Artikel:

Good Practice uitbesteding verzekeraars: wat u moet weten

04 september 2018

Afgelopen voorjaar startte De Nederlandsche Bank (DNB) een consultatie voor de Good Practice rondom de uitbesteding van activiteiten door verzekeraars. Deze Good Practice moet verzekeraars handvatten bieden voor de beheersing van uitbestedingsrisico’s.  

Een goed initiatief, want hoewel verzekeraars zich bewust zijn van het feit dat zij eindverantwoordelijk zijn voor de uitvoering en kwaliteit van uitbestede processen, zien wij in de sector ook veelvuldig dat de beheersing verbeterd kan worden. De Good Practice draagt bij aan het aantoonbaar in control zijn van het uitbestedingsproces.  

Op 29 augustus 2018 is de definitieve Good Practice door DNB gepubliceerd. In dit artikel delen wij de belangrijkste aspecten uit de Good Practice en bieden wij verzekeraars handvatten voor de invulling ervan.

De DNB beschrijft het uitbestedingsproces aan de hand van vijf fasen, die een aantal aandachtpunten kennen:

Fase 1: Uitbestedingsbeleid & Fase 2: Governance en uitbestedingsovereenkomst

Als verzekeraar moet u door de Good Practice explicieter maken wat u verstaat onder uitbesteding, hoe de uitbesteding past in het beleidskader en hoe dit juridisch is verankerd in de organisatie. Een risicoanalyse (op basis van het proportionaliteitsbeginsel) en een materialiteitstoets maken onderdeel uit van deze fase. Daarnaast krijgt het Business Continuity Plan een meer centrale rol in het proces en is in de Good Practice de meldplicht als het gaat om het uitbesteden van materiele en/of kritische activiteiten opgenomen.

Fase 3: Het selecteren van een dienstverlener

De impact ten aanzien van het selectieproces moet niet worden onderschat. De Good Practice schrijft voor dat een risicoanalyse (inclusief concentratierisico op de dienstverlener, juridisch risico en due diligence-beoordeling) is uitgevoerd voordat tot selectie wordt overgegaan. In de Good Practice zijn de aspecten opgenomen die minimaal meegenomen dienen te worden in deze analyse.

Fase 4: Monitoren van de uitbesteding

Na selectie volgt de monitoring van de uitbestedingsrelatie. Deze fase kent onder de nieuwe Good Practice onderwerpen waar aandacht aan moet worden besteed door u als verzekeraar, zoals een centraal uitbestedingsregister, het (continu) bewaken van de met de uitbesteding gepaard gaande operationele- en concentratierisico’s en het vergelijken van deze informatie met vastgelegde kritieke risico-indicatoren (KRI’s).

Om deze monitoring uit te kunnen voeren, ontvangt u onder andere  Service Level Rapportages van de dienstverlener. Tevens wordt assurance rondom dienstverlening die is uitbesteed, onder andere door middel van Service Organisatie Control rapporten (ISAE3402), in de Good Practice verplicht gesteld. Deze Good Practice heeft derhalve niet alleen impact op uw organisatie, maar ook op de dienstverlener.   

Fase 5: Het evalueren van de uitbesteding

Tot slot dient u jaarlijks een uitgebreid evaluatieproces in te richten dat niet alleen toeziet op de evaluatie van de dienstverleners, maar ook op het interne uitbestedingsproces.

De Good Practice biedt een middel om het uitbestedingsproces te professionaliseren, standaardiseren en optimaliseren. Echter, gezien de diepgang en gedetailleerdheid van de Good Practice, schuilt het gevaar van onderschatting. Daarnaast zal door de grote diversiteit aan volwassenheidniveaus van de verzekeraars, de omvang en het type uitbestedingen, de impact per verzekeraar verschillen.

Proportionele benadering

Een proportionele benadering van de Good Practice zou daarom een uitkomst kunnen bieden. Deze suggestie hebben wij vanuit BDO dan ook gedaan bij de consultatieronde die door de DNB is uitgevaardigd; maak de proportionaliteitstoets integraal onderdeel van de risicoanalyse en het uitbestedingsbeleid.  Deze suggestie is in de definitieve versie van de Good Practice doorgevoerd. Hierdoor wordt het mogelijk om, in bepaalde gevallen, onderdelen van de Good Practice niet toe te passen. Een voorbeeld hiervan is dat de richtsnoeren voor het governance systeem niet van toepassing zijn op basic verzekeraars.

Uitbesteding sleutelfuncties

Tevens is in de Good Practice de koppeling met bestaande wet- en regelgeving gemaakt. Noemenswaardig hierbij is dat aan de reikwijdte van de definitieve versie van de Good Practice is toegevoegd dat deze ook van toepassing is op uitbesteding van sleutelfuncties, zoals gedefinieerd in Solvency II. Denk hierbij aan de riskmanagement-, compliance-, interne audit- en actuariële functie. Kortom, ook voor de uitbesteding van deze functies dienen de fasen, zoals bovenstaand beschreven, doorlopen te worden.

De Good Practice op het gebied van uitbestedingen is een stap voorwaarts die niet moet worden onderschat. Door het explicieter maken van de uitbesteding (en alle aspecten die daarbij komen kijken) kan de impact van deze Good Practice aanzienlijk zijn. Dit neemt niet weg dat de Good Practice duidelijke handvatten biedt voor verzekeraars om de beheersbaarheid van de uitbestedingen te vergroten.

Meer informatie

Voor iedere fase van het uitbestedingsproces hebben wij in een factsheet uiteengezet welke acties ondernomen moeten worden door u als verzekeraar. Wilt u deze factsheet graag ontvangen? Laat dan uw gegevens achter via onderstaande button. Voor meer informatie kunt u contact opnemen met onze specialisten.

vraag factsheet aan