Risicomanagement
We onderkennen en beheersen risico’s vanuit een integraal perspectief. Hierbij wegen we financiële en maatschappelijke waarden mee.
APG Integraal Risicomanagement
Het APG Integraal Risicomanagement (AIR) bestaat uit de risicogovernance en -beleid, de risicocultuur, de risicobereidheid, het risicomanagementproces (ondersteund door het risico & control-raamwerk) en de risicorapportage.
Risicogovernance en -beleid
De rollen en verantwoordelijkheden voor het managen en beheersen van risico’s zijn gebaseerd op het algemeen geaccepteerde ‘Three lines of defense’-model. De risicocommissies van de bedrijfsonderdelen, de raad van bestuur en de audit- en riskcommissie van de raad van commissarissen zien erop toe dat de verantwoordelijkheid voor de risicobeheersing volledig is gewaarborgd en geïntegreerd in de businessplancyclus.
In 2021 zijn de kaders in het Risico & Compliance beleidshuis bijgewerkt. Binnen deze kaders wil APG zijn risico’s beheersen. Zij geven richting aan de bedrijfsonderdelen en stafafdelingen om, binnen hun eigen verantwoordelijkheid, risicomanagement deel te laten uitmaken van de reguliere bedrijfsvoering. Er zijn bijvoorbeeld kaders opgesteld voor de risicotaxonomie. De risicotaxonomie bestaat uit vijf risicocategorieën. Elke categorie bevat de belangrijkste risico’s die passen bij de activiteiten van APG en ze zijn in lijn met de regelgeving zoals die door toezichthouders wordt gesteld. Dit is gebruikelijk in de pensioensector. Jaarlijks wordt de risicotaxonomie geactualiseerd. Daarnaast zijn er kaders opgesteld voor de beheersing van de verschillende risicocategorieën en de uitvoering van het risicomanagementproces.
Risicocultuur
De basis voor een gedegen en effectief risicomanagement ligt echter vooral in het bevorderen van een risicobewuste cultuur. Hierin maakt de afweging van kansen en risico’s op basis van onze risicobereidheid deel uit van het dagelijkse werk op alle niveaus in de organisatie. Binnen de kaders en deze risicocultuur is er ook aandacht voor het melden en detecteren van mogelijke gevallen van fraude. Zo wordt binnen de incidentenregeling van APG rekening gehouden met fraude als bron van een incident. Er is een regeling anoniem melden misstanden en we hanteren een fraudeloket waar nader onderzoek plaatsvindt naar mogelijke gevallen van fraude.
Risicobereidheid
De risicobereidheid beschrijft de aard en omvang van de risico’s die APG bereid is te accepteren bij het nastreven van zijn (strategische) doelstellingen en de daaraan gekoppelde waardecreatie. Ze geeft aan waar ruimte ligt voor het benutten van kansen. Maar ook wat de juiste mate van het afzwakken van ongewenste risico’s is.
De raad van bestuur stelt de strategische risicobereidheid vast voor zeven elementen waarop risico’s impact hebben: voortbestaan, reputatie, relatie, solvabiliteit, integriteit, dienstverlening en klanttevredenheid. Daarnaast is de risicobereidheid per risico uit de risicotaxonomie vastgesteld. Dit is de zogenaamde tactische risicobereidheid.
Risicomanagementproces
Met het risicomanagementproces bewaken we de ontwikkeling van het risicoprofiel ten opzichte van onze risicobereidheid. We voorkomen of verkleinen zo waar nodig effectief risico’s. Onderdeel van dit continue proces zijn het identificeren, evalueren, beheersen en bewaken van risico’s. De tweedelijns risicomanagement- en compliance-functies hebben een onafhankelijke en kritisch uitdagende rol in dit proces. Op periodieke basis wordt in dit kader ook vooruit gekeken naar wijzigingen in wet- en regelgeving. Compliance duidt deze wijzigingen in haar compliance rapportage. Het is de verantwoordelijkheid van de bedrijfsonderdelen om deze wijzigingen in wet- en regelgeving in processen en beheersmaatregelen te verwerken. Het risico & control-raamwerk helpt ons ervoor te zorgen dat we ons houden aan het gewenste risicoprofiel. We nemen geen onnodige of ongewenste risico’s. Het geeft ons ook inzicht in de effectiviteit van onze kritische beheersmaatregelen. Zo nodig nemen we passende maatregelen.
Risicorapportage
We monitoren continu op basis van vijf risicocategorieën: strategische risico’s, operationele risico’s, financiële verslaggevingsrisico’s, compliance risico’s en financiële risico’s. Binnen deze categorieën actualiseert APG jaarlijks een set subrisico’s. Die vloeien voort uit externe ontwikkelingen, onze strategie en onze bedrijfsvoering. Elk kwartaal rapporteren we over het actuele risicoprofiel aan het risicocommissie van APG en de audit- en riskcommissie van de raad van commissarissen.
Tot het proces van operationele risicobeheersing hoort dat we steeds aantoonbaar ‘in control’ zijn, zowel intern (corporate) als extern (ten behoeve van pensioenfondsen). APG stelt hierover rapportages op conform de ISAE 3402 en 3000A standaarden. De rapportages over pensioenbeheer en vermogensbeheerprocessen zijn onder andere bedoeld voor de acht pensioenfondsen waar we voor werken. In 2021 bleef de blootstelling aan risico’s van APG binnen de gestelde tolerantiegrenzen. Op een aantal terreinen was sprake van verhoogde risico’s.
Hierna geven we een toelichting op de belangrijkste risico’s in 2021, onderverdeeld naar de belangrijkste stakeholdersgroepen.
Risicobeheersing algemeen
Ondanks het feit dat APG, net als in 2020, te maken kreeg met de effecten van de coronapandemie, heeft dit geen negatief effect gehad op de bedrijfsvoering en hebben vooraf onderkende risico’s zich niet gemanifesteerd. Begin 2021 vond een actualisatie plaats van de risicoanalyse. Dit leidde echter niet tot significant andere inzichten. Onze stakeholders (pensioenfondsen en toezichthouders) werden geïnformeerd over de ontwikkelingen en de geïdentificeerde risico’s. Op basis van onze risicoanalyse en de actualisatie daarvan zien wij de volgende belangrijkste risico’s:
Information Risk Management
Om toegang tot organisaties te verschaffen, lanceren cybercriminelen in steeds grotere mate phishing campagnes. Ze maken steeds meer gebruik van technieken op het gebied van Social Engineering, bijvoorbeeld om ransomware te installeren. Doorgaans zijn deze speciaal ontworpen om e-mailgebruikers te verleiden op URL’s te klikken. Deze URL's lijken op legitieme bronnen, maar zijn kwaadaardig. Via diverse awareness campagnes brengen we dit risico voortdurend onder de aandacht van alle medewerkers. Bovendien doorlopen zij een training op het gebied van compliance en cybersecurity.
Daarnaast is onlangs duidelijk geworden dat kwetsbaarheden in software componenten door cybercriminelen actief worden gebruikt in hun pogingen om toegang te krijgen tot informatiesystemen van organisaties. Ook hier hebben wij actief gereageerd en zijn maatregelen getroffen om de effecten hiervan te beperken en het risico af te zwakken. Niettemin blijft het cybersecurityrisico aanwezig.
Medewerkers
Vanaf de start van de coronapandemie liet het ziekteverzuim onder onze medewerkers een dalende trend zien. Naarmate de crisis langer duurde, zette deze trend niet door. We zijn ons bewust van de negatieve effecten die de coronapandemie heeft op de medewerkers. Door het thuiswerken neemt de sociale verbondenheid af. Ook kan eenzaamheid ontstaan door het werken op afstand. Dit heeft onze aandacht. Daarnaast is het van belang dat nieuwe medewerkers zo goed mogelijk kennismaken met APG, zodat zij worden meegenomen in de normen en strategische kernwaarden waar wij voor staan.
Risicobeheersing klanten
Voor APG en voor onze klanten is het van belang dat de organisatie in control is en dat de belangrijkste risico’s goed worden beheerst. Hiervoor is binnen APG het Three lines of defence (3LoD) model ingericht. Op basis hiervan worden onze processen zodanig ingericht dat wij aantoonbaar 'in control' zijn. Vanuit dit model is voor de pensioenadministratie geconstateerd dat in onze primaire processen en de daarin aanwezige controle- en beheersingsmaatregelen nog verbeteringen kunnen worden aangebracht. De Nederlandse Bank (DNB) bevestigde dit na een onderzoek in 2019. We zijn hiermee volop bezig. In 2021 zijn risicoanalyses uitgevoerd op de primaire processen van de pensioenadministratie. Voor het merendeel van de processen zijn deze in 2021 ook afgerond.
Tevens zijn vanuit het 3LoD model bevindingen geconstateerd ten aanzien van het functioneren van reeds geïmplementeerde controle- en beheersingsmaatregelen binnen APG. Het betreft bevindingen in de monitoring van werkvoorraden en verplichte pensioencommunicatie, in analyses van aansluitingen en onwaarschijnlijkheden, alsmede bevindingen als gevolg van het niet juist, of niet tijdig uitvoeren van (4-ogen) controles en het ontoereikend zijn van de beheersingsmaatregelen op het tijdig intrekken van autorisaties. Voor alle bevindingen zijn analyses uitgevoerd, waarbij is vastgesteld dat deze bevindingen ten aanzien van de beheersingsmaatregelen niet hebben geleid tot structurele foutieve of ongeautoriseerde verwerkingen in onze administraties of het niet tijdig uitvoeren van werkzaamheden. Er zijn acties uitgezet om de beheersingsmaatregelen scherper en consequenter te definiëren en uit te voeren en deze te monitoren om herhaling te voorkomen.
Om aan onze klanten onafhankelijke zekerheid te bieden over de inrichting en werking van onze controle- en beheersingsmaatregelen geven we Standaard 3402 en Standaard 3000A rapportages af over de dienstverlening voor pensioenbeheer en vermogensbeheer. De externe accountant voorziet deze rapportages van assurance. Als gevolg van bevindingen, onder andere vanuit het 3LoD model, heeft de externe accountant voor 2021 beperkingen in zijn oordeel opgenomen met betrekking tot de Standaard 3402 en Standaard 3000A rapporten van APG.
Als gevolg van de turbulente wereldeconomie en de ontwikkelingen op de financiële markten blijft de vraag van onze klanten naar ad-hocanalyses hoog. Dit wordt versterkt door de actuele ontwikkelingen in de Nederlandse pensioensector. Onze klanten vragen goed onderbouwde adviezen om tot zorgvuldige besluitvorming te kunnen komen. Om hieraan naast onze standaarddienstverlening aan de pensioenfondsen te kunnen voldoen, hebben we diverse vacatures ingevuld.
De uitwerking van het pensioenakkoord dat de regering heeft gesloten met sociale partners liep in 2021 vertraging op. Zoals ook eerder in dit verslag is vermeld, wordt binnen Pensioen van Straks gekeken naar alle aspecten en risico’s die zich hierdoor kunnen voordoen. In de toekomst verwachten deelnemers meer inzicht in hun pensioenopbouw. Hiervoor moeten hun basisgegevens actueel zijn. Het risico van achterstallige mutaties is dat de datakwaliteit niet aan de standaarden van APG voldoet. Dat kan gevolgen hebben voor de pensioenuitkeringen. We hebben hiervoor verschillende beheersmaatregelen getroffen. In 2021 hebben we gewerkt aan het verbeteren van de kwaliteit van de data, de datagovernance en de bijbehorende risicobeheersing en hebben we processen gedigitaliseerd.
Sinds 13 januari 2019 geldt een wettelijke verplichting voor pensioenfondsen om uitbesteding van werkzaamheden aan een derde te melden bij DNB. In 2021 heeft de toezichthouder bij APG een onderzoek uitgevoerd naar uitbestedingen. Op basis daarvan lopen er nu initiatieven om de regie hierop te versterken. Hiermee zorgen we ervoor dat het uitbestedingsrisico wordt beheerst en dat de continuïteit, de integriteit en de kwaliteit van onze dienstverlening niet wordt geschaad door issues rond uitbestede werkzaamheden.
APG verwerkt voor klanten en als werkgever op grote schaal persoonsgegevens. We hechten grote waarde aan een rechtmatige, behoorlijke en transparante verwerking en daarmee bescherming van persoonsgegevens. Het risico is dat we ons onvoldoende aantoonbaar houden aan de wet- en regelgeving rond privacy, in het bijzonder de Algemene verordening gegevensbescherming (AVG). Het afronden van de door APG eerder geconstateerde verbeterpunten met betrekking tot de AVG duurt langer dan verwacht. Dit geldt met name voor het aantoonbaar maken van de uitgevoerde beheersingsmaatregelen op het gebied van privacy.
Risicobeheersing medewerkers
Een stevig en wendbaar HR fundament is essentieel om de strategie van 2025 te kunnen realiseren. De in 2021 uitgevoerde Strategic Workforce Planning ondersteunt bij het vaststellen van de competenties, zoals deelnemergerichtheid en digitalisering, die nodig zijn om de doelen van 2025 te halen. Het risico dat de samenstelling van het personeelsbestand niet aansluit bij onze strategie is nog steeds aan de orde. Krapte op de arbeidsmarkt maakt het ook voor APG lastig om talent aan te trekken.
Om tegemoet te komen aan de veranderende vraag aan competenties lopen er diverse verbetertrajecten en initiatieven op HR-gebied binnen APG. Leiderschapsontwikkeling vindt op verschillende niveaus plaats en er worden diverse programma’s aangeboden die medewerkers en leidinggevenden in staat stellen zich verder te ontwikkelen. Hiermee moeten we in staat zijn de benodigde capaciteit, skills en beweging te creëren in de medewerkerspopulatie. Door corona houdt APG extra aandacht voor de werksituatie. Het zijn van een Great Place to Work blijft een belangrijke en duidelijke doelstelling voor APG.
Risicobeheersing samenleving
Vanuit het perspectief van risicomanagement blijft het beheersen van het politiek risico en het reputatierisico van groot belang voor APG. De inhoud van het publieke debat wordt gevoed door hoe het nieuwe pensioenstelsel wordt ingevuld. We volgen de ontwikkelingen op dit gebied.
Om het reputatierisico inzichtelijk te maken meten we de reputatiescore van APG. De score laat een stabiel positief beeld zien. De reputatiescore van onze grootste klant vertoonde een dalende trend. Dit werd veroorzaakt door diverse onderwerpen die de publiciteit trokken.
Risicobeheersing aandeelhouders
APG wil voor de aandeelhouders een financieel gezonde organisatie zijn. Alleen dan kunnen we de continuïteit van de pensioenuitvoering borgen en onze strategie realiseren. APG streeft ernaar voldoende eigen kapitaal beschikbaar te hebben voor het uitvoeren van strategische initiatieven en het opvangen van financiële schade en verliezen die voortvloeien uit de geïdentificeerde risico’s. Over dit kapitaal streven we naar een maatschappelijk verantwoord rendement, dat gebaseerd is op de gerealiseerde rendementen bij vergelijkbare maatschappelijk georiënteerde ondernemingen.
APG kent een positieve solvabiliteitspositie. Het risico dat pensioenfondsen in een lastige positie komen, bijvoorbeeld als gevolg van geen of te late pensioenafdrachten, heeft zich niet voorgedaan. En daarmee heeft het geen effect gehad op de dienstverlening en het financieel resultaat.
In 2021 hebben we verdere stappen gezet om het strategisch plan 2021-2025 om te zetten in concrete strategische initiatieven. Om deze strategische initiatieven binnen het geschetste tijdspad te kunnen realiseren, is een Strategisch Implementatieplan opgesteld. Gezien de beperkte middelen en het grote beslag van alle initiatieven op de beschikbare capaciteit is het aanbrengen van focus essentieel. Er zijn dus keuzes gemaakt. Voor 2022 zijn onze prioriteiten een beheerste pensioenuitvoering, zonder oneffenheden, de transitie naar het Pensioen van Straks en het verder uitbouwen van APG als toonaangevende belegger.
Financiële verslaggevingsrisico’s
De risicobeheersings- en controlesystemen van APG geven een redelijke mate van zekerheid dat het jaarverslag van APG geen onjuistheden van materieel belang bevat. De werking hiervan wordt door het jaar heen continu getoetst. De raad van bestuur heeft op basis van deze resultaten verklaard dat er geen sprake is van materiële risico’s en onzekerheden die relevant zijn voor de verwachting van de continuïteit van APG. Zie ook het In Control Statement dat hierna is opgenomen.
In Control Statement
Als raad van bestuur van APG Groep NV zijn wij verantwoordelijk voor de opzet, het bestaan en de werking van de interne risicobeheersings- en controlesystemen. De interne risicobeheersings- en controlesystemen hebben tot doel strategische, financiële, operationele, compliance en financiële verslaggevingsrisico’s te beheersen bij de realisatie van de doelstellingen van APG. In de voorgaande risicoparagraaf hebben wij onze belangrijkste risico’s, interne risicobeheersings- en controlesystemen en eventuele tekortkomingen toegelicht.
De interne risicobeheersings- en controlesystemen zijn opgezet op basis van internationaal geaccepteerde en toegepaste standaarden, maar kunnen niet de absolute zekerheid bieden dat de financiële verslaggeving geen materiële onjuistheden bevat, noch dat de systemen alle fouten, fraudegevallen en het niet-voldoen aan relevante wet- en regelgeving volledig kunnen voorkomen.
De materiële risico’s en beheersingsmaatregelen zijn geïdentificeerd en vastgelegd in het APG integraal risicoraamwerk. De raad van bestuur van APG monitort de werking van de interne risicobeheersings- en controlesystemen en beoordeelt ten minste jaarlijks systematisch de opzet en werking van de risicobeheersings- en controlesystemen. De monitoring heeft betrekking op alle materiële beheersingsmaatregelen, gericht op strategische, operationele, financiële, compliance en verslaggevingsrisico’s. Hierbij is onder meer rekening gehouden met geconstateerde zwaktes, misstanden en onregelmatigheden, signalen van klokkenluiders en bevindingen van de interne auditfunctie en de externe accountant. Waar nodig zijn verbeteringen in de interne risicobeheersings- en controlesystemen doorgevoerd.
Verklaring van de raad van bestuur APG Groep NV
De raad van bestuur APG Groep NV verklaart dat:
- Het jaarverslag van APG Groep NV inzicht geeft in de belangrijkste tekortkomingen van de werking van de interne risicobeheersings- en controlesystemen;
- De aangebrachte en voorziene verbeteringen zijn toegelicht;
- De risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat het jaarverslag van APG Groep NV geen onjuistheden van materieel belang bevat;
- Het jaarverslag van APG Groep NV terecht is opgesteld volgens het going concern-principe;
- Er geen sprake is van materiële risico’s en onzekerheden die relevant zijn voor de verwachting van de continuïteit van APG Groep NV voor een periode van 12 maanden na opstellen van het jaarverslag APG Groep NV.