Voor pensioenfondsen en hun deelnemers die invaren is de datakwaliteit van essentieel belang. Beschikken over voldoende inzicht in de datakwaliteit, voorafgaand aan het invaren, is een vereiste om een volledig en evenwichtig invaarbesluit te nemen. De datakwaliteit is voor de deelnemers van belang omdat alleen met juiste en volledige data de individuele ‘pensioenvermogens’ juist kunnen worden berekend. Het is van belang dat een pensioenfonds vooraf zelf een afweging maakt en de risicobereidheid vaststelt voor datakwaliteit, waarbij in geval van overschrijdingen van de risicobereidheid actie wordt ondernomen om datakwaliteit weer binnen de vastgestelde risicobereidheid te krijgen.
Een pensioenfonds dient in het kader van artikel 143 Pensioenwet (Pw) en artikel 18 Besluit FTK, de beheerste en integere bedrijfsvoering, te beschikken over beleid ten aanzien van risicobeheersing. Uit de toelichting op artikel 143 Pw volgt dat ‘beheersen’ het hele traject van plannen, besturen, monitoren en bijsturen van doelstellingen en processen omvat. Het pensioenfonds dient voor het beheersen van processen onder meer te beschikken over een duidelijke organisatiestructuur en heldere rapportagelijnen. Beheersing van risico’s inzake datakwaliteit door pensioenfondsen is een essentieel onderdeel van de beheerste en integere bedrijfsvoering van een pensioenfonds. Daarom is op grond van artikel 18 Besluit FTK het beschikken over risicobeheersingsbeleid met betrekking tot datakwaliteit vereist.
Het pensioenfonds voert in het kader van dit risicobeheersingsbeleid risico analyses uit en werkt zijn beleid uit in organisatorische en administratieve procedures en maatregelen. Ook ziet het pensioenfonds toe op de aantoonbare naleving van deze procedures en maatregelen en voorziet het fonds in een systematische meting, bewaking, documentatie en rapportering van de gelopen risico’s. Het pensioenfonds dient daarom een analyse te maken van de datakwaliteitsrisico’s en daarnaar zijn taakuitvoering in te richten. Het pensioenfonds bepaalt risicogebaseerd welke maatregelen moeten worden getroffen.
Onderdeel van het risicobeheersingsbeleid is ook dat het pensioenfonds een afweging maakt in welke mate het bereid is risico's te nemen bij het inrichten van de interne beheersingsmaatregelen en uit te voeren vervolg- en herstelacties. In het beleid en in de governance wordt vastgesteld hoe deze risicobereidheid wordt bepaald en door wie de risicobereidheid wordt vastgesteld. Het pensioenfonds blijft jegens de pensioen- en aanspraakgerechtigden verantwoordelijk voor correcte uitvoering van de pensioenregeling en het uitvoeren van eventuele correctie- en herstelacties volgens haar eigen gestelde beleidsrichtlijnen.
In het kader van de transitie heeft de wetgever naast de al geldende wettelijke bepalingen nog specifiek voor de transitie aanvullende voorwaarden gesteld aan de beheersing van datakwaliteit en de juistheid en volledigheid van pensioendata. Artikel 150i Pw bepaalt dat een pensioenfonds een implementatieplan opstelt indien de pensioenovereenkomst wordt gewijzigd met als doel om te voldoen aan het nieuwe kader zoals geïntroduceerd met de Wet toekomst pensioenen.
In artikel 46, derde lid, Besluit uitvoering Pw en Wvb is de inhoud van het implementatieplan nader uitgewerkt. Bijvoorbeeld dat een pensioenfonds een analyse opneemt ten aanzien van onder meer:
Naast de hiervoor genoemde analyse bepaalt artikel 46, vierde lid, Besluit uitvoering Pw en Wvb dat een fonds moet kunnen aantonen dat de datakwaliteit voor, tijdens en na de transitie geborgd is. Het uitvoeren van de hiervoor bedoelde risicoanalyse vormt hiervoor een goed uitgangspunt. Een pensioenfonds dat besluit tot een collectieve waardeoverdracht van de opgebouwde pensioenaanspraken en pensioenrechten geeft daarbij tevens aan hoe zij de kwaliteit van de data zekerstelt voor, tijdens en na de transitie. Dat doet het pensioenfonds door:
De werkzaamheden ten aanzien van het aantonen dat de datakwaliteit in de fase voorafgaand aan het indienen van het implementatieplan worden op grond van artikel 46, vierde lid, Besluit Pw en Wvb verricht door een externe accountant of een externe IT-auditor. De werkzaamheden van de externe accountant of externe IT-auditor bestaan minimaal uit een opdracht in de vorm van een controlestandaard over overeengekomen specifieke werkzaamheden (dit kan een COS 4400N of Richtlijn 4400 betreffen) om het pensioenfondsbestuur in staat te stellen een oordeel te vormen over de juistheid en volledigheid van de relevante pensioendata benodigd voor de transitie. Als goed voorbeeld ziet DNB ook een COS3000 of equivalent als een toereikende rapportagevorm.
Uit de toelichting op artikel 46 Besluit uitvoering Pw en Wvb blijkt dat het pensioenfondsbestuur zich een oordeel dient te vormen over de (inhoudelijke) juistheid en volledigheid van de relevante pensioendata die nodig zijn om te kunnen invaren. Voor deze oordeelsvorming is het op grond van artikel 46 Besluit uitvoering Pw en Wvb vereist, voorafgaand aan het indienen van het implementatieplan de hiervoor genoemde werkzaamheden uit te voeren.
Uitgangspunt van de werkzaamheden voorafgaand aan de besluitvorming is volgens de toelichting in het besluit uitvoering Pw en Wvb dat bevindingen die wijzen op materiële tekortkomingen in de data, waardoor de voor het invaarbesluit benodigde berekeningen een onjuist beeld kunnen geven, vóór het nemen van het invaarbesluit moeten zijn opgelost. En dat de overige bevindingen met gevolgen voor de hoogte van de aanspraken van de deelnemers vóór de beoogde invaardatum moeten zijn opgelost.
Onderstaand is een voorbeeld opgenomen van de te nemen stappen voor beheersing, beleidsvorming, risicoanalyse, rapportage en uitvoering ten aanzien van datakwaliteit voor een transitie bij invaren. Van belang is dat de gekozen aanpak wordt afgestemd met de externe accountant of IT-auditor in verband met de uitvoering van hun werkzaamheden en daarnaast met DNB. Dit afstemmen met DNB hoeft niet indien gebruikt wordt gemaakt van het Voorbeeld-AUP-werkprogramma zoals opgesteld door de NBA en NOREA. Het pensioenfonds blijft op grond van artikel 46b Besluit uitvoering Pw en Wvb eindverantwoordelijk voor de opdracht aan de externe accountant of IT-auditor en de verrichte werkzaamheden. Een pensioenfonds is verplicht een externe accountant of externe IT-auditor opdracht te geven werkzaamheden te verrichten waarmee het fondsbestuur in staat wordt gesteld een oordeel te vormen over de juistheid en volledigheid van de relevante pensioendata.
Onderstaande good practices bieden een stappenplan met werkzaamheden om tot een adequate invulling van de benodigde beleidsvorming, risicoanalyse en uitvoering te komen om datakwaliteit te kunnen beheersen. Door deze stappen te zetten wordt het pensioenfondsbestuur in staat gesteld zich een oordeel te vormen over de datakwaliteit in het kader van de Wet toekomst pensioenen. Hiermee is een pensioenfonds in staat invulling te geven aan een beheerste en integere bedrijfsvoering, in het licht van het geschetste wettelijk kader, ten aanzien van het beheersen van datakwaliteit. Het sluit op deze wijze aan op het plannen, besturen, monitoren en bijsturen van doelstellingen en processen en het beschikken over een duidelijke organisatiestructuur en heldere rapportagelijnen. De good practices sluiten ook aan op in de sector ontplooide initiatieven op dit thema.
Sleutelfunctiehouders vervullen vanuit hun taak, rol en verantwoordelijkheid een belangrijke rol in de evenwichtige en beheerste transitie naar het nieuwe pensioenstelsel. DNB vindt het een good practice als sleutelfunctiehouders vroegtijdig hun taak en rol nemen en aantoonbaar worden betrokken bij alle stappen in de werkzaamheden van het borgen van datakwaliteit bij pensioenfondsen. Sleutelfunctiehouders kunnen hun betrokkenheid expliciteren door in de hieronder benoemde stappen specifieke rapportages op te stellen en deze aan het fondsbestuur te rapporteren.
De mogelijke stappen zijn:
Het pensioenfonds (her)formuleert op grond van artikel 143 Pw en artikel 18 Besluit FTK het (bestaand) beleid voor datakwaliteit, zodat het datakwaliteitbeleid ook geschikt is voor de transitie in het kader van de Wet Toekomst Pensioenen. Uitgangspunten die daarbij betrokken kunnen worden zijn kwalitatieve en kwantitatieve risicobereidheid zoals wordt gehanteerd binnen het datakwaliteitsbeleid en het proces en de criteria voor het identificeren van kritieke data-elementen (KDE's). Daarnaast is het beleid voor herzieningen en/of correcties in lijn gebracht met de uitgangspunten van het (geherformuleerde) datakwaliteitsbeleid.
Een KDE is een data-element dat nodig is voor het berekenen van de aanspraak (en voor een juiste en volledige wijze van invaren) van de deelnemer en waarmee het pensioenfonds kan aantonen dat een deelnemer krijgt waar hij recht op heeft. Een KDE sluit aan op de relevante pensioenregeling, geeft een getal, waarde of type weer en kan getoetst worden op juistheid en volledigheid.
De risicobereidheid, zoals opgenomen in het datakwaliteitsbeleid, beschrijft in kwalitatieve en kwantitatieve normen de soort en hoeveelheid risico’s die een pensioenfonds kan en bereid is te accepteren bij het nastreven van haar doelstellingen met betrekking tot datakwaliteit.
Uit de toelichting op artikel 46 Besluit uitvoering Pw en Wvb blijkt dat de externe accountant of de externe IT-auditor werkzaamheden verricht naar de dataelementen die gegeven de pensioenadministratie van het pensioenfonds kritiek zijn en op de controles op de pensioenadministratie die het pensioenfonds heeft uitgevoerd.
Het pensioenfonds heeft een voldoende concreet beleid voor datakwaliteit uitgewerkt en implementeert dat beleid waardoor de interne beheersing van datakwaliteit op orde wordt gebracht. Voorbeelden van specifieke onderdelen van het uitgewerkte beleid die de beheersing van datakwaliteit tijdens het invaren ondersteunen zijn:
* Met richtlijnen wordt bedoeld dat concreet uitgewerkte kaderstellende beleidsprincipes zijn opgenomen waaraan de hierboven benoemde onderwerpen voldoen.
Onderdeel van een beheerste en integere bedrijfsvoering is het verrichten van risicoanalyses en beoordeling van deze risico’s. In deze stap, gericht op de beheersing van datakwaliteit in het kader van de transitie, is een goede invulling dat het pensioenfonds alle relevante risicofactoren waaronder het aanwezige datakwaliteitsbeheersingsraamwerk inventariseert en de specifieke deelnemersrisico’s die voortkomen uit de aard van het pensioenfonds, de pensioenregeling en/of de deelnemerspopulatie. Op basis van deze inventarisatie kan een risicobeoordeling worden uitgevoerd per KDE. Tevens kan dit het pensioenfonds in staat stellen om een norm te stellen of de eerder gestelde norm te wijzigen ten aanzien van de juistheid en volledigheid van de data-elementen. Dit kan het pensioenfonds vertalen naar een kwantitatieve risicobereidheid en bandbreedtes per KDE. Deze kwantitatieve risicobereidheid hanteert het pensioenfonds als een ‘maximaal toelaatbare afwijking (MTA) op een individuele aanspraak als uitwerking van de kwalitatieve risicobereidheid van het pensioenfonds. Bij een overschrijding van de kwantitatieve risicobereidheid zal de overschrijding behandeld worden conform het bij het pensioenfonds gehanteerd risicobeheersingsraamwerk en correctie- en/of herzieningenbeleid.
De uitkomsten van de risico-inventarisatie en beoordeling geven richting aan de uit te voeren werkzaamheden om de datakwaliteit op orde te krijgen. Inzicht in de risico’s en de beheersing op KDE-niveau is nodig om uiteindelijk een oordeel te kunnen geven over de datakwaliteit in relatie tot het invaren. Een risicoanalyse op KDE-niveau geeft richting aan en houdt rekening met:
Het pensioenfonds stelt op basis van de in stap 2 uitgevoerde risicobeoordeling, in deze derde stap de plausibiliteit en juistheid van de data vast door het uitvoeren van een reeks data-analyses. In deze fase identificeert het pensioenfonds (groepen van) outliers door middel van data-analyse en spoort mogelijke fouten op in de data, waarbij het pensioenfonds het belang onderkent om alle KDE’s te betrekken (zie ook stap 1). De outliers worden door het pensioenfonds onderzocht op juistheid en volledigheid, bijvoorbeeld door middel van gerichte deelwaarnemingen.
Het pensioenfonds plant de data-analyses en deelwaarnemingen zodanig dat voor alle deelnemers en/of risicogroepen voldoende data-analyses worden uitgevoerd zodat een oordeel kan worden gegeven over de datakwaliteit van de gehele populatie die zal invaren. Deze zijn zichtbaar gerapporteerd en uitkomsten zijn opgevolgd en geadresseerd door/namens het fondsbestuur.
Om de uitkomsten uit de data-analyses en deelwaarnemingen te kunnen wegen heeft een fonds een MTA vastgesteld. Bij de controle van een KDE kan:
Indien het effect van de fout in de aanspraak groter is dan de MTA, is nader onderzoek nodig van de data. Het nadere onderzoek heeft als doel het pensioenfonds in staat te stellen, conform haar beleidskaders (als het datakwaliteitsbeleid, correctie- en/of herzieningenbeleid en risicobeheersingsraamwerk), te bepalen op welke wijze de fout wordt geadresseerd. Voorbeelden hiervan zijn:
Indien het effect van de fout in de aanspraak kleiner is dan de MTA valt de afwijking binnen de risicobereidheid van het fonds en is nader onderzoek van de data niet nodig (eigen afweging).
Gevonden fouten corrigeert het fonds conform het eigen correctie- en herzieningenbeleid.
Onderdeel van een beheerste en integere bedrijfsvoering is het (periodiek) rapporteren van de status van datakwaliteit. In dat kader stelt het pensioenfonds een rapportage op aan het fondsbestuur, met daarin de uitgevoerde werkzaamheden, uitkomsten en conclusies. Aan de hand van de rapportage beoordeelt het pensioenfonds de bevindingen en stelt een plan van aanpak op voor het uitvoeren van de eventuele acties die nodig zijn om de datakwaliteit op het door het pensioenfonds vereiste niveau voor invaren te brengen.
Een gedeelte van de werkzaamheden beschreven in de benoemde stappen in deze Good Practice kunnen worden uitgevoerd door een PUO. DNB ziet het belang van gedegen afstemming van deze werkzaamheden tussen fondsbestuur en PUO, waarbij naast scope en reikwijdte, ook de periodiciteit, en tijdslijnen worden overeengekomen.
In deze vijfde stap gaat het pensioenfonds vervolgens over tot het inschakelen van een externe accountant of externe IT-auditor voor het uitvoeren van overeengekomen specifieke werkzaamheden (COS 4400) die gericht zijn op het feitelijk verifiëren van de uitgevoerde werkzaamheden en rapporteren van de uitkomsten hiervan, zoals voortvloeit uit artikel 46 Besluit uitvoering Pw en Wvb. Als goed voorbeeld ziet DNB ook een COS3000 of equivalent als een toereikende rapportagevorm. Het is effectief en ook goed passend bij een beheerste transitie als vroegtijdig afstemming plaatsvindt tussen het pensioenfonds en de externe accountant of externe IT-auditor over de te verrichten werkzaamheden.
Ten slotte kan het fondsbestuur, op basis van de opgestelde rapportage (vanuit stap 4/5), het plan van aanpak, de rapportages van de betrokken sleutelfunctiehouders en de uitkomsten van de overeengekomen specifieke werkzaamheden een oordeel vormen over de juistheid en volledigheid van de relevante pensioendata benodigd voor de transitie en toetsen of de data voldoet aan de datakwaliteitseisen zoals vastgesteld door het pensioenfonds voor het invaren. Het pensioenfondsbestuur betrekt daarbij aantoonbaar in haar besluitvorming de input van alle sleutelfunctiehouders en wikkelt alle bevindingen van externe accountant, externe IT-auditor en sleutelfunctiehouders aantoonbaar af en zorgt ervoor dat het tot een oordeel komt dat de kwaliteit van de data op orde is en binnen de MTA van het pensioenfonds valt. Deze activiteiten worden opgenomen in de documentatie die aan DNB ter beschikking wordt gesteld.
De Wet toekomst pensioenen introduceert geen nieuwe taken voor de sleutelfunctiehouders (SFH’s), bovenop het al bestaande wettelijke kader. Wel hebben SFH’s een belangrijke rol, taak en verantwoordelijkheid in de transitie en de te doorlopen stappen voor datakwaliteit.
Mogelijke voorbeelden van de invulling van de rollen zijn (niet limitatief):
SFH Risicobeheerfunctie
SFH actuariële functie
SFH interne auditfunctie (risico gebaseerd)
Deze Good Practice heeft betrekking op de volgende wet- en regelgeving:
DISCLAIMER
Good practices bevatten suggesties of aanbevelingen voor onder toezicht staande instellingen. Het zijn voorbeelden van mogelijke toepassingen die naar het oordeel van DNB goede invulling geven aan de verplichtingen uit wet- en regelgeving. Good practices zijn indicatief van aard en instellingen zijn vrij om een andere toepassing te kiezen, zo lang men anderszins voldoet aan de wet- en regelgeving. Voor een nadere toelichting op de status van de beleidsuitingen van DNB zie de Leeswijzer beleidsuitingen DNB op Open Boek Toezicht.
De vaststelling en onderbouwing van de risicohouding is onderwerp van gesprek geweest in zowel het Pensioenplatform van oktober als december 2023.
Lees meer TRANSITIENIEUWS - Q&A risicohouding uitgebreid na constructieve gesprekken met sector
Op donderdag 13 juni van 10.00-11.30 kunt u deelnemen aan de pilot van het WTP-webinar van DNB. Het onderwerp van dit eerste WTP webinar is ‘Onderbouwing van een evenwichtige transitie’.
Lees meer TRANSITIENIEUWS – Schrijf u nu in voor het WTP-webinar ‘Onderbouwing van een evenwichtige transitie’
DNB en acht andere autoriteiten en inspecties hebben op 11 april 2024 een samenwerkingsprotocol getekend in het kader van de Wet bescherming klokkenluiders. Het samenwerkingsprotocol is op 8 mei 2024 gepubliceerd in de Staatscourant.
Lees meer DNB tekent samenwerkingsprotocol Wet bescherming klokkenluiders
De Nederlandsche Bank publiceert een nieuw document dat financiële instellingen praktische handvatten geeft bij de vervulling van hun rol als poortwachter ter bescherming van de sector tegen financieel economische criminaliteit. Een belangrijk uitgangspunt daarbij is de risicogebaseerde benadering.
Lees meer Resultaten consultatie Q&As en Good Practices Wwft
