De financiële sector en corporates zullen in de nabije toekomst geconfronteerd worden met wetgeving die gericht is op het identificeren en verminderen van risico’s die zich voor kunnen doen bij leveranciers, partners en derde partijen. In deze blog wordt het belang van Third Party Risk Management besproken en waarom organisaties er goed aan doen dit principe te implementeren.
Third Party Risk Management omvat kortgezegd het identificeren en het in kaart brengen van leveranciers, partners en overige derde partijen, met als doel het minimaliseren van risico’s binnen de gehele keten van samenwerkende partijen. Hoe kan het gebrek aan geschikte controles binnen uw externe netwerk van invloed zijn op uw bedrijf? Welke invloed heeft de financiële gezondheid of cyberhygiëne van derden op uw beslissingen over het onderhouden van de relaties? Het management kan met behulp van Third Party Riskmanagement weloverwogen beslissingen nemen over concrete samenwerkingen.
Wet- en regelgeving
Een belangrijk onderdeel is de wet- en regelgeving die een steeds groter wordende druk op organisaties uitoefent, voor wat betreft het managen van haar waardeketen. De Europese wetgever voert haar vervolgstappen uit om cyberbeveiliging van financiële diensten te versterken en operationele risico’s in ruimere zin aan te pakken binnen de gehele keten van ondernemingen. Sinds januari 2023 is de DORA act van kracht gegaan, waarmee de wetgever beoogt om operationele veerkracht en weerbaarheid van financiële instellingen binnen Europa te verstevigen en daarmee de werking van de interne markt voor financiële diensten te verbeteren. De DORA act stelt regels in die van toepassing zijn op het gebied van ICT-risicobeheer, rapportage, tests en ICT-risico van derde aanbieders.
DORA act
De DORA act is gericht op ICT gerelateerde risico’s bij o.a. leveranciers, partners en overige derde partijen binnen de keten van samenwerkende partijen. DORA is een onderdeel van een breed pallet aan (opkomende) regulering vanuit de Europese Commissie om cyberbeveiliging van financiële diensten te versterken en operationele risico’s in ruimere zin aan te pakken binnen de keten van ondernemingen. Zo ligt er het voorstel voor een richtlijn over passende zorgvuldigheid in het bedrijfsleven op het gebied van duurzaamheid. De richtlijn omvat de verplichting tot het identificeren van feitelijke en potentiële negatieve effecten op de mensenrechten en het milieu wat betreft hun eigen activiteiten, de activiteiten van hun dochterondernemingen en de activiteiten in de waardeketen waarmee de onderneming een gevestigde zakelijke relatie heeft. De richtlijn beoogt ook tot een inspanningsverplichting om negatieve effecten op bijvoorbeeld duurzaamheidsgebied weg te nemen.
Wat zien we in andere Europese lidstaten?
Dat enkele lidstaten al initiatief hebben genomen tot het bewegen van ondernemingen om verantwoordelijkheid te dragen binnen haar keten, blijkt uit de wetgeving in Duitsland die kortgeleden in het leven is geroepen. Ondernemingen worden verplicht tot het uitvoeren van Due Diligence onderzoek naar bestaande en nieuwe partners, leveranciers en andere derde partijen waarmee zaken wordt gedaan. De wet is gericht op het in kaart brengen van het doel/aard van de betreffende organisatie, de mate van beïnvloeding van mensenrechten en duurzaamheid binnen de keten, en de implementatie van compliance maatregelen en de meldplichten die hierop van toepassing zijn.
Best practices DNB
Ook De Nederlandsche Bank heeft in 2017 met thematisch onderzoek bij financiële instellingen al een voorloop gedaan op de beheersing van risico’s bij uitbesteding van werkzaamheden door derde partijen. Zo heeft DNB enkele best practices gepubliceerd waarmee invulling kan worden gegeven aan de al bestaande verplichtingen bij de uitbesteding van specifieke werkzaamheden, uitgewerkt in hoofdstuk 5 van het Besluit Producentiele regels en artikel 3:18 van de Wet financieel toezicht. Daarnaast zijn er wettelijke vereisten waar organisaties aan dienen te voldoen richting partners binnen de waardeketen, zoals de Nederlandse Sanctiewetgeving en anti-corruptiewetgeving.
Risico gebaseerde aanpak
Kortom is het van belang dat ondernemingen, waaronder financiële dienstverleners, de risico’s in kaart brengen die zich kunnen voordoen in samenwerking met partners, leveranciers en andere derde partijen met behulp van een risico gebaseerde aanpak. Door het inventariseren en mitigeren van risico’s bij zowel bestaande als nieuwe partners, leveranciers en andere derde partijen neemt de onderneming verantwoordelijkheid binnen haar keten en minimaliseert risico’s geassocieerd met outsourcing. Om dit te kunnen uitvoeren is het belangrijk om een organisatiebeleid te creëren, waarmee het duidelijk wordt wat de ‘risk appetite’ is en op basis van welke variabelen en criteria leveranciers, partners en derde partijen worden onderzocht.
Hulp bij het identificeren, beoordelen en beheren van risico’s Brightstone Group kan uw bedrijf helpen bij het identificeren, beoordelen en beheren van risico’s die voortvloeien uit het onderling verbonden netwerk van relaties met derden. Ook kunnen wij u ontzorgen in de uitvoering van de due diligence onderzoeken die voortvloeien aan de compliancy op de best practices van DNB. Wilt u meer over dit onderwerp weten of komt u graag in contact? Neem dan gerust contact op met Laura van Pottelberghe – laura.vanpottelberghe@brightstonegroup.nl – +31 629218879
