De Nederlandsche Bank, afgekort DNB, vraagt verzekeraars en pensioenfondsen de kwaliteit van hun ingevulde SBA NFR te vergroten. In veel gevallen is meer onderbouwing nodig, of moeten instellingen hun antwoorden meer onderbouwen. Dit kan er na verificatie toe leiden dat het risicoprofiel moet worden aangepast. Ook is het mogelijk dat een (vervolg)onderzoek wordt gestart. Daarnaast is het belangrijk dat pensioenfondsen en verzekeraars ervoor zorgen dat de beheersing van hun ICT uitbestedingen tijdig voldoet aan de DORA eisen, die op 17 januari 2025 van toepassing worden.
DNB heeft voor vier onderdelen van de vragenlijst verbeteringen geformuleerd:
*governance, gedrag & cultuur alsmede beheersing risicomanagement
*beheersing financiële risico’s
*informatiebeveiliging
*beheersing uitbestedingsrisico’s
Uitvraag governance, gedrag & cultuur en beheersing risicomanagement
DNB heeft de verificatie uitgevoerd door bij de geselecteerde verzekeraars specifieke relevante documentatie op te vragen die de gegeven antwoorden in de vragenlijst moet ondersteunen/onderschrijven en heeft daarnaast bij alle betrokken verzekeraars een gesprek gevoerd. De uitkomst van de uitgevoerde verificatie laat zien dat de antwoorden op vragen over de onderdelen interne governance, gedrag & cultuur en beheersing risicomanagement niet in alle gevallen een realistisch beeld gaven van de werkelijke situatie bij de onderzochte instellingen.
De volgende generieke observaties komen voort uit de verificatie:
*De onderzochte instellingen hebben in de vragenlijst ingevuld dat alle vereiste sleutelfuncties zijn ingericht en adequaat werken, maar hebben dat niet in alle gevallen kunnen aantonen.
*De onderzochte instellingen hebben in de vragenlijst ingevuld dat de RvC een voldoende kritische rol vervult en tijdig wordt betrokken in strategische besluitvormingsprocessen, maar hebben dat niet in alle gevallen kunnen aantonen.
*Een aantal van de onderzochte instellingen hebben in de vragenlijst ingevuld dat de besluitvorming plaatsvindt conform het zogenaamde BoB model (Beeldvorming, Oordeelsvorming, Besluitvorming), maar hebben dat niet kunnen onderbouwen.
DNB zal dit deel van de vragenlijst voor SII basic verzekeraars opnieuw tegen het licht houden omdat een aantal items niet passend zijn voor de context van een SII basic verzekeraar.
Uitvraag beheersing financiële risico’s
DNB heeft de verificatie uitgevoerd door bij de geselecteerde verzekeraars specifieke documentatie op te vragen die de gegeven antwoorden in de vragenlijst moet ondersteunen/onderschrijven, eventueel aangevuld met een toelichtend gesprek. De uitkomst van de uitgevoerde verificatie was dat de antwoorden op vragen over de beheersing van financiële risico’s niet in alle gevallen een realistisch beeld gaven van de werkelijke situatie bij de onderzochte verzekeraars.
De volgende generieke observaties komen voort uit de verificatie:
*De onderzochte instellingen hebben in de vragenlijst ingevuld dat er een periodieke risicomanagementrapportage wordt opgesteld, maar hebben dat niet in alle gevallen kunnen onderbouwen.
*De onderzochte instellingen hebben in de vragenlijst ingevuld dat een actueel schriftelijk beleid (inclusief risicobereidheid) voor alle te onderscheiden financiële risicogebieden beschikbaar is, maar hebben dat niet in alle gevallen kunnen aantonen.
*De onderzochte instellingen hebben in de vragenlijst ingevuld dat schriftelijke evaluaties over de beheersing van financiële risico’s zijn vastgelegd, maar hebben dat niet in alle gevallen kunnen onderbouwen.
Uitvraag informatiebeveiliging
De uitvraag informatiebeveiliging die de pensioenfondsen en verzekeraars hebben ingevuld als onderdeel van de SBA IB 2023 is gebaseerd op de 58 controls uit de Good Practice Informatiebeveiliging 2019/2020 van DNB. DNB heeft een verificatie uitgevoerd door bij een selectie van pensioenfondsen en verzekeraars door middel van het opvragen van documentatie en onderzoek ter plaatse te toetsen hoe de antwoorden op het self-assessment tot stand zijn gekomen, op basis van welke onderbouwing en hoe de instellingen de volwassenheidsniveaus interpreteren. De desbetreffende instellingen hebben een mondelinge en schriftelijke terugkoppeling van de uitkomsten van de verificatie ontvangen.
De volgende observaties komen voort uit de verificatie:
*Uit de verificatie blijkt dat sommige instellingen een verschillende interpretatie hebben van de volwassenheidsniveaus en dat enkele instellingen hun volwassenheidsniveaus op het gebied van informatiebeveiliging te optimistisch rapporteren.
*Het is DNB opgevallen dat de eerdergenoemde interpretatieverschillen vooral zien op het verschil tussen de volwassenheidsniveaus ‘3’ en ‘4’ zoals genoemd in de Good Practice Informatiebeveiliging. Daarnaast is aantoonbaarheid van de werking van beheersmaatregelen een aandachtspunt, waarbij het belangrijk is dat de controls aantoonbaar voor ten minste zes maanden werken voordat er sprake kan zijn van een volwassenheidsniveau ‘3’. Voor het volwassenheidsniveau ‘4’ komt daar nog bij dat de control aantoonbaar geëvalueerd moet zijn in de context van het gehele stelsel aan beheersmaatregelen.
Uitvraag operationeel risicomanagement – onderdeel beheersing uitbestedingsrisico’s
DNB heeft bij een selectie van pensioenfondsen en verzekeraars een verificatie uitgevoerd op het onderdeel beheersing van uitbestedingsrisico’s in de uitvraag operationeel risicomanagement. Deze verificatie omvatte een documentatieverzoek inclusief een vragenlijst met betrekking tot een door DNB geselecteerde kritieke uitbesteding van de geselecteerde instelling alsmede door een onderzoek ter plaatse. De desbetreffende instellingen hebben een mondelinge en schriftelijke terugkoppeling van de uitkomsten van de verificatie ontvangen. De uitkomsten van de uitgevoerde verificatie over de beheersing van uitbestedingsrisico’s laten zien dat de antwoorden niet in alle gevallen een realistisch beeld gaven over de daadwerkelijke situatie bij de instellingen.
De volgende generieke observaties komen voort uit de verificatie:
*Een aantal van de onderzochte instellingen heeft geen compleet beeld van hun uitbestedingsketens.
*De onderzochte instellingen hebben niet in alle gevallen contracten die compliant zijn met bestaande relevante wet- en regelgeving. Regelmatig zien we dat raamcontracten met de hoofddienstverlener/PUO niet worden doorgezet naar de contracten met hun onderaannemers.
*Bij een aantal onderzochte instellingen heeft DNB gezien dat assurance rapportages ontoereikend zijn voor de afgenomen dienstverlening qua diepgang en scope. Voornamelijk ontbreekt er assurance over onderaannemers.
Het merendeel van de onderzochte instellingen heeft nog veel werk te verrichten met betrekking tot het informatieregister dat voor DORA met de toezichthouder dient te worden gedeeld.
DNB benadrukt dat het onvoldoende zicht houden op de onder uitbestedingen en risicobeheersing binnen kritieke uitbestedingsketens kan leiden tot onverwachte verstoringen of disruptie van kritieke bedrijfsprocessen, diefstal of verlies van kritieke of vertrouwelijke data. DNB vindt het belangrijk dat instellingen hun volledige kritieke uitbestedingsketens in beeld hebben en zorgen dat de beheersingsmaatregelen bij de dienstverleners in deze ketens voldoen aan hun eigen beleidskaders.
Daarnaast is het belangrijk dat pensioenfondsen en verzekeraars ervoor zorgen dat de beheersing van hun ICT uitbestedingen tijdig voldoet aan de DORA eisen, die op 17 januari 2025 van toepassing worden.
Belang van SBA NFR
DNB maakt in haar toezichtmethodologie gebruik van informatie aangeleverd door instellingen om te komen tot risicoscores. Dit betreft enerzijds kwantitatieve informatie gerelateerd aan financiële risico’s en anderzijds meer kwalitatieve informatie over beheersing van financiële risico’s en over niet-financiële risico’s. Een bron voor de kwalitatieve informatie vormen de vragenlijsten van de SBA NFR. Om te komen tot risicoscores die passend zijn bij het feitelijke risicoprofiel van de instelling, is het van belang dat de ingevulde vragenlijsten een realistisch beeld geven van de werkelijke situatie. DNB benadrukt dat het bestuur eindverantwoordelijk is voor de inhoudelijke juistheid van de ingevulde vragenlijsten.