DNB: Niet alle pensioenfondsen borgen datakwaliteit voldoende

DNB: Niet alle pensioenfondsen borgen datakwaliteit voldoende

Pensioenstelsel
digitaal (02) digitalisering internet data datacentrum datacenter

Beheersing van de datakwaliteit is nog niet op orde bij alle pensioenfondsen.

DNB heeft in 2023 op basis van desk research en risico identificerende gesprekken een onderzoek uitgevoerd naar de beheersing van de datakwaliteit voor, tijdens en na de transitie. ‘Omdat de onderzochte Nederlandse pensioenfondsen vooraf allemaal aangaven de Good Practice borging van datakwaliteit door pensioenfondsen te hebben gevolgd, zijn we nagegaan hoe zij invulling hebben gegeven aan stappen 1 tot en met 3 uit die Good Practice,’ meldt de bank vandaag. 

‘Uit het onderzoek is gebleken dat nog niet alle onderzochte pensioenfondsen het in de Good Practice geboden handvat in voldoende mate hebben ingevuld.’ De belangrijkste observaties:

‘Stap 1: Opzet Datakwaliteitsbeleid – niet altijd voldoende uitgewerkt

In sommige gevallen is het datakwaliteitsbeleid onvoldoende aangepast aan de meest recente wet- en regelgeving. Daarnaast zijn essentiële onderwerpen niet altijd opgenomen en/of voldoende concreet uitgewerkt in het datakwaliteitsbeleid. Denk hierbij aan de criteria voor het vaststellen van de kritieke data elementen (KDE’s), de (onderbouwing van de) Maximaal Toegestane Afwijking (MTA) en de uit te voeren (aanvullende) data-analyses. Het gevolg hiervan is dat de werkzaamheden niet kunnen worden getoetst aan de gestelde kaders. Dit geldt zowel voor het fonds als voor de externe accountant vanwege de opdracht die is vastgelegd in de Agreed Upon Procedures (AUP). 

Stap 2: Risico-inventarisatie en Risicobeoordeling – niet altijd voldoende inzicht in risico’s

De risicoanalyses blijken niet in alle gevallen op KDE-niveau te worden gemaakt. Ook linken niet altijd alle relevante beheersmaatregelen aan de gedefinieerde KDE’s. De risicoanalyses geven niet altijd voldoende inzicht in de bruto risico’s, de daaruit voortkomende beheersmaatregelen en bijbehorende controls en de netto risico’s. Een incomplete risicoanalyse verhoogt het risico op een onvolledige beheersing van de datakwaliteit. 

Ook verwijzen pensioenfondsen soms naar de effectiviteit van beheersmaatregelen uit een ISAE3402 assurance rapportage die voor de jaarrekeningcontrole is opgesteld en daardoor een andere materialiteit hanteert. Bovendien is de aard van deze beheersmaatregelen vaak niet gericht op de juistheid en volledigheid van de datakwaliteit die benodigd is voor het invaren of behoren niet alle voor datakwaliteit relevante processen tot de scope van de ISAE3402. 

Stap 3: Data-analyses en deelwaarnemingen – niet altijd in samenhang met voorgaande stappen

Uit desk research en de gesprekken is gebleken dat de data-analyses en deelwaarnemingen niet altijd logischerwijs voortvloeien uit de uitgevoerde risicoanalyses en risicobeoordeling (stap 2). Dit is een risico voor een deugdelijke onderbouwing van de omvang, soort en diepgang van de data-analyses en deelwaarnemingen. 

Daarnaast is het van belang dat alle KDE’s worden afgedekt door data-analyses en/of data profiling en/of deelwaarnemingen. De uitgangspunten op basis waarvan de aanvullende werkzaamheden en deelwaarnemingen worden vastgesteld, zijn vaak nog onvoldoende uitgewerkt. Hieronder vallen ook de vereisten voor nader onderzoek van outliers en aanvullende activiteiten indien analyses hebben geleid tot bevindingen. 

Om zeker te zijn dat de netto risico’s binnen de gestelde toleranties vallen (aan het einde van stap 3) geeft DNB ter overweging om een evaluatie te doen. Deze evaluatie kan zich richten op de samenhang van de risicobeoordeling per KDE met de resultaten van de data-analyses en deelwaarnemingen en de MTA.’