Een goede SIRA voldoet niet alleen op papier, maar werkt ook in de praktijk. In dit artikel lees je hoe je een SIRA audit uitvoert – of laat uitvoeren – op opzet, bestaan en werking. Je krijgt inzicht in toetsingscriteria, praktijkvoorbeelden en de koppeling met ISQM 1, PDCA en toezichtsnormen.
Van risicodocument naar werkend stelsel
Een SIRA is bedoeld als levend instrument. Toch blijkt in de praktijk dat veel SIRA’s na initiële opzet niet worden getoetst, geactualiseerd of besproken. Het excel-document wordt ergens opgeslagen en heeft in de praktijk nauwelijks betekenis. Terwijl toezichthouders en auditors juist verwachten dat je kunt aantonen:
- hoe je risico’s hebt beoordeeld,
- of je maatregelen echt worden toegepast,
- en of je hebt bijgestuurd als de beheersing onvoldoende bleek.
Daarom is een periodieke audit van je SIRA onmisbaar voor serieuze risicobeheersing.
Wat is een audit van de SIRA?
Een audit (of onafhankelijke toets) van de SIRA is een gestructureerde beoordeling van:
| Onderdeel | Wat je toetst |
| Opzet | Is de structuur van de SIRA logisch en volledig? |
| Bestaan | Zijn risico’s, maatregelen en beleid aantoonbaar ingevoerd? |
| Werking | Worden maatregelen in de praktijk gevolgd en effectief toegepast? |
Deze aanpak sluit aan op het auditbegrip in ISQM 1: opzet, bestaan, werking. Zo sluit je je SIRA-audit direct aan op je bredere kwaliteitsstelsel. Uiteraard is deze praktijk breed bekend binnen accountancy. Immers, zo wordt ook getoetst bij controleklanten.
Wanneer voer je een SIRA-audit uit?
Een volledige SIRA-audit voer je idealiter:
- jaarlijks, als onderdeel van je compliance jaarplan,
- of bij relevante gebeurtenissen (nieuwe klantgroepen, incidenten, sancties, reorganisatie),
- of als voorbereiding op toezicht of toetsing,
- of als onderdeel van bijvoorbeeld een Wwft-audit.
Je mag dit intern doen (via compliance of interne audit), of extern laten uitvoeren. Bijvoorbeeld door een onafhankelijke specialist of compliance partner.
Wat zijn de toetsingscriteria?
| Auditonderdeel | Voorbeeld van toetsvraag |
| Structuur & actualiteit | Is de SIRA het afgelopen jaar herzien en besproken? |
| Risicoanalyse | Zijn risico’s concreet, onderbouwd en gekoppeld aan maatregelen? |
| Risicobereidheid | Is er een heldere grens per risicocategorie, en zijn afwijkingen vastgelegd? |
| Maatregelen | Zijn de beheersmaatregelen realistisch en toegepast in beleid en proces? |
| Monitoring & evaluatie | Is er bewijs van opvolging, bijstelling en terugkoppeling? |
Gebruik bij voorkeur een toetsingsformat of checklist (bijv. A4 of digitaal dashboard) voor overzicht en vastlegging. Bespreek dit format goed zodat er een gemeenschappelijke verastandhouding is over hoe de audit wordt uitgevoerd.
Praktijkvoorbeeld: auditbevindingen en acties
Context: Administratie- of accountantskantoor met internationale klanten.
Auditbevindingen:
- Risico op witwassen via buitenlandse tussenpersonen niet uitgewerkt.
- Maatregel ‘verscherpt onderzoek’ niet gespecificeerd.
- SIRA is 15 maanden oud en niet geactualiseerd.
Acties:
Risico nader onderbouwen, maatregelen verduidelijken en nieuw evaluatiemoment plannen. Bestuur dient aangepaste SIRA en risicobereidheid goed te keuren.
Koppeling met PDCA en SKM
De SIRA-audit is onderdeel van je Check- en Act-fase in de PDCA-cyclus. Je reflecteert op:
- effectiviteit van je maatregelen (check),
- en stelt beleid of uitvoering bij (act).
Ook binnen je SKM-monitoring kun je je SIRA integreren: gebruik de toetsingscyclus om zowel kwaliteits- als integriteitsrisico’s te beoordelen, mits je de doelen gescheiden houdt.
Veelgestelde vragen
Moet ik mijn SIRA laten auditen door een externe partij?
Niet verplicht, maar wel verstandig als je beperkte interne capaciteit of onafhankelijke toetsing wilt. Bij complexe risicoprofielen is externe review sterk aanbevolen. Vaak kan dit ook door een Wwft-auditor worden uitgevoerd (die dit deels standaard meeneemt).
Mag ik zelf toetsen?
Ja, mits je dit gestructureerd doet en niet alleen door de opsteller van de SIRA. Scheid bij voorkeur rol van beheerder en toetser (vier-ogenprincipe).
Hoe leg ik de audit vast?
In een beknopt rapport of verslag. Leg toetsingspunten, bevindingen en vervolgacties vast, en rapporteer aan bestuur of compliance.
Verder lezen
- Component 7. Monitoring onder ISQM 1 (SKM 1 NL): cyclisch toetsen en doelgericht verbeteren
- Wat is een SIRA? Zo leg je een stevig fundament onder je risicobeheersing
- Kwaliteitsmanagement onder ISQM 1 (SKM 1 NL) volgens de PDCA-cyclus van Deming
Assurvia helpt je SIRA toetsen en verbeteren
Wij voeren onafhankelijke audits en reviews uit op jouw SIRA of risicobeheersing. Gericht op structuur, werking én onderbouwing. Klaar voor toetsing of toezicht.
Mail ons via info@assurvia.com of bekijk onze kennisbank voor meer inzichten.
