en de DNB guidance Maud Bökkerink
Project ‘integriteitrisicoanalyse’
van non-compliance is
Binnen DNB hebben we beoordeeld dat dit de root cause
Dit betekent dat instellingen onvolledig inzicht hebben in integriteitrisico’s
doordachte integriteitrisicoanalyse
Uit diverse toezichtonderzoeken blijkt dat instellingen niet beschikken over een
De systematische analyse van integriteitrisico’s is al een eis sinds 2001
Waarom ‘opeens’ dit project?
dreigingen
En nodig om out-of-the-box na te denken over mogelijke
Focus op grootste risico’s
structureel te beoordelen, vast te leggen, en op te acteren
Impliciet kent een instelling wel de risico’s, maar ook nodig om deze expliciet en
Een risicoanalyse is de basis om risicogebaseerd de regelgeving te kunnen naleven
Waarom is een integriteitrisicoanalyse eigenlijk nodig?
Hoe groot is de dreiging?
Hoeveel beheersing zet je tegenover de dreiging?
Hoeveel beheersing zet je tegenover de dreiging?
Beoordelingskader is t.o.v. vorige kader meer gedetailleerd gemaakt
Beoordeeld door team van toezichthouders aan de hand van beoordelingskader
Analyses van banken waren reeds opgevraagd in het kader van ander project
Wat hebben we in dit project gedaan?
Meerwaarde van integriteitrisicoanalyse wordt ingezien
Guidance is duidelijk en helpt
Terugkoppeling had meer duiding kunnen hebben
Wel een analyse op niveau hoofdkantoor
Er waren meer of andere documenten beschikbaar
Misverstand bij uitvraag over doel
Reacties
De integriteitrisicoanalyse beschrijft welk rest risico (netto risico) er overblijft
Per risicoscenario worden beheersmaatregelen benoemd en de methodiek die gehanteerd wordt om beheersmaatregelen te scoren is duidelijk en plausibel
Per risicoscenario zijn kans en impact bepaald en de scoring hiervan is duidelijk en plausibel
Per integriteitrisico blijkt duidelijk inzicht in diverse bruto/inherente risicoscenario’s en meerdere risicofactoren
De integriteitrisicoanalyse besteedt aandacht aan meerdere integriteitsrisico's
De integriteitrisicoanalyse ziet op meerdere bedrijfsonderdelen van de instelling
De integriteitrisicoanalyse is recent en wordt periodiek gedaan
Beoordelingskader
goede analyse op.
10
Instellingen waarbij we in eerdere projecten veel nadruk hebben gelegd op de risicoanalyse leveren nu een
worden beschreven, of er wordt slechts ingegaan op een beperkt aantal risico’s.
In een aantal gevallen is alleen het CDD beleid aangeleverd, of een paar paragrafen waarin kort 1-2 risico’s
Een aantal instellingen gebruikt een systematiek (bruto-beheersing-netto) die wij voor ogen hebben.
Er zijn grote verschillen in de gebruikte systematieken, variërend van verhalende tot cijfermatige analyses.
Resultaten
beoordeeld, maar er is nog meer diepgang en onderbouwing nodig.
De instelling heeft meerdere integriteitrisico’s op basis van de bruto-beheersing-netto systematiek
beheersing-netto systematiek gebruikt die voldoende onderbouwd is.
De instelling heeft meerdere integriteitrisico’s met voldoende diepgang beoordeeld en een bruto-
4.
3.
ontbreekt
11
De instelling benoemt zeer weinig integriteitrisico’s en een duidelijke beoordelingssystematiek
gekeken of alleen naar beheersing; diepgang en onderbouwing ontbreken.
De instelling heeft slechts enkele integriteitrisico’s beoordeeld en daarbij alleen naar bruto risico’s
Onvoldoende
2.
1.
Voldoende
Beeld dat uit de analyses naar voren komt
Een duidelijke organisatieschets
Relevante risicoscenario’s
Doordacht scoringssysteem
Eerlijke beoordeling effectiviteit beheersing
Risico’s afgezet tegen risk appetite
Netto risico’s en gaps
Sturingsdocument voor management
Communicatie binnen instelling
1.
2.
3.
4.
5.
6.
7.
8.
Wat verwacht DNB?
tussenpersonen te werken?
Is het waarschijnlijk dat mijn instelling met fraude in aanraking komt door met
Kan mijn instelling meewerken aan belastingontduiking door structuren te faciliteren?
omzeilt?
Is het mogelijk dat mijn bank vanwege mijn internationale activiteiten sancties
Wat is de kans dat mijn medewerkers samenspannen met een derde partij?
witwassen?
Waar loop ik een kans dat mijn klanten door middel van mijn diensten of producten
Risicoscenario’s
Meer waar dat moet, minder waar dat kan
Passen bruto en netto risico’s binnen de risk appetite
Gebruik van de uitkomsten van de analyse
Hoe worden geïdentificeerde gaps opgepakt
Mogelijke handhaving
•
•
•
•
Punten van aandacht voor volgend jaar
