“De ergste vorm van ongelijkheid is proberen ongelijke dingen gelijk te maken”, volgens Aristoteles. Ruim twee millenia later zien we de uitwerking van deze beroemde uitspraak onder andere terug in de wijze waarop de Wet op het financieel toezicht (Wft) in Nederland is opgebouwd. Deze is namelijk principle based in plaats van rule based. Het resultaat van de inspanningen van onder toezicht staande instellingen wordt beschreven, maar de weg daarnaartoe niet of slechts enigszins. Een goed voorbeeld is te vinden in de bepaling dat een instelling beleid moet voeren en de bedrijfsvoering zodanig moet inrichten dat de integere en beheerste uitoefening van het bedrijf gewaarborgd is (Wft 3:10, 3:17, 4:11 en 4:14) Een nader voorbeeld vind je in de uitwerking van de Wft, die onder andere in het Besluit prudentiële regels (Bpr) beschreven staat. Artikel 10 van dit Bpr beschrijft, dat een onder toezicht staande instelling zorg moet dragen voor een systematische analyse van integriteitsrisico’s. Hier geldt dus: “Hoe je het doet moet je zelf weten, zolang je het resultaat maar haalt.”
En dat maakt dat je als medewerker van een dergelijke instelling dus zelf moet nadenken. Je kunt niet even makkelijk zeggen: “Doe mij jouw modelletje voor jullie systematische risicoanalyse even, dan kan ik die mooi toepassen in mijn instelling!” Zo werkt het niet. Elke instelling heeft zijn eigen inrichting, klantenkring, organisatievorm, beleidsuitgangspunten en ga zo maar door. Het domweg kopiëren van een model of een uitgewerkte SIRA en dan denken dat je er bent is een wassen neus. No size fits all.
Het opstellen van een SIRA vraagt de nodige aandacht. Het moet een op maat gesneden analyse zijn voor specifiek de onderneming waarvoor (en waardoor) deze is opgesteld. Ook moet deze analyse telkens weer worden aangepast en aangevuld naarmate de tijd verstrijkt en er zaken veranderen. Gaat de instelling plotseling zaken doen in een ander land, met een andere klantgroep of via een ander kanaal dan voorheen? Dikke kans dat deze besluiten impact hebben op de inherente risico’s waar je als instelling mee te maken hebt. Niet voor niets heeft DNB dan ook een verzameling van good practices opgeschreven, die onder toezicht staande instellingen moeten helpen tot een verbeterde SIRA te komen. Want op basis van het DNB onderzoek van enkele jaren geleden schortte er toen nog wel wat aan.
De eerste stap is dan ook het beschrijven van de onderneming in een korte organisatieschets, zie pagina 20 van het good practices document. Zo kan de lezer van de analyse zich een beeld vormen van de context waarin de risicoanalyse gelezen moet worden. Deze stap krijgt niet heel veel aandacht in het DNB document, maar is wezenlijk voor een kwalitatief sterke uitwerking. Dat dit ook nog wel eens verkeerd kan gaan kun je goed lezen in diverse aanwijzingsbesluiten van DNB.
Een ander verbeterpunt is dat er vaak veel te veel aandacht wordt besteed aan het uiteindelijke rapport of overzicht van de geanalyseerde risico’s en veel minder capaciteit wordt toegekend aan het proces dat aan dit overzicht vooraf zou moeten gaan. In onze Leergang Compliance Professional leren we onze deelnemers niet voor niets dat een effectieve SIRA meer is dan een goed gevuld Excel-overzicht met allerlei stoplichtjes, kleurtjes, heatmaps, percentages en noem maar op.
Zo zijn er op basis van de praktijk van alledag nog wel meer aandachtspunten te noemen waarmee een SIRA significant verbeterd kan worden. Ongetwijfeld heb jij als compliance professional ook geleerd uit de praktijk van het faciliteren van de SIRA. Maar misschien worstel je ook nog met een aantal elementen. Hoe kijk jij dan aan tegen een kennis- en ervaringssessie, waarin we al onze ervaringen met de SIRA eens naast elkaar leggen om er zo met elkaar wat van te leren? Natuurlijk, no size fits all, maar misschien kunnen we toch met elkaar aan aantal universeel toepasbare tips and tricks delen, waardoor het op maat helpen maken van de SIRA voor jouw organisatie toch makkelijker en beter wordt.
Lijkt dit je wat? Schrijf je dan in voor het Werkcollege SIRA op 17 februari 2022.
Nu zal niet iedere organisatie zitten te wachten op het vrijelijk delen van inzichten, risico’s, scenario’s en maatregelen uit de analyse. Voor de goede orde een geruststelling: in al onze opleidingen hanteren we de Chatham House Rules. Dit houdt in, dat al hetgeen besproken wordt tijdens dit werkcollege vrij door alle deelnemers mag worden gebruikt, maar dat de (persoonlijke) identiteit van of verbinding met de bron nooit mag worden vrijgegeven door de gebruiker. Dit moet zorgen voor een voor alle deelnemers veilige omgeving, waarin praktijkervaringen zonder zorgen over de consequenties kunnen worden gedeeld om ervan te kunnen leren.
