Pensioenfondsen hebben een groot deel van hun processen uitbesteed aan pensioenuitvoerders. Door de afstand tot de uitvoering heeft een pensioenfondsbestuur geen directe controle op de uitbestede processen. Het uitbesteden heeft daarmee een directe impact op de inrichting van het risicomanagement van een pensioenfonds. Partijen worstelen met een goede inrichting van risicomanagement toegesneden op de risico’s van het pensioenfonds. Voor de beheersing van de uitbestede dienstverlening zijn daarmee niet alleen rapportages van de serviceorganisatie van belang, maar vormt het creëren van een balans tussen regels en vertrouwen (trust rules) een belangrijke basisvoorwaarde.
Uitbestedingsrisico
Het risico dat de continuïteit, integriteit en/of kwaliteit van de aan derden uitbestede werkzaamheden dan wel door deze derden ter beschikking gestelde apparatuur en personeel wordt geschaad.
DNB Handboek FIRM 2005 (http://www.toezicht.dnb.nl/4/2/1/50-203958.jsp)
Inleiding
Pensioenfondsen besteden een groot deel van hun processen uit aan serviceorganisaties. De motivatie voor deze uitbesteding ligt in governancediscussies (splitsing beleid & uitvoering), kostenverlaging, ontbrekende kennisniveaus in de eigen organisatie en uiteindelijk het beperken van risico’s ([Wess10]). Vervolgens worden door de serviceorganisatie zelf ook nog de nodige processen uitbesteed aan subserviceorganisaties. Processen die in de praktijk uitbesteed worden, betreffen vaak het (fiduciair) vermogensbeheer en de IT-processen.
Door de uitbesteding draagt het pensioenfondsbestuur als opdrachtgever de directe invloed en verantwoordelijkheid over de uitbestede activiteiten over aan de serviceorganisatie als opdrachtnemer. Ondanks dat het pensioenfonds op afstand komt te staan blijft het pensioenfondsbestuur, als hoogste orgaan, (mede op grond van de Pensioenwet (artikel 34 PW)) eindverantwoordelijk. Het beheersen van het uitbestedingsrisico vormt daarmee voor het pensioenfonds onderdeel van zijn (integrale) risicomanagement.
Om het uitbestedingsrisico voor het pensioenfonds te beheersen is in de praktijk een raamwerk van afspraken en maatregelen ingericht. Zo zijn afspraken vastgelegd in bijvoorbeeld uitvoeringsovereenkomsten, service level agreements (SLA’s) en vermogensbeheer- en mandaatovereenkomsten. De serviceorganisatie doet periodiek verslag over de door haar uitgevoerde activiteiten en behaalde doelen in bijvoorbeeld SLA-rapportages, risicorapportages en performancerapportages en meestal jaarlijks met een Service Organisatie Controle (SOC)-rapport. Bij deze laatste categorie wordt door pensioenfondsen ook zekerheid gevraagd van een onafhankelijke auditor. Het pensioenfonds moet in zijn risicoanalyse minimaal het risico van uiteenlopende belangen bij uitbesteding adresseren ([Pens12]).
Pensioenfondsbesturen worden door incidenten rondom bijvoorbeeld de kwaliteit van pensioenadministraties ([AFM10] en [DNB12]) steeds vaker door deelnemers en toezichthouder aangesproken op hun verantwoordelijkheid. Als reactie hierop signaleren wij dat de teugels naar serviceorganisaties strakker worden aangehaald en rapportages en prestaties kritischer worden bezien. De serviceorganisaties gaan met deze toenemende vraagstelling op verschillende manieren om. Bij sommige serviceorganisaties resulteert dit in uitgebreidere tussentijdse risicorapportages, bij andere resulteert dit in uitgebreidere SOC-rapportages met nog meer beheersingsmaatregelen op onderdelen waar incidenten zijn gesignaleerd.
Uiteindelijk resulteert dit in een toename van controlemaatregelen, meer verantwoordingsrapportages en een toenemende vraag naar onafhankelijke toetsing (zekerheid) bij verantwoordingen. Wij stellen ons daarbij regelmatig de vraag of dit uiteindelijk resulteert in meer ‘control’ en of incidenten daardoor niet meer voorkomen. Of is daar iets anders voor nodig? Worden alle risico’s nu afgedekt en is duidelijk voor pensioenfondsen welke risico’s niet worden afgedekt?
Wat vinden de pensioenfondsen zelf van de SOC-rapporten?
In de beheersing van uitbesteding nemen SOC-rapporten een prominente plaats in. In oktober 2012 heeft KPMG een onderzoek uitgevoerd onder honderd pensioenfondsen ([Pens13]). In dit onderzoek blijkt dat pensioenfondsen aangeven dat SOC-rapporten voldoende bijdrage leveren aan de interne beheersing. De SOC-rapportages worden echter vooral ervaren als product voor de accountant. Aangezien de oorsprong van dergelijke rapporten (SAS 70) ligt in de accountantswereld is dit ook logisch. Mede hierdoor kiezen serviceorganisaties er veelal voor om uitsluitend verantwoording af te leggen over de processen die van belang zijn voor de financiële rapportage (jaarrekening) van hun opdrachtgevers. Door de auditor wordt hierbij gerapporteerd op basis van Standaard/ISAE 3402. Een bredere scope van processen buiten financial reporting is daarbij mogelijk onder Standaard/ISAE 3000 ([Beek10]).
In het onderzoek ([Pens13]) blijkt ook dat op de inhoud, toegankelijkheid en vertaling naar de relevantie voor het pensioenfonds er ruimte is voor verbetering. Onderwerpen als compliance en integriteitsbeleid worden node gemist. Hieruit blijkt dat SOC-rapporten een duidelijker rol krijgen in de governance van het pensioenfonds en pensioenfondsen op zoek zijn naar een bredere scope van risicoverantwoording en toegankelijker rapportages.
Op welke wijze zijn verbeteringen in ‘in control’ te realiseren?
In de principaal-agenttheorie worden belangentegenstellingen verondersteld tussen opdrachtgever en opdrachtnemer. Het is daarom interessant deze belangentegenstellingen tussen pensioenfonds en serviceorganisatie nader te beschouwen.
SOC-rapporten zijn in het verleden vaak op basis van inzichten van de serviceorganisatie opgesteld. Een echte afstemming hierover met de opdrachtgevers (pensioenfondsen) vond zelden plaats. Inmiddels zien wij in de praktijk steeds vaker dat afstemming plaatsvindt tussen pensioenfonds en serviceorganisatie, maar een geïntegreerde, op risico gebaseerde, aanpak ontbreekt veelal. Daarbij worden vaak kleine wijzigingen of toevoegingen gemaakt in de inhoud van het rapport. Niet-relevante beheersingsmaatregelen worden veelal niet verwijderd. Hiermee wordt de uiteindelijke toegankelijkheid van een SOC-rapport niet vergroot. Sterker nog, controleraamwerken dekken mogelijk niet alle relevante risico’s van het pensioenfonds af en verliezen aan efficiency voor de serviceorganisatie. Hetzelfde geldt ook voor de tussentijdse risicorapportages. Een fundamentele afweging over welke risico’s voor het fonds relevant zijn en met welke diepgang deze dienen te worden afgedekt, zou hieraan een positieve verandering kunnen geven.
Om tot deze effectiviteit- en efficiencyslag in controleraamwerk, risicorapportages en SOC-rapporten te komen is het van belang om belangentegenstellingen tussen opdrachtgever en opdrachtnemer in ogenschouw te nemen. Door de belangentegenstellingen te kennen kan hierop in het controleraamwerk en de rapportages worden ingespeeld. Vanuit het pensioenfonds verhoogt dit de effectiviteit van het toezicht op uitbesteding en voor de serviceorganisatie biedt dit de mogelijkheid om focus aan te brengen. In figuur 1 is een aantal belangrijke tegengestelde belangen in de relatie tussen pensioenfonds en serviceorganisaties weergegeven.
Figuur 1. Spanningsvelden van ‘in control’ in de relatie tussen pensioenfonds en serviceorganisatie.
Met de bredere doelstellingen van de uitvoerder in het achterhoofd dient het pensioenfondsbestuur vervolgens een analyse van zijn eigen risico’s te vervaardigen. In deze risicoanalyse worden risico’s en (maximaal) gewenste exposures geformuleerd. Deze dienen vervolgens samen met verwachtingen en eisen in een actieve dialoog met de serviceorganisatie te worden gecommuniceerd. In de praktijk zien wij steeds meer raamwerken ontstaan, die de diverse compliancebehoeften afdekken zoals jaarrekening, SLA, etc. Hoe handzamer dit risk- en controleraamwerk des te beter kan dit dienen als communicatiemiddel naar de uitvoerder toe.
Het governance-, risk- en controleraamwerk van de serviceorganisatie ligt daarbij idealiter in het verlengde van het raamwerk van het pensioenfonds. Het zou nog beter zijn om te komen tot een geïntegreerd framework (zie figuur 2). Immers, daar waar sprake is van een gedeeld risicobeeld kan optimaal op elkaar worden ingespeeld. Indien een serviceorganisatie de risico’s van het fonds niet belegt in het eigen risk- en controleraamwerk, dan zal hier een focus van het pensioenfonds op moeten liggen. Het pensioenfonds zal dan voor aanvullende acties staan in het kader van de controle op uitbesteding. Daar waar de opdrachtgever dit wenselijk vindt kan om (aanvullende) externe assurance door de auditor van de serviceorganisatie worden verzocht.
Figuur 2. Een praktische uitwerking van een geïntegreerd en gedeeld controleraamwerk.
Dialoog tussen pensioenfonds en serviceorganisatie
Om te komen tot een geïntegreerd risico- en controleraamwerk is een actieve dialoog tussen pensioenfonds en serviceorganisatie noodzakelijk. De risicoanalyse van het pensioenfonds kan daarbij als basis dienen. In deze risicoanalyse worden risico’s en (maximaal) gewenste exposures geformuleerd. Deze worden samen met verwachtingen en eisen gecommuniceerd aan de serviceorganisatie. Door in deze dialoog te komen tot een gedeeld risicobeeld kan het pensioenfonds zichtbaar en effectief in control zijn en kan de serviceorganisatie op een efficiënte wijze maximaal klantbelang nastreven. Deze dialoog is schematisch weergegeven in figuur 3.
Figuur 3. Toenemende eisen van pensioenfondsen en serviceorganisatie vragen om een nieuwe visie op ‘in control’.
Balans tussen regels en vertrouwen
Uitbesteding en de beheersing van uitbestede processen kan pas succesvol zijn als partijen in een partnership met een gezamenlijk doel opereren. Transparantie en vertrouwen in elkaar zijn daarbij belangrijke voorwaarden. Er is immers een grens aan het uitbreiden van beheersingsmaatregelen in het controleraamwerk, zowel in de balans tussen het aantal hard en soft controls als in termen van de totale kosten van interne beheersing.
Om hierin een optimum te bereiken is naar onze mening een actieve dialoog tussen partijen noodzakelijk. Een dialoog gebaseerd op wederzijds vertrouwen waarbij de volgende twee vragen de aandacht vragen:
- Zijn de investeringen in risicobeheersing doeltreffend en leiden ze daadwerkelijk tot een lager risicoprofiel?
- Schiet risicobeheersing haar doel niet voorbij en leidt zij tot ongewenste effecten, zoals een cultuur van angst en toenemende juridisering?
De ervaring leert dat het rapporteren over interne beheersingsmaatregelen en de werking hiervan niet alleen tot goede beheersing leidt. Mogelijke belangenverstrengeling wordt niet opgelost door de uitbreiding van de risico- en controlematrix. Incidenten kunnen nog steeds voorkomen. Het aangaan van de dialoog met elkaar over root causes van geconstateerde deficiënties en incidenten is vaak effectiever en efficiënter dan het toevoegen van meer beheersingsmaatregelen. Vaak is het instellen van meer beheersingsmaatregelen het gevolg van een gebrek aan transparantie en daardoor vertrouwen in elkaars deskundigheid. Het is daarom belangrijk om te komen tot een situatie waarin vertrouwen regeert en waarbij wordt uitgegaan van het halen van een gezamenlijk doel.
Om dit te bereiken heeft KPMG ([Wall09]) negen trust rules geformuleerd waarmee concreet gewerkt kan worden aan een goede balans tussen regels en vertrouwen. Deze zijn weergegeven in figuur 4.
Figuur 4. Een goede balans tussen controls en trust: implementeren trust rules.
Concrete voorbeelden van hoe het pensioenfonds een goede balans tussen regels en vertrouwen kan creëren zijn onder meer:
- Geef elkaar verantwoordelijkheid en vertrouwen: schriftelijk vastleggen van afspraken in een uitbestedingsovereenkomst over de werkzaamheden en verantwoordelijkheden die worden uitgevoerd.
- Definieer gezamenlijke doelstellingen en bouw vertrouwen op met goede regels: stel een Service Level Agreement op tussen pensioenfonds en serviceorganisatie om verschillen van inzicht over de gewenste informatie te voorkomen en gezamenlijke doelstellingen te definiëren. Hierin kunnen bijvoorbeeld ook overlegstructuren worden afgesproken tussen pensioenfonds en serviceorganisatie.
- Zet in op geïnformeerd vertrouwen, niet op blind vertrouwen: rapportages zijn afgestemd op verwachtingen en eisen van het pensioenfonds, bijvoorbeeld op basis van een dashboard dat is gebaseerd op de risicoanalyse van het pensioenfonds. Transparantie is van belang.
- Maak contact persoonlijk: periodieke afstemming/gesprekken tussen pensioenfonds en serviceorganisatie om de dienstverlening te evalueren en indien nodig te verbeteren.
Mocht het voorkomen dat er fouten worden gemaakt door de serviceorganisatie of dat afspraken niet worden nagekomen, dan is het van belang om in gesprek te gaan over deze incidenten. Een cultuur waarin fouten bespreekbaar zijn zal hierdoor worden gecreëerd, zodat daaruit lering kan worden getrokken. Essentieel is dat misbruik van vertrouwen in deze situaties meteen gede-escaleerd moet worden, omdat dit het gezamenlijke doel in de weg staat. Dit is gerelateerd aan de trust rule ‘ga mild om met misverstanden en maak korte metten met misbruik’.
Conclusie
Het pensioenfondsbestuur is verantwoordelijk voor de uitbestede processen aan een serviceorganisatie. Om tegemoet te komen aan de toenemende eisen vanuit het maatschappelijk verkeer en de toezichthouder op het punt van ‘in control’ zijn, is een gestructureerde aanpak vereist. Een actieve dialoog en afstemming tussen pensioenfonds en serviceorganisatie is van belang om duidelijkheid te creëren over de risico’s, wensen, eisen en eventuele spanningsvelden in de relatie. Alleen dan kunnen de risico- en controleraamwerken van pensioenfonds en serviceorganisatie effectief zijn en zich beperken tot de risico’s die relevant zijn. Bovendien worden hierdoor waarborgen gecreëerd dat tussentijdse risicorapportages en SOC-rapporten aansluiten op de wensen van de pensioenfondsen.
Goede beheersing in een outsourcingsrelatie bevat meer dan alleen het inrichten van beheersingsmaatregelen, rapportages en verantwoording afleggen. Er dient een cultuur te zijn waarin incidenten en verbeterpunten openlijk kunnen worden besproken en root-causes kunnen worden achterhaald. Dit is alleen mogelijk indien een goede balans tussen regels en vertrouwen wordt gecreëerd. De negen trust rules bieden hiervoor handvatten.
Literatuur
[AFM10] Autoriteit Financiële Markten, Rapport Juistheid UPO, oktober 2010.
[Beek10] Drs. Jaap van Beek RE RA en drs. Marco Francken RE RA CISA, SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording, Compact 2010/1.
[DNB12] De Nederlandsche Bank, Quinto Pensioenfondsen, april 2012.
[Pens12] Pensioenfederatie, Integraal risicomanagement: Handreiking integraal risicomanagement voor pensioenfondsen, juni 2012.
[Pens13] De Pensioenwereld in 2013, KPMG, 2013.
[Wall09] Prof. dr. P. Wallage RA, prof. E. Roos Lindgreen en dr. M. Kaptein, Trust rules, Negen uitgangspunten voor een betere balans tussen regels en vertrouwen, KPMG, 2009.
[Wess10] Ir. H.J. Wesselman, ing. F.L. Lipper BSc en drs. P.C. Geerts MMC, Optimalisatie van primaire processen door uitbesteding: een realiteit of een idee-fixe?, Compact 2010/2.