Einde inhoudsopgave
Uitbesteding in de financiële sector (O&R nr. 88) 2015/5.2.2
5.2.2 De methode van de risicoanalyse
mr. drs. P. Laaper, datum 01-09-2015
- Datum
01-09-2015,
- Auteur
mr. drs. P. Laaper
- JCDI
JCDI:ADS596399:1
- Vakgebied(en)
Financieel recht / Bank- en effectenrecht
Financieel recht / Financieel toezicht (juridisch)
Voetnoten
Voetnoten
Art. 14, lid 1, Bupw.
Zie ook Handboek FIRM, Bijlage D, p. 32.
Het verdient aanbeveling om een risicoanalyse per uitbesteed proces uit te voeren. De risico’s bij uitbesteding van het vermogensbeheer komen niet volledig overeen met de risico’s bij uitbesteding van bijvoorbeeld de pensioenadministratie. Zie ook Handboek FIRM, Bijlage D, p. 32.
DNB let hier ook op als een indicatie van een sterke beheersing. Zie Handboek FIRM, Bijlage D, p. 32.
Het Handboek FIRM is thans vervangen door een nieuwe toezichtsmethode: FOCUS! Het Handboek FIRM was tamelijk uitgebreid; van de methode FOCUS! is weinig meer bekend dan dat het voortbouwt op het Handboek FIRM. Om die reden is het Handboek FIRM nog steeds een relevante bron. Zie verder par. 1.5.3.
Daar is het Handboek ook voor geschreven. Zie Handboek FIRM, p. 1.
In het Handboek worden bijvoorbeeld criteria gebruikt zoals de omvang van de uitbestede activiteit en het al dan niet bestaan van een langdurige, stabiele relatie met de uitvoerder. Dergelijke criteria zijn wel nuttig bij het bepalen óf er (grote) risico’s bestaan en daarom bruikbaar voor een toezichtsmedewerker. Ze zijn niet geschikt voor het identificeren van de oorzaken van risico’s.
Zie par. 5.2.1.
Zie bijv. DNB Circulaire Cloud computing, 2011, p. 2 (te downloaden via: http://www.toezicht.dnb.nl/binaries/50-224828.pdf) en Handboek FIRM, Bijlage B, p. 18-19. Fraude en vertrouwelijkheid van informatie vallen overigens wat DNB betreft onder de risico-categorie integriteit.
De risicoanalyse moet systematisch worden uitgevoerd, zowel op het niveau van de eigen organisatie in haar geheel als op het niveau van de onderscheiden bedrijfsonderdelen.1
Een systematische aanpak van de risicoanalyse verkleint de kans dat belangrijke risico’s worden gemist of onderschat. Een sluitende zekerheid dat alle risico’s in kaart zijn gebracht, is niet mogelijk. Wel kan men proberen om zoveel mogelijk relevante risico’s in kaart te brengen. Een systematische aanpak helpt daarbij. Het is zinvol omhet management en betrokkenen van alle betrokken organisatie-onderdelen in de risicoanalyse te betrekken.2 Ook de inschakeling van een adviseur met ervaring op het gebied van uitbesteding (van vermogensbeheer)3 draagt bij aan de kwaliteit van de risicoanalyse. Niettemin blijft het noodzakelijk omde risicoanalyse periodiek te herhalen.4 De omstandigheden die in de vorige risicoanalyse zijn meegenomen, kunnen immers veranderen. Dat betreft niet enkel ontwikkelingen bij het pensioenfonds of zijn vermogensbeheerder, maar ook ontwikkelingen op de financiële markten of in regelgeving.
Het lijkt voor de hand te liggen om bij de risicoanalyse het Handboek FIRM van DNB te gebruiken.5 Die methode leent zich echter meer voor het bepalen waar de toezichtsaandacht van de toezichthouder naar moet uitgaan,6 dan voor de uitvoering van een risicoanalyse door een onder toezicht staande instelling.7
Het Handboek FIRM biedt niettemin wel aanknopingspunten voor een systematische risicoanalyse. In het Handboek wordt “uitbestedingsrisico” onderscheiden in risico’s voor a. de continuïteit van de bedrijfsvoering, b. de integriteit en c. de kwaliteit van de dienstverlening. In deze onderverdeling worden risico’s aangeduid in termen van het gevolg in plaats van de oorzaak.8 Deze onderverdeling biedt daardoor geen aanknopingspunten voor het nemen van concrete maatregelen. Ze biedt echter wel aanknopingpunten voor het opsporen van concrete risico’s. Zo is het vanuit de risicocategorie “continuïteit van de bedrijfsvoering” geen grote stap meer om “opzegging door de dienstverlener” als een concreet en te beheersen risico te benoemen. Eventueel kunnen ook meer of subcategorieën worden benoemd. Zo legt DNB veelvuldig nadruk op fraude en vertrouwelijkheid van informatie.9
Een andere methode is om de gehele uitbestedingscyclus te doordenken en daarbij bij elke fase mogelijke risico’s op te sporen. Vanuit de fase samenwerking is het geen grote stap om te bedenken dat een opgelopen conflict en een eventuele beslaglegging op middelen van het pensioenfonds een risico kunnen vormen.
Het beste resultaat wordt waarschijnlijk behaald door beide methoden te combineren. Per fase uit de uitbestedingscyclus spoort men dan naar mogelijke risico’s voor de continuïteit, de integriteit of de kwaliteit van de dienstverlening.
Nadat de risico’s geïdentificeerd zijn, kunnen prioriteiten worden gesteld. Door de omvang van het risico in te schatten, kan het pensioenfondsbestuur bepalen welke risico’s voor hem onacceptabel zijn en welke risico’s de meeste aandacht behoeven.