DNB schreef onlangs [1] dat bij een aantal verzekeraars en pensioenfondsen de ingevulde vragenlijsten Sector Brede Analyse Niet Financiële Risico’s (SBA NFR) [2] “verbetering behoeven”. Aanleiding is het onderzoek van DNB naar het invullen van de vragenlijsten, aldus het bericht. Hoewel de tekst van het bericht suggereert dat DNB de vragenlijsten wil gaan verbeteren, lijkt het niet daar over te gaan. Want verder op in het bericht blijkt dat de verzekeraars/pensioenfondsen niet konden bewijzen de vragenlijsten juist te hebben ingevuld, door DNB omschreven als “aantoonbaar maken” (raar Nederlands). Over de vragen inzake beheersing financiële risico’s staat er:

DNB heeft de verificatie uitgevoerd door bij de geselecteerde verzekeraars specifieke documentatie op te vragen die de gegeven antwoorden in de vragenlijst moet ondersteunen/onderschrijven, eventueel aangevuld met een toelichtend gesprek.
DNB verwacht dat gegeven antwoorden van de ingevulde vragenlijst door middel van onderliggende (beleids)documenten, rapportages aantoonbaar gemaakt kunnen worden.
De uitkomst van de uitgevoerde verificatie was dat de antwoorden op vragen over de beheersing van financiële risico’s niet in alle gevallen een realistisch beeld gaven van de werkelijke situatie bij de verzekeraars.

De volgende generieke observaties komen voort uit de validatie:
1. Verzekeraars hebben niet altijd aantoonbaar kunnen maken dat een periodieke risicomanagementrapportage is opgesteld.
2. Verzekeraars hebben niet altijd aantoonbaar kunnen maken dat actueel schriftelijk beleid beschikbaar is van alle te onderscheiden risicogebieden.
3. Verzekeraars hebben niet altijd aantoonbaar kunnen maken dat schriftelijk evaluaties m.b.t. de beheersing van prudentiële risico’s zijn vastgelegd.

Moet punt 1 niet gewoon zijn dat sommige verzekeraars niet hebben voldaan aan vereiste van het periodiek opstellen van risicomanagementrapportages? Enzovoorts.

Een ander onderwerp van het bericht is informatiebeveiliging, wat voor financiële instellingen een uitermate belangrijk onderwerp is, zeker nu zij datalekken niet aan betrokkenen hoeven te melden. Er blijken financiële instellingen te zijn die dit niet op orde hebben. DNB formuleert het als volgt:

Uit de validatie blijkt dat bij een aantal van de geselecteerde instellingen de niveaus verschillend zijn geïnterpreteerd en dat instellingen hun volwassenheidsniveau op het gebied van informatiebeveiliging en cybersecurity te optimistisch rapporteren. In veel gevallen is sprake van een onvoldoende kritische en onafhankelijke blik doordat de tweede en of derde lijn niet betrokken zijn bij de beoordeling van de volwassenheidsniveaus in het self-assessment.

De toezichthouder besluit met de opmerking dat het bestuur moet zorgen voor juiste informatievoorziening aan DNB, “DNB benadrukt dat het bestuur eindverantwoordelijk is voor de inhoudelijke juistheid van de rapportage middels het self-assessment over de volwassenheidsniveaus“.

Jammer is dat DNB de nadruk legt op het juist rapporteren [3], in plaats van op het correct naleven van regelgeving en het beschermen van de klanten.

Noten

[1] Bericht met de cryptische kop ‘Verificatie ingevulde vragenlijsten SBA NFR 2022’.
[2] DNB kondigde in maart de uitvraag 2023 aan, in SBA NFR & IRAP Uitvraag 2023. Uit het bericht blijkt dat de SBA NFR uitvraag van 2023 niet meer via Excel spreadsheets zal verlopen, maar dat de uitvragen via een portal van DNB zullen plaats vinden. Dat lijkt ook te betekenen dat het publiek geen inzicht meer heeft in de vragenformulieren van DNB (die in het verleden op de website van DNB te vinden waren), wat jammer is in het kader van de noodzaak van toezichthouderstransparantie.
[3] “Onderdeel van beheerste bedrijfsvoering en gedegen risicomanagement, is dat de volwassenheidsniveaus aantoonbaar zijn en dat een interne en kritische onafhankelijke beoordeling plaatsvindt voordat de uitkomsten van het self-assessment worden gerapporteerd.“