In 2017 en 2018 is door de Autoriteit Financiële Markten aandacht gevraagd voor een Systematische Integriteits Risico Analyse, ofwel een SIRA. De Wta vereiste een dergelijke SIRA niet expliciet, maar de AFM vond dat een SIRA feitelijk de invulling was van artikel 21 van de wet, waarin een beheerste en integere bedrijfsvoering wordt vereist. En daarmee is een SIRA dus verplicht voor iedere houder van een Wta-vergunning.

Nadat de AFM vertelde dat een SIRA verplicht was, is er ruimte gegeven om daarmee te experimenteren. Vervolgens heeft de AFM de ervaringen die kantoren opdeden verzameld, en op basis daarvan nadere guidance gegeven. Een belangrijk document voor kantoren kan hier gevonden worden.

Maar daarna bleef het vrij stil. Ik heb zelf gemerkt, bijvoorbeeld bij SRA Compliance-kringen, dat slechts een minderheid van de kantoren aangeeft over een SIRA te beschikken en een nog veel kleiner deel zegt de SIRA actief te gebruiken. En vanuit de AFM werd er ook verder niet bepaald veel aandacht aan besteed. Kortom, een luchtballonnetje dat we naar de vergetelheid kunnen zien wegzweven?

Niet bepaald. En wel om twee redenen:

1. Een SIRA is een bijzonder efficient en effectief middel voor een bestuur en een compliance officer.
2. De AFM is de SIRA niet vergeten. In tegendeel.

Ik ben er geen voorstander van om dingen te doen die een slecht idee zijn, uitsluitend omdat het van de toezichthouder moet. Maar mocht dat toch de enige motivatie zijn, bedenk dan dat de AFM op 16 februari 2023 een mail heeft gestuurd naar houders van een reguliere Wta-vergunning met daarin de boodschap: we gaan, samen met Bureau Financieel Toezicht onderzoek doen naar de opzet en werking van SIRA’s bij reguliere vergunninghouders. Dat dit samen met BFT gebeurt is goed nieuws, vanuit een compliance-standpunt, want het betekent dat de beide toezichthouders inzien dat Wta en WWFT juist op het punt van de beheersing van de integriteit overlappen. Dat zou dus moeten leiden tot efficiënter en effectiever toezicht.

Maar zoals gezegd, de echte reden waarom je met de SIRA aan de slag zou moeten is veel positiever. Met een goed opgezette SIRA beschik je over een instrument waarmee het voor een organisatie betrekkelijk eenvoudig wordt om integraal naar de beheersing van integriteitsrisico’s te kijken. Immers, wat is een SIRA in feite?

1. Een systematische analyse van de integriteitsrisico’s waarmee de organisatie wordt geconfronteerd.
2. Per risico een analyse van de bestaande risicobeheersingsmaatregelen.
3. Per risico een analyse van de effectiviteit in opzet en de effectiviteit in werking van die maatregelen.
4. Per risico een gap-analyse, dus een inzicht in risico’s die nog onvoldoende worden beheerst.

Een goede SIRA werkt dus op organisatieniveau, terwijl risicobeheersingsmaatregelen kunnen werken op het niveau van de organisatie, maar ook op bijvoorbeeld klantniveau. Stap 1 is typisch een verantwoordelijkheid van het lijnmanagement, daarbij eventueel ondersteund door een risk manager. In stappen 2 en 3 is een hoofdrol voor compliance, die hier aan het bestuur comfort kan geven of aandachtspunten kan benoemen waar verbetering noodzakelijk is. In stap 4 is tenslotte het bestuur, de kwaliteitsbepaler en eventuele kwaliteitsmanagers aan de beurt.

Persoonlijk denk ik dat wie integriteitsrisico’s, kwaliteitsrisico’s en financiële risico’s beheerst, de totale risicobeheersing op orde heeft. Dus na de SIRA nog een SKRA, maar dat is voorlopig misschien nog toekomstmuziek.