Op 26 augustus 2025 maakte DNB melding dat zij haar nieuwe Good Practices SIRA heeft gepubliceerd. Heuglijk nieuws, want ondanks mijn eerder enthousiasme voor de consultatieversie was dat nog niet de definitieve versie. Bij het begeleiden van of adviseren over de SIRA was het voor ons als NCIP altijd zoeken naar de balans tussen de formele guidance uit 2015 en de hoop en verwachtingen op basis van de consultatieversie.
En die hoop en verwachtingen zijn nu verwoord in de nieuwe Good Practices SIRA, aangevuld met een uitgebreide analyse van alle consultatieopmerkingen en de wijze waarop (en waarom!) die wel of niet zijn verwerkt. In ieder geval een belangrijke mijlpaal en in mijn ogen een prima houvast voor ons werk.
Wat nog explicieter blijkt is een duidelijke beschrijving dat de SIRA een sturingsinstrument is. In de consultatieversie was dat nog een sturingsdocument. Een kleine maar heel belangrijke nuance! Deze woordkeus en veel andere terminologie en argumentatie gebruikt DNB om aan te geven dat het gaat om het doel en niet om het middel. Zowel in de algemene tekst als in de individuele good practices is dit terug te vinden, letterlijk maar ook in de woordkeus van de voorbeelden.
Dit is in mijn ogen de grootste winst uit de ontwikkeling van 2015 naar nu; het loslaten van formats en voorbeelden, omdat die ‘middel’ zijn en afleiden van het doel: “ter waarborging van de integere uitoefening van het bedrijf dragen instellingen zorg voor een systematische analyse van integriteitsrisico’s” zoals uit de wet geciteerd in de inleiding van de nieuwe Good Practices SIRA van 2025. We zien dat in onze praktijk helaas nog te vaak: we willen een mooi rapport met een fancy Excel en dan hebben we het weer gedaan. Middel is doel, maar haal je dan wel je eigenlijke doel? Draagt het bij aan de beheersing van je risico’s?
En datzelfde geldt voor alle individuele voorbeelden, de okerkleurige blokken met de ‘GP’s’, zoals DNB die zelf noemt. In genoemde analyse staan veel opmerkingen waarbij ik de ondertoon beluister dat de ‘DNB Good Practice’ een handleiding is, een route die moet worden bewandeld. De reactie van DNB is daarbij consequent dat het gaat om het doel en niet om het middel. En het dus NIET gaat om een beschrijving van de te lopen route, maar om tips, toegelicht met voorbeelden Je blijft zelf ‘in the lead’ hoe je het doel wilt bereiken.
Net als in de consultatieversie heeft de definitieve versie een veelheid aan voorbeelden die DNB in de markt heeft gezien. Voorbeelden die laten zien wat een goede manier zou kunnen zijn om risico’s te inventariseren en te beheersen. De gedetailleerdheid van veel GP’s is opvallend. DNB stelt in de consultatieopmerkingen meermalen dat de GP’s voorbeelden zijn die door organisaties zelf moeten worden aangepast en toegespitst op de eigen situatie als zij een bepaald voorbeeld willen gebruiken. Dus ook hier weer de expliciete nadruk op ‘middel’ en daarmee een appel op de eigen creativiteit van de organisatie.
De algemene tekst noemt ook data-gedreven als een mogelijke manier om naar integriteitsrisico’s te kijken. Dat is ook in de GP’s te zien, waar regelmatig aantallen, bandbreedtes en andere kwantiteiten terugkomen. Op het eerste gezicht wel heel veel detail, maar met de doel/middel discussie voor ogen handige voorbeelden om naar de problematiek te kijken.
De SIRA is een sturingsinstrument om integriteitsrisico’s te onderkennen en te beheersen, toegespitst op de eigen organisatie. Door het niet (meer) dwingende karakter van formats en risico’s verschuift het accent inderdaad van document naar instrument.
De ‘nieuwe guidance’ start met de eigen organisatie, die vastligt in de “Organisatieschets”. Producten, landen, afzetkanalen, cultuur, managementstijl en vele andere elementen maken de beschrijving compleet. En de inherente risico’s die samenhangen met die activiteiten worden verzameld in het “Organisatierisicoprofiel” waarin dus alleen relevante integriteitsrisico’s worden opgenomen en geanalyseerd. Een belangrijke ontwikkeling ten opzichte van 2015, waar de organisatieschets weinig aandacht kreeg en de risico’s vast leken gedefinieerd.
Wat blijft is de risk appetite en het analyseren van de risico’s. DNB stelt expliciet dat de organisatie een passende manier van analyseren kan of moet kiezen; het stramien uit de 2015-versie is vervallen. Daar komt bij dat de analyse risicogebaseerd kan zijn. Dus niet meer hangen en wurgen om alles onder die lijst van 10 risico’s te laten vallen, maar werken vanuit de eigen organisatie en de risico’s die voor de organisatie bepalend zijn.
En als je risico(scenario)’s al op een andere plek hebt beschreven hoef je dat niet te herhalen: het gaat niet om het document SIRA, maar om hoe je de integere bedrijfsvoering inricht en uitvoert.
Met deze Good Practice SIRA kan de sector tevreden zijn, want deze versie legt de regie voor het SIRA-proces expliciet waar deze hoort, bij de organisaties die tenslotte zelf verantwoordelijk zijn voor het inrichten van integere bedrijfsvoering.
Wel is er nog een klein, zacht stemmetje dat zich afvraagt of iedereen even snel de nieuwe koers gaat adopteren. Organisaties, maar ook de toezichthouders en adviseurs in het veld. We moeten er met z’n allen aan wennen en snel de nieuwe aanpak adopteren.
Een ander stemmetje roept, een beetje luider geef ik toe, over de IRAP, de jaarlijkse DNB-uitvraag Integriteitsrapportage. In deze uitvraag inventariseert DNB feitelijk hoe financiële instellingen hun integere bedrijfsvoering hebben ingericht en hoe zij dat monitoren. Een van de vragen ging over het aantal scenario’s voor elk van de “oude” risico’s. Hoe gaan we daar volgend jaar invulling aan geven als je heel andere risico’s hebt benoemd/gedefinieerd in je organisatierisicoprofiel? Laten we hopen dat DNB in de IRAP 2026 voldoende ruimte voor toelichting gaat opnemen!
De hele financiële sector zal een kleine ommezwaai kunnen maken nu het vermeende dwingende karakter is verdwenen. Nadenken over de organisatieschets is fijn omdat er geen keurslijf meer lijkt te zijn, maar het vereist wel wat van alle betrokkenen. Gebruik een ORSA of ERB als voorbeeld, of verwijs naar de beschrijving daarvan. Want daarin is vaak al veel werk gaan zitten. Binnen het NCIP hebben we een pilot gedaan en het bleek best lastig om vanaf scratch zo’n schets en profiel op te stellen. Helemaal als je alle aspecten wil meepakken. Een gestaag groeipad, beginnend met de belangrijkste en risicovolle onderdelen kan hierbij helpen.
En dan de scenario’s, mijn stokpaardje. We komen in onze praktijk nog heel veel scenario’s tegen in de sfeer van ‘we hebben geen beleid’ of ‘men volgt het beleid niet’. Dat was nooit een goed scenario eigenlijk en is dat nu helemaal niet meer. Onderstaand wat DNB in de nieuwe guidance op p.19 hierover vermeldt:
Velen van ons kunnen deze guidance goed gebruiken om met de nieuwe SIRA-aanpak ook de detailinvulling eens kritisch te bezien en verder te verbeteren. Onder andere door de scenario’s op te stellen voor de eigen organisatie.
Neem gerust contact met ons op; we helpen je graag hierbij!
