GAIN 2012 Toelichting Questionnaire Organisatie GAIN Deelnemers GAIN

GAIN 2012 Toelichting Questionnaire: • • Organisatie GAIN Deelnemers GAIN 2011 Tijdpad GAIN Invulinstructie Dia nummer 1

Organisatie GAIN - Doelstellingen Doelstelling Commissie GAIN: Leveren van een bijdrage aan de professionalisering van de Internal Audit Functie door het onderling uitwisselen van trends en signalen die uit de GAIN benchmark naar voren komen en het uitwisselen van best practices en praktische ervaringen door auditdiensten. Dia nummer 2

Organisatie GAIN – Commissie GAIN l l l Bert Ide Arie Beunis Jan Grooten Jantien Heimel Korstiaan Kegel (ABN, voorzitter commissie GAIN) (DELA, algemeen secretaris) (DSM) (NUON) (Allianz) Dia nummer 3

Deelnemers 2011 ABN AMRO Eneco Energie Rabo Real Estate Group Achmea NV Enexis Rabobank Nederland AEGON Friesland Bank Robeco Group Aer. Cap Holdings NV F. van Lanschot Bankiers Royal Ahold NV Akzo Nobel NV Heineken Royal DSM N. V. Alliander ING Group Royal Vopak NV Allianz Netherlands KLM Royal Dutch Airlines SNS REAAL Citco Bank Lease. Plan Corporation Sociale Verzekerings Bank Credit Europe Bank N. V. LM Wind Power TNT CZ Groep NIKON Uvit De Nederlandsche Bank N. V. Bank Nederlandse UWV DELA Gemeenten Zorg en Zekerheid Delta Lloyd Group Nederlandse Waterschapsbank NS Nuon / Vattenfall Dia nummer 4

Tijdpad GAIN 2012 l 02 april 2012: Start invullen questionnaires l 25 mei 2012: Deadline submitten ingevulde questionnaires l 25 mei tot 31 mei 2012: Ontvangst rapportages en (zelf)analyse l 13 juni 2012: Evaluatie Resultaten GAIN 2012 Uitwisseling ervaringen, onderling bespreking resultaten l Round Tables: zie ook website IIA (GAIN) 13 -06 -2012: Evaluatie Benchmarkresultaten GAIN 2012 19 -09 -2012: Performance Metrix binnen Internal Audit / Meer met minder 14 -11 -2012: Internal Audit en Sustainability DEADLINE SUBMISSIONS: 20 mei 2012 Dia nummer 5

Invulinstructie - ALGEMEEN 1. Eerst Profiel aanmaken l Bedrijfsinformatie ingeven: http: //iia-survey. theiia. org/GAIN l Industriegroep en Subindustriegroep (meer dan 100) L 1. First specialty group = Netherlands L 2. Second specialty group = Dutch Financials Dutch Trade&Industry L 3. Third specialty group = Dutch Small Financials Dutch Insurance + …………. 2. Print ‘General instructions for the use of the GAIN Annual Benchmarking System’ 3. Print ‘Preparation Guide for the GAIN Annual Benchmarking Questionnaire’ Dia nummer 6

Invulinstructie - ALGEMEEN Algemeen: l Nederlandse gegevens l Invullen in US Dollars; koers 31/12/11: 1 EUR = 1. 294 USD l Geen duizendtekens ! l Geen spaties, geen komma’s ! l Geen percentages, geen valutatekens ! l Overal antwoord geven! Sluit pas af na complete input. l ALLE NULLEN vermelden ! Dia nummer 7

Invulinstructie - ALGEMEEN Sectieindeling 2012 A. Organization Information B. Internal Audit Resources C. Internal Audit Oversight D. Risk Assessment and Audit Planning E. Audit Implementation / Life Cycles / Reporting F. Information Technology (IT) auditing G. Performance Management H. Professional Development I. Emerging Trends and Leading Practices Dia nummer 8

Invulinstructie - ALGEMEEN l l l l Sla de questionnaire steeds op na een onderdeel Na een periode van inactiviteit gooit het systeem je eruit, dus ook tussendoor opslaan ! Altijd wijzigingen afzonderlijk opslaan Met ‘save & continue’ wordt het scherm opgeslagen en ga je naar een volgend scherm Summary screen geeft ‘true’ and ‘false’ statements Per scherm “Mark as completed’ kan pas nadat gesaved is Als alles is marked completed, kun je pas submitten Zie verder ‘General instructions’

A. Organization Information A 1. Annual Revenues: Totale opbrengstengegevens die tot het audit domein behoren: bruto premie-inkomsten, bruto rente- en beleggingsopbrengsten. A 2. Total Assets: Balanstotaal assets die tot het audit domein behoren (dus inclusief Assets under Management). A 3. Annual Expenses: Totale kostengegevens die tot het audit domein behoren, inclusief rente- en schadelasten en (eventueel) resultaat op herverzekeringen. Dia nummer 10

A. Organization Information A 4. Total employees in organization (full-time equivalents): FTE’s gerelateerd aan bij A 1 en A 2 vermelde revenues & costs. NB: 1 FTE = 40 uur !!! A 6. Is your organization: • Public / Private / Government or Non-Profit Vul ”Public” in als je eigen organisatie of je moedermaatschappij beursgenoteerd is. A 7. Is your organization subject to the US SOx 2002 ? • Yes / No Je bent ook ‘subject to’ als je organisatie vrijwillig aan SOx voldoet, maar dan wel ‘echt’. Dia nummer 11

A. Organization Information A 8. If your organization is subject to SOX, what is the level of responsibility handled by the internal audit activity? • full responsibility over all aspects of SOX (e. g. , process documentation and testing) • The internal audit activity is responsible for the testing of controls only • The internal audit activity acts in a consultative manner assisting organization management to ensure all components of SOX are completed • The internal audit activity remains independent regarding SOX and audits the process in place that is owned outside of the internal audit activity Dia nummer 12

A. Organization Information l l A 9. Organizational Reach: • Keuze uit: Regional, National, International A 10. Organizational Structure: • Keuze uit: Centralized of Decentralized

B. Internal Audit Resources Internal Audit Costs B 1. Please allocate the total cost of your internal audit activity: • Salary (gross pay and bonuses) - Geen Sociale Lasten / Pensioenen • Employee benefits (if not tracked separately, averages 30% of salaries) Hier Sociale lasten en pensioen • Travel – ‘Echte’ reiskosten + lease-auto’s -/- reisk opleiding • Training - Kosten opleiding/PE + reiskosten opleiding • Costs of purchased services (consultants, co-source providers, outsource providers, etc. ) - Non salary earners die hebben meegewerkt aan je audit plan • Other - Overige DIRECTE KOSTEN, dus geen doorberekeningen voor overhead als huisvesting, pc’s e. a. • Total internal audit costs: Automatic sum Dia nummer 14

B. Internal Audit Resources Staffing B 2. Please enter the following FTE staff information. (Sourced staff must be entered/calculated as a full-time equivalent staff) In-House Staff Sourced Staff Chief Audit Executive Directors / Managers Seniors / Supervisors Staff Total Audit Positions Automatic Calculation Total Professional Audit Positions Automatic Calculation (in-house + sourced) Total Positions Automatic Calculation Total Staff Automatic Calculation (in-house + sourced) Secretarial / Clerical B 3. Including sourced staff, by what percent did your staff size increase or decrease over the last year (please insert ‘ 0’ for no change and a negative number for a decrease)? _____ Dia nummer 15

B. Internal Audit Resources B 2. Chief Audit Executive = Directeur Interne Accountantsdienst Directors & Managers = Audit Managers, tweede echelon bij “grotere” IAD Seniors / supervisors = Leidinggevenden / teamleiders / senior medewerkers, met 5 jr ervaring en/of titel Staff = Medewerkers (de “handjes”) Secretarial/Clerical = Ondersteuning/Secretariaat/Administratie - Staffunctionarissen: vaktechniek onder ‘Seniors’, - Control/HR onder ‘Secr’ - B 2 en B 3: ‘Sourced staff’ alleen INDIEN EN VOORZOVER meegewerkt aan het uitvoeren van het internal audit plan ! r 16

B. Internal Audit Resources B 3. Audit Staff Change Let op: • increase invullen met een positief getal; • decrease met een negatief getal. B 3. Met gezond verstand afronden, 1 feb of 1 mrt mag 1 jaar zijn (en omgekeerd) r 17

B. Internal Audit Resources B 7. Please identify the following staff information by level (FTE in-house staff only): Level of education Average years in Average years of Number of staff with sought for position • Zie B 2 • Alleen in house ! KIES EEN CERTIFICATE UIT DE LIJST VAN B 6 + TOELICHTING Chief Audit Executive internal audit profession ALLEEN INTERNAL AUDITERVARING !! industry experience one or more professional (primary industry of certification organization) designation(s) BINNEN DE BETREFFENDE SPECIALTY GROUP, BIJV. FINANCIALS, OOK IN ANDERE FUNCTIES !! AANTAL PERSONEN, DUS: Mr XXX RA CIA = 1 Directors / Managers Seniors / Supervisors Staff Dia nummer 18

B. Internal Audit Resources B 8. Please provide the total number of audit staff with the following audit-related professional certifications (FTE in-house professional audit staff only): NEDERLANDSE EQUIVALENTEN l l l CIA / MIIA / PIIA CISA / Qi. CA CIPFA / CGAP / CGFM CCSA CA / CPA / ACCA / ACA CMA / CIMA / CGA CAT / AAT CFE CFSA / CIDA / CBA FCA / FCMA) CFA Other RO RE MGA RA/ CAA • Alleen inhouse • Welke titels komen hoe vaak voor, dus Mr X RA CIA = 2 Dia nummer 19

B. Internal Audit Resources Sourcing B 14. What percentage of your audit engagements are (must add to 100%): • Staffed internally: ______ eigen internal auditors • Co-sourced: _______ joint audits met combinatie eigen/externe auditor(s) • Outsourced: _______ audits volledig uitgeveoerd door externe auditor(s) B 15. What areas do you source (choose all that apply)? • General internal auditing m. n. operational / financial auditing • Information Technology (IT) auditing • Subject matter expertise • Fraud auditing • Other • None Dia nummer 20

B. Internal Audit Resources Sourcing B 16. What percentage of the following general areas are sourced? • General internal auditing: ____% • Information Technology (IT) auditing: _____% • Subject matter expertise: ____% • Fraud auditing: ____% % van totale urenbesteding in die categorie door Internal Audit ! B 17. In the last fiscal year, how many total hours did you receive in sourced internal audit services? _______ Totaal co-sourced + outsourced (alleen externe uren/kosten) Dia nummer 21

B. Internal Audit Resources Relationship with External Auditors For the following questions, do not include any statutory audits. B 19. What were the total internal audit hours worked on the most recently completed external audit: ____ Bijv. SAS 70, Sox testing, subsidieverklaring B 20. Estimate the total external audit hours (both internal audit and external audit combined) worked on the most recently completed external audit: _______ B 21. What were the total external audit fees associated with the most recently completed external audit: ____ NB: Houdt de relatie tussen uren en kosten reëel. Dia nummer 22

C. Internal Audit Oversight Chief Audit Executive = Directeur IAD of vergelijkbare functie (hoogste functie binnen IAD nemen) C 2. The CAE reports administratively to: l Administratively = Puur hiërarchisch, voor “de declaraties en de potloden” C 3. The CAE reports functionally to: l Functionally l Audit Committee, or equivalent General / Legal Counsel Chief Executive Officer (CEO) President or Government Agency Head Chief Financial Officer(CFO) organisatie Chief Operating Officer (COO) Chief Risk Officer (CRO) Controller Other l l l l = Functioneel, inhoudelijk, CAE beoordelaar, beloning bepalend AC sec of voorzitter AC Hoofd Juridische Zaken (? ) Voorzitter Raad van Bestuur op hoogste niveau in organisatie groepscontroller Dia nummer 23

C. Internal Audit Oversight Audit Committee C 5. Do you have an audit committee, or its equivalent? • Yes / No l Voor concerns is de NL-situatie relevant voor een positief antwoord. l Indien er alleen ‘concern-AC’ bestaat dat nadrukkelijk ook de NL auditactiviteiten meeneemt in haar toezicht, is het antwoord toch ‘Ja’. l Indien in NL een platform/commissie bestaat dat in de geest acteert als een ‘echt’ AC, dan kan vraag C 6 met ‘Ja’ beantwoord worden. De overige vragen onder C dienen analoog hieraan te worden beantwoord. Dia nummer 24

C. Internal Audit Oversight Audit Committee C 6. How many people sit on your audit committee, or equivalent? Alleen Rv. C-leden (= ‘non executives’ van Board of Directors), dus geen gasten als de Rv. B-leden, interne accountant en/of externe accountant. C 7. Who chairs your audit committee, or equivalent? • Chairman of the Board of Directors (or equivalent) Vz Rv. C • Other independent Board of Directors member Ander Rv. C-lid • Chief Executive Officer (CEO) or Government Agency Head Vz Rv. B • Other individual outside of the organization • Chief Financial Officer (CFO) • Chief Audit Executive (CAE) • Other • Not applicable Nederland: Raad van Bestuur / Raad van Commissarissen Angelsaksische landen: Board of Directors met Executives en Non Executives Dia nummer 25

D. Risk Assessment and Audit Planning D 1. How many audits did you plan in the last fiscal year? ____ D 2. How many audits did you actually perform in the last fiscal year (exclude management requests not in original audit plan)? ____ Schatting of, indien mogelijk, een berekening maken van de dekkingsgraad D 3. How many unplanned audits did you perform in the last fiscal year? Dia nummer 26

D. Risk Assessment and Audit Planning D 4. What percentage of your audit plan is the following (must sum to 100%): l Assurance engagements Financial en operational audits l Consulting engagements Specifieke opdrachten voor beoordeling van design van processen & procedures & risk management; meedraaien in stuur- en werkgroepen l Management requests Verzoeken van het management die aan het op risico-analyse gebaseerde audit plan worden toegevoegd l Fraud investigations l Follow-up audits Specifiek gericht op implementatie van verbeteracties n. a. v. een eerdere audit l TOTAL Automatic calculation D 5. What percentage of total hours built into your audit plan is categorized as unallocated time for future, unplanned, or ad-hoc audit requests? Dia nummer 27

D. Risk Assessment and Audit Planning Audit Engagement Risk Assessments D 12. Does your audit activity complete engagement-level risk assessments? • Always / Sometimes / Never Hier gaat het om een risico-analyse per onderzoek. Dia nummer 28

E. Audit Implementation/Life cycles/Reporting INVULLEN OP BASIS VAN URENREGISTRATIE, ANDERS ZO GOED MOGELIJK SCHATTEN E 1. What percentage of your audit staff time (including sourced staff) was devoted to (should add to 100%): • • • Assurance engagements Consulting engagements Fraud investigations Management requests Follow-up audits External audit assistance Non-chargeable time – training Non-chargeable time – other Absences TOTAL _________ _________ _________ (automatic sum) ZIE EERDER VOOR ONDERSCHEID E 2. What was the distribution of total time (as a percentage) on typical audits (should add to 100%)? • • Planning Fieldwork _________ • Reporting _____ • TOTAL _____ (automatic sum) = VOORBEREIDING TOT AAN BEGINGESPREK = VELDWERK TOT EN MET SLOTGESPREK EN AFSTEMMING BEVINDINGEN/CONCLUSIES = RAPPORTAGEFASE INCLUSIEF AFSTEMMING RAPPORTAGE Dia nummer 29

E. Audit Implementation/Life cycles/Reporting E 3. On average, how many calendar days does it take to complete the following tasks (should be measured in working/business days): • Planning _____ ZIE EERDER • Fieldwork _____ • Reporting _____ • Follow-up _____ ALLEEN ALS DAT KORT NA AUDIT PLAATSVINDT, GEEN KWARTAALGEWIJZE FOLLOW-UP MONITORING • TOTAL _____ (automatic sum) E 4. On average, how many calendar days lapse between the end of fieldwork and the issuance of (should be measured in working/business days): • Draft Reports: ____ • Final Reports: ____ Dia nummer 30

E. Audit Implementation/Life cycles/Reporting E 9. What are the average days outstanding for open items (should be measured in working / business days!!) E 10. Does internal audit provide senior management and the board/audit committee with a periodic written report expressing an opinion on the organization’s internal control environment? E 11. Does internal audit provide senior management and the board/audit committee with a periodic written report expressing an opinion on the organization’s risk management environment? Dia nummer 31

F. Performance management Zie ook de IIA professional practices standards Standard 1300 – Quality Assurance and Improvement Programs F 1. Do you have a formal quality assurance and improvement program? • Yes / No Hier wordt gedoeld op een QA en improvement program voor de Internal Audit-functie Standard 1311 – Internal Assessments F 2. What is your internal audit activity’s status with regard to internal assessments (choose all that apply): • Our internal audit activity performs ongoing reviews of the performance of the internal audit • • activity Our internal audit activity performs periodic reviews performed through self-assessment or by other persons within the organization, with knowledge of internal audit practices and The IIA’s Standards Our internal audit activity does not have a formal internal assessment process Dia nummer 32