Tien jaar SIRA: Integriteitsrisico Good Practices herzien door DNB 2025

De integriteitsrisicoanalyse, beter bekend als de SIRA, is sinds 2015 een verplicht onderdeel voor banken, verzekeraars, betaalinstellingen, wisselinstellingen, trustkantoren en pensioenfondsen. In 2015 was de aanleiding voor de eerste Good Practices van De Nederlandsche Bank (DNB) de ontoereikendheid of gehele afwezigheid van een dergelijke analyse bij het gros van financiële instellingen. De doelstelling voor dit eerste document werd aldus gevangen in de ondertitel: ‘Meer waar dat moet, minder waar dat kan.’ Het was zaak dat alle financiële instellingen tenminste een minimum aan tijd en moeite besteedden aan het analyseren van integriteitsrisico’s.

Wel wordt ook in deze eerste Good Practices al in de inleiding gewaarschuwd voor ‘afvinkgedrag’, waarmee we aankomen bij de aanleiding voor de update van afgelopen november. De status van de huidige SIRA werd daarin als volgt beschreven:

‘De SIRA Good Practices uit 2015 [wordt] als normenkader beschouwd waarbij er weinig tot geen ruimte wordt gelaten voor eigen invulling of interpretatie. Om dit beeld te ontkrachten wordt bij deze herziening duidelijk gemaakt dat er niet een specifieke aanpak wordt voorgeschreven.’

Nieuwe Good Practice SIRA 2025

De DNB heeft een proces gestart om een nieuwe versie van de Good Practices voor de SIRA te verwezenlijken. November 2024 is een consultatieversie gepubliceerd met het verzoek van DNB om feedback van instellingen en organisaties die ermee van doen hebben, het verbond van verzekeraars heeft bijvoorbeeld gereageerd met onder andere vragen over hoe de Good Practices vertalen naar het toezicht van DNB[1]. Reageren was mogelijk tot en met 17 januari. Wanneer de nieuwe versie voldoende is aangevuld met behulp van de consultaties zal de oude versie van 2015 officieel vervallen en wordt de nieuwe versie definitief.

Stappenplan

Het viertal stappen dat in beide de oude als de nieuwe Good Practices wordt weergegeven – Risicoidentificatie, Risicoanalyse, Risicobeheersing en Risicomonitoring en herziening – zal er voor geen enkele risicomanager nieuw zijn, laat staan inspireren tot vernieuwing. In het document van 2015 staat vervolgens een ‘poster’ opgenomen met een tabel waar de gehele cyclus is uitgewerkt als een stappenplan met een lijst van de meest voorkomende integriteitsrisico’s. Alhoewel erbij vermeld wordt dat dit niet de bedoeling is, blijkt de verleiding om deze tabel integraal over te nemen groot te zijn. Ook de rest van het document is opgesteld als een stappenplan waar in voorschrijvende taal de route naar compliance wordt uitgestippeld.

Van applicatie naar inspiratie

De doelstelling van de herziene Good Practices is verschoven van applicatie naar inspiratie, ofwel een reflectieve en dynamische aanpak met een beperkte mogelijkheid tot ‘afvinkgedrag’. De doelstelling van de vorige versie is in essentie behaald, iedere financiële instelling voert een SIRA uit als dat moet. Met de herziening geeft de DNB de indruk de teugels te laten vieren. Alhoewel een herziening van Good Practices geen wetswijziging betekent, worden instellingen aangemoedigd volgens eigen beleid te voldoen aan de verplichtingen. In hoeverre deze wijziging gevolgen heeft voor het toezicht van DNB is voorlopig onduidelijk.

Het organisatierisicoprofiel

Als eerste stap voor de SIRA wordt het in kaart brengen van een organisatierisicoprofiel aangeraden, met vervolgens een aantal schetsen van verschillende profielen die dienen als voorbeeld. Dit benadrukt het grotere belang dat gehecht wordt aan maatwerk waarmee de risico’s die specifiek zijn voor een instelling de extra aandacht krijgen die ze verdienen. Een organisatierisicoprofiel brengt deze specifieke risico’s in kaart met een gedetailleerde inventarisatie per organisatieonderdeel van onder andere het aanbod van producten of diensten, de cliëntenportefeuille, specifieke integriteitsgevoelige functies, belangrijke uitbestedingspartners, voorheen opgetreden incidenten en klachten, maatregelen van toezichthouders en meer punten die risico’s kunnen aanduiden of waar ze uit voorkomen. Vervolgens dient voor een gedegen risicoprofiel voor ieder van deze onderdelen te worden uitgezocht wat de relevante integriteitsrisico’s zijn, waarbij onderscheid moet worden gemaakt tussen risico’s die verplicht zijn om te behandelen zoals risico’s op witwassen, het financieren van terrorisme en op maatschappelijk onbetamelijk gedrag.

Dit profiel kan dienen als een soort risicoblauwdruk voor de organisatie die een zeer nuttig overzicht geeft van mogelijke risico’s en waar ze vandaan komen, een goed doordacht en gedetailleerd organisatierisicoprofiel kan niet alleen voor de SIRA worden ingezet maar een belangrijk onderdeel worden van het risicomanagement van organisaties in het algemeen. Binnen risicomanagement omvat een risicoprofiel een optelsom van risicogerelateerde kenmerken van een organisatie zoals risicohouding, risicobereidheidsprincipes, materiele risico’s en cumulatieve risico’s samen met de beheersingsmaatregelen die daarbij horen. Een risicoprofiel, mits dit draagvlak heeft in de organisatie, is daarmee bepalend en normatief voor de manier waarop strategisch risicomanagement wordt benaderd en geoperationaliseerd kan worden. Neem bijvoorbeeld het Risk Appetite Value Chain[2] denk- en werkmodel voor de vormgeving en integratie van risicomanagement, de verschillende kwadranten waaruit dit model bestaat; risicogovernance, -processen, -bewustzijn en -strategie, kunnen allen worden ingevuld aan de hand van een gedegen risicoprofiel. De nadruk die DNB nu legt op het belang van een dergelijk profiel is een grote stap voorwaarts voor het normaliseren van sterk geïntegreerd risicomanagement vanuit toezichthoudersperspectief.

Relevantie boven volledigheid

In plaats van stap voor stap de cyclus te doorlopen wordt nu voor ieder onderdeel eerst een zogeheten ‘Ratio’ gegeven waarin de relevantie van de stap wordt uitgelegd, deze wordt vervolgens met een aantal praktijkvoorbeelden aangevuld. Daarnaast wordt het belang van kennis en expertise van beide het organisatiespecifieke vakgebied zowel als (integriteits)risicomanagement benadrukt om een integraal beeld te kunnen vormen van de organisatie. Bij de derde stap in de cyclus – risicobeheersing – staat het volgende:

“Een goede risicobeheersing betekent niet dat onwenselijke gebeurtenissen niet meer optreden. Het wil wel zeggen dat de instelling het redelijkerwijs mogelijke heeft gedaan om het optreden van een dergelijke gebeurtenis te voorkomen en de negatieve gevolgen adequaat kan beperken mocht een onwenselijke gebeurtenis zich toch voordoen.”

Ook hier wordt afgeweken van het voorschrijvende karakter van de vorige publicatie en wordt de nadruk verschoven naar proportionaliteit en efficiëntie. Het is daarbij veel belangrijker dat de stappen die worden genomen relevant en uitlegbaar zijn dan dat alles volledig naar de letter van de wet wordt uitgevoerd.

Zie hieronder een overzicht van de aanpassingen in de nieuw Good Practices ten opzichte van 2015:

SIRA en ERB/ORSA

De SIRA kan op zichzelf een prima instrument zijn om het integriteitsrisico inzichtelijk te maken, maar het is nog belangrijker dat het wordt ingekapseld in het doelmatigheidsprincipe vanuit risicomanagement. Dit zou kunnen door de SIRA ook op te nemen in de Eigen Risicobeoordeling (ERB) of de Own Risk Solvency Assesment (ORSA). Ook in november 2024 publiceerde de Pensioenfederatie een servicedocument voor de sanctieregelgeving. Deze staat in verband met de SIRA en ERB wanneer het gaat over risico’s die verplicht beheerst moeten worden, zoals witwasrisico, belangenverstrengeling en het risico op financiering van terrorisme. Het toezicht hierop wordt verscherpt sinds de inval van Rusland in Oekraïne. De Pensioenfederatie heeft fondsen met klem aangeraden in het eerste kwartaal van 2025 werk te maken van de sanctieregelgeving om te vermijden dat pensioenfondsen risico lopen om zelf sancties op te lopen. Voor naleving van de sanctiewet is het vooral van groot belang om een gedegen overzicht te hebben van alle relaties verbonden aan een organisatie zoals een pensioenfonds. Er bestaan verschillende sanctielijsten die in verschillende situaties van toepassing zijn. Relaties moeten in ieder geval gescreend worden op vermelding op de sanctielijsten van Nederland, Europa en de VN. Relaties kunnen meer omvatten dan alleen cliënten, het is daarom ook belangrijk dat de term duidelijk gedefinieerd wordt en in lijn staat met de definitie van de toezichthouder[3].

Conclusie

De sector toezichthouder, DNB, moedigt aan om gebruik te maken van de ‘vrijheid’ die bestaat om passende en effectieve beheersingsmaatregelen te vinden die zijn afgestemd op de omgeving en situatie van een specifieke entiteit. In hoeverre het karakter van het toezicht meebeweegt met deze herziening is niet geheel duidelijk, maar het is te verwachten dat de DNB meer zal kijken naar risico’s en beheersingsmaatregelen in verhouding tot het organisatierisicoprofiel en de uitwerking van organisatie-specifieke scenario’s.

Ook als er niets zou veranderen aan het toezicht nodigt de nieuwe SIRA Good Practices uit tot een verbetering van het management van integriteitsrisico’s. In plaats van een formeel voorschrift worden nu handvatten geboden voor een reflectieve en dynamische benadering van compliance met een nadruk op werkelijke relevantie boven volledigheid en passend bij het organisatierisicoprofiel. Het belang om nu echt een organisatierisicoprofiel te definiëren en te concretiseren is essentieel en relevant.

[1] Zie: https://www.verzekeraars.nl/media/ylofi54d/consultatiereactie-verbond-dnb-sira-good-practices.pdf

[2] https://nl.wikipedia.org/wiki/Risk_appetite

[3] https://www.pensioenfederatie.nl/website/publicaties/servicedocumenten/servicedocument-sanctieregelgeving