste jaren aan het versnellen als het gaat om het verdiepen en specifiek maken van het toezicht. Een aantal recente publicaties van DNB laat zien hoe dat toezicht er in de toekomst uitziet. Zo ook de recent verschenen DNB publicatie “Visie op toezicht 2021 – 2024”. Dit is een interessante publicatie voor onder toezicht staande instellingen, omdat het aangeeft hoe een onder toezicht staande instelling in kan spelen op die veranderende manier van toezicht. Na het lezen van deze publicatie is duidelijk dat er behoorlijk wat werk aan de winkel is voor deze instellingen.

Een korte samenvatting van de veranderingen in het toezicht:

  • Het toezicht in Nederland zal steeds meer worden gestuurd door Europese ontwikkelingen, door wet- en regelgeving vanuit de Europese Commissie en publicaties van verschillende Europese financiële toezichthouders;
  • Datakwaliteit en Informatie (cyber) beveiliging zijn én blijven hele belangrijke onderwerpen. Al eerder bracht DNB de Good Practice Informatiebeveiliging en de Guidance Datakwaliteit uit. Het voldoen aan deze normatieve publicaties is een enorme opgave. Het is juist hier dat de competenties van de risk manager en de internal auditor kunnen worden ingezet voor het belang van de gehele organisatie. DNB vereiste al eerder het uitvoeren van Control Self Assessments, waarbij de 1e en de 2e lijn zélf onderzoeken of ze voldoen aan de normen. De verwachting is dat DNB meer gebruik gaat maken van assessments en analyses van risk management van de instelling, bij voorkeur gevalideerd door de internal auditor;
  • De komende jaren is het data, data en nog eens data. DNB zal zelf inzage vragen in data van de instelling. Deze gaan de nu al vereiste periodieke rapportages aanvullen en mogelijk zelfs deels vervangen. Besef goed wat daar staat: DNB gaat in de data zelf kijken! Datakwaliteit wordt onvermijdelijk het belangrijkste onderwerp de komende jaren. Dit betekent dat van zowel risk management als internal audit mag worden verwacht dat ze de flink wat aandacht besteden aan dat onderwerp, ieder vanuit de eigen rol in de organisatie. Deze verandering zal in veel gevallen betekenen dat extra capaciteit, maar vooral ook aanvullende kennis noodzakelijk is;
  • DNB kan fouten zelf ontdekken in de data en het spreekt voor zich dat de instelling dit beter kan voorkomen. Datakwaliteit is mede afhankelijk van ‘data quality by design’ en kan alleen worden bereikt door een optimale interne beheersing en ontwikkeling onder architectuur;
  • Cyber security specifiek en informatiebeveiliging in zijn algemeenheid moeten op orde zijn. DNB verwacht een continue investering in weerbaarheid en (bestuurders-)awareness én dat instellingen “zelf aantonen dat ze hun informatiebeveiliging op orde hebben”. Daarmee doelt DNB erop dat er Control Self Assessments worden uitgevoerd die (weer) worden gevalideerd door de Internal Auditor. De verwachting is dat veel instellingen moeite zullen hebben met aantonen dat ze ‘op orde zijn’. We verwachten een sterke invloed vanuit de 2e lijn om de 1e lijn te helpen om de maatregelen goed te implementeren, maar ook om zelf aan te tonen dat de maatregelen hebben gewerkt. Risk management kan de 1e lijn ondersteunen bij het implementeren van de controls en de Control Self Assessments, terwijl Internal Audit haar rol in de 3e lijn kan benutten voor het leveren van de (brood)nodige onafhankelijke assurance;
  • Diezelfde eis van aantoonbaarheid geldt voor de toeleveranciers van instellingen. Outsourcing wordt daarmee één van de volgende belangrijke onderwerpen, met de noodzakelijke ISAE3402 verklaringen van de dienstverleners en het implementeren van service level management voor alle uitbestede diensten;
  • Van bestuurders en commissarissen wordt een verhoogd kennisniveau verwacht op het vlak van informatiebeveiliging. Het verwijzen naar de IT security manager bij een vraag over IT security zal naar alle waarschijnlijkheid niet worden geaccepteerd;
  • Kunstmatige Intelligentie, nu al regelmatig aanwezig in de vorm van chatbots, maar ook steeds vaker in bedrijfsprocessen, vereist de nodige beheersmaatregelen. De algoritmisering van businessprocessen kan en mag niet leiden tot mindere mate van beheersing en het functioneren van bedrijfsprocessen;
  • Outsourcing, van IT of bedrijfsprocessen, blijft een speerpunt van DNB. DNB benoemt zelfs (en dat is uitzonderlijk) een positieve ontwikkeling, namelijk het vaker inzetten van onafhankelijke IT auditors bij de beoordelingen van cybersecurity en uitbestedingsmaatregelen;
  • Duurzaamheidsrisico’s vormen een relatief nieuw speerpunt. Erg concreet is DNB daar nog niet over, maar de verwachting is dat DNB vooral de samenwerking gaat opzoeken, juist om dit concreter te maken;
  • Verandervermogen is een nieuw speerpunt, met daaraan gekoppeld het aansluiten van het bedrijfsmodel op het risicoprofiel. Ontwikkelingen gaan snel en DNB ziet het verschil tussen IT bedrijven en financiële instellingen vervagen. Risico beheersing moet altijd geborgd blijven, zowel in stabiele omgevingen als dynamische. Fintech is niet de toekomst, Fintech is het heden.

ARC People helpt een aanzienlijk aantal banken, verzekeraars en pensioenfondsen met deze vraagstukken vanuit zowel het risicomanagementperspectief als internal audit perspectief. Benieuwd naar onze visie? Neem dan contact op met één van onze partners, Marc van Heese of Sander van Oosten.

Internal auditor, blijf niet langer langs de zijlijn staan!

Wereldwijd hebben overnames de afgelopen jaren ongekende niveaus bereikt. Zelfs of juist tijdens de huidige economische en sociale crisis door COVID-19 blijven overnames sexy. Het is bijna dagelijks dat op handen zijnde overnames worden aangekondigd of uitlekken. Dit terwijl volgens economen het ergste van de huidige crisis nog moet komen. Zoals bekend zet een flinke overname een organisatie in de spotlights. Overnames dragen vaak bij aan versnelde groei van een organisatie en toename van de waarde van de onderneming. Toch is een groot deel van de overnames onsuccesvol met vaak enorme strategische en operationele risico’s voor de organisatie als gevolg. 

Uit onderzoek blijkt echter dat internal audit ondanks haar proactieve, risicogebaseerde, assurancegerichte aanpak in veel gevallen niet betrokken is bij het overnameproces van de overnemende organisatie en daarmee niet effectief bijdraagt aan de beheersing van de strategische en operationele risico’s en het succes van de overname. Dit is onterecht. De verwachting van beleggers, toezichthouders en externe accountants is dat internal audit wel een assurancerol of adviesrol pakt ten aanzien van overnames. Onderzoek toont aan dat internal audit wel degelijk een assurancerol of adviesrol kan en moet pakken bij overnames, maar dat bestuurders en commissarissen nog wel overtuigd moeten worden van toegevoegde waarde en capaciteiten van internal audit. 

Internal audit blijkt uit onderzoek de meeste toegevoegde waarde te hebben in de fasen: Deal Structuring (inclusief het Due Diligence proces), Post-acquisition integration en Post-acquisition evaluation. Chief Audit Executives (CAE’s), directies en commissarissen worstelen echter in de praktijk met de vraag of internal audit het overnameproces moet onderzoeken en hoe internal audit kan bijdragen aan de beheersing van de strategische en operationele risico’s van een overname. en daarmee het succes van fusies en overnames vergroten. Deels komt dit omdat internal auditors nog relatief weinig de beheersing van strategische risico’s binnen organisaties onderzoeken en zich vooral richten op de beheersing van tactische en operationele risico’s, in het verleden niet eerder bij een overnameproces betrokken zijn geweest en/of bestuurders de kennis en vaardigheden van de internal auditfunctie ten aanzien van het overnameproces als ontoereikend inschatten. 

Zoals Winston Churchill ooit zei ‘Never waste a good crisis’. Deze COVID-19 crisis is het moment om de toegevoegde waarde van internal audit te tonen en actief betrokken te worden bij (geplande) overnames en daarmee bij te dragen aan het succes van de overname. Maar CAE’s wees realistisch in wat je kan leveren en welk onderdeel/onderdelen van het overnameproces internal audit 

Meer lezen over dit onderzoek kan hier.

drs Antoine van Vlodorp RA CIA CFSA

Het nieuwe Three Lines Model: de belangrijkste wijzigingen

In juli 2020 publiceerde het Instituut van Internal Auditors (IIA) een update van het Three Lines of Defense (3LOD) model. De wijze waarop de update werd aangekondigd, deed vermoeden dat er belangrijke wijzigingen zijn doorgevoerd. Maar wat zijn die wijzigingen?

We zetten kernachtig de aanleiding en de belangrijkste wijzigingen voor u op een rij.

De aanleiding voor de update van het 3LOD model vond het IIA vooral in de volgende punten:

  1. Het model werd als te star c.q. weinig flexibel gezien, o.a. om snel in te kunnen spelen op veranderingen.
  2. Het straalde een silo-benadering uit.
  3. De benadering was te reactief en negatief (defensief).

Er zijn vele wijzigingen te onderkennen in het nieuwe Three Lines Model.

Dit zijn wat ons betreft de belangrijkste c.q. meest opvallend:

  • Het woord Defense is uit de naamgeving van het model gehaald, om te benadrukken dat verdedigen niet de primaire focus hoort te zijn. Net als in de nieuwste Code Corporate Governance wordt het belang van waardecreatie en -bescherming benadrukt.
  • De genoemde lijnen worden nu beschouwd als rollen, in tegenstelling tot structuren, die op verschillende manieren kunnen worden gecombineerd of gescheiden. Daarbij dient uiteraard wel rekening te worden gehouden met de geldende principes van het model (zie verderop).
  • De benadering is nu volledig vanuit het brede begrip Governance, in plaats van het smallere Risicomanagement. Governance wordt ingevuld door drie elementen, namelijk: Accountability, Actions en Assurance & Advice.
  • Het onderscheid tussen de Governing Body (Het Bestuursorgaan) en Senior Management is komen te vervallen. De vraag dient zich daarmee aan, waartoe de Raad van Bestuur volgens Nederlands two-tier gebruik behoort. Conform de beschrijving van de rol van de Governing Body (waarin het o.a. gaat over het bepalen van de risk appetite, delegeren en resources beschikbaar stellen) lijkt de Raad van Bestuur ook onderdeel te zijn van de Governing Body.
  • De 1e en 2e lijn vallen nu duidelijker allebei onder de verantwoordelijkheid van Management. De tweede lijn is concreter neergezet als ondersteuning van de 1e
  • Het is een principle based model geworden. Er zijn 6 principes voor het model beschreven, die als basis gelden voor de toepassing van het model. Deze principes zijn:
    • Governance.
    • Rollen van het bestuursorgaan.
    • Management en eerste- en tweedelijnsrollen.
    • Derdelijnsrollen.
    • Derdelijns onafhankelijkheid.
    • Het creëren en beschermen van waarde.
  • Binnen de 6 principes kunnen organisaties het Three Lines Model flexibel vormen naar de eigen organisatiedoelen. Zo kunnen ook de lijnen / rollen zijn samengevoegd binnen 1 functie. Voor de samenvoeging van de 3e lijnsrol Internal Audit met een 2e lijns rol, wordt expliciet aangegeven dat in die situatie een externe partij (in plaats van Internal Audit) een onafhankelijke uitspraak dient te doen over de kwaliteit van de 2e
  • Er wordt benadrukt dat de ‘alignment’ van activiteiten door de verschillende lijnen vooral wordt bereikt door zowel duidelijke rollen, als coördinatie, communicatie en samenwerking tussen functies en professionals.Het is een principle based model geworden. Er zijn 6 principes voor het model beschreven, die als basis gelden voor de toepassing van het model. Deze principes zijn:

Sander van Oosten, Partner bij ARC People, specialist in Audit, Risk en Compliance

De lessen van het Wirecard-schandaal voor Internal Audit

De fraude binnen Wirecard is inmiddels in korte tijd veel becommentarieerd. Het management functioneerde niet, de externe accountant EY functioneerde niet en ook de Duitse toezichthouder voor de financiële markten (BaFin) functioneerde niet. In alle stukken die ik tot dusverre heb gelezen, kwam ik het vakgebied internal audit niet direct tegen.

Maar uiteraard kan ik wat gemist hebben in de hoeveelheid publicaties. Op de website van Financial Times wordt gesproken over een intern onderzoek naar verdachte transacties in Azië door een ‘intern compliance team’. Mogelijk wordt hiermee Internal audit bedoeld, maar dat kan ik zo niet achterhalen.

De vraag die mij als internal auditor intrigeert is ‘welke rol speelde de internal auditor in deze fraude?’.  Laat ik voorop stellen dat de externe accountant deze fraude van niet bestaande omzet en cash had moeten vaststellen. Maar had Internal Audit dit niet moeten signaleren van deze fraude moeten hebben?

Ik merkte dat ik nieuwsgierig was of er uberhaupt een internal audit afdeling is bij Wirecard. Op de site van Wirecard was het ‘Investor Relations’ deel van de website niet meer bereikbaar. Ik was geïnteresseerd in de gepubliceerde jaarrekeningen en of daar iets vermeld staat over Internal audit. Een search op linkedin leert dat er wel degelijk internal auditors in dienst waren bij Wirecard. Misschien heeft internal audit ook een rol gehad in het constateren van de fraude, maar vooralsnog weten we dit niet. Ik hoop dat hier later meer duidelijk over wordt.

Welke lessen zijn uit dit schandaal te trekken voor internal audit? Ik zie in ieder geval de volgende lessen:

1. Gebruik data-analyse.

95% van de winst leek te komen uit transacties met 3 partner bedrijven. Ik weet niet de hoeveelheid partner bedrijven waar Wirecard zaken mee deed, maar dat winst of geen winst afhankelijk is van drie relaties is de moeite waard om verder te onderzoeken en op z’n minst dit te benoemen als een groot risico.

2. Voer periodiek een cultuur audit uit.

Om deze fraude lange tijd uit te voeren en een bedrag van 1,9 miljard te fingeren kan het haast niet anders dan dat hier meerdere functies en lagen aan meegewerkt moeten hebben, in een cultuur met ongewenst gedrag.

3. Neem ‘red flags’ serieus.

Tussen 2015 en 2018 publiceerde de Financial Times al meerdere artikelen over de wijze van accounting en vreemde overnames. Begin 2019 lag de focus van de FT in meerdere artikelen op mogelijke fraude.

4. Er is niet mis met een ‘gewone’ order to cash audit.

Als internal auditors leveren we graag zoveel mogelijk toegevoegde waarde aan onze stakeholders en hebben we het over de strategie, IT security, cultuur audits etc. En daar is helemaal niks mis mee (zoals ik hierboven schets), maar geregeld kijken naar de basis (al dan niet riskbased, op basis van een data-analyse), blijkt toch een noodzaak.

Marc van Heese is partner bij ARC People.

Innovatie en ethiek in Internal Audit

Alweer twee jaar geleden schreef ik een blog dat ik me zorgen maakte over het ‘future-proof’ houden van ons mooie vak Internal Audit. Dit heeft er mede in geresulteerd dat ik nu deel mag uitmaken van de Innovatie-commissie van het IIA (waarvan de binnenkort de eerste resultaten worden gedeeld). Gezien mijn deelname hieraan en mijn intrinsieke interesse in het vakgebied internal audit, bekijk ik veel artikelen, die ik vooral lees vanuit de optiek: wat betekent dit voor (de innovatie van) ons vakgebied?

(meer…)

Help! Ik krijg een software audit.

De afgelopen maanden is er in de media veel aandacht besteed aan de werkwijze van de grote Software leveranciers zoals Oracle, IBM etc. De onvrede is groot over de Software Audits (ook wel License Review genoemd) die door de grote Software leveranciers worden uitgevoerd. Torenhoge claims kunnen de uitkomst zijn van deze Software Audits en het kost altijd veel tijd, menskracht en geld om deze claims succesvol af te handelen c.q de claims te verlagen of van tafel te krijgen. (meer…)

Newer posts

Contactformulier

Telefoon: 085-2733025

E-mail: info@arcpeople.nl

Adres:
Julianalaan 15
1213 AP Hilversum