'Wij brengen de risico's en kansen voor onze organisatie in beeld'

Een pensioenfonds heeft te maken met geld- en informatiestromen. Belangrijk dus dat we daar bovenop zitten om dat goed en veilig te doen. Onze risicomanager en business continuity manager leggen uit hoe zij dat doen.

5 minuten leestijd

Wie pensioengeld incasseert, belegt en uitkeert, wil de risico’s rondom die processen zoveel mogelijk beperken. Zeker nu potentiële bedreigingen talrijker lijken te worden. Denk naast financiële risico’s aan cybercriminaliteit, datalekken en op dit moment de situatie in de Oekraïne. Hoe Ahold Delhaize Pensioen zich daartegen wapent leggen Florence Molster (risicomanager) en Bryan van der Voort (business continuity manager) uit.

Wat is jullie rol bij het beperken van risico’s?

Florence: ‘Ahold Delhaize Pensioen is verantwoordelijk voor het identificeren en beheersen van alle mogelijke risico’s en kansen in onze bedrijfsvoering. De collega’s die zich dagelijks bezighouden met de pensioenprocessen werken in de eerste lijn. Ik zit in de tweede lijn, houd het totaaloverzicht, denk mee en daag medewerkers en leveranciers uit. Risicomanagement is een onderdeel van alles wat we doen. En het Business Continuity Management ligt in het verlengde van het risicomanagement.

Bryan: ‘Als zich ondanks alle voorzorgsmaatregelen toch een crisissituatie voordoet, zorg ik er met het crisismanagementteam voor dat de impact minimaal is, de uitval beperkt blijft, en de organisatie weer snel aan de slag kan. Ons werk raakt dus de hele organisatie en vraagt om betrokkenheid van iedereen binnen Ahold Delhaize Pensioen.’

Je zou zeggen: wat kan er nog misgaan?

Florence: ‘Er zijn altijd financiële risico’s die impact op de dekkingsgraad hebben. Beurzen kunnen klappen, de renteontwikkeling kan ons verrassen. Er zijn ook risico’s verbonden aan de dagelijkse bedrijfsvoering en aan het feit dat we daarin soms met externe partijen werken. Denk bijvoorbeeld aan de processen binnen de uitvoeringsorganisatie of bij onze leveranciers, integriteitskwesties, reputatieschade, cybercriminaliteit en datalekken. Zo hebben we zestien risicogebieden in een risicoraamwerk gedefinieerd. Dat raamwerk lopen we na als er nieuwe wetgeving op ons afkomt, we nieuw beleid bepalen, een nieuw beleggingsproduct aangaan of bij belangrijke ontwikkelingen in onze omgeving. Een voorbeeld van een grote verandering die op ons afkomt is het nieuwe pensioenstelsel.

Zijn alle potentiële risico’s afgedekt?

Bryan: ‘Voor ons Business Continuity Management kijken we vooral naar wat de deelnemer direct raakt. Er is bijvoorbeeld een groot probleem wanneer wij de pensioenen niet tijdig uitbetalen. We doen periodiek risico-assessments en simulaties, intern met alle afdelingen, maar ook met leveranciers. Stel, we krijgen te maken met hackers: hoe minimaliseren we dan uitval, hoe beschermen we onze data?

Florence: ‘De beheersmaatregelen zijn cruciaal, het is geen kwestie van afvinken. Maar 100% risico’s uitsluiten is onmogelijk. Het is altijd een afweging: risico versus kosten. We kunnen niet een tweede uitvoeringsorganisatie naast de huidige optuigen als back-up.’

' Het is goed om crisissituaties te doorleven’

Florence Molster

Desondanks is Ahold Delhaize Pensioen goed bewapend tegen risico’s?

Florence: ‘Ja, maar het vergt veel flexibiliteit, ook omdat er zoveel verandert in onze wereld.’

Bryan: ‘Als er een cyberaanval komt op onze systemen, moeten we snel met leveranciers kunnen schakelen. Dus ook als alle seinen op groen staan, moeten we alert blijven. Daarom doen we simulaties, de ene keer met het bestuur en de bijbehorende commissies, de andere keer met het crisismanagementteam. We simuleren bijvoorbeeld een datalek of ransomware-aanval om onze procedures en maatregelen te testen.’

Florence: ‘Het is goed om crisissituaties te doorleven, ook om paniekreacties te voorkomen als de dijken echt een keer doorbreken.’

Bryan: ‘En we pikken verbeterpunten op om het Business Continuity-plan aan te scherpen. Uit de laatste simulatie kwamen er ook twee verbeterpunten naar voren en die hebben we dan ook direct daarna ingeregeld.’

In hoeverre zijn die beheersmaatregelen voor deelnemers van belang?

Florence: ‘Wij zorgen voor andermans pensioengeld. De organisatie waarbinnen en de processen waarmee we dat doen moeten op orde zijn.’

En voor Ahold Delhaize Pensioen zelf?

Bryan: ‘Risicomanagement en Business Continuity Management ondersteunen het bestuur in het behalen van de bedrijfsdoelstellingen.’

Florence: ‘In het risicoraamwerk zijn de risico’s en maatregelen gekoppeld aan onze strategische doelstellingen. Bijvoorbeeld de doelstelling om gezond financieel rendement te behalen: als de rente daalt en dat risico is niet afgedekt, gaat onze dekkingsgraad naar beneden. Optimale klantbeleving is ook een strategische doelstelling waaraan risico’s gekoppeld zijn, zoals onzorgvuldige communicatie. Door die koppeling kunnen we daar scherp op sturen.’

Kun je concluderen dat het pensioenfonds goed voorbereid is op toekomstige onzekerheden?

Bryan: ‘Zo goed mogelijk ja. Cybercriminelen bedenken steeds nieuwe manieren om binnen te dringen in bedrijfsnetwerken, dat is een grote zorg. Tegelijkertijd komen er ook nieuwe mogelijkheden om dat te voorkomen.’

Florence: ‘Risicomanagement is nooit af, ons speelveld verandert voortdurend. Nu ligt de focus bijvoorbeeld op het voldoen aan de Europese ESG-beleggingsrichtlijn - ESG staat voor Environmental, Social, Governance - en het gewenste beleid van Ahold Delhaize Pensioen hierin. We hebben meer en meer te maken met bijvoorbeeld klimaatrisico’s, of straks het nieuwe pensioenstelsel. Kortom, we houden voortdurend de vinger aan de pols.’

Risicomanager. Sinds 2018 werkzaam bij Ahold Delhaize Pensioen. Opleiding: AAG (Actuaris) en RMFI (Risk Management for Financial Institutions). Houdt van sport en lezen (vakliteratuur en filosofie). Florence: ‘Boeiend om in scenario’s te denken en uit te vinden hoe we op risico’s kunnen anticiperen.’

Florence Molster (44)

Manager IT & Projects en Business Continuity Manager. Sinds 2001 werkzaam bij Ahold Delhaize Pensioen. Opleiding: Risicomanagement en Actuarieel Analist. Houdt van kaartspellen, gezinsuitjes en boksen. Bryan: ‘Ik verdiep me graag in nieuwe onderwerpen om het bestaande te kunnen verbeteren.’

Bryan van der Voort (42)