Internal audit bij pensioenfondsen: 2020-2025 en daarna

Sinds 2019 is het voor pensioenfondsen vanuit IORP II verplicht een internal auditfunctie te hebben ingericht. De internal auditfunctie beoordeelt in hoeverre het systeem van interne beheersing adequaat en doeltreffend is. Bij veel pensioenfondsen staat deze functie op dit moment nog in de kinderschoenen. Wat is de komende jaren belangrijk voor een startende internal auditfunctie bij pensioenfondsen?

Allereerst zijn de inrichting van de functie en de verschillende rollen daarbij van belang. IORP II maakt onderscheid tussen het sleutelfunctiehouderschap en de vervullersrol. Het sleutelhouderschap zie ik veelal (maar niet uitsluitend) bij een bestuurslid liggen. De vervullersrol kan op verschillende manieren worden ingevuld. Dat kan via de internal auditafdeling van een bestuursbureau, door gebruik te maken van de internal auditfunctie van uitvoerders of door een ingehuurde internal auditor.

Geschiktheidscriteria

De uitdaging is om voor voldoende deskundigheid en countervailing power te zorgen tussen de sleutelhouder en de vervuller van de internal auditfunctie en tussen de auditor en de auditee. Het is daarom logisch dat De Nederlandsche Bank (DNB) geschiktheidscriteria heeft opgesteld voor het effectief kunnen dragen van het sleutelhouderschap. Daarnaast is het belangrijk dat in het systeem van kwaliteitsbeheersing aandacht wordt besteed aan het zekerstellen van de benodigde ervaring en vaardigheden binnen de internal auditfunctie ten aanzien van de onderzoeksobjecten.

Proportionaliteit

Vervolgens rijst de vraag hoe omvangrijk en diepgaand de internal auditfunctie moet worden ingevuld. IORP II stelt dat de internal auditfunctie proportioneel mag worden ingevuld. Proportionaliteit draait om het afstemmen van de intensiteit van de internal auditfunctie op de aard en complexiteit van de organisatie. Maar dat is niet concreet. DNB heeft haar visie gegeven hoe zij de internal auditfunctie per categorie pensioenfonds normaliter ingevuld zou willen zien. Deze visie heeft hoofdzakelijk betrekking op de inbedding van de internal auditfunctie in de organisatie, maar gaat niet in op de vraag hoe proportionaliteit uitwerkt op de diepte en reikwijdte van de werkzaamheden van de internal auditfunctie.

Het goed toepassen van het proportionaliteitsbeginsel begint bij een goede risicoanalyse door het bestuur van het pensioenfonds. De uitkomst daarvan moet richtinggevend zijn voor interne beheersing van de organisatie en daarmee ook een belangrijke rol spelen in het auditplan van de internal auditfunctie.

Uitbesteding

De pensioensector kent een hoge mate van uitbesteding. Het is van belang te beseffen dat men risico’s niet kan uitbesteden. Men besteedt de uitvoering van het proces dat gericht is op de beheersing van risico’s uit. Dit betekent dat de beheersing van uitbestedingsrelaties een kernpunt is in de beheersingsraamwerken van veel pensioenfondsen.

Ik merk dat de pensioensector zich steeds meer bewust wordt van de inherente risico’s die zij lopen. Daarbij zie ik een transitie waarbij sprake is van verdieping in het risicomanagement, dat wil zeggen dat de nadruk in toenemende mate op de inhoud van de risico’s komt te liggen in plaats van op risicomanagement als proces. De vervolgvraag: hoe zorg ik ervoor dat ik aantoonbaar in control ben?, krijgt een steeds centralere rol in de organisatie. Pensioenfondsen professionaliseren hierdoor als organisatie en dwingen dergelijke volwassenheid af in de hele keten van dienstverleners.

De toekomst? Robotics en algoritmen. De vraag is wie de robots programmeert en de software onderhoudt

Stakeholders en belangen

Risicomanagement en de bijbehorende interne beheersing is de voorbije jaren fors verbeterd en volwassen geworden. De groeikansen liggen er om risicomanagement beter aan te laten sluiten op de strategische doelstellingen en daarmee op de belangen van alle stakeholders. Ik zie vaak dat de invulling nog te veel ‘toezichthoudergericht’ is.

Er is een reëel gevaar dat pensioenfondsen auditmoe worden doordat verschillende partijen (toezichthouders, internal auditors, financial auditors) soortgelijke onderzoeken instellen die gericht zijn op het testen van de interne beheersing. Ik pleit daarom voor het opzetten, testen en verbeteren van een geïntegreerd risicobeheersingsraamwerk waarmee het waarborgen van de belangen van verschillende stakeholders aantoonbaar kan worden gemaakt.

In control

Verder voorzie ik de behoefte dat men op efficiëntere wijze aantoonbaar in control wil zijn. Het interne beheersingsraamwerk moet voorzien in de belangen van alle stakeholders, wat doublures in audits vanuit toezichthouders, internal audit en financial audits moet minimaliseren. Eenmaal in control moet gewaarborgd worden dat de organisatie in control blijft. Daar heb je iemand in het kraaiennest voor nodig, de auditor, die tijdig waarschuwt waar de zandbank ligt. Door bij te sturen voordat het moet, ben je in staat om op efficiënte wijze aantoonbaar in control te blijven. Internal audit heeft daarin absoluut een sleutelrol.

Trends en thema’s

Ik zie een duidelijke samenhang tussen de thema-audits van toezichthouders, trends binnen internal audit en de focus van pensioenfondsen. Enerzijds ligt de oorzaak hiervan in het eerdergenoemde ‘toezichthoudergericht’ risicomanagement. Anderzijds zijn veranderingen in de sector, zoals technologische veranderingen, aanleiding voor nieuwe risicobeheersingsvraagstukken. Denk bijvoorbeeld aan cybersecurity, data-integriteit en privacy; onderwerpen die door nieuwe manieren waarop met deelnemers wordt gecommuniceerd bij ieder fonds veel aandacht krijgen.

In recent onderzoek (2018) concludeert DNB dat informatiebeveiliging bij instellingen in de financiële sector nog niet op het vereiste volwassenheidsniveau is. Een van haar waarnemingen betreft het feit dat aandacht voor cybersecuritydreigingen en -maatregelen niet expliciet wordt gemaakt. Om het bewustzijn van cybersecurity bij instellingen te verhogen, heeft DNB haar toetsingskader Informatiebeveiliging geactualiseerd. Dit onderwerp, voor zover al niet op de agenda van pensioenfondsen, zal in de komende jaren prominenter verschijnen op de risicoagenda van pensioenfondsen en daarmee ook in de uitbestedingsketen.

Je hebt iemand in het kraaiennest nodig die tijdig waarschuwt waar de zandbank ligt: de auditor

Relevante thema’s

Tussen 2020 en 2025 zie ik de volgende relevante thema’s:

• de beheersing van datakwaliteit in de digitale wereld en de hierop gebaseerde rapportages, zowel financiële informatie als niet-financiële informatie;
• de verdere professionalisering en groei naar volwassenheid op het gebied van IT-risicobeheer;
• het effectief toepassen van het proportionaliteitsbeginsel bij pensioenfondsen;
• individualisering van informatiebehoefte bij pensioendeelnemers;
• het beheersen van de uitbestedingsketen (en mede daaraan gerelateerd);
• het behouden/verbeteren van voldoende deskundigheid en countervailing power op bestuursniveau.

De toekomst van de toekomst

De uitdaging daarna is misschien nog veel interessanter. Mijn verwachting is dat beheersingsmodellen van organisaties in den brede gaan veranderen en daarmee ook de rol van internal audit. Ik verwacht dat de eerste en tweede lijn, mede door verdergaand gebruik van data en automatisering steeds dichterbij elkaar komen te liggen. Robotics en algoritmische data-analyse kunnen waarschijnlijk beter en sneller afwijkingen detecteren dan mensen. De vraag is wie de robots programmeert, de algoritmen schrijft en de software onderhoudt. Het lijkt mij logisch dat de derde lijn in toenemende mate een IT-expertise ontwikkelt, zodat het gespecialiseerde IT-beheer effectief kan worden getoetst.

Tegelijkertijd verwacht ik dat nadruk komt te liggen op gedrag en cultuur. De vraag hoe beslissingen en beleid tot stand komen en of dit kwalitatief in het belang van álle stakeholders is, laat zich misschien moeilijk in algoritmen vatten. Op papier kan een beslissing in een evenwichtig samengestelde groep tot stand zijn gekomen, terwijl besluitvorming in de praktijk helemaal niet in balans is. Bijvoorbeeld doordat bepaalde karaktereigenschappen in groepsdynamiek ertoe leiden dat een of meerdere personen ‘de facto control’ hebben en een overheersende stem laten horen. De vraag is of de internal auditor voldoende is opgeleid en in staat is dergelijke situaties te herkennen en op te volgen.

Maatschappelijk rendement

Sommige pensioenfondsen zijn organisaties die vanwege de omvang van het beheerd vermogen significante impact op de maatschappij als geheel kunnen hebben. Dat betekent dat de maatschappij een stakeholder van het fonds is. De vraag wat het rendement van die pensioenfondsen is, reikt verder dan het antwoord op de vraag of het fonds de pensioenen kan indexeren. Om het maatschappelijk rendement te berekenen moet je ook de niet-financiële impact meten. Het maatschappelijk rendement omvat bijvoorbeeld ook de impact van investeringsbeslissingen op de duurzaamheid van de samenleving, zoals uitgedrukt in CO₂-uitstoot, het financieren van projecten met een sociaal karakter, maar ook in de creatie van werkgelegenheid.

De vraag is hoe je de belangen van de stakeholders afweegt wanneer deze conflicterend lijken te zijn. Zijn deelnemers aan pensioenfondsen bijvoorbeeld bereid een lagere uitkering, hogere premie of latere pensioendatum te accepteren als dat een positief effect heeft op het behalen van ESG-doelstellingen? Hoe meet je dat, hoe weeg je belangen af en hoe adviseer je daarover als trusted advisor en assurance verstrekker?

Binnen of buiten de lijntjes kleuren

Samengevat verwacht ik dat het belang van een onafhankelijke functie die vaststelt of binnen de lijntjes wordt gekleurd, in de toekomst afneemt. Aan die behoefte kan waarschijnlijk grotendeels geautomatiseerd worden voldaan. De toegevoegde waarde van de internal auditor ligt wat mij betreft bij het toetsen van de kwaliteit van het waardemanagementproces. Waar niet zozeer de vraag centraal staat of de significante risico’s adequaat worden beheerst, maar of het maatschappelijk rendement op een toereikende manier wordt gegenereerd. En dat roept weer allerlei andere vragen op, zoals hoe je maatschappelijk rendement meet en wat het normenkader is (wanneer is het toereikend?).

Hoe we daar komen? Met een stap tegelijk. Eerst 2020 dan maar.