De basis van PME moet op orde zijn. Dat lijkt vanzelfsprekend maar vraagt voortdurende aandacht en ontwikkeling. Onze kernactiviteiten moeten goed worden uitgevoerd, zowel door onszelf als door onze uitvoerende organisaties en andere dienstverleners. Wij streven er naar om effectief en efficiënt te zijn, in lijn met onze leidende principes. Het is onze ambitie dat onze uitvoering voldoet aan de hoogste standaarden in de sector. Dat geldt voor onze interne processen, maar ook ten aanzien van de processen die aan externe partijen zijn uitbesteed.

De complexiteit van de omgeving waarin wij opereren neemt al jaren toe door interne en externe ontwikkelingen. Binnen PME bestaan verschillende teams en functies die zich bezighouden met deelaspecten van de interne beheersing: interne controle, risicomanagement, business continuity management, compliance, juridisch, IT en cybersecurity, planning en control en interne audit. Al deze functies vervullen een belangrijke rol, maar wel elk op hun eigen aandachtsgebied met eigen specifieke kenmerken. We willen de effectiviteit van de interne beheersing vergroten, de snelheid en effectiviteit en efficiency van rapportering verbeteren, en het aantoonbaar in control zijn vergemakkelijken. Om dit te bereiken is er eind 2023 voor gekozen om te gaan werken met de GRC-tooling van Cerrix. Eveneens is in 2023 een plan van aanpak opgesteld voor de implementatie van de GRC-tooling in 2024. De GRC-tooling wordt in 2024 eerst technisch geïmplementeerd (basis inrichting) en beheerders van de GRC-tooling worden opgeleid. Later in 2024 start de inrichting van de GRC-tooling met de opzet van het interne controle raamwerk en de key processen.

Bij een stevige basis hoort adequaat risicomanagement. Bij alles wat we doen is risicomanagement een onlosmakelijk onderdeel. Dat begint bij cultuur. Wij streven naar een open cultuur waarin iedereen risico’s en incidenten durft te benoemen. Waarbij het bestuur het belang van integraal risicomanagement uitdraagt in woord en daad. Risicomanagement is op alle niveaus geïntegreerd in de werkzaamheden. De taken en rollen zijn daarbij helder vastgelegd. Op die manier borgen wij dat voor alle organisatieonderdelen (bestuur, bestuursbureau en bij de uitvoeringorganisaties) en door de gehele keten sprake is van alignment met onze strategische doelstellingen. Ter bevordering van het risico­management binnen de hele organisatie, hebben we een risicobeheerfunctie (RBF) ingericht. De RBF bestaat uit de sleutelfunctiehouder risico­beheer (SFH RB) en de risicomanagers. Met de RBF wordt beoogd dat PME een objectief, eerlijk en onafhankelijk totaalbeeld heeft van de verschillende risico’s waaraan PME wordt bloot­gesteld. De activiteiten van de RBF zijn essen­tieel voor een beheerst en integer fundament van PME en komen met name tot uiting in:

• initiëren van en geven van adviezen over (de toepassing van) het informatiebeleid, ­continuïteits- en weerbaarheidsbeleid en het integraal risicomanagement (IRM); en

• afgeven van risico-opinies bij o.a. eerstelijns risicobeoordelingen, beleidsvoorstellen en (risico)rapportages.

Informatiebeleid

Wij zijn in 2021 gestart met het project verbeteren informatiebeheer om de opzet en uitvoering van ons informatiebeleid op een hoger niveau te brengen. In 2022 hebben we onze uitgangs­punten met betrekking tot het informatiebeleid vastgesteld. Daarmee is een kader neergezet voor het toetsen van de wijze waarop informatiebeheersing wordt vormgegeven, zowel voor PME zelf als voor de uitvoeringsorganisaties en hun onderaannemers.

In 2023 is nog een aantal thema’s voor het informatiebeleid nader uitgewerkt. Het betreft het vaststellen van beleid, specifieke werk­afspraken, workshops en bevordering van ­awareness ten aanzien van:

• dataclassificatie (via een workshop),

• datakwaliteit (start van nieuw project in het kader van implementatie nieuwe pensioen­regeling en invaren),

• logische en fysieke toegangsbeveiliging ­(vaststelling van richtlijnen en toepassing daarvan),

• beschikbaarheid van bedrijfskritische processen en data (via vaststelling van kaders en uitgangspunten continuïteit en weerbaarheid),

• informatiebeveiliging (via interne communicatie van 10 gouden regels om PME veilig te houden op het gebied van informatie­beveiliging),

• artificial intelligence (via vaststelling voor­lopige richtlijnen voor gebruik en besluit tot onderzoek in 2024 naar toepasbaarheid van op AI gebaseerde toepassingen die waarde kunnen toevoegen).

Verder besloten wij in 2023 gebruik te gaan maken van de tooling van Zivver om beveiligd te e-mailen en bestanden te versturen.

Continuïteit en weerbaarheid

In 2023 stelden wij voor het eerst kaders en ­uitgangspunten vast ten aanzien van continuïteit en weerbaarheid. Continuïteit ziet toe op de voortgang van de beheerste uitvoering. Weerbaarheid ziet toe op het detecteren en herstellen van verstoringen in de uitvoering. Het gaat hierbij niet alleen om IT-systemen, maar ook om mensen en gebouwen. Het vastgestelde beleid is van toepassing op PME zelf, maar ook op de organisaties waaraan wij de uitvoering hebben uitbesteed. Deze uitvoerende organisaties zijn nadrukkelijk betrokken bij het op te stellen beleid. Zij (inclusief de onderaannemers) zijn gehouden om (soort-)gelijke standaarden te hanteren die aantoonbaar in lijn zijn met onze gestelde kaders en uitgangspunten.

De door ons vastgestelde kaders en uitgangspunten voor continuïteit en weerbaarheid sluiten aan bij de nieuwe DORA regelgeving, die wij op 17 januari 2025 moeten hebben geïmplementeerd.

In 2023 hebben wij zelf ook een operationeel ­crisismanagementplan vastgesteld en een ­crisisoefening gedaan.

Integraal risicomanagement

Het doel van risicomanagement is het realiseren van een beheerste en integere bedrijfsvoering die bijdraagt aan het realiseren van onze missie, visie, ambitie en strategische doelstellingen. Wij hebben daarom aantoonbaar aandacht voor de impact van de verschillende risico’s op het realiseren van de doelstellingen, de onderlinge samenhang van de risico’s, de mogelijkheden voor beheersing van de risico’s en de effectiviteit van de beheersmaatregelen. Hierbij geldt dat de risico’s zodanig worden gemanaged dat deze binnen de tolerantiegrenzen van onze risicobereidheid blijven of worden gebracht. Pas nadat een integrale risico-afweging is gemaakt, gaan wij over tot besluitvorming.

Het integraal risicomanagementbeleid is vast­gelegd in een beleidsdocument. In 2023 zijn de volgende beleidsstukken hierin geïntegreerd:

• Risicobereidheidsverklaring (RBV);

• Procedure uitvoeren Risk Self Assessments (RSA’s); en

• Beleid eigenrisicobeoordeling (ERB).

Daarnaast is een aantal redactionele en ­praktische verbeteringen doorgevoerd in het beleidsdocument.

Risicostrategie, risicoprincipes en ­risicobereidheid

Onze risicostrategie heeft als doel de realisatie van de missie, visie en ambitie van het fonds te ondersteunen. De risicostrategie is daarmee direct verbonden aan de strategie van het fonds en omvat onder andere:

• een beschrijving van de risicobereidheid van de risico’s waaraan PME onderhevig is, en in welke mate het fonds bereid is deze risico’s te nemen of wenst te beperken bij het nastreven van de missie, visie en de daarvan afgeleide (strategische) doelstellingen;

• risicoafwegingen en risicoanalyses die betrokken worden in de strategische besluitvorming;

• processen en procedures ter ondersteuning van de beheersing van de (strategische) ­risico’s.

Risicoprincipes zijn gedeelde uitgangspunten op het gebied van risico’s en risicomanagement en vormen de waarden en overtuigingen die richtinggevend zijn voor beleid. Wij onderkennen de volgende risicoprincipes:

• Wij maken bij risicobeheersing een onderscheid tussen risico’s die strategisch worden opgezocht en risico’s die ontstaan doordat het pensioenfonds haar kerntaken uitvoert.

• Wij streven naar een cultuur waarin risico­beheersing tot zijn recht kan komen en we bepalen als bestuur door middel van ons gedrag de ‘tone at the top’.

• Een adequate risico-inschatting dient ten grondslag te liggen aan besluitvorming.

• Risicomanagement is een onlosmakelijk onderdeel van de primaire processen.

• Bij het nemen van beheersmaatregelen ­houden wij rekening met het proportiona­liteitsprincipe.

• Wij acteren op nieuwe en veranderende ­risico’s.

Een belangrijk fundament van IRM is het vaststellen van de risicobereidheid op een consistente, samenhangende en doeltreffende wijze. De risicobereidheid beschrijft in welke mate PME bereid is risico’s te nemen of wenst te beperken bij het nastreven van de missie, visie en de daarvan afgeleide strategische doelstellingen. Wij hanteren een driepuntsschaal voor risicobereidheid (laag, gemiddeld, hoog). Het definiëren van de risicobereidheid is een bestuur­lijke aangelegenheid ('top-down') waarbij het algemeen bestuur in gezamenlijkheid de risicobereidheid opstelt voor ieder van de risico’s uit de risicotaxonomie. De risicotaxonomie geeft het totaal­overzicht van de door PME onderkende belangrijkste risico’s. Deze taxonomie en de bijbehorende risicobereidheid wordt in bijlage 2 van dit jaarverslag weergegeven. Wij evalueren de risicotaxonomie en de risicobereidheid ten minste iedere twee jaar. De huidige taxonomie en risicobereidheid zijn op 31 maart 2022 vastgesteld.

Inrichting van het integraal ­risico­­management

Wij hechten belang aan een sterke risicocultuur gecombineerd met een scherpe focus op adequate checks en balances. Wij hebben daarbij gekozen voor het zogenaamde ‘three-lines-model’. De sleutelfuncties van PME zijn geïntegreerd in dit model.

 

Eerste lijn

Het uitvoerend bestuur is primair verantwoor­delijk voor de sturing van acties en de inzet van middelen om de doelstellingen te realiseren inclusief het risicomanagement. Deze eerste lijn draagt zorg voor het tijdig signaleren en het adequaat beheersen van risico’s van de eigen processen en de risico’s ten aanzien van de uitbestede processen bij de uitvoeringsorganisaties. Ook de aantoonbaarheid daarvan is een taak van de eerste lijn.

Tweede lijn

De tweede lijn bestaat uit de risicobeheerfunctie (sleutelfunctiehouder risicobeheer en risico­managers), compliance en privacy officer en de actuariële sleutelfunctiehouder. De tweede lijn initieert de verbetercycli van het beleid op hun aandachtsgebieden en bevordert de verbeteringshouding bij de eerste lijn. Daarnaast bewaakt de tweede lijn of de eerstelijns werkzaamheden aantoonbaar worden uitgevoerd conform vastgesteld beleid.

Derde lijn

De derde lijn bestaat uit de interne auditfunctie (sleutelfunctiehouder interne audit en interne auditors). Het doel van deze interne auditfunctie is het initiëren en uitvoeren van audits op onze bedrijfsvoering als (onderdeel van de) derdelijns risicobeheersing.

Een passende risicocultuur levert een belangrijke bijdrage aan de werking van ons risico­management. De effectiviteit van het risico­management wordt slechts ten dele bepaald door de opzet, maar voornamelijk door de betrokkenen die ermee werken in de organisatie. Het ontwikkelen en blijvend stimuleren van risicobewustzijn is doorslaggevend voor een effectief risicomanagementsysteem.

Wij zetten ons doorlopend in om communicatie over risico’s binnen PME te bevorderen. Dat gebeurt onder meer door de organisatie van awareness-, kennis- en oefensessies op het gebied van risicomanagement. Ook het zichtbaar maken van risicobeoordelingen door de 1e en 2e lijn creëert aantoonbare focus op de beheerste en integere uitvoering en de belangrijkste risico’s en beheersmaatregelen.

Wij voeren het integraal risicomanagement uit volgens de volgende cyclus. Deze cyclus wordt iteratief doorlopen. Het draait daarbij om risico’s die relevant zijn in de context van de realisatie van onze strategische doelstellingen. Uitgangspunt bij de beoordeling en bijsturing van de ­risico’s vormt de risicobereidheid die door ons top-down is vastgesteld.

Het identificeren en definiëren van risico’s, dan wel bevestigen van eerder gedefinieerde risico’s vindt doorlopend plaats. Alle beleidsvoorstellen en rapportages zijn voorzien van een voorlegger met een risico-opinie vanuit de eerste lijn en tweede lijn. Specifieke IRM-rapportages worden ieder kwartaal door de eerste lijn opgesteld en voorzien van een tweedelijns opinie door de risico­beheerfunctie.

Een risicobeoordeling is onderdeel van relevante besluitvorming. Enerzijds zoeken we risico’s strategisch op omdat deze naar verwachting worden beloond, anderzijds worden we geconfronteerd met niet-beloonde risico’s bij het uitvoeren van onze kerntaken. Bij het nemen van beheersmaatregelen houden wij rekening met het proportionaliteitsprincipe: de effectiviteit en efficiëntie van eventuele beheersmaatregelen.

Risk Self Assessments (RSA’s)

Wij beoordelen periodiek of de beheersing van de risico’s toereikend is. Dit doen wij onder meer door het zelf uitvoeren van Risk Self Assessments (RSA’s). De gestructureerde aanpak voor het uitvoeren van een RSA heeft als doel:

• het verschaffen van een uniform proces om risico’s en beheersmaatregelen te identificeren en te beoordelen;

• het verzorgen van een open discussie over risico’s en beheersmaatregelen, wat leidt tot grotere transparantie en begrip voor risico’s en risicobeheersing en de implicaties hiervan voor ons;

• het kweken van risicobewustwording­ ­(awareness) in de organisatie;

• het benoemen van vervolgacties voor risico’s die zich buiten de risicobereidheid bevinden;

• het bewust aanvaarden van netto- of rest­risico’s.

Een RSA is hiermee een hulpmiddel om een integere en beheerste bedrijfsvoering te ­realiseren.

De trigger voor het uitvoeren van een RSA kan divers zijn. Er worden bij PME drie verschillende soorten RSA’s onderscheiden:

Periodieke RSA gericht op onderdelen van de PME risicotaxonomie Thematische RSA richt zich op een specifiek thema.  Project RSA wordt uitgevoerd vooraf en gedurende een project.

In 2023 werden de volgende RSA’s uitgevoerd:

• Periodieke RSA ‘strategisch meerjarenplan’ (zie ook paragraaf Belangrijkste bestuurs­besluiten en activiteiten)

• Periodieke RSA ‘eigenrisicobeoordeling’ (zie ook paragraaf Eigenrisicobeoordeling)

• Thematische RSA ‘operationele risico’s’ (zie ook paragraaf Uitbesteding)

• Project RSA ‘keuzebegeleiding’ (bij start van het project, zie paragraaf Keuzebegeleiding)

• Project RSA ‘nieuw pensioenstelsel’ (zie ook paragraaf Belangrijkste bestuursbesluiten en Op weg naar een nieuwe pensioenregeling)

Integrale risicorapportage

Onze integrale risicorapportage bevat de beoordeling van alle risico’s uit onze risicotaxonomie. In deze rapportage wordt zichtbaar gemaakt in hoeverre het actuele risicoprofiel nog in overeenstemming is met de gewenste risicobereidheid. De rapportage wordt opgesteld onder verantwoordelijkheid van de eerste lijn (uitvoerend bestuur) en de sleutelfunctiehouder risicobeheer geeft daarbij een risico-opinie. Deze rapportage wordt vier keer per jaar opgesteld en onder meer geagendeerd bij de vergaderingen van het uitvoerend bestuur, de ARC-commissie en het algemeen bestuur. Het algemeen bestuur stelt de risicorapportage vast.

In dit jaarverslag tonen we het risicobeeld uit de laatste integrale risicorapportage en lichten we de belangrijkste beoordelingen toe.

Bruto-risico’s en het actuele risicoprofiel uit integrale risicorapportage

Hierna geven wij een toelichting op de onderkende (zeer) hoge bruto risico’s op basis van onze risico taxonomie (voor toelichting zie bijlage 2 Risico taxonomie) en de risico’s waarbij het actuele risicoprofiel de risicobereidheid ­overschrijdt in het bijzonder. We maken hierbij onderscheid in strategische, financiële, operationele en compliance risico’s.

Strategisch risico’s

Binnen de strategische risico’s onderkennen we het draagvlak bij zowel deelnemers en werk­gevers als een (zeer) hoog bruto risico, waar wij de juiste maatregelen voor moeten inrichten om tot een risico te komen dat wij maximaal willen lopen. De wijze waarop we invulling hebben gegeven aan het beheersen van de onderkende (zeer) hoge risico’s beschrijven we o.a. in hoofdstukken Goed pensioen, nu en in de toekomst, Duurzaam en verantwoord beleggen en In verbinding met onze stakeholders, waarin wij beschrijven hoe wij zorgdragen voor een goed, betaalbaar, duurzaam en persoonlijk pensioen.

Met de introductie van het nieuwe pensioenstelsel is ook het bruto risico dat is gerelateerd aan het draagvlak van sociale partners verhoogd en weer vaker op de agenda gekomen van het bestuur. Hetzelfde geldt voor het risico van veranderende wet- en regelgeving. De wijze waarop we invulling hebben gegeven aan het beheersen van de onderkende (zeer) hoge bruto risico’s hebben we met name beschreven in paragraaf Op weg naar de nieuwe pensioen­regeling en in hoofdstuk In verbinding met onze stakeholders . De bruto risico’s zijn in 2023 opnieuw beoordeeld in een project RSA.

Daarnaast onderkennen wij ook een hoog bruto risico dat is gerelateerd aan het toezicht waaraan wij onderhevig zijn. We onderhouden daarom onder andere korte lijnen met toezichthoudende organen. De wijze waarop we verder invulling hebben gegeven aan het beheersen van deze onderkende (zeer) hoge risico’s hebben we beschreven in met name paragraaf Extern toezicht en in hoofdstuk In verbinding met onze stakeholders.

Eind 2023 overschrijdt het actuele risicoprofiel van enkele risico’s de risicobereidheid.

Wet- en regelgeving: Net voor de val van het kabinet werd de Wet toekomst pensioenen aangenomen in de Eerste Kamer. De winnaars van de verkiezingen (PVV, NSC en BBB) zijn criticasters van de WTP, hoewel zij onderling wel hele verschillende standpunten hebben. Het eerste debat over de stand van zaken van de implementatie van de WTP, aangevraagd door NSC, leidde vooralsnog niet tot gedragen wijzigingen van bestaande wetgeving. Het risico op wijzigingen, bijvoorbeeld door een initiatief- of verzamel­wet, is wel aanwezig. Dit risico wordt – in samenwerking met de Pensioenfederatie – goed gevolgd. Net als alle andere nationale en internationale wet- en regelgeving die zich nog ergens in de politieke pijplijn bevindt: waaronder bedrag ineens, verdeling van pensioen bij ­scheiding, Wesp, CSDDD, etc..

Toezicht: Bij de implementatie van de wet blijkt de interpretatie van pensioenuitvoerders, uit­voeringsorganisaties en toezichthouders niet altijd synchroon loopt. PME neemt deel aan het Toezichtsplatform dat dit risico kan mitigeren. De enorme druk bij DNB en AFM om alle transitieplannen en communicatieplannen te beoordelen kan leiden tot vertraging van het proces van ­tijdige implementatie van de nieuwe pensioen­regeling.

Financiële risico’s

We beschouwen alle financiële bruto risico’s als (zeer) hoge risico’s, met uitzondering van het risico dat is gerelateerd aan het actief beleggen binnen vermogensbeheer en het risico dat onjuiste grondslagen worden gehanteerd onder verzekeringstechnisch risico. Om deze (zeer) hoge risico’s te mitigeren is een heldere governance overeengekomen en zijn tal van (beheers)maatregelen ingericht om tot een risico te komen dat wij bereid zijn te lopen. In de beheersing van de financiële risico’s maken we overigens een onderscheid tussen het fondsniveau en het niveau van de uitbesteding. Zo zoeken we het marktrisico en het kredietrisico strategisch op om onze financiële doelstelling te kunnen realiseren, echter in de uitvoering hanteren we strikte risicokaders en is de risicobereidheid laag.

Meer informatie over de wijze waarop we hier invulling aan geven, hebben we beschreven in met name hoofdstuk Duurzaam en verantwoord beleggen, waarin achtereenvolgens een toe­lichting is opgenomen op onze beleggings­ambitie en doel, strategische kaders en beleid, beleggingsplan, etc. In dit hoofdstuk hebben we ook een toelichting gegeven op de uitgevoerde evaluaties en welke aanpassingen er in ons beleid zijn doorgevoerd mede vanwege deze uitgevoerde evaluaties. Het verzekeringstechnische risico is nader toegelicht in hoofdstuk Financiële situatie en resultaten 2023. Daar geven we onder meer een toelichting op onze risicohouding en de uitgevoerde haalbaarheidstoets.

Er zijn eind 2023 geen financiële risico’s, waarvan het actuele risicoprofiel de risicobereidheid overschrijdt.

De financiële risico’s vallen binnen de risico­bereidheid van PME, de bandbreedtes zijn vastgelegd in het beleggingsplan. In het beleggingsplan worden de geopolitieke risico’s en (inflatie)scenario’s beschreven, en wat de impact hiervan is op de beleggingskeuzes (normportefeuille) van PME. De normportefeuille, waaronder de op­hoging van de renteafdekking wordt momenteel geïmplementeerd. In januari is het eind­rapport van het IMVB Convenant gepubliceerd, en heeft PME een individuele terugkoppeling ontvangen. Hieruit is gebleken dat PME volledig aan de Convenantsverplichtingen voldoet. Hieruit kan opgemaakt worden dat ESG due diligence goed geïntegreerd is in het beleggingsproces van PME, waarmee het ESG risico wordt gemitigeerd. De drie financieel - verzekeringstechnische risico’s blijven binnen de risicobereidheid. De feitelijke premie van 27,98% van de pensioengrondslag bevat nog een flinke marge ten opzichte van de zuivere kostendekkende ­premie.

Operationele risico’s

We beschouwen binnen de operationele risico’s de risico’s ten aanzien van de uitbesteding van onze activiteiten gerelateerd aan pensioenbeheer en vermogensbeheer aan TKP respectievelijk MN als (zeer) hoge risico’s. Het betreft de risico’s ten aanzien van het uitvoeren van de uitbestede activiteiten en de beoordeling van de uitbesteding (middels SLA), de beoordeling van de AO/IB binnen de uitbestedingspartner, de continuïteit van de dienstverlening en van de bedrijfsvoering alsmede de afhankelijkheid die is ontstaan vanuit ons richting onze uitbestedingspartner.

Dit betreffen risico’ s waar wij de juiste maatregelen voor moeten inrichten om tot een risico te komen dat wij maximaal willen lopen. De wijze waarop we daar invulling aan geven hebben we beschreven in paragraaf Uitbesteding.

Ten slotte beschouwen wij ook het cybersecurity en informatie risico als (zeer) hoog. Ook op deze risico’s moeten we de juiste maatregelen inrichten om tot een risico te komen dat wij maximaal willen lopen. De wijze waarop we daar invulling aangeven met onze uitbestedingspartners hebben we beschreven in paragraaf Continuïteit en weerbaarheid en in paragraaf Uitbesteding.

Met de introductie van het nieuwe pensioenstelsel is ook het risico dat is gerelateerd aan de wendbaarheid van de uitbestedingspartij een risico dat inmiddels op een (zeer) hoog niveau wordt ingeschat. De wijze waarop we invulling geven aan de beheersing van dit risico, hebben we beschreven in met name paragrafen Belangrijkste bestuursbesluiten, De weg naar de nieuwe pensioenregeling en in de paragraaf ­Uitbesteding.

Bij de categorie Operationele risico’s liggen 12 van de 19 onderdelen (risico’s) buiten de ­risicobereidheid. De beoordeling van deze operationele risico’s heeft in een belangrijke mate betrekking op de operationele risico’s die zich bij de ketenpartners TKP en MN manifesteren. Wij beoordelen deze risico’s op basis van informatie die we halen uit de ontvangen rapportages en gesprekken, die we voeren op de verschillende niveaus met TKP en MN, hetgeen ook is beschreven in hoofdstuk Uitbesteding. De ­verschillen­de risico’s vanuit deze categorie ­kwalificeert PME als ‘stapelrisico’.

Compliance risico’s

We beschouwen de compliance risico’s niet als (zeer) hoge bruto risico’s.

De risico’s waarbij het actuele risicoprofiel eind 2023 de risicobereidheid overschrijdt betreffen:

Naleving wet- en regelgeving: Bij MN loopt voor wat betreft de naleving van Wwft en de Sanctiewet een verbeterplan. Wij hebben inmiddels inzicht gekregen in het project, dat nagenoeg is afgerond en waar veel verbeteringen zijn doorgevoerd. Het risico is daarmee sterk gereduceerd. Wij hebben inmiddels inzicht gekregen in het belangrijkste openstaande punt, namelijk de planning en prioritering van de KYR dossiers bij de externe vermogensbeheerders. Het risicoprofiel blijft nog op midden totdat het dossier formeel is afgerond.

Ten tweede heeft PME een externe gespecialiseerde partij, te weten AF Advisors, ingeschakeld om duurzaamheidsclaims van PME in het kader van SFDR en het Klimaatplan te laten toetsen. De uitkomsten geven geen reden tot urgente aanpassingen, maar bevatten wel een aantal verbeteringen die wij in onze communicatie uitingen kunnen doorvoeren. Deze verbeteringen hebben o.a. betrekking op het helder beschrijven van definities, verduidelijkingen in het SFDR-template en het rapporteren over de CO₂-uitstoot van alle relevante beleggings­categorieën.

Integriteit: Integriteitsrisico blijft onderdeel van de verbeterprogramma’s op compliance (wet­gevings-risico) en informatiebeveiliging bij MN. Een nieuwe SIRA van MN is ontvangen en besproken, maar heeft nog niet geleid tot ­aanpassing van de risicobeoordeling.

Meting volwassenheid integraal ­risicomanagement PME

In 2020 zijn wij binnen PME gestart met het structureel en continue verbeteren van het ­integraal risicomanagement. In 2021 zijn, in opdracht van de (toenmalige) sleutelfunctie­houder interne audit, door BDO twee audits uitgevoerd naar de opzet en het bestaan van het integraal risicomanagementraamwerk. In 2023 is een audit naar de werking van het risicomanagement binnen PME en de opvolging van de bevindingen uit de audit uit 2021 uitgevoerd. De focus van deze audit lag op de onafhankelijke validatie van het volwassenheidsniveau van het integraal risicomanagementraamwerk op werking.

De interne auditfunctie (IAF) concludeert na de audit dat het risicomanagement binnen PME verbeterd is sinds de vorige audit in 2021 en dat het inmiddels een integraal onderdeel van de werkzaamheden binnen het fonds is. Het risico­management is de afgelopen jaren volwassener geworden en de kwaliteit van de rapportages is verbeterd. Tegelijkertijd wordt de werking van de risicomanagementcyclus door de IAF nog niet volledig effectief bevonden. De IAF deed in 2023 een zestal aanbevelingen (vier met prioriteit midden en twee met prioriteit laag). De aanbevelingen zien met name toe op het in de ­praktijk (tijdig) uitvoeren van evaluaties en updates waardoor aantoonbare structurele bijsturing kan plaatsvinden.

Eigenrisicobeoordeling (ERB)

Ten minste eenmaal per drie jaar moeten pen­sioenfondsen een eigenrisicobeoordeling (ERB) uitvoeren. Een ERB vergroot en verdiept het zicht op materiële risico’s en de samenhang daartussen. In 2023 startten wij daarom een nieuw proces om te komen tot een nieuwe ERB. Eind 2020/begin 2021 voerden wij voor het eerst een ERB uit. Dit proces was pionieren en ontdekken. Er kon slechts in beperkte mate worden gesteund op uitgevoerde risicoanalyses. Het was een top-down-proces, waarbij vanaf het hoogste (strategische) niveau de risico’s werden geïdentificeerd.

Bij de totstandkoming van de ERB in 2023 is een geheel ander proces gevolgd; met juist een bottom-up aanpak. In de afgelopen jaren zijn door ons verschillende (risico)analyses uitgevoerd op verschillende deelonderwerpen, hebben audits plaatsgevonden en is een periodieke risicorapportage ingesteld. Al deze documenten vormden de inbreng voor de ERB.

De ERB brengt de inzichten van verschillende analyses samen. De risico’s die daarbij aan het licht komen, zijn reeds bekend. De risicoanalyses zijn eerder gedeeld met het algemeen bestuur en andere gremia van het fonds, ofwel er is over de opgedane inzichten gerapporteerd via risico- en verantwoordings-rapportages. Wel nieuw is dat alle risico’s integraal worden samengebracht in één overzicht. Dit kan nieuwe inzichten geven over het totale risiconiveau en/of over de onderlinge samenhang van de risico’s.

De overall conclusie van de ERB is dat PME de afgelopen jaren een (nog) beter zicht heeft gekregen op de risico’s waaraan het onderhevig is. Alles overziende zijn er veel risico’s waarvan het netto risico hoger is dan de risicobereidheid. Met grote aantallen risico’s schuilt het gevaar van een versterkend effect waarbij de manifestatie van het ene risico leidt tot de manifestatie van het andere risico. Dit ‘stapelrisico’ kan zorgen voor een ‘manifestatielawine’. Het hoge risico­niveau is inherent aan de veranderingen die er thans zijn met de implementatie van een nieuw pensioenstelsel. Het zwaartepunt van de risico’s heeft dan ook betrekking op de thema’s ‘Operationeel’ en ‘Wtp’, en daarbij geldt dat veel risico’s een relatie hebben met de uitbesteding van dienstverlening aan TKP en MN.

Met zoveel risico’s is te verwachten dat risico’s zich manifesteren. Niet alles zal goed gaan. Hiermee moet rekening worden gehouden. Er moet derhalve voldoende ruimte in de planning zijn om tegenvallers op te vangen. Om TKP, MN en onszelf in staat te stellen zoveel mogelijk energie te stoppen in de implementatie van het nieuwe pensioenstelsel stellen we vast dat wij voorlopig niet veel aanvullende wensen (‘nice to haves’) bij onze uitvoerders moeten beleggen en onze interne organisatie verder op orde moeten brengen en houden.

Met het actuele hoge risiconiveau is de kans groot dat niet alle strategische doelstellingen worden behaald. De netto risico’s buiten de risicobereidheid zijn door het bestuur geaccepteerd. De mogelijkheden tot verdere beheersing van de risico’s zijn beperkt. Als additionele activiteit wordt monitoring van de ontwikkelingen en risico’s ingezet. Dit verlaagt de risico’s niet, maar hiermee wordt wel een nadrukkelijke vinger aan de pols gehouden. Zo kan tijdig worden ingegrepen en/of bijgestuurd als dat nodig is.

De eindrapportage ERB is in het eerste kwartaal van 2024 afgerond en vastgesteld door het algemeen bestuur. DNB ontving de eindrapportage in maart 2024. De conclusies en aanbevelingen naar aanleiding van het opstellen van de ERB worden ook gedeeld met het verantwoordingsorgaan van PME. De ARC-commissie ­monitort de opvolging van de aanbevelingen.