DNB vraagt om vergroting van de kwaliteit van de ingevulde SBA NFR

DNB vraagt verzekeraars en pensioenfondsen op vier onderdelen de kwaliteit van hun ingevulde SBA NFR te vergroten. Met name meer onderbouwing is nodig. Dit kan er na verificatie bijvoorbeeld toe leiden dat het risicoprofiel aangepast moet worden. Of dat een (vervolg)onderzoek wordt gestart.

De vier onderdelen van de vragenlijst waarvoor verbeteringen zijn geformuleerd betreffen:

• Governance, gedrag & cultuur alsmede beheersing risicomanagement
  Zo luidt een generieke observatie dat de onderzochte instellingen hebben aangegeven dat alle vereiste sleutelfuncties zijn ingericht en adequaat werken, maar zij konden dit niet aantonen. Eenzelfde observatie geldt ten aanzien van het vervullen van de kritische rol door en tijdig betrekken van de RvC en besluitvorming volgens het zogeheten BOB-model (beeldvorming, oordeelsvorming en besluitvorming).
• Beheersing financiële risico’s
  Uit onderzoek van DNB blijkt dat er een periodieke risicomanagementrapportage wordt opgesteld, maar dit kon niet in alle gevallen door de onderzochte instellingen worden onderbouwd. Hetzelfde geldt voor het actueel schriftelijk beleid dat voor alle financiële risicogebieden beschikbaar is en schriftelijke evaluaties over de beheersing van financiële risico’s.
• Informatiebeveiliging
  Gebleken is dat sommige instellingen een verschillende interpretatie hebben van de volwassenheidsniveaus en er soms te optimistisch wordt gerapporteerd. Daarnaast is het DNB opgevallen dat deze interpretatieverschillen vooral zien op het verschil tussen volwassenheidsniveaus ‘3’ en ‘4’ zoals genoemd in de Good Practice Informatiebeveiliging. Verder vormt de aantoonbaarheid van de werking van beheersmaatregelen een aandachtspunt.
• Beheersing uitbestedingsrisico’s
  Een aantal van de onderzochte instellingen heeft geen compleet beeld van hun uitbestedingsketens. Ook zijn niet alle contracten compliant met bestaande wet- en regelgeving. Daarnaast zijn assurancerapportages ontoereikend zijn voor de afgenomen dienstverlening qua diepgang en scope. Tot slot heeft het merendeel van de onderzochte instellingen nog veel werk te verrichten met betrekking tot het informatieregister volgens DORA.

Bron: DNB, 29 april 2024.