Is uw pensioenfonds klaar voor de IT-transformatie?
Voor de uitvoering van pensioenregelingen en de ondersteuning van het pensioenbestuur is IT een belangrijke onderdeel van de bedrijfsvoering. Zonder IT is vermogensbeheer en pensioenbeheer nauwelijks efficiënt uit te voeren.
Ook bij het nieuwe pensioencontract speelt IT een grote rol. Door de nieuwe pensioenopbouw moeten de IT-systemen van pensioenuitvoerders herzien worden. Omdat deze aanpassingen tijd vragen, zal het bestuur nu al een beeld moeten hebben over de ondersteunde functionaliteiten en anticiperen naar de uitvoerder over mogelijke wijzigingen. IT is dus erg belangrijk voor pensioenfondsen, daarom introduceert SPO de IT-Leergang. Één van de modules binnen deze leergang is de Module IT-risico’s en trends. Richard Lugtigheid doceert samen met Paul Bessems deze module. Richard Lugtigheid vertelt meer over IT-risico’s en trends.
Slimme IT-oplossing? Leer de risico’s kennen
Dat IT enorm belangrijk is voor pensioenfondsen mag duidelijk zijn, maar IT kent risico’s. Daarom zoomen we in het ochtendgedeelte van de module IT-risico’s en trends in op het onderdeel IT-risico’s.
Door de karakteristieken van IT zijn de IT-risico’s vaak afwijkend van andere risico’s. Een goed voorbeeld is het risico voor oneigenlijke toegang: hacken en ransomware. Dat is echt anders dan het frauderisico binnen een organisatie en vraagt ook andere maatregelen. Als bestuurder van een pensioenfonds is sturing op de beheersing van de IT-risico’s van het fonds een grote verantwoordelijkheid. Ook vanuit de toezichthouder DNB is er een toenemende aandacht voor het beheersen van de IT risico’s. Dat betreft niet enkel risico’s rondom de beveiliging van de IT, maar ook rondom de wendbaarheid van de IT voorziening. Tenslotte is het ondersteunen van nieuwe regelingen en klantbedieningsconcepten direct afhankelijk van die IT wendbaarheid.
Handvatten aangereikt voor het beheersen van IT-risico’s
We gaan in op de karakteristieken en een aantal gerelateerde IT-risico’s voor de pensioensector. Met een risicoanalyse wordt bepaald in hoeverre risico’s acceptabel zijn, en wat te doen als dat niet het geval is. Er wordt geoefend met het opstellen van kaders om die risico’s te managen.
We gaan in op de generieke blauwdruk van de IT voorziening van een pensioenuitvoerder en de verschillende IT risico’s en de consequenties van de risico’s. Met casussen wordt vervolgens bepaald wat voor soort maatregelen mogelijk zijn om de IT-beveiliging en IT-wendbaarheidsrisico’s te managen. Besproken wordt welke generieke maatregelen, zoals, onder andere, het DNB informatiebeveiligingskader, aanwezig zijn. Daarnaast bespreken we welke fondsspecifieke maatregelen nodig zijn om het risico tot een aanvaardbaar niveau te brengen. U leert de karakteristieken van IT en de manier om de relevantie van voorgestelde maatregelen te kunnen beoordelen.
Met behulp van metaforen worden handvatten gegeven voor het uitvoeren van IT risicomanagement en er is aandacht voor de rol van het pensioenfondsbestuur op dit gebied. Juist omdat IT zo een belangrijk onderdeel is van de uitbestede diensten en kritisch is voor het halen van fondsdoelstellingen, het invullen van de fondsstrategie en het doorvoeren van een beheerste bedrijfsvoering is meer sturing op IT nodig dan voorheen het geval was.
Keuze uit IT-trends is er genoeg, maar welke trend past bij uw organisatie?
IT is continu in beweging. Er ontstaan steeds nieuwe mogelijkheden om de bedrijfsvoering en klantinteractie te verbeteren. Het gonst momenteel van de IT terminologie. Termen als BlockChain, Artificial Intelligence, Big Data, Cloud komen veelvuldig voor. Maar wat betekenen deze termen precies? En wat zijn de kansen, maar ook de extra risico’s van dergelijke IT innovaties. In het middaggedeelte van de module IT-risico’s en trends wordt kennis opgedaan over de betekenis, toegevoegde waarde en risico’s van dergelijke technologieën. Met deze kennis kan het fondsbestuur bewuste keuzen maken en bepalen of de inzet van een dergelijk trend toepasselijk is voor het fonds.
Heeft u nog geen IT kennis? Dat is geen probleem.
De module is primair gericht op pensioenfondsbesturen, bestuursbureau’s en geassocieerde functies (zoals bijvoorbeeld fonds-risicomanagers en accountmanagers aan de uitvoerderskant). Er is geen IT kennis vereist om de module te volgen. Om de basiskennis op te halen start u met twee online basismodules van maximaal 4 uur aan voorbereidingstijd.
Deze module helpt je een betere sturing op IT te kunnen geven aan uitvoerders en de eigen organisatie, zowel qua beheerste bedrijfsvoering als doorontwikkeling. Deze module geeft beter inzicht in het IT risico management proces, maar ook invulling aan de acties die nodig zijn om in control te zijn op IT gebied.
Wie is Richard Lugtigheid?
Ik ben werkzaam op het snijvlak van IT en businessprocessen, meestal in de rol van Lead Enterprise Architect. Daardoor kan ik ook eenvoudiger de brug slaan tussen IT en business, zonder onnodig in IT terminologie te verzanden. Als architect stuur ik op de beheerste bedrijfsvoering van de IT (en dus ook informatie beveiligingsaspecten) en de doorontwikkeling en innovatie van IT om de bedrijfsstrategie vanuit IT te ondersteunen. Als architect ben ik daarnaast gewend om maatregelen te kunnen vertalen naar kaders voor IT, analoog aan een SLA overeenkomst tussen fonds en uitvoerder.
Daarnaast ben ik sinds 1995 in de pensioensector werkzaam in de IT, en sinds 2013 aan SPO als docent op IT-gebied verbonden. Daardoor heb ik veel gezien van de diverse fondsen en hun IT, en begrip opgebouwd van het perspectief van de diverse fondsen op IT(beheersing). Door dit begrip te combineren met mijn IT- en businesskennis op het gebied van pensioenuitvoering kan ik de fondsbesturen goed meenemen in het vaak onbekende gebied van IT risicomanagement en de impact van IT trends op pensioenuitvoering.