Dat laatste is meteen een haakje voor DNB. Zij ziet graag dat instellingen meer context geven en dan niet direct voor DNB zelf maar om als financiële instellingen de SIRA meer bedrijfsspecifiek maken, daar wordt de SIRA juist goed van en draagt deze bij aan effectief risicomanagement. Het risicoprofiel als organisatie wordt met de nieuwe SIRA belangrijk. Ken je organisatie en ken de grote risico’s, de zogenoemde toprisico’s, en maak vervolgens een verdiepingsslag en zorg voor concreetheid.
De organisatieschets kan daarbij op vier niveaus worden uitgewerkt: (1) cliënten, (2) bestuur, (3) mensen, en (4) product. Breng goed in beeld waar op die niveaus de grote risico’s zitten die voor de instelling kunnen spelen en maak deze concreet. Dat concreet maken betekent alleen scenario’s uitwerken voor de belangrijkste verschijningsvormen van de risico’s, en alleen indien het risico zich ook (nog steeds) voordoet en op welke wijze binnen jouw organisatie. De SIRA is dan ook een doorlopend proces en een hulpmiddel voor de organisatie, pas aan op veranderingen, zijn er nieuwe risico’s, zijn maatregelen nog afdoende, zijn scenario’s nog relevant. Het gaat niet om een uitputtende hoeveelheid scenario’s, maar om relevante scenario’s en deze concreet maken.
Deze verdiepingsslag raadt DNB ook aan voor de beschrijving van de maatregelen die de financiële instelling zou kunnen nemen om de kans en impact te mitigeren. Bekijk goed welke mitigerende maatregelen werken nu eigenlijk echt. Daarbij geldt hoe specifieker het scenario hoe beter een passende maatregel te formuleren.
Belangrijkste boodschap: Beperk het aantal risico’s en scenario’s en die ertoe doen wees daar specifiek.
Ook al hoopte de zaal op misschien meer tipjes van de sluier en hoopte de DNB op misschien nog meer input over hun concept guidance uit de zaal, de workshop van DNB werd iedereen als erg nuttig ervaren. De dame en heren van DNB gaven goede tips, handig om mee te nemen bij de volgende uit te voeren SIRA.
