Een visie op SIRA

Peter Westdijk en Albert de Jong

Wij hebben voor u vooruitgekeken naar wat alle hectiek in pensioenland kan betekenen voor het uitvoeren van de Systematische Integriteitsrisicoanalyse (SIRA). We hebben daarvoor dankbaar gebruik gemaakt van wat hierover in verschillende publieke bronnen is geschreven en beargumenteerd, en hebben daar onze eigen visie en onze praktijkervaring tegenaan gehouden. Hopelijk helpt dit document bij het evalueren van waar uw fonds staat en waar mogelijk iets meer aandacht nodig kan zijn. Mocht u naar aanleiding van dit artikel nog aanvullende vragen hebben, aarzel dan niet om contact met ons op te nemen. Wij zijn u graag van dienst.

Situatieschets – SIRA methodiek

De SIRA is in 2015 door DNB in het leven geroepen omdat DNB constateerde dat veel financiële instellingen toen niet of slechts in beperkte mate hun integriteitsrisico’s kenden en beheersten. DNB heeft toen uitgebreide guidance verstrekt hoe integriteitsrisico’s te onderkennen.

Intussen voeren financiële instellingen al vele jaren SIRA’s uit, waarbij de DNB guidance als leidraad wordt gebruikt. Maar de wereld en met name de wet- en regelgeving zijn sinds 2015 sterk veranderd. Veel integriteitsrisico’s zijn door de wetgevers onderkend; veel regels zijn opgesteld om die integriteitsrisico’s zo goed mogelijk te beheersen. De risico’s op witwassen, terrorismefinanciering en belastingontwijking zijn hiervan duidelijke voorbeelden.

Voor fondsen zijn de genoemde (en andere) risico’s hierdoor eigenlijk geen integriteitsrisico’s meer, maar legal compliance risico’s: het gaat het fonds erom aan de regels te voldoen. De vraag is dan of de SIRA methodiek daarbij goed aansluit.

Situatieschets – uitkomsten voorgaande SIRA

Op basis van de voorgaande (deel)SIRA’s ligt er als het goed is al een deugdelijke basis voor het onderkennen en beheersen van integriteitsrisico’s. De analyse geeft een breed en zo compleet mogelijk beeld van de beheersing van integriteitsrisico’s. De voorgaande (deel)SIRA‘s tonen in een ideale situatie voor vrijwel alle risico-scenario’s een risk respons ‘accepteren’ of ‘toelaatbaar’. De risicobeheersmaatregelen zoals die in de voorgaande SIRA(‘s) is/zijn benoemd zijn als het goed is nog alle- of in ieder geval grotendeels nog actueel en operationeel en worden door bestuur en commissies uitgevoerd en (deels)¹ door de compliance officer gemonitord.

Voorstel aanpak SIRA

Het voorwerk van de SIRA kost eigenlijk de meeste tijd. Het fonds moet een actuele integriteitsrisicoanalyse beschikbaar hebben en daarnaar handelen, zo schrijft DNB voor (met wettelijke verankering in bv. 3.30 van Wft). De actualiteit van de SIRA waarborg je door van de SIRA een dynamisch document te maken. Daar bedoelen wij mee dat de SIRA op zich niet meer is dan een risicofoto van het ‘nu’, gebaseerd op ervaringen en bevindingen tot ‘nu’. Dat levert waardevolle informatie op waaraan soms een aanvullende beheersmaatregel wordt gekoppeld, of waar een aandachtspunt voor de directe of nabije toekomst uit volgt maar het blijft een momentopname.

Hoe houd je de SIRA actueel?

Om de actualiteit van het risicobeeld te garanderen is het noodzakelijk om nieuwe relevante ontwikkelingen uit de periode na afronding van een (deel)SIRA ook ‘direct’ en blijvend te betrekken op de risicoanalyse die je eerder hebt uitgevoerd. Een aanpassing van een wettekst kan bijvoorbeeld leiden tot een noodzakelijke wijziging van intern beleid en dat kan weer invloed hebben op de manier waarop een proces is ingericht en op de checks & balances die in die procedure zijn opgenomen. Een ander voorbeeld is dat een uitvoerder een DPIA heeft uitgevoerd waaruit bepaalde (nieuwe) risico’s naar voren zijn gekomen. Dan kan een initieel ‘laag risico’ gescoord thema of onderwerp opeens tot een hogere risicoscore leiden. Laat dat dan niet ‘liggen’ tot dat thema of onderwerp over een jaar of nog later op de agenda staat, maar bekijk de bestaande risicoscores kritisch op basis van de nieuwe ontwikkelingen, en pas waar nodig aan. Het is zelfs niet uit te sluiten dat er in bepaalde situaties een nieuwe (gedeeltelijke) SIRA moet worden uitgevoerd. Bedenk dat de SIRA belangrijke management informatie is en dat als informatie niet langer een actueel risicobeeld geeft, deze stuurinformatie minder waardevol is of zelfs misleidend kan zijn met alle gevolgen van dien, en niet compliant meer is met 3.10 Wft en afgeleide artikelen.

Van foto naar film

Opeenvolgende (deel)SIRA’s moeten ook zo veel mogelijk in samenhang geïnterpreteerd worden omdat je alleen op die manier de rode draden kunt ontdekken in de ontwikkelingen van het interne integriteitsrisicobeheer. Door het in samenhang beoordelen van de achtereenvolgende (deel) SIRA’s ontstaat er een soort van ‘film’, in plaats van geïsoleerde ‘foto’s’ van afzonderlijke (deel) SIRA’s. Op basis van die ‘film’ kan je mogelijk ook tot een betere inschatting komen van toekomstige ontwikkelingen zodat je daar als organisatie op kunt anticiperen, in plaats van alleen daarop te reageren.

Plannen is vooruitdenken

Het uitvoeren van een volledige SIRA is een grote belasting voor de organisatie en het bestuur. Het streven is om de inspanningen voor het uitvoeren van de SIRA te beperken door efficiënt en met focus aan de slag te gaan. Het is denken wij een ‘open deur’ maar ten overvloede adviseren wij om de SIRA niet jaarlijks integraal uit te voeren, maar risico-gebaseerd de beschikbare capaciteit en tijd met prioriteit te besteden aan de hoog-risico onderwerpen die het fonds zelf heeft geïdentificeerd. Minder hoge risico’s kunnen bijvoorbeeld om het jaar in de planning opgenomen worden waarbij wij de kanttekening maken dat deze SIRA planning moet worden afgestemd met bijvoorbeeld de risicofunctie, om te voorkomen dat deze risico’s een heel jaar lang ‘buiten zicht’ blijven. Er kan immers altijd gedurende een jaar iets gebeuren waardoor het nodig of wenselijk is om een risicothema of bepaalde  risico’s alsnog in de SIRA cyclus op te nemen. Dat vraagt intern om goede en tijdige afstemming tussen de 1^e en de 2^e lijn en tussen de Risicofunctie en de compliance functie.

Lessons learned uit de praktijk: “Leer van andermans fouten, want het leven is te kort om ze allemaal zelf te maken”.²

Bij het plannen van de SIRA zouden de volgende acties kunnen worden uitgevoerd:

1. Beperk de duur van de SIRA sessie, en bouw waar nodig even een koffiepauze in. Het kan lastig zijn om langere tijd achter elkaar de focus te houden. Als het nodig is, plan dan meerdere momenten in de agenda’s zodat een SIRA niet afgeraffeld hoeft te worden. Door vooruit te plannen zorg je ervoor dat het uitvoeren van een SIRA de tijd en aandacht krijgt die nodig is. Als je een vooruit geblokt tijdsdeel achteraf niet nodig hebt, dan is dat ‘gevonden’ tijd die je anders weer kunt inzetten. Als blijkt dat je meer tijd nodig hebt dan initieel gedacht, dan is het prettig om alvast extra ruimte in de agenda’s van de deelnemers geblokt te hebben zodat je niet weer ‘ergens tussendoor’ tijd moet vinden waarop iedereen beschikbaar is. Raffel het niet af. Als een onderwerp tot veel interne discussie leidt, kap dan de discussie niet af maar isoleer de verschillen en werk toe naar een gedeelde risicoscore met dito onderbouwing. Zet dit onderwerp desnoods apart op de agenda van een vervolgoverleg zodat iedereen wat extra tijd krijgt om over elkaars argumenten en onderbouwingen na te denken. Hier kan je bijvoorbeeld de extra tijd die je geblokt hebt in je agenda (zie hierboven) goed voor gebruiken. Het helpt ook om bij discussiepunten over risicoscores en de effectiviteit van bepaalde beheersmaatregelen een actiepunt of aandachtspunt te formuleren.

2. Less is (sometimes) more. Veel deelnemers (meningen) tijdens een SIRA betekent niet altijd dat de uitkomsten dan beter zijn. Wij adviseren om het aantal deelnemers waar mogelijk te beperken tot personen die beschikken over diepgaande kennis van- en ervaring met de onderwerpen die ter sprake komen. Discussies en resultaten zullen daardoor naar verwachting ‘to the point’ en goed onderbouwd, en dus uitlegbaar zijn. Dedicated tijd en capaciteit.  Het bestuur faciliteert dat er voldoende ruimte in de planning is zodat beoogde deelnemers/ respondenten hier ook dedicated aandacht aan kunnen besteden en dat de compliance functie een actieve rol toebedeeld krijgt in het proces. Soms worden informatie en conclusies (scores en onderbouwing) pas achteraf gedeeld met de compliance officer, terwijl het voor de compliance officer juist belangrijk is om mee te kunnen luisteren naar de argumenten en ideeën achter een risicoscore. Compliance officers hebben ook een rol als countervailing power tijdens zo’n SIRA sessie.

3. Focus. Identificeer de belangrijkste integriteitsrisico’s per jaar. Een goede graadmeter, náást de eventuele bevindingen vanuit de Risk functie en de Compliance officer, is om te kijken waarop DNB en AFM in hun jaarplanning de focus gaan leggen en wat er bijvoorbeeld op de juridische agenda staat. Het kan ook geen kwaad om te kijken waaraan in de jaarlijkse Niet Financiële Risico-vragenlijst van DNB aandacht wordt besteed. Je weet in ieder geval zeker dat als de Toezichthouder ergens de focus op gaat leggen, dat het relevant en impactvol zal/ kan zijn voor het fonds.

1. Actualiteiten. Op korte termijn zien wij verhoogde aandacht voor de volgende onderwerpen
   1. Belangenverstrengeling: de besluitvorming rond de Wtp-transitie
   2. Communicatie en informatie, de Keuzeomgeving
   3. ESG/ SFDR. De impact voor pensioenfondsen is dat zij steeds meer rekening moeten houden met ESG-factoren in hun beleggingsbeslissingen, risicomanagement en rapportage en hun beleggingen moeten classificeren en rapporteren volgens de SFDR-criteria. Die criteria zijn onder meer gebaseerd op de Europese taxonomie voor duurzame activiteiten. De risico’s voor pensioenfondsen zijn dat zij mogelijk hun beleggingsbeleid en -strategie moeten aanpassen om te voldoen aan de SFDR-eisen, en dat zij te maken kunnen krijgen met hogere kosten, complexiteit en aansprakelijkheid.
   4. Cybercrime en informatiebeveiliging, uiteraard met het oog op DORA, maar met een directe koppeling aan AVG (mogelijk extra aandacht voor DPIA’s), Uitbesteding en BCM (in relatie tot uitbesteding van ICT).

Verwerk actuele ontwikkelingen in de risicoscores van de (deel)SIRA’s op een natuurlijk moment. Als de formulering van  eventuele aanvullende beheersmaatregelen of aandachtspunten uit een (deel)SIRA voldoende SMART zijn geformuleerd, dan is het monitoren van de voortgang minder willekeuring. Door één persoon als penvoerder aan te wijzen van de (Deel)SIRA’s wordt de verantwoordelijkheid voor het actueel houden van SIRA scores duidelijk aangegeven wat de interne communicatie ten goede komt. Er is dan ook gelijk een centraal aanspreekpunt.  De Bestuursondersteuning zou hier een rol kunnen spelen, of de risicocommissie, en zelfs de compliance officer. Dat verschilt per organisatie.

2. Centrale risico database. Het is verstandig om alle risicobeheersmaatregelen uit de voorgaande (deel)SIRA periodiek en structureel op een rijtje te zetten en periodiek vast te stellen of/dat deze nog operationeel zijn en afdoende werken. Hierbij is het natuurlijk belangrijk dat de juiste interne en externe expertise wordt aangehaakt om er zeker van te zijn dat de KRI’s en KPI’s de aandacht krijgen die ze verdienen. In de praktijk werk een centrale risico database heel goed om zicht te houden op welke risico’s zijn geïdentificeerd en welke beheersmaatregelen daarvoor zijn geïmplementeerd. Het onderhoud van deze risicodatabase kan worden belegd in de 1^e lijn en de risico commissie of de Sleutelfunctiehouder Risicobeheer kan deze database ‘bewaken’.

Voorbereiding belangenverstrengeling 

Belangenverstrengeling is een breed begrip, dat door de Wtp-transitie (weer) actueel is geworden. Bestuursleden hebben mogelijk een verschillende achterban, adviseurs hebben ook een rol bij andere pensioenuitvoerders of zijn adviseur van de “sponsor”, de uitvoerder moet zwaar investeren in software. Welk belang geeft elk persoon de voorkeur: het fonds of de achterban?

Hier schuilt een integriteitsrisico in, dat het bestuur moet beheersen. Welke scenario’s zijn hier mogelijk en welke beheersmaatregelen heeft het bestuur om het integriteitsrisico te mitigeren?

Voorbeelden van scenario’s

• Adviseur suggereert optie om het fonds op te laten gaan in een APF waarin zijn werkgever een bestuurlijk of commercieel belang heeft
• Bestuursondersteuner weet dat diens werkgever deadlines voor de transitie niet zal halen en informeert het fonds hier niet over (of juist wel)
• Een bestuurslid ziet dat het invaarbesluit voor hem ongunstig zal uitpakken en adviseert een alternatief

Voorbeelden van mogelijke beheersmaatregelen

• Uitbestedingsbeleid en leveranciersmanagement
• Onthouden van stemming of verlaten van de vergadering bij “beladen” agendapunten of besluitvorming
• Beoordeling van adviezen van externe partijen door bestuurlijke commissies en door het voltallig bestuur
• Second opinion vragen van andere adviseurs als toets op strategische adviezen

Voorbereiding communicatie & informatie

Dit onderwerp hangt samen met de aandacht vanuit de Wtp ontwikkelingen.

Voorbeelden van scenario’s

• Deelnemers krijgen onvoldoende of onduidelijke informatie over de overgang van het oude naar het nieuwe pensioencontract. Ze weten niet wat er met hun opgebouwde pensioenrechten gebeurt, hoe de nieuwe premie-inleg en pensioenuitkering worden berekend, en welke risico’s en kansen ze lopen in het nieuwe contract.
• Deelnemers krijgen tegenstrijdige of onjuiste informatie over de keuzevrijheid en het maatwerk die ze hebben in het nieuwe pensioenstelsel. Ze weten niet welke keuzes ze kunnen maken, wat de voor- en nadelen zijn van elke keuze, en hoe ze hun keuze kenbaar moeten maken aan de pensioenuitvoerder.
• Deelnemers krijgen te veel of te weinig informatie over de veranderingen in het pensioenstelsel. Ze raken overweldigd of verveeld door de hoeveelheid of de complexiteit van de informatie, of ze missen essentiële of relevante informatie voor hun persoonlijke situatie.
• Deelnemers krijgen informatie die niet aansluit bij hun behoeften, wensen, verwachtingen of voorkeuren. Ze voelen zich niet aangesproken, begrepen of gehoord door de pensioenuitvoerder, of ze hebben het gevoel dat de informatie niet objectief, betrouwbaar of transparant is

Voorbeelden van mogelijke beheersmaatregelen

• Ontwikkel en voer een effectief communicatieplan uit dat aansluit bij de behoeften, wensen, verwachtingen en voorkeuren van de deelnemers. Dit plan moet duidelijk, eerlijk, tijdig en begrijpelijk informeren over de veranderingen in het pensioenstelsel en de gevolgen voor het pensioen van de deelnemers . Ook moet het plan ruimte bieden voor dialoog, feedback en participatie van de deelnemers.
• Versterk de samenwerking en de afstemming binnen de pensioensector en met de externe stakeholders, zoals de overheid, de toezichthouders, de sociale partners en de media. Dit kan door het ontwikkelen en uitdragen van een gezamenlijke visie op de toekomst van het pensioen en het stelsel, het delen van kennis en ervaringen, het creëren van draagvlak en vertrouwen, en het voorkomen of oplossen van conflicten.
• Verbeter de governance en het risicomanagement van het pensioenfonds of de pensioenuitvoerder. Dit kan door het verhogen van de deskundigheid en de diversiteit van het bestuur en de medezeggenschapsorganen, het verduidelijken van de rollen en verantwoordelijkheden, het versterken van de interne controle en de auditfunctie, het actualiseren en evalueren van het beleid en de procedures, en het monitoren en rapporteren van de risico’s en de resultaten. Kennis binnen het bestuur is ook nadrukkelijk een aandachtspunt uit de Wtp.

Voorbereiding ESG

ESG is een zeer actueel onderwerp, dat hoog op de agenda staat bij de toezichthouders en veel media-aandacht krijgt. Veel van de ESG-problematiek speelt zich af bij het vermogensbeheer en is daarmee onderdeel van het uitbestedingsbeleid en het leveranciersmanagement van een fonds op de vermogensbeheerder. Het bestuur wordt gevraagd zich te beraden of ESG binnen de scope van de SIRA valt en hoe dat uitwerkt.

ESG kan als onderdeel van maatschappelijk onbetamelijk gedrag worden beschouwd en is dan zeker in scope van de SIRA. Het bestuur wordt gevraagd in hoeverre er buiten het uitbestede vermogensbeheer nog een integriteitsrisico op onbetamelijk gedrag op het gebied van duurzaamheid resteert.

Het bestuur wordt gevraagd hoe dit risico nu wordt beheerst? En is het risico daarmee toelaatbaar of geaccepteerd?

Voorbereiding cybercrime en beveiligingseisen

Cybercrime is een zeer actueel onderwerp, met hacks en datalekken momenteel in de media en de op handen zijnde DORA wetgeving, die bij pensioenfondsen ook verder gaat dan alleen het uitbestede werk. En de transitie naar het nieuwe pensioenstelsel betekent een inspanning op het gebied van IT, waardoor beveiligingseisen moeten worden herzien en met de uitvoerder worden besproken. Beveiligingseisen komen ook terug bij het opnieuw vaststellen van de “organisatorische en technische beveiligingseisen” die aan een eventueel nieuw systeem bij de pensioenuitvoerder moeten worden gesteld door het fonds. Beveiligingseisen die modern en adequaat moeten zijn.  Beveiligingseisen die moeten zijn bepaald op basis van de risico’s zoals die uit een DPIA zijn gebleken.

Voorbeelden van scenario’s

• Een hacker valt het fonds aan en bemachtigt alle vergaderstukken en zet deze online
• Een pensioenadministrateur verandert deelnemergegevens waardoor de opgebouwde rechten worden overgedragen aan zijn eigen aanspraken bij een ander pensioenfonds
• De uitvoerder heeft onvoldoende ontwikkel-capaciteit voor zowel de transitie als de invoering van DORA waardoor het fonds niet aan de wet zal voldoen

Voorbeelden van mogelijke beheersmaatregelen

• Informatiebeveiligingsbeleid voor het fonds en voor uitbestede werkzaamheden
• Toegangsregels op basis van functie/rol
• Business continuity plan en testen van herstelacties

Tenslotte

Dit document is bedoeld als hulpmiddel en wij hopen dat u hier iets aan heeft gehad. Laat ons vooral weten waar naar de mening van het fonds de informatie tekort schiet of nadere onderbouwing of uitleg nodig heeft. Waar gewenst kunnen wij dit nader toelichten aan het bestuur.