Hoofdstuk 5: Analyse van de inherente risico s 5.1 Inleiding Het doel van de analyse van inherente risico s is het bepalen van de waarschijnlijkheid dat de verschillende risico s waaraan een instelling is blootgesteld zich voordoen en leiden tot een aanzienlijke tot hoge impact. Deze risicoanalyse vindt binnen de opgestelde organisatiestructuur plaats op het niveau van de functionele activiteiten. De risico s waarvoor de waarschijnlijkheid dat zij leiden tot een aanzienlijke impact hoog is, verdienen verhoogde aandacht vanuit toezicht. Aan deze risico s worden immers hogere eisen gesteld ten aanzien van de mate van beheersing. Door de risicowaarschijnlijkheden in te schatten worden de risico s dan ook ten opzichte van elkaar gerangschikt en wordt, in combinatie met de aan risicocategorieën standaard toegekende gewichten (zie paragraaf 6 van dit hoofdstuk), input voor de planning verkregen. De risicoanalyse gaat uit van defaultscores zoals deze per risico binnen een bepaalde functionele activiteit (bijvoorbeeld het kredietrisico binnen een generiek hypotheekbedrijf) representatief worden geacht. Na een korte introductie ten aanzien van enkele belangrijke begrippen rondom risico s, wordt in dit hoofdstuk ingegaan op de vraag welke risico s door de toezichthouder beoordeeld dienen te worden, welke criteria ter ondersteuning hiervan beschikbaar zijn, welke diepgang toegepast moet worden, hoe omgegaan moet worden met de aangeboden defaultscores alsmede welke schaal bij het beoordelen van risico s gehanteerd moet worden. 5.2 Enkele belangrijke begrippen 5.2.1 Inherente risico s versus netto risico s Voor het inschatten van de waarschijnlijkheid per risico is het van belang om onderscheid te maken tussen inherente risico s (ook wel bruto risico s genoemd) en netto risico's. Inherente risico s Een inherent risico is een risico dat inherent (los van aanwezige beheersing) samenhangt met de activiteiten en producten van de instelling danwel de omgeving waarin een instelling opereert. Bij de beoordeling van inherente risico s wordt uitgegaan van het profiel van de instelling op het moment van scoren, waarbij dit profiel onder andere de volgende elementen omvat: het productenassortiment, de markt waarop de instelling opereert, of men primair zakelijke of particuliere klanten bedient; de aard en intensiteit van de concurrentie; het IT-landschap, waaronder de automatiseringsgraad; de samenstelling van de beleggingsportefeuille; de samenstelling van de kredietportefeuille; het bestand verzekerden/gerechtigden; geografische spreiding. Bij de beoordeling van risico s dient zo veel mogelijk vanuit het perspectief van inherente risico s geanalyseerd te worden, dus abstraherend van aanwezige beheersingsmaatregelen. De reden hiervoor is dat de werking van de beheersingsmaatregelen in de volgende fase van de risicoanalyse wordt behandeld. Op dat moment wordt dan ook naar het effect van de maatregelen gekeken op het inherente risico. Bovengenoemde karakteristieken zijn medebepalend voor de hoogte van inherente risico s. Ter illustratie: een instelling die voornamelijk in aandelen belegt, heeft een ander inherent marktrisico dan een instelling die voornamelijk in obligaties belegt; een instelling die voornamelijk spaarhypotheken in portefeuille heeft, heeft een ander inherent kredietrisico dan een instelling met voornamelijk beleggingingshypotheken met effectendepots; een instelling die primair zakelijke klanten bedient, heeft een ander risicoprofiel dan een instelling die primair particulieren bedient; Hoofdstuk 5 - Analyse van de inherente risico s Pagina 1 van 8
een instelling die primair arbeidsongeschiktheidsverzekeringen verkoopt, heeft een ander inherent operationeel risico dan een instelling die primair eenvoudige reisverzekeringen voert. Bovengenoemde voorbeelden voor karakteristieken (leidend tot het profiel van de instelling) zijn veelal het gevolg van het door de instelling in het verleden gevoerde beleid, wat zich onder andere uit in de gekozen product/markt-combinatie en het gekozen beleggingsbeleid. Deze keuzes worden bij de beoordeling van inherente risico s als gegeven beschouwd. Netto risico's Netto risico s zijn de risico s zoals deze resteren bij inachtneming van de effecten van aanwezige beheersingsmaatregelen. 5.2.2 Impact en waarschijnlijkheid Met betrekking tot een risico kunnen de elementen impact en waarschijnlijkheid worden onderkend. Impact betreft het gevolg van het optreden van het risico op de mate waarin de toezichthouder haar toezichtsdoelstellingen realiseert. Waarschijnlijkheid betreft de kans dat een risico zich voordoet. In veel gevallen bestaat er een afhankelijkheid tussen de impact van een risico en de bijbehorende waarschijnlijkheid. Zo zal de waarschijnlijkheid dat het marktrisico tot een grote impact (bijvoorbeeld 30 procent waardeverlies) leidt veelal kleiner zijn dan de waarschijnlijkheid dat het marktrisico tot een kleine impact (bijvoorbeeld 5 procent waardeverlies) leidt. Hierdoor bestaat er een groot aantal combinaties van impact en waarschijnlijkheid die allemaal van toepassing kunnen zijn op één enkel risico. Dit wordt in onderstaand plaatje geïllustreerd (op de verticale as staat de impact, terwijl op de horizontale as de waarschijnlijkheid staat): In het kader van deze afhankelijkheid tussen impact en waarschijnlijkheid, is er voor gekozen bij de analyse van de risico s geen aparte inschatting te maken van de impact van een risico. De waarschijnlijkheid wordt beoordeeld uitgaande van een vaste impact. Er is voor gekozen om de waarschijnlijkheid voor de risico s als volgt in te schatten: De waarschijnlijkheid dat het risico leidt tot een aanzienlijke of hoge impact op de vier pijlers van de toezichtdoelstellingen, zijnde solvabiliteit, liquiditeit, organisatie en beheersing en integriteit 1. Het is in zekere mate mogelijk om een dergelijke aanzienlijke tot hoge impact te concretiseren. Zo kan een aanzienlijke tot hoge impact in verband worden gebracht met een meer dan aanzienlijke vermindering (bijvoorbeeld meer dan 10 procent) van de vereiste solvabiliteit (buffers). 1 Eerder in dit handboek is reeds ingegaan op de toezichtdoelstellingen die worden onderkend en de wetten waaraan deze zijn ontleend. Hoofdstuk 5 - Analyse van de inherente risico s Pagina 2 van 8
In de huidige benadering is er echter voor gekozen deze impliciet te houden omdat de informatie (bijvoorbeeld relevante kansverdelingen en modelleringen) voor een meer kwantitatieve benadering niet breed beschikbaar zijn. Het is echter van belang dat niet voor iedere functionele activiteit aan de instellingsbrede solvabiliteit wordt gerefereerd, aangezien de waarschijnlijkheid dat een risico binnen die ene individuele functionele activiteit tot een dergelijke grote impact leidt veelal erg klein zal zijn 2. Hiertoe zou de toezichthouder een (globale) inschatting kunnen maken van de aan de betreffende functionele activiteit toe te rekenen solvabiliteit. Daarnaast dient bij het inschatten van de waarschijnlijkheid ook gesteund te worden op de kwalitatieve criteria waaraan later in dit hoofdstuk aandacht wordt besteed. 5.3 Welke risico s worden er beoordeeld? De risicoanalyse in generieke zin richt zich op de volgende risicocategorieën met onderliggende risico-items 3 : Risicocategorie Risico-item Matching-/renterisico s rente; valuta; liquiditeit; inflatie. Marktrisico s prijsvolatiliteit; marktliquiditeit; concentratie en correlatie. Kredietrisico s default probability; concentratie en correlatie; loss given default; exposure at default. Verzekeringstechnische risico s sterfte; arbeidsongeschiktheid; schade; concentratie en correlatie. Omgevingsrisico s concurrentie; afhankelijkheid; reputatie; ondernemingsklimaat. Operationele risico s (pre)acceptatie/transactie; verwerking; uitkering/betaling/settlement; informatie; productontwikkeling; kosten; personeel; fraudegevoeligheid. Uitbestedingsrisico s continuïteit bedrijfsvoering; integriteit; kwaliteit dienstverlening. IT-risico s strategie en beleid; beveiliging; beheersbaarheid; continuïteit. 2 Zie ook de laatste paragraaf (het scoren van risico s in relatie tot de omvang van de functionele activiteit). 3 Voor de definities wordt verwezen naar bijlage B. Hoofdstuk 5 - Analyse van de inherente risico s Pagina 3 van 8
Risicocategorie Risico-item Integriteitsrisico s benadeling derden ; voorwetenschap; witwassen; terrorismefinanciering; onoorbaar handelen. Juridische risico s wet- en regelgeving; naleving; aansprakelijkheid; afdwingbaarheid contracten. Toelichting op de risicoindeling NB1: In de praktijk zullen diverse risico s in meer of mindere mate aan elkaar zijn gerelateerd. Zo zullen diverse risico s (waaronder bijvoorbeeld het integriteitsrisico) een invloed kunnen hebben op het reputatierisico. Tevens kan het risico samenhangend met de fraudegevoeligheid van invloed zijn op de integriteit van de instelling, kan onvoldoende naleving van wetgeving kan tevens een integriteitsrisico met zich meebrengen en kunnen juridische aspecten in kredietovereenkomsten van invloed zijn op het kredietrisico. Een en ander hangt mede samen met het feit dat ieder risico veelal meerdere risicobronnen (oorzaken) kent die vaak niet op slechts één, maar op meerdere van de genoemde risico s hun uitwerking hebben. Als gevolg hiervan kan het in voorkomende gevallen wellicht lastig zijn om een specifiek risico of risicobron bij een instelling expliciet te relateren aan één van de in de voorgaande tabel opgenomen risico s. Gezien het doel van de risicoanalyse binnen FIRM hoeft dit echter geen bezwaar te zijn. Doel is dat risico s worden onderkend, worden gescoord en dat vervolgens de kwaliteit van de beheersing wordt beoordeeld. Het perfect en eenduidig matchen van een bepaald risico bij een instelling aan de risico s binnen FIRM is daarbij geen doel op zich. Wel dient de toezichthouder bij de beoordeling van de risico s te overwegen in welke mate bijvoorbeeld een mogelijk juridisch risico tevens een integriteitsrisico vormt of conform bovenstaand voorbeeld een kredietrisico. Bovendien dient de toezichthouder te overwegen in welke mate andere risico s (w.o. juridische, integriteit- en frauderisico s) mogelijk afbreuk kunnen doen aan de reputatie van de instelling dan wel de integriteit van het financiële stelsel. NB2: Het risico samenhangend met de liquiditeit van banken is niet als een afzonderlijke risicocategorie in het model opgenomen, aangezien de verhouding tussen de aanwezige en vereiste liquiditeit geacht wordt een weerspiegeling van het liquiditeitsrisico te zijn. Zoals in paragraaf 2.3.2 toegelicht dient de toezichthouder op basis van genoemde verhouding een oordeel omtrent de toereikendheid van de liquiditeit te geven en vervolgens de kwaliteit van het liquiditeitsbeheer te beoordelen. NB3: Tenslotte is, gezien het toenemende belang van uitbesteding binnen de financiële sector en de toenemende aandacht hiervoor vanuit toezicht, besloten het risico samenhangend met uitbesteding expliciet te maken in de vorm van een risicocategorie. De risicoanalyse voor een individuele functionele activiteit richt zich over het algemeen primair op een deelverzameling van bovenstaande risico s. Dit betreft de risico s die zijn opgenomen in het sjabloon dat door de toezichthouder is toegewezen aan de te beoordelen functionele activiteit. Zoals in hoofdstuk 3 over de decompositie van de organisatie is aangegeven, is in dit sjabloon voor de betreffende (generieke) functionele activiteit een (beperkt) aantal risicocategorieën met onderliggende items opgenomen. Dit betreft de risicocategorieën die in generieke zin voor dergelijke functionele activiteiten vanuit toezichtperspectief relevant zullen zijn. Dit betekent niet dat de in het sjabloon ontbrekende risicocategorieën per definitie niet van toepassing zijn. De toezichthouder dient altijd te evalueren of het sjabloon in de voorkomende situatie compleet is. Indien de toezichthouder van mening is dat aanvullende risicocategorieën relevant zijn, kan hij/zij ervoor kiezen deze categorie(ën) toe te voegen. Ook kan het zijn dat een bepaalde risicocategorie wél in het sjabloon is opgenomen doch in de praktijk niet van toepassing is. In dit geval kan de defaultscore overschreven en vervangen worden door de score niet van toepassing. Gedacht kan worden aan de risicocategorieën operationeel of IT als alles is uitbesteed, of aan de risicocategorie uitbesteding als niets is uitbesteed. Hoofdstuk 5 - Analyse van de inherente risico s Pagina 4 van 8
Ieder van deze risicocategorieën is voorzien van een gewicht (hoog, middel dan wel laag) dat als indicatie dient voor het belang dat vanuit toezicht aan de betreffende categorie wordt toegekend. Deze sjablonen zijn zowel van toepassing voor reguliere functionele activiteiten als voor groepsfuncties. Verschil tussen de sjablonen van reguliere functionele activiteiten en de sjablonen van groepsfuncties is dat de laatste niet in alle gevallen een risicocategorie bevatten. Voor nadere uitleg wordt verwezen naar hoofdstuk 3 Decompositie van de organisatie (paragraaf sjablonen bij groepsfuncties ). De risicoanalyse betreft de beoordeling van de waarschijnlijkheid van de in dit sjabloon (na eventuele toevoegingen) opgenomen risicocategorieën. 5.4 Het beoordelen van de hoogte van de inherente risico s 5.4.1. Schaal voor het toekennen van scores Het toekennen van een score voor de waarschijnlijkheid van het risico, gebeurt aan de hand van de navolgende schaal. 1. Laag De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is erg gering. 2. Beperkt De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is beperkt. Indien de omstandigheden echter wijzigen kan deze waarschijnlijkheid ook snel wijzigen en daarmee wellicht aanzienlijk worden. Het risico dient dan ook bewaakt te worden. 3. Aanzienlijk De waarschijnlijkheid dat het risico tot een aanzienlijke tot hoge impact zal leiden is aanmerkelijk groot. 4. Hoog Het risico zal zich - zonder adequate beheersing - vrijwel zeker voordoen en een aanzienlijke tot hoge impact hebben. Beheersing van het risico door de instelling verdient grote aandacht. Niet van toepassing Indien het risico voor de betreffende functionele activiteit in het geheel niet van toepassing is, kiest de toezichthouder deze optie. Onbekend Indien de toezichthouder nog onvoldoende informatie omtrent een bepaald risico bezit om een score te kunnen toekennen, kiest hij/zij deze optie. Aangezien één van de doelstellingen van de analyse van risico s en beheersing het leveren van input voor het planningsproces en de prioriteitstelling is, is een goede spreiding van de toegekende scores over de gehele schaal wenselijk. Toezichthouders worden dan ook aangemoedigd expliciet te zijn bij het toekennen van scores en als zodanig zo veel mogelijk gebruik te maken van de gehele schaal. 5.4.2. Hulpmiddelen bij het inschatten van waarschijnlijkheidsscores Teneinde de toezichthouder te ondersteunen bij het bepalen van de juiste scores zijn voor iedere individuele risicocategorie bijbehorende (generieke) beoordelingscriteria opgenomen. Deze geven voor ieder risico een indicatie in welke situatie de toezichthouder een score van 1, 2, 3 of 4 voor waarschijnlijkheid zou moeten toekennen. Hiervoor wordt verwezen naar de bijlagen. Niet alle beoordelingscriteria zijn voor iedere instelling relevant. Bovendien zijn de criteria niet-limitatief. Het kan immers voorkomen dat er zich bij een instelling omstandigheden voordoen die niet binnen de beoordelings- Hoofdstuk 5 - Analyse van de inherente risico s Pagina 5 van 8
criteria voor het betreffende risico zijn te herkennen, maar die wel relevant zijn voor het schatten van de hoogte van het risico. Ook is het mogelijk dat bepaalde beoordelingscriteria binnen een individuele instelling zwaarder wegen dan andere. In dergelijke gevallen is het aan het professionele oordeel van de toezichthouder om te bepalen welke score het beste overeenkomt met de waarschijnlijkheid van het inherente risico bij de desbetreffende functionele activiteit. Een aantal van de in dit handboek opgestelde criteria is redelijk kwantitatief van aard. Van belang is te onderkennen dat dit slechts indicatoren zijn en slechts beogen richting te geven aan het kwalitatieve oordeel van de toezichthouder. 5.5 Defaultscores 5.5.1 Toelichting op het gebruik van defaultscores Uitgangspunt bij de keuze voor defaultscores voor inherente risico s (per risicocategorie en per risico-item) is dat de inherente risico s (abstraherend van enige vorm van beheersing) bij vergelijkbare activiteiten van vergelijkbare aard en omvang zullen zijn. In hoofdstuk 3 ( Decompositie van de organisatie ) is beschreven hoe per functionele activiteit een koppeling is gemaakt met de bijbehorende risico s door gebruik te maken van sjablonen. Aan ieder sjabloon is standaard een aantal risicocategorieën gekoppeld die binnen een dergelijke functionele activiteit relevant worden geacht, voorzien van een gewicht (hoog, middel dan wel laag). Ieder van de risico-items binnen deze gekoppelde risicocategorieën is voorzien van een defaultscore voor de waarschijnlijkheid dat het risico binnen de betreffende functionele activiteit leidt tot aanzienlijke of hoge impact. Op het niveau van de risicocategorie leidt dit tot een rekenkundig gemiddelde defaultscore 4. Deze defaultscores zijn door het FIRM-expertteam bepaald uitgaande van een gemiddelde c.q. meest voorkomende profiel van deze betreffende functionele activiteit. Dit betekent dat - indien de toezichthouder voor een bepaalde functionele activiteit het sjabloon van een hypotheekbedrijf heeft geselecteerd - automatisch de defaultscores voor de risico s zoals deze in een generiek hypotheekbedrijf relevant worden geacht zijn ingevuld. De defaultscores zijn toegekend op basis van het zogenaamde point-in-time -principe, wat betekent dat de defaultscore is gebaseerd op de huidige (markt)omstandigheden en niet op een gemiddelde situatie over een langere (economische) cyclus. Alle defaultscores zijn per functionele activiteit voorzien van een korte toelichting van de eraan ten grondslag liggende uitgangspunten (zie bijlagen). Deze bieden aanknopingspunten voor het beantwoorden van de vraag of de uitgangspunten behorend bij de defaultscores ook van toepassing zijn binnen de betreffende functionele activiteit en of al dan niet aanpassing (overschrijving) van de defaultscore nodig is. De toezichthouder beoordeelt aan de hand van deze argumentatie of het risico binnen de functionele activiteit in meer dan wel mindere mate speelt en daarmee of de defaultscore representatief is voor de specifieke activiteit binnen zijn instelling. Doordat de risicoanalyse op deze wijze uitgaat van reeds in de sjablonen toegekende (en gemotiveerde) defaultscores, wordt een positieve bijdrage geleverd aan de eenduidigheid bij het toekennen van scores voor inherente risico s. De risicoanalyses worden daarmee minder persoonsafhankelijk en daarmee consistenter over instellingen heen. 5.5.2 Overschrijven van defaultscores Als de toezichthouder van mening is dat één of meerdere door FIRM gepresenteerde defaultscores - gezien het risicoprofiel van de betreffende activiteit - niet representatief zijn voor de door hem/haar beoordeelde functionele activiteit, dient de toezichthouder deze defaultscores te overschrijven. In geval van uitgebreid scoren vindt deze overschrijving op het niveau van risico-item plaats; bij vereenvoudigd scoren op het niveau van risicocategorie. De toezichthouder vervangt de defaultscore door de score in die naar zijn/ haar mening wel overeenstemt met de waarschijnlijkheid dat het betreffende risico inherent leidt tot een aanzienlijke tot hoge impact. 4 De defaultscores op risico-item-niveau zijn gehele getallen. De defaultscore voor een bovenliggende risicocategorie wordt hier (als rekenkundig gemiddelde) van afgeleid. Dit impliceert dat de defaultscore voor de risicocategorie niet per definitie een geheel getal is. Hoofdstuk 5 - Analyse van de inherente risico s Pagina 6 van 8
Illustratie 1: Functionele activiteit Hypotheken Risico: Kredietrisico - exposure at default Aannames: weinig aflossingsvrije hypotheken (< x%) weinig tophypotheken of effectendepots (< y%) adequate zekerheden Defaultscore: 2 Indien de bank dus veel tophypotheken heeft in combinatie met effectendepots, pleit dit voor het overschrijven van de defaultscore voor waarschijnlijkheid naar 3 of 4. Illustratie 2: Functionele activiteit Pensioenen eigen beheer Risico: Marktrisico - prijsvolatiliteit Aannames: voornamelijk vastrentende waarden (> x%) weinig aandelen en vastgoed (< y%) Defaultscore: 2 Indien het pensioenfonds dus meer in aandelen heeft belegd, pleit dit voor het overschrijven van de defaultscore voor waarschijnlijkheid naar 3 of 4. Belangrijk hierbij is dat de overwegingen die aan de overschrijving ten grondslag hebben gelegen binnen FIRM worden toegelicht. Van belang zijn namelijk niet alleen de scores zelf, maar ook de motivatie en achtergrond van de toegekende score. Een tekstveld binnen FIRM biedt de gelegenheid om aan te geven op basis van welke informatie de score is toegekend. Onderdeel van de toelichting is een indicatie van de actualiteit van de bronnen waarop de inschatting is gebaseerd. Tevens kan binnen FIRM een link naar een document in Trim/Rondo worden aangebracht. Voor het overzicht van de defaultscores per functionele activiteit wordt verwezen naar de bijlagen. 5.6 Gewichten De risicocategorieën die in de eerdergenoemde sjablonen zijn opgenomen kennen allen een gewicht (hoog, middel dan wel laag). Deze gewichten dienen als indicatie voor het belang dat vanuit toezicht aan de betreffende categorie wordt toegekend. De achtergrond voor het gebruik van gewichten hangt samen met het feit dat bepaalde risicocategorieën (zoals operationele, IT- en integriteitsrisico s) relatief vaker voorkomen in sjablonen dan andere risicocategorieën (zoals bijvoorbeeld kredietrisico en matchingrisico). Hierdoor wegen deze veel voorkomende risicocategorieën relatief zwaarder mee in de berekende totaalscores en blijkt het relatieve gewicht van bijvoorbeeld kredietrisico en matchingrisico in de berekende totaalscores soms fors lager te liggen dan het belang dat deze risico s in de perceptie van de toezichthouder hebben. Teneinde dit te corrigeren is aan kredietrisico, matchingrisico, marktrisico en verzekeringstechnische risico s in voorkomende functionele activiteiten een hoog gewicht toegekend, terwijl aan alle overige risico s een gewicht middel is toegekend. 5.7 Vereenvoudigd versus uitgebreid scoren van de risico s Uitgangspunt bij het beoordelen van de risico s is de vereenvoudigde beoordeling. Dit leidt per risicocategorie tot één score. De toezichthouder kan echter ook kiezen voor een uitgebreide beoordeling van een risicocategorie; dit leidt tot een beoordeling (score) per onderliggend risico-item. De mogelijkheid bestaat ook om deze afweging per afzonderlijke risicocategorie te maken, wat betekent dat de toezichthouder kan besluiten sommige risicocategorieën wél en andere risicocategorieën niet uitgebreid te beoordelen. Hoofdstuk 5 - Analyse van de inherente risico s Pagina 7 van 8
Ter illustratie: in geval van uitgebreid scoren worden de volgende scores toegekend: Marktrisico: Inherent risico Score voor inherent risico voor waarschijnlijkheid van item prijsvolatiliteit Score voor inherent risico voor waarschijnlijkheid van item marktliquiditeit Score voor inherent risico voor waarschijnlijkheid van item concentratie/correlatie De toezichthouder kan besluiten tot uitgebreid scoren indien hij van mening is dat de extra werkzaamheden en de hieruit voortvloeiende toegevoegde waarde voldoende in balans zijn. Als al besloten wordt tot uitgebreid scoren, zal dit veelal alleen voorkomen bij (belangrijke risico s binnen) zeer bedrijfskritische functionele activiteiten. De professionele inschatting van de toezichthouder bepaalt dan ook de mate van diepgang waarmee de analyse op dit punt moet worden uitgevoerd. Echter, uitgangspunt is een vereenvoudigde beoordeling. 5.8 Scores relateren aan de omvang van de activiteit Bij het inschatten van de waarschijnlijkheid dat het risico binnen een activiteit leidt tot een aanzienlijke tot hoge impact, dient de toezichthouder de term aanzienlijke tot hoge impact relatief ten opzichte van de omvang van die functionele activiteit te beschouwen. Deze wijze van scoren voorkomt dat grote functionele activiteiten per definitie een grote waarschijnlijkheid op een hoge impact hebben en kleine functionele activiteiten per definitie een kleine waarschijnlijkheid op een hoge impact hebben. Het onderscheid tussen grote en kleine functionele activiteiten wordt immers aangegeven door het gebruik van gewichten. Voor nadere toelichting hierop wordt verwezen naar hoofdstuk 3 ( Decompositie van de organisatie ). Hoofdstuk 5 - Analyse van de inherente risico s Pagina 8 van 8