compliance bij pensioenfondsen: een risk-based approach achtergrond
Compliance bij pensioenfondsen: een risk-based approach mr. dr. R.M.J.M. de Greef en mr. drs. E.J. Weller* Trefwoorden: Compliance, risk-based approach en pensioenfonds
In deze bijdrage doen wij een suggestie om invulling te geven aan de in art. 143 Pw opgenomen verplichting om de organisatie van een pensionfonds zodanig in te richten dat deze een beheerste en integere bedrijfsvoering waarborgt. Het zal de lezer van dit tijdschrift niet verbazen dat wij daarbij een belangrijke rol zien voor de compliancefunctie. Bij de inrichting van de compliancefunctie hebben wij aansluiting gezocht bij art. 4:11 Wft en * Roland de Greef is advocaat pensioenrecht art. 31c BGfo. bij Houthoff Buruma, Edwin Weller is
1 2
3
4
5
6
7
8
Compliance Officer bij WellervanWoerden c.s. Wet van 15 mei 1952, Stb. 1952, 275. Met name op het gebied van gelijke behandeling is er veel gewijzigd, vooral als gevolg van de invoering van Europese richtlijnen op dit vlak. De Actuariële Principes Pensioenfondsen van de (voormalige) Pensioen- en verzekeringskamer. Wet van 7 december 2006, Stb. 2006, 705, laatstelijk gewijzigd op 1 december 2011, Stb. 2011, 622. Bijvoorbeeld Richtlijn 2003/41/EG betreffende de werkzaamheden van en het toezicht op instellingen voor bedrijfspensioenvoorzieningen. Een greep uit recente wet- en regelgeving: Wet verhoging AOW- en pensioenrichtleeftijd (Wet VAP), in werking per 1 januari 2014 (Kamerstukken II 2011/12, nr. 33 290), Wet verlaging maximumopbouw- en premiepercentages pensioen en maximering pensioengevend inkomen (Wet VAP II) (Kamerstukken II 2012/13, nr. 33 610, beoogde inwerkingtreding 1 januari 2015), Wet pensioenaanvullingsregelingen (Kamerstukken II 2012/13, nr. 33 672, beoogde inwerkingtreding 1 januari 2015), Wet versterking bestuur pensioenfondsen (Stb. 2013, 302, in werking per 7 augustus 2013, geïmplementeerd bij pensioenfondsen per 1 januari 2014), Code Pensioenfondsen van de Pensioenfederatie en de STAR van september 2013, treedt in werking per 1 januari 2014, Principes voor beheerst beloningsbeleid, twee recente en separate voorstellen door Ministerie van SZW en door de Pensioenfederatie, Convenant in- en uitlooprisico bij arbeidsongeschiktheid van 23 januari 2013 tussen het Verbond van Verzekeraars en de Pensioenfederatie. A.M.H. Slager, ‘Wie redt de pensioenbestuurder?’, TPV 2013/10. De rapporten werden gepubliceerd in 2010.
1.
Wat vooraf ging
Decennialang was de pensioensector een weinig enerverende en tot de verbeelding sprekende bedrijfstak. De Pensioen- en spaarfondsenwet (PSW), de voorloper van de huidige Pensioenwet (Pw), dateerde van 19521 en was lange tijd een rustig bezit. Door tal van wijzigingen2 in de loop der jaren was de PSW op enig moment aan een integrale wijziging toe omdat de wet er niet overzichtelijker op was geworden en door plakband en elastiekjes bij elkaar werd gehouden. Tevens ontstonden nieuwe inzichten ten aanzien van (de voorloper van)3 het financieel toezichtskader, dat nog geen wettelijke verankering kende. Met ingang van 2007 werd de nieuwe Pensioenwet4 van kracht, na een lang wetgevingsgproces, na advies van de SER en een consultatieronde van het pensioenveld. Ook Europese richtlijnen hebben bijgedragen aan wijzigingen in de nationale wetgeving.5 Nadien heeft het aantal wetswijzigingen, Algemene Maatregelen van Bestuur (AMvB’s), beleidsvoorschriften, zelfregulering (doorgaans onder druk van de wetgever en/of de toezichthouder) etc., ongekende vormen aangenomen, niet alleen voor wat betreft de kwantiteit, maar zeker ook vanwege de ingrijpendheid.6 Dat was ook niet zo verwonderlijk, want er was nogal wat achterstallig onderhoud. Er moest een professionaliseringsslag gemaakt worden waarbij het pensioenfonds steeds meer als financiële instelling werd en wordt beschouwd, in plaats van een sociale instelling van en door sociale partners. Het pensioenfonds is weliswaar geen financiële instelling, maar moet wel als zodanig worden aangestuurd.7 De wereld om ons heen verandert snel: zekerheden zijn er niet meer. De vraag is of de wereld van de pensioenfondsen, waarin inmiddels het duizelingwekkende bedrag van ruim 1.000 miljard euro wordt belegd, deze verantwoordelijkheid nog langer kan dragen. Het kabinet heeft in 2009 een aantal commissies ingesteld die met aanbevelingen moesten komen over de houdbaarheid en de betaalbaarheid, kortom: de toekomstbestendigheid, van ons pensioenstelsel: de commissies Don, Goudswaard en Frijns.8 Met name de commissie Frijns is in dit kader van belang. Deze commissie breekt een lans voor het uitgangspunt dat pensioenfondsbesturen een strategisch risicobeleid moeten opstellen. alsmede over meer deskundigheid moeten beschikken, teneinde beter ‘in control’ te kunnen zijn. Dit was de opmaat naar regelgeving op onder
Tijdschrift voor Compliance - december 2013 327
5.De Greef_Weller.indd 327
01-12-13 16:05
compliance bij pensioenfondsen: een risk-based approach achtergrond
andere het gebied van Pension Fund Governance, risicomanagement en deskundigheid van pensioenfondsbestuurders. De pensioensector is vanouds het domein van sociale partners. Dat blijkt ondermeer uit het feit dat pensioenfondsen als enige ‘financiële’ instelling niet vergunningplichtig zijn. Verzekeraars, premiepenisoeninstellingen (PPI’s), banken en beleggingsinstellingen zijn dat wel op grond van de Wet op het financiële toezicht (Wft). Inmiddels wordt met name door kabinet, deelnemers en gepensioneerden de noodzaak gevoeld om pensioenfondsen wat meer te laten opschuiven van sociale instelling naar financiële instelling. De trend is ingezet dat via de Pensioenwet steeds meer aansluiting wordt gezocht bij de Wft. Niet alleen op het vlak van het materiële pensioenrecht waren er wijzigingen, ook de fiscale wetgeving en de regelgeving rondom de (markt)waardering van pensioenverplichtingen op de balans van de werkgever heeft de pensioensector niet onberoerd gelaten. Niet alle wetgeving raakt direct de pensioenfondsen of de door de fondsen uitgevoerde pensioenregelingen. Wel is het zo dat veel wetgeving indirect wel degelijk van invloed is. Zo lijkt fiscale wetgeving, bijvoorbeeld op het vlak van de fiscale behandeling van pensioenen in de Wet op de loonbelasting 1964, niet direct iets van doen te hebben met de afspraken die zijn gemaakt tussen werkgever en werknemers over de arbeidsvoorwaarde pensioen. Indirect heeft een wijziging in bijvoorbeeld het fiscaal maximaal toegestane opbouwpercentage of de maximale pensioengrondslag, wel degelijk invloed op de pensioenregeling, aangezien het niet doorvoeren van deze wijziging in de pensioenovereenkomst tussen werkgever en werknemer alsmede in het pensioenreglement tussen werknemer en pensioenfonds, zal leiden tot een fiscaal onzuivere pensioenregeling, tengevolge waarvan de gehele pensioenregeling ineens en op dat moment belast zal kunnen worden voor de loonbelasting. Een verhoging van de pensioenleeftijd in de AOW (het staatspensioen) is evenzeer van invloed op de pensioenregeling in de arbeidssfeer; dit zijn op elkaar aansluitende stelsels. Het voert te ver om daar in het kader van deze bijdrage nader op in te gaan, maar essentieel is dat al deze wijzigingen in de materiële sfeer of aanpalende formele wetgeving ook invloed kunnen hebben op het pensioenfonds als organisatie. Daarenboven zien we de laatste jaren ook steeds meer aandacht van de wetgever en de toezichthouder voor het pensioenfonds als instelling. Voorbeelden daarvan zijn de voorschriften voor de inrichting van bestuur en toezicht9 en de Principes voor goed pensioenfondsbestuur (Pension Fund Governance, hierna ook: PFG)10, deskundigheidseisen, risicomanagement en compliance. Op de aspecten risicomanagement en compliance gaan wij hierna verder in.
2.
Wettelijk kader - ‘beheerste en integere bedrijfsvoering’
Pensioenfondsen zijn gereguleerd onder de Pw. De Wft is in principe niet van toepassing op pensioenfondsen, hoewel er in de Pw soms wel verwezen wordt naar de Wft. Daarnaast kan ook nog Boek 2 BW van belang zijn, omdat het pensioenfonds een rechtspersoon11 is. Wij concentreren ons in het kader van dit artikel op de Pw. In deze wet zijn met name twee artikelen van belang als het gaat om PFG en compliance: art. 33 en 143 Pw.
Art. 33 Pw Wet versterking bestuur pensioenfondsen, Stb. 2013, 302. Op basis van deze wet zal ook regelgeving worden ingevoerd op met name de volgende gebieden: nadere invulling van een beheerst beloningsbeleid, toetsing van geschiktheid en betrouwbaarheid pensioenfondsbestuurders, regels ter waarborging dat bestuurders en toezichthouders voldoende tijd beschikbaar hebben om hun functie naar behoren uit te oefenen. 10 Principes voor goed pensioenfondsbestuur van de STAR, 16 december 2005, publicatienummer 10/05, zoals vastgelegd in art. 33 Pensioenwet jo. art. 11 Besluit uitvoering Pensioenwet en wet verplichte beroepspensioenregeling. 11 Doorgaans een stichting, maar dat hoeft niet het geval te zijn. 9
Dit artikel betreft de regels die een goed bestuur moeten waarborgen. Het eerste lid van dit artikel luidt: 1. Een pensioenuitvoerder richt zijn organisatie zodanig in dat een goed bestuur is gewaarborgd waardoor er in ieder geval: a verantwoording wordt afgelegd aan de aanspraak- en pensioengerechtigden en de werkgever; waarvoor bij pensioenfondsen een verantwoordingsorgaan is ingesteld; en b intern toezicht is. 2. Bij algemene maatregel van bestuur kunnen met betrekking tot het eerste lid regels worden gesteld. Die regels kunnen in het bijzonder betrekking hebben op de naleving
328 Tijdschrift voor Compliance - december 2013
5.De Greef_Weller.indd 328
01-12-13 16:05
compliance bij pensioenfondsen: een risk-based approach achtergrond
van in die algemene maatregel van bestuur aan te wijzen principes voor goed pensioenfondsbestuur. Lid 2 verwijst naar art. 11 Besluit uitvoering Pensioenwet en Wet verplichte beroepspensioenregeling (Besluit Pw, de Amvb), waarin vervolgens wordt verwezen naar de Principes voor goed pensioenfondsbestuur, zoals geformuleerd door de STAR op 16 december 2005. Art. 33 Pw ziet vooral op het afleggen van verantwoording aan het zogenaamde verantwoordingsorgaan bij pensioenfondsen en aan enige vorm van ‘intern’ toezicht. Dat laatste kan zijn in de vorm van een visitatiecommissie met externen (veruit de meest voorkomende vorm), maar kan ook een Raad van Toezicht zijn. De Principes voor goed pensioenfondsbestuur zijn te beschouwen als het regelgevend kader voor PFG. Een deel van deze principes is inmiddels verwerkt in de Wet versterking bestuur pensioenfondsen, waar pensioenfondsen per 1 januari 2014 aan moeten voldoen. Met ingang van 1 januari 2014 worden de Principes vervangen door de Code Pensioenfondsen.
Art. 143 Pw Dit artikel valt onder het Financieel toetsingskader voor pensioenfondsen en behelst het wettelijk kader voor ‘beheerste en integere bedrijfsvoering’. Art. 143 Pw is verder uitgewerkt in art. 18-22 Besluit financieel toetsingskader pensioenfondsen (Besluit Ftk). Daarin worden onder andere onderwerpen geregeld als integriteitrisico en belangenverstrengeling. Art. 143 Pw luidt: 1. Een pensioenfonds richt zijn organisatie zodanig in dat deze een beheerste en integere bedrijfsvoering waarborgt. 2. Bij of krachtens algemene maatregel van bestuur worden regels gesteld met betrekking tot het eerste lid. De regels hebben in ieder geval betrekking op: a. het beheersen van bedrijfsprocessen en bedrijfsrisico’s; b. integriteit; c. de soliditeit van het pensioenfonds, waaronder wordt verstaan: 1. het beheersen van financiële risico’s; en 2. het beheersen van andere risico’s die de soliditeit van het pensioenfonds kunnen aantasten; d. het beheersen van de financiële positie over de lange termijn door periodiek een continuïteitsanalyse te maken. De beheerste en integere12 bedrijfsvoering is de kapstok waar de toezichthouder, DNB, haar beleid ten aanzien van het integraal risicomanagement voor pensioenfondsen (en verzekeraars) aan ophangt. Het omvat het gehele traject van plannen, besturen, monitoren en bijsturen van doelstellingen en (bedrijfs)processen. Het pensioenfonds dient daartoe ondermeer te beschikken over een duidelijke organisatiestructuur en heldere rapportagelijnen (art. 18 Besluit Ftk). Verder dient het pensioenfonds zorg te dragen voor de beheersing van het integriteitrisico (art. 19 Besluit Ftk) en procedures en maatregelen te treffen die belangenverstrengeling tegengaan (art. 20 Besluit Ftk). En in het geval van uitbesteding van activiteiten moet ook worden voldaan aan het bepaalde in art. 14 Besluit Pw, waarin is vastgelegd dat in het geval van uitbesteding ook de daarmee samenhangende risico’s moeten worden beheerst. Bovenop de hier boven reeds weergegeven wettelijke bepalingen kan de inhoud van art. 4:11 Wft niet ontbreken. Hoewel niet direct van toepassing op pensioenfondsen, geeft dit artikel wel een goed houvast en een nadere invulling van wat onder ‘een beheerste en integere bedrijfsvoering’ moet worden verstaan. Wij veronderstellen daarmee dat de essentie van het begrip ‘beheerste en integere bedrijfsvoering’ niet veel anders is voor pensioenfondsen en verzekeraars (en PPI’s). Volgens art. 4:11 Wft wordt onder ‘beheerste en integere bedrijfsvoering’ verstaan dat: a. belangenverstrengeling wordt tegengegaan; b. wordt tegengegaan dat de financiële onderneming of haar werknemers strafbare feiten of andere wetsovertredingen begaan die het vertrouwen in de 12 financiële onderneming of in de Over de betekenis van integriteit en integer financiële markten kunnen schaden; gedrag verwijzen wij naar de literatuur over (rechts)filosofie. Ethiek wordt ook wel de morele filosofie genoemd en , voor zover mij bekend, wordt ethiek als een deelgebied van filosofie gezien.
Tijdschrift voor Compliance - december 2013 329
5.De Greef_Weller.indd 329
01-12-13 16:05
compliance bij pensioenfondsen: een risk-based approach achtergrond
c. wordt tegengegaan dat wegens haar cliënten het vertrouwen in de financiële onderneming of in de financiële markten kan worden geschaad; en d. wordt tegengegaan dat andere handelingen door de financiële onderneming of haar werknemers worden verricht die op een dusdanige wijze ingaan tegen hetgeen volgens het ongeschreven recht in het maatschappelijk verkeer betaamt, dat hierdoor het vertrouwen in de financiële onderneming of in de financiële markten ernstig kan worden geschaad. Deze beschrijving is een zogenaamde open norm en betekent – kort gezegd – dat bestuur en medewerkers in compliance met (ongeschreven) regels behoren te handelen, ‘het ongeschreven recht’ is een belangrijk onderdeel. Voor velen is de aandacht die wij vragen voor het belang van het benoemen en de erkenning van het bestaan van ‘ongeschreven regels’ een gruwel. Veel ruimte voor het onderbouwen van dit belang willen wij nu niet nemen. Naast een verwijzing naar art. 4: 11 lid 1 onder d Wft volstaan wij met een citaat van Christopher D. Stone (1975): ‘We know that it is futile to hope that all socially undesirable behaviour can be anticipated by legal rule-makers. We know that attempts to enforce all social desiderata by law would be more costly than it would be worth (…) There are thus certain virtues, both to the individuals and to the society at large, of encouraging people to act in socially appropriate ways because they believe it the ‘right thing’ to do, rather than because (and thus, perhaps only to the extent that) they are ordered to do so.’13 Teneinde te bevorderen dat een bedrijf in compliance handelt met (ongeschreven) regels is een goede compliancecultuur onontbeerlijk. Dit is een brug naar ons volgende onderwerp en brengt ons terug naar de vraag hoe een pensioenfonds zijn organisatie zodanig kan inrichten dat deze een beheerste en integere bedrijfsvoering waarborgt. Het zal de lezer niet verbazen dat wij daarbij een belangrijke rol zien voor de compliancefunctie.
3. Compliance bij pensioenfondsen Een specifieke definitie voor de compliancefunctie bij pensioenfondsen is niet voorhanden.14 Dat is in principe ook niet nodig, aangezien een pensioenfonds voor wat de compliancefunctie betreft in essentie voor dezelfde uitdagingen staat als elke andere instelling of organisatie. Niettemin is er wel een aantal specifieke kenmerken te benoemen die een rol spelen bij de uitwerking en inbedding van de compliancefunctie binnen de pensioenfondsorganisatie. Van belang hierbij is de grote mate van uitbesteding van activiteiten binnen de sector aan pensioenuitvoeringsbedrijven (PUB’s). Voor het vaststellen van een kader met betrekking tot het begrip ‘compliance’ nemen wij het uitgangspunt zoals dat is geformuleerd op pagina 32 van het Rapport van de Werkgroep Integriteit Pensioenfondsen, ‘Kijken in de spiegel’15: ‘Naar de opvatting van de werkgroep gaat compliance verder dan het zich onthouden van overtreding van wet- en regelgeving of van ander normoverschrijdend gedrag. Compliance gaat om integer handelen.’ R.C.J. Galle, Ondernemen en ethiek, Den Haag: BJu 2000, p. 114. 14 Hoewel door de Pensioenfederatie op haar website wel documenten zijn gepubliceerd omtrent het onderwerp compliance (handleiding en voorbeelddocumenten). Daarin wordt de volgende definitie gehanteerd: ‘Compliance is het geheel van maatregelen dat zich richt op de implementatie, handhaving en naleving van externe wet- en regelgeving, alsmede op interne procedures en gedragsregels om te voorkomen dat de reputatie en integriteit van het pensioenfonds wordt aangetast.’ 15 Rapport van 21 mei 2013, Jean Frijns e.a., geïnitieerd door Transparancy International Nederland. 16 Richtlijn 2004/39/EG. 13
Wij gaan er voorts van uit dat integer handelen uiteindelijk tot doel heeft het voorkomen van reputatieschade van het pensioenfonds. Ook wij gaan ervan uit dat het niet alleen gaat om geschreven, maar ook om ongeschreven regels (gedrag en cultuur). Als norm voor integer handelen nemen wij de in art. 4:11 Wft beschrijving van een integere bedrijfsvoering. Zoals gezegd is er geen wettelijke definitie van het begrip ‘compliance’ bij pensioenfondsen. Een wettelijke regeling is wel te vinden in de Wft. Het ligt voor de hand om daar zoveel als mogelijk bij aan te sluiten. Met de implementatie van de ‘Markets in Financial Instruments Directive (MiFID)’16 in de Nederlandse wetgeving heeft de compliancefunctie een wettelijke grondslag gekregen. De taken van het organisatie onderdeel ‘compliance’ zijn neergelegd
330 Tijdschrift voor Compliance - december 2013
5.De Greef_Weller.indd 330
01-12-13 16:05
compliance bij pensioenfondsen: een risk-based approach achtergrond
in art. 6 van de Uitvoeringsrichtlijn MiFID17 en via art. 4:14 Wft voor een beleggingsonderneming uitgewerkt in art. 31c van het Besluit Gedragstoezicht financiële ondernemingen (BGfo). De compliancefunctie heeft als taak: a. het controleren van de naleving van wettelijke regels en van interne regels die de beheerder of de beleggingsonderneming zelf heeft opgesteld; b. het adviseren van de personen die verantwoordelijk zijn voor het beheren van icbe’s, het verlenen van beleggingsdiensten of het verrichten van beleggingsactiviteiten bij de naleving van wettelijke regels en interne regels; c. het toezien op de deugdelijkheid en effectiviteit van de interne regels en procedures; d. het beoordelen van de effectiviteit van de procedures die zijn opgesteld en maatregelen die zijn genomen om gesignaleerde onvolkomenheden bij de naleving van wettelijke regels en interne regels op te heffen; en e. het tenminste jaarlijks rapporteren aan de personen die het dagelijks beleid van de beheerder of de beleggingsonderneming bepalen en aan het orgaan, indien aanwezig, dat is belast met toezicht op het beleid en de algemene gang van zaken van de beheerder of de beleggingsonderneming inzake aangelegenheden met betrekking tot de naleving van wettelijke regels en interne regels. In de jaarlijkse rapportage wordt met name vermeld of maatregelen zijn genomen in het geval van gesignaleerde tekortkomingen. Om deze taak naar behoren uit te oefenen moet de compliancefunctie over de nodige autoriteit, middelen, deskundigheid en toegang tot alle dienstige informatie beschikken. Voorts is het van belang dat de relevante personen die betrokken zijn bij het uit oefenen van de compliancefunctie niet betrokken zijn bij de verrichting van diensten of activiteiten waarop zij toezien. De beste stuurlui staan immers aan wal. De kern van de wettelijke regeling van de compliancefunctie ligt in het controleren van de naleving van wettelijke regels en van interne regels en het toezien op de deugdelijkheid en effectiviteit van de interne regels en procedures. De omvang hiervan is echter zeer aanzienlijk en bovendien is de inhoud van bepaalde regelgeving gedetailleerd en daarmee zeer complex. Het lijkt daarom niet effectief controle te houden op de naleving van alle regels. Afgezien van de hoeveelheid en de complexiteit geldt dat controle altijd achteraf is. Wij sluiten ons graag aan bij het adagium: ‘controle is goed, vertrouwen nog beter.’18 en wat ons betreft moet de nadruk van de compliancefunctie dan ook meer liggen op het ondersteunen van het bestuur bij het creëren van een compliance cultuur. Het vorenstaande leidt tot de voorlopige conclusie dat het pensioenfonds bij de inrichting van zijn organisatie om een beheerste en integere bedrijfsvoering te waarborgen, gebruik maakt van een compliancefunctie. Bij het invullen van een compliancefunctie wordt de integriteit van het bestuur en de medewerkers als uitgangspunt genomen. Compliance gaat immers verder dan het zich onthouden van overtreding van regelgeving; compliance gaat om integer handelen. Integer gedrag omvat in dit verband mede het handelen in compliance met de (ongeschreven) regels van integere bedrijfsvoering, zoals nader beschreven in art. 4:11 Wft. De compliancefunctie kan zich onzes inziens evenwel niet richten op controle van de naleving van alle regels. Bij een effectieve invulling van de functie ligt een risk-based approach voor de hand.
4. Risk-based approach - integriteitrisico Hiervoor hebben wij aangegeven dat er een stortvloed aan wet- en regelgeving over de pensioenfondsensector is heen gekomen, waarvan het einde nog niet in zicht is. Omdat het niet mogelijk is – en ook niet zinvol is – om alle wet- en regelgeving en alle ongeschreven regels die van toepassing zijn of kunnen zijn op pensioenfondsen te ‘vangen’ in één integraal compliancemodel en dat vervolgens te monitoren, ligt 17 het onzes inziens voor de hand om aan te sluiten bij een Richtlijn 2006/73/EG van de Commissie van managementmodel waarbij de focus wordt gelegd op het 10 augustus 2006, tot uitvoering van in kaart brengen, het identificeren, het categoriseren en Richtlijn 2004/39/EG. 18 ten slotte het wegen van risico’s, zoals het COSO/ K. Cools, Controle is goed, vertrouwen nog beter , COSO-II-model. van Gorcum 2005; S.M.R. Covey, The speed of Zoals eerder aangegeven, is het controleren op de Trust, Simon & Schuster 2006 en S.R. Covey, B. naleving van alle (ongeschreven) regels wat ons betreft Whitman en B. England, Predictable results in niet mogelijk. Bij de invulling van de compliancefunctie unpredictable times, 2009. 19 past derhalve een risk-based approach. Aansluiting zou ‘Guidelines on certain aspects of the MIFID daarbij gezocht kunnen worden bij de European Securities compliance function requirements’, and Markets Authority (ESMA).19 ESMA heeft in juli 2012 ESMA/2011/446.
Tijdschrift voor Compliance - december 2013 331
5.De Greef_Weller.indd 331
01-12-13 16:05
compliance bij pensioenfondsen: een risk-based approach achtergrond
aanbevelingen voor een effectieve compliancefunctie opgesteld. De eerste aanbeveling ziet op een risk-based approach: General guideline 1 14. Investment firms should ensure that the compliance function takes a risk-based approach in order to allocate the function’s resources efficiently. A compliance risk assessment should be used to determine the focus of the monitoring and advisory activities of the compliance function. The compliance risk assessment should be performed regularly to ensure that the focus and the scope of compliance monitoring and advisory activities remain valid. Dat het voor de beheersing van de bedrijfsvoering behulpzaam is om te sturen op risico’s vindt ook onze wetgever.20 Een pensioenfonds moet een beleid voeren dat is gericht op het duurzaam beheersen van die risico’s (art. 12 Besluit Ftk en bij uitbesteding: art. 14 Besluit Pw). Zoals hiervoor reeds gezegd, is het pensioenfonds weliswaar geen financiële instelling, maar moet wel als zodanig aangestuurd worden. Als financiële instelling doet het pensioenfonds aan risicotransformatie: het bundelen van risico’s, waarbij pensioenpremies met een lange looptijd en laag risico, worden getransformeerd in financiële instrumenten met een lange looptijd en een hoger risico. Aan het einde van de looptijd, als de deelnemer pensioneert, wordt een deel van deze financiële instrumenten weer verkocht om pensioenuitkeringen te kunnen voldoen. Het bundelen en ontbundelen van risico’s is dus een kernproces van het pensioenfonds.21 Dan is het logisch dat het pensioenfonds expliciet stuurt op risico’s. Dus moeten we weten 1) wat de risico’s zijn en 2) van wie de risico’s zijn. Alleen dan kan een optimale verdeling van risico’s plaatsvinden.22 Kwantificering van risico’s geeft de mogelijkheid tot prioritering van de inzet van schaarse tijd en middelen in het gekozen governancemodel. Een risk-based approach kan daarom zeer effectief zijn en sluit ook aan op art. 143 Pw en op het door DNB toegepaste risicomanagementmodel FOCUS (voorheen: FIRM). Als een belangrijk hulpmiddel bij het identificeren (nadat de doelstellingen en de risicohouding door het pensioenfondsbestuur zijn vastgesteld) en het beheersen van risico’s is door DNB het zogenaamde FIRM23-model ontwikkeld. Inmiddels is dit model opgevolgd door FOCUS. Deze modellen zijn gebaseerd op het COSO managementmodel. In vergelijking met FIRM wordt in FOCUS niet alleen aandacht besteed aan kwantitatieve risico’s, maar ook aan strategische en kwalitatieve criteria zoals gedrag, cultuur en governance. In het FIRM/FOCUS-model worden tien risico’s onderscheiden: – matching/renterisico; – marktrisico; – kredietrisico; – verzekeringstechnisch risico; – omgevingsrisico; – operationeel risico; – uitbestedingrisico; – IT-risico; – integriteitrisico en – juridisch risico. De aandacht richt zich daarbij op die risico’s met een bepaald gewicht en die specifiek gericht zijn op het bestendigen van de goede reputatie van het pensioenfonds. Teneinde de goede reputatie van een pensioenfonds te bestendigen is het van essentieel belang dat er sprake is van een beheerste en integere bedrijfsvoering. Afgezien van de tegenvallende bedrijfsresultaten wordt het verlies van een goede reputatie(=gevolg) veelal veroorzaakt door niet integer gedrag(=oorzaak). In deze publicatie zullen wij ons richten op het beheersen van integriteitsrisico’s, in het FIRM-model een benoemd hoofdrisico. Daarin vervult de compliancefunctie volgens ons een essentiële rol. Integriteitrisico was in het FIRM-model gedefinieerd als: ‘Het risico dat de integriteit van de instelling of het financiële stelsel wordt beïnvloed als gevolg van niet integere, onethische gedragin20 gen van de organisatie, medewerkers danwel van Kamerstukken II 2005/06, 30 413, p. 265. 21 de leiding in het kader van wet- en regelgeving A.M.H. Slager, ‘Wie redt de en maatschappelijke en door de instelling pensioenbestuurder?’, TPV 2013/10, vrij naar opgestelde normen.’ Merton, 1989. A.M.H. Slager, ‘Wie redt de pensioenbestuurder?’, TPV 2013/10. 23 FIRM: Financiële Instellingen Risicoanalyse Methode. 22
Elk hoofdrisicogebied kent een aantal sub risico’s die gebruikt worden om een meer concrete inschatting te kunnen maken van het hoofdrisico. De subrisico’s
332 Tijdschrift voor Compliance - december 2013
5.De Greef_Weller.indd 332
01-12-13 16:05
compliance bij pensioenfondsen: een risk-based approach achtergrond
zijn afhankelijk van de complexiteit van de organisatie en de markten waarop het pensioenfonds actief is. Als subrisico’s zijn in FIRM genoemd: – risico op benadeling van derden; – risico op voorwetenschap; – risico op witwassen; – risico op terrorismefinanciering; en – risico op onoorbaar handelen. Onder het hoofdrisico ‘Uitbestedingsrisico’ is het subrisico Integriteit opgenomen: Het risico dat de reputatie danwel de financiële positie van de instelling wordt geschaad als gevolg van het niet integer zijn van de bedrijfsvoering van de partij waaraan werkzaamheden zijn uitbesteed. Hieronder valt het risico van het ongewenst omgaan met vertrouwelijke gegevens door de tegenpartij. Bij pensioenfondsen is het Uitbestedingsrisico een zeer relevant hoofdrisico omdat – zoals gezegd – veel werkzaamheden zijn uitbesteed aan pensioenuitvoerders.
5. Beheerste en integere bedrijfsvoering in de praktijk van een pensioenfonds Het bovenstaande in de praktijk gebracht bij een pensioenfonds , brengt het volgende. Een pensioenfonds richt een compliancefunctie in, overeenkomstig art. 31c BGfo. Het is niet mogelijk om toe te zien op de naleving van alle wettelijke regels en van interne regels en derhalve is gekozen voor een risk-based approach . Deze ‘approach’ leidt tot effectief toezicht. Het uitgangspunt is het risico voor een pensioenfonds van sancties van toezichthouders, materiële verliezen of schade aan de reputatie als gevolg van niet integer gedrag. Dit risico duiden wij aan als integriteitsrisico (zie FIRM-model). Schade aan de reputatie van een pensioenfonds (=gevolg) is ‘slechts’ één van de mogelijke gevolgen van niet integer gedrag (= oorzaak). De doelstelling van een risk-based approach is om vast te stellen welke handelingen (minimaal) moeten worden beheerst om te voorkomen dat een pensioenfonds een boete krijgt opgelegd danwel materiële verliezen lijdt of de reputatie wordt geschaad. Op die handelingen zal compliance zich richten. Als norm voor integer handelen van bestuur en medewerkers heeft een pensioenfonds aansluiting gezocht bij art. 4:11 Wft. Dit artikel geeft een nadere – en de meest concrete – invulling van integere bedrijfsvoering. Onder integere bedrijfsvoering wordt aldus verstaan dat bij de uitoefening van de werkzaamheden door bestuur en medewerkers: a. belangentegenstellingen worden beheerst; b. er geen strafbare feiten of andere wetsovertredingen worden gepleegd die het vertrouwen in een pensioenfonds kunnen schaden; c. er geen handelingen worden verricht die schade toebrengen aan het vertrouwen in een pensioenfonds; en d. er geen andere handelingen worden verricht die op een dusdanige wijze ingaan tegen hetgeen volgens het ongeschreven recht in het maatschappelijk verkeer betaamt, dat hierdoor het vertrouwen in het pensioenfonds ernstig kan worden geschaad. De beoogde risicoanalyse maakt een afweging tussen enerzijds de producten en diensten van een pensioenfonds en anderzijds de (ongeschreven) regels van integere bedrijfsvoering. Daarbij is het van belang te onderkennen dat de grootte van het risico mede wordt bepaald door de aard, de grootte en de plaats van activiteiten alsmede door de cliënten en ander relaties van een pensioenfonds. De risiconorm (risicobereidheid) bepaalt mede de keuze voor de te beheersen handelingen. De afweging en de risiconorm leiden tot die handelingen die – kort gezegd – een materiële impact hebben op de integriteit van een pensioenfonds (in het FIRM-model, de subrisico’s). Voor deze handelingen geldt dat deze kunnen leiden tot sancties van toezichthouders, materiële verliezen of schade aan de reputatie van een pensioenfonds . En positief geformuleerd: een goede beheersing van deze handelingen leidt tot een versterking van de reputatie van een pensioenfonds. De onderliggende documentatie van de risicoanalyse maakt zichtbaar dat alle relevante wet- en regelgeving is meegenomen en biedt inzage in de motivatie van de keuze in welke handelingen (minimaal) zullen worden beheerst. Ter bevordering van een effectieve beheersing van deze integriteitrisco’s zullen deze subrisico’s worden geclusterd tot thema’s. Met in achtneming van de relevante (ongeschreven) regels worden er vervolgens beheersdoelstellingen en beheersmaatregelen opgesteld, (bijvoorbeeld) op de wijze als is beschreven in het FIRM-model. De thema’s en subrisico’s zullen periodiek worden geëvalueerd en de uitkomsten daarvan zullen worden vastgelegd op basis van de boven beschreven risicoanalyse. Hierdoor ontstaat een dynamische set van thema’s, subrisico’s, beheersdoelstellingen en -maatregelen. Voor wat betreft het meten van de
Tijdschrift voor Compliance - december 2013 333
5.De Greef_Weller.indd 333
01-12-13 16:05
compliance bij pensioenfondsen: een risk-based approach achtergrond
effectiviteit van de maatregelen wordt gewerkt met ‘Key Risk Indicators’ en Key Control Indicators’. Het opstellen van beheersdoelstellingen en -maatregelen is een samenspel van bestuur, staforganen en de specifieke functie van de compliancefunctionaris. Een goede uitvoering van de beheersmaatregelen waarborgt een beheerste en integere bedrijfsvoering. Het spreekt daarbij voor zich dat het van essentieel belang is dat bestuur en medewerkers goed bekend zijn met de getroffen maatregelen.
6.
Tot slot
Tot slot nog enkele zinnen over de inrichting van de compliancefunctie en een conclusie. De inrichting van de functie is afhankelijk van de aard, schaal en complexiteit van de onderneming. Aandacht hebben wij besteed aan de randvoorwaarden om de compliancefunctie naar behoren uit te oefenen. Wat ons betreft ligt de essentie voor het behoorlijk (waaronder effectief) uitoefenen van de compliancefunctie in de vervulling van die randvoorwaarden. Cruciaal blijft dat de compliancefunctionaris niet betrokken is bij verrichtingen van diensten of activiteiten waarop hij/zij toeziet. Het is niet heel belangrijk waar in de organisatie die rol is belegd, zolang deze rol maar uitdrukkelijk is belegd bij een onderdeel van de organisatie. De ervaring leert dat de functie het meest effectief is als een van de leden van de Raad van Bestuur de eindverantwoordelijkheid van deze functie draagt. Integer gedrag begint immers aan de top van een organisatie. De omvang van de ondersteuning (lees compliancefunctionaris(sen) en/of compliance afdeling(en)) is dan weer geheel afhankelijk van de aard, schaal en complexiteit van de organisatie.
7. Conclusie Het bovenstaande leidt tot onze conclusie dat het voor pensioenfondsen (en pensioenuitvoerders) zeer zinvol is om een compliancefunctie, overeenkomstig art. 31c BGfo, in te richten om bij te dragen aan een beheerste en integere bedrijfsvoering. Het is niet mogelijk om toe te zien op de naleving van alle wettelijke regels en van interne regels. Een risk-based approach leidt tot effectief toezicht op die handelingen van bestuur en/of medewerkers die kunnen leiden tot sancties van toezichthouders, materiële verliezen of schade aan de reputatie van het pensioenfonds/pensioenuitvoerder. Het gaat niet alleen om het onthouden van overtreding van wet- en regelgeving. Compliance gaat om integer gedrag. Als norm voor integer gedrag hebben wij art. 4:11 Wft genomen. Effectief toezicht levert onzes inziens een constructieve bijdrage aan een compliance cultuur. Een cultuur die een beheerste en integere bedrijfsvoering bevordert.
334 Tijdschrift voor Compliance - december 2013
5.De Greef_Weller.indd 334
01-12-13 16:05