Referaat
Is de RE geschikt om ingezet te worden in de functie van risicomanagement?
Student: D.S. Dijst
Studentnummer: 10905340
Plaats: Amstelveen
Datum: 9 januari 2015
Begeleider: E. Struijs, Amsterdam Business School
- ii -
Voorwoord
“Whenever you are asked if you can do a job, tell 'em, 'Certainly I can!' Then get busy and find out how to do it.” ― Theodore Roosevelt
Je begint aan een opleiding en werkt hiermee aan jouw competenties. In dezelfde periode ben ik overgestapt van een Internal Auditfunctie naar de functie van risicomanagement. Het afronden van de AITAP opleiding en mijn achtergrond op het gebied van operational audit heeft bij mij geleid tot vragen over overlap en verschillen tussen de vakgebieden van audit en risicomanagement. Deze verschillende vakgebieden lijken sterk in elkaar over lijken te lopen. Is het werk en zijn degenen die hierin werken zo wezenlijk anders?
Om terug te komen op bovenvermeld citaat: met het afronden van dit referaat heb ik een duidelijk beeld gekregen van het vakgebied van risicomanagement en ook de (on-)mogelijkheden van de IT-auditor (RE) binnen dit vakgebied. Bovendien heb ik hiermee veel praktijkervaringen verzameld bij deskundigen met ieder hun ‘eigen blik’ op dit vraagstuk.
Ik wil de geïnterviewden bedanken voor het bijdragen aan dit onderzoek. Zonder uitzondering was iedereen enthousiast om over dit onderwerp hun ervaringen te delen en hierover te discussiëren. Hierbij wil ik ook mijn begeleider bedanken. Vooral voor het mij uitdagen om de uitkomsten van mijn onderzoek in een breder perspectief te plaatsen en de relatie te leggen met het ‘nu’.
- iii -
Samenvatting
Het vakgebied van risicomanagement (RM) staat binnen de financiële sector sterk in de aandacht. Ook neemt hierbinnen de aandacht voor ICT risico’s toe. Mede door deze ontwikkeling zijn steeds meer RE’s (IT-auditors) werkzaam binnen RM. Wat de voor- en nadelen zijn voor de RE om te werken binnen deze functie is nog nauwelijks onderzocht. Dit heeft geleid tot de onderzoeksvraag: Wat zijn de mogelijkheden en beperkingen voor de IT-auditor, vanuit de beroepsregels en competenties van de RE (derde lijn), om te werken in een risicomanagementfunctie (tweede lijn) en hoe kunnen eventuele beperkingen worden overbrugd?
In dit referaat is binnen de financiële sector de functie van risicomanagement in kaart gebracht en de relatie met de functie van Interne Audit. Binnen de functie van risicomanagement is de rol van ICT-risico’s behandeld en is de relatie gelegd met de beroepsgroep van RE’s. De RE’s die werkzaam zijn binnen de functie van RM, zijn gehouden aan hun beroepsregels. De invloed van deze regels binnen de RM-functie is in kaart gebracht. Vervolgens is vastgesteld welke belangrijke competenties afwijkend zijn voor de RE om te werken in RM.
De conclusies vanuit het theoretisch onderzoek zijn door interviews vergeleken met de
praktijkervaringen van drie risicomanagementfuncties in de financiële sector. De resultaten hieruit zijn door interviews getoetst bij vijf deskundigen op het gebied van risicomanagement en interne audit. Ten slotte is beoordeeld of de voor de RE afwijkende competenties ‘overbrugbaar’ zijn. De eindconclusie uit dit onderzoek is dat de RE goede mogelijkheden heeft om te werken in de functie van RM. Het hebben van voldoende specifieke kennis van de activiteiten binnen de eerste lijn wordt hierbij gezien als een belangrijke voorwaarde. Vanuit de beroepsvereniging van RE’s bestaan weinig beperkingen of handreikingen voor het uitoefenen van de functie. Op het gebied van algemene vaardigheden ‘mist’ de RE competenties waarvan een aantal moeilijk overbrugbaar zijn.
- iv -
Inhoud
Voorwoord ...ii Samenvatting ... iii 1 Introductie ... - 1 - 1.1 Probleemstelling ... - 1 - 1.2 Probleemafbakening ... - 2 - 1.3 Onderzoeksvraag ... - 3 - 1.4 Onderzoeksdoelstelling ... - 3 -1.5 Methode van onderzoek ... - 3 -
1.6 Leeswijzer ... - 4 -
2 Risicomanagement en relatie tot (IT-)audit ... - 5 -
2.1 Risicomanagement ... - 5 -
2.2 Functie van afdeling RM binnen financiële instellingen en de rol van IT ... - 6 -
2.3 Relatie tussen functie van risicomanagement en Three Lines of Defence ... - 7 -
2.4 Conclusie ... - 9 -
3 De positie van de RE in de functie van risicomanagement ... - 10 -
3.1 Introductie NOREA en RE ... - 10 -
3.2 Reikwijdte van de NOREA reglementen op de RE in RM... - 11 -
3.3 Regelgeving van de NOREA en de producten van de RE binnen RM ... - 12 -
3.4 Inschatting van invloed van de NOREA reglementen op de RE in functie van RM ... - 13 -
3.5 Kwaliteitstoetsing door de NOREA ... - 15 -
3.6 Conclusie ... - 15 -
4 Vergelijking van de competenties van de RE en de Risicomanager ... - 16 -
4.1 Definitie van competenties ... - 16 -
4.2 Kenmerken voor het in kaart brengen van competenties ... - 17 -
4.3 De belangrijke competenties in kaart gebracht ... - 18 -
4.3.1 Belangrijke competenties voor de risicomanager ... - 18 -
4.3.2 Belangrijke competenties voor de RE... - 19 -
4.4 Vakkennis op het gebied van soft controls ... - 20 -
4.5 Beoordeling van de vergelijking tussen competenties RM en RE. ... - 21 -
4.6 Conclusie van de theoretische vergelijking ... - 21 -
- v -
5.1 Resultaten theoretisch kader ... - 23 -
5.2 Toelichting op geselecteerde organisaties en deskundigen ... - 24 -
5.3 Aanpak van praktijk onderzoek ... - 25 -
5.4 De functie van risicomanagement en de rol van de RE hierbinnen ... - 25 -
5.5 Impact van de NOREA reglementen op de RE in de functie van RM ... - 27 -
5.6 Resultaten van de vergelijking van de competenties van de RM en RE ... - 28 -
5.7 Kan de RE de ‘ontbrekende’ competenties voor functie van RM overbruggen? ... - 31 -
5.8 Ontbreken de afwijkende competenties in het instrumentarium van de RE?... - 32 -
5.9 Conclusie praktijkonderzoek ... - 33 -
6 Conclusie en aanbevelingen voor de beroepsgroep ... - 35 -
6.1 Onderzoeksvraag ... - 35 -
6.2 Aanbevelingen ... - 36 -
6.2.1 Naar aanleiding van dit onderzoek ... - 36 -
6.2.2 Voor verder onderzoek... - 36 -
6.3 Reflectie op het onderzoek ... - 36 -
Bibliografie ... - 38 -
Bijlagen ... - 41 -
Bijlage 1 – Best practices van competenties vertaald naar kenmerken voor dit onderzoek ... - 42 -
Bijlage 2 - Vergelijking van competenties vanuit de theorie ... - 45 -
1
Introductie
Dit hoofdstuk bevat de aanleiding van dit onderzoek en daarvan afgeleid de probleemstelling met als resultaat de onderzoeksvraag. Na de beschrijving van de onderzoeksaanpak sluit dit hoofdstuk af met de leeswijzer.
1.1 Probleemstelling
De NOREA1 signaleert dat haar leden - RE’s2 - weliswaar IT-auditors3 zijn, maar dat slechts een beperkt deel ook daadwerkelijk IT-audits uitvoert4. Eén zo’n ledengroep vormen de RE’s die werkzaam zijn binnen de functie van risicomanagement. Deze
functie heeft het afgelopen decennium een sterke ontwikkeling doorgemaakt en besteedt meer aandacht aan de IT risico’s. Hierdoor zijn steeds meer RE’s werkzaam binnen deze functie. De positie van de RE in risicomanagement is echter onduidelijk. Terwijl de activiteiten van een afdeling risicomanagement en de relatie met interne audit niet altijd duidelijk is en regelmatig tot discussie leidt5 geeft de NOREA hierover weinig ondersteuning6. Dit terwijl bij de RE’s zelf onduidelijkheid bestaat over de
werking van de eigen gedrags- en beroepsregels wanneer de RE geen audits uitvoert7. Daarnaast kan de vraag worden gesteld of RE’s, opgeleid voor het gebied van auditing, geschikt zijn voor het werken binnen het vakgebied van risicomanagement. Vergt het werken in risicomanagement wezenlijk andere competenties?
Deze problematiek is vertaald naar onderstaande probleemstelling.
Uit de praktijk blijkt dat IT-auditors (RE’s) veel worden ingezet voor risicomanagementfuncties. Wat zijn de mogelijkheden en de nadelen voor de RE om ingezet te worden in deze functie?
1
De NOREA is een beroepsorganisatie van IT-auditors in Nederland en beheert het register van gekwalificeerde IT-auditors.
2
RE (Register EDP), is de IT-auditor (EDP-auditor) zoals opgenomen in het register van de NOREA.
3
Met het begrip IT auditor en RE wordt dezelfde functie bedoeld. IT-auditor: de in het vakgebied IT-Audit deskundige register IT-Auditor (NOREA, Beroepsprofiel van de IT-auditor, 2014). Zie voor een meer uitgebreide definitie paragraaf 3.1
4
Zie hiervoor het eindrapport van de commissie VISIE2020 (NOREA, Eindrapportage VISIE2020 aan bestuur NOREA, 2014)
5
Voorbeelden hiervan zijn columns als: ‘Kunnen audit en Risk samengaan’ (Molenkamp, april 2009) en ‘Samenvoegen of
niet’ (Bakker, januari 2010). 6
De Commissie VISIE 2020 adviseert het bestuur van de NOREA haar ledengroep breed te bepalen en besluiten te vormen zoals het “Uitbreiden van ondersteuning aan niet-assurance verstrekkende leden door de NOREA” (NOREA, Eindrapportage VISIE2020 aan bestuur NOREA, 2014)
7
Dit getuige de extra aandacht hiervoor, die de NOREA bij haar leden heeft gevraagd naar aanleiding van het uitvoeren van de eerste kwaliteitstoets binnen de beroepsgroep in 2012 (NOREA, Norea Nieuws, 2013).
“De belangrijkste strategische keuze die voorligt betreft de bepaling van de breedte van de ledengroep waar de NOREA als beroepsorganisatie voor wil staan. Betreft dit IT-audit en assurance, en advies op dit terrein, of ook breder, tot het gehele speelveld van IT-governance?”
- 2 -
1.2 Probleemafbakening
Het onderzoek kent de volgende afbakening.
Vergelijking van de RE werkzaam in de functies van Risicomanagement en Internal Audit
De RE is naast uitvoeren van audits en het geven van assurance in diverse rollen actief. Bijvoorbeeld als uitvoerder of als (onafhankelijk) deskundige in verschillende functies, bijvoorbeeld in
risicomanagement. Dit onderzoek beperkt zich tot een vergelijking tussen de RE werkzaam in de functie van risicomanagement (tweede lijn) en de functie van interne audit (derde lijn). Hiermee wordt – vanuit de context van de organisatie – het verschil inzichtelijk gemaakt tussen deze functies. Functie van risicomanagement binnen financiële instellingen
De functie van risicomanagement kan qua taakstelling en bemensing sterk uiteenlopen als gevolg van de bedrijfstak waarin het opereert. In dit onderzoek wordt uitgegaan van risicomanagement binnen financiële instellingen8. De financiële bedrijfstak besteedt de afgelopen jaren veel aandacht aan het vakgebied van risicomanagement en kent veelal verbijzonderderde functies. Hierdoor bestaat de verwachting dat sprake zal zijn van relatief volwassen risicomanagementfuncties.
Vergelijking op het gebied van beroepsregels en competenties van de RE
Er zijn verschillende gebieden waarop de mogelijkheden en beperking voor de RE vergeleken kunnen worden om te werken binnen risicomanagement. Dit onderzoek beperkt zich tot de mogelijkheden en beperkingen vanuit de beroepsregels van de RE en de competenties van de RE.
8
- 3 -
1.3 Onderzoeksvraag
Op basis van de probleemstelling en de afbakening, is de volgende onderzoeksvraag geformuleerd: Wat zijn de mogelijkheden en beperkingen voor de IT-auditor, vanuit de beroepsregels en
competenties van de RE (derde lijn), om te werken in een risicomanagementfunctie (tweede lijn) en hoe kunnen eventuele beperkingen worden overbrugd?
Om antwoord te geven op de onderzoeksvraag, zijn de volgende deelvragen bepaald:
1. Wat wordt in de financiële sector verstaan onder de functie van risicomanagement en hoe verhoudt deze functie zich tot de functie van Internal Audit?
2. Hebben de regels van de beroepsvereniging van RE’s invloed op zijn werkzaamheden binnen risicomanagement?
3. Op welke competenties wordt een beroep gedaan als de RE werkzaam is binnen
risicomanagement? Zijn deze competenties afwijkend met die van de RE in het algemeen? 4. Komen de conclusies vanuit de theorie overeen met de praktijk? Als in de praktijk de
gewenste competenties van de risicomanager afwijken met die van de RE, kunnen deze door de RE overbrugd worden? Moeten deze afwijkende competenties dan toegevoegd worden aan het instrumentarium van de RE?
1.4 Onderzoeksdoelstelling
Doel van dit onderzoek is de beroepsgroep van RE’s en betrokkenen daarbuiten, inzicht te geven in de mogelijkheden voor het werken van de RE in de functie van risicomanagement.
Naast een theoretisch onderzoek worden de uitkomsten getoetst met de praktijk. Dit onderzoek wordt afgesloten met aanbevelingen voor de beroepsgroep.
1.5 Methode van onderzoek
Op basis van de literatuur wordt antwoord gezocht op de geformuleerde vragen. Uitkomsten hiervan worden in de praktijk getoetst. Hiertoe worden interviews gehouden met managers van afdelingen risicomanagement van drie financiële instellingen. Daarnaast wordt hun afdelingsdocumentatie bestudeerd om daarmee de belangrijke competenties te vergelijken met de uitkomsten van het theoretisch onderzoek. De uitkomsten van het praktijkonderzoek worden door interviews verder aangevuld met opinies van een vijftal deskundigen op het gebied van (IT-)audit en
- 4 - van risicomanagement afdelingen en geïnterviewden opgenomen inclusief de opzet en uitwerking van de interviews.
Op basis van de uitkomsten van het theoretisch onderzoek en aangevuld met het praktijkonderzoek wordt de onderzoeksvraag beantwoord. Het onderzoek is daarmee kwalitatief van aard.
Het onderzoeksmodel is hiermee als volgt:
Figuur 1 - Onderzoeksmodel
1.6 Leeswijzer
In hoofdstuk 2 wordt op basis van literatuuronderzoek beschreven wat risicomanagement is en de rol van ICT hierbinnen. Daarnaast wordt de relatie beschreven tussen de functie van risicomanagement en de functie van interne audit. Hierbij wordt gebruikt gemaakt van het ‘Three Lines of defence’ model. Hoofdstuk 3 beschrijft welke reglementen van de NOREA voor de RE’s relevant zijn binnen de functie van risicomanagement. Daarnaast wordt de invloed daarvan op de activiteiten van de RE ingeschat. In hoofdstuk 4 worden vanuit de theorie de overeenkomsten en verschillen in kaart gebracht van de belangrijke competenties voor risicomanagers en RE’s. De theoretische uitkomsten worden in hoofdstuk 5 getoetst met de praktijk. In hoofdstuk 6 wordt de conclusie gegeven op de onderzoeksvraag. Dit onderzoek wordt afgesloten met aanbevelingen en een reflectie op de resultaten van het onderzoek.
Het stappenplan van dit onderzoek als volgt weer te geven:
Figuur 2 - Leeswijzer Literatuur over RM en relatie audit Literatuur NOREA over positie van RE in RM Literatuur over competenties RE en RM Theoretisch kader Praktisch kader Interviews met ervarings deskundigen Interviews met managers RM Afdelings documenten competen-ties Analyse en ontwerpen theoretisch model: positie van RE in RM en verschil in competenties Model in de praktijk
Theoretisch Onderzoek Praktijk
Functie van RM Positie RE in RM Uitvoeren functie van RM door RE Cases & Interviews Conclusie en aan-bevelingen NOREA Regelgeving Competenties Resultaten hfst 2, 3 en 4 Literatuur
- 5 -
2
Risicomanagement en relatie tot (IT-)audit
Deze paragraaf beschrijft de functie vanrisicomanagement (RM) binnen de financiële sector. Dit geeft een beeld van de omgeving waarbinnen een RE werkzaam kan zijn.
Achtereenvolgens volgt een beschrijving van het proces van risicomanagement, de functie van een afdeling RM binnen een financiële instelling en het aandachtsgebied van ICT hierbinnen. Ten slotte wordt ingegaan op de functie van RM binnen de Governance van een onderneming en de relatie tot audit. Dit mede ingegeven door de regelmatige discussie over het onderscheid tussen deze twee functies. Deze uitwerking geeft antwoord op de onderzoeksvraag:
Onderzoeksvraag 1: Wat wordt in de financiële sector verstaan onder de functie van risicomanagement en hoe verhoudt deze functie zich tot de functie van Internal Audit?
2.1 Risicomanagement
Het vakgebied van risicomanagement is nog jong en er bestaan hierbinnen geen algemeen
geaccepteerde normen (NBA, Risico's managen is mensenwerk, 2013). Een veel geciteerde definitie beschrijft risicomanagement (ERM) als volgt: “Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.” (COSO, 2004). Risicomanagement betekent niet het vermijden van risico’s maar hierop te sturen. Het nemen van risico’s kan ten slotte ook het benutten van kansen betekenen. Risicomanagement behoort tot de kerntaken van de financiële sector. Juist door de kredietcrisis is het vertrouwen in de sector - waaronder de kwaliteit van risicomanagement - geschaad. Om dit vertrouwen te herwinnen is o.a. de Code Banken opgesteld. “Banken zijn de afgelopen tijd veelal het zicht op complexe risico’s kwijtgeraakt, terwijl het goed beheren van die risico’s juist tot hun
kerncompetenties behoort” (Maas, 2009). De Code Banken geeft aanvullende9 regels op het gebied van Governance (waaronder beloningsbeleid) en risicomanagement waarbij sterk de relatie wordt gelegd met de ‘tone at the top’. Niet alleen de banken maar de financiële sector als geheel heeft te maken gekregen met de noodzaak om hun risicomanagement processen te verbeteren (DNB, 2011). Al deze ontwikkelingen hebben met elkaar gemeen dat zij vragen om een professionele risicoaanpak
9
Deze code voor banken geldt in aanvulling op algemene wetgeving op dit gebied in Nederland zoals: Code Tabaksblat en specifieke wetgeving op de financiële sector zoals Basel-wetgeving voor banken en hiervan afgeleid Solvency- en FTK-wetgeving voor respectievelijk verzekeraars en pensioenfondsen.
Theoretisch Onderzoek Praktijk
Functie van RM Positie RE in RM Uitvoeren functie van RM door RE Cases & Interviews Conclusie en aan-bevelingen NOREA Regelgeving Competenties Resultaten hfst 2, 3 en 4 Literatuur
- 6 - op hoog en geaggregeerd niveau in de organisatie. Hierbij wordt gestuurd op alle risico’s, niet alleen op de financiële. Dit leidt vaak tot aparte risicomanagement afdelingen.
2.2 Functie van afdeling RM binnen financiële instellingen en de rol van IT
Binnen de financiële sector hebben de afdelingen RM de volgende functies; “The risk management function’s primary responsibility is to understand the portfolio of risks that the company is currently taking and the risks it plans to take in the future. It must decide whether the risks are acceptable and, if they are not acceptable, what action should be taken.” (Hull, 2012). De afdeling RM voert het primaire proces dus niet uit maar monitort het.
Hoewel nog maar recent ontstaan10, kennen inmiddels bijna alle financiële instellingen
risicomanagement afdelingen. Ook wet- en regelgeving hebben belangrijke invloed op het hebben van deze afdelingen. De Wet Financieel Toezicht (WFT) vereist het hebben van een
risicomanagementfunctie binnen banken of verzekeraars11. Ook moet deze functie apart van de
uitvoering gepositioneerd zijn (WFT, 2006).
Risicomanagement activiteiten binnen financiële instellingen kunnen verdeeld worden in twee ‘groepen’. Risicomanagement gebaseerd op de meer kwantitatieve benadering - gericht op het op het bouwen van risicomodellen12 - en meer kwalitatieve benadering gericht op processen, IT-systemen en mensen (Paape & al, Risicomanagement in tijden van Crisis, 2009). Risicomanagement binnen de financiële instellingen is sterk vanuit de kwantitatieve benadering ontstaan. Deze
overmatige aandacht voor modellen wordt mede gezien als een belangrijke oorzaak voor de
kredietcrisis (DNB, 2011). Hierdoor is de kwalitatieve benadering van risicomanagement sterker in de belangstelling gekomen. Deze benadering - ook wel operational riskmanagement genoemd - wordt door Martin de “very fabric of the business” genoemd (Martin, 2009). Binnen de kwalitatieve benadering bestaat steeds meer aandacht voor gedrag, cultuur en managementstijl. De soft controls13. “Een gezamenlijke risicobewuste cultuur is namelijk de beste beheersmaatregel die er bestaat” (NAR & VORaad, 2013).
De grotere aandacht voor de meer kwalitatieve risico’s is ook zichtbaar op de ICT risico’s van de financiële instellingen. De risico’s rond informatietechnologie wordt door Fijneman toegelicht aan de
10
De eerste afdeling risicomanagement binnen banken is in 1987 opgericht bij Merrill Lynch (Dionne, 2013).
11
De pensioenfondsen zijn vanuit de Pensioenwet niet verplicht een risicomanagementfunctie in te richten. Uit het toezicht vanuit DNB blijkt in de praktijk wel een sterke voorkeur hiervoor.
12
Modellen en toegepaste technieken zoals; Value at Risk (VAR), Monte Carlo-simulaties en scenarioanalyses.
13
Een voorbeeld is de getuigenis van Paul Moore, voormalig hoofd van de Group Regulatory Risk bij HBOS: “There is no doubt that you can have the best governance processes in the world (…), but if they are carried out in a culture of greed, unethical behavior and indisposition to challenge, they will fail”. (Telegraph, 2009)
- 7 - hand van twee belangrijke fasen van een Informatiesysteem: de ontwikkelfase en de operationele fase. Het mislukken van ICT-projecten kan grote impact hebben op de resultaten van (financiële) onderneming en zelfs het voorbestaan ervan14. De belangrijkste risico’s in de operationele fase hebben betrekking op de kwaliteitsaspecten vertrouwelijkheid, integriteit en beschikbaarheid (Fijneman & e.a., 2011). Vooral de beschikbaarheid van de ICT van financiële instellingen haalt regelmatig het nieuws15.
Een vertrouwensbreuk op ICT-gebied kan grote implicaties hebben op de financiële sector. Mede hierdoor bestaat ook vanuit de toezichthouder DNB veel aandacht voor risicomanagement op het gebied van ICT. Dit is bijvoorbeeld terug te zien in de jaarlijkse toezichtthema’s van DNB. In 2014 zijn drie van in totaal acht cross-sectorale thema onderzoeken gericht op ICT-risicogebieden16.
De grotere afhankelijkheid van en meer aandacht voor ICT binnen operationeel risicomanagement, leidt tot een toename van ICT specialisten (waaronder RE’s) binnen deze functie. Bijvoorbeeld door bij te dragen aan complexe projecten, het geven van een 2nd opinion op de kwaliteit van ICT-systemen en het optreden van sparringpartner voor het management.
2.3 Relatie tussen functie van risicomanagement en Three Lines of Defence
Zoals aangehaald in de definitie van Hull; de functie van risicomanagement is niet verantwoordelijk voor het uitvoeren van de primaire processen. Dit sluit aan bij het ‘Three lines of defence’ model. Dit model is van belang voor het verduidelijken van de positie van de RM-functie en daarmee de positie van de RE hierbinnen. In deze paragraaf wordt dit toegelicht.
Het ‘Three lines of defence’ model wordt veelal toegepast bij het inrichten van de risico- en controlfuncties binnen een organisatie. Het heeft als doel de Governance en (risico-)beheersing te versterken (Nivra & IIA, 2010). Met name bij financiële instellingen is deze theorie gemeengoed, mede ingegeven door eisen van de toezichthouders17.
De IIA licht het model als volgt toe; “In the Three Lines of Defense model, management control is the first line of defense in risk management, the various risk control and compliance oversight functions
14
Het mislukken van complexe projecten heeft veelal ook een hoge nieuwswaarde. Bijvoorbeeld recent binnen de overheid “Commissie-Elias veegt de vloer aan met ICT-sector” (Financieel Dablad, 2014). Maar ook de financiële sector heeft deze zoals “Van Lanschot Bankiers schreef het afgelopen jaar 55 miljoen euro af op het automatiseringsproject Drive” (Computable, 2009). En natuurlijk vele ‘stille’ mislukkingen.
15
De banken zijn veelvuldig in het nieuws door storingen: “Rekeninghouders van ING hebben dit jaar tot nu tot 142 dagen last gehad van storingen, waarvan achttien dagen zeer grote storingen.” (NU.nl, 2014). Noot: stand per 29 september 2014.
16
Te weten: Complexe ICT-omgevingen, Informatiebeveiliging & Cybercrime en Nieuwe betaalmethoden (DNB, 2013) 17
Overigens is dit ‘3 lines of defence model’ niet zonder kritiek. Paape is van mening dat de scheiding van functies ertoe leidt dat de 2e en 3e lijn ‘nauwelijks een poot aan de grond krijgen omdat ze pas achteraf input mogen leveren’ (Paape, Internal Auditing - Three lines of defence model revisited, 2014).
- 8 - established by management are the second line of defense, and independent assurance is the third.” (IIA, Position Paper - The Three Lines of Defence in effective Risk Management and Control, 2013).18 De IIA maakt dit als volgt inzichtelijk19:
Figuur 3 – The Three Lines of Defence Model (IIA, The Three Lines of Defence in effective Risk Management and Control, 2013)
Naast de RM-functie kunnen dus ook andere functies gezien worden als onderdeel van de tweede lijn. Al naar gelang de omvang en inrichting van de organisatie, kunnen verbijzonderde of juist samengestelde functies bestaan. De IIA stelt dat als RM als aparte functie bestaat, deze functie verantwoordelijk is om te zorg dat het risicomanagement als geheel effectief is. De tweede lijn, waaronder de RM-functie, is hiermee “een provider van management assurance” (IIA Nederland, 2008)20.
In vergelijking tot interne audit stelt de IIA over risicomanagement; “Deze functies hebben een meer operationele, continue rol. Zij zijn vaak (mede) verantwoordelijk voor het ontwikkelen van beleid en dragen zorg voor de implementatie van de maatregelen om dat te realiseren en/of monitoren van de naleving daarvan.”(IIA Nederland, 2008). Daarmee is de tweede lijn niet onafhankelijk van de
operationele organisatie. In tegendeel; Deloitte ziet naar aanleiding van de kredietcrisis zelfs een noodzaak voor een sterkere proactieve rol bij het implementeren van risicomanagement ongeacht onafhankelijkheid (Deloitte, Financial Services Risk and Regulatory Review, 2012). Pauw concretiseert het proactieve karakter van risicomanagement met: “voordoen, meedoen, zelfdoen” (Pauw, 2013).
18
Over de mate van ‘independent zijn van assurance’ vanuit een interne functie kan getwist worden.
19
Op basis van Figuur 3 kunnen naast de ‘three lines of defence’ nog twee ‘lines’ worden onderkend, buiten de onderneming. External Audit (vierde lijn); de leverancier van assurance aan partijen ook buiten de onderneming. En de ‘regulator’ (vijfde lijn) die in de financiële een actieve rol heeft.
20
De IIA beschrijft drie typen ‘assurance’ providers waarbij de functie van risicomanagement valt binnen het type: “Those who report to management or are part of management (management assurance), including individuals who perform control self-assessments, quality auditors, environmental auditors, and other management (designated assurance personnel)” (IIA, Coordinating Risk Management and Assurance, 2012). De IIA associeert dit als assurance met de minste vorm van onafhankelijkheid.
- 9 - Het proactieve karakter en de mate van ‘onafhankelijkheid’ van de functie wordt door hem
gekoppeld aan de ‘risico volwassenheid’ van de organisatie.
De derde lijn (internal audit) wordt dan ook geïmplementeerd om onafhankelijk van de (dagelijkse) operatie aanvullende zekerheid te geven over de effectiviteit van de eerste én de tweede lijn.
2.4 Conclusie
De afdeling risicomanagement is relatief nieuw binnen de financiële sector wat o.a. blijkt uit het ontbreken van algemeen geaccepteerde normen voor de inrichting van de functie. De functie is een tweedelijns functie en faciliteert en monitort de organisatie op het gebied van risico’s.
Binnen deze functie is meer aandacht gekomen voor de kwalitatieve aandachtsgebieden van risicomanagement. ICT maakt hier nadrukkelijk deel van uit waardoor ook meer ICT-specialisten (RE’s) binnen RM werkzaam zijn. Als belangrijk fundament voor effectief risicomanagement zijn sinds de kredietcrisis ook ‘soft controls’ duidelijker bij RM-functies in beeld gekomen.
De functie van RM is sterker betrokken bij het faciliteren van de eerste lijn dan audit. Dit maakt RM-functie (en de RE hierbinnen) pro actiever richting de organisatie maar maakt de RM-functie ook minder onafhankelijk. Dit onderscheidt RM van een Interne Audit functie (IAF). Een IAF is sterk op de
onafhankelijkheid gericht en kent primair een toetsende rol. Gericht op het geven van een opinie aan de (hoogste) leiding.
- 10 -
3
De positie van de RE in de functie van risicomanagement
In hoofdstuk 2 is de functie en positiebeschreven van risicomanagement binnen financiële instellingen en het werkgebied van de RE daarbinnen. Hierin blijkt o.a. de
minder onafhankelijke positie van de functie van RM en daarmee de RE die hierbinnen werkt. Dit hoofdstuk gaat in op de gevolgen hiervan op de positie van de RE binnen RM. Dit wordt uitgewerkt vanuit de regelgeving van de NOREA. Dit geeft antwoord op de tweede deelvraag:
Onderzoeksvraag 2: Hebben de regels van de beroepsvereniging van RE’s invloed op zijn werkzaamheden binnen risicomanagement?
3.1 Introductie NOREA en RE
De NOREA is een beroepsorganisatie van IT-auditors in Nederland en beheert het register van
gekwalificeerde IT-auditors. De leden kunnen de titel RE voeren. IT auditors kennen in Nederland ook veel andere relevante beroepsorganisaties21. Hierbij onderscheidt de NOREA en de daaraan
gekoppelde RE-titel zich, doordat het in Nederland sterk maatschappelijk geaccepteerd is op het gebied van IT audit22. Door meerdere ontwikkelingen bestaat binnen de NOREA momenteel sterk de vraag hoe zij betekenisvol kan blijven voor haar leden en de markt. Zo vormen andere
beroepsverenigingen een serieuze bedreiging voor haar positie. Eén voorbeeld hiervan is ISACA23. ISACA is internationaal toonaangevend en kent voor IT-auditors de kwalificatie tot CISA24.
De NOREA beschrijft de functie van de RE als het primair uitvoeren van controlewerkzaamheden om daarmee aanvullende zekerheid (assurance) te geven over de IT, informatie, processen en systemen. Daarnaast kan de RE adviesdiensten verlenen (NOREA, Beroepsprofiel van de IT-auditor, 2014). De NOREA heeft reglementen opgesteld waaraan de RE’s moeten voldoen25. De NOREA is lid van de International Federation of Accountants (IFAC) waardoor de NOREA delen van de regels van de IFAC
21
Voorbeelden zijn: IIA (Institute of Internal Auditors), IFIP (International Federation for Information Processing) en PVIB (Platform voor Informatiebeveiliging). Zie ook ISACA, verder in de tekst toegelicht,
22
Deze maatschappelijke acceptatie blijkt bijvoorbeeld ook uit de erkenning van de NOREA door het NBA als ‘beroepsorganisatie van andere professionals’ (NBA, Nieuws, 2013)
23
Information Systems Audit and Control Association (ISACA)
24
Certified Information System Auditor (CISA). Bijvoorbeeld de AITAP verzorgt ook de opleiding tot CISA.
25
De Gedrags en Beroepsregels (GBR) zijn door de vereniging van RE’s zelf ingesteld om de kwaliteit van de beroepsgroep te borgen. De GBR heeft geen wettelijke basis zoals die wel geldt voor de RA’s uit hoofde van de Verordering Gedrags- en Beroepsregels Accountants (VGBA).
Theoretisch Onderzoek Praktijk
Functie van RM Positie RE in RM Uitvoeren functie van RM door RE Cases & Interviews Conclusie en aan-bevelingen NOREA Regelgeving Competenties Resultaten hfst 2, 3 en 4 Literatuur
- 11 - heeft overgenomen in haar reglementen, specifiek ten aanzien van assurance opdrachten (Veth, 2009). De regels van de NOREA zijn georganiseerd in het ‘NOREA reglementenhuis’.
Figuur 4 – Structuur van het NOREA 'reglementenhuis' (NOREA, Structuur Gedrags- en Beroepsregels NOREA, 2014)
3.2 Reikwijdte van de NOREA reglementen op de RE in RM
RE’s zijn individueel gehouden zich aan de reglementen te houden26. Al naar gelang de activiteiten van de RE, zijn alle of een gedeelte van toepassing. Om vast te stellen welk deel van de reglementen voor de RE geldt de werkt binnen RM, is het onderscheid van ‘wel / niet actief lid’ van belang.
- Niet actief lid: een niet actief lid is voor de NOREA een RE die geen adviserende of toetsende taak uitvoert maar zelf deel uitmaakt van de uitvoering (RE in business). Een niet actief lid is daarmee volgens de NOREA statuten geen IT-auditor meer. Deze leden moeten zich als ‘niet actief’ lid aantekenen in het register. Alleen de gedragscode is dan van toepassing op de RE27.
- Actief lid: een RE wordt als actief beschouwd als deze optreedt als IT-auditor. De NOREA maakt dit in haar statuten expliciet met; “Register auditors worden geacht op te treden als EDP-auditor wanneer zij op grond van een onderzoek met betrekking tot de situatie ten aanzien van de informatie-technologie in een organisatie een oordeel of advies geven” (NOREA, Statuten NOREA). Het gebruikt van de term ‘EDP-auditor’28 kan leiden tot verwarring. Ten onrechte kan hieruit de conclusie getrokken worden dat een RE die werkzaam is in de functie van
Risicomanagement niet ‘optreedt als IT-auditor’. Om dit te verhelderen heeft de NOREA expliciet gemaakt dat ook RE’s werkzaam in toezichthoudende en adviserende functies, (overige)
26
De NOREA licht dit toe: “IFAC richt zich in haar regelgeving primair op het formuleren van maatregelen die gelden voor een auditorganisatie. Deze maatregelen moeten vervolgens van toepassing worden verklaard op de binnen de
auditorganisatie werkzame auditor, omdat NOREA geen auditorganisaties accrediteert.” (NOREA, B3 - Reglement Kwaliteitsbeheersing NOREA (RKBN), 2012)
27
“Iedere RE is gehouden de Gedragscode na te leven” (NOREA, Vragenlijst 2014 te onderzoeken IT-auditorganisaties, 2014)
28
- 12 - professionele diensten leveren29. Deze diensten hoeven overigens niet per se te bestaan uit een getekende rapportage30.
- Uitgeschreven uit het register: Er is nog één variant, namelijk de RE zich uitschrijft uit het register.
3.3 Regelgeving van de NOREA en de producten van de RE binnen RM
In de vorige paragraaf is vastgesteld dat in principe alle reglementen van de NOREA relevant zijn op de werkzaamheden van de individuele RE in de functie van risicomanagement. Welke reglementen aanvullend op de gedragscode relevant zijn, is afhankelijk van de ‘diensten’ die de RE levert. NOREA kent de volgende diensten:
- assurance (C-reglementen);
- andere oordelen, zoals; audits, reviews, assessments etc. (D-reglementen); - advies (E-reglementen).
Assurance (onderdeel C)
Assurance is het geven van zekerheid aan een derde, niet degene die de verantwoordelijkheid heeft over het object van onderzoek31. De NOREA kent een raamwerk en richtlijnen over assurance. Hierin worden de kenmerken van een assurance -opdracht beschreven en wat de voorwaarden zijn om een verklaring af te geven. Assurance kan worden afgegeven door iedere actieve RE, zolang is voldaan aan de eisen zoals gesteld in de richtlijnen32. De NOREA sluit RE’s die niet werken in een auditfunctie, dus op voorhand niet uit om assurance te geven33.
Uit de reglementen en toelichtingen hierop valt echter af te leiden dat een RE werkzaam in een afdeling RM in de praktijk geen assurance kan afgeven. Kern hiervan is dat de RE: “zodanige waarborgen zal treffen dat aan de onafhankelijkheid in wezen en in schijn geen afbreuk wordt
29
“Binnen organisaties kan door de aard van een functie(benaming) of een gezagsverhouding onduidelijkheid bestaan over het al dan niet sprake zijn van wel of niet leveren van een professionele diensten. Voorbeelden van dergelijke situaties zijn toezichthoudende of adviserende functies. De introductie van het begrip ‘Overige professionele diensten’ beoogt, binnen de context van de bestaande definities, een eventuele onduidelijkheid over de verplichting tot het naleven van de voor IT-auditors geldende regelgeving op te heffen. Die regelgeving is ook op de ‘Overige professionele diensten’ van toepassing. (NOREA, Self Assessment Kwaliteitsonderzoek, 2012)
30
“De verantwoordelijkheden van een RE gelden ook bij werkzaamheden in dienstverband en als de RE geen rapportages ondertekent.” (NOREA, Vragenlijst 2014 te onderzoeken IT-auditorganisaties, 2014)
31
Vrij naar Raamwerk van Assurance opdrachten van de NOREA. (NOREA, C1 – Raamwerk Assurance-opdrachten door IT-auditors, 2014)
32
Specifiek stelt de NOREA in haar richtlijn: “Opgemerkt wordt dat vooralsnog door de NOREA ten aanzien van het raamwerk geen nader onderscheid wordt gemaakt tussen interne-, externe en/of IT-auditors werkzaam bij de overheid.” (NOREA, C1 – Raamwerk Assurance-opdrachten door IT-auditors, 2014). Zoals vermeld in paragraaf 3.2, trekt de NOREA het begrip IT-auditor vrij breed en beperkt zich niet tot de auditfunctie.
33
- 13 - gedaan”34. De onafhankelijkheid van een afdeling RM en de RE binnen deze functie is beperkt zoals beschreven in hoofdstuk 2. Hiermee wordt niet voldaan aan de basisvoorwaarde voor een assurance opdracht. De diensten van de RE in RM vallen daarmee onder ‘andere oordelen’.
Wel is het voor de RE werkzaam binnen RM van belang dat hij zich bewust is dat hij geen producten levert die de indruk kunnen wekken dat assurance wordt gegeven35. Dit om te voorkomen dat een dergelijk product verkeerde verwachtingen wekt bij de gebruikers ervan.
Andere oordelen en adviezen (reglementen D en E)
De diensten ‘andere oordelen’ en adviezen maken deel uit van de activiteiten van een RM-functie. Hierbij valt bijvoorbeeld te denken aan beleidsvoorstellen en uitkomsten van monitoring. Deze diensten van de RE binnen RM vallen daarmee onder deze reglementen. Deze reglementen zijn echter verder niet uitgewerkt door de NOREA. Ook bestaan nauwelijks andere handreikingen om een goede invulling te geven op deze diensten36. Hierop gelden dan alleen de meer algemene
reglementen van de NOREA (bijvoorbeeld de uitvoeringsrichtlijn G-230, documentatie).
3.4 Inschatting van invloed van de NOREA reglementen op de RE in functie van RM
In de vorige paragraaf is in kaart gebracht dat de RE binnen RM diensten levert als ‘andere oordelen en adviezen’. Deze paragraaf geeft een persoonlijke inschatting van de impact van deze reglementen op de activiteiten van de RE in RM.
Conclusie uit deze analyse is dat de reglementen die direct van toepassing zijn op de RE binnen RM meer algemeen van aard zijn en relatief beperkte impact hebben op zijn dagelijkse activiteiten. Deze reglementen betreffen met name organisatorische maatregelen om de kwaliteit van het werk en het dossier te borgen.
In onderstaande tabel is dit per reglement verder uitgewerkt.
34
Zie (NOREA, C2 - Richtlijn Assurance-opdrachten door IT-auditors (3000), 2014) 35
Iedere vorm van dienstverlening die voldoet aan de definitie van een assurance-opdracht is geen adviesopdracht maar een assurance-opdracht.” (NOREA, C1 – Raamwerk Assurance-opdrachten door IT-auditors, 2014)
36
Dit sluit ook aan op één van de bevindingen in het rapport VISIE2020 waarin één van de adviezen is: “differentiatie van beroepsregels om de verschillende ledengroepen te kunnen bedienen” (NOREA, Eindrapportage VISIE2020 aan bestuur NOREA, 2014)
- 14 -
Reglement Relevant Impact
37
Toelichting
De statuten (A1) Ja Geen De statuten zijn algemeen van aard qua opzet van de NOREA, geen impact op de activiteiten van de RE in de tweede lijn.
De gedragscode (B1) Ja Laag De gedragscode vormt de basis voor de gehele set van regelgeving van de NOREA. Het is geldend voor alle register EDP auditors, ook voor RE’s die zich niet bezig houden met professionele diensten (de niet actieven). De code omvat 5 grondbeginselen; integriteit, objectiviteit, deskundigheid, geheimhouding en professioneel gedrag.
Beroepsregels (B2) Ja Laag Hierin wordt inzicht gegeven doelstelling en mate van verplichtend karakter van: Richtlijnen (dwingend); Handreikingen (afwijkingen gemotiveerd en gedocumenteerd) en studies en overige publicaties (geen verplichtend karakter). Deze toelichting zelf, geeft geen specifieke aandachtspunten ten aanzien van de functie van risicomanagement.
Reglement
Kwaliteitsbeheersing (B3) en
kwaliteitsonderzoek (B4)
Ja Middel B4 geeft de grondbeginselen voor het opzetten van een systeem van kwaliteitsborging. In het reglement kwaliteitsonderzoek (B4) wordt verder uitwerking gegeven op de wijze waarop toetsing plaatsvindt op de actieve RE’s (zie paragraaf 3.5). Het reglement kwaliteitsbeheersing en uitwerking daarvan geeft veel aandachtspunten waaraan een ‘IT-auditorganisatie’ moet voldoen. Gezien de brede uitwerking van het begrip ‘IT-auditorganisatie’, zal een RE werkzaam in een Riskmanagementfunctie ook aan deze
grondbeginselen moeten voldoen. Raamwerk (C1) en
richtlijnen (C2) assurance opdrachten
Nee Laag Op basis van de conclusie in paragraaf 3.3, geeft een afdeling RM geen assurance. Dit raamwerk geeft wel de verplichting dat de RE (in RM) moet voorkomen dat hij met een rapport (anders dan assurance) de indruk wekt assurance te geven. Om dit te voorkomen geeft de NOREA voorbeelden zoals te vermijden terminologieën etc.
Overige oordelen (D) Ja Geen Dit artikel kent (nog) geen nadere uitwerking. Advies (E) Ja Geen Dit artikel kent (nog) geen nadere uitwerking. Niet Actief (F) Nee Geen Dit artikel kent (nog) geen nadere uitwerking Uitvoeringsrichtlijnen
(G)
Ja Hoog Met name de richtlijn ‘documentatie (G-230)’ zal een grote impact hebben op de werkzaamheden van de RE in RM functie. Deze richtlijn kent een zodanig brede reikwijdte38 dat het aannemelijk is dat de RE in een RM-functie hieraan zal moeten voldoen.
37
Bij de inschatting van de impact is de volgende classificatie gebruikt:
- Geen impact; de richtlijn zal in de dagelijkse praktijk geen extra inspanning vergen.
- Laag; de richtlijn komt terug in natuurlijk gedrag/activiteit van RE (bijv. professionele houding en
integriteit).
- Middel; actief beoordelen of qua opzet hieraan wordt voldaan. Een gemiddelde extra inspanning.
- Hoog; impact op veel van de activiteiten van de RE.
38
De reikwijdte van G-230 is als volgt gedefinieerd: “Deze Richtlijn behandelt de verantwoordelijkheid van de IT-auditor om documentatie op te stellen voor het verrichten van professionele diensten waarbij sprake is van een (eind)rapport.” (NOREA, Gedrags- en beroepsregels, 2014).
- 15 -
Reglement Relevant Impact
37
Toelichting
Handreikingen (H) Ja Laag De handreikingen bieden informatie aan de RE om zijn werkzaamheden effectief en efficiënt uit te voeren. Hieruit komen geen bijzondere verplichtingen voor de RE in de tweede lijn.
Tabel 1 - Uitwerking NOREA regelgeving en impact op RE in RM-functie
3.5 Kwaliteitstoetsing door de NOREA
Naast het naleven van gedrags- en beroepsregels is de kwaliteitstoetsing39 hierop door de NOREA, mogelijk relevant voor de RE werkzaam binnen RM. Wanneer leden wel of niet vallen onder de kwaliteitstoetsing blijkt een verwarrend punt40. Dit is ook een gebied waarop de NOREA
voortschrijdend het werkgebied van de kwaliteitstoets aanscherpt, zoals zichtbaar in de toelichting op de kwaliteitstoets 201441. Deze toelichting benoemt vanaf 2014 ook de functie van
risicomanagement.
Op basis van deze toelichting valt de RE, die werkzaam is binnen RM, niet onder de kwaliteitstoets. Dit gezien de aard van zijn diensten, namelijk het geven van adviezen en overige oordelen.
3.6 Conclusie
De RE werkzaam in RM kent beperkte invloed vanuit zijn beroepsregels maar gelijktijdig ook weinig ondersteuning.
De RE werkzaam in RM wordt door de NOREA gezien als ‘actieve IT-auditor’ omdat hij overige professionele diensten verricht. Hij valt daarmee onder alle beroeps- en gedragsregels van de
vereniging. Deze regels geven de RE werkzaam in RM een aantal algemene handvatten, onder andere voor het borgen van de kwaliteit van zijn werk.
De RE werkzaam binnen RM is door de positie van zijn afdeling minder onafhankelijk dan wanneer hij werkzaam is binnen een IAF. Hierdoor kan hij vanuit zijn beroepsregels geen assurance geven. Andere oordelen en adviezen kunnen wel door hem gegeven worden. Op deze gebieden wordt door de NOREA echter weinig handreiking gegeven voor de uitvoering.
39
Om de kwaliteit van de beroepsuitoefening te toetsen voert de NOREA sinds 2012 kwaliteitsonderzoeken uit op basis van het reglement kwaliteitsonderzoek NOREA (RKON).
40
De NOREA zag zich genoodzaakt dit verder te verhelderen: “Men is te allen tijde RE, dus zodra IT-audit deskundigheid wordt of kan worden aangewend. (…) Het gevolg is dat uitsluitend een beroep op de ‘niet-actief' status mogelijk is als de betreffende RE zich niet bezig houdt met professionele diensten.” (NOREA, Norea Nieuws, 2013).
41
Zoals de NOREA stelt: “Op grond van voortschrijdend inzicht is deze versie van de vragenlijst aangepast, hetgeen heeft geleid tot een vereenvoudiging van de inhoud (…)” (NOREA, Vragenlijst 2014 te onderzoeken IT-auditorganisaties, 2014)
- 16 -
4
Vergelijking van de competenties van de RE en de Risicomanager
“Mensen leveren alleen een goed resultaat alsze zowel voldoende inspanning leveren als beschikken over de juiste competenties” (Smid, 2011). Heeft de RE dan de juiste competenties
om in de functie van risicomanagement goede resultaten te leveren?
In hoofdstuk 3 is uitgewerkt wat, vanuit de regels van de NOREA, de invloed is op de taken van de RE binnen de functie van RM. Dit hoofdstuk brengt in kaart wat wordt verstaan onder competenties en wat de belangrijke competenties zijn van de risicomanagers en RE’s. Vervolgens worden de
competenties vergeleken. Als er afwijkende competenties te herkennen zijn, wordt er ingegaan op de vraag of deze wel of niet deel moeten uitmaken van het ‘instrumentarium’ van de RE. Deze uitwerking geeft antwoord op de derde onderzoeksvraag:
Onderzoeksvraag 3: Op welke competenties wordt een beroep gedaan als de RE werkzaam is binnen risicomanagement? Zijn deze competenties afwijkend met die van de RE in het algemeen?
4.1 Definitie van competenties
Vooral vanuit het onderwijs en HR-management bestaat grote aandacht voor ‘competenties’. Toolsema beschrijft dat dit is ingegeven door de ontwikkeling van de economie naar een
kenniseconomie waarbij flexibiliteit van de medewerker een belangrijke voorwaarde is (Toolsema, 2003). Dit leidt tot een behoefte aan meer algemene vaardigheden.
Hoewel het belang van competenties zonder twijfel is en er veel over wordt gepubliceerd, is de betekenis van ‘competentie’ niet sterk uitgekristalliseerd. “De opvattingen erover lopen sterk uiteen waarbij bijvoorbeeld cultuur of het doel van de beschrijving bepalend is.” (Mulder & e.a., 2009). Onderstaande figuur maakt de verschillende functies van competenties inzichtelijk:
Figuur 5 - Ordening van definities van competenties naar functie daarvan (Merriënboer, Klink, & Hendriks, 2002)
Theoretisch Onderzoek Praktijk
Functie van RM Positie RE in RM Uitvoeren functie van RM door RE Cases & Interviews Conclusie en aan-bevelingen NOREA Regelgeving Competenties Resultaten hfst 2, 3 en 4 Literatuur
- 17 - Dit onderzoek gaat dan ook uit van een algemene formulering van competenties; “een vermogen dat kennis-, houdings- en vaardigheidsaspecten omvat, om in concrete taaksituaties doelen te bereiken” (Luken, 2002)42. Luken werkt de typen competenties verder uit:
- Kennis (en inzicht): men moet voldoende weten en begrijpen van de materie waar het in het betreffende taakgebied om gaat.
- Vaardigheid: het vertonen van gedrag dat nodig is voor het uitvoeren van beroepstaken. - Houding (attitude): intrinsieke motivatie, intenties, houding en gedrag.
4.2 Kenmerken voor het in kaart brengen van competenties
Dit onderzoek maakt gebruik van een kader om op een gestructureerd manier de competenties van de RE en de RM in kaart te brengen en vergelijkbaar te maken. Voor het vaststellen van de
kenmerken waaraan dit moet voldoen, is gebruik gemaakt van een onderzoek van Champion naar ‘best practices’ op het gebied van modellen van competenties (Campion, 2011). Dit onderzoek komt uit op twintig best practices. Een deel hiervan sluit echter niet aan op dit onderzoek, bijvoorbeeld practices voor het gebruiken van competenties voor HR-doeleinden. Hiertoe zijn eerst de practices individueel beoordeeld op relevantie. De relevante practices zijn vervolgens specifiek gemaakt naar kenmerken voor dit onderzoek. Dit is verder uitgewerkt in bijlage 1. De kenmerken voor de in kaart te brengen competenties zijn:
Kenmerken van de competenties in dit onderzoek
1. Voor de vergelijking van competenties tussen RM en IT-audit (RE) vormen de beschrijvingen door de beroepsverenigingen het uitgangspunt. Hiervoor wordt gebruik gemaakt van hun beroepsprofielen. 2. De competenties vanuit de beroepsprofielen worden – ter toetsing - vergeleken met de
eindcompetenties beschreven in de Onderwijs en Examenregeling (OER) van relevante opleidingen. 3. Om een standaardset competenties te gebruiken, wordt gebruikt gemaakt van de beschrijving van
competenties door PiCompany43.
4. De vergelijking van competenties richt zich primair op vaardigheden en houding. De meer generieke competenties. Vakkennis wordt niet in de basisvergelijking betrokken. Vanzelfsprekend heeft een RM afwijkende vakkennis in vergelijking tot een RE. Dit is tenslotte de reden waarom RE’s ingezet worden in RM. Bij kenmerk 6 wordt wel één vergelijking op het gebied van vakkennis gemaakt.
5. Uitgangspunt: tien competenties als basis voor de vergelijking. Dit aantal leidt tot een door Champion gewenst aggregatieniveau van competenties.
6. Competenties moeten ook een toekomstgericht karakter kennen. Als de beroepsprofielen van RM en RE van voldoende kwaliteit zijn, zal hiermee rekening gehouden zijn. Ter aanvulling wordt in dit onderzoek één toekomstgerichte competentie bepaald die aansluit op een recente ontwikkeling. Hierin wordt Dit wordt getoetst op mogelijke relevantie tijdens het praktijkonderzoek.
Tabel 2 - Kenmerken gehanteerd voor onderzoek
42
Deze definitie sluit bijvoorbeeld ook goed op internationale definities zoals voor de accreditering van onderwijs in de EU (European Commission, 2008) en zoals gehanteerd door beroepsorganisatie IIA (IIA, Ten Core Competencies, 2013)
43
Zie voor de beschrijving van de 43 competenties “Coachen op gedrag en resultaat” (Smid, 2011). Deze lijst is bijvoorbeeld ook beschikbaar op: http://www.juristenbank.nl/StaticContent/Competentielijst%20PiCompany%20Juristenbank.pdf
- 18 -
4.3 De belangrijke competenties in kaart gebracht
In de vorige paragraaf zijn de kenmerken en keuzes hierop vastgesteld voor het in kaart brengen van de competenties. In deze paragraaf worden de belangrijke competenties van de RM en RE bepaald. Hiertoe zijn eerst de competenties in kaart gebracht op basis zoals genoemd in de profielen van relevante beroepsverenigingen. Deze competenties zijn vervolgens vergeleken met die genoemd in risicomanagement- / IT-audit opleidingen. Het achterliggende idee hierbij is dat de opleidingen veel aandacht besteden aan het in kaart brengen van (te ontwikkelen) competenties. Deze competenties worden vermeld het Onderwijs en Examenreglement (OER) van de opleidingen. Door de OER te vergelijken met de competenties genoemd door in de beroepsprofielen, kunnen de resultaten vergeleken worden. Ten slotte zijn deze uitkomsten verwerk tot een opsomming van de belangrijke competenties. De gedetailleerde resultaten zijn verwerkt in bijlage 2 .
4.3.1 Belangrijke competenties voor de risicomanager
Het in kaart brengen van de belangrijke competenties van de RM blijkt een stuk moeilijker dan verwacht omdat niet sprake is van één leidende beroepsorganisatie44. Dit sluit aan met het beeld geschetst in hoofdstuk 2 dat risicomanagement een redelijk nieuw vakgebied is en weinig standaarden kent. Om toch te komen tot een representatief competentiemodel voor de
risicomanager, is deze samengesteld uit de beschrijvingen van viertal grote beroepsverenigingen die zich (mede) richten op de financiële sector45. Dit zijn: IRR, RIMS, GARP en ERMA46. De genoemde competenties zijn per beschrijving vastgesteld waarna door middeling van de genoemde
competenties, de belangrijkste competenties zijn bepaald.
De vergelijking van de in kaart gebracht competenties vanuit de beroepsorganisaties met die
genoemd bij een viertal RM-opleidingen blijkt niet goed mogelijk. Bij bestudering van de OER-en van de opleidingen zijn de beschrijvingen van competenties op het gebied van ‘vaardigheden en attitude’ niet duidelijk beschreven of niet vermeld47. De RM-beroepsverenigingen komen zelf echter op min of meer gelijke algemene competenties. Hierdoor is het minder van belang om de resultaten te
vergelijken en te bevestigen met de competenties genoemd in de opleidingen.
44
Naast eigen waarneming en consultatie bij deskundigen, is het versnipperde karakter van de beroepsgroep ook goed te zien bij de opleidingen RM. De Haagse Hogeschool meldt bij de studie risicomanagement: “Er is geen beroepsvereniging voor risicomanagers, zodat de opleiding zelf deskundigen uit het beroepenveld heeft benaderd” (NQA, 2013), blz13
45
Hoewel veel meer beroepsverenigingen risicomanagement was niet altijd een compententiemodel beschikbaar.
46
In de legenda van bijlage 2 worden deze beroepsverenigingen verder toegelicht.
47
- 19 - Hiermee zijn de meest48 genoemde competenties vanuit de beroepsverenigingen voor RM:
Probleemanalyse Mondelinge communicatie Samenwerken
Besluitvaardigheid Mondelinge presentatie Leiding geven
Visie Schriftelijke communicatie Plannen en organiseren
Creativiteit Overtuigingskracht Integriteit
Tabel 3 – In kaart gebrachte competenties voor de risicomanager
4.3.2 Belangrijke competenties voor de RE
Voor het in kaart brengen van de competenties van de RE is gebruik gemaakt van het beroepsprofiel van de NOREA. De NOREA stelt zelf dat haar profiel representatief is door aansluiting te zoeken met (inter-)nationale kaders49. Dit is in de bijlage 2 nog getoetst door de competenties te vergelijken met de IIA. Hieruit blijkt dat deze inderdaad vrijwel geheel overeenkomen5051.
Ook uit de vergelijking van het NOREA beroepsprofiel met de eindtermen (opgenomen in de OER) van de AITAP opleiding van de UVA en de eindtermen van de interne auditor opleiding van de UvA (EIAP) blijkt nagenoeg geen verschil52.
Uit het competentiemodel van de NOREA blijken de volgende belangrijke competenties voor de RE53: Probleemanalyse Mondelinge presentatie Zelfontwikkeling
Oordeelsvorming Schriftelijke communicatie Integriteit Omgevingsbewustzijn Overtuigingskracht Kwaliteitsgericht
Mondelinge communicatie Samenwerken Onafhankelijkheid
Tabel 4 - In kaart gebrachte competenties voor de RE
48
Toelichting aantal: uitgangspunt van dit onderzoek is om op tien competenties uit te komen terwijl dit model op twaalf uitkomt. Deze twaalf bestaan echter uit drie ‘vaste competenties’ in het communicatieve domein. Omdat deze terugkomen in alle competentiemodellen is uit oogpunt van diversiteit, gekozen om dan negen ‘uitwisselbare’ competenties te hebben.
49
“Het referentiekader voor de aan de beroepsuitoefening en de opleiding te stellen eisen sluit aan op de desbetreffende internationale en nationale kaders, die worden gevormd door de standaarden van de IFAC, de IIA, de NOREA en relevante ISACA regelgeving” (NOREA, Beroepsprofiel van de IT-auditor, 2014).
50
Zonder hierop verder onderzoek te verrichten kan gesteld worden dat de vergelijking die geldt tussen RE’s en RM, dan ook geldt voor auditors in het algemeen en RM.
51
Opvallend genoeg bleek een vergelijking van de competenties zoals genoemd door de NOREA met de internationale CISA opleiding van ISACA niet goed mogelijk. De CISA opleiding vermeldt in haar Exam Candidate Information Guide alleen vakinhoudelijke kwalificaties. (ISACA, 2014)
52
Te verklaren door het gemeenschappelijke 1e jaar van AITAP en EIAP en de aansluiting van de IT-audit opleiding op de internationale kaders.
53
Het model van de RE komt – per toeval – ook uit op twaalf competenties. Bij het bepalen van de competenties van risicomanagement in paragraaf 4.3.1 dit reeds als geaccepteerd als aantal.
- 20 -
4.4 Vakkennis op het gebied van soft controls
Voor het in kaart brengen van één toekomstgerichte competentie (6e kenmerk) wordt vakkennis vergeleken op het gebied van ‘soft controls’. De toegenomen aandacht voor soft controls en het belang ervan op de effectiviteit van risicomanagement is toegelicht in hoofdstuk 2. De functies RM richten inmiddels meer aandacht hierop. Vanzelfsprekend zijn soft controls ook van groot belang op de kwaliteit van de ICT54. Bijvoorbeeld binnen ICT-projecten waar effectieve samenwerking cruciaal is. Vanuit deze aandacht voor soft controls, wordt de vakkennis hierop van de RM en RE in kaart gebracht en vergeleken om daarmee vast te stellen of dit tussen de vakgebieden een
onderscheidende competentie is.
De vakkennis van beide beroepsgroepen is allereerst vergeleken op basis van de eerder genoemde beroepsprofielen. Hieruit blijkt dat vakkennis voor het beoordelen van de soft controls niet duidelijk wordt genoemd in de onderzochte beroepsprofielen van RM.De NOREA besteedt wel enige
aandacht hieraan55.
Bij het beoordelen van de vakkennis zoals verwerkt in de opleidingen valt op dat de RM-opleidingen de soft-controls substantieel terug laten komen in hun curriculum. Hiervoor zijn de universitaire RM-opleidingen van de VU en Twente beoordeeld56. In het bijzonder de (nieuwe) RM-opleiding van de VU besteedt veel aandacht aan niet rationeel gedrag rondom risicomanagement. Van de vijf
semesters is één volledig ingericht aan cognitieve psychologie en de relatie met risicomanagement57. Bij het beoordelen van twee IT-audit opleidingen (AITAP en VU), komt dit minder nadrukkelijk terug in het opleidingsprogramma of de eindtermen. Aanvullend zijn beide lesprogramma’s beoordeeld. Er blijkt binnen IT-audit wel aandacht voor theorie rondom soft controls58 maar met minder diepgang als gepresenteerd binnen de RM-opleidingen.
Conclusie uit de vergelijking op het gebied van soft controls is dat de opleidingen tot RM veel aandacht besteden aan psychologische59 aspecten rondom (beïnvloeding) van besluiten. Bij RM is deze competentie daarmee als ‘belangrijk’ gescoord. Deze vakkennis heeft de RE minder uitgebreid,
54
Zie bijvoorbeeld de rol van de interne auditor op GRC-gebied (Nivra & IIA, 2010)
55
Bij benodigde vakkennis wordt genoemd: “relevantie van de social controls (…) voor de beheersing voor de interne beheersing” (NOREA, Beroepsprofiel van de IT-auditor, 2014).
56
Master in Risicomanagement - Universiteit van Twente; Riskmanagement for Financial Institutions – VU Amsterdam
57
Onderwerpen die hierbinnen aan bod komen zijn bijvoorbeeld: menselijk (beslissings-)gedrag in groepen, Implicaties van cognitieve en sociale processen op het meten van risico’s, implicaties van cognitieve en sociale processen op het
interpreteren en beheersen van risico’s (VU Amsterdam, 2014)
58
Zoals binnen het vak ‘Control Models I en II’ (Amsterdam Business School, 2013). De IT- Audit opleiding van de VU benoemt dit in het geheel niet in haar opleidingsprogramma (VU Amsterdam, Opleidingsbrochure Postgraduate Opleiding IT Audit, Compliance & Advisory, 2013-2014)
59
Kennis van het gedrag van individuen en groepen (omschrijving zoals gehanteerd door de opleiding VU Risicomanagement FI in haar referentiekader en eindkwalificaties voor de opleiding)
- 21 - wat voor hem van invloed kan zijn wanneer hij komt te werken binnen RM. Vakkennis bij de RE wordt daarmee gepresenteerd als een minder belangrijke competentie.
4.5 Beoordeling van de vergelijking tussen competenties RM en RE.
In bijlage 2 zijn de in kaart gebrachte competenties schematisch weergegeven en vergeleken. De resultaten hieruit zijn nader geanalyseerd. Hieruit komen twee aanpassingen op het model. De competenties ‘Leiding geven’ en ‘Zelfontwikkeling’ zijn weliswaar afwijkend ‘gescoord’ maar worden bij nadere bestudering niet als een belangrijke afwijkende competentie beschouwd.
De competentie ‘leiding geven’ is door de beroepsverenigingen RM benoemd als belangrijk voor het managen van de RM-afdeling. Dit is logischerwijs geen onderscheidende competentie in vergelijking met de RE. De competentie ‘zelfontwikkeling’ is opgenomen in de beroepsbeschrijvingen van de NOREA door de koppeling te leggen met de Nederlandse opleidingen60. Voor RM is uitgegaan van internationale beschrijvingen, waarin deze koppeling niet wordt gelegd. Ook deze competentie wordt daarmee niet als onderscheidend beschouwd.
4.6 Conclusie van de theoretische vergelijking
Deze paragraaf schetst de resultaten op basis van het theoretisch onderzoek. In bijgaande figuur zijn de belangrijke competenties opgenomen waarop een beroep wordt gedaan als de RE werkzaam is in de functie van RM. Daarnaast zijn de competenties van de RE zelf vermeld.
Bijna de helft van de belangrijke competenties van de RE komen overeen met die van de RM. Een belangrijk deel van deze competenties hebben te maken met effectief communiceren en
samenwerken. Specifiek zijn dit de competenties: mondelinge communicatie en presentatie,
schriftelijke communicatie, overtuigingskracht en samenwerken. Daarnaast worden probleemanalyse en integriteit bij RM en RE als belangrijk gezien.
De gearceerde competenties zijn de afwijkende belangrijke competenties voor de RE. Dit zijn vanuit de theorie de competenties die minder nadrukkelijk nodig zijn voor het werken als IT-auditor maar
60
Dit is een gevolg van de zgn ‘Dublin descriptoren’. Dit is een gemeenschappelijk raamwerk van generieke competenties en eindkwalificaties van afgestudeerden binnen de EU. Hierbij wordt ‘zelfontwikkeling’ als vaste competentie op Master-niveau verondersteld. De internationale beroepsverenigingen voor RM (en IIA) richten zicht niet primair op deze Europese descriptoren.
Vergelijking 1- Belangrijke competenties RE-RM
- 22 - belangrijk voor het werken in RM. Dit zijn de competenties: besluitvaardigheid, visie, creativiteit en plannen & organiseren.
Eén vaktechnische competentie is vergeleken, namelijk kennis op het gebied van soft-controls. Op grond van het theoretisch onderzoek blijkt dat de RM-opleidingen beduidend meer aandacht besteden aan het ontwikkelen van vakkennis op het gebied van soft-controls. Dit is een gebied waarop de RE zijn vaktechniek moet versterken om te werken in RM.
Uit de gepresenteerde verschillen tussen de competenties RM en RE ontstaat het beeld dat een RM-functie een meer proactief en minder onafhankelijk karakter heeft dan een IAF. Dit is een beeld dat aansluit op de resultaten van hoofdstuk 2. In hoofdstuk 5 worden deze theoretische conclusies getoetst met de praktijk.
- 23 -
5
Toetsing van de theoretische uitkomsten met de praktijk
“Van de theorie naar de praktijk”. In dezeparagraaf worden de theoretische uitkomsten van hoofdstukken 2 t/m 4 vergeleken met de praktijk. Hiervoor worden bij drie RM-functies
interviews gehouden met de manager RM. Daarnaast worden de voor de functies RM en interne audit vastgestelde competenties in kaart gebracht. Vervolgens worden de theoretische resultaten en de vergelijking met de praktijk voorgelegd aan vijf deskundigen op het gebied van RM en (IT-)audit. Ten slotte wordt vastgesteld of de verschillen in competenties, overbrugbaar zijn voor de RE en eventueel ‘toegevoegd’ moeten worden aan de competenties voor de beroepsgroep in het algemeen.
Dit geeft antwoord op de laatste onderzoeksvraag:
Onderzoeksvraag 4: Komen de conclusies vanuit de theorie overeen met de praktijk? Als in de praktijk de gewenste competenties van de risicomanager afwijken met die van de RE, kunnen deze door de RE overbrugd worden? Moeten deze afwijkende competenties dan toegevoegd worden aan het instrumentarium van de RE?
5.1 Resultaten theoretisch kader
De uitkomsten van het theoretisch onderzoek vormen de basis voor de toetsing met de praktijk. Hieronder zijn deze theoretische uitkomsten samengevat:
Vraagstelling Uitkomsten theoretisch onderzoek
Wat wordt in de financiële sector verstaan onder de functie van
risicomanagement en hoe verhoudt deze functie zich tot de functie van Internal Audit? (hfst 2)
De afdeling risicomanagement is relatief nieuw binnen de financiële sector wat o.a. blijkt uit het ontbreken van algemeen geaccepteerde normen voor de inrichting van de functie. De functie is een tweedelijns functie en faciliteert en monitort de organisatie op het gebied van risico’s.
Binnen deze functie is meer aandacht gekomen voor de kwalitatieve
aandachtsgebieden van risicomanagement. ICT maakt hier nadrukkelijk deel van uit waardoor ook meer ICT-specialisten (RE’s) binnen RM werkzaam zijn. Als belangrijk fundament voor effectief risicomanagement zijn sinds de kredietcrisis ook ‘soft controls’ duidelijker bij RM-functies in beeld gekomen.
De functie van RM is sterker betrokken bij het faciliteren van de eerste lijn dan audit. Dit maakt RM-functie (en de RE hierbinnen) pro actiever richting de organisatie maar maakt de functie ook minder onafhankelijk. Dit onderscheidt RM van een IAF. Een IAF is sterk op de onafhankelijkheid gericht en kent primair een toetsende rol. Gericht op het geven van een opinie aan de (hoogste) leiding.
Hebben de regels van De RE in RM kent beperkte invloed vanuit zijn beroepsregels maar gelijktijdig ook
Theoretisch Onderzoek Praktijk
Functie van RM Positie RE in RM Uitvoeren functie van RM door RE Cases & Interviews Conclusie en aan-bevelingen NOREA Regelgeving Competenties Resultaten hfst 2, 3 en 4 Literatuur
- 24 -
de beroepsvereniging van RE’s invloed op zijn werkzaamheden binnen
risicomanagement? (hfst 3)
weinig ondersteuning.
De RE werkzaam in RM wordt door de NOREA gezien als ‘actieve IT-auditor’ omdat hij overige professionele diensten verricht. Hij valt daarmee onder alle beroeps- en gedragsregels van de vereniging. Deze regels geven de RE een aantal algemene handvatten, onder andere voor het borgen van de kwaliteit van zijn werk.
De RE in RM is door de positie van zijn afdeling minder onafhankelijk dan wanneer hij werkzaam is binnen een IAF. Hierdoor kan hij vanuit zijn beroepsregels geen assurance geven. Andere oordelen en adviezen kunnen wel door hem gegeven worden. Op deze gebieden wordt door de NOREA echter weinig handreiking gegeven voor de uitvoering.
Op welke
competenties wordt een beroep gedaan als de RE werkzaam is binnen
risicomanagement? Zijn deze
competenties
afwijkend met die van de RE in het
algemeen? (hfst 4)
Mondelinge communicatie en presentatie, schriftelijke communicatie,
overtuigingskracht, samenwerken, probleemanalyse en integriteit zijn competenties die zowel binnen RM als voor de RE belangrijk zijn.
Besluitvaardigheid, visie, creativiteit en plannen & organiseren blijken competenties die de RE extra nodig zal hebben binnen RM.
Op grond van het theoretisch onderzoek bestaat bij de RM-opleidingen meer aandacht voor het ontwikkelen van vakkennis op het gebied van soft-controls. Dit is een gebied waarop de RE zijn vaktechniek moet versterken om te werken in RM.
Tabel 5- Resultaten theoretisch onderzoek
5.2 Toelichting op geselecteerde organisaties en deskundigen
Hieronder een korte beschrijving van de bezochte functies en de betrokken deskundigen. In een aparte bijlage (bijlage Interviews) is aanvullende informatie hierover opgenomen inclusief de interviewverslagen.
Beschrijving van de bezochte risicomanagement functies
De drie praktijkonderzoeken zijn verdeeld over de financiële sector om daarmee een algemeen beeld te krijgen. Hiervoor zijn bezocht: een bank, een verzekeraar en een pensioenuitvoerder. Hierbinnen is de RM-functie geselecteerd. Allen hebben een manager Risicomanagement met de RE kwalificatie om aan te sluiten op dit onderzoek.
Beschrijving van de deskundigen
Om de theoretische conclusies en de uitkomsten uit de praktijksituaties in een breder perspectief te plaatsen zijn vijf deskundigen geïnterviewd die werkzaam op verschillende functies binnen de tweede en derde lijn en ervaring hebben binnen de financiële sector. Twee van de deskundigen geven ook onderwijs op het gebied van Governance en Risicomanagement.
