Pensioenfondsen hebben onvoldoende zicht op langer wordende uitbestedingsketens

Afbeelding Pensioenfondsen hebben onvoldoende zicht op langer wordende uitbestedingsketens

DNB heeft in 2020 en 2021 diverse onderzoeken verricht naar de beheersing van de uitbestedingsrisco’s bij pensioenfondsen. Hieruit blijkt dat pensioenfondsen vaak onvoldoende zicht hebben op onderuitbestedingen verderop in de keten.

Pensioenfondsen besteden hun administratie of vermogen vaak geheel of gedeeltelijk uit aan pensioenuitvoeringsorganisaties (PUO’s). De PUO’s besteden echter ook weer diensten uit. Er is dan sprake van onderuitbesteding. Tevens zijn PUO’s ook afhankelijk van serviceproviders voor alle IT gerelateerde processen. Ook de service providers besteden vaak weer uit aan andere, derde, partijen.

Bij onvoldoende zicht op de uitbestedingsketens neemt de beheersbaarheid van risico’s op het gebied van informatiebeveiliging en beschikbaarheid af en het risico op diefstal van gevoelige informatie en uitval van bedrijfsprocessen dus toe. Dit terwijl het pensioenfondsbestuur wel direct verantwoordelijk is voor wat er in de hele keten gebeurt.

Twee voorbeelden:

  • Als een onderaannemer vertrouwelijke informatie verwerkt (bijvoorbeeld gevoelige persoonsgegevens), heeft de onderaannemer dan wel voldoende informatiebeveiligingsmaatregelen genomen die passen bij de vertrouwelijkheid van de informatie en de beveiligingseisen van het pensioenfonds?
  • Zijn de continuïteitsplannen van de hoofdaannemers en onderaannemers bij een storing in de bedrijfsprocessen en/of systemen wel goed op elkaar afgestemd? En voldoen deze wel aan de continuïteitseisen die het fonds stelt aan het systeem?

De voorbeelden die hierboven zijn genoemd, zijn illustratief voor de vragen die je jezelf kan stellen bij onderuitbesteding. Bewustwording van deze risico’s is mijns inziens de belangrijkste stap om ook dit proces te optimaliseren. Als bij uitbesteding bewust wordt nagedacht over de eisen die gesteld dienen te worden aan onderaannemers en er ook specifiek gekeken wordt naar de afspraken die gemaakt zijn, is het ook logisch dat onderaannemers aan dezelfde eisen dienen te voldoen als de hoofdaannemer.

Wat kan een pensioenfonds doen om grip te houden op de uitbestedingsketens?

Een pensioenfonds kan dit doen door:

  • Het uitvoeren van een risicoanalyse voorafgaand aan de uitbesteding;
  • Toezien op de (naleving van) contractuele afspraken met de hoofdaannemer over onderuitbesteding;
  • Ontvangen en beoordelen van zekerheidsrapportages. Tevens dient er duidelijkheid te zijn over welke onderdelen door de hoofdaannemer zijn uitbesteed en hoe de monitoring heeft plaatsgevonden. Naast de assurance rapporten, kan het pensioenfonds ook zelf audits (laten) uitvoeren ter controle bij de hoofdaannemer en/of onderaannemers. In de praktijk wordt hier maar beperkt gebruik van gemaakt.

Wat verwacht DNB van de pensioenfondsen in 2022? 

DNB verwacht dat fondsen mogelijke en noodzakelijke verbeteringen implementeren. Daarnaast komt er naar verwachting in 2022 meer duidelijkheid over de invulling van de nieuwe verordening van de Europese commissie: “de Digital Operational Resilience Act (DORA)” die eind 2024 in werking treedt. Een van de doelen hiervan is om bewuster om te gaan met de risico’s van uitbesteding. Het is dan ook belangrijk dat pensioenfondsen en PUO’s  zich hier tijdig op voorbereiden.

Wilt u meer informatie over dit onderwerp?  Het hele artikel van de DNB is hier terug te vinden.

Bron: DNB