Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018

Vergelijkbare documenten
[Naam verzekeraar] [Adres] Geachte [..],

Beoordelingskader Informatiebeveiliging DNB

Uitbesteding & Good Practice

ACIS-Symposium Uitbesteding publiekrechtelijk kader. 17 mei 2019 Pien Kerckhaert

Good Practice DNB: uitbestedingen onder de loep Praktische handvatten om uitbestedingen beheersbaar te houden

IT Beleid Bijlage R bij ABTN

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Symposium Uitbesteding & Cloud computing. De Nederlandsche Bank. Amsterdam, 14 juni 2012

Seminar Uitbesteding ACIS. Jan Broekhuizen 17 mei 2019

ENQUÊTE CLOUD- EN HOSTINGPROVIDERS Nederland versus Europa

Uitbestedingsbeleid 2015

Good Practice. Uitbesteding Verzekeraars

Masterclass. Uitbesteden / Outsourcing

Resultaten 2 e Cloud Computing onderzoek in Nederland. Alfred de Jong Principal Consultant Manager Architectuur & Innovatie Practice

MKB Cloudpartner Informatie TPM & ISAE

Databeveiliging en Hosting Asperion

2014 KPMG Advisory N.V

Welkom bij Interconnect. Maartje van Alem Marketing Manager

White paper. Toezicht op outsourcing bij financiële instellingen wordt omvangrijker. Juli 2019

Risico management 2.0

Visie op co-sourcing

Data en Applicatie Migratie naar de Cloud

Inholland DC à Cloud Huub Oude Groen Robert Beudeker Manager IT Operations Solution Architect

J.H. van den Berg. Versie 1.0 Mei 2011

Adding value to test tooling Hoe en waarom DevOps de wereld van performance testen verandert

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Uw IT, onze business

Dé cloud bestaat niet. maakt cloud concreet

BUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren.

Directe investeringen Investeren buiten traditionele financiële markten

Uitbesteding in de pensioensector:

De crisis en Outsourcing. Business as usual or change of roads

Stop met procesgericht ICT-beheer. Betere resultaten door eigen verantwoordelijkheid

SYNERGY HRM 3.0. Henke Willemsen Justus van Hoegee

Zwaarbewolkt met kans op neerslag

DNB Pensioenseminar. Parallelsessie Beleggingen. 21 september 2011

Het succes van samen werken!

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

De as a Service dienstverlening in het Nederlandse ICT landschap in kaart gebracht.

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Uitbestedingsbeleid, bijlage 4 ABTN Stichting Pensioenfonds F. van Lanschot

COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

Risicomanagementfunctie

Hans Kennis 18 & 20 september Het optimale bedrijfsmodel

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

RiskTransparant, deel 2. De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control

1 Dienstbeschrijving all-in beheer

UITBESTEDINGSBELEID STICHTING SPORTFONDSEN PENSIOENFONDS CONCEPT 11 APRIL 2019

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

Visie en Strategie van pensioenfondsen: voorbereid op de toekomst!

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Inleiding Wat is twin datacenter? Waarom implementeren organisaties twin datacenter oplossingen? Business Continuity Management (BCM)

Vragenlijst. Voor uw potentiële Cloud Computing-leverancier

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;

Academy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding.

Partnering Trust in online services AVG. Vertrouwen in de keten

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

ICT-Risico s bij Pensioenuitvo ering

Even voorstellen. Ervaringen met het NBAvolwassenheidsmodel. Rijksbrede onderzoeken naar de sturing en beheersing van IB

Gedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde.

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

15 redenen om een Vendor Management Systeem te selecteren

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Portfoliomanagement software van Thinking Portfolio

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Bijlage 2 bij de circulaire NBB_2019_19

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

IT Performance Barometer Jaarlijks IT performance onderzoek.

Generieke gemeentelijke Infrastructuur modellen. Naar de Cloud

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

Stichting Achmea Algemeen Pensioenfonds

Gegevensbescherming & IT

Hoe migreer je naar de Cloud. Wilbert van Beek Directeur

Cloudsourcing & Forensic Readiness. Over verwachtingen, transparantie en samenwerking. Platform voor Informatiebeveiliging! Uit de serie in the cloud!

Van PTT ( Putje graven Tentje bouwen Tukje doen ) naar Professioneel Asset Management van Telecom Infrastructuur

10 trends in Performance testen of: wat hebben we écht te bieden?

Intern Toezicht: Amsterdam, 15 juni Divisiedirecteur Toezicht Pensioenfondsen en. beleggingsondernemingen. Olaf Sleijpen

Profiteer van veranderende technologieën

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Uitbestedingsbeleid. - Uitbestedingsrelatie: de onderneming aan wie het fonds heeft uitbesteed.

Intro ISO. Finance. Wie zijn wij? Producten. Programma

ITIL V3. een kennismaking. C.A. van der Eem

Waarom Cloud? Waarom nu? Marc Gruben April 2015

ICT uitbesteden. Veilig en zeker.

Hoe gebruiken professionele serviceproviders architectuur voor een optimale, toekomstvaste deal? Landelijk Architectuur Congres 2010 Martin van den

PQR Lifecycle Services. Het begint pas als het project klaar is

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

RISICOMANAGEMENT IN DE PRAKTIJK

2e2 Group BV. Dynomic BV Ronald Verweij Business Line Manager Date: 28 September 2006 Location: Bilthoven

Hoe belangrijk is het verschil tussen public en private cloud in de praktijk?

EIGEN RISICO BEOORDELING (ERB) IORP II JASPER HOOGENSTRAATEN 27 SEPTEMBER 2018

Smart Industry 4.0. Edwin van Rensch/Eric Megens

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

To cloud or not to cloud

Transcriptie:

Uitbesteding & Uitbestedingsrisico s Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018

Agenda Agenda Het onderzoek Uitbesteding Opzet en doel Resultaten Inherent risico Beheersing van het uitbestedingsrisico Concentratierisico Vervolgstappen Evaluatie beheersing uitbestedingsrisico s Good practices / sectorbrief Digitaal loket Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 2

Ingrid Talsma Toezichthouder verzekeraars en pensioenfondsen Expertisecentrum Operationele & IT risico s Aandachtsgebied Uitbesteding / IT-risico / Cloud / Informatiebeveiliging Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 3

Uitbesteding Uitbesteding Activiteiten die een verzekeraar door een andere organisatie laat uitvoeren Wettelijke eisen Uitbestedingsbeleid; zonder beleid geen uitbesteding Risicoanalyse voor elke uitbesteding Recht van onderzoek door DNB, auditrecht voor verzekeraar Exit bepaling- en plan / Noodplan (BCM) Voorwaarden waaronder de serviceprovider verder mag uitbesteden Verzekeraar blijft verantwoordelijk Verzekeraar dient inzicht te hebben in beheersing Cloud is een vorm van uitbesteding Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-201824-05-2018 4

Kansen én Risico s Uitbesteding Belangrijkste drijfveren voor uitbesteding? Toegang tot (technologische) kennis Kostenreductie en -beheersing Focus op kerncompetenties Flexibiliteit Verwachting hogere kwaliteit dienstverlening Schaalvoordeel informatiebeveiliging Tegenover deze voordelen staan financiële- en reputatierisico s Continuiteit en betrouwbaarheid bedrijfsvoering in gevaar door Contractbreuk Financiële problemen serviceprovider Ongewenste omgang met vertrouwelijke gegevens Geleverde kwaliteit niet volgens afspraak Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 5

Het onderzoek Het onderzoek; doel en opzet Doel: DNB beoogt meer inzicht te krijgen in Inherent risico: de mate waarin uitbesteding plaatsvindt & soort uitbesteding Intern beheersingsrisico: het niveau van de beheersing van het uitbestedingsrisico Concentratierisico: concentraties bij serviceproviders Scope: uitbesteding van materiële / kritische activiteiten naar externe dienstverleners en de volledige keten van onderuitbestedingen van deze dienstverleners tot en met de laatste schakel van de keten; de opslag van data Aanpak: self assesment Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 6

Resultaten Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 7

Uitbestedingsratio Inherent risico Uitbestedingsratio Inherent risico 19% 17% 15% 13% 11% 9% 7% 5% 2014 2015 2016 2017 2018 2019 Deelnemende verzekeraars Deelnemende verzekeraars gewogen op technische voorziening Uitbestedingsratio = uitbestedingskosten / operationele kosten Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 8

Inherent risico Wat wordt er zoal uitbesteed? Inherent risico ICT uitbesteding Datacenter services (1) Applicatiebeheer Infrastructurele services Kantoorautomatisering: documentverwerking, email Technisch beheer: firewall, netwerk, monitoring Applicatieontwikkeling Business proces uitbesteding Claims- en klachtenafhandeling: schade-afhandeling (2) Vermogensbeheer Verzekeringsadministratie Financiële administratie Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 9

Inherent risico neemt toe Inherent risico Percentage uitbesteding is de afgelopen jaren redelijke stabiel gebleven (20%) Uitbesteding verandert van aard: meer materieel en meer naar de cloud (25% van de gerapporteerde contracten) Het aantal meldingen van cloud uitbesteding bij DNB in 2017 is verdubbeld ten opzichte van 2016 Uitbestedingsketens veranderen Langere ketens, meer schakels (modulariteit) Beheersing over de hele keten complexer Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 10

Kwart uitbesteding in Cloud 7,9% Inherent risico 74,5% 25,5% 17,1% 75,0% Geen cloud Cloud SAAS PAAS IAAS Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 11

Beheersingsrisico Beheersingpercentages per onderwerp Beheersing Beleid uitbestedingsproces Beleidskader Serviceprovider selectieproces Monitoring (managementinformatie) Serviceprovider evaluatieproces Inhoud contract (wettelijke eisen) Deelnemende verzekeraars Business continuiteit management Data gevoeligheid (toegang) Service level rapportage Assurance Totaal 0% 25% 50% 75% 100% Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 12

Beheersing van de risico s die aan uitbesteden zijn verbonden onvoldoende; ruimte voor verbetering (1) Beheersing Uitbestedingen worden niet structureel centraal geregistreerd Een deel van de verzekeraars heeft onvoldoende inzicht in de eigen concentratierisico s Zicht en grip op hele keten van (onder)uitbesteding is nodig om uitbestedingsrisico s te kunnen beheersen Directies ontvangen niet op reguliere basis managementinformatie over uitbestedingen (30%) Evaluatie van dienstverleners (35%) behoeft verbetering Uitbestedingen worden niet met een vastgestelde frequentie en aanpak geëvalueerd Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 13

Beheersing van de risico s die aan uitbesteden zijn verbonden onvoldoende; ruimte voor verbetering (2) Beheersing 25% van de gerapporteerde contracten voldoet niet aan de eisen die worden gesteld aan een uitbestedingsovereenkomst Wettelijke verplichte contractclausules ontbreken; exit-clausule, onderzoeksrecht voor DNB, auditrecht verzekeraar en extern auditor e.a. Inrichting Business Continuity Management onvoldoende (35%) Activiteiten uitgevoerd door serviceproviders worden niet structureel meegenomen in uitwijkplannen en -testen Er is onvoldoende zekerheid (assurance) beschikbaar over de kwaliteit van geleverde diensten door serviceproviders (50%). Er zijn contracten zonder assurancerapport en eigen audits worden niet altijd uitgevoerd De service level rapportages stellen de verzekeraar ook niet altijd in staat om de kwaliteit van de dienst afdoende vast te stellen (30%) Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 14

Beheersingpercentage Uitbestedingsratio en beheersingsrisico Beheersing 90% Deelnemende verzekeraars 80% 70% 60% 50% 40% 30% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Uitbestedingsratio 2016 Uitbestedingsratio = uitbestedingskosten / operationele kosten Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 15

Beheersingpercentage Uitbesteding en beheersing de veel-uitbesteders 90% Beheersing 80% 70% 60% 50% 40% 30% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Uitbestedingsratio 2016 Hoge afhankelijkheid van derden Risicobeheersing nadrukkelijk van belang! Business proces uitbesteding: extra aandacht voor evaluatie van de serviceprovider en exit-planning Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 16

Beheersingpercentage Uitbesteding en beheersing de gemiddeld-uitbesteders 90% Beheersing 80% 70% 60% 50% 40% 30% 0% 20% 40% 60% 80% 100% Uitbestedingsratio 2016 Uitbestedingsratio grote verzekeraars rondom de 10%: aandeel van de kosten voor uitbesteding op de totale algemene operationele kosten van de verzekeraar Indien alleen IT uitbestedingen vs IT operationele kosten beschouwd, dan loopt de ratio op tot ca 20-25% Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 17

Beheersingpercentage Uitbesteding en beheersing de (nog) niet-zo-veel-uitbesteders 90% Beheersing 80% 70% 60% 50% 40% 30% Risico s liggen misschien niet voor de hand, maar pas op! Geen uitbesteding zonder beleid en risicoanalyse Weet aan welke wettelijke vereisten u moet voldoen Geldt voor alle verzekeraars groot of klein 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Uitbestedingsratio 2016 Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 18

Concentratierisico Gerapporteerde contracten van de grootste vijf verzekeraars Visualisatie van alle verzekeraars gaf accurater beeld, maar was niet passend op één plaatje. De pijlen lopen van de verzekeraars af = blauwe wolk (8); leven en schade separaat weergegeven Lange uitlopers met veel schakels (serviceproviders) door onderuitbesteding Aantallen bij de knooppunten (rood omcirkeld) zijn het aantal contracten bij een serviceprovider, inclusief onderuitbesteding door andere providers. Pijlen lopen naar een serviceprovider toe vanaf verzekeraars en vanaf andere serviceproviders. Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 19

Concentratierisico Concentratierisico Mede door het missen van een centrale registratie bij de verzekeraars ontbreekt een volledig beeld van de sector Grote serviceproviders zijn wel in beeld gekomen Top 10 wordt op dit moment aangevoerd door traditionele spelers (o.a. infrastructuur- en datacenterservices, applicatiebeheer) Daarop volgend een aantal nationale en mondiale cloudproviders Nog sprake van spreiding. Aandacht nodig voor analyse en monitoring van concentraties op instellingsniveau (bij herzien strategie) en op sectorniveau (toezichthouders) Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 20

Vervolgstappen Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 21

Vervolgstappen Vervolgstappen DNB DNB heeft de komende periode structureel aandacht voor de beheersing van het uitbestedingsrisico Wij werken aan een sectorbrief voor alle verzekeraars DNB bouwt aan een digitaal loket waar instellingen de meldplicht in nabije toekomst kunnen voldoen Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 12

Vervolgstappen Vervolgstappen verzekeraars U kunt uw scores t.o.v. de benchmark opvragen bij uw toezichthouder Evalueer de beheersing van het uitbestedingsrisico en neem indien nodig beheersingsmaatregelen Maak gebruik van de good practices. Consultatie concept Good practices Uitbesteding Verzekeraars op Open Boek DNB tot 1 juli 2018 (verlengd). Hierin wordt aandacht gegeven aan vijf fases van het uitbestedingsproces: 1. Uitbestedingsbeleid 2. Beleidskader en uitbestedingsovereenkomst 3. Selectie dienstverlener 4. Monitoring uitbesteding 5. Evaluatie uitbesteding Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 23

? Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 24

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback