Update FATF-waarschuwingslijsten oktober 2024
FATF heeft een update van haar ‘grijze’ en ‘zwarte’ lijsten gepubliceerd.
Lees meer Update FATF-waarschuwingslijsten oktober 2024U gebruikt een verouderde browser. DNB.nl werkt het beste met:
Gepubliceerd: 07 februari 2023
© Shutterstock
In 2022 heeft DNB haar jaarlijkse sectorbrede analyse uitgevoerd bij verzekeraars naar onder meer het risiconiveau en de risicobeheersing van operationele en IT-risico’s en het onderwerp governance, gedrag, cultuur en risicomanagement. Hiertoe hebben de verzekeraars een uitvraag ingediend over bovengenoemde onderwerpen.
De uitvraag over de beheersing van operationele risico’s (noot 1), ging in het bijzonder in op de volwassenheid van het interne controle raamwerk, datakwaliteit en uitbesteding.
Uit de ingevulde vragenlijsten bleek dat de basiselementen van een interne controle raamwerk bij de meeste verzekeraars aanwezig zijn. Verder valt op dat verzekeraars hun beheersmaatregelen ten aanzien van uitbesteding en datakwaliteit verbeterd hebben ten opzichte van vorig jaar, maar dat deze in veel gevallen nog niet op het juiste niveau (noot 2) zijn. Aandacht voor het structureel op het juiste niveau brengen en houden van risicobeheersing blijft belangrijk.
1.1 Interne Controleraamwerk
De meeste verzekeraars beschikken over een interne controle raamwerk, waarin verbeteringen mogelijk zijn
Uit de uitvraag bleek dat de meeste verzekeraars beschikken over een interne controle raamwerk. Daarbij valt op dat er verbetering mogelijk is in de snelheid van afhandeling van ‘hoog risico bevindingen’ van de Risicomanagement Functie (RMF) en/of Interne Audit Functie (IAF). Daarnaast zien we dat ongeveer een derde van de verzekeraars niet beschikt over een geïntegreerd systeem waarin de risico’s en beheersmaatregelen van het interne controle raamwerk integraal is vastgelegd (GRC systeem). Toepassing van een dergelijk geïntegreerd systeem kan de efficiëntie en effectiviteit van het interne controle raamwerk vergroten.
1.2 Datakwaliteit
Bij veel verzekeraars behoeft de risicobeheercyclus rondom datakwaliteit verbetering
Bij ongeveer twee derde van de verzekeraars bestaan er tekortkomingen in de beheersmaatregelen ten aanzien van datakwaliteit, zoals hiaten in het datakwaliteitsbeleid, het implementeren van beheersmaatregelen en de monitoring en evaluatie hiervan. Hierbij gelden de volgende aandachtspunten:
Onvoldoende beheersing van datakwaliteit kan onjuistheden in de wettelijke rapportages en onjuiste besluitvorming tot gevolg hebben. Ten aanzien van punt (a) vindt DNB het belangrijk dat verzekeraars die EUC-toepassingen gebruiken, ook beschikken over beleid met het oog op de beheersing van risico’s rond het gebruik daarvan.
1.3 Uitbestedingen
De beoordeling van uitbestedingsrisico’s en de monitoring van uitbestedingsketens is verbeterd ten opzichte van vorig jaar, maar is bij bijna de helft van de verzekeraars nog niet op niveau
Uit de uitvraag blijkt dat de verzekeraars vaker dan vorig jaar voorafgaand aan de uitbestedingen risicoanalyses uitvoeren en de uitbestedingen beter monitoren qua prestaties en interne beheersing. Het sectorbeeld is hier verbeterd, maar desalniettemin blijft bij een significant aantal verzekeraars de beheersing achter.
Hierbij gelden de volgende aandachtspunten:
Het onvoldoende zicht houden op de onderuitbestedingen en risicobeheersing binnen kritieke uitbestedingsketens kan leiden tot onverwachte verstoringen of disruptie van kritieke bedrijfsprocessen, diefstal of verlies van kritieke of vertrouwelijke data. DNB vindt het belangrijk dat verzekeraars hun kritieke uitbestedingsketens in beeld hebben en zorgen dat deze ketens adequaat beheerst worden.
2. Uitkomsten Governance, Gedrag, Cultuur en Risicomanagement
2.1 Gedrag en cultuur
De resultaten van de uitvraag niet-financiële risico’s voor verzekeraars schetsen een overall beeld waarbij het risiconiveau voor gedrag en cultuur medium laag is. Aandachtspunt binnen gedrag en cultuur ligt net als in de uitvraag 2021 bij het diversiteitsaspect. Zo blijkt dat slechts bij een kwart van de instellingen zowel het bestuur als de RvC uit meer dan 40% vrouwen bestaat.
2.2 Interne governance
Qua beheersing van de interne governance laten de uitkomsten van de gehele sector een divers beeld zien. Opvallend is dat ongeveer 1 op de 3 verzekeraars niet over een opvolgingsplan voor het bestuur en/of de RvC beschikt. Ook valt op dat bij slechts minder dan de helft van de instellingen het bestuur de kwaliteit van informatieverstrekking vanuit de commissies betrekt in de zelfevaluatie. Voor de RvC is dit percentage lager. Bij 1 op de 5 instellingen neemt de RvC de kwaliteit van informatieverstrekking vanuit de commissies mee in de zelfevaluatie.
De uitvraag levert het beeld op dat de sleutelfuncties compliance, interne audit en actuarieel binnen de sector over het algemeen goed zijn ingericht.
2.3 Risicomanagement
Binnen Risicomanagement scoort de sector t.o.v. andere sectoren goed op het gebied van risicostrategie- en beleid. 4 op de 5 instellingen geven aan dat er een overkoepelende risicotolerantielimiet is vastgesteld en dat bij het bewaken van risicotolerantielimieten rekenschap wordt gegeven van de doorwerking van verschillende risico’s op elkaar. Ook de inrichting van de sleutelfunctie risicomanagement voldoet bij bijna alle instellingen aan de eisen.
In het komende jaar zal DNB in haar toezicht aandacht schenken aan bovenstaande aandachtspunten en gaat ervan uit dat de verzekeraars de noodzakelijke stappen zullen zetten om het benodigde niveau te bereiken. Net als afgelopen jaar, zal ook komend jaar bij een selectie van instellingen weer een onderzoek plaatsvinden naar de kwaliteit van de ingevulde SBA-NFR vragenlijsten
NOTEN
Noot 1: Deze nieuwsbrief gaat niet in op de resultaten uit de uitvraag van informatiebeveiligingsrisico’s (de SBA IB), omdat hiervoor reeds een aparte nieuwsbrief [DNB ziet cyberdreiging toenemen terwijl basismaatregelen niet altijd op orde zijn] is uitgebracht
Noot 2: Voor nadere guidance m.b.t. datakwaliteit zie de Guidance beheersing Solvency II datakwaliteit door verzekeraars [brochure-guidance-datakwaliteit-open-boek.pdf (dnb.nl)].
Voor nadere guidance m.b.t. uitbestedingen zie de Good practice Uitbesteding Verzekeraars [Good Practice Uitbesteding verzekeraars (dnb.nl)]
FATF heeft een update van haar ‘grijze’ en ‘zwarte’ lijsten gepubliceerd.
Lees meer Update FATF-waarschuwingslijsten oktober 2024Zoals eerder aangekondigd organiseert DNB op dinsdag 12 november de Verzekeringsmiddag in Spant! in Bussum. Momenteel hebben alle genodigden een e-mail ontvangen met daarin de link naar de aanmeldprocedure. Vergeet u dan niet in te schrijven. Wij hopen u welkom te heten op 12 november.
Lees meer Verzekeringsmiddag 12 november 2024: de inschrijving is geopend!Op dinsdag 5 november a.s. organiseert DNB van 15.00 tot 16.45 uur een fysieke informatiebijeenkomst over personentoetsingen.
Lees meer Informatiebijeenkomst over personentoetsingen DNBMet de inwerkingtreding van artikel 3:267e van de Wet op het financieel toezicht (Wft) wil DNB door middel van een Q&A een toelichting geven op de reikwijdte van het instemmingsvereiste voor activa intensieve herverzekeringen bij DNB.
Lees meer DNB consulteert de Q&A beoordeling herverzekeringscontracten DNBOm de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies.
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.