close
Share with your friends

Hand in hand door uitbestedingsland

Hand in hand door uitbestedingsland

De invulling van de sleutelfuncties vraagt om goede afstemming

Jacco van Kleef

Partner Assurance & Advisory

KPMG Nederland

Contact

Gerelateerde content

A bunch of hands

Voor pensioenfondsen krijgt de inhoud van de sleutelfuncties vanuit de richtlijn voor Institutions for Occupational Retirement Provision II (IORP II) dit jaar verder vorm. De drie sleutelfuncties (Actuarieel, Risicobeheer en Interne Audit) moeten zorgen voor een versterking van de interne beheersing van het pensioenfonds.

Infographic dnb aandachtspunten uitbesteding

Gegeven de hoge mate van uitbesteding door pensioenfondsen zal uitbesteding de warme belangstelling genieten van de sleutelfunctionarissen Risicobeheer en Interne Audit, zo is onze verwachting. De rol van Interne Audit met betrekking tot uitbesteding is bovendien wettelijk verankerd[1]. Onderzoek van DNB[2] (zie figuur 3) laat bovendien zien dat er bij pensioenfondsen op diverse onderdelen van de beheersing van uitbesteding nog verbetering nodig is. In dit artikel schetsen wij een mogelijke rolverdeling tussen deze twee functionarissen waar het gaat om uitbestedingsrelaties.

Volgordelijkheid

Uitgangspunt voor de inrichting van de sleutelfuncties vormt het 'three lines of defense'-model. De uitvoering is de eerste lijn. De Risicobeheerfunctie neemt de tweede (monitorende) lijn in en de Interne Auditfunctie vormt de derde (toetsende) lijn. Deze indeling impliceert een volgordelijkheid.

Een effectieve invulling van de sleutelfuncties is gebaat bij een goed inzicht in de uitbestedingsketen, de hieraan gerelateerde risico's en de beheersingsmaatregelen[3].

De praktijk is dat dit inzicht vaak (te) globaal is. Een gedegen risicoanalyse omvat een concrete vertaalslag van financiële en niet-financiële risico's voor het pensioenfonds over de hele uitbestedingsketen heen.

 

Vanwege deze omstandigheden is een volgordelijke behandeling van het onderwerp uitbesteding niet voor de hand liggend. De Risicobeheer- en Interne Auditfunctie kunnen elkaar versterken door hand in hand op te trekken.

Invulling van de rolverdeling aan de hand van de uitbestedingscyclus kan als volgt zijn:

Fase Taken voor de Risicobeheerfunctie [4] 'Hand in hand' Taken voor de Interne Auditfunctie
Uitbestedings-beleid

Risicobeoordeling (proces en inhoud)

 

Inrichten en onderhouden methoden ter identificatie, meting, bewaking en beheersen risico's

 

Risico-alertheid bevorderen

Eenduidige visie over opzet en diepgang van de risico-analyse en afstemming over onderkende witte vlekken Toetsing van de vertaalslag van missie, visie, strategie en risico's naar beleidsuitgangspunten
Keuze uitvoerder

Evaluatie risicobeheersing in verschillende proposities

 

Controleren risicobeheersing in de stappen van het keuzeproces

Mate van inzicht in de risico's en beheersing hiervan bij de potentiële uitbestedingspartijen

 

Balans in keuze tussen 'prijs' en mate van risicobeheersing in het voorstel van de uitbestedingspartijen in het keuzeproces

Toetsing van de opzet van de beheersing van risico's bij de uitbestedingspartij[5] voordat keuze wordt gemaakt

 

Toetsing van de keuze en het keuzeproces aan de hand van criteria uit het uitbestedingsbeleid

Governance

Inrichten risicobeheer-proces rondom uitbesteding

 

Inrichten en onderhouden van rapportages

Inzicht geven/verwerven in het proces van risicobeheer Toetsing van opzet, bestaan en werking van governance, contracten en rapportages (SLA's)
Monitoring Controleren regie over risicobeheersing door beoordeling van (rapportages over) risico's en mitigerende maatregelen van (onder) uitbestedingspartijen (SLA's, ISAE's, incidentrapportages etc.)

Afstemming over witte vlekken, dekking over (onder)uitbestedingspartij-en / tekortkomingen en wijze waarop restrisico's worden gemitigeerd

 

Uitvoeren van root cause-analyses bij tekortkomingen

Toetsing van de monitoring op (onder)uitbesteding door bestuur en de Risicobeheerfunctie
Evaluatie

Beoordeling van regie over uitbesteding en bijstellen risicoanalyse

 

Adviseren vanuit de controlefunctie

Afstemming over prioriteitstelling van opvolging

Toetsen opzet, bestaan en werking van de evaluatie van regie over (onder)uitbestedingsrelaties

 

Monitoren van opvolging van bevindingen

Figuur 2 - Voorbeeld taakverdeling

Afstemming met de externe accountant

De interne beheersing op uitbesteding is verder een belangrijk element in de controle van de externe accountant (vierde lijn) van het pensioenfonds. Daarmee is de externe accountant ook een partij om actief de afstemming mee te zoeken. Dit om te voorkomen dat er witte vlekken of dubbelingen in de toetsingen ontstaan. Deze afstemming is vooral van belang tussen de Interne Auditfunctionaris en de externe accountant.

Conclusie

De sleutelfunctionarissen Risicobeheer en Interne Audit vervullen een belangrijke rol in (het toetsen van) de beheersing van uitbesteding. De invulling van deze rollen vraagt goede afstemming en komt het best tot haar recht als deze rollen hand in hand gaan. Ook de afstemming met de externe accountant moet actief worden gezocht om de toetsing zo efficiënt mogelijk in te richten.

Infographic dnb aandachtspunten uitbesteding

© 2020 KPMG N.V., registered with the trade register in the Netherlands under number 34153857, is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ('KPMG International'), a Swiss entity. All rights reserved. KPMG International Cooperative ('KPMG International') is a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm vis-à-vis third parties, nor does KPMG International have any such authority to obligate or bind any member firm.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

loading image Offerteaanvraag (RFP)