Het belang van interne audits

Interne audits zijn een belangrijk onderdeel in het kader van risicobeheersing in organisaties. Zeker bij financieel dienstverleners. Het helpt bij het controleren van processen en het vinden van mogelijke risico’s en problemen. Afhankelijk van de grootte van een organisatie kan dit best een tijdrovende klus zijn. Maar wel een heel belangrijke. Bij een gesignaleerd risico kan er namelijk direct worden bijgestuurd. 

De PDCA-cirkel is een handig model om de continue verbetering en vernieuwing in een organisatie te sturen. PDCA staat voor Plan, Do, Check en Act. Als een van deze schakels (Check) ontbreekt, loopt de gehele cirkel niet. Het herhalende karakter van de cirkel zorgt ervoor dat de kwaliteitsverbetering continu onder de aandacht is. 

Werkprogramma Risicobeheersing Volmachten

In het kader van risicobeheersing moeten gevolmachtigd agenten voldoen aan het Werkprogramma Risicobeheersing Volmachten (WRV). Dit werkprogramma zorgt ervoor dat de risico’s van het uitbesteden van bevoegdheden van verzekeraars aan de gevolmachtigd agent op een verantwoorde en gecontroleerde manier worden beheerst. Het omvat onder andere taken op organisatorisch en juridisch vlak, financieel, automatisering, fraude, klantbelang centraal, acceptatie en schade. De taken helpen bij het aantoonbaar maken van de uitvoering van de werkzaamheden van de gevolmachtigde en het regelmatig evalueren van het uitbestedingsproces. Hierdoor vinden er bij een volmachtkantoor vrijwel doorlopend interne audits plaats. Althans, als de taken op het aangegeven moment worden uitgevoerd.

Dossiercontroles

Interne audits kunnen op verschillende onderdelen of afdelingen binnen een organisatie worden gehouden. Ik benoem er in dit artikel een aantal, te beginnen met dossiercontroles. Die vinden bij de gevolmachtigd agent plaats op het gebied van acceptatie, schades en royementen. Ik zie in de praktijk dat kantoren opzien tegen dossiercontroles. Omdat het een hoop tijd kost, schuift men het vaak voor zich uit. Maar dan loop je achter de feiten aan. Dossiercontroles zijn belangrijk. Ze laten niet alleen zien of er conform de Wft en de IDD wordt gewerkt. De controles helpen ook bij het vinden van zwakke plekken in het proces. Door de controles regelmatig uit te voeren en actief te acteren op zaken die (nog) niet helemaal goed gaan worden risico’s vermeden. 

Bij advieskantoren is dat niet anders. Daar is het controleren van adviesdossiers belangrijk, niet alleen van complexe producten zoals hypotheken of arbeidsongeschiktheidsverzekeringen, maar ook van schadeverzekeringen. Zo wordt zichtbaar of het geadviseerde product aansluit bij de wensen van de klant. Of er uniform wordt gewerkt en de processtappen tijdig zijn uitgevoerd. 

Om de controles goed en zo snel uit te voeren is het aan te raden om een controleformulier (werkprogramma) te gebruiken. Zo is duidelijk welke punten getoetst moeten worden. Neem het controleformulier regelmatig onder de loep om vast te stellen of de punten die erop staan nog actueel zijn. Of dat er wellicht andere punten gecontroleerd moeten worden. Zo houd je niet alleen grip op het proces, maar ook op mogelijk risico’s die de organisatie loopt.

Automatisering

Het komt voor dat werknemers binnen een organisatie andere werkzaamheden gaan doen, omdat ze een andere functie krijgen. Komen de bevoegdheden die zij hebben dan nog wel overeen met die werkzaamheden? Ook dat moet je periodiek beoordelen. Zijn er mensen die op meerdere plekken inzetbaar zijn, zorg er dan voor dat daar geen knelpunten in ontstaan. Kan bijvoorbeeld een acceptant ook schades behandelen of is er een duidelijke functiescheiding? Kan en mag een verzekeringsadviseur stukken halen uit het hypotheekdossier van de klant? Gelukkig is vrijwel alles goed in te regelen in de diverse systemen. Het is echter aan te raden om te controleren of de rechten en bevoegdheden van medewerkers goed en conform hun functie en werkzaamheden zijn ingeregeld.

Hoe veilig zijn de klantgegevens? Welke risico’s op datalekken zijn er of op verlies van data? Is er een dagelijkse back-up van de belangrijkste software waar de klantgegevens in zijn opgeslagen? Wordt de dagelijkse back-up gecontroleerd en wordt er periodiek getest of het lukt om de bestanden terug te zetten? Heeft iedereen een eigen inlognaam en wachtwoord en wordt gewerkt met twee-staps-autorisatie? Wat is het beleid van de organisatie op dit vlak? Dit zijn slechts enkele vragen die spelen in het kader van risicomanagement. Het zijn belangrijke risico’s die je in beeld moet hebben en deze zoveel mogelijk mitigeert. Zeker in deze tijd waar cybercrime regelmatig grote impact heeft op organisaties. Voorkomen is immers beter dan genezen.

Fraude en witwassen

Helaas komt er nog veel fraude voor in de financiële dienstverlening. Door gebruik van brondata is het vervalsen van werkgeversverklaring of salarisstrook niet meer lonend. Maar zijn alle klanten eerlijk bij het opgeven van een schade? En hoe controleren en beoordelen jouw medewerkers dat? Het gebruik van het Spoorboekje Fraudebeheersing volmachten en de schade-indicatoren helpen bij het signaleren van fraudegevallen. Daarom is het van belang om regelmatig te controleren of er ook gebruik van wordt gemaakt.

Soms zie ik bij redelijk grote kantoren dat ze nooit fraudes registreren, omdat deze niet voor zouden komen. Ik vraag me dan toch af of de medewerkers zich bewust zijn van de risico’s met betrekking tot fraude, want dat er nooit een vermoeden van fraude is kan, ben ik bang, alleen in een ideale wereld. Hoe eerder een fraudegeval wordt opgespoord hoe beter. Dit geldt uiteraard ook voor het risico van witwassen en financiering van terrorisme. Zijn het beleid en de procedures met betrekking tot de Wwft bekend bij de medewerkers en worden deze ook gevolgd? Is er, indien van toepassing, een cliëntenonderzoek uitgevoerd en zijn de UBO’s gecheckt? Belangrijke onderdelen om mee te nemen in een interne audit en bespreekbaar te maken wanneer blijkt dat dit niet (helemaal) het geval is.

Tijdig toesturen van documenten

Ook goed om te controleren: het tijdig toesturen van documenten. Dit begint bij adviseurs al bij het aantoonbaar en voorafgaand aan de dienstverlening aanleveren van precontractuele documenten zoals dienstenwijzer, de vergelijkingskaart en (indien van toepassing) algemene voorwaarden. Enkele andere voorbeelden: 
– Het bij complexe producten tijdig toesturen aan de klant van het adviesrapport, of een samenvatting daarvan. Dit moet aantoonbaar gedaan zijn voordat de bemiddeling is aangevangen. 
– Het binnen vijf dagen na ontvangst van een schademelding deze invoeren in het systeem en, indien de schade niet direct kan worden uitbetaald, een schadereserve opnemen. 
– Het controleren en registreren van schadevrije jaren in Roy data bij autoverzekeringen. 

Zoveel zaken waaraan gedacht moet worden. Daarom zijn procedures zo belangrijk. Zodat iedereen weet wat er van ze verwacht wordt. En ook zodat er gecontroleerd kan worden of de procedures werkbaar zijn en worden gevolgd.

Naleven van wetten en regels

Interne audits helpen bij het naleven van wetten en regels. Want die veranderen nog wel eens in de financiële sector. Auditors controleren of deze regels worden nageleefd. Daarom is het belangrijk, met name voor gevolmachtigd agenten in het kader van het WRV, dat de dossiercontroles minimaal eens in het kwartaal worden uitgevoerd. Wanneer wordt gewacht tot de deadline van het aanleveren van het werkprogramma, kom je er mogelijk te laat achter dat een bepaald onderdeel moest worden opgenomen in de dossiercontrole. Als er voor de controle het hele jaar een verouderd sjabloon is gebruikt, is corrigeren niet meer mogelijk. Of je ziet te laat dat een bepaald onderdeel structureel niet of verkeerd wordt uitgevoerd. Dat is achteraf niet meer aan te passen.

Als je de wijziging of de onjuiste uitvoering direct opgemerkt, kun je het intern bespreken en aanpassen binnen de organisatie. Zo laat je als gevolmachtigde aan de volmachtgever zien dat er continu aandacht is voor risicobeheersing binnen de organisatie. Niet alleen omdat het moet, maar ook of juist in het belang van de eigen organisatie, de klant en eigenlijk de gehele financiële branche. Met name dit laatste geldt ook voor advieskantoren. Daarnaast krijg je het voordeel van de twijfel als je betrokken wordt in een onderzoek van de toezichthouder. Kantoren die hun eigen interne beheersing goed op orde hebben, hebben altijd een streepje voor.

Verbetering bedrijfsprocessen

Bespreek het resultaat van de controles tijdens een werkoverleg met de medewerkers. Belangrijk hierbij is dat er een open cultuur heerst, waarbij het uitgangspunt verbeteren is in plaats van afrekenen. Overleg welke verbeterpunten er zijn en hoe deze oppakt kunnen worden. Interne audits bieden een gelegenheid om bestaande bedrijfsprocessen en procedures te evalueren en te verbeteren. Maak een actiepuntenlijst, zodat bij een volgend overleg de status kan worden besproken. Door de verbeterpunten inzichtelijk te maken kan er onderling een oplossing worden gevonden. Zo kunnen er onderdelen zijn die de ene collega lastig vindt, terwijl een andere collega al een slimme en werkbare manier heeft om het proces goed te laten verlopen. Van elkaar leren en de kwaliteit van de organisatie verbeteren. Twee vliegen in een klap.

Conclusie

Interne audits kunnen zowel voordelen als uitdagingen bieden voor financieel adviseurs en gevolmachtigd agenten. Ze helpen bij risicobeheer, naleving van wet- en regelgeving en verbetering van bedrijfsprocessen en kwaliteit van dienstverlening. De kosten, tijdsdruk en objectiviteit vormen een uitdaging. Eenmaal goed op de rit wordt het steeds makkelijker. En zie je er echt tegenop. Er zijn (externe) auditors in te schakelen die het wel leuk vinden om controles uit te voeren en te helpen bij de uitvoering van de verbeterpunten. Als bij een volgende audit blijkt dat de verbeteringen niet alleen werkbaar zijn, maar ook de processen beter en sneller worden uitgevoerd kan je niet tegen interne audits zijn, toch?

Lees hier het artikel zoals het is verschenen in Beursbengel nr. 929 | november 2023

Lees hier het artikel zoals het is gepubliceerd op Platform Flink