Met de verankering van de Europese IORP-II richtlijn in de pensioenwet en de wet verplichte beroepspensioenregeling zijn de sleutelfuncties risicobeheer, de actuariële functie en de interne audit verplicht voor pensioenfondsen.
In IORP-II richtlijn is het three lines of defence (3 LoD) niet expliciet benoemd. DNB wil echter wel dat de sleutelfuncties onafhankelijk opereren van de uitvoerende functies in de eerste lijn en dat controles onafhankelijk worden uitgevoerd.
Wie doet wat?
Het bestuur of het bestuursbureau kunnen worden beschouwd als de eerste lijn in het 3 LoD model. Zij zijn immers verantwoordelijk voor het vaststellen en vastleggen van het pensioenbeleid en de uitvoering daarvan.
Partners zoals de pensioenadministrateur, de fiduciair manager en de vermogensbeheerder zijn onderdeel van de eerste lijn. Zij voeren immers werkzaamheden voor het pensioenfonds uit. De actuariële sleutelfunctie en de sleutelfunctie risicobeheer zijn beide onderdeel van de tweede lijn.
Zij beoordelen gezamenlijk of de eerste lijn werkt binnen de risicokaders die het bestuur heeft vastgesteld. Daarnaast geven zij gevraagd en ongevraagd advies over de effectiviteit en mogelijke verbeteringen van het risicobeheersingssysteem.
De interne audit functioneert als de derde lijn en ziet toe op de samenwerking en taakuitvoering van de eerste en tweede lijn. In sommige gevallen opereren de tweede en de derde lijn van de partner respectievelijk in de tweede en derde lijn van het pensioenfonds.
Dit is onjuist. Zij zijn immers onderdeel van de tweede en derde lijn van de uitbestedingspartners, maar onderdeel van de eerste lijn van het pensioenfonds.
Wat houdt de sleutelfunctie risicobeheer in?
De sleutelfunctie risicobeheer heeft geen verantwoordelijkheid voor het bepalen van de beheersmaatregelen en hij is ook niet verantwoordelijk voor het risicobeleid. Deze verantwoordelijkheden liggen bij de eerste lijn; het bestuur.
Het bestuur is verantwoordelijk voor het beleid van het pensioenfonds en de uitvoering daarvan. Zij heeft ook de verplichting om te controleren of het beleid juist, tijdig en volledig wordt uitgevoerd.
Dit doet zij door afspraken te maken met uitbestedingspartners over de uit te voeren werkzaamheden en eisen te stellen aan de kwaliteitsbeheersing van de bedrijfsvoering. Zo kan een pensioenfonds de vermogensbeheerder verplichten om periodiek door een onafhankelijke afdeling - bijvoorbeeld de afdeling mandaat compliance - een controle te laten uitvoeren of de portefeuillemanager wel binnen het mandaat heeft gehandeld.
De tweede lijn van de vermogensbeheerder controleert in dit voorbeeld of de portefeuillemanager zich wel aan het mandaat houdt. Het maken van deze afspraak met de vermogensbeheerder is dus de verantwoordelijkheid van de eerste lijn van het pensioenfonds en ook het monitoren is er onderdeel van.
De sleutelfunctie risicobeheer is dus niet verantwoordelijk voor het monitoren van de werkzaamheden door de partners.
Wat dan wel?
Hij (of zij) is niet primair verantwoordelijk voor het beheersen van de risico’s. De sleutelfunctie risicobeheer heeft als taak om te beoordelen of de eerste lijn werkt binnen de risicokaders en om de eerste lijn te adviseren hierover.
Hij controleert vanuit de tweede lijn dat de eerste lijn van het pensioenfonds heeft gecontroleerd op het tijdig, volledig en juist uitvoeren van de afgesproken werkzaamheden.
Een totaalbeeld van de werking van het risicobeheersysteem kan echter niet bestaan als niet ook een significante steekproef op de juistheid van de door de eerste lijn uitgevoerde controles wordt gedaan.
Overzichtelijk beheer
Het beheersen van de risico’s van het pensioenfonds is de verantwoordelijkheid van de eerste lijn en ligt bij het bestuur. Door een tweede lijn toe te voegen aan het risicobeheersysteem, ontstaat een complete en efficiënte risicobeheerorganisatie bij het pensioenfonds.
Risico’s worden dan ook bekeken door iemand die onafhankelijk is van de uitvoering, zonder dat de werkzaamheden voor het risicobeheer dubbel worden uitgevoerd.
Hierdoor worden de kosten voor het risicobeheer niet onnodig verhoogd door de invoering van de IORP-II en blijft het risicobeheer overzichtelijk.
Dit artikel is geschreven samen met Martin Wouda.