Om de integriteit van de financiële sector te waarborgen, vereist de wet dat financiële instellingen een adequaat beleid hebben om een gezonde bedrijfsvoering te garanderen practices. Zonder een systematische integriteitsrisicoanalyse (SIRA) kan een instelling niet goed voldoen aan de integriteitswetgeving.
De SIRA-methodologie is van toepassing op de verplichte risk beoordeling op grond van de Wwft. Terwijl een risk beoordeling op grond van de Wwft beperkt is tot de integriteitsrisico's van witwassen, financiering van terrorisme en omzeiling van sanctieregelgeving, bestrijkt de SIRA alle vormen van integriteitsrisico's. In de praktijk wordt een risk beoordeling onder Wwft daarom vaak uitgevoerd tijdens de implementatie (en als onderdeel van) de SIRA.
De regelgeving staat een op risk gebaseerde aanpak toe, maar wat essentieel is, is een proactieve overweging van integriteitsrisico's en een grondige risk analyse. Risicoanalyse vormt ook de basis voor een visie en strategie voor integriteitsbeheer risk .
toezichthouders speciale aandacht besteden aan de SIRA. In dat kader heeft DNB onder andere een User Guide opgesteld en aanvullende guidance gegeven op haar website. Hierin geeft DNB aan bij de beoordeling van een SIRA bijzondere aandacht te besteden aan de volgende zeven punten. Een SIRA moet:
Zelf een risicoanalyse uitvoeren? De volgende stappen zijn belangrijk:
De wet en de toezichthouder eisen een systematische aanpak van deze manier van risicobeheersing. En systematisch betekent ook dat het een cyclisch proces is: je moet de inventarisatie, de analyse en de (beoordeling van de effectiviteit van de) controle periodiek doorlopen.
In de SIRA moet onafhankelijk toezicht door de compliance -functie worden gehandhaafd.
Voor een goede uitvoering van de SIRA zijn het organisatieschema en het risk profiel (inclusief risk appetite) belangrijke uitgangspunten. Dit zijn leidende principes voor het uitvoeren van risk analyses en het kwalificeren van de uitkomsten ervan. Ze zorgen ervoor dat risico's (verplicht) worden afgestemd op de aard en omvang van uw specifieke bedrijf.
Met het bepalen van de organisatieschets en het risicoprofiel wordt vooral inzicht gegeven in:
De bovenstaande informatie moet cijfermatig worden onderbouwd om het belang van bepaalde distributiekanalen, producten of klantengroepen te verduidelijken.
Dit organisatieoverzicht bevat daarom een (kwalitatieve en kwantitatieve) analyse van de risk factoren. De DNB Goed Practices schetst hoe instellingen eerst de gebieden moeten identificeren waar integriteitsrisico's bestaan. Voor elke integriteit risk moeten de betrokken factoren worden geïdentificeerd.
De risk appetite van het bedrijf moet ook worden beschreven. Hiervoor moet een Integrity risicobereidheid worden bepaald. Deze risk appetite geeft aan in hoeverre de instelling bereid is bepaalde risico's te nemen. De integriteitsrisico's die in het organigram worden besproken, worden vergeleken met de integriteitsappetijt risk in de SIRA om te bepalen of de risico's binnen de appetijt vallen en/of er controlemaatregelen aanwezig moeten zijn om de risk te beperken.
De instelling gebruikt vervolgens de risk factoren om de relevante inherente integriteit risk te identificeren. Deze risico's, ook wel bruto risico's genoemd, gaan uit van een situatie waarin het bedrijf nog geen beheersmaatregelen heeft geïmplementeerd.
Voorbeelden van integriteitsrisico's:
De instelling identificeert relevante integriteitsrisico's aan de hand van relevante scenario's. Met andere woorden, de instelling beschrijft de manieren waarop een risk gebeurtenis kan plaatsvinden. Het is belangrijk om de mogelijke oorzaken en gevolgen van een risk gebeurtenis te overwegen.
Aan de hand van de scenario's wordt het volgende bepaald voor elk integriteitsrisico:
Het resultaat is de bruto risk. De schaal die wordt gebruikt om de risico's te classificeren, wordt door het bedrijf zelf bepaald en kan daarom van bedrijf tot bedrijf verschillen. De bruto risk wordt vervolgens vergeleken met de integriteit risk appetite.
Het bovenstaande moet dus resulteren in een risk analyse waarin een of meer scenario's zijn opgenomen voor elke risk factor. Voor elk scenario moeten de inherente risk en de risk appetite worden bepaald.
Na het bepalen van de bruto risk voor elk scenario, worden ook de controlemaatregelen bepaald voor elk scenario. Door vervolgens de effectiviteit van deze controlemaatregelen te beoordelen, krijgt de organisatie inzicht in de netto risk voor elk scenario. Door deze netto risk te vergelijken met de risk appetite van de organisatie, wordt vervolgens bepaald welke acties moeten worden ondernomen om de netto risk te beperken. Dit kan het volgende inhouden:
Het bedrijf informeert alle relevante bedrijfsonderdelen over het beleid, de procedures en de maatregelen. Daarnaast moet ervoor worden gezorgd dat het beleid, de procedures en (verbeter)maatregelen worden geïmplementeerd en systematisch worden geëvalueerd.
Het bedrijf heeft procedures om ervoor te zorgen dat alle tekortkomingen of gebreken die worden vastgesteld, worden gerapporteerd. Gewoonlijk worden deze gerapporteerd aan de compliance functie. Daarnaast moet het bedrijf ook procedures hebben om ervoor te zorgen dat geïdentificeerde tekortkomingen of gebreken met betrekking tot de integriteit van de bedrijfsvoering (onder toezicht van de compliance functie) leiden tot passende aanpassingen.
Als u wilt leren hoe u zelfstandig een SIRA kunt uitvoeren die voldoet aan de wettelijke vereisten, dan is onze SIRA-cursus misschien precies wat u nodig hebt. Tijdens de training begeleiden we je op
door het proces van het uitvoeren van een SIRA binnen je eigen organisatie.
Naast hulp bij de implementatie kunnen we je ook helpen bij de kwaliteitscontrole van je SIRA. We maken gebruik van onze branchekennis en eventuele nieuwe scenario's op basis van marktontwikkelingen en wettelijke vereisten. Lees meer over onze diensten of neem contact met ons op voor een vrijblijvend adviesgesprek.