Toezicht DNB: werk aan de winkel voor risk management en internal audit

4 december 2020

DNB is de laatste jaren aan het versnellen als het gaat om het verdiepen en specifiek maken van het toezicht. Een aantal recente publicaties van DNB laat zien hoe dat toezicht er in de toekomst uitziet. Zo ook de recent verschenen DNB publicatie “Visie op toezicht 2021 – 2024”. Dit is een interessante publicatie voor onder toezicht staande instellingen, omdat het aangeeft hoe een onder toezicht staande instelling in kan spelen op die veranderende manier van toezicht. Na het lezen van deze publicatie is duidelijk dat er behoorlijk wat werk aan de winkel is voor deze instellingen.

Een korte samenvatting van de veranderingen in het toezicht:

  • Het toezicht in Nederland zal steeds meer worden gestuurd door Europese ontwikkelingen, door wet- en regelgeving vanuit de Europese Commissie en publicaties van verschillende Europese financiële toezichthouders;
  • Datakwaliteit en Informatie (cyber) beveiliging zijn én blijven hele belangrijke onderwerpen. Al eerder bracht DNB de Good Practice Informatiebeveiliging en de Guidance Datakwaliteit uit. Het voldoen aan deze normatieve publicaties is een enorme opgave. Het is juist hier dat de competenties van de risk manager en de internal auditor kunnen worden ingezet voor het belang van de gehele organisatie. DNB vereiste al eerder het uitvoeren van Control Self Assessments, waarbij de 1e en de 2e lijn zélf onderzoeken of ze voldoen aan de normen. De verwachting is dat DNB meer gebruik gaat maken van assessments en analyses van risk management van de instelling, bij voorkeur gevalideerd door de internal auditor;
  • De komende jaren is het data, data en nog eens data. DNB zal zelf inzage vragen in data van de instelling. Deze gaan de nu al vereiste periodieke rapportages aanvullen en mogelijk zelfs deels vervangen. Besef goed wat daar staat: DNB gaat in de data zelf kijken! Datakwaliteit wordt onvermijdelijk het belangrijkste onderwerp de komende jaren. Dit betekent dat van zowel risk management als internal audit mag worden verwacht dat ze de flink wat aandacht besteden aan dat onderwerp, ieder vanuit de eigen rol in de organisatie. Deze verandering zal in veel gevallen betekenen dat extra capaciteit, maar vooral ook aanvullende kennis noodzakelijk is;
  • DNB kan fouten zelf ontdekken in de data en het spreekt voor zich dat de instelling dit beter kan voorkomen. Datakwaliteit is mede afhankelijk van ‘data quality by design’ en kan alleen worden bereikt door een optimale interne beheersing en ontwikkeling onder architectuur;
  • Cyber security specifiek en informatiebeveiliging in zijn algemeenheid moeten op orde zijn. DNB verwacht een continue investering in weerbaarheid en (bestuurders-)awareness én dat instellingen “zelf aantonen dat ze hun informatiebeveiliging op orde hebben”. Daarmee doelt DNB erop dat er Control Self Assessments worden uitgevoerd die (weer) worden gevalideerd door de Internal Auditor. De verwachting is dat veel instellingen moeite zullen hebben met aantonen dat ze ‘op orde zijn’. We verwachten een sterke invloed vanuit de 2e lijn om de 1e lijn te helpen om de maatregelen goed te implementeren, maar ook om zelf aan te tonen dat de maatregelen hebben gewerkt. Risk management kan de 1e lijn ondersteunen bij het implementeren van de controls en de Control Self Assessments, terwijl Internal Audit haar rol in de 3e lijn kan benutten voor het leveren van de (brood)nodige onafhankelijke assurance;
  • Diezelfde eis van aantoonbaarheid geldt voor de toeleveranciers van instellingen. Outsourcing wordt daarmee één van de volgende belangrijke onderwerpen, met de noodzakelijke ISAE3402 verklaringen van de dienstverleners en het implementeren van service level management voor alle uitbestede diensten;
  • Van bestuurders en commissarissen wordt een verhoogd kennisniveau verwacht op het vlak van informatiebeveiliging. Het verwijzen naar de IT security manager bij een vraag over IT security zal naar alle waarschijnlijkheid niet worden geaccepteerd;
  • Kunstmatige Intelligentie, nu al regelmatig aanwezig in de vorm van chatbots, maar ook steeds vaker in bedrijfsprocessen, vereist de nodige beheersmaatregelen. De algoritmisering van businessprocessen kan en mag niet leiden tot mindere mate van beheersing en het functioneren van bedrijfsprocessen;
  • Outsourcing, van IT of bedrijfsprocessen, blijft een speerpunt van DNB. DNB benoemt zelfs (en dat is uitzonderlijk) een positieve ontwikkeling, namelijk het vaker inzetten van onafhankelijke IT auditors bij de beoordelingen van cybersecurity en uitbestedingsmaatregelen;
  • Duurzaamheidsrisico’s vormen een relatief nieuw speerpunt. Erg concreet is DNB daar nog niet over, maar de verwachting is dat DNB vooral de samenwerking gaat opzoeken, juist om dit concreter te maken;
  • Verandervermogen is een nieuw speerpunt, met daaraan gekoppeld het aansluiten van het bedrijfsmodel op het risicoprofiel. Ontwikkelingen gaan snel en DNB ziet het verschil tussen IT bedrijven en financiële instellingen vervagen. Risico beheersing moet altijd geborgd blijven, zowel in stabiele omgevingen als dynamische. Fintech is niet de toekomst, Fintech is het heden.

ARC People helpt een aanzienlijk aantal banken, verzekeraars en pensioenfondsen met deze vraagstukken vanuit zowel het risicomanagementperspectief als internal audit perspectief. Benieuwd naar onze visie? Neem dan contact op met één van onze partners.