Uitbesteding – ontzorgen of kopzorgen?

5 minuten

Wij maken ons als adviseurs op voor een nieuw – goed gevuld – toezichtjaar. Dat geldt ook voor de AFM en DNB. Bij één van de toezichtonderwerpen waarover ik in 2022 weer de nodige aandacht verwacht, wil ik in deze eerste Finnius Vindt van het nieuwe jaar stilstaan: de beheersing van uitbestedingsrisico’s.

 

Het prijkt al jaren bovenaan de prioriteitenlijstjes van de AFM en DNB. Zowel de AFM (in haar Trendzicht 2022) als DNB (in Toezicht in beeld 2021), met nadruk op uitbesteding van dataopslag en IT-processen) vroegen recent weer de aandacht voor (toenemende) risico’s van uitbesteding. Zij gaven daarbij aan zich hier in 2022 op te zullen gaan richten. In deze Finnius Vindt richt ik me primair op de asset management sector (hoofdzakelijk: MiFID, AIFMD en UCITS) die onder toezicht valt van de AFM, maar ook andere marktpartijen kunnen hier inspiratie uit opdoen.

 

In ieder van de toezichtraamwerken zijn regels opgenomen omtrent uitbesteding van werkzaamheden. Kort en goed zien die regels op (i) het verplicht opstellen van beleid, (ii) eisen aan de uitbestedingsovereenkomst, (iii) evaluatie en monitoring van de relatie en (iv) het vaststellen van een calamiteitenplan en exitplan. Uiteraard mag een asset manager niet zodanig uitbesteden dat er onvoldoende substance achterblijft. Oh, en vergeet niet, er is melding vereist aan de AFM.

 

De voorvraag die in verband met de uitbestedingsregels steeds voorligt is: kwalificeert een bepaalde relatie als uitbestedingsrelatie waarop de toezichtregels van toepassing zijn? Die vraag is eenvoudig gesteld, maar nog niet zo makkelijk beantwoord. Dat komt met name door het woud aan definities en terminologie die inmiddels gebezigd wordt op de markt, zoals ‘kritiek of belangrijk’, ‘materieel’, ‘interne en externe’ uitbesteding, ‘inkoop’ en ‘insourcing’.

 

In de praktijk leidt deze kwalificatie zodoende niet zelden tot hoofdbrekens. Wanneer is iets nou echt uitbesteding? Ik vind het één van de lastigere toezichtkwalificaties, die ook nog altijd aan verandering onderhevig lijkt. Het gaat in ieder geval om werkzaamheden die de asset manager normaliter zelf uitvoert, maar door een derde laat uitvoeren. Ook met deze vuistregel blijft er vaak nog genoeg ruimte voor interpretatie over. Wat daar verder ook van zij, iedere asset manager zal zich een weg moeten banen door de kwalificatie.

 

Als er nou wat mij betreft één policy is dat in aanmerking komt voor review in Q1 2022 door asset managers, dan is het wel het Uitbestedingsbeleid. Bij die review kan ik u de volgende systematiek aanraden:

 

  1. Juridische raamwerk. Beoordeel welk toezichtraamwerk op u van toepassing is en breng daarbij in kaart welke (recente) guidance van toezichthouders u moet betrekken. Neem daarbij zeker de brief ‘Keten in Beeld’ van de AFM mee, inmiddels alweer van november 2019. In juli 2021 publiceerde de AFM resultaten van een vervolgonderzoek naar uitbesteding en riep ze nogmaals de brief ‘Keten in Beeld’ in herinnering op bij asset managers.

 

  1. Reikwijdte. Stel vast van welke dienstverleners of leveranciers u gebruik maakt in het kader van uw activiteiten. Beoordeel welke relaties u als uitbesteding moet kwalificeren gelet op het raamwerk dat op u van toepassing is. Leg dit schriftelijk vast, bijvoorbeeld in de vorm van een schema, bij voorkeur met onderbouwing van de gemaakte keuze.

 

  1. Review. Dan komt de review van het Uitbestedingsbeleid. Ga na welke onderdelen moeten worden aangepast gelet op het juridisch raamwerk. Een onderdeel van het uitbestedingsbeleid zou ook moeten zijn de wijze waarop u de selectieprocedure doorloopt. Dat bestaat bij voorkeur uit een concreet stappenplan, al dan niet met checklists, waarmee u waarborgt dat alle verplichte onderdelen worden doorlopen voordat een uitbestedingsrelatie tot stand komt. Zo moet bijvoorbeeld blijken op basis van welke redenen u tot uitbesteding overgaat (denk aan: optimalisatie van bedrijfsprocessen, kostenefficiëntie, kennis en ervaring, specifieke disciplines of toegang tot bepaalde handelsmogelijkheden). Leg vast dat de review heeft plaatsgevonden en wanneer de volgende review plaatsvindt. Het bestuur moet de wijzigingen goedkeuren.

 

  1. Cloud. Als speciaal deelgebied: beoordeel in hoeverre er bij uw uitbestedingsrelaties sprake is van een cloud component, in welk geval de ESMA Richtsnoeren inzake uitbesteding aan aanbieders van clouddiensten tevens van toepassing zijn. Die moeten dan worden verwerkt in het Uitbestedingsbeleid. Let op: ook als de relatie met een dienstverlener op zichzelf geen cloud component heeft, maar die dienstverlener uw data bijvoorbeeld wel in de cloud opslaat, zouden de ESMA Richtsnoeren van toepassing kunnen zijn, nu dit mogelijk kwalificeert als onder-uitbesteding.

 

  1. Uitvoering. Vervolgens moet u uitvoering geven aan het herziene Uitbestedingsbeleid.

 

  • Risico’s. Stel in ieder geval vast welke risico’s gepaard gaan met uw specifieke uitbestedingen. Dit is typisch iets dat de regels niet altijd expliciet voorschrijven, maar de AFM inmiddels wel vereist. Gebruik hiervoor de brief ‘Keten in Beeld’ alsook het vervolgonderzoek van de AFM ter inspiratie. Tref maatregelen waar nodig om risico’s te adresseren.
  • Uitbestedingscontracten. Zorg ervoor dat met iedere relatie die u als uitbesteding kwalificeert een uitbestedingsovereenkomst is aangegaan die aan de eisen voldoet. Let op: bestaande uitbestedingsovereenkomsten met cloud aanbieders moeten uiterlijk 31 december 2022 aan de ESMA Richtsnoeren voldoen.
  • Melding AFM. Doe – voor zover nog niet gedaan – melding aan de AFM van de uitbesteding. We zien dat de AFM hier in haar doorlopend toezicht, bijvoorbeeld in verband met fondsmeldingen, ook nadrukkelijk aandacht voor vraagt.
  • Monitoring. Zorg dat u bestaande uitbestedingsrelaties monitort en dat dit aantoonbaar heeft plaatsgevonden.

 

Waarborg zo dat uitbesteding leidt tot ontzorgen in plaats van tot kopzorgen. Ik heb natuurlijk geen glazen bol, maar iets zegt mij dat er dit jaar ook meer diepgaande onderzoeken zullen gaan plaatsvinden bij individuele marktpartijen naar naleving van de uitbestedingsregels.

 

Verder wens ik u nog een gezond – en uiteraard prudent, beheerst en integer – toezichtjaar toe!