COPRO 23025- versie 1.0 Bijlage 2: Normen en Criteria voor de accountant

COPRO 23025- versie 1.0

Bijlage 2: Normen en Criteria voor de accountant

Algemeen		In dit document zijn de Normen en de Criteria voor de accountant beschreven. De gehanteerde codering en benaming van de taak komt overeen met de codering en benaming in de applicatie Werkprogramma Risicobeheersing Volmachten die voor de Gevolmachtigde Agent en zijn accountant beschikbaar is via xxx.xxxxxxxxxxxxx.xx. De normen en criteria worden elk jaar aangepast aan voortschrijdende inzichten en wensen, zowel vanuit de gebruikerskant (de volmachtgevers en de gevolmachtigde agenten) als vanuit de opstellerskant (Werkgroep Risicobeheersing Gevolmachtigde Agenten). De huidige aanpak dient dan ook als groeimodel gezien te worden, met de intentie om waarde toe te voegen aan het beoordelingstraject (dat meer omvat dan de rapportage van de accountant) tussen de volmachtgever en de gevolmachtigde agent. Bij de versie 2023 is rekening gehouden met de ervaringen die gevolmachtigden, accountants en verzekeraars in het verleden hebben opgedaan met het Werkprogramma. De accountant onderzoekt bij iedere taak hoe de gevolmachtigde agent de betreffende interne controle(s) in het betreffende jaar heeft uitgevoerd zonder hierover een oordeel of conclusie te geven. De werkzaamheden vallen onder de Nederlandse Standaard 4400 en bestaan in hoofzaak uit het vaststellen of de voorgeschreven documentatie aanwezig is, het inwinnen van inlichtingen bij (medewerkers van) de gevolmachtigde agent en het uitvoeren van eigen waarnemingen. Op grond hiervan rapporteert de accountant zijn feitelijke bevindingen. Er zijn 33 taken (72 controles) die de accountant in zijn onderzoek betrekt. Afhankelijk van de frequentie van uitvoering (jaar of kwartaal) kan een taak meerdere interne controles omvatten. De accountant stelt, over het betreffende jaar, vast dat de gevolmachtigde agent in de applicatie Werkprogramma Risicobeheersing Volmachten: De betreffende taken heeft uitgevoerd. Per taak heeft geconcludeerd dat aan de norm wordt voldaan of indien de gevolmachtigde heeft geconcludeerd dat niet aan de norm wordt voldaan, dat deze een vervolgtaak heeft aangemaakt. Indien er een vervolgtaak is aangemaakt, de gevolmachtigde agent de vervolgtaak heeft uitgevoerd met de codering ‘voltooid’. Indien er sprake is van een vervolgactiedatum in het volgende boekjaar dan vermeldt de accountant dat in zijn rapportage. Bij een taak geen gebruik heeft gemaakt van de mogelijkheid om afwijkende beheersmaatregelen te benoemen. Als er gebruik gemaakt wordt van de mogelijkheid om afwijkende beheersmaatregelen te benoemen, dan staat bij de betreffende taak het veld ‘Verklaring GA’ op ‘Ja’. De accountant vermeldt in dat geval in zijn rapportage dat de gevolmachtigde agent gebruik heeft gemaakt van de ‘Verklaring GA’. Ook vermeldt de accountant in zijn rapportage de afwijkende beheersmaatregelen die de gevolmachtigde agent hanteert. De accountant onderzoekt niet of de gevolmachtigde agent aan de afwijkende beheersmaatregelen voldoet. De taak heeft onderbouwd met documenten die de accountant in zijn onderzoek zal betrekken. Deze documenten zijn dan geüpload in de applicatie. Indien deze documenten ontbreken, mag de gevolmachtigde agent ook op andere wijze informatie verstrekken. De accountant geeft in dat geval in zijn rapportage aan dat (een deel van) de informatie op andere wijze door de gevolmachtigde agent is verstrekt en dat de bevinding niet (geheel) gebaseerd is op de bij de interne controle taak beschikbare documenten. Ook voert de accountant de werkzaamheden uit die vermeld staan in de kolom ‘Werkzaamheden van de Accountant’. Daar waar in deze bijlage wordt vermeld ‘waarneming’ is geen sprake van een statistische steekproef of integrale waarneming. De accountant beslist zelf hoeveel waarnemingen er worden uitgevoerd. Bijlage 4 geeft het minimumaantal waarnemingen, het feitelijk aantal waarnemingen bepaalt de accountant afhankelijk van de premieomvang bij een gevolmachtigde agent. Hierbij geldt het principe van comply or explain: indien de accountant kiest voor een ander aantal waarnemingen dan in de tabel van bijlage 4 is genoemd, dan licht hij dit toe in zijn rapport van feitelijke bevindingen. De wijze van selecteren en de omvang van het aantal uitgevoerde waarnemingen vermeldt de accountant in zijn rapportage. De waarnemingen zijn constateringen op zichzelf, zij hebben niet tot doel om op grond hiervan extrapolaties te maken, oordelen te geven of conclusies te trekken. Dit wordt overgelaten aan de gebruikers van het rapport van feitelijke bevindingen. De werkgroep adviseert aan gevolmachtigde agenten om de interne controles uit te voeren over de juiste periode. Voor de kwartaaltaken wordt geadviseerd om de periodes Q4 vorig jaar en Q1, Q2 en Q3 verslag jaar, of de periodes Q1, Q2, Q3 en Q4 verslag jaar te hanteren.
Codering	Taak	Norm voor de Gevolmachtigde Agent1	Werkzaamheden van de Accountant
OJ	Organisatorisch en Juridisch
1. Risicomanagement - beleid
OJ-6	Risicomanagement - beleid	De gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot risicomanagement, hieruit moet blijken op welke manier de gevolmachtigde activiteiten, die betrekking hebben op het beheersen van risico's, vormgeeft en onderdeel maakt van de dagelijkse processen en bedrijfsvoering. Dit proces moet mede als doel hebben het identificeren van mogelijke risico's, het bepalen van de impact van deze risico's, rapporteren hiervan en toepassen van nodige beheersmaatregelen. De gevolmachtigde agent beschikt over een risicoregister en heeft (ten minste) de volgende risico’s geïnventariseerd, geanalyseerd en beoordeeld: kwetsbaarheid van medewerkers op sleutelposities; afhankelijkheid van bepaalde klanten; afhankelijkheid van bepaalde verzekeraars; overige belangrijke afhankelijkheden.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot risicomanagement. De accountant stelt vast dat in de procedurebeschrijving minimaal de navolgende onderwerpen zijn opgenomen: - de wijze waarop de gevolmachtigde agent invulling geeft aan het beheersen van risico’s; - het identificeren van risico’s - het beoordelen van risico’s - het rapporteren over risico’s - het toepassen van beheersmaatregelen. De accountant stelt vast dat de gevolmachtigde agent beschikt over een risicoregister waarin de navolgende risico’s zijn geïnventariseerd, geanalyseerd en beoordeeld (de accountant stelt niet vast dat deze werkzaamheden door de gevolmachtigde agent juist en volledig zijn uitgevoerd): kwetsbaarheid van medewerkers op sleutelposities; afhankelijkheid van bepaalde klanten; afhankelijkheid van bepaalde verzekeraars; overige belangrijke afhankelijkheden. De accountant stelt vast dat de gevolmachtigde agent, bij de risico’s die de gevolmachtigde agent heeft beoordeeld als niet acceptabel, beheersingsmaatregelen heeft geformuleerd (de accountant stelt niet vast dat de geformuleerde beheersingsmaatregelen de risico’s afdoende afdekken) of het risico zichtbaar heeft geaccepteerd.
2. Organisatiestructuur
OJ-7	Organisatiestructuur	De gevolmachtigde agent beschikt over een beschrijving van de AO/IB en organisatiestructuur en heeft deze toegankelijk gemaakt voor de medewerkers. De gevolmachtigde agent beschikt (minimaal) over de volgende documenten: de juridische organisatiestructuur (met vermelding van de UBO’s). Een persoon wordt gezien als een UBO bij een kapitaalbelang (bijvoorbeeld in aandelen of certificaten), stemrechten in de aandeelhoudersvergadering, feitelijke zeggenschap, of in geval de organisatie een stichting of trust een belang als begunstigde van haar vermogen of bijzondere zeggenschap over dat vermogen van 25% of meer. de functionele organisatiestructuur (functies, bevoegdheden per functie en medewerkers met functievermelding). Xxxxxxx moet zijn welke medewerkers belast zijn met volmacht werkzaamheden. de aanwezige volmachten (namen van volmachtgevers en gehanteerde codering in de assurantieapplicatie). De procedurebeschrijvingen die worden vermeld bij de diverse taken die worden getoetst door de accountant.	De accountant stelt vast dat de gevolmachtigde agent beschikt over de volgende documenten, deze hoeft hij niet inhoudelijk te beoordelen: de juridische organisatiestructuur (met vermelding van de UBO’s). Een persoon wordt gezien als een UBO bij een kapitaalbelang (bijvoorbeeld in aandelen of certificaten), stemrechten in de aandeelhoudersvergadering, feitelijke zeggenschap, of in geval de organisatie een stichting of trust een belang als begunstigde van haar vermogen of bijzondere zeggenschap over dat vermogen van 25% of meer. de functionele organisatiestructuur (functies, bevoegdheden per functie en medewerkers met functievermelding). Xxxxxxx moet zijn welke medewerkers belast zijn met volmacht werkzaamheden. de aanwezige volmachten (namen van volmachtgevers en gehanteerde codering in de assurantieapplicatie) de procedurebeschrijving met betrekking tot risicomanagement (zie ook taak OJ-6) het calamiteitenplan en/of business continuïteitsplan (zie ook OJ-22) de procedurebeschrijving met betrekking tot de uitbesteding van volmachtwerkzaamheden (zie ook taak OJ-24) de procedurebeschrijving voor acceptatie van verzekeringen (zie ook taak ACC-1) de procedurebeschrijving fraudedetectie in het acceptatieproces (zie ook taak ACC-5) de procedurebeschrijving met betrekking tot het opvragen en verwerken van naverrekenings/actualisatiegegevens (zie ook taak ACC-19) de procedurebeschrijving met betrekking tot het royeren van polissen (zie ook taak ACC-32) de procedurebeschrijving met betrekking tot de behandeling van schaden (zie ook taak SCH-1) de procedurebeschrijving met betrekking tot het bewaken van de voortgang van schaden (zie ook SCH-1) de procedurebeschrijving met betrekking tot het hanteren en actualiseren van schadereserves op schaden (zie ook taak SCH-2) de procedurebeschrijving met betrekking tot het inschakelen van experts (zie ook taak SCH-3) de procedurebeschrijving met betrekking tot het vaststellen van de omvang van de schade bij schaden waarvoor geen expert hoeft te worden ingeschakeld (zie ook taak SCH-3) de procedurebeschrijving met betrekking tot het fiatteren van schadeboekingen (zie ook taak SCH-9) de procedurebeschrijving met betrekking tot het overdragen van schaden aan de volmachtgever (zie ook taak SCH-4) de procedurebeschrijving fraudedetectie in het schadebehandelingsproces (zie ook taak SCH-12) de procedurebeschrijving met betrekking tot de behandeling. Vaststellen en registratie van coulance-uitkeringen (zie ook taak SCH-13) een overzicht van applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers (zie ook AUT-1) het informatiebeveiligingsbeleid (zie ook taak AUT-1) de procedurebeschrijving met betrekking tot het toekennen van gebruikersaccounts en gebruikersrechten (zie ook taak AUT-1) de procedurebeschrijving met betrekking tot wijzigingen in de inrichting van applicaties (zie ook taak AUT-2) de procedurebeschrijving met betrekking tot het veiligstellen van data (zie ook taak AUT-3) beleid met betrekking tot de bewustwording van geautoriseerde gebruikers van veiligheidsrisico’s (zie ook AUT-5) beleid met betrekking tot het veilig gebruiken van hard- en software en media (zie ook AUT-5) de procedurebeschrijving met betrekking tot het toekennen van gebruikersaccounts (zie ook taak AUT-6) de procedurebeschrijving met betrekking tot het toekennen van gebruikersrechten (zie ook taak AUT-6) een overzicht van accounts die niet tot een individuele gebruiker zijn te herleiden (zie ook taak AUT-6) een overzicht van accounts met beheerdersrechten (zie ook taak AUT-6) een autorisatiematrix (zie ook taak AUT-6) de procedurebeschrijving met betrekking tot de behandeling ICT-incidenten (zie ook taak AUT-10) de procedurebeschrijving met betrekking tot budgetten en prognoses (zie ook taak FIN-1) de procedurebeschrijving met betrekking tot eenmalige boekingen en facturen (zie ook taak FIN-2) de procedurebeschrijving met betrekking tot het bewaken van achterstanden bij het incasseren van verzekeringspremies (zie ook taak FIN-4) de procedurebeschrijving met betrekking tot eventuele overdracht van premievorderingen aan een deurwaarder (zie ook taak FIN-5) de procedurebeschrijving met betrekking tot de excasso van premie- en schadeboekingen (zie ook taak FIN-9) De accountant stelt bij wijze van waarneming vast dat deze documenten voor de medewerkers met volmacht werkzaamheden toegankelijk zijn en dat zij kennis kunnen nemen van de inhoud.
3. Functiescheiding
OJ-10	Functiescheiding	De gevolmachtigde agent past functiescheidingen toe waarbij ‘acceptatie’, ‘schade’ en ‘financieel’ strikt gescheiden zijn. De gevolmachtigde agent toetst periodiek of de medewerkers met volmacht werkzaamheden binnen hun bevoegdheden handelen.	De accountant stelt vast dat in de beschreven functionele organisatiestructuur (functies, bevoegdheden per functie en medewerkers met functievermelding) er geen medewerkers met volmachtwerkzaamheden zijn die belast zijn met werkzaamheden op twee of meer van de functiegebieden acceptatie-, schadebehandeling en financiële werkzaamheden. De accountant stelt vast dat de gevolmachtigde agent (minimaal 1x per jaar) beoordeelt of medewerkers met volmachtwerkzaamheden binnen hun bevoegdheden handelen. Documenten waaruit deze beoordeling en een eventuele opvolging door de gevolmachtigde agent blijkt zijn voor de accountant beschikbaar.
4. Calamiteitenplan
OJ-22	Calamiteitenplan	De gevolmachtigde agent beschikt over een calamiteitenplan en/of business continuïteitsplan. In dit plan is beschreven hoe de bedrijfsvoering van de gevolmachtigde agent kan worden hervat in geval van een ernstige bedrijfsonderbreking door een calamiteit. Het calamiteitenplan en/of business continuïteitsplan is minimaal gebaseerd op de NVGA-checklist ‘Checklist calamiteiten’. Het gaat hier om plannen die er op gericht zijn om in geval van een calamiteit effectief en efficiënt te reageren op de ontstane situatie (hervatten van de bedrijfsvoering). Voor deze plannen worden in de praktijk verschillende benamingen gehanteerd. De maatregelen die de gevolmachtigde agent treft zijn erop gericht dat in geval van een calamiteit: sprake is van maximaal 24 uur dataverlies (applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers); de organisatie binnen 24 uur bereikbaar is (communicatiemiddelen); de organisatie binnen 48 uur operationeel is met betrekking tot het gebruik van de computer en de verzekeringstechnische bestanden; de organisatie binnen 1 week haar volmachtwerkzaamheden kan hervatten. De gevolmachtigde agent beoordeelt minimaal 1x per jaar of het calamiteitenplan en/of business continuïteitsplan nog voldoet aan de (laatste) NVGA-checklist 'Checklist calamiteiten’.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een calamiteitenplan en/of business continuïteitsplan. De accountant stelt vast dat in dit plan wordt beschreven hoe de gevolmachtigde agent heeft georganiseerd dat in geval van een calamiteit: er sprake is van maximaal 24 uur dataverlies (applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers). Zie taak AUT-1 voor het overzicht van deze applicaties; de organisatie binnen 24 uur bereikbaar is (communicatiemiddelen); de organisatie binnen 48 uur operationeel is met betrekking tot het gebruik van de computer en de verzekeringstechnische bestanden; de organisatie binnen 1 week haar volmachtwerkzaamheden kan hervatten. De accountant stelt vast dat de gevolmachtigde agent het calamiteitenplan en/of business continuïteitsplan heeft beoordeeld of het plan minimaal voldoet aan de NVGA-checklist ‘Checklist calamiteiten’. Documenten waaruit blijkt dat de gevolmachtigde agent deze beoordeling heeft uitgevoerd zijn voor de accountant beschikbaar en maximaal 12 maanden oud. De accountant stelt niet vast dat de beoordeling van het calamiteitenplan en/of business continuïteitsplan door de gevolmachtigde agent juist en volledig is uitgevoerd.
5. Uitbesteding - selectie - aanstelling
OJ-24	Uitbesteding - selectie - aanstelling	De gevolmachtigde agent heeft geïnventariseerd of er volmacht-werkzaamheden (inclusief de hieraan gerelateerde werkzaamheden) zijn onder uitbesteed en zo ja welke werkzaamheden dit zijn. Als er door de gevolmachtigde agent volmachtwerkzaamheden zijn onder uitbesteed: De gevolmachtigde agent beschikt over een beschrijving van de procedure uitbesteding. De gevolmachtigde agent beschikt per partij waaraan is uitbesteed over een risicoanalyse. De gevolmachtigde agent beschikt per volmachtgever over documentatie waaruit blijkt dat de volmachtgever heeft ingestemd met de uitbesteding. Uitbesteding van volmachtwerkzaamheden omvat bijvoorbeeld het hosten van de assurantieapplicatie bij een serviceprovider (Platform as a Service) en het uitbesteden van acceptatie- en schadebehandelings werkzaamheden door een koppeling met een extern systeem voor geautomatiseerde acceptatie of schadebehandeling.	De werkzaamheden van de accountant met betrekking tot de taken OJ-24 en OJ-25 (5 en 6) kunnen gecombineerd worden uitgevoerd. De accountant stelt door het inwinnen van inlichtingen vast of de gevolmachtigde agent heeft geïnventariseerd of er volmacht-werkzaamheden (inclusief de hieraan gerelateerde werkzaamheden) zijn uitbesteed en zo ja welke werkzaamheden dit zijn. Als er door de gevolmachtigde agent volmachtwerkzaamheden zijn uitbesteed: De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot de uitbesteding van volmachtwerkzaamheden. De accountant stelt bij wijze van waarneming vast dat de gevolmachtigde agent bij een partij waaraan is uitbesteed beschikt over een risicoanalyse. De accountant stelt bij wijze van waarneming vast dat de volmachtgevers hebben ingestemd met de uitbesteding van volmachtwerkzaamheden. Documenten waaruit de instemming van de volmachtgevers blijkt zijn voor de accountant beschikbaar (bijvoorbeeld een bevestigingsbrief, e-mail of addendum op de volmachtovereenkomst).
6. Uitbesteding
OJ-25	Uitbesteding	De gevolmachtigde agent beschikt over een schriftelijke overeenkomst/servicelevel agreement (SLA) met de partij aan wie is onder uitbesteed. In dit document wordt aandacht besteed aan: performance aspecten beheerste en integere bedrijfsvoering aspecten exit-afspraken. Als er naar aanleiding van de onder uitbesteding aanvullende eisen zijn gesteld door de volmachtgever, die betrekking hebben op de contractuele relatie tussen de gevolmachtigde agent en de partij waaraan is uitbesteed, dan heeft de gevolmachtigde agent hieraan invulling gegeven. De gevolmachtigde agent ziet toe op de naleving van afspraken die zijn vastgelegd in de overeenkomst en/of het servicelevel agreement (SLA) met de partij aan wie is onder uitbesteed. De gevolmachtigde agent evalueert tenminste eenmaal per jaar deze afspraken.	1. De accountant stelt door het inwinnen van inlichtingen vast of de gevolmachtigde agent heeft geïnventariseerd of er volmacht-werkzaamheden (inclusief de hieraan gerelateerde werkzaamheden) zijn uitbesteed en zo ja welke werkzaamheden dit zijn. Als er door de gevolmachtigde agent volmachtwerkzaamheden zijn uitbesteed: De accountant stelt vast dat de gevolmachtigde agent beschikt over een schriftelijke overeenkomst/service level agreement (SLA) met de partij aan wie is uitbesteed. De accountant stelt vast dat in dit document de navolgende onderwerpen zijn vermeld: performance aspecten beheerste en integere bedrijfsvoering aspecten exit-afspraken. De accountant stelt door het inwinnen van inlichtingen vast of volmachtgevers aanvullende eisen hebben gesteld aan de uitbesteding van werkzaamheden. De accountant stelt bij wijze van waarneming vast dat de gevolmachtigde agent een beoordeling op de partij waaraan is uitbesteed heeft uitgevoerd met betrekking tot de naleving van de afspraken die zijn vastgelegd in de overeenkomst en/of het service level agreement (de accountant stelt niet vast dat de beoordelings-criteria die de gevolmachtigde agent hanteert juist en volledig zijn). De accountant vermeldt welke (externe) rapportages de gevolmachtigde agent gebruikt bij zijn beoordeling van de partij waaraan is uitbesteed. Bijvoorbeeld een rapport van bevindingen van een accountant, een ISAE 3402 rapportage of een ISO 27001 certificering maar ook aan (audit)rapportages van de gevolmachtigde agent of de partij aan wie hij heeft uitbesteed. Als er door een volmachtgever aanvullende eisen zijn gesteld, die betrekking hebben op de contractuele relatie tussen de gevolmachtigde agent en de partij waaraan is uitbesteed: De accountant stelt bij wijze van waarneming vast dat de gevolmachtigde agent invulling heeft gegeven aan deze aanvullende eisen. Documenten waaruit blijkt dat invulling is gegeven aan de aanvullende eisen van de volmachtgever zijn voor de accountant beschikbaar.
ACC	Acceptatie
7. Procedure - acceptatie
ACC-1	Procedure - acceptatie	De gevolmachtigde agent beschikt over een procedure voor de acceptatie van verzekeringen met processtappen en controlemomenten. Deze bevat minimaal de volgende onderdelen: Acceptatie van een aanvraag of wijziging door een daartoe bevoegde medewerker; Naleving acceptatielimieten volmachtovereenkomst; Naleving acceptatierichtlijnen volmachtgever; Controleprocedure: Met een steekproef en/of 4-ogen worden polissen gecontroleerd door een andere medewerker dan de medewerker die de polis heeft opgemaakt; Fiattering van het polisblad door een daartoe bevoegde medewerker; Screening in de CIS databank; Acceptatie slotvragen worden gesteld; Controle op gebruik van fraudeindicatoren; Afgifte polisblad binnen 8 werkdagen. De gevolmachtigde agent voert minimaal ieder kwartaal een waarneming uit op acceptatie- en mutatiedossiers.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving voor de acceptatie van verzekeringen met processtappen en controlemomenten. De accountant stelt vast dat in de procedurebeschrijving (dit kunnen meerdere documenten zijn) is opgenomen: dat een aanvraag of wijziging door een daartoe bevoegde medewerker wordt geaccepteerd; de naleving van de acceptatielimieten in de volmachtovereenkomst; de naleving van de acceptatierichtlijnen van de volmachtgever; dat de verzekeringnemer wordt getoetst op basis van de CIS databank; dat de verzekeringnemer wordt getoetst aan de sanctiewet (natuurlijke personen, rechtspersonen en de UBO’s van rechtspersonen); dat (minimaal) de slotvragen uit het aanvraagformulier worden gesteld; dat er in het acceptatieproces aandacht wordt gegeven aan fraudedetectie; dat met een dagelijkse steekproef en/of de toepassing van het 4-ogen principe het polisblad wordt gecontroleerd door een andere medewerker dan de medewerker die het polisblad heeft opgemaakt; dat het polisblad wordt gefiatteerd door een daartoe bevoegde medewerker; dat het polisblad wordt afgegeven binnen 8 werkdagen na definitieve acceptatie. De accountant stelt vast dat de gevolmachtigde agent in ieder kwartaal een waarneming heeft uitgevoerd op acceptatie- en mutatiedossiers (geen royementen). De accountant vraagt bij de gevolmachtigde agent een overzicht op van nieuwe polissen en wijzigingen (geen royementen) die de gevolmachtigde agent in haar (kwartaal) waarnemingen heeft betrokken. Het aantal dossiers vermeldt de accountant in zijn rapportage. De accountant stelt bij wijze van waarneming op nieuwe polissen en wijzigingen die ook door de gevolmachtigde agent in haar (kwartaal) waarnemingen zijn betrokken, vast dat: een aanvraag/wijziging is geaccepteerd door een daartoe bevoegde medewerker; de acceptatielimieten uit de volmachtovereenkomst zijn nageleefd; de acceptatierichtlijnen van de volmachtgever zijn nageleefd; het polisblad is gecontroleerd door een andere medewerker dan de medewerker die de polis heeft opgemaakt of dat deze controle dagelijks op basis van een steekproef wordt uitgevoerd; het polisblad is gefiatteerd door een daartoe bevoegde medewerker. Als er geen waarnemingen zijn uitgevoerd door de gevolmachtigde agent, dan vermeldt de accountant dit als bevinding in zijn rapportage. De waarneming in ieder kwartaal door de gevolmachtigde agent betreft niet de dagelijkse controle door de gevolmachtigde agent op de kwaliteit van nieuwe polissen en wijzigingen op basis van het 4-ogen principe of op basis van een steekproef. Indien er sprake is van polissen die volledig geautomatiseerd (Straight Through Processing – STP) worden geaccepteerd en waarbij geen sprake is van uitval of andersoortige tussenkomst van een acceptant of polisopmaker, dan hoeft op deze polissen geen dagelijkse steekproef en/of toepassing van het 4-ogen principe plaats te vinden. Ook mogen deze polissen buiten de selectie blijven voor de waarneming door de gevolmachtigde agent in ieder kwartaal. Wel dienen deze polissen als zodanig herkenbaar geadministreerd te worden in de assurantieapplicatie. Verondersteld wordt dat het STP-proces bij andere taken in het Werkprogramma Risicobeheersing Volmachten wordt behandeld.
8. Fraudebeoordeling bij acceptatie
ACC-10	Fraudebeoordeling bij acceptatie	De gevolmachtigde agent heeft het fraudebeleid vastgelegd. De gevolmachtigde agent beschikt over een procedure fraudedetectie in het acceptatieproces waarin minimaal is opgenomen: dat elk vermoeden van fraude wordt getoetst aan de risico- en onderzoeksindicatoren conform het Spoorboekje Fraudebeheersing; dat (mogelijke) fraude in het acceptatieproces, wordt gemeld bij de fraude contactpersoon van de gevolmachtigde agent; dat (mogelijke) fraude in het acceptatieproces wordt geregistreerd in het frauderegister van de gevolmachtigde agent. dat een (mogelijke) fraude in het acceptatieproces (inclusief EVR meldingen), gesignaleerd conform de checklist uit het Spoorboekje Fraudebeheersing, binnen 3 werkdagen wordt gemeld bij de volmachtgever.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving fraudedetectie in het acceptatieproces. De accountant stel vast dat in de procedurebeschrijving is opgenomen: dat elk vermoeden van fraude wordt getoetst aan de risico- en onderzoeksindicatoren conform het Spoorboekje Fraudebeheersing; dat (mogelijke) fraude in het acceptatieproces, wordt gemeld bij de fraude contactpersoon van de gevolmachtigde agent; dat (mogelijke) fraude in het acceptatieproces wordt geregistreerd in het frauderegister van de gevolmachtigde agent en dat een (mogelijke) fraude in het acceptatieproces (inclusief Extern Verwijzings Register meldingen), gesignaleerd conform de checklist uit het Spoorboekje Fraudebeheersing, binnen 3 werkdagen wordt gemeld bij de volmachtgever. De accountant stelt bij wijze van waarneming vast dat het Spoorboekje Fraude en de scorelijsten Fraude indicatoren beschikbaar zijn voor de medewerkers met acceptatie werkzaamheden en dat zij hiervan gebruik kunnen maken. De accountant stelt door het houden van een interview vast dat fraude in het acceptatieproces wordt gesignaleerd en gemeld bij de fraude contactpersoon van de gevolmachtigde agent. De accountant interviewt hiervoor minimaal één medewerker met acceptatiebevoegdheden. De accountant vermeldt in zijn rapportage, naast zijn bevindingen, het aantal medewerkers dat geïnterviewd is. De accountant stelt door het houden van een interview vast dat de gevolmachtigde agent beschikt over een fraude register. De accountant interviewt hiervoor de fraude contactpersoon van de gevolmachtigde agent en vraagt om het register met de registraties te tonen. De accountant stelt bij wijze van waarneming vast (op de registraties in het fraude register) dat de gevolmachtigde agent binnen 3 werkdagen na het signaleren van de (mogelijke) fraude (inclusief Extern Verwijzings Register meldingen), deze (mogelijke) fraude heeft gemeld bij de volmachtgever. Documenten waaruit blijkt dat er bij de volmachtgever gemeld is, zijn voor de accountant beschikbaar (bijvoorbeeld een e-mail of bevestiging van de volmachtgever). Gezien het vertrouwelijke karakter van het register is het niet noodzakelijk dat de accountant documenten in relatie tot de betreffende frauderegistratie opvraagt voor archiveringsdoeleinden. De werkzaamheden van de accountant met betrekking tot de twee laatste punten kunnen door de accountant gecombineerd worden met werkzaamheden die uitgevoerd worden bij taak SCH-12 (onder 17. Fraudebeoordeling bij schade).
9. Naverrekeningen / Actualisaties
ACC-19	Naverrekeningen / Actualisaties	De gevolmachtigde agent beschikt over een procedure met betrekking tot het uitvoeren van naverrekeningen/actualisaties op polissen. De gevolmachtigde agent controleert, voordat de naverrekening/actualisatie cyclus start, of polissen die voor naverrekening/actualisatie in aanmerking komen ook als zodanig staan geregistreerd in de daarvoor bestemde systemen. De gevolmachtigde agent vraagt jaarlijks (de frequentie is afhankelijk van de polisvoorwaarden van een individuele polis) de voor naverrekening/actualisatie benodigde informatie op bij de verzekeringnemers of diens bemiddelaar. De gevolmachtigde agent verwerkt ontvangen naverrekenings-/actualisatie gegevens door het opmaken van een naverrekeningsaanhangsel met premieverrekening, een actualisatieaanhangsel of een brief waaruit blijkt dat er niet zal worden naverrekend/geactualiseerd. De gevolmachtigde agent controleert of het jaarlijkse naverrekenings-/actualisatieproces volledig is uitgevoerd.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het opvragen en verwerken van naverrekenings/actualisatiegegevens. De accountant stelt door het inwinnen van inlichtingen vast dat de gevolmachtigde agent heeft gecontroleerd dat polissen die voor naverrekening/actualisatie in aanmerking komen ook als zodanig staan geregistreerd. Documenten waaruit blijkt dat de gevolmachtigde agent deze controle heeft uitgevoerd zijn voor de accountant beschikbaar. De accountant stelt niet vast dat de gevolmachtigde agent deze controle juist en volledig heeft uitgevoerd. De accountant vraagt bij de gevolmachtigde agent een overzicht op van de voor naverrekening/actualisatie in aanmerking komende polissen. Het aantal polissen vermeldt de accountant in zijn rapportage. De accountant stelt niet vast dat dit overzicht juist en volledig is. De accountant vraagt bij de gevolmachtigde agent een overzicht op van de polissen waarvan het naverrekenings-/actualisatieproces is afgerond. Het aantal polissen vermeldt de accountant in zijn rapportage. De accountant stelt niet vast dat dit overzicht juist en volledig is. De accountant stelt bij wijze van waarneming vast (bij de polissen waarvan volgens de gevolmachtigde het naverrekenings-/actualisatieproces is afgerond) dat de naverrekenings-/actualisatiegegevens zijn opgevraagd en dat de gevolmachtigde agent op basis van deze gegevens een naverrekenings-/actualisatieaanhangsel (met premieverrekening) heeft opgemaakt of een brief waaruit blijkt dat er niet zal worden naverrekend/geactualiseerd. De accountant stelt door het inwinnen van inlichtingen vast dat de gevolmachtigde agent heeft gecontroleerd of het jaarlijks naverrekenings-/actualisatieproces volledig is uitgevoerd. Documenten waaruit blijkt dat de gevolmachtigde agent deze controle heeft uitgevoerd zijn voor de accountant beschikbaar. De accountant stelt niet vast dat de gevolmachtigde agent deze controle juist en volledig heeft uitgevoerd.
10. Interne kwaliteitscontrole - betrouwbaarheid polisgegevens bij acceptatie
ACC-24	Interne kwaliteitscontrole - betrouwbaarheid polisgegevens bij acceptatie	De gevolmachtigde agent controleert of polissen op een juiste wijze worden geaccepteerd en opgemaakt.	De accountant stelt door het inwinnen van inlichtingen vast welke controles de gevolmachtigde agent toepast met betrekking tot het op een juiste wijze accepteren en opmaken van polissen (bijvoorbeeld het toepassen van het vierogenprincipe en/of het uitvoeren van interne waarnemingen) en vermeldt deze controles in zijn rapportage. Documenten waaruit blijkt welke controles de gevolmachtigde agent toepast zijn voor de accountant beschikbaar (bijvoorbeeld een procesbeschrijving).
11. Royementen
ACC-32	Royementen	De gevolmachtigde agent beschikt over een procedure beschrijving met betrekking tot het royeren van polissen. De gevolmachtigde agent verstrekt na een royement verzoek, uiterlijk binnen 14 dagen na ontvangst van het verzoek van de klant, een bericht aan de klant. De gevolmachtigde agent verstrekt een correct en volledig royementsaanhangsel. De gevolmachtigde agent verzorgt de registratie in Roy-data en de eventuele registratie in de CIS-databank. De gevolmachtigde voert een waarneming uit op royementdossiers. Het betreft hier niet de dagelijkse controle door de gevolmachtigde agent op de kwaliteit van uitgevoerde royementen.	De accountant gaat na of de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het royeren van polissen. De accountant stelt vast dat de gevolmachtigde agent in ieder kwartaal een waarneming heeft uitgevoerd op royementdossiers. De accountant vraagt bij de gevolmachtigde agent een overzicht op van royementen die de gevolmachtigde agent in haar waarneming heeft betrokken. Het aantal dossiers vermeldt de accountant in zijn rapportage. De accountant stelt bij wijze van waarneming op geroyeerde polissen die ook door de gevolmachtigde agent in haar waarneming zijn betrokken, vast dat: een royementsverzoek binnen 14 kalenderdagen na ontvangst van het verzoek is bevestigd aan de klant; er een royementsaanhangsel is aangemaakt; eventuele schadevrije jaren zijn geregistreerd bij Roy-data; een eventuele registratie in de CIS-databank is uitgevoerd. Als er geen waarnemingen zijn uitgevoerd door de gevolmachtigde agent, dan vermeldt de accountant dit als bevinding in zijn rapportage. De waarneming in ieder kwartaal door de gevolmachtigde agent betreft niet de dagelijkse controle door de gevolmachtigde agent op de kwaliteit van uitgevoerde royementen. Indien er sprake is van polissen die volledig geautomatiseerd (Straight Through Processing – STP) worden geroyeerd en waarbij geen sprake is van uitval of andersoortige tussenkomst van een acceptant of polisopmaker, dan hoeft op deze polissen geen dagelijkse steekproef en/of toepassing van het 4-ogen principe plaats te vinden. Ook mogen deze polissen buiten de selectie blijven voor de waarneming door de gevolmachtigde agent in ieder kwartaal. Wel dienen deze polissen als zodanig herkenbaar geadministreerd te worden in de assurantieapplicatie. Verondersteld wordt dat het STP-proces bij andere taken in het Werkprogramma Risicobeheersing Volmachten wordt behandeld.
SCH	Schade
12. Procedure - schadebehandeling
SCH-1	Procedure - schadebehandeling	De gevolmachtigde agent beschikt over een procedure voor de behandeling van schaden met processtappen en controlemomenten. Deze bevat minimaal de volgende onderdelen: Duidelijkheid over benodigde informatie t.b.v. de behandeling (zoals SAF, mail of omschrijvingen vanuit verzekerde); Aantoonbare premie en dekkingscontrole; Schadereserve beleid voor vaststelling van de eerste schadereserve en periodieke aanpassing van de schadereserve; Expertise en expertisekosten; Herstel van schade in natura; Sanctiewet (UBO, compliancy check) en toetsing via de CIS Databank (zowel voor verzekerden als tegenpartijen); Fraudeaspecten; Naselectie; Uitvoering van interne controle resp. fiattering; Schade is binnen 5 werkdagen na ontvangst van de schademelding ingevoerd in de assurantieapplicatie; Schade is binnen 5 werkdagen na ontvangst van de schademelding door de GA, bevestigd aan de belanghebbende of zijn belangenbehartiger; Schadebetaling vindt plaats binnen 5 werkdagen na het beschikbaar komen van de informatie die nodig is voor de afwikkeling en vaststelling van de schade; Coulance. De gevolmachtigde agent bevestigt de schadebetaling aan de belanghebbende (dit is niet vereist indien er sprake is van het betalen van een factuur aan de partij die de factuur heeft verstuurd of het boeken van het schadebedrag in de rekeningcourant met een bemiddelaar). In de bevestiging wordt het volgende gemeld: Het bedrag dat wordt overgemaakt; Het IBAN waarop wordt overgemaakt. De gevolmachtigde agent voert ieder kwartaal een waarneming uit op schadedossiers De gevolmachtigde agent beschikt over een procedure voortgangsbewaking schadebehandeling.	De werkzaamheden van de accountant met betrekking tot de taken SCH-1, SCH-2, SCH-3 en SCH-9 (12, 13, 14 en 15) kunnen gecombineerd worden uitgevoerd. De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot de behandeling van schaden met processtappen en controlemomenten. De accountant stelt vast dat in de procedurebeschrijving (dit kunnen meerdere documenten zijn) is opgenomen: welke informatie nodig is om een schade te kunnen behandelen (bijvoorbeeld: een volledig ingevuld en ondertekend schadeaangifteformulier of een mailbericht/brief afkomstig van de verzekerde met een duidelijke omschrijving); dat er aantoonbaar een dekkingscontrole wordt uitgevoerd inclusief de beoordeling of de premie (tijdig) is betaald c.q. dat de schade is gevallen in de respijttermijn; het schadereserve beleid voor de vaststelling van de eerste schadereserve en periodieke aanpassing van de schadereserve; het inschakelen van een expert en het betalen van expertisekosten; het omgaan met herstel in natura; dat verzekerden en tegenpartijen worden getoetst aan de sanctiewet (natuurlijke personen, rechtspersonen en de UBO’s van rechtspersonen); dat verzekerden en tegenpartijen worden getoetst op basis van de CIS databank; dat er in het schadebehandelingsproces aandacht wordt gegeven aan fraudedetectie; dat er in het schadebehandelingsproces aandacht wordt gegeven aan naselectie; de uitvoering van interne controle en fiattering; dat een schade binnen 5 werkdagen na ontvangst van de schademelding bij de gevolmachtigde agent wordt ingevoerd in de assurantieapplicatie (het systeem waarin schaden worden behandeld); dat een schade binnen 5 werkdagen na ontvangst van de schademelding bij de gevolmachtigde agent wordt bevestigd aan de belanghebbende of zijn belangenbehartiger; dat een schadeboeking wordt uitgevoerd binnen 5 werkdagen nadat de gevolmachtigde agent over de benodigde informatie beschikt; dat er in het schadebehandelingsproces aandacht wordt gegeven aan coulancebetalingen. De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het bewaken van de voortgang van schaden. De accountant stelt vast dat de gevolmachtigde agent in ieder kwartaal een waarneming heeft uitgevoerd op schadedossiers. De accountant vraagt bij de gevolmachtigde agent een overzicht op van schaden die de gevolmachtigde agent in haar waarneming heeft betrokken. Het aantal dossiers vermeldt de accountant in zijn rapportage. De accountant stelt bij wijze van waarneming op gevallen schaden (schadedatum) in het betreffende jaar, die ook door de gevolmachtigde agent in haar waarneming zijn betrokken, vast dat binnen 5 werkdagen na ontvangst van de schademelding bij de gevolmachtigde agent: de schademelding bij de gevolmachtigde agent is ingevoerd in de assurantieapplicatie (het systeem waarin schaden worden behandeld); de schademelding wordt bevestigd aan de belanghebbende of diens belangenbehartiger. De accountant stelt bij wijze van waarneming op schaden met geboekte schadebedragen (boekdatum) in het betreffende jaar, die ook door de gevolmachtigde agent in haar waarneming zijn betrokken, vast dat: een daartoe bevoegde medewerker heeft beoordeeld of de schadeclaim onder de dekkingsvoorwaarden van de polis valt. de schadeboeking is uitgevoerd binnen 5 werkdagen nadat de gevolmachtigde agent over de benodigde informatie beschikt. de schadebetaling is bevestigd aan de belanghebbende. In de bevestiging wordt onder andere het bedrag dat wordt overgemaakt en (minimaal de laatste 3 cijfers van) het International Bank Account Number (IBAN) waarop wordt overgemaakt, vermeld. Een bevestiging is niet vereist als er sprake is van het betalen van een factuur aan de partij die de factuur heeft verstuurd of het boeken van het schadebedrag in de rekeningcourant met een bemiddelaar. Als er geen waarnemingen zijn uitgevoerd door de gevolmachtigde agent, dan vermeldt de accountant dit als bevinding in zijn rapportage. De waarneming in ieder kwartaal door de gevolmachtigde agent betreft niet de dagelijkse controle door de gevolmachtigde agent op de kwaliteit van schadedossiers. Indien er sprake is van schaden die volledig geautomatiseerd (Straight Through Processing – STP) worden geboekt en betaald en waarbij geen sprake is van uitval of andersoortige tussenkomst van een schadebehandelaar, dan mogen deze boekingen buiten de selectie blijven voor de waarneming door de gevolmachtigde agent in ieder kwartaal. Wel dienen deze schaden/schadeboekingen als zodanig herkenbaar geadministreerd te worden in de assurantieapplicatie. Verondersteld wordt dat het STP-proces bij andere taken in het Werkprogramma Risicobeheersing Volmachten wordt behandeld.
13. Interne kwaliteitscontrole – reservebeleid
SCH-2	Interne kwaliteitscontrole – reservebeleid	De gevolmachtigde agent beschikt over een procedure met betrekking tot het hanteren van schadereserves op schaden. De gevolmachtigde agent voert bij nieuwe schaden een schadereserve in, in de assurantieapplicatie (1e lijns reserve). De schadereserve wordt ingevoerd binnen 5 werkdagen na ontvangst van de schademelding door de gevolmachtigde agent. De gevolmachtigde agent past schadereserves op lopende schaden aan op gewijzigde omstandigheden die invloed hebben op de hoogte van de verwachte schadelast. De aanpassing wordt uitgevoerd binnen 5 werkdagen na het bij de gevolmachtigde agent bekend worden van de gewijzigde omstandigheden.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het hanteren en actualiseren van schadereserves op schaden. De accountant stelt vast dat de gevolmachtigde agent in ieder kwartaal een waarneming heeft uitgevoerd op schadedossiers. De accountant vraagt bij de gevolmachtigde agent een overzicht op van schaden die de gevolmachtigde agent in haar waarneming heeft betrokken. Het aantal dossiers vermeldt de accountant in zijn rapportage. De accountant stelt bij wijze van waarneming op gevallen schaden (schadedatum) in het betreffende jaar, die ook door de gevolmachtigde agent in haar waarneming zijn betrokken, vast dat binnen 5 werkdagen na ontvangst van de schademelding bij de gevolmachtigde agent een schadereserve is ingevoerd. 5. De accountant stelt bij wijze van waarneming op schaden met geboekte schadebedragen (boekdatum) in het betreffende jaar, die ook door de gevolmachtigde agent in haar waarneming zijn betrokken, vast dat een schadereserve aangepast is aan gewijzigde omstandigheden die uit documenten uit het dossier blijken (bijvoorbeeld een rapport van een expert of een opdracht van de volmachtgever) en die invloed hebben op de hoogte van de verwachte schadelast. Een eventuele aanpassing van de schadereserve is uitgevoerd binnen 5 werkdagen nadat de gevolmachtigde agent kennis heeft gekregen van de gewijzigde omstandigheden. Als er geen waarnemingen zijn uitgevoerd door de gevolmachtigde agent, dan vermeldt de accountant dit als bevinding in zijn rapportage. De waarneming in ieder kwartaal door de gevolmachtigde agent betreft niet de dagelijkse controle door de gevolmachtigde agent op de kwaliteit van schadedossiers. Omdat in het Werkprogramma Risicobeheersing Volmachten is aangegeven dat deze taak alleen van toepassing is op de branchesoort ‘Schade’ en niet op ‘Schade en Inkomen’, wordt er door de accountant geen waarneming uitgevoerd op inkomensdossiers. Indien er sprake is van schaden die volledig geautomatiseerd (Straight Through Processing – STP) worden geboekt en betaald en waarbij geen sprake is van uitval of andersoortige tussenkomst van een schadebehandelaar, dan mogen deze boekingen buiten de selectie blijven voor de waarneming door de gevolmachtigde agent in ieder kwartaal. Wel dienen deze schaden/schadeboekingen als zodanig herkenbaar geadministreerd te worden in de assurantieapplicatie. Verondersteld wordt dat het STP-proces bij andere taken in het Werkprogramma Risicobeheersing Volmachten wordt behandeld.
14. Interne kwaliteitscontrole - inschakeling schade experts
SCH-3	Interne kwaliteitscontrole – inschakeling schade experts	De gevolmachtigde agent beschikt over een procedure met betrekking tot het inschakelen van een expert voor het vaststellen van de omvang van de schade (bedragen en partijen). De experts die de gevolmachtigde agent inschakelt moeten, voor zover van toepassing, door de volmachtgever goedgekeurd zijn. Bij inkomensverzekeringen wordt het percentage arbeidsongeschiktheid vastgesteld door een bedrijfsarts. De gevolmachtigde agent beschikt over een procedure met betrekking tot het vaststellen van de omvang van de schade bij schaden waarvoor geen expert hoeft te worden ingeschakeld.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het inschakelen van een expert voor het vaststellen van de omvang van de schade (bedragen en partijen). De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het vaststellen van de omvang van de schade bij schaden waarvoor geen expert wordt ingeschakeld. in ieder kwartaal een waarneming heeft uitgevoerd op schadedossiers. De accountant vraagt bij de gevolmachtigde agent een overzicht op van schaden die de gevolmachtigde agent in haar waarneming heeft betrokken. Het aantal dossiers vermeldt de accountant in zijn rapportage. De accountant stelt bij wijze van waarneming op schaden met geboekte schadebedragen (boekdatum) in het betreffende jaar, die ook door de gevolmachtigde agent in haar waarneming zijn betrokken, vast dat bij schaden boven de expertisegrens het schadebedrag is vastgesteld door een expert die door de volmachtgever is goedgekeurd (voor zover van toepassing). Bij inkomensverzekeringen stelt de accountant vast dat het percentage arbeidsongeschiktheid is vastgesteld door een bedrijfsarts. Als er geen waarnemingen zijn uitgevoerd door de gevolmachtigde agent, dan vermeldt de accountant dit als bevinding in zijn rapportage. De waarneming in ieder kwartaal door de gevolmachtigde agent betreft niet de dagelijkse controle door de gevolmachtigde agent op de kwaliteit van schadedossiers. Indien er sprake is van schaden die volledig geautomatiseerd (Straight Through Processing – STP) worden geboekt en betaald en waarbij geen sprake is van uitval of andersoortige tussenkomst van een schadebehandelaar, dan mogen deze boekingen buiten de selectie blijven voor de waarneming door de gevolmachtigde agent in ieder kwartaal. Wel dienen deze schaden/schadeboekingen als zodanig herkenbaar geadministreerd te worden in de assurantieapplicatie. Verondersteld wordt dat het STP-proces bij andere taken in het Werkprogramma Risicobeheersing Volmachten wordt behandeld.
15. Interne kwaliteitscontrole - betrouwbaarheid schade uitbetaling
SCH-9	Interne kwaliteitscontrole – betrouwbaarheid schade uitbetaling	De gevolmachtigde agent beschikt over een procedure met betrekking tot het fiatteren van schadeboekingen/-uitkeringen. De gevolmachtigde agent laat schadeboekingen/-uitkeringen uitvoeren door daartoe bevoegde medewerkers. De gevolmachtigde agent past het vier-ogen-principe toe op schadeboekingen/-uitkeringen. De gevolmachtigde agent laat schadeboekingen/-uitkeringen fiatteren door daartoe bevoegde medewerkers.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het fiatteren van schadeboekingen/-uitkeringen. De accountant stelt door het inwinnen van inlichtingen vast dat de gevolmachtigde agent het xxxx-xxxx-xxxxxxxx.xx opzet heeft toepast. De accountant stelt van de in de deelwaarneming betrokken schadeboekingen/-uitkeringen vast dat dit vier-ogen-principe is toegepast en rapporteert over deze bevindingen. De accountant stelt vast dat de gevolmachtigde agent in ieder kwartaal een waarneming heeft uitgevoerd op schadedossiers. De accountant vraagt bij de gevolmachtigde agent een overzicht op van schaden die de gevolmachtigde agent in haar waarneming heeft betrokken. Het aantal dossiers vermeldt de accountant in zijn rapportage. De accountant stelt bij wijze van waarneming op schaden met geboekte schadebedragen (boekdatum) in het betreffende jaar, die ook door de gevolmachtigde agent in haar waarneming zijn betrokken, vast dat: de schadeboeking/-uitkering is uitgevoerd door een daartoe bevoegde medewerker; de schadeboeking/-uitkering is gecontroleerd door een andere medewerker dan de medewerker die de boeking heeft aangemaakt (vier-ogen-principe); de schadeboeking/-uitkering is gefiatteerd door een daartoe bevoegde medewerker. Als er geen waarnemingen zijn uitgevoerd door de gevolmachtigde agent, dan vermeldt de accountant dit als bevinding in zijn rapportage. De waarneming in ieder kwartaal door de gevolmachtigde agent betreft niet de dagelijkse controle door de gevolmachtigde agent op de kwaliteit van schadedossiers. Indien er sprake is van schaden die volledig geautomatiseerd (Straight Through Processing – STP) worden geboekt en betaald en waarbij geen sprake is van uitval of andersoortige tussenkomst van een schadebehandelaar, dan hoeft op deze boekingen geen toepassing van het 4-ogen principe plaats te vinden. Ook mogen deze boekingen buiten de selectie blijven voor de waarneming door de gevolmachtigde agent in ieder kwartaal. Wel dienen deze schaden/schadeboekingen als zodanig herkenbaar geadministreerd te worden in de assurantieapplicatie. Verondersteld wordt dat het STP-proces bij andere taken in het Werkprogramma Risicobeheersing Volmachten wordt behandeld.
16. Interne kwaliteitscontrole – overdracht schade
SCH-4	Interne kwaliteitscontrole – overdracht schade	De gevolmachtigde agent beschikt over een procedure met betrekking tot het overdragen van schaden, die de bevoegdheid van de gevolmachtigde agent te boven gaan, aan de volmachtgever. Ten aanzien van letselschades geldt het volgende: Deze schades dienen overgedragen te worden binnen 5 werkdagen na het bekend worden van letsel bij de (schade)behandelaar van de gevolmachtigde agent. De gevolmachtigde agent beschikt over een overzicht van de schaden waarvan de behandeling (deels) is overgedragen aan de volmachtgever of kan hierop selecteren in de assurantieapplicatie. Opdrachten van de volmachtgever met betrekking tot overgedragen schaden worden door de gevolmachtigde agent opgevolgd. Denk hierbij aan de te hanteren schadereserve, het vaststellen van de hoogte van de schade en het uitvoeren van betalingsopdrachten.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het overdragen van schaden aan de volmachtgever. Dit inzake schaden die de bevoegdheid van de gevolmachtigde agent te boven gaan. De accountant stelt vast dat onder andere in de procedurebeschrijving is opgenomen dat letselschaden binnen 5 werkdagen na het bekend worden van het letsel bij de (schade)behandelaar van de gevolmachtigde agent, worden gemeld aan de volmachtgever. De accountant stelt vast dat de gevolmachtigde agent beschikt over een overzicht van de schadedossiers die in behandeling zijn bij een volmachtgever. De accountant vraagt dit overzicht op. Indien de gevolmachtigde agent niet over een dergelijk overzicht beschikt, dan wordt er door de gevolmachtigde agent een selectieoverzicht opgesteld met letselschaden en schaden met een schadebedrag dat de bevoegdheid van de gevolmachtigde agent te boven gaat. De accountant selecteert uit het verstrekte overzicht dossiers waarin sprake is van letselschade. De accountant stelt vast dat de letselschade binnen 5 werkdagen na het bekend worden van het letsel bij de (schade)behandelaar van de gevolmachtigde agent, is gemeld bij de volmachtgever. De accountant selecteert uit het verstrekte overzicht dossiers en per dossier een opdracht tot het aanleggen van een schadereserve en een opdracht tot het uitvoeren van een betaalopdracht. De accountant stelt vast dat deze opdrachten binnen 5 werkdagen na ontvangst van de opdracht door de gevolmachtigde agent, zijn uitgevoerd. Indien de gevolmachtigde agent niet over een totaaloverzicht van de overgedragen schaden beschikt, vermeldt de accountant in zijn rapportage op basis van welke criteria schadedossiers zijn geselecteerd. Omdat in het Werkprogramma Risicobeheersing Volmachten is aangegeven dat deze taak alleen van toepassing is op de branchesoort ‘Schade’ en niet op ‘Schade en Inkomen’, wordt er door de accountant geen waarneming uitgevoerd op inkomensdossiers.
17. Fraudebeoordeling bij schade
SCH-12	Fraudebeoordeling bij schade	De gevolmachtigde agent beschikt over een procedure fraudedetectie in het schadebehandelingsproces waarin minimaal is opgenomen: dat elk vermoeden van fraude wordt getoetst aan de risico- en onderzoeksindicatoren conform het Spoorboekje Fraudebeheersing; dat een (mogelijke) fraude in het schadebehandelingsproces wordt gemeld bij de fraude contactpersoon van de gevolmachtigde agent; dat een (mogelijke) fraude in het schadebehandelingsproces wordt geregistreerd in het frauderegister van de gevolmachtigde agent; dat een (mogelijke) fraude in het schadebehandelingsproces, gesignaleerd conform de checklist uit het Spoorboekje Fraudebeheersing, binnen 3 werkdagen wordt gemeld bij de volmachtgever.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving fraudedetectie in het schadebehandelingsproces. De accountant stel vast dat in de procedurebeschrijving is opgenomen: dat elk vermoeden van fraude wordt getoetst aan de risico- en onderzoeksindicatoren conform het Spoorboekje Fraudebeheersing; dat (mogelijke) fraude in het schadebehandelingsproces, wordt gemeld bij de fraude contactpersoon van de gevolmachtigde agent; dat (mogelijke) fraude in het schadebehandelingsproces wordt geregistreerd in het frauderegister van de gevolmachtigde agent en dat een (mogelijke) fraude in het schadebehandelingsproces (inclusief Extern Verwijzings Register meldingen), gesignaleerd conform de checklist uit het Spoorboekje Fraudebeheersing, binnen 3 werkdagen wordt gemeld bij de volmachtgever. De accountant stelt bij wijze van waarneming vast dat het Spoorboekje Fraude en de scorelijsten Fraude indicatoren beschikbaar zijn voor de medewerkers met schadebehandelingswerkzaamheden en dat zij hiervan gebruik kunnen maken. De accountant stelt door het houden van een interview vast dat fraude in het schadebehandelingsproces wordt gesignaleerd en gemeld bij de fraude contactpersoon van de gevolmachtigde agent. De accountant interviewt hiervoor minimaal één medewerker met schadebehandelingsbevoegdheden. De accountant vermeldt in zijn rapportage, naast zijn bevindingen, het aantal medewerkers dat geïnterviewd is. De accountant stelt door het houden van een interview vast dat de gevolmachtigde agent beschikt over een frauderegister. De accountant interviewt hiervoor de fraude contactpersoon van de gevolmachtigde agent en vraagt om het register met de registraties te tonen. De accountant stelt bij wijze van waarneming vast (op de registraties in het fraude register) dat de gevolmachtigde agent binnen 3 werkdagen na het signaleren van de (mogelijke) fraude (inclusief Extern Verwijzings Register meldingen), deze (mogelijke) fraude heeft gemeld bij de volmachtgever. Documenten waaruit blijkt dat er bij de volmachtgever gemeld is, zijn voor de accountant beschikbaar (bijvoorbeeld een e-mail of bevestiging van de volmachtgever). Gezien het vertrouwelijke karakter van het register is het niet noodzakelijk dat de accountant documenten in relatie tot de betreffende frauderegistratie opvraagt voor archiveringsdoeleinden. De werkzaamheden van de accountant met betrekking tot de twee laatste punten kunnen door de accountant gecombineerd worden met werkzaamheden die uitgevoerd worden bij taak ACC-10 (onder 8. Fraudebeoordeling bij acceptatie).
18. Coulance
SCH-13	Coulance	De gevolmachtigde agent heeft een procedure beschreven met betrekking tot de behandeling en registratie van coulance uitkeringen. In de procedure is opgenomen dat coulance uitkeringen als zodanig herkenbaar in de assurantieapplicatie worden geboekt. In de procedure is opgenomen dat coulance uitkering moeten worden geautoriseerd door een daartoe bevoegde medewerker. De gevolmachtigde agent beschikt met betrekking tot het voorgaande boekjaar over een overzicht met de geboekte coulance uitkeringen.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot de behandeling, vaststelling en registratie van coulance-uitkeringen waarin is opgenomen: dat coulance uitkeringen als zodanig herkenbaar in de assurantieapplicatie worden geboekt. dat coulance uitkering moeten worden geautoriseerd door een daartoe bevoegde medewerker. De accountant vraagt een overzicht op met de geboekte coulance uitkeringen. De accountant stelt bij wijze van waarneming vast dat het bedrag van de geregistreerde coulance uitkeringen valt binnen de bevoegdheden van de gevolmachtigde agent zoals deze is overeengekomen met de volmachtgever. Bij een hoger coulancebedrag dient de toestemming van de volmachtgever om een hoger bedrag uit te keren, uit documenten te blijken (bijvoorbeeld een e-mail van de volmachtgever).
AUT	Automatisering
19. Procedure - automatisering – documentatie
AUT-1	Procedure – automatisering – documentatie	De gevolmachtigde agent heeft applicaties met een verzekeringstechnisch of financieel gevolg voor de volmachtgever(s) geïdentificeerd en heeft een informatiebeveiligingsbeleid rekening houdend met Leidraad IT Risico’s Volmacht. Het informatiebeveiligingsbeleid (IB) bevat minimaal: Organisatie van de informatiebeveiliging Beheer van bedrijfsmiddelen Fysieke beveiliging en beveiliging van de omgeving Beveiliging van apparatuur en informatie Logische toegangsbeveiliging IT incidenten Naleving wet- en regelgeving De GA heeft een procedure beschreven met betrekking tot het toekennen van gebruikersaccounts (inclusief het toekennen van gebruikersrechten) voor de applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers. De GA (laat) test(en) of zijn netwerk afdoende beveiligd is tegen digitale aanvallen van buitenaf. Opslag en bewerking van persoonsgegevens vindt binnen de Europese Economische Ruimte (EER) plaats. Wanneer dit niet het geval is, wordt aantoonbaar voldaan aan de wet- en regelgeving van de Europese Unie op het gebied van databeveiliging en privacybescherming.	De accountant vraagt het overzicht op van applicaties die de gevolmachtigde agent heeft geïdentificeerd als applicatie die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers. De accountant vermeldt deze applicaties in zijn rapportage (bijvoorbeeld de assurantieapplicatie en front-end applicaties voor premieberekening of Straight-through processing). De accountant stelt niet vast dat het overzicht juist en volledig is. De accountant stelt door het inwinnen van inlichtingen vast of er met betrekking tot data in applicaties met verzekeringstechnische of financiële gevolgen voor de volmachtgever, sprake is van hosting, bewerking en/of opslag (inclusief een eventuele back-up) op informatiesystemen van derden. De accountant vermeldt, per applicatie, in zijn rapportage of hiervan sprake is. De accountant stelt door het inwinnen van inlichtingen vast of er met betrekking tot data in applicaties met verzekeringstechnische of financiële gevolgen voor de volmachtgever, sprake is van bewerking en/of opslag van persoonsgegevens buiten de Europese Economische Ruimte (EER). De accountant vermeldt, per applicatie, in zijn rapportage of hiervan sprake is. De accountant stelt vast dat de gevolmachtigde agent beschikt over een informatiebeveiligingsbeleid waarin minimaal de navolgende onderwerpen zijn opgenomen: Organisatie van de informatiebeveiliging Xxxxxx van bedrijfsmiddelen Fysieke beveiliging en beveiliging van de omgeving Beveiliging van apparatuur en informatie Logische toegangsbeveiliging IT incidenten Naleving wet- en regelgeving De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het toekennen van gebruikersaccounts (inclusief het toekennen van gebruikersrechten) voor de applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers. De accountant stelt vast dat de gevolmachtigde agent heeft getest of laten testen dat het netwerk dat bij de gevolmachtigde agent in gebruik is, afdoende is beveiligd tegen digitale aanvallen van buitenaf. Bijvoorbeeld door het (laten) uitvoeren van een test op kwetsbaarheden (penetratietest) door een ethical hacker. Documenten waaruit blijkt dat een dergelijke test is uitgevoerd zijn beschikbaar voor de accountant. De accountant stelt niet vast of de test juist en met voldoende diepgang is uitgevoerd. Indien er met betrekking tot data in applicaties met verzekeringstechnische of financiële gevolgen voor de volmachtgever, sprake is van hosting, bewerking en/of opslag op informatiesystemen van derden: De accountant stelt bij wijze van waarneming vast dat in de overeenkomst met de derde partij is opgenomen dat hosting, opslag en bewerking binnen de Europese Economische Ruimte (EER) plaatsvindt of indien dit niet het geval is, aantoonbaar wordt voldaan aan de wet- en regelgeving van de Europese Unie op het gebied van databeveiliging en privacybescherming. Als er sprake is van bewerking en/of opslag van persoonsgegevens op een informatiesysteem van de gevolmachtigde agent buiten de Europese Economische Ruimte (EER): De accountant stelt vast dat aantoonbaar wordt voldaan aan de wet- en regelgeving van de Europese Unie op het gebied van databeveiliging en privacybescherming.
20. Procedure - automatisering – wijzigingenbeheer
AUT-2	Procedure – automatisering – wijzigingenbeheer	Wijzigingen in de inrichting van applicaties, die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers, volgen een gedocumenteerd proces. Dit gedocumenteerde proces bevat minimaal een lijst van alle applicatiewijzigingen en de goedkeuring van de proceseigenaar op basis van acceptatietest.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot wijzigingen in de inrichting van applicaties, die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers, waarin is opgenomen: dat er bij een wijziging een acceptatietest wordt uitgevoerd. dat de wijziging wordt geautoriseerd door een daartoe bevoegde medewerker. De accountant maakt gebruik van het bij taak AUT-1 opgestelde overzicht van applicaties met verzekeringstechnische of financiële gevolgen voor volmachtgevers. De accountant heeft niet vastgesteld dat dit overzicht juist en volledig is. De accountant vraagt het wijzigingsregister op waarin wijzigingen in de inrichting van applicaties worden vastgelegd. De accountant stelt niet vast dat dit overzicht juist en volledig is. De accountant stelt bij wijze van waarneming vast dat bij de wijzigingen in inrichting van de applicaties (met verzekeringstechnische of financiële gevolgen voor volmachtgevers) er een acceptatietest is uitgevoerd en dat de wijziging is geautoriseerd door een daartoe bevoegde medewerker. Documenten waaruit blijkt dat er acceptatietests worden uitgevoerd en dat wijzigingen worden geautoriseerd zijn voor de accountant beschikbaar. De accountant stelt niet vast dat de acceptatietest juist en volledig wordt uitgevoerd.
21. Interne kwaliteitscontrole – continuïteit
AUT-3	Interne kwaliteitscontrole – continuïteit	Data in applicaties, die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers worden veiliggesteld voor verlies door middel van off-site back-up (gegevens op een andere geografisch gescheiden locatie). In de back-up-procedure is het maximaal te verwachten dataverlies opgenomen. Ten minste één keer per jaar wordt een full-recovery uitgevoerd en maandelijks een deel-recovery. De back-up-procedure is voorzien van een beveiliging die zodanig is ingericht dat persoonsgegevens beschermd zijn (AVG).	De accountant maakt gebruik van het bij taak AUT-1 opgestelde overzicht van applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers. De accountant heeft niet vastgesteld dat dit overzicht juist en volledig is. De accountant stelt door het inwinnen van inlichtingen vast of er, met betrekking tot data in applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers een back-up wordt gemaakt op een andere geografisch gescheiden locatie (off-site back-up). De accountant vermeldt de plaatsnaam van de site en van de off-site locatie in zijn rapportage. De accountant stelt door het inwinnen van inlichtingen vast of er naast de off-site back-up sprake is van andere back-up systematieken. De accountant vermeldt deze systematieken in zijn rapportage. De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het veiligstellen van data in applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers. De accountant vermeldt het in de procedure genoemde maximaal te verwachten dataverlies bij een eventueel gebruik van de off-site back-up in zijn rapportage. De accountant vermeldt de in de back-up procedure genoemde beveiligingsmaatregelen, die in relatie tot de off-site back-up zijn genomen, voor de beveiliging van persoonsgegevens in zijn rapportage. Bijvoorbeeld encryptie van draagbare gegevensdragers voor back-up doeleinden en organisatorische, bouwkundige en elektronische beveiligingsmaatregelen voor het off-site datacenter waarnaartoe de back-up wordt gemaakt. De accountant stelt bij wijze van waarneming vast dat data in applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers wordt veiliggesteld door middel van een off-site back-up. Documenten waaruit blijkt dat er off-site wordt geback-upt, zijn voor de accountant beschikbaar (bijvoorbeeld back-up verslagen). De accountant stelt niet vast dat de back-up juist en volledig is. De accountant stelt bij wijze van waarneming vast dat de gevolmachtigde agent maandelijks de geschiktheid van de off-site back-up van data in applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers heeft getest (deel recovery). Documenten waaruit blijkt dat de off-site back-up wordt getest, zijn voor de accountant beschikbaar (bijvoorbeeld test verslagen). De accountant vermeldt in zijn rapportage de omvang van de test door de gevolmachtigde agent en het resultaat van de test. De accountant stelt niet vast dat de back-up juist en volledig door de gevolmachtigde agent is getest. De accountant stelt bij wijze van waarneming vast dat de gevolmachtigde agent jaarlijks de geschiktheid van de off-site back-up van data in applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers heeft getest (full recovery). Documenten waaruit blijkt dat de off-site back-up wordt getest, zijn voor de accountant beschikbaar (bijvoorbeeld test verslagen). De accountant stelt niet vast dat de back-up juist en volledig door de gevolmachtigde agent is getest.
22. Procedure - automatisering beveiliging
AUT-5	Procedure – automatisering – beveiliging	De gevolmachtigde agent beschikt over over beleid met betrekking tot de bewustwording veiligheidsrisico’s voor geautoriseerde gebruikers (bijv. awareness training) en heeft beleid met betrekking tot het veilig gebruiken van hard- en software en media	De accountant stelt vast dat de gevolmachtigde agent beschikt over een beschreven beleid met betrekking tot de bewustwording van geautoriseerde gebruikers van applicaties met verzekeringstechnische of financiële gevolgen voor de volmachtgever. Dit in relatie tot veiligheidsrisico’s bij het gebruik van dergelijke applicaties en de systemen waarop deze applicaties worden gehost. De accountant stelt vast dat de gevolmachtigde agent beschikt over een beschreven beleid met betrekking tot het veilig gebruiken van hard- en software en media in relatie tot applicaties en data in applicaties met verzekeringstechnische of financiële gevolgen voor de volmachtgever.
23. Bevoegdheden
AUT-6	Bevoegdheden	De gevolmachtigde agent heeft een procedure beschreven met betrekking tot het toekennen van gebruikersaccounts (inclusief het toekennen van gebruikersrechten) voor de applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers. Alle medewerkers en personen van buiten de organisatie aan wie toegang wordt verschaft tot de bedrijfsgegevens via de geautomatiseerde systemen doen dit via individuele accounts die tot de gebruiker zijn te herleiden. De gevolmachtigde agent heeft accounts die niet tot een individuele gebruiker zijn te herleiden geïdentificeerd en de reden waarom dergelijke gebruikersaccounts actief zijn, vastgelegd. De gevolmachtigde agent heeft accounts met beheerdersrechten geïdentificeerd en de reden waarom beheerdersrechten zijn toegekend, vastgelegd. De gevolmachtigde agent beschikt voor applicaties met verzekeringstechnische of financiële gevolgen voor de volmachtgever over een autorisatiematrix.	De werkzaamheden van de accountant met betrekking tot de taken AUT-6 en AUT-7 (23 en 24) kunnen gecombineerd worden uitgevoerd. De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het toekennen van gebruikersaccounts voor de applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers. De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het toekennen van gebruikersrechten voor de applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers. De accountant stelt vast dat de gevolmachtigde agent beschikt over een overzicht van accounts, in applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers, die niet tot een individuele gebruiker zijn te herleiden. De reden waarom dergelijke gebruikersaccounts actief zijn, is vastgelegd in het overzicht. De accountant stelt vast dat de gevolmachtigde agent beschikt over een overzicht van accounts, in applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers, met beheerdersrechten. De reden waarom beheerdersrechten zijn toegekend, is vastgelegd in het overzicht. De accountant stelt vast dat de gevolmachtigde agent beschikt over een autorisatiematrix voor de applicaties met verzekeringstechnische of financiële gevolgen voor de volmachtgever.
24. Interne kwaliteitscontrole - autorisatiebeheer
AUT-7	Interne kwaliteitscontrole - autorisatiebeheer	De gevolmachtigde agent test periodiek, ten minste een maal per jaar, of de toegekende gebruikersaccounts zijn toegekend aan geautoriseerde partijen. De gevolmachtigde agent test periodiek, ten minste een maal per jaar, of de toegekende gebruikersrechten in overeenstemming zijn met de functie van een gebruiker.	De accountant maakt gebruik van het bij taak AUT-1 opgestelde overzicht van applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers. De accountant heeft niet vastgesteld dat dit overzicht juist en volledig is. De accountant stelt bij wijze van waarneming vast dat de gevolmachtigde agent minimaal één keer per jaar heeft beoordeeld of de toegekende gebruikersaccounts zijn toegekend aan geautoriseerde partijen en of de toegekende gebruikersrechten in overeenstemming zijn met de functie van een gebruiker. Documenten waaruit blijkt dat deze beoordeling is uitgevoerd zijn voor de accountant beschikbaar. De accountant stelt niet vast dat de beoordeling door de gevolmachtigde agent juist en volledig is uitgevoerd. De accountant stelt door het inwinnen van inlichtingen vast welke medewerkers toegangsrechten hebben tot het bankprogramma van de gevolmachtigde agent en betalingen kunnen verrichten. De accountant vermeldt deze medewerkers, inclusief de functie, in zijn rapportage. De accountant stelt niet vast dat het overzicht juist en volledig is. De accountant stelt vast welke medewerkers (van de medewerkers met rechten in het bankprogramma van de gevolmachtigde agent om betalingen te kunnen verrichten) in de assurantieapplicatie beheerdersrechten hebben en/of op polissen kunnen boeken en/of schaden kunnen boeken. De accountant vermeldt deze medewerkers, inclusief de functie, in zijn rapportage. De accountant stelt bij wijze van waarneming vast dat, door de toegekende rechten in de assurantieapplicatie, alleen medewerkers met acceptatiewerkzaamheden bij volmachtpolissen kunnen muteren en afgeven. De accountant stelt bij wijze van waarneming vast dat, door de toegekende rechten in de assurantieapplicatie, alleen medewerkers met schadebehandelingswerkzaamheden bij volmachtschaden kunnen muteren en boeken.
25. ICT Incidenten
AUT-10	ICT Incidenten	De gevolmachtigde agent heeft een procedure beschreven met betrekking tot de behandeling van ICT-incidenten. De gevolmachtigde agent beschikt over een incidentenregister voor het registreren van impactvolle ICT-incidenten. De gevolmachtigde agent heeft zelf gedefinieerd wat onder een impactvol ICT-incident wordt verstaan (bijvoorbeeld: incidenten die de bedoelde werking van de applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers langer dan 24 uur verstoren of waarbij informatie uit deze applicaties onherstelbaar verloren gaat). De gevolmachtigde agent onderzoekt en analyseert impactvolle ICT-incidenten. Er worden passende maatregelen genomen om dergelijke ICT-incidenten te voorkomen.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot de behandeling van ICT-incidenten waarin is opgenomen: de definitie van een impactvol ICT-incident dat ICT-incidenten die de werking van applicaties die verzekeringstechnische of financiële gevolgen hebben voor volmachtgevers langer dan 24 uur verstoren of waarbij informatie uit deze applicaties onherstelbaar verloren gaat, worden gemeld bij de volmachtgevers. De accountant stelt door het inwinnen van inlichtingen vast of de gevolmachtigde agent beschikt over een incidentenregister voor het registreren van impactvolle ICT-incidenten. De accountant gaat na of er in het verslagjaar impactvolle ICT-incidenten zijn geweest. Indien er dergelijke incidenten zijn geweest dan bespreekt de accountant of en zo ja welke maatregelen er zijn genomen om dergelijke incidenten in de toekomst te voorkomen. Gezien het vertrouwelijke karakter van het incidentenregister is het niet noodzakelijk dat de accountant documenten in relatie tot de betreffende incidentenregistratie opvraagt voor archiveringsdoeleinden.
FIN	Financieel
26. Procedure - financiële administratie
FIN-1	Procedure - financiële administratie	De gevolmachtigde agent beschikt over een procedure met betrekking tot budgetten en prognoses waarmee inzicht wordt verkregen in de financiële positie en de resultaten.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot budgetten en prognoses waarmee de gevolmachtigde agent inzicht krijgt in zijn financiële positie en de resultaten.
27. Procedure - financiële verwerking
FIN-2	Procedure - financiële verwerking	GA beschikt over een procedure met betrekking tot de dagelijkse financiële afwikkeling van alle interne boekingen en facturen (dit betreft zowel boekingen die het gevolg zijn van acceptatie-, mutatie-, naverrekening-, prolongatie- royementen of schadebehandeling werkzaamheden, als zogenaamde eenmalige - losse - boekingen). Financiële afwikkeling incl. verzending van facturen geschiedt uiterlijk binnen 5 werkdagen na de het ontstaan van de boeking.	De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot eenmalige boekingen en facturen. De accountant stelt vast dat in de procedurebeschrijving is opgenomen dat facturen met betrekking tot eenmalige boekingen binnen 5 werkdagen na de boekdatum aan de klant worden gezonden.
28. Debiteurenbewaking – herinneringsprocedure
FIN-4	Debiteurenbewaking – herinneringsprocedure	Indien de gevolmachtigde agent zelf incasseert, beschikt hij over een procedure met betrekking tot het bewaken van achterstanden bij het incasseren van verzekeringspremies bij verzekeringnemers en het schorsen van de verzekeringsdekking. De GA hanteert een procedure die voldoet aan art. 7:934 Burgerlijk Wetboek en het Protocol bij Betalingsachterstanden. De termijnen die gehanteerd kunnen worden zijn: 1e herinnering 16 kalenderdagen na vervaldag; 2e herinnering (en schorsen) 3 weken na 1e herinnering; 3e herinnering 3 weken na 2e herinnering. In ieder geval dient in de 1e herinnering een klant gewezen op de 14 dagentermijn waarbinnen de premie moet worden voldaan, wanneer deze termijn aanvangt en wat de gevolgen zijn wanneer niet wordt betaald. Een bewijs van de herinnering moet aantoonbaar zijn (emails bewaren of aangetekend versturen). De gevolmachtigde agent beschikt per kwartaal over een ouderdomsoverzicht van de openstaande posten (verzekeringsdebiteuren). Dit overzicht geeft inzicht in de ouderdom van openstaande verzekeringspremies en openstaande schadeboekingen. Het overzicht bevat minimaal het saldo van de ouderdom tot 31 kalenderdagen, 31 tot 61 kalenderdagen en 61 kalenderdagen en ouder. De normstelling inzake het Protocol bij Betalingsachterstanden is in het werkprogramma niet nader uitgewerkt. De accountant hoeft daarom aan dit punt geen aandacht te besteden.	De werkzaamheden van de accountant met betrekking tot de taken FIN-4 en FIN-5 (28 en 29) kunnen gecombineerd worden uitgevoerd. De accountant stelt door het inwinnen van inlichtingen vast of de gevolmachtigde agent zelf verzekeringspremies incasseert. Als de gevolmachtigde agent zelf verzekeringspremies incasseert: De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot het bewaken van achterstanden bij het incasseren van verzekeringspremies bij verzekeringnemers en het schorsen van de verzekeringsdekking. De accountant stelt vast dat de herinneringstermijnen zijn ingeregeld in de applicatie die gebruikt wordt voor het versturen van herinneringen. De accountant vermeldt de ingeregelde termijnen in zijn rapportage. De accountant stelt vast, door het opvragen van de 1e herinnering, dat in de 1e herinnering een klant wordt gewezen op de 14 dagentermijn waarbinnen de premie moet worden voldaan, wanneer deze termijn aanvangt en wat de gevolgen zijn wanneer niet wordt betaald. De accountant vraagt een overzicht op van polissen die in het controle jaar geroyeerd zijn in verband met non-betaling. De accountant stelt niet vast dat het overzicht juist en volledig is. De accountant stelt bij wijze van waarneming vast, bij de polissen die geroyeerd zijn in verband met non-betaling, dat aantoonbaar is dat de 1e herinnering is verstuurd (bijvoorbeeld doordat herinneringen in het polisdossier worden opgeslagen, e-mail worden bewaard of doordat de herinnering aangetekend is verstuurd). De accountant stelt bij wijze van waarneming vast, bij de polissen die geroyeerd zijn in verband met non-betaling, dat de 1e herinnering 16 kalenderdagen na de premievervaldatum is verstuurd. De accountant stelt bij wijze van waarneming vast dat de gevolmachtigde agent per kwartaal beschikt over een ouderdoms overzicht van de openstaande posten (verzekeringsdebiteuren). Dit overzicht geeft inzicht in de ouderdom van openstaande verzekeringspremies en openstaande schadeboekingen. Het overzicht bevat minimaal het saldo van de ouderdom tot 31 kalenderdagen, 31 tot 61 kalenderdagen en 61 kalenderdagen en ouder. De accountant stelt niet vast of het overzicht juist en volledig is. Deze taak is niet van toepassing als de gevolmachtigde agent niet zelf incasseert (voor de incasso wordt geen briefpapier en/of rekeningnummer van de gevolmachtigde agent gebruikt). Er is dan sprake van incasso door een bemiddelaar.
29. Debiteurenbewaking - achterstallige vorderingen
FIN-5	Debiteurenbewaking - achterstallige vorderingen	De gevolmachtigde agent beschikt over een procedure met betrekking tot het bewaken van achterstanden bij het incasseren van verzekeringspremies bij verzekeringnemers. De gevolmachtigde agent heeft beleid ontwikkeld met betrekking tot de overdracht van dergelijke vorderingen aan incassobureaus. De procedure en het beleid voldoen minimaal aan het Protocol bij Betalingsachterstanden, inclusief de mogelijkheden van het schuldhulpverleningstraject. De informatie over het Protocol bij Betalingsachterstanden wordt vermeld op de website. De normstelling inzake het Protocol bij Betalingsachterstanden is in het werkprogramma niet nader uitgewerkt. De accountant hoeft daarom aan dit punt geen aandacht te besteden.	De accountant stelt door het inwinnen van inlichtingen vast of de gevolmachtigde agent zelf verzekeringspremies incasseert. Als de gevolmachtigde agent zelf verzekeringspremies incasseert: De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot eventuele overdracht van premievorderingen aan een deurwaarder. De accountant vraagt een overzicht op van polissen die in het controle jaar geroyeerd zijn in verband met non-betaling. De accountant stelt niet vast dat het overzicht juist en volledig is. De accountant stelt bij wijze van waarneming vast, bij de polissen die geroyeerd zijn in verband met non-betaling, dat het beleid van de gevolmachtigde agent met betrekking tot overdracht aan een deurwaarder is gevolgd. Deze taak is niet van toepassing als de gevolmachtigde agent niet zelf incasseert (voor de incasso wordt geen briefpapier en/of rekeningnummer van de gevolmachtigde agent gebruikt). Er is dan sprake van incasso door een bemiddelaar.
30. Bemiddelaar - Incasso
FIN-11	Bemiddelaar - Incasso	De gevolmachtigde agent maakt afspraken met een bemiddelaar over de wijze waarop de bemiddelaar verzekeringspremies bij verzekeringnemers incasseert. Deze afspraken worden zodanig vastgelegd dat deze onderdeel uitmaken van de samenwerkingsovereenkomst met de bemiddelaar. De bemiddelaar hanteert een procedure die voldoet aan art. 7:934 Burgerlijk Wetboek en het Protocol bij Betalingsachterstanden. De informatie over het Protocol bij Betalingsachterstanden wordt vermeld op de website. De termijnen die door de bemiddelaar gehanteerd kunnen worden zijn: 1e herinnering 16 kalenderdagen na vervaldag 2e herinnering (en schorsing) 3 weken na 1e herinnering 3e herinnering 3 weken na 2e herinnering In ieder geval dient in de 1e herinnering een klant gewezen op de 14 dagentermijn waarbinnen de premie moet worden voldaan, wanneer deze termijn aanvangt en wat de gevolgen zijn wanneer niet wordt betaald. Een bewijs van de herinnering moet aantoonbaar zijn (emails bewaren of aangetekend versturen). Ook maakt de gevolmachtigde agent afspraken met de bemiddelaar over de termijn waarbinnen een bemiddelaar bescheiden aan de gevolmachtigde agent dient te retourneren, indien de bemiddelaar de door een verzekeringnemer verschuldigde premie niet kan incasseren (Uiterlijk binnen 60 kalenderdagen). Omdat de normstelling in het werkprogramma inzake het voldoen aan het Protocol bij Betalingsachterstanden alsmede de aantoonbaarheid van de verzending van herinneringen door een bemiddelaar, nog onvoldoende is uitgewerkt, hoeft hier door de accountant nog geen aandacht aan geschonken te worden.	De accountant stelt door het inwinnen van inlichtingen vast of er sprake is van incasso door een bemiddelaar. Als een bemiddelaar verzekeringspremies incasseert: De accountant stelt vast dat de gevolmachtigde agent afspraken heeft gemaakt met de bemiddelaar over de wijze waarop de bemiddelaar verzekeringspremies bij verzekeringnemers incasseert. De accountant stelt vast dat deze afspraken zodanig zijn vastgelegd dat deze onderdeel uitmaken van de samenwerkings-overeenkomst met de bemiddelaar. De accountant gaat na welke herinneringstermijnen er met de bemiddelaar zijn afgesproken. De accountant vermeldt de herinneringstermijnen in zijn rapportage. De accountant stelt vast dat de gevolmachtigde agent met de bemiddelaar is overeengekomen dat in de 1e herinnering een klant, door de bemiddelaar, wordt gewezen op de 14 dagentermijn waarbinnen de premie moet worden voldaan, wanneer deze termijn aanvangt en wat de gevolgen zijn wanneer niet wordt betaald. De accountant stelt vast dat de gevolmachtigde agent met de bemiddelaar is overeengekomen de termijn waarbinnen een bemiddelaar bescheiden aan de gevolmachtigde agent dient te retourneren, indien de bemiddelaar de door de verzekeringnemer verschuldigde premie niet kan incasseren. De accountant stelt vast dat de overeengekomen termijn waarbinnen een bemiddelaar bescheiden aan de gevolmachtigde agent dient te retourneren maximaal 60 kalenderdagen is.
31. Interne kwaliteitscontrole - liquiditeit
FIN-6	Interne kwaliteitscontrole - liquiditeit	De gevolmachtigde agent beschikt over een liquiditeitsprognose. Uit deze prognose blijkt dat de inkomende kasstromen, de beschikbare liquiditeit en eventuele kredietfaciliteiten binnen een termijn van een jaar toereikend zijn om aan de betalingsverplichtingen conform de volmachtovereenkomst te voldoen.	De accountant stelt bij wijze van waarneming vast dat de gevolmachtigde agent beschikt over een liquiditeitsprognose. De accountant stelt vast dat uit deze liquiditeitsprognose blijkt dat de inkomende kasstromen, de beschikbare liquiditeit en eventuele kredietfaciliteiten binnen een termijn van 12 maanden (1-1 t/m 31-12) toereikend zijn om aan de betalingsverplichtingen conform de volmachtovereenkomst te voldoen. De accountant stelt niet vast dat de liquiditeitsprognose juist en volledig is.
32. Interne kwaliteitscontrole - Exasso
FIN-9	Interne kwaliteitscontrole - Excasso	De gevolmachtigde agent beschikt over een procedure met betrekking tot de excasso van premie- en schadeboekingen. De gevolmachtigde agent zorgt ervoor dat dergelijke boekingen binnen 5 werkdagen aan de betrokkene worden overgemaakt. Deze taak is van toepassing op de excasso’s waarbij gebruik gemaakt wordt van briefpapier en/of een rekeningnummer van de gevolmachtigde agent. Als bij de excasso geen briefpapier en/of rekeningnummer van de gevolmachtigde agent gebruikt wordt, is er sprake van excasso door een bemiddelaar.	De accountant stelt door het inwinnen van inlichtingen vast of er sprake is van excasso (premie- en schadeboekingen) door de gevolmachtigde agent of uitsluitend van excasso door een bemiddelaar. Bij incasso door een bemiddelaar is het niet ongebruikelijk dat ook excasso’s ten behoeve van de verzekeringnemer via de rekeningcourant met de bemiddelaar lopen. Als de gevolmachtigde agent zelf de excasso (deels of volledig) uitvoert: De accountant stelt vast dat de gevolmachtigde agent beschikt over een procedurebeschrijving met betrekking tot de excasso’s van premie- en schadeboekingen. In de procedure wordt vermeld dat dergelijke boekingen binnen 5 werkdagen na de boekingsdatum worden betaald aan de betrokkene. De accountant vraagt een overzicht op van excassoboekingen (premie- en schadeboekingen) door de gevolmachtigde agent in het controle jaar. De accountant stelt niet vast dat het overzicht juist en volledig is. De accountant stelt bij wijze van waarneming vast dat excasso’s door de gevolmachtigde agent, van premie- en schadeboekingen, binnen 5 werkdagen na de boekingsdatum worden betaald aan de betrokkene. Deze taak is van toepassing op de excasso’s waarbij gebruik gemaakt wordt van briefpapier en/of een rekeningnummer van de gevolmachtigde agent. Als bij de excasso geen briefpapier en/of rekeningnummer van de gevolmachtigde agent gebruikt wordt, is er sprake van excasso door een bemiddelaar.
33. Interne kwaliteitscontrole – TP Excasso
FIN-13	Interne kwaliteitscontrole – TP Excasso	De GA maakt met de bemiddelaar(s) afspraken over de wijze van excasso's door de bemiddelaar in de samenwerkingsovereenkomst of nadere instructies. De GA zorgt ervoor dat door de bemiddelaar dergelijke boekingen binnen 5 werkdagen (na verwerking van de boeking door GA) aan de betrokkene worden overgemaakt. De GA beschikt over een procedure met betrekking tot de controle op de juiste en tijdige excasso's van premie- en schadeboekingen door de bemiddelaar.	De accountant stelt door het inwinnen van inlichtingen vast of er sprake is van excasso door een bemiddelaar. Als een bemiddelaar de excasso verzorgt: De accountant stelt vast dat de gevolmachtigde agent afspraken heeft gemaakt met de bemiddelaar met betrekking tot de wijze waarop de bemiddelaar excasso’s van premie- en schadeboekingen verwerkt. De accountant stelt vast dat deze afspraken zodanig zijn vastgelegd dat deze onderdeel uitmaken van de samenwerkings-overeenkomst met de bemiddelaar. De accountant stelt vast dat de gevolmachtigde agent met de bemiddelaar is overeengekomen dat excasso’s van premie- en schadeboekingen binnen 5 werkdagen na ontvangst van het door de gevolmachtigde agent opgestelde schadebetalingsbericht of het bericht van creditering worden betaald aan de betrokkene.

1 De gevolmachtigd agent voert alle taken eenmaal per jaar uit. De taken ACC-1, 10 en 32, taken SCH 1-4, 9 en 12, taak AUT-3, taken FIN-2, 9 en 13 dient hij echter eenmaal per kwartaal uit te voeren.

Bijlage 2: Normenkader en Werkprogramma voor de accountant Accountantsprotocol Werkprogramma Risicobeheersing Volmachten 2023 Versie 1.0 34 van 34