Due Diligence: Vermogensbeheerders en Certificering

Operationele due diligence (ODD) is essentieel voor investeerders wereldwijd om de betrouwbaarheid en integriteit van vermogensbeheerders te beoordelen. Certificeringen spelen hierbij een cruciale rol, aangezien ze investeerders een betrouwbare basis bieden om hun conclusies te onderbouwen en te valideren. Hoewel de kernprincipes van ODD universeel zijn, zijn er verschillen in de standaarden en frameworks die in Europa en de Verenigde Staten worden gebruikt. Dit artikel vergelijkt de Europese en Amerikaanse benaderingen van certificering door vermogensbeheerders, met een focus op financiële verslaggeving, niet-financiële informatie en informatiebeveiliging.

Europese Certificeringen en Standaarden

In Europa richten vermogensbeheerders zich vaak op internationale normen zoals ISAE 3402 Type 2, die de effectiviteit van interne controlesystemen voor financiële verslaggeving bevestigt en investeerders zekerheid biedt over de betrouwbaarheid van financiële rapportages. Daarnaast is er ISAE 3000, die zich richt op de assurance van niet-financiële informatie zoals duurzaamheid en naleving van regelgeving, en daarmee inspeelt op de groeiende vraag van Europese investeerders naar verantwoorde en duurzame beleggingen. De normen ISO/IEC 27001 en ISO/IEC 27002 bieden een raamwerk voor informatiebeveiligingsmanagement en specifieke beveiligingsmaatregelen, cruciaal voor het beschermen van gevoelige gegevens en het voldoen aan de strenge Europese wetgeving op het gebied van gegevensbescherming, wat investeerders gemoedsrust biedt. Ten slotte helpt ISO 22301, de standaard voor business continuity management, organisaties om voorbereid te zijn op operationele verstoringen, wat van groot belang is voor de stabiliteit en continuïteit van financiële diensten en investeerders zekerheid geeft dat de beheerder robuuste continuïteitsplannen heeft.

Amerikaanse Certificeringen en Standaarden

In de Verenigde Staten gebruiken vermogensbeheerders enkele aanvullende en alternatieve normen en frameworks zoals SSAE 18 (SOC 1 en SOC 2), de Amerikaanse tegenhanger van ISAE 3402. SOC 1-rapporten richten zich op interne controles relevant voor financiële verslaggeving, terwijl SOC 2-rapporten de effectiviteit van controles met betrekking tot beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy evalueren, wat vooral belangrijk is voor vermogensbeheerders die zich richten op informatiebeveiliging. Het NIST Cybersecurity Framework biedt gedetailleerde richtlijnen en best practices voor het beheren van cybersecurity-risico’s, en is flexibel aanpasbaar aan de specifieke behoeften van verschillende organisaties, wat het nuttig maakt voor Amerikaanse vermogensbeheerders en investeerders verzekert dat de beheerder adequaat beschermd is tegen cyberdreigingen. FedRAMP, een belangrijk compliance framework voor cloud service providers (CSPs) die met de overheid werken, stelt beveiligingseisen vast die, hoewel specifiek voor CSPs, indirecte indicaties geven van strikte beveiligingsstandaarden die vermogensbeheerders kunnen overwegen, wat investeerders vertrouwen geeft in de robuustheid van de IT-infrastructuur van de beheerder. Ten slotte biedt het Cybersecurity Maturity Model Certification (CMMC), ontwikkeld door het Amerikaanse Ministerie van Defensie, een model dat relevant is voor organisaties die met het ministerie samenwerken en legt een zware nadruk op cybersecurity best practices, wat investeerders validatie biedt dat de beheerder de hoogste standaarden van cybersecurity naleeft.

Verschillen in Focus en Prioriteiten; Regelgeving en Compliance

In Europa zijn de Algemene Verordening Gegevensbescherming (GDPR) en andere nationale wetgevingen strikter en dwingender op het gebied van gegevensbescherming en privacy. Dit verklaart de brede adoptie van ISO/IEC 27001 en 27002 onder Europese vermogensbeheerders, wat investeerders verzekert dat hun gegevens conform de strengste eisen worden behandeld.

In de VS is er meer focus op sector-specifieke reguleringen zoals SEC-regelgeving voor financiële instellingen en FedRAMP voor cloud service providers. Het NIST Cybersecurity Framework biedt flexibiliteit voor aanpassing aan diverse sectoren, wat investeerders de gemoedsrust geeft dat de beheerder adequaat is voorbereid op sector-specifieke risico’s.

Verschillen in Focus en Prioriteiten; Duurzaamheid en ESG

Europese vermogensbeheerders lopen vaak voorop in het integreren van ESG-criteria in hun bedrijfsvoering, mede ondersteund door regelgeving zoals de EU Sustainable Finance Disclosure Regulation (SFDR). ISAE 3000-assurance op niet-financiële informatie valideert de ESG-praktijken van de beheerder, wat van groot belang is voor investeerders die duurzame beleggingen nastreven.

In de VS groeit de belangstelling voor ESG, maar het heeft nog niet dezelfde mate van regulatoire ondersteuning als in Europa. Amerikaanse vermogensbeheerders kunnen desondanks profiteren van SOC 2-rapporten die aspecten van vertrouwelijkheid en privacy dekken, wat investeerders verzekert dat ESG-gerelateerde gegevens adequaat worden beschermd.

Conclusie

Hoewel de kernprincipes van operationele due diligence consistent blijven over continenten heen, verschillen de specifieke normen en frameworks tussen Europa en de Verenigde Staten. Europese vermogensbeheerders richten zich vaak op internationale normen zoals ISAE 3402, ISAE 3000 en ISO/IEC 27001, die een breed scala aan financiële en niet-financiële controles bestrijken, naast robuuste informatiebeveiligingsmaatregelen. In de VS ligt de nadruk op normen zoals SSAE 18, SOC 2, en het NIST Cybersecurity Framework, die flexibele, gedetailleerde richtlijnen bieden voor zowel financiële als informatiebeveiligingscontroles.

Deze certificeringen zijn niet alleen een teken van naleving van internationale standaarden, maar bieden investeerders ook een belangrijke onderbouwing en validatie van hun conclusies over de betrouwbaarheid en integriteit van vermogensbeheerders. Voor investeerders die wereldwijd opereren, is het begrijpen van deze verschillen van cruciaal belang om een nauwkeurige en effectieve due diligence uit te voeren, waardoor zij beter in staat zijn om weloverwogen beslissingen te nemen en risico’s te beheersen.