Financiële toezichthouders hebben het belang benadrukt van de kwaliteit van de Systematic Integrity Risk Assessment (SIRA) als uitgangspunt voor effectief risico management. Een belangrijk onderdeel hiervan is de integrity risk appetite. Hier leest u meer over wat een integrity risk appetite inhoudt en hoe u deze kunt bepalen. Ook de valkuilen bij het ontwikkelen ervan worden beschreven.
Wat houdt een integrity risk appetite in?
Een integrity risk appetite beantwoordt de vragen welke integriteitsrisico's de instelling aanvaardbaar vindt nadat controlemaatregelen zijn toegepast, en welke risico's het bedrijf in geen geval wil nemen.
Met een integrity risk appetite statement geeft de instelling expliciet aan welke integriteitsrisico's ze bereid is te accepteren. Idealiter wordt de integrity risk appetite vastgesteld voordat de SIRA wordt opgesteld. Toezichthouder DNB merkt op dat het in de praktijk ook vaak een interactief proces is.
Hoe stel ik een integrity risk appetite op?
Je bepaalt de risk appetite voor de integriteitsrisico's die je voor je organisatie hebt geïdentificeerd. Voorbeelden van integriteitsrisico's zijn: interne en externe fraude, witwassen en cybercriminaliteit.
Twee voorbeelden van een integrity risk appetite statement:
- We werken niet mee aan het faciliteren van het witwassen van geld en de financiering van terrorisme door onze klanten. We hebben dan ook geen tot lage-risk appetite in afwijkingen van de Wwft en de Sanctiewet. Enige afwijking is mogelijk in de situatie dat de klant en/of UBO wordt vervolgd voor financieel-economische activiteiten, maar het vonnis nog niet onherroepelijk is. Afwijking is alleen mogelijk als de besluitvorming is voorgelegd aan het senior management en als er voldoende maatregelen zijn getroffen om het proces te volgen totdat het vonnis onherroepelijk is.
- Onze belangrijkste kernwaarde is betrouwbaarheid. Daarom doen we niet aan frauduleuze activiteiten. Niet door onze medewerkers, noch door onze leveranciers en andere partners. Onze risk bereidheid tot interne fraude is nihil. Alle signalen van niet-integriteit worden serieus genomen. Geconstateerde fraude wordt onderzocht en afgehandeld binnen de daarvoor gestelde termijnen en er worden maatregelen genomen om nieuwe gevallen te voorkomen.
Een risk appetite is per definitie dynamisch. Ontwikkelingen in het bedrijf en in de buitenwereld kunnen immers leiden tot aanpassingen van je risk appetite.
Valkuilen bij het opstellen van een integriteitsverklaring risk appetite
Bij het maken van een integere risk appetite zijn er verschillende valkuilen. Projective Group beschrijft waar je op moet letten.
- Integriteit risk appetite staat los van de doelstellingen van de organisatie.
Veel ondernemers zien een risk appetite als een belemmering voor het bereiken van doelstellingen. Wij zien dat het overwegen van risk appetite ook betekent dat je je afvraagt welke risico's gepast genomen kunnen worden om de organisatiedoelen te bereiken.
- Integrity risk appetite behoort toe aan een afdeling of een individu
Maar al te vaak wordt een risk appetite opgesteld door een individu zonder na te denken of deze effectief kan worden overgebracht en bekrachtigd door het management. Hierdoor verliest een risk appetite zijn waarde. Een goede risk appetite is per definitie een gedeelde, persoonsonafhankelijke visie. Alle medewerkers moeten zich ermee kunnen verbinden in hun dagelijkse werk. De toon aan de top is hierbij doorslaggevend.
- Een integrity risk appetite is een wettelijke verplichting
Het hebben van een integrity risk appetite vloeit voort uit de wettelijke bepalingen in het kader van een gezonde en gecontroleerde bedrijfsvoering en ondersteunt u bij het naleven van de Wwft en Sanctiewetgeving. Als het gaat om klantintegriteit, gaat het niet alleen om wat wettelijk wel of niet is toegestaan, maar eerder om principes waar u als organisatie bewust voor staat. Deze principes zijn niet altijd zwart-wit of statisch. We zien bijvoorbeeld dat belastingontduiking steeds minder geaccepteerd wordt, ook al is het niet per se een illegale activiteit.
- Integrity risk appetite is geen prioriteit
Er zijn dagelijks situaties waarin het nodig is om terug te grijpen op je risk appetite. Een eenvoudig voorbeeld: een project om een nieuw CRM-systeem te implementeren heeft vertraging opgelopen. Dit kan leiden tot een situatie waarin u moet overwegen of de beveiliging van uw huidige systeem nog steeds past binnen uw risk appetite van 'geen interne fraude toestaan' en/of dat dit uw risk tolerantie overschrijdt. In dat geval kan het nodig zijn om aanvullende controlemaatregelen te implementeren.
Een duidelijke risk appetite kan een kompas zijn voor je medewerkers in hoe om te gaan met bijvoorbeeld de situatie waarin een trouwe klant een nieuw incassorekeningnummer doorgeeft onder de naam van een andere rekeninghouder. Dit verhoogt immers de risk kans op het faciliteren van witwaspraktijken.
- Integrity risk appetite is te algemeen
Een organisatie die enkel stelt geen integriteitsrisico te willen lopen en geen nadere invulling hieraan geeft, geeft geen richting aan de risico’s die zij feitelijk loopt. Een goede risicobereidheid is gebaseerd op een grondige analyse van de inherente risico’s, en wel op het niveau van haar producten en diensten, distributiekanalen en samenwerkingsverbanden, klanten en werknemers. Je voorkomt hiermee ook onnodige kosten en gemiste baten.
Meer weten?
Kun je wel wat hulp gebruiken bij het uitvoeren van een integrity risk analyse of het bepalen van je risk appetite? Onze consultants ondersteunen je graag. Neem gerust contact met ons op.