Om de integriteit van de financiële sector te waarborgen, schrijft de wet voor dat een instelling een adequaat beleid moet voeren om een integere bedrijfsvoering te kunnen waarborgen. Zonder een Systematische Integriteitsrisicoanalyse (SIRA) kan een instelling de integriteitwetgeving niet goed naleven.
De SIRA methodiek is toepasbaar voor de verplichte risico beoordeling in het kader van de Wwft. Daar waar een risico beoordeling in het kader van de Wwft zich beperkt tot de integriteitsrisico’s witwassen, financiering van terrorisme en omzeiling van sanctieregelgeving, behandelt de SIRA alle vormen van integriteitsrisico’s. Een risicobeoordeling in het kader van de Wwft wordt in de praktijk dan ook vaak gedaan tijdens de uitvoering (en als onderdeel van) de SIRA.
Risico-analyse
De regelgeving staat een risicogebaseerde benadering toe, maar onontbeerlijk is een proactief nadenken over integriteitsrisico’s en een weldoordachte risico-analyse. Hiermee vormt de risico-analyse ook de basis voor een visie en strategie voor de beheersing van integriteitsrisico’s.
Toezichthouders besteden bijzondere aandacht aan de SIRA. DNB heeft in dat kader onder andere een Gebruiksgids opgesteld en een aanvullende guidance gepubliceerd op haar website. Daaruit blijkt dat DNB bij de beoordeling van een SIRA met name let op de volgende zeven punten:
- een SIRA dient recent te zijn en periodiek te worden uitgevoerd;
- een SIRA dient voor meerdere bedrijfsonderdelen;
- aandacht te schenken aan meerdere integriteitsrisico’s;
- inzicht te geven in diverse brutorisicoscenario’s en meerdere risicofactoren (zie hieronder);
- een overzicht te geven van de kans en impact, deze scores dienen duidelijk en plausibel te zijn;
- per scenario beheersmaatregelen te benoemen en te beoordelen volgens een duidelijke en plausibele methodiek. Daarnaast moet de onderneming aangeven of beheersmaatregelen ook effectief zijn en waaruit dit blijkt;
- beschrijving van nettorisico’s.
Risicoanalyse maken
Zelf een risicoanalyse maken? Dan zijn de volgende stappen belangrijk:
- Voorbereiding (organisatieschets)
- Identificatie van risico's
- Analyseren van risico's (kans en impact)
- Analyse van beheersmaatregelen
- Monitoring en follow-up
De wet en de toezichthouder verlangen een systematische benadering van deze manier van risicobeheersing. En systematisch houdt tevens in dat het een cyclisch proces is: dat betekent dat u de inventarisatie, analyse en de (toetsing van de effectiviteit van de) beheersing periodiek moet doorlopen.
Op de SIRA dient onafhankelijk toezicht te worden gehouden door de compliance functie.
SIRA organisatieschets en risicoprofiel
Voor het goed uitvoeren van de SIRA vormen de organisatieschets en het risicoprofiel (inclusief risk appetite) belangrijke uitgangspunten. Deze zijn richtinggevend bij het uitvoeren van de risico-analyses en het kwalificeren van de uitkomsten hiervan. En zorgen ervoor dat risico’s (verplicht) zijn toegespitst op de aard en omvang van uw specifieke onderneming.
Met het bepalen van de organisatieschets en het risicoprofiel wordt vooral inzicht gegeven in:
- de activiteiten van de onderneming; de locatie van de activiteiten (land- of geografisch risico)
- het product-, transactie- en dienstenrisico;
- het cliënt risico en het leveringskanalen risico;
- de relaties met ‘third parties’ (zoals leveranciers en uitbestedingspartners);
- de relaties met ‘third parties’ (zoals leveranciers en uitbestedingspartners);
Bovenstaande informatie zal cijfermatig onderbouwd moeten zijn om het belang van bepaalde distributiekanalen, producten of klantgroepen duidelijk te maken.
Dit organisatorisch overzicht omvat dus een (kwalitatieve en kwantitatieve) analyse van de risicofactoren. In de DNB Good Practices wordt uiteengezet hoe instellingen eerst de gebieden moeten identificeren waarop het integriteitrisico’s loopt. Voor elk integriteitsrisico moeten de factoren die een rol spelen geïdentificeerd worden.
Tevens moet beschreven worden wat de risicobereidheid van de onderneming is. Hiervoor zal een Integrity Risk Appetite moeten worden bepaald. Deze risk appetite geeft de mate aan waarin de instelling bereid is om bepaalde risico’s te lopen. De integriteitsrisico’s die in de organisatieschets worden besproken, zullen in de SIRA worden afgezet tegen de integrity risk appetite om te kunnen bepalen of risico’s binnen de appetite vallen en/of beheersmaatregelen aanwezig moeten zijn om het risico (ver) te mitigeren.
1. Identificeren en analyseren van integriteitsrisico’s (bruto risico)
De instelling zal vervolgens aan de hand van de risicofactoren de relevante inherente integriteitsrisico in kaart brengen. Deze risico’s worden ook wel bruto risico’s genoemd en gaan uit van een situatie dat de onderneming nog geen beheersmaatregelen heeft getroffen.
Voorbeelden van integriteitrisico’s:
- witwassen;
- terrorisme financiering;;
- omzeiling sanctieregelgeving;
- corruptie (omkoping);
- belangenverstrengeling;
- interne en externe fraude;
- ontduiking of ontwijking van fiscale regelgeving;
- marktmanipulatie;
- cybercrime; en
- maatschappelijk onbetamelijk gedrag.
Het in kaart brengen van de relevante integriteitsrisico’s, doet de instelling aan de hand van relevante scenario’s. Met andere woorden, er wordt omschreven op welke manieren een risico zich kan voordoen. Het is hierbij van belang om na te denken over de mogelijke oorzaken en gevolgen van een risico gebeurtenis.
Aan de hand van de scenario’s wordt per integriteitsrisico het volgende bepaald:
- De kans dat een risico zich voordoet
- De impact van een risico is: kosten of schade wanneer een risico zich heeft voorgedaan
Het resultaat hiervan zijn bruto risico’s. De schaalverdeling die wordt gebruikt om de risico’s de classificeren bepaalt de onderneming zelf en kan dus per onderneming verschillend zijn. Het bruto risico wordt vervolgens afgezet tegen de integrity risk appetite.
Bovenstaande moet dus leiden tot een risico-analyse waarin per risicofactor een of meerdere scenario’s zijn opgenomen. Per scenario moet het inherente risico zijn bepaald en de risicobereidheid.
2. SIRA toepassen in uw organisatie
Na het bepalen van het bruto risico per scenario worden eveneens per scenario de beheersingsmaatregelen bepaald. Door vervolgens de effectiviteit van deze beheersmaatregelen in te schatten krijgt de organisatie een beeld van het netto risico per scenario. Aan de hand van het afzetten van dit netto risico tegen de risk appetite van de organisatie, wordt vervolgens bepaald welke actie moeten worden getroffen om het netto risico te mitigeren. Hierbij kan worden gedacht aan:
- Verbeteren van de beheersing door het nemen van aanvullende maatregelen
- Risico eventueel verzekeren (outsourcen valt hier niet onder)
- Wijzigen van of stoppen met bepaalde activiteiten, diensten en/of producten
De onderneming stelt alle relevante bedrijfsonderdelen in kennis van het beleid en de procedures en maatregelen. Daarnaast dient zorg te worden gedragen voor de uitvoering en de systematische toetsing van het beleid en de procedures en (verbeter)maatregelen.
3. Risico-analyse en opvolging
De onderneming beschikt over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken worden gerapporteerd. Meestal wordt er aan de compliance functie gerapporteerd. Ook dient de onderneming te beschikken over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken met betrekking tot de integere uitoefening van het bedrijf (onder toezicht van de compliance functie) tot een gepaste bijstelling leiden.
SIRA training
Wil je leren hoe je zelfstandig een SIRA uitvoert die voldoet aan de eisen van de toezichthouders? Volg dan onze opleiding, waarbij je stap voor stap aan de slag gaat met het maken van een SIRA binnen jouw eigen organisatie.
Meer weten?
Naast hulp bij de uitvoering, kunnen wij u ook ondersteunen met een kwaliteitscontrole op uw SIRA. Hierbij maken wij gebruik van onze sector-inzichten en eventuele nieuwe scenario’s op basis van ontwikkelingen in de markt en het toezicht. Lees meer over onze dienstverlening of neem contact met ons op voor een vrijblijvend adviesgesprek.
Laatste inzichten
LEES VERDER