Artikel:

Good Practice DNB Uitbestedingen: waar kunnen financiële instellingen zich op voorbereiden?

27 november 2018

Eind deze zomer publiceerde DNB deze Good Practice rondom de uitbesteding van activiteiten door verzekeraars. In dit artikel beschreven we wat voor verzekeraars de belangrijkste elementen zijn uit deze Good Practice, die DNB opstelde na een ‘sector-brede’ consultatieronde, langs uiteenlopende financiële instellingen.

De resultaten van het (in 2017 uitgevoerde) onderzoek laten zien dat de inzet van een Good Practice ook in andere branches goede handvatten kan bieden. We verwachten dan ook dat financiële instellingen buiten de verzekeringsbranche dezelfde beweging moeten gaan maken in het meer beheersbaar maken van hun uitbestedingen.

Zij kunnen daarop voorsorteren. Daarom lichten we in dit artikel alvast drie aandachtspunten uit die zeker ook voor financiële instellingen buiten de verzekeringsbranche aan bod gaan komen: risicomanagement (gebaseerd op het proportionaliteitsbeginsel), Business Continuity Management en monitoring van leveranciers.

1. Risicomanagement (met proportionaliteitsbeginsel)

Na de eerste consultatieronde van Good Practice heeft DNB - mede op aanraden van BDO - het proportionaliteitsbeginsel integraal onderdeel gemaakt van de Good Practice. Hierdoor mogen verzekeraars onder andere de risicoanalyse op basis van proportionaliteit toepassen op uitbestedingen. Dit betekent simpelweg dat ze niet voor elke (niet-strategische) uitbesteding aan alle aspecten van de Good Practice hoeven te voldoen. Aan de andere kant van het spectrum vraagt een belangrijke, strategische uitbesteding - die relevant is voor de dienstverlening – wel om een uitgebreide risicoanalyse, een onderbouwd Business Continuity Plan en monitoring (aan de hand van onder andere KPI’s en KRI’s).

2. Business Continuity Management

Een belangrijk onderdeel van de Good Practice is Business Continuity Management (BCM). Financiële instellingen beschrijven in dit BCM de continuïteitsmaatregelen, op basis van het opgestelde BCM beleid- en strategie. Belangrijke elementen van BCM zijn verder het:

  • toetsen of de BCM-plannen en maatregelen in de keten op elkaar aansluiten;
  • ontwikkelen en implementeren van exit- en overgangsplannen;
  • uitvoeren van scenario-analyses;
  • monitoren van de werking van de BCM-maatregelen.

Uit de consultatieronde van DNB blijkt dat financiële instellingen de door serviceproviders uitgevoerde activiteiten niet structureel meenemen in hun Business Continuity Management. Wanneer binnen de organisatie een planning-en-control-cyclus aanwezig is (conform de Plan, Do, Check, Act-cyclus), bestaat de mogelijkheid om het toetsen van de BCM-plannen in die cyclus op te nemen.

3. Monitoren leveranciers

Het inrichten van de interne beheersing omtrent uitbestedingen betekent ook het scherper monitoren en evalueren hiervan. Denk aan het met zekere regelmaat toetsen of een partij zich wel aan de gemaakte afspraken houdt. In dat licht kwamen uit het sector-brede onderzoek van DNB onder andere de volgende uitkomsten naar boven:

  • Er zijn onvoldoende beheersmaatregelen om de toegang van serviceproviders tot gevoelige data te bewaken.
  • Er is onvoldoende zekerheid beschikbaar over de kwaliteit van geleverde diensten door serviceproviders.
  • Er is onvoldoende inzicht in de eigen concentratierisico’s van (onder)uitbesteding.

Voor financiële instellingen (ook buiten de verzekeringsbranche) is het belangrijk om aandacht te besteden aan onder andere deze drie onderwerpen.

Ook praktische handvatten voor niet-verzekeraars

DNB brengt de komende jaren meer focus aan in haar toezicht op uitbestedingsrisico’s. Die aanscherping komt voort uit de verwachte toename in uitbestedingen en de complexiteit daarvan. De Good Practice Uitbestedingen voor verzekeraars biedt dus ook praktische handvatten voor andere financiële instellingen die kritische uitbesteding en de daarmee gepaard gaande risico’s beter willen (en moeten) beheersen.  

Meer informatie

Wilt u meer weten over de Good Practice? Of heeft u behoefte aan ondersteuning om elementen uit de Good Practice te implementeren, bijvoorbeeld als het gaat om het centraal registreren van de uitbestedingen of een gedegen Business Continuity Management-proces? Onze specialisten gaan hierover graag vrijblijvend met u in gesprek.

Alles op een rij: download onze factsheet

BDO heeft voor iedere fase van het uitbestedingsproces in een factsheet uiteengezet welke acties ondernomen moeten worden. Wilt u deze factsheet ontvangen? Vraag deze dan aan via onderstaande button.

Download factsheet