Interne audit bij pensioenfondsen

Uitgave: Pensioen Bestuur & Management (PBM) nummer 1 2019

Mustafa Mzallassi, Casper Lötgerink en Jan Driessen. De auteurs zijn werkzaam bij PwC en betrokken bij de inrichting van IAF’s bij pensioenfondsen. Rubriek: Risicomanagement
Geplaatst op 13-03-2019
Interne audit bij pensioenfondsen Sinds januari 2019 is de herziene IORP-richtlijn vanuit de Europese Commissie van kracht. Deze richtlijn vereist dat pensioenfondsen drie sleutelfuncties inrichten, waaronder interne audit. Het inrichten van de interne auditfunctie voor pensioenfondsen brengt een aantal vragen en uitdagingen met zich mee. In dit artikel bespreken we enkele basisprincipes.

1. De interne auditfunctie
Hoe de interne auditfunctie gepositioneerd moet worden, kan duidelijk worden gemaakt via het ‘three lines of defence’-model uit te leggen. Afhankelijk van het gekozen bestuursmodel en het wel of niet aanwezig zijn van een bestuursbureau, is een veel voorkomende inrichting van interne audit geïllustreerd in figuur 1.

pwc

De uitvoeringsorganisatie is verantwoordelijk voor het ondervangen van risico’s
In dit model geldt dat de eerste lijn (het lijnmanagement) als eerstverantwoordelijke aan zet is. Het lijnmanagement treft maatregelen en voert deze uit om de risico’s adequaat te beheersen en de kansen te benutten (interne beheersing).

Tweede linie adviseert en ondersteunt het management
De tweede linie heeft specifiek als rol het lijnmanagement te adviseren hoe de strategische doelstellingen kunnen worden gerealiseerd. Ook ondersteunt de tweede lijn het management, bijvoorbeeld op het gebied van risicomanagement en het inrichten van de interne beheersing. Het inrichten van een tweede ‘line of defence’ heeft enkele voordelen:
• Goede positionering van de sleutelfunctiehouders Risicomanagement en Actuarieel, mede gezien hun wettelijke rol;
• Efficiënt bundelen van specifieke expertise doordat specialisten zich op eigen rol kunnen concentreren en geen eerstelijns activiteiten uitvoeren.

Interne audit geeft zekerheid over de effectiviteit van beheersingsmaatregelen
De derde ‘line of defence’ betreft de interne auditfunctie. De interne auditfunctie verstrekt het lijnmanagement en het bestuur informatie over de opzet, het bestaan en de werking van het risicobeheersings- en controlesysteem en beoordeelt of de financiële en niet-financiële risico’s op een effectieve en efficiënte wijze worden beheerst. De activiteiten van de tweede ‘line of defence’ vormen ook onderdeel van de reikwijdte van de interne auditfunctie.

2. Hoe komt een pensioenfonds tot een interne auditfunctie?
Een pensioenfonds kan in een aantal stappen een interne auditfunctie vormgeven. Er zijn vijf stappen nodig om tot een interne auditfunctie te komen:
1. Vaststellen van sleutelfunctiehouder Interne Audit;
2. Besluit: in huis of uitbesteden;
3. Creëren en borgen van de functie;
4. Uitvoering van interne audits;
5. Evaluatie van eerste interne audits.

Stap 1. Vaststellen van sleutelfunctiehouder Interne Audit
Vanuit de toezichthouder is een duidelijke voorkeur uitgesproken om de rol sleutelfunctiehouder Interne Audit bij een bestuurder te beleggen om hiermee te waarborgen dat voldoende statuur en zwaarte aan de invulling van de functie wordt gegeven. Deze sleutelfunctiehouder is verantwoordelijk voor de effectiviteit van de interne auditfunctie en fungeert daarnaast als aanspreekpunt voor de toezichthouder.

Stap 2. Besluit over interne auditfunctie: in huis of uitbesteden
Vervolgens zal het bestuur moeten besluiten of de interne auditfunctie in huis wordt ingericht of (deels) wordt uitbesteed aan een derde partij. Beide situaties hebben voor- en nadelen. De voordelen van uitbesteding zijn onder andere:
• Variabel maken van kosten;
• Beschikbaarheid van gekwalificeerde professionals (subject matter experts);
• Flexibele capaciteit, door het aanpassen van de formatie bij incidenten, ziekte en vacatures;
• Toegang tot methodieken, technologiemiddelen en benchmarkinformatie;
• Eenvoudiger kunnen voldoen aan kwaliteitsstandaarden zoals die gelden voor de internal auditfunctie;
• Frisse blik van buiten.

Als het bestuur besluit om de functie in huis op te bouwen, dan kan het bestuur in de basis kiezen voor twee mogelijkheden:
- Interne audit onderbrengen bij een bestaande afdeling of persoon en van daaruit geleidelijk uit te groeien tot een zelfstandige positie;
- Interne audit direct positioneren als een zelfstandige en onafhankelijke afdeling onder het bestuur.
In sommige situaties wordt gekozen voor een synthese van beide mogelijkheden.

Stap 3. Creëren en borgen van de functie
In de derde stap wordt de interne auditfunctie formeel gecreëerd door het opstellen van verschillende documentatie. In de financiële sector geldt dat de toezichthouders hebben vastgesteld welke documentatie er moet zijn en welke eisen die betreffende documentatie aan moet voldoen. Elke auditfunctie moet beschikken over een zogenaamd auditcharter; een document dat de taak, reikwijdte, onafhankelijkheid en rapportagelijnen van de functie omschrijft. Ook is het zinvol om een handboek op te stellen waarin onder andere wordt aangegeven hoe risicoanalyses worden uitgevoerd, hoe de auditonderwerpen worden geselecteerd, ingepland en uitgevoerd, hoe een auditrapport eruitziet en wie verantwoordelijk is voor de monitoring van de aanbevelingen en verbeteracties. Parallel wordt bewustzijn en draagvlak rondom interne audit gecreëerd door bijvoorbeeld workshops en periodieke nieuwsbrieven.

Stap 4. Uitvoering van interne audits
In de vierde stap staat het uitvoeren van enkele audits centraal, om de organisatie kennis te laten maken met dergelijke audits. Audits kunnen gericht zijn op onderwerpen in het primaire proces, zoals het uitbestedingsbeleid of beleggingsproces, maar ook op bepaalde thema’s, zoals cybersecurity en datakwaliteit. Een belangrijk ingrediënt daarbij is het auditplan welke is goedgekeurd door het bestuur. In dat plan staat welke risico’s het pensioenfonds loopt en op welke daaraan gekoppelde onderwerpen audits worden uitgevoerd.

Stap 5. Evaluatie van eerste audits
De vijfde stap behelst de evaluatie van de eerste audits. Om de juiste keuzes te kunnen maken voor het vervolgtraject is het namelijk van belang dat goed wordt nagegaan hoe de uitvoering van de audits is gevallen bij de auditors, de eerste lijn en het bestuur.

3. Conclusie
De tijd voor het inrichten van interne audit binnen pensioenfondsen dringt, aangezien IORP II al is geïmplementeerd in de Nederlandse wetgeving. De toezichthouder heeft de eerste uitvraag omtrent de inrichting al uitgestuurd.