Bruto- en nettorisico’s
Het brutorisico is het risico
zonder rekening te houden met beheersingsmaatregelen. Door het treffen van beheersingsmaatregelen wordt ernaar gestreefd het brutorisico naar een acceptabel niveau terug te brengen. Dit is
het nettorisico dat het fonds ondanks het nemen van alle maatregelen nog steeds loopt.
Het risico van bijvoorbeeld een cyberaanval zonder enige vorm van beschermingsmaatregelen
is vrij groot (brutorisico). Door
het invoeren van mitigerende
ICT- maatregelen wordt het risico verkleind (nettorisico). Elk kwartaal wordt door het bestuur gekeken
of het nettorisico nog binnen de risicobereidheid past. Als dat niet het geval is, worden er aanvullende maatregelen getroffen.
60
Jaarverslag 2020 - SNPS
a) Risicoprofiel: draagkracht en bereidheid
De risicodraagkracht van SNPS wordt voor een groot deel bepaald door de risicobereidheid van de deelnemers. Bij het bepalen van die risicobereidheid heeft het bestuur de doelstellingen van SNPS als uitgangspunt genomen.
Het fonds maakt daarbij onderscheid
tussen financiële en niet-financiële risico’s. Risico’s die een directe
impact hebben op de omvang van
de bezittingen, verplichtingen en resultaten van het fonds vallen onder
de financiële risico’s. Ter verduidelijking: beleggingen van deelnemers vallen onder de financiële risico’s. Bij niet- financiële risico’s gaat het onder meer om strategische, bestuurlijk operationele en/of reputatierisico’s. Het bestuur bepaalt elk kwartaal of het nettorisico (het risico dat overblijft na de genomen risicobeperkende maatregelen) nog voldoet aan de risicobereidheid van het bestuur.
b) Risicomanagementsysteem
Het risicomanagementsysteem heeft een ‘first, second and third line of defense’. De verantwoordelijkheid voor risicobeheersing is aan diegene die primair verantwoordelijk is voor het betreffende proces. Dit is de ‘first line of defense’ – de eerste verdedigingslinie
- van het risicomanagement van het fonds.
Als ‘second line of defense’, heeft
SNPS een proces voor risicobeheersing ingericht. De afdeling Finance van
Shell Pensioenbureau controleert onafhankelijk of de door de eerste lijn uit te voeren controles gedegen zijn uitgevoerd en of de beheersmaatregelen effectief zijn. Ze gebruiken hiertoe elk kwartaal de zogenoemde Risk and Control Self-Assessment-cyclus (RCSA). In de RCSA wordt bepaald hoe groot de kans is dat een bedreiging zich voordoet en wat de mogelijke impact is. Tevens wordt de opzet, inrichting en werking periodiek geëvalueerd.