De financiële toezichthouders hebben de afgelopen jaren veel aandacht gevraagd voor de kwaliteit van de systematische Integriteitsrisicoanalyse (SIRA) als startpunt voor een goede risicobeheersing. Belangrijk onderdeel hiervan is de integrity risk appetite. Hier lees je meer over wat een integrity risk appetite inhoudt en hoe je deze zelf vaststelt. Ook worden de valkuilen bij het opstellen beschreven.
Wat houdt een integrity risk appetite in?
Een integrity risk appetite geeft antwoord op de vragen welke integriteitsrisico’s de instelling acceptabel vindt nadat beheersmaatregelen zijn toegepast. Maar ook welke risico’s de onderneming niet bereid is om te nemen.
Met een integrity risk appetite statement wordt expliciet aangegeven welke integriteitsrisico’s de instelling bereid is te accepteren. Idealiter wordt de integrity risk appetite voor het opstellen van de SIRA opgesteld. Toezichthouder DNB merkt op dat het in de praktijk ook vaak een interactief proces is.
Hoe stel ik een integrity risk appetite op?
Je bepaalt de risicobereidheid voor de integriteitsrisico's die je voor je organisatie identificeert. Voorbeelden van integriteitsrisico's zijn: interne en externe fraude, witwassen en cybercriminaliteit.
Twee voorbeelden van een integrity risk appetite statement:
- Wij werken niet mee aan het faciliteren van witwassen en het financieren van terrorisme door onze klanten. Wij hebben daarom geen tot lage risicobereidheid voor afwijkingen op de Wwft en de Sanctiewet. Enige afwijking is mogelijk in de situatie dat de klant en/of UBO wordt vervolgd voor financieel-economische activiteiten maar waarvan het vonnis nog niet definitief is. Een afwijking is alleen mogelijk bij het voorleggen van besluitvorming aan senior management en in het geval er voldoende maatregelen zijn om het proces te volgen tot het vonnis definitief is.
- Onze belangrijkste kernwaarde is betrouwbaarheid. Wij laten wij ons daarom ook niet in met frauduleuze activiteiten. Niet door onze medewerkers en niet door onze leveranciers en andere samenwerkingspartners. Onze risicobereidheid op interne fraude is nihil. Alle signalen van niet integer gedrag worden serieus genomen. Geconstateerde fraude wordt binnen de hiervoor gestelde termijnen onderzocht en afgehandeld en er worden maatregelen genomen zijn om nieuwe gevallen te voorkomen.
Een risk appetite is per definitie dynamisch. Ontwikkelingen in de onderneming en in de buitenwereld kunnen immers leiden tot het bijstellen van uw risicobereidheid.
Valkuilen bij het opstellen van een integrity risk appetite
Bij het opstellen van een integrity risk appetite zijn er verschillende valkuilen. Projective Group beschrijft waar je op moet letten.
- Integrity risk appetite staat los van de doelstellingen van de organisatie.
Veel ondernemers zien een risk appetite als een belemmering voor het bereiken van doelstellingen. We zien dat nadenken over risk appetite ook betekent nadenken over welke risico's juist genomen kunnen worden om de organisatiedoelstellingen te bereiken.
- Integrity risk appetite behoort toe aan een afdeling of een individu
Te vaak wordt een risk appetite opgesteld door een individu, zonder na te gaan of je dit als management kunt en wilt uitdragen. Hierdoor verliest een risk appetite aan waarde. Een goede risk appetite is per definitie een gedeelde, persoonsonafhankelijke visie. Alle medewerkers moeten zich ermee kunnen verbinden in hun dagelijks werk. De toon aan de top is hierbij bepalend.
- Een integrity risk appetite is een wettelijke verplichting
Het hebben van een integrity risk appetite vloeit voort uit de wettelijke bepalingen in de context van een gezonde en gecontroleerde bedrijfsvoering en ondersteunt je bij het naleven van de Wwft en Sanctiewetgeving. Als het gaat om klantintegriteit, gaat het niet alleen om wat wettelijk wel of niet is toegestaan, maar eerder om principes waar je als organisatie bewust voor staat. Deze principes zijn niet altijd zwart-wit of statisch. We zien bijvoorbeeld dat belastingontduiking steeds minder geaccepteerd wordt, ook al hoeft het in principe geen illegale activiteit te zijn.
- Integrity risk appetite is geen prioriteit
Er zijn dagelijks situaties denkbaar waarbij het nodig is terug te grijpen op je risicobereidheid. Een simpel voorbeeld: een project om een nieuw CRM systeem in te voeren is vertraagd. Dit kan leiden tot een situatie waarbij je na moet denken of de beveiliging van je huidige systeem nog wel past binnen je risk appetite om ‘geen enkele interne fraude toe te staan’ en/of dit leidt tot een overschrijding van deze risicobereidheid. In dat geval zul je mogelijk aanvullende beheersmaatregelen moeten nemen.
Een heldere risk appetite kan een kompas zijn voor medewerkers in hoe om te gaan met bijvoorbeeld de situatie dat een trouwe klant een nieuw incassorekeningnummer doorgeeft op naam van een andere rekeninghouder. Het risico op het faciliteren van witwassen wordt hiermee immers groter.
- Integrity risk appetite is te algemeen
Een organisatie die enkel stelt geen integriteitsrisico te willen lopen en geen nadere invulling hieraan geeft, geeft geen richting aan de risico’s die zij feitelijk loopt. Een goede risicobereidheid is gebaseerd op een grondige analyse van de inherente risico’s, en wel op het niveau van haar producten en diensten, distributiekanalen en samenwerkingsverbanden, klanten en werknemers. Je voorkomt hiermee ook onnodige kosten en gemiste baten.
Meer weten?
Kun je wel wat hulp gebruiken bij het uitvoeren van een integriteitsrisicoanalyse of het bepalen van je risk appetite? Onze consultants ondersteunen je graag. Neem gerust contact met ons op.