DORA en haar keten(s)

Top of the chain

Zowel door toezichthouders als in diverse vakbladen is de urgentie van DORA inmiddels meer dan duidelijk gemaakt. Meerdere artikelen hebben de impact van DORA op vermogensbeheerders beschreven. Ook pensioenfondsen zullen echter op korte termijn aan de slag moeten gaan met de implementatie van de beheersing van IT-risico’s. Deze implementatie door pensioenfondsen zal ook impact hebben op hun vermogensbeheerders. Dat is in ieder geval het beeld dat volgt uit de tweede tranche reguleringsnormen van december 2023. Hierin worden de vereisten beschreven voor het sub-contracteren van ICT-diensten die een kritieke of belangrijke functie ondersteunen.

Ketenafhankelijkheid

Veel Nederlandse pensioenfondsen vertrouwen in belangrijke mate op hun uitvoeringsorganisaties, fiduciaire managers (vermogensbeheerders). Fiduciair managers zijn vaak door pensioenfondsen op basis van een brede dienstverlenings- of uitbestedingsovereenkomst aangesteld om financiële en/of administratieve diensten te verlenen. Het geheel of gedeeltelijk verlenen van ICT-diensten maakt vaak ook onderdeel uit van deze uitbestedingsovereenkomst, maar is dikwijls generiek geformuleerd.

Pensioenfondsen moeten bij de implementatie van DORA onderkennen i) dat zij een zelfstandige verplichting te hebben om aan DORA-vereisten te voldoen, ii) dat de positie aan de top van de uitbestedingsketen van ICT-diensten specifieke uitdagingen op het gebied van informatieasymmetrie meebrengt en iii) dat de impact van DORA op het niveau van vermogensbeheerders niet gelijk is aan de impact op pensioenfondsen.

Informatieasymmetrie

Met een grote mate van (ICT-)uitbesteding is inhoudelijke kennis op het gebied van (ICT-)risico’s beperkt aanwezig bij de pensioenfondsen zelf. Pensioenfondsen moeten hun zelfstandige verantwoordelijkheid en positie bovenaan de uitbestedingsketen adresseren door de informatieasymmetrie op te lossen. Pensioenfondsen zullen hier een regierol moeten innemen ten aanzien van hun uitbestedingspartners waaronder de fiduciaire manager.

De informatieasymmetrie tussen pensioenfondsen, enerzijds, en, anderzijds, fiduciair managers wordt momenteel opgevangen door bijvoorbeeld een ISAE 3402 type II-verklaring en de uitbestedingsovereenkomst met kritieke prestatie indicatoren. De ISAE-verklaring wordt achteraf verstrekt en dekt niet volledig de onder DORA geldende verplichtingen. Daarom is de bestaande uitbestedingsovereenkomst eveneens van belang om compliant met DORA te worden.

Uitbestedingsovereenkomsten met fiduciair managers hebben wel betrekking op ICT-diensten die kritieke of belangrijke functies van pensioenfondsen ondersteunen, maar zijn geen kernactiviteit van fiduciair managers. Het is daarom goed denkbaar dat deze uitbestedingsovereenkomsten nog niet voldoen aan de verplichtingen die DORA stelt ten aanzien van het identificeren en beheersen van ICT-risico’s ten aanzien van de fiduciair managers.

Een oplossing is mede gelegen in de service level afspraken met hun fiduciair manager. Alleen door concrete afspraken op het gebied van monitoring en rapportage met de fiduciair manager blijft het pensioenfonds in control van het ketenrisico op het gebied van ICT-diensten.

Vertrouwen is goed, ketens zijn beter?

Bij het controleren van ICT-risico’s in de uitbestedingsketen is vertrouwen op de uitbestedingspartner geen garantie voor compliance met DORA. ’Pensioenadministrateurs kunnen onder DORA weliswaar kwalificeren als aanbieder van ICT-diensten, het zwaartepunt van de DORA-verplichtingen ligt bij de pensioenfondsen als financiële entiteit. Echter, fiduciair managers zullen doorgaans onder DORA zullen vallen als financiële entiteit. Het is daarom goed denkbaar dat de kwalificatie van kritieke en belangrijke functies voor de fiduciaire manager een andere kwalificatie is dan de kwalificatie door pensioenfondsen zelf. Pensioenfondsen en fiduciair managers moeten zich bewust zijn van dit spanningsveld in de keten van ICT-diensten.

Een pensioenfonds moet zich vergewissen van de scope van DORA-vereisten door de fiduciair manager als uitbestedingspartner. Heeft een fiduciair manager bijvoorbeeld niet alleen een audit right bedongen voor de functies die voor de fiduciair manager zelf kritiek of belangrijk zijn, maar óók voor de contracten die de kritieke en belangrijke functies van het pensioenfonds betreft? In de praktijk zal hier gedeeltelijk overlap zijn, maar daar kan het pensioenfonds niet zomaar van uitgaan. Pensioenfondsen en fiduciaire managers zullen hier samen een assessment op moeten doen.

Conclusie

De eerste stap om de ICT-risico’s in de uitbestedingsketen te beheersen is het adequaat vastleggen van de verplichtingen met fiduciair manager in de bestaande uitbestedingsovereenkomsten. Deze overeenkomsten zijn op het gebied van kritieke ICT-diensten vaak nog te algemeen geformuleerd. Pensioenfondsen zullen in hun regierol aan de top van de uitbestedingsketen in belangrijke mate een beroep doen op hun fiduciaire manager om in samenwerking hun derde risico’s te beheersen door de gehele uitbestedingsketen. Daarbij zal de concretisering van afspraken ten aanzien van ICT-diensten en verschillen in interpretatie van kritieke functies een belangrijk onderwerp van gesprek zijn.

Auteur:

Meer nieuws

Up-to-date blijven met AF Advisors

Operationele inrichting Wtp: navigeren door nieuwe afhankelijkheden

Met de invoering van de Wtp ontstaan nieuwe afhankelijkheden tussen pensioenuitvoerders, deelnemersadministratie, fiduciair managers en...
Lees meer about Operationele inrichting Wtp: navigeren door nieuwe afhankelijkheden

Duurzaam fonds of niet? Noem het beestje bij de naam  

Op 14 mei heeft de European Securities and Markets Authority (ESMA) nieuwe richtsnoeren gepubliceerd met...
Lees meer about Duurzaam fonds of niet? Noem het beestje bij de naam  

Sustainability Report 2023

Duurzaamheid speelt een belangrijke rol in al onze advieswerkzaamheden. Omdat dit gedreven wordt vanuit een...
Lees meer about Sustainability Report 2023

Outsourced ManCo’s: een lege huls of een efficiënte oplossing? 

Toenemende regeldruk maakt het voor vermogensbeheerders steeds moeilijker om aan alle verplichtingen te voldoen. Het...
Lees meer about Outsourced ManCo’s: een lege huls of een efficiënte oplossing?