Om risico’s te beperken, moet je in de eerste plaats weten welke risico’s er zijn. In termen van de anti witwasrichtlijnen (AMLD/Wwft) is het van vitaal belang dat de details en scenario’s van en mogelijke veranderingen in deze soms complexe risico’s bekend zijn voordat passende risicobeperkingsstrategieën kunnen worden toegepast om de risico’s te beheersen.

De anti witwasrichtlijn stelt dat risicoanalyse van essentieel belang is en de systematische integriteitsrisicobeoordeling (SIRA) is het proces dat daarvoor wordt gebruikt. Deze risicobeoordeling vereist dat organisaties integriteit gerelateerde risico’s effectief beoordelen. Hierbij worden niet alleen de risico’s in kaart gebracht, maar moeten ook de business en deskundigen worden betrokken om ervoor te zorgen dat er een alomvattend overzicht van de risico’s is.

Het SIRA-proces is een wettelijke verplichting. Als deze risicoanalyse niet wordt uitgevoerd, kan een organisatie niet voldoen aan de risico gebaseerde integriteitswetgeving. Organisaties die onder deze verplichting vallen zijn banken, verzekeraars, betaal- en wisselinstellingen, notarissen, vastgoedbedrijven, trustkantoren en pensioenfondsen. Voorbeelden van integriteitsrisico’s zijn: witwassen, terrorismefinanciering, omzeilen van sanctieregelgeving, corruptie (omkoping), belangenverstrengeling, interne en externe fraude, regelgeving met betrekking tot het ontduiken of ontwijken van belasting en marktmanipulatie.

Huidige analyses moeten worden verbeterd om aan de eisen te voldoen.

Na beoordeling van ruim 170 integriteitsrisicoanalyses in 2015 constateerde De Nederlandsche Bank (DNB) dat meer dan 80% van deze analyses niet aan de eisen voldoet en dat veel organisaties zelfs geen integriteitsrisicoanalyses hebben uitgevoerd. DNB publiceerde een document met duidelijke richtlijnen om organisaties te helpen. Zowel de wet als de toezichthouder eisen een systematische aanpak van risicomanagement. ‘Systematisch’ betekent ook dat dit een cyclisch proces is; met andere woorden dat je periodiek de inventarisatie, analyse en de (beoordeling van de effectiviteit van de) beheersing moet doorlopen. Risico’s zijn immers niet statisch van aard. Zowel interne als externe factoren zullen de risico’s waarmee organisaties worden geconfronteerd, veranderen.

Wettelijke vereisten voor de SIRA

Om ervoor te zorgen dat organisaties op ethische wijze zaken doen, heeft de wetgever in de financiële wetgeving een heel scala aan verplichtingen opgenomen waaraan de organisatie moet voldoen. Systematische inventarisatie en integriteitsrisicoanalyses spelen daarbij een centrale rol. De output van de risicoanalyse is in de eerste plaats een document voor het managementteam. De organisatie dient passende maatregelen te nemen zodat eventuele risico’s actief worden beheerst. Management, Compliance, Risk Management en de business voeren samen de integriteitsrisicoanalyse uit.

De eerste lijn, dat wil zeggen de business, is primair verantwoordelijk voor de kwaliteit en de uitvoering. Hier zullen de risico’s duidelijk worden. De rol van Compliance (d.w.z. de tweede lijn) is er een van procesbewaking, facilitering en toetsing. Ook andere afdelingen, zoals Risk Management of IT Security, kunnen de benodigde input leveren. De directeuren zijn eindverantwoordelijk voor de integriteitsrisicoanalyse.

BlueMonks biedt wijsheid

Een sterk huis moet sterke fundamenten hebben. Met de ervaring van het bedrijf in het uitvoeren van SIRAs voor meerdere (financiële) instellingen, kan BlueMonks u helpen om deze zeer sterke fundamenten te creëren, zodat u effectief kunt worden en de integriteitrisico’s volledig onder controle heeft.

Heeft u onze wijsheid nodig? Vraag het een van onze BlueMonks via wisdom@bluemonks.nl