De bomen door het uitbestedingsbos zien |
close
Share with your friends

De bomen door het uitbestedingsbos zien

De bomen door het uitbestedingsbos zien

Het waarborgen van adequate risicobeheersing door de gehele uitbestedingsketen

Partner Assurance & Advisory

KPMG Nederland

Contact

Gerelateerde content

Sunlight through trees

Door het delegeren van uitvoering en inzet van specialisten besteden pensioenfondsen veel activiteiten uit aan andere partijen. Deze partijen besteden op hun beurt ook zaken uit waardoor de uitbestedingsketen langer wordt. De beheersing over de hele keten van bijvoorbeeld cybersecurity risico's en privacy risico's wordt hierdoor complex en weinig overzichtelijk. Dit artikel doet een pleidooi voor meer systematische risicoanalyses door pensioenfondsen, met hun uitbestedingspartijen als hulpmiddel, om door de bomen het uitbestedingsbos te zien. De nieuwe risicobeheerfunctie en de interne audit functie bij pensioenfondsen zijn bij uitstek geschikt om de route hiervoor uit te zetten.

Terugkerende thema's

In de praktijk zien wij in de relatie tussen pensioenfondsen en uitvoerders terugkerende thema's die hierna achtereenvolgens nader worden uitgelicht:

  • Onbekendheid met de partijen en (gegevens)stromen in de keten;
  • Verschillen in risico's, risico inschatting en risicobereidheid ('risk appetite');
  • Samenhang tussen informatie van ketenpartijen.

Onbekendheid met de partijen en (gegevens)stromen in de keten

De gegevensstromen van een pensioenfonds bij de uitvoeringsorganisatie zijn divers en omvangrijk. Deze uitvoeringsorganisaties besteden bovendien ook activiteiten uit. Hierbij kan worden gedacht aan gegevensuitwisseling naar het Pensioenregister en communicatie met deelnemers. Bij vermogensbeheer kan dit betrekking hebben op het uitvoeren van risicoberekeningen of het verkrijgen van inzicht in beleggings- en/of kostenstructuren.

Om een goede evaluatie van de risico's en beheersing te kunnen maken is het van belang om een duidelijk overzicht te hebben van alle betrokken partijen en de gegevens waarover zij (kunnen) beschikken. Hierbij geldt de regel van de `zwakste schakel': wanneer de pensioenuitvoerder zijn databeveiliging op orde heeft, maar de verwerker niet, dan staat de deur voor problemen wagenwijd open.

De beheersing voor overdrachtsmomenten van gegevens is een gezamenlijke verantwoordelijkheid. In ISAE rapportages worden hiervoor zogenaamde `aanvullende beheersingsmaatregelen bij de gebruikersorganisatie geformuleerd'.

Verschillen in risico's, risico inschatting en risicobereidheid ('risk appetite')

Dit punt komt neer op eigen oordeelsvorming en afstemmen van verwachtingen.

Het pensioenfonds blijft, ondanks uitbesteding, eindverantwoordelijk. Een (te) groot vertrouwen in de uitbestedingspartijen kan ertoe leiden dat bepaalde risico's niet of onvoldoende worden onderkend, of door uitbestedingspartijen anders worden ingeschat. Het zelfstandig formuleren van risico's en maken van risico inschattingen zijn de basis voor gesprekken met de uitbestedingspartij en het formaliseren van afspraken in SLA's. Pensioenfondsen beschikken veelal over een risicobeleid, doelstellingen en formulering van risicobereidheid. Een afstemming hierover met de uitvoerder is nog geen gemeengoed.

Het afstemmen van de risico's en risicobereidheid van het fonds met die van de uitvoerder dient een gezamenlijk belang. Het inrichten van de beheersing van risico's brengt namelijk ook kosten met zich mee. Het gesprek over risicobereidheid wordt in de huidige praktijk nauwelijks vooraf gevoerd. Incidenten vormen nu meestal de aanleiding om dit gesprek (alsnog) te voeren. Een proactieve, systematische aanpak dient zowel het belang van het pensioenfonds als dat van de uitbestedingspartij.

Bij het analyseren van ISAE rapportages door pensioenfondsen ontbreekt het vervolgens vaak aan de koppeling tussen de eigenrisicokaders en de operationalisering hiervan naar de (verwachte) beheersing bij de uitvoerder. Doordat er bij het pensioenfonds geen eigen normenkader is wat met in een ISAE rapportage verwacht aan te treffen, wordt de beoordeling mogelijk sterk geleid door hetgeen gepresenteerd wordt. Bias in de beoordeling ligt hierbij dus op de loer.

Stem dus de risico's en risico houding met elkaar af en wordt concreet over de beheersing die daarbij wordt verwacht. Gezien het belang van de beheersing van uitbesteding zal afstemming over risico's, risico inschatting en risicobereidheid en verdere operationalisering hiervan naar onze verwachting op de agenda staan van de risicobeheerfunctie en de internal audit functie bij pensioenfondsen onder de nieuwe IORP II regelgeving.

Samenhang tussen informatie van ketenpartijen

Pensioenfondsen ontvangen van hun verschillende uitbestedingspartijen diverse rapportages over uiteenlopende thema's. Om er een paar te noemen: Compliance rapportages, incident rapportages, financiële rapportages, Service level rapportages, ISAE rapportages..

Elke rapportage wordt vanuit een bepaald perspectief opgesteld. Complexiteit ligt er daarbij in om zaken met elkaar in verband te brengen. Hoe kunnen bijvoorbeeld incidenten in een incidentrapportage worden gerelateerd aan een toename in de uitvoeringskosten in de financiële rapportage of (afwezigheid van) bevindingen in een ISAE rapportage?

Risicoanalyse als hulpmiddel

In het COSO ERM Model [COSO2017], dat door veel pensioenfondsen wordt gehanteerd voor de inrichting van het risicomanagement, nemen het identificeren van risico's en het bepalen van risicobereidheid (`risk appetite') een belangrijke plaats in.

Risicomanagement, waarbij risico's over de uitbestedingsketen heen worden gestructureerd en systematisch worden geanalyseerd, geeft een duidelijke routekaart voor het inrichten van de afspraken met (en rapportages van) uitbestedingspartijen over de hele uitbestedingsketen. Schematisch is dit weergegeven in onderstaand figuur:

Zowel het pensioenfonds als de uitbestedingspartijen hebben er daarbij belang bij om hier gezamenlijk over in gesprek te zijn. Door een eigen normstelling voor de beoordeling van de beheersing van risico's over de gehele uitbestedingsketen kan het pensioenfonds de bomen door het uitbestedingsbos weer zien.

Voor meer informatie kunt u contact op nemen met Jacco van Kleef (+31306 582388)

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig