Uitbesteding: groeien naar het volgende niveau

Uitgave: Pensioen Bestuur & Management (PBM) nummer 4 2018

ESTHER VAN DEN BERG-OVERDUIN, TOEZICHTHOUDER AFDELING TOEZICHT GROTE PENSIOENFONDSEN DNB EN INGRID TALSMA, TOEZICHTHOUDER EN SPECIALIST EXPERTISECENTRUM OPERATIONELE EN IT-RISICO’S DNB Rubriek: Markt en organisatie
Geplaatst op 04-12-2018
Uitbesteding: groeien naar het volgende niveau Pensioenfondsen besteden veel uit waarbij de keten van uitbestedingen langer en complexer wordt. Dit stelt hoge eisen aan de besturing van uitbestedingen en de beheersing van de risico’s die hiermee samenhangen. Uit DNB-onderzoek blijkt dat (cloud) uitbesteding belangrijker wordt en dat daarmee ook de risico’s toenemen.

eb

De onderzoeksresultaten laten zien dat er ruimte voor verbetering is bij de beheersing van de (onder)uitbestedingsrisico’s. Hoe kunnen bestuurders van pensioenfondsen uitbestedingen op een effectieve wijze managen?

[kader]
In het onderzoek zagen we dat er meer aandacht wordt besteed aan het vastleggen van (onder)uitbestedingen. Dat helpt deze fondsen inzicht te krijgen in de uitbestede activiteiten. Riskmanagement is vaak verantwoordelijk voor de registratie van deze uitbestedingen en veelal ook voor het service level management en de evaluatie van de dienstverleners.
[einde kader]


Zicht op uitbesteding
Bijna alle pensioenfondsen hebben één of meerdere activiteiten uitbesteed aan gespecialiseerde partijen, zoals de pensioenuitvoeringsorganisaties (PUO’s). Deze uitbestedingen zijn divers, zoals pensioenbeheer, vermogensbeheer, bestuursondersteuning en de ICT. Bij ICT zijn er uitbestedingen op het vlak van datacenteren infrastructurele services, netwerkbeheer en monitoring, databeheer en datavernietiging. De redenen om taken uit te besteden zijn specialistische kennis, schaalvoordelen, kostenbeheersing en flexibiliteit.
PUO’s besteden op hun beurt ook activiteiten uit aan dienstverleners die weer verder uitbesteden aan andere dienstverleners. Hierdoor wordt de keten aan uitbestedingen langer. Daarom zijn duidelijke afspraken tussen pensioenfonds en de hoofddienstverlener van cruciaal belang1.

Concentratierisico
De ketens van uitbestedingen door ‘onderuitbestedingen’ worden langer. Daardoor neemt ook het risico op concentraties bij dienstverleners toe. Onderdeel van het onderzoek was om de ketens van uitbesteding inzichtelijk te maken inclusief de potentiële concentraties bij dienstverleners binnen zo’n keten (zie figuur 1).

uit

Het inzicht in mogelijke concentratierisico’s bij dienstverleners kan worden verbeterd. Hier ligt een uitdaging voor zowel de sector als de toezichthouders. Het beter in beeld brengen van de (onder)uitbestedingen door zowel fondsen als PUO’s is hierin een noodzakelijke stap. Zo zien we nu een hoog aantal contracten bij dienstverleners van ICT, administraties en databeheer. Hoe specifieker de aard en het type uitbesteding per dienstverlener zijn benoemd, hoe inzichtelijker en overzichtelijker het concentratierisico.

[kader]
Een goed voorbeeld is een pensioenfonds dat de bestuursondersteuning, kantoorautomatisering en riskmanagementfunctie bewust bij een andere partij heeft belegd dan de pensioenadministratie.
[einde kader]


Plan, do, check, act
Vijf fases van het uitbestedingsproces
Uitbestedingen dienen beheerst te worden en ondersteunend te zijn aan missie, visie en strategie van het fonds2. Het pensioenfondsbestuur volgt dit nauwgezet en heeft controle op de vijf fases van het uitbestedingsproces3:
1. Formuleren van uitbestedingsbeleid.
2. Inrichten governance.
3. Selectie dienstverlener.
4. Monitoring.
5. Evaluatie.

Onderstaand wordt in het bijzonder ingegaan op de fases uitbestedingsbeleid (inclusief risicoanalyse), monitoring en evaluatie.

Het bestuur van een pensioenfonds is verantwoordelijk voor het besturen en bijsturen van alle uitbestedingen in de uitbestedingsketen. De visie en strategie van het fonds zijn bepalend voor de inkleuring van het uitbestedingsbeleid. Het uitbestedingsbeleid adresseert:
- Overwegingen op grond waarvan tot uitbesteding wordt besloten.
- Randvoorwaarden waaronder uitbesteding plaatsvindt.
- Aanpak en processen.
- De monitoring en evaluatie van geleverde prestaties.
- Business Continuity Management (BCM).

[kader]
Een goed voorbeeld van het adresseren van BCM betreft een pensioenfonds dat in samenwerking met de PUO de consequenties van verstoringen binnen de uitbestedingsketens heeft bepaald. Het fonds heeft op basis hiervan een ‘eigen’ business continuïteitsplan (BCP) opgesteld dat aansluit op het BCM-beleid. Vervolgens zijn in dit plan de maatregelen bij de PUO om de gevolgen van een verstoring te beperken uitgewerkt. In dit plan staan ook de maatregelen voor andere dienstverleners, zoals de bestuursondersteuning, iPads en kantoorautomatisering (in de cloud). Het fonds test deze BCM-maatregelen periodiek, waar mogelijk met betrokkenheid van alle dienstverleners. Het fonds volgt daarbij ook de resultaten van door de dienstverlener zelfstandig uitgevoerde BCP-tests.
[einde kader]


Belangrijk is de mate waarin een dienstverlener op korte en lange termijn kan meebewegen met visie en strategie van het pensioenfonds, de zogenoemde wendbaarheid. Dit vormt een steeds belangrijker onderdeel van het uitbestedingsbeleid en de daar bijbehorende risicoanalyse.

[kader]
Steeds meer pensioenfondsen brengen op basis van scenarioanalyses in kaart waaraan uitbestede activiteiten op korte en lange termijn moeten voldoen. Zo krijgen ze inzicht in de mate waarin visie en strategie van het fonds en die van de dienstverlener op elkaar aansluiten. Dit met het oog op een wereld die steeds sneller verandert, onzekerheden kent en een grotere wendbaarheid vereist.
[einde kader]


DNB verwacht van pensioenfondsen dat zij een risicoanalyse hebben gemaakt waarin uitbestedingsrisico’s zijn opgenomen3. DNB-onderzoek toont aan dat de systematische risicoanalyse met betrekking tot uitbestedingen verbeterd kan worden op de onderdelen:

- Concentratierisico.
- Wendbaarheid dienstverlener.
- AO/IC-dienstverlener.
- BCM-maatregelen.
- Compliance.

Beleid en bijbehorende risicoanalyse worden vertaald naar voorwaarden in het uitbestedingscontract.

Een andere bevinding uit het onderzoek is dat wettelijk verplichte contractclausules niet altijd zijn opgenomen, zoals exit-bepalingen, bepalingen voor het ‘right to examine’ voor DNB en het auditrecht voor interne auditdiensten. Soms ontbreken bepalingen in het contract over de wijze van informatie-uitwisseling, monitoring, controle en periodieke evaluatie.

Assurance waarover?

Om uitbestedingen adequaat te kunnen monitoren zijn duidelijke afspraken cruciaal. We zien in de praktijk dat pensioenfondsen ’third party’ rapportages als ISAE3402- of SOC-verklaringen ontvangen van dienstverleners. Dit alleen is echter niet voldoende. Het is ook nodig om de juiste scope en reikwijdte van deze rapportages vast te stellen, eventuele gerapporteerde bevindingen te evalueren en (periodiek) te overleggen met de dienstverlener en/of instantie die dit rapport heeft verstrekt. Naast deze third party rapportages worden op operationeel niveau tussen het fonds en de dienstverlener kritische performance indicatoren (KPI) bepaald gericht op de specifieke uitbesteding en het gerelateerde risico. Third party rapportages en KPI-rapportages vormen goede ingrediënten voor pensioenfondsbestuurders om op een effectieve wijze hun uitbestedingen te ‘monitoren’.

[kader]
Een goed voorbeeld is de jaarlijkse evaluatie van de kwaliteit van de uitbestede activiteiten. Bovendien schakelt het fonds een extern gespecialiseerde partij in voor complexe uitbestedingen. Deze externe partij heeft expertise en kennis om ook een oordeel over de marktconformiteit van de kosten/kwaliteit van de uitbestedingen te kunnen geven. Vervolgens kunnen vertegenwoordigers van PUO en fonds met een meer onafhankelijke blik de wederzijdse samenwerking beoordelen.
[einde kader]


Uit DNB-onderzoek blijkt dat pensioenfondsen en PUO’s van een kwart van hun uitbestedingscontracten geen assuranceraportages ontvangen over de kwaliteit van de geleverde diensten. Daarnaast blijkt een aanzienlijk deel van de rapportages niet door de fondsen te zijn geanalyseerd. Een vraag die het bestuur zich dan kan stellen is of de impact van het uitbestedingsrisico op het fonds afdoende wordt beheerst, gegeven de kwaliteit van de beschikbare informatie.

Achteruit & vooruit kijken
Het is belangrijk dat een fondsbestuur nagaat of uitbestedingen aansluiten bij de strategie van het fonds. De Code Pensioenfondsen schrijft voor dat het fonds in het bestuursverslag, volgens het principe ‘comply or explain’, laat zien of die aansluiting er is. Het fonds verzamelt daartoe verschillende vormen van managementinformatie over de performance van de dienstverleners waaronder assurancerapportages, klachten- en incidentenrapportages en informatie uit (in)formele bronnen. Het fonds vormt op basis hiervan een oordeel over de beheersing van uitbesteding.

Uit het DNB-onderzoek blijkt dat besturen kritischer kunnen zijn alvorens in het bestuursverslag te vermelden dat volledig wordt voldaan aan de Code Pensioenfondsen. Lang niet alle uitbestedingen voldoen aan de Code Pensioenfondsen en andere uitbestedingsvereisten die wet- en regelgeving voorschrijven. Door beschikbare informatie gerichter te gebruiken, kan het fondsbestuur zich een scherper beeld vormen over de kwaliteit van geleverde prestaties. Dit biedt houvast bij het aangaan van de dialoog met dienstverleners over het (verder) verbeteren van uitbestede activiteiten. Het biedt ook grondslag voor het aangaan van de dialoog met (huidige en alternatieve) dienstverleners over de dienstverlening voor de toekomst. De vraag die hierbij centraal staat is: willen we bij de huidige dienstverlener blijven of gaan we verder de markt verkennen op zoek naar een andere dienstverlener die beter past bij de visie en strategie van ons fonds?

Conclusie
Pensioenfondsen zijn verantwoordelijk voor de beheersing van risico’s die samenhangen met het uitbesteden van activiteiten. Uit DNB-onderzoek blijkt dat er ruimte voor verbetering is in de verschillende fases van het uitbestedingsproces. De keten van uitbestedingen worden langer en complexer en dat vraagt om nieuwe en meer specialistische kennis van pensioenfondsbesturen om hun regierol te kunnen blijven vervullen.

1 DNB-onderzoek naar uitbesteding op basis van self assessment uitgevoerd in 2017-2018 onder 37 grote pensioenfondsen.
2 Artikel 102A PW.
3 Zie Guidance DNB: ‘uitbesteding door pensioenfondsen’ 1 juni 2014.