Wiki

Risico-analyse

Om de integriteit van de financiële sector te waarborgen, schrijft de wet voor dat een instelling een adequaat beleid moet voeren om een integere bedrijfsvoering te kunnen waarborgen. Zonder een Systematische Integriteitsrisicoanalyse (SIRA) kan een instelling de integriteitwetgeving niet goed naleven.

SIRA

De regelgeving staat een risicogebaseerde benadering toe, maar onontbeerlijk is een proactief nadenken over integriteitsrisico’s en een weldoordachte risicoanalyse. Hiermee vormt de risicoanalyse ook de basis voor een visie en strategie voor de beheersing van integriteitsrisico’s.

DNB besteedt sinds 2015 bijzondere aandacht aan de SIRA en heeft in dat kader onder andere een Gebruiksgids opgesteld en een aanvullende guidance gepubliceerd op haar website. Daaruit blijkt dat DNB bij de beoordeling van een SIRA met name let op de volgende zeven punten:

  1. een SIRA dient recent te zijn en periodiek te worden uitgevoerd;
  2. een SIRA dient voor meerdere bedrijfsonderdelen;
  3. aandacht te schenken aan meerdere integriteitsrisico’s;
  4. inzicht te geven in diverse brutorisicoscenario’s en meerdere risicofactoren (zie hieronder);
  5. een overzicht te geven van de kans en impact, deze scores dienen duidelijk en plausibel te zijn;
  6. per scenario beheersmaatregelen te benoemen en te beoordelen volgens een duidelijke en plausibele methodiek. Daarnaast moet de onderneming aangeven of beheersmaatregelen ook effectief zijn en waaruit dit blijkt;
  7. beschrijving van nettorisico’s

Een SIRA: deze stappen doorloopt u

Om tot een goede integriteitsrisicoanalyse te komen zijn de volgende stappen belangrijk:

De wet en de toezichthouder verlangen een systematische benadering van deze manier van risicobeheersing. En systematisch houdt tevens in dat het een cyclisch proces is: dat betekent dat u de inventarisatie, analyse en de (toetsing van de effectiviteit van de) beheersing periodiek moet doorlopen.

Op de SIRA dient onafhankelijk toezicht te worden gehouden door de compliance functie. Charco & Dique kan u ondersteunen bij uw compliance functie.

SIRA organisatieschets en risicoprofiel

Voor het goed uitvoeren van de SIRA vormen de organisatieschets en het risicoprofiel (inclusief risk appetite) belangrijke uitgangspunten die richtinggevend zijn bij het uitvoeren van de risicoanalyses en het kwalificeren van de uitkomsten hiervan.

Met het bepalen van de organisatieschets en het risicoprofiel wordt vooral inzicht gegeven in:

  1. de activiteiten van de onderneming; de locatie van de activiteiten (land- of geografisch risico)
  2. het product-, transactie- en dienstenrisico;
  3. het cliënt risico en het leveringskanalen risico;
  4. de werknemers en de interne cultuur;
  5. de relaties met ‘Third parties’.

Bovenstaande informatie zal cijfermatig onderbouwd moeten zijn om het belang van bepaalde distributiekanalen, producten of klantgroepen duidelijk te maken.

Dit organisatorisch overzicht omvat dus een (kwalitatieve en kwantitatieve) analyse van de risicofactoren. In de DNB Good Practices wordt uiteengezet hoe instellingen eerst de gebieden moeten identificeren waarop het integriteitrisico’s loopt. Voor elk integriteitsrisico moeten de factoren die een rol spelen geïdentificeerd worden.

Tevens moet beschreven worden wat de risicobereidheid van de onderneming is. Hiervoor zal een Integrity Risk Appetite moeten worden bepaald. Deze risk appetite geeft de mate aan waarin de instelling bereid is om bepaalde risico’s te lopen. De integriteitsrisico’s die in de organisatieschets worden besproken, zullen in de SIRA worden afgezet tegen de integrity risk appetite om te kunnen bepalen of risico’s binnen de appetite vallen en/of beheersmaatregelen aanwezig moeten zijn om het risico (ver) te mitigeren.

1. Identificeren en analyseren van integriteitsrisico’s (bruto risico)

De instelling zal vervolgens aan de hand van de risicofactoren de relevante inherente integriteitsrisico in kaart brengen. Deze risico’s worden ook wel bruto risico’s genoemd en gaan uit van een situatie dat de onderneming nog geen beheersmaatregelen heeft getroffen.

Voorbeelden van integriteitrisico’s: witwassen, terrorisme financiering, omzeiling sanctieregelgeving, corruptie (omkoping), belangenverstrengeling, interne en externe fraude, ontduiking of ontwijking van fiscale regelgeving, marktmanipulatie, cybercrime en maatschappelijk onbetamelijk gedrag .

Het in kaart brengen van de relevante integriteitsrisico’s, doet de instelling aan de hand van relevante scenario’s.

Aan de hand van de scenario’s wordt per integriteitsrisico het volgende bepaald:

  1. De kans dat een risico zich voordoet
  2. De impact van een risico is: kosten of schade wanneer een risico zich heeft voorgedaan

Het resultaat hiervan zijn bruto risico’s. De schaalverdeling die wordt gebruikt om de risico’s de classificeren bepaalt de onderneming zelf en kan dus per onderneming verschillend zijn. Het bruto risico wordt vervolgens afgezet tegen de integrity risk appetite.

Bovenstaande moet dus leiden tot de een risicoanalyse waarin per risicofactor scenario’s zijn opgenomen. Per scenario moet het inherente risico zijn bepaald en de risicobereidheid.

2. SIRA toepassen in uw organisatie

Na het bepalen van het bruto risico per scenario worden eveneens per scenario de beheersingsmaatregelen bepaald. Aan de hand van de risk appetite van de organisatie, wordt bepaald welke actie moeten worden getroffen om het netto risico te mitigeren, hierbij kan gedacht worden aan:

  1. Verbeteren van de beheersing (aanvullende maatregelen)
  2. Risico eventueel verzekeren (outsourcen valt hier niet onder)
  3. Wijzigen of stoppen met bepaalde activiteiten, diensten en/of producten.

Maar ook andere maatregelen om risico’s te vermijden kunnen een strategie zijn om binnen de risicobereidheid te blijven. Het beheersingskaders van beleid, maatregelen en procedures zal dan op maat moeten worden ingericht.

De onderneming stelt alle relevante bedrijfsonderdelen in kennis van het beleid en de procedures en maatregelen. Daarnaast dient zorg te worden gedragen voor de
uitvoering en de systematische toetsing van het beleid en de procedures en maatregelen.

3. Risicoanalyse en opvolging

De onderneming beschikt over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken worden gerapporteerd (veelal aan de compliance functie). Ook dient de onderneming te beschikken over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken met betrekking tot de integere uitoefening van het bedrijf (onder toezicht van de compliance functie) tot een gepaste bijstelling leiden.

Risicobeheersing met Ruler

Met een effectief risicobeleid kunt u beter anticiperen op mogelijke risico’s, zodat u effectieve beheersmaatregelen kunt nemen en de continuïteit van uw organisatie kunt waarborgen. Met Ruler heeft u inzicht op de inhoud van relevante normen en heeft u zicht op de regulatory change.

Meer weten?

Bij Charco & Dique beschikken we niet alleen over gedetailleerde kennis van de steeds veranderende financiële wet-en regelgeving, maar hebben we als geen ander de ervaring in huis om onze klanten te ondersteunen bij de toepassing ervan. Soms strategisch, soms pragmatisch maar altijd duurzaam en met vooruitziende blik. Wilt u meer weten over de mogelijkheden? Neem dan contact met ons op.