Stichting Pensioenfonds SCA Jaarverslag 2015
28
deelnemers (stakeholders), of dat door verkeerde
zorgplicht (voorlichting) verkeerde besluiten genomen
zijn waardoor deelnemers onevenredig nadeel
ondervinden of hebben ondervonden.
Het fonds wil geen zorgplichtrisico lopen en streeft
ernaar dat stakeholder optimaal geïnformeerd zijn door:
- Streven naar glasheldere toelichting dan wel
voorlichting, mede via helder en duidelijk taalgebruik
- Managen van verwachtingen met publicaties via
website dan wel andere media voorlichting
- Overeenkomsten met deelnemer voor kritische
afspraken alleen uitvoeren na schriftelijk ondertekende
opdracht (bevestiging). Oordeel: In beginsel adequaat.
Echter, zorgplicht is een breed begrip en op sommige
vlakken een 'open norm'. Dit vraagt aanvullend
onderzoek.
Ad 5 IT risico
Het risico dat bedrijfsprocessen en informatievoorziening
- Onvoldoende correct en/of integer zijn
- Onvoldoende continue zijn
- Onvoldoende beveiligd zijn
Systemen dienen correct en integer te zijn, continu
beschikbaar en voldoende beveiligd te zijn. Vrijwel alle
processen als pensioenadministratie, premieberekening
en vermogensbeheer lopen via IT-systemen van de
werkgever, de directie, AZL, MN, ABN Amro en de
verzekeraar.
NB. Risico’s met betrekking tot cybercrime zijn nader
geanalyseerd als onderdeel van 'integriteits-risico's.
Op hoofdlijnen zijn dit checks en balances van
betreffende partijen en diverse AO/IC processen die
periodiek worden gemonitord en die worden
gerapporteerd. Meer specifiek:
- Formuleren informatiebeveiligingsbeleid en plan
- Beoordeling IT door externen
- (Check op) Periodieke uitwijktest
- Beveiliging netwerk/Back-up tests
- Risicoanalyse op verlies/diefstal
- Uitwijkmogelijkheden (zoals thuiswerken) bij
calamiteiten
Externe dienstverleners hebben deze checks en balances
georganiseerd, welke gerapporteerd worden via ISAE
3402 verklaringen, etc, waardoor het risico laag is.
Echter, het bestuur en de directie zouden met
systematische inventarisatie meer controle kunnen
uitoefenen. Dan is ook beter in te schatten hoe het gesteld
is met de continuïteit en beveiliging in geval van
(extreme) calamiteiten. Oordeel: gemiddeld risico. Er
dient meer inzicht en zekerheid te zijn voor de drie aparte
IT-risico elementen voor de interne en externe
dienstverleners, actiepunt 2016.
Ad 6 Communicatie risico
Risico op onvoldoende of onduidelijke communicatie.
Communicatie moet voldoen aan de Pensioenwet en ruim
voldoende zijn om niet andere risico's te creëren. Er zijn
uitvoeringsafspraken met dienstverlener AZL;
Nauwkeurige monitoring en overleg met en tussen
bestuur en directie voor verbeteringen. Oordeel: laar
risico.
Ad 7 Uitbestedingsrisico’s
Er zijn 12 uitbestedingsrisicocategorieën:
Uitbestedingsbeleid (2x)
Keuze van externe partij (3x)
Governance en monitoring van uitbestedingsrelatie
(5x)
Evaluatie van uitbestedingsrelatie (2x)
Op al deze gebieden wenst het bestuur deze risico’s
zoveel mogelijk te mitigeren. Door diverse
beheersmaatregelen zoals in detail beschreven in de IRM
wordt dat gerealiseerd. De overblijvende netto risico’s
zijn derhalve laag. Oordeel: laag risico.
11.4 Integriteitsrisico’s (IR)
Conform de DNB vereiste voor de systematische analyse
van deze risico’s zijn er 9 hoofdrisicocategorieën met
diverse subcategorieën:
IR 1
Belangenverstrengeling (5x subcategorie)
IR2
Corruptie
IR 3
Cybercrime (4x)
IR 4
Fraude (2x)
IR 5
Gedrag
IR 6
Manipulatie voorkennis
IR 7
Omzeilen sanctiewetgeving
IR 8
Ontduiking fiscale regels
IR 9
Witwassen en of financiering terrorisme.
In de IRM analyse is gebleken dat de brutorisico’s (de
aanvangsrisico’s) van de integriteitsrisico’s met impact
op de dekkingsgraad laag zijn tot maximaal gemiddeld
hoog. Met de in detail beschreven mitigerende
maatregelen, veelal vastgelegd in de statuten,
uitvoeringsovereenkomsten en met name de gedragscode,
worden alle risico’s gemitigeerd tot lage risico’s.
Oordeel: laag risico.
In de jaarrekening van dit verslag
Paragraaf 16.6
worden voor de wettelijke FTK factoren numerieke
schattingen gegeven.
