Om risico's te beperken, moet je eerst weten welke risico's er zijn. In termen van de Anti-witwasrichtlijn (AMLD/WWFT) is het van vitaal belang dat de details en scenario's van en mogelijke veranderingen in deze soms complexe risico's bekend zijn voordat er passende risicobeperkende strategieën kunnen worden geïmplementeerd om de risico's te beheersen. De AMLD stelt dat risicoanalyse essentieel is en de Systematic Integrity Risk Assessment (SIRA) is het proces dat hiervoor wordt gebruikt. Deze risicobeoordeling vereist dat organisaties integriteitsgerelateerde risico's effectief beoordelen. Hierbij worden niet alleen de risico's in kaart gebracht, maar is de betrokkenheid van het bedrijf en experts vereist om ervoor te zorgen dat er een volledig overzicht van de risico's is. Het SIRA-proces is een wettelijke verplichting. Als deze risicoanalyse niet wordt uitgevoerd, kan een organisatie niet voldoen aan de wetgeving voor risicogebaseerde integriteit. Organisaties die onder deze verplichting vallen, zijn banken, verzekeraars, betalings- en beursinstellingen, notarissen, makelaarskantoren, trustkantoren en pensioenfondsen. Voorbeelden van integriteitsrisico's zijn: witwassen, terrorismefinanciering, omzeilen van sanctieregelgeving, corruptie (omkoping), belangenverstrengeling, interne en externe fraude, regelgeving met betrekking tot belastingontduiking of -ontwijking, marktmanipulatie.
Huidige analyses behoeven verbetering om aan eisen te voldoen
Na het beoordelen van meer dan 170 integriteitsrisicoanalyses in 2015 stelde De Nederlandsche Bank (DNB) vast dat meer dan 80% van deze analyses niet aan de eisen voldoet en dat veel organisaties zelfs geen integriteitsrisicoanalyses hebben uitgevoerd. DNB publiceerde een document met duidelijke richtlijnen om organisaties te helpen. Zowel de wet als de toezichthouder eisen een systematische aanpak van risicomanagement. Systematisch' betekent ook dat dit een cyclisch proces is; met andere woorden dat je de inventarisatie, analyse en (beoordeling van de effectiviteit van de) beheersing periodiek moet doorlopen. Risico's zijn immers niet statisch van aard. Zowel interne als externe factoren veranderen de risico's waarmee organisaties te maken hebben.
Wettelijke vereisten voor de SIRA
Om ervoor te zorgen dat organisaties ethisch verantwoord zakendoen, heeft de wetgever in de financiële wetgeving een hele reeks verplichtingen opgenomen waaraan de organisatie moet voldoen. Systematische inventarisatie en integriteitsrisicoanalyses spelen hierbij een centrale rol. De output van de risicoanalyse is in de eerste plaats een document voor het managementteam. De organisatie moet passende maatregelen nemen om eventuele risico's actief te beheersen. Management, Compliance, Risk Management en de business voeren samen de integriteitsrisicoanalyse uit. De eerste lijn, de business, is primair verantwoordelijk voor de kwaliteit en implementatie. Hier zullen de risico's duidelijk worden. De rol van Compliance (d.w.z. de tweede lijn) is er een van procesbewaking, faciliteren en testen. Andere afdelingen, zoals Risk Management of IT Security, kunnen ook de benodigde input leveren. De directeuren zijn eindverantwoordelijk voor de integriteitsrisicoanalyse.
BlueMonks biedt wijsheid
Een sterk huis moet een sterke fundering hebben. Met de ervaring van het bedrijf om SIRA's uit te voeren voor meerdere (financiële) instellingen, kan BlueMonks u helpen om deze zeer sterke fundamenten te creëren, zodat u effectief kunt worden en volledige controle heeft over de integriteitsrisico's. Heeft u onze wijsheid nodig? Vraag het een van onze BlueMonks op wisdom@bluemonks.nl
