Verder gaan is kritisch zijn.

Transcriptie

1 IMPERO

2 Verder gaan is kritisch zijn. Inleiding Een complexere pensioenwereld, druk op dekkingsgraden, verhoging van risicobewustzijn en de noodzaak vertrouwen in de pensioensector te borgen. Allemaal factoren die ervoor zorgen dat pensioenfondsen aan steeds hogere eisen moeten voldoen. Daarnaast krijgt de kwaliteit van de administratie van pensioenfondsen steeds meer aandacht van deelnemers en toezichthouders. In dat kader voerde De Nederlandsche Bank (DNB) in 2011 onder de naam Quinto-P een onderzoek uit naar de kwaliteit van pensioenadministraties. Dit onderzoek is bij tien pensioenfondsen uitgevoerd. Op basis van dat onderzoek constateerde DNB dat pensioen administraties voor verbetering vatbaar zijn. In april 2012 heeft DNB fondsen die niet aan het Quinto-P onderzoek deelnamen over de uitkomsten en conclusies geïnformeerd. DNB heeft alle pensioenfondsen verzocht kritisch te onderzoeken of er onvolkomenheden voorkomen in de pensioenadministratie en zo nodig herstelmaatregelen te nemen. Bij Syntrus Achmea is het onze hoogste prioriteit om ervoor te zorgen dat u als bestuurder comfortabel aan het stuur zit. Waarom? Omdat we de primaire doelstelling van het pensioenfonds ervoor zorgen dat pensioenen van deelnemers nu en in de toekomst tijdig en juist worden uitbetaald helpen realiseren.

3 Ontwikkelingen en toezicht In deze brochure wordt het IMPERO programma van Syntrus Achmea uiteengezet. Dit programma geeft u als bestuurder meer grip op de kwaliteit van de basisgegevens in uw administratie. Door het bieden van een verbeterd inzicht, structurele borging en de integrale beheersing van de kwaliteit van die basisgegevens. Daarnaast kunt u als bestuurder, door gebruik te maken van IMPERO, concreet invulling geven aan het verzoek van DNB uit april Tenslotte is het volgende nog van belang. DNB beveelt aan de interne audit functie beter te benutten bij zowel het toetsen van de basisgegevens alsook bij de rapportages over de kwaliteit van basisgegevens. Syntrus Achmea heeft deze aanbeveling overgenomen, de afdeling Risk Management vervult in dit kader de interne audit functie. Ontwikkelingen rond pensioenadministraties Pensioenfondsen professionaliseren steeds verder, staan midden in de maatschappelijke belangstelling en stellen als gevolg daarvan steeds hogere eisen aan de kwaliteit van (de basisgegevens in) hun administratie. Deze hogere eisen komen aan de orde juist nu de omvang en de complexiteit van data (basisgegevens) van het doorsnee pensioenfonds hard zijn gegroeid. Die groei is veroorzaakt door: - autonome groei, als gevolg van macro- en micro-economische bewegingen; - het samengaan van pensioenfondsen (in de afgelopen 15 jaar is het aantal pensioenfondsen meer dan gehalveerd); - het doorvoeren van complexe (wettelijke) eisen in pensioen reglementen, zoals de omzetting van VUT naar prepensioen en (later) de gedeeltelijke afschaffing van prepensioenregelingen met gelijktijdige invoering van overgangsregelingen. Verder waren tot in de jaren 80 van de vorige eeuw de maatschappelijke en bestuurlijke omgeving van het pensioenfonds en in het verlengde daarvan het reglement vrij stabiel. Als gevolg daarvan was pensioenuitvoering relatief eenvoudig. Vanaf de jaren 90 is de complexiteit van reglementen echter fors toegenomen, door maatschappelijke ontwikkelingen (b.v. individualisering), wijzigingen in wet- en regelgeving (b.v. introductie van een recht op waardeoverdracht, gelijke behandeling gehuwden en samenwonenden), aanpassingen in de systematiek (van eindloon naar middelloon) en de professionalisering van het toezicht. Quinto-P onderzoek en verwachtingen DNB In 2011 heeft DNB bij tien pensioenfondsen de kwaliteit van hun administratie laten onderzoeken in het Quinto-P onderzoek. Het doel van dit onderzoek: toetsen of de aanspraken van de deelnemers (actief, slapend of pensioengerechtigd) adequaat zijn geadministreerd. Het uitgangspunt daarbij is een zorgvuldige vastlegging van de aanspraken in de administratie, op een zodanige manier dat de daaraan ontleende gegevens juist zijn en daarmee betrouwbare input vormen voor zowel het Pensioenregister als de Uniforme Pensioenoverzichten (UPO s). Bij Syntrus Achmea waren twee pensioenfondsen in het onderzoek betrokken. De algemene conclusie uit het Quinto-P onderzoek is dat de pensioenadministraties bij de betrokken pensioenfondsen voor verbetering vatbaar zijn. Positief is dat veel in de administratie vastgelegde aanspraken zonder meer juist blijken en dat van een nog groter deel de juistheid plausibel is. Brongegevens blijken echter onvoldoende bewaard gebleven of onvoldoende toegankelijk, waardoor niet alles achteraf ten volle verifieerbaar is. Bovendien zijn gevallen gevonden waarin verschillen zijn geconstateerd tussen de aanspraken zoals opgenomen in de administratie en een nauwkeurige herberekening op basis van bijbehorende brondocumentatie. Die verschillen zijn meestal relatief klein en nagenoeg gelijk gespreid in het voor- en nadeel van de deelnemer. De conclusie van DNB is in lijn met de bij Syntrus Achmea geconstateerde bevindingen. In april 2012 heeft DNB fondsen die niet aan het Quinto-P onderzoek deelnamen over de uitkomsten en conclusies van het onderzoek geïnformeerd. DNB heeft in het verlengde daarvan alle pensioenfondsen verzocht kritisch te onderzoeken of onvolkomenheden voorkomen in de pensioenadministratie en, in het geval van onvolkomenheden, herstelmaatregelen te treffen. DNB benadrukt dat het bestuur verantwoordelijk is

4 Figuur 1 Ontwikkelingscyclus data en complexiteit bij een gemiddeld Complexiteit Hoog Midden Laag Ontwikkelingscylus data en complexiteit bij een gemiddeld pensioenfonds DATA AOW DATA VUTREGELING Gelijke behandeling Gehuwd- Samenwonend voor een beheerste en integere bedrijfsvoering. In geval van majeure bevindingen verwacht DNB dat het bestuur haar daarover informeert. Tenslotte beveelt DNB aan om de interne auditfunctie bij het onderzoek te betrekken. Verder gaan Deze ontwikkelingen betekenen concreet dat steeds hogere eisen aan de interne beheersing van pensioenfondsen worden gesteld, in een steeds complexer wordende omgeving. Als antwoord op deze eisen heeft Syntrus Achmea de afgelopen DATA Witteveen Boon-Van Loon DATA SAS 70/ISAE 3402 Pensioenwet vervangt PSW Eindloonmiddelloon Professionalisering toezicht Fusies Recht waardeoverdracht Pensioenakkoord Jaar VPL Individualisering Effecten Financiele crisis Fusies jaren een geïntegreerd risicoraamwerk steeds verder geprofessionaliseerd (hoofdstuk 2). Om tegemoet te komen aan de steeds hogere eisen die worden gesteld aan de kwaliteit van de pensioenadministratie, in het licht van het toenemen van de complexiteit van de uitvoering, geeft Syntrus Achmea bestuurders door middel van IMPERO (hoofdstuk 3) inzicht in de kwaliteit van de basisgegevens, gecombineerd met structurele borging en beheersing van die kwaliteit. In bijlage 1 worden de verschillen tussen het Quinto-P onderzoek van DNB en IMPERO op een rij gezet. Geïntegreerd risicoraamwerk In dit hoofdstuk komen de hoofdlijnen van het interne risicobeheersing- en controlesysteem ( geïntegreerd risicoraamwerk ) van Syntrus Achmea aan de orde. Daarnaast geeft het inzicht in het door Syntrus Achmea gekozen beleid op het gebied van risicomanagement over de volle breedte van de organisatie. Risicobeheersingsmodel COSO II Model Risicomanagement vormt de kern van de interne beheersing. Voor de inrichting ervan zoekt Syntrus Achmea aansluiting bij het COSO II-model. Dit model wordt doorgaans gevisualiseerd door middel van een kubus: Figuur 2 COSO II-model STRATEGIC OPERATIONS Internal Environment Objective Setting Event Identification Risk Assessment Risk Response Control Activities Information & Communication Monitoring REPORTING COMPLIANCE ENTITY-LEVEL DIVISION BUSINESS UNIT SUBSIDIARY Het COSO II-model is een wereldwijde standaard voor de opzet van een beheersstructuur voor ondernemingen. Het model gaat uit van een directe relatie tussen de doelstellingen van een organisatie (top van de kubus) en de componenten van risicomanagement (voorkant van de kubus). Deze componenten geven aan wat nodig is om de doelstellingen te realiseren. Het is mogelijk om de aandacht te richten op de onderneming als geheel of op een onderdeel hiervan (zijkant van de kubus). Lines of defence Voor de concrete inrichting van het risicomanagement heeft Syntrus Achmea een zogenoemd integrated risk framework ontwikkeld en geïmplementeerd. Dit framework is gebaseerd op het zogenaamde Three lines of Defence -model. Dat zorgt ervoor dat de verantwoordelijkheid voor risicomanagement duidelijk en onafhankelijk wordt gealloceerd binnen de verschillende onderdelen van de organisatie. Daarmee voorkomt Syntrus Achmea overlap en leemten in verantwoordelijkheid. De lines of defence en de hieraan gekoppelde verantwoordelijkheden zijn weergegeven in de figuur op de volgende pagina. De uitvoeringsorganisatie vormt de first line of defence met daarbinnen het verantwoordelijke lijnmanagement. Het lijnmanagement is primair verantwoordelijk voor het juist, volledig en betrouwbaar verrichten van de activiteiten. Dit betekent dat het primair verantwoordelijk is voor de beheersing van de risico s door het inrichten van bijvoorbeeld adequate functiescheidingen en het treffen van interne controle maatregelen.

5 De risicomanagement- en compliance functie binnen Syntrus Achmea vormt de second line of defence. Deze is onafhankelijk gepositioneerd in de financiële kolom, binnen de afdeling Risk Management, die onder aansturing staat van de Chief Financial & Risk Officer. De afdeling Risk Management ziet toe op de adequate toepassing van het integrated risk framework, over de volle breedte van de organisatie. Deze Figuur 3 Lines of Defence Syntrus Achmea Lines of defence First line of defence Second line of defence Third line functie toetst de afdelingen die de primaire processen uitvoeren. Door de uitkomst van deze toetsen transparant te maken voor pensioenfondsbestuurders, ondersteunt Syntrus Achmea de risicomanagement functie van de fondsen. De Achmeabrede functie Internal Audit vormt de third line of defence. Deze functie velt een onafhankelijk oordeel over de inrichting en de werking van de 1e en 2e lijn. Organisatie onderdeel Lijnmanagement Risk & Compliance (R&C): Lijnmanagement - Information Risk Mgt - Business Continuïteit Mgt - Quality Assurance Compliance Internal Audit (Achmea) Verantwoordelijkheid Beheerst uitvoeren van processen en daarover verantwoording afleggen Vanuit een onafhankelijke positie 1 e lijn adviseren over en ondersteunen bij risicobeheersing. Dit omvat: identificeren, adviseren, ondersteunen, monitoren en rapporteren. Vanuit onafhankelijke positie oordeel geven over de effectiviteit van de interne beheersing en de werking 1 e en 2 e lijn. Risicobeleid Syntrus Achmea heeft beleid ontwikkeld en geïmplementeerd voor de volgende risicogebieden: Operationeel Risico Dit is het risico samenhangend met ondoelmatige of onvoldoende doeltreffende procesinrichting dan wel procesuitvoering; IT en Business Continuïteitsrisico Het risico dat bedrijfsprocessen en informatievoorziening onvoldoende integer dan wel niet continu of onvoldoende beveiligd worden ondersteund door IT; Integriteits en frauderisico Het risico dat de integriteit van de instelling dan wel het financiële stelsel wordt beïnvloed als gevolg van niet integere, onethische gedragingen van de organisatie, medewerkers dan wel van de leiding. Het kader voor de beoordeling bestaat uit wet- en regelgeving en maatschappelijke en door de instelling opgestelde normen; Juridisch en Compliance Risico Het risico samenhangend met (veranderingen in en naleving van) wet- en regelgeving en de juridische risico s die samenhangen met de aan Syntrus Achmea uitbestede processen; Omgevingsrisico Het omgevingsrisico is de afhankelijkheid van politiek, opdrachtgevers, toezichthouders, concurrenten en economisch klimaat. De beheersing van het omgevingsrisico is binnen het integrated risk framework niet als zodanig uitgewerkt, maar juist ondergebracht in de categorieën operationeel risico, IT en business continuïteitsrisico en juridisch en compliance risico. Het doel van het beleid per risicocategorie is ervoor te zorgen dat Syntrus Achmea er een verantwoord risicoprofiel op nahoudt, zowel onder normale omstandigheden als onder extreme condities die het gevolg zijn van onvoorziene gebeurtenissen. Het beleid benoemt per risicocategorie de vereiste governance, de minimum standaarden voor interne beheersing en de aanpak voor risicomanagement en control. Controlewiel De methodiek die Syntrus Achmea toepast voor het borgen van de kwaliteit van basisgegevens (hierna datakwaliteit) en de uitvoering van processen is gebaseerd op het controlewiel (Figuur 4), met als onderdelen opsporen, corrigeren, verantwoorden en voorkomen. Dat ziet er schematisch als volgt uit: Figuur 4 Het controlewiel P Ontwerpen (Plan) Bijstellen (Acteren) A De werking van het controlewiel is als volgt. Om een goed beeld te krijgen van de kwaliteit van de administratie zoeken we actief naar fouten. Gevonden fouten herstellen we en procedures en processen passen we aan, zodat fouten niet opnieuw kunnen ontstaan. Periodiek leggen we op gestructureerde en transparante wijze verantwoording af aan de belanghebbenden. ISAE 3402 en controle jaarrekeningen De ISAE 3402 type 2 standaard is specifiek bedoeld om een partij waaraan het werk is uitbesteed (zoals Syntrus Achmea) in staat te stellen zich te verantwoorden over de opzet, bestaan en werking van interne beheersmaatregelen voor zover die van belang zijn voor de financiële verslaggeving D Uitvoeren (Doen) Controleren C

6 Verder gaan is zicht hebben op kwaliteit. IMPERO beschrijft de wijze waarop Syntrus Achmea de datakwaliteit beheerst, bestuurt, controleert en zich daarover aan de opdrachtgevende besturen verantwoordt. (van bijvoorbeeld een pensioenfonds). Syntrus Achmea stelt de rapportages in het kader van ISAE 3402 als volgt op: - de afdeling Risk Management verricht toetsen op de door de lijnorganisatie uitgevoerde controles; - een externe accountant voert een toets op deze controles uit; - de externe accountant velt een zelfstandig oordeel en geeft een verklaring af. Externe fondsaccountants controleren de jaarrekening van pensioenfondsen, in grote mate systeemgericht (procesgericht). Ten aanzien van deze procesgerichte controles maken fondsaccountants van een pensioenfonds gebruik van de werkwijze zoals voorgeschreven door ISAE 3402 type II. Bij de beoordeling van de gegevensgerichte werkzaamheden baseert de fondsaccountant zijn activiteiten op de werkzaamheden die eerder door medewerkers van risicomanagement zijn verricht. Bij de controle van de jaarrekeningen maakt de fondsaccountant gebruik van het materialiteitsbeginsel. Dit betekent dat een minimumgrens wordt gesteld aan kwantitatieve afwijkingen. Een materiële afwijking is een afwijking die de beslissing van een gebruiker van de jaarrekening zou kunnen beïnvloeden. Deze materialiteitsgrens gebruikt de accountant om de diepgang van zijn werkzaamheden te bepalen, deze grens bepaalt hiermee de scherpte van de foto. Door de gekozen aanpak rond financiële verslaggeving en het hanteren van het hiervoor beschreven materialiteits beginsel bij de jaarrekeningcontrole, krijgt een fondsbestuur zekerheid over de getrouwheid van de in de jaarrekening opgenomen cijfers. Echter, door de gekozen werkwijze loopt een pensioenfonds het risico dat de fondsaccountant geringe afwijkingen in datakwaliteit niet constateert. Immers, het oordeel van de accountant is specifiek gericht op het getrouwe beeld van de jaarrekening, niet op de onderliggende transacties. Resumé en positionering IMPERO In de methodiek zoals die hiervoor is beschreven ontvangen fondsbesturen twee soorten rapportages: - rapportages over de uitvoering van de werkzaamheden (zoals overeengekomen in de DVO en/of de SLA); - de jaarrekening, gecombineerd met een ISAE 3402 rapportage. Deze rapportages doen geen uitspraken over datakwaliteit, IMPERO is uitdrukkelijk bedoeld om deze lacune op te vullen. IMPERO Eerder kwam aan de orde dat de toegenomen complexiteit gecombineerd met het toegenomen belang van een betrouwbare pensioenadministratie steeds hogere eisen stellen aan de interne beheersing van een pensioenfonds. Naast de in hoofdstuk 2 beschreven eisen aan de interne beheersing, leiden de genoemde ontwikkelingen ook tot aanvullende eisen aan de kwaliteit van de basisgegevens in de pensioenadministratie, de datakwaliteit. Om aan die eisen tegemoet te komen, kunt u IMPERO inzetten voor uw pensioenfonds. IMPERO beschrijft de wijze waarop Syntrus Achmea de datakwaliteit beheerst, bestuurt, controleert en zich daarover aan de opdrachtgevende besturen verantwoordt. Verder zorgt IMPERO voor structurele borging en beheersing. Door uitvoering van dit programma krijgt u als bestuurder dan ook de (door DNB geadviseerde) aanvullende zekerheid over de datakwaliteit van uw administratie. Doelstellingen IMPERO Syntrus Achmea heeft de volgende doelstellingen met de uitvoering van IMPERO: - structurele verbetering van inzicht in en de beheersing van datakwaliteit door risicogerichte inbedding van nieuwe en/ of aangepaste beheersmaatregelen; - herkenbare methodiek voor fondsen en toezichthouders (geeft invulling aan het verzoek van DNB aan pensioenfondsen (april 2012); - verbeterde rapportagemogelijkheden.

7 Realisatie van de doelstellingen van IMPERO Syntrus Achmea realiseert de hiervoor benoemde doelstellingen door de volgende activiteiten uit te voeren: 1. risicogerichte analyse: uitvoeren van een jaarlijks Risk Self Assessment op verschillende niveaus (strategisch, tactisch en operationeel); 2. nieuwe en/of aangepaste beheersmaatregelen (op korte termijn te implementeren, concrete inrichting per fonds op basis van afstemming met besturen): a. periodieke integrale doorrekening van een aantal aanspraken (maatmensen-berekening) waarbij de selectie van de aanspraken plaatsvindt op basis van een reglementanalyse; b. bestandsanalyses op volledigheid en waarschijnlijkheid (plausibiliteit); 3. herijken archiveringsbeleid en toetsen van de werkprocessen (om zo vast te stellen of die conform het archiveringsbeleid zijn); 4. geformaliseerde toetsing en formele rapportage: ISAE 3402 type 2 (later mogelijk ISAE 3000). Naast deze acties ontwikkelt en implementeert Syntrus Achmea een geïntegreerde financiële en riskrapportage per fonds waarin financiële cijfers en resultaten, de belangrijkste operationele risico s en de resultaten ten opzichte van de DVO zijn opgenomen. Op de totstandkoming van deze rapportage vindt een toets plaats in het kader van ISAE 3402/3000, inclusief formele rapportage. Concrete uitwerking IMPERO in de vorm van methodieken Bij de implementatie van IMPERO (en daarmee van de verdere verbetering van datakwaliteit) gebruikt Syntrus Achmea de volgende methodieken: 1. Risicogerichte analyse: risk self assessment Een risk self assessment is een bijeenkomst waarin verantwoordelijken voor en uitvoerders van een proces een overzicht opstellen van de risico s op de correcte uitvoering van alle processen. In het verlengde daarvan brengen zij de kans op en de impact van het risico in kaart. Door deze inventarisatie te confronteren met de genomen beheersmaatregelen stelt Syntrus Achmea eventuele leemten in de beheersing vast. 2. Maatmenscontroles Naast jaarlijkse procescontroles op de beheerprocessen voor data en de jaarlijkse mutaties van data voert Syntrus Achmea minimaal jaarlijkse controles op de historie van aanspraken uit. Dit krijgt vorm door integrale doorrekening van een aantal dossiers, over de totale looptijd van de pensioenopbouw. De selectie van deze dossiers vindt plaats op basis van een reglementanalyse, die in kaart brengt welke onderdelen van het reglement invloed hebben op de hoogte van de aanspraak). Deze controles zijn aanvullend op de periodieke controles die Syntrus Achmea nu al uitvoert. Die richten zich namelijk vooral op de zogenoemde jaarlaag (lees: de wijzigingen in processen, systemen en data die in het afgelopen jaar hebben plaatsgevonden). De toets op de historie is bedoeld om de kwaliteit van de data integraal vast te stellen. Figuur 5 geeft schematisch inzicht in de IMPERO Embedded Testmethodiek en maakt het verschil tussen jaarlaagcontroles en de (verticale) toets op de historie inzichtelijk. De werkwijze bij deze controles is als volgt. Per pensioenfonds selecteert het actuariaat van Syntrus Achmea jaarlijks een kritische deelwaarneming vanuit het fondsreglement volgens de methodiek van maatmensen. Een onafhankelijke partij binnen Syntrus Achmea (Quality Assurance) voert hierop een toets uit. Zo borgen we dat alle kritische componenten uit het fondsreglement in de selectie worden opgenomen. Daarnaast borgt dit de onafhankelijke selectie waardoor de deelwaarneming voor controledoeleinden bruikbaar zijn voor externe accountants. Syntrus Achmea legt de selectiecriteria ter goedkeuring voor aan het bestuur van het betrokken fonds. Figuur 5 Schematisch overzicht IMPERO Embedded Heden Data 2012 Datahistorie (2011 en eerder) Start deelname juiste rechtenberekening in systeem (impliciet juiste franchises, opbouw %, indexatie) Impero Embedded Testmethodieken Maatmensen (en constanten) Maatmensen (en Constanten) Basisgegevens Bestandsanalyse Bestandsanalyse: s en Volledigheidscontroles De pensioenadministratie en het actuariaat van Syntrus Achmea berekenen periodiek een deel van de geselecteerde maatmensen door middel van handmatige narekening van aanspraken, zodanig dat de aanspraken van alle maatmensen gedurende het jaar worden nagerekend. Hierbij stelt zij vast dat de nagerekende aanspraken overeenstemmen met de aanspraken die in het pensioensysteem zijn opgenomen. De onderzoekers stemmen Effectiviteit Interne Beheersmaatregelen 2012 ISAE 3402 en brondocumentatie Voorbeelden: uitkering en opbouw overlijden en opbouw uitkeringen ouder dan 100 jaar wel uitkering geen GBA verificatie hierbij de gebruikte constanten en parameters af met brondocumenten als reglementen en bestuursbesluiten. Het proces om maatmensen na te rekenen, wordt opgenomen in de ISAE 3402/ ISAE 3000-rapporten van Syntrus Achmea. Als wijzigingen in het reglement hebben plaatsgevonden zorgt de interne actuaris voor herijking van de analyse en de criteria

8 voor het trekken van de steekproef. Hij legt de nieuwe criteria opnieuw ter goedkeuring voor aan het fondsbestuur. De interne actuaris beoordeelt verder ook of aanpassing van de steekproefpopulatie nodig is (als gevolg van pensionering of overlijden). Het toetsen op de juiste uitvoering van de maatmenscontrole vindt gedurende het verslagjaar plaats door middel van ISAE controles (uit te voeren door de afdeling Risk Management). Als onjuistheden worden geconstateerd, biedt deze methodiek Syntrus Achmea de mogelijkheid vroegtijdig te corrigeren (na overleg met het fondsbestuur). Een bijkomend voordeel is dat deze kritische deelwaarneming onderdeel uitmaakt van het jaarwerkproces. Hierdoor vindt verdere dynamisering van dit proces plaats, in die zin dat de controlelast beter over het jaar wordt gespreid. 3. Bestandsanalyses Bestandsanalyses hebben tot doel de kwaliteit van de data zoals opgenomen in de administratie expliciet te toetsen. Het gaat om een tweetal toetsen: - volledigheidscontroles (zijn alle gegevens die nodig zijn om een juiste aanspraak te berekenen, b.v. de geboortedatum, aanwezig); - waarschijnlijkheidscontroles (toets op het voorkomen van onwaarschijnlijke situaties, b.v. iemand die OP ontvangt terwijl tegelijkertijd nabestaandenpensioen betaald wordt). IMPERO kent een basisset aan waarschijnlijkheids- en volledigheidscontroles die we periodiek uitvoeren en waarvan we de uitkomsten analyseren. Op basis van de uitkomsten van het risk self assessment per domein of fonds en de expertsessie wordt deze set controles domein- of fondsspecifiek gemaakt en/of worden aanvullende bestandsanalyses toegevoegd. In bijlage 2 is de basisset aan waarschijnlijkheidscontroles en volledigheidscontroles weergegeven. 4. Toets op archivering Syntrus Achmea voert een herijking van zijn archiveringsbeleid uit. Het beleid is en blijft gebaseerd op het Achmea-brede beleid, en is aangevuld en uitgebreid met aspecten die specifiek zijn voor het voeren van pensioenadministraties. Op basis van het herijkte archiveringsbeleid vindt een toets plaats op de werkprocessen van de verschillende fondsen om zo vast te stellen of die conform het archiveringsbeleid zijn. Die toets vindt plaats door middel van periodieke ISAE controles. De ISAE-rapportage 2013 zal informatie over de uitkomsten van deze toets bevatten. 5. ISAE 3402/3000 rapportage De afdeling Risk Management binnen Syntrus Achmea toetst het ontwerp, de implementatie, de uitvoering en de borging van de maatregelen die de datakwaliteit moeten verzekeren. De rapportage hieromtrent krijgt zijn beslag in de jaarlijks af te geven ISAE 3402 type 2 rapportage. Die rapportage geeft fondsen assurance over de kwaliteit van de gegevens die in de administratie zijn opgenomen en de beschikbaarheid van gegevens uit het verleden. De rapportage bevat onder meer een verklaring die is gebaseerd op de toetsen die de afdeling Risk Management heeft uitgevoerd op de reglementsanalyse, de selectie van maatmensen en de doorrekening van individuele dossiers. Daarnaast onderzoekt Syntrus Achmea of het wenselijk is de bestaande ISAE 3402 rapportage uit te breiden tot een meer kwalitatieve rapportage onder ISAE 3402/3000. Syntrus Achmea stemt het een ander inhoudelijk af met de externe accountant. Resumé: wijzigingen in de beheersomgeving (huidige inrichting versus IMPERO) Om een concreet en compleet beeld te geven van de toegevoegde waarde van de IMPERO methodiek, zijn in de figuur hieronder de huidige beheersmaatregelen die zijn opgenomen in ISAE 3402 afgezet tegenover de beheersmaatregelen uit de IMPERO methodiek: Figuur 6 Effectiviteit interne beheersmaatregelen datakwaliteit en brondocumentatie Interne beheersmaatregelen Huidig IMPERO Invoercontroles en waarschijnlijkheidscontroles bij de gegevens aanlevering Interne controles bij het verwerken van mutaties Interne testprocedures bij projecten/reglementswijzigingen/ parameters Interne controles op bestaan van historische brondocumentatie Beperkt Analyses zijn erop gericht om structurele fouten in basisgegevens op te sporen Uitvoeren van een kritische steekproef (dwarsdoorsnede van het reglement) van de inregeling van het pensioenreglement in de administratieve systemen (maat mensenmethodiek): - handmatig doorrekenen van aanspraken - afstemming handmatige doorrekening met systeem - aansluiting constanten met reglementen/bestuurbesluiten Beperkt Geen Controles op de parameters Beperkt Met behulp van waarschijnlijkheidscontroles en volledigheidscontroles worden afwijkende waarden gesignaleerd. Beperkt Archiveringsbeleid is in overeenstemming met invulling Quinto-P Beperkt

9 Tot slot Syntrus Achmea geeft de bestuurders van pensioenfondsen met IMPERO meer grip op de kwaliteit van de basisgegevens in uw administratie. Dat krijgt zijn beslag in risicoanalyses, nieuwe en/of aangepaste beheersmaatregelen en een transparante rapportage. Daarnaast kunt u als bestuurder met IMPERO concreet invulling geven aan het verzoek van DNB van april Door middel van deze brochure hebben we getracht u inzicht te geven in de hoofdlijnen van het IMPERO-programma van Syntrus Achmea. Mocht u behoefte hebben aan een nadere toelichting dan kunt u contact opnemen met uw fondsmanager of sectormanager. Bij Syntrus Achmea is het onze hoogste prioriteit om ervoor te zorgen dat u als bestuurder comfortabel aan het stuur zit. Verder gaan is samen de juiste focus hebben.

10 Bijlage 1 Vergelijking Quinto-P onderzoek DNB en IMPERO Onderwerp Methodiek Quinto P onderzoek IMPERO IMPERO v.s. Quinto P Syntrus Achmea geeft de bestuurders van pensioenfondsen met IMPERO meer grip op de kwaliteit van de basisgegevens in uw administratie. Risico-based Periode - Risicoanalyse is door DNB specifiek verricht. Dit heeft geleid tot eventcategorieën echtscheiding, uitruil (OP/NP), overlijden, arbeidsongeschiktheid en waarde overdrachten: - periode tussen 1 januari 2000 en 31 december Pensioenaanspraken of uitkeringen worden vanaf in dienst datum nagerekend. Hierbij is onderscheid gemaakt tussen periode, ingang administratie: - op of na 1 januari 2000; - tussen 1 januari 1990 en 31 december 1999; - op of voor 31 december Uitvoeren self assessment/expertsessie per IT-domein/ fonds. Dit leidt tot specifiekere risico s per IT-domein/ fonds. Eventcategorieën zoals gesteld door DNB worden als minimumpositie voor Syntrus beschouwd: - periode over huidig verslagjaar. Inzicht in historie door aanvullende steekproef. - Pensioenaanspraken of uitkeringen worden vanaf in dienst datum nagerekend. Hierbij is onderscheid gemaakt tussen periode, ingang administratie: - op of na 1 januari 2000; - tussen 1 januari 1990 en 31 december 1999; - op of voor 31 december IMPERO methodiek kent waarschijnlijkheidscontroles en volledigheidscontroles om structurele tekortkomingen op te sporen. +/+ fondsspecifiekere risico-analyse Geen +/+ opsporen: bestandsanalyse Aantal Niet statistisch, vastgesteld op 30 deelwaarnemingen. Niet statistisch, analyse vindt plaats vanuit reglement fonds, alle aspecten uit een fondsreglement worden opgenomen in deelwaarnemingen (Zgn. maatmensen), aantal is derhalve afgeleid van complexiteit reglement. Deelwaarnemingen zijn dwarsdoorsnede van reglement. +/+ fondsspecifiek vanuit reglement ingestoken (Zgn. maatmensen) Verder gaan is opmerkzaam zijn. Brondocumentatie Borging Aan de hand van brondocumentatie wordt aanspraakberekening of uitkering berekend. Onderzoek wordt eenmalig uitgevoerd Variabele gegevens (lonen, parttimepercentages) voor oudere jaren als kalenderjaar worden als gegeven beschouwd in onderzoek. De praktijk leert dat variabele gegevens (jaarlijkse opgave werkgevers) uit oude jaren niet altijd zijn gearchiveerd en/of via applicatie geautomatiseerd zijn ontvangen. Inzicht in historie door aanvullende steekproef. Constanten worden afgestemd met reglementen. Syntrus herijkt beleid. Borging vindt plaats door periodieke controles en opname in ISAE 3402/ /+ borging door periodieke controles in ISAE 3402/3000.

11 Bijlage 2 Basisset bestandsanalyses Analyse Toelichting Query voorwaarden Analyse Toelichting Query voorwaarden Actieve deelnemers met pensioenopbouw > leeftijd pensioenopbouw pensioen In de bestandsanalyse wordt beoordeeld in hoeverre actieve deelnemers die pensioen opbouwen, eigenlijk al uitkeringsgerechtigde zijn. De bestands analyse geeft daarmee inzicht in de volledigheid en juistheid van de pensioenopbouw. Een query opvragen met alle personen die in 2012 met pensioen zijn gegaan en een opbouw kennen. Wel aanspraak/geen premie en wel premie/ geen aanspraak Bestandsanalyse geeft inzicht in de rechtmatigheid tussen premiebetaling en aanspraakopbouw. - Een query met alle deelnemers die wel opbouw hebben, maar geen premie betalen. - Een query met alle deelnemers die wel premie plicht hebben, maar geen opbouw hebben. Deelnemers < pensioenleeftijd met een uitkering Deelnemers > pensioenleeftijd (afhankelijk van regeling) ontvangen uitkering Wezen > 18 jaar met uitkering Beoordeeld wordt in hoeverre deelnemers voorkomen < pensioenleeftijd met een uitkering die nog moeten opbouwen. De bestandsanalyse geeft daarmee inzicht in de volledigheid en juistheid van de pensioenopbouw. Bestandsanalyse geeft inzicht in de volledigheid van de uitkeringen. In feite wordt met deze analyse vastgesteld of alle deelnemers met een pensioengerechtigde leeftijd een uitkering ontvangen. Bestandsanalyse geeft inzicht in de juistheid van de uitkering wezenpensioen. Query opvragen met alle deelnemers met pensioenopbouw in 2012 en geboortejaar > 1990 (indien 21 jaar) Alle personen die potentieel pensioneren in 2012 afgezet tegen de toekenningen. Query van de deelnemers met een lopende wezentoekenning ultimo standsmoment. Geen GBA verificatie of AdV en wel uitkering Lege velden in pensioenadministratie Bestandsanalyse geeft inzicht in de rechtmatigheid van uitkeringen zonder GBA verificatie of AdV. Bestandsanalyse geeft inzicht in de lege velden van kritieke (o.a. geslacht) basisgegevens in de pensioenadministratie. Een query met alle deelnemers met een lopende uitkering per standsmoment en waarvan de status GBA op niet geverifieerd staat. Volledigheidscontroles - ontbreken geslacht - ontbreken geboortedatum - ontbreken geslachtsnaam - pensioenaanspraken op nul - ontbrekende postcode - ontbrekend bsn Deelnemers > 100 jaar nog in leven Bestandsanalyse geeft inzicht in de rechtmatigheid uitkering deelnemers > 100 jaar. Een query met deelnemers die ouder zijn dan 100 jaar, nog in leven zijn en een uitkering hebben per standsmoment Aanspraak/uitkering > (analyse top 10 van aanspraak en top 10 van uitkering OP bij < 55 jaar Bestandsanalyse geeft inzicht in de rechtmatigheid van bijzondere (hoger dan ) uitkeringen. Query met de hoogste deelnemersuitkeringen; Query met de hoogste aanspraken van deelnemers Bestandsanalyse geeft inzicht in de rechtmatigheid van ouderdomspensioen bij deelnemers jonger dan 55 jaar. Een query met alle deelnemers die een ouderdomspensioen ontvangen. Combinatie uitkering OP en NP op 1 polis Bestandsanalyse geeft inzicht in de rechtmatigheid van de combinatie ouderdomspensioen en nabestaandenpensioen. Een query met alle deelnemers die een ouderdomspensioen en een nabestaandenpensioen ontvangen.

12 Verder gaan

13 In opdracht van ruim 80 bedrijfstak-, ondernemings-, en beroepspensioenfondsen verzorgt Syntrus Achmea de pensioenen van ruim drie miljoen deelnemers. Wij bieden onze klanten een keuze uit alle pensioendisciplines: fiduciair management en advies, vermogens- en vastgoedbeheer en pensioenadministratie. Syntrus Achmea beheert een vermogen van bijna 60 miljard euro. Samen werken we aan een houdbaar en betaalbaar inkomen voor later.