Uitkomsten sectorbrede analyse operationele en IT-risico’s

Nieuwsbericht
Datum 6 april 2020

In 2019 heeft DNB een sectorbrede analyse uitgevoerd bij verzekeraars naar de beheersing van operationele en IT-risico’s middels een uitgestuurde self-assessment.

Door de coronacrisis is de beschikbaarheid en beveiliging van IT systemen door thuiswerken relevanter dan ooit. Graag delen we dan ook de uitkomsten van onze analyse naar operationele en IT risico’s.

Overall beeld

Het overall beeld dat uit het onderzoek naar voren komt is dat bij tweederde van de verzekeraars de beheersing van operationele risico’s op orde is en bij ongeveer de helft van de verzekeraars de beheersing van IT-risico’s. Dit betekent dus ook dat bij een flink aantal verzekeraars nog ruimte is voor verbetering. Wij roepen die verzekeraars op om snel werk te maken van de hieronder genoemde aandachtspunten.

Managementrapportages

DNB beschouwt adequate niet financiële risico’s-rapportages als essentieel voor het kunnen beheersen van operationele en IT-risico’s. Uit het onderzoek kwam naar voren dat bij ongeveer een kwart van de verzekeraars nu nog zo’n rapportage ontbreekt.

Monitoren en evalueren kritieke uitbestedingen

Hoewel vrijwel alle verzekeraars uitbestedingsbeleid hebben, blijkt uit het onderzoek dat de beheersing door verzekeraars nog beter kan. Ongeveer de helft van de verzekeraars voert geen jaarlijkse beoordeling van de uitbestede diensten uit zoals het beoordelen van assurance rapportages (voorbeeld ISAE3402 of SOC-rapportages) en evaluatie van de dienstverlening.

Datakwaliteit

De beheersing van datakwaliteit is nog niet bij alle verzekeraars (gemiddeld ruim één derde) op orde voor wat betreft het gebruik van beheersinstrumenten (zoals het uitvoeren van een risico-analyse en het vaststellen en monitoren van een risk appetite en KPI’s) en het uitvoeren van een management- en rapporteringscyclus. Onze ‘guidance beheersing Solvency II datakwaliteit door verzekeraar’ kan hierbij behulpzaam zijn.

Rol Risk Management en Internal Audit

Bij bijna de helft van de verzekeraars blijkt dat Risk Management de risico’s met betrekking tot datakwaliteit niet monitort en bij ruim een derde de uitbestedingsrisico’s niet.

Verder blijkt dat bij bijna alle verzekeraars Internal Audit betrokken is bij het onderzoeken van de bedrijfskritische processen. Bij ongeveer de helft onderzoekt Internal Audit de kritische uitbestedingen en datakwaliteit. DNB verwacht dat Risk Management en Internal Audit ook de laatste twee genoemde aandachtsgebieden in scope hebben.

EUC-gebruik

Ruim tweederde van de verzekeraars meldt geen beleid te hebben end-user computing (EUC), maar tegelijkertijd wel gebruik te maken van EUC-toepassingen. DNB verwacht dat verzekeraars die EUC-toepassingen gebruiken, ook beschikken over beleid met het oog op de beheersing van risico’s rond het gebruik daarvan.

Toegangsbeveiliging

Ongeveer driekwart van de verzekeraars geeft aan een zogenaamde penetration test te hebben uitgevoerd. Van die groep geeft circa een derde aan dat de hoog risico kwetsbaarheden niet (tijdig) zijn opgelost.