Beheersing uitbesteding werkzaamheden door verzekeraars
24 mei 2022 om 07:45
DNB heeft in 2020 en 2021 diverse onderzoeken en een sectorbrede uitvraag uitgevoerd naar de beheersing van uitbestedingsrisico’s bij verzekeraars. Hieruit blijkt dat verzekeraars vaak onvoldoende zicht hebben op onderuitbestedingen verderop in de keten. Dat kan onverwacht leiden tot diefstal van gevoelige informatie of uitval van bedrijfsprocessen.
IT-oplossingen die ondersteunend zijn aan een kritiek of belangrijk bedrijfsproces worden steeds vaker door verzekeraars uitbesteed. Net als de verzekeringsadministratie, incasso/excasso, schadeafhandeling en het klantbeheer. Ook de ondersteuning daarvan zoals applicatiebeheer, print- en verzendservice, documentverwerking en de financiële administratie. Serviceproviders besteden dit vaak op hun beurt weer verder uit naar andere, derde partijen. Hierdoor bestaan uitbestedingsketens van belangrijke processen vaak uit meerdere schakels. Als gevolg hiervan wordt voor bestuurders het inzicht en de beheersing van deze processen complex. Het aandeel uitbestedingen naar bijvoorbeeld de cloud is als percentage van het totaal toegenomen van een derde in 2017 naar bijna de helft in 2021.
Grip houden op de uitbestedingsketens
Om de risico’s op het gebied van informatiebeveiliging en beschikbaarheid te kunnen beheersen is volledig zicht op de uitbestedingsketens nodig. Uit onderzoek van de DNB blijkt dat verzekeraars deze risico’s niet altijd in beeld hebben. En ook niet altijd zicht hebben of de informatiebeveiliging en continuïteitswaarborgen in de keten op orde zijn. Terwijl verzekeraars wel verantwoordelijk zijn voor een beheerste bedrijfsvoering. Ook voor de werkzaamheden die zijn uitbesteed. De verzekeraar kan grip houden op de uitbestedingsketens door:
- Het uitvoeren van een risicoanalyse voorafgaand aan de uitbesteding. Hierin kan worden vastgesteld of de beheersmaatregelen binnen de uitbestedingsketen voldoen aan het beleid en de eisen van de verzekeraar, bij voorbeeld op het gebied van informatiebeveiliging en continuïteit. De risicoanalyse zal periodiek geactualiseerd moeten worden.
- Daarnaast is het belangrijk dat er wordt gecontroleerd op de naleving van contractuele afspraken tussen partijen.
- Het ontvangen en beoordelen van zekerheidsrapportages, waaronder assurance rapporten. Hier moet duidelijk uit worden welke beheersmaatregelen de hoofdaannemer heeft getroffen en of deze effectief hebben gewerkt. Tevens moet duidelijk zijn welke onderdelen door de hoofdaannemer zijn uitbesteed en hoe de monitoring daarvan heeft plaatsgevonden. De verzekeraar kan op basis hiervan analyseren in hoeverre zekerheid wordt geboden over het geheel van de uitbestede beheersingsmaatregelen in de uitbestedingsketen.
- Het inrichten en onderhouden van een centrale registratie van belangrijke uitbestedingen onderuitbestedingen, zodat alle uitbestedingsketens inzichtelijk zijn. Zo kan de verzekeraar beoordelen of zij niet teveel afhankelijk is van serviceproviders in de uitbestedingsketens en er mogelijk sprake is van concentratierisico.
Vervolgstappen in 2022
DNB verwacht van verzekeraars dat zij mogelijke en noodzakelijke verbeteringen doorvoeren. DNB zelf werkt aan vergroting van het inzicht in concentratierisico’s op sector- en nationaal niveau. Ten slotte is het van belang om vooruit te kijken naar nieuwe wetgeving. Eind 2022 komt er naar verwachting meer duidelijkheid over de invulling van de Digital Operational Resilience Act (DORA), die eind 2024 in werking treedt. Dit is een verordening van de Europese Commissie om de digitale weerbaarheid van de sector te vergroten. Eén van de doelen is om bewuster om te gaan met de risico’s van uitbesteding door de financiële sector aan kritieke ICT-dienstverleners. Het is belangrijk dat verzekeraars zich hier tijdig op voorbereiden en daarbij zicht en grip hebben op alle uitbestedingen en onderuitbestedingen.
Ook Solvency II stelt eigen aan de uitbesteding van kritieke of belangrijke functies of werkzaamheden. Daarnaast worden in de EIOPA-Richtsnoeren handvatten gegeven, waaronder de melding bij DNB, voordat de uitbesteding in gebruik wordt genomen. De Richtsnoeren voor uitbesteding aan aanbieders van clouddiensten gelden met ingang van 1 januari 2021 voor uitbestedingen aan cloudproviders, ook wanneer de hoofdaannemer geen cloudprovider is, maar wel daarvan afhankelijk is. Hierin is opgenomen dat:
- Verzekeraars met ingang van 1 januari 2021 deze Richtsnoeren hebben verwerkt in hun beleid en interne procedures. En vanaf die datum de Richtsnoeren in acht hebben genomen bij alle uitbestedingsovereenkomsten inzake clouddiensten die op of na deze datum in werking zijn getreden of zijn gewijzigd.
- Verzekeraars de documentatie van uitbestedingsovereenkomsten van clouddiensten in verband met kritieke of belangrijke operationele functies of activiteiten indien nodig te herzien en te wijzigen zodat zij per 31 december 2022 aansluiten op deze Richtsnoeren.
Wat kunt u doen?
Het zijn met name de verzekeraars waar het zwaartepunt van de actie ligt. Als Gevolmachtigd Agent kunt u, als onderdeel van de uitbestedingsketen, ervoor zorgen dat u het de verzekeraar zo makkelijk mogelijk maakt met het controleren van uw werkzaamheden. Dit kan onder andere door het goed bijhouden van de periodieke taken in het Werkprogramma Risicobeheersing Volmachten en het vragen van toestemming voor uitbesteding van uw primaire diensten. DNB kwalificeert als primaire diensten die diensten die, indien ze geheel of gedeeltelijk wegvallen, de continuïteit van uw primaire proces kunnen verstoren. Stel als u primaire diensten wil uitbesteden een risicoanalyse op en zorg dat de gesignaleerde risico’s in voldoende mate worden beheerst, voordat u met de uitbesteding aanvangt. Zorg voor een goede overeenkomst met een harde exitclausule en SMART-geformuleerde service level afspraken en tenslotte: beoordeeld periodiek (tenminste jaarlijks) de kwaliteit van de uitbesteedde werkzaamheden.
Wat kan SVC voor u doen?
Heeft u ondersteuning nodig bij het bijhouden van uw taken in het Werkprogramma Risicobeheersing Volmachten, of kunt u wat hulp gebruiken bij bepaalde taken? In ons Kennisportaal hebben wij alle taken uitgewerkt en voorbeelden verzameld van mogelijke onderbouwende documenten. Wilt u hier meer informatie over? Neemt u dan
contact met ons op.
