Regelgeving en eerste ervaringen met assurance

Verkorte uitkeringstermijn Depositogarantiestelsel

17 december 2019 Bram van der Heijden
PDF
In dit artikel:

DNB heeft de ambitie om vanaf 2019 de uitkeringstermijn van het depositogarantiestelsel (DGS) in te korten tot maximaal zeven werkdagen. Dit is een van de grootste veranderingen in de nieuwe regelgeving voor het depositogarantiestelsel (DGS) die DNB in 2017 heeft gepubliceerd. Zoals bekend, is het DGS een garantieregeling voor de rekeninghouders van een bank. Het garantiestelsel zorgt ervoor dat bij eventueel faillissement van een bank de banktegoeden van particuliere klanten (deposito’s) tot maximaal 100.000 euro zijn gegarandeerd.

De regelgeving van DNB verplicht banken om via procedures en maatregelen te zorgen voor een adequate, actuele registratie van de gegevens die voor de uitvoering van het DGS nodig zijn. Deze gegevens moeten op verzoek van DNB worden verstrekt in het vastgestelde formaat en binnen de gestelde termijn. Minimaal een keer per jaar moeten de banken hun DGS-procedures en -maatregelen toetsen om aan te tonen dat de beleidsregel van DNB wordt nageleefd en daarmee DNB zekerheid te verschaffen dat daadwerkelijk een uitkeringstermijn van maximaal zeven dagen in voorkomende situatie haalbaar is. Om die conclusie te trekken zullen banken jaarlijks een externe auditor opdracht geven de maatregelen te toetsen in opzet, bestaan (over verslagjaar 2018) en werking (vanaf verslagjaar 2019) op basis van de ISAE3402-standaard/Richtlijn 3402.

Inmiddels zijn de ISAE 3402-assurancerapporten type1 (opzet en bestaan) over 2018 bij DNB aangeleverd. In dit artikel ga ik in op de ervaringen uit deze eerste rapportagecyclus. Weliswaar een niche-onderwerp, maar zeker niet onbelangrijk omdat deze niche alle spaarders in Nederland raakt. Ter introductie geef ik eerst een schets van de achtergrond van de nieuwe DGS-regelgeving en van de specifieke vereisten vanuit DNB. Vervolgens ga ik in op de beperkingen van de Standaard 3402 voor deze toepassing. Ten slotte volgt een aantal aanbevelingen ter verbetering van de DGS-assurancerapportages in de toekomst. Deze zijn gebaseerd op zowel eigen ervaringen als een analyse van de assurancestandaarden.

Achtergrond DGS-regelgeving

Eind 2015 is de richtlijn 2014/49/EU inzake het depositogarantiestelsel in Nederland geïmplementeerd. DNB is in Nederland verantwoordelijk voor de uitvoering van het DGS. In juli 2017 heeft DNB de nieuwe regelgeving voor het depositogarantiestelsel gepubliceerd en is daarmee de samenwerking met de Nederlandse banken aangegaan voor het verkorten van de uitkeringstermijn. Het binnen zeven werkdagen kunnen uitkeren in 2019 was hierbij de ambitie. Deze uitkeringstermijn is vanaf 2024 wettelijk verplicht, maar zoals gezegd is de ambitie van DNB deze termijn al in 2019 te kunnen realiseren. Voorwaarde voor de verkorting is de invoering van het individueel klantbeeld (IKB), dat de banken zelf samenstellen. [DNB17]

Figuur 1: Maximale uitkeringstermijn in aantal werkdagen

Het IKB is een gestandaardiseerd overzicht van alle deposito’s (rekeningen) van een depositohouder (klant) in een door DNB voorgeschreven datamodel. Onder de oude DGS-regelgeving werd het IKB opgebouwd door DNB, maar daar is door de termijnverkorting onder de nieuwe regelgeving geen tijd meer voor. Daarom dienen banken te beschikken over procedures en maatregelen die waarborgen dat de gegevens nodig voor DGS voortdurend actueel en adequaat zijn vastgelegd, en dat zij deze gegevens op verzoek van DNB kunnen opleveren binnen de daarvoor gestelde termijn in de vorm van het IKB-bestand. DNB bepaalt vervolgens op basis van het IKB het uit te keren bedrag per depositohouder [DNB17]. Het IKB is geregeld in de ‘Beleidsregel Individueel Klantbeeld’. DNB bepaalt hiermee hoe banken de administratie, procedures en maatregelen concreet moeten inrichten zodat het IKB juist, volledig en tijdig wordt samengesteld. Het geheel van procedures en maatregelen waarmee een bank dit kan waarborgen, wordt het IKB-systeem genoemd (zie figuur 2). DNB heeft aangekondigd toezicht te gaan houden op de naleving van de beleidsregel. Hiervoor wordt onder andere gevraagd om een jaarlijkse oordeelsvorming door de interne auditafdeling over de naleving van de voorschriften. Daarnaast dienen banken jaarlijks een opdracht te geven aan de externe auditor voor het toetsen van opzet, bestaan en vanaf 2019 werking van het IKB-systeem gebaseerd op de 3402 standaard/richtlijn [DNB17].

Figuur 2: Proces Individueel Klantbeeld (IKB)

Beperkingen 3402 standaard

DNB heeft de Standaard 3402 opgenomen na advies van de Sectorcommissie Banken, Beleggingsinstellingen en Belegginsondernemingen van de NBA. Deze standaard is bedoeld voor assurance-opdrachten over interne beheersingsmaatregelen bij een serviceorganisatie. De opdracht resulteert in ‘…een rapportage betreffende de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikersorganisaties een dienst verleent, die waarschijnlijk relevant is voor de interne beheersing van de gebruikersorganisaties in relatie tot hun financiële verslaggeving’. [NBA17] In de toepassing van DGS is de bank de serviceorganisatie met het IKB-systeem als dienstverlening. De gebruikersorganisatie is DNB. Financiële verslaggeving van DNB als gebruiker is hier echter niet van toepassing. Het is dan ook de vraag of de Standaard 3402 geschikt is voor de toepassing waarvoor DNB deze vraagt. De belangrijkste beperkingen in dit verband licht ik hierna toe.

Gebruik Standaard 3402

DNB geeft aan, een ISAE3402 assurancerapport te willen ontvangen. De Nederlandse implementatie van de ISAE3402 betreft de Standaard (NBA)/Richtlijn(NOREA) 3402. In de Standaard 3402 wordt het object van onderzoek omschreven als ‘…het systeem van de serviceorganisatie dat waarschijnlijk relevant is voor de interne beheersing van de gebruikersorganisatie in relatie tot de financiële verslaggeving en door het assurancerapport van de auditor van de serviceorganisatie wordt omvat’. [NBA17] De essentie is hier de relatie met de financiële verslaggeving. In dit geval is er geen verband van de interne beheersing van DNB in relatie met haar financiële verslaglegging. De Standaard 3402 schrijft voor deze gevallen voor om de Standaard 3000 te hanteren.

Beschrijving systeem

Een systeembeschrijving is een verplicht onderdeel van een Standaard 3402-rapportage. Een systeembeschrijving beschrijft de beleidslijnen en procedures die de bank heeft opgezet en geïmplementeerd om het IKB-bestand te kunnen opbouwen. De auditor bepaalt of de bank geschikte criteria heeft gehanteerd bij het opstellen van de systeembeschrijving. Een aantal van deze criteria is voorgedefinieerd in de Standaard 3402. Maar niet alle criteria sluiten goed aan bij de rapportage in het kader van DGS. Voorbeelden hiervan zijn:

  • ‘De soorten diensten die verleend zijn, met inbegrip van, in voorkomend geval de verwerkte transactie­stromen’. [NBA17] In het geval van DGS gaat het niet om diensten, maar om het voldoen aan wet en regelgeving door middel van het juist, volledig en tijdig opleveren van het IKB-bestand.
  • ‘De verbonden administratie, de ondersteunende informatie en specifieke rekeningen waarvan gebruik is gemaakt om transacties te initiëren, te verwerken en vast te leggen; dit houdt onder meer het corrigeren van incorrecte informatie in en op welke wijze informatie is overgedragen naar de rapportages die voor cliënten zijn opgesteld’. [NBA17] Dit criterium gaat uit van de dienstverlening die relevant is voor financiële verslaglegging. Maar informatie over specifieke rekeningen voor het verwerken van transacties is voor het DGS niet relevant.

Materialiteit

Standaard 3402 schrijft voor dat ‘de materialiteit met betrekking tot de getrouwe weergave van de beschrijving in aanmerking genomen moet worden bij het plannen en het uitvoeren van de auditwerkzaamheden’. [NBA17] DNB gaat in de beleidsregel uit van nul tolerantie voor fouten in het IKB-bestand. Testen van interne beheersingsmaatregelen leidt tot een oordeel op basis van redelijke mate van zekerheid. De Standaard 3402 levert daarmee minder zekerheid dan wat DNB beoogt.

Interne auditafdeling

De standaard staat toe dat onder bepaalde voorwaarden gebruik wordt gemaakt van werkzaamheden van de interne auditafdeling . DNB beschrijft in de beleidsregel een grote rol voor interne auditors die een eigen rapportage aan DNB moet verschaffen. De vorm en inhoud van die rapportage zijn niet benoemd en daarmee ontbreekt ook de relatie met de aard en omvang van de werkzaamheden van de externe auditor. DNB geeft aan dat het niet de bedoeling is dat werk dubbel wordt uitgevoerd. Het is voor de externe auditor echter niet mogelijk een assurancerapport af te geven dat volledig is gebaseerd op het oordeel van de interne auditafdeling. Eigen werkzaamheden zijn op basis van 3402 paragraaf 34 en 35 altijd noodzakelijk. [NBA17]

Ervaringen over verslagjaar 2018

DNB beschrijft in de beleidsregel dat de banken over verslagjaar 2018 een type 1-rapport moeten opleveren over het IKB-systeem. De deadline hiervoor is na uitstel vastgesteld op 30 juni 2019 met rapportagedatum 31 maart 2019. Deze rapportages zijn inmiddels afgerond. Hieronder staat een aantal knelpunten en ervaringen beschreven die zich tijdens de type 1-audits hebben voorgedaan. Hiervoor putten we zowel uit eigen ervaring als uit overleg met betrokken auditors van de andere accountantskantoren.

Reikwijdte

DNB schrijft in de beleidsregel: ‘Om over het verslagjaar een oordeel te vormen over de mate waarin de voorschriften uit deze beleidsregel worden nageleefd, geeft een bank jaarlijks een opdracht aan een externe auditor, gebaseerd op ISAE 3402, waarbij niet alleen opzet en bestaan maar ook de werking onderdeel van toetsing is (type 2)’. [DNB17] Hierdoor is de reikwijdte gelijk aan alle regels zoals opgenomen in de beleidsregel. In de praktijk heeft dit tot veel discussie geleid. Is alleen het proces dat het IKB-bestand genereert in scope, of strekt de scope zich ook uit tot de primaire bankprocessen die zorgdragen voor de primaire registratie van de gegevens benodigd voor het IKB-bestand? Overleg tussen de banken, de NVB, DNB en de betrokken accountantskantoren heeft uiteindelijk geleid tot een sectorbreed normenkader met van de minimaal vereiste interne beheersingsdoelstellingen en voorbeeld-interne beheersingsmaatregelen.

Verwerken activiteiten IAD

In het hiervoor beschreven normenkader zijn ook beheersingsdoelstellingen opgenomen voor de primaire bankprocessen voor primaire registratie van depositohouders en saldi-informatie. Voorbeelden hiervan zijn ‘know-your-customer’ processen, afloop controles op nostro accounts1 en general IT controls over de primaire banksystemen. Banken kunnen op basis van de risicoanalyses tot de conclusie komen dat deze beheersingsmaatregelen niet nodig zijn voor het behalen van de controledoelstellingen. In dat geval is het niet nodig om de bijbehorende beheersingsmaatregelen in het assurancerapport op te nemen, mits aan bepaalde voorwaarden is voldaan. In dat geval geeft de bank gemotiveerd aan waarom zij van mening is dat opname van deze maatregelen in het ISAE 3402-rapport niet nodig is. DNB bepaalt hierbij expliciet dat dit niet betekent dat deze beheersingsmaatregelen niet aanwezig hoeven te zijn en dat het rapport van de interne auditafdeling hierop in opzet, bestaan en werking toe moet zien. (zie figuur 3). DNB heeft in de overleggen met de externe auditors aangegeven dat zij verwachten dat de externe auditor minimaal kennis neemt van de werkzaamheden, bevindingen en rapportage van de interne auditafdeling en hiervan verslag doet in het Standaard 3402-rapport. Deze manier van gebruikmaken van controlewerkzaamheden van de interne auditafdeling is volgens de Standaard 3402 niet toegestaan. Daarom geven externe auditors op verschillende manieren invulling aan deze eis. De volgende varianten komen voor:

  • Activiteiten opnemen in de systeemomschrijving, waarbij de externe auditor opzet en bestaan ervan heeft vastgesteld.
  • De werkzaamheden van de interne audit afdeling als beheersingsmaatregelen omschrijven en zodoende te verwerken in het rapport.
  • Een omschrijving opnemen in de toelichting op de werkzaamheden uitgevoerd door de externe auditor.

Daarnaast heeft een aantal interne auditafdelingen aangegeven geen werkzaamheden op de primaire bankprocessen te verrichten in het kader van DGS. Dit heeft ertoe geleid dat in veel gevallen de primaire bankprocessen wel in scope zijn genomen van de testwerkzaamheden van de externe auditor en volledig zijn meegenomen in het Standaard 3402-rapport.

Figuur 3: Audits door interne en externe auditor

Timing van de werkzaamheden en conclusie

Veel van de banken hebben de Standaard 3402-rapportage opgesteld nadat ze de technische oplossing voor het opleveren van het IKB-bestand hadden geïmplementeerd. Omdat het implementeren van de technische oplossing in veel gevallen meer tijd kostte dan gepland hadden banken maar beperkt de tijd om het gehele proces voor het opleveren van het IKB-bestand inclusief het uitvoeren van de beheersingsmaatregelen te testen en te documenteren. De externe auditors hebben in deze gevallen geconcludeerd dat de beheersingsmaatregelen niet aantoonbaar waren uitgevoerd. Voor een aantal banken waren deze bevindingen zo ernstig dat beperkende of afkeurende verklaringen zijn afgegeven. Daarnaast zijn de externe auditors verschillend omgegaan met afwijkingen, omdat niet alle kantoren afkeurende verklaringen afgeven. Het is aan de externe auditor zelf om te bepalen of een tekortkoming tot een beperking of afkeurende verklaring leidt. Hierdoor kan het zijn dat een tekortkoming van dezelfde aard tot een andere conclusie heeft geleid in een verklaring opgesteld door een andere externe auditor. Afhankelijk van wie de audit heeft uitgevoerd is een afkeurende verklaring of verklaring met kwalificaties afgegeven. Nadere instructies over welke soorten tekortkomingen tot afkeurende verklaringen, oordeelonthoudingen en/of gekwalificeerde verklaringen moeten leiden, kan de auditor richting geven bij het opstellen van zijn oordeel.

Uitvoerend auditor

DNB bepaalt in de beleidsregel dat het Standaard 3402-rapport opgeleverd moet worden door de externe accountant. De AFM definieert de externe accountant als ‘de natuurlijke persoon die werkzaam is bij of verbonden is aan een accountantsorganisatie, en die verantwoordelijk is voor de uitvoering van een wettelijke controle (artikel 1, eerste lid, onderdeel f, van de Wta)’. [AFM19] Assurance-werkzaamheden worden bij banken ook uitgevoerd door IT-auditors en niet altijd door de externe accountant zelf. Het IKB-systeem heeft bij de meeste banken een belangrijke IT-component. Daarom is de IT-auditor wellicht beter gekwalificeerd om de eindverantwoordelijkheid over deze opdrachten te dragen. Uit gesprekken met DNB is ook gebleken dat niet zozeer de AFM-definitie is bedoeld, maar het externe accountantskantoor dat de bank controleert. Hiermee zorgt DNB ervoor dat het externe auditteam bekend is met het IKB-systeem van de bank, wat voordelen biedt in de situatie dat DGS echt in werking treedt. In een aantal gevallen is het Standaard 3402-rapport opgeleverd door de bij de wettelijke controle betrokken zijnde IT-auditor in plaats van de externe accountant.

Aanbevelingen

Gelet op het voorgaande is een aantal zaken voor verbetering vatbaar. Inmiddels heeft een brede evaluatie plaatsgevonden om een aantal knelpunten voor de tweede rapportagecyclus over verslagjaar 2019 weg te nemen. Een belangrijke conclusie hieruit is dat heroverweging van de voorschreven Standaard 3402 wenselijk is. De Standaard of Richtlijn 3000A (‘Richtlijn Assurance-opdrachten door IT-auditors’) heeft minder beperkingen, zoals beschreven in dit artikel, en zou hierdoor wel eens beter passend kunnen zijn.

Daarnaast zijn concrete afspraken gemaakt over hoe tekortkomingen in de toekomst zullen worden verwerkt in de assurancerapportages. Een nadere uitwerking/handreiking zal leiden tot minder verschillen in de aard en omvang van de werkzaamheden van de interne auditors, en in de manier waarop de betrokken externe auditors hun professionele oordeelsvorming toepassen. Dit met als doel meer uniformiteit in de rapportages te verkrijgen. Banken zullen hierdoor een concreter beeld krijgen van de verwachtingen bij DNB over het assurancerapport en kunnen zich beter voorbereiden op de assurancewerkzaamheden. Voordeel voor DNB zal een verbeterde leesbaarheid van de rapporten zijn als alle rapporten op eenzelfde manier zijn opgezet en bevindingen op eenzelfde manier zijn verwerkt.

Bronnen

[DNB17] Regelgeving Depositogarantiestelsel, De Nederlandse Bank, Amsterdam, Juli 2017.
[NBA17] HRA 2017, 3402 Assurance-rapporten betreffende interne beheersingsmaatregelen bij een service organisatie, NBA. Geraadpleegd op 25 november 2019.
[AFM19] Definities en begrippen voor Accountantsorganisaties, AFM. Geraadpleegd op 25 november 2019.

Noot

1 Verbindingsrekening voor banken gebruikt voor interbancaire betalingsverkeer.

Geen categorie

Ir. B.A.G. (Bram) van der Heijden RE | Director IT Assurance & Advisory-praktijk KPMG bij KPMG

Bram is betrokken bij de afstemming tussen DNB, NVB, banken en accountantskantoren over de invulling van de assurancerapporten zoals gevraagd in de beleidsregel van DNB. Daarnaast was Bram betrokken bij de advisering van een aantal banken over het opstellen van het assurancerapport en heeft hij een aantal assurance-audits in het kader van DGS uitgevoerd.