Na een risicogebaseerd onderzoek onder financiële dienstverleners concludeert de AFM dat een deel niet voldoet aan de ‘basisvereisten’ op het gebied van beheerste en integere bedrijfsvoering. De AFM voerde dit onderzoek uit bij 31 financiële dienstverleners en maakte daarbij gebruik van de uitkomsten van de Marktmonitor die eind vorig jaar zijn gepubliceerd in het rapport Marktindrukken.
Het onderzoek is risicogebaseerd uitgevoerd. In dit geval betekent dit dat van de 31 geselecteerde diesntverleners er 21 eerder met de AFM in aanraking zijn geweest in verband met tekortkomingen in de naleving van wet-en regelgeving. Vijf ondernemingen zijn geselecteerd omdat zij met freelancers werken en de andere vijf zijn als controlegroep toegevoegd. Deze vijf ondernemingen zijn niet eerder met de AFM in aanraking geweest. Helaas vermeldt de AFM in haar rapport niet of er grote verschillen zijn waar te nemen tussen de 'recidivsten' en de controlegroep.
Een toezichthouder is beperkt in de inzet. Bij elk onderzoek moeten keuzes gemaakt worden ten aanzien van de scope van het onderzoek. Hoeveel ondernemingen, welke onderwerpen? Hoe meer onderwerpen en ondernemingen in het onderzoek worden betrokken hoe groter de benodigde capaciteit. Dat de AFM de ondernemingen kiest die eerder op tekortkomingen zijn gewezen is begrijpelijk. Vanuit haar verantwoordelijkheid als toezichthouder en het vertrouwen in de financiële markten is het goed dat de AFM zich op deze ondernemingen richt.
Door de vijf ‘willekeurig geselecteerde’ ondernemingen toe te voegen kan de indruk ontstaan dat hier om een marktbreed beeld gaat. In het rapport is de AFM duidelijk dat er vanwege de risicogebaseerde selectie geen betrouwbare uitspraken over de gehele sector gedaan worden. De AFM is wel teleurgesteld in het feit dat slechts een paar dienstverleners tijdens het onderzoek aan alle eisen voldeden. De conclusies van de toezichthouder zijn stevig.
De onderwerpen waar de toezichthouder aandacht voor vraagt zijn:
Naast deze onderwerpen vraagt de AFM aandacht voor informatiebeveiliging. Op basis van een ander onderzoek (self-assessment) concludeert de AFM dat de sector hier nog stappen moet zetten. Uit het rapport is op te maken dat dit onderzoek is uitgevoerd bij de grotere financiële dienstverleners. De toezichthouder concludeert dat het eigenaarschap van data en systemen, risicomanagement bij uitbesteding, en het beheer van wachtwoorden aandacht behoeft bij deze ondernemingen. Ongeveer de helft heeft een verbeterplan moeten aanleveren en wordt door de AFM toegezien op de uitvoering ervan. In het rapport wordt veel informatie gegeven op het gebied van Informatiebeveiliging en maatregelen tegen cyberrisico’s. Wij adviseren dan ook deze goed door te nemen en te beoordelen wat op jouw organisatie van toepassing kan zijn, gezien jouw IT-situatie en bestaande cyber-bedreigingen.
Met de komst van DORA (Digital Operational Resilience Act) komen er per 17 januari 2025 nieuwe eisen op de grote financiële dienstverleners af, met als doel de vergroting van de digitale weerbaarheid. De AFM geeft aan dat digitale weerbaarheid ook van belang is voor kleinere ondernemingen.
Duidelijk wordt dat de AFM veel belang hecht aan een goede beheerste bedrijfsvoering waaronder ook de beheersing van ICT-risico’s vallen. Wij zien dat de toezichthouder ook bij startende ondernemers belangstelling heeft voor het hebben van een informatiebeveiligingsbeleid. Het lijkt erop dat de AFM in haar doorlopende toezicht het komende jaar meer aandacht zal besteden aan dit aspect.
Het is goed als financiële dienstverleners zich hierop voorbereiden, bijvoorbeeld door alvast te starten met een inventarisatie van alle systemen en te controleren op welke wijze de beveiliging en continuïteit ervan is geregeld. Hoewel DORA alleen van toepassing is op grote financieel dienstverleners vanaf een bepaald aantal werknemers en omzet, is het een praktisch document die diverse handvatten biedt, zoals bijvoorbeeld welke afspraken belangrijk zijn om vast te leggen in geval van (ICT) uitbestedingen.
Wij raden financiële dienstverleners aan de onderwerpen uit dit onderzoek nog een keer na te lopen. Verwacht mag worden dat de AFM hier volgend jaar in haar toezicht op terug komt. Belangrijk dus om zeker te stellen dat het volgende goed geregeld is:
Hulp nodig bij het formuleren van beleid? Of eens een controle laten uitvoeren of de bedrijfsvoering sinds het verkrijgen van de vergunning nog volledig voldoet aan alle actuele eisen. Wij helpen graag.