Pensioenwereld scherper

Sinds 2019 is de interne auditfunctie (IAF) verplicht voor pensioenfondsen. Is dat een zegen of een vloek? Wat heeft dat in de praktijk betekend? Aan het woord is Pieter van der Wal, voorzitter van de Stichting Pensioenfonds van de KAS BANK en head of Audit Netherlands binnen Caceis.

Wie is Pieter van der Wal?

“Na mijn studie bedrijfseconomie en bestuurlijke informatiekunde begon ik als EDP-auditor in een tijd waarin IT-auditing nog grotendeels pionieren was. Van ponskaarten tot de eerste grote banksystemen: ik heb die hele digitaliseringsslag bewust meegemaakt. Daarna heb ik in verschillende organisaties C-levelrollen gehad, onder meer bij Staalbankiers, De Hypothekers Associatie en Quion. Telkens ging het om het bouwen, stabiliseren of professionaliseren van bedrijfsvoering en risicobeheersing. Sinds 2016 combineer ik mijn rol als bestuursvoorzitter van pensioenfonds Kasbank met mijn functie als head of Audit Netherlands binnen Caceis. Die combinatie maakt dat ik dagelijks schakel tussen toezicht, audit en bestuur. Wat ik meeneem uit mijn verleden is het risicodenken. Dat wordt echt een tweede natuur en helpt enorm in elke bestuurlijke context.”

De Europese richtlijn Institutions for Occupational Retirement Provision (IORP) II verplicht pensioenfondsen tot een IAF. Hoe werd daarop gereageerd?

“De reactie in Nederland was aanvankelijk gemengd. Veel fondsen hadden governance en processen al goed ingericht, maar op een net iets andere manier dan de richtlijn voorschreef. Daardoor voelde de verplichting in eerste instantie vooral als een extra laag bureaucratie. Voor kleinere fondsen was het bovendien complexer, omdat functiescheiding en rolverdeling moeilijker te organiseren zijn. De Europese regelgeving is verplicht, dus je hebt weinig keus. Maar eerlijk is eerlijk: inmiddels heeft niemand spijt meer van de invoering. Het gaf helderheid en dwingt tot een professioneel kader voor interne governance.”

“Je ziet dat audit kwesties naar boven haalt die al langer in de lucht hingen”

Wat veranderde er door de komst van de IAF?

“Daardoor zijn governance en processen niet alleen scherper geworden, maar ook veel explicieter. Wij hebben bijvoorbeeld onze risicobeheerfunctie deels opnieuw ingericht op basis van auditbevindingen. Het bestaan van de IAF is echt een katalysator voor kwaliteitsverbetering. Je ziet bovendien dat audit kwesties naar boven haalt die al langer in de lucht hingen. Zaken waar iedereen wel een onderbuikgevoel bij had, maar waar niemand tijd voor maakte of formeel eigenaar van was. Ons toezichthoudend orgaan, de visitatiecommissie, leunt sterk op de auditrapporten en daarom is de tone of voice cruciaal: kritisch, maar wel in proportie. Je wilt geen paniek veroorzaken, maar wel verbetering in gang zetten.”

Maakt interne audit daadwerkelijk impact?

“Ja, absoluut. De impact zit vooral in het expliciet maken van relevante risico’s en informele interne beheersing. Dat houdt in: beheersing die er wel degelijk is, maar niet vast te stellen door een buitenstaander. Audit helpt om te toetsen of processen werken zoals bedoeld, en dat is voor een pensioenfonds essentieel en waardevol. Zeker nu de omgeving steeds complexer wordt, met hoge verwachtingen van toezichthouders en deelnemers. Audit geeft ook comfort richting de toezichthouder. Het is een objectief signaal dat je als bestuur je verantwoordelijkheid serieus neemt. Bovendien helpt het bij het prioriteren van verbeterpunten. Als je mij dus vraagt of ik opnieuw voor dezelfde inrichting zou kiezen: ja, zonder twijfel.”

Welke onderwerpen horen op de auditkalender van een pensioenfonds?

“De belangrijkste thema’s zijn op dit moment DORA, ook een zeer bekende Europese richtlijn, en de transitie naar het nieuwe pensioenstelsel. Dat zijn grote veranderingen die niet alleen technisch, maar ook qua governance veel vragen van een fonds. Audit moet kijken naar projectinrichting, besluitvorming en de mate waarin risico’s in elke fase worden onderkend. Daarnaast zijn er doorlopende thema’s zoals risicomanagement, toetsing van de inrichting van de sleutelfuncties en beoordeling van de beheersing van de uitbestedingsketen. Die combinatie van grote verplichte trajecten en kleinere cyclische audits houdt het vak dynamisch. Het is geen routinewerk. Elke audit heeft nieuwe accenten.”

Veel pensioenfondsen werken bijna volledig met uitbestede processen. Hoe werkt audit dan?

“In de pensioenwereld is bijna alles uitbesteed, van administratie tot vermogensbeheer. Dat betekent dat wij als bestuur en audit sterk leunen op ISAE 3000- en 3402-rapporten. Risk managent beoordeelt die rapportages en rapporteert hierover aan het bestuur. De IAF voert periodiek een audit uit op de beheersing van onze eigen uitbestedingen. Right to audit hebben we, maar gebruiken we zelden. Alleen als er structurele afwijkingen of risico’s zijn.”

Moet audit ook naar gedrag en cultuur kijken?

“Gedrag en cultuur hebben zeker impact op de vraag of een organisatie in control is. Het is goed om je te realiseren dat een (kleiner) pensioenfonds doorgaans een zeer overzichtelijke organisatie is die van uitbestedingen aan elkaar hangt. Tegelijkertijd is het niet aan de IAF om psychologische analyses te doen. De IAF moet vooral toetsen of het proces voor cultuurbeoordeling aanwezig is en werkt zoals bedoeld. Wij voeren jaarlijks een bestuursevaluatie uit met een bedrijfskundig psycholoog. Dat levert waardevolle inzichten op. Zeker bij samenwerkingsvraagstukken of onuitgesproken verwachtingen. Soms doen we dat samen met het verantwoordingsorgaan. Dat helpt bij het bevorderen van wederzijds begrip. Maar de inhoud van die gesprekken hoort niet bij audit, audit kijkt naar de structuur en borging ervan.”

Hoe past een bestuur in het three lines model? Bij kleine fondsen lopen rollen vaak door elkaar

“Het three lines model werkt in theorie prachtig, maar de praktijk van kleine fondsen is altijd wat gelaagder. Als bestuur ben je eerste lijn, maar je ontvangt ook rapportages van de tweede en derde lijn. Tegelijkertijd heb je beperkte capaciteit en soms dubbele petten. Daardoor vloeien rollen sneller in elkaar over dan bij grote organisaties. De uitdaging is om ondanks die kleinschaligheid functionele onafhankelijkheid te waarborgen. Dat lukt door duidelijke afspraken, goede documentatie en een heldere positionering van de compliancefunctie en de sleutelfuncties actuarieel, risicobeheer, en interne audit. Het model werkt, maar vraagt wel meer discipline in een kleine setting.”

“Audit brengt structuur, discipline en helderheid. Het legt bij het nieuwe pensioenstelsel de hiaten in de beheersing bloot”

Zijn er bepaalde conflicterende belangen binnen de pensioenwereld?

“Bij pensioenfondsen spelen soms belangen die schuren. Bijvoorbeeld als pensioenbestuurders worden afgevaardigd door de werkgever én beslissingen moeten nemen over kwesties die de werkgever raken. Denk aan claims, geschillen of keuzen voor uitbestedingspartijen. Dat kan de perceptie van onafhankelijkheid en objectiviteit aantasten. Wij hebben dat opgelost door bestuurders die in dienst zijn van de bank niet te laten aanschuiven bij onderhandelingen met de werkgever. Zo voorkom je dat een pensioenbestuurder formeel wordt aangesproken door iemand aan wie hij in het dagelijks werk rapporteert. Dat soort praktische maatregelen helpen om de integriteit en objectiviteit te waarborgen.”

Tot slot: stel dat IORP II er niet was. Zou je dan alsnog een IAF inrichten?

“Ja, daar ben ik vrij stellig in. De IAF helpt ons als bestuur om te zien of we daadwerkelijk in control zijn. Je hebt objectieve checks nodig, zeker in een wereld waar de verwachtingen richting pensioenfondsen enorm zijn toegenomen. Het gaat niet om drie of tien audits per jaar, het gaat om de kwaliteit, relevantie en scherpte ervan. Audit brengt structuur, discipline en helderheid. Het legt bij grote thema’s als DORA en het nieuwe pensioenstelsel de hiaten in de beheersing bloot. En het helpt bij het verantwoorden richting toezichthouders en deelnemers. Daarom zou ik altijd weer voor dezelfde inrichting kiezen.”