Stichting Pensioenfonds KAS BANK

Integriteitsbeleid

Januari 2017

2 / 31

Inhoudsopgave 1. Inleiding............................................................................................................................... 3

2. Doelstelling......................................................................................................................... 3

3. Organisatie van het pensioenfonds ......................................................................... 4

4. Reikwijdte van het integriteitsbeleid ....................................................................... 4

5. Integriteitsrisicoanalyse ................................................................................................ 5

6. Inbedding in integraal risicomanagement .......................................................... 19

7. Inbedding in de jaarlijkse zelfevaluatie ............................................................... 20

8. Verantwoording en toezicht ...................................................................................... 20

9. Bekendmaking beleid................................................................................................... 20

10. Inwerkingtreding beleid .............................................................................................. 20

Bijlage 1 Overzicht verbonden personen en insiders (2016) ............................. 21

3 / 31

1. Inleiding

Integriteit is een wezenlijk kenmerk van een professionele en betrouwbare organisatie.

Het bevordert niet alleen de efficiëntie, de interne transparantie en samenwerking,

maar ook het vertrouwen.

Het bestuur van Stichting Pensioenfonds KASBANK (hierna: SPKB of het

pensioenfonds) heeft op grond van artikel 19 van het Besluit Financieel Toetsingskader

Pensioenfondsen (hierna: Besluit FTK) een integriteitsbeleid vastgesteld waarin zij het

beleid beschrijft om te komen tot beheersing van de integriteitsrisico’s die het

pensioenfonds loopt.

Het integriteitsbeleid is in dit document beschreven. Dit document bevat als onderdeel

van het integriteitsbeleid ook de procedures en maatregelen met betrekking tot het

tegengaan van belangenverstrengeling als bedoeld in artikel 20 van het Besluit FTK.

Het integriteitsbeleid wordt na elke relevante wijziging van omstandigheden

geactualiseerd, maar in ieder geval na de systematische integriteitsrisicoanalyse die

het pensioenfonds periodiek uitvoert.

2. Doelstelling

Doelstelling van het integriteitsbeleid is het stimuleren dat aan het pensioenfonds

‘verbonden personen’ op alle niveaus handelen in overeenstemming met maatschappelijk

geaccepteerde waarden en normen in het algemeen, met de specifieke waarden en

normen die gelden voor het pensioenfonds in het bijzonder en uiteraard met de

toepasselijke wet- en regelgeving.

Tevens is het doel van het integriteitsbeleid om inzicht te verschaffen aan

interne- en externe partijen over de onderkenning van integriteitsrisico’s en de

genomen beheersmaatregelen.

Het beleid van het pensioenfonds is er op gericht om integriteitsrisico’s zoveel mogelijk

te beperken en zo snel mogelijk adequate maatregelen te nemen mocht zich (een kans

op het ontstaan van) een integriteitsrisico voordoen. Dit geldt zowel voor de eigen

organisatie als voor uitbestedingsrelaties en overige tegenpartijen. Integriteitsbeleid is

daarmee de pijler onder een van de doelstellingen van het pensioenfonds: het hebben

van een integere bedrijfsvoering.

Het integriteitsbeleid wordt gekoppeld aan de gedragscode. Hierdoor ontstaat één set

aan waarden en normen, die jaarlijks door bestuurs- en commissieleden en externe

adviseurs wordt onderschreven.

4 / 31

3. Organisatie van het pensioenfonds

De organisatie van het pensioenfonds heeft invloed op de specifieke

integriteitsrisico’s die relevant zijn voor het pensioenfonds. Daarnaast spelen de

mate en wijze van uitbesteding van diverse activiteiten daarbij een belangrijke rol.

De organisatie van het pensioenfonds ziet er op hoofdlijnen als volgt uit:

1. SPKB heeft een bestuur bestaande uit zes leden, drie werknemers- en drie werkgeversvertegenwoordigers.

2. De voorzitter en secretaris van het bestuur vormen samen het dagelijks bestuur.

3. Het bestuur heeft de volgende vaste commissies ingericht:

• Beleggingscommissie Communicatiecommissie

Financiële commissie

Het bestuur kan, in aanvulling op de bestaande vaste commissies, ad hoc

commissies vormen als de actualiteit daar aanleiding toe geeft.

4. SPKB beschikt over een Verantwoordingsorgaan.

5. Het intern toezicht wordt uitgeoefend door de Visitatiecommissie.

6. SPKB heeft pensioenadministratie uitbesteed aan derden en maakt gebruik

van externe adviseurs.

Het pensioenfonds blijft te allen tijde verantwoordelijk voor de beheersing

van integriteitsrisico’s, ook bij uitbestede werkzaamheden.

4. Reikwijdte van het integriteitsbeleid

In beginsel zijn alle personen die werkzaam zijn voor SPKB verbonden personen en

is dit integriteitsbeleid op hen van toepassing. Het bestuur heeft de volgende

personen als verbonden personen aangemerkt:

a. leden van het bestuur;

b. leden van de Visitatie Commissie;

c. leden van het verantwoordingsorgaan;

d. alle medewerkers van SPKB, onafhankelijk van de duur waarvoor of de juridische

basis waarop zij werkzaam zijn;

e. andere (categorieën) personen die zijn aangewezen door het bestuur, zoals

ingehuurde derden.

Een overzicht van alle verbonden personen en insiders is toegevoegd als

bijlage 1. Deze lijst wordt periodiek geactualiseerd.

De medewerkers van de uitbestedingsrelaties van het pensioenfonds vallen in beginsel

onder de regels die gelden voor de desbetreffende uitbestedingsrelatie. Het

pensioenfonds vergewist zich van de normen die de uitbestedingsrelaties met

betrekking tot integriteit hebben vastgesteld en stelt vast of deze in de gewenste mate

voldoen aan de regels genoemd in dit integriteitsbeleid.

5 / 31

5. Integriteitsrisicoanalyse

SPKB wordt, bij het beheer van de pensioenverplichtingen en de financiering daarvan, geconfronteerd met (integriteits)risico’s. De belangrijkste doelstelling van SPKB is het nakomen van de pensioentoezeggingen. Vanuit dit perspectief is het risicomanagement een belangrijk onderwerp waaraan SPKB veel waarde hecht. Met risicomanagement wordt hier

bedoeld dat er enerzijds inzicht is in de (mogelijke) integriteitsrisico’s die SPKB loopt. Anderzijds is er zicht op beheersmaatregelen en de effectiviteit daarvan. Met dit inzicht krijgt het bestuur sturing en blijft het in control. Het bestuur is uiteindelijk verantwoordelijk voor het risicomanagement. Zij wordt hierin ondersteund door de Financiële commissie

SPKB heeft het risicomanagement vormgegeven door het opstellen van een inhoudelijk risicokader en een risicomanagement proces. Belangrijke elementen zijn: - Met het bestuur wordt periodiek een risicoanalyse uitgevoerd met als doel het

vaststellen van het risicoprofiel en de risicobereidheid. - Risico’s zijn geïdentificeerd en het bestuur heeft het risicobeleid vastgesteld. Dit beleid

is gebaseerd op FIRM (Financiële Instellingen Risicoanalyse Methode) van DNB en aangepast naar fonds specifieke kenmerken.

- SPKB beschikt over een handboek waarin een systematische beschrijving is opgenomen van de administratieve processen en procedures die binnen SPKB van toepassing zijn, waaronder het risicomanagement proces. De interne controle is

zoveel mogelijk gewaarborgd door onder andere de volgende maatregelen:

- het beschermen van systemen en eigendommen door middel van procuratieregelingen, toegangsbeveiliging, beleggingsmandaten en de daarbij te hanteren benchmarks;

- het aanbrengen van functiescheidingen;

- het toepassen van het vier-ogenprincipe, bijvoorbeeld bij de ‘handmatige’

mutaties in de administratie;

- het afbakenen van bevoegdheden door het beperken van het aantal bevoegdheden

per persoon en van het aantal personen per bevoegdheid;

- periodieke managementinformatie. - Het risicomanagement proces wordt continu onderhouden. Dit is de risicocyclus. Dit

houdt in dat de risico’s iedere keer het proces van identificatie, meting, monitoring en analyse, controle en bijsturing door het bestuur volgen wanneer er ontwikkelingen

optreden ten aanzien van een risico.

- Voor alle geïdentificeerde risico’s worden de beheersmaatregelen benoemd. Wat resteert, is een netto risico dat acceptabel en beheersbaar is voor SPKB. Ontwikkelingen kunnen ervoor zorgen dat het bruto risico toeneemt waardoor beheersmaatregelen herzien moeten worden om het netto risico op aanvaardbaar niveau te krijgen.

- Het risicomanagement proces wordt bewaakt en begeleid door de Financiële Commissie

- Risico’s worden gecommuniceerd naar externe partijen en deelnemers.

- Jaarlijks wordt het risicomanagementbeleid en -proces geëvalueerd.

Onder integriteitrisico wordt in dit integriteitsbeleid verstaan: het risico dat de

integriteit van het pensioenfonds dan wel het financiële stelsel wordt beïnvloed als gevolg van niet integere, onethische gedragingen van het pensioenfonds, medewerkers dan wel van de leiding in het kader van wet- en regelgeving en maatschappelijke en door het pensioenfonds opgestelde normen.

SPKB onderkent de volgende integriteitsrisico’s:

Belangenverstrengeling

Benadeling derden

Voorwetenschap en marktmanipulatie

Witwassen

6 / 31

Terrorismefinanciering

Onoorbaar handelen

Uitbestedingsrisicio

Operationele risico’s

Fraude

Juridische risico’s

Risico’s voortkomend uit onwetendheid

Cyber crime

De genoemde risico’s worden hierna verder uitgewerkt. Daarnaast wordt per risico

aangegeven welke maatregelen zijn genomen om - zoveel als mogelijk - de risico’s te

mitigeren dan wel te voorkomen. Tot slot worden indien en voor zover van

toepassing aanvullende acties in kaart gebracht om de betreffende risico’s op het

gewenste niveau te brengen.

5.1. Risico op Belangenverstrengeling

5.1.1. Algemeen

SPKB voert jaarlijks een risicoanalyse uit op het gebied van belangenverstrengeling.

Op basis van de uitkomsten van de risicoanalyse heeft SPKB regelingen en beleid

opgesteld. Tevens heeft SPKB op basis van de uitkomsten van de risicoanalyse, beleid

op belangenverstrengeling ten aanzien van de benoeming van bestuursleden

opgesteld. Dit beleid wordt gecommuniceerd aan alle betrokkenen en periodiek

geëvalueerd.

Huidige beheersmaatregelen • Gedragscode

SPKB beschikt over een gedragscode die aan verbonden personen voorschriften

geeft ter voorkoming van belangenconflicten en van misbruik van bij het

pensioenfonds aanwezige informatie. De gedragscode wordt aan alle aan het

pensioenfonds verbonden personen uitgereikt. Nieuwe verbonden personen

tekenen bij indiensttreding voor ontvangst en kennisname van de gedragscode.

Tevens moet iedere verbonden persoon jaarlijks verklaren dat hij zich in de

voorgaande periode heeft gehouden aan de

gedragscode en voor komend jaar zal houden aan de gedragscode. Bij het niet langer

verbonden zijn aan het fonds blijven de uit de gedragscode geldende normen van

toepassing op de verbonden persoon, voor zover dat uit hun aard voortvloeit. De

naleving van de gedragscode wordt getoetst door de compliance officer. Ter

waarborging van de onafhankelijkheid, zowel in termen van uitoefening als

positionering, heeft het bestuur ervoor gekozen om deze functie extern te beleggen.

Door het geven van voorlichting aan verbonden personen wordt gewerkt aan

bewustwording van het omgaan met de gedragscode. Daarmee wordt bereikt dat de

gedragscode ook inhoudelijk bekend is bij alle verbonden personen.

• Incidentenregeling

SPKB beschikt over een incidentenregeling waarin is aangegeven welke stappen

gevolgd worden als het vermoeden bestaat dat er sprake is van een incident

binnen het pensioenfonds. Doel van deze regeling is het voorkomen van schade

aan de beheerste en integere bedrijfsvoering en goede naam van het

pensioenfonds, alsmede het beperken van mogelijke gevolgschade.

• Klokkenluidersregeling

7 / 31

In de klokkenluidersregeling van SPKB (onderdeel van de gedragscode) is de

procedure vastgelegd voor het melden en afhandelen van (potentiële) misstanden

en zijn waarborgen opgenomen voor de bescherming van de verbonden persoon

(i.c. de klokkenluider), die te goeder trouw melding maakt van (potentiële)

misstanden.

• Regeling ongewenst gedrag

De Regeling ongewenst gedrag op het werk voor pensioenfondsen (onderdeel

van de gedragscode) beoogt verbonden personen bescherming te bieden tegen

ongewenste omgangsvormen en kwetsend gedrag van andere verbonden

personen van SPA. Uitingen van ongewenst gedrag kunnen zowel fysiek als

verbaal van aard zijn en behelzen bijvoorbeeld seksuele intimidatie, agressie,

geweld, discriminatie en pesten. De Regeling ongewenst gedrag op het werk

bevat een procedure voor de zorgvuldige behandeling van dergelijke klachten.

• Bijhouden en publiceren van nevenfuncties

In het bestuursverslag van het pensioenfonds, dat gepubliceerd wordt op de

website van het pensioenfonds, worden de nevenfuncties van de bestuursleden en

de leden van de Raad van Toezicht gepubliceerd. Dit overzicht van nevenfuncties

wordt jaarlijks geactualiseerd. Een overzicht van nevenfuncties wordt permanent

bijgehouden door het bestuur.

• Jaarlijkse risicoanalyse

Jaarlijks voert het bestuur een risicoanalyse, inclusief het evalueren van het beleid.

Het thema belangenverstrengeling is per 2016 een vast onderdeel van de

zelfevaluatie van het bestuur.

• Opleidingsactiviteiten

In de opleidingsactiviteiten van het bestuur wordt aandacht besteed aan het thema

belangenverstrengeling. Bovendien is het thema belangenverstrengeling een vast

onderdeel van de periodieke zelfevaluatie van het bestuur en van de Visitatie

Commissie.

• Toetsing van kandidaat-bestuursleden op de mogelijke (schijn) van

belangenverstrengeling aan de hand van onder meer de volgende aspecten:

a. een eventueel bestaande hiërarchische verhouding.

b. een (kandidaat) bestuurslid is werkzaam bij een zakelijke relatie van

het pensioenfonds of een afdeling van de aangesloten ondernemingen

die direct werkzaamheden uitvoert voor het pensioenfonds.

c. overige redenen waardoor zich een mogelijke (schijn van)

belangenverstrengeling zich kan voordoen (naar het oordeel van de

voordrachtscommissie).

Mocht er na benoeming toch een situatie ontstaan van mogelijke

belangenverstrengeling, dan kan de betreffende persoon zich tijdelijk voor het

bepaalde onderwerp terugtrekken.

5.1.2. Tussen pensioenfonds en werkgever

Het risico op belangenverstrengeling tussen pensioenfonds en werkgever (met inbegrip

van de schijn op belangenverstrengeling) wordt door het bestuur gedefinieerd als het

risico dat het belang van de werkgever als stakeholder, anders dan die van het

pensioenfonds, zwaarder meegewogen wordt in de besluitvorming van het

pensioenfonds. Doel van de beheersing van het risico belangenverstrengeling tussen

pensioenfonds en werkgever is het voorkomen van financiële en/of reputatie schade

voor SPKB. Financiële schade kan ontstaan door onzuivere besluitvorming binnen het

pensioenfondsbestuur of de organen, vanwege belangenverstrengeling.

8 / 31

Uitgangspunt voor SPKB is het tegengaan of voorkomen van mogelijke

belangenverstrengeling bij personen die in hun dagelijkse werkzaamheden direct of

indirect invloed (kunnen) uitoefenen op de besluitvorming van het pensioenfonds en

over de uitbestede werkzaamheden.

Voor SPKB geldt dat een goede beheersing van het risico belangenverstrengeling tussen

pensioenfonds en werkgever essentieel is, met name omdat de uitbesteding deels binnen

KASBANK plaatsvindt. Als gevolg van de overgang van verzekerd contract naar eigen

beheer is het bruto risico op belangenverstrengeling tussen pensioenfonds en werkgever

verlaagd van hoog naar aanzienlijk.

Scenario’s

Het risico op belangenverstrengeling tussen pensioenfonds en werkgever kan zich

op de volgende gebieden voordoen:

• Het belang van het pensioenfonds is niet gelijk aan het belang van de werkgever

als sponsor (stakeholder). Het bestuur neemt besluiten waarbij onvoldoende

rekening is gehouden met de belangen van de deelnemers, slapers en

gepensioneerden.

• Bestuursleden, beleidsbepalers en medewerkers bestuursbureau worden beïnvloed

door derden om een ander belang dan van het pensioenfonds na te streven.

Huidige beheersmaatregelen

• Het bestuur dient zich te bij de vervulling van zijn taak richten naar de belangen

van de bij het pensioenfonds betrokken deelnemers, slapers en gepensioneerden.

Hierbij dient

het bestuur ervoor te zorgen dat dezen zich door hen op een evenwichtige wijze

vertegenwoordigd voelen. Indien een bestuurslid van mening is dat er sprake kan

zijn van een (schijn van) belangenverstrengeling op een bepaald gebied, dan meldt

de betreffende bestuurder dit voorafgaande aan het bespreken van dit onderwerp.

Hiermee wordt het voor het bestuur duidelijk dat de betreffende bestuurder naast

het belang van het fonds ook mogelijk nog een ander belang heeft (dubbele petten

problematiek). Het bestuur dan wel het betreffend bestuurslid besluit in bepaalde

situaties geen gebruik te maken van zijn stemrecht. Ook kan ervoor worden

gekozen om bij de bespreking van het betreffend onderwerp de vergadering niet bij

te wonen.

• Het bestuur legt verantwoording af aan het verantwoordingsorgaan over de

genomen besluiten en de wijze waarop de besluiten tot stand zijn gekomen.

• De Visitatiecommissie is medebeleidsbepaler en fungeert als sparringpartner

voor het bestuur. De raad van toezicht staat het bestuur bij met raad en daad.

Tevens zijn de leden van de Visitatiecommissie extern en onafhankelijk van

KASBANK.

• SPKB beschikt ook over een gedragscode, incidenten- en klokkenluidersregeling

en regeling ongewenst gedrag. Incidenten worden conform incidentenregeling

gemeld bij de compliance officer en – afhankelijk van het incident – bij DNB.

• Bij het nemen van bestuursbesluiten wordt altijd in ogenschouw genomen of

belangenverstrengeling aan de orde is. Evenwichtige belangenbehartiging wordt te

allen

tijde toegepast bij bestuursbesluiten. Dit wordt vastgelegd in de notulen.

• Periodiek vindt er overleg plaats door het bestuur en de werkgever.

• Het bestuur wint waar nodig extern deskundig advies in om een

evenwichtige belangenafweging mogelijk te maken.

9 / 31

5.2. Risico op benadeling derden

Onder het risico op benadeling van derden wordt verstaan het risico reputatieschade

en/of claims ontstaan als gevolg van het benadeling van derden door toedoen van het

pensioenfonds. Het kan daarbij gaan om handelingen van verbonden personen of juist

het nalaten van handelingen.

Scenario’s

Het risico op benadeling van derden kan zich op de volgende gebieden voordoen:

• SPKB neemt besluiten waarbij onvoldoende rekening is gehouden met de

belangen van werkgevers, (gewezen) deelnemers of pensioengerechtigden.

• SPKB sluit contracten zonder voldoende rekening te houden met de marktconformiteit

van deze contracten (kwaliteit, prijs).

Huidige beheersmaatregelen

• SPKB beschikt over een gedragscode, incidenten- en klokkenluidersregeling en

regeling ongewenst gedrag (laatstgenoemde regelingen zijn onderdeel van de

gedragscode).

• Basale integriteitsrisico's wordt voldoende door de compliance functie bewaakt.

• Bij het opstellen van het pensioenreglement let het pensioenfonds op de

begrijpelijkheid voor de deelnemer.

• Het bestuur legt verantwoording af aan het verantwoordingsorgaan over het beleid en

de wijze waarop dit beleid is uitgevoerd.

• De raad van toezicht bespreekt de bevindingen over het bestuurlijk functioneren

met het bestuur. Over de bevindingen legt de raad verantwoording af aan het

verantwoordingsorgaan en in het bestuursverslag van het pensioenfonds.

• In de statuten staat een klachten- en geschillenprocedure. Klachten en geschillen welke

tussen een deelnemer en SPKB ontstaan, worden door het dagelijks bestuur in

behandeling genomen. Indien intern het geschil niet kan worden opgelost zal arbitrage

worden gezocht. Het Verantwoordingsorgaan heeft daarnaast het recht advies uit te

brengen over - het vaststellen en wijzigen van een interne klachten- en

geschillenprocedure

• Bij het nemen van bestuursbesluiten wordt altijd in ogenschouw genomen of er door het

besluit mogelijk sprake is van benadeling van derden. Evenwichtige

belangenbehartiging wordt te allen tijde toegepast bij bestuursbesluiten. Dit wordt

vastgelegd in de notulen.

• Nevenfuncties zijn in kaart gebracht en worden bijgehouden. Daarnaast

worden de nevenfuncties besproken binnen het bestuur. De relevante

nevenfuncties worden vermeld in het bestuursverslag. Dit geldt ook voor

nieuwe nevenfuncties.

• Bij het aangaan van een nieuw uitbestedingscontract wordt externe expertise ingehuurd

voor de begeleiding van het traject en de toets op marktconformiteit. Een

toets op marktconformiteit maakt onderdeel uit van het uitbestedingsbeleid

Aanvullende actie om het gewenste risico te realiseren:

• Het uitbestedingsbeleid controleren op, en waar nodig toevoegen van, extra acties

die worden uitgevoerd als dienstverlening wordt uitbesteed bij KASBANK ten

opzichte van uitbesteding aan een derde partij buiten KASBANK.

• Aan de hand van openbare bronnen een periodieke controle uit te voeren op

het reputatierisico van iedere (beoogde) uitbestedingsrelatie.

10 / 31

5.3. Voorwetenschap en marktmanipulatie

Onder voorwetenschap wordt verstaan: het risico voor het pensioenfonds dat door

verbonden personen bij het pensioenfonds misbruik wordt gemaakt van voorkennis

over ontwikkelingen dan wel rechtspersonen. Onder misbruik vallen ook

effectentransacties waarbij gebruik wordt gemaakt van verkregen voorkennis.

Indien verbonden personen handelen met voorwetenschap bij het verrichten van

transacties dan wel advisering kunnen de goede naam en/of belangen van het

pensioenfonds geschaad worden. De verbonden persoon mag geen gebruik maken van

voorwetenschap. De verbonden persoon dient verder uiterste zorgvuldigheid te

betrachten bij de behandeling van informatie waarvan hij weet of redelijkerwijs behoort

te weten dat deze informatie moet worden aangemerkt als vertrouwelijke

(markt)informatie.

Scenario’s

Verbonden personen handelen vanuit persoonlijk gewin op grond van informatie

waarvan bekend is dat dit vertrouwelijke, niet openbare informatie betreft.

Huidige beheersmaatregelen

• Gedragscode en insidersregeling

SPKB beschikt over een gedragscode en insidersregeling waarin maatregelen zijn

opgenomen om handelen met voorwetenschap door de verbonden personen en

insiders te voorkomen. Algemeen uitganspunt is dat er nooit een verband mag

bestaan tussen de transacties in financiële instrumenten die het pensioenfonds tot

stand brengt of doet komen en een persoonlijke transactie van de insider of een

gelieerde derde.

Iedere verbonden persoon die als insider wordt aangemerkt, wordt daarvan onmiddellijk

door de compliance officer op de hoogte gebracht. Ook informeert de compliance

officer de betreffende verbonden persoon over de gevolgen van de aanwijzing als

insider. De insider wordt verder in kennis gesteld van de procedures en maatregelen

gericht op het toezicht op de persoonlijke transacties. De insider onderschrijft dat de

compliance officer bevoegd is een onderzoek in te (doen) stellen naar enige

beleggingstransactie verricht door, in opdracht van of ten behoeve van de insider.

De insider is verplicht jaarlijks te bevestigen aan de compliance officer, dat hij de

uitgangspunten van de insiderregeling onderschrijft en heeft nageleefd. De insider

is in het kader van een strikte naleving van de gedragscode gehouden

desgevraagd alle informatie over een door hem of ten behoeve van hem verrichte

persoonlijke transactie aan de compliance officer te verstrekken.

Bij het pensioenfonds worden de beleidsmedewerkers, het secretariaat, en de leden

van de commissies als insiders gezien. Op insiders is een insiderregeling van

toepassing die beoogt dat bij bepaalde transacties (de schijn van) handelen met

gebruik van voorwetenschap en vermenging van zakelijke en privébelangen wordt

voorkomen. Zo dient de insider zich te onthouden van elk handelen met gebruik

van voorwetenschap of met anderszins vertrouwelijke informatie. Hij dient voorts

iedere vermenging van zakelijke en privébelangen respectievelijk de redelijkerwijs

voorzienbare schijn daarvan, te vermijden. Een overzicht van alle verbonden

personen en insiders is opgenomen in bijlage 1.

• SPKB heeft een onafhankelijke compliance officer aangesteld die toeziet op

naleving van de gedragscode en de insidersregeling.

11 / 31

• Verbonden personen hebben op grond van de gedragscode diverse

meldingsverplichtingen richting de compliance officer.

• SPKB is transparant over haar integriteitsbeleid en draagt dat beleid via de

communicatiemiddelen die het pensioenfonds ter beschikking staan, uit naar

de belanghebbenden.

• Het vermogensbeheer van pensioenfonds SPKB is uitbesteed, evenals het

fiduciair management.

Pensioenfonds SPKB heeft een beleggingsbeleid, waarin is vastgelegd dat er passief

wordt belegd.

• De governance rondom het beleggingsbeleid (blauwdruk) is georganiseerd binnen

de beleggingscommissie en geeft invulling aan de opzet en uitvoering van het

vermogensbeheer.

5.4. Witwassen

Onder het risico op witwassen wordt verstaan: het risico dat schade ontstaat met

betrekking tot de reputatie, financiële schade en/of schade door preventief dan wel

repressief optreden door de bevoegde autoriteiten als gevolg van (ongewilde)

betrokkenheid bij witwassen door klanten, tussenpersonen dan wel eigen personeel. Bij

witwassen gaat het om het uitvoeren van transacties om de herkomst van illegaal

verkregen vermogen/vermogensbestanddelen te verbergen met (a) het doel het

vermogen te besteden/te investeren (b) zonder dat bewezen kan worden dat het van

illegale activiteiten afkomstig is en te voorkomen dat beslag op het

vermogen/vermogensbestanddelen wordt gelegd.

Scenario’s

Het risico op witwassen kan zich bij SPKB als volgt manifesteren:

• Het pensioenfonds raakt betrokken bij witwassen doordat activa wordt aangekocht

of beheerd die door de tegenpartij of een partner is verkregen door betaling van

crimineel of anderszins onrechtmatig verkregen geld of waarden.

• Werkgevers dan wel uitbestedingspartijen gebruiken het pensioenfonds om geld wit te

wassen.

Uit de risicoanalyse is naar voren gekomen dat het risico dat de aangestelde

vermogensbeheerder op het gebied van beleggingen zaken doen met personen,

organisaties of instellingen die actief zijn in witwaspraktijken als gering is beoordeeld.

Beheersmaatregelen

• SPKB volgt de wet- en regelgeving rondom witwassen en toetst bij wijzigingen in

wet- en regelgeving de opvolging daarvan door de externe uitbestedingspartijen.

• Zowel de vermogensbeheerder als de pensioenadministrateur zijn ISAE 3402 type II

gecertificeerd.

• Daarnaast maken de vermogensbeheerder en de pensioenadministrateur

uitsluitend gebruik van digitale betalingen en gelden er voor de betreffende

medewerkers van die organisaties autorisatieprofielen.

5.5. Terrorismefinanciering

Onder het risico op terrorismefinanciering wordt verstaan: het risico dat de reputatie

(van het pensioenfonds en de toezichthouder) wordt beïnvloed als gevolg van het

verrichten van handelingen door het pensioenfonds met natuurlijke en/of

12 / 31

rechtspersonen die betrokken zijn bij (het financieren van) terrorisme of criminaliteit.

Scenario’s

Het risico op terrorismefinanciering zou zich kunnen voordoen in de volgende vormen:

• Het pensioenfonds is via de uitbestedingspartijen betrokken bij terrorismefinanciering.

• Medewerkers van het bestuursbureau, bestuursleden, leden verantwoordingsorgaan of

Raad van Toezicht zijn betrokken bij terrorismefinanciering.

• Het pensioenfonds voldoet niet aan de regels doordat ze bedragen uitkeert

aan gerechtigden die op de uitsluitingslijst van DNB staan.

Uit de risicoanalyse is naar voren gekomen dat de risico's op het gebied van

terrorisme- financiering bij SPKB nagenoeg niet aan de orde zijn.

Beheersmaatregelen

• SPKB volgt de wet- en regelgeving rondom terrorismefinanciering

(sanctiewetgeving) en toetst bij wijzigingen in wet- en regelgeving de opvolging

daarvan door de externe uitbestedingspartijen.

• De pensioenadministrateur en vermogensbeheerder controleren de lijst met uitsluitingen.

SPKB wordt hierover geïnformeerd en monitort dit proces.

5.6. Risico op onoorbaar handelen

Onder onoorbaar handelen wordt verstaan: het risico dat de reputatie (en mogelijk ook

de financiële positie) van het pensioenfonds (en de toezichthouder) wordt beïnvloed als

gevolg van het door het pensioenfonds bewust of onbewust faciliteren van of

betrokkenheid hebben bij overtredingen. Door onoorbare handelingen kan de integere

en beheerste bedrijfsvoering van het pensioenfonds worden geschaad.

Scenario’s

In de risicoanalyse zijn de volgende verschijningsvormen onderscheiden:

• Het pensioenfonds neemt besluiten waarbij in strijd wordt gehandeld met wet- en

regelgeving (bijvoorbeeld sanctiewetgeving) of intern beleid (bijvoorbeeld onder druk

van stakeholders). Hieronder valt tevens het niet vertrouwelijk omgaan met de

persoonsgegevens die door betrokkenen van het pensioenfonds worden verstrekt,

wat ertoe kan leiden dat de belangen van de belanghebbenden van het

pensioenfonds worden geschaad. Ook wordt hieronder verstaan het risico dat

gebeurtenissen en/of handelingen (incidenten/misstanden) niet aan de kaak

gesteld (kunnen) worden, waardoor de belangen van het pensioenfonds of een aan

het pensioenfonds verbonden persoon geschaad kunnen worden.

• Het pensioenfonds sluit contracten waarin bepalingen zijn opgenomen waardoor niet

wordt voldaan aan wet- en regelgeving of intern beleid.

• Het fonds ontduikt bewust belastingen.

• Incidenten en mistanden worden niet besproken

• Verbonden personen maken zich in privé schuldig aan maatschappelijk

onbetamelijk gedrag wat leidt tot negatieve gevolgen voor het pensioenfonds.

• Reputatierisico als gevolg van een door deelnemers, de toezichthouder, of algemene

publieke opinie als niet of onvoldoende ervaren ethisch beleggingsbeleid.

Huidige beheersmaatregelen

• De bevoegdheden ten aanzien van financiële transacties zijn

vastgelegd in overeenkomsten met betrokkenen.

• SPKB kent een beleid omtrent belangenverstrengeling en benoeming van bestuursleden.

13 / 31

Bestuursleden en leden organen worden geselecteerd op basis van

geschiktheidseisen en eisen ten aanzien van competenties.

• SPKB beschikt over een insidersregeling. Het hele beleidsteam inclusief secretariaat en de commissie balansmanagement worden als insider beschouwd en dienen hieraan te voldoen.

• In de statuten staat een klachten- en geschillenprocedure.

• Indien intern het geschil niet kan worden opgelost zal arbitrage worden gezocht.

• Het bestuur legt verantwoording af aan het verantwoordingsorgaan over het

beleid en de wijze waarop dit beleid is uitgevoerd.

• De Visitatiecommissie bespreekt de bevindingen over het bestuurlijke functioneren met

het bestuur. Over de bevindingen legt de Raad verantwoording af aan het

verantwoordingsorgaan en in het bestuursverslag van het pensioenfonds.

• Het pensioenfonds beschikt over een gedragscode met algemene gedragsregels voor

verbonden personen en aanvullende gedragsregels voor insiders ter voorkoming

van belangenconflicten en van misbruik en oneigenlijk gebruik van de bij SPKB

aanwezige informatie of zaken.

• SPKB beschikt over een incidentenregeling (onderdeel van de gedragscode) die

aangeeft welke stappen gevolgd moeten worden als het vermoeden bestaat dat er

sprake is van een incident binnen het pensioenfonds. Doel van deze regeling is het

voorkomen van schade aan de beheerste en integere bedrijfsvoering en goede naam

van het pensioenfonds, alsmede het beperken van mogelijke gevolgschade. Een

(dreigend) incident moet gemeld worden aan de compliance officer van SPKB. Het

pensioenfonds meldt incidenten in haar organisatie onverwijld aan DNB. Dat geldt ook

voor incidenten in de organisatie van een uitbestedingsrelatie (zie verder onder 5.8.).

• SPKB beschikt over een klokkenluidersregeling die voorziet in de procedure voor het

melden en afhandelen van (potentiële) misstanden en die waarborgen bevat de

bescherming van de verbonden persoon (i.c. de klokkenluider), die te goeder trouw

melding maakt van (potentiële) misstanden. Een (potentieel) misstand moet worden

gemeld bij de compliance officer van SPKB.

• Het pensioenfonds heeft een onafhankelijke compliance officer aangesteld die toezicht

houdt op de naleving van de gedragscode, de incidenten- en lokkenluidersregeling

en regeling ongewenst gedrag.

• Bestuursleden en de bestuursorganen hebben op grond van de

gedragscode, incidenten- en klokkenluidersregeling en regeling ongewenst

gedrag diverse meldingsverplichtingen richting de compliance officer.

• SPKB heeft een beleid maatschappelijk verantwoord beleggen vastgelegd waarin

richtlijnen zijn opgenomen met betrekking tot maatschappelijk verantwoord

beleggen. Deze richtlijnen zijn opgenomen in de verklaring inzake

beleggingsbeginselen (bijlage bij de actuariële en bedrijfstechnische nota). Bij het

verantwoord beleggen voert SPKB een uitsluitingenbeleid en een engagement beleid

waarover verantwoording wordt afgelegd en waarop het pensioenfonds

aanspreekbaar is.

• Waarborgen voor de privacy en vertrouwelijke omgang met gegevens door

(medewerkers van) uitbestedingsrelaties (zie hiervoor 5.7.).

Aanvullende acties om gewenst risico te realiseren

• Inspelen op de ontwikkelingen op het gebied van compliance en voorbereiden van

een beleidsnotitie die het beleid op de zwakkere punten moet aanscherpen

waardoor verbetering van de beheersing plaatsvindt en wordt ingespeeld op de

ontwikkelingen.

• Periodieke controle van openbare bronnen hoe over SPKB wordt gesproken.

14 / 31

5.7. Integriteitsrisico dat ontstaat in het uitbestedingsrisico

Bij het uitbestedingsrisico spelen integriteitsrisico’s eveneens een rol. Dit betreft het

risico dat de reputatie dan wel de financiële positie van het pensioenfonds wordt

geschaad als gevolg van het niet integer zijn van de bedrijfsvoering van de partij

waaraan werkzaamheden zijn uitbesteed.

Met betrekking tot het inherent risico wordt geconcludeerd dat SPKB nagenoeg alle

werkzaamheden heeft uitbesteed, met uitzondering van de bestuursondersteuning

en de beleidsvoorbereiding. Door de omvang en complexiteit van die uitbesteding

(van pensioenadministratie, vermogensbeheer, beleggingen, financiële

administratie) is het inherent risico hoog.

De uitbestedingsrelaties betreffen de volgende partijen: Delta Lloyd Asset Management

N.V. (Vermogensbeheer), BlackRock Institutional Trust Company N.A. (Vermogensbeheer),

AZL N.V. (Pensioenadministratie), KAS BANK N.V. (Custody, beleggingsadministratie,

rapportages)

5.8. Integriteitsrisico’s die ontstaan in het operationele risico

Binnen het operationeel risico kunnen ook integriteitsrisico’s worden onderkend. Deze

risico’s zijn onder te verdelen naar:

1. (Pre)acceptatie/transactie

2. Personeel

5.8.1. (Pre)acceptatie/transactie

Het risico van onvoldoende doelmatige en/of onvoldoende doeltreffende processen

op het gebied van het aangaan van nieuwe betrekkingen (klantacceptatie,

prijsbepaling en onderhandeling) met (nieuwe) klanten of tegenpartijen met

betrekking tot de kernactiviteiten van het pensioenfonds.

Scenario’s

• Het pensioenfonds sluit een overeenkomst met een externe partij (adviseur

of uitbestedingspartij), die onvoldoende integriteitswaarborgen (rondom

belangenverstrengeling, fraude, benadeling derden, voorwetenschap,

witwassen, terrorismefinanciering, onoorbaar handelen) heeft ingebouwd in

de organisatie.

• Er is sprake van externe druk (bijvoorbeeld vriendjespolitiek, eigen financiële belangen)

om een overeenkomst met een externe partij aan te gaan, die niet in het belang

van het pensioenfonds handelt.

• Het pensioenfonds doet transacties met derden waar beslissers binnen het

pensioenfonds een nevenfunctie bekleden, een privérelatie hebben of een gunst

van hebben ontvangen. Deze relatie wordt niet gemeld, geadresseerd en

gemonitord waardoor mogelijk schade ontstaat voor het pensioenfonds.

• Met verkeerde keuzes op het gebied van uitvoering van de contracten, ontbreken van

specialistische kennis en continuïteit, een slechte prijs- en kwaliteitverhouding kan

het pensioenfonds teveel betalen voor de dienstverlening en eventueel schade

toegebracht worden aan derden.

15 / 31

Huidige beheersmaatregelen

Het bestuur heeft een uitbestedingsbeleid opgesteld. Doelstelling bij het

uitbestedingsbeleid is het waarborgen van de kwaliteit van de dienstverlening door de

uitbestedingspartners en het waarborgen dat het pensioenfonds ‘in control’ is ten

aanzien van de uitbestede activiteiten.

Het bestuur van SPKB hanteert de volgende uitgangspunten voor het uitbestedingsbeleid:

- de uitbesteding van bedrijfsprocessen dient de realisatie van het meerjarenbeleid zo te

ondersteunen dat uitbestede processen qua focus niet gaan divergeren van de

strategische doelstellingen van SPKB

- de selectie en beoordeling van leverancier(s) dient objectief en transparant plaats te vinden

- voordat overgegaan kan worden tot uitbesteding moet het bestuur er zich van

vergewist hebben dat door de uitvoeringsorganisatie voldoende (onafhankelijke) waarborgen afgegeven zijn voor een integere en beheerste bedrijfsvoering

- bij de uitbesteding van bedrijfsprocessen wordt gewerkt met een gestandaardiseerd

contract governance proces waardoor het bestuur in staat is zijn verantwoordelijkheid voor de uitbesteding te nemen en de realisatie naar beoogd resultaat en effect te

kunnen evalueren

- de regie op de uitbesteding dient zo (in)gericht te zijn dat daarmee de continuïteit van de

bedrijfsvoering van SPKB zeker gesteld wordt

- waarborgen moeten ingebouwd zijn zodat ook in geval van beëindiging van de

samenwerking met de uitvoeringsorganisatie de dienstverlening aan SPKB en

deelnemers zeker gesteld is

- het bestuur legt jaarlijks verantwoording af over de uitbesteding. Hiermee laat het bestuur

aan de buitenwereld zien aantoonbaar adequaat in control te zijn over de gehele keten

van dienstverlening en over de eventueel daarin te lopen risico’s

SPKB stelt de volgende eisen aan de uitvoeringsorganisatie:

- de uitvoeringsorganisatie dient het bestuur in staat te stellen aantoonbaar adequaat in

control te zijn over de gehele keten van dienstverlening en over de beheersing van

de eventueel daarin te lopen risico’s

- verantwoordelijkheden en bevoegdheden zijn benoemd, belegd en gecommuniceerd - er is aantoonbaar een systeem ingericht en operationeel voor het blijvend voldoen

aan vigerende wet- en regelgeving en contractuele afspraken - integraal verbetermanagement is aantoonbaar ingericht en operationeel. Door

systematisch onvolkomenheden in de keten op te sporen, te elimineren en zelfs voor te zijn wordt de efficiency bevorderd

- wijzigingsmanagement is zo ingericht en ingebed dat wijzigingen op een planmatige en beheerste wijze doorgevoerd worden en dat de reguliere bedrijfsvoering niet verstoord wordt

Indien de uitvoeringsorganisatie onderdelen van het overeengekomen dienstenpakket

uitbesteed aan derde partijen verlangt het bestuur de aanvullende maatregelen van

de uitvoeringsorganisatie.

5.8.2. Personeel

Het risico samenhangend met de vraag hoe cruciaal:

• kwalitatieve en/of kwantitatieve personele bezetting;

• wervingsproces personeel;

• beloningsbeleid;

• opleidings- en loopbaanbeleid;

• motiverende cultuur;

• sociaal beleid;

is voor de doelmatigheid en doeltreffendheid van de uitvoering van de processen

van de betreffende activiteit.

16 / 31

Scenario’s bestuur (bestuursorganen)

• Het bestuur neemt besluiten zonder de consequenties van het besluit voor

alle belanghebbenden te kunnen overzien. De bestuursorganen gaan hierin

mee.

• Individuen, niet het collectief, bepalen de besluiten van het bestuur.

• Er zijn onvoldoende checks en balances ingebouwd in de

bestuurlijke besluitvormingsprocessen.

• Het bestuur is onvoldoende deskundig.

• De bestuursorganen zijn onvoldoende deskundig.

• Het aannamebeleid is niet gericht op het aannemen van geschikte

bestuursleden of leden van de bestuursorganen.

• De cultuur waarin gewerkt wordt, is niet bevorderend voor een professioneel werkveld

waarin een ieder het beste uit zichzelf kan halen individueel en collectief.

• Het bestuur heeft onvoldoende zicht op de kwaliteit en de activiteiten van

commissies.

Huidige beheersmaatregelen bestuur (en bestuursorganen)

• Adequate voordrachts- en benoemingsprocedure van bestuursleden aan de hand van

een functieprofiel en vastlegging van deze procedure. Het bestuur bestaat uit zes

leden. Drie bestuursleden worden voorgedragen door de aangesloten

ondernemingen; de

andere drie bestuursleden worden voorgedragen door de commissie voordracht aan

het bestuur.

• De benoemingswijze van werknemersbestuursleden en gepensioneerde leden is

vastgelegd in het reglement commissie voordracht werknemers- en

pensioengerechtigdenbestuursleden. Namens de deelnemers, de

pensioengerechtigden en de aangesloten ondernemingen kunnen maximaal twee

plaatsvervangende bestuursleden per geleding voor benoeming worden

voorgedragen.

• Het bestuur draagt er zorg voor dat wordt voldaan aan alle geschiktheidseisen die op

basis van wet- en regelgeving worden gesteld. Het bestuur heeft hiertoe een

geschiktheidsplan vastgesteld (inclusief deskundigheidsprofielen). Hiermee draagt

het bestuur zorg voor een doorlopend programma om de geschiktheid van het

bestuur op peil te houden en waar nodig te verbreden of te ontwikkelen

(permanente educatie).

• De verkiezingscommissie selecteert op basis van de deskundigheidsprofielen kandidaten

voor het verantwoordingsorgaan.

• Het bestuur evalueert jaarlijks het eigen functioneren. Het bestuur komt als

geheel bij elkaar om het functioneren van het bestuur te bespreken, eventueel

onder begeleiding van een externe.

• Voor het bestuur (en bestuursorganen) is een gedragscode opgesteld. Het doel van de

gedragscode is om belangenconflicten te voorkomen, net als misbruik en oneigenlijk

gebruik van de bij SPKB aanwezige informatie. De bij de gedragscode behorende

verklaring wordt jaarlijks door alle betrokkenen van het pensioenfonds ondertekend.

Deze wordt ondertekend achteraf dat deze is nageleefd over het afgelopen jaar en

wordt vooraf getekend voor komend jaar dat deze wordt nagekomen.

• Een externe compliance officer toetst of het bestuur de gedragscode naleeft.

• Jaarlijkse wordt de rapportage van de compliance officer over de naleving

van de gedragscode besproken.

• Bij de jaarlijkse bespreking van de naleving van de gedragscode zal eveneens worden

stilgestaan bij (wijzigingen in) privérelaties of –belangen.

17 / 31

• Het bestuur heeft een klokkenluidersregeling en een incidentenregeling vastgesteld;

alle functionarissen hebben de mogelijkheid te rapporteren aan de

vertrouwenspersoon over onregelmatigheden, te weten gebeurtenissen van

algemene, operationele of financiële aard die een ernstig gevaar vormen of kunnen

vormen voor de beheerste en integere bedrijfsvoering van SPA. De gedragscode, de

klokkenluidersregeling en de incidentenregeling maken deel uit van het

integriteitsbeleid dat door SPA is vastgesteld.

• In de bestuurlijke advisering wordt aandacht besteed aan het risico op

belangenverstrengeling.

• Regeling taak en bevoegdheden voor de commissies zijn vastgesteld.

Aanvullende acties om het gewenste risico te realiseren voor bestuur (en bestuursorganen)

• In kaart brengen zakelijke relaties in combinatie met privérelaties. Bij de jaarlijkse

bespreking van de naleving van de gedragscode zal eveneens worden stilgestaan bij

(wijzigingen in) privérelaties of –belangen.

5.9. Fraude

Fraude is zichzelf dan wel anderen onrechtmatig bevoordelen ten laste van een derde

of derden door misbruik van vertrouwen. Naast het risico dat door frauduleuze

handelingen de reputatie van het pensioenfonds wordt geschaad en belanghebbenden

(financieel) worden benadeeld kunnen door fraude ook operationele risico’s ontstaan.

Onder het risico van fraudegevoeligheid wordt verstaan het risico samenhangend

met de vraag hoe gevoelig het pensioenfonds, haar producten en processen zijn

voor:

• fraude door medewerkers van SPKB;

• samenspanning door medewerkers met derden;

• fraude door externen.

N.B. Het pensioenfonds heeft een aantal activiteiten uitbesteed. Risico’s met

betrekking tot “personeel” beperken zich tot het bestuur en bestuursorganen. De

beheersmaatregelen met betrekking tot integriteit van de uitbestede activiteiten zijn

benoemd onder uitbestedingsrisico.

Het pensioenfonds zal onder geen enkele omstandigheid fraude tolereren. Toezicht op

de naleving van externe en interne regels, teneinde te voorkomen dat fraude zich

manifesteert, is een taak van het bestuur.

Scenario’s

• SPKB past BTW wet- en regelgeving bewust onjuist toe bij inkopen, verkopen en

investeringen/desinvesteringen waardoor er naheffing, sancties en/of

reputatieschade volgen.

• Fraude op kantoor, zoals diefstal van inventaris.

• Sjoemelen met declaraties, zoals onkosten en kilometerdeclaraties.

• Bestuursleden en/of medewerkers van het pensioenfonds spannen samen

om pensioengeld te verduisteren.

• Bestuursleden en/of medewerkers van het pensioenfonds spannen samen met zakelijke

relaties om pensioengeld te verduisteren.

• Medewerkers bij zakelijke relaties verduisteren pensioengeld van het pensioenfonds.

• Een bestuurslid of medewerker van het pensioenfonds ontvangt of verleent een

18 / 31

gunst in privé van een belanghebbende ten koste van het pensioenfonds.

• Bestuursleden en medewerkers van het pensioenfonds kunnen ongehinderd

vertrouwelijke bedrijfsgegevens wegsluizen.

• Binnen het pensioenfonds vindt er geen naam/nummer controle plaats bij het

opvoeren en/of wijzigen van bankgegevens. Hierdoor kunnen medewerkers

onrechtmatige betalingen verrichten.

• Medewerkers binnen het pensioenfonds kunnen handmatige betalingen doen in

systemen (nepfacturen).

Huidige beheersmaatregelen

In het kader van het voorkomen van frauduleuze handelingen heeft het

pensioenfonds de volgende maatregelen genomen:

• voor het bestuur, het Verantwoordingsorgaan, de Visitatiecommissie - voor alle

betrokkenen - is een gedragscode opgesteld ter voorkoming van belangenconflicten en

van misbruik en oneigenlijk gebruik van de bij het pensioenfonds aanwezige informatie.

• Een externe compliance officer toetst of de verbonden personen de gedragscode

naleven. • Uitbetalingen aan derden vinden plaats bij de pensioenadministrateur, waardoor

een individueel bestuurslid zelf niet bij de liquide middelen kan komen.

• Bestuursleden en medewerkers van het pensioenfonds die in dienst zijn van KASBANK

worden volgens KASBANK beleid getoetst en gescreend. Daarnaast vindt

screening en toetsing plaats van alle bestuursleden door DNB.

• Toepassing van het vier-ogenprincipe bij het notaverkeer.

• Van de uitvoerende organisaties worden waarborgen verkregen dat deze

maatregelen treft inzake fraudepreventie.

• de vastgestelde incidenten- en klokkenluidersregeling (als onderdeel van de

gedragscode);

• de vastgestelde klachten- en geschillenprocedure;

• het beschermen van systemen en eigendommen door middel van procuratieregelingen

5.10. Integriteitsrisico dat ontstaat in het juridisch risico

Binnen het juridisch risico kan ook een integriteitsrisico ontstaan. Dit risico betreft het

niet voldoen van het beleid en/of de bedrijfsvoering van het pensioenfonds aan wet-

en regelgeving, alsmede de eigen voorgeschreven beleidskader, processen en

procedures van het pensioenfonds kan tevens een integriteitsrisico met zich

meebrengen (naleving).

Scenario’s

• Het pensioenfonds neemt besluiten waarbij in strijd wordt gehandeld met

wet- en regelgeving of intern beleid.

• Het pensioenfonds sluit contracten waarin bepalingen zijn opgenomen waardoor niet

wordt voldaan aan wet- en regelgeving of intern beleid.

• Naleving van de gedragscode laat te wensen over.

• Het onvoldoende uitvoering gegeven aan alle beheersmaatregelen.

Huidige beheersmaatregelen

• Het werken met een jaarlijks actieplan geeft de commissie een overzicht van de

activiteiten die in het jaar gedaan moeten worden. Hierdoor wordt jaarlijks stil

gestaan bij de vraag, ongeacht of er wijzigingen zijn, voldoet SPKB nog volledig

aan de van toepassing zijnde wet- en regelgeving.

• Het pensioenfonds draagt zorg voor een periodieke systematische analyse van

19 / 31

integriteitsrisico’s, stelt aan de hand van die analyse een integriteitsbeleid vast,

draagt zorg voor de uitvoering daarvan. Het pensioenfonds heeft een compliance

officer aangesteld. Onderdeel van het integriteitsbeleid zijn een incidenten- en

klokkenluidersregeling en een gedragscode.

• Het bestuur legt verantwoording af aan het verantwoordingsorgaan over het beleid en

de wijze waarop dit beleid is uitgevoerd.

• De Visitatiecommissie bespreekt de bevindingen over het bestuurlijke functioneren

met het bestuur. Over de bevindingen legt de Raad verantwoording af aan het

verantwoordingsorgaan en in het bestuursverslag van het pensioenfonds.

5.11. Risico op onvoldoende bewustzijn over de bestaande risico’s

Onvoldoende bewustzijn over de bestaande integriteitsrisico’s kan resulteren in (het

niet herkennen van) ongewenste gedragingen, onwetendheid over te volgen

procedures en gebrek aan aanspreekbaarheid. De verbonden persoon heeft

onvoldoende bewustzijn dan ook als risico geïdentificeerd.

Huidige beheersmaatregelen

Om de bewustwording bij de verbonden personen te waarborgen en te vergroten wordt

in de opleidingsactiviteiten aandacht besteed aan:

• de betekenis, het nut en de noodzaak van het integriteitsrisico in het algemeen;

• de wijze waarop het pensioenfonds daar invulling aan geeft;

• de belangrijkste wet- en regelgeving en interne gedragsregels en procedures

• met betrekking tot integriteitskwesties;

• het leren herkennen van vermeende ongewenste gedragingen en incidenten;

• het signaleren en weten welke procedures in geval van een incident of

ongewenste gedragingen moeten worden gehanteerd.

5.12. Risico op cybercrime

Cybercrime is criminaliteit met ICT als middel én doelwit. IT systemen dienen voldoende afgeschermd te zijn. Echter kan door informatie verstrekking personen in staat gesteld worden het pensioenfonds te benadelen. Er is bij het pensioenfonds of bij de uitbestedingspartij(en) een datalek bij de bescherming van privacy-gevoelige gegevens. Het risico bestaat dat (wijzigingen in) gegevens door het

pensioenfonds of uitbestedingspartij niet volgens de daarvoor voorgeschreven procedure worden verwerkt, bijvoorbeeld door een niet geautoriseerd persoon.

Huidige beheersmaatregelen

- Het is betrokkene niet toegestaan informatie te verstrekken die derden de mogelijkheid

geeft om het pensioenfonds via cybercrime te benadelen; - Het uitbestedingsbeleid kent selectievoorwaarden en periodieke evaluatie voor (nieuwe)

uitbestedingspartijen; - Het uitbestedingsbeleid kent waarborgen met betrekking tot integere bedrijfsvoering van

de uitbestedingspartijen (o.a. ISAE3402 of gelijkwaardige verklaring, waarborgen m.b.t.

scheiding van gegevens en bestanden van verschillende opdrachtgevers, privacy aspecten en gescheiden informatieverstrekking naar verschillende opdrachtgevers);

- De administratieve organisatie en interne controle (AO/IC) beperkt het verwezenlijken van de risico’s.

6. Inbedding in integraal risicomanagement

20 / 31

Het integriteitsbeleid is ingebed in het integraal risicomanagementbeleid van het

pensioenfonds. Hiermee is zeker gesteld dat het integriteitsbeleid de beleidscyclus

doorloopt waarmee ook monitoring en evaluatie terugkeren op de bestuursagenda. Dit

houdt in dat de integriteitsrisico’s minimaal elk jaarlijks in alle bestuurscommissies

worden besproken.

7. Inbedding in de jaarlijkse zelfevaluatie

Het thema integriteit (en integriteitsrisico’s) wordt jaarlijks besproken in de

zelfevaluatie van het functioneren van het bestuur. Daarnaast komt dit onderwerp

jaarlijks aan de orde in de beoordelingsgesprekken tussen de bestuursleden en het

dagelijks bestuur.

8. Verantwoording en toezicht

Over de beheersing van integriteitsrisico’s legt het bestuur verantwoording af aan de

Visitatiecommissie die in het kader van het wettelijk intern toezicht toeziet op

adequate risicobeheersing. Over het integriteitsbeleid legt het bestuur

verantwoording af aan het verantwoordings-orgaan.

Na het vaststellen van het integriteitsbeleid is het van belang dat een ieder op wie het

beleid van toepassing is de verantwoordelijkheid neemt voor zijn eigen handelen,

aanspreekbaar is op zijn gedrag maar ook anderen hierop aanspreekt.

9. Bekendmaking beleid

Het bestaan van het integriteitsbeleid wordt periodiek onder de aandacht gebracht van

de verbonden personen. Het bestuur draagt er zorg voor dat iedere nieuwe verbonden

persoon (als genoemd in 4.) bij infunctietreding de beschikking heeft over het

integriteitsbeleid van SPKB. Tevens wordt het integriteitsbeleid bekend gemaakt aan de

uitbestedingsrelaties van SPKB. Een gewijzigd of nieuw vastgesteld integriteitsbeleid

wordt schriftelijk aan alle personen op wie het beleid van toepassing is

gecommuniceerd.

In het kader van transparantie en om te waarborgen dat het integriteitsbeleid te allen

tijde beschikbaar is voor de verbonden personen wordt dit beleid (met inbegrip van de

gedragscode, de incidentenregeling, de klokkenluidersregeling en regeling ongewenst

gedrag) op de website van het pensioenfonds gepubliceerd.

10. Inwerkingtreding beleid

Het integriteitsbeleid is vastgesteld in de bestuursvergadering van 31 maart 2017

en treedt per 1 januari 2017 in werking.

21 / 31

Bijlage 1 Overzicht verbonden personen (2017)

Verbonden personen zijn:

a. Leden van het bestuur;

b. Leden van de visitatiecommissie;

c. Leden van het verantwoordingsorgaan;

d. Alle medewerkers van SPKB, onafhankelijk van de duur waarvoor of de juridische

basis waarop zij werkzaam zijn;

e. Andere (categorieën) personen die zijn aangewezen door het bestuur, zoals ingehuurde

derden.

a. Leden van het bestuur

Dhr. P. van der Wal (bestuursvoorzitter)

Dhr. J. Voskuilen (vice voorzitter)

Dhr. P. de Jaeger (secretaris)

Mw. M. Jager-Smeets

Mw. L. Gabriëlse

Dhr. O. Hulst

b. Leden van de Visitatiecommissie Dhr. A. Heuzinkveld Dhr. P. Molenaar Dhr. E Uijen

c. Leden van het verantwoordingsorgaan Mw. J. Bijker

Dhr. E. Bobeldijk

Dhr. N. van Leeuwen

Dhr. M. Koudijs

Mw. B. Kampman d. Medewerker Bestuursondersteuning Mw. S. Nandelall