Uit het onderzoek is gebleken dat nog niet alle onderzochte pensioenfondsen het in de Good Practice geboden handvat in voldoende mate hebben ingevuld. We lichten hieronder de belangrijkste observaties toe over onder andere de compleetheid van het datakwaliteitsbeleid, de risico-inventarisatie op KDE-niveau en de aansluiting van data-analyses op de risicobeoordeling.
Stap 1: Opzet Datakwaliteitsbeleid – niet altijd voldoende uitgewerkt
In sommige gevallen is het datakwaliteitsbeleid onvoldoende aangepast aan de meest recente wet- en regelgeving. Daarnaast zijn essentiële onderwerpen niet altijd opgenomen en/of voldoende concreet uitgewerkt in het datakwaliteitsbeleid. Denk hierbij aan de criteria voor het vaststellen van de kritieke data elementen (KDE’s), de (onderbouwing van de) Maximaal Toegestane Afwijking (MTA) en de uit te voeren (aanvullende) data-analyses. Het gevolg hiervan is dat de werkzaamheden niet kunnen worden getoetst aan de gestelde kaders. Dit geldt zowel voor het fonds als voor de externe accountant vanwege de opdracht die is vastgelegd in de Agreed Upon Procedures (AUP).
Stap 2: Risico-inventarisatie en Risicobeoordeling – niet altijd voldoende inzicht in risico’s
De risicoanalyses blijken niet in alle gevallen op KDE-niveau te worden gemaakt. Ook linken niet altijd alle relevante beheersmaatregelen aan de gedefinieerde KDE’s. De risicoanalyses geven niet altijd voldoende inzicht in de bruto risico’s, de daaruit voortkomende beheersmaatregelen en bijbehorende controls en de netto risico’s. Een incomplete risicoanalyse verhoogt het risico op een onvolledige beheersing van de datakwaliteit.
Ook verwijzen pensioenfondsen soms naar de effectiviteit van beheersmaatregelen uit een ISAE3402 assurance rapportage die voor de jaarrekeningcontrole is opgesteld en daardoor een andere materialiteit hanteert. Bovendien is de aard van deze beheersmaatregelen vaak niet gericht op de juistheid en volledigheid van de datakwaliteit die benodigd is voor het invaren of behoren niet alle voor datakwaliteit relevante processen tot de scope van de ISAE3402.
Stap 3: Data-analyses en deelwaarnemingen – niet altijd in samenhang met voorgaande stappen
Uit desk research en de gesprekken is gebleken dat de data-analyses en deelwaarnemingen niet altijd logischerwijs voortvloeien uit de uitgevoerde risicoanalyses en risicobeoordeling (stap 2). Dit is een risico voor een deugdelijke onderbouwing van de omvang, soort en diepgang van de data-analyses en deelwaarnemingen.
Daarnaast is het van belang dat alle KDE’s worden afgedekt door data-analyses en/of data profiling en/of deelwaarnemingen. De uitgangspunten op basis waarvan de aanvullende werkzaamheden en deelwaarnemingen worden vastgesteld, zijn vaak nog onvoldoende uitgewerkt. Hieronder vallen ook de vereisten voor nader onderzoek van outliers en aanvullende activiteiten indien analyses hebben geleid tot bevindingen.
Om zeker te zijn dat de netto risico’s binnen de gestelde toleranties vallen (aan het einde van stap 3) geeft DNB ter overweging om een evaluatie te doen. Deze evaluatie kan zich richten op de samenhang van de risicobeoordeling per KDE met de resultaten van de data-analyses en deelwaarnemingen en de MTA.
De onderzoeken waarop dit nieuwsartikel is gebaseerd, zijn beperkt gebleven tot stap 1 tot en met 3 van onze Good Practice. Voor meer informatie over de stappen en de bijbehorende werkzaamheden verwijzen we graag naar de Good Practice borging van datakwaliteit door pensioenfondsen.