Uitbesteding & Uitbestedingsrisico s Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018
Agenda Agenda Het onderzoek Uitbesteding Opzet en doel Resultaten Inherent risico Beheersing van het uitbestedingsrisico Concentratierisico Vervolgstappen Evaluatie beheersing uitbestedingsrisico s Good practices / sectorbrief Digitaal loket Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 2
Ingrid Talsma Toezichthouder verzekeraars en pensioenfondsen Expertisecentrum Operationele & IT risico s Aandachtsgebied Uitbesteding / IT-risico / Cloud / Informatiebeveiliging Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 3
Uitbesteding Uitbesteding Activiteiten die een verzekeraar door een andere organisatie laat uitvoeren Wettelijke eisen Uitbestedingsbeleid; zonder beleid geen uitbesteding Risicoanalyse voor elke uitbesteding Recht van onderzoek door DNB, auditrecht voor verzekeraar Exit bepaling- en plan / Noodplan (BCM) Voorwaarden waaronder de serviceprovider verder mag uitbesteden Verzekeraar blijft verantwoordelijk Verzekeraar dient inzicht te hebben in beheersing Cloud is een vorm van uitbesteding Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-201824-05-2018 4
Kansen én Risico s Uitbesteding Belangrijkste drijfveren voor uitbesteding? Toegang tot (technologische) kennis Kostenreductie en -beheersing Focus op kerncompetenties Flexibiliteit Verwachting hogere kwaliteit dienstverlening Schaalvoordeel informatiebeveiliging Tegenover deze voordelen staan financiële- en reputatierisico s Continuiteit en betrouwbaarheid bedrijfsvoering in gevaar door Contractbreuk Financiële problemen serviceprovider Ongewenste omgang met vertrouwelijke gegevens Geleverde kwaliteit niet volgens afspraak Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 5
Het onderzoek Het onderzoek; doel en opzet Doel: DNB beoogt meer inzicht te krijgen in Inherent risico: de mate waarin uitbesteding plaatsvindt & soort uitbesteding Intern beheersingsrisico: het niveau van de beheersing van het uitbestedingsrisico Concentratierisico: concentraties bij serviceproviders Scope: uitbesteding van materiële / kritische activiteiten naar externe dienstverleners en de volledige keten van onderuitbestedingen van deze dienstverleners tot en met de laatste schakel van de keten; de opslag van data Aanpak: self assesment Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 6
Resultaten Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 7
Uitbestedingsratio Inherent risico Uitbestedingsratio Inherent risico 19% 17% 15% 13% 11% 9% 7% 5% 2014 2015 2016 2017 2018 2019 Deelnemende verzekeraars Deelnemende verzekeraars gewogen op technische voorziening Uitbestedingsratio = uitbestedingskosten / operationele kosten Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 8
Inherent risico Wat wordt er zoal uitbesteed? Inherent risico ICT uitbesteding Datacenter services (1) Applicatiebeheer Infrastructurele services Kantoorautomatisering: documentverwerking, email Technisch beheer: firewall, netwerk, monitoring Applicatieontwikkeling Business proces uitbesteding Claims- en klachtenafhandeling: schade-afhandeling (2) Vermogensbeheer Verzekeringsadministratie Financiële administratie Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 9
Inherent risico neemt toe Inherent risico Percentage uitbesteding is de afgelopen jaren redelijke stabiel gebleven (20%) Uitbesteding verandert van aard: meer materieel en meer naar de cloud (25% van de gerapporteerde contracten) Het aantal meldingen van cloud uitbesteding bij DNB in 2017 is verdubbeld ten opzichte van 2016 Uitbestedingsketens veranderen Langere ketens, meer schakels (modulariteit) Beheersing over de hele keten complexer Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 10
Kwart uitbesteding in Cloud 7,9% Inherent risico 74,5% 25,5% 17,1% 75,0% Geen cloud Cloud SAAS PAAS IAAS Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 11
Beheersingsrisico Beheersingpercentages per onderwerp Beheersing Beleid uitbestedingsproces Beleidskader Serviceprovider selectieproces Monitoring (managementinformatie) Serviceprovider evaluatieproces Inhoud contract (wettelijke eisen) Deelnemende verzekeraars Business continuiteit management Data gevoeligheid (toegang) Service level rapportage Assurance Totaal 0% 25% 50% 75% 100% Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 12
Beheersing van de risico s die aan uitbesteden zijn verbonden onvoldoende; ruimte voor verbetering (1) Beheersing Uitbestedingen worden niet structureel centraal geregistreerd Een deel van de verzekeraars heeft onvoldoende inzicht in de eigen concentratierisico s Zicht en grip op hele keten van (onder)uitbesteding is nodig om uitbestedingsrisico s te kunnen beheersen Directies ontvangen niet op reguliere basis managementinformatie over uitbestedingen (30%) Evaluatie van dienstverleners (35%) behoeft verbetering Uitbestedingen worden niet met een vastgestelde frequentie en aanpak geëvalueerd Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 13
Beheersing van de risico s die aan uitbesteden zijn verbonden onvoldoende; ruimte voor verbetering (2) Beheersing 25% van de gerapporteerde contracten voldoet niet aan de eisen die worden gesteld aan een uitbestedingsovereenkomst Wettelijke verplichte contractclausules ontbreken; exit-clausule, onderzoeksrecht voor DNB, auditrecht verzekeraar en extern auditor e.a. Inrichting Business Continuity Management onvoldoende (35%) Activiteiten uitgevoerd door serviceproviders worden niet structureel meegenomen in uitwijkplannen en -testen Er is onvoldoende zekerheid (assurance) beschikbaar over de kwaliteit van geleverde diensten door serviceproviders (50%). Er zijn contracten zonder assurancerapport en eigen audits worden niet altijd uitgevoerd De service level rapportages stellen de verzekeraar ook niet altijd in staat om de kwaliteit van de dienst afdoende vast te stellen (30%) Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 14
Beheersingpercentage Uitbestedingsratio en beheersingsrisico Beheersing 90% Deelnemende verzekeraars 80% 70% 60% 50% 40% 30% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Uitbestedingsratio 2016 Uitbestedingsratio = uitbestedingskosten / operationele kosten Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 15
Beheersingpercentage Uitbesteding en beheersing de veel-uitbesteders 90% Beheersing 80% 70% 60% 50% 40% 30% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Uitbestedingsratio 2016 Hoge afhankelijkheid van derden Risicobeheersing nadrukkelijk van belang! Business proces uitbesteding: extra aandacht voor evaluatie van de serviceprovider en exit-planning Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 16
Beheersingpercentage Uitbesteding en beheersing de gemiddeld-uitbesteders 90% Beheersing 80% 70% 60% 50% 40% 30% 0% 20% 40% 60% 80% 100% Uitbestedingsratio 2016 Uitbestedingsratio grote verzekeraars rondom de 10%: aandeel van de kosten voor uitbesteding op de totale algemene operationele kosten van de verzekeraar Indien alleen IT uitbestedingen vs IT operationele kosten beschouwd, dan loopt de ratio op tot ca 20-25% Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 17
Beheersingpercentage Uitbesteding en beheersing de (nog) niet-zo-veel-uitbesteders 90% Beheersing 80% 70% 60% 50% 40% 30% Risico s liggen misschien niet voor de hand, maar pas op! Geen uitbesteding zonder beleid en risicoanalyse Weet aan welke wettelijke vereisten u moet voldoen Geldt voor alle verzekeraars groot of klein 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Uitbestedingsratio 2016 Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 18
Concentratierisico Gerapporteerde contracten van de grootste vijf verzekeraars Visualisatie van alle verzekeraars gaf accurater beeld, maar was niet passend op één plaatje. De pijlen lopen van de verzekeraars af = blauwe wolk (8); leven en schade separaat weergegeven Lange uitlopers met veel schakels (serviceproviders) door onderuitbesteding Aantallen bij de knooppunten (rood omcirkeld) zijn het aantal contracten bij een serviceprovider, inclusief onderuitbesteding door andere providers. Pijlen lopen naar een serviceprovider toe vanaf verzekeraars en vanaf andere serviceproviders. Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 19
Concentratierisico Concentratierisico Mede door het missen van een centrale registratie bij de verzekeraars ontbreekt een volledig beeld van de sector Grote serviceproviders zijn wel in beeld gekomen Top 10 wordt op dit moment aangevoerd door traditionele spelers (o.a. infrastructuur- en datacenterservices, applicatiebeheer) Daarop volgend een aantal nationale en mondiale cloudproviders Nog sprake van spreiding. Aandacht nodig voor analyse en monitoring van concentraties op instellingsniveau (bij herzien strategie) en op sectorniveau (toezichthouders) Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 20
Vervolgstappen Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 21
Vervolgstappen Vervolgstappen DNB DNB heeft de komende periode structureel aandacht voor de beheersing van het uitbestedingsrisico Wij werken aan een sectorbrief voor alle verzekeraars DNB bouwt aan een digitaal loket waar instellingen de meldplicht in nabije toekomst kunnen voldoen Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 12
Vervolgstappen Vervolgstappen verzekeraars U kunt uw scores t.o.v. de benchmark opvragen bij uw toezichthouder Evalueer de beheersing van het uitbestedingsrisico en neem indien nodig beheersingsmaatregelen Maak gebruik van de good practices. Consultatie concept Good practices Uitbesteding Verzekeraars op Open Boek DNB tot 1 juli 2018 (verlengd). Hierin wordt aandacht gegeven aan vijf fases van het uitbestedingsproces: 1. Uitbestedingsbeleid 2. Beleidskader en uitbestedingsovereenkomst 3. Selectie dienstverlener 4. Monitoring uitbesteding 5. Evaluatie uitbesteding Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 23
? Uitbesteding & Uitbestedingsrisico's - Ingrid Talsma - DNB PUBLIC 24-05-2018 24