5. Risico’s beheersen

De basis van het IRM-proces is onze missie en visie. Van hieruit hebben we strategische doelstellingen vastgesteld. Het doel van risicomanagement is het beheersen van belangrijke risico’s die onze doelstellingen bedreigen. Daarom vormen de strategische doelstellingen de basis voor het IRM-proces.

Risicobereidheid

Zoals gezegd is het belangrijk om risico’s die het behalen van onze doelstellingen bedreigen te beheersen, maar niet volledig uit de weg gaan. Denk bijvoorbeeld aan de beleggingen: om voldoende rendement te kunnen halen, moeten we bereid zijn een bepaald (verantwoord) risico te lopen. Hoe hoog dit risico mag zijn, is door ons in samenspraak met de sociale partners vastgelegd. We hebben de risicobereidheid uitgewerkt en gekoppeld aan de verschillende strategische doelstellingen. Hierin zien we onder andere dat we fouten zoveel mogelijk proberen te voorkomen door op verschillende momenten controles te laten plaatsvinden op de uitvoering. We willen klachten en incidenten tot een minimum beperken, maar maken daarbij ook afwegingen over impact, kosten en tijdsinspanning. 

Voor iedere strategische doelstelling hebben we de belangrijkste hoofdrisico’s in kaart gebracht. Voor deze hoofdrisico’s hebben we ook vastgesteld hoeveel risico we bereid zijn te lopen om de strategische doelstelling te kunnen realiseren. Verderop in dit hoofdstuk hebben we de hoofdrisico’s nader toegelicht.

Risicoanalyse

Om grip te hebben op de hoofdrisico’s worden de belangrijkste deelrisico's (risico-items genoemd) in kaart gebracht. Verderop in dit hoofdstuk, onder instrumenten en beheersing, lichten we de belangrijkste analyses toe.

Beheersmaatregelen

Nadat inzichtelijk is wat de risico-items zijn, beoordelen we in hoeverre deze risico-items buiten onze risicobereidheid vallen. Als risico’s buiten de risicobereidheid vallen, worden beheersmaatregelen vastgesteld om ze te kunnen beheersen. Vervolgens wordt opnieuw beoordeeld of de vastgestelde beheersmaatregelen voldoende zijn om het risico binnen de risicobereidheid te krijgen.  

Het is belangrijk dat de beheersmaatregelen niet alleen zijn beschreven (opzet), maar dat ze ook daadwerkelijk op de beschreven manier worden uitgevoerd (bestaan) en tot slot dat ze het risico helpen beheersen (werking). Een beheersmaatregel moet daadwerkelijk bijdragen aan het verminderen van het risico dat één van de strategische doelstellingen niet wordt gehaald.

Managementrapportage

Risico’s worden gemonitord. Dat gebeurt op veel verschillende plaatsen binnen en buiten de organisatie. Voorbeelden daarvan zijn de dagelijkse monitoring van onze beleggingsportefeuille door de fiduciair vermogensbeheerder, maandrapportages vanuit onze pensioenuitvoeringsorganisatie en kwartaalrapportages over niet-financiële risico’s. Om de onderlinge samenhang te kunnen beoordelen staat elk kwartaal een integrale risicomanagementrapportage op de agenda van de bestuursvergadering. 

Belangrijke aandachtspunten in 2025

Het pensioenfonds kent één IRM-proces, maar vanwege de Wtp en alle voorbereidingen richting een overgang naar het nieuwe pensioenstelsel is er tijdelijk een separaat IRM-proces rondom Wtp ingericht. Dit functioneert naast het reguliere IRM-proces op de huidige pensioenuitvoering. 

In 2025 is de Sleutelfunctiehouder Risicobeheer betrokken geweest bij het besluitvormingsproces voor de overgang naar de nieuwe pensioenregeling. Bij besluitvorming zijn opinies afgegeven om te toetsen of in de voorbereiding op de besluitvorming een zorgvuldig traject is doorlopen, zowel op inhoud als op proces. Om deze rol goed te kunnen invullen zoekt de Sleutelfunctiehouder Risicobeheer de afstemming met de andere sleutelfunctiehouders en met de risicomanagementafdelingen bij onze uitvoeringsorganisaties TKP en Aegon AM. 

De Sleutelfunctiehouder Risicobeheer heeft ook binnen het reguliere proces zijn functie goed kunnen vervullen. Bij diverse onderwerpen heeft hij zijn risico-opinie gegeven. En in zijn kwartaalrapportages heeft hij een toelichting gegeven op diverse risico's binnen het pensioenfonds en concreet zijn bevindingen gedeeld met de eerste lijn in de organisatie.

Tenslotte is de Sleutelfunctiehouder Risicobeheer gedurende het jaar nauw betrokken geweest bij de ontwikkelingen bij onze belangrijkste uitbestedingsrelaties. Periodiek is er overleg met de tweedelijns risicomanagementfuncties binnen die organisaties.

Wtp-project en risico's

Het Wtp-project is een cruciaal en langlopend project binnen het pensioenfonds en is gekoppeld aan omvangrijke en langlopende verandertrajecten bij onze uitvoeringsorganisaties TKP en Aegon AM. Als pensioenfonds monitoren wij de project-, voortgangs- en risicorapportages bij TKP en Aegon AM actief en bespreken deze rapportages in het voltallige bestuur. Wij bewaken daarbij dat deze organisaties de benodigde veranderingen inhoudelijk en op tijd realiseren en ook dat zij zelf in voldoende mate in control zijn op de onderliggende projecten. Om het Wtp-project binnen het pensioenfonds te beheersen is er in 2025 gewerkt met een programmamanager. Na het indienen van het invaarbesluit bij DNB is het pensioenfonds overgegaan naar de implementatiefase. In deze fase zullen alle operationele wijzigingen voor de nieuwe pensioenregeling worden voorbereid. Voor de begeleiding van dit traject is een implementatiemanager aangesteld. De implementatiemanager legt in de Wtp-bestuursvergaderingen verantwoording af met een projectrapportage. Aan de hand van de projectrapportage worden de belangrijkste risico's besproken in het bestuur.  

Doorlopend wordt er tijdens het Wtp-project een eigen risico-analyse (RSA) uitgevoerd. Deze RSA wordt ieder kwartaal gerapporteerd aan het bestuur. In deze RSA zijn voor het Wtp-project de volgende hoofdrisico's onderscheiden:

• Omgevingsrisico: dit betreft met name de veranderingen in wet- en regelgeving. 
• Bestuurlijke processen: hier ligt de nadruk op de besluitvormingsprocessen en stakeholdermanagement.
• Nieuwe pensioenregeling en invaren: met aandacht voor complexiteiten uit de oude regeling, compensatie en risicohouding.
• Uitvoering en projectmanagement: met de nadruk op de datakwaliteit en projectbeheersing.  
• Financiële risico's: met extra aandacht voor de financiële positie van het pensioenfonds richting de transitie.
• Uitbestedingsrisico's: de vraag of de belangrijkste uitvoerders Aegon AM en TKP klaar zijn voor de transitie van het pensioenfonds.
• Pensioenbewustzijn: hier ligt de nadruk op het meenemen van de deelnemers in de aankomende veranderingen. 
• Juridische risico's: de vraag of de voorgenomen aanpassingen en veranderingen passen binnen wet- en regelgeving. 
• Evenwichtigheid: het risico dat bepaalde deelnemers groepen er meer op vooruitgaan dan anderen.
• Operatie en transitie: het risico dat de daadwerkelijke omzetting op het moment van transitie niet goed verloopt.

Op deze hoofdrisico's zijn verschillende onderliggende risico's geïdentificeerd en beheersmaatregelen ingericht. Daarmee blijft het pensioenfonds in controle over de risico's binnen het Wtp-project. 

Zoals hiervoor toegelicht hebben we per strategische doelstelling de hoofdrisico’s vastgesteld. In deze paragraaf nemen wij je op hoofdlijnen mee langs de belangrijkste risico’s en de beheersing daarvan. Daarbij hebben we onderscheid gemaakt naar financiële en niet-financiële risico’s. Deze risico's hebben betrekking op de huidige situatie van het pensioenfonds. Het Wtp-project kent een eigen risicomanagement proces. 

De financiële risico’s zijn in beginsel meetbare risico’s. Om deze te monitoren zijn grenzen vastgesteld. De risico's zijn veelal direct gekoppeld aan de beleggingen van het pensioenfonds. Daarom zijn deze risico's opgenomen in hoofdstuk 2 van dit jaarverslag. Alleen het verzekeringstechnisch risico is als financieel risico hieronder beschreven. 

Het verzekeringstechnisch risico is het risico dat voortvloeit uit mogelijke afwijkingen van actuariële inschattingen die worden gebruikt voor de vaststelling van de technische voorzieningen en de hoogte van de premie. De belangrijkste actuariële risico’s zijn de risico’s van langleven, overlijden (kortleven) en arbeidsongeschiktheid. In de jaarlijkse actuariële analyse worden de afwijkingen tussen de (technische) aannames en de werkelijk waargenomen ontwikkelingen geanalyseerd. Deze risico’s zijn een gegeven. Wij hebben ervoor gekozen, gezien de omvang van het pensioenfonds, het verzekeringstechnisch risico volledig in eigen beheer te houden. 

De belangrijkste maatregel om dit risico te beheersen is een jaarlijkse externe toetsing van de gehanteerde pensioenfondsgrondslagen op prudentie. In 2025 heeft de laatste toetsing plaatsgevonden. Uitkomst van deze toetsing was dat het pensioenfonds voldoende prudent is.

We hebben ook te maken met niet-financiële risico’s. Dat gaat om risico’s die vooral de uitvoering van de pensioenregeling onder druk kunnen zetten. Het betreft ook het bieden van het gewenste handelingsperspectief aan deelnemers en de communicatie richting deelnemers en andere betrokkenen. Voor de verschillende niet-financiële risico’s zijn harde grenzen moeilijk vast te stellen, maar we realiseren ons terdege dat er grote financiële schade kan ontstaan door bijvoorbeeld reputatieschade, niet integer handelen of een onjuiste uitvoering door de externe uitbestedingspartijen. Op kwartaalbasis monitort het bestuur of de risico's binnen de risicobereidheid vallen. Hiernaast volgt een toelichting op de niet-financiële risico's.

Dit is het risico dat ontstaat als we werkzaamheden hebben uitbesteed aan externe partijen en deze partijen niet voldoen aan onze kwaliteitseisen. Het bestuur is verantwoordelijk voor de (onder)uitbesteding en zorgt voor voldoende waarborgen om hierop in control te zijn. Deze waarborgen behelzen onder andere het vastleggen in contracten en bijbehorende documenten van alle gemaakte afspraken over de kwaliteit van de dienstverlening, het duidelijk vastleggen van exit-voorwaarden en het verkrijgen van uitgebreide managementinformatie met een schriftelijke verantwoording over de uitvoering door de uitvoerder. Per kwartaal wordt door de uitvoerders een uitgebreide rapportage aangeleverd. Deze rapportages worden zowel door het bestuur als in overleg tussen het bestuur en de uitvoerders besproken. 

Ten aanzien van de pensioenuitvoeringsorganisatie is met het project van de overgang naar het nieuwe pensioenstelsel, onder gelijktijdige continuering van de bestaande operationele werkzaamheden, in toenemende mate een bijzonder hoge werkdruk komen te ontstaan. Het capaciteitsvraagstuk wat daarbij op de achtergrond speelt is gedurende het jaar 2025 ondanks veel aandacht van de zijde van de pensioenuitvoeringsorganisatie nog niet opgelost. Er is geconstateerd dat de pensioenuitvoeringsorganisatie veel aandacht besteedt aan de bemensing van de organisatie en aan verdere opschaling waar dat nodig is. Het bestuur is voortdurend in overleg met de pensioenuitvoeringsorganisatie om de risico's die aan deze situatie zijn verbonden zoveel mogelijk te beheersen.

Het integriteitsrisico wordt gedefinieerd als het risico dat de integriteit van het pensioenfonds of het financiële stelstel wordt beïnvloed als gevolg van niet-integere en onethische gedragingen binnen de organisatie van het pensioenfonds en van betrokken uitbestedingspartijen. Pensioenfondsen moeten jaarlijks een analyse maken van de integriteitsrisico’s die samenhangen met uitbestedingen. Ze moeten voorkomen dat ze betrokken raken bij handelingen die tegen de wet ingaan of handelingen die maatschappelijk onbetamelijk zijn. Wij onderkennen het belang van een goede en gedegen integriteitsrisicoanalyse. In 2025 is gestart met een uitgebreide integriteitsanalyse, deze zal in 2026 worden afgerond.

Het juridisch risico hangt samen met veranderingen in en naleving van wet- en regelgeving, het mogelijk bedreigd worden van de rechtspositie, met inbegrip van de mogelijkheid dat contractuele bepalingen niet afdwingbaar zijn of niet correct gedocumenteerd worden. Het bestuur maakt onderscheid tussen het juridisch risico dat ontstaat door externe regelgeving en door eigen contracten. Om beheersing te waarborgen ontvangt het pensioenfonds op kwartaalbasis een rapportage met de laatste actualiteiten op het gebied van wet- en regelgeving. Bij het aangaan van contracten vindt uiteraard een gedegen beoordeling van de risico's plaats. Contracten worden vooraf beoordeeld, daarin begrepen juridische risico's, waar nodig worden deze contracten aangepast.

Het omgevingsrisico wordt beperkt door op de hoogte te blijven van de ontwikkelingen via onder andere de Pensioenfederatie en externe adviseurs en door een actieve rol in de pensioendiscussie te spelen. We volgen de vele ontwikkelingen in pensioenland die invloed hebben op ons pensioenfonds op de voet. Een belangrijk onderwerp voor de komende jaren is de Wtp. Met betrekking tot de continuïteit van ons pensioenfonds kan gesteld worden dat het risico dat Koninklijke KPN N.V. (en gelieerde ondernemingen) haar verbintenis opzegt als nihil wordt ingeschat. Mocht dit wel gebeuren, dan heeft het bestuur hiervoor een scenario-analyse gemaakt. In die situatie zal er geen opbouw meer plaatsvinden van nieuwe pensioenen, maar blijft het pensioenfonds voor de in het verleden opgebouwde rechten bestaan. 

IT‑risico definiëren we als het risico dat onderdelen van de dienstverlening op het gebied van IT ontoereikend zijn, wat een negatieve impact kan hebben op de complete dienstverlening. In 2024 hebben we ons IT‑beleid geëvalueerd en aangescherpt, waarbij risicobeheersing een nadrukkelijk aandachtspunt is. Daarnaast onderkennen we cyberrisico’s als een specifiek onderdeel van IT‑risico’s. Dit betreft digitale dreigingen die de beschikbaarheid, integriteit of vertrouwelijkheid van systemen en gegevens kunnen aantasten. In 2025 heeft onze pensioenuitvoeringsorganisatie diverse aanvullende technische en operationele maatregelen genomen om de cyberweerbaarheid te versterken.

We zijn voortdurend alert op mogelijke nieuwe risico's die de doelstellingen van het pensioenfonds kunnen bedreigen. Ons beleid is om deze risico's zo snel als mogelijk te mitigeren.

Om risico’s te identificeren, analyseren en te beheersen zetten we verschillende instrumenten in. Een aantal belangrijke instrumenten lichten wij hier graag toe.

1. Risk Self Assessment (RSA)

Een RSA is een risicoanalyse waarbij de belangrijkste risico’s in kaart worden gebracht die het realiseren van de doelstellingen bedreigen. De risicoanalyse is gericht op zowel de interne als de externe bedrijfsomgeving. Met een RSA beoordelen we of de bestaande beheersing goed functioneert en past bij onze risicobereidheid. De RSA vindt plaats over een periode van twee jaar, waarbij alle belangrijke risico's worden geanalyseerd. Vastlegging vindt plaats in een beheersingsraamwerk. 

In 2025 hebben een aantal RSA's plaatsgevonden. Vanwege de overgang naar de nieuwe pensioenregeling zijn nog niet alle RSA's in 2025 afgerond. De laatste RSA's zullen in 2026 plaatsvinden, waardoor de tweejaars-evaluatieperiode kan worden afgesloten. 

2. Eigenrisicobeoordeling (ERB)

In ons ERB-beleid staat beschreven op welke wijze we de robuustheid van de doelstellingen beoordelen. De nadruk ligt op risico’s waar we in de toekomst mogelijk aan worden blootgesteld. Daarom wordt er gewerkt met verschillende scenario's. De ERB is wettelijk voorgeschreven en wordt minimaal één keer per drie jaar uitgevoerd. De laatste ERB is in 2024 uitgevoerd en vooruitlopend op de Wtp is begin 2024 ook een specifieke ERB voor de Wtp afgerond.

3. ALM-studie

Een Asset Liability Management (ALM) studie is een strategische analyse waarbij de risico's van de balans van het pensioenfonds in kaart worden gebracht. Er wordt gekeken naar de vermoedelijke toekomstige ontwikkelingen van de beleggingen en de pensioenverplichtingen. Een ALM-studie geeft daarmee inzicht in hoe de belangrijkste risicofactoren in de balans van het pensioenfonds doorwerken. Door deze risico's inzichtelijk te maken kan het bestuur deze meewegen in de strategische beleidsvorming. Wanneer risico's in relatie tot de strategische doelstellingen te groot zijn, kan het bestuur beleid maken om de risico's te beheersen.

4. Systematische integriteitsrisicoanalyse (SIRA)

De SIRA richt zich op de beheersing van het integriteitsrisico binnen ons pensioenfonds en bij uitbestedingspartijen. Belangrijke aandachtspunten zijn onder andere het voorkomen en bestrijden van belangenverstrengeling en corruptie. We herijken de integriteitsrisicoanalyse iedere drie jaar, of eerder bij een grote verandering. In 2024 heeft de laatste SIRA plaatsgevonden.