Operationele effectiviteit SIRA onder de loep van DNB

Start adding items to your reading lists:
or
Save this item to:
This item has been saved to your reading list.

Om de risico’s van financieel-economische criminaliteit voor de financiële sector te beperken, stelt De Nederlandsche Bank (DNB) sinds 2015 verplicht dat deze instellingen een systematische integriteitrisicoanalyse (SIRA) uitvoeren. Vanaf 2018 let DNB in het toezicht speciaal op de operationele effectiviteit van de SIRA.

Welke onderwerpen verdienen daarom extra aandacht van financiële instellingen? Aan het woord zijn PwC-experts Thomas Rijneveld en Ralf van Thoor, beiden werkzaam voor klanten in de financiële sector.

Financiële instellingen zijn in potentie kwetsbaar

Financieel-economische criminaliteit heeft met de digitalisering van de samenleving een nieuwe dimensie gekregen. Criminelen kunnen eenvoudiger grensoverschrijdend werken en makkelijker anoniem blijven. Zodra een methode voor witwassen of fraude goed werkt, is het via digitale wegen snel schaalbaar. En omdat financiële instellingen in hoge mate van digitale systemen afhankelijk zijn, zijn ze een potentieel kwetsbaar doelwit, mits er geen maatregelen worden genomen.

Optimaliseren van de SIRA

Een van de maatregelen voor het voorkomen van financieel-economische criminaliteit is een systematische integriteitrisicoanalyse (SIRA), vanaf 2015 verplicht gesteld door De Nederlandsche Bank (DNB). PwC ondersteunt financiële instellingen sinds de introductie van deze regelgeving met een integrale aanpak voor het opzetten en optimaliseren van de SIRA.

Integrale aanpak van de SIRA

Thomas Rijneveld van PwC: ‘Integraal wil zeggen dat we financiële instellingen laten zien hoe ze dezelfde methodologie kunnen gebruiken voor alle integriteitsrisico’s, waar ze voorheen misschien verschillende methodes gebruikten, of geen. Een SIRA zet instellingen aan het denken over alle specifieke risico’s die ze lopen, over de risicobereidheid en over maatregelen om de risico’s te mitigeren.’

‘Financiële instellingen krijgen door een goede SIRA inzicht in waar de beheersing kan worden verbeterd, maar ook waar er meer dan nodig wordt gedaan.’

Ralf van Thoor PwC

Inzicht in verbetering van beheersing

‘Financiële instellingen krijgen door een goede SIRA inzicht in waar de beheersing kan worden verbeterd, maar ook waar er meer dan nodig wordt gedaan’, vult Ralf van Thoor aan. ‘Dit inzicht stelt instellingen in staat om resources en budgetten gericht in te zetten en eventueel af te bouwen waar dat kan.’

Operationele effectiviteit in het vizier

DNB heeft in de vooruitblik op toezicht in 2018 gezegd speciaal te kijken naar de operationele effectiviteit van de SIRA. Eerder ging het vooral over hoe de SIRA is opgezet, nu dus over hoe het werkt. Hoe kunnen financiële instellingen zich hierop voorbereiden? Op basis van hun ervaring met DNB en met klanten, zien Rijneveld en Van Thoor vier aandachtsgebieden:

- Integriteitsrisico’s en risicobereidheid op basis van organisatieprofiel

Van Thoor: ‘Wat voor soort instelling ben je en welke risico’s zie je daarbij? Dat is een belangrijke beginvraag voor een zinvolle SIRA. Voor een trustkantoor zullen die risico’s eerder liggen in de fiscale sfeer, belastingontduiking, terwijl een retailbank scherp wil zijn op witwassen, en een beleggersbank weer meer de focus wil leggen op marktmisbruik. Ook de landen waar men actief is, leiden soms tot specifieke risico’s, zoals omkoping. Elk geïdentificeerd risico vraagt vervolgens om een gedefinieerde risicobereidheid: meestal is dat nul, maar doorgaans is dat  laag. De maatregelen die een instelling neemt om risico’s te mitigeren, volgen daaruit.’

- Eigenaarschap van de juiste betrokkenen

Rijneveld: ‘Zijn de mensen die beslissingen kunnen nemen over risico’s direct betrokken? Dat wil DNB, terecht, graag zien. Voorheen was de SIRA nogal eens een taak van de complianceafdeling, diep in de organisatie. Maar voor een effectieve SIRA is het van belang dat het senior management actief deelneemt aan het wegen van de risico’s en het kiezen en monitoren van maatregelen. Zijn er risico’s in beeld die buiten de risicobereidheid vallen? Dan is het van groot belang dat senior management dat weet en tot maatregelen besluit. De complianceafdeling kan daaraan bijdragen in een expertrol en een operational risk manager houdt zich bijvoorbeeld meer bezig met de methodologie.’

- Verbetermaatregelen mitigeren de integriteitsrisico’s

Van Thoor: ‘Doet de SIRA in de praktijk wat het moet doen? Meer specifiek: leiden de genomen maatregelen tot een daadwerkelijke beheersing van de risico’s? De werking van maatregelen moet worden gemonitord en gerapporteerd, zodat verdere verbetering in een volgende periode mogelijk wordt.’

- Operationele effectiviteit van het control framework

Rijneveld: ‘Het punt hiervoor hangt nauw samen met de werking van het control framework. Met SIRA worden de risico’s opgehaald en het control framework meet of men binnen de bandbreedte blijft van risicobereidheid. Daarvoor moeten de beheersmaatregelen op periodieke basis worden getest, net als de hoogte van het risico. Op die manier heeft de instelling doorlopend goed in beeld hoe het nu werkelijk met de integriteitsrisico’s is gesteld.’

Lees meer informatie over de diensten van PwC rondom financieel-economische criminaliteit en SIRA.

Contact

Thomas Rijneveld
Director, PwC Netherlands
Tel: +31 (0)88 792 51 20
E-mailadres

Ralf van Thoor
Manager, PwC Netherlands
Tel: +31 (0)88 792 67 58
E-mailadres

Volg ons