www.pwc.nl IORP II Meer toegevoegde waarde uit sleutels August, 2018 Vanaf 13 januari 2019 is de IORP-II richtlijn van kracht. Het onderwerp dat daarbij voor de meeste hoofdbrekens zorgt bij is de inrichting van s de risicobeheer, actuariële en de interne audit. De discussie richt zich vooral op het al dan niet verplicht toepassen van het Three Lines of Defence-model (3LoD-model) en de precieze taken en verantwoordelijkheden van de sleutels. Dit is weliswaar een logisch gevolg van de opzet van de richtlijn en het feit dat het definitieve wetsvoorstel pas in het najaar in de Tweede Kamer wordt behandeld, maar hierdoor bestaat het gevaar dat pensioenfondsen te lang wachten met de daadwerkelijke invulling van s of te veel nadruk leggen op het volgen van de regels vanuit de gedachte dat het moet in plaats vanuit een intrinsieke motivatie om tot een betere risicobeheersing te komen. Om dit te voorkomen gaat dit artikel in op de mogelijkheden voor de inrichting van s en wordt stilgestaan bij een aantal aandachtspunten voor een effectieve werking van s in de praktijk. 1
Gegeven dat pensioenfondsen veelal een groot deel van de (operationele) werkzaamheden hebben uitbesteed, wordt de eerste lijn gevormd door de personen bij de uitbestedingspartijen en, in sommige gevallen, medewerkers van het. Het bestuur, vanuit zijn management, blijft echter eindverantwoordelijk voor het uitvoeren van de strategie en het risicobeheersysteem. Ditzelfde geldt voor s in de tweede en derde lijn: het bestuur draagt de eindverantwoordelijkheid voor het inrichten van s. Het intern toezicht houdt toezicht op het functioneren van de sleutels. Het is een bekend spreekwoord: je moet je oude schoenen niet weggooien, voordat je. Dit geldt ook voor het 3LoD-model. In de discussie over het al dan niet toepassen van 3LoD-model voor het inrichten van s worden geen alternatieven genoemd. En dus is het weinig zinvol om het 3LoD-model in de ban te doen. Van belang is wel dat pensioenfondsen voor ogen houden dat een model nooit een doel op zich is, maar een middel om in dit geval rollen en verantwoordelijkheden te definiëren. En daar is het 3LoD-model uitermate geschikt voor en vormt de eerste stap voor het inrichten van een doeltreffende governance. In het 3LoD-model is de eerste lijn verantwoordelijk voor het beheersen van de processen en de bijbehorende risico s en legt daarover verantwoording af. De tweede lijn stelt kaders, adviseert, challenget, controleert en rapporteert aan het bestuur. De derde lijn, tot slot, geeft aanvullende zekerheid aan het bestuur dat het risicobeheersysteem op orde is en goed werkt en dat beheersmaatregelen toereikend zijn en goed hebben gewerkt. De rollen van de tweede en derde lijn zien we in IORP II terug bij de risicobeheer en de actuariële (tweede lijn) en de interne audit (derde lijn). Een belangrijk uitgangspunt van het 3LoD-model is dat er sprake is van een adequate scheiding van rollen. Dit betekent echter niet dat er geen overlap kan zijn in de activiteiten die worden uitgevoerd mits wordt gezorgd dat het uitvoeren van activiteiten niet wordt gecombineerd met de controle daarop. Daarnaast is het voor de werking van het model juist van belang dat de diverse verdedigingslinies samenwerken, vanuit de overtuiging dat risicobeheer bijdraagt aan een betere besluitvorming. Risico s moeten intrinsiek onderdeel uitmaken van de besluitvorming, de eerste lijn moet zich daadwerkelijk eigenaar voelen van de risico s en de tweede en derde lijn moet voldoende statuur hebben en proactief worden betrokken in het besluitvormingsproces. Voorts is het van belang dat de tweede en derde lijn de taal spreken van het bestuur, op de hoogte zijn van wat er speelt en daarop proactief acteren richting het bestuur, zodat zij ook daadwerkelijk impact maken op de besluitvorming. Wanneer niet aan deze voorwaarden wordt voldaan bestaat het risico dat s door de eerste lijn en het bestuur vooral als lastig worden gezien en niet als een volwaardig (sparring)partner die waarde toevoegt. In het vervolg wordt ingegaan op de wijze waarop pensioenfondsen de verschillens kunnen invullen, rekening houdend met bovenstaande uitgangspunten en aandachtspunten. is (nog) geen actuariële Het invullen van de actuariële lijkt op voorhand de minste problemen op te leveren. Het wetsvoorstel maakt het immers mogelijk om de actuariële bij de waarmerkend actuaris te beleggen: artikel 143 van de Pensioenwet wordt aangepast, zodat de waarmerkend actuaris de werkzaamheden van de actuariële kan vervullen. In de Nota van Toelichting bij de (ontwerp) AMvB wordt hierbij duidelijk gemaakt dat de actuariële 2
de basisgegevens, maar er wordt voorbijgegaan aan het feit dat de waarmerkend actuaris daarbij geen oordeel vormt over de door de accountant uitgevoerde controles. Pensioenfondsen moeten zich dus realiseren dat wanneer de actuariële wordt belegd bij de waarmerkend actuaris dit een andere deskundigheid vraagt bij de waarmerkend actuaris pensioenfondsen moeten zich ervan vergewissen dat de waarmerkend actuaris daarover beschikt en vervolgens ook de opdracht en de monitoring daarop aanpassen. een controlerende rol heeft en dat het bij het beoordelen van de gedragslijn over het aangaan van pensioenverplichtingen en de adequaatheid van eventuele verzekeringsregelingen gaat om een oordeel achteraf. Hiermee lijkt de actuariële dus nadrukkelijk geen adviserende en/of challengende rol te hebben in tegenstelling tot de tweedelijns rol binnen het 3LoD. Pensioenfondsen dienen zich er van bewust te zijn dat uit het oogpunt van een doeltreffende governance deze rol wel moet worden ingevuld. Wanneer de actuariële louter wordt ingevuld vanuit een controlerende rol bestaat immers het risico dat deze door het bestuur vooral wordt gezien als een moetje vanuit wet- en regelgeving en dus niet bijdraagt aan een betere besluitvorming. Een tweede punt van aandacht bij de invulling van de actuariële betreft het beoordelen van de kwaliteit van de gegevens die wordt gebruikt bij de berekening van de technische voorzieningen. In de Nota van Toelichting wordt aangegeven dat dit momenteel is belegd bij de externe accountant en dat deze situatie gehandhaafd kan blijven. De waarmerkend actuaris besteedt in dit geval de beoordeling van de gegevens uit aan de externe accountant en stelt vervolgens vast of de door accountant uitgevoerde controle voldoende zekerheid geeft over de kwaliteit van de gegevens. Dit sluit aan bij de huidige praktijk, waarbij de waarmerkend actuaris gebruik maakt van de door de externe accountant uitgevoerde werkzaamheden betreffende Een mogelijk bijkomend probleem is dat nu in de praktijk geldt dat de externe accountant gebruik maakt van de werkzaamheden van de waarmerkend actuaris. De vraag is of dit nog steeds mogelijk is wanneer de waarmerkend actuaris de actuariële vervult en daarmee kan worden gezien als onderdeel van de interne beheersing van het pensioenfonds. Dit is een vraag voor de externe accountant, die moet beoordelen of de onafhankelijkheid voldoende is gewaarborgd om gebruik te blijven maken van de werkzaamheden van de waarmerkend actuaris bij de controle van de jaarrekening. Indien dit niet het geval is, betekent dit voor pensioenfondsen vrijwel zeker een toename van de kosten voor de controle van de jaarrekening. Kortom, de (rol van de houder van de) actuariële kan worden belegd bij de waarmerkend actuaris, maar pensioenfondsen doen er goed aan om na te denken over de consequenties die dit heeft voor de specifieke werkzaamheden van zowel de waarmerkend actuaris als de externe accountant, inclusief de daarbij behorende kosten. stelt extra eisen aan In de Memorie van Toelichting bij het wetsvoorstel wordt onderscheid gemaakt tussen de houder van de sleutel en personen die betrokken zijn bij de uitvoering van. Dit onderscheid is van belang voor de risicobeheer en de interne audit, aangezien wordt gesteld dat het veelal niet mogelijk zal zijn om de rol van houder van de risicobeheer en de interne audit uit te besteden. werkzaamheden van de overige personen betrokken bij het vervullen van s wordt daarentegen wel mogelijk geacht. De reden die wordt gegeven voor het niet kunnen uitbesteden van de rol van de houder van de risicomanagement is dat dit de verantwoordelijkheid van het pensioenfonds voor de organisatie en beheersing van de bedrijfsprocessen en het toezicht daarop kan ondermijnen, aangezien de houder van de risicobeheer in staat moet zijn alle relevante risico s en beheersmaatregelen 3
om onafhankelijkheid sleutels te waarborgen IORP II vereist dat de houders van s hun taken objectief, eerlijk en onafhankelijk kunnen vervullen. In het geval dat een bestuurslid de rol van de houder van een sleutel vervult, vraagt dit om aanvullende waarborgen voor de onafhankelijkheid. Bij een paritair model vindt de besluitvorming veelal collegiaal plaats en kan de onafhankelijkheid van de risicobeheer onder meer worden gewaarborgd door middel van een rechtstreekse toegang tot het toezichthoudend orgaan van het pensioenfonds. Voor de onafhankelijkheid van de interne audit is het van belang dat de aansturing plaatsvindt door de raad van toezicht en dat er een functionele rapportagelijn is naar het toezichthoudend orgaan van het pensioenfonds. integraal te overzien, inclusief de strategische risico s en het bestuur daarover op totaalniveau moet kunnen informeren. Voor de interne audit wordt gesteld dat uitbesteding afbreuk doet aan de kwaliteit van de onafhankelijke interne toetsing bij een pensioenfonds. Op basis hiervan kan worden geconcludeerd dat pensioenfondsen de rol van de houder van de risicobeheer en de interne audit binnen het fonds moeten invullen. Het ligt daarbij niet voor de hand dat de rol van sleutelhouder wordt belegd bij een lid van de raad van toezicht of een niet-uitvoerend bestuurslid. De reden hiervoor is dat het intern toezicht (onder meer) verantwoordelijk is voor het functioneren van s. Dit betekent zeer waarschijnlijk dat voor veel (met name kleinere) pensioenfondsen de rol van de houder van de risicomanagement en de interne audit bij een (uitvoerend) bestuurslid komt te liggen. Van belang hierbij is dat pensioenfondsen bij het benoemen van de houder van de risicobeheer en de interne audit kijken naar de binnen het bestuur aanwezige deskundigheid: de houder moet over voldoende deskundigheid beschikken om de werkzaamheden van uit te kunnen voeren, dan wel om voldoende tegenwicht te bieden aan de partij waaraan de werkzaamheden zijn uitbesteed. Voor pensioenfondsen met een gemengd model vormt het invullen de rol van de houder van risicobeheer en de interne audit mogelijk een extra uitdaging, gegeven dat er in de regel slechts enkele uitvoerende bestuurders zijn. Hierdoor is het vrijwel onmogelijk om een uitvoerend bestuurslid aan te stellen dat uitsluitend verantwoordelijk is voor risicobeheer en een uitvoerend bestuurslid dat uitsluitend verantwoordelijk is voor interne audit. In dat geval zullen pensioenfondsen (additionele) maatregelen moeten treffen om een onafhankelijke uitvoering van de risicobeheer en de interne audit te waarborgen. Voor interne audit kan dit bijvoorbeeld zijn het periodiek uit laten voeren van een audit door een externe partij naar de processen waar de houder van de interne audit voor verantwoordelijk is. Voorts dient zowel bij een paritair model als bij een gemengd model te worden voorkomen dat de houders van de risicobeheer en de interne audit tevens verantwoordelijkheid dragen voor andere aandachtsgebieden die tot een belangenconflict kunnen leiden. Een voorbeeld in dit verband is het combineren van verantwoordelijkheid voor het vermogensbeheer met de rol van de houder van de risicobeheer. merk ik op dat het toewijzen van specifieke aandachtsgebieden niet nieuw is binnen (pensioenfonds)besturen en dit niet strijdig hoeft te zijn met de collegialiteit in de besluitvorming zolang belangenconflicten die voortvloeien uit de verschillende aandachtsgebieden passend worden beheerst. 4
In het geval dat pensioenfondsen beschikken over een lijkt de wetgeving de mogelijkheid open te houden om de rol van de houder van de risicobeheer en de interne audit op het te beleggen. Ook in dat geval gelden onverminderd de eisen aan deskundigheid en onafhankelijkheid. Een belangrijk voordeel van het op het beleggen van de rol van de houder van de risicobeheer of de interne audit is dat de onafhankelijkheid wanneer het gaat om het boordelen van bestuursbesluiten beter gewaarborgd is. Daarentegen geldt, met name voor de risicobeheer, dat houders mogelijk minder in staat zijn om invloed uit te oefenen op de (strategische) besluitvorming. De keuze om de rol van de houder van de risicobeheer en de interne audit op het te beleggen is, los van de deskundigheid, daarmee vooral een keuze tussen onafhankelijkheid versus invloed. Uiteraard geldt dat wanneer een pensioenfonds beschikt over een, het pensioenfonds evengoed de keuze kan maken om de rol van de houder van de risicobeheer en de interne audit binnen het bestuur te beleggen. vraagt om formalisatie Zoals aangegeven blijft het mogelijk voor pensioenfondsen om de werkzaamheden van de risicobeheer en de interne audit uit te besteden. Mits wordt gewaarborgd dat pensioenfondsen kunnen blijven voldoen aan hun wettelijke verplichtingen, kan hiermee op efficiënte wijze invulling worden gegeven aan s. Voor de risicobeheer kunnen de werkzaamheden (gedeeltelijk) worden belegd bij partijen waaraan wordt uitbesteed. Dit betekent in de praktijk overigens wel dat pensioenfondsen mogelijk de huidige uitbestedingsovereenkomst nog eens kritisch moeten bekijken om te zorgen dat er heldere afspraken zijn gemaakt welke onderdelen van het risicobeheer worden uitbesteed, welke eisen daaraan worden gesteld en hoe aan het pensioenfonds wordt gerapporteerd. In de praktijk wordt een deel van de werkzaamheden van de risicobeheer mogelijk al uitgevoerd door partijen waaraan wordt uitbesteed als onderdeel van de dienstverlening op het gebied van vermogensbeheer of pensioenadministratie, maar deze zijn vaak niet geëxpliciteerd in de overeenkomst. Aanvullend dient het pensioenfonds te waarborgen dat de tweede lijn van de partij waaraan wordt uitbesteed voldoende onafhankelijk is van de eerste lijn (in het geval van vermogensbeheer betekent dit bijvoorbeeld dat de tweede lijn onafhankelijk is van zowel de fiduciaire als het uitvoerend vermogensbeheer). Een alternatief is om voor de werkzaamheden van de risicobeheer gebruik te maken van een derde daarin gespecialiseerde externe partij Voor de interne audit lijkt het gebruik maken van een gespecialiseerde externe partij de meest voor de hand liggende oplossing. Voor veel pensioenfondsen is het niet haalbaar om een volledige interne audit in te richten met de vereiste combinatie van deskundigheid en vaardigheden. Daarbij is het aantal audits dat moet worden uitgevoerd naar verwachting beperkt, waardoor de interne audit geen fulltime zal zijn. In de praktijk maakt een aantal Algemeen Pensioenfondsen reeds gebruik van een externe partij voor het uitvoeren van audits. 5
Bij de keuze om de werkzaamheden van de risicobeheer en de interne audit (gedeeltelijk) uit te besteden moeten pensioenfondsen tevens rekening houden met het feit dat uitbesteding betekent dat het aantal partijen dat betrokken is bij de uitvoering van s toeneemt. Dit vraagt om extra aandacht voor de coördinatie tussen de verschillende partijen om ervoor te zorgen dat informatie onderling wordt gedeeld en er geen sprake is van gaten of overlap. Een goede samenwerking, niet alleen tussen s onderling, maar ook tussen s en overige bij het pensioenfonds betrokken organen, is immers een voorwaarde voor een doeltreffende governance. Uitzondering op het voorgaande vormen de ondernemingspensioenfondsen: de wetgeving biedt namelijk de mogelijkheid om de werkzaamheden uit te besteden aan de werkgever, onder de voorwaarde dat het pensioenfonds uitlegt hoe eventuele belangenconflicten met de werkgever worden voorkomen of beheerst. Ondernemingspensioenfondsen kunnen voor de interne audit dus steunen op de interne audit van de werkgever. Ook hiervoor zijn in de praktijk al voorbeelden te vinden van ondernemingspensioenfondsen die die gebruik maken van de interne audit van de werkgever (o.a. Shell, DSM). De inrichting van s is bepaald geen sinecure en is onder andere afhankelijk van het bestuursmodel en de aanwezigheid van een. Pensioenfondsen doen er goed aan de verschillende alternatieven in kaart te brengen en te beoordelen op bijvoorbeeld effectiviteit, onafhankelijkheid, kosten en beschikbaarheid (tijdsbesteding en aanwezige deskundigheid). Het 3LoD-model blijft daarbij een geschikt hulpmiddel om de rollen en verantwoordelijkheden helder te definiëren. Tegelijkertijd moeten pensioenfondsen beseffen dat het inrichten van s slechts de eerste stap is naar een doeltreffende governance. Uiteindelijk draait het om de werking van s in de praktijk en de mate waarin de sleutels bijdragen aan een betere beheersing van de risico s. Andere aspecten, zoals de kwaliteit van de mensen en cultuur, zijn daarbij minstens zo belangrijk. s voor meer informatie Tim Bloklander PwC Manager T. +31 (0)88 792 35 70 M. +31 (0)6 13 92 10 29 E. tim.bloklander@pwc.com Casper Lötgerink PwC Senior Manager T. +31 (0)88 792 35 26 M. +31 (0)6 10 92 24 56 E. casper.lotgerink@pwc.com 2018 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details. 6