Inleiding

De ROB is in werking getreden met ingang van 1 april 2001. Om financiële instellingen niet per direct te belasten met de invoering van deze regelgeving heeft DNB een overgangstermijn gesteld van één jaar. De totstandkoming van de ROB werd mede ingegeven door de diverse soorten van bestaande circulaires en het Memorandum omtrent de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking in het bankwezen uit 1988. Daarnaast gold dat door de ontwikkelingen op het gebied van corporate governance, de toenemende mate van aandacht voor compliance en integriteit, alsmede het bestaan van diverse ‘sound practices’, zoals de Code voor Informatiebeveiliging, een wijziging van de bestaande regelgeving noodzakelijk was. Bij het opstellen van de ROB is getracht om de mate van detaillering in de regelgeving te beperken en de uiteindelijk inhoudelijke invulling aan de sector over te laten. Eén van de pluspunten bij de totstandkoming van de ROB is dat deze in samenwerking met de vertegenwoordigers van de financiële sector (Nederlandse Vereniging van Banken (NVB)) en het Koninklijk NIVRA (Nederlands Instituut van Register Accountants) is opgesteld.

Mede naar aanleiding van de invoering van de ROB is door het NIVRA een Audit Alert 11 opgesteld waarin, onder consultatie van DNB, is aangegeven welke werkzaamheden van de accountant worden verwacht inzake de ROB. Het betreft hier een tijdelijke handreiking. De kenmerken van deze Audit Alert 11 worden verderop in het artikel nog behandeld.

Wijzigingen en kenmerken naar aanleiding van de invoering van de ROB

Eén van de belangrijkste wijzigingen is dat de ROB één omvattende regeling is die de volgende zeven richtlijnen en aanbevelingen vervangt:

• Administratieve organisatie bij kredietinstellingen;
• Organisatie valuta-arbitrage;
• Risicobeheer derivaten bij kredietinstellingen;
• Memorandum inzake het toezicht van de Bank op het renterisico;
• Memorandum betreffende specifieke aspecten van de rol van de Raad van Commissarissen in het bankwezen;
• Memorandum omtrent de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking in het bankwezen;
• Brief en considerans inzake uitbesteding van de geautomatiseerde gegevensverwerking.

Voor de IT-auditor waren de twee laatstgenoemde richtlijnen altijd van belang bij het uitvoeren van de werkzaamheden op het gebied van de informatietechnologie (IT). Deze richtlijnen zijn in de ROB vervangen en qua omvang aanzienlijk gereduceerd. De IT-richtlijnen in de ROB worden gevormd door een inleiding en een viertal artikelen, te weten:

• Artikel 54: De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van IT-risico’s. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling.
• Artikel 55: De instelling voert op systematische wijze een analyse van IT-risico’s uit. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen.
• Artikel 56: De instelling draagt zorg voor de uitwerking en implementatie van de beleidsuitgangspunten ter beheersing van IT-risico’s in zichtbare organisatorische en administratieve procedures en maatregelen, welke geïntegreerd zijn in de IT-processen en de dagelijkse werkzaamheden van alle relevante geledingen. Tevens wordt voorzien in een systematisch toezicht op de naleving daarvan.
• Artikel 57: De instelling draagt zorg voor specifieke maatregelen die een afdoende beveiliging van de informatie en de continuïteit van de IT waarborgen. De rechtszekerheid en de privacy van de cliënten dienen bij gebruikmaking van IT-toepassingen in voldoende mate te zijn gewaarborgd.

De artikelen 58 tot en met 64 behandelen de uitbesteding van (delen van) bedrijfsprocessen, waaronder ook de IT-uitbesteding is begrepen. Ook bij uitbesteding geldt dat een instelling dient te beschikken over een helder geformuleerd beleid, een risicoanalyse dient uit te voeren en technische en organisatorische maatregelen en procedures dient te treffen ter beheersing van de risico’s. Tevens moet door de instelling een schriftelijke overeenkomst (service level agreement) inzake de uitbesteding worden opgesteld, waarbij geldt dat mogelijkheden gecreëerd zijn om controles en toezicht uit te voeren door zowel DNB als externe accountants op de door de dienstverlener verrichte activiteiten. Expliciet wordt gesteld dat het niet is toegestaan om de interne auditfunctie uit te besteden aan een niet tot de groep behorende instelling en de financiële administratie en het opstellen van de jaarrekening uit te besteden aan de controlerende externe accountant.

Verder staat binnen de regeling de separate aandacht voor de verantwoordelijkheid van het bestuur en de commissarissen centraal. Dit betekent dat het bestuur en de commissarissen primair verantwoordelijk zijn voor het te voeren beleid en de invulling van de regeling. Doordat de regeling op hoofdlijnen is gesteld, geeft deze ook meer vrijheid voor de instelling voor wat betreft de concrete invulling van de regeling. De financiële instelling dient hier op een verstandige wijze mee om te gaan. Hierbij wordt opgemerkt dat ondanks de vrijheid qua invulling hierop een toetsing door de toezichthouder zal plaatsvinden.

Daarnaast betreft de regeling een uitwerking op hoofdlijnen waarbij getracht is om de mate van detaillering te beperken en bevat zij derhalve een framework met minimumvereisten.

Een ander belangrijk aandachtspunt vanuit de regeling is dat de risicobeheersing van bedrijfsprocessen centraal staat. Dit kan worden afgeleid van artikel 1, waarin de goede sturing en beheersing van de bedrijfsprocessen en de beheersing van de risico’s die de instelling loopt, worden aangegeven. Door DNB is ten behoeve van het uitoefenen van toezicht een Handboek Risicoanalyse opgesteld. Deze risicoanalyse wordt door DNB gehanteerd bij het uitvoeren van toezicht op de onder toezicht staande banken, onder meer voor het opsporen van hoge inherente risico’s en zwakke risicobeperkende beheersingsmaatregelen en om bij haar werkzaamheden de nadruk te leggen op die banken, of activiteiten binnen banken, met een slecht risicoprofiel. Deze risicoanalyse en de daaruit voortvloeiende beoordelingscriteria kunnen ook door de instellingen worden gebruikt ter ondersteuning bij het opstellen van de risicoanalyse. De DNB-risicoanalyse wordt ten behoeve van het opstellen van een IT-risicoanalyse in de volgende paragraaf nader uitgewerkt.

Risicoanalyse DNB

In deze paragraaf zal met name worden ingegaan op de voor het uitwerken van de IT-risicoanalyse specifieke punten. In de ROB wordt een zevental specifieke IT-risico’s genoemd, te weten strategisch, beheersbaarheids-, exclusiviteits-, integriteits-, controleerbaarheids-, continuïteits- en gebruikersrisico. Het is derhalve van belang om hieraan bij het uitvoeren van de risicoanalyse aandacht te schenken.

In de risicoanalyse van DNB wordt onder IT-risico verstaan: ‘IT risk is the current or prospective risk to earnings and capital arising from inadequate information technology and processing in terms of manageability, exclusivity, integrity, controllability and continuity. Further, IT risk arises from an inadequate IT strategy and policy and from inadequate use of the information technology.’

In tabel 1 volgen kort per specifiek IT-risico enkele beoordelingscriteria vanuit de DNB-risicoanalyse ([DNB]), welke kunnen worden meegenomen bij het opzetten van de risicoanalyse.

Tabel 1. Beoordelingscriteria per IT-risico.

Aan artikel 55 en 60 van de ROB wordt voldaan door voor bovenstaande specifieke IT-risico’s een risicoanalyse uit te voeren. Hierbij dient bedacht te worden dat bovenstaande opsomming van beoordelingscriteria niet limitatief is en dat afhankelijk van de omvang en complexiteit van de IT-organisatie en het belang hiervan voor de bedrijfsprocessen de lijst van criteria nog kan worden aangevuld.

Impact van regelgeving voor de financiële instelling en voor de werkzaamheden van de IT-auditor

De invoering van de ROB betekent voor de IT-auditor dat de belangrijkste artikelen inzake IT zijn gereduceerd tot een aantal artikelen, een inleiding en een tweetal paragrafen in de ROB. Voor de IT-auditor zijn van belang de artikelen 54, 55, 56 en 57. De artikelen inzake de uitbesteding van (delen van) bedrijfsprocessen, waaronder ook de IT-uitbesteding kan vallen, zijn gereduceerd tot een zevental. Qua aard van de te verrichten auditwerkzaamheden is er voor de IT-auditor echter niet veel veranderd. Voor de instelling geldt dat DNB meer de nadruk legt op het door de instelling expliciet vastleggen van het IT-beleid en de risicoanalyse. Dit laatste leidt er echter wel toe dat in de audits, meer dan nu het geval is, (ook) kan worden getoetst tegen beleidsregels van de instelling zelf.

De werkzaamheden van de IT-auditor zullen zich met name richten op de volgende aspecten:

• Een toetsing en beoordeling op hoofdlijnen van de door de organisatie uitgevoerde assessment in hoeverre wordt voldaan aan de ROB voor wat betreft de IT-aspecten, dient plaats te vinden. Het betreft hier een toetsing en beoordeling van de opzet en het bestaan van de betreffende organisatie-inrichting en het beheersingsmechanisme. Hierbij treedt een verandering op ten opzichte van de oude situatie in die zin dat de instelling nu verplicht is de eigen beoordeling in hoeverre wordt voldaan aan de regelgeving expliciet te beschrijven. De instellingen worden nu als het ware gedwongen om het IT- en beveiligingsbeleid en de IT-risicoanalyse concreet uit te werken. Deze beschrijving en interne assessment kan de IT-auditor als normering hanteren bij zijn IT-auditactiviteiten, mits deze IT-risicoanalyse en het IT-beleid van een voldoende niveau zijn.

• De externe IT-auditor zal bij zijn werkzaamheden zoveel mogelijk trachten te steunen op de door de interne IT-auditor reeds uitgevoerde werkzaamheden. Hierin treedt derhalve geen wijziging op ten opzichte van de oude situatie.

• Tekortkomingen en gebreken dienen schriftelijk te worden gerapporteerd in een management letter of in een of meer separate rapportages. Een management letter in de vorm van een powerpoint-presentatie wordt door DNB niet als toereikend ervaren ([Koni01]). Derhalve dient een adequate beschrijving van de aangetroffen tekortkomingen en gebreken te worden opgenomen. Ook hiervoor geldt dat dit ook reeds in de oude situatie van toepassing was.

• Minimaal moet er worden gerapporteerd over de bevindingen inzake de beheersing van de IT-risico’s en majeure afwijkingen. Een algeheel oordeel omtrent de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking behoeft derhalve niet te worden verstrekt. Ook hierbij treedt geen verandering op ten aanzien van de oude situatie.

• Door DNB wordt verwezen naar ‘sound practices’ als toetsingscriteria. Hierbij geldt als voordeel dat regelgeving minder onderhoudsgevoelig is als gevolg van bijvoorbeeld toekomstige technologische ontwikkelingen ([Osse01]). Door IT-auditors worden als toetsingscriteria onder meer de Code voor Informatiebeveiliging en CobIT van ISACA gehanteerd. Deze standaarden kunnen de IT-auditor ondersteunen bij de advisering aan zijn cliënten omtrent op te zetten beheersingsmaatregelen. Afhankelijk van de omvang van de instelling en de afhankelijkheid van de IT dient hier door de instelling in meerdere of mindere mate invulling te worden gegeven aan het opzetten van beheersingsmaatregelen ter reducering van de IT-risico’s. De mate van detaillering van invulling mag door de instelling zelf worden bepaald; hierbij geldt echter wel dat een adequaat onderbouwde analyse aanwezig dient te zijn ter beheersing van de IT-risico’s. De IT-auditor zal een beoordeling uitvoeren op de door de instelling opgeleverde risicoanalyse en de daarbij gehanteerde ‘sound practices’.

Door het Koninklijk NIVRA is naar aanleiding van de invoering van de ROB een Audit Alert 11 ([NIVR01]) uitgegeven. In deze uitgave is opgenomen dat door de accountant/IT-auditor de volgende aspecten dienen te worden meegenomen:

• Aanbeveling: rapporteren in de management letter 2001 over de status (voortgang) betreffende de implementatie van de ROB bij de betrokken instelling. Dit geldt alleen voor het boekjaar 2001, dat uiterlijk eindigt per 31 maart 2002.

• ‘Door de instelling dient aan de externe accountant een opdracht ter toetsing en beoordeling van de ROB te worden gegeven. Dit is dus een opdracht die anders is dan de opdracht tot controle van de jaarrekening. In feite is hier sprake van een opdracht tot het verrichten van overeengekomen specifieke werkzaamheden. Dat deze werkzaamheden in belangrijke mate zullen samenvallen met de werkzaamheden die noodzakelijk zijn in de context van de jaarrekeningcontrole (hetgeen overigens niet steeds het geval behoeft te zijn), doet niet af aan de noodzaak om deze additionele opdracht zelfstandig in een opdrachtbevestiging vast te leggen. Dit kan gebeuren als onderdeel van (c.q. aanvulling op) de opdrachtbevestiging die wordt gehanteerd voor de jaarrekeningcontrole of in een afzonderlijke opdrachtbevestiging.’

• ‘Het wordt niet noodzakelijk geacht in de opdrachtbevestiging een (uitvoerige) opsomming van de te verrichten werkzaamheden op te nemen. Volstaan kan worden met de mededeling dat de werkzaamheden zullen worden verricht die voortvloeien uit artikel 23 van de ROB en die in de Audit Alert 11 nader zijn omschreven.’

Concluderend kunnen we stellen dat DNB, mede door het beperken van de detaillering in de ROB, de instellingen vrijheid geeft ten aanzien van de wijze van invulling en evaluatie in hoeverre wordt voldaan aan de artikelen in de ROB. DNB geeft hierbij aan dat gebruikgemaakt kan worden van de op IT-gebied beschikbare ‘sound practice’-publicaties met betrekking tot risicobeheersing. Aangezien deze ‘sound practices’ zich dynamisch zullen ontwikkelen als gevolg van veranderingen in de markt, zal dit ook doorwerken in de op te leveren IT-risicoanalyse, het IT-beleid, het informatiebeveiligingsbeleid en de te treffen beheersingsmaatregelen. Voor de IT-auditor betekent het hanteren van ‘sound practices’ dat op basis van ‘professional judgement’ beoordeeld zal worden of organisaties de juiste afweging hebben gemaakt bij de invulling van hun risicoanalyse en IT- en informatiebeveiligingsbeleid. De jaarlijkse werkzaamheden voor de instelling en IT-auditor om te bepalen in hoeverre wordt voldaan aan de ROB zullen met name bestaan uit de in figuur 1 weergegeven stappen.

Figuur 1. Stappenplan van werkzaamheden in het kader van de ROB.

De gegevensverzameling zal met name door de instelling zelf worden uitgevoerd. Hierbij dienen activiteiten te worden verricht waarbij gegevens verzameld en vastgelegd worden ter ondersteuning van het uitvoeren van de analyse. Ook het uitvoeren van de selfassessment zal met name door de organisatie zelf worden uitgevoerd. Wel kan de IT-auditor hierbij ondersteuning verlenen, bijvoorbeeld ten aanzien van het opstellen en identificeren van IT-beheersingsmaatregelen uit hoofde van ‘sound practices’. Als resultaat van de analyse zal een rapportage van bevindingen worden opgesteld op basis waarvan verbeteracties gedefinieerd dienen te worden. Ook hierbij kan de IT-auditor op grond van zijn kennis omtrent IT-beheersingsvraagstukken ondersteuning in de vorm van advisering geven. Uiteindelijk zal een finale toetsing dienen plaats te vinden in hoeverre de organisatie voldoet aan de ROB. Daarbij zal onder meer een beoordeling van de door de instelling opgeleverde IT-risicoanalyse en het IT-beleid worden uitgevoerd. De finale toetsing zal door de IT-auditor worden verricht, met als resultaat een separate rapportage of management letter. Een verandering ten opzichte van de oude situatie is met name dat door DNB expliciet gesteld is dat instellingen de IT-risicoanalyse en het IT-beleid en informatiebeveiligingsbeleid dienen te beschrijven en dat de IT-auditor hiervan gebruik kan maken bij zijn toetsing en auditwerkzaamheden.