Groei uitbesteding vraagt om nieuwe sector-brede afspraken
De Stichting Contactgroep Automatisering, CGA, heeft met instemming kennisgenomen van de 'Verkenning naar uitbestedingsrisico’s bij financieel dienstverleners' zoals de AFM die deze week heeft gepubliceerd. CGA pleit in reactie hierop om sector-brede afspraken te maken om de risico’s van uitbesteding te beperken.
Situatie bij middelgrote en grote financieel dienstverlenersOp basis van een onderzoek onder 246 middelgrote en grote financieel dienstverleners komt de AFM tot de conclusie dat binnen deze groep ondernemingen nog verbeteringen mogelijk zijn met betrekking tot het beheersbaar maken van risico’s die inherent zijn aan het uitbesteden van werkzaamheden door deze bedrijven.
Van uitbesteding is in de praktijk vooral sprake wanneer een organisatie besluit om bepaalde werkzaamheden die ondernemingen veelal zelf uitvoeren, door een andere onderneming te laten uitvoeren. Risico’s kunnen dan met name optreden als het gaat om uitbesteding van wezenlijke bedrijfsprocessen. Ernstige calamiteiten die hun oorsprong vinden buiten de financiële onderneming kunnen daardoor onder meer leiden tot discontinuïteit van de financiële onderneming, verlies van data en reputatieschade.
CGA: met uitbesteding neemt de kwetsbaarheid toe
Michael Mackaaij, voorzitter van de Stichting Contactgroep Automatisering: vooral processen binnen het domein van de IT worden op dit moment massaal uitbesteed. Simpelweg omdat bij de meeste ondernemingen de schaalgrootte en expertise ontbreken om deze werkzaamheden in eigen beheer uit te voeren. In de komende tijd zal deze vorm van uitbesteding alleen maar verder toenemen.
Michael Mackaaij vervolgt: de AFM wijst er terecht op dat deze groei in uitbesteding gepaard zou moeten gaan met extra aandacht voor maatregelen die de risico’s van uitbesteding beheersbaar moeten houden. Onder meer door een grotere transparantie rondom incidenten die op het gebied van de IT-plaatsvinden. De bewustwording dat de financiële onderneming wettelijk verplicht is deze incidenten te melden, is nog beperkt. Ook vind ik het ongewenst dat een cultuur ontbreekt, waarin men open is over calamiteiten die hebben plaatsgevonden. Het natuurlijke gedrag is het om deze “onder de pet te houden”. Door op deze gebieden open te zijn zorg je voor een “lerende bedrijfstak”. Zeker bij nieuwe ontwikkelingen waar iedereen met nieuwe en nog onbekende risico’s wordt geconfronteerd is een open instelling met betrekking tot het omgaan met calamiteiten en fouten belangrijk.
IT-serviceproviders zijn (nog) niet vergunningsplichtig
IT-serviceproviders zijn partijen waaraan veel financiële ondernemingen cruciale bedrijfsprocessen uitbesteden. Michael Mackaaij: zolang deze IT-serviceproviders alleen werkzaamheden uitvoeren in opdracht van een financiële onderneming zijn zij in de meeste gevallen niet zelfstandig vergunningsplichtig in het kader van de Wft. Dit betekent dat de AFM uitsluitend eisen kan stellen aan de vergunningsplichtige onderneming die van de diensten van deze IT-serviceproviders gebruikt maakt. Of dit zo blijft, is nog maar de vraag. Vanuit Europese regelgeving is er een druk de belangrijkste IT-serviceproviders toch onder het vergunningstelsel te brengen.
Problematiek speelt ook bij kleinere, financiële ondernemingen
Het door de AFM gehouden onderzoek heeft plaatsgevonden bij middelgrote en grote financiële ondernemingen. Michael Mackaaij: binnen deze bedrijven is bijna altijd sprake van een bepaald niveau aan eigen kennis op het gebied van IT en compliance. Dat uit het onderzoek blijkt dat op relevante gebieden ook bij dit type bedrijven de risico’s van uitbesteding nog onvoldoende onder controle zijn, kan het vermoeden rechtvaardigen dat de situatie bij de kleinere, financieel advieskantoren niet veel beter is.
Weliswaar zal de impact van discontinuïteit als gevolg van een calamiteit in het kader van uitbesteding op nationaal niveau beperkter zijn, dan dezelfde calamiteit bij een grote onderneming. Maar wanneer heel veel kleine kantoren gebruik maken van de diensten van dezelfde IT-serviceprovider en al deze kleinere ondernemingen gelijktijdig te maken krijgen met uitval van deze IT-serviceprovider, dan kan de impact op de Nederlandse samenleving toch fors uitpakken.
Extra protocollen en standaardisering
Nieuwe technieken dragen ook altijd nieuwe risico’s in zich, aldus Michael Mackaaij. Op dit moment vindt de innovatie binnen de financiële sector vooral plaats in het domein van de IT. De enorme investeringen die hiervoor nodig zijn, leiden onmiskenbaar tot een groei van uitbesteding en daarmee tot het risico van calamiteiten. De sector beschikt met Adfiz, DNB, HDN, NVGA, SIVI en het Verbond over waardevolle instituten die kunnen helpen processen verder te standaardiseren en bedrijfstak brede protocollen af te spreken. Dat is niet alleen in het belang van de grote ondernemingen, maar ook zeker in het belang van de duizenden, kleinere, financieel advieskantoren.
Als CGA zien wij de signalen die de AFM nu afgeeft als een extra stimulans om samen met de branche dit proces zo efficiënt mogelijk vorm te geven.
Geplaatst op 29-06-2021
< VorigeVolgende >
Share on: