Risicobeheer en uitbesteding in de praktijk

Uitgave: Pensioen Bestuur & Management (PBM) nummer 1 2022

MR. PAUL DE KONING, PARTNER BIJ TRIVU
Rubriek: Risicomanagement
Geplaatst op 07-04-2022

Risicobeheer en uitbesteding in de praktijk

Met de invoering van de IORP II-richtlijn staat risicobeheer bij pensioenfondsen in de schijnwerpers. Een van de doelen van IORP II is het intern risico-gebaseerde toezicht te versterken en de bestuurlijke inrichting en transparantie van pensioeninstellingen te verbeteren. De kern van IORP II is de scheiding van de zogenaamde ‘three lines of defence’. Veel werkzaamheden bij pensioenfondsen zijn echter uitbesteed en vaak nog verder (onder)uitbesteed. De ketens zijn in sommige gevallen lang en voor een pensioenfonds niet altijd in voldoende mate zichtbaar.

In dit artikel zal in het kort de aandacht uitgaan naar uitbesteding en overige dienstverlening, de rol van de sleutelfunctie risicobeheer en het managen van nietfinanciële risico’s.
In het onderzoek1 van Phenox Consultants en TriVu (medio 2021) kwam al naar voren, dat ‘bij veel besturen van kleine en middelgrote fondsen het gesprek over risicomanagement nog niet diepgaand is. Het is voor bestuurders te complex, rapporten zijn te dik of te specialistisch.’

Gevolgen voor het risicobeheer in de praktijk

Het pensioenfonds
Centraal staat de risicobereidheid van een pensioenfonds. Welke risico’s zijn acceptabel binnen de strategie van het pensioenfonds. Risico’s zijn er altijd al, maar wat beïnvloedt het behalen van de door het pensioenfonds gestelde strategische doelen. Dergelijke vragen dienen vooraf gesteld te worden om een goed beeld te krijgen waar het pensioenfonds voor staat en welke risico’s geaccepteerd of beheerst kunnen worden. De aanpak is divers. In zijn algemeenheid kan gesteld worden dat per risicogebied de risicobereidheid vastgesteld wordt. Bij enkele risicogebieden is de risicobereidheid relatief eenvoudig vast te stellen. Dit zijn meestal kwantificeerbare risico’s. Andere risicogebieden (vooral niet-financieel) zullen op een meer kwalitatieve basis benaderd moeten worden. Dit maakt de toetsing niet gemakkelijk. De term ‘zero-tolerance’ bij bijvoorbeeld integriteits- of IT-risico’s is vrij makkelijk te stellen. Natuurlijk wil iedereen integer handelen en wil men geen IT-risico’s lopen. Maar zero tolerance heeft consequenties. Het vergt een maximale inzet van beheersmaatregelen (geld en tijd) en heeft gevolgen indien het risico zich manifesteert. Vaak wordt daarom (vooraf) een bepaalde marge gehanteerd. Dat geeft het bestuur ruimte om over zaken te kunnen beslissen.

De uitbestedingspartij
Het bestuur is verantwoordelijk voor de integere en beheerste bedrijfsvoering en daarmee heeft het ook eindverantwoordelijkheid voor het handelen van de uitbestedingspartijen. Inzicht hebben in het risicoprofiel van de uitbestedingspartij is daarom cruciaal bij de selectie maar ook gedurende (soms langdurig) het uitbestede proces. Ook uitbestedingspartijen ontwikkelen zich en hebben een visie op hún risicoprofiel. Juist in de hoek van de niet-financiële risico’s is het cruciaal dat met dezelfde taal, hetzelfde belang en intentie wordt gesproken door de uitbestedingspartijen.

Onderuitbesteding en overige dienstverleners
De ketens bij de uitvoering van de kernprocessen neigen langer te worden. Specialistische bedrijven nemen delen van de werkzaamheden voor hun rekening. Ook die bedrijven nemen weer diensten af van andere bedrijven. De vraag is op welke wijze het pensioenfonds in het kader van risicobeheer wordt geïnformeerd. Vraagstukken over continuïteit, privacy en integriteit zullen zeker geadresseerd en getoetst moeten worden en ook met uitbestedingspartijen besproken worden.

Beleid en actualiteit
DNB stelt in het nieuwsbericht van 31 augustus 20212 het volgende: “Een aantal fondsen heeft aangegeven dat er overlegmomenten zijn tussen de sleutelfunctie risicobeheer op fondsniveau en het risicobeheer van de uitvoeringsorganisatie( s). De wijze waarop deze overleggen zijn ingericht – met welk doel, welke agenda, welke frequentie, welke deelnemers, welke deliverables etc. – krijgt alleen nog weinig kleur.”.
In het kader van opzet en bestaan van risicobeheer is beleid op elk gebied belangrijk voor de start van het risicobeheer en uiteindelijk de toetsing van de beheersing van met name operationele risico’s. Kent het pensioenfonds het beleid van zijn uitbestedingspartij of dienstverlener? Is dat beleid afgezet tegen het beleid van het pensioenfonds? Weet het pensioenfonds welke accenten door de uitbestedingspartij of dienstverlener worden gelegd? Zijn de gaps geadresseerd? Is de inschatting van de risico’s (bruto en netto) eigenlijk wel transparant? Dit zijn slechts enkele vragen die het bestuur zich moet stellen om de rapportages van uitvoeringsorganisaties op kwaliteit te kunnen toetsen.
Daarnaast ontwikkelen bepaalde beleidsterreinen zich op dit moment razendsnel. Denk hierbij aan IT, informatiebeveiliging en klimaat. Zijn pensioenfonds en de uitbestedingspartij/ dienstverlener op hetzelfde niveau qua beleid en risicoanalyse?

Risicobeheer en rapportages
In de praktijk van risicobeheer kan het om veel risico’s gaan. De risicobeheerfunctie levert periodiek rapportages op en zal dat mede baseren op de rapportages van dienstverleners, met name de uitbestedingspartijen voor pensioenbeheer en vermogensbeheer. Hierbij spelen de risicocommissie dan wel portefeuillehouders risicomanagement én de sleutelfunctie risicobeheer een belangrijke rol. Enerzijds een meer toetsende rol en anderzijds een onafhankelijk oordeel vellend. Het is goed om te realiseren, dat iedere dienstverlener zijn eigen format heeft en een eigen afweging maakt van het belang en de weging van de risico’s. Daarnaast mag niet de vraag vergeten worden of de ‘groene vink’ van de dienstverlener voor het pensioenfonds ook een ‘groene vink’ voor het pensioenfonds oplevert. De risicobereidheid van het pensioenfonds is per definitie niet gelijk aan die van de dienstverlener. Kortom hier geldt dat de risico’s geïdentificeerd dienen te worden.

Risicoparagraaf en -opinies
Gedurende het jaar worden vele besluiten genomen. Uiteraard heeft elk besluit een risico-element in zich. Het is daarbij van belang dat die risicoanalyse bij elk (relevant) besluit wordt gedaan en wordt vastgelegd. Afhankelijk van het onderwerp kan dit betrekking hebben op uitbestedingspartijen.

Tot slot
Zoals hiervoor al is beschreven kan het in het kader van risicobeheer om veel risico’s gaan. De vraag is of besturen nog door de bomen het bos kunnen zien. De risicobeheerfunctie levert periodiek rapportages op. Ook de dienstverleners, met name de uitbestedingspartijen voor pensioenbeheer en vermogensbeheer, leveren rapportages op. Ieder heeft zijn eigen format en een eigen afweging van welke risico’s in welke mate worden meegenomen in de rapportage. Uiteindelijk is het bestuur verantwoordelijk en het bestuur zal samen met de sleutelfunctiehouder risicobeheer moeten nagaan of de rapportage van een dienstverlener voor het pensioenfonds een goed beeld geeft. Immers wat een uitbestedingspartij als ‘groen’ beoordeelt hoeft voor het bestuur geen ‘groen’ te zijn gezien de eigen risicohouding. In het kader van de eigenrisicobeoordeling (ERB) zou dit ook een extra aandachtspunt kunnen zijn in het kader van beoordeling van de effectiviteit en de doelmatigheid van het risicobeheer.

TriVu richt zich met name op het snijvlak van compliance, niet-financieel risicomanagement en pensioen-juridische vraagstukken.

1 https://pensioenpro.nl/pensioenpro/30045605/ risicobeheer-voor-veel-besturen-van-kleinefondsen- een-hamerstuk
2 https://www.dnb.nl/actueel/nieuws-toezicht/ toezicht-nieuwsberichten-2021/sleutelfunctierisicobeheer- belangrijk-voor-de-kwaliteit-vanbestuursbesluiten/