Word abonnee
Home Overzicht De Beursbengel magazine Editie 929 - november 2023 Het belang van interne audits

Het belang van interne audits

D.C. (Christel) van Bommel-Versluijs 10 min. 2023 Bedrijfsvoering De Beursbengel Artikel

Interne audits zijn een belangrijk onderdeel in het kader van risicobeheersing in organisaties. Zeker bij financieel dienstverleners. Het helpt bij het controleren van processen en het vinden van mogelijke risico’s en problemen. Afhankelijk van de grootte van een organisatie kan dit best een tijdrovende klus zijn. Maar wel een heel belangrijke. Bij een gesignaleerd risico kan er namelijk direct worden bijgestuurd.

De PDCA-cirkel is een handig model om de continue verbetering en vernieuwing in een organisatie te sturen. PDCA staat voor Plan, Do, Check en Act. Als één van deze schakels (Check) ontbreekt, loopt de gehele cirkel niet. Het herhalende karakter van de cirkel zorgt ervoor dat de kwaliteitsverbetering continu onder de aandacht is.

Werkprogramma Risicobeheersing Volmachten

In het kader van risicobeheersing moeten gevolmachtigd agenten voldoen aan het Werkprogramma Risicobeheersing Volmachten (WRV). Dit werkprogramma zorgt ervoor dat de risico’s van het uitbesteden van bevoegdheden van verzekeraars aan de gevolmachtigd agent op een verantwoorde en gecontroleerde manier worden beheerst. Het WRV omvat onder andere taken op organisatorisch en juridisch vlak, financiën, automatisering, fraude, klantbelang centraal, acceptatie en schade. De taken die erbij horen, helpen bij het aantoonbaar maken van de uitvoering van de werkzaamheden van de gevolmachtigde en het regelmatig evalueren van het uitbestedingsproces. Hierdoor vinden er bij een volmachtkantoor vrijwel doorlopend interne audits plaats. Althans, als de taken op het aangegeven moment worden uitgevoerd.

Dossiercontroles

Interne audits kunnen op verschillende onderdelen of afdelingen binnen een organisatie worden gehouden. Ik benoem er in dit artikel een aantal, te beginnen met dossiercontroles. Die vinden bij de gevolmachtigd agent plaats op het gebied van acceptatie, schades en royementen. Ik zie in de praktijk dat kantoren opzien tegen dossiercontroles. Omdat het een hoop tijd kost, schuift men het vaak voor zich uit. Maar dan loop je achter de feiten aan. Dossiercontroles zijn belangrijk. Ze laten niet alleen zien of er conform de Wft en de IDD wordt gewerkt. De controles helpen ook bij het vinden van zwakke plekken in het proces. Door de controles regelmatig uit te voeren en actief te acteren op zaken die (nog) niet helemaal goed gaan, worden risico’s vermeden.

929_interne-audits-grafiek

Bij advieskantoren is dat niet anders. Daar is het controleren van adviesdossiers belangrijk. Niet alleen van complexe producten zoals hypotheken of arbeidsongeschiktheidsverzekeringen, maar ook van schadeverzekeringen. Zo wordt zichtbaar of het geadviseerde product aansluit bij de wensen van de klant, of er uniform wordt gewerkt en of de processtappen tijdig zijn uitgevoerd.

Om de controles zo goed en zo snel uit te voeren, is het aan te raden om een controleformulier (werkprogramma) te gebruiken. Zo is duidelijk welke punten getoetst moeten worden. Neem het controleformulier regelmatig onder de loep om vast te stellen of de punten die erop staan nog actueel zijn. Of dat er wellicht andere punten gecontroleerd moeten worden. Zo houd je niet alleen grip op het proces, maar ook op mogelijke risico’s die de organisatie loopt.

De controles helpen ook bij het vinden van zwakke plekken in het proces

Automatisering

Het komt voor dat werknemers binnen een organisatie andere werkzaamheden gaan doen, omdat ze een andere functie krijgen. Komen de bevoegdheden die zij hebben dan nog wel overeen met die werkzaamheden? Ook dat moet je periodiek beoordelen. Zijn er mensen die op meerdere plekken inzetbaar zijn, zorg er dan voor dat daar geen knelpunten in ontstaan. Kan bijvoorbeeld een acceptant ook schades behandelen of is er een duidelijke functiescheiding? Kan en mag een verzekeringsadviseur stukken halen uit het hypotheekdossier van de klant? Gelukkig is vrijwel alles goed in te regelen in de diverse systemen. Het is echter aan te raden om te controleren of de rechten en bevoegdheden van medewerkers goed en conform hun functie en werkzaamheden zijn ingeregeld.

Hoe veilig zijn de klantgegevens? Welke risico’s op datalekken zijn er of op verlies van data? Is er een dagelijkse back-up van de belangrijkste software waar de klantgegevens in zijn opgeslagen? Wordt de dagelijkse back-up gecontroleerd en wordt er periodiek getest of het lukt om de bestanden terug te zetten? Heeft iedereen een eigen inlognaam en wachtwoord en wordt er gewerkt met een twee-staps-autorisatie? Wat is het beleid van de organisatie op dit vlak? Dit zijn slechts enkele vragen die spelen in het kader van risicomanagement. Het zijn belangrijke risico’s die je in beeld moet hebben zodat je deze zoveel mogelijk beperkt. Zeker in deze tijd waar cybercrime regelmatig grote impact heeft op organisaties. Voorkomen is immers beter dan genezen.

Dit zijn slechts enkele vragen die spelen in het kader van risicomanagement

Fraude en witwassen

Helaas komt er nog veel fraude voor in de financiële dienstverlening. Door gebruik van brondata is het vervalsen van werkgeversverklaringen of salarisstroken niet meer lonend. Maar zijn alle klanten eerlijk bij het opgeven van een schade? En hoe controleren en beoordelen jouw medewerkers dat? Het gebruik van het Spoorboekje Fraudebeheersing Volmachten (opgesteld door het Verbond van Verzekeraars en de NVGA) en de schade-indicatoren helpen bij het signaleren van fraudegevallen. Daarom is het van belang om regelmatig te controleren of er ook gebruik van wordt gemaakt. Soms zie ik bij redelijk grote kantoren dat ze nooit fraudes registreren, omdat deze niet voor zouden komen. Ik vraag me dan toch af of de medewerkers zich bewust zijn van de risico’s met betrekking tot fraude. Want dat er nooit een vermoeden van fraude is, kan alleen in een ideale wereld, ben ik bang. Hoe eerder een fraudegeval wordt opgespoord, hoe beter. Dit geldt uiteraard ook voor het risico van witwassen en financiering van terrorisme. Zijn het beleid en de procedures met betrekking tot de Wwft bekend bij de medewerkers en worden deze ook gevolgd? Is er, indien van toepassing, een cliëntenonderzoek uitgevoerd en zijn de UBO’s gecheckt? Belangrijke onderdelen om mee te nemen in een interne audit en bespreekbaar te maken wanneer blijkt dat dit niet (helemaal) het geval is.

Tijdig toesturen van documenten

Ook goed om te controleren: het tijdig toesturen van documenten. Dit begint bij adviseurs al bij het aantoonbaar en voorafgaand aan de dienstverlening aanleveren van precontractuele documenten zoals dienstenwijzer, de vergelijkingskaart en (indien van toepassing) algemene voorwaarden. Enkele andere voorbeelden:

  • Het bij complexe producten tijdig toesturen van het adviesrapport aan de klant, of een samenvatting daarvan. Dit moet aantoonbaar gedaan zijn voordat de bemiddeling is begonnen.
  • Het binnen vijf dagen na ontvangst van een schademelding deze invoeren in het systeem en, indien de schade niet direct kan worden uitbetaald, een schadereserve opnemen.
  • Het controleren en registreren van schadevrije jaren in Roy data bij autoverzekeringen.

Zoveel zaken waaraan gedacht moet worden. Daarom zijn procedures zo belangrijk. Zodat iedereen weet wat er van ze verwacht wordt. En ook zodat er gecontroleerd kan worden of de procedures werkbaar zijn en worden gevolgd.

Naleven van wetten en regels

Interne audits helpen bij het naleven van wetten en regels. Want die veranderen nog wel eens in de financiële sector. Auditors controleren of deze regels worden nageleefd. Daarom is het belangrijk, met name voor gevolmachtigd agenten in het kader van het WRV, dat de dossiercontroles minimaal eens in het kwartaal worden uitgevoerd. Wanneer wordt gewacht tot de deadline van het aanleveren van het werkprogramma, kom je er mogelijk te laat achter dat een bepaald onderdeel moest worden opgenomen in de dossiercontrole. Als er voor de controle het hele jaar een verouderd sjabloon is gebruikt, is corrigeren niet meer mogelijk. Of je ziet te laat dat een bepaald onderdeel structureel niet of verkeerd wordt uitgevoerd. Dat is achteraf niet meer aan te passen. Als je de wijziging of de onjuiste uitvoering direct opmerkt, kun je het intern bespreken en aanpassen binnen de organisatie. Zo laat je als gevolmachtigde aan de volmachtgever zien dat er continu aandacht is voor risicobeheersing binnen de organisatie. Niet alleen omdat het moet, maar ook of juist in het belang van de eigen organisatie, de klant en eigenlijk de gehele financiële branche. Met name dit laatste geldt ook voor advieskantoren. Daarnaast krijg je het voordeel van de twijfel als je betrokken wordt in een onderzoek van de toezichthouder. Kantoren die hun eigen interne beheersing goed op orde hebben, hebben altijd een streepje voor.

Verbetering bedrijfsprocessen

Bespreek het resultaat van de controles tijdens een werkoverleg met de medewerkers. Belangrijk hierbij is dat er een open cultuur heerst, waarbij het uitgangspunt verbeteren is, in plaats van afrekenen. Overleg welke verbeterpunten er zijn en hoe deze opgepakt kunnen worden. Interne audits bieden een gelegenheid om bestaande bedrijfsprocessen en procedures te evalueren en te verbeteren. Maak een actiepuntenlijst, zodat bij een volgend overleg de status kan worden besproken. Door de verbeterpunten inzichtelijk te maken kan er onderling een oplossing worden gevonden. Zo kunnen er onderdelen zijn die de ene collega lastig vindt, terwijl een andere collega al een slimme en werkbare manier heeft om het proces goed te laten verlopen. Van elkaar leren en de kwaliteit van de organisatie verbeteren dus. Dat zijn twee vliegen in een klap.

Conclusie

Interne audits kunnen zowel voordelen als uitdagingen bieden voor financieel adviseurs en gevolmachtigd agenten. Ze helpen bij risicobeheer, naleving van wet- en regelgeving en verbetering van bedrijfsprocessen en kwaliteit van dienstverlening. De kosten, tijdsdruk en objectiviteit vormen een uitdaging. Eenmaal goed op de rit wordt het steeds makkelijker. En zie je er echt tegenop? Dan zijn er (externe) auditors in te schakelen die het wel leuk vinden om controles uit te voeren en te helpen bij de uitvoering van de verbeterpunten. Als bij een volgende audit blijkt dat de verbeteringen niet alleen werkbaar zijn, maar ook de processen beter en sneller worden uitgevoerd kan je niet tegen interne audits zijn, toch? 

Andere artikelen: Editie 929 - november 2023

844_federatie_column
2023 Schade De Beursbengel Artikel
5 min.
B. Sonneveld

Federatie van Assurantieclubs – Column: 75 jaar Federatie van Assurantieclub

2023 Schade De Beursbengel Artikel
5 min.
Mr. C. (Coen) Fledderus

Dossier jurisprudentie Kifid - Opzegging per hoofdpremievervaldatum is niet in strijd met de redelijkheid en billijkheid

Dossier Transport 2_571746823
2023 Schade De Beursbengel Artikel
5 min.
J. (Jolien) Kruit

Dossier Jurisprudentie Transport – Schade gerelateerd aan een verloren voortstuwingssysteem

929_kennisgevingsplicht
2023 Bedrijfsvoering De Beursbengel Artikel
14 min.
R. (Rutger) Noordermeer

De kennisgevingsplicht van art. 7:929 lid 1 BW: Een verplichting voor verzekeraars

2024 Flink