Betrouwbaarheid administratie na conversie en invaren moet geborgd zijn

Introductie en achtergrond

Veel pensioenfondsen zijn momenteel in volle voorbereiding om in te gaan varen in het nieuwe stelsel. Deze voorbereidingen, waarbij vanuit de regelgeving veel aandacht bestaat voor datakwaliteit. Datakwaliteit is aangeduid als een kritiek element en we zien dat de grote aandacht daarvoor leidt tot vele aanpassingen (correcties) in de gegevens van deelnemers bij de pensioenfondsen. Dit mede als gevolg van de voorbereidingen op “Toetsmoment 1”, waarbij de externe IT-Auditor (of externe registeraccountant) een heel programma doorloopt om daarover te rapporteren. Hierover wordt gerapporteerd in een rapport van feitelijke bevindingen (op basis van de Richtlijn 4400). 

Toetsmoment 1 is een belangrijk meetpunt, maar de elementen die daarna komen gaan nog verder. We bedoelen daar dat parallel aan de voorbereidingen gerelateerd aan Toetsmoment 1, het fonds of de uitvoerder ook bezig is om de conversie van gegevens naar een veelal nieuw systeem voor te bereiden. En het is precies daar waar de IT-Auditor zijn toegevoegde waarde voor zowel fonds als uitvoerder kan laten zien om de kwaliteit van gegevens en werking van systemen en controles te borgen voor de toekomstige situatie. Recentelijk is ook DNB tot dat inzicht gekomen in de nieuwste uiting rondom verplichtingen bij de Invaarstraat. 

Bouwen nieuwe applicatie

Bij veel fondsen en PUO’s wordt al enige tijd (soms jaren) gewerkt aan een nieuwe applicatie en database die het beheer van de miljoenen deelnemers naar een nieuw niveau moet brengen in lijn met de vereisten in de Wtp. Belangrijke aandachtspunten daarbij zijn:

• De blijvende vertrouwelijkheid van de verwerking van de gegevens in het nieuwe IT-systeem zoals de ingebouwde interne beheersmaatregelen of controles; 
• De beveiliging van en autorisaties in het nieuwe systeem (en onderliggende databases en interfaces); 
• De wijze waarop change management plaatsvindt (als onderdeel van het ontwikkeltraject); 
• De reproduceerbaarheid van genomen stappen in de processen rondom de bouw; 
• Tot slot zijn de wijze van testen, inclusief de gebruikersacceptatietests erg belangrijk voor het betrouwbaar functioneren van het nieuwe systeem. En laten we de continuïteit van de geautomatiseerde gegevensverwerking niet vergeten. 

Conversie van gegevens

Voordat met het nieuwe systeem daadwerkelijk kan worden gewerkt, moeten alle gegevens kunnen worden overgezet van het oude naar het nieuwe systeem. Dat klinkt vaak eenvoudiger dan de daadwerkelijke praktijk. Een belangrijke reden waarom de conversie zo complex kan zijn, is dat de datamodellen van de oude en nieuwe applicatie niet met elkaar overeen komen. 

Door de projectorganisatie zal derhalve moeten worden bepaald welke gegevensvelden zo goed mogelijk met elkaar overeenkomen. Daarbij zullen altijd verschillen ontstaan en dat is vaak een bron van fouten. Immers, alle gegevens moeten juist en volledig worden overgezet. Een special aandachtspunt is daarbij, bijvoorbeeld, de historie van wijzigingen die hebben plaatsgevonden bij een deelnemer. Dat kunnen er veel zijn: van salaris- of werkgeverswijzigingen, tot een of meer nieuwe partners, arbeidsongeschiktheid, etc. 

Vaak wordt zogenaamde conversieprogrammatuur ingezet, deze kan alleen goed functioneren als het programma een goede vertaling kan maken van de gegevens van de oude naar de nieuwe omgeving. Een goede audit trail inclusief een goed werkend stelsel van interne controles, controletotalen en verbandscontroles is derhalve essentieel voor een effectieve conversie van gegevens. Naast testen, testen en testen. 

Testen, testen en testen

Over testen gesproken: bij veel projecten wordt tegen een deadline aan gewerkt. Dat is in de pensioensector niet anders. Dat betekent ook dat soms beslissingen in een project worden genomen om bijvoorbeeld de reikwijdte van de conversie te beperken of bepaalde mutaties pas later over te zetten. Alles om de deadline te halen. Maar één aspect, dat te vaak wordt ingezet om de deadline te halen, is om het testen te verkorten. Dat is onverstandig omdat goed testen er voor zorgt, dat je achteraf veel minder hoeft te corrigeren. Dat geldt onverkort voor de juiste werking van functies die worden getest, niet alleen rondom de pensioengegevens. Uiteraard is dit onderdeel van de werkzaamheden van IT-Auditors.

Een van de belangrijkste elementen van de conversie is verder de omzetting van aanspraken naar kapitaal. Daarvoor is de actuaris nodig. Maar voordat de actuaris aan de slag kan gaan, zal het fonds of de PUO de oorspronkelijke aanspraken moeten aanleveren. Het is derhalve ook belangrijk dat deze gegevens juist, volledig en actueel zijn. Ook hierop moet worden ingespeeld tijdens de gehele bouw en het testtraject. 

Het invaren is voor alle pensioenuitvoerders een eenmalig proces. Het belang voor deelnemers en de industrie is groot, pensioenfondsen en -uitvoerders moeten dus zeer zorgvuldig te werk gaan. Het doorlopen van alle essentiële stappen moet het mogelijk maken voor de externe Register IT-Auditor om een onafhankelijk oordeel te vellen over de uitvoering van de transitie. De pensioenuitvoerder toont met deze stappen aan dat de omzetting juist en volledig is uitgevoerd.

Toetsmoment 1.5

Het gehele traject omvat officieel een “Toetsmoment 1” (de AUP door de externe Register IT-Auditor, of registeraccountant, conform richtlijnen vanuit DNB) en een “Toetsmoment 2” (een assurance-rapportage door de externe registeraccountant). Wij zijn van mening dat voorafgaand aan de invulling van “Toetsmoment 2”, twee onderzoeken door de externe Register IT-Auditor een belangrijke bijdrage leveren aan de beheerst invaren in het nieuwe stelsel. Wij hebben dat “Toetsmoment 1.5” genoemd. Dit toetsmoment omvat een tweetal onderzoeken:

• Een onderzoek naar de conversie van de gegevens;
• Een onderzoek naar de juist inrichting van de nieuwe applicatie (en onderliggende databases en andere systemen).

Deze onderzoeken worden uitgevoerd op basis van de Richtlijn 3000A en in een vorm die assurance geeft over opzet en bestaan. Dit is dan een zogenaamd Type I rapport. De specifieke reikwijdte bij deze onderzoeken en daaruit resulterende assurance-rapporten wordt in overleg met het fonds en/of uitvoerder bepaald. 

Op basis van deze onderzoeken kan de externe registeraccountant (met input vanuit de actuaris) zijn assurance-rapportage “Toetsmoment 2” opstellen.

In de recent verschenen ‘Good practices van De Nederlandsche Bank inzake (quality) assurancerapportages ten aanzien van de nieuwe/aangepaste IT omgeving samenhangend met de pensioentransitie’ van 22 juli 2025 wordt deze aanpak ook (h)erkend en specifiek aanbevolen. 

Na deze werkzaamheden kan de externe accountant op een efficiënte en effectieve wijze het “Toetsmoment 2” gaan uitvoeren. Hieronder hebben wij deze rapportages in een tijdslijn weergegeven.

Wat brengt de Register IT-Auditor mee?

De Register IT-Auditor brengt in zijn bagage diepgaande kennis van IT met zich mee. In dit kader kunt u daarbij denken aan kennis van de werking van applicaties en onderliggende databases, kennis van IT infrastructuren, kennis van interne controles en uiteraard kennis van de pensioenomgeving. 

Binnen Forvis Mazars hebben wij uitgebreide ervaring met conversies, assurance-onderzoeken en kennis van de pensioensector. Ook hebben wij een standaard raamwerk gebouwd, gebaseerd op onze ervaringen, voor het toetsen van de Invaarstraat. Dit raamwerk spitsen wij toe op elke individuele situatie. Hierdoor kunnen wij onze cliënten effectief en efficiënt ondersteunen bij de uitdagingen die de pensioensector de komende jaren heeft.