Van verplichte taak naar sturend instrument
Na het consultatiedocument in 2024 heeft DNB op 1 juli 2025 de Good Practices SIRA 2025 afgerond, met publicatie op 26 augustus. Deze nieuwe versie vervangt de editie van 2015. De belangrijkste verandering: instellingen krijgen meer vrijheid in hun aanpak. Weg van een rigide regime en de tirannie van Excel, naar een dynamische, instellingsspecifieke implementatie.
Daarmee hoeft de SIRA niet langer te voelen als een vinklijst of verplichte exercitie, maar kan het uitgroeien tot een krachtig sturingsinstrument dat helpt de juiste prioriteiten te stellen en passende beheersmaatregelen te treffen..
Vier aandachtspunten
1. Governance en betrokkenheid
Wat zegt DNB?
De rol van bestuur, Raad van Commissarissen en tweede lijn is aangescherpt. Bestuurders moeten aantonen dat zij de uitkomsten van de SIRA actief gebruiken bij het stellen van prioriteiten en het nemen van besluiten.
Hoe richt je dat in?
Een effectieve inrichting vraagt om heldere rollen en verantwoordelijkheden, met rapportagelijnen gebaseerd op de juiste data. Zo wordt de SIRA een vast onderdeel van besluitvorming en sturing.
2. Organisatierisicoprofiel, scenario’s en data-analyse
Wat zegt DNB?
Een gedegen organisatierisicoprofiel vormt de basis. DNB vraagt nadrukkelijk aandacht voor kwalitatieve factoren zoals cultuurmetingen, klachten en media-uitingen, naast kwantitatieve data. Scenario’s moeten concreet, realistisch en instellingsspecifiek zijn, in plaats van generieke sets. Data-analyse en Key Risk Indicators (KRI’s) helpen risico’s tijdig signaleren.
Hoe richt je dat in?
Zorg voor een volledig en actueel risicoprofiel dat verder gaat dan een checklist. Koppel scenario’s aan processen en indicatoren en onderbouw deze met bijvoorbeeld testbevindingen, zodat een duidelijke audit trail ontstaat.
Deze nadruk op kwalitatieve factoren sluit ook aan bij de discussie tijdens het recente VCO IRM seminar. In de keynote van DNB werd benadrukt dat instellingen niet alleen moeten kijken naar processen en data, maar ook naar de onderliggende risicocultuur. Zoals Frank Schröder daar toelichtte: soft controls, zoals gedrag, communicatie en voorbeeldgedrag, vormen samen met harde data en professional judgement de basis voor een goede SIRA.
3. Proportionaliteit en breed risico beeld
Wat zegt DNB?
Maatregelen, acties en besluiten moeten in verhouding staan tot het risico. Instellingen kunnen risico’s ook expliciet vermijden of niet accepteren, in plaats van alleen mitigeren. DNB legt bovendien nadruk op maatschappelijk (on)aanvaardbare aspecten zoals geopolitieke ontwikkelingen, ESG, cultuur en klokkenluiders. Voor trustkantoren, pensioenfondsen en verzekeraars zijn sectorspecifieke voorbeelden toegevoegd.
Hoe richt je dat in?
Scherp de risk appetite aan en stem maatregelen proportioneel af op de grootste risico’s en kenmerken van de organisatie. Thema’s als ESG, cybercrime en uitbesteding horen daar steeds vaker bij, inclusief gedragsaspecten.
4. Cyclische benadering en monitoring
Wat zegt DNB?
De SIRA is een dynamisch proces. Instellingen moeten risico’s periodiek actualiseren, de effectiviteit van maatregelen toetsen en waar nodig bijstellen. Daarbij vraagt DNB aandacht voor negatieve neveneffecten, zoals het onbedoeld uitsluiten van klantgroepen of ervaren discriminatie.
Hoe richt je dat in?
Een cyclische aanpak vraagt om revisiedata, feedbackloops en centrale documentatie. Daarmee kunnen instellingen altijd teruggrijpen op eerdere cycli – gepland of naar aanleiding van incidenten – en het proces aantoonbaar maken richting bestuur en toezichthouder.
Aansluiting op onze aanpak
Met de Good Practices SIRA 2025 geeft DNB instellingen duidelijke richting: meer dynamiek, meer maatwerk en meer nadruk op governance. Daarmee ontstaat ruimte om te sturen op de echte risico’s en de bijbehorende beheersmaatregelen.
De afgelopen jaren hebben wij al vele instellingen geholpen de SIRA in te zetten als sturingsinstrument in plaats van als verplichte exercitie – precies de ontwikkeling die DNB nu benadrukt. De uitgangspunten uit de Good Practices sluiten bovendien naadloos aan bij de opzet van onze Risk Assessment tool.
De discussie tijdens het het recente VCO IRM seminar liet zien dat dit niet alleen een kwestie is van processen en data, maar ook van risicocultuur en soft controls. De consensus daar was duidelijk: een effectieve SIRA vraagt om de juiste balans tussen de harde en zachte kant van interne beheersing. Dat maakt de SIRA niet alleen tot een toetsing, maar tot een instrument dat bijdraagt aan beter bestuur en duurzame integriteit in de praktijk.
Meer weten? Neem dan contact met ons op.
