Pensioenfonds en informatietechnologie

(1)

Rudrani Djwalapersad LL.M. MSc mr. Rijk Griffioen

drs. Koos Haakma

Marianne Hamerslag MBA CPE drs. Rob W. Houweling

mr. Bianca van Tilburg ir. Alex Vellekoop RPB Marc van der Zandt MSc RPB

Pensioenfonds en

informatietechnologie

IVP Memoreeks DEEL 3

Deventer – 2021

(2)

Inhoud

Voorwoord 7

Over de auteurs 11

1 IT-strategie en IT-governance 13

1.1 Inleiding 13

1.2 IT in de kern van de fondsstrategie 13

1.3 IT-governance voor pensioenfondsbesturen 15 1.4 Het opstellen en implementeren van de IT-strategie 17

1.5 Het pensioenakkoord en IT-strategie 21

1.6 Conclusie en aanbevelingen 22

2 Ervaringen met het IT-beleidsplan bij St. IBM Pensioenfonds Nederland 23

2.1 Inleiding 23

2.2 Het belang van IT bij SPIN 23

2.3 Het IT-beleidsplan 24

2.4 SPIN ervaringen met het IT-beleidsplan 28

3 Intern toezicht 29

3.1 Inleiding 29

3.2 Inrichting van intern toezicht bij pensioenfondsen 29

3.3 Data-gedreven intern toezicht 35

4 IT-concepten 37

4.1 Inleiding 37

4.2 Veel gebruikte terminologie en een korte geschiedenis van IT 38

4.3 Clouddiensten. ‘Everything as a service’ 43

5 Het beheersen van informatiebeveiliging bij pensioenfondsen 49

5.1 Inleiding 49

5.2 Aansporing tot informatiebeveiliging volgens de wet en de praktijk 49

5.3 Beveiliging: technische maatregelen 51

5.4 Beveiliging: organisatorische maatregelen 57

5.5 Informatiebeveiligingsbeleid 61

5.6 Conclusie 62

(3)

Voorwoord

De functie IT opnemen in pensioenfondsbestuur

Dit deel uit de IVP Memoreeks gaat over hoe informatietechnologie kan helpen bij het bereiken van de concrete doelen die pensioenfondsbesturen zich stellen aan de hand van de geformuleerde visie, missie en strategie.

Informatietechnologie (IT) maakt bij voorkeur uitdrukkelijk deel uit van de strategie van een pensioenfonds. Het nadenken over aanvullingen tussen IT, organisatie, en strategie is van fundamenteel belang voor bestuurders bij het ont- werpen of inhuren van de uitvoeringsorganisatie. Het gaat dan om de technologie die is vereist om de strategie te implementeren die het bestuur heeft bepaald om het concrete doel van het pensioenfonds te bereiken. Dit doel verschilt per pensioenfonds maar hoe gaat het pensioenfonds dat doel efficiënt bereiken? Mede dankzij IT. Wel geldt: meer IT is niet altijd beter. Als er geen vereenzelviging is tussen strategie en organisatiestructuur, kan ook de duurste IT-oplossing dat nauwelijks verbeteren.

IT moet tot één en dezelfde zaak worden gemaakt met factoren binnen de organisatie van het pensioenfonds, zoals organisatiestructuur en Human Resource Management (HRM), en met factoren die de kenmerken van de organisatie bepa- len, zoals de strategie, omgeving, en cultuur. Dat vereist nadenken op bestuurlijk niveau. Bijvoorbeeld, pensioenfondsen die de nadruk leggen op efficiency – zoals rapportages over de prestaties conform een overeengekomen service level agree- ment met een uitvoeringsorganisatie - halen de positieve effecten van IT op die prestaties door IT te combineren met centrale beslissingen. In contrast daarmee zullen bijvoorbeeld pensioenfondsen met een focus op innovatie, bijvoorbeeld met het oog op een nieuw pensioenstelsel, IT combineren met gedecentrali- seerde beslissingsbevoegdheden. Daardoor kunnen autonome medewerkers met ideeën experimenteren.

Volgens de theorie van informatieverwerking is een organisatie een entiteit die bestaat uit elementen of individuen die informatie zenden, ontvangen en ver- werken, zowel verticaal als horizontaal. Dat betekent dat informatie kan worden gebruikt om in hiërarchische lijn instructies te geven, of om te coördineren tussen hiërarchisch gelijken. IT ondersteunt zowel de horizontale als de verticale informatiestromen.

IT-soorten die de informatie-uitwisseling ondersteunen van boven naar bene- den kunnen horizontaal worden vereenzelvigd met centrale beslissingsbevoegdheden, hoge mate van standaardisatie en met een HRM-beleid dat zich richt op vaardigheden en kennis voor medewerkers op een lager niveau. De centrale

(4)

v o o r w o o r d

beslissingsnemers implementeren dan de regels en procedures en instructies die voor de lagere medewerkers gelden. Hier geldt een niet-veeleisende omgeving bij een strategie om bestaande pensioenregelingen vast te houden en een formele organisatiecultuur. Voorbeeld: een afdeling pensioenadministratie bij een uitvoeringsorganisatie.

IT-soorten die de informatie-uitwisseling ondersteunen tussen afdelingen van een organisatie kunnen horizontaal worden vereenzelvigd met gedecentra- liseerde beslissingsbevoegdheden, lage mate van standaardisatie en een HRM- beleid dat zich richt op diverse vaardigheden en kennis voor medewerkers die met elkaar communiceren met autonome coördinatie. Dit organisatieontwerp moet verticaal zijn vereenzelvigd met een veeleisende omgeving, een strategie die focust op nieuwe producten, nieuwe pensioenregelingen, nieuwe omstandig- heden en een organisatiecultuur met een lage mate van formaliteit. Voorbeeld:

een afdeling vermogensbeheer bij een uitvoeringsorganisatie.¹ Dit alles moet goed worden georganiseerd: taak van het bestuur.

Het is om die reden verstandig als de functie van IT in het bestuur van een pensioenfonds is vertegenwoordigd, net als bijvoorbeeld de functies risicomanagement en vermogensbeheer. Een tweede reden om de functie van IT op te nemen in het bestuur is dat in deze tijd van automatisering van pensioenfondsen meer wordt verwacht dan vroeger. Deelnemers weten hoe zij worden bediend door andere spelers op gebied van de pensioenvoorziening die in hoge mate zijn geautomatiseerd, en gericht op digitale dienstverlening. De derde reden is dat IT extra prestatieverbeterend werkt bij organisaties in een dynamische omgeving.² De omgeving van pensioenfondsen is dynamisch, gelet op de vele wetgeving en de aangekondigde wijziging van het pensioenstelsel.

Inhoud van dit boekje

Als informatietechnologie uitdrukkelijk deel uitmaakt van de strategie van het pensioenfonds wordt voldaan aan de belangrijkste voorwaarde om de processen en taken en daarmee de prestaties van het pensioenfonds te optimaliseren. Hoe

1 Er is veel geschreven over het onderwerp IT en organisatie. Zie bijvoorbeeld: Henderson, J. C. and N. Venkatraman (1993) ,“Strategic alignment: leveraging information technology for transforming orga- nizations.” IBM Systems Journal, Volume 32 No. 1 , p 4 -16, te lezen op: http://didattica.cs.unicam.

it/lib/exe/fetch.php?media=didattica:magistrale:abit:ay_1516:henderson_venkatraman_1993_strate- gic_alignment_leveraging_information_technology_for_transforming_organizations.pdf Andersen JA, Jonsson P. (2006), “Does organizational structure matter? On the relationship between the struc- ture, functioning and effectiveness”. International journal of Innovation and Technology Management Volume 3 No.3: p 237-263, te lezen op:http://publications.lib.chalmers.se/records/fulltext/22606/

local_22606.pdf HRM-aspect: centrale versus decentrale beslissingsbevoegdheden. Zie: https://aca- demic.oup.com/qje/article-abstract/117/1/339/1851770?redirectedFrom=fulltext Een open organisatiecultuur versterkt de positieve bijdrage van IT aan prestaties: https://onlinelibrary.wiley.com/doi/

abs/10.1002/(SICI)1097-0266(199705)18:5%3C375::AID-SMJ876%3E3.0.CO;2-7

2 Zie: Sabherwal, R., & Chan, Y. E. (2001), “Alignment between business and IT strategies: A study of pro- spectors, analyzers, and defenders”, Information systems research, Volume 12, No. 1, p. 11-33 te lezen op:

http://dx.doi.org/10.1287/isre.12.1.11.9714

(5)

v o o r w o o r d

een bestuur in de praktijk strategisch omgaat met IT is onderwerp van het hoofdstuk van drs. Koos Haakma en Marianne Hamerslag MBA CPE. Zij bepleiten een sleutelfunctionaris inzake IT.

Strategisch omgaan met IT betekent dat beleid moet worden geformuleerd.

Daarover gaat het hoofdstuk van mr. Rijk Griffioen en drs. Rob Houweling. Zij bespreken hoe Pensioenfonds IBM Nederland beleid maakt op het gebied van IT.

Beleid van het pensioenfondsbestuur is onderhevig aan intern toezicht. Hier- over gaat het hoofdstuk van Rudrani Djwalapersad LL.M. MSc en mr. Bianca van Tilburg. Zij geven aan hoe het intern toezicht werkt op het beleidsterrein van IT en beschrijven de noodzaak van kennis en vaardigheden inzake IT bij personen die intern toezicht uitoefenen bij pensioenfondsen.

In een boekje over IT mag een hoofdstuk met nadere duiding van bepaalde IT-begrippen niet ontbreken. Wie beleid maakt of toetst, heeft kennis nodig van die begrippen. Hierover schreef ir. Alex Vellekoop RPB een hoofdstuk, met bij- zondere aandacht voor clouddiensten.

Tenslotte is het noodzakelijk dat veiligheidsrisico’s worden beheerst die ver- band houden met gebruik van informatietechnologie door het pensioenfonds en bij de partijen aan wie het pensioenfonds taken of processen uitbesteedt. Marc van der Zandt MSc RPB behandelt in zijn hoofdstuk de veiligheid van data, het voldoen aan weten regelgeving hierover en hoe welke risico’s worden beheerst.

Dank

De boeken van het IVP worden niet gesponsord. De auteurs zijn gevraagd om hun kennis en ervaring met u te delen en dat hebben zij belangeloos gedaan.

Daarvoor is het IVP hen dan ook zeer erkentelijk. En zo worden we allen wat wijzer over het onderwerp van pensioenfonds en informatietechnologie.

mr. Onno de Lange RPB secretaris

IVP – Instituut voor Pensioeneducatie Rotterdam, september 2021

(6)

1 IT-strategie en IT-governance

drs. Koos Haakma en Marianne Hamerslag MBA CPE

1.1. Inleiding

Net als andere financiële, kennisgedreven en administratieve organisaties zijn pensioenfondsen in hoge mate afhankelijk van hun Informatie Technologie (IT) bij het uitvoeren van hun activiteiten. Deze afhanke- lijkheid brengt kwetsbaarheden met zich mee en biedt ook kansen. Dankzij IT kunnen pensioenregelingen sneller en beter worden uitgevoerd dan ooit te voren en ontstaan er nieuwe mogelijkheden en voordelen als er op strategisch niveau over de toepassing van IT wordt nagedacht. Zo bezien, is IT niet slechts een dienstver- lener aan een pensioenfonds maar een strategische business partner.

Daarbij komt de waarde van IT niet van IT alleen maar hoe IT wordt aange- wend. Daarover besluit het pensioenfondsbestuur. IT raakt daarmee de missie, visie en strategie van het pensioenfonds en speelt een cruciale rol in het realiseren van zijn doelstellingen. Maar hoe geeft een pensioenfondsbestuur IT de juiste plek in de strategie en op welke wijze organiseert het voldoende countervai- ling power op IT in de governance?

In dit hoofdstuk gaan we in op:

• Waarom hoort IT in de kern van de fondsstrategie?

• Op welke wijze wordt IT verankerd in de governance van een fonds?

• Hoe te komen tot een goede IT-strategie en implementatie ervan?

Het wettelijke kader, intern toezicht, basisbegrippen en veiligheid komen in de volgende hoofdstukken aan de orde.

1.2. IT in de kern van de fondsstrategie

Het pensioenfondsbestuur is verantwoordelijk voor een integere en beheerste bedrijfsvoering. Er moeten adequate procedures en maatregelen zijn ter beheersing van risico’s. Dit wettelijke perspectief heeft tot gevolg dat veel pensioenfondsen IT vooral benaderen vanuit een risico-optiek.

(7)

p e n s i o e n f o n d s e n i n f o r m a t i e t e c h n o l o g i e

IT is voor pensioenfondsen echter, net als in andere sectoren, een sterke disruptieve en onderscheidende kracht. Daarbij is IT niet alleen een middel om efficiency te bewerkstelligen maar biedt het tevens mogelijkheden om groei te realiseren, een betere dienstverlening te bieden en nieuwe proposities te ont- wikkelen. IT moet dan ook tot de kern van de fondsstrategie behoren om het volle potentieel van IT te kunnen benutten.

De verplichte deelname aan pensioenregelingen, die zo kenmerkend is voor de sector, is daarbij geenszins excuus of reden voor een minder ambitieuze houding en insteek. In tegendeel, juist voor het behoud van draagvlak bij de (verplicht) aangesloten werkgevers en deelnemers is een goede dienstverlening door het pensioenfonds van belang. En omdat diezelfde werkgevers en deelnemers als klanten en consumenten in zowel de financiële als ook andere sectoren al volop kennis- maken met de uitgebreide mogelijkheden die IT hen daar biedt, ligt de lat hoog.

IT als onderdeel van de fondsstrategie en het onderscheidend vermogen begint met het besluit om IT daadwerkelijk te benoemen als kernpunt van de strategie.

Missie van Pensioenfonds XYZ:

Wij voeren op een zorgvuldige, evenwichtige en kostenefficiente wijze de pensioen- regelingen uit en communiceren hier transparant en begrijpelijk over.

Hoe IT hieraan een bijdrage kan leveren, wordt inzichtelijk met de antwoor- den op vragen zoals:

• Op welke manier kan directe ontsluiting van brondata uw mutatiestromen ondersteunen of aansturen?

• Hoe vult u uw regierol in op het gebied van datakwaliteit?

• Welke data-analyses helpen bij vroegtijdige foutcontroles of preventieve verbeter- slagen in uw administratie?

• In hoeverre ondersteunen uw administratieve systemen en processen een keuze voor Nieuw Pensioencontract en/of Wet verbeterde premieregeling in het nieuwe pensioenstelsel

• Hoe dragen communicatiemiddelen bij aan gepersonaliseerde informatievoor- ziening naar deelnemers?

• Hoe kunnen met tooling uw overleg- en governance structuren zo efficiënt mogelijk worden ingericht?

• Welke dashboarding is gewenst om tijdig de juiste informatie over uw beleggin- gen inzichtelijk te hebben?

• In hoeverre vormt de leeftijd van uw IT-systemen een belemmering bij verdere efficiencyverbetering?

• Hoe gaat u om met risico’s op cybercriminaliteit en hoe handelt u in voor- komende gevallen?

• Wie binnen het bestuur beschikt over voldoende kennis en ervaring om IT kan- sen en risico’s te duiden?

(8)

i t - s t r a t e g i e e n i t - g o v e r n a n c e

Positief daarbij is dat er bijna geen sector in Nederland is die zich zo goed leent om een volledig gedigitaliseerde en data-gedreven bedrijfsvoering te realiseren als de pensioensector. De pensioensector kan namelijk steunen op een aantal sterke, authentieke bronnen voor de primaire deelnemer- en werkgeverinformatie zoals de Basisregistratie Personen (dat is de vroegere Gemeentelijke Basis Administra- tie), het Uitvoeringsinstituut Werknemersverzekeringen (arbeidsongeschiktheid en sectorinformatie) en de Kamer van Koophandel (sectorinformatie). De informatie over arbeidsverhoudingen en salaris kan vervolgens door de werkgever door middel van een koppeling met de salarisadministratie worden aangeleverd.

Hierdoor is slechts in uitzonderlijke situaties nog aanvullende informatie van en over deelnemers nodig. Omdat alle informatie beschikbaar is, kunnen IT-systemen de procesvoering verder zonder veel menselijke handelingen uitvoeren.

Op basis hiervan kan ook het interne toezicht vergaand worden geautomatiseerd.

In bijna geen enkele sector is dat op deze manier mogelijk.

In de praktijk wordt een pensioenfonds geconfronteerd met IT-systemen die nauwelijks zijn aan te passen, niet klaar zijn voor belangrijke, nieuwe ontwikke- lingen en die nieuwe digitale bedieningsconcepten maar beperkt ondersteunen.

Daarmee is de tijd rijp dat pensioenfondsen het initiatief op IT-gebied sterk naar zich toetrekken met een goed doordachte IT-strategie en implementatie.

De IT-strategie wordt ontwikkeld, geïmplementeerd en gemonitord in een bestuurlijke cyclus van besluiten nemen, monitoring, evaluatie en verantwoor- ding afleggen. Tevens dient bestuurlijke countervailing power (het bieden van des- kundig weerwoord) op IT te zijn ingericht. Deze inbedding heet IT-governance.

1.3. IT-governance voor pensioenfondsbesturen

De meeste pensioenfondsen besteden de kernprocessen van het pensioenfonds, het vermogens- en het pensioenbeheer, uit. Deze uitbestedingsrelaties maken vaak op hun beurt weer gebruik van (onder)uitbestedingen, vooral wat betreft IT.

Pensioenfonds Deelnemer (BRP/UWV)

Werkgever (KvK/UWV)

Fonds Accountant Certificerend Actuaris

Adviserend Actuaris

Vermogensbeheer Pensioenbeheer

Kernprocessen pensioenfonds

Vermogensbeheerder

Pensioenuitvoerder Custodian

Uitbestede kernprocessen

IT-uitvoering IT IT IT

(9)

De kernprocessen worden hier uitgevoerd door de uitbestedingsrelaties van het fonds. Het pensioenfonds maakt gebruik van de IT-systemen van, en de IT- beheersing door, deze uitbestedingsrelaties. Als gevolg daarvan staat IT op grote afstand van het pensioenfondsbestuur terwijl IT wel tot de kern van de bedrijfsvoering behoort.

Een pensioenfonds met een goede IT-strategie heeft drie zaken op orde binnen de governance:

• Kennis en kunde: Deskundigheid op het gebied van en verantwoordelijkheid voor IT.

• Beleid: Vaststelling en naleving criteria voor de benutting en beheersing van IT.

• Beheersing: Zorgdragen dat de integriteit, beschikbaarheid en beveiliging van de (geautomatiseerde) bedrijfsvoering is gewaarborgd.

IT is de facto een specialistisch vakgebied waarin technisch gespecialiseerde IT-ers op kennis dominant zijn. Voor pensioenfondsen is het belangrijk om voldoende kennis en countervailing power rondom IT op bestuurlijk niveau in te richten om te komen tot een goed doordachte IT-strategie en om een sparringspartner te zijn van IT-dienstverleners.

Kennis en kunde dienen in het voltallige bestuur op oordeelsvormend niveau aanwezig te zijn (in ieder geval vergelijkbaar met het voor de pensioensector geldende geschiktheidsniveau A). Wij bevelen aan dat minimaal 1 bestuurslid geschiktheidsniveau B-plus heeft op IT, dan wel dat dit wordt ingebracht door externe expertise.

Sleutelfunctionaris IT

Ter beheersing van risico’s bij de uitvoering van pensioenregelingen is er het 3 lines of defence model. Hierin zijn de sleutelfuncties risicobeheer, interne audit en actuarieel opgenomen. Wij adviseren om in deze governance op bestuurlijk niveau een sleutelfunctionaris IT te benoemen.

In de praktijk kan dat een bestuurslid zijn met kennis van en affiniteit met IT.

Waar nodig kant deze sleutelfunctionaris zich laten ondersteunen door externe IT-specialisten of deze voor de vervulling van deze sleutelrol contracteren. Daar- naast is het verstandig om in het intern toezicht IT-specialisme te mobiliseren.

Verder adviseren wij om voor het bestuur, commissies en het bestuursbureau een IT kennis- en awareness programma in te richten. Deze expertise is nodig om tot een goede IT-strategie te komen en deze te kunnen implementeren.

(10)

1.4. Het opstellen en implementeren van de IT-strategie

Het aanknopingspunt voor de IT-strategie wordt gevonden in de strategische doelstellingen die het pensioenfonds heeft gedefinieerd. Bij deze doelstellingen passen strategische IT-thema’s die worden uitgewerkt in een programma van eisen voor de IT-inrichting. Op basis hiervan stelt u de “blauwdruk” op van uw toekomstige pensioenuitvoering (deze gewenste IT-inrichting heet “SOLL”-situatie). De “blauwdruk” bestaat uit een beschrijving en visualisatie van de toekomstige procesinrich- ting, de keten- of organisatieinrichting en de daarbij behorende IT-inrichting. Ook is opgenomen wat de vereiste kennis, competenties en cultuur van de toekomstige bedrijfsvoering zal zijn (Human Resources Management). Ten slotte volgt een migra- tiepad vanuit de huidige situatie (“IST”) naar deze gewenste situatie (“SOLL”).

Huidige situatie (IST)

Blauwdruk “Doelsituatie” Executie

Programma van eisen

Proces inrichting

Organisatie inrichting

IT-inrichting

HRM

SOLL Migratie

Business Visie Sector(en)

Werkgever/

Deelnemers Distributie

Regelingen Fonds

Strategie

Risico bereidheid

Strategische thema’s die in een IT-strategie aan de orde komen, zijn:

IT als disruptieve kracht van de sector

IT is ook voor de uitvoering van de pensioenvoorziening een sterk disruptieve kracht. Het is onze verwachting dat door de combinatie van grote veranderingen, snelle innovatie en de hoge eisen aan toezicht er de komende jaren stevige ver- schuivingen optreden in de sector en de partijen die daarin actief zijn. Een volgende consolidatieslag in de sector op zowel pensioenfondsniveau als pensioen- uitvoeringsniveau ligt daarom voor de hand. Het ligt voor de hand dat nieuwe IT-dienstverleners hun intrede zullen doen in de pensioensector.

De IT-strategie besteedt daarom aandacht aan de positionering van het pensioenfonds in dit toekomstige speelveld.

Verlagen kosten per deelnemer door digitalisering

De IT-strategie schrijft bij voorkeur voor dat de procesvoering volledig is gedigitaliseerd. Dit stelt eisen aan de informatielogistiek in de procesvoering (invoer,

(11)

doorvoer, uitvoer). Informatie van authentieke bronnen wordt direct ontsloten, salarisadministraties gekoppeld, deelnemercommunicatie vergaand gedigitaliseerd en sociale media sterk benut. Ook de toezichtcyclus is zoveel mogelijk gedigitaliseerd. Vanuit de huidige situatie kan robotisering helpen om de digitale procesvoering versneld te bereiken. Robotisering wordt al veelvuldig toegepast in de pensioensector en houdt in dat menselijke administratieve handelingen worden overgenomen door geautomatiseerde systemen.

Datagedreven pensioenuitvoering

Data zijn het nieuwe goud, maar hoe is dat nieuwe goud te delven? Voor een pensioenfonds zal de toegevoegde waarde van datascience en big data liggen bin- nen het vermogensbeheer, persoonlijke communicatie, fraudebestrijding, hand- havingsvraagstukken en informatiebeveiliging. Op basis van de ruim aanwezige data zal door machine learning de communicatie met deelnemers kunnen plaats- vinden op voorspelbare informatiebehoeften gedurende het leven van een deelnemer.

Ook de besluitvorming in uw fonds kan vergaand worden geautomatiseerd, en administratieve processen sterk vereenvoudigd door gebruik te maken van de aanwezige data. Process mining leidt tot sterke op data gebaseerde proces- optimalisaties en biedt de mogelijkheid om geautomatiseerd de vereiste internal control uit te voeren, hetgeen het werk en rol van de interne controle en externe accountant sterk zal doen veranderen en digitaliseren.

In een datagedreven strategie wordt aandacht besteed aan de datakwaliteit en het management hiervan. Onderzoeken van De Nederlandsche Bank zoals Quinto-P¹ behoren tot het verleden en worden vervangen door op machine lear- ning gebaseerde kwaliteitsanalyses van de data zelf. Daarmee wordt de kwaliteit van de data (stochastisch) bewezen en niet langer door steekproeven onderzocht.

Ons advies is om het raamwerk voor datamanagement zoals ook opgenomen in de Solvency II-richtlijn² te hanteren en digitale technieken voor datakwaliteit toe te passen.

Informatiebeveiliging en Cybersecurity

In de IT-strategie mogen niet ontbreken de onderwerpen van informatieverlies en cybercriminaliteit. De financiële sector is meer en meer een doelwit en ook de

1 Onder de naam Quinto heeft de pensioensector op aangeven van DNB in de jaren 2009-2011 op basis van voorgeschreven steekproeven de kwaliteit van de in de pensioenadministratie geregistreerde pensioenrechten en aanspraken op individueel deelnemersniveau onderzocht. In eerste instantie bij pensioenverzekeraars (Quinto-V) en later bij pensioenfondsen (Quinto-P). Dit heeft geleid tot het inzicht dat datakwaliteit in veel administraties niet afdoende was of in ieder geval een belangrijk aan- dachtsgebied.

2 Solvency II is een Europese richtlijn voor prudentieel toezicht op verzekeraars.

(12)

pensioensector ontkomt hier niet aan. Financiële- en reputatieschade bij bijvoor- beeld dataverlies of een randsomware aanval³ zijn groot.

Veel pensioenfondsen hebben de afgelopen jaren op het gebied van infor- matiebeveiliging en cybersecurity een inhaalslag gemaakt. De definitie en imple- mentatie van beheersmaatregelen is vaak een zwaar traject. Juist op dit gebied is de countervailing power op IT vanuit het bestuur van belang. Wij zien pensioen- fondsen worstelen met een sterk genormeerd beheersingsraamwerk waarvan de kennis door externe specialisten is ingebracht en niet, of slechts beperkt, landt in de eigen organisatie. Kennis en overzicht vanuit een bestuurlijk perspectief, kennis en inzicht in de totale waarde- en IT-keten en goed inzicht in het management van IT-partners is essentieel om een voor de eigen organisatie werkbare beheersing te realiseren.

Wendbaarheid

Dit is misschien wel het belangrijkste strategische thema voor de komende jaren in de IT-strategie bij pensioenfondsen. Veel financiële dienstverleners zitten vast aan legacy systemen. Het gaat om oude systemen om oude regelingen uit te kun- nen blijven uitvoeren of oude producten te kunnen onderhouden, bijvoorbeeld zo lang de looptijd ervan niet is verstreken. Enkel door forse investeringen kunnen de oude systemen worden gemoderniseerd. Ook pensioenfondsen worden hier mee geconfronteerd, waarmee wendbaarheid en toekomstvastheid van het betrokken pensioenfonds een essentieel vraagstuk vormt.

In onderstaand figuur is een basisopzet van de IT-architectuur van het excel- lente pensioenfonds opgenomen. Voor het bestuur van pensioenfondsen is het van belang om te kunnen beoordelen welke wijzigingen op welk punt ingrijpen op de IT-architectuur, om daarmee de impact van wijzigingen te kunnen begrijpen.

3 Ransomware is software die door kwaadwillenden wordt ontwikkeld om de toegang tot computersys- temen te blokkeren. De toegang wordt weer vrijgegeven na betaling van losgeld (ransom money). In 2019 werd de Universiteit Maastricht hier slachtoffer van waardoor universitaire onderzoeken en tentamenuitslagen van studenten niet meer toegankelijk waren. De universiteit heeft tonnen euro’s aan losgeld betaald.

(13)

De IT-strategie legt met deze strategische thema’s vast op welke manier IT in de komende jaren bijdraagt om de strategische doelstellingen van het pensioenfonds te realiseren. De IT-strategie is gericht op wat het pensioenfonds wil bereiken (“de wat vraag”). Op basis hiervan worden de IT-beleidsnormen opge- steld (kortweg IT-beleid). Het beleid is gericht op de vraag of en in welke mate het pensioenfonds in control is op IT (“de hoe vraag”).

Een goed IT-beleid is zodanig opgesteld dat daarmee kan worden bestuurd.

De Nederlandsche Bank heeft als uitgangspunt voor een goed IT-beleid het zoge- heten 4-A model geïntroduceerd. De brancheorganisatie van pensioenfondsen, de Pensioenfederatie, heeft op dit gebied aanbevelingen gedaan en aan het model een vijfde “A” van Awareness toegevoegd. Dit 5-A model vormt het uitgangspunt voor een goed IT-beleid. In essentie beschrijft het pensioenfonds per “A” de doel- stelling, de normen die het daaraan koppelt, en de wijze waarop de uitvoering van deze normen wordt gecontroleerd.

Onderdeel van het IT-beleid is tot slot de IT-risicobeheersing. In de afgelopen jaren hebben pensioenfondsen grote stappen gezet in het inrichten van Integraal Risico Management (IRM). Risicobeleid is veelal gedefinieerd en risicomanage- ment opgenomen in de governance en dagelijkse besturing van pensioenfondsen.

IT-risico’s nemen hierin een belangrijke plaats. In de komende hoofdstukken wordt nader ingegaan op het vormgeven van IT-risicomanagement en intern toezicht daarop.

(14)

De IT-strategie wordt uitgevoerd door vanuit de huidige situatie een migra- tiepad of roadmap te maken naar de gewenste situatie. Het bestuur en intern toezicht monitoren binnen de governance van het fonds de uitvoering van deze roadmap en de invulling van het IT-beleid.

1.5. Het pensioenakkoord en IT-strategie

Wendbaarheid is hiervoor al genoemd als belangrijk thema in de IT-strategie bij pensioenfondsen vooral ook omdat de naderende veranderingen vanuit het nieuwe pensioenstelsel een grote impact op IT zullen hebben. In het kader van een goede IT-strategie ontkomen we er daarom niet aan om de link te leggen tussen het nieuwe pensioenstelsel en IT.

Het nieuwe pensioenstelsel is nog volop in beweging. Voor dit hoofdstuk beschouwen we daarom slechts de essentie:

• In het nieuwe pensioenakkoord staat een persoonlijker en transparanter pensioen centraal;

• Twee mogelijke varianten geven hier invulling aan: de wet verbeterde premieregeling (WVP) en het nieuwe pensioencontract (NPC);

• Door de toenemende keuzemogelijkheden (vast/variabel pensioen) dient hierover (meer) te worden geïnformeerd aan deelnemers. Correct, Duidelijk en Evenwichtig.

De IT-impact voor pensioenfondsen die op dit moment een defined contribution -regeling voeren, waarbij de werkgever een afgesproken premie inlegt maar geen overeengekomen pensioenresultaat garandeert, is beperkt en betreft met name communicatie. Voor pensioenfondsen die een defined benefit-regeling voeren, waarbij er een overeengekomen pensioenresultaat voor de deelnemer wordt gegarandeerd, is de impact op IT met de komst van het nieuwe pensioenstelsel groot. Men moet dan ingrijpen in het hart van de IT-architectuur.

Het product van het pensioenfonds (de regeling), met bijbehorende rechtenad- ministratie en het vermogensbeheer moeten worden aangepast. Dat betekent ook dat de Finance, Control en Risk-systemen moeten worden aangepast evenals de deelnemercommunicatie, engagement en bediening. Al met al wijzigt de gehele IT-huishouding van uw fonds. Het is dan ook raadzaam om nu al een IT-impact analyse uit te voeren, vooruitlopend op de discussie met sociale partners over de te voeren regeling.

(15)

1.6. Conclusie en aanbevelingen

Dit hoofdstuk maakt duidelijk dat IT IT is een belangrijke aanjager is van de strategie van pensioenfondsen en een prominente plek op de agenda van het bestuur en intern toezicht vereist.. IT- innovaties gaan razendsnel. De sector staat aan de vooravond van een grote verandering.

Kennis van IT, IT-toekomstvastheid en IT-beheersing zijn noodzakelijk. Maar:

‘Schoenmaker, blijf bij uw leest’. Een pensioenfondsbestuurder is geen IT-specia- list en hoeft dat ook niet te worden. Wel bevelen wij sterk aan dat pensioenfond- sen op bestuurlijk niveau IT-kennis en countervailing power inrichten. Dat is goed te doen door na te denken over een sleutelfunctie IT in de governance en waar nodig ondersteuning door externe IT-experts. We adviseren daarnaast om voor het fondsbestuur, commissies en bestuursbureau een IT-kennis en awareness programma op te zetten.

Onze aanbeveling is om de IT-strategie op te stellen gericht op het realiseren van de doelstellingen van uw fonds. De in dit hoofdstuk genoemde aanpak en de strategische IT-thema’s kunnen als uitgangspunt dienen. Vervolgens bevelen we aan dat de IT-strategie wordt vertaald in beleidsnormen volgens het 5-A model, die worden geïmplementeerd en gevolgd. Op deze wijze brengt een pensioenfonds de IT-strategie in lijn met zijn fondsdoelstellingen en kan het daadwerkelijk stu- ren op IT-uitvoering.