Ons risicomanagement
AZL past het zogeheten three lines of defence model toe om duidelijkheid en structuur te realiseren binnen de interne beheersingsomgeving van AZL, waarbij verantwoordelijkheden ten aanzien van risicobeheersing duidelijk zijn gedefinieerd.
Interne risico beheersingssysteem
Voor het realiseren van (organisatie- en beheers) doelstellingen is een samenspel van mensen, middelen en procedures nodig, die veelal door middel van processen worden georganiseerd en aan elkaar worden verbonden. Risico’s bedreigen de realisatie van deze doelstellingen. Adequaat risicomanagement is daarom essentieel en is het instrument dat ingezet wordt om (een redelijke mate van) zekerheid te geven dat de doelstellingen van de organisatie ook daadwerkelijk gerealiseerd worden.
Er is een directe relatie tussen de doelstellingen die een onderneming tracht te behalen en de componenten van risicomanagement, die aangeven wat nodig is om deze doelen te realiseren. AZL heeft ervoor gekozen om zijn risicomanagement methodiek te baseren op het door COSO gepubliceerde ERM raamwerk.
Onze verantwoording over risicobeheersing
Risicomanagement is onlosmakelijk verbonden met het realiseren van (lange termijn) doelstellingen. Om onze doelstellingen op risicomanagement gebied te realiseren, stelt de afdeling Risk jaarlijks een planning op met hierin de belangrijkste activiteiten. Zo voeren wij onder andere jaarlijks het DNB IT self assessment, het cyber security assessment en business continuity assessment uit. Op het gebied van compliance voeren wij jaarlijks het fraude assessment en de systematische integriteitsanalyse (SIRA) uit. We informeren onze klanten periodiek over de resultaten.
ISAE 3402- en 3000-rapportages
Onze klanten ontvangen tevens de ISAE 3402- en 3000-rapportages van ons. Een externe accountant audit jaarlijks nagenoeg al onze processen, applicaties en IT general controls. In de ISAE 3000-rapportage beoordeelt de externe accountant ook het risicomanagementsysteem van AZL, waarbij AZL een aantal belangrijke SOC II controls (IT) heeft opgenomen in het rapport. Het is onze ambitie om onze ISAE 3000-rapportage jaarlijks uit te breiden met een aantal SOC II controls.
Compliance & integriteit
Binnen AZL worden (voorgenomen) wijzigingen in wet- en regelgeving onderkend en afgestemd met de uitvoerende afdelingen. Het gaat hierbij zowel om wijzigingen pensioeninhoudelijk gebied als om wijzigingen in wet- en regelgeving die betrekking hebben op de bedrijfsvoering van AZL. Screening op wijzigingen is een continue activiteit. Eventuele wijzigingen naar aanleiding hiervan worden in de normale planning van de bedrijfsuitvoering opgenomen, zodat ervoor gezorgd wordt dat wijzigingen in hun processen, systemen, beheersingsmaatregelen en administraties door worden gevoerd.
Privacybeleid
AZL beschikt over een privacy officer en privacybeleid om de privacy van onze klanten, hun werkgevers en deelnemers en onze medewerkers te beschermen. De PO is aanspreekpunt binnen AZL en voor de Functionaris Gegevensbescherming (FG) van NN voor privacy gerelateerde vragen. Ook voert de PO naar de toezichthouder en klanten het woord door te adviseren en toelichting te verschaffen inzake de (naleving van de) AVG door AZL.
Informatiebeveiliging
AZL NV maakt onderdeel uit NN Group en volgt de policies en standaarden zoals die binnen NN Group zijn vastgesteld. Dit geldt ook voor het informatiebeveiligingsbeleid, binnen NN Group de Information Security Strategy. Daar waar gezien de aard van de bedrijfsprocessen AZL afwijkt van de NN policies en standaarden is dit in een aanvullend document opgenomen.
Datakwaliteit
AZL heeft in 2021 forse stappen gezet om zichzelf verder te ontwikkelen als datagedreven organisatie. Het datakwaliteitsbeleid is opgesteld in lijn met de verwachtingen van diverse wet- en regelgeving. Verder is de data governance ingericht en zijn er nieuwe functies geïmplementeerd en rollen toegekend. Denk hierbij aan een data quality officer, data analisten en data stewards.
Uitbesteding
AZL hanteert een stringent uitbestedingsbeleid. Met name op het gebied van beheer zijn voldoende maatregelen in place die ervoor zorgdragen dat kritieke leveranciers frequent worden gemonitord. Klanten, worden geïnformeerd over de resultaten hiervan. Daarnaast controleert de externe accountant het uitbestedingsproces in het kader van de ISAE 3402.
Assurance diensten voor onze klanten
In samenwerking met onze klanten ontwikkelden we de AZL Assurance Diensten. Deze dienst richt zich op een viertal aandachtsgebieden gerelateerd aan de IORPII-regelgeving; Risk, Audit, IT en Compliance. We organiseerden de Assurance Diensten in de vorm van een platform waaraan bestuurders en/of sleutelfunctiehouders van de verschillende fondsen kunnen deelnemen.
Onze organisatie is continu in ontwikkeling. Om in staat te zijn om nu en in de toekomst de juiste risico’s te identificeren en te beheersen, is volwassen risicomanagement essentieel. Onze aanpak geeft continu richting aan onze organisatie en medewerkers om ons ook op risicomanagement gebied te blijven ontwikkelen. Dit doen wij bij voorkeur in overleg met onze klanten. Zo helpen we elkaar om in control te zijn en te blijven.
Esmiralda Thieme
Directeur Risk & Internal Audit
Interview DARE
Controle over datakwaliteit
Pensioenfondsen zijn verantwoordelijk voor het borgen van hun eigen datakwaliteit, maar kunnen ervoor kiezen hun data onder te brengen bij een pensioenuitvoerder. Om te zorgen voor een adequaat datamanagement voert AZL reguliere datacontroles uit waaronder verbandscontroles, plausibiliteitscontroles en gegevensgerichte controles. Daarnaast biedt AZL zijn klanten assurance door diverse ISAE-rapportages en auditrapportages. Niettemin, betreffen dit veelal steekproefcontroles.
Een van de oplossingen om het klantenbestand integraal en onafhankelijk te controleren is het inzetten van data analytics technieken. Met moderne technieken zijn klantbestanden integraal en geautomatiseerd te analyseren...
Lees verder
Volgend artikel: Vooruitblik
Om een onderscheidende propositie te blijven bieden, investeren we fors in vernieuwing van ons systeemlandschap, onze portalen, positionering, mensen en data. Lees meer over onze plannen.
Controle over datakwaliteit
Pensioenfondsen zijn verantwoordelijk voor het borgen van hun eigen datakwaliteit, maar kunnen ervoor kiezen hun data onder te brengen bij een pensioenuitvoerder. Om te zorgen voor een adequaat datamanagement voert AZL reguliere datacontroles uit waaronder verbandscontroles, plausibiliteitscontroles en gegevensgerichte controles. Daarnaast biedt AZL zijn klanten assurance door diverse ISAE-rapportages en auditrapportages. Niettemin, betreffen dit veelal steekproefcontroles.
Een van de oplossingen om het klantenbestand integraal en onafhankelijk te controleren is het inzetten van data analytics technieken. Met moderne technieken zijn klantbestanden integraal en geautomatiseerd te analyseren. AZL zocht de samenwerking met PwC om een nieuwe en innovatieve propositie te ontwikkelen voor de klanten van AZL. Dit resulteerde in DARE (Data Analytics Reverse Engineering) als innovatieve oplossing. In 2020 draaiden we een succesvolle pilot bij één fonds. In 2021 organiseerden we een themasessie over het onderwerp en rolden we deze dienstverlening uit bij Bedrijfstakpensioenfonds Levensmiddelen (BPFL).
Diverse andere pensioenfondsen zijn geïnteresseerd in deze dienstverlening.
DARE gaat niet uit van rekenregels waarop pensioenaanspraken worden nagerekend, maar gaat uit van beschikbare data en op basis daarvan worden de rekenregels herleid. Met behulp van time-serie analyses en non-lineaire algebra worden volautomatisch groepen deelnemers geïdentificeerd voor wie dezelfde rekenregels zouden moeten gelden. Vervolgens kan worden vastgesteld of de gevonden rekenregels conform het pensioenreglement zijn. Oftewel, de juistheid van de aanspraak wordt bekeken.
Vervolgens identificeert en visualiseert DARE de afwijkingen. De methodiek vertrekt niet vanuit de rekenregels waarmee pensioenaanspraken worden nagerekend, maar draait het juist om. Het gaat uit van beschikbare data en herleidt op basis daarvan de rekenregels en controleert of de juiste rekenregels volgens het reglement zijn toegepast.
“Door deze methodiek kunnen we eerder fouten in de administratie detecteren, waardoor problemen in de uitvoering voorkomen kunnen worden. Dit kunnen we nu doen op een fondsspecifieke, integrale en efficiënte wijze”, legt Esmiralda Thieme, directeur Risk & Internal Audit bij AZL, uit. “Het grote voordeel van reversed engineering is ook dat de controle over de gehele deelnemerspopulatie plaatsvindt in plaats van steekproefsgewijs en dat de controle aanzienlijk sneller kan dan bijvoorbeeld een Quinto-P achtige controle. Zo hebben we bijvoorbeeld binnen een tijdsbestek van vier maanden meer dan 270.000 mutaties geanalyseerd.”
"Datakwaliteit is een heel belangrijk thema voor veel pensioenfondsen, altijd, want iedere deelnemer moet krijgen waar hij recht op heeft”, voegt Lilian van Duijnhoven (PwC) toe. “Met de naderende pensioentransitie komt dit nog meer in de spotlights te staan. Een onderwerp waar veel pensioenfondsbestuurders momenteel over nadenken, want hoe kun je datakwaliteit aantoonbaar maken? En welke investering wil je hiervoor doen? Absolute zekerheid lijkt onbetaalbaar; voldoende comfort over de datakwaliteit wel haalbaar. Wij zijn enorm trots dat we met DARE een bijdrage kunnen leveren aan zo'n belangrijk thema voor de pensioensector."
Esmiralda Thieme
Directeur Risk & Internal Audit