Systematische integriteitsrisicobeoordeling (SIRA)

Om de integriteit van de financiële sector te waarborgen, eist de wet dat financiële instellingen een adequaat beleid hebben om een gezonde bedrijfsvoering te garanderen practices. Zonder een systematische integriteitsrisicoanalyse (SIRA) kan een instelling niet goed voldoen aan de integriteitswetgeving.

De SIRA methodiek is toepasbaar voor de verplichte risico beoordeling in het kader van de Wwft. Daar waar een risico beoordeling in het kader van de Wwft zich beperkt tot de integriteitsrisico’s witwassen, financiering van terrorisme en omzeiling van sanctieregelgeving, behandelt de SIRA alle vormen van integriteitsrisico’s. Een risicobeoordeling in het kader van de Wwft wordt in de praktijk dan ook vaak gedaan tijdens de uitvoering (en als onderdeel van) de SIRA.

Risico-analyse

De regelgeving staat een risicogebaseerde benadering toe, maar onontbeerlijk is een proactief nadenken over integriteitsrisico’s en een weldoordachte risico-analyse. Hiermee vormt de risico-analyse ook de basis voor een visie en strategie voor de beheersing van integriteitsrisico’s.

Toezichthouders besteden bijzondere aandacht aan de SIRA. DNB heeft in dat kader onder andere een Gebruiksgids opgesteld en een aanvullende guidance gepubliceerd op haar website. Daaruit blijkt dat DNB bij de beoordeling van een SIRA met name let op de volgende zeven punten:

1. een SIRA dient recent te zijn en periodiek te worden uitgevoerd;
2. een SIRA dient voor meerdere bedrijfsonderdelen;
3. aandacht te schenken aan meerdere integriteitsrisico’s;
4. inzicht te geven in diverse brutorisicoscenario’s en meerdere risicofactoren (zie hieronder);
   
5. een overzicht geven van de waarschijnlijkheid en de impact; deze scores moeten duidelijk en plausibel zijn;
6. per scenario beheersmaatregelen te benoemen en te beoordelen volgens een duidelijke en plausibele methodiek. Daarnaast moet de onderneming aangeven of beheersmaatregelen ook effectief zijn en waaruit dit blijkt;
7. beschrijving van de nettorisico's.

Risicoanalyse maken 

Zelf een risicoanalyse uitvoeren? De volgende stappen zijn belangrijk:

1. Voorbereiding (organisatieschets)
2. Risico-identificatie
3. Risicobeoordeling (kans en impact)
4. Beheersmaatregelen analyseren
5. Monitoring en follow-up

De wet en de toezichthouder vereisen een systematische aanpak van deze manier van risicobeheersing. En systematisch betekent ook dat het een cyclisch proces is: je dient de inventarisatie, analyse en de (beoordeling van de effectiviteit van de) controle periodiek te doorlopen.

Op de SIRA dient onafhankelijk toezicht te worden gehouden door de compliance functie.

SIRA organisatieschets en risicoprofiel

Voor het goed uitvoeren van de SIRA vormen de organisatieschets en het risicoprofiel (inclusief risk appetite) belangrijke uitgangspunten. Deze zijn richtinggevend bij het uitvoeren van de risico-analyses en het kwalificeren van de uitkomsten hiervan. En zorgen ervoor dat risico’s (verplicht) zijn toegespitst op de aard en omvang van uw specifieke onderneming.

Met het bepalen van de organisatieschets en het risicoprofiel wordt vooral inzicht gegeven in:

• de activiteiten van de onderneming; de locatie van de activiteiten (land- of geografisch risico)
• het product-, transactie- en dienstenrisico;
• het cliënt risico en het leveringskanalen risico;
• de werknemers en de interne cultuur;
• de relaties met 'derde partijen' (zoals leveranciers en outsourcingpartners).

Bovenstaande informatie zal cijfermatig onderbouwd moeten zijn om het belang van bepaalde distributiekanalen, producten of klantgroepen duidelijk te maken.

Dit organisatorisch overzicht omvat dus een (kwalitatieve en kwantitatieve) analyse van de risicofactoren. In de DNB Good Practices wordt uiteengezet hoe instellingen eerst de gebieden moeten identificeren waarop het integriteitrisico’s loopt. Voor elk integriteitsrisico moeten de factoren die een rol spelen geïdentificeerd worden.

Tevens moet beschreven worden wat de risicobereidheid van de onderneming is. Hiervoor zal een Integrity Risk Appetite moeten worden bepaald. Deze risk appetite geeft de mate aan waarin de instelling bereid is om bepaalde risico’s te lopen. De integriteitsrisico’s die in de organisatieschets worden besproken, zullen in de SIRA worden afgezet tegen de integrity risk appetite om te kunnen bepalen of risico’s binnen de appetite vallen en/of beheersmaatregelen aanwezig moeten zijn om het risico (ver) te mitigeren.

1. Identificeren en analyseren van integriteitsrisico’s (bruto risico)

De instelling zal vervolgens aan de hand van de risicofactoren de relevante inherente integriteitsrisico in kaart brengen. Deze risico’s worden ook wel bruto risico’s genoemd en gaan uit van een situatie dat de onderneming nog geen beheersmaatregelen heeft getroffen.

Voorbeelden van integriteitsrisico's:

• witwassen van geld;
• financiering van terrorisme;
• het omzeilen van sanctieregelingen;
• corruptie (omkoping);
• belangenverstrengeling;
• interne en externe fraude
• belastingontduiking of -ontwijking;
• marktmanipulatie;
• cybercriminaliteit; en
• maatschappelijk onbetamelijk gedrag.
  

Het in kaart brengen van de relevante integriteitsrisico’s, doet de instelling aan de hand van relevante scenario’s. Met andere woorden, er wordt omschreven op welke manieren een risico zich kan voordoen. Het is hierbij van belang om na te denken over de mogelijke oorzaken en gevolgen van een risico gebeurtenis.

Aan de hand van de scenario's wordt het volgende bepaald voor elk integriteitsrisico:

• De kans dat een risico zich voordoet
• De impact van een risico: kosten of schade wanneer een risico heeft plaatsgevonden.

Het resultaat is het bruto risico. De schaal die wordt gebruikt om de risico's te classificeren, wordt bepaald door het bedrijf zelf en kan dus per bedrijf verschillen. Het bruto risico wordt vervolgens afgezet tegen de integrity risk appetite.

Bovenstaande moet dus leiden tot een risico-analyse waarin per risicofactor een of meerdere scenario’s zijn opgenomen. Per scenario moet het inherente risico zijn bepaald en de risicobereidheid.

2. Een SIRA uitvoeren in jouw organisatie

Na het bepalen van het bruto risico per scenario worden eveneens per scenario de beheersingsmaatregelen bepaald. Door vervolgens de effectiviteit van deze beheersmaatregelen in te schatten krijgt de organisatie een beeld van het netto risico per scenario. Aan de hand van het afzetten van dit netto risico tegen de risk appetite van de organisatie, wordt vervolgens bepaald welke actie moeten worden getroffen om het netto risico te mitigeren. Hierbij kan worden gedacht aan:

• De beheersing verbeteren door het nemen van aanvullende maatregelen
• Eventueel risico's verzekeren (outsourcing valt hier niet onder)
• Het wijzigen of stopzetten van bepaalde activiteiten, diensten en/of producten

De onderneming stelt alle relevante bedrijfsonderdelen in kennis van het beleid en de procedures en maatregelen. Daarnaast dient zorg te worden gedragen voor de uitvoering en de systematische toetsing van het beleid en de procedures en (verbeter)maatregelen.

3. Risicoanalyse en follow-up

De onderneming beschikt over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken worden gerapporteerd. Meestal wordt er aan de compliance functie gerapporteerd. Ook dient de onderneming te beschikken over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken met betrekking tot de integere uitoefening van het bedrijf (onder toezicht van de compliance functie) tot een gepaste bijstelling leiden.

SIRA training

Wil je leren hoe je zelfstandig een SIRA uitvoert die voldoet aan de eisen van toezichthouders? Volg dan onze training, die je stap voor stap meeneemt door het proces van het maken van een SIRA binnen je eigen organisatie. Hier lees je meer over de SIRA training.

Meer weten?

Naast hulp bij de implementatie kunnen we je ook ondersteunen met een kwaliteitscontrole van je SIRA. Hierbij maken we gebruik van onze sectorinzichten en eventuele nieuwe scenario's op basis van ontwikkelingen in de markt en het toezicht. Lees meer over onze diensten of neem contact met ons op voor een vrijblijvend adviesgesprek. 

Laatste inzichten

LEES VERDER

Risk & Compliance

Beheersing van SIRA door accountantsorganisaties: drie verbeterpunten.

Risk & Compliance

EBA's impact op de Europese AML praktijk

Risk & Compliance

EBA Richtsnoeren: onboarding van de kwetsbare cliënt

Risk & Compliance

EBA richtsnoeren voor onboarding van cliënten op afstand 

Risk & Compliance

Witwassen via cryptocurrency - de red flags

Risk & ComplianceCase

Verbetering van de efficiëntie van risicoanalyses bij een Nederlandse verzekeraar: "De SIRA zou het hele jaar door een onderwerp moeten zijn"