Het doel van risicomanagement is het realiseren van een beheerste en integere bedrijfsvoering die bijdraagt aan het realiseren van onze missie, visie, ambitie en de (strategische) doelstellingen van het fonds.
Wij moeten ons bewust zijn van de impact van de verschillende risico’s op het realiseren van de doelstellingen, de onderlinge samenhang van de risico’s, de mogelijkheden voor beheersing van de risico’s en de verschillende gevolgen van de beheersmaatregelen. Hierbij geldt dat de risico’s zodanig worden gemitigeerd dat deze binnen de tolerantiegrenzen van onze risicobereidheid blijven of worden (terug)gebracht. Pas nadat een integrale afweging is gemaakt over de risico’s, gaan wij over tot besluitvorming.
Eind 2019 stelden wij vast – mede naar aanleiding van de uitkomsten van een on-site onderzoek van DNB – dat ons integrale risicomanagement nog niet het gewenste volwassenheidsniveau had. Wij benoemden daarop de verbetering en actualisering van het integraal risicomanagement voor 2020 als een belangrijk thema. Het project dat hiertoe werd ingericht kwam medio 2021 tot een eind en werd afgesloten met een nieuwe meting van het volwassenheidsniveau. Wij stelden vast dat binnen de organisatie op alle risico-elementen (strategie, risicobereidheid, organisatie, cultuur, beleid, proces, beoordeling, beheersing, monitoring, systemen) flinke stappen vooruit waren gezet. Tegelijkertijd constateerden we dat verbeteringen nog steeds mogelijk waren. Mede op basis van deze uitkomsten werd een nieuwe ambitie en een nieuw peilmoment (30 juni 2022) voor een volwassenheidsmeting vastgesteld.
Het opnieuw meten van de volwassenheid zal naar verwachting plaatsvinden in het derde kwartaal van 2022.
Wij stelden medio 2021 vast dat veel aandacht nodig was voor de niet-financiële risico’s, met name door de overgang naar TKP en het vertrek – maar ook in dienst nemen / aanstellen – van (nieuwe) medewerkers en bestuursleden. De invoering van het nieuw pensioenstelsel brengt ook nieuwe risico’s met zich mee. Wij vinden het belangrijk dat het volwassenheidsniveau dat per 31 maart 2021 is vastgesteld minimaal behouden blijft en in het licht van de genoemde ontwikkelingen niet
achteruit gaat. Op de langere termijn streven wij naar een verder verhoging van het volwassenheidsniveau.
7.2.1 Risicostrategie
Onze risicostrategie is bedoeld ter ondersteuning van de realisatie van de missie, visie en ambitie van het fonds te ondersteunen. De risicostrategie is daarmee direct verbonden aan de strategie van het fonds en omvat onder andere:
• een beschrijving van de risicobereidheid van de risico’s waaraan PME onderhevig is, en in welke mate het fonds bereid is deze risico’s te nemen of wenst te beperken bij het nastreven van de missie, visie en de daarvan afgeleide (strategische) doelstellingen;
• risicoafwegingen en risicoanalyses die betrokken worden in de strategische besluitvorming;
• processen en procedures ter ondersteuning van de beheersing van de (strategische) risico’s.
Risicoprincipes zijn gedeelde uitgangspunten op het gebied van risico’s en
risicomanagement en vormen de waarden en overtuigingen die richtinggevend zijn voor beleid.
Wij onderkennen de volgende risicoprincipes:
1. Wij maken bij risicobeheersing een onderscheid tussen risico’s die strategisch worden opgezocht en risico’s die ontstaan doordat het pensioenfonds haar kerntaken uitvoert.
2. Wij streven naar een cultuur waarin risicobeheersing tot zijn recht kan komen en we bepalen als bestuur door middel van ons gedrag de ‘tone at the top’.
3. Een adequate risico-inschatting dient ten grondslag te liggen aan besluitvorming.
4. Risicomanagement is een onlosmakelijk onderdeel van de primaire processen.
5. Bij het nemen van beheersmaatregelen houden wij rekening met het proportionaliteitsprincipe.
6. Wij acteren op nieuwe en veranderende risico’s.
70/188
7.2.2 Risicobereidheid
In de risicotaxonomie onderscheiden wij strategische, financiële, operationele en compliance risico’s. Per risico is vervolgens de risicobereidheid bepaald. Dit geeft de bandbreedte aan waarbinnen wij bereid zijn tot het onderhevig zijn aan risico’s. De mate van risicobereidheid is een leidraad voor het al dan niet nemen van
maatregelen ter beheersing van risico’s en onzekerheden. De risicobereidheid en een toelichting daarop per risico is vastgelegd in de risicobereidheidsverklaring. Per risico zijn ook kritische risico indicatoren (KRI’s) benoemd die wij hanteren om de risico’s te monitoren.
Voor de organisatie is de risicobereidheidsverklaring bedoeld als richtlijn voor het uitoefenen van effectief risicomanagement binnen PME en in de uitbesteding.
Verder dient het als basis voor de sleutelfunctiehouder risicobeheer voor de monitoring van de uitoefening van het risicomanagement binnen ons fonds. Tot slot wordt het gebruikt door de interne auditfunctie om te toetsen of risicomanagement volgens het vastgestelde beleid wordt uitgeoefend.
In de figuur hiernaast staan alle risico’s en de risicobereidheid weergegeven. In bijlage 4 van het jaarverslag is een beschrijving van alle risico’s uit de risicotaxonomie opgenomen.
7.2.3 Organisatie van risicomanagement
PME hecht belang aan een sterke risicocultuur gecombineerd met een scherpe focus op drie effectieve verantwoordelijkheidsniveau ’s, de zogenaamde ‘three-lines-model’.
De drie niveaus beslaan de:
• bestuurlijke verantwoordelijkheid voor reguliere processen en uitvoering (eerste lijn),
• de risicomanagement en compliance functie (tweede lijn) en
• interne auditfunctie (derde lijn).
De drie sleutelfunctiehouders (risicobeheer, actuarieel en interne audit) zijn geïntegreerd in het three lines model.
Eerste lijn
Het bestuur is primair verantwoordelijk voor de sturing van acties en de inzet van middelen om de doelstellingen te realiseren inclusief het risicomanagement. De risicomanagement taken bestaan uit het voorkomen en beheersen van risico’s van de eigen processen en het toezien op de risico’s ten aanzien van de uitbestede
processen bij de uitvoeringsorganisaties.
Tweede lijn
Bestaat uit de risicobeheerfunctie, compliance functie, privacy officer en de actuariële functie. Daarnaast zijn dit ook functies die vanuit het bestuursbureau en de uitbestedingspartijen de audit, risk en compliance (ARC) commissie ondersteunen (ondersteuning en risicobewaking).
De tweede lijn houdt onafhankelijk toezicht op de identificatie van risico’s en de daarmee gemoeide inrichting (‘opzet’), bestaan en werking van beheersingskaders.
De tweede lijn bewaakt of de werkzaamheden in de eerste lijn worden uitgevoerd conform het vastgestelde beleid, reglementen en/of procesbeschrijvingen en stimuleren door terugkoppeling aan de eerste lijn een kritische en constante verbeteringshouding in die eerste lijn.
Derde lijn
Bestaat uit de interne auditfunctie van PME, alsmede de functies vanuit
uitbestedingspartijen die de interne auditfunctie ondersteunen. Het doel van deze interne auditfunctie is het initiëren en uitvoeren van audits op de bedrijfsvoering van PME als (onderdeel van de) derdelijns risicobeheersing.
Vierde lijn
Naast de bovengenoemde interne risico-governance van het fonds onderkennen wij nog een vierde lijn. De externe accountant die de jaarrekeningcontrole uitvoert wordt daarbij beschouwd als de vierde lijn evenals de certificerend actuaris in het kader van de beoordeling van het prudent person-beginsel.
Daarnaast hebben wij te maken met een aantal toezichthouders. De Nederlandsche Bank (DNB) is verantwoordelijk voor het prudentieel toezicht en de Autoriteit
Financiële Markt (AFM) is verantwoordelijk voor het gedragstoezicht. Verder betreft dit voor ons nog de Autoriteit Consument en Markt (ACM) en Autoriteit
Persoonsgegevens (AP), als het betrekking heeft op de bescherming van persoonsgegevens.
7.2.4 Cultuur en gedrag
Een passende risicocultuur levert een belangrijke bijdrage aan de werking van ons risicomanagement. De effectiviteit van het risicomanagement wordt slechts ten dele bepaald door de opzet, maar voornamelijk door de betrokkenen die ermee werken in de organisatie. Het ontwikkelen en blijvend stimuleren van risicobewustzijn is doorslaggevend voor een effectief risicomanagementsysteem.
Gap-analyse kennis en competenties
Begin 2021 werd een gap analyse uitgevoerd naar de kennis en competenties op het gebied van risicomanagement binnen ons bestuursbureau. De uitkomsten daarvan leidde tot een aantal acties om ‘gaps’ te verkleinen, waaronder:
• De specifieke opname van het element risicomanagement in de functieprofielen van alle medewerkers op het bestuursbureau.
• Het uitbreiden van de risicoparagraaf op de voorlegger bij notities voor bestuursvergadering, waarin een betere afstemming tussen de 1e en 2e lijn wordt beoogd en meer focus op de belangrijkste risico’s
• Meer aandacht voor de niet-financiële risico’s – in het bijzonder IT-risico’s op operationeel gebied.
72/188
7.2.5 Risicobeleid en -processen
Het integraal risicomanagement wordt uitgevoerd conform de risicomanagement cyclus die wordt doorlopen bij de beheersing van de geïdentificeerde risico’s.
De volgende specifieke risicomanagement processen worden onderkend:
• Vaststellen van de risicobereidheid (zie paragraaf 7.2.2)
• Uitvoeren Risk Self Assessment (RSA) (zie paragraaf 7.2.6)
• Uitvoeren eigenrisicobeoordeling (zie paragraaf 7.2.6)
• Systematische Integriteitsrisicoanalyse (SIRA) (zie paragraaf 7.2.6)
• Opstellen integrale risicorapportage PME (zie paragraaf 7.2.7)
7.2.6 Risico-identificatie en -beoordeling
Wij beoordelen periodiek of de beheersing van de risico’s toereikend is. Dit doen wij onder meer door het zelf uitvoeren van Risk Self Assessments (RSA’s). Het structureel
uitvoeren van RSA’s stelt ons in staat om een goed totaalbeeld te verkrijgen over de risico’s die wij lopen en de onderlinge samenhang tussen deze risico’s.
Wij hebben een meerjarige RSA-kalender, die jaarlijks wordt herijkt. De trigger voor het identificeren van een RSA kan divers zijn. Het uitvoeren van een RSA biedt een gestructureerde aanpak voor het identificeren en beoordelen van risico’s en - indien nodig - het bepalen van aanvullende acties zoals het implementeren van nieuwe of aanvullende beheersmaatregelen. De gestructureerde aanpak voor het uitvoeren van een RSA heeft als doel:
• het verschaffen van een uniform proces om risico’s en beheersmaatregelen te identificeren en te beoordelen;
• het verzorgen van een open discussie over risico’s en beheersmaatregelen, wat leidt tot grotere transparantie en begrip voor risico’s en risicobeheersing en de implicaties hiervan voor ons;
• het kweken van risicobewustwording (awareness) in de organisatie;
• het benoemen van vervolgacties voor risico’s die zich buiten de risicobereidheid bevinden;
• het bewust aanvaarden van netto- of restrisico’s.
Een RSA is hiermee een hulpmiddel om een integere en beheerste bedrijfsvoering te realiseren.
Vanaf het tweede kwartaal 2021 is gestart met de uitvoering van een aantal geselecteerde en vastgestelde RSA’s. In 2021 werden de volgende RSA’s afgerond:
• RSA rechtenbeheer (pilot gestart in 2020, afgerond in 2021)
• RSA bij aanvang project ‘transitie pensioenbeheer van MN naar TKP’
• RSA bij aanvang project ‘nieuw pensioenstelsel’
• Systematische integriteitsrisicoanalyse (SIRA)
• Eigenrisicobeoordeling (gestart in 2020, afgerond in 2021)
• RSA financiële stromen PME (vanwege overgang financiële administratie PME van MN naar TKP)
• ALM studie 2021
Nog niet afgerond, maar wel gestart in 2021 zijn de RSA’s ‘klimaatrisico’ en
‘uitbesteding handhaving werkingssfeer’.
Eigenrisicobeoordeling (ERB)
De eigenrisicobeoordeling (ERB) heeft als doel inzicht te krijgen in de samenhang tussen de strategie van het fonds, de materiële risico’s die het fonds kunnen bedreigen én de mogelijke consequenties hiervan voor de pensioenen van de deelnemers en voor het pensioenfonds zelf. Hiertoe worden verschillende
toekomstige scenario’s doorleefd. Op grond van de wetgeving moeten wij ten minste eenmaal per drie jaar een ERB uitvoeren. Daarnaast is het mogelijk dat we
tussentijds een ERB uitvoeren in geval van een significante wijziging in het
risicoprofiel of een strategisch besluit met materiële impact op het risicoprofiel. Het betrekken van de uitkomsten van de ERB bij strategische besluitvorming zorgt voor borging van de samenhang tussen onze missie, visie en strategie.
Op 1 oktober 2020 is gestart met een ERB. Hiertoe hebben we vooraf kaders en beleid vastgesteld. In december 2020 stelde het bestuur de scenario’s vast. De verdere vertaling van deze scenario’s naar de risico’s voor ons, de beoordeling daarvan, het formuleren van beheersmaatregelen en de rapportage hierover is in het eerste kwartaal van 2021 afgerond. Op 31 maart 2021 is de ERB-rapportage aan DNB verstrekt.
Om terug te kijken op de doorlopen ERB en te kunnen constateren wat goed ging en wat in het vervolg beter zou kunnen, is eind 2021 ook een evaluatie uitgevoerd. Wij kijken met tevredenheid terug naar de inhoud van de ERB en de totstandkoming daarvan. Wel wordt geconstateerd dat de ERB nog onvoldoende plek heeft gekregen in ons dagelijks werk aangezien het opvolgen en beleggen van acties uit de ERB nog onvoldoende zichtbaar is.
7.2.7 Risicobeheersing en risicomonitoring
Monitoring van de beheersing van de risico’s is van belang om na te gaan of de gekozen en toegepaste beheersmaatregelen effectief en efficiënt zijn. Daarbij wordt onder andere specifiek gekeken of de actuele risicobeheersing al dan niet in lijn is met de vooraf bepaalde risicobereidheid. Adequate monitoring vereist tijdige, actuele, accurate en toegankelijke informatie over de uitkomsten van het risicomanagement proces.
Wij ontvangen diverse rapportages van de uitbestedingspartijen, die inzichten geven in de beheersing van de risico’s in de uitbesteding die verbonden zijn aan het fonds.
Tot 2021 beschikten wij nog niet over een eigen integrale risicorapportage, maar deze is in 2020 ontwikkeld en wordt vanaf het eerste kwartaal 2021 opgesteld en bestuurlijk besproken en vastgesteld.
In onze integrale risicorapportage wordt door de eerste lijn een totaaloverzicht gegeven van ontwikkelingen op financieel evenals niet-financieel (risico-)gebieden die raken aan het fonds. Dit kunnen zowel interne als externe ontwikkelingen zijn.
Deze ontwikkelingen worden gerelateerd aan de door ons vastgestelde
risicocategorieën en risicotolerantie. Beoordeeld wordt of het risico op basis van interne en externe ontwikkeling zich binnen of buiten de risicotolerantie bevindt en of aanvullende beheersmaatregelen nodig zijn. Financiële risico's worden
overwegend op een kwantitatieve manier geanalyseerd, terwijl niet-financiële risico's overwegend op een kwalitatieve wijze worden geanalyseerd. De vervullers
risicobeheer monitoren vanuit hun tweedelijns rol of de beheersmaatregelen werken zoals beoogd. De uitkomsten van de monitoring van de risico’s worden op
hoofdlijnen gerapporteerd in de integrale risicorapportage. Deze wordt ieder kwartaal opgesteld met als doel dat het uitvoerend bestuur, het algemeen bestuur en de ARC-commissie worden geïnformeerd over het functioneren van het integraal risicomanagement raamwerk, de werking van de beheersmaatregelen en de resulterende netto-risico’s.
De navolgende overzichten tonen voor de strategische, financiële, operationele en compliance risico’s de inschatting van het actuele risicoprofiel aan het eind van 2021.
De beoordeling van het risico is aangegeven met een ●. De risicobereidheid van het risico is in de overzichten uitgelicht en omkaderd.
74/188
niveau 1 niveau 2 niveau 3
Laag Middel Hoog
niveau 1 niveau 2 niveau 3
Laag Middel Hoog Informatie t.b.v. sturing en besluitvorming Communicatie
Uit de overzichten blijkt dat eind 2021 het actuele risicoprofiel de risicobereidheid overschrijdt bij:
• Financieel: overschrijding risicobereidheid premierisico. Dit heeft te maken met de lage premiedekkingsgraad. In 2021 heeft het bestuur maatregelen getroffen ter verbetering van de premiedekkingsgraad in 2023 en 2024 (zie voor een toelichting paragraaf 2.2.5)
• Operationeel: overschrijding van verschillende subrisico’s vanwege:
o operationele tekortkomingen bij het pensioenbeheer bij de ‘oude’
uitvoerder, hetgeen onder meer beheerst is d.m.v. de overgang naar de nieuwe uitvoerder
o verhoogde kans op operationele tekortkomingen in de opstartfase bij TKP, hetgeen beheerst wordt door middel van geplande (na)zorg na de overdracht
Gedurende het vierde kwartaal is de overgang van het pensioenbeheer van MN naar TKP uitgevoerd. Dit is succesvol verlopen. Wel wordt rekening gehouden met het risico op opstartproblemen, waarbij de dienstverlening nog niet direct op het gewenste niveau is. Dit leidt tot extra aandacht in deze opstartfase.
• Compliance: overschrijding risicobereidheid verschillende compliance risico’s vanwege tekortkoming in beheersing cyber crime / security en daarmee mogelijk van bescherming persoonsgegevens bij uitbestedingspartners. In dit kader heeft het bestuur besloten tot het project verbeteren informatiebeheersing om de opzet en uitvoering van ons informatiebeleid op een hoger niveau te brengen.
Daarnaast is besloten om op zoek te gaan naar extra expertise op het bestuursbureau, in de vorm van een risicomanager IT.
7.2.8 Top of mind risico’s
Naast de extra aandacht voor de operationele risico’s aan het begin van 2022 vanwege de overgang van de pensioenadministratie van MN naar TKP, stelde het uitvoerend bestuur aan de hand van de integrale risicorapportage over het vierde kwartaal de navolgende ‘top of mind’ risico’s vast.
1. Nieuw Pensioenstelsel
Argumentatie: Onzekerheden omtrent het pad gericht op het inregelen van het nieuwe pensioenstelsel o.a. in relatie tot aspecten als draagvlak en rollen
stakeholders, uitvoerbaarheid, evenwichtig bestuurlijk besluitvormingsproces, mogelijke verlaging van pensioenen en impact op het beleggingsbeleid van PME.
In 2021 is dit als een strategisch project binnen PME gepositioneerd, waarbij de focus en betrokkenheid steeds meer organisatiebreed is belegd. Gezien de belangrijke strategische implicaties van het project, blijft het uitvoerend bestuur onder meer via de stuurgroep directe aandacht aan de projectorganisatie schenken. Het is positief dat in 2021 de verhouding met en tussen de sociale partners is verbeterd. Niet tijdige besluitvorming door sociale partners en het niet bereiken van de benodigde
invaardekkingsgraad blijven de belangrijkste risico’s. Een verdere toelichting op de aanpak hiervan is opgenomen in het hoofdstuk 8 (Vooruitblik) van dit jaarverslag.
2. Informatiebeheersing en cyberrisico’s
Argumentatie: (sterke) toename van cybercrime/cyberdreigingen gericht op het binnendringen van computersystemen vraagt om tijdige en adequate beheersing.
Cybercriminelen zijn niet alleen uit op direct financieel gewin; het beschikken over informatie van o.a. deelnemers, pensioengerechtigden en werkgevers kan gebruikt worden voor diverse doeleinden. Om dit risico verder te beheersen hebben wij in 2021 de aanzet gegeven voor het project verbeteren informatiebeheersing om de opzet en uitvoering van ons informatiebeleid op een hoger niveau te brengen.
3. Ontwikkelingen m.b.t. het balansrisico
Argumentatie: Enerzijds kan het balansrisico onder druk komen te staan als de economische groei en rendementen op beleggingen tegenvallen. Anderzijds kunnen ontwikkelingen op het terrein van maatschappelijke bewustwording en ambitieuzere regelgeving met gevolgen voor waardevermindering in een stroomversnelling geraken en effect hebben op de te verwachte rendementen. Steeds meer aandacht gaat uit naar de gevolgen van klimaatverandering voor de economie en de
maatschappij. Als zogenaamd systeemrisico is klimaatverandering potentieel
ontwrichtend voor het financiële stelsel en de reële economie, en heeft daarmee een grote invloed op onze beleggingen. De risico’s voor onze beleggingen, de
toenemende wet- en regelgeving, het belang dat deelnemers hechten aan dit onderwerp en de maatschappelijke druk op aandeelhouders om dit onderwerp serieus te nemen, onderstrepen de urgentie.
76/188