Risk Impact: IORP II
Februari 2019
“Het was even puzzelen, de ene sleutelfunctie was makkelijker in te vullen dan de ander. Maar nu hebben we aan iedere sleutelfunctie een naam gekoppeld! Daarmee zijn we een flinke stap dichterbij het voldoen aan IORP II”
IORP II stelt als eis aan pensioenfondsen dat zij drie zogenoemde sleutelfuncties inrichten voor ondersteuning van het bestuur. Een van de functies is de rol van risicomanager.
Hoe benut de houder van de risiobeheerfunctie de nieuwe rol optimaal?
Mark Braam van Aon begeleidt verschillende pensioenfondsen en ziet dat de toegevoegde waarde van risicomanagement juist zit in het continu levend houden van het risicomanagementproces. Risicomanagement op een juiste manier borgen is voor een professionele organisatie als een pensioenfonds onontbeerlijk. Fondsen hebben per slot van rekening de beschikking en sturing over een grote som geld die uiteindelijk op een correcte manier bij de deelnemers terecht moet komen.
Risicoprofiel ziekenhuis matcht niet met bouwtechnische inrichting
Als risicomanagementadviseur ziet Mark Braam dat het in de praktijk snel fout kan gaan met de aanpak van risicomanagement. Onlangs nog tijdens de bouw van een ziekenhuis. Het doel van het bestuur is een (hoog klinisch) ziekenhuis te laten bouwen met veel aandacht voor diverse intensive care units en specifieke zorg. Randdienstverlening zoals het onderzoekslaboratorium worden op basis van de businesscase gesitueerd buiten het nieuwe ziekenhuis. Met het dichtstbijzijnde lab wordt een samenwerking aangegaan. De risico’s van deze situatie zijn geïnventariseerd. Check! Gaandeweg de bouw verandert de zienswijze, door onder meer de gevolgen voor het personeel en de mogelijke hiaten in de flow van de zorgprocessen. Er wordt alsnog een ruimte gecreëerd voor een intern lab. Het risicoprofiel dat initieel zorgvuldig is opgesteld, wordt vergeten. Het gevolg is dat de bouwtechnische inrichting niet meer klopt. Sprinklerzones komen bijvoorbeeld niet meer overeen met de inrichting, zo kan het zomaar gebeuren dat de geopereerde patiënt wordt getrakteerd op een douche wanneer er in een linnenkamer rookontwikkeling wordt gedetecteerd. Daarnaast matcht de inrichting niet meer met de initiële business case. Door ervoor te kiezen om de labfunctie binnen te houden, zien de kosten er voor het ziekenhuis bij de opening aanzienlijk anders uit.
SLA als maatstaf voor kwaliteit?
Maar ook dichter bij huis ziet Mark voorbeelden. Binnen de pensioensector wordt veel informatie gedeeld tussen uitbestedingspartners en verschillende pensioenfondsen. Meestal betreft dit de rapportage over de onderling afgesloten Service Level Agreement (SLA) of een uitvoerig verslag over de ISAE type II. In veel gevallen valt Mark op dat deze SLA-rapportages veel zeggen over de tijdigheid van de uitvoering van de uitbestede taken, maar minder zeggen over de kwaliteit. Is kwaliteit niet in de SLA opgenomen? Is kwaliteit van de administratie niet een doelstelling van het fonds die de activiteiten uitbesteedt? Hoe weet het fonds nu dat dit op een kwalitatief voldoende wijze wordt uitgevoerd?
Risicomanagement begint bij doestellingen
Volwassen risicomanagement begint volgens Mark bij het duidelijk formuleren van de fondsdoelstellingen. Vanuit die doelstelling moet vervolgens inzichtelijk zijn welke processen (en dienstverleners) gemoeid zijn bij het behalen van deze doelstellingen. Wanneer deze in kaart zijn gebracht, moet vervolgens inzichtelijk gemaakt worden wat binnen deze doelstellingen en processen de risico’s zijn die de doelstellingen van het fonds negatief kunnen beïnvloeden. Let wel: de doelstellingen van het fonds (bijvoorbeeld: foutloze administratie) hoeven niet naadloos aan te sluiten op de doelstellingen van de uitvoerders (kosten-efficiënte uitvoering). Vanuit deze risico’s moet worden bepaald welke beheersmaatregelen het fonds verwacht die het risico voor het fonds zullen mitigeren. Risicomanagement is pas volwaardig wanneer het fonds vanuit de eerste lijn kan bepalen of het fonds doet wat het belooft. Door actief te toetsen of het fonds de beheersmaatregelen uitvoert én het betreffende risico afdekt.
Sleutelfunctie risicobeheer
Aansluiten op de doelstellingen en afspraken naleven is een continu proces. Binnen de pensioenfondsen zien we meestal wel de administratieve, organisatorische borging van het risicomanagementproces. Er is vaak een riskmanager aangetrokken of is op een andere manier de rol van de sleutelfunctie risicobeheer vervuld, de nieuwe rol die is ontstaan met de invoering van IORP II. Bij de invulling van de sleutelfunctie maken we onderscheid tussen de personen die de sleutelfuncties vervullen en de personen die eindverantwoordelijk zijn voor de uitvoering van de taken die vallen onder de sleutelfunctie. De laatstgenoemden zijn de zogenaamde houders van een sleutelfunctie. DNB geeft aan dat het voor de hand ligt dat een bestuurder dit sleutelfunctiehouderschap op zich neemt. Juist de houder van de sleutelfunctie risicobeheer zal bij moeten dragen aan de bewaking van de doelstellingen van het fonds en daarmee de borging van risicomanagement op bestuurlijk niveau. Samenwerking en een goede afstemming van de taakverdeling is daarbij essentieel.
Wie heeft welke verantwoordelijkheid?
De houder van de sleutelfunctie risicobeheer krijgt de verantwoordelijkheid de kwaliteit (waaronder de volledigheid, tijdigheid, objectiviteit) van het risicomanagementproces te waarborgen. Wat heeft deze houder te doen? En wat is dan de verantwoordelijkheid van de risicomanager? Wat moet de sleutelfunctiehouder aanvullend gaan doen? Denkt u als bestuurder over het volgende na: Waar start de verantwoordelijkheid van de sleutelfunctiehouder en waar stopt die van de overige bestuurders én die van de risicomanager? Hoe borgen we dit geheel? Een aantal adviezen kunnen we op voorhand meegeven:
- Zorg voor een duidelijke scheiding tussen de taken van de eerste en tweede lijn binnen het pensioenfondsbestuur.
- Beoordeel de risicomanagementrapportage in relatie tot de doelstellingen die het fonds ambieert. Worden met het afdekken van de benoemde risico’s de doelstellingen van het fonds gewaarborgd?
- Blijf als sleutelhouder risicobeheer op je handen zitten! Ga niet zelf oplossen maar laat de activiteiten daar waar ze horen. Een veel voorkomende valkuil is dat de tweede lijn het werk van de eerste lijn gaat uitvoeren.