11-12-14 Seminar InAudit 'Betekenis interne audit'
-
Upload
inaudit-bv -
Category
Economy & Finance
-
view
161 -
download
4
Transcript of 11-12-14 Seminar InAudit 'Betekenis interne audit'
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 1
Seminar
BETEKENIS VAN
INTERNE AUDIT
voor specifieke verzekeraars
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
WELKOMop ons seminar
Betekenis van interne audit
voor specifieke verzekeraars
2
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma✓ 12:30 Ontvangst
✓ 13:00 Opening
dagvoorzitter: Piet Poos, the Restructuring Company
✓ 13:30 Interne Audit in een Solvency II wereld
Ronald van de Langenberg, InAudit
✓ 14:30 Inrichting van de interne audit functie
“zoals het moet”
Esther Poelsma, InAudit
✓ 15:30 Pauze
✓ 15:45 Informatiebeveiliging, the next Level
Marcel Woltjes, Orange Oaks
✓ 16:30 Samenwerken met de actuariële functie
Tom Veerman, Triple A Risk-Finance
✓ 17:15 Paneldiscussie
onder leiding van Piet Poos, the Restructuring Company
✓ 17:45 Afsluiting met hapje en drankje
3
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 5
Relevante ervaring
BDO Camps Obers
Rabobank Nederland
Robeco
AEGON Nederland
Bank ten Cate
Wie volgt …. ?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 6
Interne audit ServicesGespecialiseerde
Reporting SupportGespecialiseerdeTrainingen &
Workshops
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Piet Poos RE RADAGVOORZITTER
7
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma✓ 12:30 Ontvangst
✓ 13:00 Opening
dagvoorzitter: Piet Poos, the Restructuring Company
✓ 13:30 Interne Audit in een Solvency II wereld
Ronald van de Langenberg, InAudit
✓ 14:30 Inrichting van de interne audit functie
“zoals het moet”
Esther Poelsma, InAudit
✓ 15:30 Pauze
✓ 15:45 Informatiebeveiliging, the next Level
Marcel Woltjes, Orange Oaks
✓ 16:30 Samenwerken met de actuariële functie
Tom Veerman, Triple A Risk-Finance
✓ 17:15 Paneldiscussie
onder leiding van Piet Poos, the Restructuring Company
✓ 17:45 Afsluiting met hapje en drankje
8
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 9
Seminar
BETEKENIS VAN
INTERNE AUDIT
voor specifieke verzekeraars
Interne Audit en
SOLVENCY II
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Corporate Governance
Je bouwt het liefst een muurtje om haar
heen
10
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 11
Corporate governance
Bestuurders …
Beheersen van risico’s
Welkom in de
Solvency II wereld
Uitdagingen …
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 12
Corporate Governance
• Toezicht op verzekeraars
• Maatschappelijke trend
• Controle is goed
Vertrouwen is nog beter ?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Case Studies
13
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 14
Tony Hayward
CEO
Risk management & Safety:
“Leaders must make the safety of all who work
for them their top priority”
Mr. Hayward set up a new companywide management system to evaluate
risks, standardize safety practices and improve decision-making.
Visitors today see signs at company offices exhorting workers not to walk
and carry hot coffee at the same time,
to stick to marked walkways in parking lots and
to grasp banisters while climbing the stairs.
Employees with company cars must take defensive driving courses.
British Petroleum
April 2010
Deep Water Horizon
11 doden,
17 zwaar gewonden
> 7000 vogels, dolfijnen,
schildpadden …
4,9 miljoen vaten olie
Schade: > $ 43 miljard
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 15
Bernard Ebbers
CEO MCI WorldCom
Down to earth
“Keeping a working man image”
In 20 jaar tijd maakte Ebbers van WorldCom Amerika’s op één na grootste
telecomonderneming.
Ebbers was een fanatieke kostenbewaker: de koffie was te duur, het
personeel name te veel pauze, hij deed persoonlijk de lichten uit en
draaide de verwarming omlaag en verbood kleurenkopieën.
Ebbers was een trouw bezoeker van de kerk,
gaf les op de zondagsschool,
gaf maaltijden aan de daklozen
“too committed not to come back”
Mei 2005
TIME: Criminal
Executive Officer
of the year
Schade: > $ 11 miljard
Persoonlijke leningen
> $ 400 miljoen
veroordeeld tot
25 jaar gevangenis
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
What more ?
Barings Bank
➡ € 1,3 miljard
Societe Generale
➡ € 4,9 miljard
Bear Sterns
Lehman Brothers
JP Morgan
….
19
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
What more ?
Commissie Woningcorporaties:
➡ Falende bestuurders
➡ Menselijk gedrag:
Varen op moreel kompas alleen is onvoldoende
➡ Gebrek aan duidelijke grenzen:
overambitie en risicovol gedrag
➡ Gebrekkige governance:
onvoldoende tegenkrachten
➡ Veel geld (en weinig risicobesef):
moreel gevaar
➡ De reden dat het overgrote deel van de corporaties niettemin toch prima lijkt te
functioneren […] is voor een belangrijk deel te danken aan de professionaliteit en
het goede gedrag van bestuurders. Maar van goed gedrag en moreel kompas
alleen zou een stelsel niet afhankelijk moeten zijn.
20
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Verzekeraars ?
21
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 22
Besturen = Mensenwerk
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 23
de bestuurder en de zeven hoofdzonden
HEBZUCHT
TROTSWOEDE
LUIHEID
LUST
VRAATZUCHT
AFGUNST
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
de bestuurder en zijn denkfouten
24
Overconfidence Probability neglect
Sunk Cost Fallacy Confirmation Bias
Availability bias
Groupthink
de achteraf-fout
Anchoring
Loss aversion
Alternatieve paden
Inductief redeneren
Winner’s curse
FramingAction bias
Cognitieve dissonantiePrognose illusie
Alternatieve padenHalo effect
BeginnersgelukBase rate neglect
Hedonic treadmillSelf serving bias Omission bias
Ontkenning van toeval Schaarste
Decision fatigue Not-invented here Syndroom
Overthinking Single Cause Fallacy
News Illusion Fear of Regret
Planning fallacy
duration neglectPeak end rule
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Behavioral economics
25
Winnaar Nobel Prijs
Economics 2002
Prospect theory
Loss Aversion
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Prospect Theory (I)
Framing-effect: het probleem van de Aziatische ziekte
Bedreiging: mogelijk 600 doden
Twee mogelijke programma’s:
(A) 200 mensen zullen overleven
(B) een kans van 33,3% dat alle 600 worden gered,
een kans van 66,7% dat niemand wordt gered
Wat adviseert u ?
✓ Groen = programma A
✓ Rood = programma B
26
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Prospect Theory (II)
Framing-effect: het probleem van de Aziatische ziekte
Bedreiging: mogelijk 600 doden
Twee mogelijke programma’s:
(A) 400 mensen zullen sterven
(B) een kans van 33,3% dat niemand sterft,
een kans van 66,7% dat iedereen sterft
Wat adviseert u ?
✓ Groen = programma A
✓ Rood = programma B
27
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Prospect Theory (III)
Framing-effect: het probleem van de Aziatische ziekte
Beslissers hebben de neiging om zekerheid boven de gok te
stellen (afkerig te zijn van risico) als de uitkomst goed is.
Beslissers hebben de neiging om zekerheid te verwerpen en
de gok te accepteren (en risico te zoeken) wanneer beide
uitkomsten negatief zijn.
28
A B
Positief 200 gered 33% kans op redding
Negatief 400 sterven 33% dat niemand sterft
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Risk Management voor beginners
29
Risico schatten
Risico al dan niet
nemen of mitigeren
Hoe vertel ik het
mijn moeder ?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Risico’s onderzoeken, niet de schuld
30
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 31
Risk Management Survey DNB
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Risicomanagement
Solvency II legt nadrukkelijk focus op
financial risk management:
• Risk based kapitaalvereiste
• Risk management functie:
➡ verzekeringsbeleid
➡ asset-liability management
➡ beleggingen
➡ liquiditeitsrisico
➡ operationeel risico
➡ herverzekeringsbeleid
32
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 33
Risico
Rendement
Solvabiliteit
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Solvabiliteit onder druk
34
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Kapitaalseis
35
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
EIOPA Stress Test 2014
36
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 37
Uitdagingen
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Uitdagingen
38
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Welkom in de Solvency II wereld
39
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
De Solvency II wereld
artikel 47 - de interne audit functie
1. Verzekeringsondernemingen voorzien in een doeltreffende interne
audit functie
In deze functie wordt geëvalueerd of het interne-controlesysteem en
andere onderdelen van het governancesysteem adequaat en
doeltreffend zijn.
2. De interne audit functie is objectief en onafhankelijk van de
operationele functies.
3. Bevindingen en aanbevelingen van de interne audit worden
gerapporteerd aan het bestuurlijk, beleidsbepalend of toezicht
houdend orgaan, dat besluit welke maatregelen moeten worden
getroffen met betrekking tot elk van de bevindingen en aanbeve
lingen van de interne audit en ervoor zorgt dat deze maatregelen
worden uitgevoerd.
40
EG Richtlijn
2009-138
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
De Solvency II wereldartikel 271 - Internal Audit Function
1.The persons carrying out the internal audit function shall not assume any responsibility for any other
function.
2.Notwithstanding paragraph 1, and in particular by respecting the principle of proportionality laid down in
paragraphs 3 and 4 of Article 29 of Directive 2009/138/EC, the persons carrying out the internal audit
function may also carry out other key functions, where all of the following conditions are met:
1.a. this is appropriate with respect to the nature, scale and complexity of the risks inherent in the undertaking's
business;
b. no conflict of interest arises for the persons carrying out the internal audit function;
c. the costs of maintaining persons for the internal audit function that do not carry out other key functions would
impose costs on the undertaking that would be disproportionate with respect to the total administrative expenses .
3.The internal audit function shall include all of the following tasks:
➡ a. establish, implement and maintain an audit plan setting out the audit work to be undertaken in the upcoming
years, taking into account all activities and the complete system of governance of the insurance or reinsurance
undertaking;
➡ b. take a risk-based approach in deciding its priorities;
➡ c. report the audit plan to the administrative, management or supervisory body;
➡ d. issue recommendations based on the result of work carried out in accordance with point (a) and submit a written
report on its findings and recommendations to the administrative, management or supervisory body on at least an
annual basis;
➡ e. verifying compliance with the decisions taken by the administrative, management or supervisory body on the basis
of those recommendations referred to in point (d).
• Where necessary, the internal audit function may carry out audits which are not included in the audit
plan.
41
Draft delegated
Acts 2014
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Interne auditor in de Solvency II wereld
Uitvraag DNB
✓ Onafhankelijkheid
✓ Audit Plan
✓ Risk-based aanpak
✓ Rapportages
✓ (follow-up) Aanbevelingen
42
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Interne auditor en de ORSA ?
Independent review
43
Strategie
Risico’s
Scenario’s
Kapitaal-
beleid
Management-
acties
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Interne audit & kwartaalrapportages
Independent review
✓ Op het proces ?
✓ Op de inhoud ?
44
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Interne audit & risk management
Operationeel risk management
Financial risk management ?
✓ Modelvalidatie
✓ Datakwaliteit
✓ SCR-berekeningen
✓ Marktwaarde waardering ?
✓ IFRS4 fase 2
45
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 46
Samenwerking in de Solvency II wereld
Risk managerCompliance
OfficerActuariële
functie
Interne
auditBusiness
Governance, risk & compliance
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
de rol van Interne audit in het GRC-framework
bewaak dat het GRC-framework
adequaat en effectief is
✓ de interne auditor heeft een bijzondere positie
✓ wees een klankbord,
wees een advocaat van de duivel
wees de hofnar, indien nodig …
maar durf de juiste vragen te stellen
✓ ken je competenties en
breng je competenties
✓ betrokkenheid en teamgeest
✓ gericht op de doelstellingen van de verzekeraar
47
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 48
Succes in de Solvency II wereld
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 49
Discussievragen
(1) De interne auditor moet ook
alles van Solvency II weten
(2) Een externe interne auditor,
kan dat eigenlijk wel ?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma✓ 12:30 Ontvangst
✓ 13:00 Opening
dagvoorzitter: Piet Poos, the Restructuring Company
✓ 13:30 Interne Audit in een Solvency II wereld
Ronald van de Langenberg, InAudit
✓ 14:30 Inrichting van de interne audit functie
“zoals het moet”
Esther Poelsma, InAudit
✓ 15:30 Pauze
✓ 15:45 Informatiebeveiliging, the next Level
Marcel Woltjes, Orange Oaks
✓ 16:30 Samenwerken met de actuariële functie
Tom Veerman, Triple A Risk-Finance
✓ 17:15 Paneldiscussie
onder leiding van Piet Poos, the Restructuring Company
✓ 17:45 Afsluiting met hapje en drankje
50
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 5
1
Seminar
BETEKENIS VAN
INTERNE AUDIT
voor specifieke verzekeraars
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Inrichting van de IAF”zoals het moet”
5
2
Esther Poelsma RA CIA
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma
Even voorstellen
Waarom een IAF?
Wat is de rol van een effectieve IAF?
Inrichting van een effectieve IAF
Discussie
5
3
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Waarom een IAF?
5
4
WFT/BPR
Solvency II
Governance Code
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Waarom een IAF?
5
5
Cruciaal voor “good governance”
Stimuleert management tot betere prestaties
Draagt bij aan
bescherming en
succes van de
Organisatie!
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Wat is de rol van een effectieve
IAF?
5
6
1e lijn: business is zelf verantwoordelijk voor
het ondervangen van risico’s
2e lijn: adviseert en ondersteunt de business
bij de beheersing van risico’s
3e lijn: de IAF geeft zekerheid over de effec-
tiviteit van de beheersingsmaatregelen
“Three lines of
defence” model
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Gedrag en cultuur?
Wat is de rol van een effectieve
IAF?
5
7
Is governance adequaat?
Is risicomanagement op orde?
Zijn “controls” toereikend?
Het
verstrekken
van
“assurance”
aan het
bestuur van
een
organisatie
op basis van
objectief
en
deskundig
onderzoek.
Wordt wet- en regelgeving nageleefd?
Is informatievoorziening betrouwbaar?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Inrichting van effectieve IAF
58
Solvency II
Beroepsorganisaties
NOREA
IIA
NBA
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Inrichting van effectieve IAF
Onafhankelijkheid
Integriteit
Onpartijdigheid
Deskundigheid
Objectiviteit
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Inrichting van effectieve IAF
Rechtstreeks gepositioneerd onder
Directie van de organisatie
Directe rapportagelijn Directie en RvC/AC
Rechtstreeks onbeperkt toegang RvC/AC
Onbeperkt toegang tot alle onderdelen,
Informatie en mensen
IAF kan op eigen initiatief audits uitvoeren
Geen combinatie met andere functies
Financiële beloning is onafhankelijk van
de financiële prestatie van de organisatie
Jaarlijkse beoordeling functioneren IAF
door Directie en RvC/AC
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Inrichting van effectieve IAF
Passende opleidingsniveau
Permanente educatie
Competentieprofielen
Voldoende opleidingsbudget
Budget inhuur kennis
Kennis auditmethodes en technieken
Code of Ethics IIA
Kwaliteitsbewaking- en verbetering-
programma
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Inrichting van effectieve IAFDoel, bevoegdheid en verantwoordelijkheid
Positionering in de organisatie
Rapportagelijnen
Reikwijdte
Toegang tot informatie en personen
Beschikbare middelen (capaciteit, budget)
Escalatiemodel
Goedgekeurd door Directie en RVC/AC
Periodieke actualisatie
Relatie overige risk- en governance functies
Rol Directie en RVC/AC
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Inrichting van effectieve IAF
Reikwijdte
Scope
Audit jaarplan
Rapportagelijnen
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Inrichting van effectieve IAF
De verantwoordelijkheid mag niet worden beperkt!
Combinatie met andere sleutelfuncties is toegestaan, mits:
1. aard, omvang en complexiteit van risico’s beperkt zijn, en
2. er geen belangenconflict bestaat tussen de IAF en de
andere sleutelfunctie, en
3. de kosten van het hebben van een IAF functionaris
disproportioneel zijn t.o.v. de administratieve kosten
Motiveren!!!
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Inrichting van effectieve IAF
6
5
Voordelen in huis?
In huis of
uitbesteden?
Voordelen (gedeeltelijk) uitbesteden?
variabel maken van kosten
frisse blik van buiten
multidisciplinaire deskundigheid
Onafhankelijkheid en objectiviteit
directe beschikbaarheid
kennis van de organisatie
Flexibiliteit
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Inrichting van effectieve IAF
6
6
Uitbesteden?
In huis of
uitbesteden?
Directie blijft eindverantwoordelijk
Kwaliteit mag niet worden uitgehold
Naleven regelgeving uitbesteding
Motiveren!!!
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Inrichting van effectieve IAF
6
7
Zichtbare support
Rol van Directie en RvC/AC
Duidelijkheid over rol en reikwijdte IAF
Robuust evaluatie en feedback proces
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Discussie
6
8
Effectieve IAD kan geen één persoonsformatie zijn!
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma✓ 12:30 Ontvangst
✓ 13:00 Opening
dagvoorzitter: Piet Poos, the Restructuring Company
✓ 13:30 Interne Audit in een Solvency II wereld
Ronald van de Langenberg, InAudit
✓ 14:30 Inrichting van de interne audit functie
“zoals het moet”
Esther Poelsma, InAudit
✓ 15:30 Pauze
✓ 15:45 Informatiebeveiliging, the next Level
Marcel Woltjes, Orange Oaks
✓ 16:30 Samenwerken met de actuariële functie
Tom Veerman, Triple A Risk-Finance
✓ 17:15 Paneldiscussie
onder leiding van Piet Poos, the Restructuring Company
✓ 17:45 Afsluiting met hapje en drankje
69
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 7
0
Seminar
BETEKENIS VAN
INTERNE AUDIT
voor specifieke verzekeraars
PAUZEtot 15:45
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma✓ 12:30 Ontvangst
✓ 13:00 Opening
dagvoorzitter: Piet Poos, the Restructuring Company
✓ 13:30 Interne Audit in een Solvency II wereld
Ronald van de Langenberg, InAudit
✓ 14:30 Inrichting van de interne audit functie
“zoals het moet”
Esther Poelsma, InAudit
✓ 15:30 Pauze
✓ 15:45 Informatiebeveiliging, the next Level
Marcel Woltjes, Orange Oaks
✓ 16:30 Samenwerken met de actuariële functie
Tom Veerman, Triple A Risk-Finance
✓ 17:15 Paneldiscussie
onder leiding van Piet Poos, the Restructuring Company
✓ 17:45 Afsluiting met hapje en drankje
71
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 7
2
Seminar
BETEKENIS VAN
INTERNE AUDIT
voor specifieke verzekeraars
Informatiebeveiliging
the next level
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Agenda1. Introductie
2. Stand van zaken in de Cyber Security wereld
3. Verschillende soorten aanvallen, verschillende soorten verweer?
4. Techniek, maar ook proces en mens (gedrag)
5. Security centraal of waarde centraal?
6. Pragmatisch advies, eerste stappen
7. Q&A
• Ik heb nog wat meegenomen voor de deelnemers
7
3
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Introductie Marcel Woltjes
Marcel Woltjes RE EMITA CISAPartner Audit & Security
Orange Oaks Audit & Advisory
Amsterdam
www.orangeoaks.nl
twitter.com/doclink
• Partner sinds 2008 bij Orange Oaks Audit & Advisory
• Voorgaand gewerkt bij Ernst & Young, IBM
• Lid van NOREA, IIA, ISACA in verschillende commissies, waaronder de cyber
security assessment
• Presenteert / schrijft regelmatig op het Cyber Security vakgebied
- Eerder verschenen blog op de IIA Linked-IN/E-Dialoque website: “Internal Audit
moeite met het verwerken van cybercrime dreigingen.”
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
De stand van zaken eind 2014
Cybercrime groeit hard
Focus verlegd van Banken naar andere
financiële instellingen en hightech
Nieuwe spelers, nieuwe spelregels,
wetgeving?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Verkenning
Bekende gebreken
SQL injectie
Phishing
Spear Phishing
Malware aanvallen
Zwakke authenticatie
Verschillende soorten aanvallen,
verschillende soorten verweer?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Techniek, maar ook proces & gedrag
Bouwstenen voor het vertrouwen: IT General Controls
Toegangsbeveiliging (Pen-test)
Changemanagement
Additioneel: Operations, Back-up & Recovery
Standaard processen, standaard gedrag…
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Security centraal of waarde centraal?
Cyberrisico
management
✓ Detectie
✓ Reactie
✓ Recuperatie
✓ Verdediging
*
* © Deloitte – Audit Committee brief 2013
Waardeanalyse, direct of in de keten als opmaat voor de
risicoanalyse
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Pragmatisch advies
Leiderschap & governance
Tone of the top – directie toont zorgvuldigheid, eigenaarschap en
effectief managen van risico’s
Informatie riskmanagement
Holistische aanpak van risk management op waardevolle informatie
door de hele organisatie en aangesloten partners
Specifieke inzet van Operations en technologie
De mensen factor
toezien dat de volgende zaken geadresseerd worden in de organisatie als
maat voor volwassenheid op het gebied van cybersecurity
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
-vervolgNiveau en inzet van maatregelen om de geïdentificeerde risico’s aan te pakken en de impact ervan te minimaliseren
Het niveau en de integratie van een beveiligingscultuur die bekrachtigd en ondersteund wordt door de juiste mensen met de juiste kennis.
Business Continuïteit & Crisis management
Voorbereiding op security calamiteiten en de mogelijkheden om deze tegen te gaan of te minimaliseren door een succesvol crisis en stakeholder management
Betrokkenheid van Juridische zaken en compliance
De banksector laat zien dat het doorvoeren van relevant toezicht en internationale standaarden de dreiging van cybercrime kan indammen, beheersen en tegengaan. Verzekeraars zouden op vergelijkbare wijze hun aanpak kunnen aanpassen om vergelijkbare verdedigingsmechanismes te ontwikkelen.
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Q&A
Heeft de IAD een rol in cybersecurity ?
Wordt risico op cybercrime door de IAD
adequaat onderkend ?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
– Office of the Superintendent of Financial Institutions Canada
“Ik heb nog iets voor deelnemers...”
8
3
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma✓ 12:30 Ontvangst
✓ 13:00 Opening
dagvoorzitter: Piet Poos, the Restructuring Company
✓ 13:30 Interne Audit in een Solvency II wereld
Ronald van de Langenberg, InAudit
✓ 14:30 Inrichting van de interne audit functie
“zoals het moet”
Esther Poelsma, InAudit
✓ 15:30 Pauze
✓ 15:45 Informatiebeveiliging, the next Level
Marcel Woltjes, Orange Oaks
✓ 16:30 Samenwerken met de actuariële functie
Tom Veerman, Triple A Risk-Finance
✓ 17:15 Paneldiscussie
onder leiding van Piet Poos, the Restructuring Company
✓ 17:45 Afsluiting met hapje en drankje
84
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 8
5
Seminar
BETEKENIS VAN
INTERNE AUDIT
voor specifieke verzekeraars
Internal Audit en
doeltreffendheid van
risk management system
Tom Veerman
Triple A –Risk Finance B.V.
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma
Solvency II stand van zaken
Governance en sleutelfuncties
Doeltreffendheid risk management system
Van welke risico’s lig ik echt wakker?
Evolutie
8
6
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Solvency IIen de interne audit functie
8
7
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Status Solvency II: anno vandaag
8
8
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma
Solvency II stand van zaken
Governance en sleutelfuncties
Doeltreffendheid risk management system
Van welke risico’s lig ik echt wakker?
Evolutie
8
9
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Governance en sleutelfuncties
9
0
Governance op basis van 3 lines of defense✓ 1e lijn: uitvoering activiteiten en directe aansturing
✓ 2e lijn: controlerende rol en onafhankelijke aansturing
✓ 3e lijn: interne audit als borging 1e en 2e lijn, volledig onafhankelijk
Hoewel niet expliciet in Solvency II toch gebruikt als uitgangspunt door DNB
First Line of Defence
Eigenaarschap en uitvoering• Lijn-management
• Uitvoerende afdelingen
Second Line of DefenceMonitoring, beleid en
rapportage• Risk Management Functie
• Actuariële Functie
• Compliance Functie
Third Line of DefenceOnafhankelijke beoordeling• Interne Audit Functie
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Governance en sleutelfuncties
9
1
Solvency II sleutelfuncties
✓ Risicomanagement functie
✓ Actuariële functie
✓ Compliance functie
✓ Interne audit functie
Een sleutelfunctie is een administratieve capaciteit
✓ Rekening houdend met aard, omvang en complexiteit van de verzekeraar
✓ Separate afdelingen niet strikt vereist
✓ Combinatie van functies eventueel mogelijk behalve voor Interne Audit
✓ Onafhankelijkheid en deskundigheid dient gewaarborgd te zijn
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Governance en sleutelfuncties
9
2
Onafhankelijkheid
✓ Onder verantwoordelijkheid van en rapporteert aan RvB en RvC
✓ Werkt waar nodig samen met andere sleutelfuncties
✓ Autoriteit en middelen om taken uit te voeren en toegang tot alle informatie
✓ Beloningsbeleid afgestemd op vermijden van belangenconflicten
Deskundigheid en betrouwbaarheid
✓ Beroepskwalificaties, -kennis en -ervaring t.b.v. gezond en prudent bestuur
✓ Sleutelfunctionarissen hebben goede naam en integriteit
✓ Actuariële functie door personen met kennis van actuariële en financiële wiskunde
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Governance en sleutelfuncties
9
3
Sleutelfunctie op zichzelf niet uit te besteden
✓ Verantwoordelijkheid en aansturing altijd bij verzekeraar zelf
Onderliggende activiteiten uit te besteden mits:
✓ Uitbesteding niet leidt tot afbreuk aan kwaliteit governancesysteem
✓ Operationele risico’s van uitbesteding worden beheerst
✓ Continuïteit en toereikendheid dienstverlening is gewaarborgd
✓ DNB onverminderd toezicht kan houden op uitbestede werkzaamheden
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Governance en sleutelfuncties
9
4
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Governance en sleutelfuncties
9
5
Interne audit bij kleinere partijen
✓ Aansturing sleutelfuncties directie
• Ondersteund door beleid en werkplan
✓ (Deels) Uitbesteding van activiteiten
• Ondersteund door SLA conform art. 49
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Governance en sleutelfuncties
9
6
Interne Audit functie is onafhankelijk van rest van de organisatie, m.u.v.
compliance functie.
Internal Audit functie dient minimaal eens per jaar aan het
toezichthoudend orgaan (RvC; 3rd line of defence) te rapporteren in
hoeverre het interne controlesysteem en andere onderdelen van het
risk governance systeem adequaat en doeltreffend zijn.
Onafhankelijke positie van interne audit functie is gewaarborgd binnen
het audit beleid, waarbij de rechtstreekse communicatie richting
directie en RvC onder meer de waarborg is.
Interne audit functie is onafhankelijk
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 9
7
Governance en sleutelfuncties
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma
Solvency II stand van zaken
Governance en sleutelfuncties
Doeltreffendheid risk management system
Van welke risico’s lig ik echt wakker?
Evolutie
9
8
In hoeverre is het interne controlesysteem en
andere onderdelen van het risk management
systeem adequaat en doeltreffend?
9
9
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Internal Audit
1
0
0
Constructieve dialoog met operationeel
management en de andere sleutelfuncties
Naast aandacht voor … compliance,
beleidsdocumenten en beschrijvingen
… ook voldoende aandacht voor …
de effectiviteit van de organisatie als het
gaat om het beheersen van risico’s.
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Doeltreffendheid risk management
system
101
Risk Management System
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Doeltreffendheid risk management
system
102
Taken van de Risk managementfunctie– Bijdragen aan effectieve werking van het RM
systeem– Monitoren van het RM systeem– Monitoren van het algehele risicoprofiel– Rapporteren over risico’s, exposures in relatie
met strategie– Identificeren en beoordelen van opkomende
risico’s
De Risk managementfunctie zet het intern model op, toetst, valideert, analyseert werking, documenteert en informeert hierover de AMSB
De Risk Managementfunctie werkt nauw samen met de Actuariële functie
Solvency II Richtlijn art. 44 en Delegated Acts art. 269
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 103
Inrichting risk management sterk gedreven door rules-based raamwerken
Focus op compliance en risico’s in plaats van resultaat
Gevolgen:– Heeft sterk geleid tot risico-denken in silo’s, zowel risicometing als risicomanagement
– Alle stappen doorlopen ongeacht relevantie wat leidt tot informatie-overload
– Hoge kosten risk management en veelal lage bijdrage aan executie van de strategie
COSO kubus DNB FIRM methode
Doeltreffendheid risk management
system
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 104
We are compliant!
We have not met our
strategic objectives!!!
Doeltreffendheid risk management
system
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Doeltreffendheid risk management
system
105
Overall score S&P beoordeling
Score per categorie
De kwaliteit van risicomanagement binnen
grotere verzekeringsinstellingen wordt
relatief zwak beoordeeld
Veel verbeterpotentieel te verwachten als
gevolg van Solvency II
Risk control► Voldoende ingeregeld
► Focus op silo’s
Strategisch risicomanagement► Onvoldoende integratie tussen risicomanagement en
strategische besluitvorming
Risicomodellen► Veelal complex van opzet en vergen veel data en rekentijd
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma
Solvency II stand van zaken
Governance en sleutelfuncties
Doeltreffendheid risk management system
Van welke risico’s lig ik echt wakker?
Evolutie
106
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Van welke risico’s lig ik echt
wakker?
108
Heeft huidige Internal Audit functie voldoende aandacht voor de
“known unknowns” en de “unknown unknowns”?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Risico’s anno 2014
109
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Risico’s straks …
110
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma
Solvency II stand van zaken
Governance en sleutelfuncties
Doeltreffendheid risk management system
Van welke risico’s lig ik echt wakker?
Evolutie
111
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Evolutie risicobeheer en interne
controle
112
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Evolutie risicobeheer en interne
controle
113
Risk Management System
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Evolutie risicobeheer en interne
controle
114
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Evolutie risicobeheer en interne
controle
115
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Evolutie risicobeheer en interne
controle
116
Focus primair op die zaken die realisatie van strategische
doelstellingen in gevaar brengen
Strak gedisciplineerd en efficiënt ingericht proces
✓ Alleen kritische controls en acties
✓ Alleen de meest relevante KPI’s / KRI’s
✓ Risk assessments op kritische succesfactoren
✓ Bepaal risk appetite
Waarde zit niet in de uitkomst
van de scenario’s, maar de
discussie over de scenario’s
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 117
Discussievragen
(1) Stelling 1
(2) Stelling 2
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Programma✓ 12:30 Ontvangst
✓ 13:00 Opening
dagvoorzitter: Piet Poos, the Restructuring Company
✓ 13:30 Interne Audit in een Solvency II wereld
Ronald van de Langenberg, InAudit
✓ 14:30 Inrichting van de interne audit functie
“zoals het moet”
Esther Poelsma, InAudit
✓ 15:30 Pauze
✓ 15:45 Informatiebeveiliging, the next Level
Marcel Woltjes, Orange Oaks
✓ 16:30 Samenwerken met de actuariële functie
Tom Veerman, Triple A Risk-Finance
✓ 17:15 Paneldiscussie
onder leiding van Piet Poos, the Restructuring Company
✓ 17:45 Afsluiting met hapje en drankje
118
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 119
Seminar
BETEKENIS VAN
INTERNE AUDIT
voor specifieke verzekeraars
PANEL DISCUSSIEHeeft u vragen ?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
VRAGEN ?
Betekenis van interne auditvoor specifieke verzekeraars
onder leiding van Piet Poos RE RA
120
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
PANELDISCUSSIE
Betekenis van interne auditvoor specifieke verzekeraars
onder leiding van Piet Poos RE RA
tot 17:30
121
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 122
Seminar
BETEKENIS VAN
INTERNE AUDIT
voor specifieke verzekeraars
Met dank aan ..
Piet Poos
Esther Poelsma
Marcel Woltjes
Tom Veerman
Martijn en Fenna
en u als deelnemer !!!
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014 123
Seminar
BETEKENIS VAN
INTERNE AUDIT
voor specifieke verzekeraars
Vergeet u niet …
Te tekenen voor vertrek
(i.v.m. PE-registratie)
Ons feedback te geven ?
(Evaluatieformulier)
Nog even met ons na te
praten (borrel & hapje)