Aandachtspunten bij het opstellen van een goede systematische integriteitsrisicoanalyse

Nieuwsbericht
Datum 24 juli 2020

In ons toezicht op aanbieders van cryptodiensten kijken wij goed naar de integere bedrijfsvoering. Een systematische inventarisatie en analyse van integriteitsrisico’s, een systematische integriteitsrisicoanalyse (SIRA), speelt daarin een centrale rol.

Uit onze eerste analyse van de registratieaanvragen blijkt dat wij vrijwel zonder uitzondering vragen moeten stellen over de systematische integriteitsrisicoanalyse. Daarom geven wij hieronder een checklist van de eisen waar de SIRA aan moet voldoen. Wij verzoeken u uw SIRA nog eens goed tegen het licht te houden. 

Concreet

Een goede SIRA heeft concrete scenario’s. Met een concreet scenario bedoelen wij dat u omschrijft op welke wijze een integriteitsrisico zich bij uw bedrijf feitelijk kan manifesteren. Voor het maken van concrete scenario’s is de eerste stap het maken van een organisatieschets. De bedoeling is dat u de scenario’s zo concreet mogelijk maakt zodat integriteitsrisico’s, die specifiek voor uw instelling zijn, kunnen worden geïdentificeerd.

Organisatieschets

Het is daarbij van belang dat u zoveel mogelijk kwantitatieve data verzamelt over de gehele cliëntenportefeuille en de verleende cryptodiensten. Bijvoorbeeld:

  • In welke landen zijn de cliënten woonachtig?
  • In welke sectoren zijn de cliënten actief?
  • Wat zijn de risicocategorieën van de cliënten?
  • Wat is het transactiepatroon van de cliënten?
  • Wat zijn de kanalen waarmee de cliënten bediend worden?
  • ---

Identificatie integriteitsrisico’s

Hoe scherper u in beeld heeft welke cliënten u bedient en welke diensten u verleent, hoe concreter de scenario’s en hoe specifieker de SIRA voor uw bedrijf wordt. Op basis van de organisatieschets kunt u verschillende scenario’s opstellen die op uw bedrijf betrekking hebben. 

Beheersmaatregelen

Wij hebben gemerkt dat in de SIRA vaak geen duidelijke koppeling tussen scenario’s en beheersmaatregelen wordt gemaakt. Hierdoor is het niet duidelijk hoe u integriteitsrisico’s aanpakt. Dat is bijvoorbeeld het geval als aan een scenario meerdere integriteitsrisico’s zijn gekoppeld en waar vervolgens meerdere maatregelen tegenover zijn gezet. Het is van belang  dat uit de SIRA blijkt welke maatregel u toepast om een specifiek risico tegen te gaan. Alleen dan kan op basis van de SIRA een goede afweging worden gemaakt of het verlenen van cryptodiensten aan een cliënt al dan niet binnen uw risk appetite valt.

Te algemene maatregelen

Daarnaast zien wij in de praktijk dat de maatregelen die in de SIRA zijn opgenomen vaak nog te algemeen van aard zijn (bijvoorbeeld: ‘transactiemonitoring’) of niet gericht zijn op risicovermindering (bijvoorbeeld: ‘professionele werknemers’ of ‘alleen zaken doen met integere klanten’). Dit kan volgens DNB verband houden met scenario’s die niet concreet genoeg zijn. 

Doorvertaling SIRA

De SIRA is een belangrijk onderdeel van de integere en beheerste bedrijfsvoering. Uit de SIRA dient te blijken of, en zo ja, welke integriteitsrisico’s binnen uw risk appetite vallen en/of beheersmaatregelen nodig zijn om de risico’s te verkleinen. Het is van belang dat de SIRA goed wordt doorvertaald naar dienstverleningsdossiers. Dat betekent dat uit een dienstverleningsdossier moet blijken op basis van welke overwegingen een cliënt en de dienstverlening binnen uw risk appetite vallen.

Leidraad

DNB biedt een leidraad aan voor de opzet van de SIRA c.q. de formulering van een integrity risk appetite.

Terug naar de Nieuwsbrief