DE ORGANISATIE VAN PME ALS STEVIG FUNDAMENT |
Het fiduciaire advies en fiduciair beheer zijn door ons uitbesteed aan MN Vermogensbeheer. Wij hebben als opdrachtgever nadrukkelijk de regie, stellen het beleggingsbeleid vast en besluiten zelf bij welke partij mandaten worden ondergebracht. Gestreefd wordt naar een voortdurende verbetering van de kwaliteit van de uitbestede dienstverlening.
Naast de monitoring van de dienstverlening via de maand- en kwartaalrapportages evalueren wij jaarlijks de dienstverlening van MN op basis van de SLA-afspraken voor het fiduciaire advies en het -beheer. Op basis daarvan worden resultaatafspraken voor het komende jaar gemaakt. Daarnaast levert MN jaarlijks een ISAE 3402 verklaring. Over het jaar 2023 rapporteerde de accountant van MN een ISAE type 2 verklaring zonder beperkingen. De scope van het ISAE3402 rapport betreft de processen die betrekking hebben op de betrouwbaarheid van de financiële rapportages, waaronder de jaarrekening van PME. Voor zover relevant zijn eveneens de beheersingsdoelstellingen opgenomen voor het voldoen aan wet- en regelgeving. Dit is een gangbare en acceptabele afbakening voor PME. Daarnaast zijn de ICT-beheersingsmaatregelen in scope met betrekking tot de systemen en applicaties die voor de ondersteuning van processen zorgen. Ten opzichte van het voorgaande jaar hebben er aanpassingen en toevoegingen plaatsgevonden in de processen die betrekking hebben op het externe leveranciersmanagement voor IT service provider Schuberg Philis (per april 2023).
MN en PME zijn begin 2023 een traject gestart om te komen tot een ISAE 3000 (of een assurance van vergelijkbare aard) met betrekking tot de dienstverlening van MN aan PME. In 2023 is de scope en timing van de route naar een ISAE 3000 (of assurance van vergelijkbare aard) bepaald. Dit stelt MN in staat om te koersen op een ISAE 3000 type I per einde van 2023 en een type II verklaring over 2024 (op te leveren in 2025. Daarnaast willen wij in 2024 afspraken maken over de beheersing van en assurance op de dienstverlening van relevante onderaannemers, zoals IT partner Atos en Schuberg Philis.
In 2023 evalueerden wij, in lijn met onze eigen beleidscyclus, de dienstverlening van MN Vermogensbeheer in brede zin. Een gerenommeerde externe partij, deed grondig onderzoek en deelde hun resultaten en aanbevelingen voor de toekomst zowel met ons als met de directie van MN. De hoofdconclusie van het onderzoek is dat MN Vermogensbeheer in staat is de ambities van PME te realiseren. Om dit daadwerkelijk waar te maken moet nog aan enkele voorwaarden worden voldaan. Om opvolging te geven aan de aanbevelingen van het rapport is een gezamenlijk plan van aanpak uitgewerkt met onder meer aandachtsgebieden Governance, IT en strategische samenwerking.
In de tweede helft van 2023 voerden wij een omvangrijk risico self assessment (RSA) uit naar de operationele risico’s binnen ons domein van balans- en vermogensbeheer. Uitgangspunt voor de RSA is onze bestaande risicotaxonomie. In totaal onderscheidt de PME risicotaxonomie 19 verschillende operationele risico’s, verdeeld over de volgende vier subcategorieën: uitbesteding, operationeel, IT en juridisch. Voor ieder van de 19 gedefinieerde risico’s zijn een of meerdere scenario’s beschreven en onderzocht (34 in totaal). Hierbij is het belangrijk om te vermelden dat naast de eigen organisatie met name ook de uitbestedingspartij MN en/of de operationele vermogensbeheerders in scope waren van deze RSA. Uiteindelijk scoorden 9 van de 34 risicoscenario’s buiten de risicobereidheid en zijn er aanvullende risico mitigerende beheersmaatregelen bepaald. Het bestuur concludeerde dat in het IT-domein de additionele beheersmaatregelen niet voldoende zijn. Vacatures op het gebied van VB informatiemanagement bij MN staan lang open en worden opgelost met externe inhuur. Wij monitoren deze ontwikkelingen. Daarnaast constateren wij dat de informatie met betrekking tot de niet-financiële risico’s bij met name externe managers in de reguliere rapportages tekort schiet, waardoor PME deze risico’s niet aantoonbaar kan beheersen. PME wil voor de zomer van 2024 afspraken maken met MN over verbetering van de rapportages.
MN Vermogensbeheer heeft, met het oog op de transitie naar het nieuwe pensioenstelsel en de impact hiervan op de bedrijfsvoering, een nieuwe beheerder van het IT-applicatielandschap geselecteerd, Schuberg Philis. Dit betreft een kritische (onder)uitbesteding voor ons, waarvoor ook expliciet instemming van PME is vereist en waarvan wij ook melding moeten maken bij DNB. Wij stelden een aantal voorwaarden alvorens wij definitief akkoord konden gaan met de voorgenomen uitbesteding. In het eerste kwartaal van 2023 gingen wij definitief akkoord en maakten wij melding bij DNB. De migratie naar Schuberg Philis is in het tweede kwartaal van 2023 succesvol verlopen.
Northern Trust (NT) is onze custodian. Wij hebben een directe uitbestedingsrelatie met hen. De dienstverlening van Northern Trust omvat de bewaarneming van beleggingen, oftewel de administratie van de posities. Daarnaast levert NT dienstverlening op het gebied van het beheren van de beleggingen; o.a. settlement van effectentransacties, verzamelen en uitbetalen van dividenden en het verzorgen van het terugvorderen van dividendbelasting. De dienstverlening wordt op dagelijkse basis gemonitord door MN Vermogensbeheer. Periodiek wordt de dienstverlening van Northern Trust door ons geëvalueerd. In mei 2023 stelden wij de meest recente evaluatie vast op basis van de servicereviews van MN en de kredietbeoordeling NT. Eerder besprak het bestuur ook de SOC1 en SOC2 rapportages van NT. Uit de evaluatie zijn geen bijzondere aandachtspunten voortgekomen.
Met ingang van 2021 is EOS (Federated Hermes) aangesteld om het aantal engagements voor PME te verbreden. Ook voert EOS het stembeleid van PME uit. EOS voert voor PME engagement met ongeveer 580 bedrijven uit de beleggingsportefeuille. De engagement door EOS wordt uitgevoerd langs de onderwerpen milieu, sociaal, ondernemingsbestuur en strategie.
Naast de reguliere engagement monitort EOS ook de portefeuille van PME op bedrijven die niet in lijn opereren met de UN Guiding Principles en de OECD-richtlijnen. Met deze bedrijven wordt engagement gevoerd.
Per kwartaal rapporteert EOS over de uitvoering van engagement en stemmen. Zo wordt PME op de hoogte gehouden van de inhoud van de gesprekken, de vorderingen en de resultaten.
Sinds 1 januari 2022 voert TKP in Groningen het pensioenbeheer voor ons uit. De basis voor de dienstverlening is vastgelegd in de pensioenbeheerovereenkomst, een Service Agreement (SA) en Service Level Agreement (SLA). Wij monitoren de uitbestede dienstverlening op continue basis en maken daarbij gebruik van de uitgebreide set aan rapportages die periodiek door TKP geleverd wordt, zoals de SLA- en risicorapportage. Daarnaast maken wij gebruik van de externe assurancerapportages zoals de ISAE 3402 type 2, ISO 27001 en ISO 27017 rapporten en om te kunnen bepalen of ingerichte checks en balances (beheersmaatregelen) onze risico’s binnen de uitbesteding in voldoende mate hebben gemitigeerd. Net als in 2022 was de ISAE 3402 rapportage over 2023 voorzien van een goedkeurende verklaring.
PME ontvangt ook de ISAE 3402 type 2 rapportages van partijen waar TKP activiteiten aan heeft uitbesteed (onderuitbesteding). In 2023 betreft dat de uitbestedingspartijen Vesting Finance (o.a. facturatie, debiteurenbeheer en incasso), Visma Idella (bruto-netto berekeningen in uitkeringen- en afkoopproces) en DataB (verzenden documenten en communicatie).
Bij de ISAE 3402 rapportage van Vesting Finance over 2022 was een afkeurende verklaring afgegeven door de externe accountant. Naar aanleiding van deze rapportage is additioneel onderzoek uitgevoerd. Dit additioneel onderzoek toonde aan dat er geen onacceptabel financieel risico is gelopen. Wel werden verbeterplannen opgesteld door Vesting Finance samen met TKP. De opzet en uitvoering van het gezamenlijk plan van aanpak was gericht op een sterke verbetering van de beheersingsmaatregelen bij Vesting Finance. Gedurende 2023 was er sprake van verscherpte dijkbewaking door TKP met nadrukkelijke betrokkenheid van de TKP-directie, monitoring van de implementatie van verbetermaatregelen en periodieke rapportage daarover aan de klanten bij TKP. De verbeteringen hebben geleid tot een ISAE 3402 rapport over 2023 waarbij de accountant een verklaring met beperkingen heeft afgegeven. Met name gedurende het eerste kwartaal 2023 zijn nog bevindingen geconstateerd in de uitvoering van de controlemaatregelen. Wel is geconstateerd dat deze bevindingen in de loop van 2023 sterk verminderd zijn. Door TKP zijn aanvullende beheersmaatregelen en controles uitgevoerd in 2023 waardoor er geen impact is op de PME jaarrekening 2023. Wij monitoren de effectiviteit van de verdere verbeteringen bij Vesting Finance ook in 2024, ook waar het de effectiviteit van de operationele uitvoering betreft.
De in 2022 geïntroduceerde Performancedialoog met de directie TKP is in 2023 gecontinueerd. Op deze manier geven we invulling aan het strategisch partnerschap tussen PME en TKP. Zo vindt eens per 6 weken overleg plaats tussen het uitvoerend bestuur van PME en de directie TKP (CEO, CCO en COO) waarbij de onderlinge samenwerking gericht op het realiseren van strategische doelstellingen centraal staat. Tijdens deze dialoog komen actuele ontwikkelingen in de markt, bij PME en bij TKP nadrukkelijk aan de orde en we bespreken wat nodig is om onze ambities te bereiken. Dit heeft o.a. geleid tot versterking van het PME-accountteam bij TKP, aanpassingen in de pensioenbeheerovereenkomst, de SA en de SLA en een beoordelingskader aan de hand waarvan de prestaties door TKP gemonitord en besproken worden, zowel op kwantitatieve als kwalitatieve aspecten. Andere onderwerpen die besproken zijn betreffen o.a. de impact van de overname van Aegon door a.s.r, de transitie naar de Wet toekomst pensioenen en de herijking van het strategisch meerjarenplan van PME.
In 2023 vond maandelijks operationeel overleg plaats tussen het bestuursbureau van PME en de CCO en COO van TKP over de reguliere dienstverlening. De directe betrokkenheid van de TKP directie heeft ertoe geleid dat de operationele doelstellingen in 2023 nagenoeg volledig gerealiseerd zijn (KPI's op SLA-niveau) en dat het project ‘bijzondere werkvoorraad’ voortkomend uit de transitie naar TKP is afgerond. Via de Performancedialoog zijn we in staat de dienstverlening steeds meer in lijn te brengen met de verwachtingen en wensen van onze werkgevers en deelnemers. Daarbij kan gedacht aan de impact van nieuwe wetgeving op de gegevensuitwisseling en communicatie met deelnemers of de impact op gegevensaanlevering door werkgevers via de Uniforme Pensioenaangifte (UPA). In 2023 zijn de meeste van de operationele issues rondom de UPA-aanleveringen opgelost.
In 2023 gaven we bijzondere aandacht aan de ontwikkelingen op IT- gebied bij TKP. Gezien de vele ontwikkelingen op IT-gebied, zowel in de run als in de change is het initiatief genomen voor aanvullend periodiek overleg met de CTO van TKP om zodoende direct geïnformeerd te worden over de impact en risico’s voortvloeiend uit deze ontwikkelingen. TKP voert activiteiten uit gericht op de transitie naar het nieuwe pensioenstelsel waarbij een geheel nieuwe IT-architectuur wordt uitgerold met Plexus van leverancier Keylane als Saas-oplossing voor de pensioenadministratie. Daarnaast vindt een transitie naar cloud-omgevingen plaats voor diverse (nieuwe) applicaties plaats. Dit vraagt veel verandervermogen van de TKP organisatie, dat samenkomt in het Wtp-programma. Parallel aan de bouw van het nieuwe IT-platform dienen de bestaande systemen ook in de komende jaren in de lucht gehouden te worden. Hiervoor wordt bij TKP het Life Cycle Management-programma uitgevoerd. Beide programma’s vragen veel van de TKP organisatie; de programma’s zijn veelomvattend, complex en dienen binnen een korte tijdsspanne uitgevoerd te worden. Daarmee zijn deze op zichzelf al risicovol en er dient daarnaast ook rekening gehouden te worden met generieke IT-risico’s zoals IT-security en cybercrime. Vanuit PME zien we er daarom op toe dat deze programma’s op een beheerste en integere manier worden uitgevoerd. Daarbij baseren we ons op informatie in rapportages die TKP verstrekt, informatiesessies die TKP organiseert en uitkomsten van risico-assessments die door externe partijen worden uitgevoerd. Los daarvan voeren we vanuit PME indringende gesprekken met de CTO, programma- en projectmanagers. Daarbij wordt ook gesproken over de manier waarop TKP deze omvangrijke en complexe veranderingen organiseert, monitort en erover rapporteert aan PME.
Parallel aan de Performancedialoog wordt ook de transitie naar het nieuwe pensioenstelsel gezamenlijk voorbereid. Met TKP vindt periodieke afstemming plaats over uitvoering-specifieke zaken waar bij de transitie naar een nieuwe regeling rekening mee gehouden dient te worden.
In 2023 is een risk self assessment (RSA) uitgevoerd gericht op de operationele uitvoering van de pensioenbeheer activiteiten. Bij deze RSA zijn nieuwe risicoscenario’s geformuleerd vanuit de PME risicotaxonomie waarbij bruto risico’s zijn gescoord en beheersmaatregelen zijn geinventariseerd. Deze hebben geleid tot een netto risico score per risico scenario die vervolgs is getoetst aan de risicobereidheid zoals vastgesteld door het bestuur van PME. De uitkomsten van de RSA vormen input voor de Eigen Risicobeoordeling die in het eerste kwartaal 2024 isvastgesteld door het bestuur van PME.
In 2022 voerden wij een audit uit op de processen en de uitvoering van de handhaving van de werkingssfeer van de verplichte deelname aan PME. Deze activiteiten zijn door PME uitbesteed aan de ROM. In 2023 is op basis van de aanbevelingen van de audit gewerkt aan het opstellen van een vernieuwd beleidskader voor deze werkzaamheden. Het concept beleidskader, dat de basis vormt voor de uitbestedingsovereenkomst tussen PME en de ROM, is in 2023 gedeeld met de ROM. Gezien de focus op de onderhandelingen over de nieuwe pensioenregeling en de voorbereidingen hiervoor is dit beleidskader niet in 2023 afgerond. Overigens worden de reguliere handhavingsactiviteiten naar tevredenheid uitgevoerd. Dat gebeurt in goede samenwerking, waarbij maandelijkse overleggen waarin operationele zaken en individuele (risico)dossiers tussen PME en de ROM worden afgestemd.