Bij Fortis werken wij van oudsher in een cultuur van risicobewustzijn. Voor ons is de interne controle dan ook een integraal onderdeel van de bedrijfsvoering en iets waarvoor wij ons volledig inzetten.

Verantwoordelijkheid

De Raad van Bestuur van Fortis is eindverantwoordelijk voor de implementatie en handhaving van het interne controlesysteem, en voor de evaluatie van de effectiviteit van dat systeem. De uitvoering in de praktijk ligt bij het Executive Committee en de managementteams van de businesses, de juridische entiteiten, de ondersteunende functies en de dochterondernemingen. Het management moet daarbij:

• een voorbeeldfunctie vervullen;
• duidelijke doelen vaststellen;
• een sterk besef van (het belang van) interne controle uitdragen;
• een passende organisatiestructuur creëren;
• de risico’s signaleren, evalueren en bewaken;
• de effectiviteit van alle processen waarborgen;
• hierover rapporteren en een en ander waar nodig bijsturen.

In overeenstemming met het COSO ERM-model ligt interne controle sterk verankerd in de organisatie. De interne controle staat of valt met de bijdrage van alle medewerkers van Fortis. Immers, hun gezamenlijke inspanning bepaalt uiteindelijk of onze systemen en procedures naar behoren werken.

Beleids- en richtlijnen

De Raad van Bestuur stelt het beleid vast voor de belangrijkste terreinen van de bedrijfsvoering: zakelijk gedrag, privébeleggingen en de onafhankelijkheid van externe accountants. Daarnaast heeft Fortis een klokkenluidersprocedure. Het Executive Committee en de managementteams zijn verantwoordelijk voor de specifieke richtlijnen voor de bedrijfsvoering en de rapportage. Die richtlijnen kunnen gelden voor heel Fortis, voor een specifieke business of voor een bepaalde regio. Deze beleids- en richtlijnen vormen een integraal onderdeel van ons interne controlesysteem en worden regelmatig geëvalueerd en bijgewerkt, en de documentatie hierover wordt intern verspreid. Hoe vaak een dergelijke evaluatie plaatsvindt, hangt af van het risico van de betreffende activiteit.

De managementteams formuleren tevens het volgende niveau van de controle. Dat wil zeggen dat zij controleprocedures instellen waarmee de effectiviteit van de primaire controle wordt gewaarborgd en aan de hand waarvan eventuele belangrijke tekortkomingen aan de juiste persoon en op het juiste (hiërarchische en toezichts)niveau worden gemeld en aangepakt.

Doelstellingen

Iedere business heeft een eigen bedrijfsplan met strategische, operationele, financiële en compliance-doelstellingen. Dat plan wordt elk jaar geëvalueerd door de Raad van Bestuur. Het topmanagement en de Raad van Bestuur beoordelen de operationele prestaties en bepalen daarnaast de doelstellingen voor het jaarlijkse meerjarenbudget. De uiteindelijke begroting, die is samengesteld uit de onderliggende budgetten van de businesses, wordt beoordeeld en goedgekeurd door de Raad van Bestuur. De resultaten worden voortdurend bewaakt en over de voortgang wordt elk kwartaal gerapporteerd.

Bedrijfsvoering

De managementteams van de businesses zijn verantwoordelijk voor de eigen interne controle. Dat betekent dat zij toezien op de juiste verwerking, uitvoering en vastlegging van alle transacties binnen de front-, mid- en backofficesystemen. Geautomatiseerde systemen, met name toereikende controle van toegang en toepassingen, krijgen daarbij extra aandacht. Een en ander wordt zorgvuldig getest voordat een nieuw systeem in gebruik wordt genomen. Stringente regels moeten daarnaast de operationele en systeemveiligheid waarborgen.

Beveiliging van de activa

Aanvullende maatstaven en controle vallen onder de verantwoordelijkheden van de ondersteunende functies. Deze opereren onafhankelijk van de businesses en rapporteren direct aan de CEO, de CFO, de Chief Operating Officer (COO) of de Chief Risk Officer.

Central Risk Management zorgt voor de systemen en procedures waarmee Fortis de belangrijkste risico’s signaleert, beheerst en rapporteert. Die risico’s zijn onder meer het investeringsrisico (krediet-, markt-, en liquiditeitsrisico), het verzekeringsrisico en het operationele risico. De afdeling verzorgt onafhankelijke bewaking van deze risico’s en rapporteert daarover via een piramide van risicocommissies die eindigt bij het Risk & Capital Committee en de Raad van Bestuur. Operational Risk Management houdt toezicht op alle operationele verliezen en risico’s bij het Bankbedrijf, aan de hand van de zelfbeoordeling van risico’s die Basel II voorschrijft (‘risk self-assessments’). De afdeling rapporteert de uitkomsten aan de risicocommissies. Het verzekeringsbedrijf gebruikt ‘control risk self-assessments’ voor de operationele risico’s; eventuele discussiepunten gaan naar de betreffende risicocommissies. Risk Mitigation bewaakt de calamiteitenplannen voor alle belangrijke operationele activiteiten. Doel van een calamiteitenplan is dat de bedrijfsactiviteiten na een onderbreking of een noodsituatie zo snel mogelijk kunnen worden hervat, terwijl tegelijkertijd de eventuele schade wordt beperkt. De structuur van ons risicobeheer wordt nader toegelicht in de Jaarrekeningen.

Financiële verslaglegging

De Raad van Bestuur is verantwoordelijk voor de vaststelling en bekrachtiging van de waarderingsgrondslagen van Fortis. De financiële (jaar)rekeningen en andere financiële publicaties zijn afkomstig van het CFO Office, dat deze binnen het kader van een uitgebreid intern controlesysteem opstelt en publiceert. Ook de geconsolideerde cijfers van Fortis en de wettelijk voorgeschreven financiële overzichten van de diverse Fortis-ondernemingen komen voor rekening van het CFO Office. De benodigde informatie stroomt via een piramidestructuur van vergaderingen van controllers van de businesses, interne en externe accountants naar het CFO Office. Op die manier ziet het CFO Office erop toe dat extern gepubliceerde financiële en administratieve gegevens geen significante onnauwkeurigheden bevatten.