IORP II - de Internal Audit Functie |
close
Share with your friends

IORP II - de Internal Audit Functie

IORP II - de Internal Audit Functie

De herziene richtlijn Institutions for Occupational Retirement Provision (IORP II) stelt nieuwe eisen aan pensioenfondsen op het gebied van bestuur en transparantie. De Nederlandsche Bank (DNB) heeft in de ‘Toezicht Vooruitblik 2018’ aangegeven dat pensioenfondsen dienen te anticiperen op de vereisten van aanstaande verandering in wetgeving om tijdig aan de vereisten te kunnen voldoen. Een van deze vereisten is de implementatie van een risicogebaseerd governancesysteem.

Gerelateerde content

IORP II - Interne Audit Functie

In een aankondiging met betrekking tot IORP II schreven wij over een doeltreffend goverancesysteem, waarbij het “three lines of defense” model werd beschreven. Binnen het governancesysteem staan drie sleutelfuncties centraal: de risicobeheersingsfunctie, de actuariële functie en de Internal Audit Functie. Ons eerste artikel over de sleutelfuncties ging in op de actuariële functie. In dit artikel behandelen wij de impact van IORP II op de Internal Audit Functie (IAF) voor pensioenfondsen. Daarbij gaan we in op de vereisten rondom de IAF, die IORP II stelt, en behandelen wij de vormen van inrichting van de IAF.

IORP II en de IAF

IORP II beschrijft dat de IAF onder meer evalueert dat het interne controlesysteem en andere onderdelen van het vastgelegde governancesysteem, met inbegrip van de uitbestede werkzaamheden, adequaat en doeltreffend zijn. Daarmee wordt een minimale reikwijdte van de werkzaamheden van de IAF verankerd in de wet.

Deskundigheid en betrouwbaarheid

IORP II stelt een deskundigheidsvereiste aan de IAF. Dit betekent dat de internal voldoende beroepsgekwalificeerd dienen te zijn en voldoende kennis en ervaring dienen te hebben. Daarnaast beschrijft de richtlijn een betrouwbaarheidsvereiste, waarbij de personen een goede reputatie dienen te hebben en integer dienen te zijn. Om aan deze vereisten verder invulling te geven biedt de International Professional Practices Framework (IPPF) van het Instituut van Internal Auditors (IIA) een nadere guidance en toelichting. Primair zal het bestuur van het pensioenfonds vaststellen of de IAF deskundig en betrouwbaar is. De nieuwe richtlijn schrijft tevens voor dat de bevoegde autoriteit zal mogen toetsen of de internal auditors voldoen aan de daaraan gestelde eisen. Wij verwachten dat internal auditors en andere sleutelfunctionarissen zullen kwalificeren als medebeleidsbepalers en in die hoedanigheid op geschiktheid en betrouwbaarheid worden getoetst door DNB.

Positie en rol van de IAF

Het is voor de IAF niet toegestaan om andere sleutelfuncties te vervullen naast de invulling van de IAF. De IAF dient onafhankelijk gepositioneerd te zijn van de overige sleutelfuncties. Dit is daarmee een zuivere scheiding en volgt de gedachten van het “three lines of defense” model. Oftewel, de IAF dient onafhankelijk te zijn van overige werkzaamheden die plaatsvinden binnen het pensioenfonds of bij uitbesteding buiten het pensioenfonds.

Rekening houdend met de omvang, de aard en complexiteit van de activiteiten van het pensioenfonds, geeft IORP II ondernemingspensioenfondsen de mogelijkheid om de IAF te beleggen bij de IAF van de bijdragende onderneming. In dit geval zal het pensioenfonds dienen vast te stellen en te waarborgen hoe eventuele belangenconflicten met de bijdragende onderneming worden voorkomen.

De IAF rapporteert eventuele materiële bevindingen en aanbevelingen aan het bestuur, beleidsbepalend- of toezichthoudend orgaan. Volgens de IPPF is er idealiter een duale rapporteringslijn naar het bestuur en toezichthoudend orgaan.De IAF stelt in bijzondere gevallen DNB in kennis van misstanden. Dit kan voorkomen wanneer de IAF een substantieel risico ontdekt, waarbij het pensioenfonds niet aan wettelijke vereisten voldoet, dat van significante betekenis is én dat reeds intern gerapporteerd is, maar waar niet tijdig een passende corrigerende maatregel voor is getroffen. Ditzelfde geldt wanneer de IAF een significante inbreuk op wettelijke of bestuurlijke bepalingen heeft geconstateerd.

De IAF voor een pensioenfonds

Zelf opzetten of uitbesteden?

In Nederland heeft momenteel vrijwel geen enkel pensioenfonds een volwaardige of zelfstandige IAF. De komst van IORP II zal daarmee de nodige aanpassingen teweeg brengen in de governance van pensioenfondsen om deze functie te borgen. Een aantal pensioenfondsen heeft wel functionarissen die focust op `control' of `audit'. In deze situaties zou omvorming naar een zelfstandige IAF mogelijk zijn. Wel stelt IORP II dat het pensioenfonds schriftelijk vastgestelde beleidslijnen dient te hebben met betrekking tot de inrichting van de IAF.

De richtlijn geeft aan dat, mits uitleg wordt gegeven hoe belangenconflicten worden gewaarborgd, een IAF medewerker van de bijdragende onderneming ook de IAF kan invullen van het pensioenfonds. Dat is positief voor ondernemingspensioenfondsen waarvan de bijdragende onderneming een IAF heeft. De richtlijn doet geen expliciete uitspraak over uitbesteding van de IAF aan de uitvoeringsorganisatie. Ondanks dat IORP II hier geen bijzondere aandacht aan besteedt, zal het pensioenfonds goed dienen af te wegen wat de potentiële belangenconflicten zijn indien de IAF wordt belegd bij de uitvoeringsorganisatie. Kan de IAF volledig onafhankelijk een ordeel geven over het interne controlesysteem als deze is belegd bij de eerste lijn?

Een volledige zelfstandige IAF opzetten zal voor veel pensioenfondsen een onevenredig grote inspanning betekenen. Gelukkig bestaan er alternatieve oplossingen voor een adequate inrichting van de IAF. Zoals Bart van Loon meldde in een artikel over de inrichting van de IAF: `Je hoeft niet een complete afdeling op te tuigen, maar kunt taken of onderdelen uitbesteden, waardoor een IAF betaalbaar én flexibel wordt, ook voor kleinere en minder complexe organisaties.'. Dit is eerder gebeurd bij de introductie van Solvency II en WTT (wet toezicht trustkantoren) bij respectievelijk kleinere verzekeraars en trustkantoren. Uitbesteding lijkt daarmee voor de pensioensector ook een betaalbare en flexibele oplossing, wat tevens voldoet aan de IORP-II regelgeving. Een gespecialiseerde uitbestedingspartner biedt tevens meerdere voordelen, zo biedt een uitbestedingspartij een outside-in en onafhankelijke blik. Daarnaast kunnen marktbrede trends en specifieke kennis (zoals cyber of privacyregelgeving kennis) meegenomen worden in de IAF werkzaamheden, waarbij een internal auditor `in vaste dienst` niet altijd over deze brede kennis en ervaring beschikt.

Ten slotte

In dit artikel hebben wij de impact van IORP II ten aanzien van de IAF beschreven, de aandachtspunten voor pensioenfondsen zijn daarbij:

  • De IAF dient deskundig en betrouwbaar te zijn. Dit wordt vastgesteld door het bestuur van het pensioenfonds en wordt naar alle waarschijnlijkheid getoetst door DNB.
  • De IAF dient een onafhankelijke sleutelfunctie te zijn, de functionaris mag geen andere sleutelfunctie vervullen bij het pensioenfonds.
  • De IAF evalueert dat het interne controlesysteem en andere onderdelen van het governancesysteem, met inbegrip van de uitbestede werkzaamheden, adequaat en doeltreffend zijn.  De IAF rapporteert aan het bestuur, beleidsbepalend- of toezichthoudend orgaan. In bijzondere situaties dient de IAF zaken te escaleren bij DNB.
  • Uitbesteding van de IAF is mogelijk. Uitbesteding kan aan een IAF medewerker van de bijdragende onderneming of aan de partij waaraan andere diensten zijn uitbesteed (zoals de vermogens- en pensioenbeheer). Hierbij is het van belangrijk om belangenconflicten te waarborgen en schriftelijk vastgestelde beleidslijnen te hebben.

Met de komst van IORP II staan vele pensioenfondsen voor de uitdaging om op adequate wijze invulling te geven aan de verplichting van de inrichting van een IAF. De herziene richtlijn biedt mogelijkheden om zelf een IAF in te richten, gebruik te maken van een internal auditor van de bijdragende onderneming of de IAF uit te besteden aan een derde partij. Kortom, diverse oplossingen met verschillende aandachtspunten. Vanuit KPMG ondersteunen wij u graag bij uw vraagstukken rondom de inrichting van de IAF, voor meer informatie kunt u contact opnemen met Danny Tingelaar, +31 (0)30 658 3096 of per email of Huck Chuah ,+31 (0)20 656 4501 of per email.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig