Amsterdam | Singapore | Frankfurt | London | CharlotteDate: Author:

Systematische IntegriteitRisico Analyse (SIRA)Oktober 2015

8 Oktober 2015Double Effect Amsterdam

Systematische IntegriteitRisico Analyse (SIRA)

2 SIRA Oktober 2015

Integriteitrisicobeheersing was in 2015 een van de toezichtthema’s van DNB

DNB heeft in haar Visie op Toezicht 2014-2018 het integriteitstoezicht benoemd als speerpunt van het toezicht. In 2015 heeft

DNB uitgebreid thematisch onderzoek naar de integriteitsrisicoanalyses van financiële instellingen uitgevoerd.

Competent Authorities

Identificeren en beoordelen…

Twee belangrijke stappen in de

systematische analyse zijn:

• Identificeren van de mogelijke risico’s

• Analyseren en bepalen van de aard en

omvang van de risico’s

…van integriteitsrisico’s op het gebied van:

De Wwft

is gericht op het bewaken en bevorderen van de

integere bedrijfsvoering en het voorkomen dat

ondernemingen bewust of onbewust betrokken

raken bij het witwassen van geld

De SanctiewetStelt eisen aan (financiële) instellingen om hun

integriteit te waarborgen en zo ongewenste

handel, witwassen en terrorisme te bestrijden

Uiteindelijk dient de integriteitrisicoanalyse als sturingsdocument en duidelijk overzicht van risico’s

Integere

bedrijfsvoering

Op basis van artikel 10 Besluit prudentiële regels

Wft: “Zorg voor een systematische analyse

van integriteitrisico’s”

SIRA: van toezicht thema…

3 SIRA Oktober 2015

…..via thematisch onderzoek naar “Good Practices”

› Onderzoek naar de

integriteitrisicoanalyses van 170

banken door DNB leverde een

uitdagend resultaat op…..

› ….reden voor DNB om een

set “Good Practices” te

publiceren met richtlijnen

voor integriteitriscoanalyse

De DNB Good Practices bestaan uit vier stappen

Stap 1 & 2: Risico- identificatie & analyse

4

Stap 2:

Risicoanalyse

Stap 1:

Risico-identificatie

› Tijdens de eerste stap wordt de analyse voorbereid en worden de risico’s geïdentificeerd › De volledige organisatiestructuur wordt in kaart gebracht› Per organisatieonderdeel worden risico scenario’s geïdentificeerd› Kans, impact en beheersmaatregelen worden gekwantificeerd met een scoringssystematiek. Het

kwantificeren maakt een onderlinge vergelijking van de scenario’s mogelijk

› Tijdens de tweede stap worden de risico’s geanalyseerd› Door de kans met de impact te vermenigvuldigen wordt het bruto risico bepaald. Het bruto risico geeft

de potentiele impact van het risico weer› Risk appetite: Het senior management schetst een kader van het type en niveau van het risico dat ze

bereid is te accepteren› Van alle scenario’s wordt geanalyseerd welke beheersmaatregelen er tegenover staan en in hoeverre

deze het risico afdekken

Risico-identificatie & analyse

Retail

Risico Factor Scenario Kans Impact Bruto risicoRisk

Beheers-maatregelBeheers-

beoordelingappetite

Witwassen KlantOnverklaarbaar

vermogenMiddel (2) Groot (3) 6 (Extreem) Laag (1)

Herkomst vermogen

aantonen 3

Terrorisme-

financiering Land

(In)directe

financiering IS Laag (1) Groot (3) 3 (Matig) Laag (1)

Identificeren (eind)

klant2

Corruptie Contractor Omkoping Laag (1) Matig (2) 2 (Laag) Laag (1)Controle Framework

Procurement 1

Voorbeeld: Risico-identificatie & analyse

SIRA Oktober 20154

Na het analyseren van de risico’s…

…volgen stap 3 & 4: Risico- beheersing & monitoring

5

Stap 4:

Risico monitoring &

herziening

Stap 3:

Risico beheersing

› Tijdens de derde stap wordt het toepassen van additionele beheersmaatregelen geanalyseerd› Het netto risico is het resterende risico bij optimaal werkende beheersmaatregelen. Het netto risico wordt

bepaald door het bruto risico te verminderen met de gekwantificeerde beheersmaatregelen› Door het overgebleven risico te vergelijken met de eerder bepaalde risk appetite wordt vastgesteld of het

risico kan worden geaccepteerd› Wanneer er een discrepantie bestaat tussen de risk appetite en het resterende risico zullen er

maatregelen moeten worden genomen

› Tijdens de laatste stap worden de risico’s en beheersmaatregelen nauwlettend gevolgd › De integriteitsrisicoanalyse geeft uiteindelijk in één document de prioritering van de risico’s en de

maatregelen om deze risico’s te mitigeren weer. Dit document kan als sturingsmechanisme worden gebruikt door het management

› Uiteindelijk is de analyse geen éénmalige oefening. De integriteitsanalyse wordt periodiek (jaarlijks) herzien. Nieuw(e) (geprioriteerde) risico’s en beheersmaatregelen worden vastgesteld en geïmplementeerd

Risicobeheersing & monitoring

Retail

Risico Netto risico Risk appetite Gap Maatregel

Witwassen 3 1 1Beëindigen relatie

met PEP's

Terrorisme-financiering 1 1 0Geen maatregel

vereist

Corruptie 1 1 1Geen maatregel

vereist

Voorbeeld: Risico-beheersing & monitoring

SIRA Oktober 20155

De Good Practices zijn helder….

…de vertaalslag naar actie

6

Stap 3:

Risico

beheersing

› Bijvoorbeeld: Analyse procesbeschrijvingen en werkinstructies, en daadwerkelijk gebruik

› Communicatieplan resultaten integriteitrisico analyse aan medewerkers om awareness te verhogen

Stap 2:

Risicoanalyse

Stap 1:

Risico-

identificatie

› Workshop “risico scenario’s” faciliteren en de resultaten verwerken, aggregeren en presenteren

› Bepalen scoringssystematiek kans, impact en beheersmaatregelen

› Creëren “heatmap” van risico scenario’s (bruto risico) versus beheersmaatregelen

› Plotten risk appetite op heatmap

SIRA Oktober 20156

Wil je meer weten?

Neem contact op met één van onze experts

7

Crown Building South

Hullenbergweg 361

1101 CP Amsterdam Zuidoost

Mainzer Landstraße 49

60329 Frankfurt am Main

137 Market Street

Singapore 048943

27 Clements Lane, Suite 110

EC4N 7AE, Londen

212 South Tryon Street, Suite 980

Charlotte, NC 28281

Joris Hillebrand

› Practice Lead

› joris.hillebrand@doubleeffect.com

› +31 6 116 495 65

Frits Scholte

› Consultant

› frits.scholte@doubleeffect.com

› +31 6 188 493 91

Rick Bonhof

› Consultant

› rick.bonhof@doubleeffect.com

› +31 6 461 844 07