Het uitbesteden van activiteiten biedt financiële marktpartijen tal van voordelen: kostenreductie, toegang tot specialistische expertise en meer focus op de eigen kerntaken. Toch gaat uitbesteding in de financiële sector ook gepaard met aanzienlijke risico’s.
Operationele fouten, datalekken of non-compliance door uitbestedingspartners kunnen leiden tot verstoringen in de bedrijfsvoering, financiële verliezen, reputatieschade en juridische claims. Mandaatoverschrijdingen, waarbij uitbestedingspartners handelen buiten hun bevoegdheden, vormen hierbij een extra risico. Daarom is effectieve grip op uitbesteding essentieel om risico’s te beheersen, compliance te waarborgen en het vertrouwen van klanten én toezichthouders te behouden.
Zorgvuldige monitoring van uitbesteding
Het recente rapport van de Autoriteit Financiële Markten (AFM) uit september 2024 en nieuwe uitbestedingseisen vanuit de Digital Operational Resilience Act (Dora), onderstrepen het belang van een gestructureerde aanpak. Hoewel veel financiële marktpartijen bekend zijn met de regulatoire vereisten voor risicoanalyses, due diligence en uitbestedingsovereenkomsten, benutten zij niet altijd het volledige potentieel van deze stappen.
Gedegen risicomanagement begint met een zorgvuldig selectieproces en grondig due diligence onderzoek dat zich richt op voor de financiële marktpartij belangrijke risico’s. Denk hierbij aan financiële, operationele, juridische en regulatoire risico’s, maar ook risico’s op het gebied van duurzaamheid. Dit onderzoek geeft een momentopname van de prestaties en risico’s van een potentiële uitbestedingspartner. Echter, omstandigheden kunnen veranderen. Nieuwe regelgeving, guidance van toezichthouders en wijzigingen in de operationele aanpak van een uitbestedingspartner kunnen nieuwe risico’s introduceren.
Een jaarlijkse compliance-verklaring van de uitbestedingspartner biedt vaak onvoldoende inzicht in hoe risico’s in processen daadwerkelijk worden beheerst en verplichtingen worden nagekomen. Daarom is doorlopende monitoring cruciaal. Dit houdt in dat financiële marktpartijen actief volgen hoe uitbestedingspartners afspraken naleven, en bedrijfscontinuïteit en regulatoire compliance borgen. Monitoring vraagt niet alleen om adequate informatievoorziening vanuit de uitbestedingspartner, maar ook om actieve betrokkenheid van de financiële marktpartij zelf, bijvoorbeeld via periodiek overleg. Zo kunnen risico’s tijdig worden gesignaleerd en aangepakt.
Contractvoorwaarden: standaard is niet genoeg
In de praktijk zien wij dat veel financiële marktpartijen uitbestedingsovereenkomsten onvoldoende benutten. In de praktijk wordt gewerkt met standaard documentatie en ontbreken vaak nog gedetailleerde afspraken in onderliggende documenten, zoals een service level agreement (SLA). Hierdoor worden kernverplichtingen niet altijd volledig vastgelegd, wat kan leiden tot problemen bij de handhaving van afspraken.
Een goede overeenkomst beschrijft deze verplichtingen en bevat expliciete bepalingen over monitoring, incidentbeheer en compliance, inclusief het recht op adequate monitoring en audits. Deze rechten en verplichtingen zijn essentieel om grip te houden op de tijdige signalering en beheersing van risico’s verbonden aan de uitbesteding en om voorbereid te zijn op vragen van toezichthouders.
Wet- en regelgeving schrijft bovendien specifieke waarborgen voor die in contracten moeten worden opgenomen, zoals voornoemde auditrechten, rapportageverplichtingen en afspraken over bedrijfscontinuïteit. Deze wettelijke eisen vormen echter slechts het vertrekpunt. Het is essentieel om deze regels te gebruiken als fundament voor het maken van specifieke en op maat gemaakte afspraken die aansluiten bij de aard van de uitbestede dienstverlening en de risico’s die daarbij horen. Zonder deze concrete invulling blijft een contract een lege huls, waardoor cruciale verplichtingen moeilijk afdwingbaar zijn en de risico’s voor de uitbestedende financiële marktpartij aanzienlijk kunnen toenemen.
De toekomst van uitbesteding
Het AFM-rapport benadrukt ook het belang van het aanwijzen van specifieke personen die de verantwoordelijkheid dragen voor het toezicht op uitbestedingspartners. Deze persoon of personen moeten toezien op naleving van afspraken, wijzigingen in risico’s signaleren en zorgen voor een actueel overzicht van de uitbestedingsrelaties. Gezien de uitdagingen die wij in de markt zien rondom adequate grip op uitbestedingsketens, is dit een goede ontwikkeling. Hiermee wordt niet alleen aan regelgeving voldaan, maar blijven risico’s beheersbaar en wordt escalatie voorkomen.
Dit sluit aan bij bredere trends in de financiële sector, waar steeds meer nadruk wordt gelegd op transparantie, grip en proactief risicomanagement met betrekking tot uitbestedingsrelaties. Zo ook onder Dora, waar van financiële marktpartijen wordt verwacht dat zij ICT-risicobeheer verder waarborgen. Daarbij moeten onder meer de (beheersing van) ICT-risico’s in uitbestede processen worden geïdentificeerd en gemonitord, en gedetailleerde aanvullende verplichtingen in overeenkomsten worden opgenomen.
Conclusie
Het beheersen van risico’s in uitbestedingsrelaties en investeringen vereist een strategische en geïntegreerde aanpak. Selectietrajecten en due diligence zijn een belangrijk begin, maar omdat omstandigheden kunnen veranderen, is doorlopende monitoring cruciaal.
Door duidelijke contractuele afspraken te maken en risico’s proactief te monitoren, kunnen financiële marktpartijen niet alleen grip houden op uitbestedingsrisico’s, maar ook het vertrouwen van toezichthouders en klanten behouden. Alleen met een dergelijke aanpak bent u écht in control.
Diederik van Nieuwkerk is director en Dirk-Jan Gerrits is partner bij AF Advisors. AF Advisors is deel van het expertpanel dat maandelijks een bijdrage voor Investment Officer schrijft.