Om de integriteit van de financiële sector te waarborgen, vereist de wet dat financiële instellingen een adequaat beleid hebben om een gezonde bedrijfsvoering te garanderen practices. Zonder een systematische integriteitsrisicoanalyse (SIRA) kan een instelling niet goed voldoen aan de integriteitswetgeving.
De SIRA-methodologie is van toepassing op de verplichte risk beoordeling op grond van de Wwft. Terwijl een risk beoordeling op grond van de Wwft beperkt is tot de integriteitsrisico's van witwassen, financiering van terrorisme en omzeiling van sanctieregelgeving, bestrijkt de SIRA alle vormen van integriteitsrisico's. In de praktijk wordt een risk beoordeling onder Wwft daarom vaak uitgevoerd tijdens de implementatie (en als onderdeel van) de SIRA.
Risico-analyse
De regelgeving staat een op risk gebaseerde aanpak toe, maar wat essentieel is, is een proactieve overweging van integriteitsrisico's en een grondige risk analyse. Risicoanalyse vormt ook de basis voor een visie en strategie voor integriteitsbeheer risk .
toezichthouders speciale aandacht besteden aan de SIRA. In dat kader heeft DNB onder andere een User Guide opgesteld en aanvullende guidance gegeven op haar website. Hierin geeft DNB aan bij de beoordeling van een SIRA bijzondere aandacht te besteden aan de volgende zeven punten. Een SIRA moet:
- een SIRA dient recent te zijn en periodiek te worden uitgevoerd;
- een SIRA dient voor meerdere bedrijfsonderdelen;
- aandacht te schenken aan meerdere integriteitsrisico’s;
- inzicht te geven in diverse brutorisicoscenario’s en meerdere risicofactoren (zie hieronder);
- een overzicht geven van de waarschijnlijkheid en de impact; deze scores moeten duidelijk en plausibel zijn;
- per scenario beheersmaatregelen te benoemen en te beoordelen volgens een duidelijke en plausibele methodiek. Daarnaast moet de onderneming aangeven of beheersmaatregelen ook effectief zijn en waaruit dit blijkt;
- beschrijving van de nettorisico's.
Risicoanalyse maken
Zelf een risicoanalyse uitvoeren? De volgende stappen zijn belangrijk:
- Voorbereiding (organisatieschets)
- Risico-identificatie
- Risicobeoordeling (kans en impact)
- Beheersmaatregelen analyseren
- Monitoring en follow-up
De wet en de toezichthouder eisen een systematische aanpak van deze manier van risicobeheersing. En systematisch betekent ook dat het een cyclisch proces is: je moet de inventarisatie, de analyse en de (beoordeling van de effectiviteit van de) controle periodiek doorlopen.
In de SIRA moet onafhankelijk toezicht door de compliance -functie worden gehandhaafd.
SIRA organisatieschets en risicoprofiel
Voor een goede uitvoering van de SIRA zijn het organisatieschema en het risk profiel (inclusief risk appetite) belangrijke uitgangspunten. Dit zijn leidende principes voor het uitvoeren van risk analyses en het kwalificeren van de uitkomsten ervan. Ze zorgen ervoor dat risico's (verplicht) worden afgestemd op de aard en omvang van uw specifieke bedrijf.
Met het bepalen van de organisatieschets en het risicoprofiel wordt vooral inzicht gegeven in:
- de activiteiten van de onderneming; de locatie van de activiteiten (land- of geografisch risico)
- het product-, transactie- en dienstenrisico;
- het cliënt risico en het leveringskanalen risico;
- de werknemers en de interne cultuur;
- de relaties met 'derde partijen' (zoals leveranciers en outsourcingpartners).
De bovenstaande informatie moet cijfermatig worden onderbouwd om het belang van bepaalde distributiekanalen, producten of klantengroepen te verduidelijken.
Dit organisatieoverzicht bevat daarom een (kwalitatieve en kwantitatieve) analyse van de risk factoren. De DNB Goed Practices schetst hoe instellingen eerst de gebieden moeten identificeren waar integriteitsrisico's bestaan. Voor elke integriteit risk moeten de betrokken factoren worden geïdentificeerd.
De risk appetite van het bedrijf moet ook worden beschreven. Hiervoor moet een Integrity risicobereidheid worden bepaald. Deze risk appetite geeft aan in hoeverre de instelling bereid is bepaalde risico's te nemen. De integriteitsrisico's die in het organigram worden besproken, worden vergeleken met de integriteitsappetijt risk in de SIRA om te bepalen of de risico's binnen de appetijt vallen en/of er controlemaatregelen aanwezig moeten zijn om de risk te beperken.
1. Identificeren en analyseren van integriteitsrisico’s (bruto risico)
De instelling gebruikt vervolgens de risk factoren om de relevante inherente integriteit risk te identificeren. Deze risico's, ook wel bruto risico's genoemd, gaan uit van een situatie waarin het bedrijf nog geen beheersmaatregelen heeft geïmplementeerd.
Voorbeelden van integriteitsrisico's:
- witwassen van geld;
- financiering van terrorisme;
- het omzeilen van sanctieregelingen;
- corruptie (omkoping);
- belangenverstrengeling;
- interne en externe fraude
- belastingontduiking of -ontwijking;
- marktmanipulatie;
- cybercriminaliteit; en
- maatschappelijk onbetamelijk gedrag.
De instelling identificeert relevante integriteitsrisico's aan de hand van relevante scenario's. Met andere woorden, de instelling beschrijft de manieren waarop een risk gebeurtenis kan plaatsvinden. Het is belangrijk om de mogelijke oorzaken en gevolgen van een risk gebeurtenis te overwegen.
Aan de hand van de scenario's wordt het volgende bepaald voor elk integriteitsrisico:
- De waarschijnlijkheid van een risk
- De impact van een risk is: de kosten of schade die wordt opgelopen wanneer een risk werkelijkheid wordt.
Het resultaat is de bruto risk. De schaal die wordt gebruikt om de risico's te classificeren, wordt door het bedrijf zelf bepaald en kan daarom van bedrijf tot bedrijf verschillen. De bruto risk wordt vervolgens vergeleken met de integriteit risk appetite.
Het bovenstaande moet dus resulteren in een risk analyse waarin een of meer scenario's zijn opgenomen voor elke risk factor. Voor elk scenario moeten de inherente risk en de risk appetite worden bepaald.
2. Een SIRA uitvoeren in jouw organisatie
Na het bepalen van de bruto risk voor elk scenario, worden ook de controlemaatregelen bepaald voor elk scenario. Door vervolgens de effectiviteit van deze controlemaatregelen te beoordelen, krijgt de organisatie inzicht in de netto risk voor elk scenario. Door deze netto risk te vergelijken met de risk appetite van de organisatie, wordt vervolgens bepaald welke acties moeten worden ondernomen om de netto risk te beperken. Dit kan het volgende inhouden:
- De beheersing verbeteren door het nemen van aanvullende maatregelen
- Eventueel risico's verzekeren (outsourcing valt hier niet onder)
- Het wijzigen of stopzetten van bepaalde activiteiten, diensten en/of producten
Het bedrijf informeert alle relevante bedrijfsonderdelen over het beleid, de procedures en de maatregelen. Daarnaast moet ervoor worden gezorgd dat het beleid, de procedures en (verbeter)maatregelen worden geïmplementeerd en systematisch worden geëvalueerd.
3. Risicoanalyse en follow-up
Het bedrijf heeft procedures om ervoor te zorgen dat alle tekortkomingen of gebreken die worden vastgesteld, worden gerapporteerd. Gewoonlijk worden deze gerapporteerd aan de compliance functie. Daarnaast moet het bedrijf ook procedures hebben om ervoor te zorgen dat geïdentificeerde tekortkomingen of gebreken met betrekking tot de integriteit van de bedrijfsvoering (onder toezicht van de compliance functie) leiden tot passende aanpassingen.
SIRA training
Als u wilt leren hoe u zelfstandig een SIRA kunt uitvoeren die voldoet aan de wettelijke vereisten, dan is onze SIRA-cursus misschien precies wat u nodig hebt. Tijdens de training begeleiden we je op
door het proces van het uitvoeren van een SIRA binnen je eigen organisatie.
Meer weten?
Naast hulp bij de implementatie kunnen we je ook helpen bij de kwaliteitscontrole van je SIRA. We maken gebruik van onze branchekennis en eventuele nieuwe scenario's op basis van marktontwikkelingen en wettelijke vereisten. Lees meer over onze diensten of neem contact met ons op voor een vrijblijvend adviesgesprek.
Laatste inzichten
LEES VERDER