INHOUDSOPGAVE
BIJLAGE 1: ORGANOGRAM AEGON N.V. 1
BIJLAGE 2: INTERVIEWVERSLAGEN 2
BIJLAGE 3: BELANGRIJKE PASSAGES SARBANES- 6
BIJLAGE 4: CERTIFICERING 10
BIJLAGE 5: REGULATION S-K 12
BIJLAGE 6: BALANS EN W&V AXENT/AEGON 13
BIJLAGE 7: INTERN BEHEERSINGSMODEL 16
BIJLAGE 8: PRINCE2 DEELPROCESSEN 18
BIJLAGE 9: PRINCE2 PROCESMODEL 19
BIJLAGE 10: PROJECTPLAN HERMAN SPAARKAS 20
BIJLAGE 1: ORGANOGRAM AEGONN.V.
Figuur B-1 Organogram AEGON N.V.
Bron: http://www.aegon.com
BIJLAGE 2: INTERVIEWVERSLAGEN
Algemene werkwijze
In paragraaf 2.3.7 is een beschrijving gegeven van de in dit onderzoek gebruikte
gegevens en methoden van dataverzameling. Daarbij werd opgemerkt dat de individuele gegevensbronnen niet in alle gevallen voldoende betrouwbaar en/of actueel zijn.
Vervolgens werd beschreven op welke wijze eventuele hieruit voortvloeiende gebreken in de onderzoeksresultaten zijn ondervangen. Daartoe is bijvoorbeeld ter verificatie van de uit documentenstudie verkregen gegevens gebruik gemaakt van interviews met
deskundigen op de betreffende kennisgebieden.
In totaal zijn in het kader van dit onderzoek ruim 60 interviews gehouden met diverse project- en lijnmedewerkers van de Herman Spaarkas en AXENT/AEGON organisaties.
Van dit aantal betrof circa 30% ongestructureerde interviews die dienden ter verkrijging van algemene en niet (of beperkt) in documentatie vastgelegde informatie. De
resterende interviews betroffen de al beschreven verifiërende interviews. De duur van de diverse afgenomen interviews liep daarbij sterk uiteen van enkele minuten voor
verifiërende interviews tot langer dan een uur voor interviews ter verkrijging van niet anderszins verkrijgbare informatie.
In het navolgende worden de werkwijze en resultaten van een tweetal interviews weergegeven. Het eerste interview betreft een verifiërend interview met de algemeen projectleider met betrekking tot de in Hoofdstuk 3 gepresenteerde algemene beschrijving van Herman Spaarkas. Het tweede interview betrof een meer ongestructureerd interview met als doel het verkrijgen van inzicht in door de betrokkenen gepercipieerde risico’s en de reeds geïmplementeerde controls in het waardebepalingstraject ten behoeve van paragraaf 6.5.2.3.
Interview 1: Beschrijving van het project Herman Spaarkas
Voor het opstellen van de algemene beschrijving van het project Herman Spaarkas is allereerst de beschikbare algemene projectdocumentatie bestudeerd. De belangrijkste voor dit doel bestudeerde documenten zijn:
Het door het Transitieteam opgestelde programma van eisen met bijbehorende uitgangspunten en randvoorwaarden.
Het algemene projectplan, zoals opgesteld en beheerd door de algemeen projectleider.
De door AXENT/AEGON en AEGON Spaarbeleg opgestelde definitiestudies.
Op basis van de uit deze documenten vergaarde informatie is een algemene beschrijving opgesteld zoals weergegeven in Hoofdstuk 3 van dit onderzoeksverslag. Daarbij is met name aandacht besteed aan de hoofdlijnen van het project. In paragraaf 2.3.7 werd al opgemerkt dat, mede door de hoge werkdruk, niet alle documentatie voortdurend de werkelijke en actuele stand van zaken weergeeft. Om eventuele onwaarheden en/of omissies te corrigeren is deze beschrijving vervolgens getoetst aan de werkelijkheid zoals deze wordt ervaren door de algemeen projectleider. Daartoe is de opgestelde
beschrijving ter bestudering voorgelegd aan de projectleider. Vervolgens is in een semi-
opgemerkte onwaarheden en omissies in de hoofdbestanddelen van de in hoofdstuk 3 weergegeven algemene beschrijving. In het navolgende wordt een samenvatting van het interviewverslag weergegeven.
Is het beschreven doel van Herman Spaarkas juist weergegeven? Komt de beschrijving van de wijze waarop dit doel wordt gerealiseerd overeen met de werkelijkheid?
Ja, het doel van HSK is eigenlijk heel eenvoudig. De wijze waarop dit doel bereikt moet worden is op het eerste gezicht ook nog niet eens zo ingewikkeld. Pas als je meer naar detail gaat kijken blijkt dat het een heel ingewikkeld project is. We hebben bijvoorbeeld te maken met twee systemen die behoorlijk van elkaar verschillen. Eigenlijk is de grootste overeenkomst tussen de systemen dat ze zo slecht gedocumenteerd zijn. Dat betekent dat er tijdens de projectwerkzaamheden nog heel veel ‘ontdekt’ moet worden over hoe de systemen eigenlijk werken.
Zijn de belangrijkste werkzaamheden die in het kader van dit project dienen te worden uitgevoerd volledig en juist weergegeven?
De werkzaamheden zijn juist omschreven. Omdat we aan een aantal goed omschreven producten werken is ook heel goed te onderscheiden welke werkzaamheden er allemaal worden uitgevoerd.
Is de wijze waarop het project is georganiseerd juist weergegeven?
De weergave van de projectorganisatie is juist. Alleen werkt het in de praktijk altijd net even anders. De duidelijke scheiding tussen de werkzaamheden die je in de beschrijving ziet bestaat in werkelijkheid veel minder duidelijk. Dit heeft vooral te maken met de complexiteit. Omdat er bijvoorbeeld zoveel onduidelijkheden zijn is niet makkelijk om op voorhand vast te stellen wat onder verantwoordelijkheid van werkgroep A valt en wat onder werkgroep B.
Komt de weergegeven planning overeen met de huidige planning en wat is de huidige status van het project?
De planning van dit project is eigenlijk niet echt een gegeven waar je op kunt bouwen.
Een aantal factoren zorgt ervoor dat, vooral op detailniveau, de planning bijna
voortdurend moet worden aangepast. Globaal verandert er dan niet zo heel veel, maar als je goed kijkt zie je grote verschuivingen in prioriteiten die door verschillende omstandigheden worden ingeleid.
Zijn de door het Transitieteam geformuleerde eisen, uitgangspunten en randvoorwaarden correct weergegeven?
De wensen van het Transitieteam zijn heel kort en helder geformuleerd. Ze zijn dan ook juist weergegeven in de beschrijving daarvan. Het blijkt echter niet altijd even eenvoudig om daar voortdurend aan te voldoen. We werken immers in een situatie waarin we met beperkte middelen een hoeveelheid werk moeten verzetten die soms onbeperkt lijkt.
Daarom maak ik voortdurend keuzes in wat wel of niet aan de eisen kan voldoen. Toch lijkt het erop dat we op alle belangrijke gebieden voldoende aan de gestelde eisen zullen gaan voldoen.
Interview 2: Risico’s en internal controls in de waardebepaling Application controls in waardebepaling. Zie paragraaf 6.5.2.3.
Het onderdeel waardebepaling van Herman Spaarkas is beperkt gedocumenteerd. Er is een globale beschrijving beschikbaar waarin doel en uitgangspunten van dit onderdeel worden weergegeven. Daarnaast zijn diverse zeer gedetailleerde werkinstructies
beschikbaar die gebruikt worden bij de uitvoering van de corrigerende werkzaamheden.
Er zijn echter geen documenten beschikbaar waarin op een meer algemeen niveau de individuele werkzaamheden worden beschreven. Op basis van een ongestructureerd interview is een eerste indruk van deze fase verkregen. Deze is verwerkt in Hoofdstuk 3 en paragraaf 6.4.2. Om in deze laatste paragraaf en in paragraaf 6.5.2.3 meer details op te kunnen nemen met betrekking tot de door betrokkenen gepercipieerde risico’s en de eventueel geïmplementeerde internal controls is een aanvullend interview afgenomen. Dit interview had een semi-gestructureerd karakter en werd gevoerd met de functioneel verantwoordelijke voor het waardebepalingstraject.
Welke risico’s onderkent u binnen het waardebepalingstraject?
De belangrijkste risico’s die we tot nu toe onderkend hebben, bestaan op de volgende gebieden:
1. De kwaliteit van de Expiratieprogrammatuur.
2. De kwaliteit van de Excel spreadsheets die gebruikt worden om de uitkomsten van de Expiratieprogrammatuur te verifiëren.
3. De kwaliteit van de queries waarmee vervuiling in de voor waardebepaling relevante gegevens wordt opgespoord.
4. De mogelijkheid dat er vormen van vervuiling bestaan die consequent tot foutieve uitkomsten van de waardebepaling zullen leiden.
5. De mogelijkheid dat er vormen van vervuiling bestaan die niet in een enkele aanpassing van de data zijn op te lossen, zodat de totale doorlooptijd van het deelproject dusdanig wordt verlengd dat deze de algemene projectplanning in gevaar brengt.
6. De mogelijkheid dat we minder of meer dan het totaal van de kastegoeden verdelen over de rechthebbende polissen.
Welke maatregelen zijn op dit moment genomen om deze risico’s te verminderen of te beheersen?
1. Onze externe actuaris heeft een audit uitgevoerd op de Expiratieprogrammatuur.
Daarbij is gekeken naar de inhoudelijke kant van de programmatuur én de wijze waarop deze tot stand is gekomen. Bovendien geldt voor dit tweede element dat de algemene regels van AEGON (die ook binnen HSK worden gebruikt) voor het ontwerp en de implementatie van software zijn toegepast. Het proces lijkt daarmee in elk geval voldoende zekerheid te bieden over de kwaliteit van de software. Inhoudelijk zijn alle rekenregels gecontroleerd 1) actuariële juistheid en 2) een juiste verwerking in de programmatuur. Vooral dit laatste is van belang, omdat verschillende computersystemen, door bijvoorbeeld een afwijkende toepassing van afrondingsregels, regelmatig een verschillende uitkomst krijgen uit dezelfde som. Deze audit is zeer uitgebreid uitgevoerd en zowel de auditor als ik hebben het idee dat er geen fouten in de software zitten die de uitkomsten in materiële zin kunnen beïnvloeden.
2. De Excel spreadsheets die wij gebruiken zijn aan eenzelfde audit onderworpen als de Expiratieprogrammatuur. Uit een vergelijking van de resultaten bleek dat na een aantal aanpassingen de uitkomsten tot 7 cijfers achter de komma met elkaar overeenkomen. Dit geeft ons voldoende zekerheid dat we een goed stuk
gereedschap hebben om de uitkomsten van de Expiratieprogrammatuur te verifiëren.
3. De queries die we gebruiken hebben de afgelopen maanden een voortdurende ontwikkeling doorgemaakt. Regelmatig bleek dat, na oplossing van door een query gesignaleerde vervuiling, nieuwe vervuiling ontstond op het moment dat dezelfde query nogmaals werd gedraaid. Hierdoor hebben we een behoorlijk aantal iteraties doorlopen, waarbij we uiteindelijk op stabiele queryresultaten zijn uitgekomen. Op basis daarvan hebben we voldoende reden om aan te nemen dat onze queries nu doen wat ze moeten doen.
4. Er bestaat natuurlijk de mogelijkheid dat we een vorm van vervuiling in de data hebben die voortdurend tot dezelfde foute uitkomsten van zowel de Expiratieprogrammatuur als van de Excel spreadsheets leidt. Dit soort vervuiling is heel moeilijk op te merken. Voordat we aan dit project begonnen hebben we echter een analyse gemaakt van alle mogelijke waarden die we logischerwijze verwachtten aan te treffen in de data. Wanneer vervolgens bleek dat we een
‘nieuwe’ waarde ontdekten, hebben we onderzoek uitgevoerd tot we 1) of ontdekten dat deze waarde fout was en daarmee vervuiling betekende of 2) moesten vaststellen dat we een en ander zelf vooraf verkeerd hadden ingeschat.
Op deze wijze hebben we alle mogelijke waarden en combinaties daarvan geprobeerd logisch te ‘begrijpen’. Op dit moment begrijpen we alles en gaan we er daarmee van uit dat er geen verborgen vervuiling meer bestaat in onze data.
5. Deze vorm van vervuiling bleek eigenlijk relatief eenvoudig te bestrijden. Ik noemde net al dat we een uitgebreide analyse hebben uitgevoerd voorafgaand aan dit traject. Op basis van die analyse hebben we ook vastgesteld wat de beste volgorde van wijziging zou moeten zijn. We hebben daardoor werkinstructies ontwikkeld die het mogelijk maakten om alle mogelijk vormen van vervuiling in maximaal drie runs van de Expiratieprogrammatuur te ontdekken én op te schonen.
6. Ook dit risico was eenvoudig weg te nemen. We weten immers de totale beleggingswaarde van het geld van onze klanten. Zodra de Expiratieprogrammatuur een bedrag verdeeld dat niet gelijk is aan die actuele waarde is er natuurlijk iets aan de hand. Op basis van dit simpele uitgangspunt hebben we diverse keren geconstateerd dat er ergens iets fout ging. Daarbij hebben we telkens net zolang aanpassingen verricht tot wél het juiste bedrag werd verdeeld.
BIJLAGE 3: BELANGRIJKE PASSAGES SARBANES-
OXLEY
SEC. 2. DEFINITIONS.
(a) IN GENERAL.—In this Act, the following definitions shall apply:
(1) APPROPRIATE STATE REGULATORY AUTHORITY.—The term ‘‘appropriate State regulatory authority’’ means the State agency or other authority
responsible for the licensure or other regulation of the practice of accounting in the State or States having jurisdiction over a registered public accounting firm or associated person thereof, with respect to the matter in question.
(2) AUDIT.—The term ‘‘audit’’ means an examination of the financial statements of any issuer by an independent public accounting firm in accordance with the rules of the Board or the Commission (or, for the period preceding the adoption of applicable rules of the Board under section 103, in accordance with then- applicable generally accepted auditing and related standards for such purposes), for the purpose of expressing an opinion on such statements.
(3) AUDIT COMMITTEE.—The term ‘‘audit committee’’ means—
(A) a committee (or equivalent body) established by and amongst the board of directors of an issuer for the purpose of overseeing the accounting and financial reporting processes of the issuer and audits of the financial statements of the issuer; and
(B) if no such committee exists with respect to an issuer, the entire board of directors of the issuer.
(4) AUDIT REPORT.—The term ‘‘audit report’’ means a document or other record—
(A) prepared following an audit performed for purposes of compliance by an issuer with the requirements of the securities laws; and
(B) in which a public accounting firm either—
(i) sets forth the opinion of that firm regarding a financial statement, report, or other document; or
(ii) asserts that no such opinion can be expressed.
(5) BOARD.—The term ‘‘Board’’ means the Public Company Accounting Oversight Board established under section 101.
(6) COMMISSION.—The term ‘‘Commission’’ means the Securities and Exchange Commission.
(7) ISSUER.—The term ‘‘issuer’’ means an issuer (as defined in section 3 of the Securities Exchange Act of 1934 (15 U.S.C. 78c)), the securities of which are registered under section 12 of that Act (15 U.S.C. 78l), or that is required to file reports under section 15(d) (15 U.S.C. 78o(d)), or that files or has filed a
registration statement that has not yet become effective under the Securities Act of 1933 (15 U.S.C. 77a et seq.), and that it has not withdrawn.
(8) NON-AUDIT SERVICES.—The term ‘‘non-audit services’’ means any
professional services provided to an issuer by a registered public accounting firm, other than those provided to an issuer in connection with an audit or a review of the financial statements of an issuer.
(9) PERSON ASSOCIATED WITH A PUBLIC ACCOUNTING FIRM.—
(A) IN GENERAL.—The terms ‘‘person associated with a public accounting firm’’ (or with a ‘‘registered public accounting firm’’) and
‘‘associated person of a public accounting firm’’ (or of a ‘‘registered public accounting firm’’) mean any individual proprietor, partner, shareholder, principal, accountant, or other professional employee of a public accounting firm, or any other independent contractor or entity that, in connection with the preparation or issuance of any audit report—
(i) shares in the profits of, or receives compensation in any other form from, that firm; or
(ii) participates as agent or otherwise on behalf of such accounting firm in any activity of that firm.
(B) EXEMPTION AUTHORITY.—The Board may, by rule, exempt persons engaged only in ministerial tasks from the definition in subparagraph (A), to the extent that the Board determines that any such exemption is consistent with the purposes of this Act, the public interest, or the protection of investors.
(10) PROFESSIONAL STANDARDS.—The term ‘‘professional standards’’ means—
(A) accounting principles that are—
(i) established by the standard setting body described in section 19(b) of the Securities Act of 1933, as amended by this Act, or prescribed by the Commission under section 19(a) of that Act (15 U.S.C. 17a(s)) or section 13(b) of the Securities Exchange Act of 1934 (15 U.S.C. 78a(m)); and
(ii) relevant to audit reports for particular issuers, or dealt with in the quality control system of a particular registered public accounting firm; and
(B) auditing standards, standards for attestation engagements, quality control policies and procedures, ethical and competency standards, and independence standards (including rules implementing title II) that the Board or the Commission determines—
(i) relate to the preparation or issuance of audit reports for issuers; and
(ii) are established or adopted by the Board under section 103(a), or are promulgated as rules of the Commission.
(11) PUBLIC ACCOUNTING FIRM.—The term ‘‘public accounting firm’’ means—
(A) a proprietorship, partnership, incorporated association, corporation, limited liability company, limited liability partnership, or other legal entity that is engaged in the practice of public accounting or preparing or issuing audit reports; and
(B) to the extent so designated by the rules of the Board, any associated person of any entity described in subparagraph (A).
(12) REGISTERED PUBLIC ACCOUNTING FIRM.—The term ‘‘registered public accounting firm’’ means a public accounting firm registered with the Board in accordance with this Act.
(13) RULES OF THE BOARD.—The term ‘‘rules of the Board’’ means the bylaws and rules of the Board (as submitted to, and approved, modified, or amended by the Commission, in accordance with section 107), and those stated policies, practices, and interpretations of the Board that the Commission, by rule, may deem to be rules of the Board, as necessary or appropriate in the public interest or for the protection of investors.
(14) SECURITY.—The term ‘‘security’’ has the same meaning as in section 3(a) of the Securities Exchange Act of 1934 (15 U.S.C. 78c(a)).
(15) SECURITIES LAWS.—The term ‘‘securities laws’’ means the provisions of law referred to in section 3(a)(47) of the Securities Exchange Act of 1934 (15 U.S.C.
78c(a)(47)), as amended by this Act, and includes the rules, regulations, and orders issued by the Commission thereunder.
(16) STATE.—The term ‘‘State’’ means any State of the United States, the District of Columbia, Puerto Rico, the Virgin Islands, or any other territory or possession of the United States.
(b) CONFORMING AMENDMENT.—Section 3(a)(47) of the Securities Exchange Act of 1934 (15 U.S.C. 78c(a)(47)) is amended by inserting ‘‘the Sarbanes-Oxley Act of 2002,’’
before ‘‘the Public’’.
SEC. 302. CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS.
(a) REGULATIONS REQUIRED.—The Commission shall, by rule, require, for each company filing periodic reports under section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m, 78o(d)), that the principal executive officer or officers and the principal financial officer or officers, or persons performing similar functions, certify in each annual or quarterly report filed or submitted under either such section of such Act that—
(1) the signing officer has reviewed the report;
(2) based on the officer’s knowledge, the report does not contain any untrue statement of a material fact or omit to state a material fact necessary in order to make the statements made, in light of the circumstances under which such statements were made, not misleading;
(3) based on such officer’s knowledge, the financial statements, and other financial information included in the report, fairly present in all material respects the financial condition and results of operations of the issuer as of, and for, the periods presented in the report;
(4) the signing officers—
(A) are responsible for establishing and maintaining internal controls;
(B) have designed such internal controls to ensure that material information relating to the issuer and its consolidated subsidiaries is made known to such officers by others within those entities, particularly during the period in which the periodic reports are being prepared;
(C) have evaluated the effectiveness of the issuer’s internal controls as of a date within 90 days prior to the report; and
(D) have presented in the report their conclusions about the
effectiveness of their internal controls based on their evaluation as of that date;
(5) the signing officers have disclosed to the issuer’s auditors and the audit committee of the board of directors (or persons fulfilling the equivalent function)—
(A) all significant deficiencies in the design or operation of internal controls which could adversely affect the issuer’s ability to record, process, summarize, and report financial data and have identified for the issuer’s auditors any material weaknesses in internal controls; and
(B) any fraud, whether or not material, that involves management or other employees who have a significant role in the issuer’s internal controls; and
(6) the signing officers have indicated in the report whether or not there were significant changes in internal controls or in other factors that could significantly affect internal controls subsequent to the date of their evaluation, including any corrective actions with regard to significant deficiencies and material weaknesses.
(b) FOREIGN REINCORPORATIONS HAVE NO EFFECT.—Nothing in this section 302 shall be interpreted or applied in any way to allow any issuer to lessen the legal force of the statement required under this section 302, by an issuer having reincorporated or having engaged in any other transaction that resulted in the transfer of the corporate domicile or offices of the issuer from inside the United States to outside of the United States.
(c) DEADLINE.—The rules required by subsection (a) shall be effective not later than 30 days after the date of enactment of this Act.
SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.
(a) RULES REQUIRED.—The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall—
(1) state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and (2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting.
(b) INTERNAL CONTROL EVALUATION AND REPORTING.—With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board. Any such attestation shall not be the subject of a separate engagement.
BIJLAGE 4: CERTIFICERING
CERTIFICATIONS*
I, [identify the certifying individual], certify that:
1. I have reviewed this quarterly report on Form 10-Q of [identify registrant];
2. Based on my knowledge, this quarterly report does not contain any untrue statement of a material fact or omit to state a material fact necessary to make the statements made, in light of the circumstances under which such statements were made, not misleading with respect to the period covered by this quarterly report;
3. Based on my knowledge, the financial statements, and other financial information included in this quarterly report, fairly present in all material respects the financial condition, results of operations and cash flows of the registrant as of, and for, the periods presented in this quarterly report;
4. The registrant's other certifying officers and I are responsible for establishing and maintaining disclosure controls and procedures (as defined in Exchange Act Rules 13a-14 and 15d-14) for the registrant and we have:
a) designed such disclosure controls and procedures to ensure that material information relating to the registrant, including its consolidated subsidiaries, is made known to us by others within those entities, particularly during the period in which this quarterly report is being prepared;
b) evaluated the effectiveness of the registrant's disclosure controls and procedures as of a date within 90 days prior to the filing date of this quarterly report (the "Evaluation Date"); and
c) presented in this quarterly report our conclusions about the effectiveness of the disclosure controls and procedures based on our evaluation as of the Evaluation Date;
5. The registrant's other certifying officers and I have disclosed, based on our most recent evaluation, to the registrant's auditors and the audit committee of registrant's board of directors (or persons performing the equivalent function):
a) all significant deficiencies in the design or operation of internal controls which could adversely affect the registrant's ability to record, process, summarize and report financial data and have identified for the registrant's auditors any material weaknesses in internal controls; and
b) any fraud, whether or not material, that involves management or other employees who have a significant role in the registrant's internal controls; and 6. The registrant's other certifying officers and I have indicated in this quarterly report whether or not there were significant changes in internal controls or in other factors that could significantly affect internal controls subsequent to the date of our most recent evaluation, including any corrective actions with regard to significant deficiencies and material weaknesses.
Date: ...
_______________________
[Signature]
[Title]
* Provide a separate certification for each principal executive officer and principal
financial officer of the registrant. See Rules 13a-14 and 15d-14. The required certification must be in the exact form set forth above.
http://www.sec.gov/rules/final/33-8124.htm
BIJLAGE 5: REGULATION S-K
§ 229.307 Item 307 - Controls and Procedures
Disclose the conclusions of the registrant's principal executive and principal financial officers, or persons performing similar functions, regarding the effectiveness of the registrant's disclosure controls and procedures (as defined in §240.13a-15(e) or 240.15d- 15(e) of this chapter) as of the end of the period covered by the report, based on the evaluation of these controls and procedures required by paragraph (b) of §240.13a-15 or 240.15d-15 of this chapter.
§ 229.308 Item 308 - Internal Control over Financial Reporting
1. Management's annual report on internal control over financial reporting. Provide a report of management on the registrant's internal control over financial reporting (as defined in Rule 13a-15(f) or Rule 15d-15(f) under the Exchange Act) that contains:
a. A statement of management's responsibility for establishing and maintaining adequate internal control over financial reporting for the registrant;
b. A statement identifying the framework used by management to evaluate the effectiveness of the registrant's internal control over financial reporting as required by paragraph (c) of Rule 13a-15 or Rule 15d-15 under the Exchange Act;
c. Management's assessment of the effectiveness of the registrant's internal control over financial reporting as of the end of the registrant's most recent fiscal year, including a statement as to whether or not internal control over financial reporting is effective. This discussion must include disclosure of any material weakness in the registrant's internal control over financial reporting identified by management. Management is not permitted to conclude that the registrant's internal control over financial reporting is effective if there are one or more material weaknesses in the registrant's internal control over financial reporting; and
d. A statement that the registered public accounting firm that audited the financial statements included in the annual report containing the disclosure required by this Item has issued an attestation report on management's assessment of the registrant's internal control over financial reporting.
2. Attestation report of the registered public accounting firm. Provide the registered public accounting firm's attestation report on management's assessment of the registrant's internal control over financial reporting in the registrant's annual report containing the disclosure required by this Item.
3. Changes in internal control over financial reporting. Disclose any change in the registrant's internal control over financial reporting identified in connection with the evaluation required by paragraph (d) of Rule 13a-15 or Rule 15d-15 under the Exchange Act that occurred during the registrant's last fiscal quarter (the registrant's fourth fiscal quarter in the case of an annual report) that has materially affected, or is reasonably likely to materially affect, the registrant's
BIJLAGE 6: BALANS EN W&VAXENT/AEGON
ACTIVA Geconsolideerde balans per 31 december 2004 (x 1.000 EURO) PASSIVA
A Immateriële activa 0 A Eigen vermogen
I Gestort en opgevraagd kapitaal 341
B Beleggingen II Agio 12.034
I Terreinen en gebouwen 0 III Herwaarderingsreserve 1.247 II Beleggingen in groepsmaatschappijen
en deelnemingen
0 IV Wettelijke en statutaire reserves 0
III Overige financiële beleggingen 21.617 V Overige reserves 7.041 IV Depots bij verzekeraars 0 VI Onverdeelde winst 0
21.617
Aandeel van derden in groepsmaatschappijen
0
C Beleggingen voor risico van polishouders en
spaarkasbeleggingen
411.149 20.663
D Vorderingen B Achtergestelde schulden 0
I Vorderingen uit directe verzekering op verzekeringnemers
2.679
II Vorderingen uit herverzekering 0 C Technische voorzieningen III Overige vorderingen 74.776 I Voor niet verdiende premies en lopende
risico's
0
IV Van aandeelhouders opgevraagde stortingen
0 II Voor levensverzekering
77.455 a bruto 19.997
b herverzekeringsdeel 7
E Overige activa 0 III Voor te betalen schaden/uitkeringen 0 IV Voor winstdelingen en kortingen 0 V Overige technische voorzieningen 813
F Overlopende activa 94 20.803
G Vermogenstekort van de
Nederlandse vestiging
0 D Technische voorzieningen voor verzekeringen waarbij polishouders het beleggingsrisico dragen en voor spaarkassen
420.209
E Voorzieningen 82
F Depots van herverzekeraars 0
G Schulden 47.155
H Overlopende passiva 1.403
I Vermogensoverschot van de Nederlandse vestiging
0
TOTAAL 510.315 TOTAAL 510.315
Tabel B-1 Geconsolideerde balans per 31 december 2004
Technische rekening levensverzekering per 31 december 2004 (x 1.000 EURO) VERDIENDE PREMIES EIGEN REKENING
Brutopremies 39.323
Uitgaande herverzekeringspremies 64
Wijziging technische voorzieningen niet-verdiende premies eigen rekening 0
39.259 OPBRENGSTEN UIT BELEGGINGEN
Opbrengsten uit deelnemingen 172
Opbrengsten uit andere beleggingen
- terreinen en gebouwen 0
- overige beleggingen 29.090
Waardeveranderingen van beleggingen 0
Gerealiseerde winst op beleggingen 671
29.933
NIET GEREALISEERDE WINST OP BELEGGINGEN 0
OVERIGE TECHNISCHE BATEN EIGEN REKENING -3.053
UITKERINGEN EIGEN REKENING Uitkeringen
bruto 43.393
aandeel herverzekeraars 0
Wijziging voorziening voor te betalen uitkeringen
bruto 0
aandeel herverzekeraars 0
43.393 WIJZIGING OVERIGE TECHNISCHE VOORZIENINGEN EIGEN REKENING
Voorzieningen voor levensverzekering
bruto 14.927
aandeel herverzekeraars 0
overige technische voorzieningen -37
148.90 WINSTDELING EN KORTINGEN
BEDRIJFSKOSTEN
Acquisitiekosten 1.311
Wijziging overlopende acquisitiekosten 0
Beheers- en personeelskosten 4.909
Provisie en winstdeling 0
6.220 BELEGGINGSLASTEN
Beheerskosten en rentelasten -775
Waardeveranderingen van beleggingen 65
Gerealiseerd verlies op beleggingen 0
-710
NIET GEREALISEERD VERLIES OP BELEGGINGEN 0
OVERIGE TECHNISCHE LASTEN EIGEN REKENING 4.051
AAN NIET-TECHNISCHE REKENING TOEGEREKENDE OPBRENGST UIT BELEGGINGEN 140
RESULTAAT TECHNISCHE REKENING LEVENSVERZEKERING -1.845
TOEGEREKENDE OPBRENGST UIT BELEGGINGEN OVERGEBOEKT VAN TECHNISCHE REKENING 140
ANDERE BATEN 629
ANDERE LASTEN 93
RESULTAAT UIT GEWONE BEDRIJFSUITOEFENING VOOR BELASTINGEN -1.169
RESULTAAT UIT GEWONE BEDRIJFSUITOEFENING NA BELASTINGEN -529
Buitengewone baten 0
Buitengewone lasten 0
Belastingen buitengewoon resultaat 0
BUITENGEWOON RESULTAAT NA BELASTING 0
RESULTAAT NA BELASTINGEN -529
Tabel B-2 Technische rekening levensverzekering per 31 december 2004
BIJLAGE 7: INTERN BEHEERSINGSMODEL
AEGON
Beheersingsomgeving
Strategie en doelstellingen geven richting aan het interne beheersingsproces en maken onderdeel uit van de beheersingsomgeving. Het kader dat gevormd wordt door de gekoppelde elementen strategie, bedrijfsplan en budget bepalen de handelingsruimte voor medewerkers. Bevoegdheden en verantwoordelijkheden worden uitgeoefend binnen dit kader.
De strategie van AEGON wordt door Directie Nederland (DN) vastgesteld en sluit aan bij de strategie van de AEGON Groep. De strategie is gericht op risicobeheersing en integer handelen. Aan de hand van maandelijkse rapportages wordt vastgesteld of de activiteiten van de bedrijfsonderdelen conform de strategie worden uitgevoerd. Ieder kwartaal worden de rapportages getoetst aan de budgetten van de bedrijfsonderdelen.
De bedrijfsonderdelen van AEGON zijn bevoegd hun marktbenadering en daaruit voortvloeiende operationele processen zelf in te richten. AEGON kent dan ook vrij
informele en open bedrijfscultuur. Het aantal door DN opgelegde richtlijnen is beperkt. Er dient echter wel op alle gebieden aan vooraf vastgestelde kwaliteitscriteria te worden voldaan en de financiële aansturing vanuit DN is vrij strikt. Veranderende wet- en regelgeving zorgen op een groot aantal gebieden voor verandering richting een meer formele organisatie.
Risicobeheersing
Er vinden binnen AEGON systematische risicoanalyses plaats die gericht zijn op het identificeren, meten en evalueren van alle risico’s en het vaststellen of deze in overeenstemming zijn met de strategie en doelstellingen van de organisatie. Deze analyses worden zowel op AEGON niveau als op het niveau van de bedrijfsonderdelen uitgevoerd. Het risicomanagement is erop gericht de bedrijfsprocessen zo bij te sturen dat risico’s worden verminderd, rekening houdend met:
veranderende interne en externe omstandigheden;
nieuwe processen, diensten en ondersteunende processen; en
toekomstplannen.
Beheersingsmaatregelen
Beheersingsmaatregelen zijn procedures en instructies die waarborgen dat het beleid van de organisatie wordt uitgevoerd. Deze maatregelen zijn op alle niveaus in de organisatie geïntegreerd. De belangrijkste beheersingsmaatregelen worden in onderstaande tabel opgesomd en toegelicht. Uit de beschrijving van de eerste vier maatregelen blijkt duidelijk dat deze elkaar aanvullen en vooral gezamenlijk aan een heldere en volledige beheersingsstructuur bijdragen.
Beheersingsmaatregel Toelichting
Organisatie De organisatie is gebaseerd op effectieve en efficiënte
arbeidsverdeling. Daarbij worden indien nodig bevoegdheden en verantwoordelijkheden overgedragen naar lagere niveaus.
organisatie.
Bevoegdheden De aan medewerkers verleende bevoegdheden passen bij het niveau en de inhoud van de functie.
Functiescheiding Er bestaat een heldere functiescheiding naar zowel functie als naar de aard van de uit te voeren activiteiten.
Systeemcontrole Door geprogrammeerde controles en procedures worden waarden van AEGON beveiligd.
Controlorganisatie Deze bestaat uit management control en financial control. Er wordt gerapporteerd aan de eigen financieel manager en aan DN.
Aansluiting Input en output van transacties en processen worden op elkaar aangesloten.
Beveiliging van activa Geen enkele medewerker heeft individueel toegang tot de activa van AEGON.
Verificatie Het bestaan van gebeurtenissen, transacties en balanswaarden wordt geverifieerd aan de hand van onafhankelijk verkregen bewijs.
Tabel B-3 Beheersingsmaatregelen AEGON Communicatie en informatie
Binnen AEGON is een communicatiestructuur opgezet die voldoende communicatie en informatiestromen mogelijk maakt om de strategie en doelstelling in alle lagen van de organisatie te kunnen realiseren. Het sluitstuk van deze structuur vormt de planning en control cyclus. Door de centrale staf wordt een periodieke risicorapportage opgesteld die ter beschikking wordt gesteld van het Risk Committee. Een welomschreven
klachtenprocedure maakt het voor alle medewerkers mogelijk om vermoedens van fraude en andere klachten eventueel anoniem te melden aan het Audit Committee.
Monitoren
Om het functioneren van de organisatie te kunnen beoordelen zijn diverse monitoring instrumenten ingesteld. De monitoring functie is primair de verantwoordelijkheid van de afdelingshoofden en management teams van de bedrijfsonderdelen. De naleving en toepassing van wet- en regelgeving, voorschriften en richtlijnen wordt beoordeeld door compliance functionarissen. Er bestaat een permanente internal auditfunctie in de vorm van de Internal Audit Groep Nederland (IAG) die rapporteert aan DN. Het hoogste niveau van toezicht wordt uitgevoerd door het Audit Committee van de Raad van
Commissarissen.
BIJLAGE 8: PRINCE2 DEELPROCESSEN
Hoofdproces Deelproces Beschrijving
OP1 Business en projectmanager benoemen
OP2 Projectmanagementteam samenstellen OP3 Projectmanagementteam benoemen
OP4 Projectvoorstel opstellen OP5 Projectaanpak definiëren Opstarten van een project (OP)
OP6 Initiatiefaseplan opstellen IP1 Kwaliteitsplan opstellen IP2 Project plannen
IP3 Business case en risico’s aanscherpen IP4 Projectbeheersing opzetten
IP5 Projectdossier aanleggen Initiëren van een project (IP)
IP6 Projectinitiatiedocument samenstellen BF1 Werkpakket autoriseren
BF2 Voortgang bewaken
BF3 Projectaandachtspunten verzamelen BF4 Projectaandachtspunten beoordelen BF5 Status fase beoordelen
BF6 Hoofdpunten rapporteren BF7 Corrigerende maatregelen nemen BF8 Aandachtspunten aan de orde stellen Beheersen van een fase (BF)
BF9 Afgerond werkpakket ontvangen MP1 Werkpakket aannemen
MP2 Werkpakket uitvoeren Managen productoplevering (MP)
MP3 Werkpakket opleveren MF1 Faseplan opstellen MF2 Projectplan actualiseren MF3 Business case actualiseren MF4 Risicologboek actualiseren MF5 Faseafsluiting rapporteren Managen faseovergangen (MF)
MF6 Afwijkingsplan opstellen AP1 Project afbouwen
AP2 Vervolgacties identificeren Afsluiten van een project (AP)
AP3 Project evalueren PL1 Plan ontwerpen
PL2 Producten definiëren en analyseren
PL3 Activiteiten en afhankelijkheden identificeren PL4 Schatting maken
PL5 Tijdschema opstellen PL6 Risico’s analyseren Planning (PL)
PL7 Projectplan voltooien DP1 Projectinitiatie autoriseren DP2 Project autoriseren
DP3 Fase- of afwijkingsplan autoriseren DP4 Ad hoc sturing geven
Dirigeren van een project (DP)
DP5 Projectafsluiting bevestigen Tabel B-4 PRINCE2 deelprocessen
BIJLAGE 9: PRINCE2 PROCESMODEL
Figuur B-2 PRINCE2 procesmodel
Bron: http://www.pugnl.nl
BIJLAGE 10: PROJECTPLAN HERMAN SPAARKAS
COMPLIANCE
Achtergrond en definities
De Sarbanes-Oxley Act of 2002 verplicht AEGON haar activiteiten conform de eisen van deze wet uit te voeren. Daardoor dient AEGON een intern beheersingsproces te
installeren en over de effectiviteit daarvan te rapporteren. Dit proces en de rapportage dienen door de externe accountant van een onafhankelijk oordeel te worden voorzien.
Bovendien dienen de in het jaarverslag gepresenteerde financiële gegevens te worden gecertificeerd.
Alle bedrijfsprocessen die een belangrijke invloed hebben op één of meer significante rekeningen in het jaarverslag van AEGON dienen te worden geïnventariseerd en van internal controls te worden voorzien. Inmiddels is vastgesteld dat het project Herman Spaarkas aan de door SOX gestelde eisen dient te voldoen. Het deelproject Herman Spaarkas Compliance (DHC) waarvoor het onderhavige projectplan wordt opgesteld heeft als doel het realiseren van SOX compliance van HSK.
De zakelijke rechtvaardiging voor uitvoering van DHC bestaat uit de wettelijke verplichting aan de door SOX gestelde eisen te voldoen. Naast de door de SEC op te leggen sancties, zal noncompliance naar verwachting ernstige imagoschade in de financiële markten tot gevolg hebben.
Organisatie
Voor de uitvoering van DHC zal een nieuwe werkgroep worden opgericht. Deze projectgroep wordt samengesteld uit leden van de werkgroepen AXENT-SFS, Testen, Financieel/Juridisch en Doelsysteem/HCL. De voorzitter van de werkgroep Organisatie zal als projectmanager optreden. Naast de afdelingen F&C en FAB van AXENT/AEGON zullen de externe accountant, actuaris en EDP auditor gevraagd worden een bijdrage te leveren.
De externe partijen zullen daarbij een zuiver adviserende en controlerende rol hebben.
Het mandaat voor uitvoering van DHC is verstrekt door de afdeling Risk Management van SC-L aan de werkgroep DHC. Daarbij kan geëscaleerd worden naar achtereenvolgens Risk Management van SC-L, Risk Management Nederland, de Internal Audit Groep en het Audit Committee van AEGON N.V..
Aanpak
De Projectgroep SOX Compliance heeft een algemene aanpak geformuleerd aan de hand waarvan de AEGON bedrijfsonderdelen SOX compliance dienen te realiseren. Ook voor SOX compliance van Herman Spaarkas dient deze aanpak te worden gebruikt. Omdat de aanpak is toegespitst op reguliere bedrijfsprocessen, zal het proces en/of de inhoud van een aantal fasen aangepast dienen te worden aan de projectstructuur van HSK.
De algemene aanpak bestaat uit een tiental fasen die in de planning zullen worden toegelicht. In het kader van dit onderzoek is een aantal fasen al doorlopen. De werkgroep DHC dient de resultaten daarvan te vergelijken met de resultaten van een
Kwaliteit
Voor DHC zijn eenduidige kwaliteitscriteria voor de op te leveren producten te
formuleren. Daarbij kunnen de criteria die de PSC heeft geformuleerd als leidraad worden gebruikt. De uiteindelijke test bestaat echter uit een confrontatie van de op te leveren producten met de door SOX gestelde eisen zoals deze zijn uitgewerkt en toegelicht door de SEC en de PCAOB.
Projectplanning
De door de PSC aanpak beschreven fasen hebben telkens als einddoel de oplevering van een welomschreven product. Deze producten bestaan steeds uit een verslag van de wijze waarop de betrokken fase is uitgevoerd en de documentatie van de faseresultaten.
Daarmee sluit de PSC aanpak goed aan op de productgerichte planning die conform de PRINCE2 methodiek dient te worden opgesteld.
Het eindproduct bestaat uit een SOX-dossier dat aan de geformuleerde kwaliteitscriteria voldoet. Dit dossier dient te worden opgeleverd onmiddellijk na afronding van HSK. Het SOX-dossier bestaat uit een verzameling van de in iedere fase opgeleverde
deelproducten. De productgerichte planning voor HCD is opgenomen in Tabel 7-3.
Fase Proces Product Oplevering
1 Identificeren significante rekeningen Documentatie significante rekeningen 01/07/05 2 Beschrijven intern beheersingsmodel Intern beheersingsmodel 01/07/05
3 Opstellen systeemmatrix Systeemmatrix 01/07/05
4 Opstellen procesmatrix Procesmatrix 01/07/05
5 Opstellen procesbeschrijvingen Procesbeschrijvingen 01/07/05
- Opstellen PID ProjectInitiatieDocument 01/07/05
6 Opstellen RiskControlDocuments RCD’s 01/08/05
7 Opstellen TestControlDocuments TCD’s 01/08/05
8 Beschrijven general IT controls Beschrijving general IT controls 01/08/05 9 Testen van controls Testdossiers van alle key controls 15/10/05
110 Rapporteren SOX-dossier 01/11/05
Tabel B-5 Faseplanning deelproject Herman Spaarkas Compliance
De eerste vijf producten en het PID dienen zo spoedig mogelijk te worden opgeleverd, doch uiterlijk op 1 juli 2005. Daarna dienen uiterlijk op 1 augustus 2005 de RCD’s en TCD’s te worden opgeleverd. Op dat moment dienen eveneens alle benodigde
ontbrekende controls te zijn ontworpen en geïmplementeerd. Op 15 oktober worden de laatste proefconversies van HSK afgerond. Om dat moment dienen tevens alle
testdossiers volledig te zijn en te worden opgeleverd. In de testdossiers dienen eventuele tijdens de operationele tests geconstateerde belangrijke imperfecties te worden
gerapporteerd. Tijdens en na de definitieve conversie kunnen de laatste aanvullingen aan het SOX-dossier worden verricht. Op 1 november 2005 dient het SOX-dossier te worden opgeleverd aan de afdeling Risk Management van SC-L.
Een element dat niet in bovenstaande planning is opgenomen, maar wel zo spoedig mogelijk dient te worden uitgevoerd is het leggen van contact met de externe
accountant. Op basis van dit contact dient de accountant zo spoedig mogelijk betrokken te worden bij het ontwerpen, implementeren en testen van internal controls.
Risico's
HCD is succesvol afgerond wanneer op 1 november 2005 een SOX-dossier kan worden opgeleverd dat aan alle kwaliteitseisen voldoet. De belangrijkste bedreiging hiervoor wordt gevormd door de planning van het overkoepelende project Herman Spaarkas. Deze is zeer strikt en vraagt op zeer korte termijn om de oplevering van de belangrijkste producten. Diverse projectmedewerkers ervaren deze planning op dit moment al als niet realiseerbaar. Velen zullen de activiteiten van HCD dan ook als een storende
onderbreking van de eigen productgerichte activiteiten ervaren. Deze onderbreking kan worden ervaren als tijdsverspilling, daar de bijdrage van HCD niet als relevant voor het succes van HSK wordt ervaren. De kans is derhalve groot dat er voor HCD in veel gevallen slechts beperkte medewerking zal worden verleend. Om dit tot een minimum te beperken dienen de betreffende projectmedewerkers en de projectleiding van het belang van HCD te worden doordrongen.
Beheersing
De PRINCE2 methodiek legt voor de beheersing van projecten de nadruk op
management by exception. Daarmee wordt bedoeld dat door de projectleiding alleen wordt ingegrepen wanneer afgeweken wordt of dreigt te worden van de vooraf goedgekeurde planning. Dit betekent dat de planning specifiek genoeg moet zijn om belangrijke afwijkingen te kunnen vaststellen. Daarnaast dienen bij de planning tolerantieniveaus te worden vastgelegd die bepalen in hoeverre het opgeleverde eindproduct van de oorspronkelijke specificaties mag afwijken.
De projectleiding zal aan de hand van periodieke rapportages bepalen of het noodzakelijk is in te grijpen. De periodieke rapportages dienen daarom alle relevante elementen van zowel de planning als de tolerantieniveaus te bevatten. Daarnaast dient gerapporteerd te worden welke knelpunten zich voordoen en welke gevolgen deze kunnen hebben.
Binnen Herman Spaarkas wordt door de werkgroepen en projectmanager al op deze wijze gerapporteerd. Daarbij wordt gebruik gemaakt van een door de Stuurgroep opgesteld format. Voor HCD kan ditzelfde format worden gebruikt.
Documentatie en productbeschrijvingen
Binnen HCD vormen documentatie en producten een onlosmakelijk geheel. De productbeschrijvingen zijn opgesteld door de PSC door het vaststellen van formats waaraan de producten moeten voldoen. De op te leveren producten – en daarmee de documentatie – zijn derhalve al duidelijk omschreven.
