VVP 1-22 ONLINE NIEUW

More documents

Recommendations

Info

VOLMACHT VOORUIT! HET BEHEERSEN VAN DE RISICO’S VAN UITBESTEDING DOOR FINANCIËLE ONDERNEMINGEN, DE TOEZICHTHOUDERS ZITTEN ER STEEDS MEER BOVENOP. EEN AANTAL PRAKTIJKTIPS, OOK VOOR HET PROVINCIALE KANTOOR. Adviesalerts uitbesteding TEKST TOON BERENDSEN Eén van de ultieme vormen van uitbesteding is het uitlenen door de verzekeraar van zijn pen aan een Gevolmachtigd Agent. Geen wonder – kijkend naar het enorme premievolume bij met name schadeverzekeringen dat via volmachten loopt – dat DNB van verzekeraars inmiddels nadrukkelijk eist dat zij de risico’s van deze uitbesteding beheersen. Maar GA’s en financieel adviseurs besteden zelf ook tal van zaken uit, ook van hen wordt steeds meer verwacht dat zij grip houden op de risico’s hiervan. De AFM vroeg medio vorig jaar nog eens nadrukkelijk aandacht voor de beheersing van belangrijke en kritieke uitbestedingsrisico’s. Uit een verkenning onder 246 financieel dienstverleners met samen in totaal 1.081 uitbestedingen, was onder meer gebleken dat “bij 70 procent van de uitbestedingen geen risicoanalyse is uitgevoerd. Hierbij is er weinig verschil tussen intragroep en externe uitbesteding. Ook is er geen verband tussen de grootte van het risico van de uitbesteding ‘Ook zonder verplichting, is een risicoanalyse gewenst’ en de mate waarin risicoanalyses worden uitgevoerd. Bij uitbestedingen met een hoog risico waren ook vaak geen risicoanalyses aanwezig”. Het maken van een risicoanalyse is wettelijk niet vereist, leert navraag bij de AFM. De toezichthouder: “Op basis van bestaande wet- en regelgeving (dat wil zeggen artikel 4:15 Wft) is er geen sprake van verplichting voor een risicoanalyse. De AFM Principes voor Informatiebeveiliging bieden een handreiking op het gebied van informatiebeveiliging voor onder AFM-toezicht staande instellingen, hierin is (onder meer) bedoelde risicoanalyse opgenomen.” Maar ook zonder verplichting, lijkt ons een risicoanalyse een goed idee. Immers, beheersen van risico’s begint met inzicht. De AFM geeft als handvatten mee: “Bij een risicoanalyse moet worden gekeken naar zowel het risicoprofiel van de serviceprovider als de aard van de dienstverlening die de serviceprovider levert (ondernemingen waar activiteiten naartoe zijn uitbesteed, duidt de AFM aan als serviceprovider, red.). Bij de risicoanalyse moeten in ieder geval de volgende risico’s meegenomen worden: het risico dat er een te grote afhankelijkheid ontstaat van de serviceprovider, waardoor het moeilijk wordt om over te stappen naar een ander serviceprovider; het risico dat er onvoldoende kennis en personeel aanwezig is bij de financieel dienstverlener om leveranciersselectie, implementatie van de uitbesteding en monitoring van de uitbesteding adequaat uit te voeren; het risico dat de onderneming niet compliant is 40 | VVP NR 1 FEBRUARI 2022
VOLMACHT VOORUIT! aan wet- en regelgeving omdat de serviceprovider niet voldoet aan wet- en regelgeving; het risico dat de serviceprovider niet voldoet aan de gemaakte afspraken vanuit zowel kwantitatief (bijvoorbeeld servicelevels) als kwalitatief (bijvoorbeeld assurance) perspectief; het risico dat er gegevens gestolen worden of dat de dienstverlening wordt verstoord door cyberaanvallen.” ISO 27001 Dat financieel dienstverleners nadrukkelijk worden geacht IT-risico’s in hun analyse mee te nemen, verwondert niet. Meer dan de helft van de in de AFM-verkenning gemelde uitstedingen, betreft IT. Uiteraard mag van een partij aan wie IT wordt uitbesteed worden verwacht dat zij haar informatiebeveiliging op orde heeft. Maar het ontslaat de uitbestedende partij niet van de eindverantwoordelijkheid. De AFM stelt dan ook, in haar vorig jaar gepubliceerde ‘Aandachtspunten bij het gebruik van adviessoftware’: “Zorg ervoor dat u zeker weet dat uw softwareleverancier een goede invulling geeft aan de informatiebeveiliging. Als eindverantwoordelijke is het belangrijk dat u er zich van verzekert dat uw softwareleverancier een goede invulling geeft aan haar informatiebeveiligingsverantwoordelijkheden. Erkende certificeringen zijn een mogelijkheid om dat te doen. De meeste leveranciers van adviessoftware zijn (gedeeltelijk) ISO 27001 gecertificeerd of van plan om op deze certificering op korte termijn te halen. ISO 27001 is een voorbeeld van een internationaal erkende norm voor informatiebeveiliging. Door hieraan te voldoen biedt een leverancier 15% 6% 4% 21,5% 23,5% 30% n IT Services (Infra, Hosting, IaaS) n Applicatiediensten (Ontwikkeling, SaaS, beheer) n Business Process Outsourcing n Kredietwaardigheid n Debiteurenbeheer n Overig (pensioenuitvoering, printen, vastgoed, verslaggeving etc.) Externe uitbesteding financiële dienstverleners (Top 200). Bron: AFM-verkenning ‘Beheerst uitbesteden’. enige zekerheid dat zij haar verantwoordelijkheden kan nakomen. Een andere manier is om eisen aan informatiebeveiliging op te nemen in de overeenkomst met uw softwareleverancier, bijvoorbeeld met betrekking tot bewaartermijnen of beveiligingsmaatregelen.” De AFM verder: “Bescherm de toegang tot uw (klant) data in de cloud. U blijft verantwoordelijk voor de beschikbaarheid, integriteit en vertrouwelijkheid van uw (klant)data. Daarom is het aan te bevelen om een sterke toegangsbeveiliging tot de data te implementeren. Dit kan door een moeilijk te raden wachtwoord te gebruiken, aangevuld met een secundaire authenticatiemethode, zoals een authenticator app. Daarnaast is het aan te raden om de data te versleutelen met een actuele versleutelingstechniek en de sleutel veilig te bewaren. Let in het bijzonder op de zorgvuldige bewaring van documenten die u uit de cloudomgeving downloadt naar uw lokale omgeving (wat vaak het geval is bij een afgerond adviesrapport).” WERK AAN DE WINKEL Lees zeker ook de Leidraad IT-risico’s Volmachten die NVGA en Verbond van Verzekeraars in 2021 hebben uitgegeven, waarin overigens veel van de AFM-principes terug te vinden zijn. In GA-magazine van december stelde Ron Krisman (Cumela Assuradeuren), lid van de werkgroep die de leidraad heeft opgesteld: “Zet je de zaken die in de leidraad beschreven zijn af tegen de huidige beheersmaatregelen van het gemiddelde volmachtbedrijf, dan zitten we, denk ik, op zo’n 60 tot 65 procent van wat er gevraagd wordt. Er is dus nog een gat te overbruggen, bijvoorbeeld in het beschrijven van procedures in de organisatie en het opstellen van risicoanalyses.” Er is dus nog wel wat werk aan de uitbestedingswinkel. n NR 1 FEBRUARI 2022 VVP | 41
Page 1: 80 JAAR HÉT PLATFORM VOOR DE FINAN
Page 5 and 6: COLOFON VVP, Kennis- en inspiratiem
Page 7 and 8: VVP ONDERNEMERSPANEL vooral moet vo
Page 9 and 10: VVP ONDERNEMERSPANEL Goede begeleid
Page 11 and 12: Bijna 80 jaar hét platform voor on
Page 13 and 14: SPREKERS JARNO DUURSMA | DE IMPACT
Page 15 and 16: NIEUWKOMERS EN DOORSTROMERS Jeffrey
Page 17 and 18: NIEUWKOMERS EN DOORSTROMERS Volop r
Page 19 and 20: KLANTGERICHTHEID IN DE PRAKTIJK “
Page 21 and 22: KLANTGERICHTHEID IN DE PRAKTIJK adv
Page 23 and 24: KLANTGERICHTHEID IN DE PRAKTIJK van
Page 25 and 26: UIT DE ADVIESPRAKTIJK Uit de Advies
Page 27 and 28: UIT DE ADVIESPRAKTIJK HET ADVIESVAK
Page 29 and 30: UIT DE ADVIESPRAKTIJK ER ZULLEN NIE
Page 31 and 32: UIT DE ADVIESPRAKTIJK Een schuldenc
Page 33 and 34: UIT DE ADVIESPRAKTIJK “IK WIL DE
Page 35 and 36: VOLMACHT VOORUIT! Volmacht vooruit!
Page 37 and 38: VOLMACHT VOORUIT! van de organisati
Page 39: VOLMACHT VOORUIT! Trendbreuk DE VOL
Page 43 and 44: VOLMACHTBEDRIJF CENTRAAL Roeland Vr
Page 45 and 46: ADVIES INFORMEREN EN ADVISEREN De A
Page 47 and 48: PURPOSE Sneaky BNPL sumptie probeer
Page 49 and 50: CULTUUR schade is toegebracht niet
Page 51 and 52: SAMEN BETROKKEN TROTS OP WELKE SCHA
Page 53: HET VUUR VAN... ER ZIJN VEEL PRACHT
Page 56 and 57: LEREN VAN KIFID-UITSPRAKEN De redel
Page 58 and 59: Steeds meer Nederlanders stappen va
Page 60 and 61: DUURZAAMHEID Steeds meer adviseurs
Page 62 and 63: Nu Rutte-IV is gestart, is natuurli
Page 64 and 65: BOUWSTENEN VOOR SUCCES Als ondernem
Page 66 and 67: COLUMN KENT U ‘DE GESCHIEDENIS VA

VVP 1-22 ONLINE NIEUW

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?