Oversight op betalings- en effectenverkeer 2013

Oversight op betalings- en effectenverkeer
13
De Nederlandsche Bank
O versight op betalingsen ef fectenverkeer 2 013
ma a r t 2 0 1 4
1
13
De Nederlandsche Bank
O versight op betalingsen ef fectenverkeer 2 013
ma a r t 2 0 1 4
Oversight op betalings- en effectenverkeer
Inhoudsopgave
1. Inleiding 3
2. Oversight: doel en methode 4
3. Oversightontwikkelingen 2013 9
4. Toetsingsresultaten hoogwaardig betalingsverkeer 12
5. Toetsingsresultaten effectenverkeer 14
6. Toetsingsresultaten retailbetalingsverkeer 19
7. Business continuity financiële kerninfrastructuur 24
Appendix – Gebruikte afkortingen 26
2
Oversight op betalings- en effectenverkeer
1. Inleiding
Dit oversightrapport dient om verantwoording af te leggen over de uitvoering van
de taak van de Nederlandsche Bank (DNB) met betrekking tot het oversight op
het betalings- en effectenverkeer. Het internationale Committee on Payment and
Settlement Systems stelt eisen aan de transparantie van de oversightfunctie van een
centrale bank. Dit vereiste is als volgt verwoord in het rapport van dit comité inzake
oversight uit 2005: “Central banks should set out publicly their oversight policies, including
the policy requirements or standards for systems and the criteria for determining which systems
these apply to.” (zie www.bis.org/publ/cpss68.pdf). DNB vult dit in door, naast de
gebruikte toetsingscriteria, eveneens de resultaten van de toetsingen te publiceren
teneinde op een effectieve wijze aan dit criterium invulling te geven. DNB publiceert sinds verslagjaar 2006 een dergelijk overzicht.
De mate van compliance van het voor Nederland relevante betalings- en effectenverkeer met de afgesproken (inter)nationale oversightstandaarden is opgenomen
in het voorliggende rapport. Deze resultaten van het oversight zijn gebaseerd
op werkzaamheden door DNB verricht gedurende 2013 en waar relevant met de
Autoriteit Financiële Markten (AFM) en toezichthouders in het buitenland. In
hoofdstuk 2 staan het doel en de methode van het oversight centraal. Hierin is ook
opgenomen de volledige lijst van oversightobjecten waarop DNB in 2013 oversight
hield. In hoofdstuk 3 worden de laatste ontwikkelingen op het gebied van oversight
behandeld. In hoofdstukken 4 t/m 6 zijn de resultaten van de toetsingen opgenomen, onderverdeeld in drie hoofddomeinen: het hoogwaardige betalingsverkeer,
het effectenverkeer en het retailbetalingsverkeer. Tot slot zijn in hoofdstuk 7 de
belangrijkste activiteiten over 2013 van het operationele crisismanagement van de
financiële sector opgenomen. In de Appendix is een lijst van gebruikte afkortingen
opgenomen. De afsluitdatum van het rapport is 1 februari 2014.
3
Oversight op betalings- en effectenverkeer
2. Oversight: doel en methode
Oversight is een vorm van toezicht dat gericht is op de bevordering van de veiligheid en efficiëntie van het betalings- en effectenverkeer. Voor DNB zijn dat alle
betaalsystemen, betaalproducten en effectenafwikkelsystemen die relevant zijn voor
Nederland. Met behulp van oversight wordt beoogd het systeemrisico en het risico
op verstoringen die kunnen leiden tot maatschappelijke onrust te mitigeren die
kunnen ontstaan vanuit het voor Nederland relevante betalings- en effectenverkeer.
Het oversight op het betalings- en effectenverkeer is een taak die DNB uitvoert
zowel uit hoofde van de Bankwet 1998 (Artikel 4 lid 2 en artikel 3 lid 1e) als uit
hoofde van het Europees Stelsel van Centrale Banken (EU-Verdrag Artikel 127 lid
2). In deze artikelen wordt DNB en het stelsel van centrale banken de taak gegeven
om de goede werking van het betalingsverkeer te bevorderen.
Vanaf 1 januari 2014 is het oversight op het retailbetalingsverkeer mede gebaseerd op
de Wet op het Financieel Toezicht (Wft). DNB is hiervoor de vergunningverlener
en ziet toe op de systeemaspecten van afwikkelondernemingen. De AFM is verantwoordelijk voor het toezicht op de gedragsaspecten van afwikkelondernemingen.
Het oversight op het effectenverkeer is mede gebaseerd op de Wet op het Financieel
Toezicht (Wft, artikel 5:30 lid e) en de daaruit voortvloeiende vergunning voor
het houden van een beurs of handelsplatform. Dat deel van het oversight wordt
gezamenlijk uitgevoerd met de AFM. Een tweede, specifieke grondslag voor het
oversight op het effectenverkeer is de EMIR richtlijn. Deze is per 15 maart 2013 in
het geheel voor het oversight op centrale tegenpartijen van kracht geworden. Zie
hoofdstuk 3 Oversightontwikkelingen voor een nadere toelichting.
De oversighttaak is gericht op twee doelstellingen waarmee wordt beoogd bij te
dragen aan het bevorderen van de DNB-brede doelstelling van financiële stabiliteit
en de goede werking van het betalingsverkeer:
1) het vermijden van systeemrisico, en
2)het voorkomen van verstoringen die kunnen leiden tot maatschappelijke ontwrichting voor zover dat voortvloeit uit het voor Nederland relevante retailbetalingsverkeer.
De scope van oversight van DNB omvat voor het effectenverkeer in principe de
instellingen en systemen die de clearing en settlement verzorgen van het voor
Nederland relevante effectenverkeer, zoals centrale tegenpartijen (CCP´s) en het
centrale bewaarbedrijf (CSD). De scope van oversight van DNB omvat voor het
betalingsverkeer instellingen, systemen en producten waarvan het voor Nederland
relevante betalingsverkeer gebruik maakt. Hiernaast zijn er voor het Nederlandse
betalings- en effectenverkeer relevante oversightobjecten in het buitenland (zowel
Europees als mondiaal). In deze gevallen is sprake van internationaal coöperatief
Oversight, waarbij met verschillende buitenlandse overseers en toezichthouders
wordt samengewerkt. Een object is relevant voor Nederland indien verstoringen
in dat object een directe, negatieve consequentie hebben voor Nederland. Tabel
4
Oversight op betalings- en effectenverkeer
2.1 biedt het overzicht van alle oversightobjecten waar DNB lead overseer is of
deelnemer aan het desbetreffende oversightarrangement in 2013.
Tabel 2.1 Nationale en internationale oversightarrangementen 2013
Systeem
Lead overseer/toezichthouder
Andere overseers/toezichthouders
Hoogwaardig betalingsverkeer
TARGET2
TARGET2-NL
EURO1
CLS
ECB
DNB
ECB
Federal Reserve
Eurosysteem ncb’s
SWIFT
NBB
Effectenverkeer
LCH.Clearnet SA
LCH.Clearnet group Ltd
EMCF
Euroclear SA
Euroclear NL
Euroclear ESES
EuroCCP Ltd
Holland Clearing House
Retail betalingsverkeer
Equens (SE, CSS, CSM en Switch)
VISA Europe (VISA en V Pay)
MasterCard Europe (MasterCard en
Maestro)
CCV
Currence (Chipknip, Acceptgiro,
Incasso, iDEAL)
Betaalvereniging Nederland
UPSS
Eurosysteem ncb’s
G10-centrale banken en overige centrale banken
van de 17 betrokken valuta’s
Overige G10 centrale banken
Roulerend voorzitterschap toezicht- AFM, DNB en toezichthouders uit België,
houders Euronext landen
Frankrijk en Portugal
Autorité de Contrôle Prudentiel
AFM, DNB en toezichthouders België,
Frankrijk, Portugal en het VK
AFM and DNB
Toezichthouders uit België, Denemarken,
Duitsland, Finland, Hongarije, Ijsland,
Oostenrijk, het VK en Zweden
NBB
AFM, DNB en toezichthouders uit België,
Finland, Frankrijk, Ierland, het VK en Zweden
AFM and DNB
AFM en DNB
NBB
AFM, DNB en toezichthouders uit België en
Frankrijk
FSA
AFM en DNB
AFM en DNB
DNB
ECB
NBB
Eurosysteem nationale centrale banken
Overige Eurosysteem nationale centrale banken
en ECB
DNB
DNB
DNB
DNB
Voor alle oversightobjecten die onderdeel zijn van de financiële kerninfrastructuur gelden nog aanvullende business continuity eisen
(Toetsingskader Business Continuity Management Financiële Kerninfrastructuur, DNB, 2011)
5
Oversight op betalings- en effectenverkeer
Tabel 2.2 Toepasselijke oversightstandaarden 2013
Systeem
Toepasselijke standaarden in 2013
Hoogwaardig betalingsverkeer
TARGET2, TARGET2-NL, EURO1, CLS
SWIFT
Core Principles for Systemically Important Payment Systems (BIS, 2001),
Principles for Financial Market Infrastructures (BIS, 2012)
High Level Expectations (SWIFT)
Effectenverkeer
LCH.Clearnet SA, LCH.Clearnet group Ltd,
EMCF, HCH, EuroCCP Ltd, Euroclear SA,
Euroclear NL, Euroclear ESES
Recommendations for securities settlement systems and recommendations
for central counterparties in the European Union (ESCB & CESR, 2009),
EMIR (2013), Principles for Financial Market Infrastructures (BIS, 2012)
Retail betalingsverkeer
Equens SE, CSS, CSM, Switch
VISA, V Pay, MasterCard, Maestro
CCV
Currence Chipknip
Currence Acceptgiro
Currence Incasso
Currence iDEAL
Betaalvereniging
Terms of reference for the oversight assessment of euro systemically and
prominently important payment systems against the core principles (ECB,
2007)
Oversight framework for Card Payment Schemes (ECB, 2008)
Geen (nog niet beschikbaar)
Geen (nog niet beschikbaar)
Oversight Framework for Credit Transfer Schemes (ECB, 2010)
Oversight Framework for Direct Debit Schemes (EBC, 2010)
Oversight Framework for Credit Transfer Schemes (ECB, 2010)
Geen (licht oversight regime)
Gedurende 2013 zijn voor het hoogwaardige betalingsverkeer en het effectenverkeer nieuwe standaarden en wet- en regelgeving van toepassing geworden. In het
jaarrapport 2014 zullen de nieuwe standaarden en van toepassing zijnde wet- en regelgeving worden opgenomen.
De uitvoering van oversight vindt plaats door middel van toetsingen en via reguliere
oversightactiviteiten. Toetsingen worden uitgevoerd als er sprake is van vergunningverlening, een nieuw systeem, een nieuw product of in geval van een grote
wijziging. Hierbij wordt het object aan alle standaarden getoetst die voor dat soort
systeem of product van toepassing zijn (een overzicht is weergegeven in Tabel 2.2).
Ook deeltoetsingen zijn mogelijk, bijvoorbeeld bij kleinere wijzigingen in het object
of in het kader van een thematisch onderzoek.
Het reguliere oversight bestaat ondermeer uit het monitoren van een oversightobject
aan de hand van rapportages en het voeren van periodieke gesprekken met management en auditors van het object. Daarbij wordt de voortgang van de afhandeling
van aanbevelingen bewaakt en wordt gevolgd welke ontwikkelingen of wijzigingen
gepland worden voor het object. Indien aanbevelingen niet worden opgevolgd door
het oversightobject zal in voorkomende gevallen repressief opgetreden moeten worden door middel van de inzet van formele handhavingsinstrumenten indien de
wetgeving dat bij het desbetreffende oversightobject mogelijk maakt.
De resultaten van een toetsing (met uitzondering van vergunningverlening) worden
vastgelegd in een overzichtstabel waarin is weergegeven in welke mate het object
op het moment van toetsing voldoet aan alle standaarden. De daarbij gehanteerde
scoringssystematiek volgt de internationale standaarden en is als volgt:
6
Oversight op betalings- en effectenverkeer
Kleur
Betekenis
Uitleg
Voldoet
Aan alle eisen wordt voldaan
Voldoet grotendeels
Er zijn kleine tekortkomingen met een beperkte
invloed op de veiligheid en efficiëntie van het systeem
Voldoet deels
Er zijn ernstige tekortkomingen waarvoor op korte
termijn maatregelen worden doorgevoerd
Voldoet niet
Er zijn ernstige tekortkomingen waarvoor niet gepland
is om op korte termijn maatregelen te nemen
Niet van toepassing
Niet getoetst
Er heeft nog geen initiële toetsing aan deze standaard
plaatsgevonden
De overzichtstabellen (zie hoofstukken 4 t/m 6) worden jaarlijks bijgewerkt om te
laten zien in welke mate wordt voldaan aan de standaarden respectievelijk waar
verbeteringen of verslechteringen zijn geconstateerd in vergelijking tot eerdere
jaren. Deze actualisering is gebaseerd op de informatie uit het reguliere oversight
en op eventuele follow-up toetsingen. Vandaar dat de overzichtstabel per object een
overzicht geeft voor het voldoen aan alle standaarden, ook al is er in het afgelopen
jaar geen volledige toetsing uitgevoerd.
Een instelling, systeem of product dat slechts deels (oranje vak) of niet (rood vak)
voldoet aan één of meer van de standaarden zou in principe niet operationeel
mogen worden of zijn totdat de tekortkomingen zijn opgelost. Er zijn echter twee
situaties waarin een systeem of product met een voldoet deels of voldoet niet oordeel toch operationeel wordt of blijft.
De eerste situatie betreft oversightobjecten die materieel (nog) niet belangrijk zijn,
dat wil zeggen dat het potentiële systeemrisico of het risico op verstoringen die kunnen leiden tot maatschappelijke onrust van dat object zeer gering is; maar voordat
zij operationeel mogen worden is wel goedkeuring door de overseer nodig. Een
dergelijk prior approval kan in een dergelijk geval eventueel toch worden afgegeven
zodat het systeem kan starten. De keuze om een systeem in een dergelijk geval
toch te laten starten, hangt van verschillende factoren af, waaronder de aard van
de standaard waar niet aan wordt voldaan en het verwachte groeitempo van het
systeem. De voorwaarde die daarbij gesteld wordt, is dat het systeem bij toenemende
materialiteit wel aan de standaard gaat voldoen en de tekortkoming dus tijdig oplost.
De tweede – vooralsnog theoretische – situatie waarin een systeem, ondanks ernstige tekortkomingen, toch operationeel wordt c.q. blijft, is de situatie waarin DNB
geen bevoegdheden heeft om stopzetting van de activiteiten af te dwingen en het
desbetreffende object toch doorzet, ondanks bezwaren van DNB. Deze situatie
zou zich kunnen voordoen op die terreinen waar DNB geen formeel handhavings­
instrumentarium heeft en informele instrumenten, zoals overredingskracht (‘moral
suasion’), niet effectief blijken te zijn.
De doelen van oversight worden in hoofdzaak nagestreefd door het houden van
preventief toezicht. Om tot een verantwoorde indeling van oversightcapaciteit te
komen worden er keuzes gemaakt ten aanzien van de inzet van deze capaciteit. Deze
keuzes dienen helder, verifieerbaar en expliciet te zijn, zodat de risicohouding van
7
Oversight op betalings- en effectenverkeer
DNB duidelijk is en de oversightintensiteit zowel in- als extern te verantwoorden
is. De basis hiervoor vormt de a priori categorisering: de indeling van oversight­objecten in vijf klassen, die de intensiteit van het oversight bepalen. De basis
hiervoor is de zogenaamde FOCUS! - systematiek. Bij deze systematiek zijn de
oversight­objecten geclassificeerd naar toenemend inherent risico in vijf klassen
T1 t/m T5. Met inherent risico wordt hier bedoeld:
1)Het potentiële systeemrisico zonder de feitelijk door het object getroffen
beschermingsmaatregelen. Systeemrisico is hier op te vatten als het ‘van binnen
naar buiten risico’ (falen van het oversightobject zelf) en als het ‘van buiten naar
binnen risico’ (faillissement van een deelnemer of een externe ramp);
2)Het potentiële risico op verstoringen die kunnen leiden tot maatschappelijke
ontwrichting in het retailbetalingsverkeer zonder de feitelijk door het object
getroffen beschermingsmaatregelen. DNB definieert dit risico als de problemen
die ontstaan bij gebruikers in het retailbetalingsverkeer naar aanleiding van één
of enkele incidenten waardoor de goede werking van het retailbetalingsverkeer
wordt bedreigd en waarbij het risico bestaat op verstoring van de openbare orde
en/of verstorende effecten op het maatschappelijke leven.
De mate van inzet van oversightcapaciteit is proportioneel gemaakt aan het
­inherente risico. Dat wil zeggen dat de capaciteit en aandacht toeneemt naarmate een object is ingedeeld in een categorie met een hoger nummer (T1 t/m T5).
De intensiteit wordt vervolgens meegenomen in het reguliere oversight (risico­
analyse, risicobeoordeling en risicomitigatie) zoals weergegeven in figuur 1. Periodiek
wordt de a priori categorisering geactualiseerd. Op deze wijze tracht DNB nieuwe
ontwikkelingen of technologieën tijdig in het vizier te krijgen.
Figuur 1 Oversightproces
FIGUUR 1 OVERSIGHTPROCES
8
Oversight op betalings- en effectenverkeer
3. Oversightontwikkelingen 2013
3.1 Wft Afwikkelondernemingen
Op 1 januari 2014 is de Wet op het Financieel Toezicht uitgebreid met het toezicht op afwikkelondernemingen. De wetgever onderkent hiermee dat het elektronisch betalen, zoals pinnen in winkels en internetbankieren, zeer wijdverbreid
is in Nederland. Daardoor is de Nederlandse maatschappij in toenemende mate
afhankelijk geworden van het girale betalingsverkeer. Indien een grote partij in de
betaalketen uitvalt, heeft dat gevolgen voor de hele keten. Een hoge beschikbaarheid van het elektronische retailbetalingsverkeer is daarom essentieel aangezien
uitval van een belangrijke schakel in het girale betalingsverkeer tot maatschappelijke
ontwrichting kan leiden. Weliswaar zijn er fallback-mogelijkheden als een bepaald
primair product of kanaal niet beschikbaar is maar deze alternatieven zijn nooit
volledig gelijkwaardig qua functionaliteit of beschikbaarheid.
De ondernemingen die nu onder de Wft zijn gebracht, spelen een hoofdrol in het
verwerken van girale betalingen in Nederland. Zij zorgen voor een snelle autorisatie
van bijvoorbeeld pinbetalingen en zorgen voor de verwerking van overschrijvingen
en incasso’s. De afwikkelondernemingen vallen voor een deel al onder het vrijwillige oversight van DNB, soms al langere tijd. De wetgever heeft nu DNB een
handhavingsinstrumentarium ter beschikking gesteld.
Niet alle ondernemingen die afwikkeldiensten leveren in het betalingsverkeer zijn
vergunningplichtig. De vergunningplicht geldt alleen voor die ondernemingen
(met een zetel in het binnenland of buitenland) die een aanzienlijk deel van het
Nederlandse betalingsverkeer verwerken, en dus bij een verstoring maatschappelijke
ontwrichting kunnen veroorzaken. De wetgever heeft de grens voor vergunningplicht gelegd op 120 miljoen transacties per jaar. Dit impliceert dat een beperkt
aantal afwikkelondernemingen vergunningplichtig is.
3.2 EMIR: Europese oversightwetgeving voor centrale tegenpartijen
In 2012 is de Europese Verordening EMIR van kracht geworden en op 15 september
2013 was de deadline voor het aanvragen van een vergunning als centrale tegenpartij
(CCP’s). Alle in Europa actieve CCP’s waren verplicht om voor die datum een
vergunningaanvraag in te dienen bij hun nationale competente autoriteit.
Voor Nederland is DNB aangewezen als nationale competente autoriteit. Dit
betekent dat DNB de vergunningverlener is van in Nederland gevestigde CCP’s.
Daarnaast hebben DNB en AFM nu een aantal handhavingsinstrumenten tot hun
beschikking ten aanzien van CCP’s. In Nederland zijn twee centrale tegenpartijen
gevestigd: EuroCCP NV en Holland Clearing House (zie hoofdstuk 5 voor meer
informatie over CCP’s).
Binnen EMIR is bepaald dat de nationale competente autoriteit bij de vergunningverlening rekening houdt met de belangen van de deelnemers van de CCP
die in andere landen gevestigd kunnen zijn. Daarom schrijft EMIR voor dat een
9
Oversight op betalings- en effectenverkeer
college met buitenlandse toezichthouders meebeslist over het toekennen van de
vergunning. Besluitvorming vindt gewoonlijk plaats op basis van consensus maar
besluiten kunnen ook bij meerderheid van stemmen worden genomen. De samenstelling van de colleges is bepaald op grond van artikel 18, tweede lid EMIR. DNB is
voorzitter van de twee colleges voor de Nederlandse CCP’s Voor het internationaal
opererende EuroCCP NV bestaat het college uit zo’n twintig toezichthouders..
Hiernaast is DNB lid van de volgende colleges voor buitenlandse CCP’s:
1.LCH.Clearnet SA (FR) op grond van haar toezichthouderschap op de Nederlandse
CSD Euroclear Nederland, waarmee LCH.Clearnet SA een link onderhoudt;
2.LCH Clearnet Ltd (VK), op grond van haar toezichthouderschap op EuroCCP
NV, waarmee EuroCCP Ltd interoperabel is;
3.Eurex AG (DE) op grond van haar toezichthouderschap op ABN AMRO Bank
als een van de grootste clearing members van Eurex;
4.European Commodity Clearing (DE) op grond van haar toezichthouderschap
op ABN AMRO Bank als een van de grootste clearing members van ECC.
3.3 CSDR: Europese oversightwetgeving voor centrale bewaarbedrijven
Het oversight door DNB en AFM op Euroclear Nederland, het centrale bewaarbedrijf
voor Nederland, vindt momenteel plaats op basis van ‘moral suasion’. DNB heeft
namelijk geen wettelijke bevoegdheden om de normen die in het oversight worden gehanteerd te handhaven. Met de komst van de Central Securities Depository
Regulation (CSDR) gaat dit veranderen. De CSDR zal (onder andere) een vergunningplicht en doorlopend toezicht introduceren voor CSD’s. DNB zal de CSDR
in Nederland gezamenlijk met de AFM uitvoeren. Het Europese wetgevingsproces
loopt nog, maar de verwachting is dat de CSDR op 1 januari 2015 van kracht wordt.
3.4 SEPA oversight
Nadat op 14 maart 2012 het Europese Parlement en de Raad de Verordening om
de Single Euro Payments Area (SEPA) 1 uiterlijk 1 februari 2014 te realiseren hadden
aangenomen, is op 8 november 2012 bij Koninklijk Besluit2 DNB per 1 januari 2013
aangewezen als bevoegde autoriteit voor het toezien op de naleving van de artikelen
3, 4, 5, 6 en 9 van de SEPA-verordening. Binnen DNB is de afdeling Oversight van
de Divisie Betalingsverkeer hiermee belast. Het SEPA-oversight is een zelfstandige
taak van DNB naast het prudentieel toezicht door DNB en de ondersteuning van
het Nationaal Forum SEPA-migratie door het SEPA-programmabureau van DNB.
In de loop van 2013 is de voortgang van de migratie naar SEPA bij de Nederlandse
banken nauwgezet gevolgd. Bij de grote banken is extra aandacht gevraagd voor het
tijdig realiseren van deze migratie. De banken zijn verantwoordelijk voor de tijdige
migratie van zichzelf en hun klanten. DNB zal indien nodig gebruik gaan maken
van haar bevoegdheid tot het treffen van handhavingsmaatregelen conform de Wft.
Op 4 februari 2014 is de SEPA-verordening aangepast door banken zes maanden
langer de tijd te geven (1 augustus 2014) nog betalingstransacties in nationale formaten te verwerken. Tevens is bepaald dat de bevoegde autoriteit pas na 1 augustus
2014 dient toe te zien op de naleving van de SEPA-verordening en pas dan gebruik
kan maken van haar bevoegdheid uit de Wft.
Verordening Nr. 260/2012 tot vaststelling van technische en bedrijfsmatige vereisten voor overmakingen
en automatische afschrijvingen in euro en tot wijziging van Verordening (EG) nr. 924/2009.
2 Koninklijk Besluit strekkende tot uitvoering van EU-verordeningen op het terrein van de financiële
markten en tot wijziging van het Besluit bestuurlijke boetes financiële sector in verband daarmee
(Besluit uitvoering EU-verordeningen financiële markten).
1
10
Oversight op betalings- en effectenverkeer
3.5 CCV
Nadat DNB in 2012 had besloten de scope van oversight uit te breiden met onder
andere Computercentrum C. van de Velden B.V. (CCV), is in 2013 een oversightkader met CCV afgesproken. Daarin is onder meer informatie opgenomen over de
wijze van uitvoering van het oversight en de normen die aan CCV worden gesteld.
3.6 Holland Clearing House N.V.
Holland Clearing House N.V. (HCH) is sinds 2011 de aangewezen centrale tegenpartij voor de derivatentransacties verricht op het Nederlandse handelsplatform
The Order Machine.
Met de invoering van de European Markets Infrastructure Regulation is HCH als
Nederlandse CCP vergunningplichtig. Conform de in EMIR vastgestelde tijdlijnen
heeft HCH haar vergunningaanvraag voor 15 september 2013 bij DNB ingediend.
In 2013 telt HCH juridisch in totaal drie clearing members. ABNAMRO Clearing
Bank N.V. en Interactive Brokers (U.K.) Ltd zijn aangesloten als General Clearing
Participant en ABN AMRO Bank N.V. als Direct Clearing Participant. HCH verwacht in de toekomst te groeien in het aantal participanten en het verwerven van
marktaandeel. Om de afhankelijkheid tussen ABN AMRO en HCH te reduceren is
HCH in 2013 begonnen met het structureren van een carve-out. Met AFM en DNB
is afgesproken dat de carve-out waarschijnlijk pas na het EMIR vergunningverleningsproces voltooid zal zijn.
In 2013 heeft tevens een uitbreiding van de activiteiten van HCH plaatsgevonden.
Momenteel is HCH naast de (index)opties ook bevoegd voor de clearing van index
(futures).
11
Oversight op betalings- en effectenverkeer
4. Toetsingsresultaten hoogwaardig betalingsverkeer
TARGET2
TARGET2 is het belangrijkste betaalsysteem voor euro-betalingen. Juridisch gezien
bestaat het uit een verzameling van individuele NCB-systemen van de ECB en de
eurolanden (aangevuld met die van de niet-euro EU-landen Bulgarije, Denemarken,
Litouwen, Polen en Roemenië). De Nederlandse component is TARGET2-NL.
Verwerking van de TARGET2-transacties gebeurt op een gemeenschappelijk
betaalplatform, het Single Settlement Platform. De Bundesbank, Banca d’Italia en
Banque de France hebben dit platform ontwikkeld en zijn eveneens de operator.
Formeel gesproken hebben de NCBs de gemeenschappelijke TARGET2 activiteiten
uitbesteed aan Buba, BdI en BdF. Oversight op het gemeenschappelijke platform
geschiedt door de Working Group on Oversight, waarbij de ECB de lead overseer is.
In dit coöperatieve oversight-regime heeft DNB een actieve rol, onder meer omdat
de Nederlandse banken belangrijke gebruikers zijn van TARGET2. De TARGET2NL activiteiten die niet zijn uitbesteed aan de eerdergenoemde centrale banken,
vallen binnen de scope van DNB Oversight. Deze zogenoemde ‘local features’
betreffen vooral de zaken rond de business relatie met de TARGET2-NL participanten en het business continuity management.
Tabel 4.1 Oversight oordeel TARGET2
Voldoet
Voldoet grotendeels
Voldoet deels
Voldoet niet
Niet van toepassing
Niet getoetst
Core Principles for Systemically Important
Payment Systems
Juridische basis
Inzicht in financiële risico’s
Beheersing van financiële risico’s
Snelle finale afwikkeling
Multilaterale netting systemen
Afwikkelingsactivum
Operationele betrouwbaarheid
Efficiëntie
Toegang
Governance
12
2011
2012
2013
Oversight op betalings- en effectenverkeer
TARGET2-NL
Voor wat betreft de local features is in 2013 voor TARGET2-NL het BCM-beleid
getoetst. Deze toetsing werd uitgevoerd in het kader van de door DNB uitgevoerde
sectorbrede toetsing van het Business Continuity Management van de Financiële
Kerninfrastructuur is. De conclusie is dat TARGET2-NL voldoet aan de normen van
het DNB BCM Toetsingskader. Ten opzichte van de vorige toetsing in 2011 zijn de
toen geconstateerde aandachtspunten opgelost. Zo zijn verbeteringen doorgevoerd
in het risicomanagement en is vastgesteld dat het BCM-beleid op afdoende wijze
in de lijnorganisatie is geborgd.
EURO1
EURO1 is een hoogwaardig betaalsysteem voor grensoverschrijdende en binnenlandse transacties in euro tussen de banken in de Europese Unie. Het wordt beheerd
door EBA Clearing Company, opgericht door de European Banking Association.
EURO1 is bij de start van de euro in 1999 gelanceerd en ontwikkeld om te voorzien
in een efficiënte en rendabele infrastructuur voor grote interbancaire betalingen.
Oversight vindt op coöperatieve basis plaats met de ECB als lead overseer.
In 2013 is de follow-up van de in 2011 uitgevoerde toetsing van EURO1 gemonitord.
Deze toetsing was tegen de toenmalige oversightstandaarden, de Core Principles.
EBA Clearing heeft in 2013 haar loss sharing procedures aangepast. Deze wijziging,
die feitelijk een vereenvoudiging van de vorige regeling behelsde, past in de reeks
van maatregelen die de afgelopen jaren zijn doorgevoerd in het risico- en liquiditeitsmanagement instrumentarium voor de EURO1 banken. Deze verandering van
de loss sharing procedure is getoetst de ECB heeft geconcludeerd dat de wijziging
geen impact heeft op de compliance van EURO1 aan de oversightstandaarden. Door
het inrichten van een specifieke riskmanagement-functie voldoet EBA Clearing aan
de eisen die gesteld zijn ten aanzien van de Governance.
Tabel 4.2 Oversight oordeel EURO1
Voldoet
Voldoet grotendeels
Voldoet deels
Voldoet niet
Niet van toepassing
Niet getoetst
Core Principles for Systemically
Important Payment Systems
2011
Juridische basis
Inzicht in financiële risico’s
Beheersing van financiële risico’s
Snelle finale afwikkeling
Multilaterale netting systemen
Afwikkelingsactivum
Operationele betrouwbaarheid
Efficiëntie
Toegang
Governance
13
2012
2013
Oversight op betalings- en effectenverkeer
5. Toetsingsresultaten effectenverkeer
LCH.Clearnet SA
LCH.Clearnet SA is de centrale tegenpartij (Central Counter Party, ofwel CCP) voor
transacties die worden verricht op de effecten- en derivatenbeurzen van Euronext,
waaronder Euronext Amsterdam. Ook treedt ze op als centrale tegenpartij voor
transacties in obligaties en repo’s.
DNB houdt samen met AFM ook toezicht op de Amsterdamse branche van de
Franse CCP LCH.Clearnet SA. LCH.Clearnet SA heeft op 15 september 2013 een
vergunning aanvraag ingediend bij de lead regulator, de Banque de France. Op
27 november 2013 is de aanvraag compleet verklaard en op 24 februari 2014 heeft de
eerste vergadering van het College of Regulators plaatsgevonden. DNB is lid van dit
College op grond van haar toezichthouderschap op de Nederlandse CSD Euroclear
Nederland, waarmee LCH.Clearnet SA een link onderhoudt.
Tabel 5.1 Oversight oordeel LCH.Clearnet SA
Voldoet
Voldoet grotendeels
Voldoet deels
Voldoet niet
Niet van toepassing
Niet getoetst
Recommendations for
Central Counterparties
2010
Juridische basis
Deelnamevereisten
Beheersing van kredietrisico’s
Marginvereisten
Financiële buffers
Faillissementsprocedures
Bewaargevingsrisico’s
Operationele betrouwbaarheid
Afwikkelingsactivum
Fysieke leveringen
Links tussen CCP’s
Efficiëntie
Governance
Transparantie
Regelgeving en oversight
14
2012
2013
Oversight op betalings- en effectenverkeer
LCH.Clearnet SA is in 2013 getoetst in het kader van de thematoetsing Business
Continuity Management. De uitkomst van de toetsing is dat zij alle vereiste BCM
processen in haar organisatie goed heeft ingebed en dat deze processen ook regelmatig worden getest.
European Multilateral Clearing Facility (EMCF)
De Nederlandse centrale tegenpartij EMCF heeft in de loop van 2013 haar voornemen kenbaar gemaakt om te fuseren met de Britse centrale tegenpartij EuroCCP
Ltd. Deze fusie heeft uiteindelijk in december 2013 plaatsgevonden, na goedkeuring
van DNB en AFM en de Britse toezichthouders. Euro CCP Ltd cleart net als EMCF
alleen effecten (dus geen derivaten) en ook het klantenbestand van beide CCP’s
vertoont een grote overlap. Per 6 januari 2014 is EMCF hernoemd in EuroCCP
NV en het is de bedoeling dat alle klanten en transacties van EuroCCP Ltd worden
ingebracht in deze nieuwe entiteit waarna EuroCCP Ltd ophoudt te bestaan. Het
hoofdkantoor van EuroCCP NV blijft in Amsterdam en DNB blijft, samen met de
AFM, de bevoegde toezichthouder.
EMCF heeft een aanvraag ingediend voor een vergunning als centrale tegenpartij
op grond van de EMIR. Deze aanvraag heeft zij ingediend op 11 september. Op
22 oktober 2013 is deze aanvraag compleet verklaard en op 19 oktober 2013 heeft
de eerste vergadering van de EMIR College of regulators plaatsgevonden. In dit
college voor EMCF zitten zo’n twintig toezichthouders uit verschillende Europese
Tabel 5.2 Oversight oordeel EMCF
Voldoet
Voldoet grotendeels
Voldoet deels
Voldoet niet
Niet van toepassing
Niet getoetst
Recommendations for
Central Counterparties
2011
Juridische basis
Deelnamevereisten
Beheersing van kredietrisico’s
Marginvereisten
Financiële buffers
Faillissementsprocedures
Bewaargevingsrisico’s
Operationele betrouwbaarheid
Afwikkelingsactivum
Fysieke leveringen
Links tussen CCP’s
Efficiëntie
Governance
Transparantie
Regelgeving en oversight
15
2012
2013
Oversight op betalings- en effectenverkeer
landen. Het College staat onder voorzitterschap van DNB en zal beslissen over de
vergunningverlening conform de wettelijke bepalingen in EMIR.
In 2013 heeft DNB een aantal toetsingen uitgevoerd. In het derde kwartaal van 2013 is
een thematoetsing Business Continuity Management uitgevoerd bij de instellingen
die vallen onder de Financiële Kern Infrastructuur waartoe EMCF ook behoort. De
uitkomst van de toetsing is dat zij alle vereiste BCM processen in haar organisatie
goed heeft ingebed en dat deze processen ook regelmatig worden getest.
Ook heeft EMCF in 2013 na goedkeuring van DNB en AFM een aantal aanpassingen
in haar tarieven-structuur aangebracht. Deze wijzigingen hebben er voor gezorgd
dat EMCF niet langer verlieslatend is en een beter verdienmodel heeft.
EMCF is in 2013 niet compleet hertoetst. Omdat EMIR van kracht is geworden,
is het de bedoeling dat EMCF vanaf nu aan de EMIR standaarden wordt
getoetst. Voor deze overgangsfase, in afwachting van de uitkomst van het
vergunning­ver­leningsproces, is EMCF daarom nog gescoord aan de ESCB-CESR
Recommendations for CCPs. De uitkomst over 2013 is onveranderd ten opzichte
van 2012. Een verdere verbetering valt te verwachten zodra EuroCCP, als rechtsopvolger van EMCF, zelf rechtstreeks kan aansluiten bij meer CSD’s, hetgeen haar
settlement proces zal vereenvoudigen en verbeteren.
Euroclear Nederland
Euroclear Nederland (ENL) is het centrale effectenbewaarbedrijf (‘Central
Securities Depository’, CSD) in Nederland. Het biedt settlement-, bewaar- en
administratiediensten aan banken en beleggingsondernemingen. In 2009 hebben
Euroclear Nederland en de Euroclear CSD’s in België en Frankrijk het nieuwe
securities settlement systeem, ‘Euroclear Settlement for Euronext-zone Securities’
(ESES) gelanceerd. ESES verzorgt sindsdien de afhandeling van transacties van de
Euronextbeurzen van België, Frankrijk en Nederland en over the counter-handel
op één technisch platform, waardoor het verschil tussen binnenlands en grensoverschrijdend effectenverkeer tussen deze drie landen is verdwenen. In 2010 is een
toetsing aan alle aanbevelingen van het Euroclear Securities Settlement System
ESES afgerond. De toetsing is uitgevoerd door De Nederlandsche Bank, Nationale
Bank van België en Banque de France. De voor 2013 aangepaste uitkomsten van
deze toetsing van Euroclear Nederland zijn weergegeven in Tabel 5.3. Er zijn geen
verschillen ten opzichte van 2012. In 2014 zal een toetsing van Euroclear Nederland
aan de nieuwe oversightstandaarden worden verricht door DNB en AFM in samenwerking met de andere ESES autoriteiten.
In het kader van haar oversighttaak voert DNB regelmatig themaonderzoeken uit.
In 2013 is een themaonderzoek uitgevoerd waarin de kwaliteit van het Business
Continuity Management van de Financiële Kerninfrastructuur is getoetst. Euroclear
Nederland is onderdeel van de Financiële Kerninfrastructuur en was derhalve
onderdeel van deze toetsing waarbij is getoetst of Euroclear Nederland aan het
vereiste volwassenheidsniveau voldoet. Ook is in 2013 een themaonderzoek verricht
naar de legal functie van ENL en het voldoen van de systeemregels van ENL aan
de in de Faillissementswet opgenomen bepalingen ten aanzien van de finaliteit van
betaalopdrachten. De toetsingen hebben niet geleid tot aanpassing van het oordeel,
zoals weergegeven in tabel 5.3.
In 2013 hebben AFM en DNB toestemming verleend aan Euroclear Nederland
voor een tweetal nieuwe diensten. De eerste betreft de zogenaamde Direct Deposit
Service. Deze dienst biedt aan uitgevende instellingen de mogelijkheid om, zonder
16
Oversight op betalings- en effectenverkeer
Tabel 5.3 Oversight oordeel Euroclear Nederland
Voldoet
Voldoet grotendeels
Voldoet deels
Voldoet niet
Niet van toepassing
Niet getoetst
Recommendations for
Securities Settlement Systems
2011
2012
2013
Juridische basis
Transactiebevestiging
Settlementtijdstip
CCP
Uitlenen van effecten
Immaterialisatie
Delivery versus Payment
Finaliteit
Kredietrisico’s
Afwikkelingsactivum
Operationele betrouwbaarheid
Eigendomsbescherming
Governance
Toegang
Efficiëntie
Communicatiestandaarden
Transparantie
Regelgeving en oversight
Links tussen CSD’s
tussenkomst van een agent, stukken in ENL te deponeren. Met deze dienst wordt
invulling gegeven aan artikel 38 lid 2 van de Wet Giraal effectenverkeer. De tweede is
het Basic Voting Service, waarbij informatie over ophanden zijnde aandeelhoudersvergaderingen aan de aangesloten instellingen wordt doorgestuurd. De European
Market Standards for General Meetings verlangen van CSD’s dat zij informatie
over aandeelhoudersvergaderingen verzamelen en doorzenden aan de aangesloten
instellingen. De aangesloten instellingen zenden deze informatie op hun beurt door
aan hun klanten, zodat uiteindelijk de informatie de eindbelegger bereikt.
EUROCCP LTD
Euro CCP Ltd cleart net als EMCF alleen effecten (dus geen derivaten) en ook het
klantenbestand van beide CCPs vertoont een grote overlap. Het is de bedoeling dat
alle klanten en transacties van EuroCCP Ltd worden ingebracht in EuroCCP NV
waarna EuroCCP Ltd ophoudt als CCP. Het hoofdkantoor van EuroCCP NV blijft
in Amsterdam en DNB blijft, samen met de AFM, de bevoegde toezichthouder.
17
Oversight op betalings- en effectenverkeer
Tabel 5.4 Oversight oordeel EuroCCP Ltd.
Voldoet
Voldoet grotendeels
Voldoet deels
Voldoet niet
Niet van toepassing
Niet getoetst
Recommendations for
Central Counterparties
2011
2012
2013
Juridische basis
Deelnamevereisten
Beheersing van kredietrisico’s
Marginvereisten
Financiële buffers
Faillissementsprocedures
Bewaargevingsrisico’s
Operationele betrouwbaarheid
Afwikkelingsactivum
Fysieke leveringen
Links tussen CCP’s
Efficiëntie
Governance
Transparantie
Regelgeving en oversight
EuroCCP Ltd is in 2013 niet compleet hertoetst. Omdat EMIR van kracht is geworden, is het de bedoeling dat vanaf nu aan de EMIR standaarden wordt getoetst. Voor
deze overgangsfase is, in afwachting van de uitkomst van het vergunningverleningsproces, EuroCCP daarom nog gescoord tegen de ESCB-CESR Recommendations
for CCPs.
18
Oversight op betalings- en effectenverkeer
6. Toetsingsresultaten retailbetalingsverkeer
Equens SE
Equens SE zorgt voor de verwerking van financiële transacties van consumenten
en bedrijven, welke zijn gedaan met betaalproducten. Zij doet dit in Nederland
maar ook in verschillende andere Europese landen. Equens verwerkt girale betalingen zoals overschrijvingen en incasso´s alsmede betaalpas-gerelateerde transacties,
inclusief de clearing en settlement van deze betalingen. In het oversight van DNB
bij Equens SE worden vier oversightobjecten onderscheiden. Dit is ten eerste het
CSS (Clearing and Settlement Systeem), waarin de binnenlandse betalingen worden
gecleard. Ten tweede het Equens Clearing and Settlement Mechanism (CSM), het
systeem waarin de SEPA-betalingen worden gecleard en ten derde de Switch, het
systeem dat centraal staat in de autorisatie van elektronische pasbetalingen. Vanaf
2012 is ook Equens SE als zelfstandig oversightobject geïdentificeerd. Daarbij gaat
het erom dat de juridische structuur van de onderneming, de governance en het
risicomanagement goed moeten zijn ingericht.
In 2013 zijn nieuwe standaarden van toepassing geworden voor de organisatie Equens
SE. De consequentie hiervan is dat de Core Principles for Systemically Important
Retail Payment Systems (CSS en Switch) en de Core Principles for Prominently
Tabel 6.1 Oversight oordeel Equens CSS
Voldoet
Voldoet grotendeels
Voldoet deels
Voldoet niet
Niet van toepassing
Niet getoetst
Core Principles for Systemically
Important Retail Payment Systems
2011
Juridische basis
Inzicht in financiële risico’s
Beheersing van financiële risico’s
Snelle finale afwikkeling
Multilaterale netting systemen
Afwikkelingsactivum
Operationele betrouwbaarheid
Efficiëntie
Toegang
Governance
19
2012
2013
Oversight op betalings- en effectenverkeer
Aantal transacties (x mln)
Grafiek I Aantal transacties per systeem per maand
250
200
CSM
CSS
150
100
50
0
jan-13 feb-13 mrt-13 apr-13 mei-13 jun-13 jul-13 aug-13 sep-13 okt-13 nov-13 dec-13 jan-14
Important Retail Payment Systems (CSM) zijn vervangen door een relevant deel
van de Principles for Financial Market Infrastructures. Over 2013 wordt nog gerapporteerd over de compliance met betrekking tot de Core Principles.
Met ingang van 2014 valt Equens onder de Wft als afwikkelonderneming (zie hoofdstuk 3 Oversightontwikkelingen).
De verwerking van de Nederlandse niet-SEPA incasso’s en overschrijvingen vindt
plaats in het CSS. Het CSS voldoet aan acht van de tien in Europees verband
gestelde standaarden aan systeemrelevante retailbetaalsystemen (zie Tabel 6.1).
Eén standaard is niet van toepassing. In 2012 en 2013 is een toetsing geweest naar
de governance, gericht op riskmanagement. Daaruit zijn enkele bevindingen naar
voren gekomen met betrekking tot de risicoanalyses die Equens zelf uitvoert en
communicatie in geval van een calamiteit. Hierdoor voldoet CSS slechts grotendeels aan de standaard voor governance.
De overgang naar SEPA, die in 2014 zal worden afgerond, brengt ook met zich mee
dat het CSS op den duur zal worden uitgefaseerd. CSS verwerkt namelijk alleen
Tabel 6.2 Oversight oordeel Equens CSM
Voldoet
Voldoet grotendeels
Voldoet deels
Voldoet niet
Niet van toepassing
Niet getoetst
Core Principles for Prominently
Important Retail Payment Systems
2011
Juridische basis
Inzicht in financiële risico’s
Beheersing van financiële risico’s
Snelle finale afwikkeling
Multilaterale netting systemen
Afwikkelingsactivum
Operationele betrouwbaarheid
Efficiëntie
Toegang
Governance
20
2012
2013
Oversight op betalings- en effectenverkeer
Tabel 6.3 Oversight oordeel Switch Equens
Voldoet
Voldoet grotendeels
Voldoet deels
Voldoet niet
Niet van toepassing
Niet getoetst
Core Principles for Systemically
Important Retail Payment Systems
2011
2012
2013
Juridische basis
Inzicht in financiële risico’s
Beheersing van financiële risico’s
Snelle finale afwikkeling
Multilaterale netting systemen
Afwikkelingsactivum
Operationele betrouwbaarheid
Efficiëntie
Toegang
Governance
niet-SEPA overschrijvingen en incasso’s. Equens heeft voor SEPA-betalingen een
ander systeem, dat al sinds januari 2008 overschrijvingen verwerkt. Dit systeem
is het Clearing and Settlement Mechanism, ofwel CSM. Door de groei van het
aantal SEPA-transacties is het de bedoeling dat het CSM het dominante systeem zal
worden voor Nederlandse retailbetalingen in 2014 (zie grafiek I).
In 2013 heeft Oversight de Business Continuity van het CSM getoetst, waarbij naar
voren is gekomen dat er nog een aantal verbeteringen doorgevoerd dienen te worden
met betrekking tot de operationele betrouwbaarheid. De score ‘voldoet grotendeels’
op Governance is gerelateerd aan de bevindingen die naar voren zijn gekomen met
betrekking tot het uitvoeren van risicoanalyses (zie ook de bevinding bij het CSS).
Equens SE speelt ook een belangrijke rol in het verwerken van betalingen met
betaalpassen. Ze handelt zo’n 90% van alle Nederlandse betalingen af waarbij
gebruik wordt gemaakt van de pincode als identificatiemethode. Hierbij gaat het
dan onder andere om geldopnames bij geldautomaten en betalingen bij betaalautomaten in winkels. De betaalterminal van de winkelier legt contact met Equens,
die ervoor zorgt dat het autorisatieverzoek naar de bank van de consument wordt
geleid en dat het resultaat daarvan weer terug naar de betaalterminal wordt gestuurd.
Het maatschappelijke belang van een hoge bedrijfszekerheid van deze functie, de
Switch, is groot. Bij volledige uitval kan immers in de meeste winkels niet meer
gepind worden. De Switch is getoetst op de voor de Switch meest relevante Core
Principles en voldoet daaraan (zie Tabel 6.3).
iDEAL
iDEAL is een betaalformule voor internetaankopen waarbij de verkoper en de koper
gebruik maken van een internetbankierentoepassing van een bij het iDEALscheme
aangesloten Betaaldienstverlener. De koper maakt hierbij gebruik van de internet21
Oversight op betalings- en effectenverkeer
bankieren toepassing van zijn Betaaldienstverlener terwijl de verkoper/internetwinkel via zijn Betaaldienstverlener de iDEALstandaard moet ondersteunen. Currence
is juridisch merkeigenaar van iDEAL. iDEAL is sinds 2005 operationeel. In 2013 zijn
ruim 142,5 miljoen iDEAL-transacties verricht met een totale waarde van 10,8 miljard
euro. Het totaal aantal transacties sinds de marktintroductie bedraagt meer dan
500 miljoen. Vijf licentiehouders en meer dan veertig certificaathouders accepteren
als Betaaldienstverlener betaalopdrachten via iDEAL en rekeninghouders van tien
Nederlandse Betaaldienstverleners kunnen betalingen met iDEAL verrichten. In
2012 is iDEAL aangepast conform de nieuwe standaarden voor Europese betalingen:
Single Euro Payments Area (SEPA). Sinds februari 2013 verlopen alle betalingen op
basis van de SEPA Credit Transfer (SCT) waardoor iDEAL gereed gemaakt is om
Europese online betalingen te kunnen faciliteren.
Vanwege het belang van iDEAL als online betaalformule in het Nederlandse retailbetalingsverkeer, houdt DNB hierop actief oversight. Een eerste initiële toetsing van
iDEAL vond plaats in 2007, gevolgd door vervolgtoetsingen in 2008 en 2009. In de
daarop volgende jaren gaf regulier oversight op Currence geen aanleiding om het
oordeel over iDEAL aan te passen.
Omdat internationale oversightstandaarden toen nog ontbraken, werden die toetsingen uitgevoerd op basis van door DNB opgestelde nationale standaarden.
Naar aanleiding van de gestage groei van het gebruik en daarmee het verder toenemende belang van iDEAL is begin 2013 besloten iDEAL wederom initieel te toetsen tegen de inmiddels beschikbare internationale oversightstandaarden. Ook de
DDoS aanvallen begin 2013 gaven aanleiding voor een hernieuwde toetsing. Hoewel
het iDEAL Scheme zich niet kwalificeert als een volledig Credit Transfer Scheme
is er toch voor gekozen het Oversight Framework for Credit Transfer Schemes
te gebruiken voor deze toetsing, omdat deze standaarden het meest lijken aan te
sluiten bij iDEAL. Voor deze hernieuwde toetsing is iDEAL getoetst tegen negen
standaarden (zie Tabel 6.5), die grotendeels overeenkomen met de standaarden van
de voorgaande toetsingen en voor een klein deel daarvan afwijken (zie tabel 6.4).
Tabel 6.4 Oversight oordeel iDEAL
Voldoet
Voldoet grotendeels
Voldoet deels
Voldoet niet
Niet van toepassing
Niet getoetst
Aanbevelingen voor Betaalproducten
2011
Juridische structuur
Solide financiële positie
Uitbesteding
Wet- en regelgeving
Productvoorwaarden
Risicoverdeling
Risicoanalyse
Periodieke bijstelling risicoanalyse
Beveiliging en continuïteit
Integriteit en governance
22
2012
Oversight op betalings- en effectenverkeer
Tabel 6.5 Oversight oordeel iDEAL
Voldoet
Voldoet grotendeels
Voldoet deels
Voldoet niet
Niet van toepassing
Niet getoetst
Oversight Framework for Credit Transfer
Schemes
Juridische structuur
Transparantie
Beveiligingsmanagement
Operationele beveiliging
Clearing and settlement
Continuïteit
Uitbesteding
Governance
Financiële risico’s
23
2013
Oversight op betalings- en effectenverkeer
7. Business continuity financiële kerninfrastructuur
In 2013 is een themaonderzoek inzake Business Continuity Management (BCM)
van de Financiële Kerninfrastructuur (FKI) uitgevoerd door DNB en AFM. Dit
onderzoek is uitgevoerd als benchmarkonderzoek waarbij is getoetst of de instellingen aan een vooraf vastgesteld volwassenheidsniveau voldoen.
Ten behoeve van het onderzoek is een benchmark ontwikkeld. Deze is gebaseerd
op actuele standaarden en toetsingskaders, waaronder het DNB ‘Toetsingskader
Business Continuity Management Financiële Kerninfrastructuur’, de CPSS-IOSCO
‘Principles for Financial Market Infrastructures’, de ISO standaarden Business continuity management systems – requirements en Guidance on human aspects of
business continuity en COBIT. De benchmark is met de sector besproken via het
Platform Business Continuity Vitale Infrastructuur Financiële Sector waarin de
business continuity experts van de instellingen uit de FKI deelnemen.
De algemene conclusie van het onderzoek is dat de instellingen aan het voor deze
toets vereiste volwassenheidsniveau hebben voldaan. Op enkele deelonderwerpen is
bij een aantal instellingen nog verbetering nodig. Bij deze toetsing zijn geen onderwerpen gesignaleerd waarop sector-breed slecht gescoord wordt. Wel zijn enkele
onderwerpen geïdentificeerd die specifieke aandacht verdienen bij het streven naar
een hoger volwassenheidsniveau. Dit betreft de volgende onderwerpen:
BCM versus beschikbaarheid
Tijdens het onderzoek is gebleken dat BCM vaak gericht is op het uitvallen van een
compleet of groot deel van de infrastructuur (bijv. een rekencentrum). Verstoringen
van beperktere aard, zoals het tijdelijk uitvallen van internetbankieren, worden
onder de noemer ‘beschikbaarheid’ geschaard en worden door andere processen
en systemen bij de instellingen geadresseerd en beheerd. De positieve resultaten
van het huidige onderzoek naar BCM en incidenten zoals DDoS aanvallen geven
aanleiding om de focus te verleggen van BCM in zijn algemeenheid naar beschikbaarheid. In 2014 zal DNB een themaonderzoek op het terrrein van cybercrime gaan
uivoeren bij instellingen die deel uitmaken van de FKI.
Integraal testen van de uitwijk
Instellingen zijn terughoudend met integraal testen van de uitwijk vanwege de daaraan verbonden risico’s. Door onder andere de internationale ITSG (IT Supervisors
Group, de 20 belangrijkste IT toezichthouders wereldwijd) is geconcludeerd dat
zo’n ‘pull the plug’ test inderdaad risicovol is en dat dit niet geëist zal worden. Toch
zal voldoende zekerheid gekregen moeten worden dat kritische bedrijfsprocessen
integraal kunnen uitwijken naar een ander rekencentrum. Hierover wordt door een
aantal instellingen zelf reeds nagedacht. DNB zal inventariseren en uitwerken welke
24
Oversight op betalings- en effectenverkeer
mogelijkheden er zijn om zekerheid te krijgen over het integraal kunnen uitwijken
van de kritische bedrijfsprocessen.
Ketenbenadering
Instellingen maken vaak gebruik van de diensten van externe dienstverleners, ook
voor kritische bedrijfsprocessen. Het analyseren van dergelijke afhankelijkheden is
een blijvend aandachtspunt waarbij niet alleen gedacht moet worden aan dienstverleners in het kader van uitbesteding maar ook aan andere ‘interested parties’ en
klanten (stakeholders in brede zin).
25
Oversight op betalings- en effectenverkeer
Appendix – gebruikte afkortingen
AFM
BCM
BIS
CCP
Autoriteit Financiële Markten
Business Continuity Management
Bank for International Settlements
Central Counter Party
centrale tegenpartij
CCV
Computercentrum C. van de Velden
B.V.
CESR
Committee of European Securities
Regulators
CLS
Continuous Linked Settlement
COBIT
Control Objectives for Information
and related Technology
CPSS
Committee on Payment and
Settlement Systems (van de BIS)
CSD
Central Securities Depository
Centraal effectenbewaarbedrijf
CSDR
Central Securities Depository
Regulation
CSM
Clearing and Settlement Mechanism
Clearing and Settlement System
CSS
DDOS
Distributed Denial Of Service
ECB
Europese Centrale Bank
EMCF
European Multilateral Clearing
Facility
EMIR
European Markets Infrastructure
Regulation
Euroclear Nederland
ENL
Equens CSM Equens Clearing and
Settlement Mechanism (SEPA)
Equens CSS Equens Clearing and
Settlement System (niet-SEPA)
ESCB
Europees Stelsel van Centrale Banken
ESES
Euroclear Settlement of
Euronext-zone Securities
FKI
Financiële Kerninfrastructuur
FMI
Financiële Markt Infrastructuur
FSAP
Financial Sector Assessment Program
HCH
Holland Clearing House
IOSCO
International Organization of
Securities Commissions
NCB
Nationale Centrale Bank
OTC
Over the Counter
PFMI
Principle for financial
market infrastructure
SEPA
Single Euro Payments Area
TARGET2
Trans-European Automated
Real-time Gross settlement
Express Transfer system
Trade Repository
Transactieregister
Wet op het Financieel Toezicht
TR
Wft
26