Wat is een SIRA precies?
SIRA staat voor Systematische Integriteitsrisicoanalyse. Het is een noodzakelijk – en vaak verplicht – instrument voor alle financiële instellingen en de ook onder de Wwft vallen ongeacht omvang of specialisatie.
De kern van de SIRA:
Breng integriteits- en witwasrisico’s van je eigen organisatie systematisch in kaart, en tref passende maatregelen om die risico’s te beheersen.
De SIRA is dus geen risicoanalyse over je klanten, maar over je eigen bedrijfsvoering, producten, diensten, transacties, klanten en distributiekanalen. Vaak wordt dit vervolgens wel gekoppeld aan een risicomatrix voor klanten en die je gebruikt oom een risico gestuurde beoordeling op klant niveau uit te voeren.
Waarom is een SIRA noodzakelijk (of vaak verplicht)?
De Wwft, beroepsregels, ethische voorschriften en andere wetgeving legt de verantwoordelijkheid voor risicobeheersing nadrukkelijk bij de instelling zelf. DeSIRA geeft een overzicht van risico’s en waaraan je beheersmaatregelen koppelt aan de hand van een risicobeoordeling. Toezichthouders (zoals de AFM, het BFT en Bureau Toezicht Wwft) en beroepsorganisaties controleren vervolgens of jij als organisatie:
- je risico’s kent,
- maatregelen hebt genomen om die risico’s te voorkomen of beperken,
- en of je dit periodiek evalueert en actualiseert.
De SIRA is dus niet vrijblijvend, ook al is het niet voor alle organisatie verplicht. Zonder SIRA is aantoonbare risicobeheersing onder de Wwft en andere regels in feite onmogelijk.
Wat is het verschil met risicoprofilering?
Veel instellingen gebruiken klantrisicoprofielen om tot categorie-indelingen te komen (laag, midden, hoog risico). Dat hoort bij het cliëntenonderzoek. Maar:
- Klantrisicoprofiel = individueel (per klant)
- SIRA = organisatiebreed (je hele bedrijfsmodel)
De SIRA gaat dus bijvoorbeeld ook over:
- Hoe vaak je werkt met contante betalingen,
- Hoeveel buitenlandse klanten je bedient,
- Of je cryptogerelateerde transacties afhandelt,
- Of je medewerkers zijn getraind in meldingsplicht en signalering.
- Onafhankelijkheidsrisico’s
- Integriteit binnen het bestuursmodel
- Etc.
Hoe past de SIRA binnen het bredere risicomanagement?
De SIRA sluit nauw aan bij andere risicoanalyseprocessen, zoals:
- de SKM-risicoanalyse onder ISQM 1 (voor kwaliteitsmanagement),
- de PDCA-cyclus (Plan-Do-Check-Act) voor continue verbetering,
- het monitoringsproces binnen je compliance functie,
- en bij grotere organisaties: het integrale risicomanagementbeleid.
Een slimme inrichting zorgt ervoor dat deze instrumenten elkaar aanvullen in plaats van dubbelingen veroorzaken. Veel risicomanagementmodellen, zoals FIRM of ISO 31000, kun je ook toepassen op SIRA’s — zie artikel [Risicomanagementmodellen vergeleken: RAVC, FIRM en de ISO 31000-aanpak].
Wat hoort minimaal in een goede SIRA?
| Onderdeel | Wat het moet bevatten |
| Risicogebieden | Klantgroepen, producten/diensten, transacties, landen, distributiekanalen |
| Risicoanalyse per gebied | Per categorie: dreigingen, kwetsbaarheden, kans en impact |
| Risicobereidheid | Wat accepteer je nog? Wat niet meer? Wanneer is mitigatie nodig? |
| Beheersmaatregelen | Wat doe je om het risico te beperken? (Beleid, training, technische controles, etc.) |
| Monitoring en evaluatie | Hoe toets je of je maatregelen werken? Hoe vaak actualiseer je de SIRA? |
Let op: de SIRA moet zijn afgestemd op de eigen praktijk, schaal en risicoprofiel. Een template zonder eigen invulling wordt bij toetsing snel als onvoldoende beoordeeld.
Hoe scoor en beoordeel je risico’s?
Een gebruikelijke en doeltreffende methode is werken met een risicomatrix op basis van kans × impact. Per geïdentificeerd risico geef je twee scores:
- Kans (hoe waarschijnlijk is het dat het risico zich voordoet?)
- Impact (wat is het gevolg als het gebeurt?)
Beide worden doorgaans gescoord op een vijfpuntsschaal:
| Score | Kans / Impact |
| 1 | Verwaarloosbaar / zeer laag |
| 2 | Laag |
| 3 | Middelmatig |
| 4 | Hoog |
| 5 | Zeer hoog / vrijwel zeker |
Door de scores met elkaar te vermenigvuldigen (of optellen), krijg je een risicoprioriteit, bijvoorbeeld:
- Score 1–6: laag risico
- Score 7–14: midden risico
- Score 15–25: hoog risico
Zo kun je prioriteren welke risico’s actie vereisen — en welke je kunt accepteren, mits onderbouwd. Deze systematiek sluit goed aan bij risicobeoordeling binnen het SKM en PDCA-gebaseerd toezicht.
Wat doe je met het risico? (maatregelstrategieën)
Zodra je een risico hebt geïdentificeerd en beoordeeld, moet je bepalen hoe je ermee omgaat. Daarbij zijn er vier gangbare strategieën:
| Strategie | Wanneer toepassen | Voorbeelden |
| Beheersen | Je accepteert het risico, maar neemt maatregelen | Instructies, controlemaatregelen, opleiding, alertsignalen |
| Vermijden | Je beëindigt of voorkomt het risico volledig | Bepaalde klanten weigeren, contante betalingen uitsluiten, geen zaken doen met risicolanden |
| Overdragen | Je delegeert het risico (gedeeltelijk) naar een ander | Verzekering, uitbesteding met contract en controle, IT-beheersing door derde |
| Accepteren | Je accepteert het risico bewust, zonder maatregel | Klein risico bij laagfrequente transacties; documenteer dit expliciet |
Toezichthouders accepteren risicobereidheid, zolang je keuzes maar onderbouwd en aantoonbaar zijn. Combineer bovenstaande strategieën met je risicoscore om een verdedigbaar, passend beleid op te bouwen.
Hoe vaak moet je de SIRA actualiseren?
De norm is: “regelmatig én bij relevante wijzigingen”.
- Kleine, stabiele organisaties: jaarlijkse herziening is meestal voldoende.
- Grotere of snel veranderende organisaties: halfjaarlijks of thematisch bijwerken.
- Bij incidenten, nieuwe producten/diensten, klantengroei of nieuwe risico’s: direct aanpassen.
Zorg voor een documentatie- en versiebeheerstructuur die dit ondersteunt.
Veelgestelde vragen
Moet ik een aparte SIRA opstellen als ik al een risicodocument heb voor SKM of ISQM 1?
Ja. Dat is wel verstandig. De SIRA is specifiek voor Wwft-risico’s, Andere wettelijke bepalingen (zoals de Wta), overige integriteitsrisico’s. Je kunt de SIRA eenvoudig integreren, maar de risico’s, analyses en maatregelen inzake integriteit verschillen vaak vaan kwaliteitsrisico’s (met enige overlap).
Mag ik de SIRA combineren met mijn SKM-monitoring?
Ja, dat is zelfs efficiënt. Zolang je de risicodomeinen helder scheidt, kun je dezelfde evaluatiestructuur, PDCA-cyclus en overlegmomenten benutten.
Wat als ik geen echte risico’s ervaar?
Dan nog ben je verplicht om de analyse te doen. Geen risico betekent niet ‘niks doen’, maar ‘bewust geanalyseerd en vastgelegd waarom iets acceptabel is’. De analyse geeft immers ook aan welke risico’s je wel of niet gewogen hebt. Als je goed kunt onderbouwen waarom een risico’s in jouw organisatie niet bestaat, heb je het toch goed verantwoord.
Verder lezen
- Risicoanalyse onder ISQM 1 (SKM 1 NL): hoe scherp moet je zijn?
- Kwaliteitsmanagement onder ISQM 1 (SKM 1 NL) volgens de PDCA-cyclus van Deming
- De 5 pijlers van een effectieve Wwft-complianceaanpak
- Wwft-risicoprofilering: klant, product en dienst onder de loep
Assurvia helpt je SIRA bouwen op inhoud én impact
Van risicosessies tot maatwerkmodellen, van beoordeling tot actualisatie: wij helpen instellingen hun SIRA goed op te zetten, te integreren in het bredere compliance beleid en te laten aansluiten op SKM, PDCA en monitoring. Zie ook onze tooling [Normavix]
Meer weten? Mail ons via info@assurvia.com of bekijk onze kennisbank voor vervolgartikelen.
