Onze klant, een Nederlandse verzekeringsmaatschappij, vroeg ons hen te helpen met hun Systematische Integriteitsrisicoanalyse (SIRA). We brachten de integriteitsrisico's voor de organisatie in kaart, faciliteerden workshops om aanbevelingen te formuleren, valideerden deze met het management en maakten de cirkel rond door beslissingen op managementniveau terug te koppelen naar de workshopdeelnemers. Het resultaat: een grotere bereidheid tot verandering binnen de organisatie, een lijst met uitvoerbare verbeterpunten en een verhoogde efficiëntie.
Inkoop aan de top
Onze klant, een Nederlandse verzekeringsmaatschappij, kwam bij ons voor hulp bij hun Systematische integriteitsrisoanalyse. Enerzijds voor de daadwerkelijke beoordeling, maar ook om ervoor te zorgen dat de SIRA zou worden overgenomen door het senior management. "De SIRA is bedoeld als een risk beoordeling van de integriteitsrisico's waar je als organisatie mee te maken hebt," legt Johan Septer, een expert op dit gebied, uit. "Voor deze beoordeling definieer je de risico's en bedenk je scenario's waarin de integriteit van je organisatie in gevaar kan komen. Dit kan intern zijn, zoals ongepast gedrag, discriminatie of pesten, of extern, zoals het witwassen van geld en de financiering van terrorisme. Om echt te weten wat er speelt in een organisatie, of welke mogelijke scenario's integriteitsrisico's met zich mee kunnen brengen, heb je de input van de business nodig".
Helaas is de SIRA door de hoge eisen van regelgevers vaak zo complex en technisch dat de eerstelijn de controle verliest en de tweede lijn en de lijn risk zichzelf moeten redden. Het resultaat? Een SIRA die in een lade blijft liggen tot de toezichthouder erom vraagt en anders niet wordt gebruikt als tool om zinvolle veranderingen in de organisatie door te voeren. Bovendien wordt het door de toenemende complexiteit van deze risk beoordeling steeds moeilijker om deze intern uit te voeren, waardoor de vraag naar externe experts toeneemt.
Om echt te weten wat er in een organisatie speelt of welke mogelijke scenario's integriteitsrisico's met zich mee kunnen brengen, heb je de input van de business nodig.
Houd het beheersbaar
Het is belangrijk om te benadrukken dat de inhoud van de SIRA een verantwoordelijkheid van de eerste lijn moet zijn. We erkennen echter dat je het managementteam door dit proces moet leiden. De eerste vraag was dus: hoe maken we SIRA toegankelijker voor het management?
Door een thematische benadering te kiezen, kunnen we de SIRA tastbaarder en beter beheersbaar maken. Hoewel je het volledige risk profiel minstens één keer per jaar moet valideren, is het een goed idee om je te concentreren op een paar thema's voor een diepere evaluatie. Kijk bij het opstellen van de SIRA dus naar dingen die zijn veranderd in de organisatie - deze aspecten moeten uiteraard nader worden bekeken. En kijk naar initiatieven op andere afdelingen die als springplank kunnen worden gebruikt. Als HR bijvoorbeeld een onderzoek uitvoert naar de tevredenheid van werknemers, zou je de resultaten kunnen gebruiken als input voor de integriteitsrisicobeoordeling, of zelfs enkele vragen over integriteitsrisico's in de vragenlijst kunnen opnemen.
"Uiteindelijk is een SIRA niets meer dan een verzameling individuele risicobeoordelingen. Je hoeft niet elk aspect jaarlijks grondig te analyseren. Je kunt een paar onderwerpen kiezen om aan te werken en die onderwerpen dan jaar na jaar laten rouleren," zegt Johan Septer. "Ik zou zeggen dat je een onderwerp ten minste eens in de drie jaar grondig moet bekijken, en als er veranderingen in de organisatie zijn die de integriteitsrisico's kunnen beïnvloeden, moet je ook naar die onderwerpen kijken. Maar je kunt het beheersbaar houden door het op te splitsen in kleinere onderdelen."
Je hoeft niet elk jaar elk aspect grondig te analyseren. Je kunt een paar onderwerpen kiezen om aan te werken en die onderwerpen dan jaar na jaar laten rouleren.
Vraag het de experts: SIRA-workshops
We hebben ook workshops georganiseerd met eerstelijnsmanagers en andere mensen in de organisatie die geen compliance professionals zijn. Verschillende perspectieven kunnen tot veel betere inzichten leiden dan wanneer alleen compliance professionals zich erover buigen. "We hebben de cases van de vorige SIRA aan het management gepresenteerd en besproken. Zijn dit echt de belangrijkste gevallen? Of zie je andere risico's in de organisatie die hier een rol zouden kunnen spelen?" Johan Septer legt uit. "We hadden verschillende mensen van verschillende afdelingen uitgenodigd om te kijken naar risk van externe fraude. Het is interessant om te zien hoe sommige mensen al 10 jaar samenwerken, maar niet precies weten wat ze doen. Ze zien allemaal een deel van het proces, maar niet het geheel. Al die kennis en ervaring samenbrengen geeft een veel beter inzicht dan alles overlaten aan de afdeling risk en compliance," zegt Septer.
Wat we niet deden, was tijd besteden aan het beoordelen van de risico's. "De toezichthouder vereist dat je de bruto en netto risico's kwantificeert, maar in plaats van tijd te verspillen aan discussies over de vraag of een bepaald risico een 4 of een 5 is, hebben we ons gericht op zinvollere vragen", legt Johan Septer uit. "Welke risico's lopen we? Zijn er nieuwe risico's of risico's die zijn geëlimineerd? Hebben we ze voldoende onder controle? Zijn de beheersmaatregelen die we nemen effectief? Dat zijn de vragen waarin het management geïnteresseerd is.
De SIRA leidt tot concrete verbeteracties. Op deze manier heeft deze verplichte risicoanalyse echt waarde voor de organisatie.
Het samenbrengen van kennis en ervaring van alle afdelingen levert veel betere inzichten op dan als je de hele analyse overlaat aan Risk & Compliance.
To the point rapportage
Nadat we het management bij SIRA hadden betrokken, hebben we de resultaten ook op een andere manier aan hen gepresenteerd. Niet met de gebruikelijke mega-spreadsheet: complex, vol kleur en compleet onleesbaar, maar eenvoudig en to the point. "We hielden het rapport beknopt en gaven inzicht en diepgang waar dat nodig was. Vragen als 'wat is ons risicoprofiel' zorgen voor interessante discussies. We geven ook aanbevelingen vanuit het bedrijf, verzameld tijdens de workshops. Wat vinden de mensen die met deze producten werken en deze risico's dagelijks ervaren? Het management beslist vervolgens over de verbeteringen die door de workshops worden voorgesteld. En, net zo belangrijk, we communiceren deze beslissingen naar de mensen in de frontlinie, zodat ze op de hoogte blijven. Mensen willen graag weten dat hun inspanningen resultaat hebben opgeleverd. En als zij degenen zijn die de veranderingen hebben voorgesteld, zullen ze er veel ontvankelijker voor zijn. Het is een kwestie van awareness verhogen en tegelijkertijd hun kennis en expertise waarderen," besluit Johan Septer.
Het gaat erom awareness in de organisatie te creëren en tegelijkertijd de kennis en expertise van medewerkers te waarderen.
De kracht van interactie
Op basis van de resultaten van de workshops formuleerden we aanbevelingen. Vervolgens deelden we deze aanbevelingen met de mensen die aan de workshops deelnamen om de inhoud ervan te valideren. Na validatie legden we elk van deze aanbevelingen voor aan het management en bepaalden we vervolgacties op basis van onze aanbevelingen. "Op veel aanbevelingen zeiden ze ja. Soms ontdekten we dat er al actie was ondernomen, maar dat de mensen op de werkvloer zich daar niet van bewust waren. Dit was ook een duidelijk signaal naar het management om deze beslissingen beter te communiceren," zegt Johan Septer. "Deze interactie binnen het bedrijf is erg belangrijk en zorgt voor een betere organisatie als geheel."
Hoe verder?
Als de SIRA eenmaal is afgerond, kunnen we de organisatie desgewenst helpen bij het implementeren van deze actiepunten. "Met deze specifieke klant hebben we afgesproken om hen door de volgende 3-jaarlijkse cyclus te loodsen. Als je pas aan SIRA denkt in het 4e kwartaal, wanneer je het al zo druk hebt met de jaarafsluiting, ben je eigenlijk al te laat. Plan in plaats daarvan SIRA-workshops in de zomerperiode, wanneer er meer tijd is, en houd er het hele jaar door rekening mee," stelt Johan Septer voor. "Als IT een cybercrime risicoanalyse op de planning heeft staan, waarom dan niet meteen vanaf het begin de gedrags- en integriteitscomponent daarin opnemen? Het is een superefficiënte manier van werken en het geeft je al een basis voor je SIRA. Natuurlijk vereist deze manier van werken enige planning, je moet vooruitdenken om dit efficiënt te kunnen doen.
Bij een andere klant zijn we betrokken bij wekelijkse projectvergaderingen om te adviseren over de SIRA. We kunnen dus voor elke klant een oplossing op maat bieden: of je nu zelf de implementatie wilt doen, ons wilt betrekken voor advies op hoog niveau, of wilt dat we tot op de bodem gaan en wekelijks met je aan deze acties werken: alles is mogelijk!
Over Projective Group
Projective Group is opgericht in 2006 en is een toonaangevende veranderspecialist voor de financiële sector. Met diepgaande expertise op practices in Data, Payments, Transformatie en Risk & Compliance.
We worden binnen de sector erkend als een provider van complete oplossingen, die samenwerkt met klanten in de financiële dienstverlening om oplossingen te bieden die zowel holistisch als pragmatisch zijn. We hebben ons ontwikkeld tot een betrouwbare partner voor bedrijven die willen gedijen en bloeien in een steeds veranderend landschap van financiële dienstverlening.