Opiniestuk van Peter Westdijk
De Systematische Integriteitsrisicoanalyse (SIRA) is voor velen van ons een jaarlijks terugkerend ijkpunt voor de Beheerste en Integere Bedrijfsvoering van artikel 3:17 Wft. Naast dat het voor de business inzicht geeft in de (beheersing van) integriteitsrisico’s, is het een jaarlijks terugkerend verplicht nummer en veel werk. Met heel veel informatie over maatregelen, waardoor de SIRA wel een compliance-monitoringrapportage lijkt. Ik vraag me af of doel en middel nog op elkaar passen en aansluiten.
Doel van de SIRA
De SIRA is een methode/middel om naar integriteitsrisico’s te kijken en deze adequaat te (gaan) beheersen. DNB heeft hiervoor uitgebreide guidance verstrekt. De guidance geeft veel informatie en aanknopingspunten hoe zo’n integriteitsrisicoanalyse aan te pakken. Maar het doel was toen gebaseerd op de observatie dat in 2015 te veel organisaties niet of slechts in beperkte mate de integriteitsrisico’s kenden en beheersten. Vanuit die visie is de SIRA-methodiek en de guidance daarover een begrijpelijke actie van DNB. Een die past in de geest van de artikelen zoals 3:17 Wft.
En wat nu?
Sinds 2015 is er veel veranderd in de financiële sector. De SIRA is inmiddels een ingeburgerd onderdeel van het risicomanagement en van de jaarkalender van eerste en tweede lijn. Ik kan en wil geen oordeel uitspreken over het niveau en de kwaliteit van al die SIRA’s, maar laten we voor de discussie eens veronderstellen dat die van een voldoende niveau zijn.
Zou dat invloed hebben op de ‘standaard SIRA aanpak’ die we nu hanteren? Past de methode nog bij de huidige context? Want er is al heel veel wet- en regelgeving van toepassing geworden om integriteitsschendingen te voorkomen of te beperken, zowel binnen de financiële instellingen zelf als bij hun klanten. En er zijn al zo veel rapportages. Wat is er dan nog voor risicoanalyse over?
Invloed van wet- en regelgeving op de SIRA
Veel van de integriteitsrisico’s die DNB als voorbeeld geeft in haar guidance zijn anno nu uitgewerkt in wet- en regelgeving en verplichte controle-activiteiten. Denk aan de KYC en CDD maatregelen in het kader van AML en sanctiescreening.
Als het doel van de SIRA is om integriteitsrisico’s te onderkennen en te gaan beheersen (mijn persoonlijke interpretatie van de guidance uit 2015), dan kun je stellen dat je als organisatie op zoek wilt gaan op die integriteitsrisico’s die (nog) niet door de regelgevers zijn geïdentificeerd en van maatregelen zijn voorzien.
Deze figuur laat zien dat de integriteitsrisico’s die een organisatie bedreigen (de roze cirkel) deels worden
‘afgedekt’ door de beheersmaatregelen die door wet- en regelgeving worden afgedwongen (het blauwe vierkant). Z zijn de wettelijke maatregelen voor integriteitsrisico’s die voor de organisatie niet van toepassing zijn. Y zijn alle maatregelen, verplicht en niet-verplicht die integriteitsrisico’s van de organisatie afdekken.
Het echte zoekwerk gaat dan over het deel van de roze cirkel waar nog geen risico’s zijn geïdentificeerd noch beheersmaatregelen zijn geïmplementeerd (aangeduid met X). Dat is een risico voor de organisatie! Heel streng geformuleerd zou je kunnen stellen dat de maatregelen tegen maatschappelijke risico’s die in wetgeving zijn verankerd en waarop ook toezicht wordt gehouden niet zozeer een SIRA- maar meer een compliance karakter hebben: die zijn al onderdeel van de PDCA beheercyclus van de organisatie.
Ja, je zou als organisatie hier inderdaad periodiek moeten beoordelen of alle risico’s voor jouw organisatie in beeld zijn (vakje X) en adequaat beheerst worden (vakjes Y en Z). Ik vraag mij af of de uitgebreide SIRA methodiek hier het meest geëigend is, of we hier het juiste wel doen.
En ik vraag me af of we echt op zoek zijn naar X of dat we het platgetreden pad aflopen langs de ‘verplichte stappen’ om de toezichthouder tevreden te stellen?
Invloed van risk & compliance rapportages op de SIRA
Volgend op alle wet- en regelgeving wordt binnen financiële instellingen veel effort gestoken in het uitvoeren van beheersmaatregelen zoals het kennen van de klanten, monitoren van hun transacties en het bewaken van nevenfuncties en geschenken. En het periodiek reviewen van het risicoprofiel van klanten. En. En. En.
Die beheersmaatregelen worden uitgevoerd, de ‘do’ in de beheercyclus bij financiële instellingen. Daarnaast is er ook veel aandacht voor het toezicht op de uitvoering van die maatregelen. De ‘check’ in de cyclus. En dan hebben we ook nog de tweede lijn, waarbij compliance monitort of de checks worden uitgevoerd.
In de SIRA zoals we die nu kennen en hanteren, formuleren we dus vooral de beheersmaatregelen die al in bestaande rapportages over bestaan en werking van Y en Z zijn opgenomen. Maar durven we te verwijzen naar wat er al is of doen we het nog eens over ?omdat dat nu eenmaal het SIRA-proces is? en dus moet gebeuren? Realiseren we ons dat we hier mogelijk nodeloze kosten maken? En dat dit niet positief uitstraalt naar alle betrokkenen, die jaarlijks extra werk hebben aan de SIRA?
In de spiegel kijken
Als ik de SIRA een spiegel voorhoud, zie ik een prima methodiek voor het in kaart brengen van nieuwe risico’s. Maar we leven inmiddels in een going concern situatie, waarin een groot aantal risico’s en maatschappelijk ongewenste zaken is gedefinieerd en waarvoor beheersmaatregelen zijn voorgeschreven en geïmplementeerd.
Dat maakt mogelijk een beetje blind voor wat er (nog) niet in regels is vervat. Want het wordt steeds moeilijker om te denken in bruto en netto risico. Ik snap de theorie, maar ik snap ook de bezwaren. Een bancair proces zonder maatregelen is nauwelijks voor te stellen; hoe bepaal je dan het bruto risico? Is het een idee om netto risico centraal te stellen en de wat kunstmatige bruto-netto berekening buiten gebruik te stellen?
En we kijken langs de risk, audit en/of compliance rapportages, die vanuit een andere bron of oorzaak al een beeld (of zelfs een oordeel) geven over de mate van beheersing van (integriteits)risico’s en aanbevelingen bevatten tot verbetering. Is de SIRA-methodiek dan geen doublure?
Bruto = netto!
De compliance officer kan mogelijk nog denken in bruto of inherent risico, maar de eerste lijn voert elke dag maatregelen uit en leeft dus in een wereld van netto risico. Door die wereld centraal te stellen wordt je focus heel anders: zijn er scenario’s of situaties denkbaar in het kader van dit risico die niet door onze systemen, procedures en controles worden afgevangen? Dan kijk je kritisch naar de huidige beheersing en zoek naar de ‘gaten’.
Op die manier zoek je naar de X uit bovenstaande figuur. Want dáár loop je onbewust risico’s! Niet in alle beheerste en gecontroleerde processen. Toch is het goed om je te realiseren dat de maatregelen in vakje Y een eigen analyse verdienen die periodiek moet worden geactualiseerd. Dit vereist naar mijn mening een andere aanpak dan de ‘standaard SIRA-methode’, meer toegespitst op de vraag of scenario’s denkbaar zijn die buiten het huidige stelsel van maatregelen vallen.
Netto = appetite?
Over de beheersing van integriteitsrisico’s wordt standaard gerapporteerd: een oordeel over de mate van beheersing, aanbevelingen tot verdere verbetering en een inschatting van het huidige risico zijn daarin de te verwachten onderdelen. Dat betekent dat de organisatie aan de hand van deze rapportages een deel van de SIRA-werkzaamheden al heeft ingevuld. Y in de figuur: de risico’s waar al maatregelen voor bestaan. Wat voegt een SIRA-exercitie daar dan nog toe?
Op zich misschien niets, maar het is en blijft wel nodig om dat beeld, dat oordeel op te nemen in de periodiek integrale risicoanalyse die de SIRA is. Alleen hoef je in een SIRA-traject niet te inventariseren, maar overnemen wat al is beoordeeld. Dat scheelt werk en ook acceptatie in de business. Want je weet de beheersing van Y en Z al.
In een SIRA is de gerapporteerde mate van beheersing input voor het totaalbeeld. En voor de vraag of je in totaal én op essentiële onderdelen binnen de appetite blijft. Want dat is en blijft wel een doel van de SIRA: het in beeld brengen van de (resterende) integriteitsrisco’s en hoe die zich verhouden tot de risk appetite. Het totaalbeeld wel te verstaan.
SIRA cancellen?
Doel van dit opiniestuk is te inventariseren hoe we als compliance officer onze organisatie kunnen helpen met het inventariseren en beheersen van integriteitsrisico’s. De SIRA-methodiek is daarbij zeker een belangrijke, die nog niets aan nut heeft ingeboet. Wel moeten we nadenken over de manier waarop de beoogde informatie ophalen. Voor alle maatregelen die zijn ingericht om in wet- en regelgeving verankerde risico’s is het de vraag of de SIRA-methodiek de meest handige is. Door op een alternatieve manier de informatie te verzamelen, bijvoorbeeld door de bestaande controle- en monitoringrapportage te gebruiken voor het risicobeeld, geeft de SIRA een steeds actueel beeld van de mate van beheersing van integriteitsrisico’s. Vaak actueler dan jaarlijks, om dat de rapportages veelal frequenter zijn dan jaarlijks.
En de SIRA methodiek is bij uitstek geschikt voor het inventariseren van nieuwe risico’s. En nieuwe risico’s zijn een belangrijk onderzoeksgebied, want daar is nog geen beheersing op! En dus draagt ook nu nog de SIRA bij aan integere bedrijfsvoering.
Dus nee, niet cancellen!
Wat dan?
Wel moeten we blijven nadenken bij wat we doen; niet als een hamster in die tredmolen van tientallen tot honderden scenario’s en waslijsten aan maatregelen met scores blijven lopen. Hergebruik wat er al is, zodat je tijd creëert voor de wezenlijke zaken. Zoek naar X en review rapportages over Y en Z.
Er is nog wel wat denkwerk nodig om dit idee verder uit te werken in praktische tips om de SIRA-werkzaamheden naar een hoger plan te tillen en recht te doen aan de status van ‘vaste waarde’ die de SIRA inmiddels heeft in de financiële sector.
Wordt vervolgd!
