De SIRA helpt je om integriteits- en witwasrisico’s systematisch in kaart te brengen. Maar wat doe je daarna? In dit artikel lees je hoe je bepaalt welke risico’s je accepteert, welke je moet beheersen, en hoe je je risicobereidheid vastlegt én onderbouwt: richting toezichthouder, medewerkers en jezelf.
Risicobereidheid als brug tussen analyse en actie
Een SIRA zonder risicobereidheid is als een routekaart zonder bestemming.
Je weet waar de risico’s liggen — maar wanneer wordt een risico nog acceptabel? En wanneer moet je ingrijpen?
Daarom is het expliciet vastleggen van je risicobereidheid (of risk appetite) essentieel. Het bepaalt:
- je maatregelniveau,
- je prioriteiten in monitoring,
- en je legitimatie richting toezichthouder en interne belanghebbenden.
Steeds meer toezichthouders vragen actief naar de grenzen die je zelf stelt — en hoe je daarmee omgaat.
Wat is risicobereidheid?
Risicobereidheid is het niveau van risico dat je als organisatie bereid bent te accepteren, gegeven je strategie, normen, capaciteit en externe verplichtingen.
Binnen de SIRA gaat het met name om:
- risico’s op witwassen of terrorismefinanciering,
- integriteitsrisico’s (zoals belangenverstrengeling, belangenvervalsing of reputatieschade),
- risico’s in distributiekanalen of klantenkring.
Risicobereidheid is niet hetzelfde als risicoblootstelling. Het eerste is bewust gekozen, het tweede gebeurt soms ongewenst.
Hoe bepaal je je risicobereidheid?
- Breng risicocategorieën in kaart
Gebruik dezelfde structuur als je SIRA: klantgroepen, producten, transacties, landen, distributiekanalen, organisatiekenmerken.
- Beoordeel je huidige situatie
Welke risico’s komen nu voor? Welke incidenten, signalen of dilemma’s heb je gezien?
- Stel per risicogebied een tolerantieniveau vast
Bijvoorbeeld:
| Risicogebied | Risicobereidheid (voorbeeld) |
| Klantgroep | Geen dienstverlening aan anonieme klantenstructuren zonder UBO-duiding |
| Transacties | Alleen contante betalingen tot max. € 3.000 per transactie toegestaan |
| PEP’s | Alleen nationale PEP’s, onder voorwaarde van verscherpt onderzoek |
| Cryptodiensten | Geen dienstverlening aan crypto-gerelateerde bedrijven |
| Personeelsintegriteit | Geen formele sancties of lopende tuchtrechtzaken bij klantverantwoordelijken |
Je mag logischerwijs altijd strengere grenzen stellen dan de wet, maar niet soepeler.
Hoe leg je risicobereidheid vast?
Gebruik hiervoor een compact document of een paragraaf in je SIRA waarin je per categorie:
- je risico-inschatting (scoringsniveau),
- je risicobereidheid (acceptabel / niet acceptabel),
- en de reden of toelichting vermeldt.
Voorbeeld:
“Wij accepteren contante betalingen tot € 3.000 als het gaat om diensten aan bestaande klanten zonder verhoogd risico. In andere gevallen hanteren we een verbod op contant geld. Deze grens is gekozen om risico op oncontroleerbare geldstromen te beperken.”
Je kunt ook werken met een matrix of heatmap waarbij per risicocategorie risiconiveaus en grenswaarden zijn aangegeven.
Koppeling met maatregelstrategieën
Je risicobereidheid bepaalt welke maatregelen je kiest (zie ook artikel 1 in deze reeks). Voor elk risico kun je vervolgens:
- Beheersen (maatregel nemen, binnen tolerantie),
- Vermijden (verbieden, uit beleid halen),
- Overdragen (bijv. via externe toetsing of IT-beheer),
- Accepteren (onderbouwen waarom het risico acceptabel is).
Zolang je binnen je eigen risicobereidheid blijft, ben je compliant — mits goed vastgelegd.
Hoe leg je dit uit aan de toezichthouder?
De toezichthouder verwacht van je dat je:
- hebt nagedacht over wat je acceptabel vindt,
- bewust grenzen hebt gesteld (niet alles openlaat),
- afwijkingen of uitzonderingen onderbouwd hebt,
- en dat je signalen van overschrijding herkent én opvolgt.
Gebruik je risicobereidheid als toetssteen bij klantacceptatie, monitoring en evaluatie. Bespreek afwijkingen in het MT en leg besluiten vast.
Veelgestelde vragen
Moet ik risicobereidheid formeel vastleggen?
Ja, als onderdeel van je SIRA. Het mag beknopt, maar moet helder en uitlegbaar zijn.
Mag ik per klanttype of dienst andere grenzen stellen?
Ja, dat is zelfs aan te raden. Een PEP vereist nu eenmaal een ander niveau dan een lokaal familiebedrijf.
Wat als ik tijdelijk moet afwijken van mijn risicogrens?
Dan moet je dit intern goedkeuren (bijv. via compliance of vaktechniek), onderbouwen én documenteren. Maak er geen automatisme van.
Verder lezen
- Wat is een SIRA? Zo leg je een stevig fundament onder je risicobeheersing
- Component 8. Risicobeheersing onder ISQM 1 (SKM 1 NL)
- De 5 pijlers van een effectieve Wwft-complianceaanpak
- Wwft-risicoprofilering: klant, product en dienst onder de loep
Assurvia helpt je risicobereidheid concreet maken
Wij begeleiden organisaties bij het vaststellen, documenteren en toepassen van risicobereidheid in hun SIRA en compliancekaders. Vanuit toezichtsnormen én praktijkkennis.
Meer weten? Mail ons via info@assurvia.com of bekijk onze kennisbank
