Handvatten voor beleggingsondernemingen voor melden incidenten
De Autoriteit Financiële Markten (AFM) komt met handvatten voor beleggingsondernemingen voor het melden van incidenten. In een deepdive-onderzoek hebben wij een aantal mogelijke oorzaken geïdentificeerd voor het uitblijven van die meldingen. Het gepubliceerde rapport bevat de onderzoeksresultaten en enkele best practices.In het kort
- Beleid, procedures en maatregelen niet altijd adequaat
- Herleidbaarheid besluitvorming kan beter
- Soms (te) sterke focus op incidenten van operationele aard
- Een aantal ondernemingen leunt zwaar op eigen oordeel medewerkers
Het onderzoek zijn wij gestart omdat er relatief weinig incidentmeldingen bij ons binnenkwamen. Sinds 2020 besteden wij extra aandacht aan incidenten bij beleggingsondernemingen (met uitzondering van beleggingsondernemingen die uitsluitend beleggingsactiviteiten verrichten) en bij beheerders van beleggingsinstellingen en/of icbe’s (ondernemingen). Het doel van het onderzoek is om te onderzoeken wat hiervan de oorzaak is.
Beleid, procedures en maatregelen niet altijd adequaat
In het beleid van ondernemingen werd niet altijd goed uitgewerkt wat een (potentieel) incident is. Ook hebben wij grote verschillen geconstateerd in diepgang en reikwijdte van de definitie. Hierdoor kan het voor medewerkers, die op basis van dit beleid werken, onduidelijk zijn welke potentiële gebeurtenissen als incident worden gekwalificeerd.
Ook procedures en maatregelen voor het melden van incidenten waren niet altijd op orde. Zo ontbrak bij een aantal ondernemingen een beschrijving van rollen en verantwoordelijkheden en/of instructies hoe en waar medewerkers potentiële incidenten kunnen melden.
Herleidbaarheid besluitvorming kan beter
Bij een aantal ondernemingen troffen wij geen of een niet toereikende vastlegging van besluitvorming over incidenten aan. Voor ondernemingen is het belangrijk dat (bestuurlijke) besluitvorming verantwoord kan worden, onder meer naar toezichthouders. Wij raden dan ook aan deze besluitvorming vast te leggen, bijvoorbeeld in de notulen van bestuursvergaderingen.
Soms te sterke focus op incidenten van operationele aard
Het is ons opgevallen dat ondernemingen die vooral IT-gedreven zijn, uitgebreide procedures en maatregelen hebben om incidenten te detecteren, te evalueren en eventueel te melden. Daarbij is het opvallend dat sommige van deze ondernemingen een zeer sterke focus hebben op incidenten van operationele aard. Wij geven ondernemingen mee dat ook gebeurtenissen van sociale aard, zoals ongewenst gedrag op de werkvloer, aandacht vereisen.
Een aantal ondernemingen leunt zwaar op eigen oordeel medewerkers
Sommige ondernemingen laten relatief veel verantwoordelijkheid aan medewerkers om te beoordelen of een gebeurtenis een (potentieel) incident vormt. Dat heeft als risico dat beoordelingen ad-hoc en niet consistent worden uitgevoerd. Hoewel ondernemingen soms aangaven dat medewerkers over een goede opleiding beschikten of dat er in de onderneming een ‘open cultuur’ is waar medewerkers zich durven uit te spreken, roepen wij ondernemingen op om op basis van heldere procedures en maatregelen medewerkers duidelijkheid te geven wat er van hen verwacht wordt.Voor een goed werkende asset management markt is het van groot belang dat ondernemingen incidenten tijdig bij ons te melden. Wij gebruiken incidentmeldingen om actief te reageren op signalen en een bijdrage te leveren aan het oplossen van problemen. Een gezonde en goed werkende sector is van belang voor ondernemingen en voor beleggers.
Contact bij dit artikel
Wilt u het laatste nieuws van de AFM ontvangen?
Schrijft u zich dan in voor onze nieuwsbrief, dan houden wij u op de hoogte.