DNB verspreidt gebruikersgids "De integriteitrisicoanalyse"
In antwoord op een eind 2014 door De Nederlandsche Bank (DNB) uitgevoerde risico-inventarisatie bij banken, verzekeraars, pensioeninstellingen, trustkantoren en betaalinstellingen, heeft DNB onlangs een ‘gebruikersgids’ uitgebracht over uitvoering door onder haar toezicht staande instellingen van een integrale integriteitrisicoanalyse. DNB acht de interne beoordeling door de instellingen zelf over de hele linie nog onvoldoende en beoogt met het uitbrengen van deze gebruikersgids hieraan een extra impuls te geven. Van deze gebruikersgids heeft DNB tevens een Engelse vertaling beschikbaar gesteld.
DNB waarschuwt voor een onterecht vertrouwen in procedures in procedures en maatregelen. “Veel instellingen hebben vuistdikke procedureboeken en maatregelen in stelling gebracht om integer handelen door en binnen de instelling te waarborgen. De wet eist ook tal van procedures en maatregelen, waarmee de illusie van beheersing kan ontstaan. Procedures geven u namelijk alleen de schijn van risicobeheersing, vooral als u ze niet baseert op en richt tegen daadwerkelijke risico’s. Alleen door de risico’s naar hun aard en verschijningsvorm goed te begrijpen, kunt u procedures en maatregelen effectief in stelling brengen. Zonder goed begrip van de aard en omvang van het risico bestaat bij het naleven van de procedures het gevaar op ‘afvink gedrag’. Naleving zonder overtuiging of begrip is een risico op zich.” (‘De integriteitrisicoanalyse’, pagina 8, DNB).
In de gebruikersgids is tevens een overzicht (‘poster’) opgenomen van de afzonderlijke stappen die de instelling moet nemen om een integriteitsrisicoanalyse te maken. Deze ‘poster’ is bedoeld om richting te geven en niet bedoeld als standaard template, aldus DNB. Hierin is een reeks van integriteitsrisico’s opgenomen (witwassen, fiscale fraude, corruptie, omzeiling sancties, terrorismefinanciering, belangenverstrengeling, interne fraude, externe fraude, cyber crime en maatschappelijk onbetamelijk gedrag). De ‘poster’ nodigt uit tot het maken van een nadere verkennende analyse van deze risico’s en de te nemen nadere maatregelen.
Mede afhankelijk van de door de instelling gehanteerde definitie van integriteitrisico, zou de door DNB genoemde reeks van integriteitrisico’s nog verder kunnen worden uitgebreid. Denk daarbij bijvoorbeeld aan schending van privacygevoelige gegevens, marktmisbruik, oneerlijke praktijken bij aanbesteding en mededinging.
Het is een uitdaging om het geheel binnen hanteerbare proporties te houden. Daarvoor is expertise, ervaring en overtuiging nodig en de bereidheid bij de bedrijfsleiding van instellingen om hiervan ook echt werk te maken. Wat resteert is een kwestie van maatvoering en een goede communicatie over de resultaten van de uitgevoerde integriteitrisicoanalyse ter afstemming van de verwachtingen binnen de instellingen en de verwachtingen van interne en externe toezichthouders. Uiteraard zal de hele exercitie ook regelmatig moeten worden herhaald. Bedrijfsomstandigheden en de externe omgeving zijn nu eenmaal tamelijk veranderlijk.
Michael van Woerden