Veel banken en andere financiële ondernemingen hebben hun risicokaders op papier op orde, maar de AFM ziet in het SREP-Marktbeeld 2025 dat juist de uitvoering achterblijft. Dat is geen detail: wie beleid niet kan vertalen naar aantoonbare werking in de praktijk, krijgt te maken met zwaardere toezichteisen rond governance, interne controle en ICT-risicomanagement. Voor bestuurders betekent dit dat “we hebben een beleid” niet meer volstaat. U moet kunnen laten zien dat het beleid werkt, dat u bijstuurt als het niet werkt en dat u de informatie krijgt die u nodig hebt om tijdig in te grijpen.
Wat de AFM precies signaleert
De AFM schetst een beeld dat veel instellingen de basis hebben gelegd met beleid, kaders en procedures, maar dat de lijn naar de dagelijkse praktijk te vaak ontbreekt. Vooral twee thema’s springen eruit: interne beheersing en ICT-risico’s. De kernboodschap is dat risicobeheersing meer vraagt dan documentatie. Het gaat om effectieve controles, duidelijke verantwoordelijkheden en bewijs dat de organisatie daadwerkelijk “in control” is.
In de SREP-context is dit relevant omdat de beoordeling niet alleen gaat over kapitaal en liquiditeit, maar ook over de kwaliteit van governance en het vermogen om risico’s te beheersen. Wie daar steken laat vallen, kan rekenen op intensiever toezicht en hogere verwachtingen over herstelmaatregelen en prioritering.
Strengere lat: governance moet bewijsbaar werken
Voor bestuur en commissarissen wordt de lat vooral hoger op het punt van aantoonbaarheid. De toezichthouder kijkt niet alleen of de juiste organen bestaan, maar of besluitvorming en tegenspraak ook effectief zijn georganiseerd. Dat raakt de rol van de tweede lijn, de positie van risk en compliance, en de mate waarin het bestuur daadwerkelijk stuurt op risicobereidheid.
Wat u als bestuurder concreet moet kunnen aantonen
- Dat de risk appetite niet alleen is vastgesteld, maar ook doorwerkt in limieten, pricing, acceptatiecriteria en dagelijkse besluitvorming.
- Dat managementinformatie tijdig, compleet en consistent is, inclusief opvolging van signalen en escalaties.
- Dat de interne controlefunctie en compliance voldoende onafhankelijk, goed bemenst en effectief zijn, met zichtbare opvolging van bevindingen.
- Dat issue management strak is ingericht: eigenaarschap, deadlines, prioritering en herhaalde toetsing of het probleem echt is opgelost.
Interne controle: van checklist naar werking
De AFM-signalen raken een klassiek pijnpunt: controles bestaan, maar zijn te veel een vinklijst, te laat uitgevoerd of onvoldoende getest op effectiviteit. In het SREP-beeld betekent dit dat processen rondom kredietverlening, klantacceptatie, waarderingen, modelrisico en operationele risico’s niet alleen beschreven moeten zijn, maar ook aantoonbaar gecontroleerd en verbeterd.
Voor u als lezer betekent dit praktisch dat banken en financiële dienstverleners meer druk voelen om controlepunten te automatiseren, controles te rationaliseren en vooral structureel te testen. Niet eenmalig bij een audit, maar cyclisch en risicogebaseerd.
Meetbare verbeterstappen die de toezichthouder wil zien
- Een control framework met duidelijke control owners, testfrequenties en vastgelegde bewijsvoering.
- Onafhankelijke validatie van kritieke controls, met rapportage aan bestuur en toezichthoudend orgaan.
- Structurele trendanalyses op incidenten, near misses en control failures, inclusief bijbehorende root cause analyses.
ICT-risico’s: niet alleen een IT-thema, maar bestuursrisico
De AFM zet ICT-risico’s nadrukkelijk op de agenda. Denk aan kwetsbaarheden in uitbesteding, derde partijen, cyberweerbaarheid, veranderbeheer en legacy-systemen. Dit raakt direct de continuïteit van dienstverlening en daarmee ook klantbelang en reputatie. Bestuurders kunnen dit niet delegeren als “iets van IT”. De verwachting is dat u als bestuur grip toont op de grootste ICT-risico’s en op de prioriteiten in investeringen.
Waar instellingen nu sneller op worden afgerekend
- Onvoldoende inzicht in ketenrisico’s bij uitbesteding en afhankelijkheid van kritieke leveranciers.
- Te zwak change management, waardoor releases en patches operationele verstoringen of security-gaten veroorzaken.
- Gebrekkige herstelcapaciteit: back-ups, uitwijk, testen van scenario’s en realistische hersteldoelstellingen.
Gevolgen voor ondernemers, beleggers en de markt
Meer toezichtdruk vertaalt zich in hogere kosten voor control, compliance en IT. Dat kan marges drukken, zeker bij partijen met veel legacy of versnipperde data. Tegelijk kan het op termijn positief uitpakken: robuustere processen verkleinen incidentrisico’s en vergroten vertrouwen. Voor u als belegger is dit relevant omdat de markt vaak scherp reageert op operationele incidenten, boetes of IT-storingen. Voor ondernemers als klant kan het betekenen dat acceptatieprocessen strakker worden en dat productwijzigingen of onboarding meer tijd kosten.
Wat u nu mag verwachten richting 2026
We zien dat toezichthouders minder geduld hebben met “roadmaps” zonder harde voortgang. Instellingen zullen richting AFM en andere toezichthouders concreter moeten onderbouwen welke maatregelen wanneer effectief zijn, met KPI’s, testresultaten en aantoonbare risicoreductie. Wie achterblijft, loopt kans op intensiever toezicht en zwaardere herstelopdrachten.
Meer achtergrond over het toezichtkader en actuele publicaties vindt u via de Autoriteit Financiële Markten.
