Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

Risicomanagement

Omdat wij nauw samenwerken met onze uitvoeringsorganisatie en het meeste werk aan hen uitbesteden, heeft het bestuur van PFZW het risicomanagement hierop afgestemd: we spreken een gezamenlijke risicotaal. Het identificeren en beheersen van risico’s helpt PFZW bij het realiseren van zijn doelstellingen.

Drie PFZW-bestuurscommissies behandelen samen met de commissie Algemene Zaken en het bestuur alle risico’s van het pensioenfonds. Dat zijn het audit committee, de bestuurscommissie investments en de pensioencommissie. Het audit committee verzamelt de input vanuit de twee andere commissies en adviseert het bestuur over onder meer de interne beheersing, de in- en externe controles, compliance en ethiek en over de risico’s die betrekking hebben op het beleggingsbeleid. De risicomanagers van het bestuursbureau ondersteunen de commissies en het bestuur. Daarnaast hebben de risicomanagers aan het eind van het jaar overleg met de raad van toezicht over de risico’s en de beheersing daarvan.

Risico's, risicobeheersing en risicobereidheid

Risicobereidheid

Wanneer alle risico’s volledig ingeperkt zouden kunnen worden, dan zouden de kosten van risicobeheersing sterk toenemen. Daarom maken we een duidelijke afweging tussen kosten van beheersing van risico’s en de impact van risico’s. Bovendien zijn er risico’s die PFZW niet kan beïnvloeden, zoals demografische ontwikkelingen en ontwikkelingen op de financiële markten.

Risicobereidheid geeft aan in welke mate, gegeven de ambitie, het bestuur de kans wil lopen dat een bepaald risico zich voor kan doen, en welke gevolgen dan acceptabel zijn over een gegeven periode.

De risico’s die PFZW loopt worden inzichtelijk gemaakt met behulp van kritische risico-indicatoren, audits en risicorapportages. Om te zorgen dat de werkelijke risico’s binnen onze risicobereidheid blijven, voeren we zo mogelijk verbeteringen door.

Standaard 3402 en 3000A: meer inzicht en zekerheid

Alle activiteiten die samenhangen met de pensioenregeling en het beheer van het belegd vermogen zijn uitbesteed aan de uitvoeringsorganisatie waarbij het bestuur van PFZW eindverantwoordelijk blijft. Het bestuur is daarnaast, ondanks de uitbesteding van de uitvoering, verantwoordelijk voor de opzet en werking van de interne risicobeheersing- en controlesystemen ten aanzien van de financiële verslaggeving en de niet financiële risico’s. Door gebruik van een Standaard (ISAE) 3402 (financiële risico’s) en 3000A (niet-financiële risico’s) legt de uitvoeringsorganisatie hierover verantwoording af aan het bestuur.

Het bestuur ontvangt twee Standaard 3402/3000A-rapporten van de uitvoeringsorganisatie: één voor pensioenbeheer en één voor vermogensbeheer. Deze hebben betrekking op de inrichting en werking van de interne beheersing van financiële en niet-financiële processen en de interne controle. De Standaard 3402/3000A-rapporten van de uitvoeringsorganisatie worden gecertificeerd door de accountant van de uitvoeringsorganisatie.

Risicobeheersing belangrijkste risico’s

Het bestuur heeft voor 2019 uit het totaal aantal risico’s tien risico's als de belangrijkste risico’s benoemd. Bovendien zijn er risico’s die PFZW niet kan beïnvloeden, zoals demografische ontwikkelingen en ontwikkelingen op de financiële markten. Soms vallen deze risico’s zelfs samen, zoals in het geval van de coronacrisis in 2020. PFZW heeft zo’n 50 risico’s, die samen het risico-universum vormen. De risico’s zijn verdeeld over vier vlakken governance, strategisch, financieel en operationeel.

De tien belangrijkste risico’s zijn het hele jaar gevolgd en beoordeeld door het bestuur.

Om de keuze voor het risico oordeel scherper te maken, zijn er drie kwalificaties: laag, midden of hoog. Om tot een kwalificatie te komen, wordt gekeken naar de kans dat een risico zich voordoet en naar de impact. De combinatie van beide geeft een bruto risico-oordeel. Door rekening te houden met de bestaande beheersmaatregelen is er een netto oordeel. Naast dit netto risico geeft het bestuur ook de risicotolerantie aan. Als het netto risico-oordeel niet op hetzelfde niveau ligt als de risicotolerantie worden er extra beheersmaatregelen genomen.

De belangrijkste risico’s hebben te maken met de toegenomen kans dat de pensioenen in de toekomst niet geïndexeerd kunnen worden, dat er nog geen duidelijkheid is over een nieuw pensioencontract en dat er operationele risico’s kunnen optreden, waar extra beheersmaatregelen voor moeten worden opgezet.

Deze tien risico’s zijn hieronder verder uitgewerkt. Voor ieder risico is het netto risico-oordeel en de risicotolerantie weergegeven.

Bestuurlijke risico's PFZW

Oordeel

Tolerantie

1. Alignment (Strategisch)

2. Ambitierisico (Governance)

3. Balansrisico (Governance)

4. Grondslagenrisico (Governance)

5. Beeldvorming (Strategisch)

6. Verplichtstelling (Strategisch)

7. Politieke risico's Pensioencontract (Strategisch)

8. Product- en dienstontwikkeling (Operationeel)

9. Processen IT (Operationeel)

10. Organisatorische competenties (Operationeel)

1. Alignment: het risico dat onze ambities en belangen niet op één lijn liggen met de uitvoeringsorganisatie. Dit risico bestaat vanwege de hoge mate van uitbesteding en de projecten die daarmee samenhangen. Het netto risico schatten we in op laag. De risicotolerantie is laag. Een verstevigd bestuurlijk overleg tussen PFZW en PGGM heeft het netto risico verlaagd van midden naar laag.

2. Ambitierisico: bij dit risico staat de vraag centraal of het pensioenfonds in staat is zijn ambitie om toekomstbestendig te indexeren waar kan maken. Het netto risico staat op hoog. Omdat de risicotolerantie midden is, heeft het bestuur in meerdere sessies de risicohouding besproken en opnieuw vastgesteld. 

3. Balansrisico: het risico dat einde jaar de waarde van de beleggingen onvoldoende de nominale pensioenaanspraken volgt. De vraag staat centraal: is het pensioenfonds op weg naar een (onvoorwaardelijke) verlaging en dreigt een situatie waarin de nominale achterstand zo hoog oploopt dat daardoor de ambitie niet meer wordt waargemaakt? Dit hoge risico kan PFZW beperkt beïnvloeden. Er zijn niet veel knoppen waaraan zinvol gedraaid kan worden. Dat heeft tot gevolg dat de risicotolerantie hoog is.

4. Grondslagenrisico: het risico dat de financiële opzet niet meer voldoet en er verlaagd moet worden door besluitvorming op verkeerde gronden door incorrecte economische en actuariële uitgangspunten of andere exogene factoren. De realisatie van de ambitie van het pensioenfonds is dan in gevaar. Dit risico staat op midden net als de risicotolerantie.

5. Beeldvorming: dit bestaat uit het communicatierisico (het risico dat er niet goed gecommuniceerd wordt naar buiten toe), en het imagorisico (het risico dat door negatieve berichten over de financiële of de pensioensector een groot deel van onze deelnemers en werkgevers ook een negatief gevoel heeft over PFZW). Het risico is op hoog ingeschat. Het communicatierisico, dat ook gaat over de communicatie naar de deelnemers, is beter te beheersen dan het imagorisico. De risicotolerantie is laag, communicatie en imago zijn van essentieel belang voor het belang van de deelnemers.

6. Verplichtstelling: het risico dat de huidige verplichtstellingswetgeving wordt aangepast of komt te vervallen en dat de bestaande wettelijke mogelijkheid tot verplichtstelling onvoldoende gehandhaafd wordt. Het risico schatten we op hoog, zolang er nog geen nieuw pensioencontract is. De risicotolerantie is midden. We blijven in gesprek met sociale partners en de politiek.

7. Politiek risico pensioencontract: het risico dat niet tijdig een nieuw pensioencontract tot stand komt dat op maatschappelijke steun kan rekenen. Het risico is hoog, omdat er nog geen definitief voorstel voor een nieuw pensioencontract is. De risicotolerantie is midden. Om dit risico te bewaken zijn we in gesprek zijn met alle belanghebbenden.

8. Product- en dienstontwikkeling: het risico dat door een niet tijdige of juist doorgevoerde ontwikkeling van producten en diensten de gewenste doelen van het pensioenfonds niet worden behaald. Dit risico is ingeschat op hoog, terwijl dit risico in 2018 nog midden was. De risicotolerantie is laag. In 2019 zijn extra maatregelen zoals genomen het introduceren van een product en services approval proces bij pensioenbeheer en het volgen van resultaten op het niveau van een klantreis

9. Proces en IT: het risico dat de complexiteit van de bestaande processen en de ondersteunende IT het uitvoeren van de strategie lastig maakt. Dit risico is hoog ingeschat, terwijl de risicotolerantie laag is. Het bestuur probeert het risico verder te verlagen door complexiteit en legacy terug te dringen.

10. Organisatorische competenties: het risico dat de uitvoeringsorganisatie niet de kwaliteit in huis heeft om onze strategie uit te voeren. Dit risico is midden. De risicotolerantie is laag. De uitvoeringsorganisatie heeft acties genomen zoals het voeren van een strategische personeelsplanning en het zich voorbereiden op de toekomstige arbeidsmarkt.

Naast de tien belangrijkste risico’s die in 2019 zijn gevolgd en beoordeeld door het bestuur, zijn in het eerste kwartaal van 2020 vanwege de coronacrisis de volgende risico’s meer dan actueel: liquiditeitsrisico en het uitbestedingsrisico. Is het pensioenfonds in staat om haar operationele activiteiten te blijven uitvoeren. Dit ziet er als volgt uit:

Deelnemers: de coronacrisis heeft in 2020 geen directe gevolgen voor onze deelnemers en gepensioneerden. De pensioenopbouw en pensioenuitbetaling lopen gewoon door. De gevolgen van de crisis worden pas op 31 december 2020 vertaald in een eventuele aanpassing van de toezeggingen.

Werkgevers: werkgevers die in 2020 vanwege de coronacrisis problemen ondervinden met premiebetalingen, kunnen gebruikmaken van uitstel of spreiding van premieafdracht. Er worden per instelling passende afspraken gemaakt over de beste oplossing voor beide partijen.

Uitbesteding: PFZW heeft met de uitvoeringsorganisatie afgesproken dat vanwege de coronacrisis in 2020 de primaire processen van pensioenvoorziening voorrang hebben. 

Ontwikkelingen in 2019: strategie, IORP II en Gedragslijn AVG

Het is voor PFZW belangrijk dat de belangen van PFZW en die van de uitvoeringsorganisatie gelijkgericht zijn. De uitwerking van de strategie van pensioenadministratie van de uitvoeringsorganisatie om voorbereid te zijn op toekomstige ontwikkelingen en de bijbehorende inrichting van IT-organisatie speelden in 2019. De implementatie gebeurt in 2020.

PFZW heeft de sleutelhouders voor actuarieel, interne audit en risicobeheer in het kader van IORP II benoemd met goedkeuring van DNB.

De leden van de Pensioenfederatie hebben een gedragslijn aangenomen waarin de algemene normen uit de AVG concreter zijn gemaakt voor de sector en dus ook voor PFZW.

Incidenten

De uitvoeringsorganisatie informeert ons over incidenten. Incidenten kunnen iets zeggen over de beheersing van processen en aanleiding zijn om processen te verbeteren. In 2019 hebben zich geen zware incidenten voorgedaan.

Boetes en dwangsommen

In het verslagjaar zijn aan het pensioenfonds geen dwangsommen of boetes opgelegd.

AFM

De Autoriteit Financiële Markten (AFM) heeft onderzoek  gedaan naar de aantoonbaarheid van MIFID II en heeft geconcludeerd dat de aantoonbaarheid verbetering behoeft. Naar aanleiding van de bevindingen is een plan van aanpak opgesteld en met AFM gedeeld. De AFM heeft ook onderzoek gedaan naar de huidige inrichting van de treasury van de uitvoeringsorganisatie. Deze voldoet niet langer aan de toezichtrechtelijke regels ten aanzien van vermogensscheiding (met name artikel 4:87 Wft en artikel 165 BGfo). Een nieuwe inrichting is voorzien in Q3 2020.

Anti-corruptie

Voor PFZW is naleving van wet- en regelgeving essentieel. Dit omvat tevens naleving ten aanzien van witwassen, terrorismefinanciering en sanctiewetgeving. In de Standaard 3000A wordt het proces van wijzigingen in wet- en regelgeving beschreven en getoetst. Diverse risico’s waarbij integriteit in het geding is, zijn beschreven als onderdeel van het risico-universum. Het betreft belangenverstrengeling, gedrag en integriteit, terrorisme, wet- en regelgeving, fraude, cybercrime en compliance. Samen met de uitvoeringsorganisatie wordt ieder jaar een self assessment belangenverstrengeling en een systematische integriteit risico analyse (SIRA) uitgevoerd die bestuurlijk wordt besproken en vastgesteld.

DNB onderzoeken en selfassessments

DNB heeft in 2019 nieuwe onderzoeken uitgevoerd en een eindoordeel gegeven over eerdere onderzoeken.

Omschrijving onderzoek

Afgerond

Onderzoeken uit voorgaande jaren:

 

◦ Onderzoek operationele en IT risico’s (Focus programma)

Loopt

Nieuwe onderzoeken in 2019:

 

◦ Onderzoek Infrastructuur, Asset Quality Review (AQR)

Loopt

◦ Onderzoek datakwaliteit

Loopt

◦ Onderzoek bestuurlijke effectiviteit bij strategische besluitvorming

◦ Uitvraag niet financiële risico's pensioenfondsen 2019

◦ Validatie belangenverstrengeling

◦ Onderzoek Wet Verbeterde Premieregeling

De eventuele bevindingen uit deze onderzoeken worden opgevolgd door het pensioenfonds.

Autoriteit Persoonsgegevens

PFZW heeft bij de Autoriteit Persoonsgegevens datalekken gemeld die voornamelijk te maken hadden met logistieke (post)stromen. Het aantal datalekken was beperkt in relatie tot het aantal deelnemers. Er is continue aandacht en actie om datalekken te voorkomen.

Autoriteit Consument en Markt

De ACM heeft geen onderzoeken gedaan bij PFZW.

In Control Statement

PFZW doet met het ‘In Control Statement’ een expliciete uitspraak over de kwaliteit van de interne risicobeheersing- en controlesystemen. Dit toont het belang dat wij hechten aan een beheerste pensioenuitvoering en een transparante verantwoording daarover. PFZW richt zich in het ‘In Control Statement’ op de financiële verslaggevingsrisico’s en de niet financiële risico’s. In onderstaand statement wordt aangegeven wat de reikwijdte van het statement is en de motivering daarbij.

Verantwoordelijkheid

Het bestuur van PFZW heeft het beleid gescheiden van de uitvoering. De uitvoering van de pensioenadministratie en het beheer van het belegd vermogen zijn uitbesteed aan dochtervennootschappen van PGGM NV (hierna: PGGM). Tussen PFZW en PGGM zijn de uitbestedingsafspraken vastgelegd in een service level agreement met daaraan gerelateerde prestatiecriteria en verantwoordingsrapportages. Het bestuur van PFZW blijft verantwoordelijk voor het geheel van beleid en uitvoering van alle activiteiten die samenhangen met de pensioenregeling en het vermogensbeheer. Het bestuur is daarnaast, ondanks de uitbesteding van de uitvoering, verantwoordelijk voor de opzet en werking van de interne risicobeheersing- en controlesystemen ten aanzien van de financiële verslaggeving en de niet-financiële risico’s. Sommige risico’s zijn niet te beïnvloeden door het bestuur, zoals demografische ontwikkelingen en ontwikkelingen op de financiële markten.

Reikwijdte

Het Standaard 3402-rapport heeft betrekking op de externe financiële verslaggeving van PFZW in de vorm van de jaarrekening, de kwartaalberichten, de kwartaal- en jaarverslagstaten van het pensioenfonds aan DNB en de rapportage Z-score. De verklaring is afgegeven bij de kwaliteit van de opzet, het bestaan en de werking van de interne risicobeheersing- en controlesystemen over 2019. Het financiële jaarverslag is gebaseerd op een going concern-situatie en gaat uit van een continuïteit op de lange termijn in lijn met de doelstellingen van PFZW.

Het Standaard 3000A-rapport heeft betrekking op de kwaliteit van niet-financiële processen. Het gaat daarbij over de volgende processen:

  • het uitvoeren van de verplichte pensioencommunicatie

  • het doorvoeren van wijzigingen in wet- en regelgeving

  • het voldoen aan privacy wet- en regelgeving

  • het verzorgen van de klant- en de toezichtrapportages

  • het monitoren van de uitbestede diensten

  • het opstellen van de ALM-nota en de ABTN

  • het berekenen van de dekkingsgraad

  • het uitvoeren van cyber security business continuïteitsmanagement en fysieke toegangsbeveiliging,

  • het uitvoeren van incident management.

Motivering reikwijdte

Voor de uitbestede dienstverlening heeft de uitvoeringsorganisatie aan PFZW onder meer twee Standaard rapporten, één voor pensioenbeheer en één voor vermogensbeheer, over 2019 verstrekt over de inrichting en werking van de interne beheersing en interne controle. Ieder rapport kent twee delen, te weten een 3402-deel en een 3000A-deel. Er zijn geen beperkingen geconstateerd.

Daarnaast heeft het bestuursbureau van PFZW een stelsel van risicobeheersing en interne controle en rapporteert zijn zelfstandig oordeel aan het bestuur. Het bestuur heeft inzicht in zijn strategische risico’s, beoordeeld in een jaarlijks risico-assessment.

Dit is de basis waarop het bestuur vindt dat het een verklaring kan afgeven, gericht op de externe financiële verslaggeving gebaseerd op de Standaard 3402 en de inrichting en kwaliteit van de niet financiële processen als opgenomen in de Standaard 3000A.

Door ons te richten op de financiële verslaggevingsrisico’s en niet-financiële risico’s sluit het pensioenfonds aan op de maatschappelijke ontwikkelingen op het gebied van interne risicobeheersing en houdt bijvoorbeeld rekening met de best practice bepaling van de Commissie Corporate Governance. Kern van deze aanbeveling is dat een expliciete uitspraak wordt gedaan over de beheersing van de financiële verslaggevingsrisico’s en dat van de andere risico’s een beschrijving wordt gegeven van het beheerskader en de geplande verbeteringen. Een aantal van deze andere risico’s zijn nu expliciet opgenomen in het Standaard 3000A-rapport.

Verklaring

Het bestuur van PFZW verklaart met betrekking tot de externe financiële verslaggeving dat, gegeven de hiervoor aangegeven reikwijdte, met een redelijke mate van zekerheid de interne risicobeheersing- en controlesystemen in 2019 zodanig hebben gewerkt dat de externe financiële verslaggeving op going concern-basis over 2019 geen onjuistheden van materieel belang bevat.

Het bestuur van PFZW verklaart met betrekking tot de niet-financiële processen dat, gegeven de hiervoor aangegeven reikwijdte van de Standaard 3000A, met een redelijke mate van zekerheid de interne risicobeheersing- en controlesystemen in 2019 hebben gewerkt.