In een open bankensector blijven banken verantwoordelijk voor hun dienstverlening, ook als ze onderdelen uitbesteden of samenwerken met derde partijen. Banken blijven daarbij aanspreekbaar op het beheersen van de risico’s, aldus DNB in vandaag verschenen rapport “Ontketend, toezicht op een open bankensector”. Ook dienen banken vanaf volgend jaar alle uitbestedingen te melden, waardoor DNB eventuele concentratierisico’s kan monitoren.
Banken werken vaker met derde partijen
De bancaire sector wordt meer open. In de eerste plaats besteden banken onderdelen van bancaire processen uit aan gespecialiseerde partijen, van hypotheekadministratie tot aan betalingen voor rekeninghouders. Het gebruik van gespecialiseerde partijen kan onder andere leiden tot meer kostenefficiëntie en zich op termijn vertalen in lagere prijzen voor bancaire diensten. Een voorbeeld van de uitbestedingstrend is dat banken IT-diensten zoals dataopslag en verwerkingscapaciteit naar de cloud verplaatsen. Het aantal bij DNB gemelde cloud computing uitbestedingen is in drie jaar tijd verdrievoudigd tot ruim 180 in 2017.
In de tweede plaats werken banken steeds vaker samen met innovatieve partijen.
Grotere openheid van de bancaire sector – ook gestimuleerd door de invoering van PSD2- biedt daarmee kansen voor technologische innovaties om hun weg te vinden in de dienstverlening. Zo kunnen toepassingen op het gebied van kunstmatige intelligentie de doorlooptijd van kredietaanvragen verkorten, en bieden digitale huishoudboekjes consumenten meer inzicht in hun financiële situatie. Een open bankensector draagt op deze manier bij aan groter gebruikersgemak en efficiencyverbeteringen in de dienstverlening aan consumenten en bedrijven.
Bank blijft verantwoordelijk voor risico’s
Tegelijkertijd blijven banken verantwoordelijk voor de activiteiten en processen die nodig zijn om hun producten en diensten aan de consument te leveren. Dit geldt als ze deze activiteiten in samenwerking met of volledig door derde partijen laten uitvoeren, zoals bij het uitbesteden van IT-infrastructuur of het inkopen van risicomodellen. Het bestuur van een bank kan de verantwoordelijkheid voor de risico´s niet overdragen aan derde partijen. Banken mogen in dat opzicht geen ‘lege huls’ worden. Dit vereist van banken ten minste dat ze goed weten met wie ze samenwerken, aan welke risico’s ze blootgesteld worden en deze risico’s ook doorlopend kunnen monitoren en beheersen. Ook vraagt het om voldoende kennis en aandacht binnen de bank om de kwaliteit van dienstverlening van derde partijen te kunnen beoordelen, zeker als gebruik wordt gemaakt van innovatieve technologieën.
Daarnaast kunnen bij uitbestedingen nieuwe single-points-of-failure ontstaan op het moment dat meerdere banken kritieke processen onderbrengen bij dezelfde partij. Indien deze partij zelf in de problemen komt kan dit de continuïteit van dienstverlening voor meerdere instellingen in gevaar brengen. Dit ondermijnt het vertrouwen in de financiële sector, zeker als sprake zou zijn van uitval van cruciale functies zoals betalingsverkeer. Het concentratierisico kan versterkt worden wanneer banken taken uitbesteden aan partijen die op hun beurt weer gebruik maken van dezelfde dienstverleners.
Toezichthouders brengen concentratierisico’s in kaart
DNB gaat – evenals andere Europese toezichthouders – systematisch in kaart brengen waar zich potentiële concentratierisico’s bij uitbestedingen opbouwen. Naar verwachting zijn banken vanaf medio 2019 onder nieuwe EBA richtlijnen verplicht om alle uitbestedingen te registeren, waardoor DNB in staat is de concentratiegraad van dienstverleners op nationaal niveau te monitoren. Concentraties bij bepaalde dienstverleners geven daarnaast aanleiding voor (internationaal) onderzoek of deze als too big to fail moeten worden gezien en of het wenselijk is om hierop toezicht te houden. Omdat het hier gaat om grensoverschrijdende dienstverlening met potentiële concentraties een mondiaal risico zijn, vraagt dit vraagstuk om internationaal gecoördineerde aanpak