In mijn vorige artikel heb ik meer vanuit strategisch perspectief gekeken naar operationele risico’s. In dit artikel ga ik in op het operationele perspectief. Betekent dit dat dit niet of minder relevant is voor bestuursleden van het pensioenfonds? Nee, integendeel. Besturen gaat niet alleen over strategie maken en de inrichting van het fonds. Het gaat ook om de operationele uitvoering1.
De analogie met het rijden van de auto van A naar B dringt zich op. Nadat het bestuur bepaald heeft om naar B te gaan en dat de huidige auto het beste voertuig is, gaat het op pad. Net als de chauffeur heeft het bestuur een stuur, een gas- en rempedaal en dashboard ter beschikking.
De informatie van het dashboard wordt geanalyseerd en geïnterpreteerd evenals de informatie verkregen via de voorruit en de spiegels en zo wordt zo nodig bijgestuurd, geremd en gasgegeven. Bij tijd en wijle worden het olie- en waterpeil en de bandenspanning gecontroleerd. En bij oplichtende lampjes wordt direct ingegrepen. Bij een kleine en grote beurt wordt preventief alles gecontroleerd, zo nodig ververst en vervangen.
Dit is ook de rol van risicomanagement. De tweedelijns risicomanager faciliteert en ondersteunt o.a. door methodologieën en praktische adviezen aan te reiken. Vooraf worden de mogelijke risico’s geïdentificeerd en geanalyseerd. Waar mogelijk worden kwantitatieve bandbreedtes van acceptabele waarden bepaald. Beheersmaatregelen worden getroffen om van bruto risico’s te komen tot acceptabele netto risico’s. Dit geheel wordt per risico vastgelegd in wat doorgaans een risicoregister heet.
Net als bij een kleine en een grote beurt van een auto worden de risicoregisters periodiek beoordeeld en zo nodig herijkt. Het bestuur stelt, nadat de tweedelijns risicomanager is gehoord, de herijkte risicoregisters vast.
Periodiek, meestal per kwartaal, worden de risicorapportages opgesteld en besproken. Dit is te beschouwen als het regelmatig bekijken van het dashboard tijdens het rijden. Hierbij beziet het bestuur kritisch welke veranderingen ten opzichte van de vorige periode zich hebben voorgedaan. Het is van belang dat het bestuur vaststelt of er sprake is van korte termijn incidenten of mogelijk lange termijn ontwikkelingen. Het bestuur wordt hierbij geadviseerd door de tweedelijns risicomanager. De behandeling in het bestuur is het moment om te bezien of ingrijpen noodzakelijk is (een ‘groen’, ‘geel’ of ‘rood’ lampje).
Het is van belang om te accentueren dat het risicodashboard situationeel en evoluerend is. Wat bedoel ik daarmee? Situationeel (niet uitputtend bedoeld): Afhankelijk van de inrichting van de operationele processen kunnen specifieke risico’s groter of kleiner zijn. Is er sprake van uitbesteding? Is de uitbestedingsrelatie stabiel? In welke mate is er sprake van straight-through-processing? Wat is de volwassenheid van de IT-organisatie? Is er sprake van verplichtstelling welke gehandhaafd moet worden? Is de pensioenregeling eenvoudig of zijn er veel uitzonderingen en overgangsregelingen?
Het bestuur dient bij de opzet van het risicodashboard een goed begrip te hebben van de eigen auto ofwel wat is het bijzondere van de eigen situatie en hoe werkt dat door in de potentiële operationele risico’s die gelopen worden.
Met evoluerende risico’s bedoel ik, technologische, maatschappelijke ontwikkelingen kunnen zorgen voor nieuwe of grotere risico’s. In de auto-metafoor: sneeuw, ijzel etc. Overduidelijk is dat er momenteel een cyberoorlog gaande is. Pensioenfondsen en de instellingen, zoals vermogensbeheerders, custodians en administrateurs, die aan de fondsen diensten verlenen zijn het doel. Misschien op dit moment wel één van de belangrijkste signaallampen op het dashboard van het pensioenfonds. Operationele ‘disruptie’ ligt op de loer. Een ander voorbeeld is natuurlijk de pandemie. Operationele processen moeten zonder hapering veilig doorgaan, terwijl van huis wordt gewerkt en vergaderd. En wat als er veel ziekte (onder de direct betrokkenen) tegelijk is?
De ontwikkelende cyberoorlog, de Covid-pandemie en ook het nieuwe pensioenakkoord zijn recente voorbeelden die accentueren dat operationele risico’s op de bestuurstafel thuis horen. Deze risico’s moeten worden gemonitord door het bestuur. Het is niet alleen een kwestie van de operatie. Bestuurder, vraagt u zich bij de volgende behandeling van de risicorapportage af: heb ik het juiste inzicht in de relevante operationele risico’s, begrijp ik ze en beheers ik ze? Ik ben van harte bereid om eens te sparren.
1In latere artikelen ga ik in op financiële risico’s als gevolg van beleggen en verzekeringstechniek.
Explore more tags from this article
Over de Auteurs
Contact us
We’re here to help you break through complex challenges and achieve next-level success.