Bijlage 7 Interviews 7.1 Inleiding
7.5 Interviewverslag Bank Algemeen
De afdeling Internal Audit valt rechtstreeks onder de voorzitter van de Raad van Bestuur. De directeur Internal Audit rapporteert aan de Raad van Bestuur en de Raad van Commissarissen. De rapportage aan de Raad van Commissarissen vindt plaats aan het adviesorgaan de Audit- en Compliancecommissie.
De reden van deze positionering is om de afdeling zo onafhankelijk mogelijk van de rest van de organisatie te plaatsen. Dit omdat de afdeling Internal Audit zich een oordeel moet vormen over de rest van de organisatie.
Recent is, bij wisseling van de voorzitter van de Raad van Bestuur, discussie ontstaan omtrent de organisatorische positie van de afdeling Internal Audit. Samen de Audit- en Compliance commissie is gekozen de positie rechtstreeks onder de voorzitter van de RvB te handhaven. Inmiddel is dit ook vastgelegd in de Code Banken zoals die door de Nederlandse Vereniging van Banken is opgesteld. Onafhankelijkheid is van wezenlijk belang. Het is een element van het bestaansrecht en effectiviteit van interne audit. Als de afdeling Internal Audit niet onafhankelijk is, heeft het de schijn al tegen bij de beoordeling van objecten ten aanzien van objectiviteit.
Beschrijving ‘Organisatiestatus en autonomie van de interne auditfunctie’
Eigenschappen variabele:
Er worden audits (onder andere projectaudits, procesaudits, financial audits, IT audits en compliance audits) uitgevoerd over een groot deel van de processen binnen de bank. De afdeling Internal Audit werkt met een auditplanning. Deze wordt voorbereid op basis van een risicomodel en afgestemd met de afdeling Risicomanagement. Vervolgens wordt de planning besproken met de externe auditor. Deze steunt op de werkzaamheden van de afdeling Internal Audit en kijkt naast de werkzaamheden ook naar de aanwezige onafhankelijkheid en deskundigheid. De auditplanning komt daarna bij de Raad van Bestuur terecht. Hier wordt de auditplanning besproken en vindt besluitvorming plaats. Als laatste wordt de auditplanning met de Audit- en Compliancecommissie afgestemd. Gedurende het jaar kan onderweg de auditplanning nog aangepast worden op basis van bijvoorbeeld incidenten of bevindingen vanuit Internal Audit. Aanpassingen worden besproken met het desbetreffende verantwoordelijke lid van de Raad van Bestuur en de voorzitter van de Raad van Bestuur. Het komt voor dat de voorzitter van de Raad van Commissarissen opdrachten geeft. De Raad van Bestuur wordt hierover altijd op de hoogte gebracht. De Audit- en Compliancecommissie is een machtsfactor binnen de Bank. Deze commissie vertrouwt op de werkzaamheden van de afdeling Internal Audit, waardoor de afdeling naast de positionering hierdoor een bepaalde vorm van autoriteit heeft binnen de Bank.
De bevoegdheden staan beschreven in de auditcharter en hebben betrekking op de onbelemmerde toegang tot alle locaties, activiteiten, medewerkers en informatie.
Auditbeleid en –procedures zijn vastgelegd in een auditcharter en in het audithandboek. Daarnaast is er binnen de afdeling een commissie aanwezig die zich richt op de kwaliteit van interne auditing en zijn auditprocedures geïmplementeerd in een audittool.
Er wordt in eerste instantie gerapporteerd aan de Raad van Bestuur, die de auditrapportages integraal behandelt. Voordat de rapportages naar de Raad van Bestuur gaan, zijn de rapportages door het management voorzien van respons en is de actielijst ingevuld. Elk kwartaal wordt een samenvatting van de audits gemaakt inclusief een overkoepelende toelichting over onder andere belangrijke ontwikkelingen voor de Bank, die wordt verstrekt aan de Audit-en Compliancecommissie. De vergadering van de Audit- en Compliancecommissie bestaat naast enkele leden van de Raad van Commissarissen uit de verantwoordelijke vanuit de Raad van Bestuur voor Financiën en Compliance, Compliance Officer, directeur Internal Audit en secretaris van de Raad van Bestuur. Door de
aanwezigheid bij de vergaderingen van de commissie heeft de directeur Internal Audit minimaal vier keer per jaar contact met de Audit- en Compliancecommissie.
Informeel heeft de directeur voorafgaand aan elke vergadering van de Audit- en
Compliancecommissie een bilateraal met de voorzitter van deze commissie. Het voorzitterschap van de Audit- en Compliancecommissie is belegd bij een ander lid van de Raad van Commissarissen dan de voorzitter van de Raad van Commissarissen. Naast het bilateraal is er één keer per jaar een private session met de leden van de Raad van Commissarissen. Ook is er gedurende het jaar informeel contact met de voorzitter van de Raad van Commissarissen.
De interne auditfunctie is vrij van operationele verantwoordelijkheden en van andere onverenigbare functies en opdrachten waarbij sprake is van belangenverstrengeling. De afdeling Internal Audit is niet vertegenwoordigd in de eerste en tweede linie (line of defense). De derde linie is sterk bij de Bank. De afdeling Internal Audit is niet wars van het helpen van de organisatie door bijvoorbeeld het uitvoeren van adviesopdrachten waarbij producten vanuit de organisatie worden gereviewd
(rekening houdend met de onafhankelijkheid).
Internal Audit stelt zelf de prioriteiten en het uit te voeren werk voor. De Raad van Bestuur en Raad van Commissarissen keuren dit goed. Eerder is al geschetst welk traject de auditplanning afloopt voordat deze definitief is. Bepalende factoren zijn de bemensing van de Raad van Bestuur en de economische omstandigheden. Nu zit het tij economisch tegen en moet er worden bespaard. Dan wordt de vraag actueel of interne audit haar taak niet anders en met minder capaciteit kan uitvoeren. Hierdoor worden de economische omstandigheden een bepalende factor voor de intensiteit van de audits.
Een Kritische Succes Factor (KSF) voor de directeur Internal Audit zijn de overgenomen
aanbevelingen door de organisatie. Als door de organisatie op de actielijst aangegeven wordt dat de aanbevelingen uitgevoerd gaan worden, komt dit ten voordele van de KSF. Ongeveer 90% van de aanbevelingen worden door de organisatie overgenomen. Er wordt op het moment meer gefocust op de high risks. Dit komt doordat de druk van de Raad van Bestuur richting de organisatie vanwege andere prioriteiten op het moment wat minder is om alle aanbevelingen op te volgen.
Vorig jaar is een traject ingezet om een bepaalde arbeidsbesparing op te leveren. Elke afdeling moest 20% aan capaciteit inleveren. In dit kader is bij Internal Audit gekeken of de frequentie van audits
naar beneden kon en naar de mogelijkheden om bij goed lopende onderdelen geen audits uit te voeren. Hetgeen afgestemd is met de externe auditor. Hierdoor kon net 2 fte worden bespaard. Door ontwikkelingen binnen (onderdelen die door bezuinigingen minder functioneren) en buiten
(bijvoorbeeld Basel II en beloningsbeleid) de Bank is er een tekort aan bemensing gecreëerd. In 2010 wordt nogmaals naar de formatie gekeken.
De onafhankelijkheid van de interne auditfunctie van de Bank wordt op basis van bovenstaande als prima beschouwd.
Beschouwing variabele:
Bepalend voor de organisatiestatus en autonomie van de interne auditfunctie is ook de bemensing en deskundigheid van de organen Raad van Bestuur en Raad van Commissarissen. Daarnaast zijn de kwalificaties (eigen deskundigheid) van de CAE bepalend. Tevens is het aanzien van de afdeling Internal Audit van belang. Dit is in de loop der jaren opgebouwd door aanwezig te zijn op momenten dat het er omgaat en door goed te communiceren naar de Raad van Bestuur. Ook hebben de
economische omstandigheden zijn weerslag op de intensiteit van de audits en daarmee de mate van assurance dat een interne auditfunctie kan bieden.
Beschrijving ‘Effectiviteit van het auditcomité’
Eigenschappen variabele:
Binnen de Bank is een orgaan Audit- en Compliancecommissie aanwezig. Deze commissie bestaat uit drie leden en zijn onafhankelijk van de Bank.
De voorzitter van de Raad van Commissarissen heeft jaren in het auditvak gezeten. De leden van de Audit- en Compliancecommissie hebben allen een financiële en/of auditing achtergrond.
De Audit- en Compliancecommissie is betrokken en vormt zijn mening over de planning, maar komen niet dikwijls met aanpassingen. Gedurende het jaar komt de Audit- en Compliancecommissie nog wel eens met verzoeken. Een voorbeeld is een specifiek onderzoek naar de beheersing van de
beleggingen. De Raad van Bestuur keurt uiteindelijk de planning goed.
De Raad van Bestuur is in samenspraak met de Audit- en Compliancecommissie verantwoordelijk voor de aanname, evaluatie en ontslag van de directeur Internal Audit. De Audit- en
Compliancecommissie geeft advies. De evaluatie wordt mede ondertekend door de Audit- en Compliancecommissie (onder andere het behalen van bepaalde doelstellingen/targets).
Het contact met de Audit- en Compliancecommissie is reeds geschetst bij de organisatiestatus en autonomie van de interne auditfunctie.
Er wordt van de 2½ uur durende vergadering van de Audit- en Compliancecommissie ongeveer een half uur tot een uur besteed aan de onderwerpen van interne audit. De onderwerpen worden door de directeur aangeleverd voor de vergadering en komen op de agenda. De financiële cijfers van de Bank krijgen de meeste aandacht.
Beschouwing variabele:
De kenmerken onafhankelijkheid, kennis en contact worden als belangrijkste kenmerken van een auditcomité beschouwd. De kenmerken betreffende invloed op de mate van onafhankelijkheid zijn allen benoemd.
De effectiviteit van het auditcomité is van wezenlijk belang voor de mate van onafhankelijkheid van de interne auditfunctie.
Beschrijving ‘Verwachting van het management’
Eigenschappen variabele:
Bij het topmanagement wordt verwacht dat Internal Audit assurance biedt door middel van audits. Het interne management verwacht ondersteuning door middel van advies. De nadruk ligt op de assurancefunctie voor de Raad van Bestuur en Raad van Commissarissen.
Er is geen gericht beleid om de afdeling Internal Audit een kweekvijver voor talent te maken. Er is wel doorstroming en er wordt wel rekening met doorstroming gehouden bij aanname van nieuwe
medewerkers.
De Raad van Bestuur is betrokken bij de planning (zie organisatiestatus en autonomie van de interne auditfunctie). Ongeveer tussen de 80 en 100 procent van de planning wordt gevolgd. Ze oefenen wel invloed uit, maar overheersen niet.
Het budget vloeit voort uit de bezetting van de afdeling en de kosten in relatie tot de externe audit. Het budget wordt vastgesteld door de Raad van Bestuur. De Audit- en Compliancecommissie ziet het budget niet voordat het vastgesteld wordt, tenzij er onderweg gekort wordt op het budget.
Beschouwing variabele:
De vorm van dienstverlening bijvoorbeeld door middel van een partnerrol heeft de meeste invloed op de organisatiestatus en autonomie.
Naast bovenstaande eigenschappen is van belang dat de Raad van Bestuur weet hoe governance in elkaar zit. Tevens is van belang in welke rol de toezichthouders zitten naar de interne auditfunctie en welke eisen ze stellen op het gebied van onafhankelijkheid.
De verwachtingen van het management zijn van belang voor de mate van onafhankelijkheid van de interne auditfunctie binnen de Bank.
Beschrijving ‘Samenwerking met de externe auditor’
Eigenschappen variabele:
De externe auditor steunt in de controle van de jaarrekening op de werkzaamheden van de afdeling Internal Audit voor wat betreft de processen. De punten in de management letter komen voort uit de audits van de afdeling.
Er is druk op de kosten van de externe audit. Vooral in de huidige tijd van bezuinigingen. Er is een tariefsverlaging bedongen. De kosten worden nauwgezet in de gaten gehouden. Eventuele nacalculatie wordt vrij gedetailleerd inzichtelijk gemaakt door de externe auditor.
De externe auditor stelt wel eisen ten aanzien van de onafhankelijkheid van de interne auditfunctie. Op basis van de huidige positionering van de afdeling Internal Audit worden geen extra eisen gesteld. De externe auditor ondersteunt het behoud van de onafhankelijkheid van de afdeling Internal Audit.
Beschouwing variabele:
Er spelen verder geen kenmerken van de externe auditor mee in de mate van onafhankelijkheid van de interne auditfunctie.
De rol die de externe auditor speelt in de mate van onafhankelijkheid van de interne auditfunctie is belangrijk.
Beschrijving ‘Deskundigheid van de CAE’
Eigenschappen variabele:
De directeur Internal Audit heeft verschillende erkende auditopleidingen gevolgd en heeft verschillende kwalificaties in relatie tot auditing, zoals RE en RA.
De directeur zit ongeveer 25 jaar in het auditvak en is gewoon lid van NIVRA, NOREA en IIA. Voor het voldoen aan de permanente educatie verplichtingen wordt binnen de Bank het budget op maat gemaakt. Vanwege de bezuinigingen waren ook over deze budgetten discussies.
Beschouwing variabele:
Deskundigheid in de vorm van kwalificatie is de pijler van het auditvak en daarmee van wezenlijk belang.
Daarnaast zijn managementeigenschappen van belang. De CAE doet zaken met de Raad van Bestuur en Raad van Commissarissen en moet de competentie hebben om dit goed aan te pakken.
De eigenschappen van de CAE vormen de basis en zijn heel belangrijk voor de mate van onafhankelijkheid van de interne auditfunctie.
Beschouwing conceptueel model
De onderzochte variabelen worden beïnvloed door de toezichthouders (zoals De Nederlandsche Bank en Autoriteit Financiële Markten). Vergeleken met deze variabelen hebben de toezichthouders niet de meeste invloed op de mate van onafhankelijkheid.
Op basis van het belang voor de mate van onafhankelijkheid van de interne auditfunctie is de
volgende volgorde van de onderzochte (eigenschappen van de) variabelen gegeven door de directeur Internal Audit:
1 Eigenschappen van de CAE 2 Effectiviteit van het auditcomité 3 Verwachtingen van het management 4 Samenwerking met de externe auditor 5 Toezichthouders