Bij veel besturen van kleine en middelgrote fondsen is het gesprek over risicomanagement nog niet diepgaand, constateren twee adviseurs. ‘Het is voor bestuurders te complex, rapporten zijn te dik of te specialistisch.’
Dat stellen adviseurs Bas van Vliet (Phenox Consultants) en Paul de Koning (TriVu) in een gesprek met Pensioen Pro. Het tweetal enquêteerde bijna dertig pensioenfondsen over hoe zij de zogeheten ‘sleutelfunctie risicobeheer’ in de praktijk invullen. Deze sleutelfunctie is sinds 2019 verplicht bij pensioenfondsen (net als de sleutelfuncties voor actuariaat en internal audit) en een direct gevolg van het invoeren van de IORP 2-richtlijn.
De ervaring van de laatste twee jaar leert dat er door de implementatie van IORP-richtlijn vooral beweging is bij de beheersing van niet-financiële risico’s, aldus De Koning. ‘Je kunt dan denken aan it, datakwaliteit, integriteit en de administratieve uitvoering. Het managen van de financiële risico’s, bijvoorbeeld op het vlak van beleggingsbeleid en rentestand, hebben de meeste fondsen al vrij goed in de steigers gezet.’
Kleinere fondsen doen risicobeheer zelf
Bij twee derde van de onderzochte fondsen is een bestuurslid zowel de ‘sleutelfunctiehouder’ als de ‘sleutelfunctievervuller’, zo blijkt uit de onderzoeksresultaten. Dat betekent dat het betreffende bestuurslid niet alleen bestuurlijk verantwoordelijk is voor deze portefeuille, maar ook voor de concrete uitvoering. De meeste kleinere fondsen huren derhalve geen externe risicomanager in.
Dat besturen dit het liefst in eigen hand houden, heeft vooral een kostenachtergrond, licht Van Vliet toe. ‘De organisatie van een klein of middelgroot fonds is vaak erg kostenbewust en besturen vinden uitbesteden relatief duur.’ Daarbij moet worden bedacht dat een bestuurder die ‘sleutelfunctievervuller’ op het vlak van risicobeheer is, de analyserapporten niet zelf schrijft. Het gros van deze documenten komt uit de koker van de afdeling risicomanagement van de pensioenuitvoeringsorganisaties en vermogensbeheerders.
Niet interessant en te complex
Deze rapportages roepen echter geen warme interessegevoelens op bij de rest van het bestuur. Uit de enquête van Phenox en TriVu blijkt dat bij ruim een kwart van de ondervraagde besturen risicobeheer een ‘hamerstuk’ is, wat inhoudt dat het bestuur er op een vergadering verder niet over doorpraat. Eenzelfde deel vindt de rapportages ‘te onduidelijk of te complex’. Mede om deze redenen verloopt de invoering van de IORP-verplichtingen voor wat betref risico’s nogal stroef. In totaal vindt ruim een derde van de fondsbesturen dat het implementatieproces complexer is en meer tijd kost dan gedacht.
Wat zeker niet helpt is dat veel van de rapporten erg uitgebreid of specialistisch zijn, aldus De Koning. ‘Besturen gaan dergelijke documenten niet lezen, het is voor een gemiddeld bestuurslid eigenlijk niet te doen. Er staat zoveel gedetailleerde informatie in dat men denkt “het zal wel”.’
Controle op rapportages uitvoerder ontbreekt
Tegelijkertijd hebben de fondsbesturen wel vertrouwen in de rapportages van de uitbestedingsorganisaties, signaleert Van Vliet. ‘Bijna twee derde van de ondervraagde besturen neemt deze rapporten voor waar aan. Wat daarbij ontbreekt is de controle door het pensioenfonds of de rapportages wel volledig, actueel en volgens gemaakte afspraken zijn.’
Veel besturen vergeten dat de rapporten grotendeels niet over hun eigen individuele fonds gaan. ‘Pensioenuitvoeringsorganisaties en vermogensbeheerders stellen hun risicorapportages op aan de hand van hun eigen beleidskader’, waarschuwt De Koning. Dat moet een bestuur vervolgens gaan vertalen naar het eigen fonds. Vanwege de complexiteit en het gestelde vertrouwen gebeurt dat volgens hem echter onvoldoende.
‘Door het gebrek aan maatwerk is het voor een pensioenfonds moeilijk te bepalen welke risico’s wel en niet voldoende worden beheerst.’ Een ander onderzoek onder dertien middelgrote pensioenfondsen, uitgevoerd door KPMG, liet deze bevinding ook zien.
Wat wil het bestuur weten?
Fondsbesturen zouden veel selectiever moeten zijn waar ze zich bij het risicobeheer op focussen. Van Vliet: ‘Stel jezelf de vraag: wat wil ik nu echt weten? Je krijgt dan vervolgens veel duidelijkere op maat gemaakte rapportages die ook nog eens dunner zijn.’
Daarnaast wordt beter aangesloten bij de dagelijkse praktijk en het bestaansrecht van het fonds, vult De Koning aan. ‘Een goed praktijkvoorbeeld is hoe it, datakwaliteit en uitvoering samenkomen bij processen waar het regelmatig fout gaat, zoals arbeidsongeschiktheid, scheiding en partnerpensioen. Voor het bestuur gaat het zo ook veel meer leven. En dat zorgt weer voor meer interesse en betrokkenheid waardoor risicobeheer wel een echt gespreksonderwerp aan de bestuurstafel wordt.’