Het laten voldoen van uitbestedingcontracten aan Solvency II is geen rocket science, maar vraagt wel om de nodige aandacht. Hierbij een aantal concrete handreikingen.
Waar bij de banken de Basel II-implementatietrajecten aflopen, draaien verzekeraars momenteel overuren om Solvency II voor eind 2012 geïmplementeerd te krijgen. Solvency II is wetgeving gericht op het verbeteren van het risicomanagement binnen verzekeraars en het bieden van betere bescherming van polishouders. Hiertoe stelt de wet eisen aan het kapitaal dat aangehouden moet worden om niet in problemen te komen tijdens economisch zware tijden (pijler 1), de kwaliteit van de interne besturing en beheersing (pijler 2) en meer transparantie in de communicatie naar de toezichthouder en markt (pijler 3).
Deze drie onderwerpen zijn vertaald in wetteksten waaraan voldaan moet worden. Indien de verzekeraar geen ict- of bedrijfsprocessen heeft uitbesteed, dan kan de verzekeraar volstaan met het vertalen van de wettelijke in interne beheersmaatregelen. Indien de verzekeraar activiteiten heeft uitbesteed, dan moeten twee activiteiten aan het project worden toegevoegd. Dat is het voldoen aan specifieke eisen gesteld aan Solvency II (met name artikel 49) en het vertalen van interne beheersmaatregelen naar eisen en controls naar een framework waarmee de leverancier kan worden aangestuurd.
Specifieke eisen aan uitbesteding
Voordat ik in ga op de specifieke eisen die aan uitbesteding gesteld worden is het belangrijk om op te merken dat momenteel alleen de eisen op het hoogste niveau zijn uitgewerkt (zogenaamde level 1). Deze eisen worden nu op een getrapte wijze verder uitgewerkt in meer detail (level 2 tot en met level 4). Zorg daarom sowieso voor het inbouwen van voldoende flexibiliteit in uitbestedingcontracten om aanvullende eisen op te nemen zonder het hele contract open te hoeven breken.
Op dit hoogste detailniveau ziet het lijstje met specifieke eisen voor outsourcing er zo uit:
– De verzekeraar blijft volledig verantwoordelijk voor het voldoen aan Solvency II. Kortom, de verzekeraar komt niet weg met het wijzen naar de leverancier indien die niet voldoet aan de wet.
– De verzekeraar dient over schriftelijke beleidslijnen te beschikken met betrekking tot uitbesteden en deze toe te passen.
– Uitbesteden mag geen negatieve invloed hebben op de kwaliteit van het governance-systeem. Kortom, goede regie over de leverancier is key.
– Uitbesteden mag geen negatieve invloed hebben op operationele risico's. Kortom, stel het operationeel risicoprofiel vast voordat er uitbesteed wordt en zorg dat er voldoende mechanismen zijn om het operationeel risicoprofiel bij de leverancier bij te kunnen sturen.
– Uitbesteden mag geen negatieve invloed hebben op het vermogen van de toezichthoudende autoriteiten om te controleren of de verzekeraar haar verplichtingen nakomt. Hiertoe behoort ook de eis van de toezichthouder om toegang te hebben tot de locatie van de leverancier. Kortom, het kan voorkomen dat een toezichthouder in een vliegtuig naar India wil kunnen stappen om daar toezichtactiviteiten te verrichten.
– Uitbesteden mag geen negatieve invloed hebben op de continuïteit en toereikendheid van de dienstverlening.
– De verzekeraar informeert de toezichthouder vóór de uitbesteding van kritieke of belangrijke functies of werkzaamheden. Daarnaast wil de toezichthouder op de hoogte gehouden worden van wezenlijke veranderingen in het contract.
Het lijkt een relatief eenvoudig lijstje, maar het richting de toezichthouder kunnen aantonen dat aan de eisen wordt voldaan vraagt toch om enig denkwerk. Daarnaast zullen niet alle (buitenlandse) leveranciers staan te springen om een Nederlandse toezichthouder over de vloer te krijgen.
Vertalen van interne beheersingsmaatregelen
Als een (deel van) een bedrijfsproces of ict-systemen worden uitbesteed, dan moeten die blijven voldoen aan de eisen gesteld door Solvency II. De meest eenvoudige manier is het opleggen van het eigen interne control framework aan de leverancier. Dit is echter ook de meest dure oplossing, omdat de leverancier dan geen gebruik kan maken van de eigen processen en best practices rondom risicomanagement. Ook met een standaard SAS70/ISAE 3402 kom je er niet, omdat de scope daarvan niet overeenkomt met de eisen die gesteld worden door Solvency II.
Zonder teveel in detail te willen treden, de volgende aanbevelingen om een en ander in goede banen te leiden:
– Bepaal voor de uitbestede activiteiten een ‘Solvency II-risicoprofiel'. Sommige bedrijfsactiviteiten en ict-systemen zullen nauwelijks geraakt worden door Solvency II, terwijl andere processen volledig doordrenkt zullen zijn met Solvency-controls.
– Differentieer op basis van het risicoprofiel de zwaarte van het control framework. Denk aan een ‘bronze' aanpak voor activiteiten met een laag risicoprofiel en een zilveren en gouden framework voor kritieke processen.
– Vertaal de bronzen, zilveren en gouden aanpakken in concrete control-maatregelen en -eisen. Zet relatief lichte maatregelen in voor brons (bijvoorbeeld rapportages, due diligence op policies, leunen op control framework van leverancier) en zet zwaardere maatregelen in bij het uitbesteden van meer risicovolle activiteiten (bijvoorbeeld voorschrijven van controls, third party audits, controle op naleven van policies door leverancier).
Op deze manier kunnen schaarse tijd en middelen optimaal ingezet worden om bestaande en geplande uitbestedingcontracten te laten voldoen aan Solvency II. Het is geen rocket science, maar zeker het vertalen in interne beheersingsmaatregelen naar een control framework voor de leverancier vraagt toch wel om de nodige aandacht.
@Dhr Zielemans
En hoe zit het met de zg. “Data Breach” wetgeving die eraan zit te komen ?
http://www.google.nl/#hl=nl&q=data+breach+europe&fp=3f7edbc2c3b801e0
Stel je eens voor dat een outsourcingpartner van een verzekeringsmaatschappij medische gegevens van patienten worden gestolen of gekopieerd. Wie is er dan uiteindelijk aansprakelijk ? Wordt in dat geval de verzekeringsmaatschappij ingelicht of ook de verzekerden ?
@ IT’er
De toezichthouder/wetgever zal de partij die uitbesteed (de verzekeraar in dit geval) aansprakelijk stellen. Een organisatie die moet voldoen aan bepaalde wet- en regelgeving kan die verantwoordelijkheid nooit uitbesteden. Hetzelfde geldt voor de zorgplicht richting de klanten van de verzekeraar. Indien een leverancier data ‘verliest’ dan is het de verantwoordelijkheid van de verzekeraar om de getroffen klanten te informeren/schadeloos te stellen.
In procedures (die vervolgens geaudit kunnen worden op naleving)kan daarnaast afgesproken worden in welke gevallen de leverancier de verzekeraar dient te informeren en op welke wijze.