DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014
DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014
In het kader van de integere bedrijfsvoering is een trustkantoor met ingang van 1 januari 2015 verplicht om zorg te dragen dat op onafhankelijke en effectieve wijze een auditfunctie wordt uitgeoefend ten aanzien van haar werkzaamheden en de compliancefunctie. De vereisten hiertoe zijn gesteld in artikel 10, Wtt jº artikel 6, aanhef, sub b, c, d en h, artikel 7, tweede tot en met zesde lid, artikel 9, vierde lid, jº artikel 24 sub h van de Regeling integere bedrijfsvoering Wet toezicht trustkantoren 2014 (Rib Wtt 2014).
Dit beoordelingskader bestaat uit een vastlegging van de door DNB geformuleerde onderzoeksvragen en de verwachtingen van DNB met betrekking tot elke onderzoeksvraag. Deze onderzoeksvragen zien op:
A. Governance, status en organisatie van de auditfunctie;
B. Onafhankelijke uitoefening van de auditfunctie;
C. Effectieve uitoefening van de auditfunctie;
D. Uitbesteding van werkzaamheden.
Daarnaast geeft DNB met dit beoordelingskader aan hoe op juiste wijze invulling kan worden gegeven aan de open normen ‘onafhankelijk en effectief’ zoals gesteld in de Rib Wtt 2014. Houd bij de bestudering van het beoordelingskader in het achterhoofd dat een andere invulling van deze open normen in bepaalde situaties mogelijk is. De afweging en de verantwoordelijkheid daarvoor berusten volledig bij het trustkantoor. In de toekomst zal DNB bij de beoordeling van uw auditfunctie deze invulling van de open normen mede in aanmerking nemen.
Voor de invulling van deze open normen is gebruik gemaakt van de ‘Q&A Inrichting auditfunctie’ van DNB van 27 oktober 2014, de brochure ‘Rib Wtt Audit’ van Holland Quaestor (HQ) van 27 augustus 2015 en artikel 17 Besluit prudentiële regels Wft. Tevens is gebruik gemaakt van diverse standaarden uit het internationale raamwerk voor de beroepsuitoefening van internal auditors, het International Professional Practices Framework (IPPF) van het Institute of Internal Auditors (IIA) en het document ‘Effectiviteitsmeting Internal Auditfunctie – Praktische handvatten voor internal auditors’ van het IIA Nederland van juli 2016.
Zowel DNB als het IIA hanteren het begrip (internal) auditfunctie. In haar rol als toezichthouder op de trustsector sluit DNB in de uitwerking van haar beoordelingskader zoveel mogelijk aan bij het gestelde in de Rib Wtt 2014 en heeft in haar beoordeling alleen naar opzet en bestaan van de auditfunctie van trustkantoren gekeken. Het IIA, als beroepsverenging van de internal auditors, kijkt vanuit een bredere, meer inhoudelijke invalshoek naar opzet, bestaan en werking van de internal auditfunctie en hanteert daarbij het IPPF als normenkader. Het beoordelingskader van DNB kan dus afwijken van het IIA normenkader voor beoordeling van de (internal) auditfunctie. Het IIA vereist dat een (internal) auditfunctie, waar IIA leden werkzaam zijn, éénmaal in de vijf jaar aan een externe kwaliteitstoetsing tegen de IPPF standaarden wordt onderworpen. Een dergelijke toetsing van de (internal) auditfunctie bij uw trustkantoor kan daardoor in een andersluidende conclusie resulteren.
A. Governance, status en organisatie van de auditfunctie
Onderzoeksvraag | Verwachtingen |
1. Beschikt het trustkantoor over een procedurehandboek dat voorziet in een actuele en toereikende beschrijving van de opzet van de auditfunctie? | ➢ Procedures met betrekking tot de onafhankelijke en effectieve uitvoering van de auditfunctie zijn beschreven. ➢ De identiteit van de natuurlijke personen die auditfunctie kunnen uitoefenen is vermeld. ➢ Uit de beschreven procedures blijkt waarom voor een bepaald model voor inrichting van de auditfunctie is gekozen (bijvoorbeeld: waarom is de auditfunctie intern of extern belegd, wat is de reikwijdte van de auditfunctie, wat is het doel van de auditfunctie, hoe loopt het rapportage proces, wat is de voorziene intensiviteit en frequentie?). |
➢ De voorziene intensiviteit en frequentie van de auditfunctie is onderbouwd vastgelegd. (praktijkvoorbeeld: dit kan zowel in het procedurehandboek als in het (meerjaren) auditplan, zie 5 hierna). | |
➢ Taken, verantwoordelijkheden en bevoegdheden van de auditfunctie en het bestuur ter waarborging van de onafhankelijke uitoefening van de auditfunctie zijn beschreven. | |
➢ Het procedurehandboek is goedgekeurd door het bestuur van het trustkantoor. | |
➢ De personen werkzaam in de auditfunctie hebben kennis genomen van het procedurehandboek. | |
➢ Het procedurehandboek bevat een expliciete verwijzing naar het auditcharter, indien de procedures, taken, verantwoordelijkheden en bevoegdheden met betrekking tot de auditfunctie (ook) in een auditcharter zijn vastgelegd. | |
➢ Het procedurehandboek bevat een expliciete verwijzing naar het (meerjaren) auditplan indien de intensiviteit en frequentie van de auditfunctie (ook) in het (meerjaren) auditplan onderbouwd is vastgelegd. | |
2. Heeft de auditfunctie een actueel en toereikend auditcharter opgesteld dat met het bestuur en, indien van toepassing, het orgaan belast met | ➢ Het auditcharter bevat minimaal een beschrijving van: − het doel van de auditcharter; − het doel van de auditfunctie; − de rol van de auditfunctie in het ‘three lines of defence model’; − de reikwijdte van de auditfunctie; |
intern toezicht op het trustkantoor is overeengekomen? | − de verantwoordelijkheden van de auditfunctie; − de verantwoordelijkheden van het bestuur van het trustkantoor en, indien van toepassing, het orgaan belast met intern toezicht van op trustkantoor; − de waarborgen van onafhankelijkheid van de auditfunctie; en − de bevoegdheden van de auditfunctie. ➢ Het trustkantoor beschikt over een actueel auditcharter dat zichtbaar wordt gedragen door de auditfunctie en het bestuur van het trustkantoor. (Praktijkvoorbeelden: het auditcharter wordt opgesteld door de auditfunctie (waarna het bestuur dit goedkeurt, zie hierna) of auditcharter wordt opgesteld door het bestuur en de auditfunctie gezamenlijk.) ➢ Het auditcharter is zichtbaar goedgekeurd het bestuur van het trustkantoor en, indien van toepassing, het orgaan belast met intern toezicht van het trustkantoor. ➢ Het auditcharter wordt periodiek geactualiseerd. |
B. Onafhankelijke uitoefening van de auditfunctie
Onderzoeksvraag | Verwachtingen |
3. Opereert de auditfunctie onafhankelijk binnen het trustkantoor, dat wil zeggen vrij van enige (schijn van) belangenverstrengeli ng en beperkingen die de effectieve uitoefening van de auditwerkzaamhede n kunnen belemmeren? | ➢ De auditfunctie wordt niet door bestuurders van het trustkantoor uitgeoefend. ➢ De auditfunctie staat op voldoende afstand van de uitvoering (eerste lijn) en de compliancefunctie (tweede lijn). ➢ De auditfunctie is niet uitbesteed aan een rechtspersoon die ook de compliancefunctie uitoefent of heeft uitgeoefend, of die deel uitmaakt van dezelfde groep als degene die de compliancefunctie uitoefent of heeft uitgeoefend. ➢ De auditfunctie wordt in beginsel niet uitbesteed aan een persoon of rechtspersoon die tevens controle- of adviesdiensten voor dat kantoor verricht. |
➢ De auditfunctie heeft een rechtstreekse rapportagelijn tot het bestuur van het trustkantoor en, indien van toepassing, de voorzitter van het orgaan belast met intern toezicht op het trustkantoor. | |
➢ De personen werkzaam in de auditfunctie hebben geen operationele bevoegdheden of verantwoordelijkheden voor het uitvoeren van |
activiteiten die zij geacht worden te onderzoeken en te evalueren. ➢ De auditfunctie mag op eigen initiatief (op basis van een eigen risico analyse) besluiten tot het verrichten van audits indien omstandigheden zulks verlangen. ➢ De auditfunctie heeft de bevoegdheid tot vrije toegang tot alle activiteiten, medewerkers, locaties en informatie voor zover van belang voor de uitoefening van de werkzaamheden. ➢ De auditfunctie krijgt op geen enkele manier beperkingen in de uitoefening van haar auditactiviteiten opgelegd vanuit het bestuur van het trustkantoor. ➢ Het beloningsbeleid met betrekking tot de personen werkzaam in de auditfunctie is niet gekoppeld aan de financiële resultaten van het trustkantoor. |
C. Effectieve uitoefening van de auditfunctie
Onderzoeksvraag | Verwachtingen |
4. Heeft de auditfunctie een toereikend (meerjaren) auditplan opgesteld die door het bestuur en, indien van toepassing, het orgaan belast met intern toezicht op het trustkantoor is vastgesteld? | ➢ De auditfunctie stelt minimaal jaarlijks een geactualiseerd (meerjaren) auditplan op. ➢ Het (meerjaren) auditplan gaat in op de reikwijdte van de auditfunctie. ➢ De reikwijdte van de auditfunctie bestaat minimaal uit alle activiteiten van het trustkantoor gerelateerd aan de Wtt en de Rib Wtt 2014, de Wet ter voorkoming van witwassen en financiering van terrorisme en de Sanctiewet 1977. ➢ Voor het opstellen van het (meerjaren) auditplan heeft de auditfunctie haar ‘audit universe’ bepaald middels het op logische wijze opdelen van haar werkgebied in alle potentieel te beoordelen ‘auditble objecten’. ➢ De auditfunctie heeft een zichtbare robuuste risicobeoordeling uitgevoerd om de intensiviteit van de uit te voeren audits te bepalen; welke ‘auditble objecten’ en met welke diepgang (scope en doelstelling) zijn onderwerp van een auditonderzoek. ➢ Het (meerjaren) auditplan bevat (in hoofdlijnen) een beschrijving van de doelstelling en scope van de geplande audits. ➢ De doelstelling en scope van de geplande audits is in ieder geval gericht op de beoordeling van de effectiviteit van de |
organisatie-inrichting, procedures en maatregelen die in de bedrijfsprocessen zijn geïntegreerd en de compliancefunctie. ➢ Het (meerjaren) auditplan bevat een onderbouwing van de ‘auditble objecten’ die buiten de scope van de auditfunctie vallen. ➢ Het (meerjaren) auditplan gaat in op de frequentie van de audits; een jaarlijkse complete audit of verspreid over het jaar kleinere audits van deelprocessen. ➢ Het (meerjaren) auditplan bevat een onderbouwing van de benodigde resources (mensen, middelen en expertises) voor de uit te voeren auditwerkzaamheden. ➢ Het (meerjaren) auditplan is in overleg met het bestuur en, indien van toepassing, het orgaan belast met intern toezicht van het trustkantoor zichtbaar vastgesteld. Dit geldt ook voor eventuele wijzigingen in het (meerjaren) auditplan gedurende het jaar. ➢ Het (meerjaren) auditplan is zichtbaar de basis voor het bepalen van het benodigde (jaarlijkse) budget voor de auditfunctie. ➢ De auditfunctie rapporteert minimaal jaarlijks over de realisatie van het (meerjaren) auditplan en budget aan het bestuur en, indien van toepassing, het orgaan belast met intern toezicht van het trustkantoor. | |
5. Heeft de auditfunctie haar bevindingen met betrekking tot de uitgevoerde auditactiviteiten schriftelijk in een toereikende auditrapportage gerapporteerd aan het bestuur van het trustkantoor en, indien van toepassing, aan de voorzitter van het orgaan belast met intern toezicht? | ➢ De auditrapportage bevat minimaal: − een vastlegging van de datum van de definitieve rapportage; − een beschrijving van de doelstelling van de audit (zie toelichting hieronder); − een beschrijving van de scope van de audit (zie toelichting hieronder); − een beknopte beschrijving van de auditaanpak (zie toelichting hieronder); − een vastlegging van de periode van onderzoek; − een vastlegging van een conclusie/oordeel (zie toelichting hieronder); − een beschrijving van de bevindingen (zie toelichting hieronder); − een vastlegging van de naam van de auditors die de audit hebben uitgevoerd; en − een vastlegging van de personen (inclusief functie) aan wie de auditrapportage is overlegd. |
➢ De auditfunctie heeft haar bevindingen, waaronder met name gesignaleerde tekortkomingen of gebreken, rechtstreeks gerapporteerd aan het bestuur en, indien van toepassing, aan de voorzitter van het orgaan belast met intern toezicht van het trustkantoor. ➢ De auditfunctie rapporteert minimaal eenmaal per jaar schriftelijk aan het bestuur en, indien van toepassing, het orgaan belast met intern toezicht van het trustkantoor. ➢ Het bestuur van het trustkantoor houdt de rapportages van de auditfunctie gedurende vijf jaar beschikbaar voor de toezichthouder. ➢ Uit de beknopte beschrijving van de auditaanpak blijkt dat de audit met voldoende diepgang is uitgevoerd; zowel de opzet, bestaan en werking van de procedures en maatregelen is beoordeeld. ➢ Er bestaat een duidelijke koppeling tussen de door de auditfunctie gerapporteerde bevindingen en de doelstelling en scope van de audit. ➢ De conclusie en/of het oordeel is toereikend onderbouwd en in overeenstemming met de gerapporteerde bevindingen. ➢ Eventueel gerapporteerde risico indicaties per gerapporteerde tekortkoming (bijvoorbeeld: hoog, midden en laag) zijn onderbouwd. ➢ De auditrapportage gaat in op de termijn waarbinnen de gerapporteerde tekortkomingen dienen te zijn opgelost en wie hiervoor verantwoordelijk is. ➢ De auditrapportage bevat een reactie, inclusief een beknopte beschrijving hoe de gerapporteerde tekortkoming gaat worden opgelost, van het bestuur van het trustkantoor. | |
6. Geeft het bestuur van het trustkantoor adequate en tijdige opvolging aan de door de auditfunctie gerapporteerde tekortkomingen? | ➢ Het bestuur van het trustkantoor monitort periodiek en zichtbaar de adequate en tijdige opvolging van de in de auditrapportages gerapporteerde tekortkomingen; een monitoring rapportage is aanwezig. ➢ De auditfunctie stelt periodiek de tijdige en adequate opvolging van de in de auditrapportages gerapporteerde tekortkomingen vast en rapporteert hierover minimaal eenmaal per jaar schriftelijk aan het bestuur en, indien van toepassing, het orgaan belast met intern toezicht van het trustkantoor. |
7. Beschikt de auditfunctie over | ➢ Het bestuur van het trustkantoor heeft eisen geformuleerd ten aanzien van integriteit en |
goede actuele kennis met betrekking tot de trustsector, witwassen en terrorisme financiering en auditmethodieken? | deskundigheid (opleidingsniveau en ervaring) van de auditors en deze vastgelegd in bijvoorbeeld het procedurehandboek. ➢ Het bestuur van het trustkantoor heeft de beredenering van de deskundigheid waarom de benoemde auditor geschikt is voor de uitoefening van de auditfunctie en onderbouwing van de integriteit vastgelegd. |
➢ Het bestuur van het trustkantoor stelt periodiek vast of de personen werkzaam in de auditfunctie voldoen aan de geformuleerde eisen ten aanzien van integriteit en deskundigheid. Dit kan bijvoorbeeld tijdens de periodieke evaluatie van de onafhankelijke en effectieve uitoefening van de auditfunctie. | |
8. Voert het bestuur van het trustkantoor een periodieke evaluatie uit van de onafhankelijke en effectieve uitoefening van de auditfunctie? | ➢ Het bestuur en, indien van toepassing, het orgaan belast met intern toezicht van het trustkantoor evalueert minimaal eenmaal per jaar formeel de onafhankelijkheid en de effectiviteit van de uitoefening van de auditfunctie. ➢ De uitkomst van de evaluatie is schriftelijk vastgelegd en er zijn zichtbare maatregelen genomen om eventuele tekortkomingen bij te stellen. |
➢ De evaluatie bestaat minimaal uit een beoordeling of: | |
− de auditfunctie onafhankelijk is uitgeoefend; | |
− de auditfunctie beschikt over een passende mix van kennis, vaardigheden en andere competenties; | |
− de auditfunctie voldoende capaciteit heeft om het (meerjaren) auditplan te realiseren; en | |
− de auditfunctie de overeengekomen taken en verantwoordelijkheden zoals beschreven in het auditcharter en/of de overeenkomst is nagekomen. | |
➢ Het bestuur en, indien van toepassing, het orgaan belast met intern toezicht van het trustkantoor heeft de evaluatie besproken met de verantwoordelijke personen werkzaam in de auditfunctie. |
D. Uitbesteding van werkzaamheden.
Onderzoeksvraag | Verwachtingen |
9. Beschikt het bestuur van het trustkantoor, in geval van | ➢ Het bestuur van het trustkantoor heeft de uitbesteding van de werkzaamheden van de |
uitbesteding van de auditfunctie aan een derde, over een toereikende overeenkomst met deze derde? | auditfunctie binnen de groep waartoe het trustkantoor behoort of aan een externe partij geformaliseerd in een schriftelijke overeenkomst. ➢ De overeenkomst bevat duidelijke en heldere afspraken over de invulling van de auditfunctie overeenkomstig het bepaalde in de Rib Wtt 2014, zodat het daadwerkelijk tot uitoefening van de auditfunctie komt. |
➢ De in de overeenkomst opgenomen taken, verantwoordelijkheden en bevoegdheden met betrekking tot de auditfunctie zijn in overeenstemming met hetgeen is beschreven in het procedurehandboek en/of het auditcharter. |