Jaarverslag 2021, Stichting Pensioenfonds Essity

Stichting Pensioenfonds Essity Jaarverslag 2021 19 11 Risicomanagement en audit (beheerste en integere bedrijfsvoering) 11.1 Samenvatting Ter waarborging van een beheerste en integere bedrijfsvoering wordt het risicomanagement op het niveau van het voltallige bestuur en directie uitgevoerd (het pensioenfonds) op basis van haar eigen Integraal Risico Management, IRM . Op het terrein van de beleggingsrisico’s laat het pensioenfonds zich bijstaan door de investeringscommissie. Voor zover werkzaamheden aan derde partijen zijn uitbesteed, heeft het pensioenfonds zich ervan vergewist dat deze partijen hun eigen risicomanagementsysteem hebben, een en ander periodiek controleren en de risicobeheersing in hun rapportages aan het bestuur meenemen. Het pensioenfonds heeft met de betrokken partijen voorts enkele, adequate instrumenten contractueel vastgelegd om zijn verantwoordelijkheid met betrekking tot het risicomanagement te kunnen waarmaken. Voorts vindt bij het bepalen en wijzigen van het beleid, alsmede bij de belangrijkste besluiten die het pensioenfonds neemt, steeds een risico- en belangenafweging plaats. Deze afweging wordt in de vergaderverslagen vastgelegd en zo nodig met belanghebbenden gecommuniceerd. De hiervoor bedoelde werkwijze borgt het scheppen en in stand houden van een cultuur van risicobewustzijn. Sleutelfunctiehouder Risicobeheer Het bestuur en directie zijn verantwoordelijk voor het eerstelijnsrisicobeheer. De Sleutelfunctiehouder risicobeheer controleert onder meer de beheersing van de risico’s en adviseert het pensioenfonds vanuit zijn tweedelijnsverantwoordelijkheid. IRM-methodiek Het pensioenfonds heeft in eigendom het systematisch Integraal Risico Management (IRM) ontwikkeld. Deze IRM omvat het beleid- en de risicoanalyse tegelijk. De IRM wordt door het jaar heen door de sleutelfunctiehouder risicobeheer actueel gehouden en ultimo jaareinde als een verklaring vastgesteld. De IRM is tevens de basis voor de kwartaalanalyses voor de Sleutelfunctiehouder risicobeheer. De IRM staat tevens centraal voor de auditprocessen. De IRM is een 360 graden beleids- en risicoanalyse. In de IRM worden de risico’s geïdentificeerd en geanalyseerd, worden risicomitigerende maatregelen benoemd en de eindrisico’s worden beoordeeld. Actiepunten worden geïdentificeerd. De IRM methodiek is gebaseerd op: (1) analyse bruto risico’s (met kwantificering daarvan), (2) bepaling risico-acceptatieniveau, (3) beschrijving mitigerende maatregelen en (4) bepaling overblijvend (netto) risico, (5) bepaling of dit risico valt binnen het nettorisicoacceptatieniveau en (6) bepaling eventuele actiepunten. Het netto risico wordt kwantitatief bepaald en is een vermenigvuldiging van kans op het overblijvende risico na de mitigerende maatregelen keer de impact van het risico op de dekkingsgraad van het fonds. Zo wordt een eenduidig en vergelijkbare risicomaatstaf voor alle risico’s benaderd. Bij de IRM zijn alle risico’s gecategoriseerd in vier hoofdrisicogroepen met diverse subgroepen. In onderstaande tabel wordt de IRM en de uitkomsten samengevat. De belangrijkste conclusies en uitkomsten van de IRM zijn: - Hoge, netto risico’s (rood) kunnen het gevolg zijn van de risicoambitie van het bestuur, zoals bij keuze voor risicovolle beleggingen als aandelen om rendement te behalen. Een andere reden kan zijn dat deze risico’s minder goed te sturen zijn, zoals politieke wetgeving. In deze categorie staat het risico van benchmarkkeuze wel open en is aandachtpunt. - Geïdentificeerde gemiddelde risico’s (geel) betreffen risico’s als gedeeltelijke renteafdekking, reservetekort, en het risico van onvoorspelbaarheid van maatregelen van de toezichthouders. - De meeste risico’s zijn met de mitigerende maatregelen laag. Juridische risico’s als zorgplichtrisico’s zijn laag, maar documenten dienen continu beoordeeld te worden op compleetheid en juridische toereikendheid. - Integriteitsrisico’s zijn onderdeel van de IRM en zijn op basis van DNB analysesystematiek geanalyseerd. De brutorisico’s zijn laag met uitzondering van de Cybercrime risico’s. De nettorisico’s zijn klein. - Algemeen: uit de IRM-analyse blijkt dat mitigerende maatregelen zijn beschreven en veelal zijn geborgd in diverse documenten als statuten, pensioenreglementen, uitvoeringsovereenkomsten overige reglementen als gedragscode, het governancereglement, contracten, SLA’s, rapportage-eisen, monitoring etc. De onderlinge context, mede in relatie tot risicomanagement, staat beschreven in de ABTN. De IRM wordt jaarlijks geagendeerd en de sleutelfunctiehouder risicobeheer brengt per kwartaal zijn rapportage uit met actuele risico’s en gewenste maatregelen. Toelichting IRM Een toelichting van de IRM risicohoofdcategorieën/ subcategorieën en een samenvatting van de mitigerende maatregelen wordt hierna gegeven. Specifieke ontwikkelingen risico in 2021 Stichting Pensioenfonds Essity IRM samenvatting Hoofdcategorie Subcategorie netto risico aantal Accep- AP tabel? 1 Financiele risico's FR1 Kernzaken (9) 6 1 2 ja 0 FR2 FTK factoren (8) 6 1 1 ja 0 FR3 Overige (7) 5 2 ja 0 2 Niet financiele risico's NFR1 Bestuur(5) 5 ja 0 NFR2 Omgeving (1) 1 ja 0 NFR3 Operationeel (1) 1 ja 0 NFR4 Juridisch (1) 1 ja 0 NFR5 IT (1) 1 ja 0 NFR6 Zorgpl. Comm. (2) 1 1 ja 0 3 Integriteitsrisico's IR1 Belangenverst. (15) 15 ja 0 IR2 Corruptie (1) 1 ja 0 IR3 Cybercrime (4) 4 ja 0 IR4 Fraude (2) 2 ja 0 IR5 Gedrag (1) 1 ja 0 IR6 Voorkennis (1) 1 ja 0 IR7 Sanctie wet (1) 1 ja 0 IR8 Fiscus (1) 1 ja 0 IR9 Witwassen (1) 1 ja 0 4 Uitbestedingsrisico's UBR1 Univ. uitbest. r.(19) 19 ja 0 ALZ1 Spec. R. - AZL (2) 2 ja 0 MN1 Spec. R. MN (2) 2 ja 0 BR1 Spec. R. BR (3) 3 ja 1 EL1 Spec. R. ElipsLife (2) 2 ja 0 WG1 Spec. R. Wg (1) 1 ja 0 AP is actiepunt FIRMrisicokwalificatie: kans en impact zijn laag, het risico is acceptabel met impact op dekkingsgraad met circa max 2%-3%-punt idem, gemiddeld, het risico vereist naderonderzoek en eventueel (aanvullende) maatregelen. Potentiele impact op dekkingsgraad circa 2%-5% punt Idem, Ook na het nemen van eventuele mitigierende maatregelen is het risico hoog. Gegeven de risico-appetite van het bestuurneemt het bestuurnadere maatregelen tenzij het risico be Potentiele negatieve impact op de dekkingsgraad >5%-punt