Publicaties

Uitbesteding door pensioenfondsen (TvP)

Uitbesteding door pensioenfondsen (Peter Laaper), TvP 2017/3

Uitbesteding door pensioenfondsen

1. Inleiding

Door werkzaamheden uit te besteden, maakt een pensioenfonds zich – voor dat deel van zijn bedrijfsvoering – afhankelijk van de prestaties van zijn dienstverlener. Dat brengt grote risico’s met zich.

Zo besteedde pensioenfonds OPG het beheer over een kwart van zijn vermogen uit aan State Street. State Street stelde via een trust-structuur dit vermogen ter beschikking van Lehman Brothers. Lehman Brothers failleerde en pensioenfonds OPG verloor 15% van zijn fondsvermogen.[1]

Ook pensioenfonds PME had het vermogensbeheer uitbesteed. Er ging van alles mis. De rechtbank oordeelde kort gezegd dat het pensioenfonds door het handelen van zijn dienstverlener een reeks van wettelijke voorschriften overtrad, onvoldoende inzicht had in de risico’s waaraan het blootstond en geen grip op de kosten.[2]

Een ander aansprekend voorbeeld komt van buiten de pensioensector. De Ierse Ulster Bank besteedde het beheer van zijn IT-systemen uit aan een andere bank: RBS. In de systemen van RBS trad een storing op. Omdat adequate noodvoorzieningen ontbraken, konden 600.000 klanten een maand lang niet over hun banktegoeden beschikken.[3]

Het is niet moeilijk om andere problemen voor pensioenfondsen te bedenken. Kan een fonds bijvoorbeeld nog pensioenen uitkeren als zijn pensioenadministrateur met een flinke storing kampt? Als de dienstverlener failleert, hoe snel kan dan een opvolgend dienstverlener worden gevonden die de uitbestede werkzaamheden overneemt? Hoe verzekert een fonds zich dat zijn vermogensbeheerder een optimaal rendement behaalt tegenover een acceptabel risico en het niet alleen bij mooie woorden blijft? Hoe verzekert een fonds zich dat zijn vermogensbeheerder geen onnodige risico’s neemt met het oog op een bonus als het goed uitpakt, maar met (grote) verliezen voor het pensioenfonds als het mis gaat?

Pensioenfondsen moeten deze en andere risico’s beheersen. Het Besluit uitvoering Pensioenwet en Wet verplichte beroepspensioenregeling (“Bupw”) bevat daarover voorschriften. DNB heeft in diverse uitingen verdere invulling gegeven aan die voorschriften.[4] Toch is het voor uitbestedende pensioenfondsen worstelen met deze regels. Veel blijft onduidelijk.

Eind juni werd de concept-tekst voor de IORP 2-richtlijn[5] bekend. De richtlijn bevat een verscherping van de eisen bij uitbesteding ten opzichte van de huidige IORP-richtlijn[6]. Daarbij wordt aangesloten bij de eisen die voor verzekeraars gelden. Toch wordt hiermee niet veel aan duidelijkheid gewonnen: ook in de verzekeringssector en – meer in het algemeen – de financiële sector, bestaat veel onduidelijkheid over de eisen die gelden bij uitbesteding.

In dit artikel geef ik een juridische analyse van de huidige en toekomstige uitbestedingsregels. Ik vang aan met een algemeen denkkader. Daarna volgt een behandeling van een systematische aanpak van uitbestedingen. Vervolgens stip ik enkele onderwerpen aan die in de praktijk veel tot discussies leiden. Daarna geef ik een korte vooruitblik op de wijzigingen die vanwege IORP 2 te verwachten zijn en tot slot een vooruitblik op te verwachten ontwikkelingen na IORP 2. Ik sluit af met een conclusie. Dit artikel is mede gebaseerd op het proefschrift dat ik afgelopen december verdedigde.[7]

2. Denkkader: ratio en algemene principes

De ratio van de uitbestedingsregels is dat pensioenfondsen volledig verantwoordelijk blijven voor hun uitbestede werkzaamheden. Wanneer zijn dienstverlener een fout begaat, kan een pensioenfonds zich daar niet achter verschuilen: het fonds is verantwoordelijk voor de fout als had het die fout zelf begaan. Die verantwoordelijkheid van het pensioenfonds voor de uitbestede werkzaamheden dwingt het pensioenfonds om, zoals DNB het kernachtig verwoordt, “in control” te blijven over de uitbesteding. Dat maakt uitbesteding tot onderdeel van de “beheerste en integere bedrijfsvoering” en de “governance” van een pensioenfonds. Die verantwoordelijkheid van het fonds voor de uitbestede werkzaamheden geldt zowel tegenover zijn begunstigden[8] als tegenover zijn toezichthouder.

“In control” zijn, draait in essentie om adequate risicobeheersing. Dat vergt een proportionele aanpak: hoe groter de risico’s, hoe verdergaand de maatregelen. Een fonds kan zich daarom niet beperken tot het “afvinken” van de uitbestedingsvoorschriften in het Bupw. Die voorschriften zijn een minimum. Ze regelen bovendien tal van onderwerpen (zoals aansprakelijkheid en conflictoplossing) niet. Een fonds moet zich steeds opnieuw afvragen of de reeds genomen beheersingsmaatregelen volstaan in het licht van de aard en de omvang van de gelopen risico’s, of dat méér nodig is. Wie volstaat met “afvinken” van de sectorale voorschriften, is waarschijnlijk niet “in control”!

Anderzijds is het ook niet nodig om “met een kanon op een mug te schieten”. Risicobeheersingsmaatregelen moeten proportioneel zijn, maar hoeven niet verder te gaan dat. Daarom hoeft een fonds ook niet de “Guidance: uitbesteding door pensioenfondsen” van DNB één-op-één aan zijn dienstverlener op te leggen. Veelal zal dat buitenproportioneel zijn.

Adequate risicobeheersing betekent niet dat risico’s moeten worden uitgebannen. Dat zou ook irreëel zijn. In elke organisatie gaan dingen mis. Men kan niet het onmogelijke verlangen – ook niet van een dienstverlener. Het pensioenfonds moet er wel voor zorgen dat risico’s worden beperkt tot een aanvaardbaar niveau. Daarbij gaat het uiteindelijk om een afweging van de risico’s en de kosten van beheersing ervan.

3. Beheersingskader

3.1. Systematische aanpak: de uitbestedingscyclus

Om “in control” te zijn, moet een uitbesteding systematisch worden aangepakt. Het door DNB gehanteerde model van een uitbestedingscyclus met vijf fasen is daarbij bruikbaar.[9] DNB onderscheidt achtereenvolgens (1) opstellen uitbestedingsbeleid, (2) keuze van de dienstverlener, (3) governance van de uitbestedingsrelatie, (4) monitoring van de uitbesteding en (5) evaluatie van de uitbesteding. In de praktijk is het onderscheid in fasen niet zo scherp. Zo lopen het houden van toezicht op (fase 4) en het aansturen van de dienstverlener (fase 3) vaak in elkaar over. Het model vormt niettemin een conceptueel logisch geheel en helpt daardoor bij het systematisch doordenken van het hele proces van uitbesteding. Enkele aspecten uit deze fasen licht ik hieronder nader toe.

3.2. Uitbestedingsbeleid

Het uitbestedingsbeleid is het logische startpunt voor het risicobeheersingsraamwerk. DNB verlangt dat het uitbestedingsbeleid vermeldt welke taken niet worden uitbesteed. In principe is elke taak uitbesteedbaar met uitzondering van de wettelijke bestuurstaak. Daartoe behoren onder meer het vaststellen van beleid (zoals het indexatiebeleid en het beleggingsbeleid) en het afleggen van verantwoording daarover tegenover toezichthouders, verantwoordings- of belanghebbendenorgaan.

Het Bupw “verbiedt” ook de uitbesteding van werkzaamheden als dat – kort gezegd – de “control” van het pensioenfonds op de eigen bedrijfsvoering ondermijnt of het toezicht door DNB of de AFM belemmert.[10] Echte uitbestedingsverboden zijn dit niet. Ze geven enkel aan waar uitbesteding niet toe mag leiden. Met name bij de uitbesteding van “governance”-gerelateerde taken, zoals een interne auditafdeling of compliance-afdeling, is daarom extra zorgvuldigheid geboden.[11]

Nuttig is om ook te vermelden welke bundeling van uitbesteedbare activiteiten het fonds niet aan eenzelfde dienstverlener wil toestaan. Zo komt het bij “fiduciair beheer” nogal eens voor dat de uitvoerder van het fonds ook de eigen prestaties beoordeelt. De uitkomst van de beoordeling ligt dan net zo voor de hand als dat van de slager die zijn eigen vlees keurt.

Voorts is het wenselijk om in het uitbestedingsbeleid reeds te vermelden op welke wijze een dienstverlener geselecteerd wordt, welke onderwerpen ten minste in een uitbestedingsovereenkomst moeten worden behandeld, de wijze waarop op de uitbestede werkzaamheden toezicht wordt gehouden, de manier waarop de dienstverlener wordt aangestuurd. Des te beter het fonds dergelijke zaken in het uitbestedingsbeleid beschrijft, des te meer het zelf aan het roer van de uitbesteding staat. Het draagt ook bij aan de verantwoording door het fonds tegenover DNB.

3.3. Eisen aan de dienstverlener

Vóórdat een selectieprocedure wordt gestart, zou het fonds moeten weten welke minimumeisen het stelt aan een dienstverlener. Men neemt nog al eens aan dat als een dienstverlener over een ISAE 3402-verklaring (voorheen: SAS 70) beschikt, hij dan ook geschikt is. Een ISAE 3402-verklaring is een verklaring van een onafhankelijke derde dat de dienstverlener “in control” is over zijn eigen bedrijfsvoering. Dat is een belangrijke voorwaarde voor het pensioenfonds. Immers, als de dienstverlener niet “in control” is, dan kan het uitbestedende fonds dat ook niet zijn.

Echter, een ISAE 3402-verklaring ziet enkel op de bedrijfsprocessen die betrekking hebben op de financiële rapportage. Ze heeft geen betrekking op bijvoorbeeld de uitvoering van de (uitbestede) pensioenadministratie, het vermogensbeheer, compliance of integriteitsbeleid. Daarvoor is een ISAE 3000-verklaring nodig. Ook die verklaring hoeft evenwel niet op de gehele bedrijfsvoering te zien; een dienstverlener kan ervoor kiezen om slechts voor specifieke bedrijfsprocessen een verklaring te laten opstellen. Het pensioenfonds moet dus altijd controleren of alle voor hem relevante processen in de verklaring zijn opgenomen.

Maar zelfs als dat het geval is, kan het pensioenfonds niet achterover leunen. Een beheerste uitvoering van bedrijfsprocessen, betekent nog niet dat de inhoud van die processen of het niveau van beheersing voldoet aan de eisen die het pensioenfonds stelt. Voor een goede “control” is het daarom zinvol eisen te stellen aan en onderzoek (“due diligence”) te verrichten naar onder meer de inrichting van de bedrijfsprocessen; de inhoud van het risicomanagementbeleid, integriteitsbeleid, compliancebeleid, uitbestedingsbeleid en ander beleid van de dienstverlener; het bestaan van potentiële belangenconflicten met het pensioenfonds; het bestaan van adequate functiescheidingen; het bestaan van adequate noodvoorzieningen; de financiële soliditeit; track record en referenties; de kwaliteit en ervaring van de betrokken medewerkers; en de bescherming van vertrouwelijke informatie.

3.4. Eisen aan de uitbestedingsrelatie

Het Bupw stelt een aantal eisen aan vorm (schriftelijk) en inhoud van de uitbestedingsovereenkomst.[12] Zo moet zij een nauwkeurige beschrijving van de uit te besteden werkzaamheden bevatten, en afspraken over onder meer de informatie-uitwisseling tussen fonds en dienstverlener, de mogelijkheid voor het fonds om wijzigingen in de uitvoering aan te brengen, en de wijze waarop de overeenkomst kan worden beëindigd. Ook moeten contractueel twee derdenbedingen ten gunste van de toezichthouder worden opgenomen.[13]

Het Bupw bepaalt dat bij uitbesteding van vermogensbeheer de overeenkomst (het beleggingsmandaat) “sluitende afspraken” moet bevatten.[14] Het valt niet in te zien waarom enkel bij uitbesteding van vermogensbeheer gepoogd moet worden de overeenkomst sluitend te maken. Uitbesteding van de pensioenadministratie is voor een pensioenfonds niet minder belangrijk.

Werkelijk “sluitende” afspraken zijn eigenlijk niet goed denkbaar. De wereld verandert en niemand kan in de toekomst kijken. Technische, economische en financiële ontwikkelingen in de markt en bij het fonds leiden voortdurend tot wijzigende eisen aan de dienstverlener. Minstens zo belangrijk als de inhoud van een uitbestedingsovereenkomst is daarom de mogelijkheid om de inhoud ervan te wijzigen. Niet voor niets is dat ook een wettelijke eis.[15] Niettemin doet een fonds er goed aan de overeenkomst zo sluitend mogelijk op te stellen. Hoe vollediger de overeenkomst, hoe meer een fonds aan “control” wint.

Typische onderwerpen die men in een uitbestedingsovereenkomst aantreft, zijn: uitgebreide beschrijving van de uitbestede taken, uitgebreide prestatiecriteria, uitgebreide set van rapportage- en meldingsverplichtingen, een procedure om wijziging in de uitvoering van de uitbestede werkzaamheden aan te brengen, onderuitbesteding, beloning, bescherming van vertrouwelijke gegevens, administratie, tegenstrijdigbelangregeling, calamiteitenprocedures, conflictprocedures, beëindigingvoorwaarden, een aansprakelijkheidsregeling, rechts- en forumkeuze. Een en ander wordt gewoonlijk uitgewerkt in een Service Level Agreement (SLA). Ook voor de SLA geldt dat de aanpasbaarheid ervan minstens zo belangrijk is als de inhoud.

Voor al deze onderwerpen zal het fonds, in onderhandeling met zijn dienstverlener, talloze keuzes moeten maken. Het is niet in zijn algemeenheid te zeggen hoe de inhoud van een specifiek beding moet luiden om “in control” te kunnen zijn: dat hangt af van alle omstandigheden, zoals aard en omvang van het risico dat men probeert af te dekken en de overige beheersingsmaatregelen die het fonds neemt. Zo is het voor een pensioenfonds makkelijker om een beperking van de aansprakelijkheid van zijn dienstverlener te accepteren bij een in omvang kleine uitbesteding dan bij een grote, en makkelijker als het fonds via een vermogensbeheerder belegt in externe beleggingsfondsen dan in interne of in-house beleggingsfondsen van die vermogensbeheerder. Ook als het fonds contractueel én feitelijk op korte termijn de uitbestedingsovereenkomst kan beëindigen,[16] of wanneer het een vergaande instructiebevoegdheid heeft in combinatie met heldere en omvattende rapportages, is het voor een fonds makkelijker om een dergelijke aansprakelijkheidsbeperking te accepteren.

4. Enkele praktische onderwerpen

4.1. Onderuitbesteding

In de praktijk besteedt een dienstverlener zelf vaak ook weer werkzaamheden uit. Zo ontstaan er hele ketens van dienstverlening. Vanuit zijn verantwoordelijkheid moet het pensioenfonds zich deze onderuitbestedingen ook aantrekken. Immers, waar ook in de keten een fout wordt gemaakt, het fonds is altijd eindverantwoordelijk. Dit noopt pensioenfondsen om van hun dienstverlener te verlangen dat deze in zijn eigen uitbestedingsrelaties tevens voldoet aan de pensioenrechtelijke uitbestedingsvoorschriften. De dienstverlener moet dus eveneens een risicoanalyse opstellen en beleid formuleren. De dienstverlener mag slechts een (onder)dienstverlener inschakelen als die partij over een beheerste en integere bedrijfsvoering beschikt, en de onderuitbestedingsovereenkomst moet aan dezelfde eisen voldoen als de uitbestedingsovereenkomst tussen pensioenfonds en (hoofd)dienstverlener. Bovendien moet een pensioenfonds van zijn dienstverlener verlangen dat zulke eisen bij wijze van kettingbeding in de keten worden doorgegeven.

In de literatuur zijn in het verleden wel twijfels geuit of het voor pensioenfondsen haalbaar is om een dergelijk kettingbeding uit te onderhandelen, met name in internationale verhoudingen.[17] Financiële marktpartijen hebben evenwel inmiddels ervaring opgedaan met zulke bedingen, waardoor de (ergste) koudwatervrees voorbij is. Uit mijn onderzoek bleek dat zulke bedingen geen grote problemen meer opleveren en ook voor kleinere pensioenfondsen haalbaar zijn.[18]

4.2. Aanwijzingenbevoegdheid

Een pensioenfonds moet contractueel vastleggen dat het “te allen tijde wijzigingen aan [kan] brengen in de wijze waarop de uitvoering van de werkzaamheden door de derde geschiedt”.[19]

In de praktijk hebben dienstverleners er grote bezwaren tegen om een dergelijke bepaling ongeclausuleerd op te nemen. En terecht. Het is ondoenlijk als twee pensioenfondsen die allebei opdrachtgever zijn, onderling tegenstrijdige en verplichtende aanwijzingen aan hun gezamenlijke dienstverlener kunnen geven. Bovendien is het bestuur van de dienstverlener zelf verantwoordelijk voor de leiding aan de eigen onderneming. Die leiding kan en mag niet via een uitbestedingsovereenkomst bij een ander, bijvoorbeeld zijn opdrachtgever, komen te liggen. Anders gezegd: een dienstverlener is zelf niet “in control”[20] over zijn eigen bedrijfsvoering, als zijn opdrachtgevers ongeclausuleerd in alle aspecten van zijn bedrijfsvoering kunnen ingrijpen.

Anderzijds heeft een uitbestedend pensioenfonds ook een gerechtvaardigd belang om te kunnen ingrijpen wanneer de uitvoering van zijn uitbestede werkzaamheden niet (langer) naar wens is. Dat hoeft niet door middel van een oekaze. Wel moet er een mechanisme bestaan waardoor wijzigingen te weeg kunnen worden gebracht. In dat mechanisme mag ook overleg worden ingebouwd. Als er echter geen (effectief) mechanisme bestaat om wijzigingen aan te brengen, dan kan het pensioenfonds niet “in control” zijn.

4.3. Aansprakelijkheid

In veel uitbestedingsovereenkomsten is de aansprakelijkheid van de dienstverlener verregaand uitgekleed, bijvoorbeeld tot maximaal één jaarfee of slechts bij opzet of grove schuld. Met een zó vergaande aansprakelijkheidsbeperking is een pensioenfonds waarschijnlijk niet “in control”. Welke prikkel heeft de dienstverlener immers nog om zich optimaal voor zijn opdrachtgever in te zetten, als hij bij tekortkomingen toch niet aansprakelijk is?

Anderzijds menen sommigen dat een dienstverlener volledige aansprakelijkheid moet aanvaarden. Ook dat is niet juist. Het is bovendien irreëel en onverstandig. Zou een pensioenfonds de werkzaamheden zelf verrichten, dan ging ook wel eens iets mis. Het fonds zou dan ook zelf de schade dragen. Het is irreëel om van een dienstverlener te verlangen dat hij wél foutloos kan werken. Men bereikt enkel dat de dienstverlener de verwachte kosten van schades, met een risico-opslag, doorberekent aan het pensioenfonds. Volledig aansprakelijk houden is dus niet kosteneffectief en daarom onverstandig.

Het ene noch het andere uiterste is effectief. Waar het op aan komt, is dat de aansprakelijkheidsregeling met de dienstverlener zo wordt vormgegeven dat de dienstverlener voldoende prikkel voelt om zich optimaal voor het pensioenfonds in te zetten en daarvoor alle (kosteneffectieve) maatregelen benut.

4.4. Opzegging

Is een pensioenfonds ontevreden over de prestaties van zijn dienstverlener en heeft het onvoldoende zicht op verbetering, dan zal het zijn dienstverlener opzeggen. Het fonds is immers niet “in control” als het ondermaatse prestaties krijgt geleverd. Dan moet het fonds zijn dienstverlener ook (realiter) kunnen opzeggen.

Gewoonlijk worden in een uitbestedingsovereenkomst opzegdrempels opgenomen. Opzegtermijnen en opzegvergoedingen zijn gebruikelijke opzegdrempels. Het is niet op voorhand onredelijk om zulke opzegdrempels op te nemen. De dienstverlener moet immers zelf óók “in control” blijven over zijn eigen onderneming[21] en zulke opzegdrempels helpen hem daarbij, kunnen zelfs noodzakelijk zijn. Een opzegtermijn biedt hem enige respijt om zijn interne organisatie aan de nieuwe situatie aan te passen. Een opzegvergoeding kan dienen om investeringen te vergoeden die hij nog niet heeft terugverdiend.

Anderzijds moet het pensioenfonds wel een reële opzegmogelijkheid behouden. De opzegvergoeding mag niet zó hoog zijn dat zij aan opzegging in de weg staat, ook al presteert de dienstverlener niet naar wens. Ook mag de opzegtermijn niet zodanig zijn dat het pensioenfonds nog heel lang moet “doormodderen” met een teleurstellende dienstverlener.

Wat een acceptabele opzegvergoeding of –termijn is, is in zijn algemeenheid echter niet te zeggen. Steeds moet meewegen hoe belangrijk de dienstverlening is voor het pensioenfonds. Hoe essentiëler de dienstverlening voor het fonds, hoe makkelijker het moet kunnen opzeggen.

4.5. Bevoegdheden voor de toezichthouder

DNB en de AFM houden toezicht op de werkzaamheden van pensioenfondsen. Wanneer een pensioenfonds werkzaamheden uitbesteedt, dreigen deze aan het toezicht van de toezichthouder te worden onttrokken. Uitbesteding mag echter het toezicht niet belemmeren.[22] Daarom moet een uitbestedend pensioenfonds in elke uitbestedingsovereenkomst een tweetal bedingen ten gunste van de toezichthouder opnemen. Het eerste is een verplichting om informatie waar de toezichthouder (ter uitvoering van zijn wettelijke taak) om vraagt, rechtstreeks aan de toezichthouder ter beschikking te stellen. Het tweede betreft de mogelijkheid voor de toezichthouder om ter plaatse van de dienstverlener onderzoek te (laten) verrichten.[23]

Het opnemen van deze bedingen stuit in de praktijk nog al eens op weerstand. Dienstverleners zijn wel eens bang dat toezichthouders te pas en te onpas bij hen op de stoep staan. Die vrees is onterecht. De toezichthouder moet zich in beginsel steeds wenden tot het pensioenfonds.[24]

5. Korte vooruitblik op de invoering van IORP 2

De huidige IORP-richtlijn bevat nauwelijks bepalingen omtrent uitbestedingen. De bepalingen die de richtlijn bevat over uitbesteding zien enkel op minimale bevoegdheden waarover een toezichthouder moet beschikken.[25] In aanvulling hierop heeft Nederland in het Bupw ook eisen gesteld ten aanzien van de organisatie van het pensioenfonds en de uitbestedingsovereenkomst.

IORP 2 bevat ten opzichte van IORP 1 aangescherpte eisen. Doordat Nederland in het Bupw ten opzichte van IORP 1 al verdergaande eisen had opgenomen, blijft de aanscherping van de eisen voor Nederlandse pensioenfondsen (ten aanzien van uitbesteding) beperkt. Enkele aanscherpingen die voor de toekomst te verwachten zijn, haal ik hier aan.

5.1. Beloning

Het Bupw bepaalt nu dat een pensioenfonds dat werkzaamheden wil uitbesteden, “zicht moet hebben” op het beloningsbeleid van zijn (beoogde) dienstverlener en dat beloningsbeleid moet “betrekken” in de selectieprocedure.[26] Dat is tamelijk vrijblijvend. Een pensioenfonds is niet (expliciet) verplicht om het eigen beloningsbeleid aan zijn dienstverlener op te leggen.

Onder IORP 2 verandert dat. De concept-richtlijn bepaalt dat het beloningsbeleid van een pensioenfonds tevens van toepassing moet zijn op zijn dienstverleners.[27] Een belangrijke uitzondering geldt voor dienstverleners op wie de richtlijnen voor verzekeraars, beleggingsinstellingen of beleggingsondernemingen (waaronder: vermogensbeheerders) van toepassing zijn.[28] De ratio lijkt dat deze ondernemingen al aan Europese voorschriften voor beheerst beloningsbeleid moeten voldoen en dat dat zou moeten volstaan.

5.2. Interne auditfunctie

Anders dan vrijwel elke financiële onderneming,[29] zijn pensioenfondsen nu nog niet verplicht om over een “interne auditfunctie” te beschikken. Bij invoering van IORP 2 verandert ook dat.[30] Een interne auditfunctie is een organisatie-onderdeel dat de effectiviteit van de organisatie-inrichting toetst. IORP 2 bepaalt expliciet dat de interne auditfunctie daarbij ook de aansturing van uitbestede werkzaamheden moet betrekken.

Overigens mogen (kleinere) pensioenfondsen de interne auditfunctie zélf ook weer uitbesteden. Besteedt een fonds deze functie (of een andere sleutelfunctie)[31] uit aan de bijdragende onderneming, dan moet het ook beschrijven hoe het tegenstrijdige belangen voorkomt of beheerst.[32]

5.3. Meldingsplicht

In sommige financiële sectoren geldt al dat een onderneming aan haar toezichthouder moet melden wanneer het werkzaamheden uitbesteedt.[33] IORP 2 voorziet in een plicht om uitbesteding van sleutelfuncties[34] te melden voordat de uitbestedingsovereenkomst van kracht wordt. Andere uitbestedingen moet een fonds “tijdig” melden. Ook na aanvang van de uitbesteding moet een pensioenfonds melding blijven maken van alle belangrijke ontwikkelingen met betrekking tot de uitbestede werkzaamheden.[35]

6. Toekomstige ontwikkelingen

Het is moeilijk in de toekomst te kijken en daarom lastig te voorspellen welke ontwikkelingen met betrekking tot uitbesteding zullen plaatshebben. Te verwachten is dat het onderwerp beloning de gemoederen van regelgevers en toezichthouders nog wel even bezighoudt.

Aan de technische kant lijkt “Fintech” aan een flinke opmars bezig. Fintech is een verzamelnaam voor het gebruik van innovatieve IT-middelen in de financiële sector. Dit krijgt ongetwijfeld gevolgen in de pensioensector, al is het maar omdat pensioenfondsen hele grote klanten van de financiële sector zijn.

Deskundigheid en het behoud van deskundigheid zou voor de toekomst een heel belangrijke kwestie kunnen (en, meen ik: moeten) worden. Deskundigheid is het centrale element om “in control” te kunnen zijn. Wie deskundig is, weet waar op te letten, kan bijvoorbeeld in een rapportage tussen de regels door lezen en weet wanneer en hoe in te grijpen. Echter, na een uitbesteding verliest een uitbestedende organisatie gewoonlijk veel deskundigheid over de uitbestede werkzaamheden. De werknemers die zich met de uitvoering van die werkzaamheden bezighielden, krijgen andere werkzaamheden en “verliezen het contact” met het soort werkzaamheden. Niet voor niets heeft DNB tegenwoordig meer dan vroeger aandacht voor het onderwerp deskundigheid. Ik verwacht dat dat alleen maar meer zal worden.

Tot slot verwacht ik dat de regeldichtheid ten aanzien van uitbesteding alleen maar zal toenemen. Dat is een trend die al jaren te zien is. Daarbij slaan nieuwe regels in de ene (financiële) sector steeds over naar andere sectoren. Voor wie zijn uitbestedingen zorgvuldig aanpakt, hoeft dat evenwel geen groot probleem te zijn. Nieuwe uitbestedingsregels zijn steeds weer een nadere invulling van de ratio en algemene principes die ik hierboven onthulde.

7. Conclusie

Uitbesteding brengt voor pensioenfondsen grote risico’s mee. Die risico’s gaan verder dan enkel lastige discussies met de toezichthouder. Het pensioenfonds kan bijvoorbeeld een groot deel van het beheerde vermogen verliezen of niet langer in staat zijn om de pensioenen uit te keren omdat zijn pensioenadministrateur is gefailleerd en het zelf niet over de benodigde gegevens beschikt.

Het pensioenfonds is verplicht om zulke risico’s adequaat te beheersen. Dat beheersingsniveau is in de praktijk nog vaak onvoldoende. Niet voor niets heeft DNB veel meer aandacht voor uitbesteding in de pensioensector dan in de financiële sector, waar toch vergelijkbare voorschriften gelden. Pensioenfondsen hoeven niet minder uit te besteden; zij moeten wel zorgen dat ze, veel meer dan nu, bekend zijn met alle mogelijke risico’s die zij lopen en contractueel organiseren dat ze binnen de uitbestedingsrelatie in staat zijn om aan de touwtjes te trekken.

Dat betekent niet, zoals sommige partijen menen, dat een pensioenfonds eenzijdig allerlei verplichtingen aan zijn dienstverlener moet opleggen. Dat is irreëel: ook de dienstverlener heeft gerechtvaardigde belangen. Het is ook niet in het belang van de begunstigden: eenzijdig opleggen van allerlei verplichtingen, ondanks gerechtvaardigde belangen van de die dienstverlener, kan juist nadelige gevolgen hebben, zoals buitensporige kosten.

De regelgeving laat beide partijen in een uitbestedingsrelatie voldoende ruimte om die relatie zo vorm te geven dat hun beider gerechtvaardigde belangen worden gediend. Die ruimte moet men benutten. Dat vergt kennis van de juridische eisen en de juridische ruimte. In dit artikel heb ik een aantal onderwerpen behandeld die in de praktijk geregeld tot discussies leiden en laten zien waarop men moet letten bij het maken van contractuele afspraken daarover.

De concept-tekst van de IORP 2-richtlijn laat zien dat de uitbestedingsvoorschriften worden aangescherpt. De aanscherping valt voor Nederlandse pensioenfondsen relatief mee, omdat Nederland al hogere eisen stelde dan voorheen als minimum werd vereist. Toch gaat ook in Nederland de lat omhoog. In dit artikel heb ik een aantal aanscherpingen aangehaald waar Nederlandse pensioenfondsen aandacht aan zullen moeten besteden.

[1] Overigens kwam OPG met de schrik vrij. Het had met zijn vermogensbeheerder een “eigendomsgarantie” afgesproken. Op basis van die garantie veroordeelde de rechtbank State Street tot betaling van een schadevergoeding (Rb. Amsterdam 23 december 2009, ECLI:NL:RBAMS:2009:BK7407, JOR 2010/110 m.nt. Van Setten).

[2] Rb. Rotterdam 4 augustus 2011, PJ 2011/125 m.nt. Kuiper, JOR 2012/12 m.nt. Affourtit (PME).

[3] Zie de “Settlement Agreement between the Central Bank of Ireland and Ulster Bank Ireland Limited” (te downloaden via www.centralbank.ie).

[4] Zie bijvoorbeeld de Guidance: uitbesteding door pensioenfondsen (2014), de Sectorbrief Themaonderzoek uitbesteding vermogensbeheer (2013); en de Circulaire cloud computing (2011).

[5] 2014/0091 (COD) / 2014/0167 (COM).

[6] Richtlijn 2003/41.

[7] P. Laaper, Uitbesteding in de financiële sector, in het bijzonder van vermogensbeheer door pensioenfondsen, Deventer: Wolters Kluwer 2015.

[8] Met “begunstigden” doel ik op deelnemers, gewezen deelnemers, pensioengerechtigden, gepensioneerden en andere aanspraakgerechtigden, kortom allen die een pensioenrecht of pensioenaanspraak tegenover het pensioenfonds hebben.

[9] In de literatuur onderscheidt men ook wel meer of minder fasen. Voor dit artikel sluit ik aan bij het DNB-model.

[10] Art. 12, sub b en c, Bupw.

[11] Zie ook paragraaf 5.2.

[12] Art. 13 Bupw.

[13] Zie ook paragraaf 4.5.

[14] Art. 13, lid 2, sub b, Bupw.

[15] Art. 13, lid 2, sub e, Bupw.

[16] Een fonds kan wel een contractuele bevoegdheid hebben om per direct een uitbestedingsovereenkomst te beëindigen, maar bij veel uitbestedingen zoals de uitbesteding van de pensioenadministratie is dat feitelijk irreëel. Bij bijvoorbeeld de uitbesteding van een passief beheerde portefeuille staatsobligaties is dat echter wel heel goed mogelijk.

[17] R.H. Maatman, Aspecten van de Pensioenwet, Ondernemingsrecht 2007, p. 120; R.H. Maatman & J.W. van Miltenburg, Pensioenfondsen, in: D. Busch e.a., Onderneming en Financieel toezicht (Serie Onderneming en Recht, deel 57), Deventer: Kluwer 2010, p. 341-342; J.A.M.I. Hoens, Uitbesteding: een achilleshiel in de Pensioenwet?, P&P 2009, p. 20.

[18] P. Laaper, Uitbesteding in de financiële sector, in het bijzonder van vermogensbeheer door pensioenfondsen, Deventer: Wolters Kluwer 2015, p. 54.

[19] Art. 13, lid 2, sub e, Bupw.

[20] Een verplichting om “in control” over de eigen bedrijfsvoering te zijn, is voor bijvoorbeeld vermogensbeheerders vastgelegd in art. 4:14, lid 1, Wft (beheerste en integere bedrijfsvoering). Voor dienstverleners die niet in de Wft zijn gereguleerd is te wijzen op de enquêterechtspraak van de Ondernemingskamer en de HR. De OK toetst of er sprake is van wanbeleid onder meer aan de criteria of er is gehandeld in strijd met “de elementaire beginselen van ondernemerschap” (OK 21 juni 1979, NJ 1980, 71 (Batco); OK 3 december 1987, WPNR 1988/5863 (Ogem)) en de “algemeen aanvaarde beginselen van corporate governance” (OK 9 oktober 2006, JOR 2007/9 (UMI)). De OK gebruikt weliswaar niet de term “beheerste en integere bedrijfsvoering”, maar me dunkt dat het wel tot “de elementaire beginselen van ondernemerschap” en de “algemeen aanvaarde beginselen van corporate governance” behoort om de bedrijfsvoering beheerst en integer in te richten. Daarmee staat overigens niet vast dat de lat binnen de financiële en pensioensector even hoog ligt als daarbuiten. Mogelijk wordt de norm “beheerste en integere bedrijfsvoering” in de financiële en pensioensector strenger uitgelegd dan daarbuiten.

[21] Zie voetnoot 19.

[22] Art. 12, sub c, Bupw.

[23] Art. 13, lid 2, sub d en g, Bupw.

[24] Kamerstukken II, 2005-2006, 30413, nr. 3, p. 128-129.

[25] Overweging 25 en art. 13 IORP-richtlijn.

[26] Art. 14, lid 5, Bupw.

[27] Artikel 24, lid 3, sub da, IORP 2-conceptrichtlijn.

[28] Het gaat om de richtlijnen 2009/65/EC (voor UCITS), 2011/61/EU (AIFMD), 2009/138/EC (Solvency II), 2013/36/EU (CRD IV) en 2014/65/EU (MiFID II).

[29] Art. 17, lid 4, Bpr en art. 30, lid 6, Bgfo. De interne auditfunctie wordt daar overigens “interne controlefunctie” genoemd.

[30] Art. 27, lid 1, IORP 2-conceptrichtlijn.

[31] Naast de interne auditfunctie zijn ook de risicomanagementfunctie en de actuariële functie sleutelfuncties (art. 25, lid 1, IORP 2-conceptrichtlijn).

[32] Artikel 29, lid 2, sub ab, IORP 2-conceptrichtlijn.

[33] Zij geldt voor betaal- en elektronischgeldinstellingen (art. 27a Bpr en art. 38i Bgfo), beheerders van icbe’s (Art. 38a, lid 1, Bgfo), beheerders van alternatieve beleggingsinstellingen (art. 37a Bgfo jo. art. 20, lid 1, aanhef, AIFMD), verzekeraars (art. 27d jo. art. 49, lid 3, Solvency II en beleggingsondernemingen (toelichting op art. 96 Bgfo, Stb. 2006, 520, p. 258).

[34] Zie voetnoot 30.

[35] Art. 33, lid 6, IORP 2-conceptrichtlijn.