Kempen: 5 x over uitbestedingsrisico’s


Om er zeker van te zijn dat uw uitbestede diensten in goede handen zijn, gaat steeds meer aandacht in uw integraal risicomanagement uit naar de niet-financiële risico’s. Ook de toezichthouder ziet graag dat u precies weet wat er bij uw uitbestedingspartners gebeurt. Daarom ontving u mogelijk begin 2017 een enquête van DNB over uitbestedingen. Eén dezer dagen komen zij terug met de bevindingen uit dit onderzoek. Een goed moment om u mee te nemen in het thema uitbestedingsrisico.
  1. Van ‘trust me’ naar ‘show me’

Een goede beheersing van uitbestedingsrisico valt of staat vanzelfsprekend met de juiste uitbestedingspartners. Maar hoe maakt u die beheersing concreet, zonder dat het als een last voelt? Denk aan risico’s op het vlak van IT, integriteit, businesscontinuïteit maar ook risico’s bij consolidatie. Want hoe weet u nu zeker dat nieuwe leveranciers na bijvoorbeeld een fusie nog steeds alles onder controle hebben?

Door uw uitbestedingspartners om degelijke rapportages te vragen, op zowel financieel als niet-financieel gebied, verzekert u uzelf van controlemechanismen. We zien dat er een verschuiving is van ‘trust me’ (de vraag ging vooral over het rapport) naar ‘show me’. In toenemende mate is het belangrijk dat pensioenfondsen in gesprek gaan met uitbestedingspartners over de rapportages en de manier waarop de risico’s aan de assetmanagementkant worden beheerst. Een beheersingskader waaraan we overigens zelf ook moeten voldoen.

 

  1. Three lines of defence

Als u bestuurder bent bij een groot pensioenfonds, heeft u waarschijnlijk een risicomanager in dienst die de continue monitoring van risico’s voor zijn of haar rekening neemt. De eerste laag wordt samen met uw bestuursbureau dan ingevuld door uw fiduciair manager of vermogensbeheerder. De tweede laag doet uw onafhankelijke risicomanager. Tot slot huurt u voor de derde laag hoogstwaarschijnlijk een externe deskundige in, die een audit komt doen.

De kans is echter groot dat u geen risicomanager in huis heeft. Dan moet u voor alle lagen vertrouwen op de verschillende lagen van uw uitbestedingspartners. En dan is een goed gesprek over de rapportages van nog groter belang. Uiteindelijk gaat het erom dat u begrijpt welke risico’s u loopt en hoe uw uitbestedingspartners daar mee omgaan.

Het begint met een degelijke rapportage

Misschien vraagt u zich af hoe u uw risico’s in kaart kunt brengen en concretiseren, zodat u ook aan uw toezichthouder kunt uitleggen hoe uw pensioenfonds ervoor staat. Grote pensioenfondsen hebben meestal voldoende aan een uitbestedingsrapportage die door de risicomanager gevalideerd wordt.

De middelgrote pensioenfondsen hebben een andere behoefte, maar moeten evengoed rapporteren aan de Nederlandsche Bank. Dan biedt een rapport over de niet-financiële risico’s uitkomst. Hiermee krijgen ook de iets kleinere pensioenfondsen meer controle, precies in de categorieën die uitgevraagd zijn door de toezichthouder.

 

  1. Een paar praktijkvoorbeelden

In onze dagelijkse praktijk komen uiteenlopende uitbestedingsvraagstukken voorbij. Zo hielpen we onlangs een opdrachtgever de data-availability in zijn organisatie op orde te krijgen door de risico’s en beheersmaatregelen in kaart te brengen. Het uitwisselen van data tussen verschillende partijen is een steeds vaker terugkerend proces, maar hoe gaat dat nu op een veilige manier?

Het kan ook gaan om een deel van de due diligence, bijvoorbeeld als een klant werkzaamheden gaat uitbesteden en wil weten of de betreffende leveranciers vertrouwelijk omgaan met data en zij hun business continuity op orde hebben.

 

  1. Terug naar het toezichtskader​

​​In de afbeelding ziet u hoe alle partijen met elkaar samenwerken.

Ondanks dat we onze eigen risico’s bij Kempen indelen in de Basel-categorieën, kennen we uiteraard de FIRM- en SIRA-categorieën. De vermogensbeheerder en pensioenfondsen moeten op een vergelijkbare manier rapporteren over deze risico’s. Dit maakt dat beide partijen gebruik kunnen maken van elkaars expertise om in control te zijn als het gaat om de uitbestedingsrisico’s. Meer weten? Bekijk dan de ‘Guidance: Uitbesteding door pensioenfondsen’ van DNB.

Iedere maand onze nieuwsbrief over fiduciair management ontvangen? Kijk op deze pagina: https://www.kempen.com/nl/news-and-knowledge/nu-institutioneel-2017-december