1. Uitkomsten Operationele en IT-risico’s
De uitvraag over de beheersing van operationele risico’s (noot 1), ging in het bijzonder in op de volwassenheid van het interne controle raamwerk, datakwaliteit en uitbesteding.
Uit de ingevulde vragenlijsten bleek dat de basiselementen van een interne controle raamwerk bij de meeste verzekeraars aanwezig zijn. Verder valt op dat verzekeraars hun beheersmaatregelen ten aanzien van uitbesteding en datakwaliteit verbeterd hebben ten opzichte van vorig jaar, maar dat deze in veel gevallen nog niet op het juiste niveau (noot 2) zijn. Aandacht voor het structureel op het juiste niveau brengen en houden van risicobeheersing blijft belangrijk.
1.1 Interne Controleraamwerk
De meeste verzekeraars beschikken over een interne controle raamwerk, waarin verbeteringen mogelijk zijn
Uit de uitvraag bleek dat de meeste verzekeraars beschikken over een interne controle raamwerk. Daarbij valt op dat er verbetering mogelijk is in de snelheid van afhandeling van ‘hoog risico bevindingen’ van de Risicomanagement Functie (RMF) en/of Interne Audit Functie (IAF). Daarnaast zien we dat ongeveer een derde van de verzekeraars niet beschikt over een geïntegreerd systeem waarin de risico’s en beheersmaatregelen van het interne controle raamwerk integraal is vastgelegd (GRC systeem). Toepassing van een dergelijk geïntegreerd systeem kan de efficiëntie en effectiviteit van het interne controle raamwerk vergroten.
1.2 Datakwaliteit
Bij veel verzekeraars behoeft de risicobeheercyclus rondom datakwaliteit verbetering
Bij ongeveer twee derde van de verzekeraars bestaan er tekortkomingen in de beheersmaatregelen ten aanzien van datakwaliteit, zoals hiaten in het datakwaliteitsbeleid, het implementeren van beheersmaatregelen en de monitoring en evaluatie hiervan. Hierbij gelden de volgende aandachtspunten:
- Bij één derde tot de helft van de verzekeraars is het datakwaliteitsbeleid niet aanwezig, verouderd of ontbreken er essentiële zaken zoals:
- aandacht voor incidenten;
- het onderscheid tussen kritieke en niet kritieke data elementen;
- richtlijnen voor toepassing van End Using Computing (EUC);
- de risicobereidheid ten aanzien van datakwaliteit.
- De relevante beheersmaatregelen voor datakwaliteit, zoals het identificeren van kritieke dataelementen, uitvoeren van een risicoanalyse en het monitoren van adequate KPI’s, worden bij de helft van de verzekeraars voor 50% of minder uitgevoerd en bij 20% van de verzekeraars zelfs in het geheel niet uitgevoerd.
- Bij 40% van de verzekeraars ontbreekt in de organisatie een management- en rapporteringscyclus ten aanzien van datakwaliteit.
- Bij ongeveer 75% van de verzekeraars heeft de interne auditfunctie in de afgelopen 2 jaar geen audits uitgevoerd op datakwaliteit.
Onvoldoende beheersing van datakwaliteit kan onjuistheden in de wettelijke rapportages en onjuiste besluitvorming tot gevolg hebben. Ten aanzien van punt (a) vindt DNB het belangrijk dat verzekeraars die EUC-toepassingen gebruiken, ook beschikken over beleid met het oog op de beheersing van risico’s rond het gebruik daarvan.
1.3 Uitbestedingen
De beoordeling van uitbestedingsrisico’s en de monitoring van uitbestedingsketens is verbeterd ten opzichte van vorig jaar, maar is bij bijna de helft van de verzekeraars nog niet op niveau
Uit de uitvraag blijkt dat de verzekeraars vaker dan vorig jaar voorafgaand aan de uitbestedingen risicoanalyses uitvoeren en de uitbestedingen beter monitoren qua prestaties en interne beheersing. Het sectorbeeld is hier verbeterd, maar desalniettemin blijft bij een significant aantal verzekeraars de beheersing achter.
Hierbij gelden de volgende aandachtspunten:
- Bij een derde tot de helft van de verzekeraars is het uitbestedingsbeleid verouderd of zitten er hiaten in het uitbestedingsbeleid, zoals ontbrekende criteria voor het bepalen kritieke uitbestedingen, incidentprocedures en richtlijnen m.b.t. security paragrafen in het contract en business continuity plannen (BCP) voor kritieke uitbestedingen.
- Ongeveer de helft van de verzekeraars heeft de kritieke onderuitbestedingen binnen kritieke uitbestedingsketens niet volledig in beeld.
- Ongeveer de helft van de verzekeraars heeft bij geen enkele kritieke uitbesteding een security agreement afgesloten
- Ongeveer de helft van de verzekeraars heeft bij geen enkele kritieke uitbesteding getoetst of het BCP plan van de dienstverlener aan de eisen van de instelling voldoet en op werking is getest.
Het onvoldoende zicht houden op de onderuitbestedingen en risicobeheersing binnen kritieke uitbestedingsketens kan leiden tot onverwachte verstoringen of disruptie van kritieke bedrijfsprocessen, diefstal of verlies van kritieke of vertrouwelijke data. DNB vindt het belangrijk dat verzekeraars hun kritieke uitbestedingsketens in beeld hebben en zorgen dat deze ketens adequaat beheerst worden.
2. Uitkomsten Governance, Gedrag, Cultuur en Risicomanagement
2.1 Gedrag en cultuur
De resultaten van de uitvraag niet-financiële risico’s voor verzekeraars schetsen een overall beeld waarbij het risiconiveau voor gedrag en cultuur medium laag is. Aandachtspunt binnen gedrag en cultuur ligt net als in de uitvraag 2021 bij het diversiteitsaspect. Zo blijkt dat slechts bij een kwart van de instellingen zowel het bestuur als de RvC uit meer dan 40% vrouwen bestaat.
2.2 Interne governance
Qua beheersing van de interne governance laten de uitkomsten van de gehele sector een divers beeld zien. Opvallend is dat ongeveer 1 op de 3 verzekeraars niet over een opvolgingsplan voor het bestuur en/of de RvC beschikt. Ook valt op dat bij slechts minder dan de helft van de instellingen het bestuur de kwaliteit van informatieverstrekking vanuit de commissies betrekt in de zelfevaluatie. Voor de RvC is dit percentage lager. Bij 1 op de 5 instellingen neemt de RvC de kwaliteit van informatieverstrekking vanuit de commissies mee in de zelfevaluatie.
De uitvraag levert het beeld op dat de sleutelfuncties compliance, interne audit en actuarieel binnen de sector over het algemeen goed zijn ingericht.
2.3 Risicomanagement
Binnen Risicomanagement scoort de sector t.o.v. andere sectoren goed op het gebied van risicostrategie- en beleid. 4 op de 5 instellingen geven aan dat er een overkoepelende risicotolerantielimiet is vastgesteld en dat bij het bewaken van risicotolerantielimieten rekenschap wordt gegeven van de doorwerking van verschillende risico’s op elkaar. Ook de inrichting van de sleutelfunctie risicomanagement voldoet bij bijna alle instellingen aan de eisen.
In het komende jaar zal DNB in haar toezicht aandacht schenken aan bovenstaande aandachtspunten en gaat ervan uit dat de verzekeraars de noodzakelijke stappen zullen zetten om het benodigde niveau te bereiken. Net als afgelopen jaar, zal ook komend jaar bij een selectie van instellingen weer een onderzoek plaatsvinden naar de kwaliteit van de ingevulde SBA-NFR vragenlijsten
NOTEN
Noot 1: Deze nieuwsbrief gaat niet in op de resultaten uit de uitvraag van informatiebeveiligingsrisico’s (de SBA IB), omdat hiervoor reeds een aparte nieuwsbrief [DNB ziet cyberdreiging toenemen terwijl basismaatregelen niet altijd op orde zijn] is uitgebracht
Noot 2: Voor nadere guidance m.b.t. datakwaliteit zie de Guidance beheersing Solvency II datakwaliteit door verzekeraars [brochure-guidance-datakwaliteit-open-boek.pdf (dnb.nl)].
Voor nadere guidance m.b.t. uitbestedingen zie de Good practice Uitbesteding Verzekeraars [Good Practice Uitbesteding verzekeraars (dnb.nl)]