Jaarverslag 2018, Stichting Pensioenfonds Essity

Stichting Pensioenfonds Essity Jaarverslag 2018 23 Het fonds hecht grote waarde aan goede contracten. Hiertoe zoekt zij specialisten ter beoordeling en afstemming van de contracten. De primaire opzet van de contracten is om als bestuur in controle te zijn dan wel waar te maken dat zij via rapportages etc. in controle is op afstand. Contracten zijn met hoogste mogelijk juridische precisie opgezet. Contracten worden zorgvuldig beheerd en zijn daar waar mogelijk afdwingbaar. Met recente aanpassingen in wet- en regelgeving zijn veel contracten dan wel documenten vernieuwd en toekomstbestendig gemaakt. Contracten zijn veelal begrijpelijk en altijd ondertekend voor geldigheid door twee bestuurders. Er geldt altijd minstens een vierogenprincipe voor ondertekening en veelal bestuursbesluiten voor akkoord. Contracten zijn goed beschikbaar en kunnen al naar gelang de aanleiding met voldoende deskundigheid worden geëvalueerd dan wel aangepast. Oordeel: laag risico. Ad 4 Juridisch risico, Zorgplicht risico Het risico dat de zorgplicht niet goed is uitgevoerd waardoor verkeerde verwachtingen zijn gewekt bij deelnemers (stakeholders), of dat door verkeerde zorgplicht (voorlichting) verkeerde besluiten genomen zijn waardoor deelnemers onevenredig nadeel ondervinden of hebben ondervonden. Het fonds wil geen zorgplichtrisico lopen en streeft ernaar dat stakeholder optimaal geïnformeerd zijn door: - Streven naar glasheldere toelichting dan wel voorlichting, mede via helder en duidelijk taalgebruik; - Managen van verwachtingen met publicaties via website dan wel andere media voorlichting; - Overeenkomsten met deelnemer voor kritische afspraken alleen uitvoeren na schriftelijk ondertekende opdracht. (bevestiging). Oordeel: laag risico. Ad 5 IT risico Het risico dat bedrijfsprocessen en informatievoorziening - Onvoldoende correct en/of integer zijn - Onvoldoende continue zijn - Onvoldoende beveiligd zijn Systemen dienen correct en integer te zijn, continu beschikbaar en voldoende beveiligd te zijn. Vrijwel alle processen als pensioenadministratie en actuariële controle lopen via de AZL systemen. Vermogensbeheer wordt uitgevoerd door MN en de Beschikbare premieregeling door ABN Amro en AZL. Tenslotte loopt de herverzekering van overlijden en arbeidsongeschiktheid via Elips Life. NB. Risico’s met betrekking tot cybercrime zijn nader geanalyseerd als onderdeel van 'integriteits-risico's. Op hoofdlijnen zijn dit checks en balances van betreffende partijen en diverse AO/IC processen die periodiek worden gemonitord en die worden gerapporteerd. Meer specifiek: - Formuleren informatiebeveiligingsbeleid en plan - Beoordeling IT door externen - (Check op) Periodieke uitwijktest - Beveiliging netwerk/Back-up tests - Risicoanalyse op verlies/diefstal - Uitwijkmogelijkheden (zoals thuiswerken) bij calamiteiten Externe dienstverleners hebben deze ‘checks and balances’ georganiseerd, welke gerapporteerd worden via ISAE 3402 verklaringen, waardoor het risico laag is. Echter, er zijn extreem veel ontwikkeling in IT alsook de toegenomen risico van cybercrime. Het bestuur en directie proberen jaarlijks haar controle en inzicht in deze IT-risico’s te verbeteren. Oordeel: gemiddeld risico. In 2017 heeft het fonds het contract en de SLA met AZL gemoderniseerd en up-to-date gemaakt. In het kader van IT- beheersing, alsmede de Algemene Verordening Gegevenbescherming (AVG) zijn diverse nieuwe bepalingen opgenomen ter borging en nakoming. Tevens heeft het fonds extra inspanning verricht in overleg met AZL voor beoordeling van AZL IT-systemen. Mede op basis van een met succes afgelegde COBIT-controle (voor een ander bij AZL aangesloten fonds) heeft het bestuur zich overtuigd van in ‘control’ van AZL op IT. Desalniettemin heeft het bestuur in 2018 AZL wederom verzocht meer inspanning te leveren over controleerbaarheid van IT-processen via oftewel extra toelichting in de ISAE rapportage en/of via ter beschikkingstelling van generieke COBIT-analyse. Ad 6 Communicatie risico Risico op onvoldoende of onduidelijke communicatie. Communicatie moet voldoen aan de Pensioenwet en ruim voldoende zijn om niet andere risico's te creëren. Er zijn uitvoeringsafspraken met dienstverlener AZL; Nauwkeurige monitoring en overleg met en tussen bestuur en directie voor verbeteringen. Oordeel: laag risico. Ad 7 Uitbestedingsrisico’s Er zijn 12 uitbestedingsrisicocategorieën: • Uitbestedingsbeleid (2x) • Keuze van externe partij (3x) • Governance en monitoring van uitbestedingsrelatie (5x) • Evaluatie van uitbestedingsrelatie (2x) Op al deze gebieden wenst het bestuur deze risico’s zoveel mogelijk te mitigeren. Door diverse beheersmaatregelen zoals in detail beschreven in de IRM wordt dat gerealiseerd. De overblijvende netto risico’s zijn derhalve laag. Oordeel: laag risico. 11.4 Integriteitsrisico’s (IR) Conform de DNB vereiste voor de systematische analyse van deze risico’s zijn er 9 hoofdrisicocategorieën met diverse subcategorieën: IR 1 Belangenverstrengeling (5x subcategorie) IR 2 Corruptie IR 3 Cybercrime (4x) IR 4 Fraude (2x) IR 5 Gedrag IR 6 Manipulatie voorkennis IR 7 Omzeilen sanctiewetgeving IR 8 Ontduiking fiscale regels IR 9 Witwassen en/of financiering terrorisme In de IRM analyse is gebleken dat de brutorisico’s (de aanvangsrisico’s) van de integriteitsrisico’s met impact op de dekkingsgraad laag zijn tot maximaal gemiddeld hoog. Met de in detail beschreven mitigerende maatregelen, veelal vastgelegd in de statuten, uitvoeringsovereenkomsten en met name de gedragscode, worden alle risico’s gemitigeerd tot lage risico’s. Oordeel: laag risico.