Stichting Pensioenfonds SCA Jaarverslag 2016
26
Het fonds wil geen zorgplichtrisico lopen en streeft
ernaar dat stakeholder optimaal geïnformeerd zijn door:
- Streven naar glasheldere toelichting dan wel
voorlichting, mede via helder en duidelijk taalgebruik
- Managen van verwachtingen met publicaties via
website dan wel andere media voorlichting
- Overeenkomsten met deelnemer voor kritische
afspraken alleen uitvoeren na schriftelijk ondertekende
opdracht (bevestiging). Oordeel: In beginsel adequaat.
Echter, zorgplicht is een breed begrip en op sommige
vlakken een 'open norm'. Dit vraagt aanvullend
onderzoek. Op basis van deze zorgplicht is in 2016 de
DC life-cycle belegging voor >60 jaar aangepast (zie
Hoofdstuk 7 vermogensbeheer
)
Ad 5 IT risico
Het risico dat bedrijfsprocessen en informatievoorziening
- Onvoldoende correct en/of integer zijn
- Onvoldoende continue zijn
- Onvoldoende beveiligd zijn
Systemen dienen correct en integer te zijn, continu
beschikbaar en voldoende beveiligd te zijn. Vrijwel alle
processen als pensioenadministratie, premieberekening
en vermogensbeheer lopen via IT-systemen van de
werkgever, de directie, AZL, MN, ABN Amro en de
verzekeraar.
NB. Risico’s met betrekking tot cybercrime zijn nader
geanalyseerd als onderdeel van 'integriteits-risico's.
Op hoofdlijnen zijn dit checks en balances van
betreffende partijen en diverse AO/IC processen die
periodiek worden gemonitord en die worden
gerapporteerd. Meer specifiek:
- Formuleren informatiebeveiligingsbeleid en plan
- Beoordeling IT door externen
- (Check op) Periodieke uitwijktest
- Beveiliging netwerk/Back-up tests
- Risicoanalyse op verlies/diefstal
- Uitwijkmogelijkheden (zoals thuiswerken) bij
calamiteiten
Externe dienstverleners hebben deze ‘checks and
balances’ georganiseerd, welke gerapporteerd worden via
ISAE 3402 verklaringen, etc, waardoor het risico laag is.
Echter, het bestuur en de directie zouden met
systematische inventarisatie meer controle kunnen
uitoefenen. Dan is ook beter in te schatten hoe het gesteld
is met de continuïteit en beveiliging in geval van
(extreme) calamiteiten. Oordeel: gemiddeld risico. Er
dient meer inzicht en zekerheid te zijn voor de drie aparte
IT-risico elementen voor de interne en externe
dienstverleners, actiepunt 2016. In 2016 is onderzocht
hoe dit risico via een beleidsdocument verder
gemitigeerd kan worden. Naar verwachting komt voor
eind 2017 een concept beschikbaar.
Ad 6 Communicatie risico
Risico op onvoldoende of onduidelijke communicatie.
Communicatie moet voldoen aan de Pensioenwet en ruim
voldoende zijn om niet andere risico's te creëren. Er zijn
uitvoeringsafspraken met dienstverlener AZL;
Nauwkeurige monitoring en overleg met en tussen
bestuur en directie voor verbeteringen. Oordeel: laar
risico.
Ad 7 Uitbestedingsrisico’s
Er zijn 12 uitbestedingsrisicocategorieën:
Uitbestedingsbeleid (2x)
Keuze van externe partij (3x)
Governance en monitoring van uitbestedingsrelatie
(5x)
Evaluatie van uitbestedingsrelatie (2x)
Op al deze gebieden wenst het bestuur deze risico’s
zoveel mogelijk te mitigeren. Door diverse
beheersmaatregelen zoals in detail beschreven in de IRM
wordt dat gerealiseerd. De overblijvende netto risico’s
zijn derhalve laag. Oordeel: laag risico.
11.4 Integriteitsrisico’s (IR)
Conform de DNB vereiste voor de systematische analyse
van deze risico’s zijn er 9 hoofdrisicocategorieën met
diverse subcategorieën:
IR 1
Belangenverstrengeling (5x subcategorie)
IR 2
Corruptie
IR 3
Cybercrime (4x)
IR 4
Fraude (2x)
IR 5
Gedrag
IR 6
Manipulatie voorkennis
IR 7
Omzeilen sanctiewetgeving
IR 8
Ontduiking fiscale regels
IR 9
Witwassen en of financiering terrorisme
In de IRM analyse is gebleken dat de brutorisico’s (de
aanvangsrisico’s) van de integriteitsrisico’s met impact
op de dekkingsgraad laag zijn tot maximaal gemiddeld
hoog. Met de in detail beschreven mitigerende
maatregelen, veelal vastgelegd in de statuten,
uitvoeringsovereenkomsten en met name de gedragscode,
worden alle risico’s gemitigeerd tot lage risico’s.
Oordeel: laag risico.
