Wat gebeurt er in de praktijk?
In de praktijk zien wij dat pensioenfondsen met het volgende worden geconfronteerd:
Nieuwe wetgeving stelt nieuwe eisen aan verantwoording. De pensioenfondsen en hun uitbestedingspartijen moeten anticiperen op indicatoren die bijdragen aan de verantwoording. Het vergt enige tijd om dat te implementeren en verder te verfijnen. Dit is onder andere zichtbaar bij het meten en zichtbaar maken van de prestaties van ESG-beleid binnen een beleggingsmandaat, maar geldt ook voor de beheersing van IT en cybercrime.
De reikwijdte van de verantwoording door uitbestedingspartijen sluit niet aan bij de behoefte van de pensioenfondsen. Deze constatering kent uiteenlopende verschijningsvormen:
- Buitenlandse uitbestedingspartijen zijn minder snel bereid om te voldoen aan alle rapportageverplichtingen, bijvoorbeeld omdat de Nederlandse pensioenfondsen een klein aandeel vormen in hun klantenportefeuille. Het Nederlandse toezichtskader is voor deze uitbestedingspartijen soms letterlijk ‘ver van het bed’.
- Uitbestedingspartijen beschikken over beleid en een intern rapportagekader maar zijn niet bereid dit inhoudelijk te delen met hun opdrachtgevers. Dit zien wij wederom het meeste bij buitenlandse partijen waarbij beleid op concernniveau wordt opgesteld en van toepassing is voor alle dochterondernemingen.
- De wijze van rapporteren is te algemeen van aard en derhalve is door het ontvangende pensioenfonds de impact op de bestaande processen of borging van de bestaande kwaliteit van dienstverlening niet te duiden. Dit zien wij bijvoorbeeld bij ontwikkelingen van strategische aard zoals de overname of verkoop van bedrijfsonderdelen of omvangrijke projecten die intern worden doorgevoerd.
- Er wordt gerapporteerd over de werkzaamheden die de uitbestedingspartij zelf uitvoert maar niet over de processen die worden uitgevoerd door aangestelde onderuitbestedings- partijen. Deze uitsluitingen worden een carve-out genoemd. Dit gebeurt met men name in assurancerapportages. De controlerend accountant steunt op assurancerapportages om de zekerheid van de cijfers in de jaarrekening mede te bepalen. Voorbeelden van dergelijke carve-outs door onderuitbesteding zijn het bruto-netto proces van de maandelijkse pensioenbetalingen; de inning van de opgelegde premiefacturen (met name bij bedrijfstakpensioenfondsen).
De beoordeling van rapportages vergt (te) veel tijd van het bestuursbureau en het bestuur. Het monitoren van de beheerste en integere bedrijfsvoering vergt inmiddels een substantieel deel van de beschikbare capaciteit van een bestuursbureau en het bestuur. Digitalisering van processen en het langer worden van de uitbestedingsketen door onder- uitbesteding zijn hier mede debet aan. Pensioenfondsen worden vaker geïnformeerd over wijzigingen in onderuitbestedingspartijen of vervanging van substantiële systemen in de keten waarvan de impact op de uitvoering nader beoordeeld moet worden. Het risico dreigt dat het pensioenfonds verzandt in details en de impact op de strategische doelstellingen uit het oog verliest.
Het bestuur heeft te weinig aandacht voor de beoordeling van processen.Het bestuur is onvoldoende doordrongen van het belang van de monitoring van de processen waardoor gesignaleerde knelpunten niet bestuurlijk worden behandeld en benodigde actie uitblijft.
De kracht van risicomanagement
Het risicomanagementbeleid kan bijdragen aan de effectieve beoordeling van rapportages. Een integrale rapportage over de opzet, bestaan en werking van het risicomanagementbeleid is onderdeel van het risicomanagementproces. Een dergelijke rapportage is in opzet afgestemd op het risicocontrolframework van het fonds en geeft aan in hoeverre de beheersmaatregelen werken, voldoen aan de kwaliteits- eisen en of de uitkomsten passen binnen de risicohouding van het bestuur. De reikwijdte van het risicocontrolframework bestrijkt alle risicogebieden zowel op strategisch als operationeel niveau.
Het vervaardigen van een risicorapportage is maatwerk en daarbij wordt onder andere geput uit de rapportages die het pensioenfonds van de uitbestedingspartijen ontvangt. De toegevoegde waarde van een fondsspecifieke risicorapportage zijn legio.
Het draagvlak voor en betrokkenheid bij een specifieke risicorapportage binnen het fonds is groot. Het is immers de rapportage over de mate waarin de doelstellingen wel of niet worden gerealiseerd met een toelichting van de onderliggende oorzaken. Een voorwaarde is wel dat deze risicorapportage binnen de governance goed wordt verankerd bijvoorbeeld met een werkgroep bestaande uit medewerkers van het bestuursbureau en enkele bestuursleden. Deze werkgroep bereidt de concept risicorapportage voor, voordat deze wordt gepresenteerd aan het bestuur. Een herkenbare risicorapportage draagt bij aan de bestuurlijke behandeling en het adresseren van passende acties door het bestuur.
De risicorapportage biedt informatie waarmee het bestuur beschikt over countervailing power om richting uitbestedingspartijen concreet hun eisen en voorwaarden aan de dienstverlening duidelijk te maken plus de onderliggende afweging. Dit kan ook uitmonden in verantwoording van uitbestedingspartijen in een andere vorm zoals een periodiek overleg waarin specifieke thema’s worden geagendeerd. Overleg tussen de sleutelfunctiehouder risicobeheer, de risicomanager en de tweede lijn van uitbestedingspartijen kan eveneens waardevolle achtergrond- informatie opleveren. Kortom, het bestuur houdt op deze wijze regie op de uitvoering en zorgt er actief voor dat het in control is en blijft.
Klik hier om het originele artikel te lezen.