Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

Highlights Uitvraag Niet-Financiële risico’s 2022

Nieuwsbericht toezicht

Gepubliceerd: 07 februari 2023

Kleinkind schommelen

In 2022 heeft DNB haar jaarlijkse sectorbrede analyse uitgevoerd bij pensioenfondsen naar onder meer het risiconiveau en de risicobeheersing van operationele en IT-risico’s en het onderwerp governance, gedrag, cultuur en risicomanagement. Hiertoe hebben de pensioenfondsen deelgenomen aan een uitvraag van DNB over bovengenoemde onderwerpen.

1. Uitkomsten Operationele en IT risico’s

De uitvraag over de beheersing van operationele risico’s (noot 1) ging in het bijzonder in op de volwassenheid van het interne controle raamwerk, datakwaliteit en uitbesteding. Ook zijn pensioenuitvoeringsorganisaties (PUO’s) in deze uitvraag betrokken, wanneer pensioenfondsen hun rechtenbeheer aan een PUO hebben uitbesteed. Zie hiervoor ook de brochure ‘PUO-gericht toezicht’ (PUO Gericht Toezicht (dnb.nl)). In deze uitvraag is uitsluitend het rechtenbeheer bij de PUO onderzocht.

Uit de ingevulde vragenlijsten bleek dat de basiselementen van een interne controle raamwerk bij de meeste pensioenfondsen aanwezig zijn. Daarnaast is geconstateerd dat pensioenfondsen hun beheersmaatregelen ten aanzien van uitbesteding en datakwaliteit verbeterd hebben ten opzichte van vorig jaar, maar in veel gevallen nog niet op het benodigde niveau (noot 2) hebben. Vooral gezien de voorbereiding en transitie naar de Wtp zijn het op orde hebben van datakwaliteit van pensioenadministraties en het inzicht en beheersing van uitbestedingsrelaties cruciaal.

1.1 Interne controle raamwerk

De meeste pensioenfondsen beschikken over een interne controle raamwerk, waarin verbeteringen mogelijk zijn
Uit de uitvraag bleek, dat de meeste pensioenfondsen beschikken over een interne controle raamwerk. Daarbij valt op dat verbetering mogelijk is in de snelheid van afhandeling van ‘hoge risico bevindingen’ van de Risicobeheer Functie (RBF) en/of Interne Audit Functie (IAF). Daarnaast zien we dat ongeveer de helft van de pensioenfondsen niet beschikt over een geïntegreerd systeem waarin de risico’s en beheersmaatregelen van het interne controle raamwerk integraal zijn vastgelegd (GRC-systeem). Toepassing van een dergelijk geïntegreerd systeem zal de efficiëntie en effectiviteit van het interne controle raamwerk vergroten.

1.2 Datakwaliteit

Bij veel pensioenfondsen behoeft de risicobeheercyclus rondom datakwaliteit verbetering
Bij meer dan 75% van de pensioenfondsen bestaan er tekortkomingen in de beheersmaatregelen ten aanzien van datakwaliteit, zoals hiaten in het datakwaliteitsbeleid, het implementeren van beheersmaatregelen en de monitoring en evaluatie hiervan. Hierbij gelden de volgende aandachtspunten:

  1. Bij één derde tot de helft van de pensioenfondsen is het datakwaliteitsbeleid niet aanwezig, verouderd of ontbreken er essentiële zaken zoals:
    • aandacht voor incidenten;
    • het onderscheid tussen kritieke en niet kritieke data elementen;
    • richtlijnen voor toepassing van End Using Computing (EUC);
    • de risicobereidheid ten aanzien van datakwaliteit.
  2. De relevante beheersmaatregelen voor datakwaliteit, zoals het identificeren van kritieke dataelementen, uitvoeren van een risicoanalyse en het monitoren van adequate KPI’s, worden bij twee derde van de pensioenfondsen voor 50% of minder uitgevoerd en bij 50% van de pensioenfondsen zelfs in het geheel niet uitgevoerd.
  3. Bij ruim de helft van de pensioenfondsen ontbreekt in de organisatie een management- en rapporteringscyclus ten aanzien van datakwaliteit.
  4. Bij ongeveer 75% van de pensioenfondsen heeft de interne auditfunctie in de afgelopen 2 jaar geen audits uitgevoerd op datakwaliteit.

In het licht van de transitie naar de nieuwe pensioenregeling zijn deze uitkomsten zorgelijk te noemen. Het is noodzakelijk dat de fondsen die het betreft voorafgaand aan een invaarbesluit wezenlijke verbeteringen treffen.

Onvoldoende beheersing van datakwaliteit kan tot gevolg hebben dat pensioenaanspraken van deelnemers niet juist, volledig en herleidbaar zijn. Bovenstaande constateringen hebben vooral betrekking op de uitvoering van de pensioenadministratie. Pensioenfondsbesturen zijn verantwoordelijk voor de beheersing van datakwaliteit, ook in het geval de uitvoering is uitbesteed. Ten aanzien van punt (a) vindt DNB het belangrijk dat pensioenfondsen, die EUC-toepassingen gebruiken, ook beschikken over beleid met het oog op de beheersing van risico’s rond het gebruik daarvan.

1.3 Uitbestedingen

De beoordeling van uitbestedingsrisico’s en de monitoring van uitbestedingsketens is verbeterd ten opzichte van vorig jaar, maar is bij bijna de helft van de pensioenfondsen nog niet op het gewenste niveau
Uit de uitvraag blijkt dat de pensioenfondsen vaker dan vorig jaar voorafgaand aan de uitbestedingen risicoanalyses uitvoeren en de uitbestedingen beter monitoren qua prestaties en interne beheersing. Het sectorbeeld is hier verbeterd, maar desalniettemin blijft bij een significant aantal instellingen de beheersing achter.

Hierbij gelden de volgende aandachtspunten:

  1. Bij een derde tot de helft van de pensioenfondsen is het uitbestedingsbeleid verouderd of zitten er hiaten in het uitbestedingsbeleid, zoals ontbrekende criteria voor het bepalen van kritieke uitbestedingen, incidentprocedures en richtlijnen m.b.t. security paragrafen in het contract en BCP plannen voor kritieke uitbestedingen.
  2. Ongeveer de helft van de pensioenfondsen heeft de kritieke onderuitbestedingen binnen kritieke uitbestedingsketens niet volledig in beeld.
  3. Ongeveer de helft van de pensioenfondsen heeft bij geen enkele kritieke uitbesteding een security agreement afgesloten
  4. Ongeveer een derde van de pensioenfondsen heeft bij geen enkele kritieke uitbesteding getoetst of het BCP plan van de dienstverlener aan de continuiteitseisen van de instelling voldoet en op werking is getest.

Het onvoldoende zicht houden op de onderuitbestedingen en risicobeheersing binnen kritieke uitbestedingsketens kan leiden tot onverwachte verstoringen of disruptie van kritieke bedrijfsprocessen, diefstal of verlies van kritieke of vertrouwelijke data. DNB vindt het belangrijk dat pensioenfondsen hun kritieke uitbestedingsketens in beeld hebben en zorgen dat deze ketens adequaat beheerst worden.

2. Uitkomsten Governance, Gedrag, Cultuur en Risicomanagement

2.1 Gedrag en cultuur

Voor pensioenfondsen valt in positieve zin op dat het risiconiveau voor gedrag en cultuur overall laag is, op het gebied van besluitvorming is er veel aandacht voor een gefaseerd besluitvormingsproces (beeldvorming, oordeelsvorming, besluit nemen) waarbij belangrijke relevante sleutelfuncties zijn betrokken. Diversiteit is wel een aandachtspunt. Waar zowel in het bestuur als de RvT diversiteit in kennisgebieden en leeftijd hoog is, geldt dat voor man/vrouw-verhouding en ervaring buiten de sector minder, terwijl beide wel kunnen bijdragen aan verschillende perspectieven in de besluitvorming. In het bestuur geeft maar liefst 4 van de 5 instellingen aan minder dan 40% vrouw te hebben, waar dit voor de RvT 60% is. En waar meer dan de helft van de sector aangeeft dat minimaal 50% van de RvT ervaring buiten de sector heeft, is dit slechts 20% voor het bestuur. Daarnaast geeft 1 op de 5 instellingen aan dat sleutelfunctiehouders soms beloond en gewaardeerd worden voor andere zaken dan de doelstellingen waarop hun functie gericht is, wat de onafhankelijkheid conform Regeling Beheerst Beloningsbeleid in de weg kan staan. Een voorbeeld is dat de sleutelfunctiehouder risicobeheer variabel beloond wordt afhankelijk van de winst die de instelling dat jaar maakt.

2.2 Interne governance

Op interne governance is op enkele vlakken nog te winnen. Een kwart van de sector geeft aan dat in de zelfevaluatie van het bestuur niet is stilgestaan bij de kwaliteit van de informatieverstrekking door bestuurscommissies aan het voltallige bestuur. Daarnaast geeft bijna de helft van de sector aan geen opvolgingsplan voor ofwel het bestuur ofwel de RvT ofwel beide te hebben. En ongeveer twee derde van de instellingen kan verbetering aanbrengen in de inrichting van de sleutelfunctie interne audit, bijvoorbeeld in hoe snel bevindingen opgevolgd worden en directe escalatiemogelijkheden naar zowel bestuur als RvT.

2.3 Risicomanagement

Risicomanagement geeft een ambigu beeld. Zo scoren over het algemeen de inrichting van de risicobeheerfunctie en het risicobeheersingsprocespositief, maar kunnen pensioenfondsen zeker nog verbeteren in hun rapportages en evaluaties, en in het bijzonder op risicostrategie- en beleid. Zo geeft 1 op de 3 instellingen aan niet voor de vastgestelde risicobereidheid key risk indicatoren (KRI’s) vast te stellen. Ook geeft 1 op de 3 instellingen aan dat er geen overkoepelende risicotolerantielimiet is vastgesteld, gegeven de risicobereidheid, en 1 op de 4 fondsen geeft aan dat bij het bewaken van de risicotolerantielimieten niet of slechts enigszins rekenschap gegeven wordt van de doorverwerking van verschillende risico’s op elkaar. 1 op de 4 instellingen geeft aan dat risicorapportages aan het bestuur niet altijd een opinie van de RBF bevatten.

In het komende jaar zal DNB in haar toezicht aandacht schenken aan bovenstaande aandachtspunten en gaat ervan uit dat de pensioenfondsen de noodzakelijke stappen zullen zetten om het benodigde niveau voor een adequate en beheerste transitie te bereiken. Net als afgelopen jaar, zal ook komend jaar bij een selectie van instellingen weer een onderzoek plaatsvinden naar de kwaliteit van de ingevulde SBA-NFR vragenlijsten.

NOTEN

Noot1: Deze nieuwsbrief gaat niet in op de resultaten uit de uitvraag van informatiebeveiligingsrisico’s (de SBA IB), omdat hiervoor reeds een aparte nieuwsbrief [DNB ziet cyberdreiging toenemen terwijl basismaatregelen niet altijd op orde zijn] is uitgebracht

Noot 2: Voor nadere guidance: m.b.t. datakwaliteit zie de Good Practice Robuuste Pensioenadministratie [good-practice-robuuste-pensioenadministratie.pdf (dnb.nl)].

 

Voor nadere guidance m.b.t. uitbestedingen zie de Guidance Uitbesteding door Pensioenfondsen [guidance-uitbesteding-pensioenfondsen.pdf (dnb.nl)]

Ontdek gerelateerde artikelen