Deze reeks artikelen heeft als doel om een overzicht te geven van de ontwikkelingen ten aanzien van de regelgeving bij de diverse toezichthouders voor de financiële instellingen in Nederland en de impact daarvan op de werkzaamheden van de IT-auditor. Hierbij zal onder meer worden aangegeven wat de regelgeving inhoudt en wat er nu gewijzigd is ten opzichte van de oude situatie en wat de gevolgen hiervan zijn voor de financiële instellingen. In het algemeen kan gesteld worden dat de beheersing van ICT een steeds belangrijker onderdeel gaat vormen in de regelgeving van toezichthouders. De artikelen gaan met name in op de IT-specifieke issues die voortvloeien uit de regelgeving. Verschillende auteurs hebben hun bijdrage geleverd.
Klik hier voor een inleiding op de reeks artikelen, een overzicht van de artikelen en een samenvatting en nabeschouwing.
Inleiding
De Stichting Toezicht Effectenverkeer (STE) heeft als belangrijkste taken het bevorderen van een adequate functionering van effectenmarkten en het bevorderen van de bescherming van beleggers tegen malafide aanbiedingen, onvoldoende informatie en ondeskundig optreden. Om dat te ondersteunen heeft de STE een aantal regels opgesteld waaraan de instellingen zich dienen te houden en waaraan het verkrijgen c.q. houden van de vergunning is gekoppeld. De meest concrete daarvan is de Nadere Regeling toezicht effectenverkeer 1999 (NR1999), die in 2001 is gewijzigd en aangevuld door de Wijziging Nadere Regeling toezicht effectenverkeer 1999. In het vervolg van deze paragraaf zal vooral op deze twee documenten worden ingegaan.
Voor internettoepassingen is de ‘Beleidsnotitie 99-0003 inzake het Internet in relatie tot het toezicht op het effectenverkeer in Nederland’ van toepassing. Deze is reeds uitgebreid in Compact besproken. Daarom wordt hier eenvoudigheidshalve verwezen naar [Beug00].
Nadere Regeling toezicht effectenverkeer 1999
Door de Nadere Regeling toezicht effectenverkeer 1999 (NR1999) wordt een groot aantal regels gegeven aan instellingen om bovenstaande doelstellingen te effectueren. Vooral paragraaf 7, regels met betrekking tot de administratieve organisatie en interne controle, is voor accountants en IT-auditors van belang. Deze paragraaf kent slechts één artikel:
Artikel 24
- Een effecteninstelling beschikt, met het oog op het adequaat functioneren van de effecteninstelling en de naleving van de wettelijke vereisten[In de Wijziging Nadere Regeling toezicht effectenverkeer 1999 is de zinsnede ‘naleving van de wettelijke vereisten’ vervangen door ‘naleving van bij of krachtens de wet gestelde vereisten’.], over een adequate administratieve organisatie en een systeem van interne controle overeenkomstig de regels in bijlage 4.
- De in het eerste lid bedoelde administratieve organisatie en het systeem van interne controle worden op systematische wijze beschreven, regelmatig geëvalueerd en zo nodig geactualiseerd.
Per 1 september 2001 is de Wijziging Nadere Regeling toezicht effectenverkeer 1999 van kracht geworden. Deze wijziging van de NR1999 heeft aan dit artikel een derde lid toegevoegd:
- Een effecteninstelling meldt aan de STE iedere voorgenomen significante wijziging van de in het eerste lid genoemde administratie en systeem van interne controle.
Deze laatste toevoeging lijkt ingrijpender dan het is. In het Besluit toezicht effectenverkeer 1995 was deze bepaling reeds opgenomen, echter zonder de kwalificatie ‘significant’. In de praktijk werd dit natuurlijk al wel als zodanig toegepast.
In bijlage 4 van de NR1999 staan in 27 artikelen concrete regels voor de inrichting van de administratieve organisatie en interne controle. Diverse artikelen bevatten voor accountants en IT-auditors relevante aanwijzingen, met name gericht op de application controls. Voor de general IT-controls gaat alle aandacht uit naar artikel 4.27 ‘Geautomatiseerde systemen’. Voor een indicatie van de regels wordt verwezen naar tabel 1. Deze tabel bevat niet de letterlijke tekst uit de regeling, maar geeft met slechts enkele steekwoorden zoveel mogelijk de strekking van de regels weer. Daarbij blijken ook duidelijk de aanvullingen die door de Wijziging NR1999 zijn aangebracht.
Tabel 1. STE-regelgeving geautomatiseerde systemen.
Door de Wijziging NR1999 wordt het eerste lid als volgt gespecificeerd:
Artikel 4.27 lid 1
De effecteninstelling die gebruikmaakt van geautomatiseerde gegevensverwerking dient zodanige maatregelen en procedures door te voeren dat de beveiliging (vertrouwelijkheid, integriteit en continue beschikbaarheid) van de geautomatiseerde gegevensverwerking is gewaarborgd. Daarbij dient aandacht te zijn besteed aan maatregelen op de volgende gebieden:
- algemene beheersmaatregelen in de geautomatiseerde omgeving;
- de gehanteerde functiescheidingen;
- geprogrammeerde controles die zich richten op de betrouwbare werking van de gebruikte applicaties (‘application controls’); en
- de maatregelen in de gebruikerscontroles.
In de toelichting op de wijzigingen wordt gesteld dat de realisatie van de uitwerking van artikel 4.27 dient te geschieden met inachtneming van de algemeen geaccepteerde normen zoals de Code voor Informatiebeveiliging en CobIT van ISACA. Voor internettoepassingen wordt als norm aangehouden de Handleiding ZekeRE Business van de NOREA.
Nieuw is de regel dat de instelling moet zorgen voor een plannings- en evaluatiecyclus, die voortdurend bewaakt of de juiste maatregelen zijn getroffen en waaruit de werking van het beleid blijkt. De periodieke evaluatie van het beveiligingsbeleid dient te zijn gebaseerd op actuele risicoanalyses (art. 4.27.5). Dit laatste sluit aan op de algehele tendens om voor een beter begrip van effectiviteit van maatregelen te toetsen aan risicoanalyses (zie ook de paragraaf over de ROB van De Nederlandsche Bank).
Impact van regelgeving voor organisatie en werkzaamheden van IT-auditor
De NR1999 geeft een compacte opsomming die een goed kader vormt voor te treffen maatregelen. Organisaties die voor de inrichting al min of meer aansloten op de standaarden, zoals de Code voor Informatiebeveiliging of CobIT, zullen in het algemeen weinig moeite hebben om aan de regels te voldoen. Wellicht dat, in navolging van de ROB-wijziging van DNB, het verplicht uitvoeren van risicoanalyses nieuw is. Organisaties die zowel onder het toezicht van DNB als van de STE vallen, zullen in het algemeen met dezelfde maatregelen voor beide toezichthouders goed uit de voeten kunnen.
De regels zijn in zekere zin formeel te noemen. Dit is mede nodig om de getroffen maatregelen ook te kunnen toetsen. In de controleaanpak van de STE wordt primair uitgegaan van de eigen verantwoordelijkheid van de instellingen en wordt waar mogelijk gesteund op de werkzaamheden van de interne accountantsdiensten en externe EDP-auditors. Opvallend is dat in de toelichting van de Wijziging NR1999 expliciet staat opgenomen dat beoordeling van de IT-specifieke onderdelen van de geautomatiseerde bedrijfsprocessen door gecertificeerde EDP-auditors dient te worden uitgevoerd. Uit een samenvatting van de regelingen van de verschillende internationale Security Boards, verenigd in de International Organization of Securities Commissions (IOSCO), blijkt dat onder gecertificeerde EDP-auditors de bij NOREA ingeschreven Register EDP-auditors worden bedoeld ([IOSC01]).
Een bijzondere situatie doet zich voor als delen van de automatisering zijn uitbesteed. Op dit moment is er nog geen specifieke richtlijn of beleidsnotitie door de STE gepubliceerd, maar uit praktijksituaties blijkt wel dat de STE ervan uitgaat dat de instelling verantwoordelijk is voor de hele verwerkingsketen, dus inclusief de beveiliging van de verwerking bij derde partijen. Op de een of andere manier dient de instelling zich er dus van te vergewissen dat de automatisering van de externe verwerkingsorganisatie aan minimaal de eisen van de NR1999 en de Beleidsnotitie Internet 99-0003 voldoet. Uit de praktijk blijkt dat alleen een service level agreement met afspraken over het gewenste beveiligingsniveau onvoldoende is. Op de een of andere manier moet tevens vastgesteld worden dat de externe verwerkingsorganisatie zich ook daadwerkelijk aan die beveiligingsregels houdt. In Nederland wordt daar in de praktijk de third-partymededeling, afgegeven door een onafhankelijke EDP-auditor, voor gebruikt. Internationaal lijkt SAS70 daarvoor het aangewezen instrument. Voor internetdiensten heeft de STE expliciet aangegeven dat slechts toestemming wordt verleend indien door een onafhankelijke Register EDP-auditor onderzoek is gedaan naar de gehele keten, dus ongeacht welke automatiseringsorganisaties daarbij (waar ter wereld ook) zijn betrokken. Zoals eerder is aangegeven, heeft de STE voor dergelijke audits geen concreet normenkader uitgewerkt. De auditor zal dit zelf moeten doen met in het achterhoofd de eerder in dit artikel genoemde bronnen van normenstelsels.
Daarbij vereist de STE in eerste instantie een mededeling van de IT-auditor gericht op de opzet van de beveiligingsmaatregelen. Als de STE van oordeel is dat voldoende (beveiligings)maatregelen zijn getroffen, krijgt de organisatie toestemming om de internetdienst te starten. Vervolgens eist de STE dat door de EDP-auditor na drie maanden een onderzoek wordt gedaan naar het bestaan van de eerder in opzet beoordeelde maatregelen. Voor een beoordeling van de werking wordt geen afzonderlijke mededeling meer vereist. De STE gaat ervan uit dat de werking in de reguliere IT-audits, zoals die ook voor de niet-internetgerelateerde diensten worden uitgevoerd, zal worden meegenomen.
Literatuur
[Beug00] Mw. B. Beugelaar RE RA, Internet-technologie, toezicht en de rol van IT-auditors bij financiële instellingen, Compact 2000/1.
[IOSC01] International Organization of Securities Commissions, Report on Securities Activity on the internet II, June 2001 (www.iosco.org).