Om de integriteit van de financiële sector te waarborgen, eist de wet dat financiële instellingen een adequaat beleid hebben om een gezonde bedrijfsvoering te garanderen practices. Zonder een systematische integriteitsrisicoanalyse (SIRA) kan een instelling niet goed voldoen aan de integriteitswetgeving.
De SIRA methodiek is toepasbaar voor de verplichte risico beoordeling in het kader van de Wwft. Daar waar een risico beoordeling in het kader van de Wwft zich beperkt tot de integriteitsrisico’s witwassen, financiering van terrorisme en omzeiling van sanctieregelgeving, behandelt de SIRA alle vormen van integriteitsrisico’s. Een risicobeoordeling in het kader van de Wwft wordt in de praktijk dan ook vaak gedaan tijdens de uitvoering (en als onderdeel van) de SIRA.
De regelgeving staat een risicogebaseerde benadering toe, maar onontbeerlijk is een proactief nadenken over integriteitsrisico’s en een weldoordachte risico-analyse. Hiermee vormt de risico-analyse ook de basis voor een visie en strategie voor de beheersing van integriteitsrisico’s.
Toezichthouders besteden bijzondere aandacht aan de SIRA. DNB heeft in dat kader onder andere een Gebruiksgids opgesteld en een aanvullende guidance gepubliceerd op haar website. Daaruit blijkt dat DNB bij de beoordeling van een SIRA met name let op de volgende zeven punten:
Zelf een risicoanalyse maken? Dan zijn de volgende stappen belangrijk:
De wet en de toezichthouder vereisen een systematische aanpak van deze manier van risicobeheersing. En systematisch betekent ook dat het een cyclisch proces is: je dient de inventarisatie, analyse en de (beoordeling van de effectiviteit van de) controle periodiek te doorlopen.
Op de SIRA dient onafhankelijk toezicht te worden gehouden door de compliance functie.
Voor het goed uitvoeren van de SIRA vormen de organisatieschets en het risicoprofiel (inclusief risk appetite) belangrijke uitgangspunten. Deze zijn richtinggevend bij het uitvoeren van de risico-analyses en het kwalificeren van de uitkomsten hiervan. En zorgen ervoor dat risico’s (verplicht) zijn toegespitst op de aard en omvang van uw specifieke onderneming.
Met het bepalen van de organisatieschets en het risicoprofiel wordt vooral inzicht gegeven in:
Bovenstaande informatie zal cijfermatig onderbouwd moeten zijn om het belang van bepaalde distributiekanalen, producten of klantgroepen duidelijk te maken.
Dit organisatorisch overzicht omvat dus een (kwalitatieve en kwantitatieve) analyse van de risicofactoren. In de DNB Good Practices wordt uiteengezet hoe instellingen eerst de gebieden moeten identificeren waarop het integriteitrisico’s loopt. Voor elk integriteitsrisico moeten de factoren die een rol spelen geïdentificeerd worden.
Tevens moet beschreven worden wat de risicobereidheid van de onderneming is. Hiervoor zal een Integrity Risk Appetite moeten worden bepaald. Deze risk appetite geeft de mate aan waarin de instelling bereid is om bepaalde risico’s te lopen. De integriteitsrisico’s die in de organisatieschets worden besproken, zullen in de SIRA worden afgezet tegen de integrity risk appetite om te kunnen bepalen of risico’s binnen de appetite vallen en/of beheersmaatregelen aanwezig moeten zijn om het risico (ver) te mitigeren.
De instelling zal vervolgens aan de hand van de risicofactoren de relevante inherente integriteitsrisico in kaart brengen. Deze risico’s worden ook wel bruto risico’s genoemd en gaan uit van een situatie dat de onderneming nog geen beheersmaatregelen heeft getroffen.
Voorbeelden van integriteitrisico’s:
Het in kaart brengen van de relevante integriteitsrisico’s, doet de instelling aan de hand van relevante scenario’s. Met andere woorden, er wordt omschreven op welke manieren een risico zich kan voordoen. Het is hierbij van belang om na te denken over de mogelijke oorzaken en gevolgen van een risico gebeurtenis.
Aan de hand van de scenario’s wordt per integriteitsrisico het volgende bepaald:
Het resultaat is het bruto risico. De schaal die wordt gebruikt om de risico's te classificeren, wordt bepaald door het bedrijf zelf en kan dus per bedrijf verschillen. Het bruto risico wordt vervolgens afgezet tegen de integrity risk appetite.
Bovenstaande moet dus leiden tot een risico-analyse waarin per risicofactor een of meerdere scenario’s zijn opgenomen. Per scenario moet het inherente risico zijn bepaald en de risicobereidheid.
Na het bepalen van het bruto risico per scenario worden eveneens per scenario de beheersingsmaatregelen bepaald. Door vervolgens de effectiviteit van deze beheersmaatregelen in te schatten krijgt de organisatie een beeld van het netto risico per scenario. Aan de hand van het afzetten van dit netto risico tegen de risk appetite van de organisatie, wordt vervolgens bepaald welke actie moeten worden getroffen om het netto risico te mitigeren. Hierbij kan worden gedacht aan:
De onderneming stelt alle relevante bedrijfsonderdelen in kennis van het beleid en de procedures en maatregelen. Daarnaast dient zorg te worden gedragen voor de uitvoering en de systematische toetsing van het beleid en de procedures en (verbeter)maatregelen.
De onderneming beschikt over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken worden gerapporteerd. Meestal wordt er aan de compliance functie gerapporteerd. Ook dient de onderneming te beschikken over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken met betrekking tot de integere uitoefening van het bedrijf (onder toezicht van de compliance functie) tot een gepaste bijstelling leiden.
Wil je leren hoe je zelfstandig een SIRA uitvoert die voldoet aan de eisen van toezichthouders? Volg dan onze training, die je stap voor stap meeneemt door het proces van het maken van een SIRA binnen je eigen organisatie. Hier lees je meer over de SIRA training.
Naast hulp bij de implementatie kunnen we je ook ondersteunen met een kwaliteitscontrole van je SIRA. Hierbij maken we gebruik van onze sectorinzichten en eventuele nieuwe scenario's op basis van ontwikkelingen in de markt en het toezicht. Lees meer over onze diensten of neem contact met ons op voor een vrijblijvend adviesgesprek.