‘Voorkom als commissaris een black box’
Financiële instellingen besteden steeds meer diensten en processen uit aan derde partijen. De salarisadministratie, cloudopslag of klantenservices zijn hier slechts enkele voorbeelden van. Met de toename in outsourcing stijgt ook het aantal risico’s. Wat zijn die risico’s en hoe kunnen financiële instellingen deze beheersen? Welke rol moet een commissaris pakken rondom dit thema?
Bram van den Elshout is Manager Risk Advisory Services bij BDO en heeft jarenlange ervaring met risicobeheersing, procesinrichting en standaarden op het gebied van uitbesteding. Uitbesteding van processen en diensten door een financiële instelling is op zich geen nieuw fenomeen. Toch krijgt dit de laatste tijd steeds meer aandacht. Van den Elshout: ‘Het staat inderdaad al jarenlang op de agenda. Toch zie ik dat de laatste tijd er steeds meer wordt uitbesteed. Dat hangt samen met de belangrijkste redenen om diensten of processen uit te besteden: kostenreductie, flexibiliteit, effectiviteit en technologische ontwikkelingen. Om welke reden een financiële instelling een uitbesteding aangaat, verschilt enigszins per subsector.’
Kostenreductie en flexibiliteit
Voor de bankensector geeft Van den Elshout hier een voorbeeld van. ‘Banken en betaalinstellingen zitten momenteel echt met een veranderend businessmodel. Om rendabel te blijven, moeten zij veranderen, zo is de gedachte. Een van de keuzes die ze daarin maken, is uitbesteding. Ze willen zorgen dat ze bij de core business blijven en de overige (ondersteunende) processen zetten ze buiten de deur. Dus kostenreductie is een belangrijke reden. Flexibiliteit is dat ook. De financiële sector als geheel verandert heel snel. Om flexibel te blijven, wordt er dan al snel gekozen om iets uit te besteden.’ Ook technologie kan een belangrijke reden zijn voor uitbesteding. ‘Wat je ziet, is dat er veel technologische start-ups komen, partijen die slimme dingen doen op een andere manier. Financiële instellingen besteden steeds vaker uit naar organisaties die de technologie hebben die zij zelf niet in huis hebben’, aldus van den Elshout.
Verantwoordelijkheid blijft
Bij de toename van outsourcing komt ook een groter aantal risico’s kijken. Om wat voor risico’s gaat het precies? Van den Elshout: ‘Het ligt er maar net aan wat voor dienst of proces er uitbesteed is. Bij cloudopslag moet je al snel denken aan datalekken of gevoeligheden op privacyvlak. Maar bij het uitbesteden van de salarisadministratie komt ook een financieel risico kijken. Regelmatig ontstaat ook een reputatierisico. Door het uitbesteden van processen en/of diensten kunnen fouten of onjuistheden bij de serviceorganisatie de reputatie van de gebruikersorganisatie schaden.’ Als het ergens fout gaat bij een partij waaraan een financiële instelling diensten of processen heeft uitbesteed, betekent dat niet dat de instelling zelf geen blaam treft. Van den Elshout: ‘Met uitbesteding gaat de verantwoordelijkheid voor de uitvoering van die diensten en processen niet weg. Als ik uitbesteed aan een externe partij, moet ik ervoor zorgen dat wat die partij doet of hetgeen ik ontvang aan services, diensten of producten goed is. Zo kan ik er voor zorgen dat de partijen waar naar uitbesteed is, beschikken over de juiste en toereikende certificaten en standaarden zoals ISAE 3402 en dat er processen zijn ingericht die daarop toezien. Maar ik ben en blijf eindverantwoordelijk.’
Richtlijnen en good practices
Voor de controle op uitbesteding zijn verschillende standaarden en richtlijnen waar financiële instellingen gebruik van kunnen maken. ‘De ISAE 3402 is een internationale standaard die specifiek gericht is op financiële stromen. Er zijn ook Service Organization Control Reports (SOC), zoals de SOC 2-rapportage die toeziet op IT-serviceorganisaties. Dan moet je denken aan zaken als clouduitbesteding, waar een minder direct verband met financiële risico’s zit maar meer met technologie. Ook zijn er vanuit toezichthouders als DNB en de European Banking Authority (EBA) richtlijnen en good practices uitgebracht, voor bijvoorbeeld banken en verzekeraars. Vanuit toezichthoudersperspectief komt er dus ook steeds meer aandacht voor goede wet- en regelgeving, zodat financiële instellingen de risico’s in kaart kunnen brengen, monitoren en beheersen.’
Commissaris moet doorvragen
In hoeverre kan een commissaris toezien op de interne beheersing van outsourcingsactiviteiten? Volgens van den Elshout moet hij bij het begin beginnen: ‘Ik denk dat een commissaris kan starten met het bevragen van het bestuur over welke uitbestedingen de organisatie heeft en welke risico’s daarbij aanwezig zijn. Als je het hebt over banken en betaalinstellingen; de nieuwe uitbestedingsrichtlijn vanuit de EU schrijft voor dat er een contractenregister aanwezig moet zijn waarin alle contracten opgenomen zijn en dat er een risicoanalyse wordt uitgevoerd op elke kritische uitbesteding. Ik denk dat zoiets nog onvoldoende gebeurt binnen financiële instellingen. Hier ligt een hele mooie rol voor een commissaris om hier goed op door te vragen.’
Rol van de commissaris
Wat kan de commissaris concreet aangrijpen om op door te vragen? ‘Een commissaris kan bijvoorbeeld aan het bestuur vragen hoe het contractenregister is opgesteld, of er kennis is opgedaan van de good practices en de nieuwe uitbestedingsrichtlijn en hoe hiermee om wordt gegaan. Als deze inventarisatie er is, zou het mooi zijn als er een periodieke rapportagevorm komt waarin de uitbestedingen staan, de resultaten van de risicoanalyses die hierop gevoerd zijn en welke risico’s zijn toe- of afgenomen. Het bestuur kan een commissaris hiermee blijvend informeren. Het is eigenlijk continue monitoring van je uitbestedingsportefeuille. Daar wil je naartoe als financiële instelling.’
Voorkom het gevaar van de black box
Van den Elshout benadrukt dat in de praktijk deze ideale situatie vaak nog niet aanwezig is bij financiële instellingen. ‘Het is een complex speelveld. Er zijn bijvoorbeeld ook sub-serviceorganisaties, vergelijkbaar met onderaannemers in de bouw. Als je bijvoorbeeld een dienst hebt uitbesteed aan een salarisadministrateur, die zelf zijn IT-dienstverlening weer uitbesteedt. Door deze onder-uitbestedingen loopt het aantal uitbestedingsrisico’s voor financiële instellingen snel op. Daarom is het ook zo belangrijk dat er een bepaalde mate van assurance gevraagd wordt en dat dit alles vastgelegd wordt in het contractenregister.’ Een andere reden is dat financiële instellingen nog meer op hun bordje hebben liggen. ‘Er zijn financiële instellingen die andere processen momenteel niet op orde hebben en dit snel in orde moeten krijgen. Hoeveel prioriteit ligt er dan bij het in kaart brengen van uitbestedingsrisico’s? Zolang die risico’s ook niet erg zichtbaar worden, is de nood soms minder hoog, zo wordt gedacht.’
Niemand weet wat er in black box zit
Toch is het juist dit probleem dat een commissaris volgens van den Elshout onder de aandacht moet brengen bij het bestuur. ‘Geef bij het bestuur aan dat er al veel reparatiewerkzaamheden verricht zijn doordat dingen in het verleden niet op orde waren. Benadruk dat uitbestedingen niet het volgende item moet worden waarop reparatie nodig is. Stap één is weten wat er uitbesteed is door het vormen van een contractenregister. Als dit overzicht er is, kan een commissaris ook de discussie aangaan over de risico’s die uitbestedingen met zich meebrengen. Maar nu is het vaak nog een black box, niemand weet precies wat erin zit. Ik denk dat daar juist het grootste gevaar zit.'
==
Meer informatie
Heeft u naar aanleiding van dit artikel vragen of wenst u meer informatie? Neem dan contact op met Bram van den Elshout, Manager Risk Advisory Services bij BDO, via bram.van.den.elshout@bdo.nl of +31 (0)6 181 941 52.