5. Risico’s beheersen

De basis van het IRM-proces is onze missie en visie. Van hieruit hebben we strategische doelstellingen vastgesteld. Het doel van risicomanagement is het beheersen van belangrijke risico’s die onze doelstellingen bedreigen. Daarom vormen de strategische doelstellingen de basis voor het IRM.

Risicobereidheid

Zoals gezegd is het belangrijk om risico’s die het behalen van onze doelstellingen bedreigen te beheersen. Maar risico’s helemaal uit de weg gaan, dat gaat niet. Denk bijvoorbeeld aan de beleggingen: om voldoende rendement te kunnen halen, moeten we bereid zijn een bepaald (verantwoord) risico te lopen. Hoe hoog dit risico mag zijn, is door ons in samenspraak met de sociale partners vastgelegd. We hebben de risicobereid uitgewerkt en gekoppeld aan de verschillende strategische doelstellingen. Hierin zien we onder andere dat we fouten zoveel mogelijk proberen te voorkomen door op verschillende momenten controles te laten plaatsvinden op de uitvoering. We willen klachten en incidenten tot een minimum beperken. Maar wel maken daarbij ook afwegingen over impact, kosten en tijdsinspanning. Daarnaast nemen we doelbewust beleggingsrisico, omdat dit naar verwachting wordt beloond met extra rendement.

Voor iedere strategische doelstelling hebben we de belangrijkste hoofdrisico’s in kaart gebracht. Voor deze hoofdrisico’s hebben we ook vastgesteld hoeveel risico we bereid zijn te lopen om de strategische doelstelling na te kunnen komen. Verderop in dit hoofdstuk hebben we de hoofdrisico’s nader toegelicht.

Risicoanalyse

Om grip te hebben op de hoofdrisico’s wordt per hoofdrisico een analyse uitgevoerd waaruit de belangrijkste deelrisico's (risico-items genoemd) worden benoemd. Verderop in dit hoofdstuk, onder instrumenten en beheersing, lichten we de belangrijkste analyses toe.

Beheersmaatregelen

Nadat inzichtelijk is wat de risico-items zijn, beoordelen we in hoeverre deze risico-items buiten onze risicobereidheid vallen. Voor zover de risico’s buiten die bereidheid vallen, worden beheersmaatregelen vastgesteld om ze te kunnen beheersen. Vervolgens wordt opnieuw beoordeeld of de vastgestelde beheersmaatregelen voldoende zijn om het risico binnen de risicobereidheid te krijgen.  

Het is belangrijk dat de beheersmaatregelen niet alleen zijn beschreven (opzet), maar dat ze ook daadwerkelijk op de beschreven manier worden uitgevoerd (bestaan) en tot slot dat ze het risico helpen beheersen (werking). Een beheersmaatregel moet daadwerkelijk bijdragen aan het verminderen van het risico dat één van de strategische doelstellingen niet wordt gehaald.

Managementrapportage

Risico’s worden gemonitord. Dat gebeurt op veel verschillende plaatsen binnen en buiten de organisatie. Voorbeelden daarvan zijn de dagelijkse monitoring van onze beleggingsportefeuille door de fiduciair vermogensbeheerder, maandrapportages vanuit onze pensioenuitvoeringsorganisatie en kwartaalrapportages op niet-financiële risico’s. Om de onderlinge samenhang te kunnen beoordelen staat elk kwartaal een integrale risicomanagementrapportage op agenda van de bestuursvergadering. 

Belangrijke aandachtspunten in 2024

Het pensioenfonds kent één IRM-proces, maar vanwege de Wtp en alle voorbereidingen richting een transitie is er tijdelijk een tweede IRM-proces rondom Wtp ingericht. Dit functioneert naast het reguliere IRM-proces op de huidige pensioenuitvoering. 

In 2024 hebben we op vrijwel alle hoofdrisico's uitgebreide risicoanalyses uitgevoerd. Daarbij zijn opzet, bestaan en werking van de beheersing geëvalueerd. Verder is de IRM-rapportage en het IRM-beleid doorontwikkeld. Wij zijn nu nog beter in staat om de ontwikkelingen van kwartaal op kwartaal te monitoren en er is ruimte om ook expliciet na te denken over risico's die buiten de geformuleerde hoofdrisico's vallen. 

De Sleutelfunctiehouder Risicobeheer is nauw betrokken bij het proces rondom de Wtp. Vanuit de programmamanager van Wtp is er een duidelijk proces ingericht waarbij de betrokkenheid van sleutelfunctiehouders geborgd is. Daarnaast is er op kwartaalbasis een overleg waarin de sleutelfunctiehouders met elkaar spreken over de ontwikkelingen rond Wtp.

De Sleutelfunctiehouder Risicobeheer heeft ook op het reguliere proces zijn functie goed kunnen vervullen. Op diverse onderwerpen heeft hij zijn risico-opinie gegeven. En in zijn kwartaalrapportages heeft hij een toelichting gegeven op diverse risico's binnen het pensioenfonds en concreet zijn bevindingen gedeeld met de eerste lijn in de organisatie.

Ten slotte is de Sleutelfunctiehouder Risicobeheer gedurende het jaar nauw betrokken geweest bij de ontwikkelingen bij onze belangrijkste uitbestedingsrelaties. Periodiek is er overleg met de tweedelijns risicomanagementfuncties binnen die organisaties.

Wtp-project en risico's

Het Wtp-project vormt een cruciaal en langlopend project binnen het pensioenfonds en is gekoppeld aan omvangrijke en langlopende verandertrajecten bij onze uitvoeringsorganisaties TKP en Aegon AM. Als pensioenfonds monitoren wij de project-, voortgangs- en risicorapportages bij TKP en Aegon AM actief en bespreken wij deze rapportages in het voltallige bestuur. Wij bewaken daarbij dat deze organisaties de benodigde veranderingen inhoudelijk en op tijd realiseren en ook dat zij zelf in voldoende mate in control zijn op de onderliggende projecten. Om het Wtp-project binnen het pensioenfonds te beheersen is er een externe programmamanager aangesloten. De programmamanager legt in de Wtp-bestuursvergaderingen verantwoording af met een projectrapportage. Aan de hand van de projectrapportage worden de belangrijkste risico's besproken in het bestuur.  

Doorlopend wordt er tijdens het Wtp-project een eigen risico-analyse (RSA) uitgevoerd. Deze RSA wordt ieder kwartaal gerapporteerd aan het bestuur. In deze RSA zijn voor het WTP-project de volgende hoofdrisico's onderscheiden:

• Omgevingsrisico; dit betreft met name de veranderingen in wet- en regelgeving. 
• Bestuurlijke processen; het ligt de nadruk op de besluitvormingsprocessen en stakeholdermanagement.
• Nieuwe pensioenregeling en invaren; met aandacht voor complexiteiten uit de oude regeling, compensatie en risicohouding.
• Uitvoering en projectmanagement; met de nadruk op de datakwaliteit en projectbeheersing.  
• Financiële risico's; met extra aandacht voor de financiële positie van het pensioenfonds richting de transitie.
• Uitbestedingsrisico's; zijn de belangrijkste uitvoerders Aegon AM en TKP klaar voor een transitie van het pensioenfonds.
• Pensioenbewustzijn; hier ligt de nadruk op het meenemen van de deelnemers in de aankomende veranderingen. 
• Juridische risico's; passen de voorgenomen aanpassen en veranderingen binnen wet- en regelgeving. 
• Evenwichtigheid; het risico dat bepaalde deelnemers groepen en meer op vooruitgaan dan anderen.
• Operatie en transitie; het risico dat de daadwerkelijke omzetting op het moment van transitie niet goed verloopt.

Op deze hoofdrisico's zijn verschillende onderliggende risico's geïdentificeerd en beheersmaatregelen ingericht. Daarmee blijft het pensioenfonds in controle op de risico's binnen het Wtp-project. 

Zoals hiervoor toegelicht hebben we per strategische doelstelling de hoofdrisico’s vastgesteld. In deze paragraaf nemen wij je op hoofdlijnen mee door de belangrijkste risico’s en hoe wij met de beheersing daarvan omgaan. Daarbij hebben we onderscheid gemaakt naar financiële en niet-financiële risico’s. Deze risico's hebben betrekking op de huidige situatie van het pensioenfonds, het Wtp-project kent daarin een eigen proces, zoals beschreven in de vorige paragraaf. 

De financiële risico’s zijn in beginsel de meetbare risico’s. Om deze te monitoren zijn grenzen vastgesteld. De risico's zijn veelal direct gekoppeld aan de beleggingen van het pensioenfonds. Daarom zijn deze risico's opgenomen in hoofdstuk 2 van dit jaarverslag. Enkel het verzekeringstechnisch risico is als financieel risico hieronder beschreven. 

Het verzekeringstechnisch risico is het risico dat voortvloeit uit mogelijke afwijkingen van actuariële inschattingen die worden gebruikt voor de vaststelling van de technische voorzieningen en de hoogte van de premie. De belangrijkste actuariële risico’s zijn de risico’s van langleven, overlijden (kortleven) en arbeidsongeschiktheid. In de jaarlijkse actuariële analyse worden de afwijkingen tussen de (technische) aannames en de werkelijk waargenomen ontwikkelingen geanalyseerd. Deze risico’s zijn een gegeven en moeten we daarom accepteren. Een manier van beheersing is het herverzekeren van dit risico. Gezien de omvang van het pensioenfonds kiezen we daar niet voor en hebben we het verzekeringstechnisch risico volledig in eigen beheer. 

De belangrijkste maatregel om dit risico te beheersen is een jaarlijkse externe toetsing van de gehanteerde pensioenfondsgrondslagen op prudentie. Eind 2024 heeft een herziening van de overlevingstafels en ervaringssterfte plaatsgevonden, waardoor de meest recente ontwikkelingen op het gebied van levensverwachting worden toegepast. De prudentie van de overige gehanteerde grondslagen wordt periodiek beoordeeld. In 2024 heeft de laatste toetsing plaatsgevonden.

We hebben ook te maken met niet-financiële risico’s. Dat gaat om risico’s die vooral de uitvoering van de pensioenregeling onder druk kunnen zetten. Het betreft ook het bieden van het gewenste handelingsperspectief aan deelnemers en de communicatie richting deelnemers en andere betrokkenen. Voor de verschillende niet-financiële risico’s zijn harde grenzen moeilijk vast te stellen, maar we realiseren ons terdege dat er grote financiële schade kan ontstaan door bijvoorbeeld reputatieschade, niet integer handelen of een onjuiste uitvoering door de externe uitbestedingspartijen. Op kwartaalbasis monitort het bestuur of de risico's binnen de risicobereidheid vallen. Hieronder een toelichting op de niet-financiële risico's.

Dit is het risico dat ontstaat als we werkzaamheden hebben uitbesteed aan externe partijen en deze partijen niet voldoen aan onze kwaliteitseisen. Het bestuur is verantwoordelijk voor de (onder)uitbesteding en zorgt voor voldoende waarborgen om hierop in control te zijn. Deze waarborgen behelzen onder andere het vastleggen in contracten en bijbehorende documenten van alle gemaakte afspraken over de kwaliteit van de dienstverlening, het duidelijk vastleggen van exit-voorwaarden en het verkrijgen van uitgebreide managementinformatie met een schriftelijke verantwoording over de uitvoering door de uitvoerder. Per kwartaal wordt door de uitvoerders een uitgebreide rapportage aangeleverd. Deze rapportages worden zowel door het bestuur als tussen het bestuur en de uitvoerders besproken.  

Het integriteitsrisico wordt gedefinieerd als het risico dat de integriteit van het pensioenfonds of het financiële stelstel wordt beïnvloed als gevolg van niet-integere en onethische gedragingen binnen de organisatie van het pensioenfonds en van betrokken uitbestedingspartijen. Pensioenfondsen moeten jaarlijks een analyse maken van de integriteitsrisico’s die samenhangen met uitbestedingen. Ze moeten voorkomen dat ze betrokken raken bij handelingen die tegen de wet ingaan of handelingen die maatschappelijk onbetamelijk zijn. Wij onderkennen het belang van een goede en gedegen integriteitsrisicoanalyse. In 2024 hebben we een update gemaakt van de integriteitsanalyse. Hiermee voldoet de analyse aan de laatste inzichten.

Het juridisch risico hangt samen met veranderingen in en naleving van wet- en regelgeving, het mogelijk bedreigd worden van de rechtspositie, met inbegrip van de mogelijkheid dat contractuele bepalingen niet afdwingbaar zijn of niet correct gedocumenteerd worden. Het bestuur maakt onderscheid tussen het juridisch risico dat ontstaat door externe regelgeving en door eigen contracten. Om in controle te zijn ontvangt het pensioenfonds op kwartaalbasis een rapportage met de laatste actualiteiten op het gebied van wet- en regelgeving.

Het omgevingsrisico wordt beperkt door op de hoogte te blijven van de ontwikkelingen via onder andere de Pensioenfederatie en externe adviseurs en door een actieve rol in de pensioendiscussie te spelen. We volgen de vele ontwikkelingen in pensioenland die invloed hebben op ons pensioenfonds op de voet. Een belangrijk onderwerp voor de komende jaren is de Wet toekomst pensioenen. Met betrekking tot de continuïteit van ons pensioenfonds kan gesteld worden dat het risico dat Koninklijke KPN N.V. (en gelieerde ondernemingen) haar verbintenis opzegt als nihil wordt ingeschat. Mocht dit wel gebeuren, dan heeft het bestuur hiervoor een scenario-analyse gemaakt. In die situatie zal er geen opbouw meer plaatsvinden van nieuwe pensioenen, maar blijft het pensioenfonds voor de in het verleden opgebouwde rechten bestaan. 

IT-risico definiëren we als het risico dat onderdelen van de dienstverlening op het gebied van IT ontoereikend zijn. Dat kan een negatieve impact hebben op de complete dienstverlening. In 2024 hebben we ons IT-beleid geëvalueerd en aangescherpt. Risicobeheersing is daarin een nadrukkelijk onderwerp.

Naast deze risico’s blijven we alert op mogelijke nieuwe risico’s die de doelstellingen van het pensioenfonds kunnen bedreigen. 

Om risico’s te identificeren, analyseren en in controle te zijn zetten we verschillende instrumenten in. Een aantal belangrijke instrumenten lichten wij hier graag toe.

1. Risk Self Assessment (RSA)

Een RSA is een risicoanalyse waarbij de belangrijkste risico’s in kaart worden gebracht die het realiseren van de doelstellingen bedreigen. De risicoanalyse is gericht op zowel de interne als de externe bedrijfsomgeving. Met een RSA beoordelen we of de bestaande beheersing goed functioneert en past bij onze risicobereidheid. De RSA vindt plaats over een periode van twee jaar, waarbij alle belangrijke risico's worden geanalyseerd. Vastlegging vindt plaats in een beheersingsraamwerk. 

In 2024 hebben een groot aantal RSA's plaatsgevonden. Daarmee liggen de RSA's op schema om over een periode van 2 jaar allemaal geëvalueerd te worden. 

2. Eigenrisicobeoordeling (ERB)

In ons ERB-beleid staat beschreven op welke wijze we de robuustheid van de doelstellingen beoordelen. De nadruk ligt op risico’s waar we in de toekomst mogelijk aan worden blootgesteld en daardoor wordt er gewerkt met verschillende scenario's. De ERB is wettelijk voorgeschreven en wordt minimaal één keer per drie jaar uitgevoerd. De laatste ERB is in 2024 uitgevoerd en vooruitlopend op de Wtp is begin 2024 ook een specifieke ERB op Wtp afgerond.

3. ALM-studie

Een Asset Liability Management (ALM) studie is een strategische analyse waarbij de risico's van de balans van het pensioenfonds in kaart worden gebracht. Er wordt gekeken naar de vermoedelijke toekomstige ontwikkelingen van de beleggingen en de pensioenverplichtingen. Een ALM-studie geeft daarmee inzicht in hoe de belangrijkste risicofactoren in de balans van het pensioenfonds doorwerken. Door deze risico's inzichtelijk te maken kan het bestuur deze meewegen in de strategische beleidsvorming. Wanneer risico's in relatie tot de strategische doelstellingen te groot zijn, kan het bestuur beleid maken om de risico's te beheersen.

4. Systematische integriteitsrisicoanalyse (SIRA)

De SIRA richt zich op de beheersing van het integriteitsrisico binnen ons pensioenfonds en bij uitbestedingspartijen. Belangrijke aandachtspunten zijn onder andere het voorkomen en bestrijden van belangenverstrengeling en corruptie. We herijken de integriteitrisicoanalyse iedere drie jaar, of eerder bij een grote verandering. In 2024 heeft de laatste SIRA plaatsgevonden.