Van spreadsheets tot GRC-software: waarom pensioenfondsen een moderne benadering van risicobeheer nodig hebben

‍

Pensioenfondsen opereren tegenwoordig in een steeds complexer landschap van hervorming van de regelgeving, nieuwe risico's en verhoogde maatschappelijke verwachtingen. Velen beheren nog steeds belangrijke beheers- en risicobeheerprocessen via spreadsheets — een methode die, hoewel al lang verankerd in de bedrijfsvoering, steeds moeilijker op te schalen is in een omgeving die voortdurend toezicht, transparantie en reactievermogen vereist.

Het evoluerende landschap voor risicobeheer van pensioenfondsen

Een sector die onder druk staat — en een inhaalslag maakt 

Nederlandse pensioenfondsen gaan een periode van transformatie tegemoet, gekenmerkt door de overgang naar het nieuwe pensioenstelsel (Wet toekomst pensioenen). Ondertussen breiden regelgevingskaders zoals IORP II, begeleiding van DNB en de groeiende nadruk op ESG en digitale veerkracht — waaronder de EU Digital Operational Resilience Act (DORA) — de reikwijdte en urgentie van risico- en compliancebeheer snel uit.

In de financiële sector zijn nieuwe risico- en compliancetechnologieën sneller ingevoerd, maar pensioenfondsen kiezen traditioneel voor een meer weloverwogen aanpak. Dit weerspiegelt de langetermijnoriëntatie van de sector, het bestuur van meerdere belanghebbenden en de diepgewortelde cultuur in de publieke sector — waar stabiliteit en zorgvuldige consensusvorming terecht prioriteit krijgen.

Zoals ING opmerkte, stellen enkele van de grootste fondsen, waaronder ABP, hun systeemaanpassingen uit tot 2027 — terwijl ze tegelijkertijd risicoafdekkingen opvoeren om de dekkingsgraden te stabiliseren. Maar voorzichtigheid brengt zijn eigen risico's met zich mee: vertraagde overgangen verhogen de druk op de reeds uitgebreide compliance- en risiceteams.

Veelvoorkomende uitdagingen: Risicofragmentatie en handmatige processen 

De belangrijkste uitdagingen die DNB onder de aandacht brengt 

Recente toezichtsonderzoeken door DNB hebben verschillende zwakke punten in risicobeheerpraktijken in de pensioensector aan het licht gebracht:

• Langzame sanering van auditbevindingen met een hoog risico

• Te veel vertrouwen op handmatige controles in plaats van geautomatiseerde beveiligingsmaatregelen

• Onvoldoende toezicht op uitbestede functies, met name op het gebied van gegevenskwaliteit en informatiebeveiliging

Deze uitdagingen worden nog versterkt tijdens de huidige pensioentransitie, waarbij nauwkeurige deelnemersgegevens en operationele continuïteit van cruciaal belang zijn. Risicobeheer is niet langer een statische functie, het is een dynamische capaciteit die zich in realtime moet aanpassen.

Veel van deze uitdagingen houden vaak verband met gefragmenteerde processen en beperkte digitale ondersteuning, met name wanneer belangrijke risicoactiviteiten nog steeds via spreadsheets worden beheerd.

De grenzen van risicobeheer op basis van spreadsheets 

Ondanks de toenemende complexiteit en de verwachtingen op het gebied van regelgeving blijven veel pensioenfondsen hun risicokaders beheren via Excel-bestanden verspreid over afdelingen of uitbestede partners. Deze aanpak kent echter verschillende beperkingen voor moderne vereisten op het gebied van bestuur, risico en naleving (GRC):

• Gefragmenteerde gegevens en onduidelijk eigendom

• Gebrek aan versiebeheer en audittrails

• Handmatige rapporteringslasten die de besluitvorming vertragen

• Moeilijkheden om zich aan te passen aan toezichtskaders, zoals het ATM-model van DNB

In een ecosysteem waar het toezicht wordt gedeeld tussen besturen, operaties en externe dienstverleners zorgt deze versnippering niet alleen voor inefficiëntie, maar ook voor blootstelling.

Geïntegreerd risicobeheer: een slimmere, gestructureerde aanpak 

Een basis leggen voor geïntegreerd risicobeheer 

Regelgevers en brancheorganisaties pleiten steeds vaker voor een verschuiving naar Geïntegreerd risicobeheer (IRM). Zoals DNB benadrukt, moet effectief risicobeheer worden ingebed in een samenhangend en doorlopend kader — een kader dat risico's en controles afweegt tegen organisatiedoelstellingen.

Een IRM-raamwerk stelt pensioenfondsen in staat om:

• Definieer duidelijk risicocategorieën, waaronder strategische, financiële, operationele en uitbestedingsrisico's

• Stel de risicobereidheid per categorie in en controleer deze

• Risico's in kaart brengen om doelstellingen en scenario's te financieren

• Evalueer voortdurend de effectiviteit van de controle en de verbeteringsacties

• Afstemmen op wettelijke verwachtingen zoals de Own Risk Assessment (ORA) in het kader van IORP II en het ATM-toezichtmodel van DNB

IRM is meer dan een methodologie — het is een volwassenheidstraject. Het wordt geleidelijk geïmplementeerd en transformeert het risico van een reactieve verplichting naar een proactieve, geïntegreerde discipline die de veerkracht van de organisatie vergroot.

Geïntegreerd risicobeheer voor pensioenfondsorganisaties

Versterking van governance-, audit- en complianceteams in de Nederlandse pensioensector

Whitepaper downloaden

Strategisch en operationeel risico: twee kanten van dezelfde medaille 

Hoewel financiële risico's (zoals markt, rente, liquiditeit) de agenda's van de raad van bestuur blijven domineren, worden strategische en operationele risico's even belangrijk.

Inzicht in de impact van toekomstige risicoscenario's — zoals marktvolatiliteit of demografische verschuivingen — is bijvoorbeeld cruciaal voor kapitaalplanning op lange termijn. Tegelijkertijd vereisen operationele risico's verbonden aan IT, procesontwerp, uitbesteding en continuïteit duidelijke eigendom, documentatie en controles.

Om deze complexiteit het hoofd te bieden, hebben pensioenfondsen het volgende nodig:

• Een robuuste risicotaxonomie die alle relevante categorieën omvat

• De mogelijkheid om risico's in kaart te brengen voor strategische doelstellingen en prestatie-indicatoren bij te houden

• Regelmatige risicobeoordelingen die zowel interne als externe ontwikkelingen weerspiegelen

Van bewustzijn naar eigenaarschap: een risicobewuste cultuur creëren 

„De touwtjes in handen hebben” gaat niet alleen over het hebben van beleid — het gaat over het opbouwen van een cultuur van risico-eigendom op alle niveaus. Dit omvat:

• Besturen en commissies betrekken bij discussies op basis van scenario's

• Ervoor zorgen dat verbeteringsacties zichtbaar, bijgehouden en voltooid zijn

• Periodieke evaluatie van de beheerskosten versus de risicoblootstelling in alle processen

Moderne risicoplatforms kunnen dit mogelijk maken door workflows te automatiseren, controles in te bedden en risicoprofielen te visualiseren via dashboards, maar de basis is altijd de strategische intentie en de volwassenheid van het bestuur.

In de praktijk: hoe pensioenfondsen IRM toepassen met GRC-software 

Verschillende Nederlandse pensioenfondsen — waaronder Pensioenfonds Detailhandel, ABN AMRO Pensioenfonds en Blue Sky Group — zijn begonnen met het vertalen van de principes van Integrated Risk Management (IRM) naar de praktijk met behulp van moderne GRC-software zoals CERRIX. Het platform is ontworpen om belangrijke regelgevingskaders te ondersteunen, zoals IORP II, het DNB ATM-toezichtmodel en, meer recentelijk, DORA.

CERRIX biedt:

• Een flexibele risicotaxonomie die is afgestemd op de behoeften van de pensioensector en toezichtsnormen

• Ondersteuning voor regelgevingskaders, waaronder ISO 27002, ISO 22301 en Norea Privacy

• Capaciteiten om strategische, financiële, operationele en uitbestedingsrisico's op een geïntegreerde manier te beheren

• Workflowautomatisering voor activiteiten zoals risicobeoordelingen, het volgen van incidenten en het testen van controles

Door deze processen in één omgeving te integreren, zijn pensioenfondsen in staat hun controlekaders te versterken, de transparantie te vergroten en geleidelijk hun risicorijpheidsniveau te verhogen — en dat alles met inachtneming van sectorspecifieke en Europese vereisten.

Om dieper in te gaan op hoe pensioenfondsen hun risicobeheeraanpak kunnen structureren — en zien hoe geïntegreerd risicobeheer aansluit bij toezichtskaders zoals IORP II, DORA en het ATM-model — download de volledige whitepaper