1. Inleiding
In contractmanagement en outsourcing binnen de financiële sector wordt vaak gesproken over materiële uitbestedingen, hoog/laag risico, risico-appetite, en kritieke functies of diensten. Hoewel deze begrippen met elkaar samenhangen, vertegenwoordigen ze verschillende beoordelingsniveaus:
- Materialiteit bepaalt of een activiteit of uitbesteding onder het formele uitbestedingskader valt.
- Risico en risicocategorieën (hoog/midden/laag) bepalen de mate van aandacht en monitoring die een contract verdient.
- Kritieke functies of diensten gaan nog een stap verder: dit zijn processen of leveranciers die essentieel zijn voor de continuïteit van de bedrijfsvoering of de dienstverlening aan klanten.
2. De drie beoordelingsniveaus uitgelegd
| Begrip | Wat beoordeelt het? | Doel | Resultaat | Voorbeeld |
|---|---|---|---|---|
| Materialiteit | Impact op bedrijfsvoering en toezichtsverplichtingen bij uitbesteding | Vaststellen of iets een materiële uitbesteding is (formeel DORA/EBA-toetsingsproces) | Materieel of Niet-materieel | Uitbesteding van kernbankensysteem = materieel |
| Risicocategorie (hoog/midden/laag) | Kans x impact van falen of tekortkoming in dienstverlening | Bepalen van beheerintensiteit en monitoringfrequentie | Risicoprofiel per leverancier | SaaS-dienst met klantdata = hoog; printservice = laag |
| Kritieke functie/dienst | Functie waarvan falen leidt tot verstoring van essentiële bedrijfsprocessen of wettelijke taken | Identificeren van Business Critical Functions (BCFs) | Kritiek of Niet-kritiek | Betalingsverkeerplatform, core-databasebeheer |
3. De samenhang
De drie niveaus bouwen op elkaar voort:
- Eerst bepaal je materialiteit: is de activiteit significant voor de bedrijfsvoering of toezicht?
- Daarna bepaal je risicocategorie: hoe groot is de kans/impact van verstoring?
- Tot slot identificeer je kritieke functies: waar zou een verstoring onacceptabel zijn binnen de risicobereidheid (risk appetite)?
Samengevat:
- Materialiteit bepaalt of je formeel moet toetsen.
- Risicocategorie bepaalt hoeveel aandacht, controles en governance nodig zijn.
- Kritieke functie bepaalt of speciale continuïteits- en herstelmaatregelen verplicht zijn.
4. Contractmanagement en risicogestuurde aandacht
Binnen contractmanagement wordt de risicocategorie doorgaans vertaald naar contractcategorieën:
| Risiconiveau | Contractcategorie | Aandacht / Governance | Voorbeeld activiteiten |
|---|---|---|---|
| Laag | Standaardleverancier | Basiscontract, periodieke review | Niet-kritische softwarelicenties |
| Midden | Strategisch contract | Jaarlijkse evaluatie, performance-meetings | IT-beheer, servicedesk |
| Hoog | Kritieke leverancier | Intensieve monitoring, exit-strategie, compliance-audits | Cloudprovider met kernsystemen |
De risk appetite van de organisatie bepaalt de grens tussen “acceptabel” en “onacceptabel” risico — en dus welke contracten extra aandacht verdienen.
5. Kritieke functies en bedrijfscontinuïteit
Volgens DORA en EBA/ESMA-richtsnoeren moet iedere organisatie vaststellen welke functies kritiek of belangrijk zijn voor de bedrijfscontinuïteit.
Een functie of dienst is kritiek als:
- verstoring leidt tot niet-naleving van wettelijke verplichtingen;
- er significante impact is op klanten of markten;
- herstel niet binnen een acceptabele termijn mogelijk is;
- geen direct alternatief beschikbaar is.
Template 1: Materialiteitstoets (voorbeeld)
| Veld | Beschrijving | Invulling / Toelichting |
|---|---|---|
| Activiteit / dienst | Omschrijving van de uitbestede activiteit | |
| Onderdeel van kernactiviteiten? | Ja/Nee | |
| Impact op bedrijfscontinuïteit bij falen | Hoog / Middel / Laag | |
| Toezichtgevoelig (DNB/AFM)? | Ja/Nee | |
| Contractwaarde significant (>drempel)? | Ja/Nee | |
| Frequentie van gebruik / aantal afdelingen | ||
| Alternatief intern beschikbaar? | Ja/Nee | |
| Eindbeoordeling materialiteit | Materieel / Niet-materieel | (verantwoording) |
| Toelichting / bron | Link naar beleidsdocument of DORA-artikel |
Toelichting:
Een activiteit is materieel indien deze essentieel is voor de uitvoering van wettelijke of kernprocessen, of als de verstoring daarvan significante impact heeft op de bedrijfsvoering of klanten.
Template 2: Kritieke Functie-Toets
| Veld | Beschrijving | Invulling / Toelichting |
|---|---|---|
| Functie of dienst | Naam van proces, applicatie of leverancier | |
| Vervangbaarheid binnen 24-72 uur? | Ja/Nee | |
| Effect op klanten of markt bij uitval | Hoog / Middel / Laag | |
| Hersteltijd acceptabel binnen risk appetite? | Ja/Nee | |
| Afhankelijk van externe leverancier? | Ja/Nee | |
| Betrokken bij wettelijke verplichtingen? | Ja/Nee (bijv. rapportage, betalingen) | |
| Eindbeoordeling | Kritiek / Belangrijk / Niet-kritiek | (verantwoording) |
| Continuïteitsplan aanwezig? | Ja/Nee + link |
Toelichting:
Een functie is kritiek wanneer de verstoring niet binnen de vastgestelde hersteltermijn kan worden opgelost zonder ernstige schade aan bedrijfsvoering of klantbelangen.
6. Conclusie
In de praktijk zijn materialiteit, risicocategorie en kritieke functies drie schakels van dezelfde keten:
- Materialiteit bepaalt de formele verplichting tot toetsing en documentatie.
- Risicocategorie vertaalt dat naar dagelijkse contractmanagement-praktijk (aandacht en monitoring).
- Kritieke functies vormen de kern waarop bedrijfscontinuïteit, DORA-compliance en toezicht zich concentreren.
Een volwassen contractmanagement-organisatie integreert deze drie toetsen in één periodiek herzien risicobeoordelingsproces, met duidelijke verantwoordelijkheden en audit-traceerbare documentatie.
