Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

Good practices van de Nederlandsche Bank inzake assurance verklaringen ten aanzien van de nieuwe/aangepaste IT omgeving samenhangend met de pensioentransitie

WTP Good practice
Lees voor

Deze good practice bevat voorbeelden van hoe fondsen zekerheid kunnen verkrijgen over (onderdelen van) de volgende twee zaken voorafgaand aan het invaren: de ‘invaarstraat1’ die wordt gebruikt voor datamigratie & invaren, en het nieuwe pensioenbeheersysteem2 (de rekenkern en de daaraan verbonden applicaties). Hiermee vormen deze voorbeelden een aanvulling op de recent gepubliceerde good practices voor pensioenbeheer en dan specifiek de in dit document benoemde good practice over het gebruik van assurance.

Gepubliceerd: 25 oktober 2024

Bekijk eerdere versies in het archief

De onderstaande voorbeelden zijn in de ogen van DNB een goede invulling van artikel 46, derde lid onder a, BuPW (opnemen analyse ten aanzien van operationele en IT-risico’s en de beheersing hiervan). Dit artikel draagt immers bij aan de zekerheid dat de systemen bijvoorbeeld functioneel werken zoals beschreven in het implementatieplan en voldoende beveiligd zijn. Hierdoor kan het invaren op beheerste wijze verlopen en de nieuwe pensioenregeling goed uitgevoerd worden. Zekerheid over datakwaliteit is geen onderdeel van deze good practice. Over datakwaliteit heeft DNB andere good practices gepubliceerd.

DNB heeft hierna vier voorbeelden opgenomen gerelateerd aan assurance-verklaringen in het kader van de IT-transitie:

  • Good practice #1: de scope van de assurance-opdracht helder afbakenen
  • Good practice #2: het gebruik van een zekerheidsniveau passend bij de opdracht
  • Good practice #3: inzicht in uitkomsten assurance vóór daadwerkelijk invaren
  • Good practice #4: ook impact en invloed mogelijk bij een gezamenlijke opdrachtverstrekking

DNB wil hierbij expliciet opmerken dat fondsbesturen zich moeten realiseren dat deze aanpak niet in alle gevallen direct toepasbaar is zonder de fondsspecifieke situatie in ogenschouw te nemen, bijvoorbeeld of de pensioenuitvoering is uitbesteed bij een PUO. Daarnaast kan het zijn dat toepassen van één of meerdere good practices impact heeft op het communicatieplan vanuit het oogpunt van deelnemerscommunicatie.

Relevante wet- en regelgeving

Aan de hand van deze good practices worden handvatten gegeven voor de naleving van de volgende wet- en regelgeving:

  • Artikel 46, derde lid, onder a, BuPW

Relevante beleidsuitingen DNB

Good practice #1: de scope van de assurance-opdracht helder afbakenen

Een fondsbestuur heeft behoefte aan assurance over de invaarstraat en het nieuwe pensioenbeheersysteem. Eerst bepaalt het bestuur risico gebaseerd, in overleg met de sleutelfunctiehouders risicobeheer en interne audit, welke onderdelen van de invaarstraat en het nieuwe pensioenbeheersysteem in scope zijn van de assurance. Daartoe maakt het bestuur een inventarisatie van nieuwe en/of gewijzigde onderdelen van de invaarstraat en het nieuwe pensioenbeheersysteem. Voorbeelden zijn applicaties, onderliggende IT-platforms, databases en geautomatiseerde interfaces. Ook de ontwikkeling, de implementatie, het beheer en de organisatie & governance van genoemde voorbeelden kunnen tot de inventarisatie behoren. Beveiliging wordt meegenomen bij al deze onderdelen. Gezien de specifieke materie vraagt het bestuur hierbij om input van betrokken leveranciers, dienstverleners en een externe IT-deskundige.

Vervolgens gaat het bestuur per onderdeel na in hoeverre de functionele werking van zowel invaarstraat als het pensioenbeheersysteem zoals beschreven in het implementatieplan, inclusief de beveiliging, op objectieve wijze reeds aangetoond is. Op basis van deze analyse bepaalt het bestuur vervolgens de wenselijkheid of noodzaak van aanvullende assurance, alsmede de scope hiervan.

DNB vindt dit een good practice, omdat het bestuur ten eerste onderdelen van de invaarstraat en het nieuwe pensioenbeheersysteem inventariseert, en ten tweede de aantoonbare werking van die onderdelen analyseert, en op deze manier voorkomt dat mogelijk belangrijke operationele risico’s buiten beeld blijven. Bovendien biedt deze analyse een goede basis om gemaakte keuzes over aanvullende zekerheid aan stakeholders buiten het bestuur inzichtelijk te maken. Dit laatste helpt het fonds bij de analyse in het implementatieplan ten aanzien van operationele en IT-risico’s.

Good practice #2: het gebruik van een zekerheidsniveau passend bij de opdracht

Een fonds kiest ervoor om de opdracht voor toetsing van onderdelen van het pensioenbeheersysteem te verstrekken aan een register IT-auditor. Het fonds geeft opdracht om een audit te laten uitvoeren in overeenstemming met Richtlijn 3000, in dit geval resulterend in een assurance-rapport dat een redelijke mate van zekerheid biedt.

DNB vindt dit een goed voorbeeld, omdat een toetsing door een deskundige, onafhankelijke en objectieve partij, zoals een register IT-auditor, meer zekerheid geeft dan een toetsing door de softwareontwikkelaar of PUO zelf. Daarnaast geeft een assurance-rapport een beperkte of redelijke mate van zekerheid, in tegenstelling tot bijvoorbeeld een Richtlijn 4400-rapportage, waarin de uitkomst van overeengekomen specifieke werkzaamheden is beschreven, waarover de ontvanger van de rapportage zelf nog een oordeel dient te vellen. Mogelijk kan het assurance-rapport, in overleg met de betrokken accountant, bovendien bijdragen aan het verkrijgen van zekerheid over ‘toetsmoment 2 ten aanzien van datakwaliteit3’.

Een toetsing door derdelijns interne audit (of tweedelijns risicomanagement) is een alternatieve good practice die ook door het fonds is overwogen. Gezien de objectiviteit en onafhankelijkheid kan dit in de ogen van DNB ook aanvullende zekerheid bieden ten opzichte van toetsing door de eerstelijns organisatie van de softwareleverancier of PUO. Het bestuur weegt af welke vorm van aanvullende zekerheid passend is gegeven de specifieke situatie van het fonds en onderbouwt dit in het implementatieplan.

Good practice #3: inzicht in uitkomsten assurance vóór daadwerkelijk invaren

Een fonds kiest ervoor om zekerheid over de invaarstraat en het nieuwe pensioenbeheersysteem te verkrijgen vóór het moment van invaren. Het fonds spreekt met de assurance-provider af dat de uitkomsten van de toetsing beschikbaar zullen zijn voorafgaand aan de finale Go/No-go over beheerst kunnen invaren.

DNB vindt dit een good practice, omdat het verkrijgen van assurance over de invaarstraat en het nieuwe pensioenbeheersysteem voorafgaand aan finale beslissingsmomenten ervoor zorgt dat deze informatie door het bestuur ook daadwerkelijk betrokken kan worden in de besluitvorming over invaren. Dit helpt om een aantoonbaar goed onderbouwd besluit te nemen.

Good practice #4: ook impact en invloed mogelijk bij een gezamenlijke opdrachtverstrekking

Een fonds dat het pensioenbeheer heeft uitbesteed aan een multi-client PUO, heeft samen met andere klantfondsen afgesproken dat de PUO een audit zal laten uitvoeren op de invaarstraat en het nieuwe pensioenbeheersysteem door een gezamelijke opdrachtverstrekking, en wat de scope hiervan zal zijn. Afgesproken is verder dat de klantfondsen niet alleen het integrale auditrapport zullen ontvangen, maar hierover ook een gesprek zullen hebben met de IT-auditors die het onderzoek hebben uitgevoerd.

DNB vindt dit een good practice om twee redenen:

  • Betrokkenheid van fondsen bij de totstandkoming van doelstelling en scope van de audit maakt dat fondsen hier invloed op kunnen hebben, en bovendien tijdig kunnen bepalen in hoeverre de audit zal voorzien in hun zekerheidsbehoefte. Dit stelt de fondsen in staat om in aanvulling hierop eventueel nog andere assurance tijdig (via een andere weg) te kunnen verkrijgen. Dit draagt vervolgens bij aan kwalitatief goede besluitvorming waarbij operationele en IT-risico’s goed zijn meegewogen.

  • Bespreken van de integrale auditrapportage met de auditors draagt eraan bij dat het fonds de ontvangen assurance goed kan interpreteren: waarop heeft deze betrekking (en waarop niet), en hoe moet het oordeel begrepen worden. Dit draagt vervolgens eveneens bij aan kwalitatief goede besluitvorming waarbij de relevante operationele en IT-risico’s goed zijn meegewogen.

DISCLAIMER
Good practices bevatten suggesties of aanbevelingen voor onder toezicht staande instellingen. Het zijn voorbeelden van mogelijke toepassingen die naar het oordeel van DNB goede invulling geven aan de verplichtingen uit wet- en regelgeving. Good practices zijn indicatief van aard en instellingen zijn vrij om een andere toepassing te kiezen, zo lang men anderszins voldoet aan de wet- en regelgeving. Voor een nadere toelichting op de status van de beleidsuitingen van DNB zie de Leeswijzer beleidsuitingen DNB op Open Boek Toezicht.

1: Hiermee wordt bedoeld: de systemen en processen ten behoeve van de datamigratie (het migreren van de data uit het huidige pensioenbeheersysteem naar het nieuwe pensioenbeheersysteem) en de invaarberekening (het omrekenen van de bestaande pensioenaanspraken naar de persoonlijke pensioenaanspraken onder nieuwe regeling).

2: Het geheel van geautomatiseerde systemen waarmee de nieuwe pensioenregeling wordt uitgevoerd, bestaande uit de rekenkern voor de rechtenadministratie, gerelateerde toepassingen zoals incasso, excasso, ontsluiting van informatie aan deelnemers en koppelingen met het vermogensbeheer.

3: Toetsmoment 2 geeft invulling aan de wijze waarop datakwaliteit tijdens en na de transitie aantoonbaar geborgd is.

Ontdek gerelateerde artikelen

Interessante artikelen

DNB maakt gebruik van cookies

Om de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies. 
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.

Om de website goed te laten werken plaatst De Nederlandsche Bank (DNB) zogeheten functionele cookies en analytics cookies. Maatregelen zijn genomen teneinde zeker te stellen dat deze cookies geen of maar weinig gevolgen heeft voor de privacy van bezoekers.

Op sommige pagina's wordt content van externe websites ingesloten. Deze websites kunnen gebruik maken van eigen (tracking) cookies. Hiermee kunnen derde partijen bijvoorbeeld bezoekersstatistieken bijhouden, gepersonaliseerde content tonen en gerichte advertenties tonen. U kunt zowel bij uw eerste bezoek aan de website als op het moment dat u op een pagina met ingesloten content komt, uw keuze maken over het toestaan van deze optionele cookies.