De invulling van de sleutelfuncties vraagt om goede afstemming
Voor pensioenfondsen krijgt de inhoud van de sleutelfuncties vanuit de richtlijn voor Institutions for Occupational Retirement Provision II (IORP II) dit jaar verder vorm. De drie sleutelfuncties (Actuarieel, Risicobeheer en Interne Audit) moeten zorgen voor een versterking van de interne beheersing van het pensioenfonds.
Gegeven de hoge mate van uitbesteding door pensioenfondsen zal uitbesteding de warme belangstelling genieten van de sleutelfunctionarissen Risicobeheer en Interne Audit, zo is onze verwachting. De rol van Interne Audit met betrekking tot uitbesteding is bovendien wettelijk verankerd[1]. Onderzoek van DNB[2] (zie figuur 3) laat bovendien zien dat er bij pensioenfondsen op diverse onderdelen van de beheersing van uitbesteding nog verbetering nodig is. In dit artikel schetsen wij een mogelijke rolverdeling tussen deze twee functionarissen waar het gaat om uitbestedingsrelaties.
Uitgangspunt voor de inrichting van de sleutelfuncties vormt het 'three lines of defense'-model. De uitvoering is de eerste lijn. De Risicobeheerfunctie neemt de tweede (monitorende) lijn in en de Interne Auditfunctie vormt de derde (toetsende) lijn. Deze indeling impliceert een volgordelijkheid.
Een effectieve invulling van de sleutelfuncties is gebaat bij een goed inzicht in de uitbestedingsketen, de hieraan gerelateerde risico's en de beheersingsmaatregelen[3].
De praktijk is dat dit inzicht vaak (te) globaal is. Een gedegen risicoanalyse omvat een concrete vertaalslag van financiële en niet-financiële risico's voor het pensioenfonds over de hele uitbestedingsketen heen.
Vanwege deze omstandigheden is een volgordelijke behandeling van het onderwerp uitbesteding niet voor de hand liggend. De Risicobeheer- en Interne Auditfunctie kunnen elkaar versterken door hand in hand op te trekken.
Invulling van de rolverdeling aan de hand van de uitbestedingscyclus kan als volgt zijn:
Fase | Taken voor de Risicobeheerfunctie [4] | 'Hand in hand' | Taken voor de Interne Auditfunctie |
Uitbestedings-beleid | Risicobeoordeling (proces en inhoud)
Inrichten en onderhouden methoden ter identificatie, meting, bewaking en beheersen risico's
Risico-alertheid bevorderen |
Eenduidige visie over opzet en diepgang van de risico-analyse en afstemming over onderkende witte vlekken | Toetsing van de vertaalslag van missie, visie, strategie en risico's naar beleidsuitgangspunten |
Keuze uitvoerder | Evaluatie risicobeheersing in verschillende proposities
Controleren risicobeheersing in de stappen van het keuzeproces |
Mate van inzicht in de risico's en beheersing hiervan bij de potentiële uitbestedingspartijen
Balans in keuze tussen 'prijs' en mate van risicobeheersing in het voorstel van de uitbestedingspartijen in het keuzeproces |
Toetsing van de opzet van de beheersing van risico's bij de uitbestedingspartij[5] voordat keuze wordt gemaakt
Toetsing van de keuze en het keuzeproces aan de hand van criteria uit het uitbestedingsbeleid |
Governance | Inrichten risicobeheer-proces rondom uitbesteding
Inrichten en onderhouden van rapportages |
Inzicht geven/verwerven in het proces van risicobeheer | Toetsing van opzet, bestaan en werking van governance, contracten en rapportages (SLA's) |
Monitoring | Controleren regie over risicobeheersing door beoordeling van (rapportages over) risico's en mitigerende maatregelen van (onder) uitbestedingspartijen (SLA's, ISAE's, incidentrapportages etc.) | Afstemming over witte vlekken, dekking over (onder)uitbestedingspartij-en / tekortkomingen en wijze waarop restrisico's worden gemitigeerd
Uitvoeren van root cause-analyses bij tekortkomingen |
Toetsing van de monitoring op (onder)uitbesteding door bestuur en de Risicobeheerfunctie |
Evaluatie | Beoordeling van regie over uitbesteding en bijstellen risicoanalyse
Adviseren vanuit de controlefunctie |
Afstemming over prioriteitstelling van opvolging | Toetsen opzet, bestaan en werking van de evaluatie van regie over (onder)uitbestedingsrelaties
Monitoren van opvolging van bevindingen |
Figuur 2 - Voorbeeld taakverdeling |
De interne beheersing op uitbesteding is verder een belangrijk element in de controle van de externe accountant (vierde lijn) van het pensioenfonds. Daarmee is de externe accountant ook een partij om actief de afstemming mee te zoeken. Dit om te voorkomen dat er witte vlekken of dubbelingen in de toetsingen ontstaan. Deze afstemming is vooral van belang tussen de Interne Auditfunctionaris en de externe accountant.
De sleutelfunctionarissen Risicobeheer en Interne Audit vervullen een belangrijke rol in (het toetsen van) de beheersing van uitbesteding. De invulling van deze rollen vraagt goede afstemming en komt het best tot haar recht als deze rollen hand in hand gaan. Ook de afstemming met de externe accountant moet actief worden gezocht om de toetsing zo efficiënt mogelijk in te richten.
[1] Artikel 22a lid 2 Besluit Financieel Toetsingskader
[2] 'Terugkoppeling onderzoek 'inventarisatie uitbesteding'', 29 augustus 2018, DNB
[3] De bomen door het uitbestedingsbos zien
[4] Zie DNB - Geschiktheidseisen sleutelfunctiehouder risicobeheerfunctie
[5] Waar gesproken wordt over uitbestedingsrelatie wordt ook bedoeld onderuitbestedingsrelaties
© 2021 KPMG N.V., a Dutch limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
For more detail about the structure of the KPMG global organization please visit https://home.kpmg/governance.