Ruim een jaar geleden besteedden wij al aandacht aan de Wwft auditfunctie bij accountantsorganisaties, en onze observaties bij de invulling van deze functie. Hierin kwam ook de SIRA aan bod. De aanbevelingen die wij destijds maakten sluiten naadloos aan op de observaties die de AFM en het BFT in maart 2024 publiceerden naar aanleiding van hun themaonderzoek.
In dit artikel geven we nog drie aanbevelingen voor accountantsorganisaties, specifiek gericht op de systematische integriteitsrisicoanalyse (SIRA).
Integriteitsbeleid zou logischerwijs moeten voortvloeien uit een risk . De meeste partijen zijn zich hiervan bewust. Toch is de risk vaak beperkt in omvang en vaak gebaseerd op generieke en technisch beschreven scenario's die vaak onherkenbaar of onbegrepen zijn voor SIRA-gebruikers. Maar waar moet je beginnen? Ons advies is om te beginnen met een beschrijving van de organisatie. Deze beschrijving bevat een overzicht van integriteitsrelevante aspecten op basis van feiten. Bijvoorbeeld:'Hoeveel klanten hebben een bankrekening in een risk vanuit witwasperspectief?' Of:'Hoeveel samenwerkingsverbanden heeft de organisatie die kunnen leiden tot een potentiële belangenverstrengeling?' Deze beschrijving geeft ook inzicht in eendata) onderbouwing van de inschatting van risk bruto risk, of anders gezegd: hoe vatbaar is de organisatie voor een bepaald risk?
Wij beschouwen de discussie over risk als een van de meest waardevolle onderdelen van het SIRA-proces. De discussie richt zich niet alleen op wat de organisatie onacceptabel vindt, maar ook op welke risico's onder bepaalde voorwaarden onvermijdelijk of acceptabel zijn. Bijvoorbeeld: klanten in een bepaalde sector kunnen worden geaccepteerd, maar onder de voorwaarde van het betrekken van een specialist in het team en extra quality assurance op het dossier. Een dergelijke voorwaarde moet worden opgenomen in het beleid, maar heeft ook gevolgen voor de structuur van de organisatie en in dit case de samenstelling van het team. Het kwantificeren van risk is een belangrijke maar uitdagende taak. Het geeft de organisatie inzicht in wat wenselijk is en wat niet, en welke indicatoren belangrijk zijn om te monitoren.
Zoals ook uit het eerder genoemde rapport van de AFM en het BFT blijkt, is de SIRA vaak een product dat door de compliance en/of risk afdeling opgesteld wordt. Dit leidt (logischerwijs) vaak tot en vrij technische benadering van de SIRA en scenario beschrijvingen die voor experts te begrijpen zijn, maar voor de gebruikers minder hout snijden.
Ons advies is om juist de gebruikers bij de risicoanalyse te betrekken. Dit maakt het bewustzijn rondom integriteitsrisico’s vergroot. Ook maakt het betrekken van de gebruikers het mogelijk om te toetsen of de risicoscenario’s duidelijk zijn, aansluiten bij de ervaringen en of de beheersing toereikend is. Hierbij bevelen wij aan om typische risico-taal te vermijden. Discussie over het risicoscore model en het proces van bruto naar netto leiden vaak af van waar het echt over zou moeten gaan. Welke risico’s worden gesignaleerd, en is de beheersing effectief en efficiënt?
Natuurlijk blijft compliance en/of risk een belangrijke rol houden in het SIRA proces, maar in onze ogen zou deze rol zich moeten beperken tot het faciliteren van de SIRA, het stimuleren van de discussie en het conform beleid documenteren van de uitkomsten.
Onze specialisten hebben niet alleen ruime ervaring bij financiële instellingen, maar ook gedetailleerde kennis van de SIRA en Wwft risicoanalyses bij andere soorten instellingen. Wij helpen je graag om de SIRA of Wwft risicoanalyse verder te brengen op een voor de organisatie passende wijze. Wil je meer weten over de mogelijkheden? Neem dan vrijblijvend contact met ons op.
