Toezicht financiële sector in Nederland

Inleiding

In voorgaande paragrafen is ingegaan op de in Nederland bekende toezichthouders zoals De Nederlandsche Bank, de Pensioen- en Verzekeringskamer en de Stichting Toezicht Effectenverkeer. Op internationaal gebied is de Bank for International Settlement (hierna: de BIS) voor het bankwezen zeer belangrijk. De door de BIS opgestelde regelgeving wordt door de nationale toezichthouders op het bankwezen nagenoeg een op een onderschreven. Dit maakt de door de BIS uitgeschreven toezichtsrichtlijnen interessant voor in Nederland opererende financiële instellingen. Om deze reden wordt de rol van de BIS in deze paragraaf verder uitgewerkt.

De BIS is een internationaal opererende organisatie die zich voornamelijk bezighoudt met het onderzoek op het gebied van het internationale monetaire beleid en de financiële samenwerking. In aanvulling op het uitvoeren van onderzoek fungeert de BIS tevens als bank voor de nationale centrale banken. De bancaire diensten bestaan specifiek uit activiteiten voor beheersing van vreemde valuta en de goudvoorraad van de centrale banken. Verder voert de BIS vermogensbeheer uit voor de internationale financiële instituten. Het dienstenaanbod richt zich uitsluitend tot de centrale banken en financiële instituten. Het is de BIS niet toegestaan om diensten aan te bieden aan particulieren en grote bedrijven.

Om bovenstaande taken uit te oefenen, initieert de BIS de volgende activiteiten:

• een forum dat discussies en besluitvormingsprocessen tussen de centrale banken en binnen de internationale financiële wereld bevordert en coördineert;
• een centraal orgaan voor economisch en monetair onderzoek;
• het vervullen van de functie van belangrijke tegenpartij voor nationale centrale banken bij het uitvoeren van financiële transacties;
• het vervullen van een intermediaire rol of vertrouwensrelatie bij omvangrijke internationale financieringsactiviteiten.

De documenten die voortkomen uit de discussies en besluitvormingsprocessen van de BIS geven belangrijke richtlijnen voor de nationale toezichthouders, zijnde de nationale centrale banken.

Een groot verschil in de rol ten opzichte van die van de centrale banken wordt gevormd door het feit dat de richtlijnen van de BIS niet op directe maar op een indirecte wijze een belangrijke rol vervullen in de door de (centrale) banken op te zetten normen. De reikwijdte van de normstelling door de BIS beperkt zich niet tot alleen het geven van richtlijnen voor het te voeren beleid, maar strekt zich ook uit tot normen voor de opzet en het beheer van de ICT. Met name deze laatste richtlijnen kunnen van belang zijn voor de door de IT-auditor uit te voeren audit- en advieswerkzaamheden.

Organisatie van The Bank for International Settlements en wijze van totstandkoming van richtlijnen

Voor een goed begrip over de status en het gezag van de uitgebrachte richtlijnen wordt kort stilgestaan bij de totstandkoming van de richtlijnen. De BIS kent de onderstaande commissies:

• Meetings of the Board of Directors;
• Meetings of the Group of Ten (G10) central bank Governors and their subcommittees;
• Meetings of central bank Governors.

In de reguliere gang van zaken stellen de commissies tijdelijke subcommissies in om conceptrichtlijnen voor te bereiden. De commissies voeren een eerste beoordeling uit op de door de subcommissie opgestelde conceptrichtlijn. Indien de conceptrichtlijn van voldoende kwaliteit is, wordt deze uitgestuurd naar de belanghebbenden, zoals de nationale centrale banken en (groot)banken voor commentaar. Vaak worden de conceptrichtlijnen voorzien van een commentaarperiode. Na afloop van de commentaarperiode worden alle commentaren verzameld en na een belangenafweging verwerkt in de definitieve richtlijn.

Relatief veel richtlijnen zijn afkomstig van de G10 en haar subcommissies. De subcommissies zijn door de G10 ingesteld om de onderlinge samenwerking tussen de toezichthouders te bevorderen en beleidsbeslissingen en regelgeving meer in detail voor te bereiden. Dit betreffen:

• The Basel Committee on Banking Supervision;
• Committee on Payment and Settlement Systems;
• Committee on the Global Financial System;
• Committee on Gold and Foreign Exchange.

Hierna volgt per commissie een korte toelichting van haar doelstelling. Tevens is voor de beeldvorming een aantal (concept)richtlijnen ter illustratie opgenomen, alsmede is aangegeven welke commissies nu van belang zijn voor wat betreft richtlijnen en – dit geldt uitsluitend voor de eerste twee – welke impact zij hebben op de werkzaamheden van de IT-auditor.

The Basel Committee on Banking Supervision

Het Basel Committee heeft als doel zoveel mogelijk het toezicht op het bankwezen te uniformeren, teneinde de solvabiliteit en stabiliteit van het internationale bankwezen te bevorderen. Een zeer belangrijke richtlijn op dit gebied is het ‘Basel Capital Accord’ uit 1988. In dit akkoord is de eerste set richtlijnen opgesteld voor het berekenen van de minimumsolvabiliteit van een bank en richtlijnen voor het minimum aan te houden eigen vermogen tegenover activa.

Bazel II

Inmiddels zijn er nieuwe (concept)kapitaalsrichtlijnen opgesteld die bekend zijn onder de verzamelnaam ‘Bazel II’. Bazel II heeft tot doel de interne risicobeheersing binnen het bankwezen te verbeteren. Bazel II verandert de solvabiliteitstoetsing van de banken in die zin dat er nu niet alleen in kwantitatieve zin wordt getoetst maar ook in kwalitatieve zin. De toetsing gaat geschieden aan de hand van de volgende drie toetsingspijlers: vermogen, toezicht en toelichting in algemene zin. Onderstaande opsomming geeft in hoofdlijnen weer wat binnen de drie toetsingspijlers moet zijn geregeld voor een gezond bankbedrijf:

• vermogen:
  • u itvoeren van interne beheersing van risico’s;
  • gebruik van modellen om risico’s (kwantitatief) in beeld te krijgen;
  • bepalen van solvabiliteit;
  • periodiek rapporteren aan de toezichthouders;
• toezicht:
  • toezicht meer richten op het beoordelen van het interne proces voor beheersing van de risico’s, in plaats van het reguliere toezicht door middel van de beoordeling van de kwantitatieve gegevens in de maandstaatrapportages;
  • meer kwalitatief gericht toezicht, onder andere door beoordeling van competenties van bestuurs- en directieleden;
  • meer zelfstandig uitvoeren van reviews door de toezichthouders zelf;
• toelichting in algemene zin:
  • meer inzicht bieden in de interne risicobeheersing.

In de bovenstaande opsomming staan de termen risico en risicobeheersing centraal. Een belangrijk punt binnen Bazel II betreft het identificeren, maar vooral ook het kwantificeren van risico’s (risk measurement). Een belangrijke wijziging ten opzichte van het eerste Basel Accord betreft de aandacht voor het operationele risico naast de reeds bekende risico’s zoals het krediet- en marktrisico. Bazel II verplicht de banken om vermogen aan te houden om potentiële verliezen uit hoofde van de operationele bedrijfsvoering te kunnen opvangen. De reden waarom ‘pas’ nu de vermogenseis voor operationeel risico naar voren is gekomen, komt voort uit het feit dat banken steeds meer (risicovolle) diensten verlenen naast het oorspronkelijke bankbedrijf (waarin vooral het managen van het krediet- en marktrisico centraal staat). Voorbeelden van dienstverlening betreffen de op provisie gebaseerde activiteiten zoals cashmanagement, garantiestellingen en het verstrekken van letters of credit. Verder betreden de banken steeds meer de terreinen zoals securisatie en ook outsourcing van bedrijfsprocessen (bijvoorbeeld van het hypotheekbedrijf of het betalingsverkeer).

Volgens Bazel II is het operationele risico als volgt gedefinieerd:

Het risico van een direct of indirect verlies dat voortkomt uit inadequate of falende interne processen, medewerkers en systemen, of voortkomend uit externe gebeurtenissen.

Gegeven de steeds toenemende integratie van processen en ICT zijn de status van de IT controls en de informatiebeveiliging belangrijke indicatoren om te bepalen wat het niveau van de operationele risico’s is.

Om de operationele risico’s te kwantificeren en de gevolgen daarvan te meten, zijn de volgende zaken noodzakelijk:

• ontsluiten van (historische) gegevens/data;
• meten van de werkelijk geleden verliezen;
• inschatten van mogelijke huidige/acute verliezen.

Om inzicht te krijgen in de mate van invloed die Bazel II heeft op het uitvoeren van IT-auditwerkzaamheden zijn onderstaand een paar voorbeelden opgenomen. Deze voorbeelden betreffen het kredietrisico en het marktrisico. Zij illustreren tevens wat de mogelijke effecten zijn voor de IT-audit inzake het operationeel risicobeheer.

Ontsluiten van (historische) gegevens/data

Dat het ontsluiten van gegevens niet eenvoudig is, illustreren we aan de hand van een voorbeeld met betrekking tot het kredietrisico. Het is niet ondenkbeeldig dat een vergelijkbare situatie zich ook kan voordoen op het vlak van het operationele risico.

Het voorbeeld gaat over de recente deconfiture van energiegigant Enron.

Door de vele bankfusies en daardoor veelal de complexiteit in systemen die binnen de (groot)banken aanwezig zijn, is het aanleveren en aggregeren van gegevens/data voor de banken zeer arbeidsintensief, of zelfs economisch onhaalbaar geworden. Kort na de bekendwording van het mogelijke faillissement van Enron bleken diverse bankinstellingen niet in staat tijdig betrouwbare informatie over de totale kredietverstrekking aan deze partij uit de eigen systemen op te leveren. Nadat door de diverse woordvoerders en bestuursleden aan de financiële media een totaal potentieel verliesbedrag was verkondigd, bleek later dat de werkelijke verliezen nog groter waren dan gedacht. De gegevens bleken incompleet te zijn. Uit diverse subsystemen kwam pas in tweede instantie informatie omtrent andere kredietverstrekkingen die aanvankelijk niet bekend was.

Meten van werkelijk geleden verliezen

Het voorgaande voorbeeld over Enron is tevens een voorbeeld van het meten van verliezen. Een ander voorbeeld van het kwantificeren van risico’s en de daaruit voortvloeiende (mogelijke) verliezen wordt gevonden in het toepassen van modellen voor het bepalen van het marktrisico. De markten (waaronder effecten-, geld-, kapitaal- en valutatermijnmarkt) waarop de banken opereren zijn volatiel. Met behulp van modellen kan worden benaderd wat de gevolgen zijn van de veranderingen in de diverse marktposities. De modellen bevatten onder meer (econometrische) formules, aannames en trends om de berekening van voorspellende waarden te kunnen uitvoeren. Een belangrijke voorwaarde voor een juiste berekening van de voorspellende waarden is dat de (geaggregeerde) input in de modellen voldoende betrouwbaar is. Voor deze (geaggregeerde) input worden vaak posities gebruikt. Voorbeelden van posities zijn: de hoeveelheid aandelen XYZ voor eigen rekening, de kredietomvang aan multinational ABC en de hoeveelheid uitstaande renteswaps. Vanuit allerlei bancaire (sub)systemen dienen gegevens te worden aangeleverd over de afzonderlijke posities om op een geaggregeerd niveau de nettoposities te berekenen.

Als laatste geven wij het voorbeeld van een bank die probeert de werkelijk geleden verliezen te meten inzake beveiligingsincidenten van (bijna gelukte) inbraakpogingen via het internet. Per incident wordt gekeken wat de gemiddelde kosten zijn geweest om het incident te verhelpen om daarmee een voorspellende waarde te krijgen voor de toekomst.

Inschatten mogelijke huidige/acute verliezen

In de situatie dat modellen of formules niet kunnen worden gebruikt, schrijft Bazel II voor om kwalitatieve (op basis van menselijke beoordeling) of andere maatregelen te hanteren om inschattingen te maken.

Samenvattend kan worden gesteld dat het vastleggen van gegevens over bijvoorbeeld beveiligingsincidenten en het niveau van beveiliging, het ontsluiten van gegevens uit de (bancaire) systemen en het op een juiste wijze aggregeren (meten) van gegevens cruciaal is in het operationele risicobeheer. Het beoordelen van het niveau van beveiliging maar ook de techniek inzake het ontsluiten van de gegevens raakt direct de IT-audit.

Andere zaken die door de invoering van de richtlijnen volgens Bazel II grote gevolgen voor de IT-audit hebben, zijn:

• de rapportages aan de toezichthouder (betrouwbaarheid);
• de managementrapportages (betrouwbaarheid);
• IT in termen van:
  • dataopschoning;
  • dataontsluiting;
  • inrichting en invoering van modellen;
  • data-aanlevering;
  • capaciteit;
• verandering en aanpassing van processen in de organisatie;
• bemensing in kwantitatieve en kwalitatieve zin.

Mede aan de hand van de gegeven voorbeelden wordt duidelijk waar de toegevoegde waarde van de IT-auditor ligt. Vooral op het gebied van het beoordelen van delen van de operationele, met name aan ICT gerelateerde risico’s, de gegevensbenadering en gegevensrapportering kan de IT-auditor waarde toevoegen door het uitvoeren van onderzoeken. Voor de organisatie zelf wordt het ook steeds belangrijker om de IT controls en de informatiebeveiliging op orde te hebben omdat deze factoren rechtstreeks invloed hebben op het vermogensbeslag en daarmee op de resultaten. Het kwaliteitsaspect betrouwbaar-heid speelt een belangrijke rol in de normen volgens de richtlijnen van Bazel II.

De doelstelling van de BIS is dat de banken uiterlijk in 2005 hun interne organisatie zodanig hebben opgezet en ingericht dat wordt voldaan aan de richtlijnen volgens Bazel II. Verwacht mag worden dat de eisen van Bazel II ook hun effect zullen hebben op andere financiële instellingen, zoals bijvoorbeeld assetmanagers die deel uitmaken van financiële concerns. Door de bancaire fusies van de afgelopen jaren en de aard, omvang en complexiteit van de bancaire systemen wordt verwacht dat er de komende jaren grote en zeer complexe projecten gestart zullen worden voor het vastleggen en ontsluiten van risico-informatie. In sommige gevallen mag ook verwacht worden dat bepaalde activiteiten (processen dan wel ICT) meer zullen worden geoutsourced naar een gespecialiseerde partij die de risico’s al op een zeer laag niveau heeft gebracht. De betrokkenheid van de IT-auditor bij deze projecten, bijvoorbeeld in de rol van quality assurance, achten wij van belang.

‘Risk Management Principles for Electronic Banking’

Een ander voorbeeld van een richtlijn die van belang is voor de IT-audit, is de richtlijn ‘Risk Management Principles for Electronic Banking’ (mei 2001). Deze richtlijn is uitgebracht door de Electronic Banking Group, die zijn werkzaamheden uitvoert naast die van het Committee on Payment and Settlement Systems.

Op het moment van schrijven van deze tekst[26 november 2001.] was er nog geen definitieve richtlijn uitgebracht. In deze richtlijn zijn in drie hoofdcategorieën veertien principes uitgewerkt die het bankmanagement behulpzaam kunnen zijn bij het inzichtelijk krijgen, beheersen en controleren van de risico’s die voortkomen uit e-bankieren. De hoofdcategorieën met daarbinnen de principes zijn:

• Board and management oversight:
  • Effective management oversight of e-banking activities;
  • Establishment of a comprehensive security control process;
  • Comprehensive due diligence and management oversight process of outsourcing relationships and other third-party dependencies;
• Security controls:
  • Authentication of e-banking customers;
  • Non-repudiation and accountability for e-banking transactions;
  • Appropriate measures to ensure segregation of duties;
  • Proper authorisation controls within e-banking systems, databases and applications;
  • Data integrity of banking transactions, records, and information;
  • Establishment of clear audit trails for e-banking transactions;
  • Confidentiality of key bank information;
• Legal and reputational risk management:
  • Appropriate disclosures for e-banking services;
  • Privacy of customer information;
  • Capacity, business continuity and contingency planning to ensure availability of e-banking systems and services;
  • Incident response planning.

Aanvullend op het eerstgenoemde principe ‘Effective management oversight of e-banking activities’ wordt opgemerkt dat hieronder ook het proces van beleidsvorming valt. Uit de korte omschrijvingen van de principes valt op te maken dat deze principes goed kunnen dienen als uitgangspunt bij een door de IT-auditor uit te voeren IT-audit. Verder kunnen deze richtlijnen dienen voor de adviesfunctie van de IT-auditor. Zo is het mogelijk dat hij bij de Security control ‘Non-repudiation and accountability for e-banking transactions’ het advies geeft om een PKI-infrastructuur te implementeren.

Overige richtlijnen

In het jaar 2001 heeft de BIS tot medio november ruim vijftig publicaties laten verschijnen, die voor het overgrote deel door de BIS zélf of door het Basel Committee zijn uitgebracht. Het voert te ver om al deze publicaties in deze paragraaf te behandelen. Daarom is besloten enkele voor de IT-audit relevante publicaties ter illustratie op te nemen, en wel:

• ‘Internal audit in banks and the supervisor’s relationship with auditors’
  
  Een belangrijke aanleiding voor het verschijnen van deze richtlijn is te vinden in de publicatie van het nieuwe Basel Capital Accord. Dit akkoord bevat richtlijnen voor het toezicht op de minimumkapitaaleisen (capital adequacy framework), die zijn opgenomen in de ‘Supervisory Review Pillar’. Door de definiëring van het taakgebied van de interne auditor en de toezichthouder wordt gestreefd naar een versterking van het toezicht op een financiële instelling. Deze richtlijn is voor de interne IT-auditor van belang omdat daarin onder meer aanwijzingen worden gegeven over:
  • de reikwijdte van de audit, met name de verplicht uit te voeren risicoanalyse met betrekking tot de compliance, de betrouwbaarheid van financiële en managementinformatie, de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking en het functioneren van stafafdelingen;
  • de controletechnieken;
  • de procedures.

Verder zijn er bepalingen opgenomen over de relatie met de toezichthouder, de externe auditor en het audit committee. Als laatste zijn er richtlijnen opgenomen over de uitbesteding van de interne controle.

• ‘The relationship between banking supervisors and banks’ external auditors’
  
  In de zojuist genoemde publicatie over de relatie tussen de interne auditor en de toezichthouders is voornamelijk inhoudelijk ingegaan op de taakinhoud van de functie van de interne auditor en op basis daarvan wordt ingegaan op de relatie tussen beide. In de publicatie over de relatie tussen de externe auditor en de toezichthouders ligt de nadruk met name op de rolverdeling en relatie tussen beide, in plaats van op een inhoudelijke beschrijving van de taakinhoud van de externe auditor.

Committee on Payment and Settlement Systems

Het Committee on Payment and Settlement Systems (comité voor betalingsverkeer- en ‘afwikkelings’systemen) richt zich op het bevorderen van de efficiency en stabiliteit van het nationale en internationale betalingsverkeer. Hiertoe vaardigt het richtlijnen uit met maatregelen ten aanzien van de opzet, het bestaan en de werking van de betalingsverkeersystemen.

Voor de beeldvorming wordt ook hier een aantal publicaties kort ter illustratie weergegeven:

• ‘Recommendations for securities settlement systems’
  
  In deze publicatie zijn negentien aanbevelingen opgenomen voor de opzet en inrichting van systemen voor settlement van effecten. Ter illustratie is een tweetal aanbevelingen opgenomen waaruit het belang van deze richtlijn voor de IT-auditor blijkt. Deze zijn:
  • Operational Reliability
    
    In de publicatie staat de volgende toevoeging vermeld:
    
    ‘Sources of operational risk arising in the clearing and settlement process should be identified and minimized through the development of appropriate systems, controls and procedures. Systems should be reliable and secure and have adequate scalable capacity. Contingency plans and backup facilities should be established to allow for timely recovery of operations and completion of the settlement process.’
    
    In deze toevoeging staat een veelheid aan kwaliteitseisen die van belang zijn voor de IT-auditor.
  • Access
    
    Onder dit punt wordt aangegeven dat de diverse partijen toegang krijgen op basis van het ‘need to know’-principe, de beperkingen die de wet- en regelgeving oplegt, etc.
    
    De richtlijn geeft aanwijzingen op welke wijze aan deze aanbevelingen invulling kan worden gegeven, waarbij de IT ondersteunend is.

• ‘Payment systems in Country XYZ; survey of electronic money developments’
  
  Jaarlijks worden meerdere landen geselecteerd waarvan de ontwikkelingen in het nationale betalingsverkeer beschreven worden. De IT-auditor die zich specialiseert in het betalingsverkeer en de clearing- en settlementsystemen in een bepaald land kan bij zijn audits gebruikmaken van deze rapporten.

• ‘Core Principles for Systematically Important Payment Systems’
  
  In deze publicatie is een tiental principes uitgewerkt voor de zeer belangrijke betalingsverkeersystemen. Het belang- rijkste principe voor de IT-auditor betreft:
  
  ‘The system should ensure a high degree of security and operational reliability and should have contingency arrangements for timely completion of a daily processing.’
  
  In de toelichtende paragrafen wordt in detail ingegaan op de algemene aspecten en de kwaliteitsaspecten inzake beveiliging, betrouwbaarheid en continuïteit.

Committee on the Global Financial System

Deze commissie richt haar aandacht op het kortetermijntoezicht op de werking van het wereldwijde financiële systeem en de langetermijnanalyse van de werking van de financiële markten. Hiertoe vaardigt de commissie richtlijnen uit om de marktwerking te bevorderen. Omdat de door deze commissie uitgebrachte richtlijnen niet direct van invloed zijn op de IT-auditactiviteiten, zijn de werkzaamheden van deze commissie niet verder uitgewerkt.

Committee on Gold and Foreign Exchange

Dit comité heeft tot doel de goudvoorraden en forex-markt (vreemdevalutamarkt) te monitoren en daarbij de langetermijn-probleempunten te onderkennen. Ten aanzien van langetermijn-probleempunten formuleert dit comité beleidsstandpunten en operationele processen om deze punten te adresseren. Omdat ook deze commissie richtlijnen uitbrengt die niet direct van invloed zijn op de IT-auditactiviteiten, zijn de werkzaamheden van deze commissie eveneens niet verder uitgewerkt.

Uitoefening toezicht

Zoals ook al uit de doelomschrijving van de BIS valt op te maken, vervullen de BIS en haar commissies meer een functie op het gebied van het ontwikkelen van richtlijnen en het onderzoeken en volgen van de ontwikkelingen binnen de financiële sector dan dat de bank een (actieve) toezichthouderrol vervult. Geconcludeerd kan worden dat de BIS op indirecte wijze het toezicht mede beïnvloedt door middel van het uitvaardigen van richtlijnen.

Door de BIS worden probleemgebieden gesignaleerd, geadresseerd en vervolgens in de vorm van richtlijnen/beheerprincipes uitgewerkt. Het is uiteindelijk aan de nationale toezichthouders om de richtlijnen te onderschrijven en te incorporeren in hun eigen richtlijnen. Het zijn dan ook de nationale centrale banken die het directe toezicht uitoefenen op de invoering en naleving van deze richtlijnen. Voor de IT-auditor ligt er een taak om financiële instellingen in een vroegtijdig stadium te attenderen op het bestaan van belangrijke richtlijnen en de gevolgen van deze richtlijnen op de interne organisatie van informatievoorziening. Verder heeft hij de taak zijn (natuurlijke) adviesfunctie uit te oefenen, mede aan de hand van de richtlijnen.

Meerdere nieuwe BIS-richtlijnen, zoals bijvoorbeeld Bazel II, hebben een aanzienlijke impact op – soms nieuw – in te richten informatievoorzieningsprocessen, inclusief de daarbij te raadplegen bancaire (sub)systemen. Gezien het bovenstaande proces waarbij de nationale centrale banken de BIS-richtlijnen overnemen voor de eigen toezichthoudende functie, doen de interne en externe IT-auditors er verstandig aan om in een zo vroeg mogelijk stadium kennis te nemen van de in voorbereiding zijnde BIS-richtlijnen en hierop hun dienstverlening aan te passen dan wel in te richten. Op deze wijze zijn de interne en externe auditor in staat de eigen organisatie respectievelijk de klanten tijdig te wijzen op de impact van de richtlijnen en tevens een schatting te maken van de impact hiervan op de controleactiviteiten.