+31 (0)20 240 25 72 English Direct contact
het Compliancekantoor

Integriteitrisicoanalyse en Covid 19

29-06-2020 Integriteitrisicoanalyse en Covid 19

Vraagt u zich af welke nieuwe integriteitrisico’s zich buiten en binnen uw organisatie kunnen aandienen in deze veranderde tijd? Of is de risicobereidheid van uw organisatie wellicht veranderd? En hoe bewaakt u integriteitrisico’s nu veel medewerkers vanuit huis werken?  De pandemie is een ‘triggering event’ om uw SIRA tijdig te actualiseren!  

In dit artikel leggen wij uit aan welke aspecten u bij de actualisatie van de integriteitrisico-analyse kunt denken.


Een bijdrage door drs. G.A. (Githa) Hogenes RA 


Veel accountantsorganisaties hebben inmiddels een systematische integriteitrisico-analyse (SIRA) opgesteld met als doel integriteitrisico’s te beheersen. De SIRA is een hulpmiddel om integriteitrisico’s in beeld te brengen, te evalueren en te monitoren. Het opstellen van de SIRA is een startpunt, daarna volgt het periodiek evalueren, beheersen en monitoren van de risico’s. De SIRA is een belangrijk instrument voor het bestuur. Het is een sturingsinstrument ter ondersteuning van het moreel leiderschap en ’tone at the top'. Daarnaast geeft de SIRA voor de business een duidelijk overzicht van scenario’s.

Integriteitrisico’s
Integriteitrisico’s zijn risico’s die leiden tot gevaar voor aantasting van de reputatie of bedreiging van vermogen of resultaat van de organisatie als gevolg van een ontoereikende naleving van de wettelijke voorschriften. Slechts een paar voorbeelden zijn risico’s van fraude, witwassen, corruptie en cybercrime. De integriteitrisico’s komen voort uit niet-integer gedrag van medewerkers of bestuurders van de organisatie, of uit niet-integer gedrag van derden (zoals cliënten, leveranciers, adviseurs), waarbij de accountantsorganisatie betrokken is. 
Bij integriteitrisico’s spelen gedrag en cultuur dus een grote rol.

Stappen van systematische integriteitrisico-analyse
Hoe werkt een SIRA? In het kort bestaat een SIRA uit de volgende stappen:

Stap 1. Risico-identificatie. In deze eerste stap staat het maken van een organisatieschets centraal, samen met het identificeren van integriteitrisico’s, integriteitrisicofactoren en de te onderkennen risicoscenario’s.

Stap 2. Risico-analyse. In deze stap wordt de kans ingeschat dat een bepaald risicoscenario zich voordoet , samen met de impact hiervan in een situatie zonder risicobeheersing. Dit wordt aangeduid met het bruto-risico.

Stap 3. Risicobeheersing. De derde stap omvat het in kaart brengen van beleid, systemen en maatregelen die het bruto-risico beheersen. Daarna bepaalt u welk risico resteert: het netto-risico. U beoordeelt vervolgens wat de risicobereidheid (‘risk appetite’) is voor dit netto-risico en of (aanvullende) maatregelen nodig zijn.

Stap 4. Risicomonitoring. Deze laatste stap omvat de periodieke evaluatie van de integriteitrisico’s en risicoscenario’s, met actualisatie van uw SIRA. Zo wordt duidelijk of inschattingen van de risico’s nog aansluiten bij het beleid van de accountantsorganisatie en wat de status is van de gedefinieerde actiepunten uit deze analyse.

Deze vier stappen van een SIRA zijn samengevat in het volgende figuur:

Aandachtspunten bij actualisatie systematische integriteitrisico-analyse
Nu volgen enkele aandachtspunten voor de actualisatie van een SIRA als gevolg van de pandemie aan de hand van de vier stappen uit bovenstaande figuur.

1) Risico-identificatie: nieuwe en/of gewijzigde risico’s
Bij risico-identificatie staat het maken van een organisatieschets en het identificeren van integriteitrisico’s en risicoscenario’s centraal. Als gevolg van de veranderingen door de Covid 19 pandemie buiten en binnen uw organisatie, identificeert u mogelijk nieuwe integriteitrisico’s, integriteitrisicofactoren en risico-scenario’s of kunnen de reeds geïdentificeerde integriteitrisico’s of factoren zijn gewijzigd.

Een aantal voorbeelden van nieuwe of gewijzigde integriteitrisico’s:

  • Een groot deel van de medewerkers werkt vanuit huis met als gevolg informatiebeveiligingsrisico’s. Denk hierbij aan het gebruik maken van een niet-beveiligde verbinding, waardoor het risico op datalekken kan toenemen. Ook is de bescherming van privacygevoelige gegevens nog meer van belang als gevolg van een nieuwe wijze van inloggen of het toekennen van toegangsrechten. De toename in thuiswerken vraagt naast maatregelen op het gebied van informatiebeveiliging tevens aandacht voor integriteitrisico’s die kunnen optreden. Daarnaast zal de AO/IC tijdelijk anders zijn ingericht.
  • Fraudeurs en cybercriminelen in binnen- en buitenland zijn mogelijk extra actief in tijden van disruptie. Bijvoorbeeld door het ‘hengelen’ naar informatie (phishing mails) om zo ongeautoriseerde toegang tot de geautomatiseerde systemen te krijgen. Denk verder ook aan CEO fraude.
  • Ondernemingen met continuïteits- of liquiditeitsproblemen kunnen ‘verkeerde’ keuzes maken. Daarnaast is sprake van laagdrempelige toegang tot steunmaatregelen van de overheid, zoals de NOW regeling. Ook deze situaties kunnen leiden tot integriteitvraagstukken bij uw dienstverlening aan cliënten.

Advies:

  • Leg de nadruk op het verzamelen van integriteitvraagstukken die zich in deze tijd hebben voorgedaan of waarvan u vermoed dat ze zich kunnen voordoen. Dit kunt u doen door een rondvraag onder bestuurders en medewerkers. Wij merken op dat de risico-identificatie op verschillende manieren kan worden gestimuleerd. Bijvoorbeeld door medewerkers in een (digitale) bijeenkomst te laten brainstormen over risico(scenario)’s of over integriteitsschendingen waarbij uw organisatie betrokken was of kon zijn.
  • Actualiseer en breng het beleid voor omgang met en melding van integriteitsincidenten opnieuw onder de aandacht. Ten aanzien van de organisatiestructuur is van belang te benadrukken wie verantwoordelijk is voor toezicht op integriteit en te beoordelen of dit toezicht afdoende doorloopt in deze tijd. Ook hier komt het element van gedrag en cultuur terug, even als de naleving van kernwaarden van uw organisatie. 
  • Actualiseer de risico-classificatie per cliënt op basis van nieuwe inzichten. Normaliter wordt voorafgaand aan dienstverlening voor een nieuwe cliënt een cliënt-risicoprofiel of risico-classificatie opgesteld. U geeft per risicocategorie (laag risico – midden risico – hoog risico cliënt) aan met welke frequentie deze review wordt uitgevoerd. Voor bestaande cliënten wordt zo een periodieke review van het risicoprofiel uitgevoerd. Nieuwe inzichten kunnen een tussentijdse actualisatie van het profiel nodig maken. Door druk op ondernemingen kan gedrag veranderen, wat zou kunnen leiden tot belastingfraude, verkeerde aangiften, verslaggevingsfraude of het aantrekken van leningen van niet-financiële instellingen waarbij het geld afkomstig is uit criminele bronnen. Ook kunnen ondernemingen op zoek gaan naar andere inkomsten, met als gevolg branchevreemde activiteiten. Van belang is dat uw organisatie daar een beeld van heeft. Ga hierbij ook het gesprek met uw cliënt aan.
  • Actualiseer de organisatieschets. De gedetailleerde organisatieschets helpt bij het specifiek maken van de SIRA op de context van de eigen organisatie en bevordert daardoor de volledigheid van de risico-identificatie.
  • Wijs een functionaris aan die het hele proces van implementeren en aanpassen van de SIRA begeleidt. Dit verkort de doorlooptijd van het actualisatieproces en draagt bij aan de kwaliteit van de geïdentificeerde risico’s en risicoscenario’s.

  1. 2) Risico-analyse: herbeoordelen van kans, impact van risico’s en herbeoordeling van risicobereidheid
    Bij risico-analyse gaat het om het bepalen van de kans dat een bepaald risicoscenario zich voordoet en welke impact dit, zonder risicobeheersing. Bij een risico als witwassen zouden scenario’s bijvoorbeeld kunnen zijn dat de herkomst van vermogen van cliënten onduidelijk is. Een ander scenario is dat cliënten actief zijn in een sector met veel contant geldverkeer.

Vervolgens bekijkt u per scenario of deze brutorisico’s binnen uw risicobereidheid vallen. In de risicobereidheid geven het senior management en het bestuur de organisatie een kader van het type en niveau van het risico dat ze bereid zijn te accepteren.


Advies

  • Leg de nadruk op het herbeoordelen van de kans en impact voor elk of een aantal van de geïdentificeerde risico’s. Zo kan de kans dat een risico zich voordoet zijn verhoogd. Of kan de impact onder de veranderde omstandigheden groter zijn dan voorheen. Andersom zou ook kunnen, dat kans en/of impact onder de veranderde omstandigheden naar een lager niveau worden bijgesteld.
  • Actualiseer uw risicobereidheid. Er kan sprake zijn van een verandering in de risicobereidheid van uw organisatie ten aanzien van eerder geïdentificeerde risico’s. De risicobereidheid wordt vastgesteld op bijvoorbeeld het accepteren van cliëntgroepen, dienstverlening aan cliënten in bepaalde sectoren, dienstverlening aan cliënten die actief zijn in bepaalde landen en een kritische blik op fiscaal advies bij complexe structuren. Daarnaast wordt helder gedefinieerd wat wel en niet als belastingontduiking en/of belastingontwijking wordt verstaan.

  1. 3) Risicobeheersing: inzicht in meldproces en eventuele nieuwe beheersingsmaatregelen
    Deze stap betreft de risicobeheersing. Om risico’s te beheersen wordt bij elk brutorisico vastgesteld welke beheersmaatregelen daar tegenover (moeten) staan. Een beheersmaatregel moet in opzet, bestaan en werking effectief zijn. Het risico dat resteert na effectieve beheersmaatregelen, is het nettorisico. Vervolgens beoordeelt u wat de risicobereidheid is voor dit nettorisico en of aanvullende maatregelen nodig zijn.

    Advies

  • Beoordeel werkafspraken en rapportagestructuren. Bij de beheersing is een belangrijke rol weggelegd voor toezicht en rapportage van uitkomsten aan het bestuur. Wie houdt het toezicht op integriteitmeldingen (zoals melding van ongebruikelijke transacties). En weten medewerkers dat nog steeds van hen wordt verwacht integriteitsschendingen te melden aan de betreffende functionaris.
  • Beoordeel de benodigde beheersingsmaatregelen. Waar nieuwe risico’s of risicofactoren zijn geïdentificeerd dienen beheersingsmaatregelen te worden overwogen dan wel wordt bepaald om risico’s bewust te lopen.

4) Risicomonitoring: SIRA als sturingsdocument voor het bestuur
De integriteitrisico-analyse leidt ertoe dat beleid, procedures en instructies worden doorlopen op de onderdelen waar meer beheersingmaatregelen nodig zijn. Er worden bijvoorbeeld nieuwe procedures ingesteld, of bestaande procedures worden aangescherpt. De risicoanalyse is een iteratief proces en dient periodiek plaats te vinden om goed in te spelen op nieuwe ontwikkelingen. Er is dus sprake van een continue monitoring en vastlegging.  Door periodiek de SIRA te herhalen en vast te leggen wordt de voortgang in implementatie en naleving zichtbaar.


Advies

  • Leg de uitkomsten van de risico-identificatie, -analyse en -beheersing aantoonbaar vast.
  • Leer van (net voorkomen) incidenten. Van belang is om ‘lessons learned’ uit de risicoanalyse of uit incidenten terug te koppelen naar de organisatie. Bijvoorbeeld door in de SIRA een beschrijving op te nemen van (bijna) voorgedane incidenten en de impact hiervan.
  • Geef intern voldoende aandacht aan dit onderwerp. Bijvoorbeeld door in het jaarlijkse opleidingsplan aandacht te besteden aan onderwerpen vanuit de SIRA, een update van de Wwft en het behandelen van praktijksituaties in teamsessies. Besteed hierbij voldoende aandacht aan gedrag en cultuur in uw organisatie.
  • Rapporteer tijdig. De informatie uit de SIRA dient deel uit te maken van de rapportage aan bestuurders over mogelijke integriteitrisico’s die de organisatie loopt. SIRA dient voor het bestuur als sturingsdocument en voor de business als duidelijk overzicht van scenario’s.

Tot slot
De nieuwe tijd is een feit. In tijden van verandering in de omgeving en in de eigen organisatie, zoals door de Covid 19 pandemie, is het van belang uw systematische integriteitrisico-analyse te actualiseren. Daarom het advies: loop uw SIRA door. Zo kunnen er wijzigingen zijn in integriteitrisico’s, integriteitrisicofactoren en risicoscenario’s, 
buiten en binnen uw organisatie. Ook kan de risico-classificatie van uw cliëntportefeuille er anders uit zijn gaan zien of is uw risicobereidheid veranderd. Als u de risico’s in beeld heeft, kunt u ze beheersen dan wel weloverwogen accepteren. Pas daarom de SIRA tijdig aan!

 

Home>Nieuws>Artikelen>Integriteitrisicoanalyse en Covid 19