VVP 1-22 ONLINE NIEUW
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
VOLMACHT VOORUIT!<br />
HET BEHEERSEN VAN DE RISICO’S VAN UITBESTEDING DOOR<br />
FINANCIËLE ONDERNEMINGEN, DE TOEZICHTHOUDERS<br />
ZITTEN ER STEEDS MEER BOVENOP. EEN AANTAL<br />
PRAKTIJKTIPS, OOK VOOR HET PROVINCIALE KANTOOR.<br />
Adviesalerts<br />
uitbesteding<br />
TEKST TOON BERENDSEN<br />
Eén van de ultieme vormen van uitbesteding<br />
is het uitlenen door de verzekeraar van zijn<br />
pen aan een Gevolmachtigd Agent. Geen<br />
wonder – kijkend naar het enorme premievolume<br />
bij met name schadeverzekeringen<br />
dat via volmachten loopt – dat DNB van<br />
verzekeraars inmiddels nadrukkelijk eist dat zij de risico’s<br />
van deze uitbesteding beheersen. Maar GA’s en financieel<br />
adviseurs besteden zelf ook tal van zaken uit,<br />
ook van hen wordt steeds meer verwacht dat zij grip<br />
houden op de risico’s hiervan.<br />
De AFM vroeg medio vorig jaar nog eens nadrukkelijk<br />
aandacht voor de beheersing van belangrijke en<br />
kritieke uitbestedingsrisico’s. Uit een verkenning onder<br />
246 financieel dienstverleners met samen in totaal<br />
1.081 uitbestedingen, was onder meer gebleken dat “bij<br />
70 procent van de uitbestedingen geen risicoanalyse<br />
is uitgevoerd. Hierbij is er weinig verschil tussen intragroep<br />
en externe uitbesteding. Ook is er geen verband<br />
tussen de grootte van het risico van de uitbesteding<br />
‘Ook zonder<br />
verplichting, is een<br />
risicoanalyse gewenst’<br />
en de mate waarin risicoanalyses worden uitgevoerd.<br />
Bij uitbestedingen met een hoog risico waren ook vaak<br />
geen risicoanalyses aanwezig”.<br />
Het maken van een risicoanalyse is wettelijk niet<br />
vereist, leert navraag bij de AFM. De toezichthouder:<br />
“Op basis van bestaande wet- en regelgeving (dat wil<br />
zeggen artikel 4:15 Wft) is er geen sprake van verplichting<br />
voor een risicoanalyse. De AFM Principes voor Informatiebeveiliging<br />
bieden een handreiking op het<br />
gebied van informatiebeveiliging voor onder AFM-toezicht<br />
staande instellingen, hierin is (onder meer) bedoelde<br />
risicoanalyse opgenomen.” Maar ook zonder verplichting,<br />
lijkt ons een risicoanalyse een goed idee. Immers,<br />
beheersen van risico’s begint met inzicht.<br />
De AFM geeft als handvatten mee: “Bij een risicoanalyse<br />
moet worden gekeken naar zowel het risicoprofiel<br />
van de serviceprovider als de aard van de dienstverlening<br />
die de serviceprovider levert (ondernemingen<br />
waar activiteiten naartoe zijn uitbesteed, duidt de AFM<br />
aan als serviceprovider, red.). Bij de risicoanalyse moeten<br />
in ieder geval de volgende risico’s meegenomen<br />
worden: het risico dat er een te grote afhankelijkheid<br />
ontstaat van de serviceprovider, waardoor het moeilijk<br />
wordt om over te stappen naar een ander serviceprovider;<br />
het risico dat er onvoldoende kennis en personeel<br />
aanwezig is bij de financieel dienstverlener om leveranciersselectie,<br />
implementatie van de uitbesteding en<br />
monitoring van de uitbesteding adequaat uit te voeren;<br />
het risico dat de onderneming niet compliant is<br />
40 | <strong>VVP</strong> NR 1 FEBRUARI 20<strong>22</strong>