close
Share with your friends

Hoe stel je scherp op de S van SIRA?

Wanneer ‘moet het meer’ en ‘mag het minder’

De systematische integriteit-risicoanalyse (SIRA) staat doorgaans niet bovenaan de prioriteitenlijst van pensioenfondsbesturen. Echter, de SIRA is een expliciet aandachtspunt in de thema-onderzoeken van DNB in 2018 . Met name het operationaliseren ervan blijkt in de praktijk voor pensioenfondsen een uitdaging. Een gestructureerde aanpak – in combinatie met tooling – kan organisaties helpen de integriteit-risicoanalyse ook echt systematisch vorm te geven en te operationaliseren, zo stellen Eric Bernaert en Joyce Groteclaes.

Eric Bernaert

Manager Compliance & Integrity

KPMG Nederland

Contact

Gerelateerde content

Stel je scherp op de S van Sira

Pensioenfondsen zijn inmiddels op de hoogte dat zij een systematische integriteit-risicoanalyse (SIRA) moeten uitvoeren, waarin de specifieke kenmerken van het pensioenfonds en hun specifieke risico’s worden meegenomen. Hierbij volgen pensioenfondsen veelal de gids van DNB ‘De integriteitrisicoanalyse: meer waar dat moet, minder waar dat kan’. Desondanks stelt DNB dat er “te vaak sprake is van een discrepantie tussen de SIRA in opzet aan de ene kant en de invulling van de integere bedrijfsvoering en de poortwachtersfunctie in de praktijk aan de andere kant. “ Ook wij zien dat dit in de praktijk nog niet zo eenvoudig is, want wanneer ‘moet het meer’ en ‘mag het minder’?

Hamvraag

De hamvraag is: wanneer weet je als pensioenfondsbestuur dat je voldoende hebt gedaan om integriteitsrisico’s te beheersen of – beter nog – zoveel mogelijk te voorkomen? Het antwoord is niet zo eenvoudig, maar een belangrijk uitgangspunt is dat in ieder geval voldoende aandacht wordt besteed aan het inrichten van alle onderdelen van het risicomanagement framework (zie afbeelding hieronder). Pas dan zal er sprake zijn van een duidelijke verankering van het beheersen van integriteitsrisico’s in de bedrijfsvoering.

Risicobeheersingscyclus

Wij lichten hieronder de belangrijkste onderdelen van het risicomanagement framework toe en bieden enkele handvatten.

Risicobeheersingscyclus

Een belangrijk uitgangspunt van de SIRA is dat risico’s niet statisch zijn. De wereld buiten (en meestal ook binnen) organisaties verandert continu en daarmee veranderen ook de risico’s waaraan pensioenfondsen worden blootgesteld. Denk bijvoorbeeld aan cybercrime (een bedreiging die zich snel in nieuwe verschijningsvormen manifesteert), wijzigingen in uitbestedingsrelaties of het aantreden van een nieuwe bestuurder. In al deze gevallen dienen de integriteitrisico’s tegen het licht te worden gehouden. Om goed te kunnen anticiperen op de wijzigingen van integriteitsrisico’s dient de SIRA dus verankerd te zijn in de dagelijkse bedrijfsvoering. Onderstaand een aantal praktische tips om pensioenfondsen te helpen dit verder vorm te geven.

Doorleven en verankeren
DNB verwacht dat het voltallige bestuur de integriteitsrisico’s en de beheersing hiervan doorleeft. Wij zien soms dat bestuurders bij vragen van DNB geen eenduidig beeld hebben bij de definitie van risico’s en de verankering van de beheersing. Om deze doorleving en verankering te verhogen kan het bestuur het integriteitsrisico tot een vast onderdeel van de besluitvorming maken. Neem bijvoorbeeld in de voorlegger een standaard paragraaf op inzake integriteitsrisico. Ook kan het bestuur periodiek deskundigen uitnodigen voor een verdiepingssessie. Zij kunnen met een outside-in blik kennis overdragen over potentiële risico’s en mogelijke effectieve beheersmaatregelen en de meting ervan. 

Benchmarking
Veel pensioenfondsen kennen een aantal integriteitsrisico’s die zich ook kunnen voordoen bij andere financiële instellingen. Het gebruik van benchmarking van risicoscenario’s en beheersmaatregelen kan daarom veel toegevoegde waarde bieden. Pensioenfondsen kunnen zo leren van de wijze waarop instellingen als banken of verzekeraars omgaan met deze verplichtingen en best practices overnemen. Een van deze best practices is bijvoorbeeld om de beheersmaatregelen op een SMART-wijze te formuleren, hetgeen we in de praktijk zeker niet altijd aantreffen.

80/20-regel
De praktijk leert dat het een tijdrovende en kostbare investering kan zijn om continu de effectiviteit van alle beheersmaatregelen te meten. De bekende 80-20-regel kan hier uitkomst bieden: focus eerst op de top 20 risico’s en de beheersmaatregelen met de meeste impact en leg daar een systematische aanpak voor monitoring onder.

Governance

Governance speelt een belangrijke rol bij risicomanagement. Veel pensioenfondsen tuigen hun compliance afdeling (bewust) zo minimaal mogelijk op. Vanuit een kostenoverweging is dit begrijpelijk, maar op het gebied van de SIRA wordt hiermee ingeboet op een kritische onafhankelijke blik en de benodigde countervailing power. Ook op het gebied van monitoring kan de compliance officer een belangrijke rol vervullen, bijvoorbeeld bij het meten van de integriteitscultuur.

Daarnaast zien wij een tegenstelling in de mate waarin de uitvoeringsorganisatie wordt betrokken bij het SIRA-proces. Sommige pensioenfondsen laten de uitvoeringsorganisatie de SIRA updaten, waarna de SIRA in een bestuursvergadering aan bod komt. Anderzijds horen wij van uitvoerders dat zij soms niet om input worden gevraagd door het pensioenfonds, bijvoorbeeld over de effectiviteit van de ingerichte beheersmaatregelen. Beide situaties tonen te weinig betrokkenheid van het fonds.

Systemen & tools

Het biedt voordelen om de beheersing van integriteitrisico’s zoveel mogelijk in de systemen in te regelen, zodat de effectiviteit van beheersmaatregelen gestructureerd kan worden gemeten. Een goede analyse van data is daarbij cruciaal: welke gegevens gebruik je om de risico’s te beoordelen en om de effectiviteit van de beheersing te meten? Onderstaand een aantal handige tools die hierbij kunnen helpen.

SIRA Manager
Voor het aanbrengen van structuur, het toevoegen van benchmarking en goede vastlegging kan een SIRA-manager het pensioenfonds ondersteunen bij het doorlopen van de risicobeheersingscyclus. In KPMG’s SIRA Manager worden op grond van het specifieke profiel van het pensioenfonds een aantal geselecteerde risicoscenario’s doorlopen. De tool geeft aan wanneer op grond van de doorlopen scenario’s een risico buiten de risicohouding valt en doet suggesties voor aanvullende beheersmaatregelen op grond van best practices. De resultaten in de SIRA Manager kun je exporteren naar een rapportage en bespreken in het bestuur of als basis laten dienen voor een gesprek met de uitvoeringsorganisatie.

SAP HANA
Een ander voorbeeld van een handige tool is SAP HANA. Deze tool kan notulen of andere beleidsdocumenten doorzoeken op woorden die met integriteit te maken hebben. Op die manier kan vanuit de tweede lijn worden gecontroleerd in welke mate er daadwerkelijk wordt gesproken over integriteit en daaruit afleiden in hoeverre dit onderwerp leeft binnen het bestuur. SAP HANA kan op die manier bijdragen aan de reflectie op het eigen functioneren en het vergroten van de awareness bij bestuurders.

Dilemma app
Trainingen op het gebied van integriteit bestaan doorgaans uit dilemma-trainingen of e-learnings. Deze trainingen zijn effectief, maar kunnen ook tijdrovend en arbeidsintensief zijn. KPMG heeft daarom ook een Dilemma App ontwikkeld. Dit is een prikkelende en toegankelijke methode om het inzicht van medewerkers (inclusief leidinggevenden) in ethiek en compliance te vergroten: de App legt hen een dilemma voor waarbij zij een keuze moeten maken.

Kortom

Het vormgeven van de S van SIRA is al lang niet meer iets wat je erbij doet. Het is een serieuze stap op weg naar systematisch en aantoonbaar risicomanagement. Wij als KPMG helpen daar graag bij. Mocht u meer hierover willen weten, neem dan contact op met Eric Bernaert.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

loading image Offerteaanvraag (RFP)