Sleutelfunctie risicobeheer beheerst niet de risico’s -

  • Print
  • Connect
  • Email
  • Facebook
  • Twitter
  • LinkedIn
  • Google+
Door Marcel Kruse, Martin Wouda | 12 december 2019

Hij beoordeelt of het bestuur de risico’s adequaat beheerst

Met de verankering van de Europese IORP-II richtlijn 1 in de pensioenwet en de wet verplichte beroepspensioenregeling zijn de sleutelfuncties risicobeheer, de actuariële functie en de interne audit verplicht voor pensioenfondsen geworden. In IORP-II richtlijn is het ‘three lines of defence’ (3 LoD) niet expliciet benoemd. DNB wil echter wel dat de sleutelfuncties onafhankelijk opereren van de uitvoerende functies in de eerste lijn en dat de controles onafhankelijk worden uitgevoerd.

Uit gesprekken met onze klanten valt het ons op dat er nog veel onduidelijkheid is over de invulling van de werkzaamheden van de verschillende sleutelfuncties (2de lijn). Er is bijvoorbeeld veelvuldig discussie over de werkzaamheden en de verantwoordelijkheden van de sleutelfunctie risicobeheer.

Wij zijn van mening dat de werkzaamheden en de verantwoordelijkheden pragmatisch moeten worden ingevuld (verdelen tussen 1ste en 2de lijn). Onze motivatie hiervoor is om de additionele kosten voor de uitvoering van deze nieuwe functies beperkt te houden en het besturen van het pensioenfonds door de inrichting van de sleutelfuncties niet onnodig complexer te maken.

In dit artikel geven wij onze visie over de wijze waarop de sleutelfunctie risicobeheer naast de eerste lijn (maken/uitvoeren van het beleid en het monitoren van de uitvoering van het beleid) zijn functie zou moeten uitvoeren. Daarnaast en omschrijven wij de werkzaamheden en verantwoordelijkheden in de eerste lijn en in de tweede lijn moeten liggen.

Governance model in relatie tot de uitbestedingspartners

Het bestuur en - indien aanwezig - het bestuursbureau kunnen worden beschouwd als de eerste lijn in het 3 LoD model. Zij zijn immers verantwoordelijk voor het vaststellen c.q. vastleggen van het beleid en de uitvoering van het beleid. Uitbestedingspartners zoals de pensioenadministrateur, fiduciair manager en de vermogensbeheerder zijn onderdeel van de eerste lijn. Zij voeren immers de werkzaamheden voor het pensioenfonds uit.

De sleutelfunctie actuariële functie en de sleutelfunctie risicobeheer zijn beide onderdeel van de tweede lijn. Zij beoordelen gezamenlijk of de eerste lijn werkt binnen de risicokaders die het bestuur op hoofdlijnen heeft vastgesteld. Daarnaast geven zij gevraagd en ongevraagd advies over de effectiviteit en mogelijke verbeteringen van het risicobeheersingssysteem. De interne audit functioneert als de derde lijn en ziet toe op de samenwerking en taakuitvoering van de eerste en tweede lijn.

In sommige gevallen opereren de tweede lijn en de derde lijn van de uitbestedingspartner respectievelijk in de tweede en derde lijn van het pensioenfonds. Dit is onjuist. Zij zijn immers onderdeel van de tweede en derde lijn van de uitbestedingspartners, maar onderdeel van de eerste lijn van het pensioenfonds.

De eerste lijn is verantwoordelijk voor het risicobeheer

De sleutelfunctie risicobeheer heeft als aandachtsgebied logischerwijs het risicobeheer, maar wat houdt dat in de praktijk nu eigenlijk in? Gaat hij of zij de risico’s beheersen door middel van het maken van afspraken met uitbestedingspartners over de te nemen beheersingsmaatregelen? Of is hij of zij verantwoordelijk voor het risicobeleid van het pensioenfonds? Het antwoord op beide vragen is ‘nee’.

De sleutelfunctie risicobeheer heeft geen verantwoordelijkheid voor het bepalen van de beheersingsmaatregelen en hij is ook niet verantwoordelijk voor het risicobeleid. Deze verantwoordelijkheden liggen bij de eerste lijn; het bestuur.

Het bestuur is immers verantwoordelijk voor het (gehele) beleid van het pensioenfonds en de uitvoering daarvan. Zij heeft ook de verplichting om te controleren of het beleid juist, tijdig en volledig wordt en is uitgevoerd. Dit doet zij door afspraken te maken met haar uitbestedingspartners over de uit te voeren werkzaamheden en eisen te stellen aan de kwaliteitsbeheersing van de bedrijfsvoering.

Zo kan een pensioenfonds de vermogensbeheerder verplichten om periodiek door een onafhankelijke afdeling (bijvoorbeeld de afdeling mandaat compliance) een controle te laten uitvoeren of de portefeuillemanager wel binnen de kaders van het mandaat heeft gehandeld. De tweede lijn van de vermogensbeheerder controleert in dit voorbeeld of de portefeuillemanager zich wel aan het mandaat houdt.

Het maken van deze afspraak met de vermogensbeheerder is dus een verantwoordelijkheid van de eerste lijn van het pensioenfonds en ook het monitoren hiervan is ook onderdeel van de verantwoordelijkheid van de eerste lijn. De sleutelfunctie risicobeheer is dus niet verantwoordelijk voor het monitoren van de werkzaamheden door de uitbestedingspartners. Maar wat moet hij dan wel doen om te voldoen aan zijn functiebeschrijving?

De verantwoordelijkheden en werkzaamheden van de sleutelfunctie risicobeheer

De sleutelfunctie risicobeheer heeft de verantwoordelijkheid om te beoordelen of de eerste lijn werkt binnen de risicokaders die door het bestuur zijn vastgesteld en om de eerste lijn hieromtrent te adviseren. Hij is niet primair verantwoordelijk voor het beheersen van de risico’s. De sleutelfunctie risicobeheer beoordeelt of de eerste lijn alle risico’s onderkent en of de eerste lijn hierop effectieve beheersingsmaatregelen formuleert, implementeert en monitort.

De controle of de beheersingsmaatregelen juist, tijdig en volledig zijn uitgevoerd ligt bij de eerste lijn. De sleutelfunctie risicobeheer gaat dus niet nogmaals controleren of de uitbestedingspartner haar werk juist, tijdig en volledig heeft uitgevoerd. Hij controleert vanuit de tweede lijn dat de eerste lijn van het pensioenfonds heeft gecontroleerd op het tijdig, volledig en juist uitvoeren van de afgesproken werkzaamheden. De inhoudelijke juistheid van de controles ligt primair bij de eerste lijn. Een totaalbeeld van de werking van het risicobeheersysteem kan echter niet bestaan als niet ook een significante steekproef op de juistheid van de door de eerste lijn uitgevoerde controles wordt gedaan.

Conclusie

Het beheersen van de risico’s van het pensioenfonds is de verantwoordelijkheid van de eerste lijn en is daarmee belegd bij het bestuur. De werkzaamheden van het risicobeheer (zoals de bepaling van het risicobeleid, inrichting van het risicobeheersysteem en monitoring van de risico’s) worden uitgevoerd door de eerste lijn van het pensioenfonds. Vóór de invoering van de IORP-II richtlijn was dit ook het geval en de invoering van de IORP-II richtlijn verandert dit niet.

Door een tweede lijn toe te voegen aan het risicobeheersysteem, waarbij de sleutelfunctie risicobeheer controleert of de eerste lijn de risico’s goed beheerst en monitort, ontstaat een complete en efficiënte risicobeheerorganisatie bij het pensioenfonds. Risico’s worden dan ook bekeken door iemand die onafhankelijk is van de uitvoering, zonder dat de werkzaamheden voor het risicobeheer (deels) dubbel worden uitgevoerd. Hierdoor worden de kosten voor het risicobeheer niet onnodig verhoogd door de invoering van de IORP-II en blijft het risicobeheer overzichtelijk.

Authors

Gekenmerkte onderwerpen