Operationeel risicomanagement

De risico’s kennen is het eerste waar het om gaat. Operationeel gezien gaat het om risico’s die een pensioenfonds wil nemen (op het gebied van beleggingen) of juist wil vermijden of mitigeren (op het gebied van bedreigingen). De samenhang van deze twee uitersten is van belang. Hoewel de werkzaamheden die risico’s opleveren meestal worden uitbesteed, blijft het bestuur verantwoordelijk hiervoor.  Er is steeds meer behoefte om zekerheid te krijgen over operationele processen, zowel qua opzet, als qua werking.
operationeel risicomanagement

Operationeel risicomanagement

In historisch perspectief zien we een duidelijke ontwikkeling van een focus op de financiële risico’s naar een focus op de operationele risico’s. Adequaat integraal risicomanagement verlangt dat beide soorten risico’s in onderlinge samenhang worden beschouwd.

Bij het managen van risico’s is het nuttig om onderscheid te maken tussen enerzijds risico’s die worden opgezocht en anderzijds risico’s die ongewenst maar onvermijdbaar zijn. Zo worden beleggingsrisico’s opgezocht, omdat deze naar verwachting profijtelijk zijn. Het omgekeerde geldt voor risico’s verbonden aan de uitvoering van kernactiviteiten. Onder deze laatstgenoemde risico’s valt operationeel risico, oftewel het risico op verliezen door inadequate of falende interne processen, door personeel, door systemen of door externe gebeurtenissen. Hoewel de operationele activiteiten in de regel worden uitbesteed, blijft het fondsbestuur daar wel eindverantwoordelijk voor en zal het dus de regie moeten voeren. Voorwaarde voor borging dat het bestuur adequaat wordt geïnformeerd over operationeel risico, is een goede functiescheiding. Dat wil zeggen een duidelijke en passende scheiding van verantwoordelijkheden en heldere rapportagelijnen.

‘Er is steeds meer behoefte om over de operationele processen zekerheid te verkrijgen, zowel qua opzet en bestaan als qua werking.’

In het financieel toetsingskader wordt operationeel risico expliciet als negende risicofactor (S9) genoemd. Standaard hoeven fondsen voor S9 geen vereist vermogen aan te houden, omdat verondersteld wordt dat het operationeel risico dusdanig wordt beheerst dat het niet materieel is. Er is steeds meer behoefte om over de operationele processen zekerheid te verkrijgen, zowel qua opzet en bestaan als qua werking. Zo is bijvoorbeeld in de IORP II-richtlijn expliciet vastgelegd dat in de zogenoemde eigenrisicobeoordeling de effectiviteit van het beheer van operationeel risico kwalitatief moet worden beoordeeld. Ook mogen werkzaamheden niet worden uitbesteed als daardoor het operationeel risico onnodig toeneemt of indien de continuïteit en de toereikendheid van de dienstverlening aan deelnemers wordt ondermijnd. Om tegemoet te komen aan deze eisen is het nodig om systematisch operationele bevindingen te detecteren, vast te leggen en te adresseren. Zo ontstaat beter inzicht in de mate waarin operationele incidenten gevolgen kunnen hebben voor de mogelijkheid van het fonds om aan zijn verplichtingen te voldoen.

Ook naar buiten toe zal het fonds (meer) openheid van zaken moeten geven over de wijze waarop wordt omgegaan met operationele risico’s. Zo dient het fonds in de risicoparagraaf in het bestuursverslag op hoofdlijnen te beschrijven welke bereidheid het heeft om operationele risico’s al dan niet te beheersen. Het zal vaak nodig zijn rekening te houden met de proportionaliteit, want beheersing is vanzelfsprekend geen doel op zich: de baten moeten opwegen tegen de kosten.

 

Over de auteur
Alwin Oerlemans
APG

Dilemma's

  • Hoe ga je om met integriteitsrisico’s?
  • Op welke wijze laat je (het beheersen van) operationele risico’s terugkomen in het jaarverslag?
  • Is het mogelijk om operationele risico’s te kwantificeren?
  • Hoe bespreek je operationele risico’s met je stakeholders, zoals VO en intern toezicht?