Met de invoering van de Wtp ontstaan nieuwe afhankelijkheden tussen pensioenuitvoerders, deelnemersadministratie, fiduciair managers en vermogensbeheerders. Het is van belang dat het pensioenfonds als opdrachtgever zelf het initiatief in handen houdt bij het bepalen van een nieuw operationeel model. Hoe bereidt een pensioenfonds zich voor op deze complexe samenwerking?
TOM – operationeel model, bedrijfsprocessen en de administratieve organisatie
Een operationeel model omvat een overzicht van relevante partijen, gehanteerde systemen en informatiestromen, evenals een beschrijving van de administratieve organisatie (AO) met een logische indeling naar bedrijfsprocessen. De basis bestaat uit uitvoerende processen in de eerste lijn, zoals het berekenen en toekennen van rendementen. Andere categorieën van processen binnen de AO zijn onder meer governance- en beleidsprocessen, risicomanagement-, compliance- en auditprocessen, en adhoc processen zoals collectieve waardeoverdrachten. Deze processen worden doorgaans beschreven met een input-proces-output indeling. Rollen en verantwoordelijkheden binnen elke processtap worden op een hoog niveau beschreven, zonder in detail te treden over individuele werkbeschrijvingen.
Bedrijfsprocessen en verantwoordelijkheden (RACI)
Binnen de beschrijving van een processtap wordt duidelijk welke partij, afdeling en functie verantwoordelijk is voor de uitvoering van die stap. Daarnaast wordt een RACI-tabel toegevoegd, waarin wordt vastgelegd wie verantwoordelijk is voor de uitvoering (Responsible), wie eindverantwoordelijk is (Accountable), wie wordt geraadpleegd (Consulted) en wie wordt geïnformeerd (Informed).
Risico’s en risico beperkende maatregelen (IC)
Het uitvoeren van processen brengt risico’s met zich mee. Om deze risico’s te beperken, worden mitigerende maatregelen genomen om deze tot een aanvaardbaar niveau terug te brengen. Door processen zo in te richten dat er geen hoog netto risico overblijft en rekening te houden met de risicokaders van het fonds, wordt een goede basis gelegd voor een organisatie die in control blijft (IC).
Een operationeel handboek bevat daarom naast het AO-gedeelte ook een IC-gedeelte. Hierin worden per proces de risico’s geïdentificeerd en de getroffen mitigerende maatregelen beschreven. Een bekende maatregel is het vierogen-principe, waarbij een tweede medewerker controleert of een processtap correct en tijdig is uitgevoerd. Risico’s binnen een AOIC worden doorgaans geclassificeerd in termen van volledigheid, juistheid en tijdigheid.
DORA
Speciale aandacht gaat momenteel uit naar digitale weerbaarheid en de implementatie van de DORA-regelgeving. Een intensievere samenwerking tussen pensioenfondsen en dienstverleners kan niet los worden gezien van IT-netwerken en systemen. Om goed te blijven functioneren en te voorkomen dat men slachtoffer wordt van gijzelsoftware of datalekken, is een veilige inrichting van de processen, systemen en data-uitwisseling cruciaal. Daarom is het van belang extra aandacht te besteden aan specifieke ICT-beveiligingsvereisten en mitigerende maatregelen bij het uitbestedingsproces.
Operationeel handboek als basis voor contractuele afspraken en servicelevel agreements
Wanneer processen en verantwoordelijkheden zijn verdeeld over verschillende dienstverleners, is het relatief eenvoudig om hier aparte contracten en SLA’s aan te koppelen. Bij processen waarin dienstverleners samenkomen en verantwoordelijk zijn voor opeenvolgende processtappen, is het nuttig om gezamenlijk het operationeel model uit te werken en een operationeel handboek op te stellen. Het handboek kan als bijlage worden toegevoegd en de basis vormen voor afspraken over kritische prestatie-indicatoren binnen de SLA’s. Dit kan een relatief eenvoudige oplossing zijn voor contractuele afspraken over processen waarbij meerdere serviceproviders betrokken zijn.
Zelf de regie als opdrachtgever
Gezien haar bestuurlijke verantwoordelijkheden zal het bestuur van een pensioenfonds de regie moeten voeren over de operationele inrichting met de diverse dienstverleners in het nieuwe stelsel. Door zelf het initiatief te nemen via de ontwikkeling van een nieuw target operating model, kunnen bestuurders ook de eigen kennis over de benodigde processen ontwikkelen en zo voldoende ‘countervailing power’ bieden ten opzichte van haar uitbestedingspartners.