Corporate governance
Esmiralda Thieme, Directeur Risk & Internal Audit AZL
‘Continu verbeteren
en bijsturen’
Corporate governance
Als organisatie met een belangrijke maatschappelijke rol in Nederland is AZL bewust van het belang van effectief en verantwoord bestuur en toezicht. Risicomanagement is een belangrijk onderdeel van deze verantwoordelijkheid, met als doel de strategische en operationele processen continu te verbeteren en bij te sturen waar nodig. Juist nu zijn risicomanagement, in control zijn en datakwaliteit belangrijke pijlers, onderdeel van programma's om uiteindelijk Wtp-compliant te zijn. AZL is hier al bijna twee jaar mee bezig en neemt haar klanten frequent mee in dit proces, ook wat betreft risicomanagement en beheersing.
AZL past het Three Lines of Defence-model toe om duidelijkheid en structuur te realiseren binnen de interne beheersingsomgeving van AZL, waarbij verantwoordelijkheden ten aanzien van risicobeheersing duidelijk zijn gedefinieerd.
Privacybeleid
AZL beschikt over een privacybeleid om de privacy van onze klanten, hun werkgevers en deelnemers en de eigen medewerkers te beschermen. Met ingang van 2023 heeft AZL op vrijwillige basis een Data Protection Officer (DPO) aangesteld. De DPO is aanspreekpunt binnen AZL voor privacy gerelateerde vragen en rapporteert aan de Data Protection Officer van NN Group. Ook is de DPO contactpersoon voor de Autoriteit Persoonsgegevens (toezichthouder) en verschaft aan klanten een toelichting over de (naleving van de) AVG door AZL.
Assurance over risicobeheersing
(ISAE 3402 en 3000) Risicomanagement
AZL legt verantwoording af over de beheersing van de processen die onze klanten aan ons uitbesteden. De belangrijkste assurance-rapportages zijn de ISAE 3402- en ISAE 3000-rapportages. Over de beheersing van pensioenadministratieprocessen, applicaties en IT (general) controls leggen we jaarlijks verantwoording af aan onze klanten. Dat doen we in de vorm van een ISAE 3402 type II-rapport, gebaseerd op het COSO-model. Met dit rapport geven we onze klanten en hun externe accountants transparant inzicht in de opzet en werking van de interne beheersing.
Daarnaast beschikt AZL ook over een ISAE 3000 rapportage. In deze audit wordt ook ons risicomanagementsysteem door een externe auditor getoetst. Daarnaast worden ook de processen binnen de afdelingen Actuariaat, Bestuursadvisering, Communicatie, Grootboek en Verslaglegging gecontroleerd. Sinds 2019 is de ISAE 3000 daarnaast uitgebreid met SOC 2 IT-controls.
Informatiebeveiligingsbeleid
AZL maakt onderdeel uit NN Group en volgt de policies en standaarden zoals die binnen NN Group zijn vastgesteld. Dit geldt ook voor het informatiebeveiligingsbeleid, binnen NN Group de Information Security Standard. Daar waar gezien de aard van de bedrijfsprocessen AZL afwijkt van de NN Group policies en standaarden is dit in een aanvullend document opgenomen.
Risicomanagementprogramma’s
‘Vernieuwing Pensioenen’ en ‘Vernieuwing IT’
In 2023 zijn de reguliere programma assessments frequent geüpdatet, en zijn alle stream assessments opgesteld door beide programma’s en gechallenged door de tweede lijn. Tenslotte wordt per kwartaal door de second line van AZL en NN Group een integraal re-assessment uitgevoerd. De resultaten worden opgenomen in de rapportage van de second line van AZL en NN Group en gedeeld met onze klanten.
Het belang van datakwaliteit
AZL heeft ook in 2023 forse stappen gezet om zichzelf verder te ontwikkelen als datagedreven organisatie.
Op basis van het ‘Kader Datakwaliteit - Wet toekomst pensioenen’, formeel uitgegeven door de Pensioenfederatie en afgestemd met DNB, heeft AZL een datakwaliteitspropositie gemaakt: de AZL Data Apk.
Hiermee kunnen pensioenfondsen worden ondersteund en inzicht krijgen in hun datakwaliteit voor de transitie naar het vernieuwde pensioenstelsel.
Datamigratie
In 2023 heeft AZL via een selectieprocedure de keuze gemaakt voor datamigratie leverancier Data eXcellence (DX). Vervolgens is in samenwerking met DX gestart met de bouw van de basis migratie- en invaartooling voor AZL. Hiermee is een basis gelegd om de basis dossiers van de eerste fondsen te kunnen migreren.
Update Assurance Diensten
De AZL Assurance Diensten is een dienst die in samenwerking met onze klanten is ontwikkeld en zich sinds 2020 richt op een viertal aandachtsgebieden, gerelateerd aan de Europese richtlijn voor pensioenfondsen (IORP II-regelgeving); Risk, Audit, IT en Compliance. In 2023 organiseerden we een zevental klantsessies onder andere over de status van Wtp en IT-vernieuwing, DORA, cyber security, datakwaliteit en informatiebeveiliging. Daarnaast ontvangen alle aangesloten klanten per kwartaal een fondsspecifieke niet-financiële risicorapportage (NFR). Net als voorgaande jaren bepalen onze klanten ook onze auditkalender. In 2023 zijn de audits: datakwaliteit, interfaces, cyber security, deelnemerscommunicatie, indexaties, gedragslijn klachten en ransomware uitgevoerd.
AZL Data Apk
Casper Lötgerink, IT-manager BPFL en
Ron Ramakers, Supervisor Internal Audit AZL
Succesvolle samenwerking
Met de naderende Wtp staan pensioenfondsen voor de uitdaging om hun datakwaliteit aantoonbaar te controleren. Een treffend voorbeeld van zo’n succesvolle samenwerking is die tussen Bedrijfstakpensioenfonds Levensmiddelen (BPFL) en AZL, waarbij gebruik is gemaakt van de AZL Data Apk.
Lees hier het hele interview
Ons financieel resultaat