6. Risicobeheersing

Integraal risicomanagement is alleen effectief als het gedragen wordt door de houding van bestuursleden, medewerkers en stakeholders. Wij streven naar een cultuur waarin transparantie, een constructief-kritische houding naar elkaar en integriteit vanzelfsprekend zijn. We zijn ons bewust van onze voorbeeldrol. Het bestuur voert daarom actief de dialoog over risico’s, risicobereidheid en de effectiviteit van de getroffen beheersmaatregelen.

Wij onderscheiden strategische risico’s, financiële risico’s en niet-financiële risico’s. Deze risicosoorten vormen de basis voor de risk self assessment, tussentijdse risicoanalyses en risico-opinies.

Het behalen van onze strategische doelstellingen is onderhevig aan risico’s die de continuïteit van het fonds kunnen raken. De ontwikkeling van de strategische risico’s inclusief de effectiviteit van de mitigerende beheersmaatregelen wordt door het bestuur halfjaarlijks gemonitord. Het bestuur heeft de missie, visie en strategische doelstellingen en de strategische risico’s in 2024 niet gewijzigd.

Binnen het beleggingsbeleid onderkennen wij financiële risico’s inclusief normen en bandbreedtes waarbinnen deze financiële risico’s zich mogen bewegen. De beheersing van de financiële risico’s worden onder andere gemonitord en bewaakt via een tweedelijns kwartaalrapportage. Het  bestuur behandelt deze tweedelijns kwartaalrapportage. Benoemde aandachtspunten worden door de BMC opgevolgd.

Wij onderkennen niet-financiële risico’s met betrekking tot de dagelijkse bedrijfsvoering, uitbesteding, integriteit, IT en juridisch. Deze niet-financiële risico’s met bijbehorende beheersmaatregelen zijn vastgelegd in een Risk Control Framework. We willen de risico’s gerelateerd aan de bedrijfsprocessen minimaliseren. Deze bedrijfsprocessen zijn vastgelegd in een handboek Administratie Organisatie & Interne Beheersing. De niet-financiële risico’s en bijbehorende beheersmaatregelen zijn integraal onderdeel van dit handboek. De beheerste en integere bedrijfsvoering van de uitbestedingspartijen wordt beoordeeld op basis van hun (assurance)rapportages. De risicomanager geeft een tweedelijns oordeel bij de eerstelijnsbeoordeling. 

Op specifieke thema’s voeren wij periodiek risicoanalyses door de gehele procesketen uit, zoals integriteit (SIRA), Informatiebeveiliging en cybersecurity en ESG. We hebben de systematische integriteitsrisico analyse integraal uitgevoerd en geconcludeerd dat het risicobeeld ten opzichte van vorig jaar niet is gewijzigd. Ook hebben we bijeenkomsten belegd voor alle verbonden personen om het bewustzijn rondom integriteit, ook in relatie tot cybersecurity, onder de aandacht te houden en te versterken.

Tenminste eens in de drie jaar stellen wij een ERB op. In de ERB is onderzocht wat de materiële impact is van gedefinieerde scenario’s op de strategische doelstellingen en risico’s van het fonds voor de periode mei 2024 tot en met mei 2027. De onderzochte scenario hebben betrekking op economische veranderingen, de transitie naar nieuwe pensioenstelsel en themascenario’s over duurzaamheid en klimaatverandering, cybersecurity en geopolitieke instabiliteit.

Het bestuur heeft geconcludeerd dat enkele van de gedefinieerde scenario’s de strategische doelstellingen van het fonds raakt. De financiële impact, dan wel de impact op de reputatie van het fonds, werd zodanig groot geacht dat vervolgacties nodig zijn om zowel de kans als de impact te verminderen. De benodigde vervolgacties zijn benoemd, in gang gezet en worden gemonitord. De vervolgacties betreffen onder meer de scenario’s over de transitie naar het nieuwe pensioenstelsel. Deze hebben we gedeeltelijk opgevolgd door het definiëren van de missie, visie, strategie en strategische doelstellingen zoals deze gaan gelden van af het moment van transitie naar het nieuwe pensioenstelsel. De voorbereiding van de partiële ERB over opdrachtaanvaarding van de nieuwe pensioenregeling is gestart.

De eerste lijn heeft de risicobeheersing van het programma INPC periodiek herzien vanwege het besluit om de overgangsdatum te verzetten van 1 januari 2025 naar 1 januari 2027. De risicobeheersing is verder verfijnd door de risicoanalyses van de belangrijkste ketenpartijen te bespreken en vervolgens te integreren in de risicobeheersing van het fonds.

De tweede lijn heeft de ‘Good practice: de sleutelfunctie risicobeheer tijdens de transitie naar het nieuwe pensioenstelsel beoordeeld’ van DNB beoordeeld aan de hand van een gap-analyse. Vervolgens hebben we de geconstateerde hiaten uitgewerkt en ingevoerd.

De tweede lijn heeft de voortgang en de risicobeheersing van het Programma INPC gevolgd. De sleutelfunctiehouder risicobeheer voorziet de periodieke 1^e lijns voortgangsrapportage van een opinie.

Tevens hebben de sleutelfunctiehouder actuarieel en de sleutelfunctiehouder risicobeheer opinies afgegeven op inhoudelijke besluiten onder ander over de verhoging van de renteafdekking ter bescherming van de beoogde invaardekkingsgraad, de implementatie van datakwaliteit volgens het normenkader van de Pensioenfederatie.

Wij hebben een ambitie en beleid geformuleerd om op een beheerste en integere wijze de facetten rondom informatiebeveiliging te kunnen borgen. Dit jaar hebben wij onze eigen IT-omgeving aangepast aan de huidige marktstandaard door onder andere het datacentrum over te hevelen naar een cloud-omgeving. Vervolgens is een penetratietest uitgevoerd op onze fondseigen IT-omgeving om te testen of deze voor onbevoegde derden toegankelijk is. Daarvan is geen sprake, er zijn wel onderdelen voor versterking vatbaar. Ook hebben we het business continuity beleidsplan getest aan de hand van fictieve ransomware aanval met het oog op bewustzijn van de risico’s, aanpak en besluitvorming in lijn met het beleid.

De Digital Operational Resilience Act (DORA) is een Europese verordening die als doel heeft om de digitale weerbaarheid van de financiële sector te vergroten. De verordening is op 17 januari 2023 in werking getreden en is vanaf 17 januari 2025 van kracht in de Nederlandse wetgeving.  DORA richt zich op ICT-risicomanagement, ICT-incidenten, het periodieke testen van digitale operationele weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden en de samenwerking rond uitwisseling van informatie over cyberdreigingen. Nog niet alle kritieke en belangrijke ketenpartijen hebben de gewijzigde overeenkomst ten aanzien van DORA ondertekend. Wij, maar ook onze kritieke en belangrijke uitbestedingspartijen, hebben nog niet met onze uitbestedingspartijen formele overeenstemming over de contractuele aanpassingen die DORA verlangt. Dit is van toepassing voor de gehele pensioensector. Van onze uitbestedingspartijen is TKP zo goed als gereed voor DORA. De uitbestedingspartijen voor vermogensbeheer BNYM en GSAM werken nog niet mee vanwege hun opvatting dat zij geen IT-diensten leveren. Zij zijn wel DORA plichtig tav hun eigen toezichthouder, maar aanvaarden geen ketenverantwoordelijkheid naar ons fonds. Wij hebben DNB hierover geïnformeerd.

De overgang naar de nieuwe regels voor pensioen is een ingrijpend en complex proces, waarbij een groot beroep wordt gedaan op ons verandervermogen en dat van onze ketenpartijen. Om de overgang beheerst en integer uit te voeren is het Programma Implementatie Nieuw Pensioen Contract (INPC) opgesteld. De transitie brengt externe en interne onzekerheid met zich mee. Gedurende het verloop van het INPC programma verandert ook het risicoprofiel.

Vlak voor jaareinde hebben sociale partners het vastgestelde transitieplan verstrekt aan ons. Het gehele jaar hebben wij al gewerkt aan de ontwikkeling van beleid op basis van de bekende contouren van de solidaire premieregeling. Methet ontvangen transitieplan kunnen wij gericht (verder) werken aan de opdrachtaanvaarding.

Sociale partners hebben ons verzocht maatregelen te treffen om de kans te beperken dat de dekkingsgraad daalt onder het niveau van de benodigde dekkingsgraad. De beperking van de volatiliteit van de dekkingsgraad is beperkt door de renteafdekking te verhogen tot 80%. Onderdeel van de besluitvorming was de toets op evenwichtigheid. De BMC volgt de ontwikkeling van de dekkingsgraad en werkt ook een plan uit dat voorziet in verdere mitigerende maatregelen.

Het voornaamste risico is het tijdig correct en volledig realiseren van het besluitvormingsproces inzake de opdrachtaanvaarding van de nieuwe pensioenregeling, inclusief het verzoek tot invaren van de opgebouwde pensioenaanspraken en -rechten zodanig dat dit de toets der kritiek van de toezichthouder kan doorstaan. De uitwerking van beleid vergt meer tijd dan voorzien. Ook heeft de toezichthouder aanvullende guidance verstrekt met eisen aan de kwalitatieve en kwantitatieve onderbouwing van de evenwichtigheid. De programmaplanning wordt bijgesteld waar mogelijk en er is maximale tijd gereserveerd bij bestuur en onze andere fondsorganen voor de inhoudelijke uitwerking en besluitvorming van het INPC programma. Ook is de capaciteit uitgebreid door externe inhuur.

Het verschuiven van de beoogde overgangsdatum naar 1 januari 2027 heeft enerzijds een risicoverlagend effect omdat naar verwachting tegen die tijd verschillende pensioenfondsen de overgang hebben gerealiseerd. Wij verwachten de overgang te realiseren volgens een bewezen (IT-)proces. Anderzijds blijft de druk op het realiseren van de overgangsplanning bij de pensioenuitvoeringsorganisatie hoog omdat per 1 januari 2025 geen enkele opdrachtgever de overgang heeft gerealiseerd. Naar verwachting gaan wij de overgang realiseren tegelijkertijd met de grootste opdrachtgevers.

De continuïteit van de pensioenuitvoeringsorganisatie is een extern risico. Deze bevindt zich in een algehele transitie om de uitvoering van de pensioenovereenkomsten van het nieuwe stelsel te kunnen uitvoeren. Dit alles naast de reguliere uitvoering en (nieuwe) wettelijke vereisten waaraan blijvend aan moet worden voldaan. Wij zijn hierover in gesprek met de pensioenuitvoeringsorganisatie.

Andere trends en ontwikkelingen:

• Risico’s van klimaatverandering;
• ESG-risicomanagement;
• Geopolitieke risico’s;
• IT-beleid en risicomanagement en
• (Onder-)uitbestedingsmanagement.

De Sleutelfunctiehouder Risicobeheer neemt een onafhankelijke positie in en richt zich vooral op inhoudelijke specifieke vraagstukken waar een risico oordeel en risico opinie gewenst is.  De sleutelfunctiehouder Risicobeheer rapporteert halfjaarlijks aan het bestuur en de rvt en daarbij legt hij het bestuur de belangrijkste aandachtspunten vanuit het risicomanagement en zijn waarnemingen voor. In het risicomanagementjaarplan worden specifieke aandachtspunten van de sleutelfunctiehouder risicobeheer geadresseerd.

Dit jaar hadden de voornaamste aandachtspunten van de sleutelfunctiehouder Risicobeheer betrekking op de beoordeling van de beheerste uitvoering van het INPC-programma, de beoordeling van de reguliere ERB, de beoordeling van het doorlopen proces en de uitkomsten van de implementatie van datakwaliteit volgens het normenkader van de Pensioenfederatie en de verhoging van de renteafdekking.

Op basis van een risicoanalyse van interne en externe factoren stelt de interne audit functie ieder jaar een intern audit plan op. Het bestuur keurt het intern audit plan goed. 

Conform het interne audit plan is in de eerste helft van 2024 gestart met een onderzoek naar datakwaliteit. Door vertragingen in het datakwaliteitsproject liep ook het intern audit onderzoek vertraging op. De afronding is gepland in het eerste kwartaal 2025.

De voor de tweede helft 2024 geplande audit op het INPC-programma is door verschuivingen in de planning van het programma uitgesteld naar 2025. In overleg tussen de sleutelfunctiehouder interne audit en het bestuur is besloten om geen vervangende audit uit te voeren.

De interne audit functie nam in 2024 deel aan de multi-client audits op de uitvoerder TKP. TKP heeft Deloitte voor de Wtp-transitie ingesteld in de rol van interne audit. Hierbij is volledige transparantie richting de klanten. Deloitte rapportages werden in de stuurgroep INPC geagendeerd. In 2024 besloot het MCA TKP overleg een audit uit te voeren op de DORA gereedheid bij TKP. SPN participeerde in deze audit. Het eindrapport is in december opgeleverd.

De sleutelfunctiehouder interne audit rapporteert halfjaarlijks en legt hierbij aan het bestuur en aan de rvt de belangrijkste aandachtspunten vanuit de interne audit functie voor

Elk kwartaal stelt de sleutelfunctiehouder actuarieel een verslag op waarin hij onder andere een opinie geeft over de ontwikkeling van onze dekkingsgraad. Dit krijgt vorm in een oordeel over de betrouwbaarheid en adequaatheid van de berekening van de Technische Voorziening (TV). In de rapportages in 2024 heeft hij geconstateerd dat “de effecten op de TV op logische wijze tot uiting komen in de vaststelling van de (beleids-)dekkingsgraad”. Voorts doet hij aanbevelingen op het gebied van actuariële onderwerpen die voor ons van belang kunnen zijn.

Verder heeft de sleutelfunctiehouder actuarieel in 2024 in het traject van datakwaliteit voor het invaren meerdere opinies afgegeven. Daarnaast heeft hij op de volgende onderwerpen aandacht gevraagd van het bestuur voor actuele actuariële onderwerpen en de overgang naar de Wtp.

Geen van de sleutelfunctiehouders heeft in de loop van 2024 materiële risico’s geconstateerd.

In 2023 is een nieuwe gedragslijn van kracht geworden als het gaat om omgaan met klachten en het afleggen van verantwoording hierover. De wettelijke definitie van een klacht zoals opgenomen in de Wet toekomst pensioenen: “elke uiting van ontevredenheid van een persoon, gericht aan de pensioenuitvoerder, wordt beschouwd als een klacht.”

Deze uitgebreidere definitie, want ook een deelnemer die in een telefoongesprek aangeeft ‘niet zo blij te zijn’ valt hier onder, heeft behoorlijk veel impact op de wijze waarop onze pensioenuitvoerder TKP klachten registreert en rapporteert. Vanaf medio 2024 worden alle klantsignalen direct geregistreerd, ongeacht of deze schriftelijk of mondeling zijn geuit. Voor de eerste helft van 2024 geldt dat de pensioenuitvoerder met terugwerkende kracht veel klantsignalen alsnog heeft kunnen registreren, maar ongetwijfeld zal een deel gemist zijn.

Om de dienstverlening aan deelnemers voortdurend te verbeteren, hanteren we een gestructureerde en geïntegreerde aanpak. Hierbij staat de klantbeleving centraal: de manier waarop deelnemers alle interacties ervaren gedurende de volledige klantreis en via alle kanalen. Klachten van deelnemers vormen een belangrijke bron van data die we daarvoor gebruiken. Het doel van deze klachtenanalyse is om continu te verbeteren en de dienstverlening te optimaliseren. Door klachten systematisch te onderzoeken, verkrijgen we inzicht in knelpunten en mogelijke verbeterkansen.

In 2024 was er één geschil. Deze is uiteindelijk door het Geschilleninstantie pensioenfondsen (GIP) niet in behandeling genomen omdat het een beslissing betrof van algemene strekking.