Dick Kamp: Pensioenfondsen moeten risicodashboard tijdig aanpassen

Dick Kamp: Pensioenfondsen moeten risicodashboard tijdig aanpassen

Risk Management
Dick Kamp

Door Dick Kamp, Director Pension, Investment and Risk bij Milliman Pensioenen

Het is noodzakelijk voor het bestuur van een pensioenfonds om betrokken te zijn bij de risicobeheersing van de bedrijfsvoering van een pensioenfonds. Naarmate de tijd vordert, kunnen zich immers nieuwe risico's voordoen die van invloed zijn op die bedrijfsvoering.

Deze nieuwe risico's zouden op de radar van het bestuur moeten staan. Het risicodashboard dat het bestuur hanteert, dient hierop te worden aangepast.

In mijn vorige column over risicomanagement en uitvoering heb ik meer vanuit strategisch perspectief gekeken naar de operationele risico’s. In deze column ga ik in op het operationele perspectief. Betekent dit dat dit niet of minder relevant is voor bestuursleden van het pensioenfonds?

Nee, integendeel. Besturen gaat niet alleen over strategie maken en de inrichting van het fonds. Het gaat ook om de operationele uitvoering. In latere columns zal ik ingaan op financiële risico’s als gevolg van beleggen en verzekeringstechniek.

Het vastleggen in een risicoregister

De analogie met het rijden van de auto van A naar B dringt zich op. Nadat het bestuur bepaald heeft om naar B te gaan en dat de huidige auto het beste voertuig is, gaat het bestuur op pad. Net als de chauffeur heeft het bestuur een stuur, een gas- en rempedaal en dashboard ter beschikking.

De informatie van het dashboard wordt geanalyseerd en geïnterpreteerd evenals de informatie verkregen via de voorruit en de spiegels en zo wordt zo nodig bijgestuurd, geremd en gasgegeven. Bij tijd en wijle worden het olie- en waterpeil en de bandenspanning gecontroleerd. En bij oplichtende lampjes wordt direct ingegrepen. Bij een kleine en grote beurt wordt preventief alles gecontroleerd, zo nodig ververst en vervangen.

Dit is ook de rol van risicomanagement. De tweedelijns risicomanager faciliteert en ondersteunt onder meer door methodologieën en praktische adviezen aan te reiken. Vooraf worden de mogelijke risico’s geïdentificeerd en geanalyseerd.

Waar mogelijk worden kwantitatieve bandbreedtes van acceptabele waarden bepaald. Beheersmaatregelen worden getroffen om van bruto-risico’s te komen tot acceptabele netto-risico’s. Dit geheel wordt per risico vastgelegd in wat doorgaans een risicoregister heet.

Risicodashboard moet situationeel en evoluerend zijn

Net als bij een kleine en een grote beurt van een auto worden de risicoregisters periodiek beoordeeld en zo nodig herijkt. Het bestuur stelt, nadat de tweedelijns risicomanager is gehoord, de herijkte risicoregisters vast.

Periodiek, meestal per kwartaal, worden de risicorapportages opgesteld en besproken. Dit is te beschouwen als het regelmatig bekijken van het dashboard tijdens het rijden. Hierbij beziet het bestuur kritisch welke veranderingen ten opzichte van de vorige periode zich hebben voorgedaan.

Het is van belang dat het bestuur vaststelt of er sprake is van korte termijn incidenten of mogelijk lange termijn ontwikkelingen. Het bestuur wordt hierbij geadviseerd door de tweedelijns risicomanager. De behandeling in het bestuur is het moment om te bezien of ingrijpen noodzakelijk is (een ‘groen’, ‘geel’ of ‘rood’ lampje).

Het is van belang om te accentueren dat het risicodashboard situationeel en evoluerend is. Wat bedoel ik daarmee? Situationeel (niet uitputtend bedoeld): afhankelijk van de inrichting van de operationele processen kunnen specifieke risico’s groter of kleiner zijn.

Is er sprake van uitbesteding? Is de uitbestedingsrelatie stabiel? In welke mate is er sprake van straight-through-processing? Wat is de volwassenheid van de IT-organisatie? Is er sprake van verplichtstelling welke gehandhaafd moet worden? Is de pensioenregeling eenvoudig of zijn er veel uitzonderingen en overgangsregelingen?

Alert zijn vanwege de cyberoorlog

Het bestuur dient bij de opzet van het risicodashboard een goed begrip te hebben van de eigen auto, ofwel wat het bijzondere is van de eigen situatie en hoe dat doorwerkt in de potentiële operationele risico’s die gelopen worden.

Met evoluerende risico’s bedoel ik, technologische, maatschappelijke ontwikkelingen kunnen zorgen voor nieuwe of grotere risico’s. In de auto-metafoor: sneeuw, ijzel et cetera. Overduidelijk is dat er momenteel een cyberoorlog gaande is. Pensioenfondsen en de instellingen, zoals vermogensbeheerders, custodians en administrateurs, die aan de fondsen diensten verlenen zijn het doel.

Misschien vormt dit momenteel wel een van de belangrijkste signaallampen op het dashboard van het pensioenfonds. Operationele ‘disruptie’ ligt op de loer. Een ander voorbeeld is natuurlijk de pandemie. Operationele processen moeten zonder hapering veilig doorgaan, terwijl van huis wordt gewerkt en vergaderd. En wat als er veel ziekte (onder de direct betrokkenen) tegelijk is?

De ontwikkelende cyberoorlog, de COVID-19-pandemie en ook het nieuwe Pensioenakkoord zijn recente voorbeelden die accentueren dat operationele risico’s op de bestuurstafel thuis horen. Deze risico’s moeten worden gemonitord door het bestuur.

Het is niet alleen een kwestie van de operatie. Bestuurders moeten zich bij de volgende behandeling van de risicorapportage afvragen of ze wel het juiste inzicht in de relevante operationele risico’s hebben. Worden ze begrepen en beheerst? Ik ben van harte bereid om hier eens over te sparren.

Dit is de vijfde column in een serie over risicomanagement. De serie heeft tot doel de lezer te prikkelen en risicomanagement te beschouwen als een integraal onderdeel van het runnen van een pensioenfonds.