APG is 'in control'

In het jaarverslag over 2007 heeft de directie van APG een 'In Control Statement' afgegeven. Dit is een verklaring van gewicht, die natuurlijk niet op een achternamiddag tot stand is kunnen komen. Luuk Janssen, directeur Concern Control van APG, vertelt hoeveel werk het heeft gekost.

Het begon met het project 'ABP Control Framework', dat in 2005 uit de startblokken kwam. In dat jaar werd het idee opgevat om de besturingsfilosofie van het bedrijf en de praktische vormgeving daarvan te gaan herijken. In de jaren daarna is dat herijken uitgegroeid tot de inrichting van een totaal nieuwe aanpak van de sturing en beheersing van risico's. In het project hebben in totaal zo'n 150 à 200 medewerkers van APG in de een of andere vorm een bijdrage aan de werkzaamheden geleverd.

Sturen op risico's

"We zijn in maart 2005 begonnen met een brainstormsessie op de hei," vertelt Luuk Janssen. "Onder leiding van Dick Sluimers, nu directievoorzitter maar toen nog directeur Financiën, hebben we onze ideeën over dat herijken van het 'control framework' geconcretiseerd. We kwamen er al snel achter dat het geen herijken moest zijn, maar dat we zo'n raamwerk eigenlijk helemaal opnieuw moesten vormgeven, rekening houdend met de eisen die destijds en nu nog extern en intern aan controlewerkzaamheden worden gesteld. De beleving en insteek daarbij is, dat besturen veel meer dan in het verleden 'risk-based' moet zijn. We worden gedwongen - voornamelijk vanuit de interne kant, maar ook toezichthouder De Nederlandsche Bank is zich op dat vlak nogal aan het mengen - om op een risicogestuurde manier naar de bedrijfsvoering te kijken. Waar zitten de risico's en hoe beheers je die, daar gaat het om. Ons ultieme doel was een 'In Control Statement' in het jaarverslag over 2007 op te nemen en daar zijn we in geslaagd."

Externe aanleidingen

Voor een nieuw controleraamwerk was er destijds volop aanleiding. Transparantie en verantwoording waren de kernthema's in dat verband. Per 1 januari 2005 was de Code Tabaksblat in werking getreden, de Nederlandse corporate-governancecode, maar met een kantoor in New York moest vanzelfsprekend ook de Amerikaanse wet op dit gebied, de Sarbanes-Oxley Act, in acht worden genomen. Daarnaast was het in 2005 al duidelijk dat specifiek voor pensioenfondsen de noodzaak tot 'pension fund governance' zich zou aandienen. Voorts moest met nieuwe wet- en regelgeving rekening worden gehouden: het nieuw Financieel Toetsingskader, nieuwe pensioenwetgeving en de wet Werk en inkomen naar arbeidsvermogen (WIA) met name. Ook startte juist in die periode de discussie over de zelfadministrerende pensioenfondsen (ZAF's), welke zou uitmonden in de oprichting per 1 maart jongstleden van APG. Verder liet behalve toezichthouder De Nederlandsche Bank ook de Autoriteit Financiële Markten zich gelden, werden vanuit Europa richtlijnen opgelegd, werden aan externe accountants verhoogde eisen gesteld en werd, onder andere door de diverse bedrijfsschandalen in die jaren, meer en meer de noodzaak gevoeld om zich tegen reputatierisico's te wapenen. Tot slot waren er diverse maatschappelijke invloeden, zoals individualisering, sectoralisering en flexibilisering, die de aanleiding vormden voor de bezinning op een nieuw controleraamwerk.

Interne aanleidingen

"Maar nog belangrijker waren natuurlijk onze interne aanleidingen," zegt Luuk Janssen. "Je doet zoiets tenslotte niet in de eerste plaats voor de buitenwereld, maar voor jezelf. Om te beginnen wilden we zelf aan de principes van goed bestuur voldoen en eiste de directie dat we konden aantonen 'in control' te zijn. Daarnaast was er destijds vanuit de organisatie vraag naar een centrale kaderstelling. Ook wilden we de directie Financiën opnieuw inrichten en wilden we naar een meer integraal financieel beleid toe. Niet in de laatste plaats stelden we onszelf tot doel om op het gebied van corporate governance een voorbeeld te zijn. We wilden 'industry leadership' kunnen tonen, niet alleen omdat we een vooraanstaand pensioenfonds zijn, maar ook omdat we op de aandeelhoudersvergaderingen van bedrijven waarin wij beleggen, het management op bepaalde zaken willen aanspreken. Dat kan natuurlijk niet wanneer we ons daar zelf niet aan houden." Het moge duidelijk zijn dat destijds de kernthema's in dit verband, zoals gezegd transparantie en verantwoording, als het ware voortdurend in ieders gedachte waren. Daarbij ging men met de Sarbanes-Oxley Act in de Verenigde Staten duidelijk het verst, door zo mogelijk bewijzen te vragen ten aanzien van het 'in control' zijn ('prove me'), terwijl men er in Europa genoegen mee nam als dat werd aangetoond ('show me') en men in Azië niet verder ging dan het te vertellen en elkaar op grond daarvan te vertrouwen ('tell me, trust me'). Luuk Janssen: "We merken dat de golf die door Sarbanes-Oxley in de Verenigde Staten is veroorzaakt, tot evaluatie heeft geleid. Men is erover gaan nadenken of ze daarin toch niet te ver zijn doorgeschoten. Het is een 'rule-based' benadering, waarbij precies is vastgelegd waaronder je een paraaf of een handtekening moet zetten. Het is ook een vrij rekenkundige exercitie. Als je weet hoe vaak een bepaalde activiteit per jaar plaatsvindt, kun je statistisch vaststellen hoeveel controles je moet doen. Wij kiezen toch meer voor een 'principle-based' insteek, hetgeen beter past bij de verantwoordelijkheid van het management. Het management weet waar de risico's zitten en kan het beste bepalen hoe daarmee moet worden omgegaan en hoe zwaar de controlemaatregelen en de testwerkzaamheden moeten zijn."

Vooraf, tijdens en erna

Het nieuwe controleraamwerk, zo werd als doel vastgesteld, moest de basis vormen waarop sturing, beheersing en monitoring van prestaties, kosten en risico's plaatsvinden. "Dat is dus nogal wat," zegt Luuk Janssen. "Sturing is namelijk vooraf richting geven, beheersing vindt tijdens de bedrijfsvoering plaats en monitoring gebeurt achteraf, dus we concentreren ons op alle tijdsdimensies. Bovendien moest het niet uitsluitend een financiële exercitie worden, maar we wilden ook naar prestaties kijken. Dat kunnen ook andere zaken zijn dan financiële, bijvoorbeeld 'targets' op het vlak van wachttijden bij een callcenter of aantallen pensioenoverzichten die de deur uitgaan. We stelden ons daarnaast tot doel om een bepaalde omgeving te creëren waarin het nieuwe controleraamwerk op zijn plaats zou vallen. De 'mind' aan de top is wat dat betreft heel essentieel. Als daar geen draagvlak bestaat voor een andere manier van besturen, dan kun je met z'n allen veel leuke dingen bedenken, maar dan gaat het niet werken. Je zult daar een 'control environment' voor moeten inrichten, waar bepaalde structuren, processen, rollen en verantwoordelijkheden bij horen." Nadat op deze wijze de doelstellingen waren geformuleerd, werd ook nog eens goed op een rijtje gezet welke uitgangspunten tijdens het proces van totstandkoming in ere moesten worden gehouden. Luuk Janssen: "We vonden het vooral belangrijk om de transparantie te verhogen en vertrouwen te creëren. Daartoe was het onder meer noodzakelijk om de dialoog tussen de centrale en decentrale afdelingen binnen het bedrijf op gang te houden en om verbindingen te leggen tussen de controlefilosofie op macroniveau, op microniveau en op mesoniveau daartussen. In dit alles moest eenvoud het sleutelwoord zijn: waar mogelijk wilden we simplificeren, dus in ieder geval geen dingen dubbel doen, en ontbureaucratiseren. Tot slot wilden we aansluiten bij de 'best practises' op dit gebied, zowel in theoretisch opzicht met bijvoorbeeld, voor de kenners, het beste van de COSO- en CoCo-raamwerken en in praktisch opzicht bij wat daarover door Sox, Tabaksblat en de Commissie Frijns is gesteld." Ter toelichting: de Commissie Frijns is de Monitoring Commissie Corporate Governance Code. Deze commissie werd in december 2004 door het kabinet ingesteld en wordt geleid door prof. dr. J.M.G. Frijns, oud-directievoorzitter van ABP. De commissie heeft tot taak de actualiteit en bruikbaarheid van de Nederlandse corporate governance code (ook wel de code Tabaksblat) te bevorderen en de naleving ervan door de Nederlandse beursgenoteerde vennootschappen te bewaken.

Drie concrete stappen

Op dit punt aangekomen - het was inmiddels begin 2006 - was het tijd om met het echte werk te beginnen. Dit bestond om te beginnen daaruit, dat uitgaande van de strategie zoals die op dat moment voor ABP gold, het totale 'policy framework' in kaart werd gebracht. Dit houdt in dat alle relevante beleidsnotities, raamwerken, kaderstellingen, procedures, bedrijfsregelingen, statuten, reglementen enzovoort enzovoort werden geïnventariseerd. "Bij de eerste inventarisatie kwamen we op zo'n honderdveertig à honderdzestig 'policies' uit," vertelt Luuk Janssen. "Van dat aantal schrokken we wel een beetje. In feite hebben we eerst gekeken welke 'policies' je voor een bedrijf als ABP kunt verwachten en vervolgens welke we inderdaad in huis hadden. Het bleek dat zo'n vijfennegentig procent voorhanden was. We hebben vervolgens een klein aantal 'policies' erbij gemaakt en een behoorlijke aantal dubbele met elkaar in lijn gebracht, zodat we uiteindelijk op circa honderd 'policies' uitkwamen. Dat is natuurlijk nog erg veel en we zullen dat in de toekomst best nog eens onder de loep kunnen nemen." De volgende stap bestond uit de concretisering van de sturingsfilosofie, dat wil zeggen het vormgeven van de planning- en controlcyclus en van de besturing en de beheersing. Janssen: "Daar hebben we een concreet plan voor gemaakt en dat vervolgens ook geïmplementeerd. De nieuwigheid van wat we hebben gedaan, zat met name in de integrale aanpak. Dat was de toegevoegde waarde van deze stap in het proces. En ik kan zeggen, het was nog een hele klus om dat gestructureerd in kaart te brengen!" Dat hiermee geen woord te veel is gezegd, illustreert Luuk Janssen met een buitengewoon ingewikkeld stroomschema, van ongeveer een halve vierkante meter groot, waarin alle plannings- en controleactiviteiten van zowel de 'pensioenfabriek' als het vermogensbeheer in onderlinge samenhang zijn weergegeven. "De derde stap was vervolgens dat we de aansluiting met het risicomanagementproces hebben gezocht," zo vervolgt hij. "Daar is heel veel van het werk in gaan zitten. We hebben dat gedaan met behulp van het SRM-model. Dit model wordt door De Nederlandsche Bank gehanteerd om een risico-interpretatie in kaart te brengen. Daar zijn een veertigtal risico's in benoemd, die in een aantal clusters kunnen worden ondergebracht: strategisch risico, renterisico, beleggingsrisico, verzekeringstechnisch risico, indexatierisico, sectoralisatierisico, liquiditeitsrisico, operationeel risico en compliancerisico. We hebben precies geïnventariseerd en in kaart gebracht waar in onze processen deze risico's zich kunnen voordoen. In feite is dat in onze waardeketen gebeurd. Daarin zijn onze acht à tien hoofdprocessen uiteengerafeld in ongeveer vierhonderd deelprocessen, die we allemaal tegen het licht hebben gehouden, op één gestandaardiseerde manier hebben beschreven en vervolgens hebben voorzien van een risico- en controlematrix. Daarin is dus aangegeven welke risico's zich in een proces kunnen voordoen en welke maatregelen we hebben genomen om die risico's te beheersen. Al die matrices vormen uiteindelijk de basis voor de testwerkzaamheden, waaruit aan het einde van de rit moet blijken of je ook daadwerkelijk 'in control' bent geweest."

In control?

Met het vaststellen van de risico- en controlematrices was de klus grotendeels geklaard. Een belangrijke stap was nog wel de integratie van enerzijds de sturing (het vaststellen van prestaties, het prestatiemanagement en het onderkennen van kritische succesfactoren en performance-indicators) en anderzijds de beheersing (het vaststellen van risico's, het risicomanagement en het onderkennen van kritische risico's en beheersmaatregelen) in de diverse begrotings- en verantwoordingscycli binnen het bedrijf. Toen die integratie eenmaal een feit was, kon op grond van het zogenoemde 'assurance proces' ('self assurance' binnen de organisatorische entiteiten en aanvullend de 'internal audit assurance') worden vastgesteld in hoeverre men 'in control' was geweest. Luuk Janssen: "Zodra je mensen vraagt of zij 'in control' zijn en zij ook hun handtekening onder een bepaald type verklaring moeten zetten, merk je dat ze nog eens heel goed gaan nadenken over wat ze nou eigenlijk tekenen. Omdat het nu de allereerste keer was, hebben we dat proces zo goed mogelijk gefaciliteerd. In het tweede kwartaal van vorig jaar hebben we 'risk self assessments' gehad voor elke business unit. Daarbij ging het niet om de procesrisico's, maar om de risico's op een hoger niveau, dus het niveau van de business unit. Dat kunnen risico's van buiten zijn, wegvallende klanten, veranderde wetten enzovoort. De bevindingen uit die 'risk self assessments' in combinatie met de ervaringen uit de testwerkzaamheden hebben we begin dit jaar tijdens de zogenoemde aftekensessies met de directies van de business units besproken. Daarbij kwam aan de orde of er zwaarwegende bevindingen waren, waar ze zich serieus zorgen over maakten en of ze wellicht een voorbehoud in hun verklaring wilden maken. Zo kwamen we gezamenlijk tot het proces van aftekenen. Vervolgens hadden we in maart de aftekensessie met de directie, waarin alle decentrale verklaringen bij elkaar werden opgeteld. Dat was het sluitpunt van het hele traject."

Nu nog volledig beschrijvend

In maart gaf de directie van APG dus zijn 'In Control Statement' af. Luuk Janssen legt uit dat er verschillende soorten statements zijn. "In het algemeen bestaat een statement uit twee paragrafen: een over de financiële kant en een over de overige processen, met name operationele, strategische en compliance-achtige zaken. De Commissie Frijns heeft aangegeven dat op dit moment de 'best practise' is om een positieve assurance over de financiële verantwoording af te geven en een beschrijvende verklaring over de overige aspecten. De positieve assurance houdt in, dat geconstateerd is dat het goed is. In de beschrijvende verklaring staat welke risico's het bedrijf loopt en wat er is gedaan om die risico's te beheersen. Eventueel kunnen ook nog serieuze bevindingen worden beschreven, materiële zwakheden, waaraan nog moet worden gewerkt. Tussen de positieve assurance en de beschrijvende verklaring zit nog een tussenvorm, namelijk de negatieve assurance: het is niet gebleken dat het niet in orde was. APG wil in ieder geval naar een positieve assurance over de financiële verantwoording, maar dat statement zullen we in het jaarverslag over 2007 nog niet afgeven. We zullen deze eerste keer een volledig beschrijvende verklaring afgeven. Dat heeft te maken met de constellatie waarin we tot nu toe hebben gewerkt en waarin we een bestuur hadden dat weliswaar integraal verantwoordelijk voor het beleid en de uitvoering was, maar ten aanzien van de uitvoering toch op relatieve afstand van de dagelijkse gang van zaken stond. Dat gaat veranderen, maar vanuit die optiek was het lastig om nu al meteen een heel zwaar statement af te geven. Het is overigens heel normaal en 'market practise' om in het eerste jaar een volledig beschrijvende verklaring af te geven."

Verdere professionalisering

"Hier zijn we de afgelopen twee jaar mee bezig geweest," besluit Luuk Janssen. "Nu gaan we natuurlijk kijken hoe we dit verder kunnen professionaliseren en op een hoger 'level' kunnen krijgen. We hebben een risicomanagementsysteem aangeschaft waarmee we het proces beter kunnen inrichten, alle documentatie goed kunnen vastleggen, de bevindingen uit de testwerkzaamheden kunnen registreren enzovoort. Elke business unit gaat daar nu mee werken. De eerste pilots zijn uitgerold en in de loop van dit jaar gaan we dat verder vormgeven. We hebben nu twee à drie jaar in een projectverband gewerkt en we gaan het nu in de reguliere organisatie inbedden. We verwachten natuurlijk niet dat alles meteen van een leien dakje zal gaan en we gaan dat daarom via de 'audit committees' monitoren. Daarnaast streven we ernaar per business unit een geïntegreerd verbeterplan op te stellen, waarin de bevindingen uit dit hele traject staan, met daarnaast de bevindingen van onze accountant en de bevindingen op het gebied van compliance. Vervolgens zullen we op grond van al die decentrale verbeterplannen een verbeterplan op concernniveau opstellen, waarin alle aspecten vanuit het control framework, management letters en compliance aan de orde zullen komen. Op die manier zal risicobeheersing in de dagelijkse uitvoering van werkzaamheden een eigen leven gaan leiden." Nog één vraag tot slot: zijn er in het hele traject in de afgelopen twee jaar onaanvaardbare risico's geïdentificeerd? "Nee," zegt Luuk Janssen volmondig, "maar wel is nog eens duidelijk geworden dat één risico echt een bedrijfsrisico op concernniveau is, en dat is de inflatie. We kunnen ons daar wel tegen wapenen, door aan inflatie gerelateerde beleggingen te nemen, maar uiteindelijk kunnen we dat als pensioenfonds niet beïnvloeden en kunnen we het niet volledig afdekken. Dat blijft daarom een heel belangrijk risico."

Verschenen in: ABP Wereld (2008)

Peter van Steen, tekstschrijver, info@petervansteen.nl