De data van het fonds en de puo als asset

februari 2022

(onderstaand artikel verscheen in het februari-nummer van Pensioen & Praktijk)

Tegenwoordig is het normaal dat we de ontwikkelingen van en de bijbehorende informatie over COVID-19 dagelijks volgen. Het inzichtelijk maken van wát er gebeurd is, wat er kán gaan gebeuren en hóe kunnen wij het wenselijke laten gebeuren, zit reeds in onze manier van handelen door zo goed mogelijk wetenschap te bedrijven. Het systematisch verkrijgen, ordenen en controleren van kennis en ervaring begint bij een goede dataverzameling en data-analyse. Zonder de beschikking over bruikbare data, goede analisten en de juiste inzichten zijn de doelen: beleidsvorming en beleidsuitvoering minder kansrijk.

De mensen en zijn voorsprong door data

Doordat mensen een doorontwikkeld brein hebben ten opzichte van dieren, kunnen we data sneller, op een grotere schaal en vaker op kunstmatige wijze verzamelen, interpreteren en gebruiken voor toekomstige uitdagingen. Door gebruikmaking van het schrift en taal en het overdragen van ambachten en informatie naar nieuwe generaties, hebben we tot op heden grote stappen kunnen zetten met betrouwbare data en dataoverdracht. Met de intrede en de zeer sterke groei van het digitale domein, is daarnaast de omloopsnelheid, de gegevensverwerking en de informatiebehoefte de laatste decennia in exponentiële zin toegenomen. De talloze overtuigingstechnieken, zoals framing, die eventueel toegepast kunnen worden, laten we bij dit artikel buiten beschouwing.

Maar wat is data governance en wat is datamanagement? Hoe kunnen deze begrippen, mits goed uitgevoerd, in het voordeel werken van een pensioenfonds (hierna: fonds) of pensioenuitvoeringsorganisatie (hierna: puo)? Wij horen van het management en de medewerkers van puo’s terug dat zij ‘zo een goed systeem hebben zodat de datakwaliteit automatisch goed is’. Ook vernemen wij van bestuurders dat door de vele controls in place en de externe audits de pensioenadministratie en daarmee ook de datakwaliteit op orde is. De door derden aangeleverde data zoals die van het UWV of de werkgever wordt in veel gevallen letterlijk als een ‘gegeven’ beschouwd. Beschouwd als input teneinde een correcte verwerking in de administratie te realiseren wat niet altijd het geval is. De datawerkelijkheid die wij echter tijdens onze loopbaan hebben mogen aanschouwen bij wetgevingstrajecten, transities en steekproeven gaf ons soms een geheel ander beeld. De pensioenadministratie lijkt daarmee soms zoals een luikje in een afhaalrestaurant. Een luikje waarbij de gerechten na een drukke bereiding in de keuken worden doorgeschoven naar de klant. Zonder dat de klant weet wie nu het data-product (het gerecht) heeft gemaakt en zonder te weten of het recept (de ingrediënten) wel goed is.

Data governance en datamangement

Data governance (ofwel gegevensbeheer) is te bekijken op macro- en microniveau. Op macroniveau is het een politiek concept en maakt het deel uit van internationale betrekkingen en internetbeheer. Op microniveau is data governance een concept voor gegevensbeheer van een staande organisatie. Het is een middel om de datakwaliteit op een zo hoog mogelijk niveau te krijgen door data controls te implementeren zodat de bedrijfsdoelen behaald kunnen worden. Het begrip data governance verwijst naar de organisatiestructuur, de data-eigenaar, wet- en regelgeving, processen en de levenscyclus van data. Hiermee wordt beoogd een hoge mate van data-integriteit te behalen. Datamanagement daarentegen omvat het via allerlei disciplines managen van waardevolle gegevens. Het is meer de technische implementatie van data governance. Daar waar het fondsbestuur accountable is, is de puo of de vermogensbeheerder in de meeste gevallen responsible.

Het begrip data en datakwaliteit

In modern taalgebruik wordt de term ‘data’ in toenemende mate gebruikt als men het heeft over informatie in het algemeen en zelfs kennis in een niet-technische context. Data kent veel verschijningsvormen zoals ruwe data tot aan data die zeer waardevol en specifiek kan zijn voor een organisatie. Zo zijn Big Tech ondernemingen erg gedreven in het verzamelen, analyseren en vermarkten van bijvoorbeeld gebruikersdata. Reeds in 1955 werd het fundament gelegd door de Brits-Amerikaans econoom Kenneth Boulding. Hij beschreef de zogenoemde DIKW-piramide met als basislaag data, middenlaag informatie en de toplaag kennis. In 1974 werd de term kennismanagement geïntroduceerd door Nicholas Henry. Later werd aan de DIKW-piramide de toplaag ‘wijsheid’ toegevoegd dat verwijst naar een daadwerkelijke toepassing in de praktijk.

De data van een fonds kan in onze optiek als een absolute asset beschouwd worden. Daarnaast is in het eerder gepubliceerde artikel van Scott Martens en Natascha Westen duidelijk gemaakt dat fondsen grote hoeveelheden data hebben waar cybercriminelen steeds meer in zijn geïnteresseerd. Het fonds is te allen tijde eigenaar van en eindverantwoordelijk voor de data. Het eigenaarschap hoort vastgelegd te zijn in het contract met de puo. Door en dankzij goed datamanagementbeleid kan een puo aansluitend de dingen doen die door het fondsbestuur verwacht worden. Wat betekent dat eigenlijk voor het fonds en hoe vertaal je dat naar beleid en operatie? Wat is de toegevoegde waarde voor bijvoorbeeld actuariaat, risicomanagement, IORP II en de relatie met de toezichthouder?
In 2018 is door DataTrust Conclusion een marktverkenning uitgevoerd over de bewustwording omtrent data onder zo’n 15 fondsbestuurders, verschillende puo’s, de Pensioenfederatie en DNB. Daarbij zijn de volgende vragen gesteld: Wat is uw kennis en ervaring met het vakgebied data? Hoe kijkt u aan tegen uw verantwoordelijkheid als bestuurder? Op basis van welke inzichten neemt u veelal besluiten? Wat betekent overdraagbare data eigenlijk voor u als bestuurder?

De conclusies van dat onderzoek zijn:

• Aangaande data als vakgebied: Bij slechts een enkele bestuurder is er een beleving of goed beeld van vakgebied data governance of datamanagement. Veelal wordt er verwezen naar de ISAE-type II, het jaarwerk en de accountant.
• Aangaande bestuurscultuur en verantwoordelijkheid: Er wordt veelal vanuit de verschillende belangen op basis van contractuele uitbesteding verwezen naar de puo. Dit terwijl de verantwoordelijkheid hoofdzakelijk bij het bestuur ligt.
• Aangaande inzicht in data en datakwaliteit: Er zijn verschillende Quinto-P onderzoeken uitgevoerd. Daarbij heeft een deel van de bestuurders geen idee wat de uitkomsten zijn en wat de vervolgstappen waren.
• Aangaande overdraagbaarheid voor het bestuur: daar wordt veelal verstaan hoe snel de puo nieuwe technieken kan implementeren zoals digitalisatie.

DNB als aanvoerder van goede data governance

DNB, als hoeder van stabiliteit van de Nederlandse financiële sector, heeft in november 2018 met een Good Practice ‘Robuuste Pensioenadministratie’ de bestuurders aangespoord de organisatie zodanig in te richten dat deze ‘een beheerste en integere bedrijfsvoering waarborgt’. Een en ander conform artikel 143 van de Pensioenwet. Impliciet wordt door de toezichthouder opgeroepen om actie te ondernemen om de overdraagbaarheid te vergroten en datagedreven besturing te implementeren. In die practice wordt niet alleen verwezen naar het feit dat de digitalisering tot nieuwe risico’s leidt maar ook dat de beheersing van de datakwaliteit een belangrijk aandachtspunt is. Daarbij wordt er nadrukkelijk een relatie gelegd met het vakgebied van data governance en het verankeren van die bewustwording binnen het bestuur. DNB vindt dat data ‘geschikt, volledig en accuraat’ moet zijn. Zij vreest dat tekortkomingen in de datakwaliteit leidt tot inefficiënte processen, financiële schade of reputatieschade. Puo’s onderkennen het laatstgenoemde risico daarbij ten volle waardoor ook zij zich richten op het schonen, verrijken en beveiligen van de data van het fonds, haar deelnemers en werkgevers.

DNB heeft aangegeven de komende jaren te willen transformeren naar een ‘smart supervisor’ in 2025. Ze wil de technologische mogelijkheden beter benutten door routinematige taken zoveel mogelijk te automatiseren en zelf datagedreven te werken. Dit is inmiddels een onderdeel van de nieuwe toezichtmethodologie die zij heeft ontwikkeld. Ook de Rijksoverheid heeft in haar beleidsstuk ‘I-strategie Rijk 2021-2025’ een volledig hoofdstuk gewijd aan data en algoritmen. Dat datatechnologie ook voor openbaar bestuurders niet alleen een gegeven is, maar een relevante ontwikkeling waarin overduidelijk geïnvesteerd in moet worden. De autoriteiten maken zich kennelijk op voor een toe-komstbestendige organisatiestructuur en dito toezicht waar data governance centraal staat.

Datakwaliteit en de vervolgstap

Alhoewel geen specifieke eisen worden gesteld aan datakwaliteit bij een fonds of puo, zal het streven naar een zo hoog mogelijke score bijdragen aan een beheerste en integere bedrijfsvoering. Goede data is nodig voor het correct kunnen vaststellen van pensioenrechten, pensioenaanspraken en het op een juiste manier kunnen uitvoeren van de premie-inning en de pensioencommunicatie. De data dient hiervoor reproduceerbaar, beveiligd en goed bewerkbaar te zijn. Aanvullend hierop dient data, in onze optiek, in al haar facetten toekomstbestendig te zijn. Dat betekent dat data niet slechts in haar ‘statische vorm’ correct moet zijn, doch ook in ‘dynamische zin’ (eenvoudig uitwisselbaar). Te denken valt aan data die bij een transitie relatief snel van de ene naar de andere puo overgedragen kan worden of een set aan data die snel aanpasbaar is aan wet- en regelgeving zoals het nieuwe pensioenstelsel.

Niet alleen zou ieder fonds, zoals verzekeraars, moeten beschikken over een goed doordacht datakwaliteitsbeleid. Ook zouden fondsbestuurders moeten nadenken over de vraag of de dataverzameling deze aanstaande ontwikkelingen in pensioenland wel aan kan. Onze ervaring is dat de data van een fonds -en dan met name van een uitvoerder is vastgelegd in meerdere bronsystemen waardoor een ‘verbouwing of verhuizing’ allesbehalve eenvoudig is. De zogenoemde ‘legacy-systemen’ of vastlegging in systemen zoals End User Computing (EUC), zoals Microsoft Excel, helpen niet bij het overdraagbaar krijgen en flexibel maken van de data. Verzekeraars lopen op dat punt een stukje voor op de fondsen, kijkend naar de in september 2017 door DNB gepubliceerde ‘Guidance beheersing Solvency’ over haar uitgangspunten rond de beheersing van datakwaliteit door verzekeraars. Daarnaast heeft DNB de Good Practice Integrity Risk Appetite gepubliceerd na verwerking van reacties op het conceptdocument.

Kort samengevat wordt datakwaliteitsmanagement beschouwd als een integraal onderdeel van de operationele bedrijfsvoering, formeel verankerd in de organisatie en wordt het gebruik van bestaande (data)kwaliteitsstandaarden voorgeschreven als basis voor het inrichten van het datakwaliteitsbeleid. Voorbeelden hiervan zijn (niet limitatief); DAMA DM BOK, CMMI DMM en ISO-8000. Aanvullend op deze standaarden is er aandacht voor incidenten en dienen relevante data-elementen centraal geadministreerd te zijn voor wat betreft de specifieke karakteristieken van het data-element, zoals bijvoorbeeld het bronsysteem, de toegepaste schoning of verrijking en het resultaat van datamigratie.

Het fonds en de puo anno 2022

Bij veel fondsen is uitbesteding van toepassing en wordt de puo gezien als hoofdverantwoordelijke voor de goede pensioenuitvoering en een correct databeheer van het fonds. Veel fondsen onderkennen dat de datakwaliteit van het fonds altijd op orde moet zijn maar hebben weinig instrumenten om die kwaliteit echt te kunnen meten. De beoordeling van de datakwaliteit wordt vaak afgemeten aan de ISAE-3402 type II-verklaring en de eerder uitgevoerde Quinto-P onderzoeken. Men praat in dat kader vaak over herstelactiviteiten, verrijkingsprojecten of data-analyses waarmee verondersteld wordt dat de data (weer) op orde is. In onze beschouwing een groot misverstand. Een ISAE-3402 type II-verklaring heeft namelijk weinig met het vakgebied van datakwaliteit te maken. Een dergelijke verklaring ziet enkel toe op hoe de beschreven risico’s worden gemanaged, waarbij een auditor de controle uitoefent. Het biedt enkel zekerheid over de betrouwbaarheid van processen die een relatie hebben met de financiële verantwoording. Het doen van echt inhoudelijke controles op de juiste, volledige en nauwkeurige totstandkoming van premies, pensioenaanspraken en uitkeringen staat daar geheel buiten.

Het vergroten van de overdraagbaarheid en verhogen van de flexibiliteit van data met de inzet van nieuwe technologie is daarbij een onmisbare tool en zelfs een randvoorwaarde geworden om de datakwaliteit op een hoger niveau te krijgen. Het op orde brengen van het datalandschap en het verbreden van de kennis van het fondsbestuur op dit punt zijn voorwaarden voor een succesvolle transitie naar een nieuw pensioenstelsel of een samengaan met een ander fonds.

Conclusie

Geconcludeerd kan worden dat data een belangrijke asset is voor het fonds en de meerwaarde kan bieden voor het fonds als zowel de puo. Ontwikkelingen zoals het nieuwe pensioenstelsel en de voortdurende consolidaties van fondsen zullen niet wachten op een goede governance en het goed managen van data. Om te voorkomen dat bij het intreden van het nieuwe pensioenstelsel of een samengaan de verkeerde data wordt gemigreerd zal een fondsbestuur moeten investeren in het verbeteren van het datamanagement en het verhogen van de datakwaliteit.

De huidige controls of de door de puo zelf ingezette herstelacties geven in onvoldoende mate kwalitatief en kwantitatief inzicht over de daadwerkelijke datakwaliteit. Datamanagement is een ambacht dat omarmt en gemonitord moet worden door het fondsbestuur om de pensioenadministratie overdraagbaar en flexibel te maken en te houden. Als gevolg hiervan kan een puo pronken met de resultaten van goed datamanagement en dito datakwaliteitsbeleid. Bij het wisselen van puo zal dit voor menig fondsbestuur gelden als een belangrijk selectiecriterium of knockout-citerium. Een reputatierisico van een puo kan daarmee omgezet worden naar een rechtstreeks concurrentievoordeel.

Aanbevelingen

Wij adviseren fondsbesturen om scherper toe te zien op een goede uitvoering van de data governance en datamanagement door allereerst de datakwaliteit op korte termijn te verhogen. Hier gaat aan vooraf dat het fonds het datakwaliteitsbeleid duidelijk gekaderd moet hebben zodat het aansluit op de visie, missie en strategie van het fonds. Door het laten handhaven van een goede datakwaliteit en het mogelijk kunnen maken van een goede en degelijke data uitwisseling is de doeltoestand voor stakeholders sneller inzichtelijk en duidelijk. Zal de datakwaliteit bij een samengaan van fondsen of een collectieve waardeoverdracht geen belemmering opleveren. Puo’s daarentegen dienen hun data compact, overdraagbaar, toetsbaar en makkelijk bewerkbaar te houden. Een onafhankelijke toetsing van de datakwaliteit biedt een goed inzicht in de datakwaliteit, voorkomt hoge herstelkosten in de pensioenadministratie en maakt de administratie van het fonds toekomstbestendig.

De volgende uitgangspunten kunnen helpen data compact, overdraagbaar, toetsbaar en makkelijk bewerkbaar te krijgen:

1. Het op- of bijstellen van een goed beleid omtrent data governance en datamanagement die nadrukkelijk rekening houdt met de toekomst.

Het is belangrijk dat een bestuur bepaalt wat een goed data governance beleid is en wat zij van de puo verwacht voor wat betreft goed datamanagementbeleid. Door het uitvoeren van een assessment is het mogelijk om op basis van een zogenoemde DA-MA-DMBOK middels stellingen te bepalen op welk niveau het fonds en de puo georganiseerd is in relatie tot het datavakge-bied. Hiervoor zijn tools aanwezig in de markt die daarbij helpen. Er wordt bijvoorbeeld een selectie gemaakt van de relevante aspecten van datamanagement en onderscheid gemaakt op het strategisch, tactisch en operationeel niveau. Hierdoor kunnen het vertrekpunt en de betreffende verbeterpunten worden bepaald.

2. Het periodiek updaten van het datakwaliteitsbeleid en het trainen van bestuurders op een goede invulling van het begrip data governance.

Goed datakwaliteitsbeleid kan gerealiseerd worden met de volgende stappen:

1. Bepaal welke dimensie vanuit de context en beleid van het fonds relevant is voor de datakwaliteit (relevante ontwikkelingen, doelstellingen etc).
2. Bepaal welke dimensie een bijdrage levert aan de doelstellingen (tevredenheid, product/service, reputatie, kosten, efficiency, risico’s, proces, regelgeving).
3. Prioriteer de geselecteerde dimensies op basis van kosten en bijdrage.
4. Bepaal de indicatoren en gerelateerde methode om de dimensie te meten.
5. Benoem de data-eigenaren, verwerkers, betrokkenen etc. Een veel gebruikte methodiek hiervoor is RASCI (responsible, accountable, supported, consulted, and informed). Alle stakeholders worden hiermee inzichtelijk gemaakt in het stappenplan. Daarnaast is dit belangrijk in het operationaliseren van datamanagement.

Bij het inzichtelijk maken van de datakwaliteit is het belangrijk om alle data van het fonds op een gestructureerde wijze benaderbaar te maken in een datawarehouse. Belangrijk hiervoor is om de structuren en dataleveringen vast te leggen in een GLO (gegevens leveringsovereenkomst) met de puo. In een bevindingenonderzoek op de brondata van de volledige administratie inclusief bronnen dien je de dimensies uit te werken in meerdere probleemstellingen. Het simpelweg ontwikkelen van een tool die enkele vragen beantwoordt niet alle mogelijke vragen. Daarnaast is het verstandig samenhangcontroles uit te voeren binnen de diverse data-domeinen zoals werkgevers, deelnemers, uitkeringen, financieel, polis en arbeidsongeschiktheid. Bij een dergelijk onderzoek wordt aanwezigheid, juistheid, volledigheid en plausibiliteit onderzocht. De regeling(en) en het beleid van het fonds staan hierbij centraal.

3. Een goede monitoring van het datamanagement -en in het bijzonder de datakwaliteit- bij de puo.

Datamanagement is een doorlopend proces en het handhaven van een goede datakwaliteit is geen onderzoek met het eenmalig oplossen van bevindingen. Als fonds is het belangrijk te onderkennen dat er dagelijks bevindingen kunnen ontstaan. Het periodiek monitoren van de datakwaliteit is daarom een absolute must. Een voorwaarde voor de puo is dat dit een volledig geautomatiseerd proces moet zijn van databronnen, controle, analyse, rapportage, bevindingenvergelijkingen enzovoorts. Op deze wijze krijgt een fonds feitelijk inzicht in het datamanagement, de datakwaliteit, bijbehorende bevindingen, belangrijke processen van uitvoering en risico’s. Om de risicoaspecten goed te belichten, adviseren we om een RASCI op te stellen voor specifiek het datamanagement en de data governance. Dit is een essentieel onderdeel om te bepalen of de kritieke data-elementen (KDE’s) voldoen aan de normen voor bijvoorbeeld het transitie- en invaarproces. Een goede monitoring kan borgen dat het invaar- en/of transitieproces beheersmatig kan plaatsvinden.

4. Toezien op dat alle data reconstrueerbaar, reproduceerbaar en bewerkbaar blijft.

Fondsen die makkelijk overdraagbare en bewerkbare data hebben, hebben het vermogen om snel in te kunnen spelen op veranderingen die vervolgens toegevoegde waarde creëren voor deelnemers en werkgevers. Een kort-cyclische strategie en een open en veilige bestuurscultuur leiden tot een zelflerende organisatievorm met veel autonomie en onafhankelijkheid. Een belangrijke toevoeging van DNB is het organiseren van een systematiek voor historische data, inclusief de bijbehorende reconstrueerbare mutaties.

5. Flexibele en overdraagbare data dient toekomstbestendig te zijn.

Zonder een goede data governance en goed datamanagement verwachten wij géén goede maar een dure transitie naar een nieuw pensioenstelsel. Er wordt vaak uitgegaan dat de data van goede kwaliteit is omdat bijvoorbeeld recent een transitie naar andere puo heeft plaatsgevonden. De waarheid is veelal dat er bij een transitie veel data verloren gaat. In het bijzonder geldt dit voor mutaties met een lange historie, eerder ondergebracht bij meerdere uitvoerders met een veel verschillende en gewijzigde regelingen. Zo heeft het niet onderkennen van het belang van datakwaliteit als gevolg dat er verhoogde risico’s ontstaan in bijvoorbeeld de registratie van arbeidsongeschiktheid en de verplichtstelling. Het als fonds laten uitvoeren van een onafhankelijke toets op het datamanagement en de datakwaliteit maakt het mogelijk om in control te komen en die nieuwe flexibele uitdagingen aan te gaan.

Naast een feitelijke besturing op deze aandachtsgebieden levert dit alles een meerwaarde en besparing op in de uitvoering. Een belangrijke vermelding is dat data zorgt voor een goede en transparante relatie met de puo. Onze ervaring is dat een verstoorde relatie tussen het fonds en de puo opgelost kan worden door een transparante communicatie over de verwachtingen omtrent datamanagement. Daarnaast wordt door het fonds en gerelateerde sectoren ervaren wat nieuwe technieken zoals artificial inteligence kunnen brengen. De technieken om met algoritmes te komen tot degelijke en representatieve resultaten voor datamanagement is naar onze opvatting slechts een kwestie van tijd.