Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

Good practices van De Nederlandsche Bank inzake de nadere invulling pensioenbeheer in het implementatieplan

WTP Good practice
Lees voor

Een implementatieplan is een zelfstandig leesbaar document en bevat ten minste de wettelijk voorgeschreven informatie. Pensioenfondsen zijn vrij in de wijze waarop zij hun implementatieplan structureren, in de volgorde waarin de verschillende onderdelen in dat plan aan bod komen en de wijze waarop fondsen het implementatieplan onderbouwen.

Gepubliceerd: 01 augustus 2024

Bekijk eerdere versies in het archief

Om een handreiking te bieden voor de sector heeft DNB in juni 2023 een good practice uitgebracht met een voorbeeld van een inhoudsopgave van een implementatieplan voor een pensioenfonds. Inmiddels heeft DNB de eerste invaarmeldingen ontvangen, en ervaring opgedaan met de beoordeling hiervan. Dit is de aanleiding geweest om met een aantal good practices de sector handvatten mee te geven voor het onderwerp ‘pensioenbeheer’: het beheersen van de (operationele en IT) risico’s gerelateerd aan de pensioenadministratie ten aanzien van de transitie. DNB heeft hieronder voorbeelden opgenomen met betrekking tot drie specifieke onderwerpen gericht op de implementatie van de nieuwe/aangepaste IT-omgeving:

  1. De rolverdeling tussen pensioenfonds en pensioenuitvoeringsorganisatie/softwareleverancier
  2. Het inrichten van kritieke go/no-go momenten en bijbehorende validatie criteria
  3. De benodigde diepgang en detailniveaus van het implementatieplan en ondersteunende documentatie

Voorts kan het behulpzaam zijn bij deze onderwerpen sleutelfunctiehouders te betrekken, waarbij ook ondersteuning kan worden gezocht bij een (externe) IT-auditor voor het geven van assurance over de beheersing van pensioenbeheer. Specifiek voor de rol van de sleutelfunctiehouder risicobeheer tijdens de transitie heeft DNB in mei 2024 de Good practice: De sleutelfunctie risicobeheer tijdens de transitie naar het nieuwe pensioenstelsel gepubliceerd.

De hieronder opgenomen genoemde voorbeelden zijn in de ogen van DNB een goede invulling van (i) de voor het implementatieplan wettelijk voorgeschreven onderdelen, (ii) additionele elementen die naar het oordeel van DNB goed in een implementatieplan passen, en (iii) het begrip ‘integere en beheerste bedrijfsvoering’ toegespitst op operationele en IT risico’s ten aanzien van de pensioentransitie. DNB wil hierbij expliciet opmerken dat fondsbesturen zich moeten realiseren dat deze aanpak niet in alle gevallen direct toepasbaar is zonder de fondsspecifieke situatie in ogenschouw te nemen, bijvoorbeeld of de pensioenuitvoering is uitbesteed bij een PUO. Daarnaast werkt het toepassen van één of meerdere good practices mogelijk ook door in het communicatieplan, dat de doorvertaling van de (uitvoering van de) wijzigingen van de pensioenregeling in de deelnemerscommunicatie bevat.

Relevante wet- en regelgeving

Aan de hand van deze good practices worden handvatten gegeven voor de naleving van de volgende wet- en regelgeving:

  • Artikel 33, eerste lid, PW
  • Artikel 143 PW
  • Artikel 42, Wvb
  • Artikel 138 Wvb  
  • Artikel 11, eerste lid, BuPW juncto de normen 10 en 12 van de Code Pensioenfondsen
  • Artikel 46, eerste lid, onder a, BuPW
  • Artikel 46, eerste lid, onder b, BuPW
  • Artikel 46, derde lid, onder a, BuPW
  • Artikel 46, derde lid, onder b, BuPW
  • Artikel 46, derde lid, onder e, BuPW

1: Good practices bij de rolverdeling tussen pensioenfonds en pensioenuitvoeringsorganisatie/softwareleverancier

Good practice #1: heldere rolverdeling tussen fonds en PUO tijdens de transitie

Uit het implementatieplan van een fonds komt duidelijk naar voren hoe het bestuur de rolverdeling tussen pensioenfonds en pensioenuitvoeringsorganisatie (hierna: PUO) gedurende de transitie heeft ingericht ten aanzien van de nieuwe/aangepaste IT-omgeving, de doelarchitectuur. Hierbij wordt expliciet onderscheid gemaakt tussen operationele controle door de PUO, bestuurlijke controle door het fonds en de wijze waarop deze controles zijn ingericht. Periodieke voortgangsrapportages van de PUO gaan expliciet in op materiële risico’s. Zo zijn er bijvoorbeeld rapportages over de technische uitvoerbaarheid en de systeemontwikkeling. Hierdoor zijn deze stukken betekenisvol, waardoor het bestuur zijn bestuurlijke verantwoordelijkheid kan nemen en deze stukken in zijn besluitvorming kan betrekken. De PUO zorgt hierbij dat de rapportage een transparant beeld geeft over de operationele situatie en de daarbij gebruikte standaarden. Het geeft een integraal beeld, omdat in de scope ook de softwareleverancier van de PUO is betrokken. In dit geval betreft het een multi-client PUO en is de rapportage gesplitst in een generiek deel, dat van belang is voor alle klanten, en een fonds-specifiek deel. Indien noodzakelijk, bijvoorbeeld ter ondersteuning van een te schrijven opinie door een sleutelfunctiehouder, staat de mogelijkheid voor het fondsbestuur open om incidenteel ad hoc risico en/of haalbaarheidsanalyses op te vragen bij de PUO. Ter voorbereiding op bespreking en/of besluitvorming in het bestuur vraagt het bestuur tot slot op belangrijke momenten een sleutelfunctiehouder of een (risk) commissie/werkgroep om een 1e kwaliteitscontrole uit te voeren op de door de PUO geleverde stukken. Deze analyse staat vervolgens samen met stukken van de PUO op de bestuurs-agenda waarbij het bestuur monitort of het de voortgang voldoende acht en bijsturing op basis hiervan noodzakelijk is. De PUO zal deze input in de fase vlak voor daadwerkelijk invaren aanvullen met een (externe) assurancerapportage gericht op de nieuwe of aangepaste IT-omgeving, de doelarchitectuur, verstrekt door bijvoorbeeld een (externe) IT-auditor, waardoor meerdere klantfondsen gebruik kunnen maken van dezelfde informatie alsmede kwaliteitswaarborgen ontvangen over de (IT-beheersing van) de gerapporteerde onderwerpen.

Dit is volgens DNB een good practice omdat het bestuur op deze manier laat zien een heldere rolverdeling toe te passen: de PUO voert uit en het pensioenfonds voert regie. De PUO voedt het pensioenfonds met periodieke voortgangsrapportages bijvoorbeeld gericht op systeemontwikkeling, inclusief een overzicht van de materiële risico’s en eventueel aangevuld door een (externe) assurancerapportage. Door het splitsen van een generiek deel en een fonds specifiek rapportagedeel verloopt de informatievoorziening vanuit de PUO aan het fonds efficiënt, zolang voldoende aandacht blijft voor de fondsspecifieke kenmerken. Elk fonds heeft immers een eigen regeling en een eigen vastgestelde risk appetite. Het fonds bepaalt periodiek of reguliere rapportages van de PUO in de behoefte voorzien en initieert indien gewenst aanvullende inzichten. De uiteindelijke bespreking in het bestuur is hierdoor gefocust en indien nodig gericht op challengen en bijsturen van cruciale zaken. Het voorgaande is deze wijze van pensioenbeheer op dit punt volgens DNB een goede invulling van artikel 143 Pw, eerste lid, Pw, artikel 33, eerste lid, Pw juncto artikel 11, eerste lid, BuPW juncto de normen 10 en 12 van de Code Pensioenfondsen, en van artikel 42, eerste lid, Wvb.

Over de mogelijke invulling van de rol van de sleutelfunctie risicobeheer in het bestuurlijk besluitvormingsproces vindt u meer informatie in de Good practice: De sleutelfunctie risicobeheer tijdens de transitie naar het nieuwe pensioenstelsel.

Good practice #2: meer efficiëntie voor zelfadministrerende fondsen door samen op te trekken naar de gezamenlijke softwareleverancier
Om hun regierol als zelfadministrerend pensioenfonds (hierna: ZAF) actief in te vullen overweegt een fondsbestuur het initiatief om zich met andere ZAF-fondsen te verenigen in een collectief en hierdoor op een efficiënte manier het eerder besproken onderscheid tussen operationele controle en bestuurlijke controle in te richten tussen hen en de gezamenlijke softwareleverancier.

Dit is volgens DNB een mooi voorbeeld van hoe besturen van (kleinere) fondsen laten zien hoe ook zij hun slagkracht kunnen vergroten en hierdoor in staat zijn regie te kunnen voeren. Een ZAF kent namelijk een andere stakeholderdynamiek omdat zij direct te maken hebben met een (externe) softwareleverancier ,waar bij andere fondsen een PUO dat contact onderhoudt.

2: Good practices bij het inrichten van kritieke go/no-go momenten en bijbehorende validatie criteria

Good practice #1: expliciet rekening houden met een negatief scenario
In hun implementatieplan maakt een bestuur zichtbaar hoe rekening is gehouden met het scenario waarin verwachtingen niet volledig uitkomen. In dit geval betekent dit het risico dat op de transitiedatum geen volledig werkend IT-systeem kan worden opgeleverd. Het bestuur beschrijft welke onderdelen van het systeem minimaal werkend moeten worden opgeleverd. Daarnaast heeft het fonds zijn validatiecriteria ingericht op een negatief scenario:

  1. Er zijn voor de gezamenlijk vastgestelde key-onderdelen terugval-opties beschreven en opzet, bestaan en werking hiervan zijn aangetoond door de PUO.
  2. Het fonds zal niet invaren op het moment dat terugvalopties van bepaalde key-processen tijdelijk niet beschikbaar zijn.
  3. Duidelijk is vastgelegd wanneer de niet-kritieke onderdelen wel gereed zijn en er is geborgd dat hier voldoende capaciteit voor is vrijgemaakt.

Tot slot heeft het fonds drie afspraken vastgelegd:

  1. Het fonds voert regie tussen de diverse betrokken partijen (als uitbestedingsrelaties) bij het gelijktijdig opstellen van oorzaak- en risicoanalyses en een concreet actieplan om de resterende doelen alsnog te bereiken; inclusief een analyse van de impact op de overall tijdslijnen,
  2. De sleutelfunctiehouder risicobeheer is nadrukkelijk betrokken gedurende dit gehele proces.
  3. Bestuurlijke besluitvorming wordt met voldoende diepgang vastgelegd.

Dit is een good practice want het bestuur laat op deze manier zien realistisch te zijn over de complexiteit van de (IT) transitie. Testen van de minimaal vereiste ketens of processen helpt om inzicht te krijgen in een beheerste transitie, maar is geen volledige garantie dat alles ook goed gaat na uitrol van de nieuwe/aangepaste IT-omgeving. Implementatietrajecten leren dat het praktisch onmogelijk is om alle issues tijdens de test- en validatiefase te ontdekken en op te lossen. Voor zowel het transitieplan als geheel als bij de uitrol van specifieke onderdelen dragen terugvalopties bij aan een beheerste bedrijfsvoering. Het voorgaande is volgens DNB een goede invulling van artikel 46, derde lid, onder a, BuPW.

Good practice #2: het gebruik van (externe) assurance
Om hun regierol actief in te vullen heeft een fondsbestuur het initiatief genomen om zowel tijdens de implementatie als vlak voor invaren een externe partij assurancerapportages op te laten stellen (bijvoorbeeld een COS-3000 of Richtlijn-3000). Het doel hiervan is om de haalbaarheid en doeltreffendheid van het proces ten aanzien van de nieuwe/aangepaste IT-omgeving te toetsen en daarmee de beheerste transitie te waarborgen. De scope van deze assurance is risicogebaseerd opgezet, door dit te linken aan de validatiecriteria die het bestuur gebruikt bij go-/no-go-momenten ten tijde van besluitvorming. Deze toets is een aanvulling op de eigen checks van de PUO op de datamigratie, modelvalidatie en inrichting van beheerste processen. Om de belasting van de (in dit geval multi-client) PUO te beperken heeft het fonds gebruik gemaakt van een partij die het fonds al bijstaat in de transitie . Tevens heeft het fonds (in haar rol als opdrachtgever) vooraf met de PUO duidelijke afspraken gemaakt over de belasting.

Dit is volgens DNB een good practice, omdat het bestuur zo op een inzichtelijke manier externe expertise inzet die in staat is om een betrouwbaar oordeel te geven over de plausibiliteit dat bij de systeemontwikkeling de juiste processtappen zijn gezet en de juiste waarborgen zijn ingebouwd. Door assurance op de nieuwe of aangepaste systemen wordt een oordeel gegeven over de juistheid en integriteit van de vernieuwde IT-omgeving. Gebaseerd op de fonds specifieke validatie- en beoordelingscriteria kan worden vastgesteld of er voldoende borging (van kwaliteit) is door bijvoorbeeld analyse van (keten)tests en gebruikersvalidatietests. Fondsen van multi-client PUO’s hebben daarnaast de mogelijkheid om dit traject gezamenlijk uit te laten voeren. Het voorgaande is volgens DNB een goede invulling van artikel 46, derde lid, onder b, BuPW.

3: Good practices bij de benodigde diepgang en detailniveaus van het implementatieplan en ondersteunende documentatie

Good practice #1: de gehele uitbestedingsketen in scope nemen bij risicoanalyses en (keten)testen ten aanzien van de doelarchitectuur
Een fondsbestuur heeft in de verschillende onderdelen van het implementatieplan expliciet de gehele keten in ogenschouw genomen voor wat betreft de ontwikkeling van het nieuwe/aan te passen systeem. De stappen en tijdslijnen die de IT-softwareleveranciers moeten zetten zijn een integraal onderdeel van de planning van de PUO. Verder kennen de (keten)testplannen een integrale aanpak gericht op een goede werking van de IT: er wordt gelijktijdig getest over de totale keten heen, bij de IT-softwareleverancier, bij de PUO en bij derde partijen zoals een vermogensbeheerder. Ook de werking van de operationele (pensioen)processen zoals uitgevoerd in de situatie na transitie wordt hierin nadrukkelijk meegenomen. De PUO is vervolgens integraal verantwoordelijk voor de ketentesten, inclusief rapportage en opvolging van issues, gericht op de dienstverlening binnen haar scope rekening houdend (waar noodzakelijk) met fonds
specifieke eisen. Hierna zal het fonds (i) de testresultaten beoordelen vanuit zijn bestuurlijke verantwoordelijkheid en (ii) vaststellen of de uitkomsten voldoen aan zijn criteria en tijdsplanning (bijvoorbeeld of dit in lijn is met definitieve Go/No-Go momenten). Indien blijkt dat, naast de PUO, meer partijen bij de ketentest betrokken moeten worden (zoals een vermogensbeheerder), is de afspraak gemaakt dat het fonds dan de generieke regievoerder zal zijn. Uiteraard blijft de PUO in die situatie nog steeds verantwoordelijk voor testwerkzaamheden gericht op de dienstverlening binnen haar scope.

DNB vindt dit een goede invulling van artikel 46, derde lid, onder e, BuPW dat voorschrijft dat een fonds in het implementatieplan een analyse opneemt ten aanzien van de risico's die samenhangen met de uitbesteding van werkzaamheden en de beheersing van deze risico's. Deze aanpak geeft een brede blik op het gehele IT-landschap. Voor het ontwikkelen van software voor de administratie wordt steeds meer een beroep gedaan op gespecialiseerde IT-softwareleveranciers. Als sprake is van een PUO met één of meerdere aparte IT-leveranciers neemt de complexiteit in de keten toe en tegelijkertijd wordt hiermee getoetst en inzichtelijk gemaakt of operationele risico’s t.a.v. de processen na transitie beheerst worden. Over uitbestedingsrisico’s gerelateerd aan de transitie vindt u meer informatie in hoofdstuk 2 van de Good practice: inhoudsopgave implementatieplan pensioenfonds.

Good practice #2: inzicht in resterende stappen opleveren doelarchitectuur vóór daadwerkelijk invaren
In het implementatieplan maakt een fondsbestuur zichtbaar hoe het gaat waarborgen dat IT-systemen (inclusief interfaces naar bijvoorbeeld vermogensbeheerders) die nog niet gereed zijn ten tijde van het indienen van het implementatieplan, tijdig en met de juiste functionaliteiten alsnog worden opgeleverd. Deze IT-systemen moeten waarborgen dat data beschikbaar is na transitie (conform artikel 46, lid 3, sub b BuPw). Hiertoe is het bestuur concrete actieplannen (gericht op opzet, bestaan en werking) met realistische tijdslijnen en vooraf vastgestelde validatiecriteria met de PUO en vermogensbeheerder overeengekomen en heeft het dit opgenomen in het implementatieplan. Hierbij baseert het fonds zich op de planning en tijdslijnen zoals aangegeven door de PUO en vermogensbeheerder. Daarnaast zijn de belangrijkste resterende mijlpalen voor voltooiing IT systemen gedefinieerd en zijn op basis hiervan afspraken met de PUO en vermogensbeheerder gemaakt dat periodieke rapportages hierop zijn afgestemd. Als mijlpalen niet gehaald dreigen te worden, is de afspraak dat het fonds regie zal voeren tussen de diverse betrokken partijen. Los daarvan wordt niet gewacht tot de volgende periodieke rapportage, maar is de afspraak dat de PUO en/of vermogensbeheerder een tussentijdse oorzaak- en risicoanalyse zal opstellen om vervolgens tot een concreet actieplan te komen. Hier is een analyse van de impact op de overall tijdslijnen ook een onderdeel van. Indien de PUO en/of vermogensbeheerder kiest voor een terugval-optie, om zo de afgesproken mijlpalen te behalen, beoordelen zowel de PUO en/of vermogensbeheerder als het bestuur de terugval-optie op haalbaarheid en beheersbaarheid.

Dit is volgens DNB een goede invulling van artikel 46, derde lid, onder b, BuPW dat voorschrijft dat het fonds in het implementatieplan een analyse opneemt ten aanzien van de beschikbaarheid van data voor, tijdens en na de transitie en de beheersing van de risico's hierbij. Op de hierboven beschreven wijze wordt door het bestuur zorgvuldig geborgd dat gedurende de implementatiefase de voortgang in voltooiing IT-systemen met voldoende diepgang kan worden gevolgd. In het bijzonder kan het behalen van de kritische mijlpalen worden geverifieerd en is bij (tussentijdse) issues vooraf afgesproken hoe te handelen.

Good practice #3: voldoende diepgang vastlegging bestuursbesluiten inclusief opinies van sleutelfunctiehouders en externe partijen
In het bestuursbesluit inzake de haalbaarheid van nieuwe/aan te passen systemen heeft een fondsbestuur blijkens gedetailleerde vastleggingen, onder meer in notulen, een weloverwogen besluit genomen waarin expliciet de conclusies en kanttekeningen uit de relevante beschikbare rapportages en haalbaarheidsanalyses afgewogen zijn. In die rapportages is het bestuur geïnformeerd over de status van de werkzaamheden, de nog te halen mijlpalen inclusief bijbehorende risico’s en een opinie van de sleutelfunctiehouder risicobeheer. Uit het bestuursbesluit blijkt dat het bestuur dit vervolgens heeft afgewogen tegen de in een eerder stadium vastgestelde validatiecriteria en dat het de (eventuele) restrisico’s expliciet accepteert en beoordeelt of deze in de risk appetite van het fonds vallen. Daarnaast is expliciet onderbouwd hoe het bestuur de inhoudelijke oordelen van de verschillende sleutelfunctiehouders heeft meegewogen.

Dit is volgens DNB een goede invulling van artikel 46, eerste lid, onder a, BuPW dat voorschrijft dat het fonds in het implementatieplan informatie opneemt over het doorlopen en te doorlopen besluitvormingsproces. Op de hierboven beschreven wijze laat het bestuur zien dat het op de hoogte is van de werkzaamheden die reeds uitgevoerd zijn en wat nog uitgevoerd moet worden voor invaren, en dit (inclusief de bijbehorende risico’s en tijdslijnen) heeft meegewogen in het bestuursbesluit. Op deze manier is voor alle betrokkenen in te zien dat het bestuur een zorgvuldige beoordeling heeft gedaan over de haalbaarheid van de nieuwe/aan te passen IT systemen op basis van de eigen acceptatiecriteria.

Disclaimer

Good practices bevatten suggesties of aanbevelingen voor onder toezicht staande instellingen. Het zijn voorbeelden van mogelijke toepassingen die naar het oordeel van DNB goede invulling geven aan de verplichtingen uit wet- en regelgeving. Good practices zijn indicatief van aard en instellingen zijn vrij om een andere toepassing te kiezen, zo lang men anderszins voldoet aan de wet- en regelgeving. Voor een nadere toelichting op de status van de beleidsuitingen van DNB zie de Leeswijzer beleidsuitingen DNB op Open Boek Toezicht.

Relevante beleidsuitingen DNB

Tot slot is het van belang dat de relevante wettelijke eisen van de Digital Operational Resilience Act in relatie tot IT-risicobeheer en third-party riskmanagement in de context van de transitie worden betrokken.

Ontdek gerelateerde artikelen

Interessante artikelen

DNB maakt gebruik van cookies

Om de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies. 
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.

Om de website goed te laten werken plaatst De Nederlandsche Bank (DNB) zogeheten functionele cookies en analytics cookies. Maatregelen zijn genomen teneinde zeker te stellen dat deze cookies geen of maar weinig gevolgen heeft voor de privacy van bezoekers.

Op sommige pagina's wordt content van externe websites ingesloten. Deze websites kunnen gebruik maken van eigen (tracking) cookies. Hiermee kunnen derde partijen bijvoorbeeld bezoekersstatistieken bijhouden, gepersonaliseerde content tonen en gerichte advertenties tonen. U kunt zowel bij uw eerste bezoek aan de website als op het moment dat u op een pagina met ingesloten content komt, uw keuze maken over het toestaan van deze optionele cookies.