Integriteitsrisicoanalyse bij pensioenfondsen: is dat nou nodig?

Integriteitsrisicoanalyse bij pensioenfondsen: is dat nou nodig?

Laatst gewijzigd op 15 december 2015

Artikel uit Pensioen Magazine van december 2015, door Joost Damen, compliance officer bij TKP Pensioen 

Imtech, Volkswagen, Vestia, de Libor-affaire, allemaal recente schandalen waarbij de integriteit van een onderneming én personen in het geding is gekomen. Dat komt bij pensioenfondsen toch helemaal niet voor? Of toch wel? In de pensioensector wordt veel geld beheerd, heel veel geld zelfs. Geld van anderen. Daar komt bij dat er veelal sprake is van uitvoering op afstand en dat de (beleggings)beslissingen vaak zeer complex zijn. Er zijn weliswaar geen recente incidenten bekend uit de pensioensector, maar dat hoeft niet te betekenen dat ze er niet zijn. De bestuurders van Volkswagen, Imtech, Vestia of Rabobank zullen ook hebben gedacht dat integriteitsincidenten zich niet bij hun bedrijf zouden voordoen.

De vraag is dan ook of pensioenfondsen voldoende inzichtelijk hebben welke integriteitsrisico’s ze lopen en hoe ze die het beste kunnen beheersen. DNB heeft onderzoek gedaan naar het beheersen van integriteitsrisico’s, waaronder belangenverstrengeling, bij pensioenfondsen. Over het onderzoek naar belangenverstrengeling hebben Arno Voerman en Desiree van der Veer eerder dit jaar in dit blad geschreven. [1] In dit artikel besteed ik aandacht aan het uitvoeren en het belang van de integriteitsrisicoanalyse. Hierbij put ik onder andere uit mijn eigen ervaringen bij pensioenfondsen.

HET WETTELIJK KADER

Sinds 2007 staat in art. 143 PW de norm van een integere bedrijfsvoering voor pensioenfondsen. Deze norm is nader uitgewerkt in art. 19 Besluit financieel toetsingskader pensioenfondsen (Bftk), waarin onder meer staat dat een pensioenfonds zorg moet dragen voor een systematische analyse van integriteitsrisico’s en aan de hand daarvan een integriteitsbeleid moet vaststellen en uitvoeren. In art. 20 Bftk staat dat een pensioenfonds moet beschikken over procedures en maatregelen met betrekking tot het tegengaan van belangenverstrengeling. Daarnaast staat in art. 14 Besluit uitvoering Pensioenwet en Wet verplichte beroepspensioenregeling dat pensioenfondsen een systematische analyse moeten maken van de risico’s die samenhangen met uitbestedingen. Ten slotte wordt in de Code pensioenfondsen in meerdere normen aangegeven wat het belang is van integriteit en worden normen aangedragen die ervoor moeten zorgen dat de integere bedrijfsvoering gewaarborgd is. [2]

Met deze wetgeving is beoogd dat pensioenfondsen proberen te voorkomen dat ze betrokken raken bij handelingen die tegen de wet ingaan en/of maatschappelijk onbetamelijk zijn. De gedachte hierachter is vertrouwen: voor het goed kunnen functioneren als pensioenfonds is vertrouwen van deelnemers een randvoorwaarde, en integriteit is een van de pijlers van dat vertrouwen. [3]

Adequate maatregelen

DNB ziet erop toe dat pensioenfondsen adequate maatregelen nemen ter beheersing van het integriteitsrisico. In 2015 heeft ze ruim 170 integriteitsrisicoanalyses van banken, verzekeraars, betaalinstellingen, trustkantoren en pensioenfondsen beoordeeld. Uit deze beoordeling bleek dat meer dan 80% van de analyses niet voldeed en dat er instellingen zijn die niet over een integriteitsrisicoanalyse beschikken. DNB vindt dit een tekortkoming die op korte termijn moet worden hersteld. Een integriteitsrisicoanalyse is namelijk niet alleen een wettelijke verplichting, maar ook een voorwaarde voor risicogebaseerd naleven van de integriteitswetgeving. Daarnaast is deze analyse een voorwaarde voor een toereikende inrichting van de integere bedrijfsvoering. [4] DNB vindt dit onderwerp zo belangrijk dat ze de pensioenfondsen die niet voldeden een normoverdragende brief heeft gestuurd, een (algemene) Gebruikersgids heeft opgesteld en workshops voor pensioenfondsen heeft georganiseerd.

WAT IS INTEGRITEIT EN WAT IS EEN INTEGRITEITSRISICO?

Allereerst is het van belang vast te stellen wat nu eigenlijk integriteit en een integriteitsrisico is. Volgens het rapport ‘Kijken in de Spiegel’ van Transparancy International is de definitie van integriteit: ‘Onaangetast, niet corrupt, onkreukbaar en onbedorven. Iemands integriteit wordt bepaald door de afwezigheid van inbreuken.’ [5]

In de Pensioenwet of onderliggende wetgeving is geen omschrijving van het begrip integriteit of integriteitsrisico opgenomen. In art. 1 Besluit prudentiële regels Wft (Bpr) is als definitie van integriteitsrisico opgenomen: ‘Gevaar voor de aantasting van de reputatie of bestaande of toekomstige bedreiging van vermogen of resultaat van een financiële onderneming als gevolg van een ontoereikende naleving van hetgeen bij of krachtens enig wettelijk voorschrift is voorgeschreven.’ Er wordt slechts gesproken over ontoereikende naleving van wettelijke voorschriften. Een ontoereikende naleving van bijvoorbeeld zelfregulering of interne integriteitsvoorschriften valt niet onder deze definitie.

Persoonlijk vind ik de omschrijving in het Bpr te nauw en geef ik daarom de voorkeur aan de definitie van integriteitsrisico in art. 1.6 van de modelgedragscode van de Pensioenfederatie: ‘Gevaar voor de aantasting van de (goede) reputatie, alsmede de bestaande en toekomstige bedreiging van het vermogen of resultaat van het pensioenfonds.’ Hier wordt dus nadrukkelijk een relatie gelegd met de reputatie van het pensioenfonds. Een integriteitsrisico is daarmee enerzijds gelinkt aan overtreding van wet- en regelgeving, zelfregulering en integriteitsvoorschriften en anderzijds aan de reputatie van het pensioenfonds. Een goede vraag die bestuurders zich kunnen stellen bij het bepalen of er sprake is van een integriteitsincident, is of ze het erg zouden vinden om met het desbetreffende incident in de krant die hun familie leest te staan. [6] 

Overigens gaat het bij integriteitsrisico’s niet alleen om het gedrag van (organen van) het pensioenfonds of de bestuursleden zelf, maar ook om dat van derden, zoals deelnemers, partijen aan wie wordt uitbesteed en adviseurs.

HOE WORDT EEN INTEGRITEITSRISICOANALYSE UITGEVOERD?

De integriteitsrisicoanalyse mag risicogebaseerd worden uitgevoerd. Dat betekent dat er meer aandacht aan een risico wordt besteed naarmate het risico door het pensioenfonds groter, en minder als het risico kleiner wordt geacht. Bij de behandeling van de risicocategorieën zal ik aangeven welke integriteitsrisico’s voor pensioenfondsen over het algemeen de meeste aandacht behoeven. [7]

Een tweede vereiste is dat er sprake is van een systematische benadering. Dat betekent dat de integriteitsrisicoanalyse periodiek moet plaatsvinden, om de simpele reden dat zowel de interne als de externe omgeving van het pensioenfonds continu verandert; eventuele integriteitsrisico’s en de effectiviteit van de beheersmaatregelen veranderen derhalve ook. Daarnaast is er sprake van een cyclisch proces: risico-identificatie, analyse, beheersing en vervolgens monitoring, zoals figuur 1 laat zien. DNB raadt een jaarlijkse herijking aan, of eerder wanneer sprake is van een majeure verandering in de omgeving van het pensioenfonds.

Figuur 1. Risicobeheersing belangenverstrengeling (uit: Good practices risicobeheersing belangenverstrengeling bij pensioenfondsen van DNB)

 

In principe is de integriteitsrisicoanalyse zelf en de vastlegging hiervan vormvrij. DNB heeft in haar Gebruikersgids echter een format gepubliceerd dat naar mijn mening (zeer) goed te gebruiken is. Zoals gezegd mag het pensioenfonds daarin andere keuzes maken en een eigen format blijven hanteren of ontwikkelen.

Wie voert de integriteitsrisicoanalyse uit?

Een veelgehoorde vraag in de sector is wie de integriteitsrisicoanalyse moet uitvoeren. Dit zal per pensioenfonds verschillen, maar de kern is dat het bestuur hiervoor verantwoordelijk is. DNB lijkt van mening te zijn dat het bestuur zelf bij de analyse aanwezig moet zijn. Dit vanwege doorleven van de integriteitsrisico’s die het pensioenfonds loopt. Op die manier begrijpt het bestuur wat de risico’s zijn en hoe het die probeert te beheersen. Met andere woorden, het vergroot het risicobewustzijn van het bestuur. Omdat er vaak sprake is van uitbesteding en een deel van de integriteitsrisico’s zich in de uitvoering voordoet, kan het bestuur zich laten ondersteunen door deskundigen uit de uitvoering.

Verder kan ik me voorstellen dat bij pensioenfondsen waar een (groter) bestuursbureau aanwezig is, voorwerk wordt verricht door het bestuursbureau. Het bestuur zal dan de door het bureau opgestelde integriteitsrisicoanalyse moeten beoordelen en vaststellen.

Bij het opstellen zal ook de compliance officer betrokken moeten zijn. Zijn ervaring is nodig bij het beoordelen van de effectiviteit van de beheersmaatregelen en bij het challengen van het bestuur. Uiteraard kan, naast de compliance officer, ook een andere persoon deze rol vervullen. Het is goed om deze rol van tevoren expliciet te benoemen. Dat bevordert zowel het begrip vanuit het bestuur als de mindset van de compliance officer zelf.

Scenarioschets van het pensioenfonds

Alvorens de integriteitsrisicoanalyse uit te voeren is het van belang een scenarioschets van het pensioenfonds en de daarbij betrokken partijen te maken. Hierbij moet niet alleen worden gedacht aan de organen van het fonds, maar bijvoorbeeld ook aan de werkgever(s), deelnemers, de vakbonden en uitbestedingspartners.

Risk appetite vaststellen

Vervolgens moet de aandacht worden gericht op de risk appetite van het pensioenfonds. De definitie hiervan bij COSO luidt, vrij vertaald: ‘De mate van risico, op een breed niveau, die een entiteit wil accepteren in het streven naar waarde. [8] De risk appetite is het expliciet benoemen van de grenzen waarbinnen het pensioenfonds wil acteren. Op die manier kan het pensioenfonds bepalen of het restrisico dat het loopt, acceptabel is of niet. De meest voor de hand liggende risk appetite is de zero tolerance: ieder risico wordt uitgesloten. In de praktijk zal dat niet mogelijk zijn, omdat geen enkel risico volledig te beheersen is. Het is daarom van belang vast te leggen hoe het pensioenfonds zich zal opstellen als zich toch een integriteitsincident voordoet. Bijvoorbeeld of het (arbeidsrechtelijke) sancties wil opleggen of aangifte wil doen bij justitie.

Volgens de Gebruikersgids moet eerst de risk appetite worden vastgesteld, om vervolgens te bepalen of een nettorisico hierbinnen valt. In de praktijk is dit lastig. Ten eerste omdat de risk appetite per risicoscenario zal verschillen. Het risico dat een deelnemer het pensioenfonds gebruikt om geld wit te wassen valt mogelijk eerder te accepteren dan het risico dat een bestuurder fraudeert met valse facturen. Ten tweede is een integriteitsincident (vaak) niet in geldelijk verlies te waarderen; het verlies in vertrouwen in het pensioenfonds of de reputatieschade is niet in geld uit te drukken. Mijn voorstel is daarom om een en ander pragmatisch aan te pakken: pas na scoring van het nettorisico wordt bepaald of het integriteitsrisico binnen de risk appetite valt. Hierbij is het uiteraard van belang dat het bestuur een goede afweging maakt tussen de mate van beheersing en de daarbij gemaakte kosten. Ten slotte gaat het bij het al dan niet accepteren van het resterende integriteitsrisico ook in belangrijke mate om het ‘onderbuikgevoel’. Daarmee bedoel ik dat het bestuur een integriteitsrisico met bijvoorbeeld een nettoclassificatie ‘midden’ wel wil accepteren, maar bij een ander integriteitsrisico met een nettoclassificatie ‘laag’ toch aanvullende beheersmaatregelen wil nemen. 

Risicocategorieën

DNB noemt in de Gebruikersgids de volgende voorbeelden van integriteitsrisico’s: [9]

  • belangenverstrengeling;
  • witwassen;
  • terrorismefinanciering;omzeilen sanctieregelgeving;
  • interne en externe fraude;
  • marktmanipulatie;
  • corruptie (omkoping);
  • cybercrime;
  • ontduiking of ontwijking fiscale wetgeving;
  • maatschappelijk onbetamelijk gedrag.

Naast de door DNB genoemde voorbeelden voeg ik de risicocategorieën voorwetenschap en de integriteitsrisico’s bij de (onder)uitbesteding toe, omdat deze risico’s zich kunnen openbaren bij pensioenfondsen. [10] 
Omdat belangenverstrengeling een veelomvattend begrip is, adviseer ik dit risico op te splitsen in de vier deelcategorieën zoals die in het onderzoek naar belangenverstrengeling naar voren kwamen: nevenfuncties, relatiegeschenken, privébelangen en privérelaties. Van de hiervoor genoemde risicocategorieën zijn naar mijn mening met name belangenverstrengeling (alle vier deelcategorieën), integriteitsrisico’s bij (onder) uitbesteding, voorwetenschap en cybercrime de risico’s waar bij pensioenfondsen de meeste aandacht aan moet worden besteed. Dit is in lijn met de risicogebaseerde aanpak van de integriteitsrisicoanalyse. Speciale aandacht verdienen de risicocategorieën nevenfuncties, privébelangen en privérelaties. In de pensioensector zijn nevenfuncties gemeengoed. Ook hebben bestuurders vaak een uitgebreid netwerk binnen de pensioensector. Dat is een goede zaak, het zorgt onder meer voor professionaliteit in de sector. Tegelijkertijd kan een van deze factoren leiden tot (de schijn van) belangenverstrengeling. Zolang transparant is wanneer daarvan sprake kan zijn en er voldoende harde beheersmaatregelen zijn – zoals registratie – kunnen nevenfuncties en een goed netwerk juist leiden tot een betere belangenafweging binnen het pensioenfonds. Denk aan een bestuurder die bij een ander pensioenfonds minder goede ervaringen heeft opgedaan met een adviseur of een partij aan wie wordt uitbesteed. Het is aan de professionele (en persoonlijke) beoordeling van de bestuurder om te bepalen welke informatie wel of niet kan worden gedeeld.

DE UITVOERING IN STAPPEN

De integriteitsrisicoanalyse zelf wordt aan de hand van de volgende stappen uitgevoerd.

1. Scenario’s per integriteitsrisico

Dit betekent dat de deelnemers aan de integriteitsrisicoanalyse zelf een scenario bedenken dat zich bij het pensioenfonds kan voordoen. Hierbij moet het risico zo gedetailleerd mogelijk worden aangegeven. Om tot de beste omschrijving te komen is het goed om ieder scenario te beginnen met de woorden: het risico dat... Bijvoorbeeld bij het integriteitsrisico belangenverstrengeling- nevenfuncties: ‘Het risico dat de besluitvorming van het pensioenfonds negatief wordt beïnvloed door een nevenfunctie van een bestuurder en daardoor wordt uitbesteed aan een partij die te veel kosten in rekening brengt.’ Het verdient aanbeveling om bij het bepalen van de scenario’s ook te denken aan incidenten die zich in het verleden
hebben voorgedaan.

2. Classificatie van het brutorisico

Aan de hand van een kans-maal-impactanalyse wordt het brutorisico bepaald. Dat wil zeggen dat wordt beoordeeld wat de kans is dat een specifiek scenario zich voordoet en de impact die dit op het pensioenfonds heeft. Het is goed om dit uit te drukken in een waarde, zodat een onderlinge vergelijking mogelijk is. Omdat het gaat om het brutorisico, moet worden bekeken welk risico er inherent wordt gelopen, dat wil zeggen zonder beheersmaatregelen. In de praktijk merk ik dat het bepalen van het brutorisico lastig is, omdat het in de aard van de mens ligt om direct aan beheersmaatregelen te denken. Het is echter wel een stap die DNB belangrijk vindt en dus niet moet worden overgeslagen. 

In de Gebruikersgids staan enkele voorbeelden voor de classificatie. Het verdient aanbeveling om gebruik te maken van kleuren, omdat dit visualiseert of een risico als hoog, midden of laag kwalificeert. Classificeren is geen exacte wetenschap; van belang is dat er een goed beeld is van het integriteitsrisico en de discussie die hierover in het bestuur wordt gevoerd. Eventueel kan de compliance officer hierbij richting geven.

3. Beheersmaatregelen benoemen

De beheersmaatregelen moeten worden benoemd. Overigens zal in de praktijk blijken dat het pensioenfonds veel van die maatregelen al heeft getroffen. Hierbij gaat het niet alleen om harde, formele beheersmaatregelen – zoals functiescheiding of het opstellen van een uitbestedingsbeleid – maar ook om gedrag en cultuur bij het pensioenfonds en de uitbestedingspartners. Denk hierbij aan de cultuur binnen het bestuur, zoals de mogelijkheid om zaken bespreekbaar te maken en soft control instrumenten als de gedragscode. 

Bij risicobeheersing is het altijd belangrijk om te kijken naar gedrag en cultuur, maar bij het beheersen van integriteitsrisico’s is dit essentieel. Uiteraard is het mogelijk om met hard controls de kans op integriteitsincidenten te verkleinen, maar bij een niet-integere cultuur zal dat veel minder zoden aan de dijk zetten. Het bestuur moet daarom gedrag en cultuur, ook al zijn deze minder goed te meten, ook zeker meenemen in de beheersmaatregelen. De compliance officer kan hierbij de rol van challenger vervullen. 

Het is verder aan te bevelen om na te gaan of er geen sprake is van ‘controle-obesitas. [11] Meer regels en procedures kunnen leiden tot (schijn)zekerheid. Het is soms beter te vertrouwen op de persoonlijke beoordeling van de bestuurder dan allerlei (overbodige) beheersmaatregelen in te voeren. Houd hierbij rekening met de risicogebaseerde gedachte: meer beheersmaatregelen waar dat moet en minder waar dat kan. Uit de integriteitsrisicoanalyse kan ook blijken dat bepaalde
beheersmaatregelen overbodig zijn en kunnen worden afgeschaft.

4. Classificatie van het nettorisico

Na het vaststellen van de beheersmaatregelen moet het nettorisico worden bepaald. Dat betekent dat de werking van de beheersmaatregel wordt meegewogen. Ook hierbij moet de compliance officer zijn rol als materiedeskundige vervullen, omdat hij een goed beeld heeft van het niveau van beheersing. Bij de classificatie van het nettorisico wordt dezelfde methodiek gehanteerd als bij het brutorisico.

5. Eventueel aanvullende beheersmaatregelen benoemen

Als het nettorisico groter is dan de risk appetite of als het bestuur van mening is dat dit nodig is, benoemt het aanvullende beheersmaatregelen. Van belang daarbij is om een actiehouder en tijdslijn aan te geven. 

Om te kunnen aantonen dat het pensioenfonds de integriteitsrisicoanalyse heeft uitgevoerd, is het aan te bevelen een verslag te maken. Naast het opnemen van de risicocategorieën, risicoscenario’s, brutoclassificatie, beheersmaatregelen, nettoclassificatie en eventuele aanvullende beheersmaatregelen, is het van belang hierbij aan te geven hoe de analyse is uitgevoerd en wie hierbij aanwezig waren. Ook is het aan te bevelen om aandacht te besteden aan de risk appetite, scenarioschets en periodiciteit van de integriteitsrisicoanalyse. Eventuele actiepunten uit de analyse moeten worden opgepakt. De analyse (met toelichting) of een samenvatting daarvan kan worden gedeeld met de medewerkers van het bestuursbureau en de overige organen van het pensioenfonds. Op die manier zijn ook die op de hoogte van wat het pensioenfonds als grootste integriteitsrisico’s inschat en welke beheersmaatregelen hiervoor zijn getroffen. De integriteitsrisicoanalyse moet in ieder geval niet in een la belanden om daar vervolgens jaarlijks te worden uitgevist en afgestoft.

WAT LEVERT DE INTEGRITEITSRISICOANALYSE OP?

Een correct uitgevoerde integriteitsrisicoanalyse levert het pensioenfonds waardevolle inzichten en informatie op. Niet alleen geeft ze het bestuur inzicht in de integriteitsrisico’s van het fonds, maar worden de scenario’s door het gezamenlijk benoemen ervan doorleefd, wat bij de bestuurders tot extra bewustwording leidt. Ook kan de analyse als input dienen voor het integriteitsbeleid. Zo kan het fonds aanvullende informatie of rapportages bij uitbestedingspartners opvragen. Ten slotte kan de analyse ook leiden tot vermindering of vermeerdering van controles. Want, zoals gezegd: meer beheersmaatregelen waar dat moet en minder waar dat kan.

VERVOLGONDERZOEK DNB

Per brief heeft DNB in oktober jl. alle onder toezicht staande instellingen laten weten dat ze in 2016 verder gaat met het thema integriteitsrisicoanalyse. Daarbij zal ze met name letten op de implementatie en het gebruik van de integriteitsrisicoanalyse en de risk appetite. Gezien het belang dat DNB hecht aan de beheersing van integriteitsrisico’s zal dit geen loze belofte zijn.

CONCLUSIE

Integriteitsrisico’s kunnen grote gevolgen hebben voor het pensioenfonds, de pensioenfondsbestuurder en (mogelijk) de pensioensector.

Sinds de invoering van de Pensioenwet in 2007 zijn pensioenfondsen verplicht om een systematische integriteitsrisicoanalyse uit te voeren. Recent onderzoek van DNB heeft echter uitgewezen dat ze nog niet allemaal aan deze verplichting voldoen. Het is aan de pensioenfondsbestuurder om deze analyse uit te voeren. Het gaat hierbij om het bewustwordingsproces en het inzichtelijk maken van de integriteitsrisico’s die zich bij het pensioenfonds kunnen voordoen. Zonder goede analyse kan een bestuur niet weten of het deze risico’s voldoende beheerst. Bovendien levert ze waardevolle inzichten en informatie op die het bestuur verder kunnen helpen bij het herijken van het integriteitsbeleid. Wellicht leidt een en ander tot extra beheersmaatregelen of juist tot afschaffing ervan omdat ze overbodig blijken te zijn.

Kortom, als mij wordt gevraagd of de integriteitsrisicoanalyse bij pensioenfondsen wel nodig is, luidt mijn antwoord volmondig ja.


  1. Van der Veer en Voerman, Belangenverstrengeling: een belangwekkend thema, Pensioen Magazine mei 2015.
  2. Zie bijvoorbeeld normen 72 t/m 83 Code pensioenfondsen.
  3. Zie Open boek toezicht DNB http://www.toezicht. dnb.nl/2/2/50-202628.jsp.
  4. DNB, De integriteitrisicoanalyse, Meer waar dat moet, minder waar dat kan, p. 4.
  5. Rapport ‘Kijken in de spiegel’, Werkgroep Integriteit Pensioenfondsen in opdracht van Transparancy International Nederland, p. 44.
  6. Vergelijkbaar met de ‘newspaper-test’ van Warren Buffett; zie https://www.youtube.com/ watch?v=EBdIeOh7M0M.
  7. Uiteraard moet ieder pensioenfonds hierbij zijn eigen afwegingen maken.
  8. COSO Enterprise Risk Management, Understanding and Communicating Risk Appetite, p. 1.
  9. DNB geeft aan dat dit geen limitatieve opsomming is. Het pensioenfonds zal zelf moeten bepalen of in zijn geval nog aanvullende integriteitsrisicocategorieën gelden.
  10. Bij uitbesteding kunnen de integriteitsrisico’s van de andere risicocategorieën zich voordoen. Echter, omdat uitbesteding gemeengoed is in de pensioensector, vind ik het verstandig dat integriteitsrisico’s bij (onder) uitbesteding separaat worden behandeld.
  11. Olof Bik, ‘Controle-obesitas: middel erger dan de kwaal’, Het Financieele Dagblad, 28 juni 2010.