24 april 2026
Voor veel compliance officers ligt de NRA ergens op de plank als achtergrondinformatie. In de praktijk wordt het document lang niet altijd actief gebruikt bij het opstellen of aanscherpen van de SIRA. Dat is zonde, want juist daar zit de meerwaarde.
De NRA (National Risk Assessment) en de SIRA (Systematische Integriteitsrisicoanalyse) komen voort uit een bredere internationale en Europese verplichting om financiële en economische criminaliteit risicogebaseerd te benaderen.
Op internationaal niveau is dit verankerd in de aanbevelingen van de Financial Action Task Force (FATF). Deze schrijven voor dat landen periodiek hun belangrijkste risico’s op het gebied van witwassen en terrorismefinanciering in kaart brengen. In Nederland gebeurt dat via de NRA. Dit levert een nationaal risicobeeld op dat richting geeft aan beleid, toezicht en prioritering.
Organisaties vertalen dat vervolgens naar hun eigen praktijk via een SIRA. Waar de NRA kijkt op macroniveau (landelijk, sectoroverstijgend), richt de SIRA zich op de eigen organisatie: welke risico’s lopen wij, via onze klanten, producten, diensten en processen, en hoe beheersen we die?
De NRA geeft dus een landelijk onderbouwd beeld van waar de grootste witwas-, terrorismefinancierings- en corruptierisico’s zich bevinden. Niet alleen in termen van dreigingen, maar juist ook in kwetsbaarheden en de effectiviteit van bestaande beheersmaatregelen. Dat maakt het een bruikbaar referentiepunt bij het onderbouwen van keuzes in je eigen risicoanalyse.
Voor instellingen die onder de Wwft vallen, is risicogebaseerd werken de norm. Dat vraagt om expliciete keuzes: waar zet je capaciteit op in, welke risico’s weeg je zwaarder en hoe onderbouw je dat richting toezichthouder? De NRA helpt om die keuzes niet alleen intern te motiveren, maar ook te spiegelen aan het nationale risicobeeld. Dat is met name relevant bij thema’s die sectoroverstijgend spelen, zoals cryptodiensten, complexe vastgoedstructuren of het gebruik van contant geld. Dit soort risico’s komen in vrijwel iedere NRA terug, maar de vertaling naar je eigen producten, klantgroepen en processen blijft maatwerk. Juist daar zit het verschil tussen een generieke en een goed onderbouwde SIRA.
Daarnaast geeft de NRA inzicht in waar het huidige stelsel minder effectief is. Niet elk risico wordt in de praktijk even goed beheerst, ondanks bestaande wet- en regelgeving of toezicht. Die lacunes zijn relevant: ze laten zien waar je als instelling mogelijk zelf aanvullende maatregelen moet treffen of kritischer moet kijken naar bestaande beheersing.
De NRA is daarmee geen doel op zich, maar een hulpmiddel om je eigen analyse scherper en beter verdedigbaar te maken. Zeker in een toezichtomgeving waarin steeds nadrukkelijker wordt gekeken naar de onderbouwing van keuzes, is dat geen overbodige luxe. De uitdaging zit vervolgens in de vertaling: hoe maak je de stap van nationaal risicobeeld naar concrete risico’s binnen je eigen organisatie? En hoe zorg je dat je scoring en beheersmaatregelen logisch, consistent en uitlegbaar zijn?
In het Werkcollege SIRA werk je precies aan die stap. Aan de hand van praktijkcases ga je aan de slag met het identificeren, scoren en beheersen van integriteitsrisico’s, zodat je SIRA niet alleen voldoet aan de eisen, maar ook inhoudelijk staat. De eerstvolgende editie vindt plaats op 10 juni in Utrecht, gevolgd door een sessie op 9 september in Capelle aan den IJssel.