Presentatie Esther Poelsma, 11-12-14, op het seminar 'Betekenis interne audit voor specifieke verzekeraars', georganiseerd door InAudit. Onderwerp: inrichting van de interne audit functie 'zoals het moet'.
Solvency II Reporting - stand van zaken voorjaar 2014
11-12-14 Esther Poelsma- inrichting van interne audit functie
1. Seminar
BETEKENIS VAN
INTERNE AUDIT
voor specifieke verzekeraars
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 1
2. Inrichting van de IAF
”zoals het moet”
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
2
Esther Poelsma RA CIA
3. Programma
Even voorstellen
Waarom een IAF?
Wat is de rol van een effectieve IAF?
Inrichting van een effectieve IAF
Discussie
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
3
4. Waarom een IAF?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
4
WFT/BPR
Solvency II
Governance Code
5. Waarom een IAF?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
5
Cruciaal voor “good governance”
Stimuleert management tot betere prestaties
Draagt bij aan
bescherming en
succes van de
Organisatie!
6. Wat is de rol van een effectieve
IAF?
3e lijn: de IAF geeft zekerheid over de effec-tiviteit
van de beheersingsmaatregelen
2e lijn: adviseert en ondersteunt de business
bij de beheersing van risico’s
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
6
1e lijn: business is zelf verantwoordelijk voor
het ondervangen van risico’s
“Three lines of
defence” model
7. Wat is de rol van een effectieve
IAF?
Gedrag en cultuur?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
7
Is governance adequaat?
Is risicomanagement op orde?
Zijn “controls” toereikend?
Het
verstrekken
van
“assurance”
aan het
bestuur van
een
organisatie
op basis van
objectief
en
deskundig
onderzoek.
Wordt wet- en regelgeving nageleefd?
Is informatievoorziening betrouwbaar?
8. Inrichting van effectieve IAF
8
Solvency II
Beroepsorganisaties
IIA
NBA
NOREA
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
9. Inrichting van effectieve IAF
Onafhankelijkheid
Onpartijdigheid
Objectiviteit
Deskundigheid
Integriteit
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
10. Inrichting van effectieve IAF
Rechtstreeks gepositioneerd onder
Directie van de organisatie
Directe rapportagelijn Directie en RvC/AC
Rechtstreeks onbeperkt toegang RvC/AC
Geen combinatie met andere functies
Onbeperkt toegang tot alle onderdelen,
Informatie en mensen
IAF kan op eigen initiatief audits uitvoeren
Financiële beloning is onafhankelijk van
de financiële prestatie van de organisatie
Jaarlijkse beoordeling functioneren IAF
door Directie en RvC/AC
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
11. Inrichting van effectieve IAF
Passende opleidingsniveau
Permanente educatie
Competentieprofielen
Kennis auditmethodes en technieken
Voldoende opleidingsbudget
Budget inhuur kennis
Kwaliteitsbewaking- en verbetering-programma
Code of Ethics IIA
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
12. Inrichting van effectieve IAF
Doel, bevoegdheid en verantwoordelijkheid
Positionering in de organisatie
Rapportagelijnen
Rol Directie en RVC/AC
Reikwijdte
Toegang tot informatie en personen
Beschikbare middelen (capaciteit, budget)
Escalatiemodel
Relatie overige risk- en governance functies
Goedgekeurd door Directie en RVC/AC
Periodieke actualisatie
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
13. Inrichting van effectieve IAF
Reikwijdte
Scope
Audit jaarplan
Transparante rapportagelijnen
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
14. Inrichting van effectieve IAF
De verantwoordelijkheid mag niet worden beperkt!
Combinatie met andere sleutelfuncties is toegestaan, mits:
1. aard, omvang en complexiteit van risico’s beperkt zijn, en
2. er geen belangenconflict bestaat tussen de IAF en de
andere sleutelfunctie, en
3. de kosten van het hebben van een IAF functionaris
disproportioneel zijn t.o.v. de administratieve kosten
Motiveren!!!
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
15. Inrichting van effectieve IAF
directe beschikbaarheid
kennis van de organisatie
multidisciplinaire deskundigheid
frisse blik van buiten
Onafhankelijkheid en objectiviteit
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
1
5
Voordelen in huis?
In huis of
uitbesteden?
Voordelen (gedeeltelijk) uitbesteden?
variabel maken van kosten
Flexibiliteit
16. Inrichting van effectieve IAF
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
1
6
Uitbesteden?
In huis of
uitbesteden?
Directie blijft eindverantwoordelijk
Kwaliteit mag niet worden uitgehold
Naleven regelgeving uitbesteding
Motiveren!!!
17. Inrichting van effectieve IAF
Duidelijkheid over rol en reikwijdte IAF
Robuust evaluatie en feedback proces
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
1
7
Zichtbare support
Rol van Directie en RvC/AC
18. Discussie
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
1
8
Effectieve IAD kan geen één persoonsformatie zijn!
Editor's Notes
Art 17 lid 4 BPR: de effectiviteit van de organisatie-inrichting en van de procedures en maatregelen worden tenminste jaarlijks op onafhankelijke wijze getoetst.
1 januari 2014: EIOPA “richtsnoeren voor het governancesysteem” (hoofdstuk 7; richtsnoeren 35 t/m 37) – functievereisten en taken/verantwoordelijkheden en Interneauditbeleidslijn
Governance code: 5.1 t/m 5.6
Ondersteuning van bestuur en RvC/AC bij haar taken en verantwoordelijkheden; Tool van het management en Audit Cie (ogen en oren), Cruciaal voor beheersing van risico’s: sparringpartner: zorgt voor een betere beheersing van de risico’s en behalen van de doelstellingen
Audit cie beoordeelt de kwaliteit van de GRC binnen de organisatie dus inclusief de IAF, beoordeeld of IAF een adequate bijdrage levert aan de governance
Verwachtingen/rollen moeten over en weer duidelijk zijn en hier moet op worden gechalenged en gemonitored
Spin in het GRC- web: overziet, controleert, adviseert en moet soms haar tanden laten zien.
In tegenstelling tot de IAF hebben de governance functies uit de 2e lijn een uitvoerende rol binnen de risicobeheersingssystemen.
2e lijn is vaak medeverantwoordelijk voor het beleid en/of implementatie van maatregelen met betrekking tot risicobeheersing.
2e lijn dient in scope te zijn van de IAF bij audit opzet en werking risicobeheersingsystemen
Afhankelijk van volwassenheid kan IAF gebruik maken van de werkzaamheden van de governance functies uit de 2e lijn: voorkomen doublures
Klein zijn is niet hetzelfde als niet effectief zijn! Moet passend ingericht zijn voor de omvang en de risico’s van het verzekeringsbedrijf.
Kleinere auditfuncties kunnen voor uitdagingen komen te staan die niet gebruikelijk zijn voor de grotere auditfuncties, die schaalvoordelen hebben.
Om effectief te kunnen functioneren dient de IAF te voldoen aan de functioneringsvereisten.
Uitdaging voor kleine IAF: uitvoerende taken door onvolwassen 1e en 2e lijn functies (ondersteuning risicoraamwerk); beeld van belangenverstrengeling door nauwe relatie met de leiding, is de positie wel onafhankelijk genoeg? Hoe lopen de rapportage lijnen? Belangrijk: open communicatie IAF met bestuur over onafhankelijkheid, onpartijdigheid en objectiviteit. Argumenten mogen geen belemmering zijn om een audit niet uit te voeren. Indien niet gewaarborgd dan moet dit met reden en gevolgen in het audit rapport worden opgenomen.
Uitdaging! Beperkt budget voor vinden van goed gekwalificeerd personeel, externe inhuur, investeren in opleidingen. Mogelijk inzetten van gast auditors, inhuur. Goedkope trainingen (online), interventie overleggen met hoofden IAF in soortgelijke functies, delen van informatie over auditmethodes en technieken.
Kwaliteitsbewaking- en verbetering programma is uitdaging: voldoen aan IIA standaarden moet worden ondersteunt door dit programma; interne (review) en externe evaluatie(budget) – collegiale toetsing
Interne audit beleidslijn
Vastlegging van doel, status en het gezag van de IAF op een wijze die de effectiviteit borgt.
Toereikendheid van middelen is een uitdaging! :
Audit jaarplan: risicobased, audit universe, goedgekeurd door Directie en RvC/AC; monitoren follow up van auditbevindingen; budget en bemensing; niet statisch
Rapportage: tenminste 1 keer per jaar schriftelijk aan Directie en RvC/AC; realisatie auditjaarplan; bevindingen en aanbevelingen, realisatie van audit aanbevelingen, additionele audit werkzaamheden
Combinatie van IAF met actuariële functie is nooit toegestaan!
Aanvullend: bij hele kleine verzekeraars mag leiding van de IAF bij een bestuurder worden belegd: deze moet dan wel in staat zijn om de IAF werkzaamheden te kunnen beoordelen.
Symptonen van ongedragen IAF: langdurige openstaande audit aanbevelingen, onvoldoende medewerking van medewerkers, continue discussie bevindingen, risico indicaties e.d.
DNB vindt dit (vooralsnog) geen probleem.
Link naar deskundigheid/onafhankelijkheid en beroepsorganisaties; tevens uitdaging met kwaliteitsborging- en verbeterprogramma
Gezien vanaf drie personen mogelijk volledig in te vullen…… minder, dan budget inhuur kennis/review e.d.