Wiki

Integrity Risk Appetite

De financiële toezichthouders hebben de afgelopen jaren veel aandacht gevraagd voor de kwaliteit van de systematische Integriteitsrisicoanalyse (SIRA) als startpunt voor een goede risicobeheersing. Belangrijk onderdeel hiervan is de integrity risk appetite. Hier leest u meer over wat een integrity risk appetite inhoudt en hoe u deze zelf vaststelt. Ook worden de valkuilen bij het opstellen beschreven.

Wat houdt een integrity risk appetite in?

Een integrity risk appetite geeft antwoord op de vragen welke integriteitsrisico’s de instelling acceptabel vindt nadat beheersmaatregelen zijn toegepast. Maar ook welke risico’s de onderneming sowieso niet wil lopen.

Met een integrity risk appetite statement wordt expliciet aangegeven welke integriteitsrisico’s de instelling bereid is te accepteren. Idealiter wordt de integrity risk appetite voor het opstellen van de SIRA opgesteld. Toezichthouder DNB merkt op dat het in de praktijk ook vaak een interactief proces is.

Lees meer over de SIRA

Hoe stel ik een integrity risk appetite op?

U stelt de risicobereidheid vast op de integriteitsrisico’s die u voor uw organisatie identificeert. Voorbeelden van integriteitsrisico’s zijn: in- en externe fraude, witwassen en cybercrime.

Een tweetal voorbeelden van een integrity risk appetite statement:

  1. Wij werken niet mee aan het faciliteren van witwassen en het financieren van terrorisme door onze klanten. Wij hebben daarom geen tot lage risicobereidheid voor afwijkingen op de Wwft en de Sanctiewet. Enige afwijking is mogelijk in de situatie dat de klant en/of UBO wordt vervolgd voor financieel-economische activiteiten maar waarvan het vonnis nog niet definitief is. Een afwijking is alleen mogelijk bij het voorleggen van besluitvorming aan senior management en in het geval er voldoende maatregelen zijn om het proces te volgen tot het vonnis definitief is.
  2. Onze belangrijkste kernwaarde is betrouwbaarheid. Wij laten wij ons daarom ook niet in met frauduleuze activiteiten. Niet door onze medewerkers en niet door onze leveranciers en andere samenwerkingspartners. Onze risicobereidheid op interne fraude is nihil. Alle signalen van niet integer gedrag worden serieus genomen. Geconstateerde fraude wordt binnen de hiervoor gestelde termijnen onderzocht en afgehandeld en er worden maatregelen genomen zijn om nieuwe gevallen te voorkomen.

Een risk appetite is per definitie dynamisch. Ontwikkelingen in de onderneming en in de buitenwereld kunnen immers leiden tot het bijstellen van uw risicobereidheid.

Valkuilen bij het opstellen van een integrity risk appetite

Bij het opstellen van een integrity risk appetite zijn er verschillende valkuilen. Charco & Dique beschrijft waar u op moet letten.

1. Integrity risk appetite staat los van de organisatiedoelstellingen.

Veel ondernemers zien een risicobereidheid als belemmerend voor het behalen van de doelstellingen. Wij zien dat nadenken over risk appetite ook inhoudt dat er nagedacht wordt over welke risico’s juist wel genomen kunnen worden om de organisatiedoelstellingen te realiseren.

2. Integrity risk appetite is van een afdeling of een persoon

Te vaak wordt een risico-bereidheid door een individu opgesteld, waarbij geen toets plaatsvindt of je dit als directie ook kunt en wilt uitdragen. Hiermee verliest een risico-bereidheid aan waarde. Een goede risicobereidheid is per definitie een gedeeld, persoonsonafhankelijk beeld. Alle medewerkers moeten hierop kunnen aansluiten in hun dagelijkse werkzaamheden. De tone at the top is daarbij bepalend.

3. Een integrity risk appetite is een wettelijke verplichting

Het hebben van een risicobereidheid vloeit voort uit de wettelijke bepalingen in het kader van integere en beheerste bedrijfsvoering, en ondersteunt u in het voldoen aan de Wwft en Sanctiewetgeving. Als het gaat om klantintegriteit gaat het niet alleen om wat er wettelijk wel of niet mag, maar gaat het juist om principes waar je als organisatie bewust voor staat. Deze principes zijn niet altijd zwart wit, of statisch. Zo zien we dat belastingontwijking steeds minder wordt geaccepteerd, terwijl dit in beginsel geen illegale activiteit hoeft te zijn.

4. Integrity risk appetite heeft geen prioriteit

Er zijn dagelijks situaties denkbaar waarbij het nodig is terug te grijpen op uw risicobereidheid. Een simpel voorbeeld: een project om een nieuw CRM systeem in te voeren is vertraagd. Dit kan leiden tot een situatie waarbij u na moet denken of de beveiliging van uw huidige systeem nog wel past binnen uw risk appetite om ‘geen enkele interne fraude toe te staan’ en/of dit leidt tot een overschrijding van deze risicobereidheid. In dat geval zult u mogelijk aanvullende beheersmaatregelen moeten nemen.

Een heldere risk appetite kan een kompas zijn voor uw medewerkers in hoe om te gaan met bijvoorbeeld de situatie dat een trouwe klant een nieuw incassorekeningnummer doorgeeft op naam van een andere rekeninghouder. Het risico op het faciliteren van witwassen wordt hiermee immers groter.

5. Integrity risk appetite is te algemeen

Een organisatie die enkel stelt geen integriteitsrisico te willen lopen en geen nadere invulling hieraan geeft, geeft geen richting aan de risico’s die zij feitelijk loopt. Een goede risicobereidheid is gebaseerd op een grondige analyse van de inherente risico’s, en wel op het niveau van haar producten en diensten, distributiekanalen en samenwerkingsverbanden, klanten en werknemers. U voorkomt hiermee ook onnodige kosten en gemiste baten.

Meer weten?

Kunt u wel wat hulp gebruiken bij het uitvoeren van een integriteitsrisicoanalyse of het bepalen van uw risicobereidheid? Onze consultants ondersteunen u graag. Neem gerust contact met ons op.

Contact