Beheerders van alternatieve beleggingsinstellingen kiezen er steeds vaker voor om een deel van hun werkzaamheden uit te besteden. Bijvoorbeeld om de kwaliteit van de dienstverlening te verbeteren of om kosten te besparen. Uit onderzoek van de AFM bleek echter onlangs dat het uitbestedingsbeleid van AIFMD-beheerders vaak niet voldoet aan de wet- en regelgeving. Hoe zorgt u dat u de risico’s bij uitbesteding voldoende beheerst en de controle behoudt?
Uitbestedingsketen
Door onder meer slimme SAAS-oplossingen, toenemende focus op kernactiviteiten of simpelweg een te kleine organisatie heeft uitbesteding onder beheerders van alternatieve beleggingsinstellingen de laatste jaren een vlucht genomen. De Europese Alternative Investment Fund Managers Directive (AIFMD) staat uitbesteding toe, maar verbindt hieraan strenge voorwaarden. Zo moet een beheerder doeltreffend toezicht kunnen houden op de uitbestedingsrelatie, ook bij onderaanbestedingen. Los van de formele eisen is het van belang de risico’s van uitbesteding voor uw organisatie goed te beheersen. Een lastige opgave, met name in technische omgevingen waar steeds vaker systemen van verschillende leveranciers aan elkaar gekoppeld. Zeker nu de uitbestedingsketen steeds complexer wordt, is het van belang dat de beheerder de controle blijft behouden over de werkzaamheden die worden uitbesteed.
Welke stappen u dient te nemen bij uitbesteding leest u hieronder.
Motivatie van de uitbesteding
Indien u beheerder bent van een alternatieve beleggingsinstelling en bepaalde werkzaamheden door een derde partij (hierna: serviceprovider) wilt laten uitvoeren, dient u de motivatie voor deze keuze vast te leggen. Op grond van artikel 76 van gedelegeerde verordening 231/2013 wordt van u verwacht dat u goed heeft nagedacht over de voordelen van de uitbesteding en gedegen onderzoek heeft gedaan naar de deskundigheid van de serviceprovider. U dient met objectieve argumenten te kunnen onderbouwen waarom een bepaalde activiteit wordt uitbesteed. Bijvoorbeeld vanwege de deskundigheid van een serviceprovider, om kosten te besparen of om bedrijfsprocessen te optimaliseren. Daarnaast is het van belang dat de activiteiten die uitbesteed worden niet behoren tot de kernactiviteiten van uw organisatie.
Risicoanalyse
Als u de keuze voor uitbesteding voldoende kunt motiveren, is het zaak een gedegen risicoanalyse uit te voeren en de minimale eisen te bepalen waaraan een serviceprovider moet voldoen. De risicoanalyse dient onder meer in te gaan op strategische risico’s: hoe afhankelijk wordt mijn organisatie van de serviceprovider en hoe bewaak ik dat mijn strategische doelstellingen worden geborgd? Ook dient de risicoanalyse minimaal in te gaan op operationale risico’s: wat zijn de operationele risico’s van een bepaalde activiteit en heb ik inzicht in de effectiviteit van de operationele risicobeheersing? Verder dient er aandacht te zijn voor onder meer informatierisico’s, continuïteitsrisico’s en juridische risico’s, zoals: kan het recht op inspectie worden geregeld en wat zijn de afspraken over het verlenen van medewerking aan informatieuitvragen van de toezichthouder?
Selectie en overeenkomst
Aan de hand van de risicoanalyse kan een lijst met eisen worden opgesteld waar een serviceprvider aan dient te voldoen, eventueel onderverdeeld in ‘must haves’ en ‘nice to haves’. Op basis van deze lijst kunnen potentiële serviceproviders worden geselecteerd. Om er zeker van te zijn dat een beoogde serviceprovider kan voldoen aan alle eisen, is het van belang een grondig due diligence uit te voeren. Na de selectie van de serviceprovider dienen de afspraken over de uitbesteding te worden vastgelegd in een overeenkomst. In deze overeenkomst dienen in elk geval instructie- en beëindigingsrechten, het recht op informatie en het recht op inspectie te worden opgenomen. Vanwege de complexiteit is het aan te raden om hier een gespecialiseerde advocaat bij te betrekken.
Permanente risicobeheersing
Na het sluiten van de overeenkomst dient u de dienstverlening en het voldoen aan de wet- en regelgeving continu te evalueren en toezicht te houden op de risico’s die aan de uitbesteding verbonden zijn. Uit het onderzoek van de AFM is gebleken dat het bij uitbestedingsrelaties vaak schort aan grondige permanente beoordeling. De vereiste beheersing van de risico’s kan onder meer worden ingevuld door service level agreement (SLA)-afspraken (inclusief KPI’s en periodieke rapportages), het verplicht stellen van certificeringen, zoals ISAE 3402, ISO 27001 en 9001 en het jaarlijks voeren van een gesprek met de interne auditor, compliance officer en/of directie van de serviceprovider
Activiteiten uitbesteden
Het uitbesteden van activiteiten kan prachtige kansen bieden, mits de keuze voor de uitbesteding voldoende kan worden gemotiveerd, u de controle behoudt over de uitbestede werkzaamheden en de uitbestedingsrelatie voldoet aan de wettelijke vereisten. Voor vragen kunt u geheel vrijblijvend contact met ons opnemen.
Contact
