Code Banken: taken interne auditfunctie en externe accountant - NBA
Code Banken: taken interne auditfunctie en externe accountant - NBA
Code Banken: taken interne auditfunctie en externe accountant - NBA
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Praktijkhandreiking 1110<br />
<strong>Code</strong> <strong>Bank<strong>en</strong></strong>: <strong>tak<strong>en</strong></strong> <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong><br />
<strong>externe</strong> <strong>accountant</strong><br />
1
Praktijkhandreiking <strong>Code</strong> <strong>Bank<strong>en</strong></strong>:<br />
<strong>tak<strong>en</strong></strong> <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> <strong>externe</strong> <strong>accountant</strong><br />
Praktijkhandreiking 1110<br />
Datum: 16-03-2010<br />
Onderwerp:<br />
<strong>Code</strong> <strong>Bank<strong>en</strong></strong>: <strong>tak<strong>en</strong></strong> <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> <strong>externe</strong> <strong>accountant</strong><br />
Van toepassing op:<br />
Accountants werkzaam bij bank<strong>en</strong><br />
Status:<br />
Praktijkhandreiking (conform NIVRA-uiting<strong>en</strong>, geeft e<strong>en</strong><br />
praktijkhandreiking uitleg <strong>en</strong> bevat dus ge<strong>en</strong> nieuwe regelgeving)<br />
Relevante wet- <strong>en</strong> regelgeving: Algem<strong>en</strong>e Maatregel van Bestuur, vastgesteld ingevolge artikel<br />
391 lid 5 van Boek 2 van het Burgerlijk Wetboek<br />
(voorhangprocedure)<br />
1<br />
Praktijkhandreiking 1110
1. Inleiding<br />
Op 9 september 2009 publiceerde de Nederlandse Ver<strong>en</strong>iging van <strong>Bank<strong>en</strong></strong> de <strong>Code</strong> <strong>Bank<strong>en</strong></strong>. De code is<br />
gebaseerd op het op 7 april 2009 gepubliceerde rapport Naar herstel van vertrouw<strong>en</strong> van de<br />
Adviescommissie Toekomst <strong>Bank<strong>en</strong></strong>, de ‘commissie Maas’. De aanbeveling<strong>en</strong> over governance <strong>en</strong><br />
risk managem<strong>en</strong>t <strong>en</strong> de maatschappelijke rol van bank<strong>en</strong> zijn verwerkt in de <strong>Code</strong> <strong>Bank<strong>en</strong></strong>. De code<br />
betreft de sam<strong>en</strong>stelling, deskundigheid, taak <strong>en</strong> werkwijze van de raad van commissariss<strong>en</strong> <strong>en</strong> de raad<br />
van bestuur, het risicomanagem<strong>en</strong>t, de audit <strong>en</strong> het beloningsbeleid. Hiertoe behor<strong>en</strong> ook perman<strong>en</strong>te<br />
educatie van de led<strong>en</strong> van de raad van commissariss<strong>en</strong> <strong>en</strong> de led<strong>en</strong> van de raad van bestuur <strong>en</strong> e<strong>en</strong><br />
door bestuurders te ondertek<strong>en</strong><strong>en</strong> moreelethische verklaring. De code is grot<strong>en</strong>deels gebaseerd op het<br />
rapport van de commissie Maas, met uitzondering van <strong>en</strong>kele aspect<strong>en</strong> die buit<strong>en</strong> de directe<br />
invloedssfeer van de bank ligg<strong>en</strong>, zoals het toezicht, vermog<strong>en</strong>seis<strong>en</strong>, het depositogarantiestelsel <strong>en</strong> de<br />
aandeelhouders. Voor wat betreft de in de code opg<strong>en</strong>om<strong>en</strong> paragraaf over het beloningsbeleid is<br />
rek<strong>en</strong>ing gehoud<strong>en</strong> met het in mei 2009 door de Nederlandsche Bank (DNB) <strong>en</strong> de Autoriteit<br />
Financiële Markt<strong>en</strong> (AFM) uitgebrachte docum<strong>en</strong>t ‘Principes voor beheerst beloningsbeleid’.<br />
2. Sam<strong>en</strong>vatting<br />
In de <strong>Code</strong> <strong>Bank<strong>en</strong></strong> zijn in paragraaf 5 de principes over de audit (<strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> <strong>externe</strong><br />
<strong>accountant</strong>) opg<strong>en</strong>om<strong>en</strong>. Deze praktijkhandreiking geeft, op basis van die principes, e<strong>en</strong> nadere<br />
uite<strong>en</strong>zetting van de werkzaamhed<strong>en</strong> van de <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> de <strong>externe</strong> <strong>accountant</strong>. Deze<br />
praktijkhandreiking zal in 2011 geëvalueerd word<strong>en</strong> op basis van ervaring<strong>en</strong> van <strong>accountant</strong>s <strong>en</strong> de<br />
sector (NVB) zelf.<br />
Alhoewel voor de governance ge<strong>en</strong> algeme<strong>en</strong> toetsingskader beschikbaar is zijn op deelgebied<strong>en</strong> wel<br />
norm<strong>en</strong> aanwezig die <strong>accountant</strong>s kunn<strong>en</strong> gebruik<strong>en</strong> bij het vorm<strong>en</strong> van hun oordeel over de<br />
governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> binn<strong>en</strong> de bank. De <strong>interne</strong> <strong>auditfunctie</strong><br />
rapporteert op basis van de door haar uitgevoerde beoordeling haar bevinding<strong>en</strong> aan de raad van<br />
bestuur <strong>en</strong> de auditcommissie. De <strong>externe</strong> <strong>accountant</strong> voert werkzaamhed<strong>en</strong> uit in het kader van de<br />
opdracht tot controle van de jaarrek<strong>en</strong>ing <strong>en</strong> rapporteert zijn bevinding<strong>en</strong> over de kwaliteit <strong>en</strong><br />
effectiviteit van het functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> in zijn<br />
verslag aan de raad van bestuur <strong>en</strong> de raad van commissariss<strong>en</strong>. De werkzaamhed<strong>en</strong> van de <strong>externe</strong><br />
<strong>accountant</strong> zijn niet gericht op het formuler<strong>en</strong> van e<strong>en</strong> algeheel oordeel over de governance, het<br />
risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong>. De <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> de <strong>externe</strong> <strong>accountant</strong> werk<strong>en</strong> hierbij<br />
nauw sam<strong>en</strong>, waarbij de laatste voor zijn verslag mede gebruik maakt van de bevinding<strong>en</strong> van de<br />
<strong>interne</strong> <strong>auditfunctie</strong>. Onder ‘kwaliteit <strong>en</strong> effectiviteit van het functioner<strong>en</strong> van de governance, het<br />
risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> binn<strong>en</strong> de bank’ wordt in deze Praktijkhandreiking verstaan de<br />
mate waarin de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> van de bank bijdrag<strong>en</strong> aan de<br />
realisatie van de daarmee beoogde doelstelling<strong>en</strong>, het op ev<strong>en</strong>wichtige wijze behartig<strong>en</strong> van de<br />
belang<strong>en</strong> van alle bij de bank betrokk<strong>en</strong> partij<strong>en</strong> zoals haar klant<strong>en</strong>, aandeelhouders <strong>en</strong> medewerkers,<br />
<strong>en</strong> meer in het bijzonder de beheersing van de daarmee sam<strong>en</strong>hang<strong>en</strong>de risico's.<br />
3. Doel <strong>en</strong> afbak<strong>en</strong>ing<br />
In deze Praktijkhandreiking word<strong>en</strong> handvatt<strong>en</strong> gebod<strong>en</strong> voor de <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> de <strong>externe</strong><br />
<strong>accountant</strong> betreff<strong>en</strong>de de <strong>tak<strong>en</strong></strong> die in de <strong>Code</strong> <strong>Bank<strong>en</strong></strong> aan h<strong>en</strong> word<strong>en</strong> toebedeeld. Bij de nadere<br />
uitwerking hiervan di<strong>en</strong>t rek<strong>en</strong>ing te word<strong>en</strong> gehoud<strong>en</strong> met het specifieke karakter van de individuele<br />
bank. Hoewel de <strong>interne</strong> <strong>auditfunctie</strong> ook aan de orde komt in andere del<strong>en</strong> van de code heeft deze<br />
Praktijkhandreiking alle<strong>en</strong> betrekking op paragraaf 5 van de code. Voor e<strong>en</strong> goed begrip verdi<strong>en</strong>t het<br />
aanbeveling de <strong>Code</strong> <strong>Bank<strong>en</strong></strong> <strong>en</strong> deze Praktijkhandreiking te lez<strong>en</strong> in de context van het rapport van de<br />
commissie Maas.<br />
Koninklijk NIVRA 2
Praktijkhandreiking <strong>Code</strong> <strong>Bank<strong>en</strong></strong>:<br />
<strong>tak<strong>en</strong></strong> <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> <strong>externe</strong> <strong>accountant</strong><br />
In het kader van deze Praktijkhandreiking, waarin aandacht wordt besteed aan de sam<strong>en</strong>werking<br />
tuss<strong>en</strong> de <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> de <strong>externe</strong> <strong>accountant</strong> alsmede de relatie tuss<strong>en</strong> de auditcommissie <strong>en</strong><br />
de <strong>interne</strong> <strong>auditfunctie</strong>, is het van belang k<strong>en</strong>nis te nem<strong>en</strong> van eerdere publicaties van het NIVRA <strong>en</strong><br />
IIA Nederland over deze sam<strong>en</strong>werking respectievelijk relatie 1 .<br />
4. <strong>Code</strong> <strong>Bank<strong>en</strong></strong><br />
Deze Praktijkhandreiking geeft toelichting<strong>en</strong> op de taakopvatting van de <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> de<br />
<strong>externe</strong> <strong>accountant</strong> zoals weergegev<strong>en</strong> in de principes 5.3 <strong>en</strong> 5.5 uit de <strong>Code</strong> <strong>Bank<strong>en</strong></strong>:<br />
Principe 5.3<br />
De <strong>interne</strong> <strong>auditfunctie</strong> heeft tot taak te beoordel<strong>en</strong> of de <strong>interne</strong> beheersmaatregel<strong>en</strong> in opzet, bestaan<br />
<strong>en</strong> in werking effectief zijn. Daarbij ziet zij onder meer op de kwaliteit <strong>en</strong> effectiviteit van het<br />
functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> binn<strong>en</strong> de bank. De <strong>interne</strong><br />
<strong>auditfunctie</strong> rapporteert over de bevinding<strong>en</strong> aan de raad van bestuur <strong>en</strong> de auditcommissie.<br />
Principe 5.5<br />
In het kader van de algem<strong>en</strong>e controleopdracht voor de jaarrek<strong>en</strong>ing rapporteert de <strong>externe</strong><br />
<strong>accountant</strong> in zijn verslag aan de raad van bestuur <strong>en</strong> de raad van commissariss<strong>en</strong> zijn bevinding<strong>en</strong><br />
over de kwaliteit <strong>en</strong> effectiviteit van het functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de<br />
beheersprocess<strong>en</strong> binn<strong>en</strong> de bank.<br />
De <strong>Code</strong> <strong>Bank<strong>en</strong></strong> (hierna te noem<strong>en</strong> de code) krijgt e<strong>en</strong> wettelijke verankering via e<strong>en</strong> daartoe<br />
opgesteld Besluit van het ministerie van Justitie van 9 december 2009 (voorhangprocedure<br />
‘Ontwerpbesluit tot vaststelling van nadere voorschrift<strong>en</strong> omtr<strong>en</strong>t de inhoud van het jaarverslag van<br />
bank<strong>en</strong>’) 2 . Dit betek<strong>en</strong>t e<strong>en</strong> additionele wettelijke verplichting voor de <strong>externe</strong> <strong>accountant</strong> van de<br />
bank. De code is van kracht vanaf 1 januari 2010 <strong>en</strong> de verantwoording over het nalev<strong>en</strong> van de code<br />
zal plaatsvind<strong>en</strong> in het jaarverslag van de bank<strong>en</strong> over 2010. Hoewel de verantwoording pas in de<br />
eerste helft van 2011 zal plaatsvind<strong>en</strong>, zull<strong>en</strong> bank<strong>en</strong> in 2010 voortvar<strong>en</strong>d te werk gaan met de<br />
implem<strong>en</strong>tatie <strong>en</strong> naleving van de code. De <strong>interne</strong> <strong>auditfunctie</strong> zal toetsing op de naleving in 2010<br />
gaan uitvoer<strong>en</strong>.<br />
5. Interne <strong>auditfunctie</strong> 3<br />
In de code wordt ingegaan op de rol van de <strong>interne</strong> <strong>auditfunctie</strong> binn<strong>en</strong> e<strong>en</strong> bank. In deel 5 van de code<br />
wordt gesteld dat de <strong>interne</strong> <strong>auditfunctie</strong> zich e<strong>en</strong> oordeel moet vorm<strong>en</strong> over de beheersing van de<br />
risico’s die sam<strong>en</strong>hang<strong>en</strong> met de activiteit<strong>en</strong> van de bank. In het oordeel van de <strong>interne</strong> <strong>auditfunctie</strong><br />
moet de kwaliteit <strong>en</strong> de effectiviteit van het functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de<br />
beheersprocess<strong>en</strong> binn<strong>en</strong> de bank word<strong>en</strong> meeg<strong>en</strong>om<strong>en</strong>. De governance <strong>en</strong> het functioner<strong>en</strong> van de<br />
raad van commissariss<strong>en</strong> zull<strong>en</strong> daar waar mogelijk <strong>en</strong> w<strong>en</strong>selijk betrokk<strong>en</strong> word<strong>en</strong> in de scope van de<br />
oordeelsvorming van de <strong>interne</strong> <strong>auditfunctie</strong>.<br />
1 In het kader van de NIVRA-debatbije<strong>en</strong>komst<strong>en</strong> zijn versch<strong>en</strong><strong>en</strong>: ‘Impact op governance: Interne <strong>en</strong> <strong>externe</strong> auditor;<br />
sam<strong>en</strong> e<strong>en</strong> nog sterkere bijdrage aan de governance’ <strong>en</strong> ‘Bondg<strong>en</strong>ot<strong>en</strong> in Governance: de relatie tuss<strong>en</strong> de<br />
Auditcommissie <strong>en</strong> de Internal Audit Functie in Nederland’. Ook is het van belang k<strong>en</strong>nis te nem<strong>en</strong> van Standaard 610<br />
‘Gebruikmak<strong>en</strong> van de werkzaamhed<strong>en</strong> van de <strong>interne</strong> <strong>accountant</strong>sfunctie’ uit de Nadere voorschrift<strong>en</strong> controle <strong>en</strong><br />
overige standaard<strong>en</strong> (NV COS).<br />
2 Het ontwerpbesluit tot vaststelling van nadere voorschrift<strong>en</strong> omtr<strong>en</strong>t de inhoud van het jaarverslag van bank<strong>en</strong> dateert<br />
van 9 december 2009. De voordracht voor e<strong>en</strong> algem<strong>en</strong>e maatregel van bestuur, vast te stell<strong>en</strong> ingevolge artikel 391 lid 5<br />
van boek 2 van het Burgerlijk Wetboek, wordt niet eerder gedaan dan vier wek<strong>en</strong> nadat het ontwerp aan de Tweede<br />
Kamer <strong>en</strong> aan de Eerste Kamer is overgelegd.<br />
3 Deze paragraaf is in sam<strong>en</strong>werking tuss<strong>en</strong> de auditcommissie van de NVB <strong>en</strong> de NIVRA Sectorcommissie <strong>Bank<strong>en</strong></strong>,<br />
Beleggingsinstelling<strong>en</strong> <strong>en</strong> –onderneming<strong>en</strong> (SBB) opgesteld.<br />
3<br />
Praktijkhandreiking 1110
Vóór het van kracht word<strong>en</strong> van de Wet op het financieel toezicht (Wft) war<strong>en</strong> de belangrijkste<br />
bepaling<strong>en</strong> voor de organisatie-inrichting <strong>en</strong> risicobeheersing van e<strong>en</strong> bank opg<strong>en</strong>om<strong>en</strong> in één<br />
regeling, de Regeling Organisatie <strong>en</strong> Beheersing (ROB) met bijlag<strong>en</strong> van DNB. Thans zijn deze<br />
bepaling<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> in e<strong>en</strong> aantal docum<strong>en</strong>t<strong>en</strong>. Hoewel onderstaande lijst niet uitputt<strong>en</strong>d is biedt<br />
deze nu e<strong>en</strong> basis voor het door de <strong>interne</strong> <strong>auditfunctie</strong> te hanter<strong>en</strong> toetsingskader:<br />
• De Wet op het financieel toezicht (Wft).<br />
• Het Besluit prud<strong>en</strong>tiële regels Wft.<br />
• De Praktijkhandreiking 1104 van het NIVRA.<br />
• De Nederlandse Corporate Governance <strong>Code</strong>.<br />
• De standaard<strong>en</strong> van het Institute of Internal Auditors (IIA).<br />
• De <strong>Code</strong> <strong>Bank<strong>en</strong></strong>.<br />
• Het COSO-ERM model (indi<strong>en</strong> van toepassing op de organisatie).<br />
De werkzaamhed<strong>en</strong> die deel 5 van de code oplegt aan de <strong>interne</strong> <strong>auditfunctie</strong> zijn voor het overgrote<br />
deel al bestaande praktijk. De code introduceert echter e<strong>en</strong> aantal nieuwe elem<strong>en</strong>t<strong>en</strong> waarvoor<br />
aanvull<strong>en</strong>de toelichting gew<strong>en</strong>st is. Nieuwe elem<strong>en</strong>t<strong>en</strong> zijn:<br />
• De eis dat de <strong>interne</strong> <strong>auditfunctie</strong> e<strong>en</strong> rechtstreekse rapportagelijn heeft naar de voorzitter van<br />
de auditcommissie (zie ook de best practices in de relatie tuss<strong>en</strong> auditcommissie <strong>en</strong> <strong>interne</strong><br />
<strong>auditfunctie</strong> in het eerder g<strong>en</strong>oemde rapport ‘Bondg<strong>en</strong>ot<strong>en</strong> in Governance’).<br />
• Het uitsprek<strong>en</strong> van e<strong>en</strong> oordeel over het functioner<strong>en</strong> van de governance van de bank<strong>en</strong> door<br />
de <strong>interne</strong> <strong>auditfunctie</strong>.<br />
• Pass<strong>en</strong>d binn<strong>en</strong> het kader om e<strong>en</strong> oordeel uit te sprek<strong>en</strong> over het functioner<strong>en</strong> van de<br />
governance, di<strong>en</strong>t het functioner<strong>en</strong> van de raad van bestuur aan de orde te kom<strong>en</strong>. E<strong>en</strong> oordeel<br />
over de raad van commissariss<strong>en</strong> zelf valt voor de <strong>interne</strong> <strong>auditfunctie</strong> buit<strong>en</strong> de scope van de<br />
code.<br />
• De <strong>interne</strong> <strong>auditfunctie</strong> is zelf onderdeel van de governance. Niettemin zal daar waar dat<br />
mogelijk <strong>en</strong> w<strong>en</strong>selijk is <strong>en</strong> niet stuit op bezwar<strong>en</strong>, e<strong>en</strong> toets op het functioner<strong>en</strong> van de raad<br />
van commissariss<strong>en</strong> meeg<strong>en</strong>om<strong>en</strong> word<strong>en</strong> in de beoordeling van de governance door de<br />
<strong>interne</strong> <strong>auditfunctie</strong>. Regelgeving van het IIA geeft aan dat het verplicht is e<strong>en</strong>s in de vijf jaar<br />
e<strong>en</strong> <strong>externe</strong> toets te lat<strong>en</strong> uitvoer<strong>en</strong> naar het functioner<strong>en</strong> van de <strong>interne</strong> <strong>auditfunctie</strong>. Hierbij<br />
komt dat ook rek<strong>en</strong>ing gehoud<strong>en</strong> moet word<strong>en</strong> met regelgeving van het NIVRA 4 .<br />
Hieronder zal per principe uit paragraaf 5 van de code e<strong>en</strong> toelichting word<strong>en</strong> gegev<strong>en</strong>.<br />
Principe 5.1<br />
De raad van bestuur draagt zorg voor systematische controle op de beheersing van de risico's die met<br />
de (bedrijfs)activiteit<strong>en</strong> van de bank sam<strong>en</strong>hang<strong>en</strong>.<br />
Toelichting:<br />
Dit behoeft ge<strong>en</strong> nadere toelichting.<br />
Principe 5.2<br />
Binn<strong>en</strong> de bank is e<strong>en</strong> <strong>interne</strong> <strong>auditfunctie</strong> werkzaam die onafhankelijk is gepositioneerd. Het hoofd<br />
<strong>interne</strong> audit rapporteert aan de voorzitter van de raad van bestuur <strong>en</strong> heeft e<strong>en</strong> rapportagelijn naar<br />
de voorzitter van de auditcommissie.<br />
Toelichting:<br />
De instelling beschikt over e<strong>en</strong> <strong>interne</strong> <strong>auditfunctie</strong> die rechtstreeks onder de voorzitter van de raad<br />
van bestuur ressorteert <strong>en</strong> rechtstreeks met de voorzitter van de auditcommissie (of bij ontst<strong>en</strong>t<strong>en</strong>is<br />
daarvan met de raad van commissariss<strong>en</strong>) kan schakel<strong>en</strong>.<br />
4 Bijvoorbeeld de Verord<strong>en</strong>ing gedragscode (VGC), Standaard 3000 ‘Assurance-opdracht<strong>en</strong> anders dan opdracht<strong>en</strong> tot<br />
controle of beoordeling van historische financiële informatie’ <strong>en</strong> Standaard 610 ‘Gebruikmaking van de werkzaamhed<strong>en</strong><br />
van de <strong>interne</strong> <strong>accountant</strong>sfunctie’.<br />
Koninklijk NIVRA 4
Praktijkhandreiking <strong>Code</strong> <strong>Bank<strong>en</strong></strong>:<br />
<strong>tak<strong>en</strong></strong> <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> <strong>externe</strong> <strong>accountant</strong><br />
De <strong>interne</strong> <strong>auditfunctie</strong> beschikt over:<br />
a. e<strong>en</strong> actueel charter waarin haar <strong>tak<strong>en</strong></strong>, bevoegdhed<strong>en</strong> <strong>en</strong> verantwoordelijkhed<strong>en</strong> staan beschrev<strong>en</strong>;<br />
b. voldo<strong>en</strong>de deskundigheid om de risico's die de bij de bank (kunn<strong>en</strong>) spel<strong>en</strong> op waarde te schatt<strong>en</strong>;<br />
c. vrije toegang tot alle activiteit<strong>en</strong>, functionariss<strong>en</strong>, locaties <strong>en</strong> informatie van de bank.<br />
Het bov<strong>en</strong>g<strong>en</strong>oemde betreft eig<strong>en</strong>lijk al bestaande praktijk. Artikel 17 van het Besluit prud<strong>en</strong>tiële<br />
regels Wft stelt expliciet dat de effectiviteit van de organisatie-inrichting <strong>en</strong> van de procedures <strong>en</strong><br />
maatregel<strong>en</strong> t<strong>en</strong> minste jaarlijks op onafhankelijke wijze wordt getoetst. Daartoe beschikt de financiële<br />
onderneming over e<strong>en</strong> organisatieonderdeel dat deze <strong>interne</strong> controlefunctie uitoef<strong>en</strong>t. Hiermee heeft<br />
de <strong>interne</strong> <strong>auditfunctie</strong> zijn wettelijke basis. In de Wft staat echter niet expliciet opg<strong>en</strong>om<strong>en</strong> dat het<br />
hoofd van de <strong>interne</strong> <strong>auditfunctie</strong> rapporteert aan de voorzitter van de raad van bestuur <strong>en</strong> de voorzitter<br />
van de auditcommissie. In het Besluit wordt gesteld dat onder meer tot de <strong>tak<strong>en</strong></strong> van de <strong>interne</strong><br />
<strong>auditfunctie</strong> gerek<strong>en</strong>d wordt:<br />
“het t<strong>en</strong> minste jaarlijks rapporter<strong>en</strong> aan de person<strong>en</strong> die het dagelijks beleid van de bank bepal<strong>en</strong> <strong>en</strong><br />
aan het orgaan, indi<strong>en</strong> aanwezig, dat is belast met toezicht op het beleid <strong>en</strong> de algem<strong>en</strong>e gang van<br />
zak<strong>en</strong> van de bank inzake aangeleg<strong>en</strong>hed<strong>en</strong> met betrekking tot de <strong>interne</strong> controle <strong>en</strong> de g<strong>en</strong>om<strong>en</strong><br />
maatregel<strong>en</strong> in geval van gesignaleerde tekortkoming<strong>en</strong>”.(art. 17a, lid d.)<br />
Het rapporter<strong>en</strong> aan de voorzitters van de raad van bestuur <strong>en</strong> de auditcommissie zal bijdrag<strong>en</strong> aan de<br />
onafhankelijke positie van de <strong>interne</strong> <strong>auditfunctie</strong>.<br />
Principe 5.3<br />
De <strong>interne</strong> <strong>auditfunctie</strong> heeft tot taak te beoordel<strong>en</strong> of de <strong>interne</strong> beheersmaatregel<strong>en</strong> in opzet, bestaan<br />
<strong>en</strong> in werking effectief zijn. Daarbij ziet zij onder meer op de kwaliteit <strong>en</strong> effectiviteit van het<br />
functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> binn<strong>en</strong> de bank. De <strong>interne</strong><br />
<strong>auditfunctie</strong> rapporteert over de bevinding<strong>en</strong> aan de raad van bestuur <strong>en</strong> de auditcommissie.<br />
Toelichting:<br />
Voor de beoordeling van de governance kan gebruik word<strong>en</strong> gemaakt van meerdere standaard<strong>en</strong> van<br />
het IIA over control <strong>en</strong> governance <strong>en</strong> het Besluit prud<strong>en</strong>tiële regels Wft (de wettelijke basis voor de<br />
werkzaamhed<strong>en</strong> van de <strong>interne</strong> <strong>auditfunctie</strong>). Dit besluit gaat nader in op het risicobeheer <strong>en</strong> de<br />
beheersprocess<strong>en</strong> binn<strong>en</strong> de bank, maar spreekt zich niet uit over de beoordeling van de governance<br />
binn<strong>en</strong> de bank. De beoordeling van de governance door de <strong>interne</strong> <strong>auditfunctie</strong> zal zich, teg<strong>en</strong> de<br />
achtergrond van het risicoprofiel <strong>en</strong> de risicobereidheid (risk appetite) van de bank, met name richt<strong>en</strong><br />
op:<br />
• de inrichting van de organisatie (inclusief three lines of def<strong>en</strong>se);<br />
• de taakverdeling inclusief functiescheiding<strong>en</strong>;<br />
• de inrichting van de second line of def<strong>en</strong>se (waaronder risk managem<strong>en</strong>t, compliance <strong>en</strong>);<br />
• de inhoud van mandat<strong>en</strong> <strong>en</strong> procuratieregeling<strong>en</strong>;<br />
• het inricht<strong>en</strong> van het integriteitsbeleid;<br />
• het monitor<strong>en</strong> van de performance;<br />
• het stur<strong>en</strong> op verbeterpot<strong>en</strong>tieel; <strong>en</strong><br />
• het sanctiebeleid bij niet nalev<strong>en</strong> van de regels.<br />
Hierbij zal nadrukkelijk gekek<strong>en</strong> word<strong>en</strong> naar de voorbeeldfunctie van de raad van bestuur (tone at the<br />
top).<br />
Voor de praktische uitwerking van de onderwerp<strong>en</strong> die governance omvatt<strong>en</strong>, betek<strong>en</strong>t dit dat de<br />
<strong>interne</strong> <strong>auditfunctie</strong> het auditplan <strong>en</strong> de risicoanalyse die daaraan t<strong>en</strong> grondslag ligg<strong>en</strong> ter goedkeuring<br />
voorlegt aan de raad van bestuur <strong>en</strong> de auditcommissie. Periodiek rapporteert zij aan deze gremia over<br />
de voortgang van de uitvoering <strong>en</strong> de uitkomst<strong>en</strong> van de uitgevoerde audits. Daarbij toetst de <strong>interne</strong><br />
<strong>auditfunctie</strong> t<strong>en</strong> minste jaarlijks (groepsbreed) de effectiviteit van de organisatie-inrichting <strong>en</strong> de<br />
5<br />
Praktijkhandreiking 1110
procedures <strong>en</strong> maatregel<strong>en</strong> gericht op de beheersing van de risico's die de bank loopt. Zij br<strong>en</strong>gt<br />
daaromtr<strong>en</strong>t rapport uit aan de raad van bestuur <strong>en</strong> de auditcommissie.<br />
In bijgevoegd toetsingskader van bank<strong>en</strong> word<strong>en</strong> elem<strong>en</strong>t<strong>en</strong> met betrekking tot kwaliteit <strong>en</strong><br />
effectiviteit van het functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> binn<strong>en</strong><br />
de bank uite<strong>en</strong>gezet (bijlage 1).<br />
Principe 5.4<br />
Tuss<strong>en</strong> de <strong>interne</strong> <strong>auditfunctie</strong>, de <strong>externe</strong> <strong>accountant</strong> <strong>en</strong> de risico- of auditcommissie van de raad van<br />
commissariss<strong>en</strong> vindt periodiek informatie-uitwisseling plaats. In het kader van deze informatieuitwisseling<br />
is ook de risicoanalyse <strong>en</strong> het auditplan van de <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> van de <strong>externe</strong><br />
<strong>accountant</strong> onderwerp van overleg.<br />
Toelichting:<br />
Dit betreft bestaande praktijk welke voortvloeit uit bov<strong>en</strong>g<strong>en</strong>oemde docum<strong>en</strong>t<strong>en</strong>. E<strong>en</strong> dergelijk<br />
overleg vindt in de praktijk doorgaans t<strong>en</strong> minste jaarlijks plaats.<br />
Principe 5.5<br />
In het kader van de algem<strong>en</strong>e controleopdracht voor de jaarrek<strong>en</strong>ing rapporteert de <strong>externe</strong><br />
<strong>accountant</strong> in zijn verslag aan de raad van bestuur <strong>en</strong> de raad van commissariss<strong>en</strong> zijn bevinding<strong>en</strong><br />
over de kwaliteit <strong>en</strong> effectiviteit van het functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de<br />
beheersprocess<strong>en</strong> binn<strong>en</strong> de bank.<br />
Toelichting:<br />
Hiervoor wordt verwez<strong>en</strong> naar paragraaf 5.<br />
Principe 5.6<br />
De <strong>interne</strong> <strong>auditfunctie</strong> neemt het initiatief om met de Nederlandsche Bank <strong>en</strong> de <strong>externe</strong> <strong>accountant</strong><br />
t<strong>en</strong> minste jaarlijks in e<strong>en</strong> vroegtijdige fase elkaars risicoanalyse,bevinding<strong>en</strong> <strong>en</strong> auditplan te<br />
besprek<strong>en</strong>.<br />
Toelichting:<br />
Dit betreft in veel gevall<strong>en</strong> reeds de bestaande praktijk. Aandachtspunt is met name het vroegtijdig<br />
del<strong>en</strong> van de informatie. Dit strev<strong>en</strong> loopt in lijn met de nieuwe invulling van het tripartiete overleg<br />
waarbij de <strong>interne</strong> <strong>auditfunctie</strong>, de <strong>externe</strong> <strong>accountant</strong> <strong>en</strong> de Nederlandsche Bank meerdere ker<strong>en</strong> per<br />
jaar informatie met elkaar del<strong>en</strong>. Deze gesprekk<strong>en</strong>, die op initiatief van de <strong>interne</strong> <strong>auditfunctie</strong> word<strong>en</strong><br />
opgezet, pass<strong>en</strong> binn<strong>en</strong> het raamwerk van de totale planning van de <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> de <strong>externe</strong><br />
<strong>accountant</strong>.<br />
Van belang is het om bevinding<strong>en</strong>, waaronder afwijking<strong>en</strong> van de code, tijdig te besprek<strong>en</strong> met de<br />
auditcommissie <strong>en</strong> de <strong>externe</strong> <strong>accountant</strong>.<br />
6. Externe <strong>accountant</strong><br />
Op basis van zijn opdracht tot controle van de jaarrek<strong>en</strong>ing van e<strong>en</strong> kredietinstelling rapporteert de<br />
<strong>accountant</strong> in zijn verslag aan de raad van bestuur <strong>en</strong> de raad van commissariss<strong>en</strong> over zijn<br />
bevinding<strong>en</strong> met betrekking tot de kwaliteit <strong>en</strong> effectiviteit van het functioner<strong>en</strong> van de governance,<br />
het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong>, die hij heeft opgedaan in het kader van de algem<strong>en</strong>e<br />
controleopdracht voor de jaarrek<strong>en</strong>ing.<br />
De - als gevolg van de wettelijke verankering van de code ontstane - wettelijke verplichting voor de<br />
<strong>externe</strong> <strong>accountant</strong> tot het rapporter<strong>en</strong> van zijn bevinding<strong>en</strong> over de kwaliteit <strong>en</strong> effectiviteit van het<br />
functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong>, vloeit voort uit de opdracht<br />
tot controle van de jaarrek<strong>en</strong>ing. De <strong>externe</strong> <strong>accountant</strong> zet bij voorkeur in de opdrachtbevestiging de<br />
Koninklijk NIVRA 6
Praktijkhandreiking <strong>Code</strong> <strong>Bank<strong>en</strong></strong>:<br />
<strong>tak<strong>en</strong></strong> <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> <strong>externe</strong> <strong>accountant</strong><br />
aard van de verplichting uite<strong>en</strong> <strong>en</strong> vermeldt dat de werkzaamhed<strong>en</strong> niet zijn gericht op het formuler<strong>en</strong><br />
van e<strong>en</strong> algeheel oordeel over de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong>.<br />
Gelet op de wettelijke bepaling<strong>en</strong> <strong>en</strong> de code, acht<strong>en</strong> de opstellers (wetgever <strong>en</strong> bank<strong>en</strong>) de rapportage<br />
door de <strong>externe</strong> <strong>accountant</strong> in zijn verslag aan de raad van bestuur <strong>en</strong> de raad van commissariss<strong>en</strong> over<br />
zijn bevinding<strong>en</strong> over de kwaliteit <strong>en</strong> effectiviteit van het functioner<strong>en</strong> van de governance, het<br />
risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong>, van belang. De wettelijke bepaling<strong>en</strong> <strong>en</strong> de code gev<strong>en</strong> ge<strong>en</strong><br />
nadere omschrijving van de gehanteerde begripp<strong>en</strong> <strong>en</strong> de verwachting<strong>en</strong> die omtr<strong>en</strong>t de bevinding<strong>en</strong><br />
bestaan.<br />
De formulering in principe 5.5 van de code “In het kader van de algem<strong>en</strong>e controleopdracht voor de<br />
jaarrek<strong>en</strong>ing” impliceert dat dit vereiste niet tot aanvull<strong>en</strong>de werkzaamhed<strong>en</strong> leidt. Hierbij di<strong>en</strong>t de<br />
<strong>externe</strong> <strong>accountant</strong> in acht te nem<strong>en</strong> dat aan de werkzaamhed<strong>en</strong> t<strong>en</strong> behoeve van de controle van de<br />
jaarrek<strong>en</strong>ing bij bank<strong>en</strong>, doorgaans verdergaande eis<strong>en</strong> word<strong>en</strong> gesteld in vergelijking met andere,<br />
niet-gereguleerde, onderneming<strong>en</strong>, onder meer als gevolg van:<br />
• Het maatschappelijke belang van bank<strong>en</strong>.<br />
• De betrokk<strong>en</strong>heid van toezichthouders.<br />
• Het belang van naleving van wet- <strong>en</strong> regelgeving (compliance <strong>en</strong> integriteit). <strong>en</strong><br />
• De complexiteit van bedrijfsprocess<strong>en</strong>.<br />
Voor e<strong>en</strong> uite<strong>en</strong>zetting van de extra eis<strong>en</strong> die gesteld word<strong>en</strong> aan de werkzaamhed<strong>en</strong> van de <strong>externe</strong><br />
<strong>accountant</strong> wordt verwez<strong>en</strong> naar de NIVRA-praktijkhandreiking 1104, g<strong>en</strong>aamd ‘De wettelijke<br />
verplichting<strong>en</strong> van de <strong>accountant</strong> die de jaarrek<strong>en</strong>ing of de stat<strong>en</strong> controleert van e<strong>en</strong> financiële<br />
onderneming of e<strong>en</strong> p<strong>en</strong>sio<strong>en</strong>fonds’.<br />
De <strong>externe</strong> <strong>accountant</strong> br<strong>en</strong>gt gewoonlijk de bevinding<strong>en</strong> die hij opdoet bij de controle van de<br />
jaarrek<strong>en</strong>ing, indi<strong>en</strong> <strong>en</strong> voor zover relevant voor de controle van de jaarrek<strong>en</strong>ing, onder de aandacht<br />
van de bestuurders <strong>en</strong> de raad van commissariss<strong>en</strong>. Deze bevinding<strong>en</strong> kunn<strong>en</strong> ook de governance, het<br />
risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> betreff<strong>en</strong>, voor zover deze van invloed zijn op de jaarrek<strong>en</strong>ing.<br />
De <strong>externe</strong> <strong>accountant</strong> kan bij de controle van de jaarrek<strong>en</strong>ing ook bevinding<strong>en</strong> opdo<strong>en</strong> die niet van<br />
invloed zijn op de jaarrek<strong>en</strong>ing. Deze kunn<strong>en</strong>, vanuit e<strong>en</strong> andere invalshoek, wel van belang zijn voor<br />
de onderneming <strong>en</strong> haar belanghebb<strong>en</strong>d<strong>en</strong>. De <strong>externe</strong> <strong>accountant</strong> br<strong>en</strong>gt deze op grond van de code<br />
ook onder de aandacht van de bestuurders <strong>en</strong> de raad van commissariss<strong>en</strong>. Hierbij kan gedacht word<strong>en</strong><br />
aan:<br />
• Sam<strong>en</strong>stelling raad van bestuur <strong>en</strong> raad van commissariss<strong>en</strong>.<br />
• Bestaan <strong>en</strong> sam<strong>en</strong>stelling van verbijzonderde commissies (auditcommissie, risicocommissie).<br />
• Vergaderfrequ<strong>en</strong>tie <strong>en</strong> onderwerp<strong>en</strong> van overleg bestuursorgan<strong>en</strong>. <strong>en</strong><br />
• Risicoprofiel, risicoperceptie <strong>en</strong> risicobeheersing.<br />
De <strong>externe</strong> <strong>accountant</strong> maakt bij zijn werkzaamhed<strong>en</strong> voor de controle van de jaarrek<strong>en</strong>ing bij bank<strong>en</strong><br />
veelal gebruik van de werkzaamhed<strong>en</strong> van de <strong>interne</strong> <strong>auditfunctie</strong>. Daartoe neemt de <strong>externe</strong><br />
<strong>accountant</strong> onder meer k<strong>en</strong>nis van de onderzoek<strong>en</strong> die door de <strong>interne</strong> <strong>auditfunctie</strong> zijn uitgevoerd die<br />
relevant kunn<strong>en</strong> zijn voor zijn oordeelsvorming over de jaarrek<strong>en</strong>ing. Indi<strong>en</strong> <strong>en</strong> voor zover hij daarbij<br />
k<strong>en</strong>nis neemt van bevinding<strong>en</strong> van de <strong>interne</strong> <strong>auditfunctie</strong> die relevant kunn<strong>en</strong> zijn voor de kwaliteit<br />
<strong>en</strong> effectiviteit van het functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> zoals<br />
bedoeld in de <strong>Code</strong> <strong>Bank<strong>en</strong></strong>, br<strong>en</strong>gt hij deze ook onder de aandacht van de raad van bestuur <strong>en</strong> de raad<br />
van commissariss<strong>en</strong>.<br />
De <strong>externe</strong> <strong>accountant</strong> baseert zich voor zijn bevinding<strong>en</strong> op algeme<strong>en</strong> aanvaarde beginsel<strong>en</strong> voor de<br />
kwaliteit van de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> alsmede op voor bank<strong>en</strong><br />
relevante wet- <strong>en</strong> regelgeving. Zie voor de governance-aandachtspunt<strong>en</strong> hetge<strong>en</strong> g<strong>en</strong>oemd is bij de<br />
toelichting van principe 5.3.<br />
7<br />
Praktijkhandreiking 1110
Gelet op de reikwijdte van zijn werkzaamhed<strong>en</strong> die bedoeld zijn om tot e<strong>en</strong> oordeel over de<br />
jaarrek<strong>en</strong>ing te kom<strong>en</strong>, doet de <strong>externe</strong> <strong>accountant</strong> ge<strong>en</strong> specifiek onderzoek naar de kwaliteit <strong>en</strong><br />
effectiviteit van het functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong>. De<br />
<strong>externe</strong> <strong>accountant</strong> zal bij zijn werkzaamhed<strong>en</strong> wel k<strong>en</strong>nisnem<strong>en</strong> van aspect<strong>en</strong> betreff<strong>en</strong>de dit<br />
onderwerp, veelal zonder dat hij daarvan e<strong>en</strong> volledig beeld verkrijgt. De <strong>externe</strong> <strong>accountant</strong> draagt<br />
niettemin zorg voor e<strong>en</strong> deugdelijke grondslag voor zijn (deel)bevinding<strong>en</strong>.<br />
In bijlage 2 zijn aandachtspunt<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> voor de <strong>externe</strong> <strong>accountant</strong> die de jaarrek<strong>en</strong>ing van e<strong>en</strong><br />
bank controleert, betreff<strong>en</strong>de de <strong>Code</strong> <strong>Bank<strong>en</strong></strong>.<br />
Koninklijk NIVRA 8
Bijlage 1 Aandachtspunt<strong>en</strong> voor de <strong>interne</strong> <strong>auditfunctie</strong><br />
IIA 2110 - Governance<br />
Praktijkhandreiking <strong>Code</strong> <strong>Bank<strong>en</strong></strong>:<br />
<strong>tak<strong>en</strong></strong> <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> <strong>externe</strong> <strong>accountant</strong><br />
The internal audit activity must assess and make appropriate recomm<strong>en</strong>dations for improving the<br />
governance process in its accomplishm<strong>en</strong>t of the following objectives:<br />
• Promoting appropriate ethics and values within the organization;<br />
• Ensuring effective organizational performance managem<strong>en</strong>t and accountability;<br />
• Communicating risk and control information to appropriate areas of the organization;<br />
• Coordinating the activities of and communicating information among the board, external and<br />
internal auditors, and managem<strong>en</strong>t.<br />
2110.A1 - The internal audit activity must evaluate the design, implem<strong>en</strong>tation, and effectiv<strong>en</strong>ess of<br />
the organization's ethics-related objectives, programs, and activities.<br />
2110.A2 - The internal audit activity must assess whether the information technology governance of<br />
the organization sustains and supports the organization's strategies and objectives.<br />
2110.C1 - Consulting <strong>en</strong>gagem<strong>en</strong>t objectives must be consist<strong>en</strong>t with the overall values and goals of<br />
the organization.<br />
IIA 2130 - Control<br />
The internal audit activity must assist the organization in maintaining effective controls by evaluating<br />
their effectiv<strong>en</strong>ess and effici<strong>en</strong>cy and by promoting continuous improvem<strong>en</strong>t.<br />
2130.A1 - The internal audit activity must evaluate the adequacy and effectiv<strong>en</strong>ess of controls in<br />
responding to risks within the organization's governance, operations, and information systems<br />
regarding the:<br />
• Reliability and integrity of financial and operational information;<br />
• Effectiv<strong>en</strong>ess and effici<strong>en</strong>cy of operations;<br />
• Safeguarding of assets; and<br />
• Compliance with laws, regulations, and contracts.<br />
2130.A2 - Internal auditors should ascertain the ext<strong>en</strong>t to which operating and program goals and<br />
objectives have be<strong>en</strong> established and conform to those of the organization.<br />
2130.A3 - Internal auditors should review operations and programs to ascertain the ext<strong>en</strong>t to which<br />
results are consist<strong>en</strong>t with established goals and objectives to determine whether operations and<br />
programs are being implem<strong>en</strong>ted or performed as int<strong>en</strong>ded.<br />
2130.C1 - During consulting <strong>en</strong>gagem<strong>en</strong>ts, internal auditors must address controls consist<strong>en</strong>t<br />
with the <strong>en</strong>gagem<strong>en</strong>t's objectives and be alert to significant control issues.<br />
2130.C2 - Internal auditors must incorporate knowledge of controls gained from consulting<br />
<strong>en</strong>gagem<strong>en</strong>ts into evaluation of the organization's control processes.<br />
9<br />
Praktijkhandreiking 1110
Vervolg Bijlage 1 Aandachtspunt<strong>en</strong> voor de <strong>interne</strong> <strong>auditfunctie</strong><br />
Toetsingskader governance voor bank<strong>en</strong><br />
1. De bank richt de bedrijfsvoering zodanig in dat voorzi<strong>en</strong> wordt in e<strong>en</strong> beheerste <strong>en</strong> integere<br />
uitoef<strong>en</strong>ing van haar bedrijf.<br />
2. De bank heeft e<strong>en</strong> goed overzicht van <strong>en</strong> inzicht in het reil<strong>en</strong> <strong>en</strong> zeil<strong>en</strong> van alle groepsonderdel<strong>en</strong><br />
die in materieel opzicht relevant zijn.<br />
3. De bank k<strong>en</strong>t e<strong>en</strong> duidelijke <strong>en</strong> adequate organisatiestructuur die e<strong>en</strong> goede <strong>interne</strong> beheersing<br />
faciliteert.<br />
4. De organisatie-inrichting <strong>en</strong> de wijze waarop invulling wordt gegev<strong>en</strong> aan de <strong>interne</strong> beheersing<br />
van de key-bedrijfsprocess<strong>en</strong> zijn systematisch <strong>en</strong> toegankelijk vastgelegd.<br />
5. De bank houdt intern periodiek de strategie <strong>en</strong> de doelstelling<strong>en</strong> teg<strong>en</strong> het licht, past deze zo<br />
nodig aan op basis van verander<strong>en</strong>de omstandighed<strong>en</strong> <strong>en</strong> deelt de uitkomst<strong>en</strong> hiervan met haar<br />
medewerkers.<br />
6. De bank beschikt over helder geformuleerde beleidsuitgangspunt<strong>en</strong> die gericht zijn op<br />
risicobeheersing <strong>en</strong> integer handel<strong>en</strong>.<br />
7. De bank zorgt voor e<strong>en</strong> systematisch uit te voer<strong>en</strong> risicoanalyse gericht op het id<strong>en</strong>tificer<strong>en</strong>,<br />
met<strong>en</strong> <strong>en</strong> evaluer<strong>en</strong> van alle relevante bedrijfsrisico's.<br />
8. De risicoanalyse wordt uitgevoerd of begeleid door deskundig<strong>en</strong> die onafhankelijk zijn van de<br />
functies die verantwoording aflegg<strong>en</strong> over de commerciële <strong>en</strong>/of financiële prestaties van de<br />
bank.<br />
9. De bank voert beleid gericht op het beheers<strong>en</strong> van relevante risico’s. Onder relevante risico’s,<br />
word<strong>en</strong> in het bijzonder verstaan het conc<strong>en</strong>tratierisico, krediet- <strong>en</strong> teg<strong>en</strong>partijrisico,<br />
liquiditeitsrisico, marktrisico, operationeel risico, r<strong>en</strong>terisico voortvloei<strong>en</strong>d uit niet<br />
handelsactiviteit<strong>en</strong>, restrisico, securitisatierisico <strong>en</strong> verzekeringsrisico. De bank houdt tev<strong>en</strong>s<br />
rek<strong>en</strong>ing met de risico’s die voortvloei<strong>en</strong> uit de macro-economische omgeving waarin zij opereert<br />
<strong>en</strong> die verband houd<strong>en</strong> met de stand van de conjunctuurcyclus.<br />
10. De bank draagt zorg voor de uitwerking <strong>en</strong> implem<strong>en</strong>tatie van de beleidsuitgangspunt<strong>en</strong> in<br />
organisatorische <strong>en</strong> administratieve procedures <strong>en</strong> maatregel<strong>en</strong>.<br />
11. De procedures <strong>en</strong> maatregel<strong>en</strong> bestaan onder meer uit autorisatieprocedures, limietstelling<strong>en</strong>,<br />
limietbewaking <strong>en</strong> procedures <strong>en</strong> maatregel<strong>en</strong> voor noodsituaties <strong>en</strong> zijn afgestemd op de aard, de<br />
omvang, het risicoprofiel <strong>en</strong> de complexiteit van de werkzaamhed<strong>en</strong> van de bank.<br />
12. De bank draagt zorg voor e<strong>en</strong> systematisch toezicht op de naleving van organisatorische <strong>en</strong><br />
administratieve procedures <strong>en</strong> maatregel<strong>en</strong> die gericht zijn e<strong>en</strong> adequate risicobeheersing <strong>en</strong><br />
integer handel<strong>en</strong>.<br />
13. De bank beschikt over e<strong>en</strong> onafhankelijke risicobeheerfunctie die op systematische wijze e<strong>en</strong><br />
onafhankelijk risicobeheer uitvoert dat gericht is op het id<strong>en</strong>tificer<strong>en</strong>, met<strong>en</strong> <strong>en</strong> evaluer<strong>en</strong> van de<br />
risico’s waaraan de bank is of kan word<strong>en</strong> blootgesteld.<br />
Koninklijk NIVRA 10
Praktijkhandreiking <strong>Code</strong> <strong>Bank<strong>en</strong></strong>:<br />
<strong>tak<strong>en</strong></strong> <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> <strong>externe</strong> <strong>accountant</strong><br />
14. De bank draagt zorg voor e<strong>en</strong> e<strong>en</strong>duidige verdeling van <strong>tak<strong>en</strong></strong>, verantwoordelijkhed<strong>en</strong> <strong>en</strong><br />
bevoegdhed<strong>en</strong> <strong>en</strong> daarop afgestemde rapportagelijn<strong>en</strong> <strong>en</strong> heeft deze systematisch vastgelegd.<br />
15. De bank zorgt voor toereik<strong>en</strong>de functiescheiding<strong>en</strong> om in e<strong>en</strong> beheerste <strong>en</strong> integere<br />
bedrijfsvoering te voorzi<strong>en</strong>.<br />
16. De bank zorgt ervoor dat de recht<strong>en</strong> <strong>en</strong> verplichting<strong>en</strong> die door de bank word<strong>en</strong> aangegaan<br />
administratief goed word<strong>en</strong> vastgelegd.<br />
17. De bank beschikt over e<strong>en</strong> adequaat systeem van informatievoorzi<strong>en</strong>ing waarbij de uitkomst<strong>en</strong><br />
van de bedrijfsvoering goed word<strong>en</strong> vastgelegd <strong>en</strong> gerapporteerd, zodanig dat tijdig inzicht<br />
bestaat in de (groepsbreed) gelop<strong>en</strong> risico's.<br />
18. De bank beschikt over (beschrev<strong>en</strong>) procedures <strong>en</strong> maatregel<strong>en</strong> die moet<strong>en</strong> voorkom<strong>en</strong> dat er<br />
oneig<strong>en</strong>lijk gebruik gemaakt wordt van informatie.<br />
19. De bank beschikt over (beschrev<strong>en</strong>) procedures <strong>en</strong> maatregel<strong>en</strong> die het ongestoord <strong>en</strong><br />
betrouwbaar functioner<strong>en</strong> van de kritische bedrijfsprocess<strong>en</strong> waarborg<strong>en</strong>. Deze zijn gericht op:<br />
a. het beheers<strong>en</strong> van de bedrijfsprocess<strong>en</strong> <strong>en</strong> bedrijfsrisico's;<br />
b. het borg<strong>en</strong> van de integriteit van haar medewerkers <strong>en</strong> klant<strong>en</strong> om te voorkom<strong>en</strong> dat het<br />
vertrouw<strong>en</strong> in de bank of de financiële markt<strong>en</strong> ernstig kan word<strong>en</strong> geschaad;<br />
c. het zekerstell<strong>en</strong> van de soliditeit van de bank.<br />
20. De bank draagt zorg voor e<strong>en</strong> systematische toetsing <strong>en</strong> beoordeling van de <strong>interne</strong> beheersing.<br />
Dit kan plaatsvind<strong>en</strong> door het lijnmanagem<strong>en</strong>t (first line of def<strong>en</strong>se), groepsonderdel<strong>en</strong> die<br />
opgesteld staan voor de adequate beheersing van de risico's (zoals control, compliance <strong>en</strong> risk<br />
managem<strong>en</strong>t als zijnde de second line of def<strong>en</strong>se) of de <strong>interne</strong> <strong>auditfunctie</strong>.<br />
21. De opdracht van de bank aan de <strong>externe</strong> <strong>accountant</strong> tot onderzoek van de jaarrek<strong>en</strong>ing voorziet in<br />
e<strong>en</strong> toetsing <strong>en</strong> beoordeling op hoofdlijn<strong>en</strong> met betrekking tot de toereik<strong>en</strong>dheid van de<br />
organisatie-inrichting <strong>en</strong> risicobeheersing.<br />
22. De raad van bestuur maakt duidelijk wie binn<strong>en</strong> dat gremium primair verantwoordelijk is voor elk<br />
van de te onderscheid<strong>en</strong> risicogebied<strong>en</strong>.<br />
23. De raad van bestuur draagt zorg voor het uitdrag<strong>en</strong> van de bankeig<strong>en</strong> norm<strong>en</strong> <strong>en</strong> waard<strong>en</strong>.<br />
businessethiek vormt hier e<strong>en</strong> belangrijk onderdeel van. Dit onderwerp is weer e<strong>en</strong> onderdeel van<br />
het perman<strong>en</strong>te educatieprogramma van de raad van bestuur.<br />
24. De raad van bestuur draagt er zorg voor dat:<br />
a. zijn taakverdeling <strong>en</strong> werkwijze in e<strong>en</strong> reglem<strong>en</strong>t zijn vastgelegd;<br />
b. hij regelmatig (t<strong>en</strong> minste vierwekelijks) vergadert;<br />
c. schriftelijk verslag doet van zijn vergadering<strong>en</strong>.<br />
25. De raad van bestuur draagt er zorg voor dat de uitgangspunt<strong>en</strong> als verwoord in de Nederlandse<br />
Corporate Governance <strong>Code</strong> word<strong>en</strong> nagekom<strong>en</strong>.<br />
26. De raad van bestuur draagt er zorg voor dat de bepaling<strong>en</strong> als opg<strong>en</strong>om<strong>en</strong> in de <strong>Code</strong> <strong>Bank<strong>en</strong></strong><br />
word<strong>en</strong> nagekom<strong>en</strong>.<br />
27. De raad van bestuur draagt er zorg voor dat in het jaarverslag melding gemaakt wordt dat de<br />
<strong>interne</strong> risicobeheersings- <strong>en</strong> controlesystem<strong>en</strong> e<strong>en</strong> redelijke mate van zekerheid gev<strong>en</strong> dat de<br />
11<br />
Praktijkhandreiking 1110
financiële verslaggeving ge<strong>en</strong> onjuisthed<strong>en</strong> van materieel belang bevat <strong>en</strong> dat deze system<strong>en</strong> in<br />
het verslagjaar naar behor<strong>en</strong> hebb<strong>en</strong> gewerkt.<br />
28. De raad van bestuur draagt er zorg voor dat elke (schijn van) verstr<strong>en</strong>geling tuss<strong>en</strong> de<br />
privébelang<strong>en</strong> of andere functies van zijn led<strong>en</strong> <strong>en</strong> de zakelijke belang<strong>en</strong> van de bank wordt<br />
vermed<strong>en</strong>.<br />
29. De raad van bestuur draagt er zorg voor dat de raad van commissariss<strong>en</strong> tijdig beschikt over alle<br />
relevante <strong>interne</strong> <strong>en</strong> <strong>externe</strong> informatie die noodzakelijk is voor de uitoef<strong>en</strong>ing van zijn wettelijke<br />
<strong>en</strong> statutaire <strong>tak<strong>en</strong></strong>.<br />
Koninklijk NIVRA 12
Bijlage 2: Aandachtpunt<strong>en</strong> voor de <strong>externe</strong> <strong>accountant</strong><br />
Praktijkhandreiking <strong>Code</strong> <strong>Bank<strong>en</strong></strong>:<br />
<strong>tak<strong>en</strong></strong> <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> <strong>externe</strong> <strong>accountant</strong><br />
Inleiding<br />
In deze bijlage zijn aandachtspunt<strong>en</strong> betreff<strong>en</strong>de de <strong>Code</strong> <strong>Bank<strong>en</strong></strong> opg<strong>en</strong>om<strong>en</strong> voor de <strong>externe</strong><br />
<strong>accountant</strong> die de jaarrek<strong>en</strong>ing van e<strong>en</strong> bank controleert.<br />
Doel<br />
Deze bijlage is e<strong>en</strong> hulpmiddel bij het signaler<strong>en</strong> <strong>en</strong> rapporter<strong>en</strong> door de <strong>externe</strong> <strong>accountant</strong> van<br />
bevinding<strong>en</strong> over de kwaliteit <strong>en</strong> effectiviteit van het functioner<strong>en</strong> van de governance, het risicobeheer<br />
<strong>en</strong> de beheersprocess<strong>en</strong>. De inhoud is niet uitputt<strong>en</strong>d. De <strong>externe</strong> <strong>accountant</strong> zal zijn werkzaamhed<strong>en</strong><br />
aanpass<strong>en</strong> aan de specifieke omstandighed<strong>en</strong>.<br />
Norm<strong>en</strong><br />
De <strong>externe</strong> <strong>accountant</strong> baseert zich voor zijn bevinding<strong>en</strong> op algeme<strong>en</strong> aanvaarde beginsel<strong>en</strong> voor de<br />
kwaliteit van de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> alsmede op voor bank<strong>en</strong><br />
relevante wet- <strong>en</strong> regelgeving.<br />
<strong>Bank<strong>en</strong></strong> met e<strong>en</strong> vergunning zoals bedoeld in de Wft di<strong>en</strong><strong>en</strong> de bepaling<strong>en</strong> van <strong>en</strong> ingevolge de Wft na<br />
te lev<strong>en</strong>. Bepaalde aspect<strong>en</strong> betreff<strong>en</strong>de governance, risicobeheer <strong>en</strong> beheersprocess<strong>en</strong> word<strong>en</strong><br />
behandeld in:<br />
• Wet op het financieel toezicht (Wft), Hoofdstuk 3.3 Regels voor het werkzaam zijn op de<br />
financiële markt<strong>en</strong><br />
− Afdeling 3.3.2 Deskundigheid, betrouwbaarheid <strong>en</strong> integriteit<br />
− Afdeling 3.3.3 Structurering <strong>en</strong> inrichting<br />
− Afdeling 3.3.4 Overige bepaling<strong>en</strong><br />
• Besluit prud<strong>en</strong>tiële regels Wft (Bpr)<br />
− Hoofdstuk 3 Integere uitoef<strong>en</strong>ing van het bedrijf<br />
− Hoofdstuk 4 Beheerste uitoef<strong>en</strong>ing van het bedrijf<br />
− Hoofdstuk 5 Uitbesteding van werkzaamhed<strong>en</strong><br />
De bepaling<strong>en</strong> waarnaar hierbov<strong>en</strong> verwez<strong>en</strong> wordt zijn bij de totstandkoming van de Wft gebaseerd<br />
op de meer gedetailleerde bepaling<strong>en</strong> van regeling<strong>en</strong> van de Nederlandsche Bank. Hoewel deze<br />
regeling<strong>en</strong> bij de invoering van de Wft zijn vervall<strong>en</strong>, gev<strong>en</strong> zij e<strong>en</strong> goed beeld van hetge<strong>en</strong> met de<br />
bepaling<strong>en</strong> van de Wft <strong>en</strong> het Bpr wordt bedoeld. Het betreft de volg<strong>en</strong>de regeling<strong>en</strong>.<br />
• Regeling organisatie <strong>en</strong> beheersing.<br />
• Regeling bestuurderskrediet<strong>en</strong>.<br />
• Regeling afgeschermde rek<strong>en</strong>ing<strong>en</strong>.<br />
• Regeling incid<strong>en</strong>t<strong>en</strong> kredietinstelling<strong>en</strong> <strong>en</strong> verzekeraars.<br />
• Regeling integriteitsgevoelige functies.<br />
• Regeling CDD kredietinstelling<strong>en</strong>.<br />
In de Nederlandse Corporate Governance <strong>Code</strong> zijn de norm<strong>en</strong> vastgelegd die van toepassing zijn op<br />
zog<strong>en</strong>oemde beursv<strong>en</strong>nootschapp<strong>en</strong>:<br />
• V<strong>en</strong>nootschapp<strong>en</strong> met statutaire zetel in Nederland waarvan de aandel<strong>en</strong> of certificat<strong>en</strong> van<br />
aandel<strong>en</strong> zijn toegelat<strong>en</strong> tot e<strong>en</strong> effect<strong>en</strong>beurs, of meer specifiek tot de handel van e<strong>en</strong><br />
gereglem<strong>en</strong>teerde markt of e<strong>en</strong> daarmee vergelijkbaar systeem.<br />
• Grote v<strong>en</strong>nootschapp<strong>en</strong> met statutaire zetel in Nederland (> € 500 miljo<strong>en</strong> balanswaarde)<br />
waarvan de aandel<strong>en</strong> of certificat<strong>en</strong> zijn toegelat<strong>en</strong> tot de handel op e<strong>en</strong> multilaterale<br />
handelsfaciliteit of e<strong>en</strong> daarmee vergelijkbaar systeem.<br />
met uitzondering van:<br />
• Beleggingsmaatschappij<strong>en</strong> die ge<strong>en</strong> beheerder zijn in de zin van artikel 1:1 Wft.<br />
13<br />
Praktijkhandreiking 1110
Houders van aandel<strong>en</strong> word<strong>en</strong> gelijk gesteld met houders van certificat<strong>en</strong> van aandel<strong>en</strong> welke met<br />
medewerking van de v<strong>en</strong>nootschap zijn uitgegev<strong>en</strong>.<br />
Andere bronn<strong>en</strong> zijn:<br />
• The Principles of Corporate Governance - Organisation for Economic Co-operation and<br />
Developm<strong>en</strong>t (OECD)<br />
• Internal Control Framework - Committee of Sponsoring Organizations of the Treadway<br />
Commission (COSO);<br />
• Enhancing corporate governance for banking organisations - Bank for International<br />
Settlem<strong>en</strong>ts (BIS).<br />
De principes van de <strong>Code</strong> <strong>Bank<strong>en</strong></strong> waarmee de <strong>externe</strong> <strong>accountant</strong> bij de controle van de jaarrek<strong>en</strong>ing<br />
kan word<strong>en</strong> geconfronteerd betreff<strong>en</strong> de volg<strong>en</strong>de onderwerp<strong>en</strong>.<br />
• E<strong>en</strong> bank vermeldt volg<strong>en</strong>s de code elk jaar in haar jaarverslag op welke wijze zij de principes<br />
van de code in het voorafgaande jaar heeft toegepast <strong>en</strong> zet, indi<strong>en</strong> van toepassing,<br />
gemotiveerd uite<strong>en</strong> waarom e<strong>en</strong> principe ev<strong>en</strong>tueel niet (volledig) is toegepast. De <strong>externe</strong><br />
<strong>accountant</strong> toetst ingevolge artikel 2:393 lid 5 onder f BW of het jaarverslag, voor zover hij<br />
dat kan beoordel<strong>en</strong>, ver<strong>en</strong>igbaar is met de jaarrek<strong>en</strong>ing. Wanneer hem informatie bek<strong>en</strong>d is op<br />
grond waarvan hij tot de conclusie komt dat de weergave over de toepassing van de principes<br />
in het (concept)jaarverslag onjuist is, maakt hij dat k<strong>en</strong>baar aan de raad van bestuur <strong>en</strong> de raad<br />
van commissariss<strong>en</strong>.<br />
• Van de <strong>externe</strong> <strong>accountant</strong> mag word<strong>en</strong> verwacht dat hij bij zijn werkzaamhed<strong>en</strong> k<strong>en</strong>nis neemt<br />
van de sam<strong>en</strong>stelling van de raad van commissariss<strong>en</strong> <strong>en</strong> de raad van bestuur <strong>en</strong> deze zou<br />
kunn<strong>en</strong> toets<strong>en</strong> aan de principes van de code. De deskundigheid van de led<strong>en</strong> van de raad van<br />
commissariss<strong>en</strong> <strong>en</strong> de raad van bestuur is in het kader van zijn werkzaamhed<strong>en</strong> nauwelijks<br />
toetsbaar door de <strong>externe</strong> <strong>accountant</strong>. De <strong>externe</strong> <strong>accountant</strong> zal over de deskundigheid<br />
daarom ge<strong>en</strong> bevinding<strong>en</strong> kunn<strong>en</strong> meld<strong>en</strong>. De <strong>externe</strong> <strong>accountant</strong> neemt ook in zekere mate<br />
k<strong>en</strong>nis van de <strong>tak<strong>en</strong></strong> <strong>en</strong> werkwijz<strong>en</strong> van de raad van commissariss<strong>en</strong> <strong>en</strong> de raad van bestuur <strong>en</strong><br />
zal deze t<strong>en</strong> dele kunn<strong>en</strong> toets<strong>en</strong> aan de principes van de code.<br />
• Het risicomanagem<strong>en</strong>t behoort tot het aandachtsgebied van de <strong>externe</strong> <strong>accountant</strong> voor zover<br />
het van betek<strong>en</strong>is is voor de financiële verantwoording. Omdat gebrekkig risicomanagem<strong>en</strong>t<br />
niet alle<strong>en</strong> van directe invloed kan zijn op de cijfers maar ook indirect van financiële betek<strong>en</strong>is<br />
kan zijn (bijvoorbeeld door aantasting van de goede naam van de bank hetge<strong>en</strong> kan leid<strong>en</strong> tot<br />
bedreiging van de continuïteit, boetes door toezichthouders of intrekk<strong>en</strong> van de vergunning)<br />
zal de <strong>externe</strong> <strong>accountant</strong> doorgaans ruime aandacht gev<strong>en</strong> aan risicobeheersing.<br />
• Het beloningsbeleid als zodanig is ge<strong>en</strong> aandachtsgebied van de <strong>externe</strong> <strong>accountant</strong> bij de<br />
controle van de jaarrek<strong>en</strong>ing. Bij onderzoek naar individuele beloning<strong>en</strong> zal de <strong>externe</strong><br />
<strong>accountant</strong> niettemin kunn<strong>en</strong> vaststell<strong>en</strong> of deze zijn vastgesteld binn<strong>en</strong> het daartoe bepaalde<br />
beleid, waarbij tev<strong>en</strong>s aandacht kan word<strong>en</strong> besteed aan ‘ret<strong>en</strong>tie-, exit- <strong>en</strong><br />
welkomstpakkett<strong>en</strong>’ zoals g<strong>en</strong>oemd in de code.<br />
Gebruikmak<strong>en</strong> van de werkzaamhed<strong>en</strong> van de <strong>interne</strong> <strong>auditfunctie</strong><br />
<strong>Bank<strong>en</strong></strong> beschikk<strong>en</strong> doorgaans over e<strong>en</strong> <strong>interne</strong> <strong>auditfunctie</strong> waarvan de <strong>externe</strong> <strong>accountant</strong> bij het<br />
uitvoer<strong>en</strong> van zijn werkzaamhed<strong>en</strong> voor de controle van de jaarrek<strong>en</strong>ing gebruik maakt. De <strong>externe</strong><br />
<strong>accountant</strong> neemt k<strong>en</strong>nis van de door de <strong>interne</strong> <strong>auditfunctie</strong> uitgevoerde werkzaamhed<strong>en</strong> <strong>en</strong> toetst de<br />
kwaliteit <strong>en</strong> de bruikbaarheid van deze werkzaamhed<strong>en</strong> voor zijn onderzoeksdoel. Wanneer hij hierbij<br />
k<strong>en</strong>nis neemt van informatie over de kwaliteit <strong>en</strong> effectiviteit van het functioner<strong>en</strong> van de governance,<br />
het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong>, br<strong>en</strong>gt hij deze (ook) onder de aandacht van de raad van<br />
bestuur <strong>en</strong> de raad van commissariss<strong>en</strong>.<br />
De <strong>interne</strong> <strong>auditfunctie</strong> vervult e<strong>en</strong> specifieke rol in de <strong>Code</strong> <strong>Bank<strong>en</strong></strong>. Volg<strong>en</strong>s principe 5.3 heeft de<br />
<strong>interne</strong> <strong>auditfunctie</strong> tot taak te beoordel<strong>en</strong> of de <strong>interne</strong> beheersmaatregel<strong>en</strong> in opzet, bestaan <strong>en</strong> in<br />
werking effectief zijn. Daarbij ziet zij volg<strong>en</strong>s de code onder meer op de kwaliteit <strong>en</strong> effectiviteit van<br />
Koninklijk NIVRA 14
Praktijkhandreiking <strong>Code</strong> <strong>Bank<strong>en</strong></strong>:<br />
<strong>tak<strong>en</strong></strong> <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> <strong>externe</strong> <strong>accountant</strong><br />
het functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong> binn<strong>en</strong> de bank. De<br />
<strong>interne</strong> <strong>auditfunctie</strong> rapporteert over de bevinding<strong>en</strong> aan de raad van bestuur <strong>en</strong> de auditcommissie.<br />
De <strong>externe</strong> <strong>accountant</strong> van e<strong>en</strong> bank neemt k<strong>en</strong>nis van de uitkomst<strong>en</strong> van deze beoordeling <strong>en</strong><br />
bespreekt deze met de <strong>interne</strong> <strong>auditfunctie</strong>. De <strong>externe</strong> <strong>accountant</strong> stelt vast dat belangrijke<br />
bevinding<strong>en</strong> van de <strong>interne</strong> <strong>auditfunctie</strong> onder de aandacht van de raad van bestuur <strong>en</strong> de<br />
auditcommissie zijn gebracht. Wanneer de <strong>externe</strong> <strong>accountant</strong> k<strong>en</strong>nis neemt van belangrijke<br />
beperking<strong>en</strong> of gebrek<strong>en</strong> bij de uitvoering van de werkzaamhed<strong>en</strong> door de <strong>interne</strong> <strong>auditfunctie</strong>, dan<br />
br<strong>en</strong>gt hij deze bevinding<strong>en</strong> ook onder de aandacht van de raad van bestuur <strong>en</strong> de raad van<br />
commissariss<strong>en</strong>.<br />
Bij zijn werkzaamhed<strong>en</strong> neemt de <strong>externe</strong> <strong>accountant</strong> in acht dat de reikwijdte van de werkzaamhed<strong>en</strong><br />
van de <strong>interne</strong> <strong>auditfunctie</strong> beperkt is tot de bank <strong>en</strong> haar raad van bestuur. De reikwijdte van het<br />
begrip governance van de <strong>Code</strong> <strong>Bank<strong>en</strong></strong> is ruimer <strong>en</strong> omvat mede de raad van commissariss<strong>en</strong> <strong>en</strong> haar<br />
commissies.<br />
Rapportage over bevinding<strong>en</strong><br />
De <strong>externe</strong> <strong>accountant</strong> rapporteert volg<strong>en</strong>s de code in zijn verslag (brief van bevinding<strong>en</strong> of<br />
managem<strong>en</strong>t letter) aan de raad van bestuur <strong>en</strong> de raad van commissariss<strong>en</strong> over zijn bevinding<strong>en</strong> over<br />
de kwaliteit <strong>en</strong> effectiviteit van het functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de<br />
beheersprocess<strong>en</strong>. Daar<strong>en</strong>bov<strong>en</strong> heeft de <strong>externe</strong> <strong>accountant</strong> met <strong>en</strong>ige regelmaat contact <strong>en</strong> overleg<br />
met de raad van bestuur, de raad van commissariss<strong>en</strong> <strong>en</strong>/of de auditcommissie. Tijd<strong>en</strong>s dit overleg<br />
word<strong>en</strong> de bevinding<strong>en</strong> zoals hiervoor bedoeld ook aan de orde gesteld.<br />
Voorbeeldtekst aanvull<strong>en</strong>de paragraaf opdrachtbrief<br />
Ingevolge de (wettelijke bepaling<strong>en</strong>) / <strong>Code</strong> <strong>Bank<strong>en</strong></strong> rapporteert de <strong>externe</strong> <strong>accountant</strong> in het kader van<br />
de algem<strong>en</strong>e controleopdracht voor de jaarrek<strong>en</strong>ing in zijn verslag aan de raad van bestuur <strong>en</strong> de raad<br />
van commissariss<strong>en</strong> zijn bevinding<strong>en</strong> over de kwaliteit <strong>en</strong> effectiviteit van het functioner<strong>en</strong> van de<br />
governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong>.<br />
Wij zijn met u overe<strong>en</strong>gekom<strong>en</strong> dat wij de bevinding<strong>en</strong> die wij opdo<strong>en</strong> bij het uitvoer<strong>en</strong> van onze<br />
controlewerkzaamhed<strong>en</strong> over de kwaliteit <strong>en</strong> effectiviteit van het functioner<strong>en</strong> van de governance, het<br />
risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong>, aan de raad van bestuur <strong>en</strong> de raad van commissariss<strong>en</strong> zull<strong>en</strong><br />
rapporter<strong>en</strong>. Gelet op de reikwijdte van onze werkzaamhed<strong>en</strong> die bedoeld zijn om tot e<strong>en</strong> oordeel over<br />
de jaarrek<strong>en</strong>ing te kom<strong>en</strong>, zull<strong>en</strong> wij ge<strong>en</strong> algeheel oordeel formuler<strong>en</strong> over de kwaliteit <strong>en</strong><br />
effectiviteit van het functioner<strong>en</strong> van de governance, het risicobeheer <strong>en</strong> de beheersprocess<strong>en</strong>.<br />
Wij rapporter<strong>en</strong> deze bevinding<strong>en</strong> zoals nader is omschrev<strong>en</strong> in de Praktijkhandreiking 1110 ‘<strong>Code</strong><br />
<strong>Bank<strong>en</strong></strong>: <strong>tak<strong>en</strong></strong> <strong>interne</strong> <strong>auditfunctie</strong> <strong>en</strong> <strong>externe</strong> <strong>accountant</strong>’, uitgegev<strong>en</strong> door het Koninklijk Nederlands<br />
Instituut van Register<strong>accountant</strong>s.”<br />
15<br />
Praktijkhandreiking 1110