De sleutelfunctie Interne Audit bij Pensioenfondsen

20-01-2021

Sleutelfunctiehouders, bestuurders, in- en externe toezichthouders in één virtuele ruimte. Dat is best een bijzondere situatie. Op 13 januari 2021 was het precies 2 jaar geleden dat de Europese IORP II-richtlijn (Institutions for Occupational Retirement Provision Directive) van kracht werd bij pensioenfondsen en daarmee de sleutelfunctie Interne Audit (SF IA) ontstond. Het IIA vond dit alle reden voor een seminar over dit onderwerp. Centraal daarin stond de vraag: Hoe geeft de SF IA richting aan een proportionele en waardevolle invulling van deze nieuwe functie?

Inleiding

Sandrijn Weites, bestuurslid van het IIA en directeur Internal Audit bij PGGM, lichtte het doel en programma van het seminar toe. “Het motto van IIA is 'Progress through Sharing'. Dat is precies wat vandaag op de agenda staat. Reflectie, dialoog en verdieping; elkaar te ontmoeten en te leren van de good practices waarmee inmiddels ervaring is opgedaan.”

Daarbij verwees hij naar het internationale raamwerk voor de beroepsuitoefening (International Professional Practices Framework (IPPF)) van het IIA. Dit biedt beroepsbeoefenaren een verzameling van principes en richtlijnen voor een effectieve invulling van Internal Audit.

Onderdeel van dit raamwerk is een externe kwaliteitstoetsing voor Internal Audit Functies. Deze toetsing is bedoeld om te leren, te verbeteren en de kwaliteit van het beroep van Internal Audit te borgen. “Of en in hoeverre de SF op dit moment of in de toekomst ook (al) aan de vereisten vanuit het IPPF zou moeten willen voldoen is een open vraag (die ook later aan de orde komt). Wel is het zo dat het IPPF goede handvatten biedt aan de SF-Houder (SFH), én aan de SF-Vervuller (SFV, in de uitoefening van zijn of haar werk”, aldus Weites.

1. Onderzoek naar de stand van zaken

Het event startte met een presentatie van het Onderzoek ‘Inrichting en meerwaarde IA’ door Karin Aarssen (DNB) en Edward Mulder (Mazars). Zij deden dit onderzoek in het kader van de afronding van de opleiding Internal Auditing & Advisory aan de Erasmus universiteit. Ze spraken op persoonlijke titel. Het onderzoek bestond uit een survey en paneldiscussies met stakeholders, interviews en een literatuuronderzoek, gericht op: 

  1. De inrichting van de interne auditfunctie in samenhang met de andere partijen en organen binnen het pensioenfonds governance;
  2. De beoogde meerwaarde van de interne auditfunctie in samenhang met de inrichting.

Enkele belangrijke conclusies uit het rapport en de bespreking daarvan zijn:

  • Mede gezien de over het algemeen beperkte personele omvang van een pensioenfonds op fondsniveau, is een proportionele invulling van de SF IA, afgestemd op de kenmerken van het fonds, van groot belang. In de praktijk bestaan diverse modellen, elk met hun voor- en nadelen. Grote en middelgrote fondsen kiezen relatief vaak voor insourcing van een expert als SFH. Door de kleine fondsen wordt vaak gekozen voor een bestuurder als houder. Daarnaast lenen ondernemingspensioenfondsen vaak een expert in bij werkgever en wordt bij sommige grote fondsen de SFH vanuit het Bestuursbureau ingevuld. Daarbij zijn de onafhankelijkheid van de functie en dynamiek in het bestuur belangrijke aandachtspunten.
  • Een opvallend punt in het onderzoek, en nadien ook in de paneldiscussie, was het ontbreken van overeenstemming over de gewenste invloed van het interne toezicht (IT) op het auditplan. In de survey gaf 50% aan daarop geen invloed te willen. IT is immers toezichthouder, ook op de governance, waar de SF IA deel van uitmaakt, en moet dan dus niet als opdrachtgever fungeren. Aan de andere kant was de algemene mening dat de SF IA wel kennis dient te hebben van de zorgpunten van het IT, en dat de conclusies van onderzoeken ook worden gedeeld met het IT. Even ‘koffiedrinken’ met IT is een goede zaak, zo werd aangegeven.
  • In lijn met het nieuwe 3 Lines-model van het IIA, is de samenwerking van de SF IA met Risicobeheer én met de Pensioen Uitvoeringorganisaties (PUO), waaraan operationele activiteiten zijn uitbesteed, belangrijk, zowel uit oogpunt van efficiency als effectiviteit. Ook DNB benadrukte later in de paneldiscussie dat onafhankelijkheid niet betekent dat men geen contact met elkaar heeft. Die samenwerking verloopt al redelijk, maar het rapport biedt handvatten voor een verdere verbetering daarvan.
  • Ten aanzien van de meerwaarde van de SF IA, wordt met name een ‘klassieke’ assurance rol verwacht: een oordeel en mogelijk aanbevelingen over de beheersing; bij het bestuur bestaat minder behoefte aan een adviesrol. Deze wordt meer van de Risicobeheerfunctie verwacht, ook om de onafhankelijke rol van de IA niet te belemmeren.

Karin Aarssen en Edward Mulder sloten af met de oproep aan de interne auditors de meerwaarde van de SF IA zichtbaar te maken en daarbij gebruik te maken van de resultaten van dit seminar. Voor meer informatie kunt u samenvatting van het onderzoek en de slides van de presentatie bekijken.

2. Nadere analyse van relevante thema’s

Mede op basis van het rapport zijn vier thema’s benoemd die nadrukkelijk aandacht behoeven om te komen tot een effectieve SF IA met meerwaarde. In break-out sessies hebben de deelnemers deze thema’s nader besproken. Behalve de onderlinge uitwisseling van ervaringen, heeft dat ook geleid tot een opsomming van relevante tips & tops, alsmede vragen voor de paneldiscussie. Betekenisvolle tips zijn de volgende:

a.    Samenwerking IAF en bestuur

  • De SF IA kan het Bestuur helpen om blinde vlekken in kaart te brengen.
  • T.a.v. de onderwerpen om meerwaarde te bieden: heb als IAF voldoende aandacht voor besturende processen, inclusief uitbestedingsmanagement (de regiefunctie), en de boardroom-dynamiek.
  • De SFH dient regelmatig contact te hebben met individuele bestuurders.
  • Zet de SF IA regelmatig op de agenda.
  • Een 'ge-insourcete' SFH IA dient goed te worden geïnformeerd over de strategische besturingsvraagstukken van het fonds.
  • Het structureren van de functie (in een Charter) en activiteiten (plan) helpt de borging van de IAF, evenals aandacht vanuit het Bestuur.
  • Een bestuurslid als sponsor van een audit is wenselijk voor acceptatie van bevindingen.

b.    Samenwerking binnen de IAF (houder en vervuller)

  • De rol van vervuller kan verschillen per onderwerp (deskundigheid).
  • Vanuit efficiëntie is het wenselijk om voor de vervuller te werken met één (of enkele) preferred supplier(s) i.p.v. bij ieder audit een andere vervuller te selecteren. Dit komt ook de samenwerking tussen houder en vervuller ten goede.
  • Selecteer de vervuller o.b.v. de kosten, deskundigheid, de wijze van rapportage alsmede vertrouwen en rechte rug. 
  • De houder en vervuller samen vormen de IAF. Zij moeten samen tot een taakverdeling komen die recht doet aan de vereisten van IORPII.
  • De vervuller doet het uitvoerende audit werk, de houder is verantwoordelijk; daartoe zijn duidelijke afspraken aan de ‘voorkant’ over doel, scope en planning belangrijk. Laat de vervuller een gedegen plan van aanpak (auditontwerp) opstellen, waar de houder input en reactie op geeft.

c.    Afspraken van de IAF met de PUO en de Vermogensbeheerder (VB)

  • Leg je right to audit, of het verkrijgen van een auditrapport van de PUO, goed vast. (Overweeg in het IA Charter het verankeren van het right to audit in uitbestedingsovereenkomsten te benoemen als expliciete verantwoordelijkheid van het bestuur.)
  • Maak als fonds afspraken over welke managementinformatie periodiek (kort cyclisch) wordt verkregen van de serviceprovider (afgestemd op de risicobeheersing van het fonds).
  • Leg vast hoe de betrouwbaarheid van deze rapportages wordt vastgesteld (rapportage in scope van de ISAE, door de IAF van PUO of door de eigen IAF?). 
  • Bespreek (1e lijn) de rapportages met de serviceprovider.
  • Maak afspraken over de reikwijdte van de ISAE, het meenemen van jouw wensen in het auditplan van de uitvoeringsorganisatie en het verstrekken van auditrapportages door de IAF van de uitvoerder.
  • Overweeg het organiseren van klantoverstijgende (multi-cliënt) audits bij en via de PUO en VB, dat scheelt in kosten en in workload voor de PUO.
  • Denk bij het toetsen van de vermogensbeheerder niet alleen aan de interne beheersing maar ook aan de beleggingsfilosofie, consistentie met de filosofie, wijze besluitvorming en optimale teamsamenstelling.

d.    Wijze van verbinding met intern toezicht (IT)

  • Zorg voor voldoende verbinding met een IT-lid met affiniteit met governance en beheersing.
  • Zorg als SFH dat je de zorg- en aandachtspunten van het IT kent.
  • Organiseer periodiek overleg, om zorgpunten te leren kennen en de (samenvatting van de) onderzoeken te bespreken.
  • Stem de afspraken met IT af op de aard; een visitatiecommissie vraagt een andere aanpak dan een raad van toezicht. Het omgekeerd gemengd bestuursmodel vraagt ook een andere aanpak in afstemming met het NUB.

3. Vragen en discussie over enkele ‘hot topics’

Na de workshopsessies in kleine groepen, kwam iedereen weer ‘plenair’ bij elkaar en zijn diverse hot topics voorgelegd aan het panel. Vragen kwamen vanuit de workshop-sessies, maar ook als aanvullingen tijdens de paneldiscussie.

De panelleden vertegenwoordigden de SFH en de diverse stakeholders van de SF:

  • SFH-IA: Michel Kee, partner Mazars, SFH-IA bij 7 PF’en, ex-voorzitter IIA;
  • Het Bestuur: Ton Teitsma, Bestuurder Pensioenfonds Medewerkers Apotheken (PMA) en Manager Internal Audit Pensioenfonds Rail & OV;
  • Intern Toezicht: Peter de Groot, o.a. Intern toezicht ABP, voorzitter VITP en Bestuurder van Pensioenfonds DNB;
  • Extern Toezicht: Annemarie van Dijk en Petra de Bie van DNB.

Onderwerpen voor een audit
Een belangrijke vraag is waar de SF IA het beste naar kan kijken. DNB geeft aan dat de SF IA in het algemeen tot taak heeft periodiek de totaliteit van de controls te evalueren. Vanuit die insteek dient te worden gekeken naar de risico’s met mogelijk de meeste impact. 

Er bestaat grote overeenstemming dat dat in de eerste plaats de risico's rondom de uitbestede activiteiten zijn. Daarbij geeft Peter de Groot aan dat de meerwaarde juist zit in het toekomstgericht kijken, bijvoorbeeld naar de overgang naar het nieuwe pensioencontract: is de PUO klaar voor de toekomst? Dit is ook voor DNB een belangrijk thema voor 20I21. Daarnaast kunnen de inzet van informatietechnologie en cybersecurity belangrijke aandachtspunten zijn.

Een vraag vanuit de zaal was of IA ook audits op het Bestuur zou moeten uitvoeren. Dat zou kunnen, zo gaf Ton Teitsma aan. Boardroom-dynamics kunnen heel relevant zijn. Het kan goed zijn om het Bestuur ook op dat gebied een spiegel voor te houden. Annemarie van Dijk vulde aan dat ‘cultuur & gedrag’ in andere sectoren reeds enige tijd veel aandacht krijgt van DNB.

Relatie met het Bestuur
Het Bestuur is de primaire stakeholder van de functie. Peter de Groot stelde “het succes van de functie wordt bepaald door het belang dat het Bestuur er aan hecht”. Ton Teitsma riep aldus op tot het instellen van een mechanisme om de bestuurders te spreken en als SF ook zichtbaar te zijn in Commissies om te tonen wat de SF IA kan toevoegen. “Ga uit van je eigen kracht en daag het Bestuur uit; zoek daarbij het samenspel tussen de drie sleutelfuncties”. 

Inrichting SF en inhuur
Zoals ook blijkt in de praktijk zijn er diverse mogelijkheden om de functie in te richten. Er is niet één beste manier. Vrijwel alle fondsen maken gebruik van inhuur, zeker voor de rol van vervuller. Peter de Groot waarschuwde daarbij de offertes niet zozeer te beoordelen op (alleen) het aantal audits en uren. “De essentie van de functie vereist dat je geïnformeerd bent en proactief je activiteiten kunt bijsturen. Daartoe moet je aan tafel zitten, en past geen businessmodel van ‘4e audit gratis’. 

Samenwerking met (IAF) uitvoerders
Zoals gezegd is de beheersing van de uitbesteding een belangrijk aandachtspunt voor de SF IA. De vraag is hoe je daar auditbevindingen over verkrijgt. Gepleit wordt voor het opnemen van een ‘right to audit’, maar het zou nog beter zijn dat recht niet te hoeven gebruiken. Het streven moet zijn dubbel werk te voorkomen.

De grotere pensioenuitvoeringsorganisaties zoals APG, PGGM en TKP hebben zelf ook een IAF; de uitbestedende pensioenfondsen kunnen hun auditrapportages mogelijk gebruiken voor hun eigen beoordeling. Sommige pensioenuitvoeringsorganisaties, zoals TKP en PGGM, zijn al initiatieven gestart waarbij hun auditplan wordt afgestemd met hun opdrachtgevers en wordt gestreefd naar multi-cliënt audits. Deze transparantie over hoe de IAF van de uitvoerder opereert, helpt zeer om te komen tot een efficiënte invulling van de IA-keten. Bij vermogensbeheerders, vaak internationale partijen met heel veel klanten, is het efficiënt te steunen op internationaal geaccepteerde kwaliteitsverklaringen.

Kwaliteit en toetsing
Michel Kee gaf aan dat kwaliteit vooral betekent het voldoen aan de verwachtingen van stakeholders en handelen in de geest van IORP II. Wel kan het IPPF als hulpmiddel worden gebruikt om de SF en haar activiteiten goed vorm te geven. Doel is een versterking van de governance van het pensioenfonds met een focus op het bewaken (en initiëren van verbeteringen) van een beheerste en integere bedrijfsvoering, en dat proportioneel ingevuld. Uiteindelijk moet IA voor de deelnemers van het fonds meer opleveren dan dat het kost. 

De panelleden waren het eens dat op dit moment een externe kwaliteitstoetsing volgens de normen van het IPPF van het IIA te vroeg is. Eerst dient meer ervaring te worden opgedaan, zowel om de behoeften als ook om best practices in de sector te laten ontwikkelen. De verwachtingen van de besturen, de belangrijkste stakeholder voor interne audit, zijn nog tamelijk conservatief, zo signaleerde Michel Kee: "Het heeft echt tijd nodig om het handen en voeten te geven".

Afsluiting en vervolg

Duidelijk is dat de SF IA nog niet is uitgekristalliseerd. Dagvoorzitter Sandrijn Weites verwoordde het in zijn afsluiting als: “We zijn op reis, met elkaar, dus zoek elkaar op”.

Het IIA wil deze reis graag blijven faciliteren: vragen over de functie kunnen worden gesteld aan vaktechniek@iia.nl en op de website van het IIA zijn het normenkader en practice guides beschikbaar.

Daarbij verzorgt het IIA een ‘Starterstraining SFH IA’ van 4 halve dagen, over de do’s en don’ts op het gebied van de IAF en beoogt zij een community op te richten om discussies en kennisuitwisseling te stimuleren.
 

Terug naar het nieuwsoverzicht

IIA Nederland

088-0037100
iia@iia.nl
Burgemeester Stramanweg 102A
1101 AA Amsterdam
Contact opnemen

Audit Magazine

Audit Magazine

Lidmaatschap

IIA is dé toonaangevende beroepsorganisatie voor internal auditors. Een lidmaatschap laat u delen in de collectieve kennis van alle vakgenoten in de wereld.
Meer informatie