Het meeste onderzoek naar de kwaliteit van integriteitsprogramma's is gericht op de implementatie en op de effectiviteit van integriteitsmaatregelen. Ik kies hier voor een andere benadering op basis van de vraag aan welke normen het integriteitsprogramma van een organisatie moet voldoen om in zichzelf heel, ofwel integer te zijn. Ik kom tot vier normen die betrekking hebben op: de intentie van het integriteitsprogramma, de organisatorische en de maatschappelijke verankering van het integriteitsprogramma; en de procesmatige opzet van het integriteitsprogramma. De normen zijn uitgewerkt tot een kader dat gebruikt kan worden voor het evalueren en verbeteren van integriteitsprogramma's en -systemen. Tevens wordt stilgestaan bij het belang en de toepassing van risicoanalyses binnen het evaluatie kader. 

Als adviesbureau op het gebied van risicomanagement en compliance zien wij in toenemende mate discussies over de wenselijkheid van het uitwerken van de risicobereidheid op het gebied van integriteit en de naleving van wet- en regelgeving. Een uitdagende taak omdat integriteit en compliance zich moeilijk laten kwantificeren. Daarnaast blijkt uit sancties van toezichthouders dat de risicobereidheidsverklaring en risicobereidheid voor integriteitsrisico's van financiële instellingen regelmatig tekortschieten. Uit de praktijk blijkt dat het bestuur vaak een grotere risicobereidheid heeft dan formeel vastgelegd. Signalen in de organisatie naar aanleiding van incidenten of negatieve resultaten naar aanleiding van compliance monitoring worden niet altijd opgepakt door het bestuur. Daarmee worden risico's dus impliciet en in sommige gevallen ook expliciet geaccepteerd. In dit artikel gaan wij in op wat risicobereidheid is, hoe je in de praktijk de risicobereidheid voor integriteit en naleving van wet- en regelgeving kan bepalen en wat dat betekent voor de organisatie. In het artikel gebruiken we twee voorbeelden om te illustreren hoe de uitwerking er in de praktijk zou kunnen uitzien.