Wat verwacht de CBFA inzake interne audit?

Wat verwacht de CBFA inzake interne audit? Enkele aandachtspunten Caroline Vandevelde, Coördinator CBFA Christel Beaujean, Adjunct-adviseur CBFA Seminarie CBFA- BVPI 11 februari 2010

Structuur van de uiteenzetting deel 1 1. Circulaire CPP-2007-2-WIBP (art. 77 WIBP) 2. Plaats in de organisatie 3. Uitoefening van zijn opdracht 4. Verwachtingen van de CBFA 2

1. Circulaire CPP-2007-2-WIBP 1.1. Inleiding : Deugdelijk bestuur Principe nr. 1 - Beleidsstructuur Principe nr. 2 - Organen van de IBP Principe nr. 3 - Interne controle Principe nr. 4 - Compliancefunctie Principe nr. 5 - Bedrijfscontinuïteit Principe nr. 6 - Interne audit Principe nr. 7 - Uitbesteding Principe nr. 8 - Erkend commissaris of revisoraatvennootschap Principe nr. 9 - Aangewezen actuaris Principe nr. 10 - Interne informatieverspreiding Principe nr. 11 - Externe informatie 3

1. Circulaire CPP-2007-2-WIBP 1.2. Principe nr. 6 : interne audit "Bevoegd operationeel orgaan (OO) neemt de nodige maatregelen opdat de IBP zou beschikken over een passende interne auditfunctie die onafhankelijk staat tegenover de geauditeerde activiteiten" 4

1. Circulaire CPP-2007-2-WIBP 1.2. Principe nr. 6 : interne audit "Bevoegd OO neemt de nodige maatregelen opdat de IBP zou beschikken over een passende interne auditfunctie die onafhankelijk staat tegenover de geauditeerde activiteiten" Bevoegd OO : vaak rvb Passend : proportionaliteit Onafhankelijk : onpartijdig en objectief Activiteiten : alle domeinen van de IBP 5

1. Circulaire CPP-2007-2-WIBP 1.2. Principe nr. 6 : interne audit Onafhankelijke beoordelingsfunctie Onderzoek en beoordeling van het passend karakter, de doeltreffendheid en de efficiëntie van de interne controle Assisteert de operationele organen in de effectieve uitoefening van hun verantwoordelijkheden Uiteindelijke uitwerking en invoering van maatregelen blijft verantwoordelijkheid van de bevoegd OO 6

1. Circulaire CPP-2007-2-WIBP 1.3. Aanstelling Wie? Intern of extern aan de IBP Personeelslid van de IBP Personeelslid van een bijdragende onderneming Dienstverlener Een natuurlijke persoon of een rechtspersoon Aangesteld door? Bevoegd OO Duur van de opdracht? 7

1. Circulaire CPP-2007-2-WIBP 1.4. Onafhankelijkheid Onverenigbaarheden Lid van een OO, commissaris, aangewezen actuaris, compliance officer Belangenconflicten Uitbesteding : onafhankelijkheid gewaarborgd Onafhankelijk t.a.v. de geauditeerde activiteiten operationele organisatie uitwerken, invoeren of zelf uitvoeren van maatregelen inzake organisatie en interne controle 8

1. Circulaire CPP-2007-2-WIBP 1.4. Onafhankelijkheid Auditcharter : Opgesteld door de interne auditor, goedgekeurd door het bevoegd OO en bekrachtigd door de RvB Inhoud charter: Doelstelling en reikwijdte van de functie Plaats in de organisatie Bevoegdheden en verantwoordelijkheden Initiatiefrecht om iedereen te contacteren en alle documenten in te zien Recht om vaststellingen en beoordelingen vrij te uiten en kenbaar te maken. Recht om de voorzitter van de RvB, de compliance officer, de erkende commissaris of de aangewezen actuaris te informeren 9

1. Circulaire CPP-2007-2-WIBP 1.5. Bekwaamheid Professionele bekwaamheid Voldoende om alle activiteitsdomeinen van de IBP te kunnen onderzoeken Beroep op externe deskundigen en uitbesteding maar blijft verantwoordelijk Kwaliteit en kwantiteit van de controles In overeenstemming met controlevereisten IBP 10

1. Circulaire CPP-2007-2-WIBP 1.6. Uitbesteding Auditor beschikt over vereiste bekwaamheid Schriftelijke overeenkomst Interne auditor : Taken en verantwoordelijkheden Engagement : uitvoering auditplan en inzet middelen Bevoegd OO Instemming met risicoanalyse en planning Opvolging van auditactiviteit Opvolging van de aanbevelingen Bevoegd OO, de erkend commissaris, de aangewezen actuaris en de CBFA Toegang tot de documenten (werkprogramma en -documenten) Voldoende lange duurtijd (beëindiging) 11

Structuur van de uiteenzetting - deel 2 1. Circulaire CPP-2007-2-WIBP (art. 77 WIBP) 2. Plaats in de organisatie 3. Uitoefening van zijn opdracht 4. Verwachtingen van de CBFA 12

2. Plaats in de organisatie 2.1.Algemene beschrijving Aangewezen actuaris Adviseur en rapporteur IBP RvB = verantwoordelijk orgaan (bevoegd OO) Adviesverlening aan de RvB over de technisch-actuariële methodes, over de technische voorzieningen,... Verslag aan de CBFA over de technische voorzieningen Compliance officer Coördinerende en initiatiefnemende rol Controle en bevordering van het integriteitsbeleid Interne auditor Rol van interne controleur Controle van de efficiëntie en de doeltreffendheid van de interne controle Erkend commissaris Externe controleur Controle en verslag over de jaarrekening; Controle van de interne organisatie

2. Plaats in de organisatie 2.2. Interne auditor en RvB RvB Verantwoordelijk orgaan voor de goede uitvoering van de pensioenregelingen geregeld nagaan of IBP beschikt over een passende interne controle en interne auditfunctie bekrachtiging auditcharter bespreking : minstens 1 x per jaar opvolging Nauwe samenwerking Controle op de functie Interne auditor Rol van interne controleur controle efficiëntie en doeltreffendheid van interne controle (procedures en processen) opstelling charter en auditplan informeert voorzitter RVB neemt kennis van de notulen en van alle documenten Samenwerking, communicatie, informatie-uitwisseling en controle 14

2. Plaats in de organisatie 2.2. Interne auditor en bevoegd OO Bevoegd OO neemt de nodige maatregelen opdat de IBP over een passende en onafhankelijke auditfunctie beschikt aanstelling interne auditor goedkeuring auditcharter, planning, terbeschikking stelling middelen bij uitbesteding : akkoord en opvolging inzage documenten auditor bespreking, evaluatie, opvolging jaarlijks verslag aan de RvB Nauwe samenwerking Controle op de functie Interne auditor Rol van interne controleur controleert efficiëntie en doeltreffendheid van volledige interne controle (procedures en processen) opstelling charter en auditplan (jaarlijks) verslag neemt kennis van de notulen en van alle documenten Samenwerking, communicatie, informatie-uitwisseling en controle 15

2. Plaats in de organisatie 2.3.Interne auditor en compliance officer Interne auditor Rol van interne controleur (o.a. nalevingsaudit) controle van procedures en processen m.b.t. integriteit neemt kennis van de notulen en van alle documenten informeert de compliance officer Samenwerking Controle op de naleving van de procedures Compliance officer : Coördinerende en initiatiefnemende rol onderzoek en bevordering van de naleving van de verschillende bestaande wettelijke en interne regels en beleidslijnen Communicatie, informatie-uitwisseling, samenwerking en controle 16

2. Plaats in de organisatie 2.4.Interne auditor en aangewezen actuaris Interne auditor Rol van interne controleur controleert efficiëntie en doeltreffendheid van interne controle (informatiestromen) informeert actuaris Samenwerking Controle op de naleving van werkingsprocess en Aangewezen actuaris Adviseur Auditeur en interne rapporteur adviesverlening technisch- actuariële methodes verslag over de technische voorzieningen inzage in documenten auditor Communicatie, informatie-uitwisseling en samenwerking 17

2. Plaats in de organisatie 2.5.Interne auditor en erkend commissaris Interne auditor Rol van interne controleur controleert efficiëntie en doeltreffendheid van interne controle informeert de erkende commissaris Samenwerking Externe controle Erkend commissaris Auditeur interne Externe controleur beoordeling in verslag van de administratieve en boekhoudkundige organisatie en de interne controle inzage in documenten auditor Communicatie, informatie-uitwisseling, samenwerking en controle 18

Structuur van de uiteenzetting - deel 3 1. Circulaire CPP-2007-2-WIBP (art. 77 WIBP) 2. Plaats in de organisatie 3. Uitoefening van zijn opdracht 4. Verwachtingen van de CBFA 19

3. Uitoefening van zijn opdracht 3.1. Reikwijdte opdracht Onderzoek en beoordeling van alle activiteiten Passende interne controle, nakoming toegewezen verantwoordelijkheden Naleving beleidslijnen, risicobeheersing Betrouwbaarheid van de informatie Continuïteit Werking administratieve diensten Uitbestede diensten Wettelijk controlestatuut 20

3. Uitoefening van zijn opdracht 3.2. Planning - uitvoering Opstellen van een gedocumenteerd auditplan Risicoanalyse Doelstellingen en reikwijdte Meerjarenplan, auditcyclus Vereiste middelen Onderzoek en evaluatie van beschikbare informatie Documenteren van werkzaamheden 21

3. Uitoefening van zijn opdracht 3.2. Uitvoering : audittypes Financiële audit : boekhouding en jaarrekening Nalevings- of compliance audit : procedures en processen i.v.m. naleving wetgeving en interne beleidslijnen Operationele audit : kwaliteit en het passende karakter van systemen en procedures, organisatiestructuren en gehanteerde methoden en middelen ten opzichte van de doelstellingen Managementsaudit : managementsfunctie 22

3. Uitoefening van zijn opdracht 3.3. Rapportering Schriftelijk verslag bevindingen en aanbevelingen elke opdracht (geauditeerde en bevoegde OO) Jaarlijks (bevoegd OO) Inhoud : Vaststellingen en aanbevelingen van de auditor met aanduiding van de relatieve belangrijkheid Reactie van de geauditeerde Punten van overeenstemming 23

3. Uitoefening van zijn opdracht 3.4. Opvolging Bevoegd OO Aanduiden wie bevoegd is voor de opvolging van de aanbevelingen Tijdschema Auditor Geregeld nagaan of zijn aanbevelingen werden opgevolgd Rapportering aan bevoegd OO Raad van bestuur In kader van zijn toezichtsopdracht 24

Structuur van de uiteenzetting - deel 4 1. Wat verwacht de CBFA op het vlak van interne audit bij IBP's? 2. Bijzonder geval van uitbesteding 3. Enkele nuttige referenties 25

4.1. Verwachtingen van de CBFA op het vlak van interne audit Audit : "Systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijs en het objectief beoordelen daarvan om vast te stellen in welke mate aan de auditcriteria is voldaan" Specifieke aandacht voor: Auditcharter Audituniversum Risicobeoordeling Auditplan Rapportering en opvolging Goed begrip van de omgeving Uitvoering van de auditactiviteiten Risicobeoordeling en vastlegging van het auditplan Evenredigheidsbeginsel 26

4.1. Verwachtingen van de CBFA op het vlak van interne audit - Enkele voorbeelden Beheer van de IBP Gestion fond de pension Bijdrage n Process Uitstippeling van het bestuur en de strategie Kenmerken van de pensioenplannen Beheer van de gegevens (aanmaken/wijzigen van de gegevens m.b.t. de pensioenplannen, de deelnemers,,,,) Risico's Ongeschikte strategie Discrepantie tussen de uitgestippelde strategie en de uitvoering ervan Niet-naleving van de dienstverleningsovereenkomst reglementeringen door een Technische kenmerken niet geschikt voor de economische leefbaarheid van de IBP Onjuiste invoering van de kenmerken van de pensioenplannen in het systeem Actualisering van de informatie Inconsistentie van de gegevens Beheer van de aanvragen tot overdracht Toewijzing van de bedrijfskosten Traceerbaarheid van de verrichtingen Bestaan van bewijsstukken Financieel en administratief beheer Onjuiste invoering van de gegevens Rapportering van onnauwkeurige gegevens Gebrekkige werking van de interfaces tussen verschillende functies Rapportering en communicatie Gebrek aan sturing Beheer van de IT-systemen Integriteit van gegevens niet gegarandeerd Ongeschikt beheer van toegangsrechten Ontbreken van continuïteitsplan Ongeschikt beheer van uitbesteding IT...... Berekening van de bijdragen Rekenfout Ontvangst en verwerking van de bijdragen...... 27

4.1. Verwachtingen van de CBFA op het vlak van interne audit - Enkele voorbeelden Process Risico's Beleggingen Uitstippeling en uitvoering van beleggingsstrategie (SIP) Risicobeheer Verwerking van de transacties Beheer van de beleggingskosten Ongeschikte beleggingsstrategie Niet-naleving van de beleggingsstrategie bij beleggingsbeslissingen en bij het beheer van de portefeuille Gebrek aan liquiditeit op korte termijn om aan de verplichtingen te voldoen Onvoldoende activa Niet-toegelaten transacties Niet-beschikbaarheid van de informatie die nodig is voor het beheer van de activa Risico op overschatting van een actiefbestanddeel dat bij Toewijzing van de beleggingsresultaten overdracht tot een waardevermindering kan leiden Waardering...... Prestaties quidation des prestations Berekening en boeking van de reserves en prestaties Onvoldoende voorzieningen voor de te betalen prestaties Betaling van de prestaties Fout bij de uitvoering van de betalingen Fiscaliteit...... 28

Structuur van de uiteenzetting - deel 4 1. Wat verwacht de CBFA op het vlak van interne audit bij IBP's? 2. Bijzonder geval van uitbesteding 3. Enkele nuttige referenties 29

4.2. Uitbesteding CPP-2007-2: "Uitbesteding kan onder meer betrekking hebben op administratieve en financiële functies (boekhouding, actief-/passiefbeheer, beleggingsbeheer ) of op gespecialiseerde functies (interne audit, compliance, )." "Uitbesteding vermindert op geen enkele wijze de verantwoordelijkheid van de organen van de IBP, noch ten opzichte van de aangeslotenen en begunstigden, noch ten aanzien van de bijdragende onderneming of de toezichthouders." 30

4.2. Uitbesteding Verwijzing naar principe nr. 7 + Audit van de uitbestede activiteit alsof het om een interne activiteit ging Bijvoorbeeld: Uitbestedingsbeleid Heeft de IBP een uitbestedingsbeleid vastgelegd? Werd dit beleid goedgekeurd door de raad van bestuur? Zijn de uitbestedingsvoorwaarden duidelijk afgelijnd in dit beleid? Toezicht op en evaluatie van de activiteiten die worden uitbesteed of toevertrouwd aan derden Houdt de IBP regelmatig toezicht op de kwaliteit van de uitbestede activiteiten en evalueert zij die regelmatig? 31

4.2. Uitbesteding Beslissing tot uitbesteding Hoe neemt de IBP een beslissing om uit te besteden of om een beroep te doen op derden voor het verlenen van diensten? Steunt de instelling haar beslissing tot uitbesteding op een grondige analyse? beschrijving van de uit te besteden diensten of activiteiten verwachte effecten van de uitbesteding raming van de kosten en baten evaluatie van de risico's die aan het project zijn verbonden (financiële, operationele, wettelijke en reputatierisico's) Opvolging en beheer van de risico's door de IBP 32

4.2. Uitbesteding Keuze van onderaannemer of dienstverlener Elementen die in aanmerking worden genomen ( grootte, reputatie, kostprijs,...)? Wordt de keuze met de nodige voorzichtigheid gemaakt? Continuïteit van de dienstverlening? Zijn de aanpassings- en stopzettingsclausules voldoende soepel om alternatieve oplossingen te kunnen uitwerken indien nodig? Schriftelijke overeenkomst Geeft de overeenkomst een duidelijke omschrijving van de verantwoordelijkheden van beide partijen? Hoe komen de continuïteitsaspecten aan bod in deze overeenkomst? Herroepbaar karakter van de uitbesteding? Integriteit van het interne en externe toezicht 33

4.2. Uitbesteding Bescherming Welke beveiligingsmaatregelen zijn er getroffen om de confidentialiteit en de integriteit van de gegevens over de aangeslotenen en de begunstigden te allen tijde op een afdoende manier te vrijwaren, ook tijdens de onderlinge en/of externe communicatie ervan? Hoe worden de veiligheids-, confidentialiteits- en reputatierisico's gedekt door de externe dienstverlener? 34

4.2. Uitbesteding - SAS70 of andere certificering Voor de onderaannemer Geen of weinig herhaalde audits Wekt vertrouwen bij de onderaannemer Het controlebeleid en de controleprocedures van de onderaannemer worden beoordeeld en getest door een onafhankelijke partij Verbetering van de processen Marketingtool bij sommige cliënten Voor de IBP Verschaft informatie voor de beoordeling van de algemene controleomgeving van de IBP Garandeert dat de onderaannemer belang hecht aan controle en dat dit ook tot uiting zal komen in zijn prestaties Beheersing van de auditkosten Gedeeltelijk antwoord op de bekommernissen die geformuleerd zijn in de 11 principes van circulaire CPP- 2007-2 35

Structuur van de uiteenzetting - deel 4 1. Wat verwacht de CBFA op het vlak van interne audit bij IBP's? 2. Bijzonder geval van uitbesteding 3. Enkele nuttige referenties 36

4. Enkele nuttige referenties COSO Cobit ERM... http://www.theiia.org/ http://www.iiabel.be/ http://www.ifaci.com/... 37

4. Enkele nuttige referenties Attribute Standards - enkele voorbeelden : 1000 Purpose, Authority, and Responsibility 1100 Independence and Objectivity 1200 Proficiency and Due Professional Care 1300 Quality Assurance and Improvement Program Performance Standards - enkele voorbeelden : 2000 Managing the Internal Audit Activity 2100 Nature of Work 2200 Engagement Planning 2300 Performing the Engagement 2400 Communicating Results 2500 Monitoring Progress 2600 Management s Acceptance of Risks 38

4. Enkele nuttige referenties Sample Practice Advisories - enkele voorbeelden : Practice Advisory 2100-2: Information Security Practice Advisory 2130-1: Role of the Internal Audit Activity and Internal Auditor in the Ethical Culture of an Organization Practice Advisory 2120.A4-1: Control Criteria Practice Advisory 2310-1: Identifying Information Practice Advisory 2320-1: Analysis and Evaluation Practice Advisory 2330-1: Recording Information 39