Wie van de risicomanager een karikatuur wil maken, zet hem neer als iemand met een rode vlag. Maar dat klopt niet, zegt Arjen Pasma, chief risk officer bij PGGM, in een gesprek over de toegenomen complexiteit van zijn vak en zijn rol.
‘Een risicomanager helpt mee om op gestructureerde wijze risico-gewogen besluiten te nemen, zoals elk beleggingsbesluit dat moet zijn. Daarbij worden duidelijke eisen gesteld – en als het nodig is, wordt inderdaad de rode vlag gehesen. Dat behoeft een sterke ruggengraat en goede governance.’
Het is de definitie die Arjen Pasma (foto) geeft aan zijn eigen professie. Pasma is een lang gediende bij PGGM, dat als pensioenprovider onder meer de 300 miljard euro van Pensioenfonds Zorg & Welzijn (PFZW) administreert en belegt. Behalve managing director Risk & Compliance bij PGGM NV, is Pasma tevens chief risk officer (CRO) binnen PGGM Vermogensbeheer BV.
Pasma acteert op twee niveaus, wat zijn functie uitdagend maakt. In zijn eerste rol stuurt hij op holdingniveau de stafafdeling Risk & Compliance aan. Daar gaat het vooral om operationele risico’s, zoals corporate risk en non-compliance issues als privacy in het kader van AVG, maar ook om modelvalidatie en externe risico’s als cybersecurity en toenemende wet- en regelgeving.
In zijn tweede rol heeft Pasma zitting in de board van PGGM Vermogensbeheer BV, waar de benodigde vermogensbeheervergunningen zoals de AIFMD liggen. De wet eist dat binnen de directie die daarover het beleid voert, een lid het risicomanagement in zijn portefeuille heeft en onafhankelijk is ten opzichte van de beleggingen. Dat is Pasma in de rol van CRO.
Managen met vetorecht
Verantwoordelijk zijn op twee niveaus werkt, zegt Pasma, ‘als er sprake is van consistentie en je het risicomanagement inricht op een uniforme wijze. Vóór 2015 waren er twee bazen die inderdaad twee gescheiden werelden aanstuurden. De wijze waarop we de organisatie nu hebben ingericht, werkt op voorwaarde dat je op al die disciplines goede mensen hebt zitten en ik als eindverantwoordelijke dus niet op elk dossier heel operationeel hoef te zijn.’ De totale Risk & Compliance afdeling van PGGM omvat acht disciplines waarin zo’n zeventig mensen werkzaam zijn.
Bij PGGM Vermogensbeheer BV heeft Pasma ook zitting in het beleggingscomité. Het proces waarmee beleggingsbeslissingen worden genomen is een multidisciplinair proces (het zogenoemde deal team proces), waarin de verschillende riskdisciplines, naast bijvoorbeeld het duurzaam-beleggenteam, de juridische afdeling en de mid-/backoffice, meekijken naar de propositie. Zij observeren al in een vroeg stadium de beoordeling van transacties. Als iets naar voren komt waardoor een belegging niet acceptabel is, kan Pasma daar zijn veto over uitspreken en gaat het niet door.
Private deal: andere koek
‘Gelukkig komt dit zeer zelden voor, want we zijn er vooral op gericht om tot een zo goed mogelijke deal te komen’, vertelt hij. Daarbij maakt het niet uit of het om transacties gaat in publieke of private markten. ‘Maar toch: als er transacties moeten worden gestructureerd in de private markets, is dat wel andere koek’, aldus Pasma. ‘Het is veel arbeids- en kennisintensiever, en bovendien minder schaalbaar. Daardoor is het kostbaarder, waar wel een hogere vorm van rendement tegenover staat. Als fiduciair manager met langere-termijnverplichtingen is dat beslist interessant.’
Het is bovendien een andere vorm van rendement, zegt Pasma. ‘Bij een indexportefeuille met 4000 namen kennen we al die bedrijven echt niet in detail, terwijl je bij een private deal van haver tot gort weet wat er speelt. Je hebt dan ook meer invloed. Je kunt bijvoorbeeld zeggen: los van het financieel rendement willen we dat het volgende wordt bereikt in het kader van de energietransitie. Via een publiek aandeelhoudersbelang lukt dat bijna niet.’
Voor de kiezen
Het risicomanagement wordt door PGGM vormgegeven aan de hand van zogenoemde risicokaarten. Op basis daarvan wordt de risicobereidheid vastgesteld en wordt beleid gevoerd om die risico’s te verlagen – waarbij PGGM een risicobereidheid aanhoudt van ‘laag’ op de meeste risico’s tot ‘midden’ op enkele meer strategische risico’s. In het jongste jaarverslag schrijft PGGM ‘dat de risico’s dynamisch zijn en steeds meer vragen van de organisatie’. Specifiek wordt cybersecurity genoemd, alsook de nieuwe pensioenregeling die met veel wet- en regelgeving gepaard gaat en een relatief langjarige transitie kent.
Pasma stelt dat pensioenfondsen de toenemende wet- en regelgeving lastig vinden. ‘Zie wat banken en verzekeraars aan regelgeving voor de kiezen hebben gekregen; het is niet moeilijk te voorspellen dat een deel van deze vereisten ook richting de pensioenfondsen en hun uitvoerders zullen komen. En terecht. Met een totaal pensioenvermogen in Nederland van 1700 miljard euro hebben we een grote verantwoordelijkheid om te zorgen dat hier geen ongelukken gebeuren en dat ons gedrag geen onbedoelde schadelijke effecten heeft op de leefomgeving, de economie en de werking van financiële markten.’
Geen shortcuts mogelijk
Veel van de regelgeving komt tegenwoordig uit Europa; daar zijn ze niet zo gevoelig voor de uitzonderingspositie waar pensioenfondsen graag mee zwaaien, stelt Pasma. ‘Neem cyberrisico. Je zou denken dat pensioenfondsen een minder aantrekkelijke target zijn dan bijvoorbeeld banken, maar ik zou er niet van uitgaan. Los van het enorme vermogen, hebben pensioenfondsen ook miljoenen persoonsgegevens – die moet je goed bewaken. Stel dat al je deelnemersgegevens op straat komen te liggen, omdat je beveiliging niet op orde was. Bij ons is dat een van de worst case scenario’s; het betekent waarschijnlijk het einde van jou als fonds of uitvoerder.’
‘Het voorrecht om het pensioen van miljoenen hardwerkende Nederlanders te mogen beheren, moet je elke dag opnieuw verdienen en dat betekent ook goed voorbereid zijn op risico’s en zorgen dat de beheersing ervan op orde is en voldoet aan de wettelijke vereisten. Daarin zijn geen shortcuts mogelijk en dat zou je ook niet moeten willen.’
Dit artikel is gepubliceerd in de zesde editie van FN Institutioneel van dit jaar, welke donderdag 25 november 2021 aan geregistreerden wordt verzonden. U kunt zich hiervoor via deze link aanmelden.
Dit is de eerste van een serie gesprekken over risicomanagement bij financiële dienstverleners.