IIA-webinar

Internal audit bij pensioenfondsen: zoektocht naar goede invulling

Waar bij financiële instellingen de internal auditafdeling traditioneel vaak een flinke omvang heeft, is dit bij pensioenfondsen nog een betrekkelijk nieuw fenomeen.

Lieuwe Koopmans

Sinds twee jaar zijn pensioenfondsen verplicht een internal auditfunctie in te richten als zogeheten 'sleutelfunctiehouder'. Dit is een van de maatregelen die voortkomt uit de Europese IORP II-richtlijn en die in Nederlandse wetgeving is omgezet. Daarmee wordt aangesloten bij de governance-eisen die al langer voor banken en verzekeraars golden en waar internal audit ook een sleutelfunctie is.

Pensioen 900x590

Maar wie op operationeel niveau naar pensioenfondsen kijkt, kan zich afvragen waar zo'n internal auditfunctie nu voor nodig is. Nagenoeg alle pensioenfondsen in Nederland hebben de belangrijkste operationele taken uitbesteed aan pensioenuitvoeringsorganisaties en vermogensbeheerders. Gemiddeld genomen heeft een pensioenfonds maar vier mensen in vaste dienst. Bovendien is er naast het bestuur een interne toezichthouder (bij kleine fondsen is dit een visitatiecommissie) en houden deelnemers via het 'belanghebbendenorgaan' een oogje in het zeil. En dan zijn er uiteraard nog de externe accountant, de externe actuaris en toezichthouder DNB, die de gang van zaken bij een fonds monitoren. Wat valt er voor een internal auditor dan nog te controleren, zou je zeggen. Helemaal als bedacht wordt dat pensioenfondsen ook nog een risicobeheerfunctie moeten inrichten. Is dit niet een gevalletje 'oplossing zoekt probleem'?

'Wat valt er voor een internal auditor dan nog te controleren, zou je zeggen.'

Externe deskundige

Nu is het niet zo dat er bij pensioenfondsen fulltime een internal auditor rondloopt, ook niet parttime. Toezichthouder DNB is zich van bijzondere omstandigheden bewust en geeft de mogelijkheid tot 'proportionaliteit' om de aan deze regelgeving verbonden kosten binnen de perken te houden. Uit een onderzoek van Karin Aarssen (DNB) en Edward Mulder (Mazars), dat op 13 januari gepresenteerd werd tijdens een IIA-webinar, kwam naar voren hoe pensioenfondsen dit in de praktijk oppakken. Bij grote(re) fondsen gaat het in de regel om een externe deskundige die wordt ingehuurd, bijvoorbeeld van een accountantsorganisatie of van een dienstverlener aan de pensioenbranche. Niet zelden zijn deze externen ‘sleutelfunctiehouder’ (als zijnde internal auditor) bij meerdere fondsen. Bijvoorbeeld Michel Kee, partner bij Mazars, die sleutelfunctiehouder is bij zeven fondsen, zo bleek tijdens het webinar. Ondernemingspensioenfondsen gebruiken ook externe expertise, maar halen deze bij voorkeur uit de kring van de werkgever.

Bestuurder als sleutelfunctiehouder

Heel opmerkelijk is de situatie bij de meerderheid van de kleinere en middelgrote fondsen. Daar staat DNB namelijk toe dat een fondsbestuurder zich kan opwerpen als sleutelfunctiehouder internal audit. Deze bestuurder verricht de operationele auditwerkzaamheden dan niet zelf maar schakelt hiervoor een 'vervuller' in, meestal een externe partij. Wel is de betreffende bestuurder eindverantwoordelijke voor het auditproces en ook degene die verplichtingen op het vlak van rapportage en eventuele melding van misstanden moet nakomen. Dat roept de vraag op hoe onafhankelijk zo'n bestuurder kan opereren. Volgens onderzoekers Aarssen en Mulder wordt dit in de praktijk opgelost door de voorzitter van het bestuur naar voren te schuiven voor deze taak. Bij kleine fondsen heeft de voorzitter vaak een onafhankelijke positie.

'Bij kleine fondsen heeft de voorzitter vaak een onafhankelijke positie.'

Uitbesteding

Dan rijst vervolgens de vraag op welke onderwerpen de internal auditor zich zou moeten richten. Dit is nog enigszins een zoektocht, maar tijdens het IIA-webinar, waaraan vooral auditors en (interne) toezichthouders in de pensioensector meededen, werd duidelijk dat dit in de eerste plaats de risico's rond de uitbestede activiteiten zouden moeten zijn. Nu hebben de pensioenuitvoeringsorganisaties zoals APG, PGGM en TKP zelf of op concernniveau ook een internal auditafdeling. Om dubbel werk te voorkomen zijn de internal auditors van de pensioenfondsen daarom voornemens om deze rapportages te gebruiken voor hun eigen beoordeling. Sommige pensioenuitvoeringsorganisaties, zoals TKP en PGGM, hebben zelfs al initiatieven gestart waarbij samen met een groep pensioenfondsen wordt opgetrokken om ook daar efficiency te realiseren. Bij vermogensbeheerders, vaak internationale partijen met heel veel klanten, is het plan van de pensioenfonds-auditors om te steunen op internationaal geaccepteerde kwaliteitsverklaringen.

Steunen op andere rapporten

Anderzijds kun je je afvragen waarom dit alles wordt opgetuigd, als er bij de uitbestedingspartijen toch al internal auditrapporten en kwaliteitsverklaringen beschikbaar zijn. Ton Teitsma, bestuurder bij het pensioenfonds voor de medewerkers van apotheken en tevens manager internal audit bij SPF Beheer, stelde tijdens het webinar dat fondsbesturen "enorm afhankelijk zijn" van de uitvoeringsorganisaties, zowel in de operationele dienstverlening zelf als in de rapportages daarover. "Er kan bij het bestuur dan een bepaalde blindheid ontstaan. Internal audit kan dan de aangewezen functie zijn om het bestuur meer zekerheid te verschaffen over de kwaliteit van de uitbestede werkzaamheden."

Nieuw stelsel

Daarnaast is de overgang naar het nieuwe pensioencontract een onderwerp waar internal audit zijn waarde kan bewijzen, aldus Peter de Groot, lid van de raad van toezicht van ABP en bestuurder bij het DNB-pensioenfonds. "Het is echt waardevol om te horen van een onafhankelijke partij of het fonds, en ook de pensioenuitvoeringsorganisatie, klaar is voor het nieuwe stelsel." Ook vanuit toezichthouder DNB wordt erop aangedrongen dat internal audit zich daarmee gaat bezighouden. Verder zijn de onderwerpen IT en cyber-security aandachtspunten waarop internal audit zich kan richten.

'Verwachtingen zijn conservatief'

Ondanks deze concrete voorbeelden is het nog lang niet duidelijk hoe groot de uiteindelijke rol wordt van internal audit bij pensioenfondsen. "Bij de start van de wet twee jaar geleden wist eigenlijk niemand wat er moest gebeuren", verwoordde De Groot dit gevoel. "Het werd gezien als een moetje." De verwachtingen van de pensioenfondsbesturen op dit punt, de belangrijkste stakeholder voor internal audit, zijn daarom tamelijk conservatief, zo signaleerde Michel Kee, die bij zeven fondsen internal auditor is. "Het heeft echt tijd nodig om het handen en voeten te geven. Pas over een jaar of vier kun je een aantal good practices gaan bundelen."

'Bij de start van de wet twee jaar geleden wist eigenlijk niemand wat er moest gebeuren.'

Ook DNB zegt te beseffen dat een goede invulling van internal audit bij pensioenfondsen tijd nodig heeft. Annemarie van Dijk, toezichthouder op grote pensioenfondsen bij DNB, zei zeker niet uit te sluiten dat er vanuit de toezichthouder een thematisch onderzoek komt naar de internal auditfunctie. Maar dat zal volgens haar niet op korte termijn zijn. "We geven op dit moment prioriteit aan een onderzoek naar het risicobeheer bij pensioenfondsen."

Lieuwe Koopmans is journalist.

Gerelateerd

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.