Inzet GRC-tooling kan helpen bij verder professionaliseren risicomanagement Inzet GRC-tooling kan helpen bij verder professionaliseren risicomanagement Inzet GRC-tooling kan helpen bij verder professionaliseren risicomanagement

Met de overgang naar het nieuwe pensioenstelsel, de grootste pensioenhervorming in ja­ren, zal het risicobeheer de komende periode prominent op de bestuursagenda van menig pensioenfonds blijven staan. KPMG Pensions Advisory voerde recent een benchmark­onderzoek uit naar de volwassenheid van het risicobeheer in de Nederlandse pensioen­sector1. De sector scoort gemiddeld een 2,9 op een schaal van 5. Dit betekent dat de risicobeheersing binnen de pensioenfondsen gemiddeld genomen bijna als 'voldoende volwassen' mag worden beschouwd. Echter zien we ook diverse onderdelen binnen het risicomanagementraamwerk waar fondsen hun risicomanagement verder kunnen én misschien wel moeten professionaliseren. Afhankelijk van de doelstelling van het fonds kan daar nog aanzienlijke winst worden behaald. Die winst lijkt vooral te behalen op gebied van aantoonbaarheid, de toepassing van het 'three lines' model in de praktijk en het samenspel met de uitbestedingsorganisaties. In dit artikel gaan we nader in op de uitkomsten van het onderzoek en beschrijven we de mogelijkheden die de inzet van tooling kan bieden om op deze vlakken vooruitgang te boeken.

Om inzicht te geven in het volwassenheidsniveau van het risicobeheer in de pensioensector, heeft KPMG Pensions Advisory een benchmarkstudie uitgevoerd in de Nederlandse pensioensector. De studie is gebaseerd op het door KPMG gehanteerde  risicomanagementraamwerk welke is gebaseerd op het COSO ERM 2017 model en de eisen die worden gesteld door De Nederlandse Bank (DNB). Het raamwerk bestaat uit zes elementen die samen een integraal geheel moeten vormen (zie ook Figuur 1).

Ter toelichting:

• De 'Risicostrategie en -bereidheid' hebben betrekking op de wijze waarop risicomanagement wordt gebruikt om strategische en overige doelstellingen te behalen. De risicobereidheid geeft de bandbreedte aan waarbinnen het pensioenfonds bereid is tot het nemen van risico's. Dit kan zowel in kwalitatieve als in kwantitatieve termen, of een combinatie daarvan, zijn geformuleerd.
• Onder 'Governance en organisatie' wordt de structuur verstaan waarbinnen het pensioenfonds zijn risicomanagementactiviteiten stuurt, monitort en hierover rapporteert. Deze organisatiestructuur omvat duidelijk omschreven taken en verantwoordelijkheden, inclusief beslissingsbevoegdheden en rapportagelijnen.
• Het beleid en de bijbehorende processen welke worden gevolgd om een aantoonbare, adequate beheersing van de risico's in relatie tot de doelstellingen van het pensioenfonds te bereiken, worden beoordeeld binnen het element 'Risicobeleid en -proces'.
• 'Risicomonitoring en -rapportage' betreffen de activiteiten om risico's te identificeren, te beoordelen, te prioriteren en erover te rapporteren. Het doel hiervan is inzicht te krijgen in de mate waarin relevante risico's impact hebben op het behalen van de doelen van het pensioenfonds. Daarnaast dienen de rapportages inzicht te geven in de wijze waarop wordt omgegaan met de geïdentificeerde risico's, door deze te vermijden, te accepteren, te delen of beheers-maatregelen te implementeren met als doel de risico's te beheersen en te mitigeren.
• Onder het element 'Data en systemen' is de mate van gebruik van geïntegreerde, pensioen­ fondsbrede systemen voor risicobeheersing (zo­ genoemde GRC-tooling, waarop we later in dit artikel ingaan) beoordeeld, ofwel de data en IT­ infrastructuur die het fonds gebruikt ter onder­ steuning van haar risicomanagementactivitei­ten.
• Ten slotte worden onder het element 'Cultuur en gedrag' de geldende normen en waarden bin­nen de organisatie die van invloed zijn op risi­co gerelateerde beslissingen verstaan. Omdat de onderzoeksmethode zich hier niet voor leende zijn op dit onderdeel geen scores toegekend. 

Uit het onderzoek blijkt dat de hiervoor genoem­de elementen van een risicomanagementraamwerk door de pensioenfondsen veelal herkend en gehan­teerd worden. Pensioenfondsen kunnen zich ver­der verbeteren in de toepassing van het risicoma­nagementraamwerk door in praktijk meer aandacht te schenken aan de samenhang tussen de verschil­lende elementen onderling. De wisselwerking tus­sen de elementen is cruciaal voor een goed func­tionerend risicomanagement. 

In het onderzoek is een beoordelingskader gebruikt dat is afgeleid van het kader dat DNB hanteert² en wat op hoofdlijnen is uitgewerkt in Tabel 1. 

Uit het onderzoek blijkt dat de gemiddelde score op alle elementen van het risicomanagementraamwerk net onder score 3 'gedifferentieerd' ligt, met uitzon­dering van de score op het element 'Data en syste­men'. De spreiding van de scores op dat onderdeel is daarnaast ook het grootst (zie ook Figuur 2). 

Of deze scores ook als voldoende gezien mogen worden, is mede afhankelijk van de situatie en am­bitie van het pensioenfonds zelf. De vereisten ten aanzien van een integere en beheerste bedrijfsvoe­ring vullen dit niet exact voor het pensioenfonds in. In het algemeen zijn wij echter van mening dat gestreefd zou moeten worden naar een niveau waar­op het risicomanagement aantoonbaar, integraal en effectief wordt uitgevoerd, waarbij de kosten opwe­gen tegen de baten. De vertaling hiervan naar een ambitieniveau verschilt per element en is onder meer afhankelijk van de omvang van het pensioen­fonds, de aard en complexiteit van de risico's die gelopen worden en de mate waarin zaken zijn uit­besteed, maar zal in het algemeen tot een gewenste score van minimaal 3 en op onderdelen 4 leiden. 

Figuur 1: Elementen van het risicomanagementraamwerk zoals gehanteerd door KPMG 

Als we het over risicomanagement binnen finan­ciële instellingen hebben, dan spreken we al snel over het 'three lines' model. Dit model is de meest actuele interpretatie van het 'three lines of defen­se' model. Hierna een illustratie van het model waarbij we als voorbeeld het bouwen van een huis voor Anne hebben genomen. 

Stelt u zich een situatie voor waarbij de 'three lines' gezamen­lijk verantwoordelijk zijn voor het bouwen van een huis voor Anne. Anne is de opdrachtgever en uiteindelijke belangheb­bende. 

De eerste lijn wordt gevormd door de aannemer die samen met zijn bouwvakkers eigenaarschap over het proces en de bijbe­horende risico's neemt. Tijdens de bouw moeten het ontwerp en de bouwregels van de architect (tweede lijn) worden geres­pecteerd. De aannemer heeft vooraf, samen met de architect, nagedacht over mogelijke risico's in het project en passende maatregelen getroffen. Tijdens de bouw blijft er aandacht voor de eerder geiäentificeerde risico's maar ook voor mogelijke nieuw opkomende risico's. Vaak worden deze door de bouw­vakkers op de bouwplaats zelf gesignaleerd. De architect is re­gelmatig aanwezig op de bouwplaats en kan om advies wor­den gevraagd maar bouwt zelf niet mee. 

Wanneer de woning wordt opgeleverd volgt een opleverings­keuring door een onafhankelijke, gecertificeerde bouwkundi­ge, die daarmee de derde lijn invult. Hierbij wordt steekproefs­gewijs gecontroleerd of het huis inderdaad conform het ontwerp en de afgesproken bouwregels is gebouwd en of er geen verborgen gebreken zijn. 

Uit het onderzoek blijkt dat de scheiding tussen de lijnen binnen het 'three lines model', evenals de borging van de onafhankelijkheid van elke lijn, kan worden verbeterd. De rolverdeling en in­vulling is veelal in beleid verankerd. De uitwer­king in de praktijk kan nog verbeterd worden door het versterken van de kennis en ervaring van be­trokkenen in alle lijnen ten aanzien van specifie­ke risico's, zoals IT-risico's. 

Figuur 2: Uitkomsten KPMG benchmark onderzoek  'Volwassenheidsniveau risicobeheer' onder pensioenfondsen 

Data & systemen, het element uit het risicomanage­mentraamwerk dat zich richt op digitalisering, scoort divers maar gemiddeld laag, zo blijkt uit het onderzoek. Digitalisering is een actueel thema voor de financiële markt als geheel en wordt met de aan­staande transitie ook voor de pensioensector alleen maar urgenter. Ook de toezichthouder heeft in haar visie op het toezicht voor 2021-2024 ken­baar gemaakt dat inspelen op technologische ver­ieuwing één van de drie speerpunten is³. Daarbij richt DNB zich met name op het op orde krijgen van data op het gebied van kwaliteit, beveiliging en gebruik. De toezichthouder geeft daarnaast aan dat goede data essentieel is voor de strategische sturing van financiële instellingen. Het laatste linkt direct aan het belang van het hebben van inzicht in de belangrijkste risico's voor het fonds en het meewegen van de beheersing van die risico's in de strategische besluitvorming. GRC-tooling is een middel dat hiervoor gebruikt kan worden. GRC­tooling is tooling waarmee de processen binnen het pensioenfonds gericht op Govemance, Risk en Compliance (GRC) kunnen worden ondersteund, bijvoorbeeld op gebied van risico- en controlma­nagement, incident- en actiemanagement, risico­rapportages en toegangsbeheer. Door inzet van too­ling kunnen de volgende veel voorkomende pijnpunten in het risicomanagementproces wor­den verminderd of weggenomen: 

1. Het monitoren van risico's en beheersmaatrege­len kost veel tijd en is foutgevoelig.
2. Het aantoonbaar in control zijn kost veel moeite.
3. De actuele status van risico's is niet inzichtelijk gemaakt. 
4. Actuele inzichten in de voortgang van proces­sen en beheersmaatregelen ontbreken. 
5. De samenwerking tussen de 'three lines' kan beter.

Veel pensioenfondsen onderschrijven de poten­tiële voordelen van het digitaliseren van proces­sen. Toch blijkt uit de resultaten van het bench­markonderzoek dat data & systemen het element van het raamwerk is waar over de breedte van de markt het laagst wordt gescoord. Natuurlijk is dit voor veel pensioenfondsen, zeker de kleinere, een bewuste keuze. Zij geven aan geen toegevoegde waarde te zien in de inzet van tooling, omdat hierbij vaak aan grote IT-implementatietrajecten wordt gedacht waarbij de kosten niet opwegen te­gen de baten. Er zijn echter ook mogelijkheden om in kleinere stappen al veel winst te behalen op technologisch vlak, waarmee het risicoma­nagement direct kan worden versterkt. Denk aan het creëren van een heldere geautomatiseerde workflow, waardoor de uitvoering van de 'three lines' in de praktijk kan worden geborgd. De tijd­en kostenbesparing die dit oplevert én de auto­matische creatie van een audit trail vormen daar­van een grote plus. 

Een aantal pensioenfondsen heeft dan ook al de stap richting digitalisering van het risicomanage­ment gezet. In de benchmark was sprake van een uitschieter op het gebied van GRC-tooling. Dit pen­sioenfonds heeft bewust gekozen voor de inzet van tooling om daarmee meer grip te houden op de be­langrijkste risico's voor het fonds. Dit fonds geeft aan dat de inzet van tooling een duidelijke capa­citeitswinst oplevert: processen vergen minder handmatige handelingen en automatische signa­len volgen zodra grenswaarden worden overschre­den. Zij zijn hiermee aantoonbaar beter in control en in staat om sneller te reageren op risico's die zich materialiseren. Daarnaast wordt door de pro­cessen te automatiseren en te verankeren in too­ling ook het inzicht in de status van de uitvoering van beheersmaatregelen vergroot. Hierdoor is min­der capaciteit nodig om de externe accountant te overtuigen van de werking van beheersmaatrege­len. 

Uit onderzoek blijkt dat het gemiddeld pensioen­fonds nét geen voldoende scoort op het risicoma­nagement. Om een niveau te bereiken waarop het risicomanagement aantoonbaar, integraal en effec­tief wordt uitgevoerd en de kosten opwegen tegen de baten zien wij de volgende belangrijke ontwik­kelpunten: 

• De scheiding tussen de lijnen binnen het 'three lines model' en de borging van de onafhanke­lijkheid van elke lijn kan worden verbeterd;
• De kennis en ervaring van betrokkenen in alle lijnen ten aanzien van specifieke risico's, zoals IT-risico's, dient te worden verstevigd; 
• De balans tussen zelf in control blijven over de eigen uitbestedingsrisico's en niet op de stoel van de uitbestedingspartner gaan zitten blijkt in de praktijk een uitdaging. 

Tooling kan helpen deze punten te adresseren. Wij raden fondsen aan te starten met het opstellen van een visie op GRC-tooling en daarbij onder meer een kosten-batenanalyse uit te voeren. Ook met de keuze voor de inzet van tooling in een deel van het risicomanagementproces kan al een grote efficiën­tieslag worden behaald. Er is vandaag de dag een divers aanbod aan tooling beschikbaar dat modu­lair is opgebouwd en waarmee een platform kan worden gecreëerd dat bij de omvang en ambitie van het pensioenfonds past. Hiermee kunnen de kosten voor implementatie laag worden gehouden door al­leen die modules te selecteren die waarde toevoe­gen voor het fonds. Daarnaast zijn systemen be­schikbaar die gekoppeld kunnen worden aan de systemen van de uitbestedingspartijen. Door deze systemen op elkaar te laten aansluiten wordt voor­komen dat zaken moeten worden 'overgetikt', wat naast tijdsintensief ook foutgevoelig is. Hierdoor blijft een fonds aantoonbaar beter 'in control'.

^{1. "Volwassenheidsniveau risicobeheer", KPMG Advisory NV, juni 2021 https://home.kpmg/nl/nl/home/insights/2021/06/volwassenheidsniveau-risicobeheer.html}

^{2. DNB, Good Practice Informatiebeveiliging 2019/2020}

^{3 https:/ /www.dnb.nl/media/43cnkobx/visie_op_ toezicht_2021_2024.pdf.} 

Dit artikel is onlangs ook verschenen in Pensioen Magazine (editie november 2021)