Edward Roozenburg: IT-inrichting bij pensioenfondsen
Edward Roozenburg: IT-inrichting bij pensioenfondsen
Door Edward Roozenburg, Senior Risk Management Consultant, Probability & Partners
Als risicomanager bij middelgrote pensioenfondsen zie ik dat de IT is uitbesteed en dat er intern maar weinig IT-ers aan het werk zijn. Dat is te begrijpen, maar levert ook risico’s op. Wat moet je minimaal zelf in de hand houden aan IT als je het grootste gedeelte van de IT afneemt van externe leveranciers?
Pensioenprocessen en IT zijn zo nauw met elkaar verbonden, dat een pensioenfonds best een IT-bedrijf genoemd mag worden. En dat is eigenlijk niet heel veel anders bij de meeste andere bedrijven en instellingen waar ik tot nu toe heb gewerkt buiten de pensioensector. Bijna overal is IT essentieel voor het uitvoeren van de primaire processen.
Volwaardige IT-afdeling ontbreekt
Net als bij de pensioenfondsen waar ik nu werk, werden bij mijn vorige werkgevers bijna alle benodigde applicaties, (netwerk)diensten en hardware geleverd door externe leveranciers. Het verschil met de pensioenfondsen waar ik nu werk, is wel dat er bij veel van mijn vorige werkgevers sprake was van een grotere schaal. Hierdoor was er meer ruimte om een professionele IT-afdeling op te tuigen.
Want een professie is het zeker. Het IT-vak heeft zich de afgelopen dertig jaar ontwikkeld en is een professie met verschillende disciplines. Al in de vorige eeuw zijn er sound practices en ideeën uitgekristalliseerd in bekende modellen als COBIT, ITIL, OSI, ASL, BiSL, Prince, Agile. Een vak dus met bewezen richtlijnen en werkwijzen.
Maar in plaats van IT-ers met bovenstaande vakbekwaamheden, zijn bij de middelgrote en kleine pensioenfondsen waar ik werk geen aparte IT-afdelingen. IT-taken worden vaak uitgevoerd door afdelingshoofden met IT-affiniteit, door risicomanagers en soms door directeuren. Dit in plaats van IT-projectleiders, IT change managers, service managers, functioneel beheerders, informatiemanagers, IT-contractmanagers, IT-architecten, netwerkbeheerders en noem maar op.
Ik begrijp het, want het is het lastig om IT-ers aan te trekken in de krappe arbeidsmarkt. Tegelijkertijd maakt de beperkte schaal van veel pensioenfondsen het lastig om voor alle verschillende IT-onderdelen voldoende werk te hebben om deze mensen full time bezig te houden. Ook kunnen kostenafwegingen een rol spelen, samen met het feit dat IT niet als kernactiviteit wordt gezien. Dat zal vast anders zijn bij de pensioenreuzen. Maar in de wereld van de middelgrote en kleine fondsen die zelf administrerend zijn, is het niet anders.
Wat is minimaal nodig?
Toch loop je risico’s als je je IT-functies niet stevig belegt, in je middelgrote of kleine pensioenorganisatie. Wat is noodzakelijk om zelf in ieder geval geregeld te hebben als je je IT hebt uitbesteed?
1. Blijf actueel
Zorg ervoor dat je als fonds technisch bij blijft en actualiseer expliciet je IT-strategie. Het is goed om hiervoor iemand aan te stellen, want de meeste medewerkers houden zich bezig met hun eigen dagelijkse werk en niet met onderzoeken hoe hun werk efficiënter kan met nieuwe IT en welke richting dat in de toekomst moet krijgen (al kunnen ze daar natuurlijk wel input voor leveren).
Je leveranciers kunnen je hier ook maar tot op zekere hoogte bij helpen. Je leverancier is al snel genegen om zijn eigen producten te verkopen, terwijl er mogelijk betere producten in de markt zijn. Daarnaast overziet de leverancier vaak niet je volledige IT-landschap en kan deze daarom niet bepalen wat het beste is voor jouw fonds.
2. Zorg voor juiste management
Zorg voor service level management, leveranciersmanagement en contractmanagement. Het is niet handig om aan de leverancier over te laten welke service je krijgt. Leveranciers hebben het druk en reageren vaak als eerste op de grootste klant of eventueel de klant die het hardste roept. Over het algemeen zijn dat niet de middelgrote en kleine pensioenfondsen. Er moeten dus vooraf zeer heldere afspraken worden gemaakt over de vereiste servicelevels en in het contractmanagement moet worden geëvalueerd of hieraan wordt voldaan. Doe je dit niet, dan is de kans groot dat je niet het serviceniveau krijgt wat je had verwacht en lopen je processen vaak spaak.
3. Eigen incident- en problemmanagement
Voer je eigen incident- en problemmanagement uit. Het is misschien verleidelijk om incident- en problemmanagement aan je leveranciers over te laten, want ook zij hebben een incident- en problemmanagement. Maar als je zelf de incidenten niet monitort, dan kan je de leverancier ook niet achter de broek zitten. Bovendien geldt dat wat een probleem is voor het pensioenfonds, niet per se ook een probleem hoeft te zijn voor je leverancier. Je leverancier kan je problemmanagement dus nooit overnemen. Dit te meer omdat ook de oplossingen die in het problemmanagement van je eigen fonds kunnen worden gevonden, kunnen afwijken van die van de leverancier. Mogelijk kan je bijvoorbeeld een module gebruiken van een applicatie van een andere leverancier die beter werkt en waarmee het probleem is opgelost. Heb je geen eigen incident- en problemmanagement, dan loop je dus het risico voor de hand liggende oplossingen te missen en je leverancier niet in de grip te houden.
4. Gestructureerd change-, project-, projectportfoliomanagement
Als je zelfadministrerend bent, zorg dan voor een gestructureerd change management, projectmanagement en projectportfoliomanagement. Hoewel de leverancier vaak zorgt voor een projectleider die zich bezighoudt met de technische kant van de wijziging, moet de verandering ook intern worden doorgevoerd. Daarbij moet worden afgestemd op het werk dat in de staande organisatie wordt uitgevoerd en ook op het werk rondom andere projecten. Een organisatie en de mensen die er werken kunnen immers maar een beperkte hoeveelheid changes absorberen. De verandercapaciteit is beperkt. Heb je deze zaken intern niet goed geregeld, dan loop je het risico dat er te veel tegelijkertijd komt.
5. Interne functioneel beheerders
Wijs interne functioneel beheerders onder de gebruikers aan per applicatie. Hoewel het echte functioneel beheer waarschijnlijk bij leveranciers wordt uitgevoerd, is het niet altijd makkelijk voor gewone gebruikers om het probleem zo te definiëren dat het wordt opgepakt door de leverancier. Stel je een gebruiker aan als interne functioneel beheerder, dan kan deze zich bekwamen in de applicatie en de serviceverlening bij de leverancier en is dat een goede gesprekspartner voor gebruikers en beheerder bij de leverancier.
6. Stel IT-risk en information security manager aan
Stel een IT-risk en information security manager aan. Dat geldt zeker voor een zelf administrerend fonds dat de IT grotendeels heeft uitbesteed. Je leveranciers moeten allemaal voldoen aan de Good Practice Informatiebeveiliging van DNB en om dit op afstand te kunnen beoordelen, is het goed om daar iemand voor aan te stellen met ervaring in het vakgebied.
Met bovenstaande heb je een beperkte basis geregeld. Natuurlijk zijn er naast bovenstaande processen nog meer IT-processen die belangrijk kunnen zijn, gezien de specifieke kenmerken van je fonds. Hoe dan ook betekent uitbesteden niet dat een fonds zelf niets meer hoeft te doen aan zijn IT-processen.
Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.