Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

Good practices beheersing risico's bij uitbesteding

Good practice

Deze good practices zijn een aanbeveling hoe financiële ondernemingen goed invulling kunnen geven aan de verplichting om de risico’s bij uitbesteding te beheersen, bijvoorbeeld in het geval van cloud computing. De good practices zijn één van de uitkomsten van het thematisch onderzoek naar de beheersing van risico’s bij uitbesteding, dat DNB in 2017 heeft uitgevoerd.

Gepubliceerd: 25 juni 2018

Bekijk eerdere versies in het archief

Deze DNB-beleidsuiting wordt momenteel opnieuw door DNB beoordeeld in het licht van de Digital Operational Resilience Act (DORA) die met ingang van 17 januari 2025 van kracht wordt voor de financiële sector. Mogelijk wordt deze beleidsuiting aangepast of ingetrokken. De beleidsuiting blijft tot het moment van een eventuele herziening of intrekking van toepassing. Nadere informatie over DORA is te vinden op (inclusief periodieke verschijnende nieuwsberichten): www.dnb.nl/DORA 

Deze “good practices beheersing risico’s bij uitbesteding” zijn relevant voor de volgende sectoren: banken, clearinginstellingen, beleggingsondernemingen, (beheerders van) beleggingsinstellingen, betaalinstellingen, wisselinstellingen en elektronischgeldinstellingen.

In 2017 heeft DNB een thematisch onderzoek uitgevoerd bij banken, beleggingsondernemingen, beheerders van beleggingsinstellingen en betaalinstellingen naar de beheersing van risico’s bij uitbesteding. Van financiële ondernemingen wordt verwacht dat zij hun materiële activiteiten adequaat beheersen, ongeacht of zij deze uitbesteden, en ongeacht of deze zijn uitbesteed in concernverband of aan een externe partij. Deze good practices zijn een van de uitkomsten en een aanbeveling hoe financiële ondernemingen daar goed invulling aan geven. Dit aandachtsgebied blijft in ontwikkeling: zo gelden per 1 juli 2018 nieuwe EBA aanbevelingen over de inzet van cloud service providers.

Wettelijke grondslagen

Artikel 3:17 van de Wet op het financieel toezicht (Wft) vraagt van de financiële onderneming dat haar bedrijfsactiviteiten zich dienen te kenmerken door een beheerste bedrijfsvoering en beheersing van de bedrijfsprocessen en -risico's. Een financiële onderneming die daarbij voornemens is om activiteiten en bedrijfsprocessen uit te besteden, dient zich te houden aan de vereisten van artikel 3:18 van de Wft. Deze eisen die aan uitbesteding worden gesteld, zijn nader uitgewerkt in Hoofdstuk 5 van het Besluit prudentiële regels Wft (Bpr).

1. Uitbesteding: risico’s beoordelen

De financiële onderneming beschikt over een strategie voor uitbesteding. Wanneer zij voornemens is tot uitbesteding over te gaan, voert zij een risicoanalyse uit en legt deze vast en neemt passende maatregelen voor risicomitigatie:

  • Indien een activiteit wordt uitbesteed, blijft de financiële onderneming verantwoordelijk voor de bedrijfsvoering met betrekking tot die activiteit. De financiële onderneming bewaakt het serviceniveau daarom actief.
  • Indien een activiteit niet wordt uitbesteed, profiteert de financiële onderneming ook niet van de kennis en schaalgrootte van de dienstverlener. De financiële onderneming voldoet in dat geval zelfstandig aan de gestelde eisen (bijvoorbeeld ten aanzien van IT-beveiliging) en zorgt ervoor om qua kosten voldoende concurrerend te blijven.
  • Bepaalde functies, met name vaststelling van beleid en strategie, en het besturen van risicobeheer en intern toezicht, kunnen niet worden uitbesteed.

2. Beleidsproces

Een financiële onderneming die uitbesteedt, beschikt over een algemeen beleid dat alle aspecten van de uitbesteding omvat, ook de niet-materiële uitbesteding. Het uitbestedingsbeleid beschrijft de risico's verbonden aan uitbesteding, evenals de wijze waarop deze worden beheerst. Het beleid wordt regelmatig geactualiseerd en wordt door de directie geaccordeerd.

3. Eisen vanuit de regelgeving

Uitbesteding aan een dienstverlener mag geen belemmering vormen voor het toezicht op de financiële onderneming. De financiële onderneming is verplicht de toezichthouder van alle aan een dienstverlener uit te besteden materiële activiteiten in kennis te stellen . Elke financiële onderneming is verplicht DNB in kennis te stellen van initiatieven op het gebied van cloud computing, ongeacht de materialiteit van de betreffende activiteiten . Zij levert deze informatie tijdig aan zodat DNB kan nagaan of het voornemen op prudentiële bezwaren stuit en waar nodig passende stappen kan ondernemen. Zij onderhoudt een register van alle lopende uitbestedingscontracten aan cloud providers. Daarnaast dient de financiële onderneming ook de risico’s rond het uitbesteden aan onderaannemers adequaat te managen.

In de uitbestedingsovereenkomst is geregeld dat toezichthouders het recht hebben op onderzoek en waar nodig rechtstreeks toegang krijgen tot relevante gegevens en vestigingen.

4. Selectie van dienstverleners

Aan de selectie van de dienstverlener gaat een risicobeoordeling vooraf die ook concentratierisico's en juridische risico's omvat, evenals een due diligence-beoordeling van de dienstverlener en accordering van de uitbesteding door de directie. Daarnaast wordt rekening gehouden met de risico's en de benodigde risicomitigerende maatregelen die uit diverse scenario's voortvloeien, zoals een scenario waarin de externe dienstverlener tijdelijk of duurzaam niet tot nakoming in staat is. Bij uitbesteding aan een dienstverlener buiten de EER is bijzondere aandacht voor risico's ten aanzien van gegevensbescherming en effectief toezicht.

5. Evaluatie van dienstverleners

Gedurende de looptijd van de overeenkomst controleert de financiële onderneming de dienstverlener regelmatig. Daarbij gaat het onder andere om het evalueren van wijzigingen die zich bij de dienstverlener voordoen, zoals een belangrijke wijziging van de eigendomsverhoudingen, de strategie of de winstgevendheid. De financiële onderneming is op de hoogte van materiële ontwikkelingen die zich bij de dienstverlener voordoen en die invloed hebben op de mate waarin zij aan hun verplichtingen jegens opdrachtgevers kunnen voldoen.

Het is van belang dat de financiële onderneming kerncompetenties binnen de eigen organisatie in stand houdt. Daarmee is zij in staat om de dienstverlener adequaat aan te sturen en te controleren en in het uiterste geval de rechtstreekse leiding over de uitbestede activiteit over te nemen. Zij wijst organisatie-eenheden of personen aan die verantwoordelijk zijn voor de controle op en het beheer van iedere uitbesteding.

6. Managementinformatie

Uitbesteding mag de directie niet belemmeren bij de aansturing en bewaking van de activiteiten van de financiële onderneming. De financiële onderneming bewaakt dan ook de met de uitbesteding gepaard gaande operationele en concentratierisico's doorlopend. De risicomanagementfunctie verzamelt en rapporteert ten minste eens per kwartaal managementinformatie.

Aan de hand van de managementinformatie is het hoogste management in staat de operationele risico's verbonden aan alle uitbestede werkzaamheden op effectieve wijze te beheersen.

7. Kwaliteit van de overeenkomst

Iedere uitbesteding aan een derde is vastgelegd in een schriftelijke overeenkomst. In de overeenkomst wordt de uit te besteden activiteit duidelijk omschreven. Daarnaast wordt de rapportageverplichtingen van de dienstverlener gespecificeerd. Bij uitbesteding van materiële activiteiten neemt de financiële onderneming in de overeenkomst een clausule op die beëindiging en opzegging regelt. Daarmee is het voor een financiële onderneming mogelijk om de uitbestede activiteiten bij een andere dienstverlener onder te brengen of intern te beleggen.

8. Business continuity management

Uitbestede materiële activiteiten vormen onderdeel van het beheer van de continuïteitsmaatregelen (business continuity management) van de financiële onderneming. Dit houdt in dat er zowel bij de dienstverlener als bij de financiële onderneming continuïteitsmaatregelen zijn genomen, waaronder een exitplanning, mogelijk in samenwerking met andere financiële ondernemingen. Daarnaast houdt dit in dat de continuïteitsmaatregelen periodiek worden getoetst, waar nodig met de actieve betrokkenheid van de dienstverlener.

9. Kritische data

Wanneer er bij de financiële onderneming voor bepaalde gegevens regels inzake vertrouwelijkheid gelden, waarborgt de dienstverlener de vertrouwelijkheid van de gegevens op minimaal hetzelfde niveau. De financiële onderneming neemt de bescherming van kritische data in haar risicobeoordeling mee. In de overeenkomst worden ook clausules inzake gegevensbescherming opgenomen. De financiële onderneming bewaakt de toegang van de dienstverlener tot kritische data, bijvoorbeeld aan de hand van beveiligingslogs of andere controlemiddelen.

10. Service level reports

De financiële onderneming vergewist zich dat de uitbestede diensten blijven voldoen aan de prestatie- en kwaliteitsnormen die bij interne uitvoering zouden gelden. De financiële onderneming bewaakt en beoordeelt de toereikendheid van de dienstverlening doorlopend, zodat de benodigde herstelmaatregelen tijdig kunnen worden genomen. Een dergelijke beoordeling maakt gebruik van een combinatie van kwantitatieve en kwalitatieve 'key performance indicators' en wordt gebaseerd op recent van de dienstverlener verkregen operationele gegevens.

11. Assurancerapporten

De overeenkomst bevat de verplichting voor de dienstverlener om regelmatig assurance inzake zijn stelsel van interne beheersing te verschaffen. Dit kan op basis van een audit, namens de financiële onderneming bij de dienstverlener uit te voeren. Of de dienstverlener kan een assurancerapport verstrekken dat door een onafhankelijke 'assurance provider' is gecertificeerd. We verwachten dat ook uitbestede activiteiten binnen de reikwijdte vallen van een eventuele interne auditfunctie.