“We zijn nu de pensioenstraat aan het verbouwen”

In gesprek met René van de Kieft, de bestuursvoorzitter van de pensioenuitvoerder MN, over de activiteiten en de verantwoordelijkheden van een pensioenuitvoerder en over de rollen en taken van Internal Audit.

Kunt u kort iets vertellen over MN en de achtergrond?

“MN is voortgekomen uit de sociale partners in de (groot- en klein)metaal. Primair voor de pensioenuitvoering en later zijn daar de verzekeringsproducten bijgekomen. MN maakte eerst onderdeel uit van PMT, die haar eigen pensioentakuitvoering deed. Begin deze eeuw was MN een van de eerste pensioenuitvoerders die werd verzelfstandigd. Het doel was om door middel van schaalvergroting de kosten van pensioenuitvoering te beheersen en de dienstverlening te verbeteren. In de beginperiode was PMT ook onze enige opdrachtgever. In de loop van de tijd zijn er nieuwe opdrachtgevers voor onze pensioendienstverlening bijgekomen, zoals bedrijfstakpensioenfonds PME en Koopvaardij. Inmiddels is MN vermogensbeheerder voor een tiental opdrachtgevers. Tot voor kort deed MN dit ook in Engeland, maar kort na mijn komst is deze tak verkocht en ligt de focus nu op Nederland.”

Hoe zit het met de governancestructuur van MN?

“MN heeft een ingewikkelde governancestructuur. Een aantal opdrachtgevers is ook aandeelhouder via een stichting en een brede aandeelhoudersvergadering. Hierin zijn ook de sociale partners vertegenwoordigd. Binnen de sectoren die MN bedient zijn weer verschillende belangenorganisaties met een eigen geluid die allemaal betrokken moeten worden bij bijvoorbeeld beleidsaanpassingen. Hierbij bestaat met name de kleinmetaal uit een groot aantal brancheorganisaties. Daarnaast verzorgen wij de verzekeringsadministratie voor de nv Schade en meerdere joint-ventures. Nv Schade is hierbij onze grootste opdrachtgever.”

Wat zijn de voornaamste verantwoordelijkheden van een pensioenuitvoerder?

“MN is uit hoofde van pensioenuitvoering verantwoordelijk voor het innen van premies, het laten renderen van het toevertrouwde vermogen, het beheer van rechten, het uitkeren van deze pensioenrechten en de waardeoverdracht van pensioen. Dit alles op basis van de gegevens die worden aangeleverd door de werkgevers. Dit wordt uiteraard met allerlei deelprocessen ondersteund. Daarnaast adviseren wij onze opdrachtgevers over pensioenen en andere vormen van financiële zekerheid.

“Door het automatisch inlezen van gegevens wordt bij de werkgevers tijd bespaard en krijgen deelnemers op termijn gemakkelijker inzicht in hun pensioen”

Hoeveel vermogen beheert MN?

“MN beheert circa 113 miljard euro aan vermogen en bedient 2 miljoen deelnemers. Met dit volume is optimaal gebruik van ICT van cruciaal belang. Momenteel zitten wij middenin een groot migratietraject. Wij zijn namelijk de totale pensioenstraat van het begin tot het eind aan het verbouwen met onder andere nieuwe werkgevers- en werknemersportalen. Het doel is om zoveel mogelijk administratieve processen te laten uitvoeren volgens het principe van straight through processing (STP) door middel van web-basedtoepassingen. Door het automatisch inlezen van gegevens wordt bij de werkgevers tijd bespaard en krijgen deelnemers op termijn gemakkelijker inzicht in hun pensioen. Hiermee hopen wij aanzienlijke efficiëntie te realiseren in de uitvoering waardoor wij bijna tweehonderd fte’s gaan besparen.”

Welke stakeholders moet een IAF volgens u primair dienen?

“MN is een financiële instelling en wijkt in mijn ogen niet af van een willekeurige financiële instelling. Belangrijke stake­holders/opdrachtgevers zijn de raad van commissarissen (RvC) en de raad van bestuur (RvB). Voor de RvC, in de hoedanigheid van de auditcommissie, is het van belang om aanvullend op de jaarrekening zekerheid te krijgen over de risicobeheersing. De RvB gaat een slag dieper en wil graag dat een IAF ‘foto’s’ maakt om een onafhankelijk beeld te schetsen van de kwaliteit van de AO/IC. Op corporate niveau is nog veel te doen binnen MN, zoals projectimplementaties en aanpassingen in wet- en regelgeving. De RvB is daar de opdrachtgever voor. Dit vergt veel van de IAF-capaciteit en daarmee is er geen ruimte voor opdrachten vanuit het lijnmanagement. Daarnaast moet het lijnmanagement zelf op de hoogte zijn van de beheersing van de door hun uitgevoerde processen en weten of ze het in de vingers hebben. Het moet niet zo zijn dat het lijnmanagement uit een soort van gemakzucht de IAF gaat vragen om audits uit te voeren.”

“Wanneer audits zijn afgerond gaan de auditrapporten altijd eerst voor afstemming naar de verantwoordelijk lijnmanager. Vervolgens ontvangt de RvB de rapporten. Zijn er zeer kritische bevindingen dan wordt de RvB tussentijds op de hoogte gesteld. Een samenvatting van de uitkomsten van de audits wordt bij iedere vergadering van de auditcommissie besproken. Mochten zij naar aanleiding van deze rapportage meer informatie willen dan wordt het auditrapport ter beschikking gesteld.”

Zijn de opdrachtgevers van MN ook stakeholder voor de IAF?

“De grote opdrachtgevers van MN hebben een afgeleide rol als stakeholder. Zij kunnen de IAF verzoeken om een audit uit te laten voeren en kunnen kennis nemen van de resultaten van uitgevoerde audits. Zij hebben ook het recht om audits door een externe partij uit te laten voeren.”

Er zijn geluiden in het auditvak dat de RvC de primaire opdrachtgever moet worden van een IAF. Hoe denkt u daarover?

“Ik vraag me altijd af wat dat drijft. Helpt dat echt de onderneming beter in control te krijgen? Ik huldig het standpunt dat de RvB beter in staat moet zijn om goed overzicht te hebben van wat waar speelt binnen de organisatie en daarmee ook de prioriteiten kan bepalen. De RvC moet een eigen oordeel vormen over waar zij aanvullende zekerheid over nodig heeft. Als een RvC opdrachtgever is dan ligt de verantwoordelijkheid voor de IAF ook bij hun en dan wordt de IAF een soort van bedrijfsbureau van de RvC. Ik ben van mening dat het model zoals ingevuld binnen MN, goed is.”

MN kent een Internal Audit en een compliance- en riskafdeling. Hoe werken deze samen? Hoe zijn de verantwoordelijkheden gescheiden?

“Internal Audit en risk & compliance zijn twee aparte afdelingen maar werken nauw samen. De hoofden van beide afdelingen rapporteren direct aan mij. De afdeling risk en compliance vervult de tweedelijns rol en dan met name op het gebied van operationele risico’s. Zij zijn tevens de schakel richting de DNB en de AFM. Binnen MN is risicomanagement ook in de lijn georganiseerd en is risicomanagement op het gebied van vermogensbeer apart ingericht. Dus risicomanagement is versnipperd. Dit willen we de komende tijd meer integraal benaderen.”

Wat is in uw ogen de toegevoegde waarde van een IAF?

“Een IAF is extreem belangrijk in een complexe organisatie zoals MN. Dat is ook een van de redenen waarom ik bij mijn vorige werkgever, de Kamer van Koophandel, een IAF heb opgezet. Met complex bedoel ik: een dermate grote omvang van de organisatie dat de RvB niet meer alles kan overzien, een grote diversiteit aan activiteit en een sterk geautomatiseerde omgeving en een organisatie waar veel geld in omgaat.”

“In een organisatie kom je natuurlijk mensen tegen die niet altijd een belang hebben om transparant te zijn. Een IAF is daarin de hygiënefactor om mensen te prikkelen wel objectief te zijn”

“De IAF geeft de RvB een reëel en objectief beeld over hoe een proces/project feitelijk loopt op het gebied van samenwerking, communicatie, financiën, IT, eigenlijk de hele bedrijfsvoering. Ik gebruik altijd het voorbeeld dat een IAF een foto maakt. Vanuit mijn kantoor kan ik de duinen en het strand zien bij Den Haag, maar ik kan niet precies zien hoe het eruit ziet. Daarvoor is het te ver weg. Een IAF ‘zoomt in’ en kan mij dat wel vertellen. In een organisatie kom je natuurlijk altijd mensen tegen die niet altijd een belang hebben om transparant te zijn. Een IAF is daarin de hygiënefactor om mensen te prikkelen wel objectief te zijn en als ze dan nog niet objectief zijn, wordt dat in een audit boven tafel gebracht en kan het management bijsturen.”

U bent ook voorzitter van het bestuur van het pensioenfonds van PostNL. Hebt u in die rol andere verwachtingen van een IAF?

“De situatie is totaal anders, ik sta als bestuurder veel meer op afstand. Het pensioenfonds PostNL heeft de werkzaamheden uitbesteed aan een derde partij, TKP. Het pensioenfonds krijgt op basis van rapportages incidentmeldingen terug. Het bestuur kan naar aanleiding hiervan om onafhankelijke audits vragen die uitgevoerd kunnen worden door de IAF, een compliancefunctie of externen. Hierbij heb ik hetzelfde belang als de opdrachtgevers van MN.”

Waar liggen de risico’s waar de IAF zich mee bezig zou moeten houden?

“Belangrijk zijn de businessrisico’s. Binnen een financiële instelling heb je met veel meer risico-elementen te maken dan binnen een niet-financiële instelling. In welke mate deze risico’s
goed worden beheerst en of het eigen control framework wordt gebruikt en toegepast, is belangrijk. Ook is het belangrijk dat niet alleen inzicht wordt gegeven in de betrouwbaarheid maar ook of processen effectiever kunnen. Daarnaast zijn de koppelpunten tussen de verschillende systemen, financiële processen en de ICT-omgeving belangrijk. Binnen MN is veel data aanwezig en daarbij heb je te maken met privacy, integriteit van data en uitwijk.”

“Het lastige is dat als er veel issues zijn in een organisatie en de IAF een beperkte omvang heeft, je dan prioriteiten moet stellen aan de uit te voeren audits. Als ik als bestuurder een bijzonder risico zie en daar een audit op wil dan betekent dit dat het ten koste gaat van een andere audit. Ook verstoort het de cyclische auditprocesgang. Daarom vind ik het belangrijk om dit met mijn hoofd Audit te bespreken. Als het hoofd Audit het er niet mee eens is dan heeft hij de mogelijkheid om niet in te gaan op mijn verzoek. Het mooiste is natuurlijk dat wij allebei hetzelfde beeld hebben of krijgen over de ‘exposure’.”

En cultuur en gedrag?

“Ook cultuur en gedrag zijn belangrijk om mee te nemen in een audit als extra aspect, niet als een aparte audit. Het is belangrijk dat een manager en de medewerkers gewenst gedrag laten zien. Bij audits waarbij meerdere afdelingen zijn betrokken en bij grote implementatieprojecten verwacht ik dat de IAF ook kijkt naar de soft controls. Ten slotte is het belangrijk dat de IAF ook het schoolvoorbeeld is van de normen en waarden van MN, dat zij zich aan de gemaakte afspraken houdt en voorbeeldgedrag toont. Ik heb zelf de neiging om bij dit soort afdelingen een scherper oordeel te hebben over gedrag dan bij een gemiddelde afdeling, de lat ligt hoger.”

Wat is in uw ogen het belangrijkste voor een IAF om succesvol te zijn?

“Als auditor ben je meestal niet geliefd binnen een organisatie. In een bepaald opzicht kun je daar niets aan doen, je komt nu eenmaal vaak in een situatie waarbij je bevindingen rapporteert waar het management niet op zit te wachten. Het is belangrijk om als auditor draagvlak te krijgen. Verdiep je en toon belangstelling voor je gesprekpartners, wees nieuwsgierig. Dan bereik je al heel veel. Laat als auditor individueel leiderschap zien. Benoem gedrag als je ziet dat iemand geïrriteerd raakt door je vragen. Focus minder op je vragen en de modellen die je gebruikt. Bewustzijn en besef als auditor draagt bij aan het succes van een IAF.”