IT risk management voor Pensioenfondsen

IT risk management voor Pensioenfondsen Cyber Security Event

Marc van Luijk Wikash Bansi Rotterdam, 11 Maart 2014

Beheersing IT risico’s • Het pensioenfonds is verantwoordelijk voor de hele procesketen, inclusief alle uitbestede activiteiten waaronder tevens verantwoordelijkheid besturen risico’s Integere en beheerste uitvoering Art. 143 DNB Themaonderzoek infomatiebeveiliging

Code Pensioenfondsen

Handboek Integraal Risicomanagement

Pensioenfonds beheersing IT risico

Uitvoerder A

1

Uitvoerder B

Uitvoerder C

Uitvoerder D

© 2014 Deloitte The Netherlands

Toezichtthema’s pensioenfondsen Terugkijken: afgelopen vier jaar Belangrijkste toezichtthema’s pensioenfondsen 2010-2013

Trends

2010

2

2011

2012

2013

Financieel Toetskingskader (FTK)

Financieel Toetskingskader (FTK)

Integriteit, Beloning, Gedrag & Cultuur

Integriteit, Beloning, Gedrag & Cultuur

Integriteit, Beloning, Gedrag & Cultuur

Integriteit, Beloning, Gedrag & Cultuur

Strategie en bedrijfsmodellen

Strategie & bedrijfsmodellen

Strategie & bedrijfsmodellen

Strategie & bedrijfsmodellen

Databeheer en rapportages

Databeheer en rapportages

Databeheer en rapportages

Beheersing uitbestedingsrelaties

Beheersing uitbestedingsrelaties

Governance, risicomanagement & IA

Governance, risicomanagement & IA

© 2014 Deloitte The Netherlands

Toezichtthema’s pensioenfondsen 2014 Vooruitkijken Aandacht voor cybercrime draagt bij aan het herstel van vertrouwen Houdbaarheid bedrijfsmodel Liquiditeitsrisico’s

FTK

Cybercrime

• Adequate procedures en maatregelen ter beheersing van de IT-risico's. Waarborging continuïteit IT en beveiliging van informatie

• Cross-sectoraal onderzoeken informatiebeveiligingen • Voortzetting van de periodieke selfassessments

Wvbp

• Toetsing DNB uitkomsten selfassessments Complexe ICT omgevingen Beleggingsrisico’s

3

EMIR

• Minimale requirement is maturity Level 3 of hoger (Cobit)

• Achterblijvende score: verzoek verbeterplan en monitoring uitvoering © 2014 Deloitte The Netherlands

Toetsingskader Security Management en Maturity Model Hoofdcomponenten toetsingskader • • • • •

4

Strategy & Policies Organization People Processes Technology

© 2014 Deloitte The Netherlands

DNB methodiek FOCUS!

5

•

Beoordeling van IT risico’s onderdeel van FOCUS!

•

Pensioenfonds bestuur verantwoordelijk voor alle risico’s binnen de waardeketen. Actieve sturing richting uitvoerder aan de elementen die de risico universum (waaronder IT risico) beïnvloeden

•

Holistische blik ketenintegraliteit. Een keten brede governance structuur waarin rolverdelingen en verantwoordelijkheden duidelijke gedelegeerd worden door het pensioenfonds bestuur

•

Formulering risicobereidheid belangrijk voor effectief risico (beheers) raamwerk. Integrale cascadering binnen keten pensioenfondsen en uitvoerders

© 2014 Deloitte The Netherlands

Functionele lijnen en informatievoorziening • Substantiële toename complexiteit pensioenketen en toezicht • Gevoel van werkelijk In Control zijn ontbreekt als gevolg hiervan bij veel fondsbesturen. Uitvoerings -organisaties

Accountant Uitvoerings -organisaties

Werkgevers en Werknemers

Commissies en Adviseurs

6

© 2014 Deloitte The Netherlands

Stelling 1

Op welke terreinen voelt u zich kwetsbaar: • Vermogensbeheer (manipulatie/continuïteit) • Pensioenbeheer (manipulatie/continuïteit) • Informatieverschaffing richting stakeholders

7

© 2014 Deloitte The Netherlands

Stelling 2

Cyberrisk in onderdeel van het huidige risico universum en het pensioenfonds heeft hier beleid en richtlijnen voor gedefinieerd.

8

© 2014 Deloitte The Netherlands

Stelling 3

Het beleid voor cyberrisk is op adequate wijze doorvertaald naar de verschillende uitvoerders (fiduciair beheer, pensioenuitvoering etc.)

9

© 2014 Deloitte The Netherlands

Stelling 4

Periodiek worden door het pensioenfonds cyberrisk assessment uitgevoerd. Mijn uitvoerders voeren tevens periodiek cyberrisk assessments uit.

10

© 2014 Deloitte The Netherlands

Stelling 5

Het pensioenfonds heeft voldoende expertise om de ontwikkeling en beoordeling van cyberrisk te waarborgen.

11

© 2014 Deloitte The Netherlands

Contact Voor meer informatie kunt u contact opnemen met: Marc van Luijk Director Client Management Pension funds and Asset Managers +31 (0)6 2186 2543 [email protected]

Wikash Bansi Manager Risk Services Investment Management and Pensions Funds +31 (0)6 5359 8588 [email protected]

12

© 2014 Deloitte The Netherlands

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms. Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries and territories, Deloitte brings world-class capabilities and high-quality service to clients, delivering the insights they need to address their most complex business challenges. Deloitte’s more than 200,000 professionals are committed to becoming the standard of excellence. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the “Deloitte network”) is, by means of this communication, rendering professional advice or services. No entity in the Deloitte network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. .

© 2014 Deloitte The Netherlands