De S van een sterkere SIRA

In november 2024 publiceerde DNB de consultatieversie van haar langverwachte Good Practice voor de Systematische Integriteitsrisicoanalyse (SIRA, hierna: ‘Good Practice’). De Good Practice vervangt de DNB SIRA-‘gebruiksgids en poster’ uit 2015 (hierna: ‘Leidraad’). De Leidraad bevatte een format voor de SIRA en benoemde elf specifieke integriteitsrisico’s. Het format werd al snel gehanteerd als ‘de juiste wijze’ om integriteitsrisicomanagement in te richten. De vraag of dit daadwerkelijk de juiste wijze was, werd niet gesteld. De teneur was dat het volgen van het door DNB voorgeschreven format minder risico op handhaving met zich mee zou brengen dan het volgen van een eigen weg. Kortom, de vraag of er eventueel een andere – betere – wijze van uitvoering denkbaar was, werd niet gesteld. Instellingen worden nu aangezet om zélf na te denken en te kiezen voor een wijze van risicobeheersing die past bij hun instelling. Maar hoe dan? En hoe doorstaan ze de toets van de toezichthouder?

Met de Good Practice worden onder toezicht staande instellingen aangespoord zelf het voortouw te nemen in het opzetten en onderhouden van een risicobeheersingsproces dat past bij de instelling. Daarnaast wordt nadruk gelegd op een adequate feedbackloop en het belang van continue monitoring op risico’s. Vanuit KPMG Forensic hebben wij vijf tips voor een sterkere SIRA gebaseerd op de Good Practice, en onze ervaringen als adviseur van een groot scala van financiële instellingen:

1. Volg een methode voor het uitvoeren van de SIRA met duidelijk belegde rollen en verantwoordelijkheden. Ontwikkel een gestructureerde methode, maar behoud de flexibiliteit om in te kunnen spelen op nieuwe risico’s, producten en andere ontwikkelingen. Zorg dat er voldoende commitment is vanuit verschillende gelederen van de organisatie.
2. Maak gebruik van data – over onder andere klanten, producten en diensten, transacties, incidentmeldingen – om trends te detecteren. Waardoor is klantgroep type X toegenomen? Waarom hebben we meer cashstortingen in periode X? Kunnen we transacties van en naar buurlanden van gesanctioneerde landen verklaren? Data hoeft niet perfect te zijn om met de SIRA te beginnen: pak de imperfecties aan als onderdeel van de SIRA. Instellingen kunnen de SIRA daarnaast ook gebruiken om te identificeren welke data nog ontsloten moet worden of voor welke datavelden de kwaliteit omhoog moet.
3. Gebruik de kennis die beschikbaar is binnen de instelling. Waar credit risk en financial risk management vaak stevig verankerde processen hebben en zijn ondergebracht in een riskmanagementafdeling, is de SIRA lang gezien als een apart proces, met een eigen methodologie. Optimaliseer en harmoniseer de verschillende risicomanagementprocessen en maak gebruik van de kennis opgedaan in andere processen. Daarnaast kunnen ook incident-, klokkenluiders- en fraudemeldingen gebruikt worden om integriteitsrisico’s en (het gebrek aan) beheersmaatregelen te identificeren.
4. Gebruik informatie van buiten de instelling. Geopolitieke en technische ontwikkelingen, alsook ontwikkelingen op de financiële markten hebben een impact op de instelling. Wacht niet op elke nieuwe SIRA-cyclus om deze impact te analyseren, maar voer – indien nodig – gerichte SIRA’s uit om snel in te spelen op opkomende risico’s. Dit is niet alleen relevant vanuit het oogpunt van risicobeheersing, maar ook vanuit strategisch perspectief.
5. Maak het leuk en innovatief! Te vaak komt de SIRA ‘boven op’ alle andere werkzaamheden of wordt er gesproken over hele abstracte risico’s. Gebruik trainingen of teamevents en reserveer daarin tijd voor een workshop. Denk na over de toekomst (“Hoe ziet de wereld, onze instelling en onze dienstverlening eruit in 2030? Wat hebben onze klanten nodig? Wat zijn opkomende risico’s? Van welke technologieën gaan we het meeste profijt hebben en wat is de keerzijde daarvan?”). Voeg spelelementen toe aan de SIRA-workshop en maak het proces makkelijker door het gebruik van de juiste tooling. In plaats van risico’s  een score te geven, zou je ze ook kunnen ranken. Het is makkelijker te benoemen welk risico groter is dan een ander risico, dan een score eraan te hangen met de kans hoe vaak per jaar het risico zich kan materialiseren.

Bent u benieuwd naar hoe KPMG u kan helpen bij het vormgeven en faciliteren van uw SIRA, dan staan wij voor u klaar.