Voordat u maatregelen en procedures invoert of herziet, moet u eerst gedegen onderzoek doen naar de aard (verschijningsvormen, scenario’s van financieel economische criminaliteit) en omvang van de risico’s. Dit proces kent twee fasen:
- Identificeer de mogelijke risico’s;
- Analyseer en bepaal de aard en omvang van de risico’s.
Daarna komt het op maat inrichten van het beheersingskader: het beleid, de maatregelen en de procedures. De integriteitsrisicoanalyse vormt de basis voor het bepalen van adequate risicomitigatie maatregelen. Hierbij wordt ook aangegeven in hoeverre de maatregelen de geïdentificeerde risico’s mitigeren. De uitkomst van dit proces is het nettorisico; de omvang van het risico dat overblijft als alle procedures en maatregelen adequaat hun werk doen. De vraag is in hoeverre dit nettorisico voor u acceptabel is en past binnen uw risk appetite.
Ook de risico’s die worden genoemd in het kader van de integere en beheerste bedrijfsvoering, worden meegenomen in de integriteitsrisicoanalyse. Te denken valt bijvoorbeeld aan het uitbesteden van bepaalde bedrijfsonderdelen. Ook maken instellingen aan de hand van de integriteitsrisicoanalyse afwegingen in het kader van art. 2d Wwft (het beschikken over een onafhankelijke compliance- en auditfunctie).
De inventarisatie, analyse en de (toetsing van de effectiviteit van de) beheersing wordt periodiek doorlopen. Risico’s zijn immers niet statisch. Zowel interne als externe factoren kunnen ervoor zorgen dat risico’s voor een instelling veranderen. Ook tussentijdse gebeurtenissen kunnen leiden tot een noodzaak om de analyse bij te werken. In het toezicht zal dan ook worden gelet op de actualiteit van de risicoanalyse.
Voor instellingen die onder de Wft vallen, geldt een vergelijkbare verplichting tot het opstellen van een systematische integriteitsrisicoanalyse. Hierover publiceerde DNB in 2015 guidance. Wij raden u aan deze guidance te raadplegen bij het opstellen van de Integriteitsrisicoanalyse.