Project integriteitrisicoanalyse en de DNB guidance Maud Bökkerink
Waarom opeens dit project? De systematische analyse van integriteitrisico s is al een eis sinds 2001 Uit diverse toezichtonderzoeken blijkt dat instellingen niet beschikken over een doordachte integriteitrisicoanalyse Dit betekent dat instellingen onvolledig inzicht hebben in integriteitrisico s Binnen DNB hebben we beoordeeld dat dit de root cause van non-compliance is
Waarom is een integriteitrisicoanalyse eigenlijk nodig? Een risicoanalyse is de basis om risicogebaseerd de regelgeving te kunnen naleven Impliciet kent een instelling wel de risico s, maar ook nodig om deze expliciet en structureel te beoordelen, vast te leggen, en op te acteren Focus op grootste risico s En nodig om out-of-the-box na te denken over mogelijke dreigingen
Hoe groot is de dreiging?
Hoeveel beheersing zet je tegenover de dreiging?
Hoeveel beheersing zet je tegenover de dreiging?
Wat hebben we in dit project gedaan? Analyses van banken waren reeds opgevraagd in het kader van ander project Beoordeeld door team van toezichthouders aan de hand van beoordelingskader Beoordelingskader is t.o.v. vorige kader meer gedetailleerd gemaakt
Reacties Misverstand bij uitvraag over doel Er waren meer of andere documenten beschikbaar Wel een analyse op niveau hoofdkantoor Terugkoppeling had meer duiding kunnen hebben Guidance is duidelijk en helpt Meerwaarde van integriteitrisicoanalyse wordt ingezien
Beoordelingskader De integriteitrisicoanalyse is recent en wordt periodiek gedaan De integriteitrisicoanalyse ziet op meerdere bedrijfsonderdelen van de instelling De integriteitrisicoanalyse besteedt aandacht aan meerdere integriteitsrisico's Per integriteitrisico blijkt duidelijk inzicht in diverse bruto/inherente risicoscenario s en meerdere risicofactoren Per risicoscenario zijn kans en impact bepaald en de scoring hiervan is duidelijk en plausibel Per risicoscenario worden beheersmaatregelen benoemd en de methodiek die gehanteerd wordt om beheersmaatregelen te scoren is duidelijk en plausibel De integriteitrisicoanalyse beschrijft welk rest risico (netto risico) er overblijft
Resultaten Er zijn grote verschillen in de gebruikte systematieken, variërend van verhalende tot cijfermatige analyses. Een aantal instellingen gebruikt een systematiek (bruto-beheersing-netto) die wij voor ogen hebben. In een aantal gevallen is alleen het CDD beleid aangeleverd, of een paar paragrafen waarin kort 1-2 risico s worden beschreven, of er wordt slechts ingegaan op een beperkt aantal risico s. Instellingen waarbij we in eerdere projecten veel nadruk hebben gelegd op de risicoanalyse leveren nu een goede analyse op. 10
Beeld dat uit de analyses naar voren komt Voldoende 1. De instelling heeft meerdere integriteitrisico s met voldoende diepgang beoordeeld en een brutobeheersing-netto systematiek gebruikt die voldoende onderbouwd is. 2. De instelling heeft meerdere integriteitrisico s op basis van de bruto-beheersing-netto systematiek beoordeeld, maar er is nog meer diepgang en onderbouwing nodig. Onvoldoende 3. De instelling heeft slechts enkele integriteitrisico s beoordeeld en daarbij alleen naar bruto risico s gekeken of alleen naar beheersing; diepgang en onderbouwing ontbreken. 4. De instelling benoemt zeer weinig integriteitrisico s en een duidelijke beoordelingssystematiek ontbreekt 11
Wat verwacht DNB? 1. Een duidelijke organisatieschets 2. Relevante risicoscenario s 3. Doordacht scoringssysteem 4. Eerlijke beoordeling effectiviteit beheersing 5. Risico s afgezet tegen risk appetite 6. Netto risico s en gaps 7. Sturingsdocument voor management 8. Communicatie binnen instelling
Risicoscenario s Waar loop ik een kans dat mijn klanten door middel van mijn diensten of producten witwassen? Wat is de kans dat mijn medewerkers samenspannen met een derde partij? Is het mogelijk dat mijn bank vanwege mijn internationale activiteiten sancties omzeilt? Kan mijn instelling meewerken aan belastingontduiking door structuren te faciliteren? Is het waarschijnlijk dat mijn instelling met fraude in aanraking komt door met tussenpersonen te werken?
Meer waar dat moet, minder waar dat kan
Punten van aandacht voor volgend jaar Passen bruto en netto risico s binnen de risk appetite Gebruik van de uitkomsten van de analyse Hoe worden geïdentificeerde gaps opgepakt Mogelijke handhaving