Ruud van der Mast
DNB publiceert dit jaar de opvolger van de ‘Good practices SIRA (2015)’. In december 2023 heeft DNB tijdens het Nationaal Compliance Congres, reeds een tipje van de sluier opgelicht. Hierbij heeft zij onder andere toegelicht dat in de nieuwe good practices uitgebreid aandacht is voor het organisatieprofiel en de risicobereidheid die hieraan gekoppeld is. Ook zal er aandacht zijn voor een risicogebaseerde aanpak en een duidelijke beschrijving van scenario’s.
De Kennistafel SIRA van de VCO bericht in de nieuwsbrief van 18 maart 2024 dat de publicatie van de consultatieversie SIRA gepland staat voor het tweede kwartaal 2024. Met een reactietermijn van 6 weken wordt de nieuwe guidance in de tweede helft van dit jaar verwacht. De verwachtingen zijn hooggespannen want de SIRA is behoorlijk aan belang toegenomen in de afgelopen 10-jaar. In veel organisaties vormt de uitkomst van de periodieke SIRA de basis van compliancejaarplannen en monitoringonderzoeken. Het uitvoeren van een goede SIRA is tot een kunst verheven en wij zien in de markt veel verschillen in aanpak, impact en resultaat. Ook de manier waarop de compliance officer diens rol invult verschilt per organisatie, maar de essentie blijft gelijk. De compliance officer faciliteert, stelt kritische vragen om risico inschattingen en -beoordelingen scherp te krijgen en adviseert waar nodig. De organisatie bepaalt zelf wat er in de SIRA komt, en hoe de risico’s worden gescoord.
De SIRA is niet voorbehouden aan de financiële sector. Ook andere sectoren hebben profijt van een periodieke integriteitrisico-analyse. AFM publiceerde onlangs, naar aanleiding van onderzoek met Bureau financieel toezicht (Bft), een eigen guidance ‘van analyse naar beheersing’ voor de toepassing van SIRA bij accountantskantoren (middelgroot). Hierin stelt de AFM dat de SIRA accountantsorganisaties beter in staat stelt te voorkomen dat zij of hun cliënten betrokken raken bij strafbare feiten zoals terrorisme, cybercrime of witwassen.
In een eerdere guidance (2019) van de AFM wordt het SIRA proces besproken in 4 stappen. De AFM geeft hierbij per stap een toelichting en enkele handvatten om het proces goed in te richten.
Naar aanleiding van het nieuwe onderzoek constateert de AFM allereerst dat de onderzochte organisaties inmiddels beschikken over SIRA-beleid. Dit is een verbetering ten opzichte van het eerdere onderzoek. De AFM geeft wel aan dat de risico’s in het beleid vaak nog vrij algemeen geformuleerd zijn en niet voldoende afgestemd op de cliëntenportefeuille. Daarnaast worden nieuwe risico’s zoals cybercrime en greenwashing nog onvoldoende betrokken in de analyses.
De AFM beschrijft een aantal good practices die ook lijken aan te sluiten bij hetgeen DNB al heeft losgelaten over de eigen good practices. Bijvoorbeeld het bepalen van het organisatieprofiel en de risicobereidheid op kantoorniveau. Ook wordt gewezen op het belang van een goede beschrijving van de risico(scenario’s). De AFM is hier duidelijk dat het om kantoorrisico’s kan gaan, maar ook om specifieke klantrisico’s. Eén van de good practices is om via een self-assessment de cliënt te betrekken. Vervolgens kan ook het gesprek worden aangegaan met de cliënt. Opvallend is dat de AFM geen verwijzing maakt naar bijvoorbeeld de borging van vakbekwaamheid in de organisatie.
In de slotsom geven de AFM en Bft aan gematigd positief te zijn over de uitkomsten ten aanzien van het beleid. Echter wordt ook vastgesteld dat de naleving in het merendeel van de dossiers onvoldoende is. Ze spreken de verwachting uit dat de sector op korte termijn de stap zal zetten van analyse naar beheersing.
De compliance professionals van het Nederlands Compliance Instituut kunnen hierbij ondersteunen en coachen.
