Ruim een jaar geleden besteedden wij al aandacht aan de Wwft auditfunctie bij accountantsorganisaties, en onze observaties bij de invulling van deze functie. Hierin kwam ook de SIRA aan bod. De aanbevelingen die wij destijds maakten sluiten naadloos aan op de observaties die de AFM en het BFT in maart 2024 publiceerden naar aanleiding van hun themaonderzoek.
In dit artikel geven we nog drie aanbevelingen voor accountantsorganisaties, specifiek gericht op de systematische integriteitsrisicoanalyse (SIRA).
Het integriteit gerelateerde beleid zou een logisch gevolg moeten zijn van een risicoanalyse. Dat is iets wat de meeste partijen wel weten. Toch is de risicoanalyse vaak beperkt uitgewerkt en wordt vaak gebruik gemaakt van generiek en vrij technisch omschreven scenario’s die voor de gebruikers van de SIRA vaak niet herkenbaar zijn of begrepen worden.
Maar waar moet je beginnen? Ons advies is om te starten met een beschrijving van de organisatie. Deze beschrijving bevat een overzicht van de integriteit relevante aspecten op basis van de feiten. Bijvoorbeeld:'Hoeveel klanten hebben een bankrekening in een vanuit witwasperspectief hoog risico-land?' Of: 'Hoeveel samenwerkingen heeft de organisatie die tot een mogelijk belangenconflict zouden kunnen leiden?'
Deze beschrijving geeft daarmee tevens inzicht in een (data) gedreven onderbouwing van de inschatting van het bruto risico, ofwel: hoe gevoelig is de organisatie voor een bepaald risico?
Wij ervaren de discussie over risicobereidheid als een van de meest waardevolle onderdelen van het SIRA proces. De discussie richt zich niet alleen op wat de organisatie onacceptabel vindt, maar ook op welke risico’s onvermijdelijk zijn, of onder bepaalde voorwaarden acceptabel. Een voorbeeld: klanten in een bepaalde sector kunnen worden geaccepteerd, maar wel onder de voorwaarde van het betrekken van een specialist in het team en een additionele quality assurance op het dossier. Een dergelijke voorwaarde dient geborgd te worden in het beleid, maar heeft ook consequenties voor de inrichting van de organisatie en in dit geval de samenstelling van het team.
Het kwantificeren van de risicobereidheid is een belangrijke, maar uitdagende opgave. Het geeft de organisatie inzicht in wat wenselijk is en wat niet, en welke indicatoren belangrijk zijn om te monitoren.
Zoals ook uit het eerder genoemde rapport van de AFM en het BFT blijkt, is de SIRA vaak een product dat door de compliance en/of risk afdeling opgesteld wordt. Dit leidt (logischerwijs) vaak tot en vrij technische benadering van de SIRA en scenario beschrijvingen die voor experts te begrijpen zijn, maar voor de gebruikers minder hout snijden.
Ons advies is om juist de gebruikers bij de risicoanalyse te betrekken. Dit maakt het bewustzijn rondom integriteitsrisico’s vergroot. Ook maakt het betrekken van de gebruikers het mogelijk om te toetsen of de risicoscenario’s duidelijk zijn, aansluiten bij de ervaringen en of de beheersing toereikend is. Hierbij bevelen wij aan om typische risico-taal te vermijden. Discussie over het risicoscore model en het proces van bruto naar netto leiden vaak af van waar het echt over zou moeten gaan. Welke risico’s worden gesignaleerd, en is de beheersing effectief en efficiënt?
Natuurlijk blijft compliance en/of risk een belangrijke rol houden in het SIRA proces, maar in onze ogen zou deze rol zich moeten beperken tot het faciliteren van de SIRA, het stimuleren van de discussie en het conform beleid documenteren van de uitkomsten.
Onze specialisten hebben niet alleen ruime ervaring bij financiële instellingen, maar ook gedetailleerde kennis van de SIRA en Wwft risicoanalyses bij andere soorten instellingen. Wij helpen je graag om de SIRA of Wwft risicoanalyse verder te brengen op een voor de organisatie passende wijze. Wil je meer weten over de mogelijkheden? Neem dan vrijblijvend contact met ons op.
