390 likes | 532 Views
Wat verwacht de CBFA inzake interne audit? Enkele aandachtspunten. Caroline Vandevelde, Coördinator CBFA Christel Beaujean , Adjunct-adviseur CBFA. Seminarie CBFA-BVPI 11 februari 2010. Structuur van de uiteenzetting deel 1. Circulaire CPP-2007-2-WIBP (art. 77 WIBP)
E N D
Wat verwacht de CBFA inzake interne audit?Enkele aandachtspunten Caroline Vandevelde, Coördinator CBFA Christel Beaujean, Adjunct-adviseur CBFA Seminarie CBFA-BVPI 11 februari 2010
Structuur van de uiteenzettingdeel 1 Circulaire CPP-2007-2-WIBP (art. 77 WIBP) Plaats in de organisatie Uitoefening van zijn opdracht Verwachtingen van de CBFA
1. Circulaire CPP-2007-2-WIBP 1.1. Inleiding : Deugdelijk bestuur Principe nr. 1 - Beleidsstructuur Principe nr. 2 - Organen van de IBP Principe nr. 3 - Interne controle Principe nr. 4 - Compliancefunctie Principe nr. 5 - Bedrijfscontinuïteit Principe nr. 6 - Interne audit Principe nr. 7 - Uitbesteding Principe nr. 8 - Erkend commissaris of revisoraatvennootschap Principe nr. 9 - Aangewezen actuaris Principe nr. 10 - Interne informatieverspreiding Principe nr. 11 - Externe informatie
1. Circulaire CPP-2007-2-WIBP1.2. Principe nr. 6 : interne audit "Bevoegd operationeel orgaan (OO) neemt de nodige maatregelen opdat de IBP zou beschikken over een passende interne auditfunctie die onafhankelijk staat tegenover de geauditeerde activiteiten"
1. Circulaire CPP-2007-2-WIBP1.2. Principe nr. 6 : interne audit "Bevoegd OO neemt de nodige maatregelen opdat de IBP zou beschikken over een passendeinterne auditfunctie die onafhankelijk staat tegenover de geauditeerde activiteiten" Bevoegd OO : vaak rvb Passend : proportionaliteit Onafhankelijk : onpartijdig en objectief Activiteiten :alle domeinen van de IBP
1. Circulaire CPP-2007-2-WIBP 1.2. Principe nr. 6 : interne audit Onafhankelijke beoordelingsfunctie Onderzoek en beoordeling van het passend karakter, de doeltreffendheid en de efficiëntie van de interne controle Assisteert de operationele organen in de effectieve uitoefening van hun verantwoordelijkheden Uiteindelijke uitwerking en invoering van maatregelen blijft verantwoordelijkheid van de bevoegd OO
1. Circulaire CPP-2007-2-WIBP 1.3. Aanstelling • Wie ? • Intern of extern aan de IBP • Personeelslid van de IBP • Personeelslid van een bijdragende onderneming • Dienstverlener • Een natuurlijke persoon of een rechtspersoon • Aangesteld door ? • Bevoegd OO • Duur van de opdracht ?
1. Circulaire CPP-2007-2-WIBP 1.4. Onafhankelijkheid • Onverenigbaarheden • ≠ Lid van een OO, commissaris, aangewezen actuaris, compliance officer • Belangenconflicten • Uitbesteding : onafhankelijkheid gewaarborgd • Onafhankelijk t.a.v. de geauditeerde activiteiten • ≠ operationele organisatie • ≠ uitwerken, invoeren of zelf uitvoeren van maatregelen inzake organisatie en interne controle
1. Circulaire CPP-2007-2-WIBP 1.4. Onafhankelijkheid • Auditcharter : • Opgesteld door de interne auditor, goedgekeurd door het bevoegd OO en bekrachtigd door de RvB • Inhoud charter: • Doelstelling en reikwijdte van de functie • Plaats in de organisatie • Bevoegdheden en verantwoordelijkheden • Initiatiefrecht om iedereen te contacteren en alle documenten in te zien • Recht om vaststellingen en beoordelingen vrij te uiten en kenbaar te maken. • Recht om de voorzitter van de RvB, de compliance officer, de erkende commissaris of de aangewezen actuaris te informeren
1. Circulaire CPP-2007-2-WIBP 1.5. Bekwaamheid • Professionele bekwaamheid • Voldoende om alle activiteitsdomeinen van de IBP te kunnen onderzoeken • Beroep op externe deskundigen en uitbesteding maar blijft verantwoordelijk • Kwaliteit en kwantiteit van de controles • In overeenstemming met controlevereisten IBP
1. Circulaire CPP-2007-2-WIBP1.6. Uitbesteding • Auditor beschikt over vereiste bekwaamheid • Schriftelijke overeenkomst • Interne auditor : • Taken en verantwoordelijkheden • Engagement : uitvoering auditplan en inzet middelen • Bevoegd OO • Instemming met risicoanalyse en planning • Opvolging van auditactiviteit • Opvolging van de aanbevelingen • Bevoegd OO, de erkend commissaris, de aangewezen actuaris en de CBFA • Toegang tot de documenten (werkprogramma en -documenten) • Voldoende lange duurtijd (beëindiging)
Structuur van de uiteenzetting - deel 2 Circulaire CPP-2007-2-WIBP (art. 77 WIBP) Plaats in de organisatie Uitoefening van zijn opdracht Verwachtingen van de CBFA
2. Plaats in de organisatie2.1. Algemene beschrijving CBFA IBP RvB = verantwoordelijk orgaan (bevoegd OO) Complianceofficer Coördinerende en initiatiefnemende rol Controle en bevordering van het integriteitsbeleid Interne auditor Rol van interne controleur Controle van de efficiëntie en de doeltreffendheid van de interne controle • Erkend commissaris • Externe controleur • Controle en verslag over de jaarrekening; • Controle van de interne organisatie Aangewezen actuaris Adviseur en rapporteur • Adviesverlening aan de RvBover de technisch-actuariële methodes, over de technische voorzieningen, ... • Verslag aan de CBFA over de technische voorzieningen
2. Plaats in de organisatie2.2. Interne auditor en RvB • RvB • Verantwoordelijk orgaan voor de goede uitvoering van de pensioenregelingen • geregeld nagaan of IBP beschikt over een passende interne controle en interne auditfunctie • bekrachtiging auditcharter • bespreking : minstens 1 x per jaar • opvolging • Interne auditor • Rol van interne controleur • controle efficiëntie en doeltreffend-heid van interne controle (procedures en processen) • opstelling charter en auditplan • informeert voorzitter RVB • neemt kennis van de notulen en van alle documenten Nauwe samenwerking Controle op de functie Samenwerking, communicatie, informatie-uitwisseling en controle
2. Plaats in de organisatie2.2. Interne auditor en bevoegd OO • Bevoegd OO • neemt de nodige maatregelen opdat de IBP over een passende en onafhankelijke auditfunctie beschikt • aanstelling interne auditor • goedkeuring auditcharter, planning, terbeschikking stelling middelen • bij uitbesteding : akkoord en opvolging • inzage documenten auditor • bespreking, evaluatie, opvolging • jaarlijks verslag aan de RvB • Interne auditor • Rol van interne controleur • controleertefficiëntie en doel-treffendheid van volledige interne controle (procedures en processen) • opstelling charter en auditplan • (jaarlijks) verslag • neemt kennis van de notulen en van alle documenten Nauwe samenwerking Controle op de functie Samenwerking, communicatie, informatie-uitwisseling en controle
2. Plaats in de organisatie2.3. Interne auditor en compliance officer • Interne auditor • Rol van interne controleur • (o.a. nalevingsaudit) • controle van procedures en processen m.b.t. integriteit • neemt kennis van de notulen en van alle documenten • informeert de compliance officer Complianceofficer : Coördinerende en initiatiefnemende rol onderzoek en bevordering van de naleving van de verschillende bestaandewettelijke en interne regels en beleidslijnen Samenwerking Controle op de naleving van de procedures Communicatie, informatie-uitwisseling, samenwerking en controle
2. Plaats in de organisatie2.4. Interne auditor en aangewezen actuaris • Interne auditor • Rol van interne controleur • controleert efficiëntie en doeltreffendheid van interne controle (informatiestromen) • informeert actuaris • Aangewezen actuaris • Adviseur en rapporteur • adviesverlening technisch- actuariële methodes • verslag over de technische voorzieningen • inzage in documenten auditor Auditeur interne Samenwerking Controle op de naleving van werkingsprocessen Communicatie, informatie-uitwisseling en samenwerking
2. Plaats in de organisatie2.5. Interne auditor en erkend commissaris • Erkend commissaris • Externe controleur • beoordeling in verslag van de administratieve en boekhoudkundige organisatie en de interne controle • inzage in documenten auditor • Interne auditor • Rol van interne controleur • controleert efficiëntie en doeltreffendheid van interne controle • informeert de erkende commissaris Auditeur interne Samenwerking Externe controle Communicatie, informatie-uitwisseling, samenwerking en controle
Structuur van de uiteenzetting - deel 3 • Circulaire CPP-2007-2-WIBP (art. 77 WIBP) • Plaats in de organisatie • Uitoefening van zijn opdracht • Verwachtingen van de CBFA
3. Uitoefening van zijn opdracht3.1. Reikwijdte opdracht • Onderzoek en beoordeling van alle activiteiten • Passende interne controle, nakoming toegewezen verantwoordelijkheden • Naleving beleidslijnen, risicobeheersing • Betrouwbaarheid van de informatie • Continuïteit • Werking administratieve diensten • Uitbestede diensten • Wettelijk controlestatuut
3. Uitoefening van zijn opdracht3.2. Planning - uitvoering • Opstellen van een gedocumenteerd auditplan • Risicoanalyse • Doelstellingen en reikwijdte • Meerjarenplan, auditcyclus • Vereiste middelen • Onderzoek en evaluatie van beschikbare informatie • Documenteren van werkzaamheden
3. Uitoefening van zijn opdracht3.2. Uitvoering : audittypes • Financiële audit : boekhouding en jaarrekening • Nalevings- of complianceaudit : procedures en processen i.v.m. naleving wetgeving en interne beleidslijnen • Operationele audit : kwaliteit en het passende karakter van systemen en procedures, organisatiestructuren en gehanteerde methoden en middelen ten opzichte van de doelstellingen • Managementsaudit: managementsfunctie
3. Uitoefening van zijn opdracht3.3. Rapportering • Schriftelijk verslag bevindingen en aanbevelingen • elke opdracht (geauditeerde en bevoegde OO) • Jaarlijks (bevoegd OO) • Inhoud : • Vaststellingen en aanbevelingen van de auditor met aanduiding van de relatieve belangrijkheid • Reactie van de geauditeerde • Punten van overeenstemming
3. Uitoefening van zijn opdracht3.4. Opvolging • Bevoegd OO • Aanduiden wie bevoegd is voor de opvolging van de aanbevelingen • Tijdschema • Auditor • Geregeld nagaan of zijn aanbevelingen werden opgevolgd • Rapportering aan bevoegd OO • Raad van bestuur • In kader van zijn toezichtsopdracht
Structuur van de uiteenzetting - deel 4 Wat verwacht de CBFA op het vlak van interne audit bij IBP's? Bijzonder geval van uitbesteding Enkele nuttige referenties
4.1. Verwachtingen van de CBFA op het vlak van interne audit • Audit : • "Systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijs en het objectief beoordelen daarvan om vast te stellen in welke mate aan de auditcriteria is voldaan" • Specifieke aandacht voor: • Auditcharter • Audituniversum • Risicobeoordeling • Auditplan • Evenredigheidsbeginsel
4.1. Verwachtingen van de CBFA op het vlak van interne audit - Enkele voorbeelden
4.1. Verwachtingen van de CBFA op het vlak van interne audit - Enkele voorbeelden
Structuur van de uiteenzetting - deel 4 Wat verwacht de CBFA op het vlak van interne audit bij IBP's? Bijzonder geval van uitbesteding Enkele nuttige referenties
4.2. Uitbesteding CPP-2007-2: "Uitbesteding kan onder meer betrekking hebben op administratieve en financiële functies (boekhouding, actief-/passiefbeheer, beleggingsbeheer …) of op gespecialiseerde functies (interne audit, compliance, …)." "Uitbesteding vermindert op geen enkele wijze de verantwoordelijkheid van de organen van de IBP, noch ten opzichte van de aangeslotenen en begunstigden, noch ten aanzien van de bijdragende onderneming of de toezichthouders."
4.2. Uitbesteding • Verwijzing naar principe nr. 7 + Audit van de uitbestede activiteit alsof het om een interne activiteit ging • Bijvoorbeeld: • Uitbestedingsbeleid • Heeft de IBP een uitbestedingsbeleid vastgelegd? • Werd dit beleid goedgekeurd door de raad van bestuur? • Zijn de uitbestedingsvoorwaarden duidelijk afgelijnd in dit beleid? • Toezicht op en evaluatie van de activiteiten die worden uitbesteed of toevertrouwd aan derden • Houdt de IBP regelmatig toezicht op de kwaliteit van de uitbestede activiteiten en evalueert zij die regelmatig ?
4.2. Uitbesteding • Beslissing tot uitbesteding • Hoe neemt de IBP een beslissing om uit te besteden of om een beroep te doen op derden voor het verlenen van diensten? • Steunt de instelling haar beslissing tot uitbesteding op een grondige analyse? • beschrijving van de uit te besteden diensten of activiteiten • verwachte effecten van de uitbesteding • raming van de kosten en baten • evaluatie van de risico's die aan het project zijn verbonden (financiële, operationele, wettelijke en reputatierisico's) • Opvolging en beheer van de risico's door de IBP
4.2. Uitbesteding • Keuze van onderaannemer of dienstverlener • Elementen die in aanmerking worden genomen ( grootte, reputatie, kostprijs, ...)? • Wordt de keuze met de nodige voorzichtigheid gemaakt? • Continuïteit van de dienstverlening ? • Zijn de aanpassings- en stopzettingsclausules voldoende soepel om alternatieve oplossingen te kunnen uitwerken indien nodig? • Schriftelijke overeenkomst • Geeft de overeenkomst een duidelijke omschrijving van de verantwoordelijkheden van beide partijen ? • Hoe komen de continuïteitsaspecten aan bod in deze overeenkomst? • Herroepbaar karakter van de uitbesteding? • Integriteit van het interne en externe toezicht
4.2. Uitbesteding • Bescherming • Welke beveiligingsmaatregelen zijn er getroffen om de confidentialiteit en de integriteit van de gegevens over de aangeslotenen en de begunstigden te allen tijde op een afdoende manier te vrijwaren, ook tijdens de onderlinge en/of externe communicatie ervan? • Hoe worden de veiligheids-, confidentialiteits- en reputatierisico's gedekt door de externe dienstverlener?
4.2. Uitbesteding - SAS70 of andere certificering • Voor de onderaannemer • Geen of weinig herhaalde audits • Wekt vertrouwen bij de onderaannemer • Het controlebeleid en de controleprocedures van de onderaannemer worden beoordeeld en getest door een onafhankelijke partij • Verbetering van de processen • Marketingtool bij sommige cliënten Voor de IBP Verschaft informatie voor de beoordeling van de algemene controleomgeving van de IBP Garandeert dat de onderaannemer belang hecht aan controle en dat dit ook tot uiting zal komen in zijn prestaties Beheersing van de auditkosten Gedeeltelijk antwoord op de bekommernissen die geformuleerd zijn in de 11 principes van circulaire CPP-2007-2
Structuur van de uiteenzetting - deel 4 Wat verwacht de CBFA op het vlak van interne audit bij IBP's? Bijzonder geval van uitbesteding Enkele nuttige referenties
4. Enkele nuttige referenties • COSO • Cobit • ERM • ... • http://www.theiia.org/ • http://www.iiabel.be/ • http://www.ifaci.com/ • ...
4. Enkele nuttige referenties • Attribute Standards - enkele voorbeelden : • 1000 – Purpose, Authority, and Responsibility • 1100 – Independence and Objectivity • 1200 – Proficiency and Due Professional Care • 1300 – Quality Assurance and Improvement Program • Performance Standards - enkele voorbeelden : • 2000 – Managing the Internal Audit Activity • 2100 – Nature of Work • 2200 – Engagement Planning • 2300 – Performing the Engagement • 2400 – Communicating Results • 2500 – Monitoring Progress • 2600 – Management’s Acceptance of Risks
4. Enkele nuttige referenties • Sample Practice Advisories - enkele voorbeelden : • Practice Advisory 2100-2: Information Security • Practice Advisory 2130-1: Role of the Internal Audit Activity and Internal Auditor in the Ethical Culture of an Organization • Practice Advisory 2120.A4-1: Control Criteria • Practice Advisory 2310-1: Identifying Information • Practice Advisory 2320-1: Analysis and Evaluation • Practice Advisory 2330-1: Recording Information