Pensioenfondsen & digitale transformatie: risicobeheersing bij uitbesteding en technologische innovatie

Net als de meeste sectoren binnen Financial Services, maken Pensioenfondsen sinds de afgelopen jaren een digitale transformatie door. De impact is hierbij het grootst en meest zichtbaar bij uitbestedingen. De inzet van Cloud neemt hier bijvoorbeeld enorm toe. Maar ook andere ontwikkelingen spelen bij pensioenfondsen, zoals de inzet van robotisering en blockchain. Wat betekent dit voor de risicobeheersing?

Uitbesteding in de Cloud

Het scheiden van asset management (‘vermogensbeheer’) en de uitvoeringsorganisatie (‘werkgevers- en deelnemersadministratie’), om deze vervolgens uit te besteden, kan resulteren in meer efficiëntie in de uitvoering van processen. Zeker wanneer hierbij nieuwe technologie wordt ingezet. Maar het zorgt tegelijkertijd voor een steeds grotere vraag naar zekerheid en transparantie over deze uitbestedingen. Weten we welke partijen betrokken zijn bij het proces en zijn de risico’s voldoende bekend?

Het belang van risicobeheersing neemt hierdoor verder toe. Niet alleen als een vereiste vanuit de toezichthouder, maar ook omdat de verdeling van rollen en verantwoordelijkheden complexer wordt. We zien bijvoorbeeld dat uitbesteding bij pensioenfondsen tegenwoordig meer en meer in de cloud plaatsvindt. Denk aan de vastlegging van gegevens. Aan de ene kant komt dit door het gebruik van cloudapplicaties, anderzijds door uitbesteding aan externe partijen die IT-infrastructuur afnemen van grote cloudproviders, zoals Amazon en Microsoft. Al snel rijst dan de vraag: hoe betrouwbaar en veilig zijn onze uitbestede processen in deze omgeving?

Ketenbeheersing & Cloud: risicobeheersing vereist

Ook rondom ketenbeheersing bij uitbestedingen doet Cloud een duit in het zakje als het gaat om het belang van risicobeheersing. Voor de uitvoering van de pensioenregeling is het voor bestuurders van groot belang om zicht te hebben op de risico’s en zekerheid over de keten van uitbesteding en hierover verantwoording af te leggen in het jaarverslag. Dit wordt ook geëist in de Code Pensioenfondsen (norm 12). Alle partijen in de keten moeten zich immers houden aan de wet- en regelgeving én aan het uitbestedingsbeleid van het pensioenfonds. Vaak is er echter geen zicht op de totale uitbestedingsketen (inclusief onderuitbesteding) en de risico’s  die daarmee gemoeid zijn. De beweging naar cloudapplicaties en platformen versterkt dit effect en zorgt voor nog meer onduidelijkheid. Naast de vraag of pensioenfondsen in de huidige situatie wel in staat zijn om invulling te geven aan de meldplicht bij DNB, is het maar de vraag of er voldoende zicht is op de uitbestedingsrisico’s en hoe deze gemitigeerd zijn.

Daarom is het goed dat de toezichthouder eist dat pensioenfondsen inzicht hebben in (de betrouwbaarheid van) uitbestedingsketens en risico’s gerelateerd aan loud. Binnen de ketenbeheersing zien we bijvoorbeeld dat assurance rapportages (zoals ISAE 3402 rapportages) vaak worden verstrekt als instrument om zekerheid te verkrijgen over uitbestede processen. Daarnaast is due diligence (bij inkoop) en monitoring van leveranciers van belang. Mijn inziens zijn dit adequate mechanismen die vaker gebruikt zouden moeten worden door pensioenfondsen. Zeker met het oog op technologische vernieuwing, samenwerking met Fintechs en de beweging naar de Cloud.

Cloud: aanleiding voor risicoanalyses

Toepassingen van nieuwe technologieën of applicaties, zoals de hierboven genoemde ontwikkeling met betrekking tot cloud, vormen directe aanleiding voor het uitvoeren van risicoanalyses. Maar onder IORP II ook voor het actualiseren van de eigenrisicobeoordeling (ERB); een nieuw besturingsinstrument voor pensioenfondsen om inzicht te verschaffen in de effectiviteit van risicobeheersing.

Inzet van robotisering

Naast de impact van technologie bij uitbestedingen zien we bij pensioenfondsen ook toenemende aandacht voor de inzet van nieuwe technologieën om op een slimme manier kostenefficiënt huidige of nieuwe diensten aan te kunnen bieden. Denk bijvoorbeeld aan robotisering van standaardprocessen - vooral binnen operations en de financiële afdeling. Het incasseren en beleggen van gelden, maar ook de pensioenadministratie zelf biedt veel potentie voor robotisering. Nieuwe technologieën brengen vaak nieuwe risico’s met zich mee voor de bedrijfsprocessen en vragen om risicobeheersing.

In opkomst: blockchain

Ook blockchain is in opkomst in de pensioenwereld, zij het wat trager dan bijvoorbeeld cloud. Pensioenuitvoerders innoveren met het opzetten van een pensioenadministratie in de blockchain om zo een meer flexibele, transparante en kostenefficiënte pensioenadministratie te creëren. De kosten bedragen nu ongeveer 80 tot 90 euro per deelnemer per jaar. Blockchain brengt echter ook specifieke risico’s met zich mee. Zo kunnen er zwakheden in de blockchainapplicatie (bovenop de blockchain zelf) voorkomen, of in het blockchaingrootboek. Ook deze risico’s dienen tijdig te worden geadresseerd. IT-risicomanagement is op zichzelf niets nieuws en is eveneens een belangrijk component in het Cobit raamwerk van DNB. Maar het doorgronden en beheersen van nieuwe technologieën is een tijdrovende en complexe activiteit, die vraagt om specifieke expertise. Zowel voor cloud, robotisering als blockchain is het uitvoeren van technische risicoanalyses (op systemen) en security testing een goede basis om ervoor te zorgen dat processen en data veilig zijn en andere risico’s beperkt blijven.

Wat kan BDO voor u betekenen?

Er is veel beweging in de financiële sector. Organisaties kunnen niet stil blijven zitten; niet voor de toekomst van hun business modellen, maar ook niet vanwege de steeds veranderende en complexer wordende wetgeving. De genoemde IT risk & compliance onderwerpen vragen daarbij om specifieke expertise. Uiteraard staan wij voor u klaar om u hierbij te helpen. Neem daarvoor gerust vrijblijvend contact met ons op.

Digitale transformatie: integrale aanpak

Uw digitale transformatie kan alleen slagen bij een integrale en gecoördineerde aanpak. Het 360° perspectief van BDO biedt uw organisatie helder inzicht in de status van uw digitale transformatie en de te nemen (vervolg)stappen. Meer weten over onze visie op digitale transformatie? Lees dan onze visiepaper via onderstaande button.

LEES ONZE VISIEPAPER