Governance en outsourcing

Uitgave: Pensioen Bestuur & Management (PBM) nummer 3 2018

VINCENT WANDERS, PARTNER COMPLIANT&MORE, KERNDOCENT NYENRODE Rubriek: Stelsel
Geplaatst op 16-08-2018
Governance en outsourcing Uitbesteden geeft rust en overzicht. Het zorgt voor het noodzakelijke gebruik van specialistische kennis van derden en voor kostenvoordelen. Deze tendens is onomkeerbaar. Door de toenemende complexiteit is de kans toegenomen dat de inhoudelijke kennis van de gang van zaken bij bestuurders tekortschiet ten opzichte van die van ingehuurde adviseurs of serviceorganisaties. Maar bestuurders van pensioenfondsen blijven verantwoordelijk voor het reilen en zeilen van hun pensioenfonds en moeten deze verantwoordelijkheid invullen. De beheerskosten nemen door deze ontwikkeling toe.

Veel pensioenfondsen maken, door de toegenomen complexiteit en kosten, gebruik van externe vermogensbeheerders en steeds meer van fiduciair beheer. Het theoretisch kader hiervan zal ik weglaten. Ik kies voor een praktische insteek en maak gebruik van de ondervindingen en de visie van o.a. ervaringsdeskundigen en DNB. DNB geeft aan dat het pensioenfondsbestuur ‘in control’ moet blijven over zijn uitbesteding. En natuurlijk wil het pensioenfondsbestuur zelf ook in control blijven, de vraag is alleen hoe. Afvinken van lijstjes met de ontvangen informatie of documenten helpt niet. De inhoudelijke analyse van de informatie moet besproken worden. En het pensioenfonds moet zichtbaar in control zijn. Algemeen aandachtspunt is vastlegging. Het begrip ‘audit trail’ is een kernbegrip. Wat niet is vastgelegd, bestaat niet, en zeker niet voor de toezichthouder. En dat betekent dat gedragsverandering nodig is.

Bijvoorbeeld voor IT moet het uitbestedend pensioenfonds richtlijnen geven aan de serviceorganisatie. Is deze competentie in huis? Dat geldt ook voor technologische ontwikkelingen, zoals verdergaande digitalisering en blockchaintoepassingen. De complexiteit neemt verder toe en er ontstaan weer nieuwe uitdagingen om als pensioenfonds ‘in control’ te blijven. Sinds de crisis in 2007 en het faillissement van Lehman, is duidelijk dat de complexiteit van het financiële systeem, en dan vooral de keten door de onderlinge afhankelijkheid van partijen, tot aanzienlijke verliezen kan leiden. Met name op plaatsen en met producten waar dat niet werd verwacht. “Hoe weten we nog waar onze risico’s liggen?” is een steeds minder eenvoudig te beantwoorden vraag geworden.

erm

Uitbestedingsproces
Voordat er met uitbesteding wordt begonnen, moeten er eerst een aantal kernvragen worden beantwoord.

Analyse levensvatbaarheid eigen pensioenfonds
Deze vraag is de kernvraag die gesteld wordt bij de mate en wijze van uitbesteden. Het ‘business modelling canvas concept’ is bijvoorbeeld een goede techniek om toe te passen. Met deze methode worden alle relevante elementen van het businessmodel geanalyseerd. Elementen die behandeld worden zijn resources. Zijn er intern voldoende specialisten aanwezig dan wel zijn deze uit de markt aan te trekken. Hoe staat het met de benodigde investeringen in IT en het bepalen van key-activities en keypartners. Het doorrekenen van beheerskosten zal al snel tot de conclusie leiden dat partnerships in welke vorm dan ook noodzakelijk zijn.

Tweede element dat hoort bij deze analyse is het risicoprofiel. Met de nieuwe COSO-systematiek van juni 2017 kan risico beter in relatie worden gebracht met performance. De prettig hanteerbare kubus is verlaten, want de uitkomst van dit risicoanalyseproces was te obligaat geworden. Wat opvalt is dat het woord ‘risico’ vrijwel niet meer in het nieuwe COSO wordt gebruikt. De grotere overeenkomst met business modelling aspecten valt op.

Beleidsvisie
Het pensioenfondsbestuur heeft natuurlijk de formalisatie van zijn beleid uitgevoerd. Denk aan beleggingsbeginselen, het beleggingsbeleid inclusief die voor maatschappelijk verantwoord beleggen en de visie op risicomanagement. De vervolgvraag hierop is: op welke wijze en wie toetst de naleving van het geformuleerde beleid? En wat heeft het bestuur van deze uitgangspunten zelf in systemen vastgelegd, hoe ontvangt het bestuur de informatie van de vermogensbeheerder, wie analyseert deze, op welke wijze vindt rapportage plaats?

Verantwoordelijkheid uitbestede activiteiten
Het pensioenfondsbestuur kan de verantwoordelijkheid voor de uitbestede activiteiten niet delegeren. Het bestuur vult deze verantwoordelijkheid als volgt in:
- Uitbestedingsproces. DNB heeft in 2014 een ‘Guidance: uitbesteding door pensioenfondsen’ uitgebracht. Ik vraag hier aandacht voor de stresstest op het pensioencontract. Een risicoanalyse op het contract, waarbij de toetsbaarheid van de gemaakte afspraken, de wijze van rapporteren diepgaand geanalyseerd wordt en de communicatie in geval van calamiteiten geregeld wordt. Een valkuil is de procesovergangen tussen vermogensbeheerder en pensioenfonds. Ik adviseer om deze contractueel scherp vast te leggen.
- Informatie over kwaliteit dienstverlening. Standaard wordt het ISAE-3402-rapport toegepast, waarbij beheersmaatregelen (controls) bij de serviceorganisatie getoetst worden. De scope van deze verklaring is relevant. Regelmatig blijken relevante onderdelen of processen niet binnen het onderzoek te vallen. En relevante basisafspraken en aanvullende afspraken mogen niet on-geaudit blijven. Het pensioenfondsbestuur is hierbij verantwoordelijk voor het valideren van de governance en control bij de vermogensbeheerder.
- Analyse beleggingsinformatie. Overeenstemming met contract en mandaat wordt vastgesteld. Inhoudelijk vindt er tevens de analyse van de informatie plaats. Bij gebruik van externe adviseurs is vaststelling van de kwaliteit aandachtspunt. Leg sectorspecifieke deskundigheid vast, valideer het cv en check referenties. De aansluiting bij een beroepsorganisatie, het behalen van permanente educatiepunten en tuchtrecht zijn belangrijke te toetsen indicatoren.
- Fiduciair beheer. Binnen pensioenland is sprake van een duidelijke tendens. De kleinere pensioenfondsen gaan op in grotere of brengen hun regeling onder bij verzekeraars. De kosten wegen niet meer op tegen de baten. Bij fiduciair beheer is sprake van enig behoud van eigen beleid van het pensioenfonds. In de markt zijn echter diverse opzeggingen van contracten omdat onafhankelijkheid tussen partijen onvoldoende was geborgd. De term ‘fiduciair beheer’ impliceert ook vertrouwen. ‘Vertrouwen is goed, controle is beter’ is het adagium geworden. Naar mijn idee is kennis en kunde binnen het pensioenfonds nog altijd het beste.

Daarbij zal als toekomstige ontwikkeling naar mijn idee verdergaande integratie van beheer en rapportage over contracten, servicecatalogus, SLA-management, procestoetsingen, beheersmaatregelen en kwaliteit van governance plaatsvinden. Hierdoor zal de integrale verantwoordelijkheid van het pensioenfonds toereikend ingevuld kunnen worden. Maar dan moet wel diepgaande kennis en kunde binnen het pensioenfonds aanwezig zijn.