Good practices van de Nederlandsche Bank inzake (quality) assurancerapportages ten aanzien van de nieuwe/aangepaste IT omgeving samenhangend met de pensioentransitie

Een fondsbestuur heeft behoefte aan (quality) assurance over de invaarstraat en het nieuwe pensioenbeheersysteem. Eerst bepaalt het bestuur risicogebaseerd, in overleg met de sleutelfunctiehouders risicobeheer en interne audit, welke onderdelen van de invaarstraat en het nieuwe pensioenbeheersysteem in scope zijn van de (quality) assurance. Daartoe maakt het bestuur een inventarisatie van nieuwe en/of gewijzigde onderdelen van de invaarstraat en het nieuwe pensioenbeheersysteem. Voorbeelden zijn applicaties, onderliggende IT-platforms, databases en geautomatiseerde interfaces. Ook de ontwikkeling, de implementatie, het beheer en de organisatie & governance van genoemde voorbeelden kunnen tot de inventarisatie behoren. Beveiliging wordt meegenomen bij al deze onderdelen. Gezien de specifieke materie vraagt het bestuur hierbij om input van betrokken leveranciers, dienstverleners en een externe IT-auditor. 

Vervolgens gaat het bestuur per onderdeel na in hoeverre de functionele werking van zowel de invaarstraat als het pensioenbeheersysteem zoals beschreven in het implementatieplan, inclusief de beveiliging, op objectieve wijze reeds aangetoond is. Op basis van deze analyse bepaalt het bestuur vervolgens de wenselijkheid of noodzaak van aanvullende (quality) assurance, alsmede de scope hiervan.

DNB vindt dit een good practice, omdat het bestuur onderdelen van de invaarstraat en het nieuwe pensioenbeheersysteem inventariseert en op deze manier voorkomt dat mogelijk belangrijke operationele risico’s buiten beeld blijven. Bovendien biedt dit advies een goede basis voor de analyse in het implementatieplan ten aanzien van operationele en IT-risico’s.

Een fonds kiest ervoor om de opdracht voor toetsing van onderdelen van het pensioenbeheersysteem te verstrekken aan een IT-auditor. Het fonds geeft opdracht om een advies te laten opstellen of een onderzoek te laten uitvoeren in overeenstemming met Richtlijn 3000, resulterend in een (quality) assurancerapport.  

DNB vindt dit een goed voorbeeld, omdat een toetsing door een deskundige, onafhankelijke en objectieve partij, zoals een IT-auditor, meer comfort geeft dan een toetsing door de softwareontwikkelaar of PUO zelf. Daarnaast geeft een (quality) assurancerapport  comfort, in tegenstelling tot bijvoorbeeld een Richtlijn 4400-rapportage. Mogelijk kan het (quality) assurancerapport, in overleg met de betrokken accountant, bovendien bijdragen aan het verkrijgen van comfort over ‘toetsmoment 2³ ten aanzien van datakwaliteit’.

Een toetsing door derdelijns interne audit (of tweedelijns risicomanagement) is een alternatieve good practice die ook door het fonds is overwogen. Gezien de objectiviteit en onafhankelijkheid kan dit in de ogen van DNB ook aanvullend comfort bieden ten opzichte van toetsing door de eerstelijns organisatie van de softwareleverancier of PUO. Het bestuur weegt af welke vorm van aanvullend comfort passend is gegeven de specifieke situatie van het fonds en onderbouwt dit in het implementatieplan.

Een fonds kiest ervoor om comfort over de invaarstraat en het nieuwe pensioenbeheersysteem te verkrijgen vóór het moment van invaren. Het fonds spreekt met de IT-auditor af dat de uitkomsten van dit onderzoek beschikbaar zijn voorafgaand aan de finale Go/No-go beslissing over beheerst kunnen invaren. 

DNB vindt dit een good practice, omdat het verkrijgen van (quality) assurance over de invaarstraat en het nieuwe pensioenbeheersysteem voorafgaand aan finale beslissingsmomenten ervoor zorgt dat dit advies door het bestuur daadwerkelijk betrokken kan worden in de besluitvorming over invaren. Dit helpt om een aantoonbaar goed onderbouwd besluit te nemen. 

Een fonds dat het pensioenbeheer heeft uitbesteed aan een multi-client PUO, heeft samen met andere klantfondsen afspraken met de PUO gemaakt. De fondsen hebben afgesproken dat de PUO een (quality) assuranceopdracht zal laten uitvoeren op de invaarstraat en het nieuwe pensioenbeheersysteem door een gezamenlijke opdrachtverstrekking, en wat de scope hiervan zal zijn. Afgesproken is verder dat de klantfondsen niet alleen de integrale (quality) assurancerapportage zullen ontvangen, maar hierover ook een gesprek zullen hebben met de IT-auditors die het onderzoek hebben uitgevoerd.

DNB vindt dit een good practice om twee redenen:

• Betrokkenheid van fondsen bij de totstandkoming van doelstelling en scope van de (quality) assuranceopdracht maakt dat fondsen hier invloed op hebben, en bovendien tijdig bepalen in hoeverre dit onderzoek zal voorzien in hun behoefte. Dit stelt de fondsen in staat om aanvullende (quality) assurancerapportages met een andere scope of bij een wezenlijke verandering in de IT-omgeving voor invaren te verkrijgen. Dit draagt vervolgens bij aan kwalitatief goede besluitvorming waarbij operationele en IT-risico’s goed zijn meegewogen. 
  
  
• Bespreken van de (quality) assurancerapportage met de IT-auditors draagt eraan bij dat het fonds de ontvangen rapportages goed kan interpreteren: waarop heeft deze betrekking (en waarop niet), en hoe moet het rapport begrepen worden. Dit draagt vervolgens eveneens bij aan kwalitatief goede besluitvorming waarbij de relevante operationele en IT-risico’s goed zijn meegewogen.

• 22 juli 2025: Enkele tekstuele wijzigingen zijn aangebracht. Tevens zijn de verwijzingen naar “assurance” vervangen door verwijzingen naar “(quality) assurance”.