4. Integraal risicomanagement

Op grond van de Europese richtlijn voor pensioenfondsen IORP II moet het fonds voldoen aan bepaalde regels voor de governance en het risicobeheer van het fonds. Eén van de organisatorische gevolgen is dat er drie zogeheten sleutelfuncties bestaan. Dat zijn de volgende:

• sleutelfunctie Risicobeheer (2e lijn);
• sleutelfunctie Actuarieel (2e lijn); 
• sleutelfunctie Interne audit (3e lijn).

Voor sleutelfunctiehouders gelden de volgende richtlijnen:

• Een sleutelfunctiehouder wordt benoemd door het bestuur na goedkeuring door DNB.
• De sleutelfunctiehouder is eindverantwoordelijk voor de taken behorend tot de functie. De functiehouder mag de uitvoering overlaten aan andere personen. 
• De sleutelfunctiehouder rapporteert schriftelijk aan het bestuur en aan de RvT.
• Indien het bestuur aanbevelingen niet (tijdig) opvolgt escaleert de sleutelfunctiehouder naar de RvT en eventueel naar DNB en brengt het bestuur hiervan op de hoogte. 

Het fonds heeft de sleutelfuncties als volgt ingericht.

• Taakgebied:
  • Beoordeelt, monitort en rapporteert over het risicobeheer;
  • Initieert en adviseert over de vormgeving van het risicobeheer.

• Tot 5 november 2024 was de invulling als volgt:
  • Sleutelfunctiehouder Risicobeheer: de voorzitter van de risk- en compliancecommissie;
  • Uitvoering van de sleutelfunctie Risicobeheer: de onafhankelijk risicomanager (sleutelfunctievervuller). 
• Vanaf 5 november 2024 is de sleutelfunctie Risicobeheer (zowel het houderschap als de uitvoering) belegd bij een externe deskundige op het gebied van risicobeheer.

• Taakgebied:
  • Houdt toezicht op de berekening van de technische voorzieningen.
  • Beoordeelt de betrouwbaarheid en adequaatheid van de berekening van de technische voorzieningen.
  • Beoordeelt het premiebeleid, het beleid bij collectieve waardeoverdrachten en de conversiefactoren of inkooptarieven bij het toekennen van (nieuwe) pensioenrechten of -aanspraken.
• Sleutelfunctiehouder en uitvoering van de sleutelfunctie actuarieel: de certificerend actuaris.

• Taakgebied:
  • Evalueert periodiek of de interne controlemechanismen adequaat en doeltreffend zijn.
  • Evalueert de algehele bedrijfsvoering.
  • Draagt ertoe bij dat inefficiënties en ‘blinde vlekken’ worden onderkend en opgelost.
  • Vormt het sluitstuk van alle waarborgen voor een beheerste en integere bedrijfsvoering.
• Sleutelfunctiehouder en uitvoerder van de sleutelfunctie Interne audit: een externe deskundige op het gebied van interne audit.

Dit is het risico dat de beurskoersen dalen waardoor het beleggingsresultaat van het fonds daalt.

Dit risico kan worden verdeeld in drie onderdelen:

• Prijsvolatiliteit: het risico van winst of verlies als gevolg van wijzigingen in marktprijzen van verhandelbare financiële instrumenten.
• Marktliquiditeit: het risico dat aanwezige activa onvoldoende snel dan wel niet tegen acceptabele prijzen kunnen worden omgezet in liquide middelen.
• Concentratie en correlatie: het risico dat, als gevolg van ontoereikende diversificatie binnen de portefeuille, marktontwikkelingen leiden tot een waardedaling van de portefeuille.

Risicotolerantiegrenzen:

• Voor alle onderdelen:
  • De gewichten van de verschillende onderdelen van de portefeuille dienen binnen de grenzen van de strategische assetallocatie te blijven.
• Prijsvolatiliteit:
  • De performanceafwijking per beleggingscategorie mag niet te veel afwijken van de benchmark voor de betreffende beleggingscategorie (maximale tracking error).
  • Bij een 1% parallelle renteschok en/of een 30% aandelenschok mag de dekkingsgraad niet dalen onder de kritische dekkingsgraad, onder de voorwaarden zoals vastgelegd in het pijngrensbeleid.

Beheersmaatregelen:

• Algemeen: het periodiek uitvoeren van een ALM-studie om te beoordelen of de gekozen strategische portefeuille nog steeds aansluit bij de gewenste balans tussen risico en rendement.
• Prijsvolatiliteit: bij een aandelenschok van 30% mag de dekkingsgraad niet dalen onder de kritische dekkingsgraad, onder de voorwaarden zoals vastgelegd in het pijngrensbeleid. Dit wordt voortdurend gemonitord en zo nodig worden risico-afdekkende instrumenten aangekocht.
• Marktliquiditeit: het grootste deel van de portefeuille is liquide. Slechts een klein deel van de portefeuille (niet-beursgenoteerd vastgoed en hypotheken) is weinig liquide.
• Concentratie en correlatie: de beleggingen in aandelen vinden plaats voor bedrijven wereldwijd. Deze spreiding binnen de portefeuille (diversificatie) dempt het prijsrisico.

Dit is het risico dat veranderingen in de marktrente gevolgen hebben voor de waardering van de toekomstige verplichtingen van het fonds en op de koersen van beleggingen.
Een renterisico voor het fonds kan voorkomen, waarbij een dalende rekenrente de verplichtingen in waarde laat stijgen, hetgeen ongunstig is voor de dekkingsgraad van het fonds, en omgekeerd. Verder is het zo dat bezittingen in de vorm van vastrentende waarden bij een stijging van de rente in waarde dalen en omgekeerd. De dekkingsgraad is derhalve gevoelig voor renteschommelingen. Het bestuur beschouwt het beheersen van het renterisico als zeer belangrijk voor het kunnen nakomen van de nominale verplichtingen.

Risicotolerantiegrens:

Bij een stijging of daling van de marktrente moet de renteafdekking zodanig stijgen of dalen dat de pensioenverplichtingen op basis van de marktwaarde voor de eerste 20 jaar bij een gemiddelde rente van 3% volledig worden gematcht. 

Beheersmaatregelen:

• Het renterisico wordt afgedekt met beleggingen in vastrentende waarden en derivaten. Dit gebeurt volgens een rentestaffel. Die zorgt ervoor dat bij een hogere marktrente meer renterisico wordt afgedekt en bij een lagere rente minder renterisico wordt afgedekt. In het kader van de overgang naar het nieuwe pensioenstelsel heeft het bestuur de renteafdekking eind 2024 verhoogd.
• Bij de uitvoering van een ALM-studie wordt de strategische beleggingsmix afgestemd op de rentegevoeligheid van de verplichtingen.
• Bij een parallelle renteschok van 1% mag de dekkingsgraad niet dalen onder de kritische dekkingsgraad, onder de voorwaarden zoals vastgelegd in het pijngrensbeleid. Dit wordt voortdurend gemonitord en zo nodig worden risico-afdekkende instrumenten aangekocht.

Dit is het risico dat de werkwijze van het fonds (waaronder begrepen processen en producten) wordt beïnvloed dan wel niet meer houdbaar is als gevolg van veranderingen in de wet- en regelgeving.

Risicotolerantiegrens:
Als het fonds niet tijdig aan de veranderde regels kan voldoen waardoor een goede pensioenuitvoering niet langer kan worden gewaarborgd.

Beheersmaatregelen:

• Het bestuur zorgt dat het goed geïnformeerd blijft over aanstaande veranderingen in de wet- en regelgeving.
• Periodiek voert het bestuur een SWOT-analyse (Strengths, Weaknesses, Opportunities and Threats) uit. De meest recente SWOT-analyse is in 2024 uitgevoerd.

Dit is het risico dat het fonds onvoldoende in staat is om (toenemende) verplichtingen als gevolg van (verwachte aanpassing aan) inflatie te financieren zonder belanghebbenden te benadelen.

Risicotolerantiegrens:
Het fonds heeft de ambitie om de pensioenaanspraken en -rechten waardevast te houden (doelstelling 2). Het fonds dekt het inflatierisico impliciet af via de strategische assetallocatie. Als inflatie-correlerende activa worden aangemerkt de categorieën vastgoed, aandelen en grondstoffen. Het fonds accepteert het resterende inflatierisico.

Beheersmaatregelen:

• Toeslagverlening is voorwaardelijk; er is geen recht op toeslagen. Wel heeft het bestuur de ambitie om pensioenen waardevast te houden.
• Het fonds streeft via het beleggingsbeleid naar het behalen van rendement.
• Gewichten van de inflatie-correlerende activa (aandelen, vastgoed, grondstoffen) dienen binnen de grenzen van de strategische assetallocatie te blijven.

Dit is het risico dat de continuïteit van (een deel van) de bedrijfsvoering, de reputatie van het fonds dan wel de financiële positie van of de geleverde kwaliteit aan het fonds in gevaar komen.

Risicotolerantiegrenzen:

• Continuïteit bedrijfsvoering: continuïteit van de bedrijfsvoering mag niet in gevaar komen.
• Integriteit: integriteit van een uitbestedingspartij moet gewaarborgd zijn.
• Kwaliteit dienstverlening: een uitbestedingspartij moet voldoen aan de kwaliteitseisen die het fonds heeft vastgelegd. 

Beheersmaatregelen:

• Continuïteit bedrijfsvoering en kwaliteit dienstverlening: selectie van externe partijen vindt plaats op basis van de eisen zoals beschreven in het uitbestedingsbeleid. Hierbij wordt grote aandacht besteed aan de juiste balans tussen prijs en kwaliteit.
• Met AZL is een Service Level Agreement (SLA) afgesproken. Daarnaast worden er diverse overige rapportages periodiek verstrekt en wordt elk kwartaal met AZL overlegd. 
• Integriteit: in samenwerking met de externe complianceofficer is er een integriteitsbeleid opgesteld waaraan alle verbonden personen moeten voldoen.
• Integriteit: partijen worden gevraagd te verklaren of zij voldoen aan de Richtlijn beheerst beloningsbeleid.

Het fonds heeft geen eigen IT-systemen. Dit is uitbesteed aan externe dienstverleners.
In de uitbestedingsovereenkomsten zijn eisen voor IT-security en dergelijke vastgelegd. Verder is dit een terugkerend onderwerp bij besprekingen en evaluaties met leveranciers. Het IT-risico bij deze dienstverleners kan worden verdeeld in vier categorieën:

• Autorisatiemanagement en logische toegangsbeveiliging: het risico als gevolg van:
  • het niet volledig of niet accuraat zijn van informatie/informatiesystemen;
  • het toegankelijk zijn van informatie voor geautoriseerde gebruikers;
  • het niet toegankelijk zijn van informatie voor niet-geautoriseerde gebruikers.
• Business en IT continuity management: het risico dat de continuïteit van de (kritische) bedrijfsprocessen / de gehele instelling in gevaar komt als gevolg van het niet beschikbaar zijn van de IT-infrastructuur (waaronder applicaties en systemen).
• IT changemanagement: het risico als gevolg van:
  • ontoereikend beheer van de ICT-omgeving en/of -processen en/of;
  • het onvoldoende (tijdig) kunnen anticiperen op ontwikkelingen in de business, op technische innovaties of op overige externe factoren;
  • het niet tijdig en adequaat kunnen uitvoeren van changemanagement voor wijzigingen in de IT- architectuur.
• IT-incidentmanagement: risico dat een IT-incident niet of niet tijdig wordt onderkend, leidend tot een gebeurtenis waarbij de bedrijfsvoering van het fonds in gevaar komt.

Risicotolerantiegrenzen:

Voor alle categorieën geldt het volgende:

• Het fonds accepteert de kans dat een incident mogelijk is gedurende het komende jaar. Het fonds is zich ervan bewust dat nooit volledig uit te sluiten valt dat zich een incident voordoet, maar de impact van een incident dient altijd beperkt te zijn.
• Een enkel negatief effect is acceptabel, zolang het fonds zelf voldoende vertrouwen heeft in het eigen beleid en/of in staat is dit aan te passen. Structureel negatieve effecten zijn niet acceptabel, omdat dit zou betekenen dat het fonds niet langer voldoet aan de geldende wet- en regelgeving.

Beheersingsmaatregelen:

In de overeenkomsten met dienstverleners worden de volgende afspraken gemaakt:

• Autorisatiemanagement en logische toegangsbeveiliging: awarenesstrainingen voor phishing, social engineering en social surfing.
• Business en IT-continuity management: een business continuity plan met voldoende aandacht voor ICT-security, beleid op het gebied van disaster recovery, end-user computing (EUC), uitwijklocatie(s) en back-up- en recoverysystemen.
• IT-changemanagement: changemanagementbeleid waarbij vaste procedures gelden, periodieke controles worden uitgevoerd en updates tijdig worden geïmplementeerd.
• IT-incidentmanagement: incidentmanagementbeleid met procedures om incidenten te ontdekken, te classificeren en de (mogelijke) impact te bepalen, waarna effectieve beheersmaatregelen worden geselecteerd en geïmplementeerd.
• Locaties van functies en gegevensverwerking: ICT-dienstverleners dienen de serverlocaties te vermelden en het fonds op de hoogte te stellen bij wijzigingen van locaties.
  
• Met AZL, de kritieke ICT-dienstlener van het fonds, zijn in het kader van Digital Operational Resilience Act (DORA) aanvullende afspraken gemaakt over het testen van bedrijfsnoodplannen en ICT-beveiligingsmaatregelen, het rapporteren over ICT-gerelateerde incidenten en het uitvoeren van kwetsbaarheidsscans.

Het fonds is verplicht om periodiek een Risk Self Assessment (RSA) uit te voeren. Deze zelfbeoordeling helpt het fonds om de belangrijkste risico’s te identificeren en te prioriteren. De RSA wordt ieder kwartaal besproken in de vergadering van de risk- en compliancecommissie en vastgesteld in de daaropvolgende bestuursvergadering. Deze RSA is opgesteld met begeleiding van het adviesbureau Montae & Partners. De RSA omvat verschillende typen risico’s, waaronder financiële risico’s, operationele risico’s, juridische risico’s en strategische risico’s. De periodieke update van de RSA helpt het fonds om proactief in te kunnen spelen op potentiële bedreigingen en om passende beheersmaatregelen te implementeren.

In de voorfase van de Wtp-transitie was frequent tripartiet overleg van groot belang. Dit overleg vond plaats tussen drie belangrijke partijen: de werkgevers, de vakorganisaties en het bestuur van het fonds. Het doel van dit overleg was om te komen tot een gedragen transitieplan van de sociale partners. Door dit gezamenlijke overleg zorgen de partijen ervoor dat de transitie soepel verloopt en dat de belangen van alle deelnemers goed worden beschermd.

Een recent uitgevoerd Asset Liability Management onderzoek (ALM-studie), specifiek gericht op de nieuwe Wtp-regeling, biedt inzicht in de financiële positie van het fonds en de verwachte ontwikkelingen. Dit onderzoek helpt bij het afstemmen van de beleggingsstrategie op de nieuwe pensioenregeling en het minimaliseren van financiële risico’s.

Daarnaast heeft het fonds extra aandacht voor het beschermen van de dekkingsgraad met het oog op de overgang naar de Wtp. Uitgangspunt is het beschermen van de dekkingsgraad onder FTK en zo goed mogelijk voorsorteren op de Wtp-regeling door middel van het beschermen van de transitiedoelen. Als gevolg hiervan is de risicohouding van het fonds bijgesteld en is de renteafdekking van de verplichtingen verhoogd.

Bij de besluiten die het bestuur neemt in het kader van Wtp, worden de opinies van de sleutelfunctiehouders gevraagd en meegewogen in de besluitvorming. Hiermee waarborgt het fonds een zorgvuldig en compleet besluitvormingsproces.

Het inschakelen van externe adviesbureaus, zoals Montae & Partners, WTW en Ortec Finance, biedt professionele begeleiding en expertise. Deze adviseurs helpen bij het opstellen van een gedetailleerd implementatieplan, het uitvoeren van risicoanalyses en het implementeren van risicobeheersmaatregelen.