ISAE 3402: een terugblik op tien jaar assurance door TKP Pensioen

ISAE 3402: een terugblik op tien jaar assurance door TKP Pensioen

Al tien jaar loopt TKP voorop wat betreft de kwaliteit van assurance-rapportages. Het geeft klanten zekerheid over de opzet, het bestaan en de werking van een optimaal beheerste administratieve organisatie.

In augustus 2003 bracht TKP Pensioen een persbericht uit met de titel ‘TKP Pensioen eerste Nederlandse pensioenuitvoerder met SAS70-certificaat’. Sinds 2003 biedt TKP Pensioen (TKP) klanten een belangrijke waarborg voor de interne beheersing en betrouwbare financiële verslaglegging. Deze zogenaamde assurance-rapportages zijn kwaliteitsstempels op onze interne beheersing en dienstverlening. Het geeft onze klanten zekerheid over de opzet, het bestaan en de werking van een optimaal beheerste administratieve organisatie. Bijna een decennium verder is er veel veranderd in de externe omgeving van pensioenuitvoerders en vermogensbeheerders. Ook TKP maakte vele ontwikkelingen door. De essentie van het huidige ISAE 3402-rapport (voorheen SAS70) veranderde echter niet. Het doel blijft nog steeds het bieden van zekerheid aan onze klanten.

In 2003 was reeds een trend zichtbaar van pensioenfondsen die meer inzicht wilden hebben in de interne procesbeheersing van de uitbestede activiteiten. Daarnaast verlangden pensioenfondsen een onafhankelijk oordeel hierover van hun pensioenuitvoerder. De SAS70-certificering paste binnen deze trend. TKP nam met de SAS70-rapportage een vooruitstrevende positie in ten opzichte van andere (Nederlandse, maar ook buitenlandse) pensioenuitvoerders. “Omdat er geen goede alternatieven zijn, verwacht ik dat SAS70 de leidende standaard zal worden voor rapportages over de interne beheersing in de markt voor pensioenuitvoering”, aldus Anne Laning (CFO/COO van TKP Investments) in 2003. Tien jaar verder kunnen we concluderen dat deze verwachting is uitgekomen.
 

Een paar jaar verder…

Door de jaren heen nam de diepgang van onze assurance-rapportages alleen maar toe. Waar het rapport in het verleden vooral door de externe accountant van de pensioenfondsen werd beoordeeld, merken wij dat pensioenfondsbestuurders tegenwoordig steeds vaker zelf het rapport lezen en daarover vragen stellen. Omdat het rapport voor klanten bedoeld is, hebben we diverse workshops met onze klanten gehouden. Op basis van de geïnventariseerde risico’s vanuit het perspectief van een pensioenfonds, hebben we beoordeeld wat er toegevoegd kan worden aan de rapporten en waar mogelijk hebben we dit opgenomen in het rapport.

Daarnaast vragen we steeds vaker assurance-rapporten op van onze eigen serviceproviders. Als eindverantwoordelijke voor de activiteiten die zijn uitbesteed aan derde partijen, beoordelen we deze assurance-rapportages om een goed beeld te krijgen van de mate van interne beheersing en de impact die bevindingen kunnen hebben op onze organisaties en onze klanten. Hierbij wordt een risk self assessment uitgevoerd om de restrisico’s voor onze organisaties te bepalen. Als uit de impactanalyse blijkt dat deze risico’s een hoge impact kunnen hebben op de beheersing van de uitbestede processen, vindt overleg plaats met de betreffende serviceprovider om te bespreken welke acties worden genomen om de bevindingen in de toekomst te voorkomen. Indien nodig en realiseerbaar implementeren wij aanvullende beheersmaatregelen om de bevinding te ondervangen. Over deze activiteiten leggen we tevens verantwoording af aan onze klanten door dit op te nemen in ons eigen ISAE 3402-rapport.

Een nieuwe standaard

In 2010 liep TKP opnieuw voorop met de implementatie van een nieuwe standaard voor haar rapportages. Een jaar eerder dan voorgeschreven, vervingen wij de SAS70 door de ISAE 3402. Met ingang van 2011 werd vervolgens de Amerikaanse SAS70-standaard vervangen door de nieuwe internationale ISAE 3402, die deel uitmaakt van de International Standards on Assurance Engagements. De doelstelling van een ISAE 3402-rapport is, net als van een SAS70-rapport, de klant zekerheid te geven over de opzet, het bestaan en de werking van de interne beheersing voor zover dit relevant is voor de betrouwbaarheid van financiële rapportages van klanten. Eén van de belangrijkste wijzigingen van ISAE 3402 ten opzichte van de SAS70-standaard is de verplichting om het rapport te baseren op een analyse van de risico’s die de klant bij de uitbesteding loopt.

Focus op kwaliteit blijft

Was het rapport vroeger een ‘unique selling point’, tegenwoordig is een assurance-rapport gemeengoed en onderscheiden wij ons door onze uitgebreide rapporten. De rapportages omvatten namelijk alle processen voor de uitvoering van pensioenregelingen en vermogensbeheer op een zeer gedetailleerde wijze. Hierdoor is het voor klanten mogelijk om nauwkeurig inzicht te krijgen in de kwaliteit van de procesvoering. In 2012 zijn de ISAE 3402-rapportages nog verder aangescherpt. Processen zijn herijkt en in de controle- en beheersmaatregelen is de nadruk op kern- en monitoringcontroles gelegd.

TKP blijft streven naar een scherpe focus op interne beheersing die een hoog niveau van dienstverlening waarborgt. Het ISAE 3402-rapport is daarmee een adequaat instrument om pensioenfondsbestuurders in control te laten zijn over de door hen uitbestede processen.