De Pensioenwereld in FINANCIAL SERVICES. kpmg.nl KPMG Advisory N.V

Transcriptie

1 De Pensioenwereld in FINANCIAL SERVICES De Pensioenwereld in 2015 kpmg.nl

2

3 De Pensioenwereld in 2015

4 4 De Pensioenwereld in 2015 Voorwoord Stilstaand water gaat stinken, zo luidt een bekende wijsheid. Als dat zo is, dan hoeven we ons geen zorgen te maken over of de pensioensector fris blijft ruiken. Want aan veranderingen geen gebrek. Er is gaandeweg sprake van een grondige herziening van het begrip pensioen, ingegeven door financiële noodzaak (een financiële crisis, stijgende levensverwachtingen en lage marktrente die gaten sloeg in de betaalbaarheid van het bestaande systeem) en een maatschappelijke onderstroom. Ooit was pensioen een soort heilige graal om naar uit te zien: een goudgerande zekerheid en een moment waarop het echte genieten kon beginnen. Steeds minder mensen hebben dergelijke percepties: ze beginnen te begrijpen dat de oude zekerheden niet meer haalbaar zijn en zien ook in dat het bereiken van de pensioengerechtigde leeftijd niet langer een ultiem doel is. Meer en meer mensen blijven zo vitaal dat ze uit eigen beweging langer willen doorwerken. Bij KPMG hebben we sinds een jaar een CEO die daarbij als inspirerend voorbeeld dient. Jan Hommen is nu 71, heeft een rijke ervaring als topman in het bedrijfsleven achter zich, maar schuwt een zware leiderschapsklus bij KPMG niet. Zijn vitaliteit en gedrevenheid zijn een voorbeeld voor velen: hij neemt zijn eigen verantwoordelijkheid in de wijze waarop hij zijn oude dag invult. Die eigen verantwoordelijkheid speelt niet alleen voor mensen als Hommen, maar is een breder maatschappelijk fenomeen. Het is een begrip dat de laatste jaren nadrukkelijk rondzoemt in vrijwel alle geledingen van de maatschappij. Als individu worden we geacht niet te veel te redeneren vanuit wat de overheid voor ons kan doen, maar veel meer vanuit onze eigen kracht. U kent de klassieker van John F. Kennedy waarschijnlijk wel: Ask not what your country can do for you. Ask what you can do for your country. Dat geluid zien we in de zorg, we zien het in de sociale zekerheid en we zien het ook in pensioenland. Er is echter wel iets merkwaardigs aan de hand. Want om die eigen verantwoordelijkheid te kunnen nemen moeten mensen wel voldoende bewegingsruimte krijgen. En dat is bepaald niet altijd een vanzelfsprekendheid, zeker niet in de pensioenwereld. We willen graag dat mensen hun verantwoordelijkheid nemen, maar bakenen tegelijkertijd met tamelijk chirurgische precisie hun bewegingsruimte af. Bovendien is er nog iets anders. De maatregelen vanuit de politiek maken het speelveld steeds ingewikkelder. De artikelen in deze uitgave van De Pensioenwereld laten dat ook weer op een breed front zien. We laten bijvoorbeeld zien wat de effecten van het nieuwe

5 De Pensioenwereld in Financiële Toetsingskader zijn op de financiële solidariteit tussen generaties, we leggen uit hoe ingrijpend de aftopping van een pensioen boven kan zijn en we leggen bloot hoe ingewikkeld het is om pensioen goed te regelen in geval van grensoverschrijdende arbeid. Stuk voor stuk zijn het onderwerpen waar je als lezer behoorlijk mee aan het werk moet om goed te begrijpen wat er aan de hand is. De rode lijn is dan ook dat het onderwerp pensioen voor de meeste mensen steeds ingewikkelder wordt. Gewone mensen begrijpen eigenlijk niet wat er onderhuids aan de hand is. Maar (onbewust) zitten ze wel met vragen. Is het wel echt nodig om nu te korten als de dekkingsgraad van een pensioenfonds te laag wordt? Worden jongeren of juist ouderen onevenredig benadeeld door de recente ingrepen in het pensioenstelsel? Het is eigenlijk nauwelijks te overzien voor een gemiddelde Nederlander. Het spanningsveld tussen meer eigen verantwoordelijkheid en de groeiende complexiteit is levensgroot. De beste optie om daar wat aan te doen is de complexiteit in te dammen. Maar hoe realistisch is die optie? Elke keer weer blijkt dat het om diverse redenen niet haalbaar is en het zou ons niet verbazen als de complexiteit ook de komende jaren alleen maar verder toeneemt. De haast onvermijdelijke consequentie daarvan is dan dat we mensen beter moeten meenemen in het verhaal over hoe wijzigingen hen raken. Hun uitleggen dat het stelsel echt verandert en wat dat betekent. Dat de aloude zekerheden niet meer zo zeker zijn. Hoe ze hun eigen situatie op waarde moeten schatten. Met deze uitgave beogen we daar zelf ons steentje aan bij te dragen. Maar eigenlijk verdienen voorlichting en educatie aandacht op een veel breder terrein: we moeten jongeren in hun opleiding en opvoeding veel meer gaan meenemen in wat pensioenen (en fiscaliteit) betekenen in hun leven en hen laten ervaren hoe ze zelf de juiste keuzes kunnen maken. Eenvoudig? Natuurlijk niet. Het is al jaren een uitdaging en er zijn geen pasklare antwoorden. Maar we mogen deze uitdaging in elk geval niet van de agenda laten glippen. Zeker niet in een tijdperk waarin de complexiteit haast onvermijdelijk verder zal toenemen. Wij wensen u veel leesplezier met deze uitgave van De Pensioenwereld. Zoals altijd hopen we dat u de toegevoegde waarde van de artikelen ervaart en gaan we graag met u in gesprek over de uitdagingen die u elke dag ervaart in deze sector. Amstelveen, december 2014 Roel Menken, Jan Stigter en Wim Teeuwissen Branchegroep Pensions

6 6 De Pensioenwereld in 2015 Inhoud Uitbesteding & assurance Fiscaliteiten & grensoverschrijding Nut en noodzaak van Evaluatie uitbesteding assurance reporting Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer vermogensbeheer: de reikwijdte is een bewuste keuze Assurance als waarborg voor beheerste transities Pensioenopbouw bij grensoverschrijdende arbeid Grensoverschrijdende pensioenuitvoering door pensioenfondsen Effect van pensioenwijzigingen 2015 op de loonbelasting Aftopping van het pensioengevend inkomen op alternatieven? Kansen voor vermindering btwdruk bij pensioenfondsen 86

7 De Pensioenwereld in Verslaggeving & communicatie Ontwikkelingen in de pensioenmarkt Weloverwogen keuzes nodig voor juiste waardering beleggingen Toepassing z-score is toe aan kritische evaluatie Het nieuwe FTK: oude wijn in nieuwe zakken? Het Algemeen Pensioenfonds als postillon d amour onder pensioenfondsen Meer inzicht nodig in evenwichtige belangenbehartiging bij uitvoeringskosten Pensioenproducten standaardiseren, gedegen vergelijking blijft noodzakelijk Meer consistentie 122 nodig in verslaggeving premiepensioeninstellingen 17 Meer aandacht nodig voor langlevenrisico 156 Bijlage 1 KPMG-onderzoek Bijlage KPMG-trendonderzoek 2014 Colofon 212

8 Uitbesteding & assurance Nut en noodzaak van assurance reporting Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Evaluatie uitbesteding vermogensbeheer: de reikwijdte is een bewuste keuze Assurance als waarborg voor beheerste transities

9 Een standaard reflex bij een evaluatie van uitbesteed vermogensbeheer is vaak om vooral te kijken naar de rol van de beheerder zelf. Uit: Evaluatie uitbesteding vermogensbeheer: de reikwijdte is een bewuste keuze

10 01

11 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van deze activiteiten. Een van de manieren om die te verkrijgen is rapportage hierover in de vorm van een assurancerapport. In dit artikel zetten we uiteen wat zo n assurancerapport precies behelst, geven we adviezen over hoe een assurancerapport dient te worden geïnterpreteerd en geven we een doorkijkje naar toekomstige ontwikkelingen. Het gestructureerd uitbesteden van processen is begonnen met de automatisering van bedrijfsprocessen. Die heeft ertoe geleid dat de verwerking van gegevens vaak niet meer onder de eigen aansturing plaatsvindt, maar wordt uitbesteed aan een externe organisatie. Om blind te vertrouwen op de door die organisatie geleverde kwaliteit is echter wel wat veel gevraagd. De gebruiker wil inzicht in de kwaliteit van de geleverde diensten. Dit betekent dat de gebruiker de serviceorganisatie zou moeten bezoeken om die kwaliteit in beeld te krijgen. Dat is voor beide partijen echter niet efficiënt. De oplossing die hiervoor gevonden is we spreken over ongeveer 30 jaar geleden is een audit ten behoeve van de uitbestedende organisatie. In de Nederlandse accountantsliteratuur werd dit al snel aangeduid met de term TPM, wat staat voor Third Party Mededeling. De TPM is de eerste vorm van een assurancerapportage. Voor pensioenfondsen is de strategische keuze om een deel van de bedrijfsprocessen door een gespecialiseerde dienstverlener te laten uitvoeren een normaal onderdeel van de bedrijfsvoering geworden. Een veel voorkomende uitbesteding is die van vermogensbeheer, maar uitbesteding

12 12 De Pensioenwereld in 2015 Het management van het pensioenfonds blijft verantwoordelijk voor de uitbestede activiteiten en wil dus weten hoe het zit met kwaliteitsaspecten als betrouwbaarheid, beschikbaarheid, sustainability, beveiliging en efficiëntie. kan op bijna elk proces betrekking hebben. Ook bij uitbesteding blijft het pensioenfonds te allen tijde verantwoordelijk voor de uitvoering. Deze constatering vormt de basis voor nut en noodzaak van assurancerapportages. Het gaat hierbij verder dan alleen het beschikbaar stellen van het assurancerapport; dit rapport krijgt pas toegevoegde waarde als het daadwerkelijk gelezen wordt. To assure is bevestigen dat iets waar is. Onder assurance verstaan we het verschaffen van zekerheid over informatie door een neutrale partij, om het vertrouwen bij de gebruikers van die informatie te versterken. Het pensioenfonds is in assurancetermen de gebruikersorganisatie, de organisatie die gebruikmaakt van diensten zoals geleverd door zijn dienstverlener (bijvoorbeeld een bank voor vermogensbeheer), ook wel de serviceorganisatie genoemd. Om comfort te krijgen over de uitbestede activiteiten kan de gebruikersorganisatie de serviceorganisatie vragen om een assurancerapport, ook wel aangeduid als Service Organisatie Control (SOC)-rapport. De serviceorganisatie legt daarin verantwoording af aan haar gebruikersorganisatie(s) (hier de pensioenfondsen). Ook de accountant van het pensioenfonds heeft behoefte aan zekerheid. Voor zijn controle heeft hij bewijs nodig dat interne controlemaatregelen met betrekking tot de uitbestede

13 Uitbesteding & assurance 13 processen op orde zijn. Een SOC-rapport dat aan alle vaktechnische eisen voldoet, maakt het voor de accountant van de gebruikersorganisatie mogelijk zich een oordeel te vormen over de kwaliteit van de uitbestede activiteiten zonder dat hij verdere controlewerkzaamheden bij de serviceorganisatie hoeft uit te voeren. Deze controlewerkzaamheden worden namelijk door de auditor van de serviceorganisatie uitgevoerd die hierover rapporteert aan de gebruikersorganisatie. In het verleden werden SOC-rapporten veelal opgesteld op basis van de Amerikaanse SAS 70-standaard. Deze standaard is niet meer van toepassing. De rapportages worden nu meestal uitgebracht onder de internationale standaard ISAE 3402 of ISAE Standaard ISAE 3402 dient te worden gebruikt voor de beoordeling van de interne beheersing van processen die van belang zijn voor de financiële verantwoording. Voor de overige beheersingsmaatregelen (niet gerelateerd aan financiële verantwoordingsprocessen) kan gebruik worden gemaakt van de assurancestandaard ISAE Een SOC-rapport is een rapport waarin een serviceorganisatie beschrijft hoe zij processen beheerst. In het rapport worden beheersingsdoelstellingen gedefinieerd en wordt het geheel van beheersingsmaatregelen dat de organisatie neemt om die doelstellingen te realiseren weergegeven. Een externe auditor voegt een verklaring auditorsrapport toe aan dit rapport van de serviceorganisatie. In dit auditorsrapport gaat de auditor in op de realisatie van de beheersingsdoelstellingen. In een toelichting beschrijft hij welke testen hij heeft uitgevoerd en wat het resultaat van zijn werkzaamheden is. Deze in een afzonderlijke sectie opgenomen toelichting vormt een verantwoording van de uitgevoerde testwerkzaamheden. Er zijn twee typen SOC-rapporten: Een type I-SOC-rapport beschrijft het proces en de beheersingsmaatregelen zoals deze op een bepaald moment geïmplementeerd zijn. Hierin beantwoordt de auditor de vraag: komt de beschrijving van het rapport overeen met de werkelijke situatie? Het type II-rapport betreft een periode, meestal 6 maanden tot 1 jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de gedefinieerde periode hebben gewerkt. Het type I-rapport is vaak het fundament voor een toekomstig type II-rapport.

14 14 De Pensioenwereld in 2015 In de praktijk leven er enkele misverstanden over wat een SOC-rapport precies is: 1. Het is geen certificaat: Een certificaat is beperkter dan een rapport. Bij een certificaat staan de normen en daarmee de scope vast. Een SOCrapport geeft een uitgebreide beschrijving volgens een vast format, terwijl een certificaat slechts vermeldt of de normen wel of niet zijn behaald. De lezer kan het rapport gebruiken voor een eigen evaluatie van de beheersingsmaatregelen binnen de serviceorganisatie. 2. Het rapport wordt niet opgesteld door de auditor: De SOC-rapportage wordt opgesteld door een serviceorganisatie. De verklaring van de auditor heeft zonder de beschrijving van het systeem en de daarbij behorende beheersingsmaatregelen geen betekenis. 3. ISAE 3402 geeft geen inhoudelijke norm: In feite is de ISAE 3402-standaard leeg. De serviceorganisatie bepaalt de scope, de beheersingsdoelstellingen en de beheersingsmaatregelen van het rapport en daarmee de norm. In de praktijk blijkt deze norm vaak in overleg met pensioenfondsen te worden bepaald. De aanwezigheid van een ISAE 3402-rapport geeft een indicatie van de volwassenheid van de administratieve organisatie van de serviceorganisatie. Accountant gebruikersorganisatie Pensioenfonds SOC-rapport Accountant serviceorganisatie Serviceorganisatie Figuur 1: De partijen die betrokken zijn bij een ISAE 3402 rapport

15 Uitbesteding & assurance 15 Door een SOC-rapport aan haar gebruikers beschikbaar te stellen voorkomt de serviceorganisatie dat zij capaciteit vrij moet maken voor het begeleiden van auditors van iedere gebruikersorganisatie. Serviceorganisaties die een SOCrapport beschikbaar stellen aan hun klanten hebben vaak een streepje voor op hun concurrenten die geen onafhankelijk inzicht in hun activiteiten verstrekken. Voor de accountant van de uitbestedende organisatie komt het SOC-rapport in de plaats van eigen testwerkzaamheden. Dit is mogelijk omdat het rapport niet alleen een oordeel van een collega bevat, maar ook omdat het rapport informatie bevat over de door die collega uitgevoerde testwerkzaamheden. Voor het management van de gebruikersorganisatie is het rapport enerzijds een bron om vast te stellen in hoeverre de afspraken uit de contracten zijn nagekomen. Anderzijds maakt het deel uit van het bouwwerk van interne controles. De informatie uit het SOC-rapport in combinatie met de eigen complementary user entity controls moet ertoe leiden dat het uitbestede proces aantoonbaar in control is. Naast rapporten bestemd voor een specifiek pensioenfonds zijn er ook rapporten die bestemd zijn voor een groep gebruikers (bijvoorbeeld meerdere pensioenfondsen en/of andere organisaties). Een SOC-rapport voor een groep gebruikers is vaak efficiënter voor de serviceorganisatie die hiervoor een generieke audit kan laten uitvoeren. Voor het individuele fonds kan dit betekenen dat zijn inbreng in de formulering van de beheersingsdoelstellingen van het SOC-rapport beperkt is. In de praktijk Uit onderzoek van KPMG 1 blijkt 70% van de pensioenfondsen gebruik te maken van assurancerapportages in de relatie met zijn pensioenuitvoerder. De pensioenfondsen zijn hierbij de gebruikersorganisatie, de pensioenuitvoerders de serviceorganisaties. Zoals in figuur 2 is aangegeven, worden deze rapportages door verschillende partijen binnen de pensioenfondsen gelezen, het meest door de fondsaccountant en de directies. 1 KPMG heeft in oktober 2014 een onderzoek uitgevoerd onder 91 pensioenfondsen; de uitkomsten hiervan zijn in de bijlagen van deze Pensioenwereld opgenomen (KPMG-onderzoek 2014).

16 16 De Pensioenwereld in % 2% 2% 19% 20% 32% 26% 77% 27% 45% 48% 29% Externe accountant Directie Risk en compliance afdeling Interne audit dienst Hoofd administratie Bestuurders Anders Afdeling inkoop Weet ik niet Figuur 2: Wie leest het ISAE 3402 rapport Leeswijzer voor een SOC-rapport Een SOC-rapport is geen garantie dat aan de beheersingsdoelstellingen is voldaan. Het is aan de lezer zelf om op basis van de beschrijving en de zekerheid in het auditorsrapport vast te stellen in hoeverre de beheersing van de uitbestede processen aan de daaraan gestelde kwaliteitseisen voldoet. De rapportage kan constateringen van ernstige tekortkomingen bevatten met, in de meest negatieve situatie, een afkeurend oordeel van de service auditor. Let op: het is van belang het SOC-rapport te lezen en te interpreteren ten behoeve van de situatie van de gebruikersorganisatie. De ISAE-standaard definieert wat ten minste in het rapport moet zijn opgenomen, maar bevat geen voorschriften voor de lay-out. In een SOC-rapport dienen de hieronder genoemde vijf onderwerpen te worden opgenomen. Deze worden vaak voorafgegaan door een inleiding of leeswijzer voor het rapport. Per onderdeel is aangegeven waarop gelet kan worden bij het lezen van het rapport.

17 Uitbesteding & assurance 17 Een SOC-rapport is geen garantie dat aan de beheersingsdoelstellingen is voldaan. 1. Auditorsrapport Het auditorsrapport is de rapportage die de auditor aan het SOC-rapport toevoegt. Al lijkt het auditorsrapport standaard te zijn, het moet worden gelezen; nuances zitten in de details. Naast de standaardtekst doet de auditor verslag van zijn bevindingen en formuleert hij een specifiek oordeel. Het eindoordeel van de audit en eventuele beperkingen van dit oordeel zijn opgenomen in het auditorsrapport. Let op de beperkingen in dit hoofdstuk. Een beperking bij de serviceorganisatie betekent vaak dat er bij de gebruikersorganisatie aanvullende maatregelen moeten worden genomen (en gecontroleerd door de accountant) om het risico van deze beperking te beheersen. De serviceorganisatie waaraan het werk is uitbesteed kan op haar beurt een deel van het proces uitbesteden aan een derde. Denk aan een serviceorganisatie die de salarisverwerking verzorgt en die voor de IT-infrastructuur gebruikmaakt van een derde partij. Volgens de standaard kan hier op twee manieren mee worden omgegaan: Carve-out: het aan de subserviceorganisatie uitbestede proces wordt niet in het rapport betrokken (in de Nederlandse standaard wordt dit de uitsluitingsmethode genoemd); Inclusive: het aan de subserviceorganisatie uitbestede proces wordt in het rapport opgenomen (in de Nederlandse standaard wordt dit de opnamemethode genoemd). In het auditorsrapport worden de subserviceorganisatie en de gehanteerde methode benoemd. Let op: carve-out van processen betekent dat het oordeel mogelijk niet het gehele proces van uitbesteding betreft.

18 18 De Pensioenwereld in 2015 In de laatste paragraaf van het auditorsrapport is in de meeste gevallen vermeld dat het rapport uitsluitend bestemd is voor gebruik door de specifieke gebruikers en hun accountants. De distributieverantwoordelijkheid ligt bij de serviceorganisatie. Gezien het vertrouwelijke karakter van het rapport moet de serviceorganisatie hier verantwoord mee omgaan. Het rapport is beslist niet bedoeld voor een vrije publicatie op het internet. 2. Managementbewering In de managementbewering verklaart het management van de serviceorganisatie dat het rapport aan de vereisten van de standaard voldoet. Er vindt geen audit plaats op de managementbewering door de serviceauditor. Het gehele rapport moet worden gezien als een beschrijving van het systeem en de beheersingsmaatregelen, voorzien van twee kwaliteitsuitspraken: één door het management en één door de auditor. Overigens is te verwachten dat beide statements dezelfde strekking hebben. Het zou vreemd zijn als het management zonder toelichting verklaart in control te zijn, terwijl de auditor met bevindingen komt die hier strijdig mee zijn. 3. De systeembeschrijving Het proces waarop het SOC-rapport betrekking heeft wordt in de ISAE 3402-standaard systeem genoemd. De systeembeschrijving is de verantwoordelijkheid van de serviceorganisatie, die in deze sectie beschrijft op welke wijze de procesbeheersing is ingericht en welke maatregelen (controls) zij heeft getroffen om deze situatie te handhaven. De beschrijving moet van een dusdanig niveau zijn dat de uitbestedende organisatie in staat is om zich een beeld te vormen van de interne beheersing van de serviceorganisatie en de specifiek met betrekking tot de uitvoering van uitbestede processen getroffen controlemaatregelen. In de praktijk wordt voor de beschrijving vaak het COSOmodel gevolgd, met de volgende opbouw: Inleiding, Control environment, Risk assessment, Control activities, Information & Communication, Monitoring en End-user control considerations. De term systeem dekt dus veel meer af dan alleen het informatiesysteem. De beschrijving van de organisatie vertelt iets over het geheel van interne beheersing, maar ook over de relatie met de eindgebruiker. De reikwijdte van het SOC-rapport moet van toegevoegde waarde zijn voor de gebruiker. Het rapport moet aansluiten bij een dienst die als geheel wordt afgenomen. Het is aan te raden om de reikwijdte van het rapport voorafgaand aan het onderzoek vast te stellen, zodat gebruikers en serviceorganisatie hierover hetzelfde beeld hebben.

19 Uitbesteding & assurance 19 Om praktische redenen is vaak een korte beschrijving van de control activities opgenomen en wordt voor de uitwerking verwezen naar de volgende sectie van het rapport, waarin de auditor verslag doet van de wijze waarop hij voor een type II-onderzoek de werking van deze beheersingsmaatregelen heeft vastgesteld. De COSO-elementen Control environment, Risk assessment, Information & Communication en Monitoring worden ook wel samenvattend aangeduid met entity level controls. Samen met de algemene proces- en structuurbeschrijving vormen zij het randvoorwaardelijk kader van de control activities. Om een sluitend geheel van beheersingsmaatregelen te krijgen moeten dikwijls ook door de gebruikersorganisatie controles worden uitgevoerd. Het betreft hier controles die door de serviceorganisatie niet uitgevoerd kunnen worden: denk hierbij bijvoorbeeld aan de beheersing van de volledigheid van mutatiebestanden zoals deze door de gebruikersorganisatie aan de serviceorganisatie worden aangeleverd. Let op: user control considerations betreffen controles die door de gebruikersorganisatie zijn geïmplementeerd en door de accountant van de gebruikersorganisatie worden gecontroleerd. 4. Beheersingsdoelstellingen en -maatregelen aangevuld met de informatie verstrekt door de auditor In dit hoofdstuk documenteert de auditor de testaanpak. De auditor beschrijft in het rapport de beheersingsmaatregelen, de uitgevoerde tests en de testresultaten. Dit hoofdstuk bevat de bevindingen per beheersingsmaatregel en eventuele verbeterpunten en geeft de volwassenheid van de serviceorganisatie weer. 5. Overige informatie In deze sectie kan de serviceorganisatie eventueel nadere informatie opnemen die niet thuishoort in de systeembeschrijving. De sectie Overige informatie valt buiten de scope van de audit. Het onderzoek van de auditor gaat niet verder dan vast te stellen dat de inhoud van deze sectie niet strijdig is met zijn beeld van de organisatie en de systeembeschrijving.

20 20 De Pensioenwereld in 2015 Het is aan de lezer(s) om op basis van de beschrijving en de zekerheid in het auditorsrapport vast te stellen in hoeverre de beheersing van de uitbestede processen aan de daaraan gestelde eisen voldoet en of het rapport daarmee bruikbaar is voor bijvoorbeeld de controle van de externe accountant. Bevatten het auditorsrapport en de aanvullende informatie van de auditor geen bevindingen, dan is het onwaarschijnlijk dat de inhoud van de rapportage leidt tot aanpassingen in de werkzaamheden ten behoeve van de controle van het pensioenfonds. Uit het eerder genoemde KPMG-onderzoek blijkt dat bij 23% van de ondervraagden het gebruiken van het SOC-rapport tot wijzigingen in de uitvoering leidt (zie ook figuur 3). Dit kan veroorzaakt worden door de gedefinieerde end-user control considerations, een oordeel met beperking of een oordeelsonthouding. De wijzigingen betreffen veelal aanvullende werkzaamheden bij de serviceorganisatie en in mindere mate opvolging door de externe accountant van het fonds of door het fonds zelf. 6% Ja 12% 23% Nee 75% Binnen mijn organisatie Bij de accountantscontrole Bij de uitvoeringsorganisatie Figuur 3: Heeft het gebruiken van het SOC-rapport tot wijzigingen in de uitvoering geleidt?

21 Uitbesteding & assurance 21 Tot slot In de afgelopen jaren zijn de in dit artikel beschreven SOC-rapporten steeds meer een standaard geworden ingeval een pensioenfonds bepaalde processen uitbesteedt. Uit de praktijk blijkt dat deze rapporten maar beperkt worden gebruikt door de ontvangende pensioenfondsen. De lezerskring van het rapport is vaak beperkt tot een aantal personen, waaronder met name de externe accountant. De uitdaging voor de serviceorganisatie is ervoor te zorgen dat deze rapporten door meerdere personen worden gelezen, vooral gezien het feit dat de totstandkoming ervan vaak kostbaar is. De ontvangende partij zou zich moeten realiseren dat de serviceorganisatie vaak veel tijd en energie steekt in het tot stand brengen van een SOC-rapport. In aanvulling daarop brengt ook het accountantskantoor kosten in rekening voor zijn reviewwerkzaamheden. Wij verwachten (en hopen) dan ook dat de rapporten toegankelijker worden, waardoor ze een breder publiek krijgen en de toegevoegde waarde ervan stijgt.

22 02

23 Uitbesteding & assurance 23 Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Auteurs: Alex Brouwer en Mark van Duren Is het zinvol voor pensioenfondsen en fiduciair managers om back- en mid-office processen op het gebied van vermogensbeheer uit te besteden? Het antwoord op deze vraag hangt af van de omvang en de karakteristieken van de betreffende organisatie. In dit artikel wordt een analyse gegeven op basis van een inventarisatie in de praktijk. Bij uitbesteding van back- en mid-office processen op het gebied van vermogensbeheer gaat het onder andere om diensten met betrekking tot securities servicing (zoals securities lending en tax pooling), risico-, performance- en compliance-management (inclusief measurement en reporting) en rapportering aan cliënten en toezichthouders. In een artikel in De Pensioenwereld in dat inging op deze vraag werd al geconstateerd dat partijen bij uitbesteding beperkingen percipiëren, zoals een gebrek aan flexibiliteit en een gebrek aan controle. Niettemin is de discussie rond operatingmodellen inzake vermogensbeheer nog altijd heel levend. Het is dan ook zinvol om na te gaan in welke situatie een pensioenfonds zou moeten uitbesteden en welke processen zich lenen voor uitbesteding. Het afgelopen jaar hebben wij met veel fondsen en managers gesproken over dit onderwerp. 1 Het outsourcen van het rapportageproces, een serieuze optie?; De Pensioenwereld in 2014; Alex Brouwer.

24 24 De Pensioenwereld in 2015 Omvang De belangrijkste observatie in die gesprekken is dat de omvang van het fonds een hele belangrijke graadmeter is. De grote fondsen en fiduciair managers, met meer dan 30 miljard belegd vermogen (ofwel Assets under Management, hierna: AuM), hebben nauwelijks interesse om de back- en mid-office processen uit te besteden aan derden. Zij beschikken over schaalvoordelen en teams met hooggeschoolde specialisten die zich eventueel laten ondersteunen door gespecialiseerde adviseurs. De grote partijen zijn veelal van mening dat zij dit werk beter en goedkoper uitvoeren dan de aanbieders van deze diensten. De systemen waarover deze partijen beschikken zijn volwassen, al zouden wij ze in de meeste gevallen niet best in class willen noemen. Bij de kleinere pensioenfondsen en fiduciair managers (< 5 miljard AuM) worden de back- en mid-office processen gedeeltelijk of geheel uitbesteed aan service providers. Deze fondsen beschikken echter meestal niet over de expertise en infrastructuur om de uitbesteding goed te beheersen. De serviceproviders hebben vaak een relatieve machtspositie door betere kennis en er bestaat daardoor een zekere afhankelijkheid ten opzichte van deze providers. Een wisseling is niet snel gemaakt, omdat de processen en systemen van de provider en het fonds sterk verweven zijn en omdat het opnieuw inregelen van diensten veel tijd en kosten vergt. De interessantste discussie vindt plaats bij de middelgrote pensioenfondsen en fiduciair managers ( 5 tot 30 miljard AuM). Zij beschikken over kleinere teams en hebben te maken met relatief hoge kosten voor de benodigde infrastructuur. De complexiteit bij deze fondsen is echter vrijwel net zo groot als die bij de grote fondsen en fiduciair managers; vaak wordt in een vergelijkbare asset-mix belegd en is de regelgeving en complexiteit van dezelfde orde. Bij deze partijen haalt de discussie rond het operating model steeds vaker de bestuurstafel. Het gaat dan niet om een kostendiscussie, maar om een wezenlijk strategisch vraagstuk rondom punten als onderscheidend vermogen, beheersing/in control zijn en kwaliteit. De vraag is of het van strategisch belang is deze processen in eigen hand te houden of dat zij zo effectief en efficiënt mogelijk uitgevoerd dienen te worden.

25 Uitbesteding & assurance 25 Ja Uitbesteden Nee Strategisch? Nee Belegd vermogen < 5 miljard Belegd vermogen > 30 miljard Ja Nee Ja In-house Uitbesteden In-house Figuur 1: Beslisboom / Beslismodel De discussie rond operating modellen voor pensioenfondsen en fiduciair managers is nog altijd heel levend. In Nederland bestaan ongeveer vijfentwintig pensioenfondsen met een belegd vermogen tussen 5 en 30 miljard. Bij een aantal van hen wordt het vermogensbeheer verzorgd door een fiduciair manager met een grotere portefeuille (> 30 miljard AuM). Voor hen geldt deze discussie in mindere mate. Voor de overige fondsen is de discussie relevant. Deze partijen maken gebruik van een (vrijwel) dedicated fiduciair manager, die óf een operatingmodel hanteert gebaseerd op (gedeeltelijke) uitbesteding óf een model dat deze processen zelf uitvoert. Welke elementen zouden een rol moeten spelen bij de discussie? Op basis van onze praktijkervaringen met deze vraagstukken hebben wij een inventarisatie gemaakt van verschillende factoren die relevant zijn in deze discussie.