Onderzoek naar implementatie sleutelfunctie interne audit bij pensioenfondsen

Eind 2020 hebben bijna alle pensioenfondsen een sleutelfunctie interne audit (IA) ingericht. De grote fondsen moesten een jaar eerder de inrichting hebben afgerond en hebben nu één jaar een actieve interne auditfunctie (IAF). Samen met drs. Karin Aarssen AAG RBA heeft Edward een onderzoek uitgevoerd om pensioenfondsen handvatten aan te reiken voor de sleutelfunctie interne audit. Op basis van een survey met 105 respondenten en vijf panelgesprekken is in beeld gebracht hoe de nieuwe sleutelfunctie is ingericht binnen de fondsgovernance en welke discussies hier nog spelen.

Hoge mate van uitbesteding – effect op functioneren IAF

Voor de inrichting van de IAF is het relevant dat de meeste pensioenfondsen de pensioenadministratie en het vermogensbeheer hebben uitbesteed en zelf een heel kleine organisatie hebben. Gemiddeld staan er drie personen op de loonlijst, want alleen de grote pensioenfondsen hebben een eigen bestuursbureau voor ondersteuning van het bestuur. De werkzaamheden van de IAF worden daarom bijna altijd uitbesteed.

Verder is sprake van een sterk gereguleerde omgeving met veel organen / partijen die – met een andere bril – deels naar dezelfde processen en risico’s kijken. Zo is de IAF een derdelijns sleutelfunctie op fondsniveau, die zich samen met de tweedelijns risicobeheerfunctie richt op de werkzaamheden bij de uitvoeringsorganisatie(s) én op de werkzaamheden binnen het fonds. Belangrijk om de taken en verantwoordelijkheden goed op elkaar af te stemmen.

De onderstaande tabel toont de fondsgovernance, inclusief de drie sleutelfuncties en de organen voor medezeggenschap (verantwoordingsorgaan of belanghebbendenorgaan) en intern toezicht (een Raad van Toezicht, visitatiecommissie of niet-uitvoerende bestuursleden in een one-tier bestuursmodel). Dit naast de uitvoerende / controlerende werkzaamheden bij de uitvoeringsorganisaties. Er kan dus zowel bij het fonds als bij de uitvoerders onderscheid worden gemaakt naar eerste-, tweede- en derdelijns werkzaamheden.

Belangrijkste observaties vanuit het onderzoek

Effectieve en proportionele inrichting bepalend voor waardecreatie 

• De bestuurders in het onderzoek vinden een effectieve, proportionele inrichting van de IAF bepalend om meerwaarde te kunnen creëren.
• Bestuurders zien als belangrijkste meerwaarde dat de IAF door haar onafhankelijke rol meer zekerheid kan geven over de werking van processen / systemen (en risico’s hierin) en zien daarbij graag ook verbetervoorstellen.
• Bestuurders verwachten een adviesrol van de sleutelfunctie risicobeheer en niet van de sleutelfunctie interne audit.
• Uit de survey blijkt dat vaak wordt gekozen voor rapportage- en escalatielijnen naar de Raad van Toezicht om de onafhankelijke positie van de IAF beter te borgen. Ook worden vaak gerichte afspraken gemaakt over de uitwisseling van informatie van en  naar de sleutelfunctie.

Maximaal samenwerken met risicobeheerfunctie en uitvoeringsorganisatie(s) 

De sleutelfuncties interne audit en risicobeheer moeten zoveel mogelijk samenwerken en informatie delen om:

• Vanuit hun taak zicht te houden op de (uitbestede) werkzaamheden en (uitbestedings)risico’s.
• Dubbel werk en blinde vlekken te voorkomen.
• Verschillende rollen: de risicobeheerfunctie (RBF) monitort risico’s meer in de breedte en heeft ook een adviesrol, waarbij de interne auditfunctie steeds (risicogebaseerd) op een bepaald deel van de bedrijfsvoering meer de diepte ingaat. Dat vonden de experts in de panelsessies en is ook in het belang van het pensioenfonds.

Uit de survey is naar voren gekomen dat de samenwerking met de risicobeheerfunctie nog wel beter kan: slechts 63% van de sleutelfunctiehouders IA neemt de input van de risicobeheerfunctie mee in hun risico-opvattingen. En maar in de helft van de gevallen is er periodiek overleg over de risicoanalyses en de uitkomsten van onderzoeken van beide sleutelfuncties. Hopelijk gaan deze percentages omhoog nu meer sleutelfuncties IA bij kleine fondsen werkzaam worden.

Samenwerking met uitvoerder loont

De IAF moet een audit right hebben bij de pensioenuitvoerders om haar werk goed te kunnen doen. Toch zal de IAF daar spaarzaam gebruik van willen maken. Het is veel kosten- efficiënter en ook uitvoeringstechnisch effectiever om aan te sluiten op de controle- en interne auditactiviteiten bij de uitvoerder(s). Het is daarom aan te bevelen om afspraken te maken met de pensioenadministrateur en vermogensbeheerder(s) over:

• De reikwijdte van de ISAE 3402-verklaringen.
• Het meenemen van klantwensen in het auditplan van de uitvoeringsorganisatie.
• Het verstrekken van gedetailleerde auditrapportages door de IAF van de uitvoerder, inclusief een (mondelinge) toelichting hierop.

Vanuit Code Pensioenfondsen: stevige relatie met intern toezicht is gewenst

In de panelsessies vonden de meeste experts de volgende afspraken gewenst:

• Periodieke rapportage ter informatie aan intern toezicht, minimaal jaarlijks.
• Periodiek overleg tussen de sleutelfunctiehouder IA en intern toezicht, minimaal jaarlijks.
• Escalatielijn naar intern toezicht (als gelegenheid om in te grijpen) vóórdat de sleutelfunctiehouder IA in het kader van meldplicht naar DNB stapt.
• Inbreng voor het audit jaarplan door intern toezicht, vooraf bij de inventarisatie of als advies bij het concept audit jaarplan.

Meer weten?

Wilt u graag meer informatie over bovenstaand? En wilt u in contact komen met een specialist die de verbinding legt met de actoren van een pensioenfonds en het bestuur (en intern toezicht) ondersteunt bij een proportionele invulling van deze nieuwe functie? Neem contact op met Edward Mulder, specialist in de (audit van) pensioenfondsen, per e-mail of per telefoon: +31 (0)88 277 12 51. Hij helpt u graag verder.