Pensioenfondsen hebben onvoldoende zicht op langer wordende uitbestedingsketens

DNB signaleert toename van uitbesteding door serviceproviders 

Veel pensioenfondsen besteden het beheer over hun administratie en/of vermogen geheel of gedeeltelijk uit aan pensioenuitvoeringsorganisaties (PUO’s). Uit onderzoek van DNB blijkt dat de PUO’s op hun beurt in toenemende mate diensten uitbesteden; vanuit het pensioenfonds gezien, is er dan sprake van onderuitbesteding. Alle PUO’s zijn grotendeels of deels afhankelijk van serviceproviders voor het functioneren van IT systemen of de uitvoering van kritieke of belangrijke bedrijfsprocessen. Ook deze serviceproviders besteden vaak weer verder uit naar andere, derde partijen, waardoor uitbestedingsketens van belangrijke processen vaak uit meerdere schakels bestaan. Dat maakt inzicht en beheersing voor pensioenbestuurders complex. Bijna de helft van de uitbestedingen van PUO’s naar een derde partij betreft een uitbesteding naar de cloud. Het merendeel hiervan is afhankelijk van minimaal twee of meer cloudproviders.  

Volledig zicht op uitbestedingsketens is nodig om de risico’s op het gebied van informatiebeveiliging en beschikbaarheid te kunnen beheersen. Twee voorbeelden: 

• Als een onderaannemer (tijdelijk) vertrouwelijke informatie van het pensioenfonds opslaat, is het van belang dat de onderaannemer - in de ogen van het pensioenfonds toereikende - informatiebeveiligingsmaatregelen treft die passen bij de vertrouwelijkheid van de informatie. Onvoldoende informatiebeveiliging kan leiden tot diefstal van deze gevoelige informatie. 
• Om na een verstoring bedrijfsprocessen en systemen tijdig te kunnen herstellen, is het van belang dat de continuïteitsplannen van hoofdaannemer én onderaannemers op elkaar zijn afgestemd en in lijn zijn met de continuïteitseisen die het pensioenfonds stelt aan het systeem. Als een pensioenfonds bijvoorbeeld wil dat het systeem na uitval binnen een uur weer is opgestart, dan moet het continuïteitsplan van de serviceprovider hierin voorzien. Wanneer een kritiek bedrijfsproces gezamenlijk wordt uitgevoerd met één of meer serviceprovider is het belangrijk om gezamenlijk te testen of de gehele keten werkt in het geval van een calamiteit. 

Inzicht in de keten als startpunt voor de beheersing van uitbestedingsrisico’s 

Uit onderzoek van DNB blijkt dat pensioenfondsen onderuitbestedingen in de keten niet volledig in beeld hebben en ook niet altijd zicht hebben of de informatiebeveiliging en continuïteitswaarborgen in de keten op orde zijn. Pensioenfondsen zijn verantwoordelijk voor een beheerste bedrijfsvoering, ook voor de onderdelen die zijn uitbesteed. Het pensioenfonds kan grip houden op uitbestedingsketens, door: 

• Het uitvoeren van een risicoanalyse voorafgaand aan de uitbesteding, waarin wordt vastgesteld of de beheersmaatregelen binnen de uitbestedingsketen voldoen aan het beleid en de eisen van het pensioenfonds, bijvoorbeeld op het gebied van informatiebeveiliging en continuïteit. Bij een lopende uitbesteding is het periodiek actualiseren van de risicobeoordeling van belang.  
• Het toezien op (naleving van) contractuele afspraken met de hoofdaannemer, dat: 

• • belangrijke voorgenomen (wijzigingen op) onderuitbestedingen tijdig aan het pensioenfonds worden gemeld, zodat deze een eigen risicoafweging kan maken en eventueel maatregelen kan treffen en kan melden bij DNB; 
  • eisen t.a.v. bijvoorbeeld informatiebeveiliging en continuïteit doorwerking hebben op eventuele onderuitbestedingen (dit is in het bijzonder van toepassing op cloud uitbestedingen, zie ook de DNB-publicatie IB Monitor 2021: de beveiliging is zo sterk als de zwakste schakel).  

• Het ontvangen en beoordelen van zekerheidsrapportages, waaronder assurance rapporten, waaruit duidelijk wordt welke beheersmaatregelen de hoofdaannemer heeft getroffen en of deze effectief hebben gewerkt. Tevens moet duidelijk zijn welke onderdelen door de hoofdaannemer zijn uitbesteed en hoe de monitoring daarvan heeft plaatsgevonden. Op basis hiervan analyseert het pensioenfonds in hoeverre zekerheid wordt geboden over het geheel van uitbestede beheersingsmaatregelen in de uitbestedingsketen. 

• • DNB ziet in praktijk dat assurance rapporten - als SOC, COS en ISAE-rapportages - vaak niet toereikend zijn. Vaak is de scope (te) beperkt, bijvoorbeeld doordat gedeelten van de gehele uitbestedingsketen worden uitgesloten van dergelijke rapportages. Toch wordt onterecht door bestuurders aangegeven dat deze rapporten voldoende zijn om beheersing van uitbestedingsrisico's te borgen 
  • Aanvullend of als alternatief kan het pensioenfonds zelf audits (laten) uitvoeren bij de hoofdaannemer en/of onderaannemers. Het auditrecht is contractueel afgesproken, zodanig dat dit doorwerking heeft naar de onderaannemers. In de praktijk wordt hiervan nog beperkt gebruik gemaakt. 

• Het inrichten en onderhouden van een centrale registratie van belangrijke uitbestedingen en onderuitbestedingen, zodat alle belangrijke uitbestedingsketens inzichtelijk zijn. Op basis hiervan kan het pensioenfonds beoordelen of het pensioenfonds niet teveel afhankelijk is van dienstverleners in de uitbestedingsketens en er mogelijk sprake is van concentratierisico. Bijvoorbeeld: via verschillende hoofddienstverleners is de PUO, en in het verlengde het pensioenfonds, voor meerdere processen afhankelijk van één onderaannemer, wat op totaalniveau een continuïteitsrisico met zich meebrengt dat voor het pensioenfonds ongewenst is.  

Uitbestedingen en (wijzigingen op) onderuitbestedingen van belangrijke of kritieke werkzaamheden moeten pensioenfondsen melden via het Digitaal Loket Toezicht (DLT). Zie voor meer informatie de website van DNB (link: Q&A Melding uitbesteding van werkzaamheden bij De Nederlandsche Bank door pensioenfondsen en premiepensioeninstellingen (dnb.nl)). DNB ziet dat pensioenfondsen vaker een uitbesteding melden, maar dat toch nog regelmatig meldingen zijn vergeten. 

Vervolgstappen in 2022 

DNB verwacht van pensioenfondsen dat zij mogelijke en noodzakelijke verbeteringen implementeren. Verder werkt DNB zelf aan vergroting van het inzicht in concentratierisico’s op sector- en nationaal niveau. Ten slotte is het van belang om vooruit te kijken naar nieuwe wetgeving. Naar verwachting komt er eind 2022 meer duidelijkheid over de invulling van de Digital Operational Resilience Act (DORA) die eind 2024 in werking treedt. Dit is een verordening van de Europese Commissie om de digitale weerbaarheid van de sector te vergroten. Eén van de doelen is om bewuster om te gaan met de risico’s van uitbesteding door de financiële sector aan kritieke ICT dienstverleners. Het is belangrijk dat pensioenfondsen en PUO's zich hier tijdig op voorbereiden en daarbij zicht en grip hebben op alle uitbestedingen en onderuitbestedingen.