Intro
Het pensioenfonds heeft de organisatie zo ingericht dat sprake is van een beheerste en integere bedrijfsvoering. Risicobeheersing is hiervan een belangrijk onderdeel. Het doel is beheersing van de risico’s die het behalen van onze missie, visie en doelstellingen bedreigen. Onderstaand volgt een toelichting op de governance van de risicobeheersing, de inventarisatie van de risico’s, het risicomanagementproces en de risicobereidheid. Daarnaast wordt ingegaan op de belangrijkste risicomanagementontwikkelingen in 2022 en wordt vooruitgekeken naar 2023.
4.1. Risicobeheersing
Het bestuur is integraal eindverantwoordelijk voor het risicomanagement. Het risicomanagement is ingericht op basis van drie risicomanagementlagen die gedefinieerd zijn met verschillende rollen en verantwoordelijkheden.
Eerste lijn
Het Dagelijks Bestuur, de Financiële Commissie, Beleggingscommissie en de Pensioen- en Communicatiecommissie en werkgroepen voor projecten vormen het eerste aanspreekpunt (eerste lijn) voor de beheersing van de risico’s. Alle hoofdrisico’s en onderliggende risico-items zijn toegewezen aan deze commissies en werkgroepen.
Tweede lijn
De Risicobeheercommissie ondersteunt de andere commissies in de uitvoering van risicoanalyses, draagt richtlijnen en standaarden voor risicomanagement aan en geeft onafhankelijk advies. Ook de sleutelfunctiehouders actuariaat en risicobeheer en de complianceofficer zijn onderdeel van deze tweede lijn.
Derde lijn
De inrichting en werking van de risicobeheersing wordt getoetst door de sleutelfunctiehouder interne audit. Deze geeft een objectief, onafhankelijk oordeel met mogelijkheden tot verbetering. De interne auditfunctie vormt de derde lijn.
4.2. Risico-inventarisatie
Het pensioenfonds onderkent strategische, financiële en niet-financiële risico’s. Deze drie hoofdrisico’s bestaan uit verschillende risico-items. De classificatie van de risico’s evalueert en worden periodiek geactualiseerd. Bij de beoordeling van de risico’s gaan wij uit van een integrale risicobeheersing, dus de afzonderlijke risico’s in hun onderlinge samenhang.
Hieronder volgt een nadere toelichting op de hoofdrisico’s.
Strategische risico's
De strategische risico’s hangen nauw samen met strategische keuzes van het pensioenfonds. Onderstaand worden de strategische risico’s plus enkele bijbehorende beheersmaatregelen toegelicht.
| Strategische risico's | Omschrijving risico | Beleid en beheersing |
|---|---|---|
| Omgevings-risico’s | Het risico van buiten PF PostNL komende veranderingen op het gebied van belanghebbenden, reputatie en ondernemingsklimaat. | Het Dagelijks Bestuur voert periodiek overleg met PostNL N.V. en sociale partners om ontwikkelingen bij PostNL N.V. te monitoren. Daarnaast monitort het bestuur de ontwikkelingen. |
| Risico’s financiële opzet | Het risico dat de financiële opzet niet houdbaar is omdat pensioenambitie, premie, rendement, risico en buffers onvoldoende op elkaar zijn afgestemd. | Het bestuur herijkt periodiek met een ALM-studie de uitgangspunten voor alle onderdelen van de financiële opzet. De financiële positie wordt doorlopend gemonitord door de beleggingscommissie en het bestuur. Tevens wordt jaarlijks de risicohouding getoetst door middel van de haalbaarheidstoets. |
| Toekomst-vastheidrisico’s | Het risico dat PF PostNL onvoldoende is voorbereid op de toekomst | Driejaarlijks, of vaker wanneer nodig, voert het bestuur een Eigen Risicobeoordeling (ERB) uit waarbij de ontwikkelingen op macroniveau en binnen de pensioensector in kaart worden gebracht. Samen met een SWOT-analyse vormt dit de basis voor de actualisering van het meerjarenbeleid. |
Financiële risico’s
Het pensioenfonds neemt financiële risico’s omdat voor het realiseren van de toeslagambitie een hoger rendement nodig is dan de risicovrije rente. Onderstaande tabel geeft een toelichting op de belangrijkste financiële risico’s en de belangrijkste beheersmaatregelen.
| Financiële risico’s | Omschrijving risico | Beleid en beheersing |
|---|---|---|
| Matching- / renterisico’s | Het risico van een verandering van de dekkingsgraad als gevolg van een verandering in de rente of inflatie. | Het bestuur stelt op basis van een ALM-studie het strategisch beleggingsbeleid vast, inclusief het renteafdekkingsbeleid. Maandelijks monitort het bestuur de uitvoering van het renteafdekkingsbeleid op basis van de rapportages van de fiduciair manager en de LDI-manager. |
| Marktrisico’s | Het risico op een verandering van de zakelijke waarden portefeuille als gevolg van veranderingen in de marktwaarde van de betreffende beleggingen. | Onderdeel van het strategisch beleggingsbeleid is de strategische asset allocatie met bijbehorende bandbreedtes. Door de spreiding binnen de beleggingsportefeuille (diversificatie) wordt het prijsrisico gedempt en het concentratierisico beheerst. Het bestuur monitort de ontwikkeling van de marktrisico’s actief. |
| Kredietrisico’s | Het risico op een verandering van de vastrentende portefeuille als gevolg van veranderingen in de kredietopslag op vastrentende waarden. | Het bestuur stelt voor alle beleggingscategorieën tenminste één keer per drie jaar de investment case vast. De investment cases en beleggingsrichtlijnen bevatten limieten voor de mate waarin kredietrisico kan worden gelopen. Het bestuur monitort de kredietrisico’s actief. |
| Liquiditeits-risico’s | Het risico dat beleggingen niet tijdig en/of niet tegen een aanvaardbare prijs kunnen worden omgezet in liquide middelen, waardoor PF PostNL op korte termijn niet aan de verplichtingen kan voldoen. | Het bestuur heeft het liquiditeitsbeleid vastgesteld en stelt jaarlijks het beleggingsplan vast, waarin een inschatting is opgenomen of de mate van liquiditeit van het vermogen afdoende is. Het risico wordt verder verkleind door maandelijkse actualisering en beoordeling van de liquiditeitsprognoses. |
| Actieve risico’s | Het risico dat actief beheer leidt tot (onverwachte) negatieve beleggingsresultaten als gevolg van slechte portefeuille constructie. Vooralsnog heeft het bestuur de ESG-risico’s ook onder actieve risico’s ingedeeld. | Periodiek wordt beoordeeld of het beleid in overeenstemming is met standaarden in de markt. In het jaarlijks beleggingsplan en de bijbehorende richtlijnen zijn expliciete normen opgenomen voor het uitvoeringsrisico en zijn signaleringniveaus bepaald, ook voor ESG. Het bestuur monitort deze actief. |
| Verzekerings-technische risico’s | Het risico dat (toekomstige) uitkeringen niet gefinancierd kunnen worden vanuit premie- en/of beleggingsinkomsten als gevolg van verkeerde aannames en grondslagen. | Jaarlijks beoordeelt het bestuur of de voorgestelde grondslagen actueel en in overeenstemming met wet- en regelgeving zijn. Het bestuur bespreekt jaarlijks de analyse van de verzekeringstechnische resultaten met de accountant en de certificerend actuaris. |
Niet-financiële risico’s
Het pensioenfonds heeft de bedrijfsvoering nagenoeg geheel uitbesteed waardoor er een aantal specifieke risico's is. Daarnaast zijn er risico's die te make hebben met het bestuurlijk proces en de organisatie van het pensioenfonds (de governance). Onderstaande tabel geeft een toelichting op de niet-financiële risico’s en de beheersmaatregelen.
| Niet-financiële risico’s | Omschrijving risico | Beleid en beheersing |
|---|---|---|
| Operationele risico’s | Het risico op verliezen door inadequate of falende interne processen, personeel, systemen of informatie. | De kwaliteit en continuïteit van de bestuursprocessen wordt bevorderd door onder andere de aangebrachte scheiding tussen beleid en uitvoering. Verder worden uitbestedingspartijen periodiek geëvalueerd. Het bestuur monitort de operationele risico’s in de primaire processen via management- en stuurinformatie van uitbestedingspartijen. Elke commissie beoordeelt de managementinformatie over het eigen domein, bespreekt de bevindingen met de uitbestedingspartijen en geeft terugkoppeling aan het gehele bestuur. |
| Uitbestedings-risico’s | Het risico dat de continuïteit, integriteit en/of kwaliteit van de aan derden uitbestede werkzaamheden of door derden ter beschikking gestelde apparatuur en personeel wordt geschaad. | Uitbestedingspartijen worden geselecteerd aan de hand van strikte selectiecriteria, zoals vastgelegd in het uitbestedingsbeleid, en worden periodiek gemonitord en geëvalueerd. In kwartaalrapportages vermelden de uitbestedingspartners de realisatie van KPI's die in de overeenkomst met PF PostNL zijn opgenomen. In een extern gecertificeerd verslag leggen de uitbestedingspartners verantwoording af over de beheersing van de bedrijfsprocessen. |
| IT-risico’s | Het risico dat bedrijfsprocessen en informatievoorziening onvoldoende integer, niet continue of onvoldoende beveiligd worden, ondersteund door IT. | PF PostNL heeft een IT-beleid opgesteld. Periodiek wordt beoordeeld of de interne voorschriften inzake IT-veiligheid en infrastructuur voldoen aan de vereiste standaarden. |
| Integriteits-risico’s | Het risico dat de integriteit van PF PostNL dan wel het financiële stelstel wordt beïnvloed als gevolg van niet integere en onethische gedragingen bij de eigen organisatie of haar uitbestedingspartners. | PF PostNL beschikken over een integriteitsbeleid, een gedragscode, een incidentenregeling en een regeling vermoeden misstanden. Het integriteitsbeleid wordt jaarlijks herijkt op basis van de systematische integriteitsrisicoanalyse (SIRA). Nevenfuncties worden geregistreerd. De complianceofficer houdt toezicht op de naleving van de gedragscode. |
| Juridische risico’s | Het risico als gevolg van het niet-naleven van overeenkomsten, toepasselijke wet- en regelgeving of de interpretatie daarvan en als gevolg van niet-contractuele aansprakelijkheid. | Het bestuur volgt de ontwikkelingen in wet- en regelgeving actief. In het geval van afsluiten van belangrijke contracten huurt PF PostNL externe expertise in. |
4.3. Risicomanagementproces
Wij zien risicomanagement als een doorlopend proces. Dit bestaat uit de onderstaande stappen, die waarborgen dat op verschillende niveaus de risico’s worden geïdentificeerd, geanalyseerd, geëvalueerd beheerst, gemonitord en gerapporteerd. Het proces heeft betrekking op afzonderlijke risico’s en op risico’s in hun onderlinge samenhang.
Het brutorisico is het risico zonder rekening te houden met bestaande beheersmaatregelen.
Beheersmaatregelen zijn concrete acties op het gebied van beleid, procedures, organisatorische maatregelen en activiteitengericht op mitigeren of verkleinen van risico’s.
Het nettorisico is het risico dat resteert na implementatie van beheersmaatregelen.
In het onderstaand overzicht worden de stappen uit het risicomanagementproces toegelicht.
Instrumenten risicomanagement
De risico-items, inclusief inschaling en beheersmaatregelen, worden vastgelegd op risicokaarten. Jaarlijks worden alle risicokaarten geëvalueerd en integraal beoordeeld in de risk self-assessment (RSA). Deze is gericht op de actuele ontwikkeling van de risico’s en kijkt beperkt naar de toekomstige ontwikkeling. Daarnaast wordt jaarlijks een systematische Integriteitsrisicoanalyse (SIRA) uitgevoerd. Driejaarlijks, en wanneer zich een significante wijziging voordoet in het risicoprofiel, voeren we een eigenrisicobeoordeling (ERB) uit. Deze is gericht op de ontwikkeling van risico’s op de langere termijn. Hierbij maken we gebruik van scenario-analyse.
4.4. Risicobereidheid
Bij het nastreven van onze doelstellingen bepaalt het bestuur hoeveel risico hierbij gelopen mag worden, uitgedrukt in de termen laag, midden of hoog. De risicobereidheid bestaat uit de volgende onderdelen:
- De vertaling vanuit missie, visie en doelstellingen van het pensioenfonds naar de algehele risicobereidheid, voor de strategische, financiële en niet-financiële risico’s;
- De uitwerking van de risicobereidheid per hoofdrisico;
- De uitwerking van de risicobereidheid per risico-item, en
- Meetbare risico-indicatoren met bijbehorende normen gericht op het monitoren van de risico’s.
In de volgende alinea's is een toelichting per risicocategorie opgenomen.
Strategische risico’s
Het bestuur streeft naar een toekomstbestendige pensioenregeling. Dit vraagt om een financiële opzet die op de lange termijn bestendig is. Het bestuur wil daarnaast tijdig in kunnen spelen op veranderingen in de omgeving en de afhankelijkheid van externe factoren beperken. Daarbij is het uitgangspunt dat de belangen van (gewezen) deelnemers, pensioengerechtigden en de werkgeverevenwichtig worden afgewogen. Het bestuur vermijdt risico’s die de stabiliteit en soliditeit van het pensioenfonds bedreigen. Het beheersen van risico’s brengt kosten met zich mee: bij beslissingen om risico’s te beperken maakt het bestuur een afweging tussen de kosten van het (volledig) beheersen van het risico en de impact van het risico. De risicobereidheid van het pensioenfonds is voor deze risico’s gemiddeld.
Financiële risico’s
Het bestuur streeft enerzijds naar het maximaliseren van het verwachte pensioenresultaat en anderzijds naar het minimaliseren van de kans op korten. Indien beide doelstellingen naar verwachting niet tegelijkertijd kunnen worden gehaald, heeft het realiseren van de lange termijn ambitie voorrang boven het korte-termijn risico dat gekort moet worden. Voor het realiseren van de missie en doelstellingen worden bepaalde financiële risico’s bewust opgezocht waarnaar verwachting een positief rendement tegenover staat; dit uiteraard binnen de daaraan door het pensioenfonds zelf gestelde kaders. Bij financiële risico’s waar tegenover naar verwachting geen positieve rendementen staan is de risicobereidheid laag, tenzij hier vanwege de interactie tussen risico’s redenen voor zijn, bijvoorbeeld in het geval dat risico’s elkaar compenseren. Gegeven de financiële positie van het pensioenfonds kan in enige mate risico worden gelopen. De risicobereidheid is voor de meeste financiële risico’s daarmee eveneens gemiddeld.
Niet-financiële risico’s
Het bestuur streeft naar een betrouwbare, beheerste en efficiënte uitvoering van d pensioenregeling. Adequate processen, mensen, informatie, systemen en uitbestedingen zijn hierbij van belang. Ten aanzien van de uitvoering maakt het bestuur een zorgvuldige afweging tussen kosten en risico’s en accepteert een restrisico als de benodigde inspanningen en kosten niet opwegen tegen de voordelen van het verlagen van het risico. Het bestuur handelt integer, in overeenstemming met ethische normen en interne en externe regels. Het bestuur communiceert duidelijk en klantgericht met alle belanghebbenden en is transparant over de haalbaarheid van de ambitie en de daaraan verbonden risico’s. Voor niet-financiële risico’s geldt dat het pensioenfonds slechts beperkt risico’s wil lopen, de risicobereidheid is laag.
4.5. Ontwikkelingen risicobeheer en belangrijkste risico's
4.5.1. Ontwikkelingen in 2022
De geopolitieke spanningen waren in 2022 hoog, mede door de oorlog in Oekraïne. Ook de corona-epidemie had negatieve effecten. De economische situatie verslechterde en een recessie dreigt. De financiële markten waren hierdoor erg volatiel, de rente steeg in de loop van het jaar en ook de inflatie steeg tot ongekende hoogte. De dekkingsgraad steeg overigens wel, met name door de renteontwikkelingen. Het vermogen nam echter af door dalende aandelenkoersen.
Het bestuur heeft deze ontwikkelingen actief gemonitord, geëvalueerd en meegewogen bij de uitvoering van het vermogensbeheer. De kaders van het beleggingsbeleid boden hiervoor voldoende ruimte, aanpassing van het beleggingsbeleid was vooralsnog niet nodig. Verder is in overleg met sociale partners het toeslagenbeleid aangepast en kon per 1 januari 2023 een toeslag van 10% worden toegekend.
De pensioenhervorming is een ingrijpend programma waarvoor het bestuur een aparte RSA uitvoert. De RSA voor de verkennings- en verdiepingsfase is in 2022 geactualiseerd. Daarnaast is een RSA voor de implementatiefase uitgevoerd die is afgestemd met de pensioenuitvoeringsorganisatie TKP. Zo heeft het bestuur de belangrijkste aandachtspunten, risico’s en beheersmaatregelen voor de pensioenhervorming vastgesteld. Dit is de basis voor het risicobeheersingsraamwerk voor dit programma.
In 2022 heeft het bestuur opnieuw een SIRA uitgevoerd. Hierbij is vastgesteld dat alle risico-items binnen de risicobereidheid van het pensioenfonds vallen. Speciale aandacht is gegaan naar het verdiepen van het IT-risico en de MVB-risico’s. Er is een nieuw datakwaliteitsbeleid opgesteld. Het IT-beleid en datakwaliteitsbeleid is gedeeld met de grote dienstverleners met wie ook afspraken zijn gemaakt over de borging van de naleving. Verder is het bestuur gestart met de ontwikkelingen implementatie van criteria voor de MVB-risico’s. Ook is vanuit de sleutelfunctiehouder risicobeheer aandacht geweest voor de verdere ontwikkeling van de risicocultuur. De risicocultuur is meegenomen bij de invulling van studiedagen en het bestuur besteedt hier bij elke vergadering aandacht aan.
De risicorapportage van de sleutelfunctiehouders risicobeheer is in 2022 verder ontwikkeld. Deze rapportage wordt elk kwartaal besproken in de bestuursvergadering, waarmee het bestuur de ontwikkeling van de risico’s gedurende het jaar monitoren.
De uitvoering van de reguliere, jaarlijkse RSA is eind 2021 gestart en in het eerste kwartaal van 2022 afgerond. De risico’s die de meeste aandacht vragen zijn hieronder vermeld onder “Belangrijkste risico’s”. Gelet op de grote impact hebben we voor het onderwerp pensioenhervorming een specifieke RSA uitgevoerd. We hebben een aantal risicoscenario’s specifiek voor dit onderwerp vastgesteld, daarbij een risico-inschatting gemaakt en de beheersmaatregelen vastgesteld.
Aan het eind van 2022 is er een risicoanalyse uitgevoerd naar aanleiding van de wijziging van de pensioenregeling per 31 december 2022. Vanuit verschillende aspecten heeft de risicobeheercommissie het voorstel tot wijziging beoordeeld en met het bestuur besproken.
Fraude risico
In de jaarlijkse SIRA (Systematische Integriteitsrisicoanalyse) is het risico van fraude en de beheersing daarvan in de vorm van preventieve maatregelen en mogelijke detectie een belangrijk aandachtspunt.
Voor de analyse van mogelijke frauderisico’s hebben we onderscheid gemaakt tussen frauderisico binnen onze eigen organisatie door onze medewerkers en frauderisico bij onze uitbestedingspartners die ons (kunnen) raken. Uit de SIRA blijkt dat een breed scala aan maatregelen is getroffen om frauderisico’s te beheersen. De netto risico’s uit de SIRA met betrekking tot fraude zijn als laag ingeschat.
Voor de beheersing van de frauderisico’s zijn in de SIRA beheersmaatregelen geformuleerd. Met betrekking tot concrete frauderisico’s binnen onze eigen organisatie vallen hier onder andere onder: gedragscodes, functiescheiding, incidenten- en klokkenluidersregelingen, het aanwezig zijn van een onafhankelijk meldpunt voor misstanden en het stimuleren van awareness. Ten aanzien van de activiteiten die zijn uitbesteed geldt dat door taakafbakening ook daar een vorm van functiescheiding is gecreëerd. Verdere beheersing vindt plaats doordat jaarlijkse actualisatie van SLA’s (Service Level Agreements) op basis van de meest recente inzichten plaatsvindt, kennis wordt genomen van periodieke performance- en financiële rapportages en gebruik wordt gemaakt van ISAE 3402-verklaringen, compliance-verklaringen en In Control-statements die beschikbaar worden gesteld door de uitbestedingspartners. Daarnaast vinden frequent gesprekken plaats waarin beheersing, inclusief de mogelijkheid van fraude, regelmatig aan de orde komt. Ons hebben in 2022 geen fraudesignalen bereikt.
4.5.2. Belangrijkste risico's in de RSA
In de risicobeheersing ligt de bestuurlijke nadruk op het beheersen van de belangrijkste risico’s. In de RSA 2022 zijn de volgende risico’s als belangrijkste bruto risico’s geïdentificeerd:
- Financiële kwetsbaarheid,
- Risico’s rondom uitbestedingen,
- Pensioenhervorming.
Financiële kwetsbaarheid.
De rente en de waarde van de aandelenportefeuille zijn de belangrijkste factoren die de dekkingsgraad van PF PostNL bepalen. De risico’s op dit gebied zijn toegenomen door de economische onzekerheid en door de renteontwikkelingen vanwege de hoge inflatie.
De volgende tabel, gebaseerd op de DNB-rekenrente, geeft de gevoeligheid van de dekkingsgraad weer voor het rente- en marktrisico waarbij beide risico’s zich al dan niet gecombineerd voordoen. Hierbij is een beeld gegeven van het effect van verandering van de rente tussen -1,0% en +1,0%-punt ten opzichte van de rente en van een verandering van de aandelenkoersen tussen -25% en +25%-punt ten opzichte van de hoogte ultimo 2022.
Risico’s rondom uitbestedingen
Het pensioenfonds heeft de bedrijfsvoering nagenoeg geheel uitbesteed. Het IT-risico bij uitbestedingspartijen wordt als groot aangemerkt vanwege de grote afhankelijkheid van IT, zowel voor de bestaande bedrijfsvoering als voor de ontwikkelingen naar de toekomst. Het bestuur monitort het IT-risico bij uitbestedingspartijen actief en voert IT-dialogen met de dienstverleners.
Pensioenhervorming
De pensioenhervorming omhelst aanpassing van de regeling door sociale partners, aanpassing van de systemen voor pensioenbeheer bij TKP en omrekening en invaren van oude rechten. Hiervoor heeft het pensioenfonds een projectorganisatie ingericht, een plan van aanpak opgesteld en samen met TKP een RSA uitgevoerd. De stuur- en projectgroep analyseren en monitoren de resultaten en risico’s actief.
4.6. Agenda 2023
Risicomanagement is een doorlopend proces waar het bestuur continu mee bezig is. Jaarlijks definieert het pensioenfonds ook een aantal speerpunten. In het streven naar een continu verbeterend integraal risicomanagement staan voor 2023 onder andere de volgende onderwerpen op de agenda:
- Het beheersen van de risico’s bij het programma pensioenhervorming.
- Het versterken van de risicomanagementcyclus van de te onderscheiden hoofdrisico’s door de evaluatie van de werking van de beheersmaatregelen te gebruiken bij het beoordelen van beheersmaatregelen.
- Het verder ontwikkelen van de risicocultuur, waardoor de risicobeheersing van het pensioenfonds naar een hoger volwassenheidsniveau kan groeien.
- Het versterken van de integrale beheersing van het IT-risico, zowel in de eigen organisatie als bij onze dienstverleners.
- Het verder ontwikkelen en implementeren van de MVB-risico’s.
