Sturen op datakwaliteit

Uitgave: Pensioen Bestuur & Management (PBM) nummer 3 2021

STEFAN VAN DE GIESSEN EN DUNCAN TER HENNEPE, SENIOR RISK CONSULTANTS MONTAE & PARTNERS
Rubriek: Risicomanagement
Geplaatst op 22-07-2021

Sturen op datakwaliteit
Sturen op datakwaliteit

De pensioensector gaat grote veranderingen tegemoet door het vorig jaar afgesloten pensioenakkoord. IT- en datamigratie staat hoog op de strategische agenda van de pensioenuitvoeringsorganisaties (PUO). Aan de bestuurstafel van pensioenfondsen daarentegen is er veelal nog sprake van een beperkte visie (en dus beperkte sturing) op IT- en informatiebeveiliging. Er is weinig budget voor innovatie. Dit heeft zijn weerslag op de datakwaliteit.

Artikel 143 Pensioenwet is voor een pensioenfonds de kapstok voor waarborging van beheerste en integere bedrijfsvoering. Alle processen en risico’s behorende bij de bedrijfsvoering maken hier onderdeel van uit, waaronder datakwaliteit.
Toezicht heeft daar vanaf 2008 meer aandacht voor. DNB start in 2008 met het project Quattro bij verzekeraars waarbij het, voor collectieve pensioenverzekeringen, onderzoek heeft gedaan naar de opzet van de interne beheersing van mutatieprocessen. In 2010 wordt Quattro opgevolgd door Quinto waarbij de werking van de beheersing centraal stond. Quinto onderzoekt eventuele fouten in de pensioenadministratie door middel van een steekproef onder individuele dossiers. In 2011 wordt aan de hand van het uitgevoerde Quinto-V-onderzoek bij verzekeraars een Quinto-P-onderzoek uitgevoerd onder een aantal geselecteerde pensioenfondsen. De uitkomsten hiervan hebben geleid tot guidance en best practices. De verzekeraars zijn in 2016 wederom de springplank (via onderzoek naar de beheersing van datakwaliteit in relatie tot Solvency II-wetgeving) voor toekomstig onderzoek bij pensioenfondsen naar datakwaliteit. DNB komt in 2017 met guidance voor pensioenverzekeraars1. Met de invoering van IORP IIwetgeving zal ook bij pensioenfondsen de aandacht voor toezicht en datakwaliteit meer gaan toenemen.
DNB zal de fondsen en hun pensioenuitvoeringsorganisaties komend jaar aanspreken op de wendbaarheid van hun systemen en het belang van datakwaliteit2. Inmiddels is er sinds 2018 een good practice document van DNB beschikbaar over robuuste pensioenadministratie waarin aandacht is voor de beheersing van datakwaliteit bij pensioenbeheer3.

Verhoogde aandacht voor datakwaliteit
Er is meer aandacht voor datakwaliteit in de aanloop naar de implementatie van het pensioenakkoord. Het staat centraal bij discussies over invaarproblematiek en over de wendbaarheid van de bestaande administratiesystemen (legacy). Datakwaliteit is eveneens een belangrijk aspect bij de consolidatie binnen de pensioenfondsenmarkt. Inferieure data hebben impact op de robuustheid van de pensioenadministratie, de wendbaarheid van het pensioenfonds en werken kostenverhogend. Is dat niet op orde, dan leidt dit direct tot inefficiënte processen in de uitvoering en tot (materiële) financiële en/of reputatieschade voor het pensioenfonds. Door een adequate en beheerste aanpak voor het verhogen van de datakwaliteit kan dit risico gemitigeerd worden.

Wie voert de regie?
PUO’s trekken de kar bij data-analyses en dataschoningstrajecten. PUO’s die onderdeel zijn van een verzekeraar doen de volgende stap naar volwassenheid in datakwaliteit. Ze zijn al bekend met de kwaliteitseisen vanuit de Solvencywetgeving. Het raamwerk is bij wat kleinere PUO’s nog in ontwikkeling. Vanuit hun optiek is het begrijpelijk om te investeren in de ontwikkeling van datakwaliteit. De PUO bepaalt de scope van onderzoeken en kan zo de regie houden. Maar dit kan ook leiden tot doelredeneringen. Die aandacht is goed. Pensioenfondsen moeten juist vanuit het ‘data ownership‘ hun regierol pakken. Met het pensioenakkoord in het vooruitzicht is systematische aandacht voor datakwaliteit voor pensioenfondsen een must om de transitie integer en beheerst te laten plaatsvinden. Wij opteren daarom voor een systematische aanpak van datamanagement.

Beleidscyclus datamanagement
Deze systematische aanpak bestaat uit een risicogebaseerde aanpak waarbij de volgende beleidscyclus wordt gehanteerd:

Het bestuur start – als fundament – met het vaststellen van de grootste risico’s op het gebied van datakwaliteit. Wat zijn de wensen, maar ook welke scenario’s absoluut onaanvaardbaar zijn, zoals bijvoorbeeld dataverlies. Met de uitkomsten van de risicoanalyse kan het begrip datakwaliteit gedefinieerd worden in de vorm van beleid met kwaliteitskenmerken, KPI’s en meeten monitoringsafspraken. Het beleid heeft als doel om kaders, risicohouding, uitgangspunten en randvoorwaarden op te stellen voor de beheersing van die datakwaliteit. Het beleid geeft richting en is sturend op het borgen van kwaliteitseisen zoals juistheid, tijdigheid, accuraatheid, volledigheid, begrijpbaarheid en de uniekheid van data. Benader kwaliteit holistisch. Datakwaliteit heeft niet alleen betrekking op de pensioenadministratie maar kent verschillende invalshoeken.

Binnen het pensioenfondsbestuur is het van belang dat er expliciete afspraken worden gemaakt over het dataeigenaarschap. Wijs bestuursleden aan als dataeigenaar. Sommige pensioenfondsbesturen kiezen voor een expliciete rol voor een IT-functionaris aan de bestuurstafel die het bestuur hierbij ondersteunt. Maak ook afspraken hoe de governance aan de bestuurstafel georganiseerd wordt. De sleutelfunctiehouder risicobeheer kan zo vanuit een onafhankelijke rol toezien op de beheersing van de effectiviteit van de datakwaliteit en daaraan gerelateerde beheersmaatregelen. Een sleutelfunctiehouder internal audit kan – naast de actuariële functie – specifieke interne audits op de datakwaliteit verrichten.
Verder moet het duidelijk zijn wie de operationele kwaliteitstoetsingen uitvoert en wie hierop dagelijks aanstuurt, maar ook hoe het wordt geborgd. Fondsen moeten in hun datakwaliteitsbeleid ook specifiek aandacht besteden aan de procedures en deze afstemmen met de diverse uitbestedingspartijen. Stel vast wat er van uitbestedingspartijen verwacht wordt en wie waar verantwoordelijk voor is. Evalueer structureel het datakwaliteitsbeleid, de risicobereidheidsprincipes, de beheersingsprocessen, rollen en verantwoordelijkheden met de uitbestedingspartijen en stuur waar nodig bij aan de hand van periodieke bestuurlijke rapportages.

Sturen op datakwaliteit aan de bestuurstafel
- Begin met een aantal praktische stappen: Zorg voor bewustwording voor data en maak data en datakwaliteit tot vaste agendapunten.
- Start een inventarisatie welke data waar en hoe verwerkt worden en wijs een dataeigenaar aan.
- Voer vervolgens een risicoanalyse uit om te bepalen welke data key zijn en welke niet, dit is de basis voor een risicogebaseerde aanpak.
- Op basis hiervan stelt het pensioenfonds een beleid op (in samenwerking met de uitbestedingspartners) inclusief risicobereidheidsprincipes, risicohouding en KPI’s en KRI’s waarmee data getoetst en gemonitord kunnen worden.
- Rapporteer en bespreek periodiek de rapportages in de bestuursvergadering en stuur bij waar nodig om de datakwaliteit te verhogen.
- Maak (contractuele) afspraken op basis van de classificatie over welke data en dataprocessen er – en in welke frequentie – gerapporteerd moet worden.
- Voorkom overbodige of irrelevante informatie en beoordeel of externe assurance noodzakelijk is.

1 Guidance beheersing Solvency II datakwaliteit voor verzekeraars, DNB Amsterdam 1 september 2017.
2 DNB Toezicht Vooruitblik 2020.
3 Good practice Robuuste Pensioenadministratie, DNB Amsterdam November 2018.