Good Practice DNB: uitbestedingen onder de loep Praktische handvatten om uitbestedingen beheersbaar te houden

Vergelijkbare documenten
ACIS-Symposium Uitbesteding publiekrechtelijk kader. 17 mei 2019 Pien Kerckhaert

Good Practice. Uitbesteding Verzekeraars

Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018

[Naam verzekeraar] [Adres] Geachte [..],

Uitbestedingsbeleid 2015

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Seminar Uitbesteding ACIS. Jan Broekhuizen 17 mei 2019

Uitbesteding in de pensioensector:

Uitbesteding & Good Practice

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Uitbestedingsbeleid, bijlage 4 ABTN Stichting Pensioenfonds F. van Lanschot

IT Beleid Bijlage R bij ABTN

Beoordelingskader Informatiebeveiliging DNB

MEER GRIP OP UW BEDRIJFSVOERING IN EEN SNEL VERANDERENDE WERELD DAT TELT.

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde.

Compliance Charter. Pensioenfonds NIBC

Workshop Pensioenfondsen. Gert Demmink

Uitbestedingsbeleid. - Uitbestedingsrelatie: de onderneming aan wie het fonds heeft uitbesteed.

Uitbestedingsbeleid Vastgesteld en gewijzigd in de bestuursvergadering van 14 februari 2019

Guidance: uitbesteding door pensioenfondsen. Werken aan vertrouwen

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!

Inhoudsopgave. BLANCO SPACES ZUIDAS - 6TH FLOOR BARBARA STROZZILAAN HN AMSTERDAM T. +31 (0)

Zelfevaluatie Kwaliteitslabel Sociaal Werk

Investment Due Diligence Beleid

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord

Onderwerp Nadere guidance omtrent onderzoek IAD naar beheersing volmachten

Risicomanagement functie verzekeraars onder Solvency II

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

MKB Cloudpartner Informatie TPM & ISAE

Informatiebeveiligingsbeleid

Risk & Compliance Charter Clavis Family Office B.V.

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014

II. VOORSTELLEN VOOR HERZIENING

UITBESTEDINGSBELEID STICHTING SPORTFONDSEN PENSIOENFONDS CONCEPT 11 APRIL 2019

IORP II IMPLEMENTATIE RISK GOVERNANCE RONALD HAMAKER 27 SEPTEMBER 2018

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Symposium Uitbesteding & Cloud computing. De Nederlandsche Bank. Amsterdam, 14 juni 2012

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

REGLEMENT RISK- EN AUDITCOMMISSIE N.V. NEDERLANDSE SPOORWEGEN

Stichting Achmea Algemeen Pensioenfonds

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

PROFIELSCHETS. Philips Pensioenfonds NIET UITVOEREND BESTUURDER 1/5. Stichting Philips Pensioenfonds

Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart Algemeen

Charco & Dique. Trustkantoren. Risk Management & Compliance. DNB Nieuwsbrief Trustkantoren

ADVISIE SERVICE SOLUTIONS

Academy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding.

Risicomanagement functie verzekeraars onder Solvency II

REGLEMENT RAAD VAN TOEZICHT HOGESCHOOL LEIDEN

Functieprofiel sleutelfunctionarissen (zowel sleutelfunctiehouders als sleutelfunctievervullers)

Vrijstellingsregeling Wft. Grens vrijstelling van naar Aanbieders moeten een AFM-vergunning aanvragen voor 1 februari 2012

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

T: +31 (0) E: Geachte heer Dieleman, beste Anton en overige leden van het ACB, SCE en NBA,

Informatiebeveiliging voor overheidsorganisaties

NORMEN KWALITEITSLABEL SOCIAAL WERK

VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken

Wat zijn de risicomanagement eisen uit IORP II en wat is de bestuurlijke impact?

Samenvatting beloningsbeleid Datum: Versie: definitief

PQR Lifecycle Services. Het begint pas als het project klaar is

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

EIGEN RISICO BEOORDELING. Kompas voor risicosturing

DNB Pensioenseminar. Parallelsessie Beleggingen. 21 september 2011

Praktijkhandreiking 1119 Nadere toelichtingen in de controleverklaring 24 april 2012

Actualiteitendag Platform Deelnemersraden Risicomanagement

Meerwaarde Internal Audit functie. 16 maart 2017

Reglement auditcommissie NSI N.V.

Commitment without understanding is a liability

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

EIGEN RISICO BEOORDELING (ERB) IORP II JASPER HOOGENSTRAATEN 27 SEPTEMBER 2018

Werken aan vertrouwen. Guidance: uitbesteding door pensioenfondsen

NTA 8595 Beroepsprofiel Erkend Risicoadviseur

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Reglement Raad van Toezicht. Stichting Hogeschool Leiden CONCEPT ALGEMEEN

Concept Praktijkhandreiking 1119 Nadere toelichtingen in de goedkeurende controleverklaring

Planning toezichtthema s verzekeraars

Wat zijn de succescriteria voor een partnership?

Remuneratierapport 2014 Loyalis N.V.

Delo itte AS Amstelveen Postbus AD Amstelveen Nederland

TOETSTERMEN INHAAL-/PE-EXAMEN. Volmacht Overig. Bijlage E

Matrix Comply-or-Explain Code Banken 2017

Reglement audit committee

Informatiebeveiligingsbeleid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

Assurance rapport van de onafhankelijke accountant

CERTIFICERING NEN 7510

DATAKWALITEIT IN DE NEDERLANDSE VERZEKERINGSSECTOR

AANBEVELINGEN INZAKE DE UITBESTEDING VAN CLOUDDIENSTEN EBA/REC/2017/03 28/03/2018. Aanbevelingen. inzake uitbesteding aan aanbieders van clouddiensten

4204 REGELING INCIDENTEN KREDIETINSTELLINGEN EN VERZEKERAARS NEDERLANDSE STAATSCOURANT VAN 23 DECEMBER 2003 NR 248

Artikel 1. Reglement 1.1 Dit reglement is vastgesteld door het bestuur van Stichting Pensioenfonds Notariaat (SPN).

Berry Kok. Navara Risk Advisory

Directiestatuut. Waterleidingmaatschappij Drenthe

REGLEMENT AUDITCOMMISSIE RAAD VAN COMMISSARISSEN KWH Water B.V.

Directiestatuut N.V. Waterbedrijf Groningen

Transcriptie:

ADVISORY FACTSHEET Good Practice DNB: uitbestedingen onder de loep Praktische handvatten om uitbestedingen beheersbaar te houden Op 29 augustus 2018 zijn door De Nederlandsche Bank (DNB) de Good Practices ten aanzien van uitbestedingen door verzekeraars gepubliceerd. Deze Good Practices zijn het resultaat van de sectorbrede uitvraag die door de DNB is uitgevoerd naar uitbestedingen in de financiële sector. De voornaamste reden dat DNB dit onderwerp onder de loep neemt, is risicobeheersing van uitbesteedde diensten. Vanuit de gedachte dat het uitbesteden van (bedrijfskritische) onderdelen ertoe leidt dat de uitvoerders van het werk (de serviceproviders) verder weg komen te staan van de verzekeraar waardoor adequate risicobeheersing een uitdaging wordt. Door het uitbrengen van de Good Practice hoopt DNB een kwaliteitsslag te maken op dit terrein. U bent als uitbesteder eindverantwoordelijk voor (de kwaliteit van) de uitbesteding. Deze gedachte is de basis voor de manier waarop DNB het beheersen van uitbestedingen benadert. Het uitbesteden van uw (bedrijfskritische) dienstverlening betekent dus niet dat u daarmee uw verantwoordelijkheid kwijt bent. Echter, gezien het feit dat door uitbesteding de werkzaamheden uitgevoerd worden door derden, ontstaan hier de volgende vraagstukken: X X Hoe weet ik dat de dienstverlening kwalitatief goed is? X X Hoe waarborg ik dat de dienstverlener niet handelt in strijd met de normen en waarden zoals ik die zelf met uw organisatie nastreef? X X Hoe weet ik dat ik de juiste dienstverlener heb gekozen? Welke risico s loopt mijn organisatie door de uitbesteding? Wat doe ik wanneer ik afscheid wil nemen van een dienstverlener? nieuwe perspectieven

2 VAN 6 Met dit document reiken we u handvatten aan voor een gestructureerde implementatie van de Good Practice. Hiermee kunt u de uitbestedingsrelaties en het bijbehorende uitbestedingsproces aantoonbaar beheersen. Algemeen De Good Practice heeft betrekking op belangrijke, kritieke uitbestedingen. Volgens de Good Practice zijn dit uitbestedingen die een materiële impact hebben of van wezenlijk belang zijn voor de uitvoering van de eigen dienstverlening. Dit is een vrij brede reikwijdte, waarin DNB een nuance aanbrengt door onderscheid te maken tussen uitbestedingen en verzekeraars. Een voorbeeld hiervan is de mogelijkheid voor Basic-verzekeraars om met andere maatregelen te volstaan dan grote verzekeraars. Een ander voorbeeld is de toepassing van het proportionaliteitsbeginsel; verzekeraars maken eigen afwegingen over welke maatregel past bij een specifieke situatie. Tot slot kunt u deze Good Practice weliswaar gebruiken bij de uitbesteding van kritieke of belangrijke (sleutel)functies, maar biedt de Good Practice geen handvatten specifiek gericht op de beheersing van die functies. De Good Practice definieert vijf fasen in het uitbestedingsproces: Evaluatie uitbesteding Monitoring uitbesteding Selectie dienstverlener Uitbestedingsbeleid Governance en uitbestedingsovereenkomst Per fase schrijft DNB Good Practices voor, deze worden onderstaand nader toegelicht. 1 Uitbestedingsbeleid 1.1 Het uitbestedingsbeleid Het uitbestedingsbeleid bevat minimaal: De wijze waarop u rekening houdt met het effect van uitbesteding op uw bedrijfsvoering. Alle fasen uit het uitbestedingsproces (incl. selectie en selectiecriteria). Hoe de uitbesteding in de strategie past. Welke risico s er ontstaan en hoe u die beheerst. Doelstelling en scope uitbesteding (incl. randvoorwaarden en overwegingen om te beëindigen). De directie accordeert het beleid. Dit onderdeel van de Good Practice wordt grotendeels ondervangen door de Solvency II-richtlijn 274(1). In de markt zien we dan ook dat een uitbestedingsbeleid over het algemeen aanwezig is. Vanuit de Good Practice is het nu ook mogelijk hier het proportionaliteitsbeginsel op toe te passen. Dit betekent dat het beleid dient aan te sluiten bij uw organisatie. Als u bijvoorbeeld slechts beperkt uitbesteedt (en deze uitbestedingen betreffen geen kritische diensten) dan kunt u volstaan met een beperkt beleid. Van belang hierin is het uitvoeren van een risicoanalyse. Het uitvoeren van een dergelijke analyse maakt het mogelijk een juiste inschatting te maken van de risico s die u loopt en dus of het proportionaliteitsbeginsel van toepassing kan zijn voor de bewuste uitbesteding. 1.2 Definiëren uitbestedingsstrategie Onze visie is dan ook om te starten met een risicoanalyse (i.c.m. proportionaliteit), zodat u de basis legt voor een gedegen uitbestedingsbeleid. Na het uitvoeren van de risicoanalyse, is het mogelijk een op risico gebaseerde uitbestedingsstrategie te definiëren om uw doelstellingen te behalen. Tevens worden hierin ook de risico s en de beheersing van de risico s vermeld. Ook voor deze Good Practice geldt dat het proportionaliteitsbeginsel voor u van toegevoegde waarde kan zijn. Door de toepassing van dit beginsel sluit de risicoanalyse aan bij de aard en omvang van uw organisatie en de uitbestedingen waar de Good Practice betrekking op heeft.

3 VAN 6 1.3 Betrekken medewerkers in proces 1.4 Uitbestedingsrichtlijnen- en procedures versus het beleid 1.5 Uitvoeren materialiteitsassessment Dit onderdeel van de Good Practice kan ons inziens ondervangen worden door het inrichten van een uitbestedingsteam waarin taken en verantwoordelijkheden duidelijk gecommuniceerd zijn. Het uitbestedingsteam (zie 1.3) stelt uitbestedingsrichtlijnen en procedures op, die aansluiten bij het beleid en communiceert deze richting alle medewerkers van de verzekeraar. Deze procedures kunnen integraal onderdeel uitmaken van de AO/IB-beschrijving van de verzekeraar. De verzekeraar voert, per (voorgenomen) uitbesteding, een materialiteitsassessment uit waarbij de volgende criteria gehanteerd worden: Het kritisch karakter en profiel van inherente risico s van de uit te besteden activiteit. Het operationele effect van onderbrekingen en de daarmee gepaard gaande juridische risico s en reputatierisico. Het effect dat een verstoring van de activiteit kan hebben op de verwachte inkomsten van de verzekeraar. Het effect dat een schending van vertrouwelijkheid, integriteit of beschikbaarheid van de gegevens kan hebben op de verzekeraar en haar polishouders. 1.6 Business continuity management Het doel van dit assessment is het bepalen van het risico en karakter van de voorgenomen uitbesteding om te bepalen of deze uitbesteding binnen de reikwijdte van de Good Practice valt. Een belangrijk onderdeel van de Good Practice is Business Continuity Management (BCM), dat bestaat uit de volgende onderdelen: Een BCM-beleid en -strategie (BCM-plannen). Het toetsen of de BCM-plannen en maatregelen in de keten op elkaar aansluiten. Het ontwikkelen en implementeren van exit- en overgangsplannen. Uitvoeren van scenarioanalyses en monitoring van de werking van de BCM-maatregelen. De verzekeraar richt het Business Continuity Management in op basis van het opgestelde BCMbeleid en -strategie. Omdat het gaat om een uitbesteding, dient zowel de dienstverlener als de verzekeraar continuïteitsmaatregelen in te richten (in de vorm van een BCM-plan). Tevens toetst de verzekeraar periodiek of de BCM-plannen en -maatregelen in de uitbestedingsketen op elkaar aansluiten en wat de effectiviteit van de maatregelen is. Indien een planning- en controlcyclus aanwezig is binnen uw organisatie (conform de Plan, Do, Check, Act -cyclus) bestaat de mogelijkheid om de toetsing van de BCM-plannen hierin op te nemen. 2 Governance en uitbestedingsovereenkomst 2.1 Voldoen aan wettelijke vereisten Het uitbestedingsbeleid waarborgt ten minste dat u voor uitbestede activiteiten blijvend voldoet aan alle wettelijke vereisten. Tevens biedt dit beleidskader de voorwaarden en vereisten waaronder mag worden uitbesteed en de grenzen waarbinnen verplichtingen mogen worden aangegaan. 2.2 Meldingsplicht Een verzekeraar meldt de uitbesteding bij DNB minimaal zes weken voor in productiename. Ook bij een fasegewijze of projectimplementatie. Deze meldingsplicht dient u ook in het beleid op te nemen. Daarnaast raden we aan deze meldingsplicht bij een verantwoordelijke (of team, zoals genoemd in 1.3) neer te leggen. 2.3 Taken, bevoegdheden en verantwoordelijkheden Een verzekeraar omschrijft de taken, bevoegdheden en verantwoordelijkheden en waarborgt dat voldoende deskundigheid binnen de verzekeraar aanwezig is om te voorkomen dat de verzekeraar niet langer voldoet aan relevante wet- en regelgeving bij het aangaan van uitbestedingsovereenkomsten, daaronder begrepen onderuitbesteding. Daarnaast richt u, als verzekeraar, een regieorganisatie in voor het monitoren van grotere uitbestedingen. Voor de invulling van deze Good Practice wordt tevens verwezen naar 1.3 en 2.2.

4 VAN 6 2.4 Gelijkwaardigheid beleid In het beleid dient u te waarborgen dat een bepaalde uitbesteding mogelijk is wanneer het beleid van de dienstverlener gelijkwaardig (of hoger) is aan het intern beleid van de verzekeraar ten aanzien van de onderwerpen informatiebeveiliging en Business Continuity Management (BCM), zodat er geen onacceptabele risico s bestaan. Ook hier ligt derhalve een duidelijke relatie met de risicoanalyse. Overigens kan de verzekeraar bij het ontbreken van een gelijkwaardig beleid ook kiezen voor alternatieve, mitigerende, (beheers)maatregelen (met als doel; het beheersen van de risico s). 2.5 Beleid en data De verzekeraar neemt in het beleid op dat zij de classificatie en beveiliging van data in haar risicobeoordeling meeneemt. 2.6 Inhoud uitbestedingsovereenkomst In de uitbestedingsovereenkomst dient u minimaal op te nemen: De geldigheidsduur en herzieningsfrequentie. Een omschrijving van de uit te besteden activiteit (incl. voorwaarden). Een specificatie van de onderlinge informatie-uitwisseling en de controle- en rapportageverplichtingen. Redenen voor eventuele beëindiging van de overeenkomst. De vermelding dat onderuitbesteding alleen is toegestaan als deze door uitbesteding niet aan het toezicht wordt onttrokken. Dat de dienstverlener de verzekeraar in kennis stelt van alle voorgenomen belangrijke wijzigingen van de in de oorspronkelijke overeenkomst genoemde onderaannemers of in onderuitbesteding gegeven services. Bepalingen voor het onderzoeksrecht voor de toezichthouders voor de hele keten. Bepalingen omtrent verwerken en eigendom data (AVG). 2.7 AVG Een verzekeraar is in staat de naleving van de AVG door de dienstverlener vast te stellen. Het niet naleven van de AVG en de gemaakt afspraken, kan voor een verzekeraar aanleiding zijn tot het beëindigen van de overeenkomst met de dienstverlener. 3 Selectie dienstverlener 3.1 Risicoanalyse Voordat de verzekeraar een dienstverlener selecteert, voert zij een op de uitbesteding gerichte risicoanalyse uit (incl. concentratierisico, juridisch risico en een due diligence-beoordeling). 3.2 Aspecten selectie De volgende aspecten komen minimaal aan bod bij de selectie van de dienstverlener: Financiële situatie dienstverlener (incl. belangenverstrengeling) Professionele achtergrond/expertise medewerkers dienstverlener Screening van medewerkers (antecedentenonderzoek) Omvang opdracht in relatie tot de omvang van de dienstverlener Geschillen/gerechtelijke procedures dienstverlener Reputatie van de dienstverlener Kwaliteit van onderaannemers Standaardcertificeringen, audit- en assurancerapporten Informatiebeveiligingsbeleid van de dienstverlener Continuïteitsbeleid van de dienstverlener Compliancebeleid van de dienstverlener Privacybeleid Incidentrapportage beleid van de dienstverlener Toepasselijk recht en land van vestiging dienstverlener Veiligheid van de gegevens Locatie van dataopslag, indien van toepassing Waarborgen uitoefening van toezicht

5 VAN 6 3.3 Selectieproces Het selectieproces kent drie hoofdaspecten: Processtappen Denk hierbij aan risicoanalyses, zoals beschreven in deze factsheet en de Good Practice (3.1); Selectiecriteria Op basis van deze criteria vraagt de verzekeraar om informatie van dienstverleners en zij maakt op basis hiervan een long list. Hieruit volgt een short list, op basis waarvan u de contractonderhandelingen voert. 3.4 Juridische aspecten Besluitvormingsproces Hetgeen leidt tot heldere mandaten voor de dienstverlener. Een verzekeraar laat de juridische aspecten van uitbestedingscontracten toetsen voordat de verzekeraar de contracten ondertekent. Daarom is het raadzaam om in het uitbestedingsteam tevens een jurist op te nemen. 4 Monitoring uitbesteding 4.1 Interne beheersing De directie van een verzekeraar houdt in haar risicomanagement- en interne controlesysteem rekening met de uitbestede activiteiten om de uitvoering te kunnen beoordelen en naleving van wet- en regelgeving te waarborgen. Dit doet de verzekeraar door op regelmatige basis controlewerkzaamheden uit te voeren op aantoonbare werking van interne controlemaatregelen ten aanzien van de uitbestedingsrisico s. Ook deze werkzaamheden kunnen door middel van een Plan Do Check Act -cyclus ingepland en uitgevoerd worden. 4.2 KRI s De verzekeraar bewaakt uitbestedingsrisico s (o.a. operationele en concentratierisico s) op continue basis en vergelijkt deze informatie met vastgelegde kritieke risico-indicatoren (KRI s). 4.3 Monitoring dienstverlener 4.4 Kennis en competenties Een verzekeraar richt monitoring in ten aanzien van de werking en effectiviteit van de controlemaatregelen van de dienstverlener. Een verzekeraar beschrijft de benodigde kennis en competenties om: de dienstverlener tegenwicht te geven; KPI-, assurance- en SLA-rapportages goed te kunnen beoordelen. Bij voorkeur worden deze competenties opgenomen in het uitbestedingsteam. 4.5 Risicomanagement De risicomanagementfunctie verzamelt, aggregeert en rapporteert de informatie over de uitbestedingen minimaal per kwartaal en rapporteert hierover aan de directie. Hiertoe ontvangt de verzekeraar op reguliere basis - rechtstreeks van de onderaannemer of via de hoofddienstverlener - informatie over onder-uitbestedingen. 4.6 Uitbestedingsregister 4.7 Service Level Agreement (SLA) Een verzekeraar houdt een centrale registratie bij met informatie van de activiteiten die zij uitbesteedt. Dit register bevat de gegevens van alle uitbestedingsrelaties, inclusief relevante onderuitbestedingen. Indien mogelijk legt u in het register ook vast welke afspraken u met dienstverleners heeft gemaakt en monitort u deze afspraken realtime. In een Service Level Agreement (SLA) legt een verzekeraar afspraken vast over de overeengekomen prestaties tussen de verzekeraar en de dienstverlener. Daarbij legt de verzekeraar detailwerkafspraken vast in een Document Afspraken en Processen (DAP). Tevens ligt in de SLA vast hoe de dienstverlener vormgeeft aan de uitvoering van het contract en hoe het prestatiemanagement plaatsvindt. Een verzekeraar vergewist zich ervan dat de uitbestede services blijvend voldoen aan de afgesproken prestatie- en kwaliteitsnormen aan de hand van service level-rapportages. Tot slot laat de verzekeraar de kritieke performance indicatoren (KPI s) in de SLA aansluiten bij de doelen uit het uitbestedingsbeleid. Monitoring van deze aspecten in het register (zie 4.6) is mogelijk. 4.8 Assurance In het uitbestedingscontract met de dienstverlener maakt de verzekeraar de afspraak dat de dienstverlener regelmatig assurance (ISAE 3402 type II en/of SOC 2/3) levert over het stelsel van haar interne beheersing. Indien geen of beperkte assurance door de dienstverlener verleend kan worden, voert de verzekeraar eigen audits uit. Een jaarlijkse ISAE 3402 Type II-rapportage is gebruikelijk in de markt.

6 VAN 6 5 Evaluatie uitbesteding 5.1 Evaluatie Een verzekeraar evalueert periodiek, maar minimaal jaarlijks, het beleid en documenteert/communiceert de uitkomst hiervan. Deze evaluatie dient aan te sluiten bij de aanpak zoals opgenomen in het beleid. 5.2 Periodiciteit evaluatie 5.3 Multidisciplinair team Materiële uitbestedingen (op basis van het materialiteitsassessment) evalueert de verzekeraar minimaal jaarlijks. Daarbij gaat het onder andere om het behalen van de gemaakte performance- en resultaatafspraken en het evalueren van grote wijzigingen die zich bij de dienstverlener voordoen. Deze evaluatie leidt tot een besluit op het juiste managementniveau om de uitbesteding te continueren, bij te stellen of te beëindigen. Een verzekeraar wijst organisatie-eenheden of personen aan die verantwoordelijk zijn voor de controle, het beheer en de evaluatie van de uitbesteding. De verzekeraar geeft hierbij de voorkeur aan realisatie in multidisciplinair verband (zie tevens 1.3). 5.4 Evaluatie beleid Een verzekeraar toetst de oorspronkelijke business case van uitbesteding aan haar beleid en evalueert haar eigen beleid. Meer weten? De specialisten van BDO vertellen graag waar u in uw specifieke situatie rekening mee moet houden. Wij kunnen u helpen bij een integrale aanpak, waarbij kwaliteit altijd voorop staat. Belangrijk daarbij is het op een pragmatische wijze voldoen aan relevante wet- en regelgeving, zoals de Good Practicesuitbestedingen. Wij bereiken dit met ons multidisciplinaire team, waarin onder andere specialisten op het gebied van uitbestedingen, Solvency II en juridisch vlak zijn vertegenwoordigd. Voor meer informatie of een vrijblijvende afspraak kunt u contact opnemen met: Geertje Strampel Partner Risk Advisory Services T +31 (0)30 284 97 81 M +31 (0)6 287 71 581 E geertje.strampel@bdo.nl Bram van den Elshout Manager Risk Advisory Services T +31 (0)30 284 98 39 M +31 (0)6 181 94 152 E bram.van.den.elshout@bdo.nl 11/2018 AD1840 Deze publicatie is zorgvuldig voorbereid en tot stand gekomen, maar is in algemene bewoordingen gesteld en bevat alleen informatie van algemene aard. Deze publicatie bevat geen advies voor concrete situaties, zodat uitdrukkelijk wordt afgeraden om zonder advies van een deskundige op basis van de informatie in deze publicatie te handelen, na te laten of besluiten te nemen. Voor het verkrijgen van een advies dat is toegesneden op uw concrete situatie, kunt u zich wenden tot BDO Advisory B.V. of een van haar adviseurs. BDO Advisory B.V., de met haar gelieerde partijen en haar adviseurs aanvaarden geen aansprakelijkheid voor schade die het gevolg is van handelen, nalaten of het nemen van besluiten op basis van de informatie in deze publicatie. BDO is een op naam van Stichting BDO te Amsterdam geregistreerd merk. In deze publicatie wordt BDO gebruikt ter aanduiding van de organisatie die onder de merknaam BDO actief is op het gebied van de professionele dienstverlening (accountancy, belastingadvies en advisory). BDO Advisory B.V. is lid van BDO International Ltd, een rechtspersoon naar Engels recht met beperkte aansprakelijkheid, en maakt deel uit van het wereldwijde netwerk van juridisch zelfstandige organisaties die onder de naam BDO optreden. BDO is de merknaam die wordt gebruikt ter aanduiding van het BDO-netwerk en van elk van de BDO Member Firms.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback