Nagenoeg alle pensioenfondsen besteden werkzaamheden uit. De mate waarin gebruik wordt gemaakt van externe uitvoerders en adviseurs verschilt echter per pensioenfonds. Wat voor alle pensioenfondsen geldt, is dat het bestuur verantwoordelijk blijft voor alle activiteiten, dus ook voor de activiteiten die zijn uitbesteed.
Vanuit deze optiek worden pensioenfondsen geacht hun uitbestedingsrisico’s te beheersen. Dit betekent niet alleen dat zij de kwaliteit van de uitvoerende partij moeten beoordelen en vaststellen, maar ook dat zij een beeld moeten vormen over de integriteit van deze partij en de wijze waarop zij omgaan met integriteitsrisico’s. Een ISAE-verklaring is hierbij niet afdoende; het pensioenfonds moet vaststellen dat de uitvoerder daadwerkelijk in control is, bijvoorbeeld ten aanzien van belangenverstrengeling, privacy, employment screening, monitoring gedragsregels en afhandeling van incidenten. Maar ook ten aanzien van de processen en gegevens die, binnen de context van de uitbestede diensten, door de uitvoerende partijen op hun beurt weer zijn uitbesteed aan onderaannemers.
Reeds in juni 2014 heeft DNB guidance gepubliceerd met een aantal good practices hoe met uitbesteding door pensioenfondsen omgegaan dient te worden. De guidance heeft geen juridische waarde maar schept wel verwachtingen. Dit betekent dat een pensioenfonds van de good practices kan afwijken, maar dan wel uit moet kunnen leggen op welke wijze het pensioenfonds uitbestedingsrisico’s beheerst.
Veel pensioenfondsen hebben in 2014 en 2015 aandacht besteed aan hun uitbestedingsbeleid. De guidance van DNB lag hier vaak ten grondslag aan. Ook maakte uitbesteding standaard onderdeel uit van de systematische integriteitsrisicoanalyse (SIRA) die pensioenfondsen in 2015 hebben uitgevoerd. Slechts enkele pensioenfondsen hebben naar aanleiding van de actualisatie van het uitbestedingsbeleid en de uitvoering van de SIRA, ook de service level agreements (SLA’s) met uitvoerende partijen herzien. Dit betekent in veel gevallen dat de afspraken met de uitvoerders niet stroken met het beleid van het pensioenfonds, of dat dit niet, of in onvoldoende mate, aangetoond kan worden.
In 2016 heeft DNB uitbesteding door pensioenfondsen in haar toezichtthema’s expliciet benoemd als algemeen punt van aandacht. DNB richt zich daarbij met name op integriteitgerelateerde processen en geeft daarbij aan dat veel pensioenfondsen overgaan tot het opvragen van een compliance- en/of integriteitverklaring of het laten uitvoeren van een compliancescan bij de uitvoerder. Wij zien deze maatregelen ook regelmatig terug in de herziene uitbestedingsbeleidsstukken maar niet altijd in de praktische uitvoering hiervan.
Het ligt in de lijn der verwachting dat DNB komende tijd kritisch gaat kijken op welke wijze uitbestedingsrisico’s worden beheerst. DNB kondigde dit in principe al aan in haar nieuwsbrief van februari jl. Bij dit onderzoek zal DNB verder kijken dan beleid en beschreven beheersmaatregelen in de SIRA. Ze zullen gaan toetsen of de risicobeheersing in de praktijk daadwerkelijk adequaat is, door monitoringresultaten op te vragen en vast te stellen in hoeverre het pensioenfonds bekend is met de risicobeheersing bij de uitvoerende partij. Ze kondigen ook aan actief met uitvoerders te spreken over de interne bedrijfsvoering.
Veel pensioenfondsen zijn al overgestapt op actieve monitoring van de uitvoerders. Een aantal pensioenfondsen leunt echter nog sterk op de informatie en verklaringen die zij van de uitvoerder zelf ontvangen. Het is onze inschatting dat dit in sommige gevallen te maken heeft met een gebrek aan actuele kennis op het gebied van compliance- en integriteitsrisico’s. Ons advies aan deze pensioenfondsen is om dit onderwerp alsnog snel op de agenda te plaatsen en zich te beraden over hun rol en verantwoordelijkheid bij uitbestede processen.