Deze reeks artikelen heeft als doel om een overzicht te geven van de ontwikkelingen ten aanzien van de regelgeving bij de diverse toezichthouders voor de financiële instellingen in Nederland en de impact daarvan op de werkzaamheden van de IT-auditor. Hierbij zal onder meer worden aangegeven wat de regelgeving inhoudt en wat er nu gewijzigd is ten opzichte van de oude situatie en wat de gevolgen hiervan zijn voor de financiële instellingen. In het algemeen kan gesteld worden dat de beheersing van ICT een steeds belangrijker onderdeel gaat vormen in de regelgeving van toezichthouders. De artikelen gaan met name in op de IT-specifieke issues die voortvloeien uit de regelgeving. Verschillende auteurs hebben hun bijdrage geleverd.
Ontwikkelingen in toezicht financiële sector
In Nederland is vooralsnog een aantal toezichthouders aanwezig, waaronder De Nederlandsche Bank (DNB), de Stichting Toezicht Effectenverkeer (STE) en de Stichting Pensioen- & Verzekeringskamer (PVK). DNB heeft naast haar taken met betrekking tot de euro en op het gebied van het betalingsverkeer, ook een andere hoofdtaak, namelijk het toezicht op banken, het toezicht op beleggingsinstellingen en het toezicht op wisselkantoren. De STE houdt zich bezig met het toezicht op de effectenhandel in Nederland, beschermt de positie van de belegger en zorgt voor het goed en doorzichtig functioneren van markten. De PVK ten slotte houdt toezicht op de in Nederland werkzame verzekeringsmaatschappijen en pensioenfondsen. Bovengenoemde drie toezichthouders werken samen in de Raad voor Financiële Toezichthouders (RFT) ([RFT00]) met als doel de coördinatie en afstemming van niet-sectorspecifieke regelgeving en beleid te intensiveren. Deze samenwerking werd mede ingegeven door de verdergaande ontwikkelingen in de financiële marktsector, zoals de ontwikkeling van financiële conglomeraten en de voortgaande vervlechting van financiële producten. Een voorbeeld hiervan is de fusie van de beurzen van Amsterdam, Brussel en Parijs, die zijn samengevoegd in Euronext. Aangezien elk land zijn eigen toezichthouders heeft, kan de vraag worden gesteld welke regelgeving van toepassing zal zijn voor Euronext. Voorlopig zal in elk geval nog gelden dat de regelgeving landspecifiek is.
Ook internationaal bestaat een instelling, namelijk de Bank for International Settlements (BIS), die actief is op het gebied van regelgeving ten aanzien van financiële instellingen, zoals e-commerce principles en kapitaalsrichtlijnen, die beter bekendstaan onder de verzamelnaam ‘Bazel II’. De BIS is een internationaal opererende organisatie die zich voornamelijk bezighoudt met het onderzoek op het gebied van het internationale monetaire beleid en financiële samenwerking. Verder fungeert de BIS als bank voor de nationale centrale banken.
Ten aanzien van de drie toezichthouders DNB, STE en PVK zijn reeds gedurende enkele maanden ontwikkelingen en discussies vanuit de overheid gaande om het huidige toezichtmodel te herzien. ‘Kern van het voorstel is dat het sectorale toezicht op banken, effecteninstellingen en verzekeraars grensoverschrijdend wordt. De Nederlandsche Bank (DNB) en de Pensioen- & Verzekeringskamer (PVK) gaan zich toeleggen op het bedrijfseconomische (prudentieel) toezicht van financiële instellingen. De Stichting Toezicht Effectenverkeer krijgt het gedragstoezicht, en wordt omgevormd tot de Financiële Markten Autoriteit (FMA).'[Voor wat betreft de nieuwe naam van de nieuwe toezichthouder (FMA of AFM) willen wij een voorbehoud in dit artikel maken.] ([FinD01]). Kortom, turbulentie alom! In tabel 1 is een overzicht gegeven van de recente ontwikkelingen.
Tabel 1. Overzicht recente ontwikkelingen ([Hoog01]).
Gesteld kan worden dat toezichthouders qua regelgeving voortdurend in beweging zijn en dat dit derhalve ook impact heeft op de werkwijze binnen de financiële sector en sectoren daarbuiten, waaronder de externe accountants en IT-auditors. In de afgelopen periode hebben we gezien dat op het gebied van regelgeving nieuwe dan wel gewijzigde regelgeving tot stand is gekomen en in werking is getreden. Voorbeelden hiervan zijn de ‘Regeling Organisatie en Beheersing’ van DNB (per 1 april 2001) ([DNB01]) en de ‘Wijziging Nadere Regeling toezicht effectenverkeer 1999’ (met ingang van 1 september 2001). Hierna zal verder op deze gewijzigde regelgeving worden ingegaan.
Achtereenvolgens komen aan bod:
- Regeling Organisatie en Beheersing (ROB) van De Nederlandsche Bank
- Nadere regelgeving effectenverkeer door de Stichting Toezicht Effectenverkeer
- Toezicht door de Pensioen- & Verzekeringskamer
- Regelgeving Bank for International Settlements
Samenvatting en nabeschouwing
Dat regelgeving een steeds belangrijker rol vervult bij het toezicht op de financiële sector mag evident zijn. In aanvulling hierop kan worden gesteld dat de beheersing van ICT een steeds belangrijker onderdeel gaat vormen in de bedrijfsvoering van de financiële instellingen en in de regelgeving van toezichthouders. In de ROB wordt in artikel 23 zelfs uitdrukkelijk aangegeven dat aandacht besteed moet worden aan de IT-aspecten. Ook in de regelgeving van de STE wordt expliciet aandacht geschonken aan de beheersing van IT.
De PVK daarentegen heeft geen specifieke voorschriften of richtlijnen uitgevaardigd ter beheersing van de IT. Aan de beheersing van IT in zijn algemeenheid is door de PVK tot op heden slechts beperkt aandacht besteed, met uitzondering van de problematiek inzake het millennium en de euro. Wel zijn recent voor pensioenfondsen, verzekeringsmaatschappijen en natura-uitvaartverzekeraars in concept Principes Interne Beheersing (PIB’s) uitgebracht, welke de status van richtlijn hebben. Ook in deze PIB’s echter wordt slechts in beperkte mate ingegaan op de beheersing van IT. De vraag doet zich derhalve voor of in de regelgeving van de PVK in voldoende mate aandacht wordt besteed aan de beheersing van IT en of hier vanuit de sector en vanuit de accountants meer behoefte aan bestaat. Des te meer omdat ook bij verzekeringsmaatschappijen en pensioenfondsen sprake is van een hoge mate van automatisering.
Ook internationaal bestaat er aandacht voor het opstellen van richtlijnen op velerlei gebied, zoals ook blijkt uit de gegeven toelichting op de BIS-regelgeving. Een groot verschil in de rol ten opzichte van die van de centrale banken wordt gevormd door het feit dat de richtlijnen van de BIS niet op een directe maar op een indirecte wijze een belangrijke rol vervullen in de door de (centrale) banken op te zetten normen. De reikwijdte van de normstelling door de BIS beperkt zich niet tot alleen het geven van richtlijnen voor het te voeren beleid, maar strekt zich ook uit tot normen voor de opzet en het beheer van de ICT. Met name deze laatste richtlijnen kunnen van belang zijn voor de door de IT-auditor uit te voeren audit- en advieswerkzaamheden. Voor de financiële instelling kan het van belang zijn om tijdig geïnformeerd te worden inzake bijvoorbeeld de impact van bepaalde richtlijnen op IT-systemen. Met betrekking tot BIS kan worden gesteld dat de keuze uiteindelijk aan de nationale toezichthouders is om de richtlijnen te onderschrijven en te incorporeren in hun eigen richtlijnen. Het zijn dan ook de nationale centrale banken die het directe toezicht uitoefenen op de invoering en naleving van deze richtlijnen.
Zowel DNB als STE verwijst naar ‘sound practices’ in haar regelgeving. DNB heeft de ‘sound practices’ echter in haar regelgeving niet uitdrukkelijk genoemd. Dit in tegenstelling tot de STE, die in de toelichting bij de Wijziging Nadere Regeling expliciet verwijst naar de Code voor Informatiebeveiliging, CobIT van ISACA en voor internettoepassingen naar de Handleiding ZekeRE Business van de NOREA. Opvallend is dat in de regelgeving van de PVK geen verwijzing is opgenomen naar bovengenoemde ‘sound practices’ en wel wordt verwezen naar ‘sound practices’ op het gebied van interne beheersingsmethoden zoals COSO. Dit is wellicht mede ingegeven door de (nog) beperkte mate van aandacht voor IT in de regelgeving.
Aan de betrokkenheid van de (externe) accountant en (externe) IT-auditor is in de regelgeving van zowel DNB als de STE aandacht besteed. Artikel 23 van de ROB geeft aan financiële instellingen de opdracht om aan de externe accountant een opdracht tot toetsing en beoordeling op hoofdlijnen van de toereikendheid van de organisatie-inrichting en het beheersingsmechanisme te verstrekken. In de controleaanpak van de STE wordt primair uitgegaan van de eigen verantwoordelijkheid van de instellingen en wordt waar mogelijk gesteund op de werkzaamheden van de interne accountantsdiensten en externe IT-auditors en accountants. Opvallend is dat in de toelichting van de Wijziging Nadere Regeling expliciet staat opgenomen dat beoordeling van de IT-specifieke onderdelen van de geautomatiseerde bedrijfsprocessen door gecertificeerde IT-auditors dient te worden uitgevoerd. Voor internetdiensten heeft de STE uitdrukkelijk aangegeven dat slechts toestemming wordt verleend indien door een onafhankelijke Register EDP-auditor onderzoek is gedaan naar de gehele keten van transactieverwerking, dus ongeacht welke automatiseringsorganisaties daarbij (waar ter wereld ook) zijn betrokken.
Door de wet- en regelgeving vanuit de PVK is de inzet van de IT-auditor niet verplicht gesteld. In de praktijk worden IT-auditors veelal wel ingeschakeld door accountants in het kader van de jaarrekeningcontrole. Hierbij wordt in de management letter aandacht besteed aan de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Echter, voor de jaarrekeningcontrole is niet beschreven welke werkzaamheden de accountant door de IT-auditor minimaal moet laten uitvoeren. Hierdoor kan onduidelijkheid bestaan omtrent scope en omvang van de door de IT-auditor uit te voeren werkzaamheden. De aandachtsgebieden voor de IT-audit zijn in de regelgeving van DNB en STE wel in voldoende mate benoemd om de IT-auditor voldoende houvast te geven bij het bepalen van de scope en omvang van zijn werkzaamheden. Aandacht wordt besteed aan het uitvoeren van risicoanalyses door instellingen, het opstellen van IT-beleid en informatiebeveiligingsbeleid en het opzetten van generieke en applicatieve maatregelen door instellingen ter beheersing van de IT- en de bedrijfsprocessen.
DNB heeft in haar regelgeving expliciet invulling gegeven aan te stellen eisen aan financiële instellingen in geval van het uitbesteden van (delen van) bedrijfsprocessen waaronder de automatisering. Bij de onder toezicht van de STE vallende instellingen blijkt dat de STE er in de praktijk wel van uitgaat dat de instelling verantwoordelijk is voor de gehele verwerkingsketen, dus inclusief de beveiliging en de verwerking door derde partijen. Derhalve dient de uitbestedende partij hiermee rekening te houden en na te gaan of de derde partij voldoet aan de STE-regelgeving. De PVK besteedt geen aandacht aan uitbesteding, hetgeen opvallend is omdat met name pensioenfondsen in hoge mate gebruikmaken van uitbesteding van vermogensbeheer en de administratie.
Concluderend kan worden gesteld dat elke toezichthouder eigen regelgeving heeft die in meerdere of mindere mate op onderdelen verschilt dan wel overeenkomsten vertoont. Ook qua diepgang in uitwerking bestaan er verschillen. De vraag rijst in hoeverre eventuele toekomstige ontwikkelingen ten aanzien van de hervorming van het toezichtsmodel aanpassing van de bestaande regelgeving met zich mee zullen brengen. Op sommige onderdelen zouden eventuele aanpassingen in de regelgeving ten aanzien van de beheersing van de IT een positieve bijdrage kunnen hebben voor de instellingen en ten aanzien van de uitvoering van de IT-auditwerkzaamheden.
Literatuur
[Beug00] Mw. B. Beugelaar RE RA, Internet-technologie, toezicht en de rol van IT-auditors bij financiële instellingen, Compact 2000/1.
[DNB] www.dnb.nl/handboeken/index.htm, Risk Analysis Manual DNB.
[DNB01] De Nederlandsche Bank, Regeling Organisatie en Beheersing, definitieve versie d.d. 29 maart 2001.
[FinD01] Het Financieele Dagblad, ‘Zalm komt financiële sector tegemoet bij toezicht’, 24 november 2001.
[Hoog01] E. Hoogcarspel (KPMG), ‘Ontwikkelingen Toezicht en Richtlijnen AO/IC’, presentatie d.d. 11 december 2001.
[IOSC01] International Organization of Securities Commissions, Report on Securities Activity on the internet II, June 2001 (www.iosco.org).
[KPMG01] KPMG Financial Services Update 2001/2.
[Koni01] E. Koning (DNB), NOREA/ISACA/VERA Congres ‘Update on IT Assurance Services’, presentatie d.d. 15 november 2001.
[NIVR01] NIVRA, Audit Alert 11: Werkzaamheden accountant in het kader van de Regeling Organisatie en Beheersing van De Nederlandsche Bank, d.d. 2 augustus 2001.
[Osse01] P.W. Osse RE RA, Wijziging wet- en regelgeving bij financiële instellingen, de EDP-Auditor, nummer 3, 2001.
[PVK] Internetsite Pensioen- & Verzekeringskamer (www.pvk.nl).
[PVK01] Concept Principes Interne Beheersing, Pensioen- & Verzekeringskamer, maart 2001.
[RFT00] Raad van Financiële Toezichthouders, Tussentijds bericht augustus 1999 – augustus 2000.
[Teeu01] W. Teeuwissen RA, ‘Meldingsplicht, Informatieverstrekking door accountant en actuaris aan de PVK’, presentatie d.d. 15 november 2001.