Eerder dit jaar publiceerde DNB het rapport ‘PUO-gericht toezicht’. Hierbij kondigt DNB aan dat ze Pensioenuitvoeringsorganisaties (PUO’s) meer gaat betrekken in het toezicht op pensioenfondsen. PUO’s zijn namelijk belangrijke partijen in het beheerst en integer functioneren van pensioenfondsen. Zij voeren, onder verantwoordelijkheid van het pensioenfonds, een groot deel van de taken uit.
In deze bijdrage leest u, vanuit een complianceperspectief, hoe een pensioenfonds de integere bedrijfsvoering van de PUO kan betrekken in haar eigen bedrijfsvoering.
Integere bedrijfsvoering
Wanneer we het hebben over een integere bedrijfsvoering dan hebben we het over het tegengaan van belangenverstrengeling, wetsovertredingen of andere handelingen die maatschappelijk ongewenst zijn. Voor pensioenfondsen wordt dit afgedwongen in artikel 143 Pw en artikel 19 Bftk. Concreet wordt hier vaak invulling aan gegeven door een Gedragscode, Incidenten- en klokkenluidersregeling, Beloningsbeleid, Integriteitbeleid, Systematische analyse van integriteitrisico’s (SIRA) en door het aanstellen van een tweedelijns functionaris die hier toezicht op houdt, de compliance officer.
De integere bedrijfsvoering ziet op de volledige bedrijfsvoering van het pensioenfonds, dus ook op de (kern)taken die zijn uitbesteed. Dit betekent dat het pensioenfonds bij uitbesteding moet vaststellen dat zij gaat samenwerken met een partij die ook een integere bedrijfsvoering heeft ingericht. Omdat deze uitvoerder vaak niet zelf onder een directe wettelijke verplichting valt dient het pensioenfonds extra scherp te zijn of zij de inrichting bij de PUO (of andere uitvoerder) voldoende acht. Dit vraagt om een actieve houding in het uitbestedingsproces en tijdens de uitbesteding zelf.
Wij zien vaak dat het uitbestedingsbeleid en uitbestedingstrajecten slechts beperkt rekening houden met de beoordeling van de integere bedrijfsvoering. Vaak wordt geoordeeld, ‘het is een gerenommeerde partij’ of ‘ze doen dit ook voor anderen, dus het zal wel goed wezen’. Hiermee wordt echter te weinig invulling gegeven aan de eigen verantwoordelijkheid van het pensioenfonds. Het pensioenfonds heeft namelijk eigen waarden en normen die bepalend zijn voor de integere bedrijfsvoering en het fonds zou zelf moeten toetsen of zij deze ook terugziet bij de PUO. Dit is een belangrijke vorm van integriteitrisicobeheersing, deze risico’s doen zich namelijk daar voor waar de uitvoering plaatsvindt.
Uitbestedingstrajecten
Ik pleit er dus voor om in uitbestedingstrajecten rekening te houden met de inrichting van de integere bedrijfsvoering bij de te contracteren partij. Dit begint al bij een uitbestedingsbeleid wat hier rekening mee houdt. Dit beleid moet voorzien in een beschrijving van wat er wordt verwacht van een uitvoerder op dit gebied. Daarnaast moet het beleid bepalen hoe dit wordt getoetst/vastgesteld in een uitbestedingstraject maar ook hoe dit gedurende de uitbesteding gemonitord wordt.
Bij de start van een uitbestedingstraject adviseer ik een integriteitrisicoanalyse te maken. Welke integriteitrisico’s kunnen er zich in het traject zelf voor doen. Denk dan aan belangenverstrengeling door nevenfuncties of andere banden van bestuurders met één van de kandidaten. Een externe adviseur die op voorhand een voorkeur heeft voor een kandidaat. Denk ook aan tijdsdruk wat een goede analyse van de kandidaten lastig maakt. Maar denk ook aan een situatie waarin een uitbesteding van taken onvoordelig kan uitpakken voor de aanstelling van bestuurders of medewerkers bestuursbureau die worden gekort in hun taken of overbodig worden.
Bedenk vooraf echter ook welke integriteitrisico’s zich gedurende de uitbesteding zelf voor kunnen doen en hoe dit te beheersen. Je wil vooraf weten of de potentiële samenwerkingspartij aan onder uitbesteding doet, of zij een SIRA uitvoeren, of zij een gelijkwaardige gedragscode voeren, of zij (pre)employment screening uitvoeren, of zij een incidentenregeling hebben geïmplementeerd, of zij een compliance officer hebben aangesteld en op welke wijze zij rapporteren over de integere bedrijfsvoering.
Deze analyse is heel specifiek voor dit traject en staat dus in feite los van de periodieke SIRA.
Gedurende de uitbesteding
Tijdens de uitbesteding zelf houdt het pensioenfonds vinger aan de pols voor wat betreft de integere bedrijfsvoering bij de PUO. Dit betekent dat zij middels rapportages wordt geïnformeerd over bijvoorbeeld incidenten, klachten, misstanden en de beheersing van integriteitrisico’s. Het betekent echter ook dat zij monitort of de maatregelen van integere bedrijfsvoering effectief zijn. Dit gaat dus verder dan het lezen van de rapportages (NFR of ISAE) waarin staat dat er voor het vierde kwartaal op rij geen incidenten, klachten, misstanden zijn geconstateerd of dat alle beheersmaatregelen 100% hebben gewerkt. Monitoring betekent ook dat periodiek wordt gekeken naar de SIRA van de PUO en dat wordt doorgevraagd op de beheersmaatregelen en de werking ervan. Hierbij kan een periodiek gesprek tussen de compliance officers van het pensioenfonds en de PUO nuttig zijn. Er kunnen vragen gesteld worden over invulling van het integriteitsbeleid en hoe onderuitbesteding plaatsvindt en welke activiteiten worden ondernomen om aldaar de integere bedrijfsvoering vast te stellen. Daarnaast kan bijvoorbeeld gedacht worden aan een screening waarbij de maatregelen bij de PUO door het pensioenfonds zelf beoordeeld worden of waarbij wordt vastgesteld dat de gedragscode inderdaad overeenkomt met de uitgangspunten van het pensioenfonds.
SIRA
Op grond van de wet (artikel 19 Bftk) draagt een pensioenfonds zorg voor een systematische analyse van integriteitrisico’s waaruit een integriteitbeleid volgt. Dit betekent dat het pensioenfonds periodiek haar integriteitrisico’s en de beheersing daarvan in kaart brengt. Wanneer een gedeelte van de uitvoering is uitbesteed ontkomt het pensioenfonds er niet aan om ook te analyseren welke integriteitrisico’s hier spelen en op welke wijze deze beheerst worden. Hier vindt dus een dubbelslag plaats: de PUO heeft beheersmaatregelen ingericht om het risico te beheersen en het pensioenfonds heeft maatregelen ingericht om vast te stellen dat deze beheersing plaatsvindt. In mijn praktijk zie ik dat hier vaak nog weinig aandacht voor is. Het advies is dan ook om per risico vast te stellen waar dit risico kan spelen. Bij integriteitrisico’s zie je dat deze vaak bij het pensioenfonds maar ook bij de PUO spelen en dat beheersing dus op twee plaatsen plaatsvindt. Om een goed beeld van de risico’s en beheersing bij de PUO te krijgen adviseer ik om de SIRA van de uitvoerder zelf op te vragen. Ik merk dat sommige uitvoerders terughoudend zijn om hier inzage in te geven. Daarom pleit ik er ook voor om dit onderdeel te maken van de informatievoorziening die is vastgelegd in de SLA. Het helpt natuurlijk ook om bij de uitvraag toe te lichten waarom deze informatie relevant is voor het pensioenfonds.
Verantwoordelijkheid nemen voor een integere bedrijfsvoering betekent hard werken en een actieve houding vanuit het pensioenfonds. Men kan niet alleen leunen op rapportages alleen om te voldoen aan deze wettelijke plicht. Omdat de belangen groot zijn kan het pensioenfonds zich de houding ‘het gaat goed tot het niet meer goed gaat’ niet permitteren. Gelukkig zijn veel fondsen dit stadium al lang voorbij.
