Risicobeheer

6.1. Algemeen

Integraal risicomanagement
De wijze waarop het bestuur om gaat met integraal risicomanagement, het risicoraamwerk en de wijze waarop risicomanagement deel uitmaakt van het besturen van Oak Pensioenfonds zijn vastgelegd in het beleidsdocument integraal risicomanagement. Dit beleid is in 2022 geactualiseerd. Een samenvatting van dit beleid is vastgelegd in de Abtn van Oak Pensioenfonds.

Doelstelling en risicobereidheid
Het doel van integraal risicomanagement is om de risico’s te beheersen die het behalen van de doelstellingen van Oak Pensioenfonds bedreigen.

De doelstellingen van Oak Pensioenfonds, afgeleid van de missie, visie en strategie, vormen het startpunt voor integraal risicomanagement. Het doel van integraal risicomanagement is om de risico’s te beheersen die het behalen van de (strategische) doelstellingen bedreigen. Oak Pensioenfonds heeft zijn visie, missie en strategie uitgewerkt in het meerjarenbeleidsplan.

Vanuit de (strategische) doelstellingen formuleert Oak Pensioenfonds de risicobereidheid. De risicobereidheid geeft aan welke typen risico’s Oak Pensioenfonds bereid is te nemen bij het nastreven van de doelstellingen, en in welke mate. De risicobereidheid komt tot uitdrukking in kwalitatieve uitspraken. Deze zijn opgenomen in bijlage 24.

Risicotaxonomie
Oak Pensioenfonds heeft verschillende risicosoorten gedefinieerd en gestructureerd om het eenduidig identificeren en beoordelen van risico’s te ondersteunen. De risicotaxonomie geeft een totaaloverzicht van de door Oak Pensioenfonds onderkende risico’s. De risicotaxonomie bestaat uit ongeveer 50 risico’s, geclusterd naar 12 risicocategorieën (zie onderstaand figuur).
Risicotaxonomie van Oak Pensioenfonds

Risicomanagementproces
Het risicomanagementproces bevat alle activiteiten om risico’s structureel te identificeren, te beoordelen, te beheersen en te monitoren en te rapporteren. Het risicomanagementproces bestaat uit de volgende stappen:

  1. Risico-identificatie
  2. Bepalen bruto-risicoweging
  3. Risicobeheersing
  4. Bepalen netto-risicoweging
  5. Toetsen en monitoren
  6. Rapportage

Het doorlopen van bovengenoemde stappen is een continu proces dat is geborgd binnen verschillende risicomanagementactiviteiten, waaronder een integrale risk assessment, een systematische integriteitsrisicoanalyse (SIRA) en een eigen risicobeoordeling (ERB).

Integrale risk assessment
Tijdens het risk assessment bekijkt het bestuur alle risico’s in onderlinge samenhang. In het risk assessment worden risico’s geïdentificeerd en ingeschat op basis van kans en impact. Op basis van de uitkomsten worden de risico’s geprioriteerd. Het risk assessment heeft als doel om inzicht te krijgen in de risico’s, de risicobereidheid per risico te herijken en de risicostrategie te bepalen.

Governance Risk en Compliance (GRC) tool
De geïdentificeerde risico’s en beheersmaatregelen zijn opgenomen in een GRC-tool (Cerrix). Ook de effectiviteit van de beheersmaatregelen wordt vastgelegd in Cerrix.

6.2. Ontwikkelingen binnen risicomanagement

Hieronder volgen de belangrijkste thema’s binnen risicomanagement in 2024:

  1. Datakwaliteit;
  2. Digital Operational Resilience Act (DORA);
  3. Wtp;
  4. Eigen Risicobeoordeling (ERB)

6.2.1. Datakwaliteit

Op het gebied van datakwaliteit is, met name in het kader van de Wtp veel werk verzet in 2024. Het plan van aanpak Datakwaliteit bevat meerdere fases, conform het kader datakwaliteit van de Pensioenfederatie.

Fase 1 was een toets door TKP op uitvoerbaarheid van het plan. Fase 2 betrof het opstellen van een risicoprofiel. Fase 1 en 2 zijn in 2023 conform planning afgerond. De derde en vierde fase waren het beoordelen van de datakwaliteitsrapportage en het plan van aanpak. In fase 5 heeft Oak Pensioenfonds een externe partij ingeschakeld voor het verifiëren van en rapporteren over uitgevoerde werkzaamheden. Deze drie fasen zijn in 2024 afgerond. Fase 6 is de laatste fase, waarbij in 2025 na afronding van specifieke werkzaamheden kan worden geconstateerd dat de datakwaliteit voldoende is voor de transitie naar het nieuwe pensioenstelsel. 

6.2.2. DORA

Oak Pensioenfonds heeft in 2024 gewerkt aan de implementatie van het IT beleid bij de uitbestedingspartijen. Hieraan gekoppeld is er ook veel aandacht besteed aan het tijdig kunnen voldoen aan DORA. DORA legt de financiële sector, waaronder pensioenfondsen, vergaande verplichtingen op om de sector te beschermen tegen operationele risico’s en cyberdreigingen. Oak Pensioenfonds dient te voldoen aan strenge eisen ten aanzien van het beheersen van IT‑ en cyberrisico’s in de uitbestedingsketens. Er is een inventarisatie van uitbestedingspartijen die onder DORA vallen gemaakt en een classificatie van ICT-dienstverleners volgens DORA. Beleidsdocumenten zijn aangepast en concept-addenda voor de uitbestedingspartijen zijn opgesteld. 

6.2.3. Wtp

In de portefeuille risicobeheer is gedurende 2024 voortdurend aandacht geweest voor de aan de Wtp gerelateerde risico’s. Wtp-risicorapportages en gemelde ontwikkelingen zijn besproken in de periodieke risico-overleggen.

6.2.4. ERB

Oak Pensioenfonds is in 2023 gestart met de ERB voor de Wtp. Deze is in 2024 afgerond. In deze ERB zijn specifieke scenario’s behandeld die aansluiten bij de actuele situatie van het fonds. Het verschuiven van de transitiedatum naar 1 januari 2026 heeft tussentijds tot aanpassing van de ERB Wtp geleid. De ERB Wtp is vervolgens in juni 2024 door het bestuur vastgesteld en ingediend bij DNB.

6.3. Interne audits in 2024

De sleutelfunctiehouder Interne audit heeft in 2024 quickscans uitgevoerd over de ERB Wtp, het communicatieplan Wtp en over de transitie van het beheer van de beleggingsportefeuille van Cardano naar BlackRock. De audits waren overwegend positief en het bestuur heeft inmiddels opvolging gegeven aan de aanbevelingen van de interne audits. Daarnaast heeft de Interne auditfunctie een opinie uitgebracht over de governance Wtp. De geplande audit ten aanzien van DORA is vanwege de afronding van het traject doorgeschoven naar 2025.

6.4. Fraude risico's en analyse

Binnen de risicocategorie Integriteitsrisico volgt het bestuur nadrukkelijk het risico van interne, externe en fiscale fraude. In 2024 is geen fraude geconstateerd. Het bestuur hanteert ter beheersing van frauderisico de volgende maatregelen:

  • In de gedragscode van het pensioenfonds zijn regels vastgelegd ter voorkoming van belangenconflicten, handelen met voorwetenschap en moreel handelen. Iedere verbonden persoon moet een verklaring ondertekenen, waarin zij/hij zich verbindt alle voor haar/hem relevante regels uit deze gedragscode strikt na te leven. De compliance officer toetst per kwartaal of alle verbonden personen en insiders de gedragscode hebben nageleefd en rapporteert de uitkomsten hiervan.
  • Minimaal eens per 3 jaar stelt het UB vast dat het uitbestedings- en inkoopbeleid actueel is passend bij wet- en regelgeving, guidance van de toezichthouder en best practices in de sector en dat dit beleid algemene criteria bevat omtrent continuïteit, integriteit, kwaliteit en IT waaraan uitbestedingspartijen moeten voldoen.
  • De portefeuille risicobeheer monitort uitbestedingspartijen minimaal eens per halfjaar op integriteitsrisico's op basis van rapportages van en/of periodieke overleggen met de uitbestedingspartijen.
  • Op kwartaalbasis monitort het uitvoerend bestuurslid pensioen & communicatie aan de hand van de SLA rapportages dat wijzigingen in arbeidsgeschiktheid gemeld en verwerkt worden via de SUAG-koppeling.
  • Wijzigingen van NAW-gegevens geschiedt via een GBA-interface.
  • In het pensioenreglement is de verplichting opgenomen voor de werkgever, de deelnemer en (andere) aanspraakgerechtigden aan het fonds alle inlichtingen en bewijsstukken te verstrekken die voor de uitvoering van de pensioenregelingen worden gevraagd. Het fonds aanvaardt geen aansprakelijkheid voor de gevolgen van het niet aanleveren van informatie, dan wel het aanleveren van onvolledige, onjuiste of niet tijdige informatie.
  • Bij aangaan van nieuwe of aanpassen van bestaande overeenkomsten controleert de verantwoordelijke UB’er dat in de overeenkomst met adviseurs/uitbestedingspartners is opgenomen dat zij aansprakelijk zijn voor schade als gevolg van onder anderen fraude en voor zover deze (mede) is ontstaan door hun eigen handelen of nalaten.
  • Alle ontvangen facturen worden afgehandeld volgens de Goedkeuringsprocedure facturen. TKP legt de facturen voor akkoord voor aan de betreffende portefeuillehouder of, indien de procedure dit vereist, aan het bestuursbureau. Pas na akkoord wordt de factuur door TKP betaald.
  • De custodian van het fonds voert onafhankelijk toezicht uit op de beleggingen en beleggingsresultaten.
  • Toepassing van het (minimaal) vier-ogenprincipe door uitbestedingspartijen is onderdeel van de ISAE/SOC- controle door een externe accountant. De rapportages worden door het bestuursbureau getoetst en aan het UB voorgelegd.
  • Het bestuursbureau beoordeelt jaarlijks de van TKP, BlackRock, Cardano en BNYM ontvangen ISAE 3402 of SOC 2 verklaring en eventuele bevindingen en adviezen worden geadresseerd binnen het uitvoerend bestuur.
  • Het fonds heeft een klokkenluidersregeling, een incidentenbeleid en een proces voor het afhandelen van incidenten en datalekken. Deze beleidsdocumenten worden eens per drie jaar door het bestuursbureau getoetst op actualiteit.
  • Incidenten, misstanden en datalekken worden gemeld en afgehandeld conform de voor het fonds geldende incidentenregeling en/of klokkenluidersregeling en/of procedure datalekken.
  • De jaarlijks verplichte accountantscontrole bij uitbestedingspartners van Oak Pensioenfonds mitigeert het risico op fiscale fraude.
  • Het fonds heeft een fiscaal adviseur aangesteld voor o.a. de btw gerelateerde belastingzaken.  
  • Externe informatievoorziening door externe partijen op het gebied van fiscale wetgeving.

Versie: v8.2.38

Software voor digital-first corporate reporting

Creëer op efficiënte wijze publicaties die impact maken

Met iwink.report maak je publicaties op een eenvoudige en efficiënte manier. Je bespaart tijd, fouten en stress. Vanuit één plek publiceer je naar een volwaardige webversie, PDF en iXBRL-bestand. Zo geef je lezers de best mogelijke ervaring.

Meer over iwink.report