Nederlandse pensioenfondsen hebben de beheersing van de financiële risico’s in het algemeen goed op orde. Toch kunnen en moeten de fondsen hun risicomanagement verder professionaliseren. Vooral op het onderdeel ‘Data en systemen’ kunnen Nederlandse pensioenfondsen nog flinke stappen zetten. In beperkte mate wordt op dit moment gebruik gemaakt van geïntegreerde, fondsbrede systemen voor risicobeheersing, ook wel GRC-tooling genoemd. Ook als het gaat om de beheersing van de niet-financiële risico’s die pensioenfondsen lopen, zoals bij het uitbesteden van werkzaamheden, is nog werk aan de winkel. Uit onderzoek van KPMG naar de wijze waarop Nederlandse pensioenfondsen hun risicomanagement hebben ingericht, blijkt dat de fondsen een voldoende scoren. “Op een aantal specifieke aspecten is verdere professionalisering echter noodzakelijk”, zegt Veronique de Boer-Achmad van KPMG Pensions Advisory. De Boer-Achmad: “Als wij kijken naar de risicostrategie en de risicobereidheid, scoren de fondsen nog onvoldoende. De risicobereidheid geeft de bandbreedte aan waarbinnen de organisatie bereid is tot het nemen van risico’s. De risicobereidheid voor financiële risico’s is vaak integraal vastgesteld en ook vertaald naar meetbare KRI’s. Bij de niet-financiële risico’s kan vooral ten aanzien van de uitwerking van de risicobereidheid nog een flinke stap worden gezet. Wij constateren dat veel pensioenfondsen cruciale processen uitbesteden. Ook hier geldt dat een fonds zelf ‘in control’ moet zijn van de risico’s die hieruit voortvloeien zonder hierbij op de stoel van de uitbestedingspartij te gaan zitten. Dit vraagt om periodieke risicoanalyses door het fonds zelf en heldere afspraken over bijvoorbeeld de periodieke rapportage over de actuele risico’s van de uitbestedingspartijen. Op deze manier kan het actuele risicoprofiel worden vergeleken met de risicobereidheid van het fonds.”

GRC-tooling verdient extra aandacht

Het risicomanagementraamwerk van pensioenfondsen bestaat in het algemeen uit zes onderdelen.  De Boer-Achmad: “Naast de cultuur zijn dit de risicostrategie en de bereidheid, de governance en de organisatie, het beleid en het proces, de risicomonitoring en de rapportage hierover en het gebruik van data en IT-systemen. Ons onderzoek laat zien dat op twee onderdelen van risicomanagement verbeteringen nodig zijn om voldoende effectief te kunnen zijn. Bij data en IT-systemen hebben wij vooral gekeken naar de mate van het gebruik van de GRC-tooling en naar de mate waarin actie- en incidentenmanagement plaatsvindt. Wij zien dat in beperkte mate gebruik wordt gemaakt van eigen ontwikkelde tools. Er kan dan ook nog een stap worden gezet om de risicomanagementfunctie de middelen en de infrastructuur te geven om taken effectiever en efficiënter te kunnen uitvoeren. Voor wat betreft de governance hebben wij gekeken naar het gebruik van het ‘three lines-model’. De functies hiervan zijn in het algemeen formeel ingericht waarbij rollen en verantwoordelijkheden zijn gedocumenteerd. De daadwerkelijke werking kan in de praktijk echter worden verbeterd.”

Inspanningen beter aantoonbaar maken

Uit het onderzoek van KPMG blijkt dat het aantoonbaar in control zijn veel pensioenfondsen nog moeite kost. De Boer-Achmad: “De uitvoering van beheersmaatregelen wordt vaak nog niet centraal gemonitord, waardoor het inzicht ontbreekt welke risico’s mogelijk niet adequaat worden beheerst. De benodigde rapportages voor interne en externe belanghebbenden resulteren nog vaak in een verscheidenheid aan deels overlappende documenten die ad hoc worden opgesteld. En een belangrijke punt van aandacht is de kennis van specifieke risico’s, zoals bijvoorbeeld de IT-risico’s. Deze kennis is niet altijd in voldoende mate aanwezig en vaak afhankelijk van individuen. Dit geldt voor zowel de eerste als de tweede lijn. En zoals aangegeven verdienen de risico’s van het uitbesteden van werkzaamheden extra aandacht. Enerzijds zélf in control blijven over de eigen uitbestedingsrisico’s en anderzijds niet op de stoel van de uitbestedingspartij gaan zitten is een lastige balans. Nu wordt vaak nog teveel gesteund op de analyses en rapportages van de uitbestedingspartij, zonder dat daarbij de link naar de risico’s en risicobereidheid van het fonds zelf wordt gelegd.”