De Nederlandse Bank (DNB) heeft de Volksbank (DVB) twee forse boetes opgelegd. Er zijn misstanden geconstateerd, waarvan een deel elke IT dienstverlener bekend zal voorkomen. Mogelijk is deze boete een reden kritischer naar de eigen werkzaamheden en de werkzaamheden die men voor derden verricht te kijken,
Banken in Nederland en DNB als toezichthouder zijn uitermate terughoudend als het gaat om communicatie over fouten en misstanden. Daar zijn meerdere redenen voor en een daarvan is dat men koste wat het koste onrust in de markt wil voorkomen. Onrust bij klanten van banken kan leiden tot bankruns en het is begrijpelijk dat elke bank en DNB dat willen voorkomen. De laatste keer dat iets van een bankrun voorkwam in Nederland was met de DSB in oktober 2009.
Regels
Zoals bekend zijn banken in Nederland aan enorm veel regels gebonden. Die regels moeten fouten voorkomen en naleving daarvan wordt (in opdracht van de ECB) door DNB gedaan. Het mooiste is natuurlijk dat elke bank op elke onderdeel goed scoort. Is dat niet het geval dan volgt een waarschuwing en als het dan nog niet verbetert dan volgt een boete waarover met de buitenwacht wordt gecommuniceerd. Bij DVB is dat laatste gebeurt.
IT systemen
De boetebesluiten zijn behoorlijke boekwerken. Ze maken inzichtelijk wat de werkzaamheden van een bank behoren te zijn. Wie een IT dienstverlener is en geen bankier herkent mogelijk de volgende twee punten. DNB heeft vastgesteld dat de IT systemen voor bepaalde processen niet in orde waren. De details doen er verder niet aan toe, het gaat erop dat de capaciteit onvoldoende was voor de werkzaamheden. Zoiets roept toch directe de vraag op waarom dat is ontstaan en kon blijven bestaan.
Uitbesteden
Het tweede punt gaat over uitbesteden. Banken mogen werkzaamheden uitbesteden, maar dienen daar regelmatig controles door te (laten) voeren. Als het uitbesteden structureel is dan is nog meer controle nodig. Of het nu gaat om een kleine eenmalige klus of een groter langdurig traject. In alle gevallen moet de opdrachtgever – de bank dus – een risicoanalyse maken.
Risicoanalyse
DNB schrijft dat natuurlijk niet, maar iedereen moet weten dat een dergelijk risicoanalyse niet alleen in het belang is van de bank als opdrachtgever, maar ook aan de opdrachtnemer.
Op dit punt komt IT en uitbesteding samen. DNB heeft vastgesteld dat DVB bij het uitbesteden van de IT de risicoanalyse zwaar onvoldoende was. Er staat letterlijk dat “het continuïteitsplan tekort was geschoten” en dat “procedures met de externe dienstverlener moesten worden geactualiseerd”.
Stel je bent IT dienstverlener en je klant krijgt dit te horen van de toezichthouder. Dan heeft niet alleen je klant maar ook jij een probleem. En als je geen bank hebt als klant kan het nog steeds zo zijn dat een accountant of auditor met een dergelijk vernietigend oordeel komt. Daarom is het goed op sommige punten pro-actief te zijn en niet te wachten tot je klant in beweging komt.
(foto)