Beheersing uitbesteding in de pensioensector Naar balans tussen regels en vertrouwen
Drs. Peter van Toledo RE RA, drs. Jacco van Kleef RA en Suzanne Stoof MSc RA Pensioenfondsen hebben een groot deel van hun processen uitbesteed aan pensioenuitvoerders. Door de afstand tot de uitvoering heeft een pensioenfondsbestuur geen directe controle op de uitbestede processen. Het uitbesteden heeft daarmee een directe impact op de inrichting van het risicomanagement van een pensioenfonds. Partijen worstelen met een goede inrichting van risicomanagement toegesneden op de risico’s van het pensioenfonds. Voor de beheersing van de uitbestede dienstverlening zijn daarmee niet alleen rapportages van de serviceorganisatie van belang, maar vormt het creëren van een balans tussen regels en vertrouwen (trust rules) een belangrijke basisvoorwaarde.
Inleiding Drs. P.C.J. van Toledo RE RA is director bij KPMG Advisory.
[email protected]
Drs. J.C. van Kleef RA
is senior manager bij KPMG Accountants.
Uitbestedingsrisico Het risico dat de continuïteit, integriteit en/of kwaliteit van de aan derden uitbestede werkzaamheden dan wel door deze derden ter beschikking gestelde apparatuur en personeel wordt geschaad. DNB Handboek FIRM 2005 (http://www.toezicht.dnb.nl/4/2/1/50-203958.jsp)
Pensioenfondsen besteden een groot deel van hun proces sen uit aan serviceorganisaties. De motivatie voor deze uitbesteding ligt in governancediscussies (splitsing beleid & uitvoering), kostenverlaging, ontbrekende kennisni veaus in de eigen organisatie en uiteindelijk het beperken van risico’s ([Wess10]). Vervolgens worden door de service organisatie zelf ook nog de nodige processen uitbesteed aan subserviceorganisaties. Processen die in de praktijk uitbesteed worden, betreffen vaak het (fiduciair) vermo gensbeheer en de IT-processen.
[email protected]
Mw. S. Stoof MSc RA
is assistent manager bij KPMG Accountants en adviseur bij KPMG Advisory.
[email protected]
Door de uitbesteding draagt het pensioenfondsbestuur als opdrachtgever de directe invloed en verantwoordelijkheid over de uitbestede activiteiten over aan de serviceorgani satie als opdrachtnemer. Ondanks dat het pensioenfonds op afstand komt te staan blijft het pensioenfondsbestuur, als hoogste orgaan, (mede op grond van de Pensioenwet (artikel 34 PW)) eindverantwoordelijk. Het beheersen van het uitbestedingsrisico vormt daarmee voor het pensioen fonds onderdeel van zijn (integrale) risicomanagement. Om het uitbestedingsrisico voor het pensioenfonds te beheersen is in de praktijk een raamwerk van afspraken en maatregelen ingericht. Zo zijn afspraken vastgelegd in bijvoorbeeld uitvoeringsovereenkomsten, service level
32
Pensioenfondsbesturen worden steeds vaker door deelnemers en toezichthouder aangesproken op hun verantwoordelijkheid
agreements (SLA’s) en vermogensbeheer- en mandaatovereenkomsten. De serviceorgani satie doet periodiek verslag over de door haar uitgevoerde activiteiten en behaalde doelen in bijvoorbeeld SLA-rapportages, risicorap portages en performancerapportages en meestal jaarlijks met een Service Organisatie Controle (SOC)-rapport. Bij deze laatste categorie wordt door pen sioenfondsen ook zekerheid gevraagd van een onafhanke lijke auditor. Het pensioenfonds moet in zijn risicoanalyse minimaal het risico van uiteenlopende belangen bij uitbesteding adresseren ([Pens12]). Pensioenfondsbesturen worden door incidenten rondom bijvoorbeeld de kwaliteit van pensioenadministraties ([AFM10] en [DNB12]) steeds vaker door deelnemers en toezichthouder aangesproken op hun verantwoordelijk heid. Als reactie hierop signaleren wij dat de teugels naar serviceorganisaties strakker worden aangehaald en rapportages en prestaties kritischer worden bezien. De serviceorganisaties gaan met deze toenemende vraagstel ling op verschillende manieren om. Bij sommige service organisaties resulteert dit in uitgebreidere tussentijdse risicorapportages, bij andere resulteert dit in uitgebreidere SOC-rapportages met nog meer beheersingsmaatregelen op onderdelen waar incidenten zijn gesignaleerd. Uiteindelijk resulteert dit in een toename van controle maatregelen, meer verantwoordingsrapportages en een toenemende vraag naar onafhankelijke toetsing (zeker heid) bij verantwoordingen. Wij stellen ons daarbij regelmatig de vraag of dit uiteindelijk resulteert in meer ‘control’ en of incidenten daardoor niet meer voorkomen. Of is daar iets anders voor nodig? Worden alle risico’s nu afgedekt en is duidelijk voor pensioenfondsen welke risico’s niet worden afgedekt?
verantwoording af te leggen over de processen die van belang zijn voor de financiële rapportage (jaarrekening) van hun opdrachtgevers. Door de auditor wordt hierbij gerapporteerd op basis van Standaard/ISAE 3402. Een bredere scope van processen buiten financial reporting is daarbij mogelijk onder Standaard/ISAE 3000 ([Beek10]). In het onderzoek ([Pens13]) blijkt ook dat op de inhoud, toegankelijkheid en vertaling naar de relevantie voor het pensioenfonds er ruimte is voor verbetering. Onderwer pen als compliance en integriteitsbeleid worden node gemist. Hieruit blijkt dat SOC-rapporten een duidelijker rol krijgen in de governance van het pensioenfonds en pensioenfondsen op zoek zijn naar een bredere scope van risicoverantwoording en toegankelijker rapportages.
Op welke wijze zijn verbeteringen in ‘in control’ te realiseren? In de principaal-agenttheorie worden belangentegen stellingen verondersteld tussen opdrachtgever en opdrachtnemer. Het is daarom interessant deze belangen tegenstellingen tussen pensioenfonds en serviceorganisa tie nader te beschouwen.
In de beheersing van uitbesteding nemen SOC-rapporten een prominente plaats in. In oktober 2012 heeft KPMG een onderzoek uitgevoerd onder honderd pensioenfondsen ([Pens13]). In dit onderzoek blijkt dat pensioenfondsen aangeven dat SOC-rapporten voldoende bijdrage leveren aan de interne beheersing. De SOC-rapportages worden echter vooral ervaren als product voor de accountant. Aan gezien de oorsprong van dergelijke rapporten (SAS 70) ligt in de accountantswereld is dit ook logisch. Mede hierdoor kiezen serviceorganisaties er veelal voor om uitsluitend
SOC-rapporten zijn in het verleden vaak op basis van inzichten van de serviceorganisatie opgesteld. Een echte afstemming hierover met de opdrachtgevers (pensioen fondsen) vond zelden plaats. Inmiddels zien wij in de praktijk steeds vaker dat afstemming plaatsvindt tussen pensioenfonds en serviceorganisatie, maar een geïnte greerde, op risico gebaseerde, aanpak ontbreekt veelal. Daarbij worden vaak kleine wijzigingen of toevoegingen gemaakt in de inhoud van het rapport. Niet-relevante beheersingsmaatregelen worden veelal niet verwijderd. Hiermee wordt de uiteindelijke toegankelijkheid van een SOC-rapport niet vergroot. Sterker nog, controleraamwer ken dekken mogelijk niet alle relevante risico’s van het pensioenfonds af en verliezen aan efficiency voor de ser viceorganisatie. Hetzelfde geldt ook voor de tussentijdse risicorapportages. Een fundamentele afweging over welke risico’s voor het fonds relevant zijn en met welke diepgang deze dienen te worden afgedekt, zou hieraan een positieve verandering kunnen geven.
Compact_ 2013 2
IT-assurance en -certificering
Wat vinden de pensioenfondsen zelf van de SOC-rapporten?
33
Serviceorganisatie
Pensioenfonds Specifieke eisen
Generieke processen en multi client
Compliance
Behalen servicelevels
Accountant (risico’s jaarrekening)
Fonds (risicobeheersing)
In control-statement
IASE 3402 (contract)
Risico’s gebruikers (uniek)
TheSa TheSa TheSa
Generieke risico’s
Transparantie
Imago en concurrentiepositie
Taken/verantwoordelijkheden fonds risicomanagement
Taken/verantwoordelijkheden uitvoerder risicomanagement
Proceskwaliteit (stapeling ISAE’s)
Inhoudelijke kwaliteit (DNB)
Materialiteit fonds
Materialiteit uitvoerder
Figuur 1. Spanningsvelden van ‘in control’ in de relatie tussen pensioenfonds en serviceorganisatie.
Om tot deze effectiviteit- en efficiencyslag in controleraam werk, risicorapportages en SOC-rapporten te komen is het van belang om belangentegenstellingen tussen opdracht gever en opdrachtnemer in ogenschouw te nemen. Door de belangentegenstellingen te kennen kan hierop in het controleraamwerk en de rapportages worden ingespeeld. Vanuit het pensioenfonds verhoogt dit de effectiviteit van het toezicht op uitbesteding en voor de serviceorganisa tie biedt dit de mogelijkheid om focus aan te brengen. In figuur 1 is een aantal belangrijke tegengestelde belangen in de relatie tussen pensioenfonds en serviceorganisaties weergegeven. Eisen vanuit SLA, financial audit, compliance, business Processen
Financial audit
ISAE 3402
Service Level Agreement
In-control statements
...
Entity level Vermogensbeheer Pensioenbeheer Betalingsverkeer HR IT
OL R NT O C & K RIS
Met de bredere doelstellingen van de uitvoerder in het achterhoofd dient het pensioenfondsbestuur vervolgens een analyse van zijn eigen risico’s te vervaardigen. In deze risicoanalyse worden risico’s en (maximaal) gewenste exposures geformuleerd. Deze dienen vervolgens samen met verwachtingen en eisen in een actieve dialoog met de serviceorganisatie te worden gecommuniceerd. In de praktijk zien wij steeds meer raamwerken ontstaan, die de diverse compliancebehoeften afdekken zoals jaarreke ning, SLA, etc. Hoe handzamer dit risk- en controleraam werk des te beter kan dit dienen als communicatiemiddel naar de uitvoerder toe.
Het governance-, risk- en controleraamwerk van de ser viceorganisatie ligt daarbij idealiter in het verlengde van het raamwerk van het pensioenfonds. Het zou nog beter zijn om te komen tot een geïntegreerd framework (zie figuur 2). Immers, daar waar sprake is van een gedeeld 8,5/10 TheSansBold risicobeeld kan optimaal op elkaar wordenTheSansSemiBold ingespeeld. 8,5/10 Indien een serviceorganisatie de risico’s van het fonds niet TheSansSemiBoldItalic 8,5/1 belegt in het eigen risk- en controleraamwerk, dan zal hier een focus van het pensioenfonds op moeten liggen. Het 1 1 pensioenfonds zal dan voor aanvullende acties staan in het kader van de controle op uitbesteding. Daar waar de opdrachtgever dit wenselijk vindt kan om (aanvullende) externe assurance door de auditor van de serviceorganisa tie worden verzocht.
...
Figuur 2. Een praktische uitwerking van een geïntegreerd en gedeeld controleraamwerk.
34
Beheersing uitbesteding in de pensioensector
Dialoog tussen pensioenfonds en serviceorganisatie Om te komen tot een geïntegreerd risico- en controle raamwerk is een actieve dialoog tussen pensioenfonds en serviceorganisatie noodzakelijk. De risicoanalyse van het pensioenfonds kan daarbij als basis dienen. In deze risico analyse worden risico’s en (maximaal) gewenste exposures geformuleerd. Deze worden samen met verwachtingen en eisen gecommuniceerd aan de serviceorganisatie. Door in deze dialoog te komen tot een gedeeld risicobeeld kan het pensioenfonds zichtbaar en effectief in control zijn en kan de serviceorganisatie op een efficiënte wijze maximaal klantbelang nastreven. Deze dialoog is schematisch weer gegeven in figuur 3.
Balans tussen regels en vertrouwen Uitbesteding en de beheersing van uitbestede processen kan pas succesvol zijn als partijen in een partnership met een gezamenlijk doel opereren. Transparantie en vertrou wen in elkaar zijn daarbij belangrijke voorwaarden. Er is immers een grens aan het uitbreiden van beheersings maatregelen in het controleraamwerk, zowel in de balans tussen het aantal hard en soft controls als in termen van de totale kosten van interne beheersing. Om hierin een optimum te bereiken is naar onze mening een actieve dialoog tussen partijen noodzakelijk. Een dialoog gebaseerd op wederzijds vertrouwen waarbij de volgende twee vragen de aandacht vragen:
••
Zijn de investeringen in risicobeheersing doeltreffend en leiden ze daadwerkelijk tot een lager risicoprofiel? •• Schiet risicobeheersing haar doel niet voorbij en leidt zij tot ongewenste effecten, zoals een cultuur van angst en toenemende juridisering?
Uitvoerder
Fondsen Verwachtingen & eisen verschaffen
Toegankelijke rapportage opleveren • Geïntegreerd framework • Visie ‘3 lines of defense’ • Auditaanpak
Effectief & zichtbaar in control
Efficiënt & met zichtbare kwaliteit van dienstverlening
Figuur 3. Toenemende eisen van pensioenfondsen en serviceorganisatie vragen om een nieuwe visie op ‘in control’.
Om dit te bereiken heeft KPMG ([Wall09]) negen trust rules geformuleerd waarmee concreet gewerkt kan wor den aan een goede balans tussen regels en vertrouwen. Deze zijn weergegeven in figuur 4. Concrete voorbeelden van hoe het pensioenfonds een goede balans tussen regels en vertrouwen kan creëren zijn onder meer:
•• Geef elkaar verantwoordelijkheid en vertrouwen: schriftelijk vastleggen van afspraken in een uitbestedings overeenkomst over de werkzaamheden en verantwoorde lijkheden die worden uitgevoerd. Durf te experimenteren en leer van ervaringen Ga mild om met misverstanden en maak korte metten met misbruik
Maak contact persoonlijk
Definieer gezamenlijke doelstellingen
Geef het goede voorbeeld
Trust rules
De ervaring leert dat het rapporteren over interne beheer singsmaatregelen en de werking hiervan niet alleen tot goede beheersing leidt. Mogelijke belangenverstrengeling wordt niet opgelost door de uitbreiding van de risico- en controlematrix. Incidenten kunnen nog steeds voorko men. Het aangaan van de dialoog met elkaar over root causes van geconstateerde deficiënties en incidenten is vaak effectiever en efficiënter dan het toevoegen van meer beheersingsmaatregelen. Vaak is het instellen van meer beheersingsmaatregelen het gevolg van een gebrek aan transparantie en daardoor vertrouwen in elkaars deskundigheid. Het is daarom belangrijk om te komen tot een situatie waarin vertrouwen regeert en waarbij wordt uitgegaan van het halen van een gezamenlijk doel.
Figuur 4. Een goede balans tussen controls en trust: implementeren trust rules.
Compact_ 2013 2
IT-assurance en -certificering
Zet in op geïnformeerd vertrouwen, niet op blind vertrouwen
Bouw vertrouwen op met goede regels Houd koers en bewaar rust, ook als iets misgaat
Geef elkaar verantwoordelijkheid en vertrouwen
35
Het aangaan van de dialoog met elkaar is vaak effectiever en efficiënter dan het toevoegen van een aantal beheersingsmaatregelen •• Definieer gezamenlijke doelstellingen en bouw ver trouwen op met goede regels: stel een Service Level Agree ment op tussen pensioenfonds en serviceorganisatie om verschillen van inzicht over de gewenste informatie te voorkomen en gezamenlijke doelstellingen te definiëren. Hierin kunnen bijvoorbeeld ook overlegstructuren wor den afgesproken tussen pensioenfonds en serviceorgani satie. •• Zet in op geïnformeerd vertrouwen, niet op blind vertrouwen: rapportages zijn afgestemd op verwachtingen en eisen van het pensioenfonds, bijvoorbeeld op basis van een dashboard dat is gebaseerd op de risicoanalyse van het pensioenfonds. Transparantie is van belang. •• Maak contact persoonlijk: periodieke afstemming/ gesprekken tussen pensioenfonds en serviceorganisatie om de dienstverlening te evalueren en indien nodig te verbeteren. Mocht het voorkomen dat er fouten worden gemaakt door de serviceorganisatie of dat afspraken niet worden nage komen, dan is het van belang om in gesprek te gaan over deze incidenten. Een cultuur waarin fouten bespreekbaar zijn zal hierdoor worden gecreëerd, zodat daaruit lering kan worden getrokken. Essentieel is dat misbruik van vertrouwen in deze situaties meteen gede-escaleerd moet worden, omdat dit het gezamenlijke doel in de weg staat. Dit is gerelateerd aan de trust rule ‘ga mild om met misver standen en maak korte metten met misbruik’.
Conclusie Het pensioenfondsbestuur is verantwoordelijk voor de uitbestede processen aan een serviceorganisatie. Om tegemoet te komen aan de toenemende eisen vanuit het maatschappelijk verkeer en de toezichthouder op het punt van ‘in control’ zijn, is een gestructureerde aanpak vereist. Een actieve dialoog en afstemming tussen pensioenfonds en serviceorganisatie is van belang om duidelijkheid te creëren over de risico’s, wensen, eisen en eventuele span ningsvelden in de relatie. Alleen dan kunnen de risico- en controleraamwerken van pensioenfonds en serviceorga nisatie effectief zijn en zich beperken tot de risico’s die relevant zijn. Bovendien worden hierdoor waarborgen
36
Beheersing uitbesteding in de pensioensector
gecreëerd dat tussentijdse risico rapportages en SOC-rapporten aansluiten op de wensen van de pensioenfondsen.
Goede beheersing in een outsour cingsrelatie bevat meer dan alleen het inrichten van beheersingsmaat regelen, rapportages en verantwoording afleggen. Er dient een cultuur te zijn waarin incidenten en verbeterpunten openlijk kunnen worden besproken en root-causes kun nen worden achterhaald. Dit is alleen mogelijk indien een goede balans tussen regels en vertrouwen wordt gecreëerd. De negen trust rules bieden hiervoor handvatten.
Literatuur [AFM10] Autoriteit Financiële Markten, Rapport Juistheid UPO, oktober 2010. [Beek10] Drs. Jaap van Beek RE RA en drs. Marco Francken RE RA CISA, SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording, Compact 2010/1. [DNB12] De Nederlandsche Bank, Quinto Pensioenfondsen, april 2012. [Pens12] Pensioenfederatie, Integraal risicomanagement: Handreiking integraal risicomanagement voor pensioenfondsen, juni 2012. [Pens13] De Pensioenwereld in 2013, KPMG, 2013. [Wall09] Prof. dr. P. Wallage RA, prof. E. Roos Lindgreen en dr. M. Kaptein, Trust rules, Negen uitgangspunten voor een betere balans tussen regels en vertrouwen, KPMG, 2009. [Wess10] Ir. H.J. Wesselman, ing. F.L. Lipper BSc en drs. P.C. Geerts MMC, Optimalisatie van primaire processen door uitbesteding: een realiteit of een idee-fixe?, Compact 2010/2.
Over de auteurs Drs. P.C.J. van Toledo RE RA is director bij KPMG Advisory. Hij is zijn carrière gestart bij KPMG Accountants en heeft eind jaren negentig de overstap gemaakt naar KPMG Advisory. Binnen KPMG heeft hij diverse opdrachten uitgevoerd, waaronder IT-auditing in het kader van de jaarrekeningcontrole, ISAE 3402- en ISAE 3000-onderzoeken, due diligence-onderzoeken en Quality Assurance bij implementatietrajecten. Drs. J.C. van Kleef RA is senior manager bij KPMG Accountants en voor KPMG werkzaam als accountant en ISAE-auditor bij diverse pensioenuitvoerders en pensioenfondsen. Hij is tevens drie jaar als IT-auditor werkzaam geweest bij KPMG IT Advisory. Daarnaast is hij momenteel medeverantwoordelijk voor vak technische vraagstukken op het gebied van pensioenen binnen KPMG. Mw. S. Stoof MSc RA is assistent manager bij KPMG Accountants en adviseur bij KPMG Advisory. Zij is werkzaam als accountant bij diverse pensioenuitvoerders en pensioenfondsen, en betrok ken bij diverse ISAE 3402- en overige assuranceopdrachten. Daarnaast voert zij IT-auditwerkzaamheden uit, waaronder in het kader van de jaarrekeningcontrole.