AFM waarschuwt financieel dienstverleners voor risico’s uitbesteding

AFM waarschuwt financieel dienstverleners voor risico’s uitbesteding
© Pixabay

Bij een uitvraag onder een kleine 250 financieel dienstverleners – zowel adviseurs en bemiddelaars als kredietaanbieders – ontdekte de AFM een aantal zwakheden in de manier waarop bedrijfsactiviteiten worden uitbesteed. Dit kan onacceptabele risico’s opleveren, voor de onderneming en ook voor de klanten van de onderneming, waarschuwt de toezichthouder.

Gemiddeld maken financieel dienstverleners voor hun werk gebruik van meer dan vier externe partijen, serviceproviders, aan wie ze taken uitbesteden. Meer dan 50% van de uitbestedingen is ICT-gerelateerd. Zoals applicatiebeheer, beheer van infrastructuur, hosting, netwerkdiensten en software as a service. Daarnaast worden ook in veel gevallen bedrijfsprocessen uitbesteed, zoals debiteurenbeheer.

Zwakheden
Uit de verkenning kwam een aantal zwakheden naar voren in de beheersing van risico’s. Zo was er bij 11% van de onderzochte externe uitbestedingen geen sprake van een getekend contract. Bij 70% van de uitbestedingen was geen risicoanalyse uitgevoerd – de hoogte van het risico speelde geen rol in dit percentage. En in bijna 5% bleken service levels niet te worden gemonitord door de financieel dienstverlener. Hierdoor bestaat het risico dat de financieel dienstverlener niet op de hoogte is van incidenten bij de serviceprovider. De AFM heeft 27 incidenten aangetroffen die geen van alle gemeld zijn bij de AFM, ondanks de wettelijke meldingsplicht.

Aandachtspunten
Om de beheersing van risico’s te verbeteren heeft de AFM een aantal aandachtspunten voor dienstverleners opgesteld.

  • Maak duidelijke afspraken met de serviceprovider over de omgang met incidenten, zodat direct actie kan worden ondernomen naar aanleiding van een incident.
  • Maak duidelijke afspraken met de serviceprovider over de verantwoordelijkheden en verplichtingen van beide partijen, leg deze schriftelijk vast in een contract en laat beide partijen tekenen.
  • Analyseer risico’s voor het aangaan van een uitbesteding, maar ook regelmatig gedurende de uitbesteding en neem de benodigde maatregelen om de risico’s tot een aanvaardbaar niveau terug te brengen.

 

GEEN REACTIES