Financiële toezichthouders hebben het belang benadrukt van de kwaliteit van de Systematic Integrity Risk Assessment (SIRA) als uitgangspunt voor effectief risico management. Een belangrijk onderdeel hiervan is de integrity risk appetite. Hier leest u meer over wat een integrity risk appetite inhoudt en hoe u deze kunt bepalen. Ook de valkuilen bij het ontwikkelen ervan worden beschreven.
Een integrity risk appetite beantwoordt de vragen welke integriteitsrisico's de instelling aanvaardbaar vindt nadat controlemaatregelen zijn toegepast, en welke risico's het bedrijf in geen geval wil nemen.
Met een integrity risk appetite statement geeft de instelling expliciet aan welke integriteitsrisico's ze bereid is te accepteren. Idealiter wordt de integrity risk appetite vastgesteld voordat de SIRA wordt opgesteld. Toezichthouder DNB merkt op dat het in de praktijk ook vaak een interactief proces is.
Je bepaalt de risk appetite voor de integriteitsrisico's die je voor je organisatie hebt geïdentificeerd. Voorbeelden van integriteitsrisico's zijn: interne en externe fraude, witwassen en cybercriminaliteit.
Twee voorbeelden van een integrity risk appetite statement:
Een risk appetite is per definitie dynamisch. Ontwikkelingen in het bedrijf en in de buitenwereld kunnen immers leiden tot aanpassingen van je risk appetite.
Bij het maken van een integere risk appetite zijn er verschillende valkuilen. Projective Group beschrijft waar je op moet letten.
Veel ondernemers zien een risk appetite als een belemmering voor het bereiken van doelstellingen. Wij zien dat het overwegen van risk appetite ook betekent dat je je afvraagt welke risico's gepast genomen kunnen worden om de organisatiedoelen te bereiken.
Maar al te vaak wordt een risk appetite opgesteld door een individu zonder na te denken of deze effectief kan worden overgebracht en bekrachtigd door het management. Hierdoor verliest een risk appetite zijn waarde. Een goede risk appetite is per definitie een gedeelde, persoonsonafhankelijke visie. Alle medewerkers moeten zich ermee kunnen verbinden in hun dagelijkse werk. De toon aan de top is hierbij doorslaggevend.
Het hebben van een integrity risk appetite vloeit voort uit de wettelijke bepalingen in het kader van een gezonde en gecontroleerde bedrijfsvoering en ondersteunt u bij het naleven van de Wwft en Sanctiewetgeving. Als het gaat om klantintegriteit, gaat het niet alleen om wat wettelijk wel of niet is toegestaan, maar eerder om principes waar u als organisatie bewust voor staat. Deze principes zijn niet altijd zwart-wit of statisch. We zien bijvoorbeeld dat belastingontduiking steeds minder geaccepteerd wordt, ook al is het niet per se een illegale activiteit.
Er zijn dagelijks situaties waarin het nodig is om terug te grijpen op je risk appetite. Een eenvoudig voorbeeld: een project om een nieuw CRM-systeem te implementeren heeft vertraging opgelopen. Dit kan leiden tot een situatie waarin u moet overwegen of de beveiliging van uw huidige systeem nog steeds past binnen uw risk appetite van 'geen interne fraude toestaan' en/of dat dit uw risk tolerantie overschrijdt. In dat geval kan het nodig zijn om aanvullende controlemaatregelen te implementeren.
Een duidelijke risk appetite kan een kompas zijn voor je medewerkers in hoe om te gaan met bijvoorbeeld de situatie waarin een trouwe klant een nieuw incassorekeningnummer doorgeeft onder de naam van een andere rekeninghouder. Dit verhoogt immers de risk kans op het faciliteren van witwaspraktijken.
Een organisatie die enkel stelt geen integriteitsrisico te willen lopen en geen nadere invulling hieraan geeft, geeft geen richting aan de risico’s die zij feitelijk loopt. Een goede risicobereidheid is gebaseerd op een grondige analyse van de inherente risico’s, en wel op het niveau van haar producten en diensten, distributiekanalen en samenwerkingsverbanden, klanten en werknemers. Je voorkomt hiermee ook onnodige kosten en gemiste baten.
Kun je wel wat hulp gebruiken bij het uitvoeren van een integrity risk analyse of het bepalen van je risk appetite? Onze consultants ondersteunen je graag. Neem gerust contact met ons op.