Risicomanagement

Omdat PFZW nauw samenwerkt met de uitvoeringsorganisatie en veel werk aan hen uitbesteedt, heeft het bestuur het risicomanagement hierop afgestemd: we spreken een gezamenlijke risicotaal. Het identificeren en beheersen van risico’s helpt PFZW bij het realiseren van zijn doelstellingen.

Drie PFZW-bestuurscommissies behandelen samen alle risico’s van het pensioenfonds. Dat zijn het audit committee, de bestuurscommissie investments en de pensioencommissie. Het audit committee verzamelt de input vanuit de twee andere commissies en adviseert het bestuur over onder meer de interne beheersing, de in- en externe controles, compliance en ethiek en over de risico’s die betrekking hebben op het beleggingsbeleid. De risicomanagers van het bestuursbureau ondersteunen de commissies en het bestuur. Daarnaast hebben de risicomanagers aan het eind van het jaar overleg met de raad van toezicht over de risico’s en de beheersing daarvan.

Risico's, risicobeheersing en beheersing en risicobereidheid

Risicobereidheid

Stel dat alle risico´s volledig ingeperkt zouden kunnen worden, dan zouden de kosten van risicobeheersing sterk toenemen. Daarom maken we een duidelijke afweging tussen kosten van beheersing van risico’s en de impact van risico’s. Bovendien zijn er risico’s die PFZW niet kan beïnvloeden, zoals demografische ontwikkelingen en ontwikkelingen op de financiële markten.

Risicobereidheid geeft aan in welke mate, gegeven de ambitie, het bestuur de kans wil lopen dat een bepaald risico zich voor kan doen, en welke gevolgen dan acceptabel zijn over een gegeven periode. De risicobereidheid is gelijk aan een kwalitatief oordeel: laag, midden of hoog. Dit kwalitatieve oordeel wordt hierna vermeld bij de tien strategische risico’s.

De risico’s die PFZW loopt, worden inzichtelijk met behulp van kritische risico-indicatoren, audits en risicorapportages. Risico's worden ook duidelijk bij opgetreden incidenten. Om te zorgen dat de werkelijke risico’s binnen onze risicobereidheid blijven, voeren we waar nodig maatregelen door.

Standaard 3402 en 3000A: meer inzicht en zekerheid

Alle activiteiten die samenhangen met de pensioenregeling en het beheer van het belegd vermogen zijn uitbesteed aan de uitvoeringsorganisatie waarbij het bestuur van PFZW eindverantwoordelijk blijft. Het bestuur is daarnaast, ondanks de uitbesteding van de uitvoering, verantwoordelijk voor de opzet en werking van de interne risicobeheersing- en controlesystemen ten aanzien van de financiële verslaggeving en de niet financiële risico’s. Door gebruik van een Standaard 3402 (financiële risico’s) en 3000A (niet-financiële risico’s) legt de uitvoeringsorganisatie hierover verantwoording af aan het bestuur.

Het bestuur ontvangt twee Standaard 3402/3000A-rapporten van de uitvoeringsorganisatie: één voor pensioenbeheer en één voor vermogensbeheer. Deze hebben betrekking op de inrichting en werking van de interne beheersing van financiële en niet-financiële processen en interne controle. De Standaard 3402/3000A-rapporten van de uitvoeringsorganisatie worden gecertificeerd door de accountant van de uitvoeringsorganisatie.

Risicobeheersing belangrijkste risico’s

Op advies van het audit committee, de bestuurscommissie investments en de pensioencommissie heeft het bestuur in 2018 uit het totaal aantal risico’s tien risico's als de belangrijkste risico’s benoemd. PFZW heeft zo’n 50 risico’s, die samen het risico universum vormen. Deze risico’s zijn verdeeld over vier vlakken governance, strategisch, financieel en operationeel.

De tien belangrijkste risico’s zijn het hele jaar gevolgd en beoordeeld door het bestuur. Het bestuur kijkt naar kans, impact en beheersmaatregelen en komt tot een netto risico-oordeel. Als het bestuur vindt dat de bestaande beheersingsmaatregelen onvoldoende zijn worden er acties ondernomen. De belangrijkste risico’s hebben te maken met de toegenomen kans dat er in de toekomst niet geïndexeerd kan worden, dat er nog geen duidelijkheid is over een nieuw pensioencontract en dat er operationele risico’s kunnen optreden, waar extra beheersmaatregelen voor moeten worden opgezet.

Om de keuze voor het risico oordeel scherper te maken, zijn er drie kwalificaties: laag, midden of hoog. Om tot een kwalificatie te komen wordt gekeken naar de kans dat een risico zich voordoet en naar de impact. De combinatie van beide geeft een bruto risico-oordeel. Door rekening te houden met de bestaande beheersmaatregelen is er een netto oordeel. Naast dit netto risico geeft het bestuur ook de risicotolerantie aan. Als het netto risico-oordeel niet op hetzelfde niveau ligt als de risicotolerantie worden er extra beheersmaatregelen genomen.

De tien belangrijkste risico’s zijn hierna verder uitgewerkt. Voor ieder risico is een risico-beoordeling (netto risico-oordeel) en de risicotolerantie weergegeven.

1. Alignment: het risico dat de ambities en belangen van de uitvoeringsorganisatie niet op één lijn liggen met die van ons. Dit risico bestaat vanwege de hoge mate van uitbesteding en de projecten die daarmee samenhangen. Het netto risico schatten we in op midden. Om dit risico te beheersen is er bestuurlijk overleg tussen PFZW en de uitvoeringsorganisatie. 

2. Ambitierisico: bij dit risico staat de vraag centraal of PFZW in staat is zijn ambitie om toekomstbestendig te indexeren waar kan maken. Het netto risico staat op hoog. Omdat de risicotolerantie midden is, heeft het bestuur in meerdere sessies de risicohouding besproken en opnieuw vastgesteld.

3. Balansrisico: het risico dat einde jaar de waarde van de beleggingen onvoldoende de nominale pensioenaanspraken volgt. De vraag staat centraal: is PFZW op weg naar een (onvoorwaardelijke) korting en dreigt een situatie waarin de nominale achterstand zo hoog oploopt dat daardoor de ambitie niet meer wordt waargemaakt? Dit hoge risico kan PFZW beperkt beïnvloeden. Er zijn niet veel knoppen waaraan zinvol gedraaid kan worden. Dat heeft tot gevolg dat de risicotolerantie hoog is.

4. Grondslagenrisico: het risico dat de financiële opzet niet meer voldoet en er gekort moet worden door besluitvorming op verkeerde gronden door incorrecte economische en actuariële uitgangspunten of andere exogene factoren. De realisatie van de ambitie van PFZW is dan in gevaar. Dit risico staat op midden.

5. Beeldvorming: dit bestaat uit het communicatierisico (het risico dat er niet goed gecommuniceerd wordt naar buiten toe) en het imagorisico (het risico dat door negatieve berichten over de financiële- of de pensioensector een groot deel van onze deelnemers en werkgevers ook een negatief gevoel heeft over PFZW). Het risico is op hoog ingeschat. Het communicatierisico is vervolgens beter te beheersen dan het imagorisico. Als maatregel werken de grote pensioenfondsen samen op het gebied van imago.

6. Verplichtstelling: het risico dat de huidige verplichtstellingswetgeving wordt aangepast of komt te vervallen en de bestaande wettelijke mogelijkheid tot verplichtstelling onvoldoende effectief wordt toegepast. Het risico schatten we op hoog, zolang er nog geen nieuw pensioencontract is. Om dit risico te bewaken, blijven we in gesprek met sociale partners en politiek.

7. Politiek: het risico dat niet tijdig een nieuw pensioencontract tot stand komt dat op maatschappelijke steun kan rekenen. Het risico is hoog, omdat er geen definitief voorstel voor een nieuw pensioencontract is gekomen. Om dit risico te bewaken zijn we continu in gesprek zijn met alle relevante stakeholders.

8. Product- en dienstontwikkeling: het risico dat door een niet tijdige of juist doorgevoerde ontwikkeling van producten en diensten de gewenste doelen van het pensioenfonds niet kunnen worden behaald. Dit risico is ingeschat op midden.  

9. Proces en IT: het risico dat de complexiteit van de bestaande processen en de ondersteunende IT het uitvoeren van de strategie lastig maakt. Dit risico is hoog vanwege een kans midden en een impact hoog. De risicotolerantie is hoog ingeschat en het bestuur probeert het risico verder te verlagen door complexiteit en legacy terug te dringen.

10. Organisatorische competenties: het risico dat de uitvoeringsorganisatie niet de kwaliteit in huis heeft om onze strategie uit te voeren. Dit risico is midden. De risicotolerantie is laag en acties zijn uitgezet door de uitvoeringsorganisatie zoals een strategische personeelsplanning en een campagne om voorbereid te zijn op de toekomstige arbeidsmarkt.

Ontwikkelingen in 2018: strategie, privacy en security

PFZW werkt nauw samen met de uitvoeringsorganisatie. Daarom is het voor PFZW van belang dat de belangen van PFZW en die van de uitvoeringsorganisatie gelijkgericht zijn. De uitwerking van de strategie van pensioenadministratie van de uitvoeringsorganisatie om voorbereid te zijn op toekomstige ontwikkelingen en de bijbehorende inrichting van de IT-organisatie is in 2018 van start gegaan.

Vanaf 25 mei 2018 is de nieuwe Europese privacy wetgeving van kracht. De zogeheten Algemene Verordening Gegevensbescherming (AVG) vervangt per die datum de huidige Wet bescherming persoonsgegevens (WBP). De AVG verschilt van de WBP op de volgende punten:

  • de rechten van het individu op privacy worden uitgebreid als het gaat om informatie, inzage, rectificatie, wissen, beperken van verwerking, bezwaar, eigen gegevens overzetten naar een ander pensioenfonds en opbouwen van een profiel

  • de bewijslast wordt omgedraaid: een bedrijf of organisatie moet aantonen dat het voldoet aan de nieuwe wet en niet het individu

  • de Autoriteit Persoonsgegevens is de toezichthouder, die meer bevoegdheden heeft en hogere boetes kan uitdelen dan onder de WBP

PFZW heeft de AVG geïmplementeerd en daarbij het volgende gerealiseerd:

  • het aanstellen van een compliance officer met een eigen charter

  • het aanstellen van een functionaris gegevensbescherming als contactpersoon voor PFZW en de toezichthouder, contractueel vastgelegd bij de uitvoeringsorganisatie

  • een verwerkingsregister voor eigen verwerkingen en die van andere partijen in de keten

  • het houden van privacy impact analyses, waarmee privacyrisico’s in beeld komen, de bedrijfsvoering en IT inrichten volgens de principes privacy by default en privacy by design, waardoor al in een vroeg stadium van product-, dienst- en systeemontwikkeling aandacht wordt besteed aan maatregelen ten aanzien van privacy

  • het aanpassen van contracten, het privacyreglement en de uitingen op de website

  • het gebruik van alleen de noodzakelijke data in het kader van dataminimalisatie

  • alle genoemde rechten van het individu vertalen in processen en vastleggen in systemen

Daarnaast levert PFZW een bijdrage aan een gedragslijn voor de pensioensector onder de vlag van de Pensioenfederatie. In deze gedragslijn worden de algemene normen uit de AVG concreter gemaakt voor de sector.

PFZW heeft de IT-security in samenspraak met de uitvoeringsorganisatie en in lijn met de DNB-vereisten verder versterkt.

Incidenten

De uitvoeringsorganisatie informeert ons over incidenten. Incidenten kunnen iets zeggen over de beheersing van processen en aanleiding zijn om processen te verbeteren. Het belangrijkste incident in 2018 betreft foutieve verplichte pensioencommunicatie. Door een software fout zijn onjuiste gegevens op het UPO in 2018 gekomen voor een specifieke groep deelnemers. Het betreft 73.938 en 4.691 deelnemers bij twee pensioensoorten. Deze fouten zijn hersteld waarbij het audit committee de voortgang van de herstelmaatregelen heeft bewaakt.

AFM

Het bovengenoemde incident is gemeld aan de Autoriteit Financiële Markten (AFM) en de betrokken deelnemers zijn geïnformeerd. De AFM is samen met DNB een vervolgonderzoek gestart naar de financiële opzet van PFZW en de informatieverstrekking aan deelnemers. Het betreft de wijze waarop de deelnemers worden geïnformeerd over hun pensioen, zoals de communicatie over indexering aan de hand van voorbeeldbrieven. Het onderzoek is afgerond.  Zie ook hieronder voor aanvullende informatie bij DNB onderzoeken en selfassessments.

Boetes en dwangsommen

In het verslagjaar zijn aan het pensioenfonds geen dwangsommen of boetes opgelegd.

Anti-corruptie

Voor PFZW is naleving van wet- en regelgeving essentieel. Dit omvat tevens naleving ten aanzien van witwassen, terrorismefinanciering en sanctiewetgeving. In de Standaard 3000A wordt het proces van wijzigingen in wet- en regelgeving beschreven en getoetst. Diverse risico’s waarbij integriteit in het geding is, zijn beschreven als onderdeel van het risico-universum. Het betreft belangenverstrengeling, gedrag en integriteit, terrorisme, wet- en regelgeving, fraude, cybercrime en compliance. Samen met de uitvoeringsorganisatie wordt ieder jaar een selfassessment belangenverstrengeling en een systematische integriteit risico analyse (SIRA) uitgevoerd, die bestuurlijk worden besproken en vastgesteld. Daarnaast onderzoekt de externe accountant het frauderisico als onderdeel van haar controlewerkzaamheden.

DNB onderzoeken en selfassessments

DNB heeft in 2018 nieuwe onderzoeken uitgevoerd en een eindoordeel gegeven over eerdere onderzoeken.

Omschrijving onderzoek

Afgerond

Onderzoeken uit voorgaande jaren:

 

◦ Onderzoek strategische risico's

◦ Onderzoek beleggingen

◦ Onderzoek uitbesteding en rechtenbeheer

◦ Onderzoek beheersing corruptie risico en belangenverstrengeling

◦ Onderzoek financiële opzet en informatie

Nieuwe onderzoeken in 2018:

 

◦ Periodieke uitvraag niet-financiële risico's

◦ Onderzoek informatiebeveiliging verbeterplan

◦ Onderzoek operationele en IT risico's

Loopt, afronding in 2019

De eventuele bevindingen uit deze onderzoeken worden opgevolgd door het pensioenfonds.

Autoriteit Persoonsgegevens

PFZW heeft bij de Autoriteit Persoonsgegevens datalekken gemeld, die voornamelijk te maken hebben met logistieke (post)stromen. Het aantal datalekken is weliswaar beperkt in relatie tot het aantal deelnemers, maar continue aandacht voor datalekken is nodig om deze te voorkomen.

Autoriteit Consument en Markt

De ACM heeft een onderzoek uitgevoerd naar de hoogte van de overstapkosten voor pensioenfondsen wanneer ze wisselen van vermogensbeheerder. De gevraagde informatie is aan de ACM gegeven.

In Control Statement

PFZW doet met het ‘In Control Statement’ een expliciete uitspraak over de kwaliteit van de interne risicobeheersing- en controlesystemen. Dit toont het belang dat wij hechten aan een beheerste pensioenuitvoering en een transparante verantwoording daarover. PFZW richt zich in het ‘In Control Statement’ op de financiële verslaggevingsrisico’s en de niet financiële risico’s. In het statement wordt aangegeven wat de reikwijdte van het statement is en de motivering daarbij.

Verantwoordelijkheid

Het bestuur van PFZW heeft het beleid gescheiden van de uitvoering. De uitvoering van de pensioenadministratie en het beheer van het belegd vermogen is uitbesteed aan dochtervennootschappen van PGGM NV (hierna: PGGM). Tussen PFZW en PGGM zijn de uitbestedingsafspraken vastgelegd in een service level agreement met daaraan gerelateerde prestatiecriteria en verantwoordingsrapportages. Het bestuur van PFZW blijft verantwoordelijk voor het geheel van beleid en uitvoering van alle activiteiten die samenhangen met de pensioenregeling en het vermogensbeheer. Het bestuur is daarnaast, ondanks de uitbesteding van de uitvoering, verantwoordelijk voor de opzet en werking van de interne risicobeheersing- en controlesystemen ten aanzien van de financiële verslaggeving en de niet financiële risico’s. Sommige risico’s zijn niet te beïnvloeden door het bestuur, zoals demografische ontwikkelingen en ontwikkelingen op de financiële markten.

Reikwijdte

Het Standaard 3402-rapport heeft betrekking op de externe financiële verslaggeving van PFZW in de vorm van de jaarrekening, de kwartaalberichten, de kwartaal- en jaarverslagstaten van het pensioenfonds aan DNB en de rapportage Z-score. De verklaring is afgegeven bij de kwaliteit van de opzet, het bestaan en de werking van de interne risicobeheersing- en controlesystemen over 2018. Het financiële jaarverslag is gebaseerd op een going concern situatie en gaat uit van een continuïteit op de lange termijn in lijn met de doelstellingen van PFZW.

Het Standaard 3000A-rapport heeft betrekking op de kwaliteit van niet financiële processen. Het gaat daarbij over de volgende processen; het uitvoeren van de verplichte pensioencommunicatie, het doorvoeren van wijzigingen in wet- en regelgeving, de klant- en de toezichtrapportages, het monitoren van de uitbestede diensten, het opstellen van de ALM-nota, het opstellen van de ABTN, het berekenen van de actuele en de beleidsdekkingsgraad, cyber security, business continuïteit in operationele zin en de privacy wet- en regelgeving.

Motivering reikwijdte

Voor de uitbestede dienstverlening heeft PGGM aan PFZW onder meer twee Standaard rapporten, één voor pensioenbeheer en één voor vermogensbeheer, over 2018 verstrekt over de inrichting en werking van de interne beheersing en interne controle. Ieder rapport kent twee delen, te weten een 3402-deel en een 3000A-deel. De Standaard 3000A voor pensioenbeheer kent een beperking.

De beperking in de Standaard 3000A voor pensioenbeheer betreft foutieve verplichte pensioencommunicatie voor een specifieke groep deelnemers. De fouten zijn hersteld. Het incident is gemeld aan de AFM. De betreffende deelnemers zijn passend geïnformeerd. De betreffende systemen en processen zijn verbeterd.

Daarnaast heeft het bestuursbureau van PFZW een stelsel van risicobeheersing en interne controle en rapporteert zijn zelfstandig oordeel aan het bestuur. Het bestuur heeft inzicht in zijn strategische risico’s, beoordeeld in een jaarlijks risico-assessment.

Dit is de basis waarop het bestuur vindt dat het een verklaring kan afgeven, gericht op de externe financiële verslaggeving gebaseerd op de Standaard 3402 en de inrichting en kwaliteit van de niet financiële processen als opgenomen in de Standaard 3000A.

Door ons te richten op de financiële verslaggevingsrisico’s en niet-financiële risico’s sluit het pensioenfonds aan op de maatschappelijke ontwikkelingen op het gebied van interne risicobeheersing en houdt bijvoorbeeld rekening met de best practice bepaling van de Commissie Corporate Governance. Kern van deze aanbeveling is dat een expliciete uitspraak wordt gedaan over de beheersing van de financiële verslaggevingsrisico’s en dat van de andere risico’s een beschrijving wordt gegeven van het beheerskader en de geplande verbeteringen. Een aantal van deze andere risico’s is expliciet opgenomen in het Standaard 3000A-rapport.

Verklaring

Het bestuur van PFZW verklaart met betrekking tot de externe financiële verslaggeving dat, gegeven de hiervoor aangegeven reikwijdte, met een redelijke mate van zekerheid de interne risicobeheersing- en controlesystemen in 2018 zodanig hebben gewerkt dat de externe financiële verslaggeving op going concern-basis over 2018 geen onjuistheden van materieel belang bevat.

Het bestuur van PFZW verklaart met betrekking tot de niet-financiële processen dat, gegeven de hiervoor aangegeven reikwijdte van de Standaard 3000A, met een redelijke mate van zekerheid de interne risicobeheersing- en controlesystemen in 2018 hebben gewerkt. Hierbij is rekening gehouden met de beperking in het Standaard 3000A-rapport van pensioenbeheer.

Aanpassing vanuit wet- en regelgeving vanuit het Risicomanagement perspectief

De implementatie van twee Europese verordeningen AVG en IORP in 2018 is de belangrijkste aanpassing in wet- regelgeving vanuit het perspectief van Risicomanagement. Inhoudelijk is AVG beschreven in paragraaf 2.3.1 bij Ontwikkelingen in 2018: strategie, privacy en security.

IORP II is vanaf 13 januari 2019 van kracht. IORP gaat met name over de governance en de communicatie van pensioenfondsen. Zo dient een pensioenfonds de risicomanagement functie, de internal audit functie en de actuariële functie in te richten en onafhankelijk te beleggen. Specifiek voor risicomanagement geldt dat eens per drie jaar een eigenrisicobeoordeling moet worden uitgevoerd. Verder zijn eisen gesteld aan de communicatie richting de deelnemers. Daarnaast zijn nieuwe eisen gesteld aan het ESG- beleid en het beloningsbeleid. De voorbereidingen om hieraan te voldoen, zoals het opstellen van kaders, procedures, charters, sleutelfuncties et cetera, zijn in 2018 gedaan en vastgesteld door het bestuur.