Iorp ii en de verplichte interne auditfunctie
De afgelopen 10 jaar zijn de eisen waaraan pensioenfondsen moeten voldoen al enorm toegenomen. Met de invoering van de IORP II Richtlijn in de Nederlandse wet, komen er weer nieuwe verplichtingen bij. De verplichting “moet van Europa” en wordt thans vooral als een extra compliancelast ervaren.
Invoering van iorp ii
De afgelopen 10 jaar zijn de eisen waaraan pensioenfondsen moeten voldoen al enorm toegenomen. Met de invoering van de IORP II Richtlijn in de Nederlandse wet, komen er weer nieuwe verplichtingen bij. De verplichting “moet van Europa” en wordt thans vooral als een extra compliancelast ervaren. “Moeten” is niet leuk en draagt niet meteen bij aan een inherente motivatie om ermee aan de slag te gaan, maar wellicht kunnen we u een beetje helpen. Laten we beginnen met het begin.
Met name de inrichting van de interne auditfunctie roept bij veel pensioenfondsen vragen op zoals wat, wie en hoe ?
De interne auditfunctie
In artikel 26 van de IORP II richtlijn is de belangrijkste doelstelling voor de IAF vastgelegd: “In het kader van de interne auditfunctie wordt onder meer geëvalueerd of het interne controle¬systeem en andere onderdelen van het vastgelegde governancesysteem, in voorkomend geval met inbegrip van de uitbestede werkzaamheden, adequaat en doeltreffend zijn”.
Een belangrijke algemene randvoorwaarde daarbij is dat de interne auditfunctie onafhankelijk moet zijn van andere functies en in beginsel ook van de bijdragende onderneming (artikel 24 lid 2 en lid 3). Er moet een schriftelijk vastgelegde beleidslijn zijn voor de interne audit (artikel 21 lid 3) en voor personen die de interne auditfunctie vervullen geldt dat hun beroepskwalificaties, -kennis en -ervaring moeten volstaan om de functie naar behoren te vervullen.
Op dit moment worden de wijzigingen van de betreffende wetten, waaronder de Pensioenwet, in de Tweede Kamer besproken, maar vanwege de uiterlijke invoeringsdatum van 13 januari 2019, kunnen pensioenfondsen niet afwachten hoe de wetgeving uiteindelijk zal worden geïmplementeerd. Gelukkig biedt de Richtlijn zelf voldoende aanknopingspunten.
Onlangs heeft DNB in een tweetal sessies ook haar visie gepresenteerd. Deze visie maakt het er overigens niet makkelijker op. Omdat DNB het belangrijk vindt dat de sleutelfunctiehouder “voldoende status en autoriteit” heeft, ligt het volgens de toezichthouder voor de hand dat dit een bestuurder moet zijn. Hoe DNB dit in praktische zin ziet is nog onduidelijk. Een bestuurder is immers ook en primair bestuurder en niet onafhankelijk, maar juist verantwoordelijk voor het beleid. In kleine besturen wordt het daarmee wel erg lastig om alle “petten” goed te verdelen.
Wie is uw interne auditor?
Zoals geschetst moet de interne auditor voldoende status en autoriteit hebben, maar tevens voldoen aan geschiktheidseisen, of zoals de richtlijn het stelt: beroepskwalificaties. Uiteraard zijn er situaties denkbaar waarin dit in het bestuur kan worden opgelost, maar in het algemeen lijkt ons dit een te grote uitdaging.
Laten we het daarom simpel houden: de bestuurder bestuurt en de auditor controleert (en rapporteert daarover). In de verzekeringsindustrie is het volkomen gebruikelijk dat de interne auditfunctie door de kleinere en sommige middelgrote verzekeraars wordt uitbesteed aan gespecialiseerde niche partijen. Het lijkt ons dat dit model ook prima toegepast kan worden bij pensioenfondsen. Het is immers moeilijk voor te stellen dat de interne audit van het fonds zelf een fulltime baan vereist.
In gesprekken met pensioenfondsen merken we dat deze richting ook past in de denkrichting van de wat grotere fondsen. De vereiste status en autoriteit van de interne auditor stelt uiteraard eisen aan de ervaring en beroepskwalificaties van de interne auditor en eisen aan het bestuur, namelijk dat ze de rapportages voldoende ernstig nemen. Aan deze voorwaarden kan in het algemeen prima worden voldaan.
Hoe doet die auditor het?
Laten we vooropstellen dat ‘interne audit’ ook een vak is. Het vakgebied heeft met het IIA een beroepsvereniging die werkt met internationale beroepsstandaarden, opleidingen, titels en meer. Uw interne auditor zal in elk geval willen voldoen aan zijn beroepsstandaarden betreffende de kwaliteitsbewaking en invulling willen geven aan zijn verantwoordelijkheid zoals vastgelegd in artikel 26 van de Richtlijn.
Hoe de interne auditor binnen uw organisatie te werk zal gaan is sterk afhankelijk van de aard, omvang en complexiteit van uw organisatie. In een situatie waarin alles in hoge mate is uitbesteed zijn de beheersprocessen van het fonds veel beperkter dan in een situatie waarin sprake is van een eigen pensioenadministratie, een eigen financiële administratie en wellicht een aantal rechtstreekse beleggingen.
Het stapelen of overdoen van reeds uitgevoerde controles zal zo veel mogelijk worden beperkt en waar mogelijk maken we gebruik van ISAE3402 verklaringen van andere auditors. Overigens betekenen deze verklaringen niet automatisch dat er geen monitoring hoeft plaats te vinden.
De keuze van de auditobjecten en de wenselijke diepgang van de audits worden besproken met het pensioenfonds. De afspraken over de aansturing, rapportage en voortgangsbewaking worden vastgelegd in een audit charter. Jaarlijks worden de afspraken geëvalueerd om de dienstverlening elk jaar beter af te stemmen. Zeker in het begin is dit een proces van ‘elkaar leren kennen en begrijpen’.
Hoge besparingen op accountantskosten
Nou nee. Onze ervaring is dat onze focus ligt op de operationele beheersing en de externe accountant kijkt naar de cijfers. Daar ligt uiteraard best een zekere overlap, maar voordat de externe accountant gebruik kan maken van het werk van ‘andere deskundigen’ moet hij volgens zijn NV COS standaarden ook behoorlijk wat werk verzetten. Soms vindt de accountant het gewoon ook moeilijk om gegevensgerichte controles los te laten. Hoewel de tarieven van de interne auditor vaak duidelijk lager zijn dan van de externe accountant blijkt het lastig om werk te verschuiven en meer ‘naar binnen’ te trekken. Onze ervaring is dat afstemming soms best wenselijk is, maar dat zit dan vaak op specifieke onderwerpen zoals het testen van GITC-controls.
Volgend jaar een best practise?
Voor ons is de situatie waarin pensioenfondsen thans zitten goed vergelijkbaar met de situatie waarin (kleinere) verzekeraars vijf jaar terug ook zaten. Onduidelijk was nog wat de verwachtingen waren, hoe het in praktische zin zou gaan werken en wat effectief en efficiënt was. Inmiddels is daar de stof neergedaald en bestaat er een soort marktbrede consensus over wat er van de IAF verwacht mag worden. Dat zal de komende jaren ook in de pensioensector gaan gebeuren en wij willen daar graag aan bijdragen. Volgend jaar ? Nee, dat waarschijnlijk nog niet. Het zal wat tijd kosten om tot een goed maatpak te komen. Maar dan moet het ook goed voelen.
Uiteindelijk geldt ook voor ons dat wij (als interne auditors) alleen kunnen blijven bestaan als u het gevoel heeft dat wij er zijn om u te helpen !
