Meerwaarde IAF pensioenfondsen
Auditland stak de vlag uit bij de implementatie van de tweede Europese pensioenrichtlijn. Pensioenfondsen moeten voortaan ook een sleutelfunctie interne audit hebben als extra waarborg voor beheerste en integere bedrijfsvoering. Hoe doe je dat effectief en efficiënt? Een uitdaging voor pensioenfondsen.
Eind 2020 hebben bijna alle pensioenfondsen een sleutelfunctie interne audit (IAF) ingericht. De grote fondsen moesten een jaar eerder klaar zijn en hebben inmiddels een werkzame IAF. Op basis van een survey met 105 respondenten en vijf panelgesprekken is in beeld gebracht hoe deze nieuwe sleutelfunctie is ingericht binnen de fondsgovernance en welke discussies hier nog spelen.
Als het fondsbestuur niet tijdig reageert op een gerapporteerde inbreuk op een wettelijke vereiste, dan moet de sleutelfunctiehouder dit melden bij De Nederlandsche Bank
Hoge mate uitbesteding
Voor de inrichting van de IAF is relevant dat de meeste pensioenfondsen de kernactiviteiten, pensioenadministratie en vermogensbeheer, hebben uitbesteed en zelf een heel kleine organisatie hebben. Gemiddeld staan er drie personen op de loonlijst, want alleen de grote pensioenfondsen hebben een eigen bestuursbureau voor ondersteuning van het bestuur. De werkzaamheden van de IAF worden daarom bijna altijd uitbesteed.
Andere bril
Verder is sprake van een sterk gereguleerde omgeving met veel organen/partijen die – met een andere bril – deels naar dezelfde processen en risico’s kijken. Zo is de IAF een derdelijns sleutelfunctie op fondsniveau, die zich samen met de tweedelijns risicobeheerfunctie richt op de werkzaamheden bij de uitvoeringsorganisiatie(s) én op de werkzaamheden binnen het fonds. Belangrijk dus om de taken en verantwoordelijkheden goed op elkaar af te stemmen
Tabel 1 toont de fondsgovernance, inclusief de drie sleutelfuncties en de organen voor medezeggenschap (verantwoordingsorgaan of belanghebbendenorgaan) en intern toezicht (een raad van toezicht, visitatiecommissie of niet-uitvoerende bestuursleden in een one-tier bestuursmodel). Dit naast de uitvoerende/controlerende werkzaamheden bij de uitvoeringsorganisaties. Er kan dus zowel bij het fonds als bij de uitvoerders onderscheid worden gemaakt naar eerste-, tweede- en derdelijns werkzaamheden.
Effectieve en proportionele inrichting bepalend voor waardecreatie
Assurance+
De bestuurders in ons onderzoek vinden een effectieve, proportionele inrichting van de IAF bepalend om meerwaarde te kunnen creëren. Het gaat dan om efficiëntie en kosten. Maar ook om effectiviteit: een passende, goed ingebedde IAF kan beter haar werk doen en geeft het bestuur meer inzicht in de risico’s die bij het fonds spelen.
Bestuurders zien als belangrijkste meerwaarde dat de IAF door haar onafhankelijke rol meer zekerheid kan geven over de werking van processen/systemen (en risico’s hierin) en zien daarbij graag ook verbetervoorstellen. Een assurance+-rol dus, die naadloos past bij de wettelijke doelstelling van de IAF. Een adviesrol verwachten bestuurders meer van de sleutelfunctie risicobeheer.
Meldplicht sleutelfunctiehouder
Een belangrijk persoon binnen de IAF is de sleutelfunctiehouder die eindverantwoordelijk is voor de IAF en wettelijk ook de rapportage- en meldplicht heeft. Als het fondsbestuur niet tijdig reageert op een gerapporteerde (significante) inbreuk op een wettelijke vereiste (of groot risico hierop), dan moet de sleutelfunctiehouder dit melden bij De Nederlandsche Bank (DNB). Op dit punt gelden voor sleutelfunctiehouders bij pensioenfondsen dus zwaardere regels dan in andere sectoren.
De sleutelfunctiehouder kan een bestuurder zijn, maar dan heeft dat gevolgen voor zijn bestuursportefeuille
Houderschap
Houderschap van de IAF is ook een andere, meer functionele rol dan de bestuurlijke verantwoordelijkheid voor de IAF, die bij een pensioenfonds bij alle bestuurders samen ligt (collegiaal bestuur). De sleutelfunctiehouder kan een bestuurder zijn, maar dan heeft dat gevolgen voor zijn bestuursportefeuille. Zoals deelname in (uitvoerende) bestuurscommissies, omdat anders de onafhankelijkheid van de IAF onder druk kan komen te staan. In deze opzet mag de sleutelfunctiehouder wel meebeslissen over de strategie van het fonds, net zoals andere bestuurders.
Een nadeel kan zijn dat hij door deze extra rol als een bestuurder+ wordt ervaren. Het belangrijkste voordeel van deze opzet is echter dat de IAF eenvoudig op de hoogte is van wat er speelt binnen het fonds en waar nodig een directe inbreng heeft in de besluitvorming. Daarbij kan het schelen in de kosten als een van de bestuurders sleutelfunctiehouder wordt.
Draagvlak
Als de sleutelfunctiehouder wordt geïnsourced, worden onafhankelijkheid en auditexpertise eenvoudiger geborgd, maar zijn informatievoorziening en draagvlak binnen het fondsbestuur een aandachtspunt. In die opzet is er dus een (externe) sleutelfunctiehouder IA waarbij het fonds ervoor kan kiezen dat een van de bestuurders het eerste aanspreekpunt is voor de houder. Meestal is de sleutelfunctiehouder dan ook het hoofd IA bij de externe partij die de auditwerkzaamheden uitvoert (de vervuller), maar er zijn ook fondsen die het houderschap weer bij een andere partij beleggen.
Vier modellen
In de praktijk zijn er vier modellen voor de positionering van de sleutelfunctiehouder IA (zie tabel 2):
- bestuurder/sleutelfunctiehouder: vooral bij kleine/middelgrote fondsen (42%);
- insourced extern adviseur: vooral bij (middel)grote fondsen (40%);
- insourced auditspecialist bij werkgever: een mogelijkheid voor ondernemingspensioenfondsen (13%);
- intern bij het bestuursbureau: bij enkele grote (bedrijfstak)pensioenfondsen (4%).
Niet één inrichtingsmodel optimaal
De experts in de panelsessies in dit onderzoek vonden niet één model optimaal. En dit blijkt ook uit de guidance die partijen als de Pensioenfederatie, het IIA en DNB hebben uitgebracht. De uiteindelijke keuze verschilt per fonds, waarbij diverse aspecten worden afgewogen, zoals: delen van interne kennis/informatie, draagvlak, gezag en autoriteit van de sleutelfunctiehouder, operationele onafhankelijkheid, kostenefficiëntie en portefeuilleverdeling/dynamiek binnen het bestuur.
Deze aspecten zijn niet in alle modellen even goed geborgd. Afhankelijk van het gekozen model worden daarom afspraken gemaakt om de nadelen ervan te beperken. Uit de survey blijkt dat vaak wordt gekozen voor rapportage- en escalatielijnen naar de raad van toezicht om de onafhankelijke positie van de IAF beter te borgen. Ook worden vaak gerichte afspraken gemaakt over de uitwisseling van informatie van/naar de sleutelfunctie.
Maximaal samenwerken met risicobeheerfunctie en uitvoeringsorganisatie(s)
Zicht op uitbesteding
De sleutelfuncties interne audit en risicobeheer moeten zoveel mogelijk samenwerken en informatie delen om:
- vanuit hun taak zicht te houden op de (uitbestede) werkzaamheden en (uitbestedings)risico’s;
- dubbel werk en blinde vlekken te voorkomen.
Ieder uit een andere rol: de risicobeheerfunctie (RBF) monitort risico’s meer in de breedte en heeft ook een adviesrol, waarbij de interne auditfunctie steeds (risicogebaseerd) op een bepaald deel van de bedrijfsvoering meer de diepte ingaat. Dat vonden de experts in de panelsessies en is ook in het belang van het pensioenfonds. Daarbij moet de interne auditfunctie uiteraard ook zicht houden op de risicobeheerfunctie en de uitvoerende werkzaamheden bij bestuur en bestuursbureau.
Onafhankelijke werking
De IAF geeft uiteindelijk assurance over het gehele risicomanagementsysteem, maar dat hoeft een goede samenwerking met de risicobeheerfunctie en een onafhankelijke werking van de interne auditfunctie niet in de weg te staan. Een praktische oplossing hiervoor is om periodiek een audit op het risicomanagementsysteem te laten uitvoeren door een externe partij.
Uit de survey bleek echter dat de samenwerking met de risicobeheerfunctie nog wel beter kan: slechts 63% van de sleutelfunctiehouders IA neemt de input van de risicobeheerfunctie mee in hun risico-opvattingen. En maar in de helft van de gevallen is er periodiek overleg over de risicoanalyses en de uitkomsten van onderzoeken van beide sleutelfuncties. Hopelijk gaan deze percentages omhoog nu meer sleutelfuncties IA bij kleine fondsen werkzaam worden.
De samenwerking met de risicobeheerfunctie kan nog wel beter: slechts 63% van de sleutelfunctiehouders IA neemt de input van de risicobeheerfunctie mee in hun risico-opvattingen
Samenwerking met uitvoerder loont
De IAF moet een audit right hebben bij de pensioenuitvoerders om haar werk goed te kunnen doen. Toch zal de IAF daar spaarzaam gebruik van willen maken. Het is veel goedkoper en effectiever om aan te sluiten op de controle- en interne auditactiviteiten bij de uitvoerder(s). Het is daarom aan te bevelen om afspraken te maken met de pensioenadministrateur en vermogensbeheerder(s) over:
- de reikwijdte van de ISAE 3402-verklaringen;
- het meenemen van klantwensen in het auditplan van de uitvoeringsorganisatie;
- het verstrekken van gedetailleerde auditrapportages door de IAF van de uitvoerder, inclusief een (mondelinge) toelichting hierop.
Een voorbeeld hiervan is de samenwerking tussen fondsen aangesloten bij een pensioenuitvoeringsorganisatie voor het initiëren van audits door de IAF bij die organisatie. Bij sleutelfunctiehouders IA leeft de wens dat er standaardisering in de sector komt voor de samenwerking tussen de IAF van het fonds en de IAF van de uitvoerder.
Relatie met intern toezicht in Code Pensioenfondsen
Ogen en oren intern toezicht
Het intern toezicht kan goed gebruikmaken van sleutelfuncties, waaronder de interne auditfunctie, voor hun rol om toezicht te houden op de risicobeheersing van het fonds. In de panelsessies werden deze de ogen en oren van het intern toezicht genoemd. Niet alleen het bestuur maar ook het intern toezicht ziet meer bij een goed functionerende IAF. Bij veel fondsen zijn dan ook afspraken gemaakt over uitwisseling van informatie, overleg en escalatie tussen de IAF en het intern toezicht.
Stevige relatie met intern toezicht
In de panelsessies vonden de meeste experts de volgende afspraken logisch:
- periodieke rapportage ter informatie aan intern toezicht, minimaal jaarlijks;
- periodiek overleg tussen de sleutelfunctiehouder IA en intern toezicht, minimaal jaarlijks;
- escalatielijn naar intern toezicht (als gelegenheid om in te grijpen) vóórdat de sleutelfunctiehouder IA in het kader van meldplicht naar DNB stapt;
- inbreng voor het audit jaarplan door intern toezicht, vooraf bij de inventarisatie of als advies bij het concept audit jaarplan.
De visitatiecommissie is een proportionele invulling van intern toezicht bij kleine fondsen en staat meer op afstand van het fonds, omdat er meestal slechts jaarlijks een visitatie wordt uitgevoerd. Deze afspraken zijn echter in minimale vorm ook bij een visitatiecommissie werkbaar en wenselijk.
Het zou mooi zijn als de sector zelf komt met aanbevelingen voor de relatie tussen de sleutelfuncties met het bestuur en het intern toezicht
Verschillende opvattingen
Er zijn overigens verschillende opvattingen over de invloed die het intern toezicht zou moeten hebben op de auditagenda. Sommigen zien intern toezicht als een (mede)opdrachtgever voor de interne auditfunctie, anderen vinden dat onwenselijk en zien intern toezicht vooral als een belangrijke stakeholder.
Het zou mooi zijn als de sector zelf komt met aanbevelingen voor de relatie tussen de sleutelfuncties met het bestuur en het intern toezicht. En nog mooier als die dan ook in de eerstvolgende Code Pensioenfondsen zouden belanden. Pensioenfondsen moeten dan namelijk transparant zijn over toepassing van deze aanbevelingen en zo nodig in hun jaarverslag toelichten waarom deze eventueel niet zijn gevolgd.
Hoe verder?
Ten tijde van de survey (september/oktober 2020) was volgens de helft van de respondenten de IAF volledig in werking. En de andere helft dus nog in opbouw. Logisch dus dat er nog veel behoefte is aan het delen van ideeën en ervaringen. Het is daarom een uitstekend initiatief van het IIA om hiervoor een platform te bieden. Dat helpt om de IAF bij pensioenfondsen te laten groeien in volwassenheid.
Verwacht kan worden dat pensioenfondsen niet lang zullen wachten om hun IAF te evalueren om de efficiëntie en effectiviteit van de sleutelfunctie verder te verbeteren. Overigens bleek uit de survey dat circa 20% van de bestuurders de nieuwe sleutelfunctie IA nog steeds overbodig vindt. Een mooie uitdaging dus voor intern auditors om die weerstand te verkleinen door hun meerwaarde in de praktijk te laten zien.
Over
Drs. Karin Aarssen AAG RBA werkt als on-site toezichthouder bij De Nederlandsche Bank en schreef dit artikel op persoonlijke titel. Het onderzoek is uitgevoerd samen met drs. Edward Mulder RA RO (werkzaam bij Mazars), ter afronding van de opleiding Internal Auditing & Advisory bij Erasmus School of Accounting & Assurance.
Reacties (1)
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.
Lees meer over dit onderwerp:
Verleid de RvC en RvB tot een bredere blik!
Het evaluatieproces van de auditcommissie (AC) en de samenstelling van de AC is nog niet ideaal. Maak het evaluatieproces van de raad van bestuur, raad van commissarissen en de commissies van deze laatste onderwerp van internal audits.
Lees meerWerken met cultuur
Cultuur is binnen het domein van veiligheid inmiddels een vertrouwd concept. Wat zijn de ervaringen vanuit het domein veiligheid met cultuur(onderzoek) en wat is de rol van de internal auditor?
Lees meer
Mooi artikel! Geeft goed beeld van waar we nu staan met de sleutelfunctie interne audit bij pensioenfondsen.