Compliance driehoek

Uitgave: Pensioen Bestuur & Management (PBM) nummer 4 2021

RUUD VAN DER MAST, DIRECTEUR NEDERLANDS COMPLIANCE INSTITUUT
Rubriek: PFG (Pension Fund Governance)
Geplaatst op 19-10-2021

Compliance driehoek

De compliance officer kent in Nederland zijn oorsprong in de strafbaarstelling van handel met voorwetenschap in 1989. Met deze strafbaarstelling werd immers ook een functionaris aangesteld die zich op de monitoring moest richten. Het duurde echter tot 2001 tot DNB in de Regeling Organisatie en Beheersing (ROB) een onafhankelijke compliancefunctie (voor banken) verplicht stelde. Inmiddels maakt de compliancefunctie een niet meer weg te denken onderdeel uit van de governance van vrijwel alle (financiële) organisaties.

Ook bij pensioenfondsen maakt de compliancefunctie vast onderdeel uit van de second line, het standaard ingerichte risicobeheersmodel. Het pakket met taken, bevoegdheden en verantwoordelijkheden kan per fonds verschillen. Wij zien hier met name een verschil tussen de kleine opf-fondsen en de vaak grotere bpf- en apf-fondsen die een grotere nadruk op de governance leggen. In deze bijdrage sta ik stil bij de rol van de compliance officer bij een aantal belangrijke onderdelen van de integere bedrijfsvoering.

Compliancecyclus
De taakgebieden van de compliancefunctie zijn het best te vangen in een driehoek van advisering, creëren awareness en monitoring. De integere bedrijfsvoering staat hierbij centraal, maar kent verschillende thema’s die per fonds kunnen verschillen. Bij elk fonds is het in ieder geval van belang om de reikwijdte van de compliancefunctie en andere functies te bepalen zodat er geen thema’s tussen wal en schip raken of dubbel worden getoetst. De driehoek is een constant proces, een cyclus waarbij steeds aandacht is voor actuele ontwikkelingen en prioriteiten in de risicobeheersing.

Integere bedrijfsvoering
De basis van de cyclus is dus de integere bedrijfsvoering. De wetgever verplicht (art. 143 Pw) pensioenfondsen om een beheerste en integere bedrijfsvoering in te richten. Dit is een principle based verplichting. Het doel is bepaald maar hoe de inrichting eruit moet zien mag het fonds zelf bepalen. Onder de integere bedrijfsvoering moeten in ieder geval integriteitrisico’s beheerst worden, incidenten gemanaged worden en moet belangenverstrengeling tegen worden gegaan. Daarnaast kunnen ook onderwerpen als Gedrag en Cultuur, Beloningsbeleid, Uitbesteding en Gedragsregels een belangrijke rol spelen in het systeem van integere bedrijfsvoering. De compliance officer speelt een sleutelrol in de integere bedrijfsvoering, zonder onder IORP II zelf een Sleutelfunctie te zijn. In de praktijk zien we dat de compliance officer een belangrijke aanjager is door beleid, procedures, codes en regelingen actueel te houden en wijzigingen te adviseren aan het bestuur, naleving van bijvoorbeeld Gedragscode en Integriteitsbeleid te monitoren en door awareness te creëren. Ook speelt de compliance officer een belangrijke rol in het identificeren en analyseren van beheersmaatregelen voor integriteitrisico’s.

In mijn praktijk ben ik veel in gesprek met het bestuur en het bestuursbureau om aan de integere bedrijfsvoering uitvoering te geven. Dit betekent in eerste instantie het opstellen van of adviseren over een Integriteitsbeleid waarin de visie op integriteit en de uitgangspunten van de inrichting bepaald worden. Dit is vaak een parapludocument voor andere regelingen zoals de Gedragscode, Beloningsbeleid, Incidenten en klokkenluidersregeling, Fraude en sanctiebeleid, SIRA, Uitbestedingsbeleid, Beleid screening integriteit gevoelige functies, etc. Het bepaalt hoe het fonds tegen integriteit aankijkt en welke risico’s het bereid is te nemen op dit gebied. Het bepaalt ook hoe het de beheersing heeft ingeregeld. Dit is direct ook de basis van de monitoring en belangrijke voeding voor de thema’s in de SIRA zelf. In het systeem van integere bedrijfsvoering hangt dit met elkaar samen. In een aantal gevallen heeft het fonds ervoor gekozen om de compliance officer onderdeel uit te laten maken van de risicocommissie. Mijns inziens is het een good practice om binnen een dergelijke commissie zowel operationele risico’s als integriteitsrisico’s te borgen.

Systematische Integriteit Risicoanalyse (SIRA)
De periodieke SIRA is verplichte kost voor pensioenfondsen. Hoe deze wordt uitgevoerd mag het pensioenfonds zelf invullen (principle based). DNB geeft echter in de Good Practices2 duidelijke richtlijnen hoe DNB de uitvoering voor ogen ziet. De compliance officer vervult een belangrijke rol bij het uitvoeren van de SIRA. Hoewel hij of zij niet degene is die de risico’s en beheersmaatregelen weegt, vervult hij of zij wel een belangrijke rol als begeleider van het proces en als challenger van het bestuur bij het identificeren en kwantificeren van risico’s en het beoordelen van de effectiviteit van beheersmaatregelen. De compliance officer zal ook zijn of haar monitoring mede inrichten op basis van de uitkomsten van de SIRA. Tijdens de monitoring stelt hij of zij namelijk vast of de beheersmaatregelen ook daadwerkelijk werken en effectief zijn.

In mijn praktijk pak ik de SIRA themagewijs aan. Bij voorkeur splits ik het bestuur in kleinere (specialisten)groepjes zodat we met elkaar een aantal thema’s kunnen uitdiepen. Het is namelijk mijn ervaring dat wanneer je alle thema’s in het gehele bestuur wil behandelen de aandacht snel verslapt. Door de groep te splitsen en de thema’s te verdelen is er meer aandacht en dat levert een betere kwaliteit op. Uiteraard is de vaststelling van de SIRA wel een besluit wat wordt genomen door het bestuur gezamenlijk.

Uitbesteding
Pensioenfondsen besteden veel kernwerkzaamheden uit. Denk bijvoorbeeld aan de pensioenuitvoering of het vermogensbeheer. Ook laten de verschillende gremia van een fonds zich vaak bijstaan door externe adviseurs. Hoewel uitbesteed, blijft het bestuur verantwoordelijk voor deze werkzaamheden en daarmee de (integriteit)risico’s die hiermee gepaard gaan. Het is essentieel dat de compliance officer daarom in zijn taakuitvoering ook deze risico’s betrekt. Dit begint bij een rol in het opstellen van het Uitbestedingsbeleid en de selectieprocedure. Het selectieproces kent verschillende integriteitrisico’s zoals belangenconflicten en reputatierisico bij het aanstellen van een partij waarbij integriteit geen kernwaarde is. Ook tijdens de uitbesteding is er veel aandacht voor integriteit en de risicobeheersing bij de uitvoerende partijen. In de SIRA wordt bijvoorbeeld aandacht besteed aan de risico’s en beheersing bij deze partijen. Maar ook is de compliance officer in gesprek met collega’s bij deze uitvoerende partijen, neemt hij of zij kennis van de opzet en uitkomsten van hun SIRA, verkrijgt hij of zij een indruk van de integere bedrijfsvoering aldaar, neemt hij of zij kennis van rapportages, beoordeelt de Gedragscode, etc. Kortom het toezicht op de beheersing gaat verder dan alleen het fonds zelf.

Conclusie
De compliancefunctie is (nog) niet aangewezen als sleutelfunctie en heeft daarmee geen directe wettelijke verankering. De functie heeft echter wel een belangrijke plaats ingenomen in de governance van pensioenfondsen. De taakstelling van de compliancefunctie kan per fonds verschillen maar bij vrijwel alle fondsen is de cyclus van adviseren, awareness en monitoring ingericht.

1 Pensioenwet, Besluit financieel toetsingskader en Besluit uitvoering Pensioenwet en Wet verplichte beroepspensioenregeling.
2 De integriteitrisicoanalyse, meer waar dat moet, minder waar dat kan (17-08-2015).

De compliancefunctie kent voor pensioenfondsen, in tegenstelling tot financiële ondernemingen, geen verankering in wetgeving. Maar de wetgever heeft wel verschillende compliancetaken en verplichtingen verankerd in Pw, Bftk en BuPw1 zoals het voeren van een integere bedrijfsvoering, het beschikken over een Gedragscode en het uitvoeren van een integriteit risicoanalyse.
Indirect is er een verwijzing naar de aanstelling van een compliance officer opgenomen in de Code pensioenfondsen. Deze Code wordt via art. 33 Pw jo 11 BuPw voorgeschreven voor pensioenfondsen. In de Code wordt wel melding gemaakt van de functie van compliance officer. Ondanks het ontbreken van de directe wettelijke basis is de compliancefunctie overigens bij vrijwel alle pensioenfondsen ingericht en is er voor de uitvoering een (externe) compliance officer aangesteld.