Toezichthouder over de IAF

Toezichthouder over de IAF

Auteur: Drs. Nicole Engel-de Groot RA
Beeld: unsplash
8 min

Audit Magazine schoof aan bij een overleg van het Markt­toezichthoudersberaad en onderzocht de verschillen en overeenkomsten tussen toezichthouders ten aanzien van hun zienswijze op een IAF.

Een organisatie of instelling dient rekening te houden met eisen, wensen en werkwijzen van een toezichthouder. Hieruit volgt dat een IAF deze eisen, wensen en werkwijzen moet betrekken in haar onderzoeken. Echter dé toezichthouder bestaat niet. Elke toezichthouder heeft een bepaalde taakopdracht vanuit een bepaald maatschappelijk (deel)belang van een sector of (deel)markt. De diverse toezichthouders kennen dan ook verschillende doelstellingen, maar er bestaan ook overeenkomsten. De vraag is bijvoorbeeld waarom de toezichthouder van de ene sector de IAF verplicht stelt en de toezichthouder van de andere sector dat niet doet? En in hoeverre steunt een toezichthouder op het werk van de IAF?

Markttoezichthoudersberaad

In 2011 is het Markttoezichthoudersberaad (MTB) opgericht. Dit overlegorgaan zorgt ervoor dat toezichthouders structureel met elkaar in gesprek zijn. De deelnemers zijn:

  • Autoriteit Financiële Markten (AFM)
  • Kansspelautoriteit
  • Autoriteit Consument en Markt (ACM)
  • Nederlandse Zorgautoriteit (NZa)
  • Commissariaat voor de Media
  • De Nederlandsche Bank (DNB)

Audit Magazine legde elke toezichthouder vier vragen voor.

  1. Verplicht de toezichthouder dat de OTSI minimaal een IAF heeft? indien nee: is in de toekomst verandering voorzien?

AFM
Wij verplichten dit niet, dit vloeit (voor sommige typen vergunninghouders) voort uit de wet. Op basis van de (Europese) wetgeving ligt het aan het type vergunninghouder wat de vereisten zijn op dit gebied. Voor bijvoorbeeld beleggingsondernemingen en beheerders van ICBE’s geldt deze plicht op grond van artikel 30, zesde lid Bgfo wel. Voor financieel dienstverleners geldt deze plicht niet.

Kansspelautoriteit
Op dit moment verplichten we dat niet met zoveel woorden. Wel staat in diverse meerjarige vergunningen van kansspelaanbieders de verplichting de kwaliteit van de dienstverlening te handhaven en waarborgen, zowel wat betreft organisaties als gehanteerde processen – zie bijvoorbeeld de vergunning voor de Lotto, onder E. Artikel 6 van de vergunning voor Holland Casino kent een soortgelijke verplichting waarin expliciet wordt gevergd dat sprake is van intern toezicht en dat die interne controle is vastgelegd (artikel 6, Beschikking Casinospelen).
In het aanhangige wetsvoorstel Kansspelen op afstand (Koa, Kamerstukken II 33 996) wordt als verplichting geformuleerd het hebben van een (of meer) compliance officer(s) ‘die verantwoordelijk en beschikbaar zijn voor de uitvoering en het interne toezicht op de naleving van de bij of krachtens deze wet gestelde voorschriften (art. 31, h, vierde lid). Daarin is dus expliciet sprake van ‘intern toezicht’.
NB: bij alle vergunninghouders bestaat wel een wettelijke eis dat jaarlijks bepaalde processen extern worden geaudit. Hierbij wordt in het midden gelaten welke rol een interne audit­afdeling daarbij kan spelen.

ACM
Nee, we bemoeien ons niet met de IAF, we richten ons meer op de externe accountant. Het is aan de onderneming zelf om de interne controle op orde te brengen, bijvoorbeeld door (verplichte) invoering van een compliance programma.

NZa
Vanuit de NZa hebben wij geen bevoegdheid om voor te schrijven dat zorgverzekeraars een IAF moeten hebben. Het is een gegeven dat dit in de praktijk wel het geval is, mede door de verplichting vanuit de Wft waarop DNB toeziet. In eerste instantie is de OTSI zelf verantwoordelijk voor haar interne beheersingsraamwerk en is het aan haar om dit op een goede manier vorm te geven. Toezicht is een sluitstuk.

Commissariaat Media
Nee, wij verplichten de OTSI dit niet. Op grond van artikel 2.178 van de Mediawet is slechts gesteld dat de landelijke en regionale publieke media-instellingen hun organisatie zodanig in dienen te richten dat een deugdelijke inrichting, sturing en beheersing van de bedrijfsprocessen gewaarborgd is. Hoe ze dat doen is vooralsnog aan hunzelf. We zijn wel bezig met het opstellen van een beleidsregel die nadere invulling aan dit artikel geeft. Denk hierbij aan wat wij verstaan onder een ‘deugdelijke inrichting, sturing en beheersing’. Hiervoor zullen we handvatten aanreiken. We zullen naar verwachting echter niet zover gaan om ook een IAF te gaan verplichten. Wij zien dit meer als een instrument om een deugdelijke AO/IB te borgen maar zo zijn er nog vele andere instrumenten denkbaar. Hierin laten we de OTSI zelf de keuze maken.

DNB
Voor banken en verzekeraars is het verplicht om een IAF te hebben. Wij vinden een IAF een belangrijk onderdeel van een integere en beheerste bedrijfsvoering, waarbij we ook oog hebben voor proportionaliteit. Binnen kleinere instellingen zijn minder mogelijkheden om een uitgebreide IAF te creëren. Desalniettemin gaat het ons om de functie waarbij apart van de businessactiviteiten naar de interne beheersing wordt gekeken.

  1. Stelt de toezichthouder eisen aan een IAF bij de OTSI (inrichting/governance/inhoudelijke focus)?

AFM
De eisen zijn ook weer wettelijk vastgelegd en zien vooral toe op de taken en werkzaamheden die de IAF moet uitoefenen. Artikel 31a Bgfo gaat daarop in en stelt dat de IAF (persoon of organisatieonderdeel) verantwoordelijk is voor:

  • het vaststellen en uitvoeren van een controleplan om de deugdelijkheid en effectiviteit van de systemen, interne controleprocedures en regels van de financiële onderneming te onderzoeken en te beoordelen;
  • het doen van aanbevelingen op basis van de resultaten van de werkzaamheden;
  • het controleren of aan deze aanbevelingen gevolg wordt gegeven;
  • het ten minste jaarlijks rapporteren aan de personen die het dagelijks beleid van de financiële onderneming bepalen en aan het orgaan, indien aanwezig, dat is belast met toezicht op het beleid en de algemene gang van zaken van de financiële onderneming inzake aangelegenheden met betrekking tot de interne controle en de genomen maatregelen in geval van gesignaleerde tekortkomingen.

Kansspelautoriteit
Nee, we stellen (nog) geen expliciete eisen. Maar in de aanloop naar de inwerkingtreding van de wet op de Kansspelen ‘Wet Koa’ (en daaropvolgende wetgeving voor de huidige ‘landbased aanbieders’) is duidelijk sprake van een interne auditfunctie. Of wij aan die functie nadere eisen gaan stellen, kan ik nu nog niet zeggen. Wel zullen wij – uiteraard – gebruik (moeten) gaan maken van dat interne toezicht.

ACM
Nee, zie vraag 1.

NZa
De zorgverzekeraar is verplicht om een aantal door de externe accountant gecertificeerde verantwoordingen aan te leveren bij de NZa. Onder voorwaarden kunnen een aantal van die verantwoordingen gecertificeerd worden door de IAF. In die gevallen stellen wij voorwaarden aan de IAF zoals onafhankelijkheid, competenties en kwaliteitszorgsysteem. Wij doen dit om de administratieve lasten voor verzekeraars te verlichten.

Commissariaat Media
Nee.

DNB
Vanuit het Basels Comité van Banken Toezichthouders (BCBS) zijn in afgelopen jaren enkele belangrijke Richtlijnen uitgebracht, bijvoorbeeld omtrent de interne governance van banken en omtrent de IAF. In deze Richtlijnen zijn principes opgenomen die toezichthouders, op mondiaal niveau, belangrijk vinden. In de praktijk blijken grote verschillen te bestaan in het mandaat van IAF’s van banken. De Richtlijn bevat bijvoorbeeld het uitgangspunt dat IAF’s bij voorkeur ook een rol hebben bij de beoordeling van de rapportageprocessen. Ook een rapportagelijn van de IAF naar het audit committee is als een belangrijk ‘principe’ opgenomen.

Hoewel deze Richtlijnen zijn geschreven voor het toezicht op banken, hebben deze Richtlijnen ook betekenis voor het toezicht op verzekeraars. Bij het formuleren van een normen­kader voor een thema-onderzoek bij verzekeraars spelen deze Richtlijnen een rol. Je mag verwachten dat deze Richtlijnen op enigerlei wijze een positieve invloed hebben op de verdere ontwikkeling van IAF’s bij banken en verzekeraars.

  1. Maakt de toezichthouder gebruik van de bevindingen van de IAF?

AFM
De AFM vraagt risicogestuurd of periodiek bij OTSI’s interne auditrapportages op (naast bijvoorbeeld compliancerapportages). Dit helpt ons bij het beoordelen van de effectiviteit van het interne toezicht (tweede en derde lijn) en het signaleren van risico’s in een bepaald marktsegment of bij bepaalde producten/diensten of processen.

Kansspelautoriteit
Geen ja en geen nee: de wet- en regelgeving vraagt (zie hiervoor) om die interne auditfunctie maar stelt daaraan (nog) geen kwaliteitseisen. Naar verwachting zullen wij op voorhand wel verwachtingen (maar geen eisen) formuleren als het gaat om de positionering van de functie. Maar dit zullen geen heel expliciete doelen voor die interne audits zijn: we zullen pas eisen gaan stellen als zou blijken dat de uitvoering van de interne controle bij aanbieders (of een bepaalde aanbieder) onvoldoende blijkt te zijn.

ACM
Wij richten ons minder (in vergelijking met DNB) op continuïteit van de onderneming, het gaat ons meer om de juistheid van de informatie die we krijgen. Voor dat doel is een externe accountant meer geschikt dan een interne auditdienst bij de onderneming. Incidenteel (bijvoorbeeld bij energietoezicht) maken wij wel gebruik van de bevindingen van de IAF.

NZa
In geval van certificering door de IAF (zie vraag 2) maakt de NZa hier gebruik van, na vaststelling dat hierop gesteund kan worden via een review. Ook vraagt de NZa rapportages van de IAF op als input voor haar toezicht. Er is sprake van communicerende vaten. Als sprake is van een goed werkend intern beheersingsraamwerk met een onafhankelijke toetsende functie vertaalt zich dit in een lager risicoprofiel voor toezicht. Wij moeten als toezichthouder slim met onze beperkte capaciteit omgaan dus onze focus richten op de risicovolle gebieden. Daarmee heeft een IAF zowel een interne als externe functie. Niet alleen dus van groot nut voor de interne organisatie maar ook een bijdrage leverend aan de externe toezichthouder.

Commissariaat Media
Niet van toepassing.

DNB
Werkzaamheden van IAF’s en hun bevindingen zijn belangrijk voor toezichthouders. Uiteraard besteden de toezichthouders aandacht aan de IAF’s, maar ook op beleidsniveau bestaat voor banken een periodiek overleg met een delegatie van interne auditors via de Nederlandse Vereniging van Banken. Toezichthouders maken een risicoanalyse van punten waar specifiek naar gekeken zal worden. In voorkomende gevallen is het dan goed om kennis te nemen van de werkzaamheden en bevindingen van een IAF.

  1. Mag de toezichthouder zich überhaupt bemoeien met de IAF of ligt dit sec bij de opdrachtgever (audit committee)?

AFM
De AFM ziet de IAF als een interne toezichthouder die haar eigen prioriteiten en onderzoeksplanning bepaalt. Indien de AFM aanleiding ziet voor nader intern onderzoek naar bepaalde processen, dan zal zij het bestuur of de RvC van de OTSI voorstellen of adviseren om de IAF dergelijk onderzoek te laten doen. De AFM geeft geen directe opdrachten aan de IAF’s.

ACM
Zie vraag 1, ACM doet meer aan outputsturing. Het is aan het bestuur/de directie van de onderneming om de administratieve organisatie/interne controle (waar IAF onderdeel van kan zijn) goed te laten functioneren.

NZa
Wij willen graag zoveel als mogelijk gebruikmaken van de governance. Wij zijn immers het sluitstuk in de hele controleketen. Maar we hebben vanuit het toezicht geen bevoegdheid om te bepalen dat een zorgverzekeraar een IAF MOET hebben en ook niet HOE de governancestructuur er uit ziet. Ook geeft de NZa geen opdrachten aan de IAF.

Commissariaat Media
Wij zijn van oordeel dat de toezichthouder eisen mag stellen aan de kwaliteit van de AO/IB van de OTSI. Dit is een resultante van de wijze waarop de OTSI dit zelf organiseert. De middelen of instrumenten om dit te bereiken (waaronder bijvoorbeeld een IAF) zijn (tot op zekere hoogte) beleidskeuzen van de organisatie zelf. Het gaat ons om het doel (adequate AO/IB) en niet om het middel.

DNB
Wij zien een IAF als onderdeel van het zogeheten three-lines-of-defensemodel, dat veel instellingen gebruiken om invulling te geven aan de wettelijke bepaling voor een integere en beheerste bedrijfsvoering. Omdat een integere en beheerste bedrijfsvoering bijdraagt aan de soliditeit van instellingen, hebben wij aandacht voor de effectiviteit van dit interne stelsel. Ook een audit committee valt wat ons betreft onder dit interne stelsel. Wij zijn dan ook voorstander van een interne structuur waarbij het audit committee een belangrijke rol speelt bij het interne toezicht op de bedrijfsvoering, inclusief de rol van de IAF. Overigens leert de praktijk dat het audit committee nog niet altijd de ‘opdrachtgever’ van een IAF is.

Conclusies

De belangrijkste verschillen zijn wellicht terug te voeren op het belang van een goed werkend intern beheersingsraamwerk voor effectief toezicht. Een goed werkend beheersingsraamwerk zal voor elke organisatie belangrijk zijn, echter niet elke toezichthouder behoeft voor effectief toezicht hier noodzakelijkerwijs op te steunen. Enerzijds zijn er toezichthouders die zich richten op de juistheid van een bepaald aspect (naleving mediawet, veilig en betrouwbaar kansspel-aanbod, eerlijke concurrentie en consumentenbelangen) en die hun toezicht goed kunnen uitoefenen zonder daarbij te hoeven steunen op de interne beheersing van de instelling. Anderzijds zijn er toezichthouders voor wie ten behoeve van effectief toezicht een goed werkend intern beheersingsraamwerk essentieel is. Voor de eerste groep toezichthouders zijn de werkzaamheden van een IAF minder van belang en zij maken dientengevolg in mindere mate gebruik van de IAF.

Het MTB biedt een platform waar ervaringen van toezichthouders gedeeld worden. Omdat meerdere toezichthouders ervaring hebben met IAF’s, leent het zich ervoor om op dit punt van elkaar te leren. Maar gezien de verschillen tussen toezichthouders ten aanzien van hun relatie met de IAF is een gezamenlijke aanpak op dit terrein niet erg waarschijnlijk.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp: