Het inzicht in en de beheersing van het risico door financiële instellingen, banken en entiteiten is in de loop der jaren verbeterd. Vandaag de dag zijn de belanghebbenden meer betrokken en eisen zij meer transparantie over de risico's van de onderneming en de wijze waarop deze onderneming reageert en de toekomst plant om meer kansen te benutten.
Ondernemingsbrede risicobeoordeling (EWRA) of eenvoudigweg bedrijfsrisicobeoordeling (ERA) of algemene risicobeoordeling of bedrijfsrisicobeheer (ERM) zijn allemaal termen die hetzelfde proces beschrijven: de identificatie, beoordeling en supervisie van risico's van een entiteit. Een beoordeling helpt bedrijven om hun aanpak van risicobeheer aan te passen aan de eisen van de zich ontwikkelende financiële bedrijfsnormen.
Ondernemingsbrede risicobeoordeling (EWRA) of eenvoudigweg bedrijfsrisicobeoordeling (ERA) of algemene risicobeoordeling of bedrijfsrisicobeheer (ERM) zijn allemaal termen die hetzelfde proces beschrijven: de identificatie, beoordeling en supervisie van risico's van een entiteit. Een beoordeling helpt bedrijven om hun aanpak van risicobeheer aan te passen aan de eisen van de zich ontwikkelende financiële bedrijfsnormen.
Waarom voeren financiële instellingen algemene risicobeoordelingen uit?
Het gebruik van ERM-programma's is een manier voor bedrijven om een concurrentievoordeel te behalen. Het is niet alleen op grond van een wettelijke verplichting. Inzicht in welke gebieden van een bedrijf het meest aan risico's zijn blootgesteld, is een manier voor entiteiten om preventieve maatregelen te nemen, prioriteit te geven aan acties en hun bedrijf te beschermen tegen onvoorziene gevaren. Inzicht krijgen in de manier waarop risico's worden gesignaleerd, aangepakt en beheerd is vaak van doorslaggevend belang voor de risicoaanvaarding van de toezichthoudende functie van het hogere management en de leden van de raad van bestuur.
ERM speelt een fundamentele rol in de prioritering van de risico's (d.w.z. governance, operationeel, reputatie, strategisch, strategisch, financieel, regulerend) en kan daarom worden beschouwd als een essentiële stap in de algemene bedrijfsstrategie en de prestaties van het bedrijf. De risico-evaluatie helpt bedrijven om zakelijke kansen te grijpen in een veranderende omgeving.
EWRA en de risicogebaseerde aanpak (RBA)
Een passende risicogebaseerde benadering begint met het verwerven van een grondige en actuele kennis van de risicopositie van de instelling en een goed begrip van deze risico's. De instelling is zich bewust van de risico's die zij loopt en van de risico's die zij loopt.
Risicogebaseerde aanpak (RBA) is een essentieel onderdeel van Risk Management. RBA werd speciaal voor de risico's van het witwassen van geld (AML/CTF) in het kader van de 2012 FATF-aanbevelingen 2012:
"....de landen moeten een risicogebaseerde benadering (RBA) toepassen om ervoor te zorgen dat de maatregelen ter voorkoming of beperking van het witwassen van geld en de financiering van terrorisme in verhouding staan tot de vastgestelde risico's." en was ook een belangrijk aandachtspunt bij de uitvoering van deze richtlijn de vierde Europese AML-richtlijn.
"....de landen moeten een risicogebaseerde benadering (RBA) toepassen om ervoor te zorgen dat de maatregelen ter voorkoming of beperking van het witwassen van geld en de financiering van terrorisme in verhouding staan tot de vastgestelde risico's." en was ook een belangrijk aandachtspunt bij de uitvoering van deze richtlijn de vierde Europese AML-richtlijn.
De RBA is een methode die het mogelijk maakt om de activiteiten van het bedrijf te priotiriseren op basis van een eerdere analyse van gegevens. Volgens RBA is er sprake van proportionaliteit van de genomen maatregelen, afhankelijk van hoe hoog het risico is. Dit betekent dat RBA in situaties met een laag risico minder acties toelaat en dat de nadruk wordt gelegd op hoge risico's, waarbij verbeterde maatregelen verplicht zijn. Hierdoor kan de toewijzing van de beschikbare middelen worden geoptimaliseerd.
Hoe voert u op efficiënte wijze bedrijfsbrede risico-evaluaties uit?
Een succesvolle EWRA-methodologie is consistent op alle gebieden en wordt gewoonlijk opgebouwd door middel van de volgende hoofdfasen: de identificatie van risico's, de analyse van leemten/risicoprioriteiten en de aanpassing (correctie-mitigatie).
Het bedrijf identificeert en classificeert de risico's en classificeert ze. De inherente risicoscore moet worden berekend. De professionals die de risicobeoordeling uitvoeren, moeten een duidelijk inzicht hebben in de activiteiten en de werkomgeving van de entiteit en de mogelijke problemen die zich voordoen. Een risico kan zijn oorsprong vinden in één deel van de entiteit, maar heeft een impact op vele bedrijfsonderdelen. Daarom spreken we over Enterprise "Wide" Risks.
Soorten risico's
De entiteit zal de verschillende soorten risico's moeten classificeren. De risico's hebben betrekking op bedrijfsdomeinen zoals Compliance, Governance, Strategie, Planning en Infrastructuur. Deze algemene categorieën zijn opgesplitst in verschillende subcategorieën en de risico's worden voor elke categorie gedetecteerd. Compliance risico's zullen bijvoorbeeld verder worden geanalyseerd in de compliance cultuur, rapportage, management risico's en rapportage. Infrastructuur omvat subcategorieën zoals human resources, training, communicatie, communicatie, IT-systemen en marketingrisico's. De infrastructuur omvat ook subcategorieën zoals human resources, training, communicatie, IT-systemen en marketingrisico's. De infrastructuur wordt in de loop van de tijd steeds verder uitgebreid.
Soorten risico's
De entiteit zal de verschillende soorten risico's moeten classificeren. De risico's hebben betrekking op bedrijfsdomeinen zoals Compliance, Governance, Strategie, Planning en Infrastructuur. Deze algemene categorieën zijn opgesplitst in verschillende subcategorieën en de risico's worden voor elke categorie gedetecteerd. Compliance risico's zullen bijvoorbeeld verder worden geanalyseerd in de compliance cultuur, rapportage, management risico's en rapportage. Infrastructuur omvat subcategorieën zoals human resources, training, communicatie, communicatie, IT-systemen en marketingrisico's. De infrastructuur omvat ook subcategorieën zoals human resources, training, communicatie, IT-systemen en marketingrisico's. De infrastructuur wordt in de loop van de tijd steeds verder uitgebreid.
Het is de analyse en beoordeling van de geschiktheid van de bestaande relevante risicobeheersmaatregelen. De resterend risico zal worden blootgesteld.
Wanneer de onderneming haar risico's onderzoekt, rekening houdend met de bestaande toepasselijke controles, worden we geconfronteerd met een "Resterend risico". Door deze twee berekende risiconiveaus te onderzoeken, kan een bedrijf zijn bestaande controles beoordelen en evalueren of deze voldoende zijn of niet.
Het grondige inzicht in de onderneming en de risico's waarmee de onderneming wordt geconfronteerd, is essentieel om te bepalen of de onderneming haar algemene doel kan bereiken of dat extra maatregelen nodig zijn. Een EWRA is efficiënter voor een entiteit als de risico's, afhankelijk van hun belang voor de entiteit, een hogere prioriteit krijgen dan de risico's die min of meer dringend zijn.
Wanneer de onderneming haar risico's onderzoekt, rekening houdend met de bestaande toepasselijke controles, worden we geconfronteerd met een "Resterend risico". Door deze twee berekende risiconiveaus te onderzoeken, kan een bedrijf zijn bestaande controles beoordelen en evalueren of deze voldoende zijn of niet.
Het grondige inzicht in de onderneming en de risico's waarmee de onderneming wordt geconfronteerd, is essentieel om te bepalen of de onderneming haar algemene doel kan bereiken of dat extra maatregelen nodig zijn. Een EWRA is efficiënter voor een entiteit als de risico's, afhankelijk van hun belang voor de entiteit, een hogere prioriteit krijgen dan de risico's die min of meer dringend zijn.
Indien dit nodig wordt geacht, vindt deze fase plaats en omvat deze nieuwe of aanvullende risicobeheersmaatregelen om de risico's te beheersen die niet of onvoldoende zijn afgedekt. In deze fase zal een correctief actieplan worden opgesteld. Meestal wordt gekeken naar de vervaldatum en een inschatting van de tijd die nodig is voor de voltooiing van het plan en naar de juiste middelen om de taak te voltooien.
Algehele risicobeoordeling tegen het witwassen van geld
Bent u op zoek naar meer gedetailleerde informatie over de algemene risicobeoordelingsverplichting van AML? Volg het artikel voor meer inzichten.
Risicobereidheid en risicotolerantie
De risicobereidheid is het bedrag van het risico dat een entiteit bereid is te nemen. De risicobereidheid vormt de doelstellingen die een entiteit nastreeft en het profiel van een bedrijf als een meer risico-agressieve of meer conservatieve entiteit. Een entiteit moet een risicobereidheid ontwikkelen en deze aan haar verschillende eenheden communiceren om de doelstellingen voor elke afdeling vast te stellen. De risicobereidheid zal moeten worden bewaakt en bijgewerkt indien nodig. Om een risicobereidheid te ontwikkelen, zal de onderneming rekening houden met een aantal factoren: het huidige risiconiveau dat de onderneming tot op dat moment heeft, het risico dat de entiteit in staat is te hanteren, haar risicotolerantie en de houding van de entiteit ten aanzien van groei, rendement en risico's. De risicobereidheid van de onderneming zal worden getoetst aan de criteria van IAS 39.Risicotolerantie is meer specifiek in operationele zin en staat voor de toepassing van de risicobereidheid op bepaalde doelstellingen. Het is het risiconiveau dat een entiteit per individueel risico kan hanteren. Een onderneming bepaalt haar risicobereidheid, maar de risicotolerantie is de aanvaardbare actie die zal worden ondernomen op basis van de risicobereidheid.
De noodzaak om de EWRA te documenteren en voortdurend bij te werken
In het algemeen wordt het EWRA gedocumenteerd, geactualiseerd en ter beschikking van de toezichthoudende autoriteiten gehouden (de "EWRA"). Nationale Bank voor België, ("NBB"). De EWRA zal telkens wanneer zich een gebeurtenis voordoet, worden bijgewerkt en kan een aanzienlijke invloed hebben op het risicoprofiel van de entiteit.Het is geen proces dat één keer per jaar plaatsvindt, maar een continu proces dat telkens wanneer zich een belangrijke situatie voordoet, plaatsvindt. De entiteit moet te allen tijde een duidelijk inzicht hebben in de wijze waarop de risico's in verband met de zakelijke relatie zich ontwikkelen.
Naast het kerndocument van de EWRA is een kader vereist waarin het proces voor de voltooiing van de beoordeling wordt beschreven. In dit document zal het toepasselijke wettelijke kader worden vermeld. Bovendien moet worden aangegeven welke methodologie is gebruikt, hoe deze in de beoordeling is geïntegreerd, een beschrijving van de procedures voor het toezicht op en de tijdige actualisering van het risicobeoordelingsproces en een verwijzing naar de mate waarin het verantwoordelijke personeel, de hoogste leiding en eventuele andere partijen bij alle fasen van het proces zijn betrokken.
Tot slot moeten risicoprofessionals niet vergeten dat risicomanagement geen proces van "aanvinken" is. . Het is een heel systeem om de prestaties van een bedrijf te verbeteren. Het is een continu proces dat een diepgaand inzicht vereist in het bedrijfsmodel van de entiteit en de werking ervan in de specifieke bedrijfs- en juridische omgeving.
Hebben we je interesse?
Pideeco voert onafhankelijke Compliance reviews uit om financiële instellingen meer inzicht te geven in hun prestaties op het gebied van regelgeving. Wij kunnen u helpen bij uw bedrijfsrisicobeoordeling en ervoor zorgen dat alle wettelijke vereisten naar behoren worden afgedekt.
EWRAComplianceFinancial firmsERMRBAReportingTop-downAnti Money LaunderingAuditRiskRisk Based ApproachCompliance expertAML
