Marc van Luijk & Dick Berlijn 'Hackers zijn lui. Als ze bij een ander ...

Pensioen. nummer 2, juni 2014

Marc van Luijk & Dick Berlijn‘Hackers zijn lui. Als ze bij een ander makkelijker binnenkomen, doen ze het daar. De gelegenheid creëert de dief’

In dit nummer:

04 10 20 30

RedactioneelEen betrouwbare overheid?

Interview‘Pensioenfondsen, qua IT-risicomanagement bent u er nog niet’

Externe verslaggeving voor pensioenfondsen blijvend in beweging

Governance bij vastgoedbeleggingen van pensioenfondsen

Pensioenfondsen anno 2014Hoe gaat Pensioenfonds Horeca & Catering om met de trends in de pensioenmarkt?

Is de nettolijfrente het product voor de oude dag van de toekomst?

Wet algemeen pensioenfonds: consultatieronde voorontwerp afgesloten

Toekomstbestendig risicoraamwerk

Ralphs’ ColumnVan defined benefit naar defined exit: is IFRS inductor of kwade oorzaak?

Governance, Risk en Compliance geïntegreerd

3

4

10

12

14

18

22

24

29

30

3Pensioen nummer 2 • juni 2014

Redactioneel

Een betrouwbare overheid?

O nlangs werd bekend dat het AON-pensioenfonds voornemens is naar België te verhuizen. Al eerder hebben diverse pensioenfondsen van Nederlandse ondernemingen

hun vestigingsplaats verhuisd naar België. In een reactie op dit nieuws liet met name minister Dijsselbloem van zich horen. Hij vindt het onverantwoord dat pensioenfondsen Nederland verlaten om aan het Nederlandse toezicht te ontsnappen. Zo liet hij zich ontvallen dat het ontlopen van Nederlands toezicht slecht is voor de mensen die hun pensioen via dat fonds geregeld hebben. Van de voorzitter van de Eurogroep zou je toch een ander geluid verwachten.

Een van de belangrijkste verworvenheden van de Europese samenwerking is het vrije verkeer van goederen en diensten. Nu dit vrije verkeer pensioenfondsen de keuze geeft hun zetel te verplaatsen, is het vreemd dat Dijsselbloem daar bezwaren tegen heeft. Daarbij gaat hij ervan uit dat het doel van de pensioenfondsen enkel is het Nederlandse toezicht te ontlopen. Pensioenfondsen die met name de belangen van de deelnemers dienen te behartigen, zullen met een goed en solide toezicht geen problemen hebben. Dit is immers in het belang van de deelnemers. Ik vrees echter dat de Nederlandse overheid hier de hand in eigen boezem moet steken.

Tot voor enkele jaren gold het Nederlandse pensioensysteem als het beste van de wereld. Nu lijkt daar in de visie van politiek Den Haag nog maar weinig van te deugen. Dit heeft geleid tot een stortvloed aan (voorgenomen) nieuwe wetgeving. Daarbij is niet zelden sprake van proefballonnetjes en wetsvoorstellen die in de loop van de behandeling een totaal andere inhoud krijgen. Dit terwijl het pensioensysteem is gebaat bij duidelijke

kaders waar partijen voor langere tijd op kunnen vertrouwen. Het kabinet lijkt er echter alles aan te doen om onzekerheid te scheppen over deze kaders op langere termijn.

Daar waar bijvoorbeeld het wettelijke fiscale kader tot 1999 vele jaren onaangepast is gebleven, lijkt de fiscale wetgever nu op hol te zijn geslagen. Zo hebben we net een ingrijpende wijziging per 1 januari 2014 achter de rug. Per 1 januari 2015 is men voornemens opnieuw het fiscale kader ingrijpend te wijzigen. Daarbij heeft men aangegeven dat werkgevers en werknemers ervan uit moeten gaan dat per 1 januari 2016 de pensioenleeftijd waarschijnlijk weer wordt gewijzigd. Ook op civielrechtelijk terrein bestaat er al lange tijd onduidelijkheid over de uiteindelijke uitkomst van de plannen van het kabinet. Denk daarbij bijvoorbeeld aan het financieel toetsingskader voor pensioenfondsen. Ook pensioenuitvoerders hebben behoefte aan stabiliteit en een duidelijk wettelijk kader. Ik kan slechts constateren dat dat de laatste jaren in Nederland ontbreekt. Daardoor is het niet vreemd dat pensioenfondsen hun ogen laten vallen op een ander wettelijk systeem. Als Nederland dat niet zint, moet men zorgen dat men de eigen zaken op orde heeft.

Carl Luijken

Reacties: [email protected]

4

‘Pensioenfondsen, qua IT-risicomanagement bent u er nog niet’

De grote banken hebben inmiddels wel begrepen wat de betekenis is van cybercrime, maar pensioenbestuurders twijfelen vaak nog aan de relevantie van dit thema voor hun organisatie. Terwijl de pensioenwereld een dynamische omgeving is met veel actoren en dito kwetsbaarheden. Alle reden voor Deloitte om het seminar Cyber Security voor Pensioenbestuurders te organiseren, op 11 maart 2014. Marc van Luijk, Director Financial Services Industry, en generaal b.d. Dick Berlijn, Senior Board Advisor, over het belang van digitale veiligheid als fundament van functioneren – zowel bedrijfsmatig als maatschappelijk.


‘Pensioendeelnemers kunnen er niet meer klakkeloos van uitgaan dat er op een betrouwbare manier met hun data wordt omgesprongen’

6

Waarom een seminar specifiek voor de pensioenbranche?Marc van Luijk: “Wat de groeiende digitalisering kan betekenen voor de bedrijfsvoering van pensioenfondsen, wordt nog niet echt doorvoeld. Er heerst een bijna onvoorwaardelijk vertrouwen in grote instellingen in Nederland, maar men zou beter moeten weten. Het feit dat pensioenfondsen over heel veel geld beschikken en aan duizenden deelnemers uitbetalen, maakt ze op voorhand kwetsbaar voor criminaliteit. Wat als bekend wordt dat jouw inkomensgegevens op straat liggen? Daar wordt iedereen onrustig van.”

Welke trends kent de pensioenbranche waardoor de cyberrisico’s alleen maar toenemen?

Van Luijk: “Vroeger stond alles op papier; nu worden er voor de deelnemers allerlei websites gelanceerd waar ze gepersonaliseerde financiële informatie kunnen halen. Als die gegevens beïnvloedbaar blijken door derden, zou dat betekenen dat men verkeerde info krijgt over de eigen pensioensituatie, met alle claim- en reputatierisico’s van dien. Ook krijgt veel vermogensbeheer een digitaal karakter. Vermogensbeheer waar het pensioenfonds verantwoordelijk voor is, maar dat wordt uitbesteed als elektronische handel: aandelentransacties en dergelijke. Als vermogensbeheerders dat niet op orde hebben, speelt uiteindelijk hetzelfde financiële risico als bij banken en verzekeraars, namelijk dat er geld ontvreemd kan worden. Daarnaast is er veel berichtenverkeer tussen pensioenfonds, werknemers en werkgever rondom pensioen – bij indiensttreding, overlijden, arbeidsongeschiktheid enzovoort. Dat zijn heel veel mutaties, en ook die gaan steeds vaker via websites en portals. Pensioendeelnemers kunnen er, kortom, niet meer klakkeloos van uitgaan dat er op een betrouwbare manier met hun data wordt omgesprongen.”

Hebben affaires als die van DigiNotar een paar jaar terug, toen bleek dat alle overheidswebsites gehackt konden worden, geen verhoogd risicobewustzijn teweegbracht in de samenleving?

Dick Berlijn: “Dat zou je verwachten, maar men leek er de schouders over op te halen. Incidenten worden toch snel vergeten. Als het jou niet geraakt heeft, is het kennelijk minder relevant. Het is dus een thema dat constant onder de aandacht gebracht moet worden. En dat ligt op het bordje van bestuurders.”Van Luijk: “Binnen de financiële sector waren banken en

‘Alleen wanneer je in staat bent verdachte onregelmatigheden in je dataverkeer te detecteren, kun je effectieve maatregelen nemen’


verzekeraars aanvankelijk het doelwit. Maar naarmate zij hun beveiliging beter op orde hebben, gaan cybercriminelen automatisch op zoek naar instellingen met een lagere drempel.”Berlijn: “Hackers zijn ook lui. Als ze bij een ander makkelijker binnenkomen, doen ze het daar. De gelegenheid creëert mede de dief.”

Hoezeer is het vertrouwen in de financiële sector geschaad?

Van Luijk: “Dat vertrouwen stond al zwaar onder druk. Bij banken en verzekeraars door te hoge kostenberekeningen, in de pensioenbranche door discussies als: wie betaalt nu premie voor wie? en tot hoever reikt de solidariteit? Het duurt nog even voordat het vertrouwen weer hersteld is. Daar hoort zeker bij dat je veilig omgaat met persoonlijke gegevens.”Berlijn: “Vertrouwen is een essentieel element voor het totale maatschappelijk functioneren. Zonder veiligheid en vertrouwen beginnen samenlevingen te haperen. Als je daarover doordenkt, kom je uit bij verantwoordelijkheden. Van overheden, van bedrijven, van individuen.”

Een complicatie bij cybercrime is dat je de vijand niet kunt zien.

Berlijn: “Precies, en wat doe je als je niet weet waar het gevaar vandaan komt? Dan maak je zogezegd je hang-en-sluitwerk robuuster, verstevig je je muren en breng je buitenverlichting aan. Data en netwerken laten zich echter niet alleen door dikkere muren beschermen. Begrijp me goed: dikke muren zijn niet verkeerd. Je basishygiëne moet op orde zijn. Maar daarnaast, vanwege die onzichtbare tegenstander, en ook vanwege het kat-en-muisspel tussen hacker en beveiliging, moet je ervan uitgaan dat men altijd wel bij je kan binnenkomen. Als de CIA, NSA of Mossad bij je wil inbreken, houd je dat waarschijnlijk niet tegen. Maar bij alle andere aspiranten kun je veel doen om ze de entree te bemoeilijken. En dan nóg zul je een keer ten prooi vallen aan het virus, dus moet je je weerstand opbouwen zodat je er niet meteen vreselijk ziek van wordt of eraan overlijdt. Dus ook al heb

je ondoordringbare firewalls, is je software gepatcht en doe je aan penetration testing – allemaal hartstikke goed –, er is meer nodig.”

Zoals?

Berlijn: “Het begint met een structurele assessment van je organisatie. Waar zitten mijn zwakke plekken? Hoe veilig is mijn IT-infrastructuur? Waar staan mijn data? In de cloud? Wil ik dat wel? Hoe zit het met mijn governance? Hoe aware is mijn personeel? Op basis van het beeld dat ontstaat, kun je, uitgaande van je risicobereidheid, passende maatregelen nemen – preparation. Bijvoorbeeld je IT anders inrichten, of afspraken maken met ondersteunende partijen die je software delen. Dit zijn de dingen die je op z’n minst moet doen. Onze samenleving wordt steeds minder tolerant ten opzichte van partijen die dat nalaten.”Van Luijk: “In dat opzicht is het opmerkelijk hoe sommige organisaties reageren – of beter: niet reageren – op het feit dat Microsoft het onderhoud op Windows XP staakt. Je zou denken: zoiets zie je van ver aankomen. Bovendien, XP is de belangrijkste applicatie van de BV Nederland; je mag toch aannemen dat men tijdig maatregelen neemt. De signalen hierover geven de burger echter weinig vertrouwen.”Berlijn: “Wat mij ook verwondert is dat de centrale overheid dit via een onderhoudscontract met Microsoft heeft geregeld, maar de decentrale overheden laat bungelen. Op dit gebied is nog een wereld te winnen.”

Assess en prepare zijn de eerste stappen op weg naar cyber security. Wat komt daarna?

Berlijn: “Alleen wanneer je in staat bent verdachte onregelmatigheden in je dataverkeer te detecteren, kun je effectieve maatregelen nemen. Maatregelen die minder ingrijpend, kostbaar of pijnlijk zijn dan wanneer je ze moet nemen als het water al over de dijken klotst. Een goede waarnemingsfunctie – monitoring – is dus essentieel. Dan blijf je aan de goede kant van de power-curve. Het is makkelijker een dijk te verstevigen dan een watersnoodramp op te lossen. Hier ga je van reactief naar proactief, want dit impliceert meeluisteren, meekijken, zorgen dat je weet wat er op je netwerk gebeurt. Weten dat er bijvoorbeeld op social media vervelende dingen over jouw pensioenfonds worden gezegd. Informatie uitwisselen met je partnerorganisaties, om je situational awareness scherper te krijgen. Deze monitoring capability kun je zelf inrichten, maar als je daar de middelen niet voor hebt, luidt het advies: besteed het uit. Er zijn partijen die dat goed, dat wil zeggen 24/7, aanbieden: Monitoring-as-a-Service.”

Zoals u zegt: het virus komt toch een keer binnen. Wat doe je dan?

Berlijn: “Als je iets ernstigs opmerkt, moet je snel de juiste mensen kunnen mobiliseren – alert – en adequaat

‘Goed crisismanagement is voor 80-90 procent een kwestie van een gedegen voortraject. Het is per definitie proactief’

8

kunnen reageren – respond. Een goede incident respond capability betekent dat je een team van professionals hebt die niet alleen de juiste maatregelen kunnen treffen, maar hier ook door en door in getraind zijn. Dus zeggen wij tegen organisaties: ga oefenen, voordat je die grote DDos-aanval krijgt. Laat er maar een simulatie op los. Kijk daarbij niet alleen naar de IT-aspecten, maar bijvoorbeeld ook naar de communicatie naar de klanten, de besluitvorming, de rol van de Raad van Bestuur, enzovoort. Door jezelf stevig onder druk te zetten en regelmatig te oefenen, toets je de theorie aan de praktijk en sluit je verrassingen zoveel mogelijk uit. Mooie plannen zijn niet voldoende; je moet een goed getraind apparaat hebben en worst case cyberscenario’s bedenken die je

achteraf gaat evalueren en bijstellen. Dat brengt routine, rust en zelfvertrouwen. Als er dan iets gebeurt, treedt er een geoliede machinerie in werking en voorkom je dat een incident leidt tot een crisis. Goed crisismanagement is voor 80-90 procent een kwestie van een gedegen voortraject. Het is per definitie proactief.”

Het vervelende is dat er meestal iets gebeurt wat je niet had verwacht.

Berlijn: “Wat daarbij goed werkt is blue team vs red team, een methodiek om jezelf uit te dagen. We hebben bij Deloitte een topteam van ethical hackers, die jaarlijks meedoen aan de mondiale Cyberlympics. Het aardige is dat we die al drie keer op rij hebben gewonnen. Die hackers dagen elkaar uit onder het motto: It takes a thief to catch a thief. Je moet je verdediging laten stresstesten; dan zie je waar je zwakke plekken zitten. Niet te snel tevreden zijn.”Van Luijk: “Binnen Deloitte heeft dit geleid tot een nieuwe dienst: Hacking-as-a-Service, waarbij we met

medeweten van de klant proberen in diens gesloten digitale omgeving binnen te komen. Eenmalig, met enige regelmaat of op permanente basis. Op grond van de bevindingen nemen bedrijven vervolgens maatregelen: bijvoorbeeld dat je anders omgaat met je data, infrastructuur of governance. Om je gebouw brandveilig te krijgen nodig je ook de brandweer uit voor een expert opinion; zo gek is dat dus niet.”

Cybercrime gaat niet alleen over IT, maar over het voortbestaan van je organisatie.

Berlijn: “Daarom moet je maatregelen nemen om zo snel mogelijk weer in business te zijn – recover, de laatste schakel in onze aanpak. Als je te lang platligt verlies je geld, of klanten, of je leidt reputatieschade, of je krijgt claims aan je broek, of de Europese Commissie zegt dat je niet goed bent omgegaan met privacygevoelige gegevens. Vier procent van je jaaromzet kun je als boete krijgen. Dat moet toch een prikkel geven om je zaken op orde te hebben. Cybercrime overkomt je gegarandeerd een keer. En dan wordt jou als pensioenbestuur gevraagd: wat heb jij gedaan om de risico’s te mitigeren? Dan kom je niet weg met: ik ging ervan uit dat het goed geregeld was.”Van Luijk: “Die verantwoordelijkheid strekt zich uit over de hele supply chain. Bijna alle pensioenfondsen hebben hun primaire processen uitbesteed. Dat betekent dat ze bij de selectie van partners het risico van cybercrime al moeten meewegen. Goed contact met een betrouwbare partij volstaat niet. Dat is ook het standpunt van DNB, die de nadruk legt op ketenintegraliteit en bijvoorbeeld risicorapportages eist over uitbestede processen.”

Spitsen de risico’s zich niet steeds meer toe op cloud? Steeds meer ondernemingen stappen immers in de cloud.

Berlijn: “Dat laat onverlet dat je als organisatie te allen tijde verantwoordelijk blijft voor de veiligheid van je data. Daar moet je dus op z’n minst over hebben nagedacht als je afspraken maakt met je cloudprovider.”Van Luijk: “Voor pensioenfondsen is relevant dat gegevens van deelnemers niet zomaar overal ter wereld neergezet mogen worden. Met fysieke data is dat een vanzelfsprekendheid, maar met elektronische data lijkt men dat vergeten te zijn. Dat naïeve beeld mag je als financiële partij niet hebben in Nederland, met 1000 miljard in de pensioenpot.”Berlijn: “We zijn ons gelukkig steeds beter bewust van de risico’s, en zien dat we achterstallig onderhoud moeten plegen rondom de technologie die we hebben omarmd. Maar toch zijn alle maatregelen die je achteraf aanbrengt ook weer te omzeilen. Je moet dus veel eerder in het proces rekening houden met security – al bij het ontwerp.

‘Cybercrime overkomt je gegarandeerd een keer. En dan wordt jou als pensioenbestuur gevraagd: wat heb jij gedaan om de risico’s te mitigeren?’


We noemen dat security by design. Dit houdt in dat je de veiligheidsaspecten incorporeert in de criteria waar het systeem aan moet voldoen.Je maakt ook niet eerst een auto om vervolgens te gaan nadenken over veiligheid. Al op de tekentafel ga je ervan uit dat je tegen een boom kunt botsen. Die impacttechnologie en airbag zitten er dus vanaf het begin al in.”

Hoe ver zijn pensioenfondsen met hun IT Risk Management?

Van Luijk: “IT en informatiebeveiliging worden steeds belangrijker. Cybercrime eist zijn plek op naast risico’s van belegging en liquiditeit en dergelijke. Banken en verzekeraars worden door de toezichthouder via self-assessments al kritisch bevraagd over hoe ze cyberrisico’s hebben geborgd. Het is een standaardonderdeel van hun risicoraamwerk geworden. Bij pensioenfondsen vertoont het risicomanagement nog niet altijd de gewenste volwassenheid. Het is vaak nog reactief, ad hoc en incidentgedreven, terwijl proactief, structureel en geïntegreerd de streefbegrippen zijn. In ons Maturity Model gaan we minimaal voor niveau 3, waarbij een fonds laat zien dat het goed over cyberrisico’s heeft nagedacht, maatregelen heeft getroffen en deze ook heeft getest. Belangrijkste boodschap die we pensioeninstellingen meegeven: qua IT-risicomanagement bent u er nog niet.” Berlijn: “Om het gevoel van urgentie aan te wakkeren, gaat er niets boven een live demo. Zo hebben we onlangs bij een seminar in Zeist een nep-hotspot uitgezet waarmee we alle online bewegingen van de deelnemers konden volgen; elke site die ze tijdens het seminar bezochten, elk Twitterbericht dat ze uitstuurden, gebruikersnamen, wachtwoorden. Toen we deze

gegevens aan het eind van de sessie – geanonimiseerd – op een scherm presenteerden, zag je de pensioenbestuurders even schrikken! Er kwamen reacties als: ‘Wij zijn wel heel erg makkelijk in het accepteren van mobiele devices in het dagelijks gebruik. Al die beleggingstransacties en koersgevoelige informatie; het gaat allemaal ‘door de lucht’ naar mijn iPad. Hoe veilig is dat eigenlijk?’ Een nauwelijks te onderschatten vraag.”

‘Als organisatie blijf je te allen tijde verantwoordelijk voor de veiligheid van je data. Daar moet je dus over hebben nagedacht als je afspraken maakt met je cloudprovider’

10

Externe verslaggeving voor pensioenfondsen blijvend in beweging

Verslaggevingsrichtlijnen zijn bedoeld om verschaffers, gebruikers en controleurs van externe verslaggeving te assisteren door het definiëren van de normen die in het maatschappelijk verkeer als aanvaardbaar worden beschouwd. Actuele ontwikkelingen in de pensioensector zoals het korten op pensioenaanspraken en pensioenrechten of de vraag hoe om te gaan met zogenoemde VPL-gelden vereisen nieuwe richtlijnen voor de verwerking in de externe verslaggeving van pensioenfondsen.


De Raad voor de Jaarverslaggeving heeft in het najaar van 2013 een gewijzigde Richtlijn 610 betreffende de externe verslaggeving voor pensioenfondsen voor verslagjaren die aanvangen op of na 1 januari 2014 opgenomen in de Richtlijnen voor de Jaarverslaggeving. Eerdere toepassing dan 1 januari 2014 is aanbevolen. De gewijzigde Richtlijn 610 bevat zowel nieuwe als gewijzigde bepalingen voor de externe verslaggeving voor pensioenfondsen. De belangrijkste worden hierna toegelicht.

Korten op pensioenaanspraken en pensioenrechten In alinea 251a is in overeenstemming met de eerdere uitingen van de Raad voor de Jaarverslaggeving (Uitingen 2013-2 en 2013-6) verduidelijkt hoe een pensioenfonds kortingen op pensioenaanspraken c.q. pensioenrechten moet verwerken. Op basis van deze verduidelijking geldt dat pensioenfondsen een korting verwerken in hun voorziening per balansdatum voor zover een korting onvermijdelijk is, maar ook als per balansdatum nog geen onvoorwaardelijk besluit is genomen, maar het per balansdatum zeker is dat na deze datum een onvoorwaardelijk kortingsbesluit zal worden genomen.

Uitvoerings- en transactiekostenDe eerdere ontwerprichtlijnen in de alinea’s 314 en 503 over de gewenste transparantie in verslaggeving omtrent uitvoerings- en transactiekosten van vermogensbeheer en kosten van pensioenbeheer zijn definitief geworden. De Raad voor de Jaarverslaggeving geeft geen nadere omschrijving hoe deze gewenste transparantie eruit moet zien, maar verwijst naar normen die daaromtrent in het maat¬schappelijk verkeer als aanvaardbaar worden beschouwd. Deze normen verwijzen onder andere naar de onder verantwoordelijkheid van de Pensioenfederatie opgestelde ‘Aanbevelingen Uitvoeringskosten 2013 – Nadere uitwerking kosten vermogensbeheer, herziene versie met aanvullingen’.

VPL-geldenIn alinea 270 is een nieuwe ontwerprichtlijn opgenomen die van toepassing is op pensioenfondsen die middelen beheren die voortvloeien uit met de sociale partners overeengekomen regelingen, niet zijnde pensioenregelingen (zogenaamde VPL-gelden). Deze nieuwe richtlijn stelt dat ontvangen VPL-gelden die per balansdatum nog niet zijn aangewend, als een

afzonderlijke verplichting worden opgenomen op de balans van het pensioenfonds. Achtergrond van deze nieuwe richtlijn is het standpunt van De Nederlandsche Bank dat VPL-gelden geen eigendom zijn van het pensioenfonds en vermenging tussen de reguliere pensioenregeling en de VPL-gelden moet worden voorkomen.

Handreiking Jaarverslaggeving Pensioenfondsen 2014Om bestuurders van pensioenfondsen, uitvoeringsorganisaties, accountants en andere bij pensioen¬fondsen betrokken personen te ondersteunen bij vraagstukken omtrent externe verslaggeving voor pensioenfondsen, heeft Deloitte een volledig geactualiseerde Handreiking Jaarverslaggeving Pensioenfondsen gepubliceerd. De Handreiking is kosteloos verkrijgbaar via http://actueel.deloitte.nl/branches/financial-services/fsi-value/fsivalue-imp/een-praktische-handreiking-voor-de-externe-verslaggeving-pensioenfondsen.

Marc van [email protected]

Bart [email protected]

De gewijzigde Richtlijn 610 bevat zowel nieuwe als gewijzigde bepalingen voor de externe verslaggeving voor pensioenfondsen

12

Governance bij vastgoedbeleggingen van pensioenfondsen

Bij investeringen in vastgoed gaat het vaak over de toekomstige mogelijkheden die vastgoed biedt: “Kantoren op de Zuidas zijn in trek bij internationale beleggers”, “De vastgoedmarkt in London is oververhit”, “Aan vrije sector huurwoningen tussen 700 en 1000 euro is in Nederland een groot tekort”. Ook wordt veel gesproken over juist wel of niet direct of indirect investeren in vastgoed. En welke investment managers zijn in staat de beste beleggingskansen uit de markt te halen? Zeer relevante vragen en zeer interessante materie, maar hoe worden de € 71 miljard aan bestaande vastgoedinvesteringen van pensioenfondsen beheerd? Hoe wordt er bijvoorbeeld omgegaan met beleggingen in special purpose vehicles en met club deals die niet goed renderen?

De Nederlandsche Bank (DNB) heeft een grootschalig onderzoek uitgevoerd naar het vastgoedbezit en de leningenportefeuilles van banken. De Europese Centrale Bank doet dit momenteel nog eens dunnetjes over. Dit doen ze niet zonder reden. De exposure van de Nederlandse bancaire sector in vastgoed is groot, waardoor negatieve waardeontwikkelingen in het vastgoed grote risico’s voor het Nederlandse bankwezen vormen. Ook geldt voor de Nederlandse pensioenfondsen een grote exposure in vastgoed. DNB heeft in 20131 aangekondigd onderzoek te doen naar beleggingen in commercieel vastgoed bij pensioenfondsen en verzekeraars. Dit onderzoek kent twee speerpunten. Ten eerste de waardering van vastgoed, waarbij gebruik wordt gemaakt van de aanbevelingen van Platform Taxateurs en Accountants.2 Ten tweede wordt specifieke aandacht besteed aan buitenlandse beleggingen via vooral niet-beursgenoteerde vastgoedfondsen. In maart van dit jaar heeft DNB aangegeven mogelijk nog een sectorbrief over dit thema op te stellen. De bevindingen van DNB zijn grofweg: (1) taxaties kunnen transparanter, (2) beheersprocessen voor buitenlands niet-genoteerd vastgoed zijn over het algemeen op orde, (3) waardering vergt aandacht.

De twee speerpunten van het onderzoek van DNB zijn relevant, maar dekken niet de volledige lading als het gaat om risicobeheersing van de vastgoedportefeuille. Zoals gezegd, wordt aan de voorkant veel aandacht besteed aan de investeringskansen die op dat moment aanwezig zijn en de selectie van de juiste investment manager. Maar hoe gaat de investment manager na investering om met het vastgoedbezit? Hierbij komt een belangrijke governancevraag bij vastgoedbeleggingen om de hoek kijken. Hoe zorg je er als pensioenfonds voor dat de vastgoedbeleggingen goed worden beheerd en op welke manier kun je adequaat monitoren en bijsturen als dat nodig is? Hoe weet je als pensioenfonds dat de investment manager de juiste prioriteiten stelt als het gaat om acquisitie en verkoop van vastgoed in relatie tot andere transacties voor andere klanten?DNB heeft in een eerder onderzoek naar beleggingen in vastgoed van pensioenfondsen reeds geconcludeerd dat “de invulling van het risicobeheer in veel gevallen onvoldoende aansluit op de complexiteit van het beleggingsbeleid”. Risicobeheer moet in alle fasen van het beleggingsproces worden betrokken, van het vaststellen van het strategisch beleggingsbeleid tot aan de daadwerkelijke uitvoering daarvan. Een sanity check

1 Thema’s DNB Toezicht 2013.2 Platform Taxateurs

en Accountants, Goed

gewaardeerd Vastgoed – 27

aanbevelingen voor taxeren en

taxatierapporten.


op de processen bij de vermogensbeheerder en ook een incidentele ‘deep dive naar de onderliggende stenen’ maken hier onderdeel van uit. Aandachtspunten hierbij zijn onder andere:– toetsen van mandaten voor vermogensbeheer aan

opgestelde uitgangspunten;– door pensioenfonds opgestelde eisen ten aanzien van

(risico)rapportages van vermogensbeheerders;– taxaties en het taxatieproces van de

vastgoedbeleggingen;– periodieke stressscenario’s, onder andere gericht op

waardeveranderingen in de portefeuille in relatie tot de leverage van (beursgenoteerde) vastgoedfondsen;

– spreiding van bestaande vastgoedportefeuille naar regio’s en sectoren;

– transparantie bij het selecteren van zakelijke relaties en ook zicht op de transparante processen van de investment manager;

– customer due diligence (CDD)/tegenpartij-analyse; met wie doe je zaken; hoe is de CDD geregeld in het proces van aankoop, verhuur, verkoop van vastgoedobjecten?

De kennis en capaciteit bij pensioenfondsen op het gebied van vastgoedbeleggingen verschilt sterk. Bij met name middelgrote en kleinere pensioenfondsen ontbreekt

het in sommige gevallen aan specifieke vastgoed- en marktkennis. Aangezien ook bij deze pensioenfondsen significante directe en indirecte vastgoedbeleggingen aanwezig zijn, verdient het aanbeveling om periodiek een toets op de governance rondom deze investeringen uit te voeren. Daarbij biedt het onderzoek van de DNB aandachtspunten die in een governance-check niet misstaan.

Rob HuismanReal Estate [email protected]

Risicobeheer moet in alle fasen van het beleggingsproces worden betrokken

14

Pensioenfondsen anno 2014Hoe gaat Pensioenfonds Horeca & Catering om met de trends in de pensioenmarkt?

Pensioenfonds Horeca & Catering neemt sinds vorig jaar wekelijks een risicorapportage van Deloitte af om inzicht te krijgen in zijn eigen beleidsdoelstellingen. Dankzij dit initiatief loopt het fonds vooruit op aanbevelingen van De Nederlandsche Bank (deze worden verderop gespecificeerd) en is het vooruitstrevend bij de inrichting van zijn eerstelijns risicomanagement. Wij vonden het daarom hoog tijd worden om eens een kijkje achter de schermen te nemen op de afdeling vermogensbeheer van één van de grootste pensioenfondsen van Nederland: Pensioenfonds Horeca & Catering. Wouter Jan Naborn (Unit manager Vermogensbeheer) en Bas van Ooijen (Senior Manager Asset Management) stonden ons te woord over hun visie op het monitoren van risico’s in deze constant veranderende maatschappij.

Het afgelopen decennium zijn beleggingen, die voorheen als relatief veilig en waardevast werden bestempeld, behoorlijk in waarde gedaald. Enkele grote internationale financiële instellingen, waaronder Lehman Brothers, zijn failliet verklaard. Aan deze gevolgen van de financiële crisis liggen verschillende oorzaken ten grondslag. Een van de belangrijkste aanleidingen is het gebrek aan transparantie van financiële markten en producten. Dit maakt het voor beleggers onmogelijk om een goede inschatting te maken van de risico’s van financiële producten, bijvoorbeeld in de Amerikaanse hypothekenmarkt. Naast de vele faillissementen resulteerde het gebrek aan transparantie tevens in een gebrek aan vertrouwen in de financiële markt. Anno 2014 is de financiële sector nog altijd bezig om dit vertrouwen terug te winnen. Welke consequenties zien jullie binnen de organisatie door dit gebrek aan transparantie?

“Over het algemeen is het aantal klantvragen niet sterk toegenomen. Het is dus niet zo dat we de laatste jaren overspoeld worden met telefoontjes over beleggingen. Wél merken we dat de deelnemers

kritischer zijn geworden over het beleggingsbeleid. Zij vragen nadrukkelijk om transparantie, dus daar houden wij rekening mee in onze communicatie. Een goed voorbeeld hiervan is onze website. Hierop bieden we bezoekers uitgebreide informatie over het beleid dat Pensioenfonds Horeca & Catering hanteert en geven we inzage in de externe managers waarmee we werken. Ook zetten wij in onze jaarrapportage uiteen wat de trends en ontwikkelingen zijn in de wereld van pensioenen. Hierdoor verwachten wij het vertrouwen te behouden en duidelijk inzicht te kunnen geven in wat wij doen en waarom we het op deze manier doen.”

Een andere trend in de pensioenmarkt is dat er steeds meer (internationale) regelgeving bestaat en dat de snelheid waarmee deze regelgeving op ons afkomt enorm toeneemt. Staat regelgeving op dit moment hoog bij jullie op de agenda?

“Ja, het is zeker een belangrijk agendapunt. Op dit moment zijn onze belangrijkste toezichthouders Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB). Ook vanuit Europa wordt er steeds meer weten regelgeving opgelegd aan


‘De hoeveelheid controle neemt steeds verder toe en daarom is het belangrijk om overal van op de hoogte te zijn’

16

1 Het Financieele Dagblad van

dinsdag 4 maart 2014.

pensioenfondsen. In zijn algemeenheid zou je kunnen zeggen dat het nieuwe Financieel Toetsingskader voor ons een belangrijke rol speelt qua weten regelgeving binnen de organisatie. Hierbij zal de nadruk komen te liggen op het managen van algemene risico’s. De hoeveelheid controle neemt steeds verder toe en daarom is het belangrijk om overal van op de hoogte te zijn.”

De historisch lage rentescenario’s, lage aandelenkoersen en veranderende demografische patronen hebben tot gevolg dat toegezegde ambities door pensioenfondsen niet altijd kunnen worden waargemaakt, zo blijkt onder meer uit de nieuwsberichten over het korten van pensioenrechten.1 Een pensioenfonds dat een adequate waardering van de pensioenverplichtingen geeft en een duidelijke en heldere communicatiemethode hanteert, draagt bij aan het herstel van vertrouwen in de financiële markt. Deze bovengenoemde trends hebben onder andere impact op de eisen die aan rapportages worden gesteld. Hierdoor is de ontwikkeling ingezet om de complexiteit van producten en processen te reduceren. Het uitvoeren van balansmanagement en het zodanig inrichten van de beleggingsportefeuille dat deze de verplichtingen het meest efficiënt benaderen, zijn daarbij belangrijke sturingsmechanismen. Het wordt voor een pensioenfonds dan ook steeds belangrijker om aan te tonen dat het wel in staat is om aan zijn pensioenverplichtingen te voldoen en inzicht te geven in waar de risico’s liggen. Hoe gaat Pensioenfonds Horeca & Catering hiermee om?

“Het is voor ons vooral van belang dat we op fondsniveau op de hoogte zijn van de bestaande risico’s. Op dit moment krijgen wij voornamelijk risico-informatie van managers, maar om een overall overzicht te krijgen is dit niet voldoende. We hebben een tiental belangrijke risico’s geselecteerd waarvan we de trend volgen, zoals het liquiditeitsrisico en het valutarisico. Deze verschillende risico’s zijn samengevoegd in een risicorapportage,

waardoor we op basis van marktwaarderingen niet alleen terug kunnen kijken, maar ook toekomstige risico’s kunnen inschatten. Het risicorapport wordt dus niet enkel gebruikt als een monitoringstool, maar ook als signaleringstool om te kunnen constateren waar risico’s op bepaalde momenten toenemen en wat de reden hiervan is. De tweede functie van de risicoanalyse is om controles uit te voeren op het huidige beleid en om te monitoren of de portefeuille binnen de richtlijnen blijft.”

Met welke frequentie monitoren jullie deze risico’s?

“De volatiliteit van financiële markten is de laatste jaren enorm toegenomen. Binnen onze organisatie is het daarom noodzakelijk om alle trends en ontwikkelingen, inclusief de risico’s die hieraan verbonden zijn, op de voet te volgen. Door wekelijks te monitoren houden we bij of bepaalde risico’s toe- of afnemen en of ze overeenkomen met wat we vooraf hadden verwacht. Hierdoor is het mogelijk om proactief te reageren en te anticiperen op de voorspelde risico’s. De resultaten die uit de risicorapportages komen, worden ook wekelijks met elkaar besproken en bovendien houden we de tien belangrijkste risico’s voor Pensioenfonds Horeca & Catering bij en bespreken we deze intern.”

DNB heeft ultimo 2013 een themaonderzoek uitgevoerd naar de beheersing van risico’s, met in het bijzonder de beheersing van het renterisico, tevens een van de tien risico’s die jullie organisatie geïdentificeerd heeft. Renterisico is een van de belangrijkste risico’s voor pensioenfondsen en ontstaat doordat beleggingen een andere rentegevoeligheid hebben dan verplichtingen. DNB geeft met de aanbevelingen van dit onderzoek guidance aan de pensioensector. De hoofdlijnen uit dit onderzoek waren:- vastlegging van het beleid van afdekken van risico’s;

een concreet vastgelegd beleid is belangrijk om grip te houden en bij te sturen wanneer dit nodig is;

- curverisico van de rente over de looptijd; pensioenfondsen dienen rekening te houden met verschuivingen van de rentecurve en de verdeling van het risico over verschillende looptijden;

- monitoring en evaluatie van de risico’s; de rapportages van pensioenfondsen geven vaak onvoldoende inzicht in de blootstelling aan risicofactoren.

Renterisico is niet het enige risico dat een pensioenfonds loopt in het realiseren van de langetermijnambitie. Vanuit de beleggingen zijn er meerdere risico’s die ervoor kunnen zorgen dat niet aan de verplichtingen kan worden voldaan. Een goede risicorapportage geeft daarom ook inzicht in de mate van marktverandering van de verplichtingen en combineert deze risico’s in een integrale benadering van de balans. Voor veel pensioenfondsen is het een grote uitdaging om zowel de beleggingen als de stand van de verplichtingen samen te voegen in één rapportage. Is dit bij Pensioenfonds Horeca &


Catering ook het geval?

“Bij pensioenfondsen is het de trend om meer vanuit de verplichtingen te kijken, dus hoe beheers je de verschillende risico’s ten opzichte van je verplichtingen. Onze wens vanaf het begin was echter om het risicodashboard zowel aan de beleggingenkant als aan de verplichtingenkant van de balans overzichtelijk te maken. Met deze rapportage hebben we bovendien een onafhankelijke toets op de afdekking van risico’s waarvan de operationele uitvoering is uitbesteed. In nauwkeurige afstemming met onze afdeling actuariaat wordt op periodieke basis een update gegeven van de verplichtingen. Deloitte zorgt ervoor dat deze op de juiste manier worden verwerkt in de rapportage, zodat de meest actuele stand van de verplichtingen wordt gekoppeld aan de marktwaardering van de beleggingen. Van onze custodian en de externe managers zijn aparte rapporten beschikbaar, maar deze hangen onderling niet met elkaar samen. Bovendien wordt daarbij de verplichtingenkant niet meegenomen. Met de risicorapportage van Deloitte hebben we een rapportage op fondsniveau en op het niveau van de risico’s en de beleggingen in zijn totaliteit. Het voordeel van het hebben van één rapport is dat het een overzichtelijke overall presentatie van de risico’s geeft. Ook zijn cruciale wijzigingen door nieuwe regelgevingen efficiënt geïmplementeerd in onze risicorapportage. Een voorbeeld hiervan zijn nieuwe aanpassingen aan de gebruikte rentecurves, waaronder de UFR-curve. Een ander voordeel van de risicorapportage is dat het tijdbesparend werkt, doordat het operationeel is uitbesteed waarbij in een vast format de risico’s inzichtelijk worden gemaakt. De afdeling vermogensbeheer gebruikt informatie uit het risicorapport vervolgens weer voor rapportage richting het bestuur.”

Hoe staat het bestuur tegenover de wekelijkse risicorapportage van de afdeling vermogensbeheer?

“Erg positief. Het is een intern instrument voor het monitoren en het signaleren. De afdeling vermogensbeheer gebruikt informatie uit de risicorapportages als input voor bestuursrapportages. Ook wij zijn zeker tevreden over het rapport en over de juistheid van de informatie. Dat zit goed in elkaar.”

Meer informatie over de risicorapportage die Deloitte te bieden heeft? Neem dan contact op met Ivo van der Veen via [email protected].

‘Het risicorapport wordt (…) ook als signaleringstool gebruikt om te kunnen constateren waar risico’s op bepaalde momenten toenemen en wat de reden hiervan is’

18

Is de netto-lijfrente het product voor de oude dag van de toekomst?

Onze overheid zorgt voor haar burgers. Met diverse regelingen en vangnetten zorgt zij ervoor dat in principe alle burgers van een inkomen worden voorzien. Met de wetsvoorstellen die thans ter goedkeuring bij de Eerste Kamer liggen en waarmee de Tweede Kamer op 6 maart 2014 heeft ingestemd, neemt de overheid het standpunt in dat een burger in Nederland wordt geacht zelf voor een deel van zijn eigen oudedagsvoorziening te zorgen. In het wetsvoorstel is namelijk een voorstel voor een nettolijfrente opgenomen. Eenieder die meer dan (thans) € 100.000 bruto per jaar aan inkomen heeft, wordt geacht in staat te zijn om over dat hogere deel van het inkomen zelf een deel apart te zetten en te reserveren voor later. Hoe je dit inkomen realiseert, maakt daarbij niet uit. Ofwel de regeling staat open voor de werknemer, de ondernemer en de zelfstandige zonder personeel. In dit artikel zullen wij nader ingaan op deze noviteit binnen het spectrum aan oudedagsvoorzieningen.


HistorieIn eerdere wetsvoorstellen uit 2013 werd voorgesteld de fiscaal maximale pensioenopbouw terug te brengen naar 1,75% middelloon met een maximaal pensioengevend loon van € 100.000. Deze wetsvoorstellen hebben de eindstreep niet gehaald en zijn inmiddels deels ingetrokken. Ter aanvulling op het pensioen was een nettopensioenvariant opgenomen, zoals de ouderdomspensioenexcedentregeling en de optoppingsouderdomspensioenexcedentregeling. Mede doordat de uitvoerbaarheid van deze nettovariant erg ingewikkeld zou zijn, stuitten deze voorstellen op veel weerstand. Dat was een van de redenen waarom de voorstellen niet konden rekenen op instemming van de Eerste Kamer. Teneinde toch tot een verdere versobering van het fiscaal gefacilieerde pensioen te komen is op 18 december 2013 een pensioenakkoord gesloten tussen de regeringspartijen en een drietal gedoogpartijen.

Thans is de novelle Witteveen 2015, met daarin een uitwerking van het akkoord, gepubliceerd en aan de Kamer aangeboden. De wettelijke maximale pensioenopbouw zal, in plaats van 1,75%, 1,875% per jaar bedragen. De aftopping van het pensioengevend inkomen blijft in het voorstel opgenomen, waarbij deze aftopping op € 100.000 wordt gesteld. Heeft men een inkomen boven deze grens, dan is fiscaal gefacilieerde pensioenopbouw vanaf 2015 voor dit hogere deel naar alle waarschijnlijkheid niet meer mogelijk. Met fiscaal gefacilieerde opbouw wordt bedoeld dat er een uitstel van belastingheffing plaatsvindt, waardoor de premie onbelast is en de toekomstige uitkering belast. Voor het inkomen boven de grens van € 100.000 wordt de mogelijkheid gecreëerd voor het opbouwen van een nettolijfrente.

Toelichting nettolijfrenteWanneer is sprake van een nettolijfrente? Kortweg is het een kapitaal dat gedurende de werkzame periode wordt gereserveerd om vanaf pensioendatum voor een aanvulling op het inkomen te zorgen. De inleg in een verzekering (of bankproduct) vindt vanuit het netto-inkomen plaats, waarna de toekomstige uitkeringen belastingvrij zijn. Omdat er een vermogensvorming plaatsvindt vanuit het netto-inkomen, zal in beginsel

jaarlijks vermogensrendementsheffing verschuldigd zijn over het reeds opgespaarde kapitaal. Dit beperkt het effectieve rendement op de beleggingen, waardoor het beoogde doelvermogen voor de toekomstige inkomensaanvulling minder snel wordt bereikt. Tot op heden werd de pensioengrondslag niet afgetopt, waardoor veel mensen in 2015 geconfronteerd zullen worden met een (drastische) beperking in hun pensioenopbouw. Dit was een opbouw die zij tot op heden wel in hun planning hadden meegenomen, welke thans ineens onbereikbaar is geworden. Als ‘compensatie’ en als stimulans om het deel van het inkomen waarover vanaf 2015 geen pensioenopbouw meer plaatsvindt niet helemaal uit te geven maar deels te reserveren voor later, is er een levenslange vrijstelling in box 3 (vermogensrendementsheffing) bij toepassing van de nettolijfrente. Hiertoe wordt in de Wet inkomstenbelasting 2001 een nieuwe afdeling opgenomen: afdeling 5.3a.

Deze faciliteit staat open voor iedereen die een belastbaar inkomen uit werk en woning (box 1) heeft van meer dan thans € 100.000. Hierbij maakt het niet uit of dit inkomen wordt gerealiseerd in een dienstbetrekking, een onderneming of andere werkzaamheden. Veel werknemers hebben een pensioenregeling waarbij ze over hun salaris pensioen opbouwen. Ook voor een salaris boven de € 100.000 zal dit over het algemeen van toepassing zijn. De werkgever en werknemer zullen, wanneer de fiscale faciliëring wegvalt, de overeengekomen arbeidsvoorwaarden moeten heroverwegen. Inmiddels is aan het parlement de toezegging gedaan dat de nettolijfrente ook als een nettopensioen kan worden aangeboden. De werkgever kan de pensioenopbouw van zijn werknemer blijven faciliëren, zij het deels in een bruto- en deels in een nettovariant. In een brief van 28 maart 2014 heeft de staatssecretaris zijn eerste gedachten geschetst van hoe de pensioenfondsen dit nettopensioen kunnen aanbieden. Hij somt daarbij een rits aan voorwaarden op.

Er moet onder meer een strikte scheiding van de bruto- en nettokapitalen plaatsvinden, teneinde vermenging te voorkomen. Het nettopensioen moet in de vorm van een beschikbare premieregeling door de pensioenfondsen

20

worden aangeboden (zonder rendementsgarantie), waarvoor een kostendekkende premie moet worden betaald. Het pensioenfonds zal naast een gescheiden administratie ook een uitgebreide uitsplitsing van de kosten moeten maken. Risico’s ten aanzien van langleven, kortleven (partner- en wezendekking) en arbeidsongeschiktheid moeten in acht worden genomen en worden herverzekerd.1 De werkgever wordt ten slotte verplicht tot een bijdrage van 10% van de premie, die hij niet alleen aan de deelnemende werknemer moet verstrekken, maar ook aan alle andere werknemers.

Voorwaarden aan de nettolijfrenteOm voor de nettolijfrente in aanmerking te komen moet (uiteraard) aan een aantal voorwaarden worden voldaan. Allereerst kun je niet onbeperkt geld reserveren binnen deze nettolijfrente. De maximale premieruimte zal worden gebaseerd op een bereikbaar niveau in veertig jaar van 75% op middelloonbasis. Daarnaast zal dit maximum niet in één keer mogen worden benut, maar geleidelijk worden opgebouwd. Verder zal het geld niet zomaar op een willekeurige bankrekening of beleggingsrekening kunnen worden geplaatst. Nee, de middelen gereserveerd voor de nettolijfrente moeten bij een verzekeraar of bank worden ondergebracht. Eigen beheer is hierbij voor DGA’s dus niet mogelijk. Inleggen is mogelijk tot in het kalenderjaar waarin men de AOW-gerechtigde leeftijd bereikt. Ten slotte geldt een verbod op afkoop, vervreemden of het stellen als voorwerp voor zekerheid. De sanctie voor het niet langer voldoen aan de voorwaarden is het (met terugwerkende kracht) vervallen

van de vrijstelling in box 3. Deze terugwerkende kracht zal in de vorm van een forfaitaire heffing over de voorgaande tien jaren worden vormgegeven. De belastingplichtige krijgt hierbij een tegenbewijsmogelijkheid, zou het daadwerkelijke voordeel lager zijn geweest dan de forfaitaire heffing.

InternationaalNederland is een klein land en steeds meer mensen gaan vroeg of laat voor korte of langere periode naar het buitenland. Maakt het bezitten van een nettolijfrente(tegoed) een verhuizing over de grens moeilijker? Wanneer twee landen aanspraak menen te maken op de belastingheffing over inkomen of vermogen, dan is daarvoor meestal een belastingverdrag afgesloten waarin is vastgelegd welk land heffingsbevoegd is. Dan zal er wel overeenstemming moeten zijn over de vorm van het betreffende inkomen. Voor deze nettolijfrente is dit ook precies het mogelijke probleem: is het inkomen of is het vermogen?

Vanuit Nederlandse optiek zien we de nettolijfrente als een vermogensbestanddeel, waarvoor Nederland een vrijstelling verleent. Afhankelijk van de belastingwetgeving in het andere land kan dit land de nettolijfrentetermijnen zien als inkomen, waarover het belasting zou willen heffen, dan wel beschouwen als vermogensbestanddeel, waarover belasting is verschuldigd. Is er geen specifiek label op het inkomen c.q. vermogen te plaatsen, dan resteert in ieder belastingverdrag de toepassing van het restartikel. Het restartikel wijst de heffing van alle resterende zaken toe aan het woonland. Bij een emigratie met een nettolijfrente zal dit veelal betekenen dat de belastingheffing toekomt aan het nieuwe woonland.

Op welke wijze en in welke mate deze heffing zal plaatsvinden, is afhankelijk van het specifieke land. Tijdens de behandeling van het wetsvoorstel in de Tweede Kamer is deze problematiek ook aan de orde geweest. De oplossing van onze wetgever voor deze mogelijke problematiek omtrent belastingheffing in het buitenland is erg pragmatisch. Die stelt namelijk voor dat eenieder met een nettolijfrente in eigendom vlak voor de emigratie de nettolijfrente afkoopt. Hierdoor vervalt de vrijstelling in box 3, maar ook de verplichting om het

1 Deze verplichting tot

herverzekering geldt voor het

risico op premievrijstelling bij

arbeidsongeschiktheid en de

dekking van het partner- en

wezennettopensioen bij

vooroverlijden.

Iedereen die een belastbaar inkomen uit werk en woning heeft van meer dan € 100.000, zal in 2015 gebruik kunnen maken van nettolijfrente


gespaarde kapitaal als lijfrente uit te keren. Het is in feite vrij beschikbaar vermogen, waardoor enige discussie over de kwalificatie binnen een belastingverdrag of lokale belastingwetgeving niet langer zal spelen. Nu thans de sanctie is verzwaard met een heffing met terugwerkende kracht, lijkt deze pragmatische insteek geen oplossing. Om het land te kunnen verlaten moet bij afkoop ineens worden afgerekend. Een conserverende oplossing is hierbij niet aan de orde, omdat reeds de ‘verboden handeling’ heeft plaatsgevonden.

SamenvattendDe nettolijfrente lijkt een eenvoudig instrument te zijn, waarmee een deel van het vermogen kan worden gereserveerd voor de oude dag. Zolang het vermogen deze bestemming heeft, kan men aanspraak maken op een vrijstelling in box 3. De regeling staat open voor iedereen die boven de inkomensdrempel uitkomt, waardoor het een breed inzetbaar product is. Deze nettolijfrente zal worden aangevuld met een vergelijkbaar product in de vorm van een nettopensioen. De details daarvan moeten nog nader worden uitgewerkt in overleg met het pensioenveld. Is deze variant levensvatbaar per 1 januari 2015? De uitvoerbaarheid zal daarbij doorslaggevend zijn, samen met de overweging van de werkgever voor het aanbieden van deze vrijwillige aanvulling, gelet op de verplichte werkgeversbijdrage voor elke werknemer. De komende maanden zullen op dit punt meer inzicht geven.

Bertine van HoornPension [email protected]

22

Wet algemeen pensioenfonds: consultatieronde voorontwerp afgesloten

Van 23 januari tot 25 februari 2014 konden marktpartijen reageren op het voorontwerp van de Wet algemeen pensioenfonds. De bedoeling is dat deze wet op 1 januari 2015 van kracht wordt. De Wet algemeen pensioenfonds introduceert het algemeen pensioenfonds (hierna: APF). Dat moet de keuzemogelijkheden voor werkgevers en werknemers om een kwalitatief hoogstaande en veilige pensioenuitvoering tegen een scherpe prijs te realiseren verbeteren.

KostenbesparingIn een APF kunnen meerdere pensioenregelingen in verschillende compartimenten gescheiden worden uitgevoerd. Dat is nodig vanwege de in snelheid toenemende consolidatie van pensioenfondsen. Door de invoering van de APF kunnen mogelijk schaalvoordelen (ook in de governance) worden gerealiseerd, waarmee bestuurlijke lasten en uitvoeringskosten kunnen worden beperkt. Dat is uiteraard in het belang van de deelnemers.

Betrokken partijenWerkgevers en werknemers wordt de ruimte gelaten om zelf de reikwijdte van hun collectiviteitkring te bepalen waarvoor een compartiment in een APF wordt ingericht. Ook behouden belanghebbenden, via het belanghebbendenorgaan, (mede)zeggenschap bij beslissingen die van invloed zijn op de pensioenregelingen die in hun compartiment zijn ondergebracht. Het bestuur is, net als in elk ander pensioenfonds, verantwoordelijk voor een evenwichtige belangenafweging van alle betrokken partijen. Om niettemin potentiële belangentegenstellingen transparant te kunnen maken en adequaat te kunnen adresseren, wordt een juridische compartimentering van het vermogen in een APF voorgeschreven. Daarnaast worden nadere eisen gesteld aan de invulling van, onder meer, de uitvoeringsovereenkomst.

Oprichting APFOm het aanbod in potentie zo breed mogelijk te maken, wordt eenieder in de gelegenheid gesteld een vergunning voor het uitoefenen van het bedrijf van APF aan te vragen. Er worden niet bij voorbaat bedrijfsmodellen uitgesloten. Desondanks staat het APF uitsluitend open voor pensioenregelingen die thans zijn ondergebracht bij ondernemingspensioenfondsen, niet verplicht gestelde bedrijfstakpensioenfondsen en verplichte beroepspensioenregelingen. Een APF staat niet open voor regelingen die thans zijn ondergebracht bij verplichte bedrijfstakpensioenfondsen. Hiertoe worden artikelen uit de Pensioenwet aangepast.

Vervolg op de consultatierondeStaatssecretaris Klijnsma beoogde met de consultatie enerzijds de samenleving over de voorgestelde wetgeving te informeren en anderzijds ideeën te verzamelen voor eventuele geconstateerde tekortkomingen in het voorontwerp van wet en de memorie van toelichting. Op 25 februari eindigde de consultatietermijn. Thans worden de reacties door de ministeries beoordeeld en wordt bekeken of deze tot aanpassing van het voorontwerp moeten leiden. Daarna zal het voorontwerp ter advisering aan de Raad van State worden aangeboden.

Martijn RasPension [email protected]


In een APF kunnen meerdere pensioenregelingen in verschillende compartimenten gescheiden worden uitgevoerd

24

Toekomstbestendig risicoraamwerk


De diverse veranderingen in het pensioenstelsel, het verlies van vertrouwen in de sector, de hierdoor groeiende vraag naar meer transparantie en het beter beheersen van de organisatie en de processen zijn enkele van de ontwikkelingen die het spanningsveld rondom pensioen vergroten. Dit vergroot de noodzaak te komen tot een robuust en toekomstbestendig risicoraamwerk. De verantwoordelijkheid voor het inzichtelijk maken en houden van risico’s en voor het beheersen van die risico’s binnen een steeds complexer wordende pensioenketen ligt bij de pensioenfondsen en gedelegeerd ook bij de pensioenuitvoerders. Met de komst van FOCUS! twee jaar geleden speelt De Nederlandsche Bank (DNB) met het toezicht meer in op de uitdagingen van pensioenfondsen binnen het huidige tijdsgewricht.

Door FOCUS! is er meer aandacht voor de beoordeling van het ketenbrede risicomanagement, voor de wijze van sturing, voor de organisatiecultuur en voor de vraag of de verantwoordelijkheden binnen de pensioenketen in voldoende mate toereikend zijn en op de juiste manier worden belegd. Ook in de ‘Visie DNB toezicht 2014-2018’ wordt breed uitgemeten waarom juist een goed gedragen cultuur en een juiste governancestructuur belangrijke factoren zijn die bijdragen aan een toekomstbestendig risicoraamwerk.

Impact van FOCUS!De impact van FOCUS! op de pensioenketen is aanzienlijk. Het dwingt het bestuur van fondsen met een meer holistische blik naar het risicomanagement te kijken. Hierbij is het essentieel dat de verkokering van het risicomanagement wordt verdrongen en dat men vanuit de eerste lijn eigenaarschap neemt voor risicomanagement, zodat er een ketenbrede analyse kan ontstaan met uitgebalanceerde beheersmechanismen. FOCUS! kijkt niet meer afzonderlijk naar instellingen, maar hanteert een ‘instellingoverstijgende’ aanpak. Risicogovernance, gedrag en cultuur zijn aspecten die over de gehele breedte van de pensioenketen geïntegreerd moeten worden. Het pensioenfonds moet een risicoraamwerk neerzetten waarin de belangen van het fonds ook door de uitvoerder worden behartigd. Dit is een complexe uitdaging door de aanwezige ‘principle agent’-problematiek, waarin een pensioenuitvoerder doorgaans andere doelen nastreeft

dan een pensioenfonds. Juist daarom is het van essentieel belang dat pensioenfondsen het voortouw nemen in het delegeren van verantwoordelijkheden en een risicobereidheid vaststellen om aan de hand daarvan risico’s te kunnen monitoren en beheersen.

Van financiële parameters naar toezicht op houding en gedragMet de invoering van FOCUS! heeft een verschuiving plaatsgevonden van een op financiële parameters georiënteerd toezichtmodel, met slechts beperkte integraliteit, naar een toezichtmodel gefundeerd op onconventionele kwalitatieve elementen van het ketenbrede risicomanagement binnen pensioenfondsen en -uitvoerders. Hierbij valt te denken aan het beleggen van verantwoordelijkheden in een gestructureerde risicogovernance, aan cultuur en gedrag en aan ketenintegraliteit. Door haar uitgebreidere methodiek is DNB in staat om deze kwalitatieve aspecten bij pensioenfondsen en indirect bij pensioenuitvoerders te evalueren. Voor deze immateriële componenten moeten risicotoleranties gedefinieerd worden, zodat deze kunnen worden opgenomen in de interne controlesystemen binnen de keten.

Uit een vergelijkend benchmarkonderzoek onder Nederlandse pensioenfondsen, dat is uitgevoerd door Stefanie Ruys en Wikash Bansi, blijkt dat nog maar weinig pensioenfondsen en -uitvoerders bezig zijn om zich in te richten conform de vernieuwde toezichteisen van DNB.

26

Richting

Tone at the top

Inrichting

Verrichting

Technologie Mensen Proces

Operatie / Infrastructuur Governance

Strategie & Planning Compliance Rapportage

Risico Governance Bestuur Pensioenfonds

Risico Infrastructuur en Management

Risic

o Ei

gena

arsc

hap

Uitvoerder

Bestuursbureau / Uitvoerder

Ont

wik

kele

n en

Uitv

oere

n St

rate

gie

Ondersteunen en Continue Verbetering

Risico Typen

Identi-ficeren risico’s

Beoordeel & Evalueer risico’s

Risico Response

Opzet Bestaan en Testen Controls

Monitor, waarborgen & escalatie

Integratie Risico’s

Risico Infrastructuur System Reporting

Dat is zorgwekkend, nu is gebleken dat de genoemde factoren van essentieel belang zijn voor de gehele pensioenketen om toekomstbestendig te kunnen worden en te overleven.

De complexe omgeving van de pensioenketenDe afgelopen jaren hebben diverse significante veranderingen plaatsgevonden met grote impact op pensioenfondsen en -uitvoerders. De pensioenketen is geconfronteerd met een aanhoudende aanscherping van omgevingseisen en een exceptionele toename in complexiteit van het risicolandschap, die wordt veroorzaakt door onder andere flexibilisering, individualisering, veranderende kosten/rendement-structuren, weten regelgeving en transparantie omtrent het risicomanagement. Hierdoor is het steeds lastiger geworden om de verschillende elementen die het pensioenstelsel vormen, effectief en geïntegreerd te beïnvloeden.

Een risicoraamwerk dat aansluit op de doelstellingen en strategie van het pensioenfonds is essentieel voor toekomstbestendigheid. Het voldoen aan (strenge)

regelgeving is daarbij een hygiënefactor voor financiële instellingen. Het pensioenfonds moet een gezonde balans creëren tussen compliant zijn aan weten regelgeving en ruimte behouden om effectief te kunnen anticiperen op de veranderende omgeving en de behoeften van de stakeholders. Met behulp van nieuwe codes, beleid en aanbevelingen wordt de laatste jaren getracht om het risicomanagement bij pensioenfondsen te versterken. Als pensioenfondsen anticiperen op de veranderende omgeving en de veranderende behoeften van stakeholders en ervoor zorgen dat ze zijn voorbereid op (kwalitatieve) risicometingen, zullen zij krachtiger en weerbaarder zijn in tijden van stress.

Integraal risicoraamwerkStrategisch beleid, duidelijk ingebedde processen, verdeling van capaciteit, gelaagd beleggen van verantwoordelijkheden en een onafhankelijke toetsing zijn de kernelementen van een adequate risicogovernance, die de basis vormt voor een integraal risicoraamwerk. Bij de inrichting van risicomanagement moet rekening worden gehouden met de onderlinge samenhang van de verschillende risico’s. Een minimale maatstaf is een


zelflerende organisatie, die zich bewust is van de impact van verschillende risico’s en van de beheersing hiervan. Een zelflerende organisatie waarborgt tevens tijdige identificatie en beheersing van opkomende en nieuwe risico’s.

Om de structuur van het integrale risicomanagement van een pensioenfonds te illustreren, heeft Deloitte een piramide ontwikkeld als best practice (zie figuur). Deze piramide bestaat uit drie lagen:1. het Pensioenfondsbestuur dat de ‘Richting’ bepaalt;2. het Bestuursbureau dat de ‘Inrichting’ verwezenlijkt;3. de Uitvoeringsorganisatie die de ‘Verrichting’ vervult.

De grootste uitdaging ligt hier in het op één lijn krijgen van de verschillende organisaties en lagen daarbinnen in de pensioenketen. Een juiste balans tussen de doelstellingen van het pensioenfonds en die van de uitvoerders is de basis, waarbij cultuur en gedrag de ‘linking pin’ zijn.

Pensioenfondsen en -uitvoerders met een sterke, duidelijke risicogovernance, balans en transparantie in de doelstellingen als onderdeel van de piramide dragen mede bij aan het herstel van vertrouwen in de pensioensector. Zij zijn beter in staat zich aan te passen aan veranderingen in een complexer wordende omgeving en kunnen sturen op de strategische en kernrisicogebieden van het pensioenfonds. Er moet overeenstemming ontstaan tussen de verschillende spelers binnen de keten, van het pensioenfondsbestuur tot de pensioenfondsorganisatie tot de pensioenuitvoerder tot de deelnemers.

Gedrag en cultuurDe samenstelling en het gewenste gedrag van het bestuur, het bestuursbureau en de commissies binnen pensioenfondsen krijgen in toenemende mate aandacht van DNB. Het DNB-onderzoek ‘Leading by example’1 is hier een goed voorbeeld van. In het onderzoek is specifiek gefocust op leiderschap, besluitvorming (intern en extern), communicatie en groepsdynamiek van de raad van toezicht en het pensioenfondsbestuur. Ook de Wet versterking bestuur pensioenfondsen2 is het resultaat van een toenemende behoefte om in te zetten op gedrag en competenties van bestuurders. Rollen, taken en bevoegdheden moeten voortaan duidelijk in

kaart worden gebracht. Daarnaast moet er onder andere meer rekening worden gehouden met gedragsmatige predisposities van bestuurders en managers. Dit hangt nauw samen met de heersende risicocultuur binnen de pensioenketen. Er moet gestart worden met het identificeren en formuleren van de kernelementen van de risicocultuur binnen de pensioenketen, zodat er sturingselementen benoemd kunnen worden om de risicocultuur te beïnvloeden. Sturing begint bij de aanwezigheid van een solide basis van hard controls. Deze kwantificeerbare beheersparameters mogen echter niet op zichzelf staan. Ze moeten samenhangen met het risicobewustzijn, de risicobereidheid en de risicocultuur binnen de waardeketen van het pensioenfonds. Met alleen hard controls wordt men niet gestimuleerd zelf na te denken en risicobewust te zijn. Het is slechts een van de middelen, ‘not the cure’. Daarnaast moet niet alleen gekeken worden of de financiële doelstellingen behaald zijn, maar vooral hoe deze behaald zijn. Door in het performance management mee te nemen of de genomen risico’s in lijn zijn met de risicobereidheid van het pensioenfonds en het gewenste risicoprofiel van de deelnemers, kan er een effectief sturingsmechanisme ontstaan waarmee de risicocultuur beïnvloed kan worden. Hierbij valt ook te denken aan duidelijkheid door een gelaagde governance en daardoor een duidelijke rolverdeling door het voeren van de dialoog door de keten heen met wederzijds begrip en bewustzijn.

RisicobereidheidVoor een effectief risicomanagementraamwerk moet de risicobereidheid expliciet gemaakt worden in bijvoorbeeld de risk appetite statement. Ten eerste beschrijft de risk

Door haar uitgebreidere methodiek is DNB in staat om deze kwalitatieve aspecten bij pensioenfondsen en indirect bij pensioenuitvoerders te evalueren

1 De Nederlandsche Bank,

Leading by example, gedrag

in de bestuurskamers van

financiële instellingen, maart

2013.2 Wijziging van de Pensioenwet

en enige andere wetten in

verband met versterking van

het bestuur bij pensioenfondsen

en enige andere wijzigingen

(Wet versterking bestuur

pensioenfondsen).

28

appetite statement de door het bestuur vastgestelde buitendijken van de risico’s door middel van toleranties en limieten. Daarnaast beschrijft de risk appetite statement de wijze waarop bewaakt wordt dat de risico’s niet buiten deze grenzen treden en dus beheerst kunnen worden. Deze risicobereidheid zal uiteindelijk ook geïntegreerd en doorvertaald moeten worden in de gehele pensioenketen. Door de risicobereidheid en de key risk indicators periodiek te herijken op basis van veranderende doelstellingen, marktontwikkelingen, wijzigingen in de omgeving of weten regelgeving, zorgt een bestuur ervoor dat de organisatie altijd een actuele leidraad heeft om haar risicostrategie aan te passen. Het zal hierdoor duidelijker worden wanneer grenzen overschreden worden en wanneer (mitigerende) maatregelen getroffen moeten worden. De DNB zal de komende jaren ook hier strenger op gaan toezien. Uit de ‘Visie DNB toezicht 2014-2018’ is op te maken dat DNB hoog inzet op het herstel van vertrouwen in het pensioenstelsel. Hierbij wordt de inachtneming van het gewenste risicoprofiel van de deelnemers specifiek genoemd. Een risk appetite statement is hierbij van essentieel belang, omdat het expliciet maakt welke risico’s in welke mate wenselijk zijn en of die passen bij de doelstellingen van het pensioenfonds.

Versterking toekomstig risicomanagementHet Nine Principles Model van Deloitte heeft al voor de komst van FOCUS! rekening gehouden met de componenten die noodzakelijk zijn voor een toekomstbestendig risicoraamwerk. Pensioenfondsen zitten in een veranderende omgeving, waarin het toezicht, de informatielijnen en de functionele lijnen toenemen en complexer worden. Op een aantal significante uitdagingen moet worden ingegaan bij het vormgeven van een toekomstbestendig risicoraamwerk. Structurering en cascadering van het risico-universum zijn binnen pensioenfondsen vereist, middels borging van de integraliteit tussen de risicogebieden en -thema’s. Om deze risicogebieden en -thema’s inzichtelijk te maken moeten de strategische risico’s worden gekoppeld aan het huidige (FIRM-)risicoraamwerk. Een dergelijke structurering kan bijdragen aan scenario-analyses en het prioriteren van de risico’s.

Door het prioriteren van de risico’s vindt er een herinrichting plaats van het risicoraamwerk. Die herinrichting maakt dat het pensioenfondsbestuur het fonds beter kan sturen. Door de gelaagdheid van de informatievoorziening te koppelen aan de functionele lagen binnen het fonds kan het pensioenfondsbestuur meer nadruk leggen op de integrale en strategische risicobeslissingen.

De (her)allocatie van verantwoordelijkheden binnen het pensioenfonds en naar de externe pensioenketen moet gelinkt zijn met een duidelijk risico-eigenaarschap. Naast het protocolleren van deze rollen en verantwoordelijkheden in mandaten en overeenkomsten moet de daaraan gerelateerde informatieverschaffing voldoen aan de sturingsbehoefte en de verantwoordingsbehoefte. De kern van de nieuwe structuur moet het bestuur empoweren naar de pensioenfondsorganisatie en vice versa. Het vernieuwde risicoraamwerk met heldere rollen en verantwoordelijkheden biedt de gehele pensioenketen meer duidelijkheid en bewustzijn, maakt het mogelijk om directer overschreden toleranties te melden en zorgt voor een verhoogde reactiesnelheid op externe ontwikkelingen en risico’s in de toekomst. De vraag naar meer transparantie over de doelstellingen en strategische overwegingen zorgt ervoor dat pensioenfondsen het risicoraamwerk moeten herijken.

Stefanie RuysAudit - Risk [email protected]

Wikash BansiAudit - Risk [email protected]

Lukas MeekAudit - Risk [email protected]


Ralphs’ Column

“Bedrijven kopen risico pensioen af met EUR 3 mrd”, zo kopte het Financieele Dagblad van 31 maart 2014. Van de grootste vijftig bedrijven met een eigen pensioenfonds heeft inmiddels 40% een zogenoemde defined contribution (DC)-regeling. De afkoopsom van drie miljard was nodig om de risico’s af te wentelen op de pensioenuitvoerder (en daarmee op de deelnemers van de regeling), die het voortaan dus moet doen met een vaste premie. De verwachting is dat deze trend van ‘DB-exits’ nog wel even doorzet, zodat DB-regelingen voor de nieuwe opbouw op termijn net zo zeldzaam zullen worden als eindloonregelingen vandaag de dag.

Het platform van internationale boekhoudregels (IFRS) wordt steevast als oorzaak genoemd van deze verschuiving van DB naar DC. Twee vragen komen dan op. Is IFRS daadwerkelijk de oorzaak (1) en indien dat zo is, is dat dan erg (2)?

Ik ken geen wetenschappelijk onderzoek dat heeft getracht uit te vinden wat de primaire oorzaak is van het afstappen van DB. Naast boekhoudregels kan onder meer de wens tot risicomitigatie worden genoemd. De werkgever wil dan feitelijk niet langer aangesproken worden in tijden van dekkingstekorten en laat zijn aanspraak op premiekortingen eveneens vallen. Eigenlijk ontstaat hier een hedge van pensioenkasstroomrisico’s. Indien dit hedge-streven de boventoon voert, zou deze verandering ook onder Dutch GAAP hebben plaatsgevonden. Immers, premiekasstromen worden niet beïnvloed door de door de werkgever gebruikte boekhoudstandaard.

De tweede vraag zou ik ontkennend willen beantwoorden als door toepassing van IFRS een beter inzicht is verkregen in de risico’s van de pensioenregeling en in de afweging

wie deze risico’s dan wel zou moeten dragen: de werkgever of de deelnemer(s)? Dan werkt IFRS dus feitelijk als een inductor: het zet een beweging in gang die later waarschijnlijk toch wel was ontstaan. Uiteraard is dit de versie waarachter de IASB (de opsteller van IFRS) zich graag wenst te verschuilen.

De tweede vraag moet bevestigend worden beantwoord als de primaire reden tot het aanpassen van de contracten in een gewenste accountinguitkomst is gelegen. Hier wordt het registratiemiddel tot doel verheven. De werkgever wentelt dan geen risico’s af, omdat hij dit beleidsmatig het meest wenselijk acht; hij wil vooral een accountinguitkomst ‘regelen’ in de zin van een schone balans. In dit laatste geval zou deze werkgever de contracten niet hebben aangepast als hij volgens Dutch GAAP zou rapporteren. De inhoud van een arbeidsvoorwaarde wordt dan feitelijk afhankelijk van een boekhoudplatform.

Kortom, de verschillen tussen Dutch GAAP en IFRS zoals die sinds 2009 zijn ontstaan, geven aanleiding om de invloed van accountingstandaarden op het pensioencontract te onderzoeken. Er is één maar en dat is een ‘populatieprobleem’. Vele grote ondernemingen met eigen pensioenfondsen zitten nu eenmaal op IFRS. De vraag is of er nog een voldoende omvangrijke en vergelijkbare populatie onder Dutch-GAAP te vormen is. Maar goed, een beetje onderzoeker laat zich niet afschrikken door uitdagende omstandigheden. Wie deze schoen past, trekke hem aan. Ik fungeer graag als ‘inductor’ van dit onderzoek.

Ralph ter Hoeven

Van defined benefit naar defined exit: is IFRS inductor of kwade oorzaak?

30

Governance, Risk en Compliance geïntegreerd

Governance, risk en compliance (GRC) zijn termen die al jaren genoemd worden in de pensioensector. De huidige ontwikkelingen in het toezicht op de Nederlandse pensioensector hebben de aandacht voor deze drie thema’s en voor de samenhang daartussen enkel vergroot. Met de nieuwe toezichtaanpak van De Nederlandsche Bank (DNB), genaamd FOCUS!, is DNB meer nadruk gaan leggen op deze drie thema’s en op de samenhang tussen deze thema’s.


In dit artikel beschrijven we de drie verschillende thema’s en bespreken we de uitdagingen die een integraal GRC-model met zich meebrengt. Daarnaast beschrijven we de huidige status van GRC binnen de pensioensector en bieden we inzicht in de aanpak om te komen tot een toekomstbestendig en integraal raamwerk voor GRC.

GovernanceEen duidelijke afbakening van het thema governance is tot op heden een uitdaging gebleken en er zijn verschillende definities te vinden. De gemene deler tussen de verschillende definities is de verantwoordelijkheid die een fondsbestuur draagt voor het formuleren en uitvoeren van het beleid om de fondsdoelstellingen te bewerkstelligen. Binnen de governance van een pensioenfonds dient men ook andere belanghebbenden (of stakeholders) in acht te nemen. Pensioenfondsen hebben te maken met diverse stakeholders; enkele voorbeelden zijn de toezichthouder, werkgevers en werknemers.Om er zorg voor te dragen dat bij de inrichting van de governancestructuur van de pensioenketen geen onnodige complexiteit en stapeling van ‘governance layers’ ontstaat, moet het startpunt voor de inrichting van de governance het volgende te zijn: de governance moet het pensioenbestuur maximaal in staat stellen om

effectief te sturen op een beheerste uitvoering van de kernprocessen en -activiteiten.

Figuur 1 geeft de complexiteit binnen de pensioenketen weer. Om deze complexiteit beheersbaar te maken moet men GRC integraal benaderen.

RiskmanagementEen van de kerntaken van het fondsbestuur is het beheerst en integer uitvoeren van de strategische doelstellingen van het pensioenfonds. Riskmanagement speelt hierbij een cruciale rol. DNB verstaat onder riskmanagement een aantal activiteiten:• hetopstellenvandestrategieenhieraangekoppeld

het risicoprofiel en de risicobereidheid;• hetidentificerenvanrisico’s,diehetbehalenvande

doelstellingen kunnen bedreigen;• hetopstellenenimplementerenvanhetbeleidvoor

risicobeheersing;• deuitvoering,monitoringenterugkoppelingover

risico’s en beheersmaatregelen.

Voor het fondsbestuur is het cruciaal dat het vanuit zijn strategische doelstellingen focust op de juiste zaken (beleid) en dat het daarnaast deze zaken op een

Accountant Uitvoerings-organisatie

Accountant Externe actuaris

Toezicht-houders

Belang-hebbenden

Fonds Bestuur

Advies

ISAE

Acc. Verklaring basisgegevens Acc. Verklaring

jaarcijfers

Grondslagen jaarrekening

Audit instructies

Review controle

Acc. Verklaring en man. letter

Fin. & Act. rapportage

SLA en mandaat

Wet- en regelgeving

Voorlichting

Communicatie (incl. UPO’s)

Periodieke verantwoording

Pensioenstaten

Informatie mbt toezichtthema’s

Controle en rapportage

Advies

Beleids- verantwoording

Accountant Externe actuaris

Actuariële analyse

Actuariële rapportage

Werkgevers en

Werknemers

Commissies en Adviseurs

Uitvoerings -organisaties

Accountant Uitvoerings

-organisaties

Figuur 1: complexiteit governance en verantwoordingsstructuren binnen pensioenketen

32

Compliant met weten regelgeving

Heeft het fondsbestuur toereikende

stuurinformatie

beschikbaar?

Worden deze keuzes binnen

totale

pensioenketen juist tot

uitvoering gebracht?

Welke strategische

keuzes heeft ‘t

Pensioenfonds gemaakt?

Figuur 2: Deloitte Nine Principles-model voor inrichten GRC

Figuur 3: ‘shift change’: benader governance, risk en compliance integraal

Richting

Tone at the top

Inrichting

Verrichting

Technologie Mensen Proces

Operatie / Infrastructuur Governance

Strategie & Planning Compliance Rapportage

Risico Governance Bestuur Pensioenfonds

Risico Infrastructuur en Management

Risic

o Ei

gena

arsc

hap

Uitvoerder

Bestuursbureau / Uitvoerder

Ont

wik

kele

n en

Uitv

oere

n St

rate

gie

Ondersteunen en Continue Verbetering

Risico Typen

Identi-ficeren risico’s

Beoordeel & Evalueer risico’s

Risico Response

Opzet Bestaan en Testen Controls

Monitor, waarborgen & escalatie

Integratie Risico’s

Definitie van Risicomanagement

Risico Raamwerk

Rollen & Verantwoordelijkheden

Transparantie

Uitvoerend Management

Risico Infrastructuur

Verdedigingslinies

Primaire Bedrijfsuitvoering

Ondersteunende Diensten

Risk Appetite

Risk Appetite / Governance

Risk Governance

Risk Governance / Cultuur

Integrated Reporting

Regulatory & System Reporting

Alignment Uitbesteding

Uitbestede processen

Datakwaliteit


goede wijze uitvoert (riskmanagement). De eerder omschreven complexiteit in de pensioenketen speelt hierin een belangrijke rol. Zo is er de relatie tussen het pensioenfonds en zijn externe uitvoerder. Het riskmanagement bij deze externe uitvoerder is vaak opgehangen aan zijn eigen (commerciële) doelstellingen, terwijl het riskmanagement van het fonds is aangesloten op de strategische doelstellingen van het fonds. Vaak liggen deze doelstellingen niet volledig in lijn met elkaar, waardoor er een ‘principaalagent’-relatie ontstaat. Naast diverse belangen tussen stakeholders ontstaat er ook een informatie-asymmetrie.Het pensioenfondsbestuur moet de bouwstenen van een goed riskmanagement formuleren, zodat langs deze lijnen het riskmanagement in de gehele pensioenketen kan worden ingericht. Figuur 2 laat een van de bouwstenen zien vanuit richting, inrichting en verrichting.

ComplianceEen toenemende stroom aan weten regelgeving zorgt ervoor dat pensioenfondsen worden geconfronteerd met vraagstukken op het gebied van compliance. Deze aanscherping van de wettelijke kaders waarbinnen het pensioenfonds moet opereren, zorgt voor een toenemende focus op compliance, vanuit zowel nationaal als internationaal toezicht. Niet al deze nieuwe weten regelgeving heeft direct effect op het pensioenfonds, maar wel op de pensioenketen. Het fondsbestuur krijgt door deze ontwikkeling van weten regelgeving in toenemende mate verantwoordelijkheid voor de gehele pensioenketen.Het voldoen aan weten regelgeving is een hygiënefactor voor het fondsbestuur en geen doel op zich, maar het raakt de pensioenketen op verschillende plekken. Een integrale aanpak van governance, risk en compliance zorgt ervoor dat het pensioenbestuur compliant is met de nodige weten regelgeving. ConclusieDe Nederlandse pensioensector wordt geconfronteerd met een groot aantal uitdagingen, zoals een toenemend toezicht op nationaal en Europees niveau. Een effectieve inrichting van de pensioenketen stelt het pensioenfondsbestuur in staat om deze uitdagingen het hoofd te bieden. Een integrale benadering van

governance, risk en compliance draagt bij aan de effectieve inrichting en beheersing van de gehele pensioenketen.

Status GRC in de huidige pensioensectorAfgelopen jaren is er meer focus gekomen op de pensioenketen en de beheersing van de gehele pensioenketen. Het belang van een goede governance om de keten te beheersen is erkend in de pensioensector. Sinds 2009 hebben de auteurs van dit artikel het GRC-model beoordeeld van ruim vijftig pensioenfondsen. Figuur 4 geeft inzicht in de belangrijkste ontwikkelgebieden op basis van deze beoordelingen.

Figuur 4 laat zien dat de verschillende pensioenfondsen voldoen aan de geldende weten regelgeving, maar dat ze lang niet overal voldoen aan het verwachte of vereiste niveau van de verschillende stakeholders. De analyse laat duidelijk zien dat een ontwikkelinspanning nodig is.• Risicogovernance:In de praktijk blijken veel

pensioenfondsen te worstelen met een juiste inrichting van de governance in de pensioenketen. Vaak komen deze weeffouten voort uit historische governancemodellen en is het huidige governancemodel doorontwikkeld op basis van dit historische model. Daarnaast wordt het eerder omschreven ‘principaalagent’-probleem onvoldoende aangekaart in de huidige governancestructuren. Het pensioenfonds ziet de uitvoeringsorganisatie vaak als een verlengstuk van de eigen organisatie.

Een integrale aanpak van governance, risk en compliance zorgt ervoor dat het pensioenfondsbestuur compliant is met de nodige weten regelgeving

34

• Risico-infrastructuuren-toezicht: Dit onderdeel focust op de doorvertaling van de strategische risico’s in de pensioenketen en de wijze waarop het bestuursbureau toeziet op een juiste uitvoering door de uitvoerder. De doorvertaling van de risico’s focust momenteel voornamelijk op de risico’s die gelieerd zijn aan vermogensbeheer, waardoor er onvoldoende focus is voor niet-financiële risico’s.

• Risico-eigenaarschap: Het risico-eigenaarschap is van belang voor de wijze waarop riskmanagement is gekoppeld aan governance. Binnen de Nederlandse pensioensector is een trend te zien waarbij eigenaarschap meer wordt vastgelegd dan informeel georganiseerd. Doordat veel pensioenfondsen bij de inrichting nog voornamelijk gebruikmaken van het FIRM-risico als uitgangspunt, ontbreekt vaak het verband tussen de verschillende risicogroepen. De verschillende ontwikkelingen vanuit toezicht en de verhoogde eisen van stakeholders zorgen ervoor dat een toekomstbestendige en schaalbare inrichting van governance, risk en compliance vereist is.

Een toekomstbestendig GRC in de pensioensectorEen toekomstbestendig en schaalbaar GRC-model is van belang voor pensioenfondsen en moet hoog op de agenda staan. Door het GRC-model op een juiste wijze in te richten borgt het pensioenfondsbestuur een gecontroleerde uitvoering van de activiteiten door de gehele pensioenketen heen. Om te komen tot een dergelijk GRC-model dient men de volgende punten in acht te nemen:• Hanteer de juiste startpunten: Het juiste startpunt

is cruciaal in de discussie over de inrichting van een toereikend GRC-model. Een eerste stap is het bereiken van consensus binnen de gehele pensioenketen over de belangrijkste uitgangspunten.

Het is van belang dat men zich ervan bewust is dat er binnen de pensioenketen sprake is van meerdere klant-leveranciersrelaties. Hierbij is het cruciaal dat men in ogenschouw neemt dat de doelstellingen van de verschillende partijen niet altijd in lijn zijn met de doelstellingen van het pensioenfonds.

• Consensus over basisprincipes voor inrichting: Het lijkt basaal om dit als belangrijk uitgangspunt te hanteren. Het formuleren van basisprincipes (antwoord op de basisvragen) stelt het pensioenfondsbestuur in staat een beeld te krijgen van wensen, eisen, mogelijkheden en onmogelijkheden binnen het GRC-model. Deze kunnen op hun beurt weer worden doorvertaald naar inrichtingsprincipes.

• Gemeenschappelijke thema’s als startpunt: De gemeenschappelijke thema’s in governance, risk en compliance dienen het startpunt te zijn voor de ontwikkeling en herijking van het integrale GRC-model. Hierbij moet men de wettelijke kaders onderbrengen bij onderdelen van governance en/of risk, aangezien compliance een belangrijke hygiënefactor is en blijft.

Evert van der SteenAudit - Financial Risk [email protected]

Dick Peters Audit - Financial Risk [email protected]

Het fondsbestuur moet vanuit zijn strategische doelstellingen focussen op de juiste zaken (beleid) en deze zaken op een goede wijze uitvoeren (riskmanagement)

1601

908

21

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not provide services to clients. Please see www.deloitte.nl/about for a more detailed description of DTTL and its member firms.

© 2014 Deloitte The Netherlands

Colofon Pensioen. is het kwartaalmagazine van Deloitte over actuariële, financiële, juridische, fiscale en verzekeringsaspecten van pensioen.

RedactieRobert-Jan Hamersma,Deloitte Financial Advisory ServicesCarl Luijken,Deloiite Financial Advisory servicesJohannes Penon,Deloitte AccountantsHarm Prinsen,Deloitte BelastingadviseursRoderik van Sluis,Deloitte Belastingadviseurs

ContactadresT.a.v. Marcia van Zundert-OossePostbus 20313000 CA Rotterdamtelefoon: 088 288 2303e-mail: [email protected]

Coördinatie & realisatieDeloitte Communicatie, BCCR

EindredactiePaulina Damen, Willemstad

InterviewVincent Peeters

OntwerpBrand, Communications & Corporate Social Responsibility

FotografieSabine Bison, Bisonder ProductiesRotterdam

Aan dit nummer werkten meeWikash Bansi, Bart Gulicher, Bertine van Hoorn, Ralph ter Hoeven, Rob Huisman, Lukas Meek, Dick Peters, Martijn Ras, Stefanie Ruys en Evert van der Steen.

DrukwerkTuijtel, Hardinxveld-Giessendam

AbonnementWilt u dit magazine kosteloosontvangen? Gebruik dan bijgevoegde antwoordkaart of mail naar: [email protected].

ISSN: 1873 - 3921

Compliance standaarden

Huidige situatie

Vereist niveau

5

4

3

2

1

0

Risi

co e

igen

aars

chap

Risico Governance

Risico infrastructuur & Toezicht

Risico definitie

Raamwerk

Toezichtsorganen(intern)

BestuurPensioenfonds

Infrastructuurt.b.v. ketenregie

Risico commissie

Bestuur

Bureau

Rollen & verantwoordelijk-heden

Figuur 4: Benchmark rijpe pensioenfondsen


FSI valueSmaak geven aan kennis en expertise

Wilt u snel en eenvoudig op de hoogte blijven van wat er speelt binnen de pensioensector? Dat kan met FSI value, hét online platform met waardevolle kennis en ervaring voor de financiële sector.

Thema’s uit de marktOp FSI value geeft Deloitte haar visie op drie belangrijke thema’s; regelgeving, groei en operational excellence. Via actuele publicaties en artikelen delen wij graag onze kennis met u.

Ga naar: www.deloitte.nl/fsivalue


Marc van Luijk & Dick Berlijn 'Hackers zijn lui. Als ze bij een ander ...

Documents

Transcript of Marc van Luijk & Dick Berlijn 'Hackers zijn lui. Als ze bij een ander ...