Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Uitbesteden met Solvency II in je broekzak

02 augustus 2010 - 07:035 minuten leestijdOpinieFinanciële dienstverlening
drs.ing. François Zielemans
drs.ing. François Zielemans

Het laten voldoen van uitbestedingcontracten aan Solvency II is geen rocket science, maar vraagt wel om de nodige aandacht. Hierbij een aantal concrete handreikingen.

Waar bij de banken de Basel II-implementatietrajecten aflopen, draaien verzekeraars momenteel overuren om Solvency II voor eind 2012 geïmplementeerd te krijgen. Solvency II is wetgeving gericht op het verbeteren van het risicomanagement binnen verzekeraars en het bieden van betere bescherming van polishouders. Hiertoe stelt de wet eisen aan het kapitaal dat aangehouden moet worden om niet in problemen te komen tijdens economisch zware tijden (pijler 1), de kwaliteit van de interne besturing en beheersing (pijler 2) en meer transparantie in de communicatie naar de toezichthouder en markt (pijler 3).

Deze drie onderwerpen zijn vertaald in wetteksten waaraan voldaan moet worden. Indien de verzekeraar geen ict- of bedrijfsprocessen heeft uitbesteed, dan kan de verzekeraar volstaan met het vertalen van de wettelijke in interne beheersmaatregelen. Indien de verzekeraar activiteiten heeft uitbesteed, dan moeten twee activiteiten aan het project worden toegevoegd. Dat is het voldoen aan specifieke eisen gesteld aan Solvency II (met name artikel 49) en het vertalen van interne beheersmaatregelen naar eisen en controls naar een framework waarmee de leverancier kan worden aangestuurd.

Specifieke eisen aan uitbesteding

Voordat ik in ga op de specifieke eisen die aan uitbesteding gesteld worden is het belangrijk om op te merken dat momenteel alleen de eisen op het hoogste niveau zijn uitgewerkt (zogenaamde level 1). Deze eisen worden nu op een getrapte wijze verder uitgewerkt in meer detail (level 2 tot en met level 4). Zorg daarom sowieso voor het inbouwen van voldoende flexibiliteit in uitbestedingcontracten om aanvullende eisen op te nemen zonder het hele contract open te hoeven breken.

Op dit hoogste detailniveau ziet het lijstje met specifieke eisen voor outsourcing er zo uit:

– De verzekeraar blijft volledig verantwoordelijk voor het voldoen aan Solvency II. Kortom, de verzekeraar komt niet weg met het wijzen naar de leverancier indien die niet voldoet aan de wet.
– De verzekeraar dient over schriftelijke beleidslijnen te beschikken met betrekking tot uitbesteden en deze toe te passen.
– Uitbesteden mag geen negatieve invloed hebben op de kwaliteit van het governance-systeem. Kortom, goede regie over de leverancier is key.
– Uitbesteden mag geen negatieve invloed hebben op operationele risico's. Kortom, stel het operationeel risicoprofiel vast voordat er uitbesteed wordt en zorg dat er voldoende mechanismen zijn om het operationeel risicoprofiel bij de leverancier bij te kunnen sturen.
– Uitbesteden mag geen negatieve invloed hebben op het vermogen van de toezichthoudende autoriteiten om te controleren of de verzekeraar haar verplichtingen nakomt. Hiertoe behoort ook de eis van de toezichthouder om toegang te hebben tot de locatie van de leverancier. Kortom, het kan voorkomen dat een toezichthouder in een vliegtuig naar India wil kunnen stappen om daar toezichtactiviteiten te verrichten.
– Uitbesteden mag geen negatieve invloed hebben op de continuïteit en toereikendheid van de dienstverlening.
– De verzekeraar informeert de toezichthouder vóór de uitbesteding van kritieke of belangrijke functies of werkzaamheden. Daarnaast wil de toezichthouder op de hoogte gehouden worden van wezenlijke veranderingen in het contract.

Het lijkt een relatief eenvoudig lijstje, maar het richting de toezichthouder kunnen aantonen dat aan de eisen wordt voldaan vraagt toch om enig denkwerk. Daarnaast zullen niet alle (buitenlandse) leveranciers staan te springen om een Nederlandse toezichthouder over de vloer te krijgen.

Vertalen van interne beheersingsmaatregelen

Als een (deel van) een bedrijfsproces of ict-systemen worden uitbesteed, dan moeten die blijven voldoen aan de eisen gesteld door Solvency II. De meest eenvoudige manier is het opleggen van het eigen interne control framework aan de leverancier. Dit is echter ook de meest dure oplossing, omdat de leverancier dan geen gebruik kan maken van de eigen processen en best practices rondom risicomanagement. Ook met een standaard SAS70/ISAE 3402 kom je er niet, omdat de scope daarvan niet overeenkomt met de eisen die gesteld worden door Solvency II.

Zonder teveel in detail te willen treden, de volgende aanbevelingen om een en ander in goede banen te leiden:

– Bepaal voor de uitbestede activiteiten een ‘Solvency II-risicoprofiel'. Sommige bedrijfsactiviteiten en ict-systemen zullen nauwelijks geraakt worden door Solvency II, terwijl andere processen volledig doordrenkt zullen zijn met Solvency-controls.
– Differentieer op basis van het risicoprofiel de zwaarte van het control framework. Denk aan een ‘bronze' aanpak voor activiteiten met een laag risicoprofiel en een zilveren en gouden framework voor kritieke processen.
– Vertaal de bronzen, zilveren en gouden aanpakken in concrete control-maatregelen en -eisen. Zet relatief lichte maatregelen in voor brons (bijvoorbeeld rapportages, due diligence op policies, leunen op control framework van leverancier) en zet zwaardere maatregelen in bij het uitbesteden van meer risicovolle activiteiten (bijvoorbeeld voorschrijven van controls, third party audits, controle op naleven van policies door leverancier).

Op deze manier kunnen schaarse tijd en middelen optimaal ingezet worden om bestaande en geplande uitbestedingcontracten te laten voldoen aan Solvency II. Het is geen rocket science, maar zeker het vertalen in interne beheersingsmaatregelen naar een control framework voor de leverancier vraagt toch wel om de nodige aandacht.

Meer over

Risicomanagement

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    In detail: succesvolle AI-implementaties

    Het implementeren van kunstmatige intelligentie (AI) biedt enorme kansen, maar roept ook vragen op. Deze paper beschrijft hoe je als (middel)grote organisatie klein kunt starten met AI en gaandeweg kunnen opschalen.

    Computable.nl

    Hoe krijgen we weer grip op cloud-kosten?

    De enorme toename van public cloud gebruik binnen organisaties zorgt voor uitdagingen in de relatie tussen IT en Finance. Samen zijn ze de grip op de cloud-kosten kwijtgeraakt.

    Computable.nl

    Cybercrime Trendrapport 2024

    Een uitgebreide paper over de nieuwste bedreigingen en ruim 50 best-practices in beveiliging.

    Meer lezen

    ActueelCarrière

    Kort: reorganisatie bij TomTom, investeringen in ai betaalt zich snel uit (en meer)

    ActueelInnovatie & Transformatie

    Kort: TU/e lanceert nieuw high-tech-onderzoeksinstituut, veel minder cyberincidenten in Nederland (en meer)

    ActueelFinanciële dienstverlening

    Kort: Mollie komt met betaalterminal Tap, Orange Quantum Systems schaalt quantumtesten op (en meer)

    ActueelSoftware & Development

    Kort: 10 miljoen voor Wuunder, TCS kennispartner verzekeraars, Frans factuurplatform naar Benelux (en meer)

    ActueelData & AI

    Kort: Salesforce koopt alsnog Informatica, datacenters openen deuren voor publiek (en meer)

    Stokje doorgeven
    ActueelCarrière

    Kort: Ceo Rosado van Outsystems doet stap terug, Kwetsbaarheidsdatabase EUVD ziet licht, Rabobank Pensioenfonds in zee met AZL (en meer)

    2 reacties op “Uitbesteden met Solvency II in je broekzak”

    1. IT-er schreef:
      6 augustus 2010 om 23:17

      @Dhr Zielemans
      En hoe zit het met de zg. “Data Breach” wetgeving die eraan zit te komen ?
      http://www.google.nl/#hl=nl&q=data+breach+europe&fp=3f7edbc2c3b801e0

      Stel je eens voor dat een outsourcingpartner van een verzekeringsmaatschappij medische gegevens van patienten worden gestolen of gekopieerd. Wie is er dan uiteindelijk aansprakelijk ? Wordt in dat geval de verzekeringsmaatschappij ingelicht of ook de verzekerden ?

      Login om te reageren
    2. Francois Zielemans schreef:
      17 januari 2011 om 18:46

      @ IT’er
      De toezichthouder/wetgever zal de partij die uitbesteed (de verzekeraar in dit geval) aansprakelijk stellen. Een organisatie die moet voldoen aan bepaalde wet- en regelgeving kan die verantwoordelijkheid nooit uitbesteden. Hetzelfde geldt voor de zorgplicht richting de klanten van de verzekeraar. Indien een leverancier data ‘verliest’ dan is het de verantwoordelijkheid van de verzekeraar om de getroffen klanten te informeren/schadeloos te stellen.

      In procedures (die vervolgens geaudit kunnen worden op naleving)kan daarnaast afgesproken worden in welke gevallen de leverancier de verzekeraar dient te informeren en op welke wijze.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs