Op 13 januari 2019 zal de Institutions for Occupational Retirement Provision, of kortweg IORP II (de richtlijn[1]) na een voorbereidingsperiode van twee jaar in werking zal treden. IORP II is een breed opgezette richtlijn die in de Nederlandse wetgeving geïmplementeerd moet worden. De richtlijn gaat over waardeoverdracht naar het buitenland, externe rapportages en governance & risicomanagement. Vooral dit laatste onderwerp vinden wij interessant en relevant voor de compliancefunctie, omdat ‘compliance’ in een monitorende en handhavende rol een integraal onderdeel is van het risicomanagement. Wij beperken dit artikel dan ook tot governance en risicomanagement.
Wat is de impact van de implementatie van IORP II op de compliancefunctie of is die er niet?
Wat we zien, is dat IORP II een voorschot neemt op het formeel positioneren van pensioenfondsen als financiële instelling. Iets wat op dit moment beperkt is tot de Algemene Pensioenfondsen (APF). De richtlijn schrijft voor dat pensioenfondsen over een doeltreffend governancesysteem dienen te beschikken. Pensioenfondsen mogen wel op basis van het proportionaliteitsbeginsel tot op zekere hoogte zelf vorm geven aan de eisen zodat dit passend is voor het pensioenfonds. IORP II beschrijft proportioneel als “in verhouding tot omvang en interne organisatie alsook tot de omvang, de aard, de schaal en de complexiteit van de werkzaamheden”. Om te bepalen wat ‘passend’ is, moeten fondsbestuurders dus kijken naar de omvang en complexiteit van ‘hun’ fonds.
Sleutelfuncties en ‘compliance’
Een nieuw onderdeel van het governancesysteem onder de richtlijn zal bestaan uit de verplichting tot het benoemen van sleutelfuncties[1], zoals dat ook onder Solvency II het geval is. Er zijn veel parallellen te trekken tussen IORP II en Solvency II maar opmerkelijk genoeg ontbreekt in de richtlijn, in tegenstelling tot Solvency II, een verplichte sleutelfunctie ‘compliance’. Onze verwachting is dat dit nog wordt aangepast en dat zou een goede zaak zijn. Mede omdat de positie van- en met name ook de verwachtingen omtrent ‘de compliance officer’ bij pensioenfondsen een onderwerp is waarover door DNB steeds nadrukkelijker en kritischer wordt gecommuniceerd als aandachtspunt. Dat is recentelijk weer het geval geweest bij bijvoorbeeld on-site visites van DNB, naar aanleiding van mogelijke of geconstateerde tekortkomingen in de kwaliteit van het interne (compliance)toezicht bij pensioenfondsen.
Voor het gemak zullen wij binnen de context van dit artikel de compliancefunctie als -niet officiële- sleutelfunctie duiden hoewel daar geen wettelijke grondslag voor is. Artikel 143 Pw en de verdere uitwerking daarvan in artikelen 18 tot en met 22 van het Besluit financieel toetsingskader pensioenfondsen (Bftk), geven wel richting ten aanzien van integriteit en het omgaan met integriteitsrisico’s. Binnen de pensioensector is het aanstellen van een compliance officer inmiddels gemeengoed geworden.
Het implementeren van sleutelfuncties[2], en men name van de risicobeheerfunctie[3], is een kans voor fonds-bestuurders om nog eens goed na te denken over de synergie en ‘afstand’ die er tussen de risicobeheerfunctie en de functie van de compliance officer zou moeten zijn en hoe dat zou moeten worden geborgd. Wij zien een ontwikkeling waarbij pensioenbestuurders soms de keuze maken om, onder verwijzing naar de implementatie van de richtlijn, de compliancefunctie (lees: de compliance officers-rol) onder te brengen bij de organisatie die ook de Risicobeheerfunctie vervult. Op het eerste gezicht is dat een verklaarbare keuze. Het pensioenbestuur hoeft dan alle relevante informatie en gegevens maar één keer te delen, in plaats van één keer aan de risicobeheerfunctie en één keer aan de compliance officer. Dat lijkt efficiënt en dus een goede beslissing, maar er zijn toch wat haken en ogen aan een dergelijk besluit verbonden. Niet in het minst, omdat van beide functies wordt verwacht dat zij hun eigen analyses, conclusies en aanbevelingen doen vanuit een onafhankelijke en objectieve invulling van hun taken.
Three lines of defence (3Lod)
Op 18 april gaf DNB tijdens een Educatiesessie IORP II aan dat wat DNB betreft het 3Lod model een duidelijke optie is voor pensioenfondsen, hoewel dit model als zodanig niet genoemd wordt in de richtlijn. De Pensioenfederatie[4] stelt, onder verwijzing naar de implementatiewet, dat er geen directe relatie wordt gelegd tussen het inrichten van de sleutelfuncties en het 3Lod model dat gangbaar is binnen de financiële sector. Er dient volgens de Pensioenfederatie ruimte te zijn voor een fondsspecifieke inrichting en dat is juist, maar het ene- sluit het andere niet uit. Juist door de strikte scheiding die in de richtlijn wordt aangebracht tussen met name de Interne Auditfunctie en de beide overige sleutelfuncties en de scheiding tussen de sleutelfuncties en de uitvoerende taken van de eerste lijn, is er sprake van verschillende ‘verdedigingslinies’ zoals dat bedoeld binnen het ‘3Lod model.
Binnen IORP II worden de sleutelfuncties als volgt gepositioneerd:
De compliancefunctie/ compliance officer is ook onderdeel van de tweede verdedigingslinie en staat dus ‘op één lijn’ met de risicobeheerfunctie, maar wel met een duidelijk verschillende rol en verantwoordelijkheid. Beide tweedelijns-functies hebben ten opzichte van elkaar een complementaire en countervailing rol. ‘Risk’ en ‘Compliance’ nemen kennis van elkaars bevindingen en conclusies, en dagen elkaar uit in de zoektocht naar het antwoord op ‘de 7 gouden W vragen[9]’. Dat doen beide partijen vanuit een onafhankelijke en objectieve taakstelling en ieder vanuit hun eigen risico en integriteitsvisie en -perspectief. En juist daar kan een probleem ontstaan.
Het beoordelen vanuit de onafhankelijke visie en interpretatie van risico’s stelt ‘Risk’ en ‘Compliance’ in staat om elkaar positief kritisch uit te dagen of op elkaars bevindingen voort te borduren als er tussen beiden sprake is van verschillende interpretaties, conclusies of aanbevelingen. Als beide functies vanuit dezelfde organisatie worden uitgevoerd, dan ligt het in de lijn der verwachting dat beide functies dezelfde risico- en integriteitsvisie hebben omdat dit, als het goed is, een integrale visie en interpretatie van de organisatie zal zijn. De kans dat beide functies elkaar voldoende kritisch zullen benaderen neemt daardoor af. ‘Groepsdruk’ kan een rol spelen bij het uiteindelijk bepalen van een ‘gedeeld’ risicostandpunt voor zowel ‘Risk’ als ‘Compliance’. Dat kan uiteindelijk leiden tot een vernauwing van de risicoperceptie en dientengevolge tot het ontstaan van ‘blinde vlekken’ in het toezicht op compliance en integriteitsrisico’s bij het pensioenfonds.
Een tweede risico is dat de concentratie van beide functies bij één organisatie een mogelijk continuïteitsrisico met zich meebrengt, als de betreffende organisatie door wat voor reden dan ook niet meer in staat is om de bijbehorende werkzaamheden (naar behoren) uit te voeren. Dan staan in één keer twee kritische functies onder druk.
De praktijk zal uitwijzen hoe dit zich gaat ontwikkelen, maar het is niet onverstandig om bovenstaande afweging mee te nemen bij de benoeming van sleutelfuncties.
Als u verder vragen heeft over dit onderwerp dan kunt u ons daar altijd over benaderen.
