Deze reeks artikelen heeft als doel om een overzicht te geven van de ontwikkelingen ten aanzien van de regelgeving bij de diverse toezichthouders voor de financiële instellingen in Nederland en de impact daarvan op de werkzaamheden van de IT-auditor. Hierbij zal onder meer worden aangegeven wat de regelgeving inhoudt en wat er nu gewijzigd is ten opzichte van de oude situatie en wat de gevolgen hiervan zijn voor de financiële instellingen. In het algemeen kan gesteld worden dat de beheersing van ICT een steeds belangrijker onderdeel gaat vormen in de regelgeving van toezichthouders. De artikelen gaan met name in op de IT-specifieke issues die voortvloeien uit de regelgeving. Verschillende auteurs hebben hun bijdrage geleverd.
Klik hier voor een inleiding op de reeks artikelen, een overzicht van de artikelen en een samenvatting en nabeschouwing.
Algemeen
De Pensioen- & Verzekeringskamer (PVK) houdt toezicht op de in Nederland werkzame verzekeringsmaatschappijen en pensioenfondsen. Het doel hiervan is zorgen dat deze instellingen financieel gezond zijn én blijven, en dat zij ook in de toekomst aan hun verplichtingen kunnen voldoen.
De PVK werkt met een normatief toezichtsysteem. Dat wil zeggen dat de PVK volgens vooraf gestelde normen zich een oordeel vormt over de onder toezicht staande instellingen. Door inzage in en overleg over jaarlijkse verslagstaten en bijvoorbeeld accountantsverslagen komt dit oordeel tot stand. De PVK voert tevens speerpuntonderzoeken uit, waarbij dieper wordt ingegaan op één specifiek onderwerp. Verder is de toetsing van alle nieuwe en zittende bestuurders en directeuren van verzekeraars en pensioenfondsen op deskundigheid en betrouwbaarheid een belangrijke taak. De nadruk ligt de komende jaren op integriteit, (internationale) samenwerking tussen de financiële toezichthouders, conglomeraatvorming en het toezicht daarop, transparantie en informatieverstrekking. Daarnaast is er op dit moment veel aandacht voor consumentenvoorlichting en vernieuwing van bestaande beleidsregels voor financiële toetsing.
Het beleid dat de PVK voert is tweeledig. Enerzijds past de PVK de bestaande toezichtswetgeving toe. Voor de uitoefening van het toezicht van de PVK zijn de PSW (pensioenfondsen), de WTV’93 en WTN (verzekeringsmaatschappijen) de belangrijkste wetten. Anderzijds hanteert zij de eigen PVK-bevoegdheden bestaande uit Voorschriften, Beleidsregels en Aanbevelingen. Voorschriften zijn de meest dwingende bevoegdheden. Aanbevelingen daarentegen hebben geen verplicht karakter.
Beheersing van ICT
Ten aanzien van de beheersing van risico’s uit hoofde van ICT heeft de PVK geen specifieke voorschriften of richtlijnen uitgevaardigd. Het toezicht van de PVK richt zich vooral op de financiële en actuariële opzet van de onder toezicht staande instellingen en de inhoud van de statuten en reglementen. Bij de uitoefening van het toezicht is de kwaliteit van de ICT en de beheersing van ICT een aandachtsgebied, met name voor wat betreft bijzondere issues zoals euroconversie en millenniumwisseling. Zo heeft de PVK zich continu een beeld gevormd van de millenniumproblematiek bij de aangesloten instellingen. Hetzelfde geldt voor de europroblematiek. Aan de beheersing van ICT in zijn algemeenheid is tot op heden weinig aandacht besteed. Ook in de recent uitgevaardigde Principes voor Interne Beheersing (PIB) wordt slechts in beperkte mate ingegaan op de beheersing van ICT.
Zoals in de voorgaande paragraaf is aangegeven, verkrijgt de PVK de informatie over informatiebeveiliging grotendeels uit de management letters en rapportages aan de RvC naar aanleiding van de jaarrekeningcontrole. Deze informatieverstrekking is voor verzekeringsmaatschappijen vastgelegd in de Drie-partijen-overeenkomst tussen PVK, verzekeraar en certificerend accountant. De accountant en de daarbij ingeschakelde IT-auditor vervullen hierdoor een belangrijke rol in de informatieverstrekking inzake de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking aan de PVK. Indertijd heeft men de aangesloten instellingen specifiek gevraagd om de accountant in de management letter aandacht te laten besteden aan de millenniumproblematiek. Hierbij dient opgemerkt te worden, dat voor de jaarrekeningcontrole niet beschreven is welke werkzaamheden de accountant (de IT-auditor) ten aanzien van ICT moet (laten) uitvoeren.
Meldingsplicht
Indien een IT-auditor is ingeschakeld door de certificerend accountant, kan hij te maken krijgen met de meldingsplicht, die is vastgelegd in de Drie-partijen-overeenkomst tussen PVK, verzekeraar en accountant en in de Pensioen- en Spaarfondsenwet. De meldingsplicht is van toepassing op de certificerend accountant bij verzekeringsmaatschappijen en de certificerend accountant en actuaris bij pensioenfondsen. Het betreft uitsluitend werkzaamheden die in het kader van de controle van de jaarrekening en verslagstaten worden uitgevoerd. De meldingsplicht is van toepassing in de volgende situaties:
- In strijd met de PVK-eisen voor (verkrijgen) vergunning;
- Omstandigheden die het voortbestaan van de onderneming bedreigen;
- In strijd met de bij wet opgelegde verplichtingen;
- Omstandigheden die leiden tot weigering van afgeven goedkeurende accountantsverklaring.
De IT-auditor kan bij zijn reguliere werkzaamheden voor de jaarrekeningcontrole worden geconfronteerd met het ontbreken of het ernstig tekortschieten van continuïteitsvoorzieningen voor de geautomatiseerde gegevensverwerking of hij kan bij zijn werkzaamheden ernstige leemten in de AO/IC aantreffen. Na constatering zullen de bevindingen in overleg met de verantwoordelijke accountant tot melding moeten leiden aan de PVK.
Hierbij moet opgemerkt worden, dat er op dit moment bij de actuarissen en de accountants nog de nodige vragen bestaan over de invulling van de meldingsplicht en welke normen ‘wanneer is het ernstig’ hierbij moeten worden gehanteerd. Enkele belangrijke vragen in dit kader zijn:
- Welke controlewerkzaamheden mag de PVK van de accountant/actuaris verwachten tijdens de controle van jaarrekening en verslagstaten?
- Mag de onderneming in de gelegenheid worden gesteld om de omstandigheid te verhelpen? Mag de onderneming het initiatief nemen tot overleg met de PVK?
- Op welke termijn moet de continuïteit worden beoordeeld in het geval het voortbestaan van de onderneming wordt bedreigd? Met welke mate van waarschijnlijkheid?
Ontwikkelingen in het toezicht bij de PVK
In maart 2001 heeft de PVK de Principes Interne Beheersing (PIB) voor pensioenfondsen, verzekeringsmaatschappijen en natura-uitvaartverzekeraars in concept uitgebracht. De PVK geeft hierbij invulling aan de bevoegdheid om eisen te stellen aan de AO/IC van verzekeringsmaatschappijen en pensioenfondsen, gebaseerd op artikel 70 WTV respectievelijk Nota van Toelichting van het Koninklijk Besluit van 21 november 2000 omtrent de inhoud van de ABTN. De PIB’s hebben vanaf 1 januari 2002 de status van een richtlijn en vallen derhalve onder de voorschriften van de PVK. De PVK geeft aan dat op een later tijdstip voor (een deel van) de primaire processen en ondersteunende processen nadere voorschriften worden opgesteld. Het opzetten van de PIB’s voor zowel pensioenfondsen als verzekeringsmaatschappijen is een voortzetting van de lijn om basisrichtlijnen voor het totale PVK-toezichtveld op te stellen. De principes zijn op een hoog abstractieniveau geschreven en zijn toepasbaar voor organisaties van diverse grootte, waardoor de PIB voor pensioenfondsen van toepassing is voor zowel het ABP, het op twee na grootste pensioenfonds, als een klein ondernemingspensioenfonds. Bij de opstelling van de PIB’s is aansluiting gezocht bij de bestaande ‘sound practices’ op het gebied van interne beheersingsmethoden, zoals COSO en corporate governance.
In de PIB’s wordt beperkt aandacht geschonken aan de beheersing van ICT. Opvallend is, dat ten aanzien van ICT geen verwijzing wordt gemaakt naar de Code voor Informatiebeveiliging of CobIT. Daarnaast wordt er geen aandacht besteed aan een belangrijk onderwerp als outsourcing. Met name pensioenfondsen maken veel gebruik van uitbesteding van het vermogensbeheer en de administratie. In de PIB voor pensioenfondsen en verzekeringsmaatschappijen wordt uitsluitend aangegeven, dat bij gebruikmaking van ICT de instelling er zorg voor dient te dragen dat de continuïteit en de betrouwbaarheid van de gegevensverwerking zijn gewaarborgd. Een calamiteitenplan dient inzicht te geven in hoe de instelling de continuïteit van de gegevensverwerking waarborgt. In de concept-richtlijn inrichting AO/IC naturaverzekeraars met 50.000 of minder verzekerden van juli 2001 gaat de PVK verder. Hierin worden minimumeisen neergelegd voor automatisering. In deze beschrijving worden eisen gesteld aan de vastlegging van het automatiseringsbeleid, aanschaf van hardware en software, onderhoud, documentatie van maatwerk, toegang tot programma’s en bestanden, back-upprocedures, rapportage aan het bestuur inzake wijzigingen en de werking van de IT.
In de PIB voor pensioenfondsen en verzekeringsmaatschappijen wordt specifiek ingegaan op de naleving van de PIB. In de PIB staat vermeld, dat de instelling periodiek en systematisch de effectiviteit van de interne beheersingsmaatregelen toetst. Van de rapportage wordt vermeld dat deze, indien de toetsing plaatsvindt door de interne accountantsdienst dan wel via verbijzonderde interne controle of anderszins, rechtstreeks geschiedt aan het bestuur/de directie en de RvC.
Met de introductie van de PIB’s en de meldingsplicht is de wet- en regelgeving wederom aangescherpt. Ook valt op dat de PVK meer aansluiting zoekt bij bestaande ‘sound practices’ op het gebied van interne beheersing. Ondanks de sterk toegenomen afhankelijkheid van ICT bij pensioenfondsen en verzekeringsmaatschappijen is de aandacht voor ICT in de wet- en regelgeving vanuit de PVK nog steeds beperkt. De inzet van een IT-auditor is nergens verplicht gesteld.
Afhankelijk van de mate waarin de PVK naleving vereist zijn hier mogelijkheden voor de IT-auditor voor aanvullende dienstverlening. Om te voldoen aan de eisen van de PIB en de nog nader te definiëren eisen aan primaire en ondersteunende processen kan de interne of externe IT-auditor worden gevraagd mee te werken met het opstellen en implementeren van een internal control framework. Verder zou een IT-auditor gevraagd kunnen worden om op basis van risicoanalyse een IT-auditplan op te stellen en vervolgens periodiek een evaluatie uit te voeren op de effectieve werking van de AO/IC en hierover te rapporteren aan het bestuur/de directie en de RvC.
Ten aanzien van de meldingsplicht zou de IT-auditor door de accountant kunnen worden gevraagd om expliciet de continuïteit van de geautomatiseerde gegevensverwerking te beoordelen. Ten aanzien van dit laatste is de individuele accountant vrij de hulp van de IT-auditor al of niet in te roepen.