Regulatory technology (regtech) ondersteunt compliance-medewerkers bij de dagelijkse uitvoering van hun werkzaamheden. Essentieel voor het goed functioneren van regtech is de invoer van hoogwaardige data. Financiële instellingen hebben dus baat bij een ‘data driven’ aanpak. Rhodé Betting, consultant bij adviesbureau Charco & Dique, legt uit wat datagedreven compliance inhoudt en hoe financiële instellingen hun compliance-afdelingen op die manier kunnen laten opereren.
‘Data driven compliance’ is een steeds gangbaardere term. Met recht, want data driven compliance heeft financiële instellingen veel te bieden. Compliance komt in de praktijk vooral neer op het beheersen van compliance-risico’s in de breedste zin van het woord. Data driven wijst op het gebruik van grote hoeveelheden data om (non-)compliance binnen een organisatie te kunnen monitoren, aantonen en beheersen.
Data driven compliance beoogt een gegevensgerichte en overkoepelende benadering van compliance. De crux van data driven compliance is het welbekende silo-werken te voorkomen en gebruik te maken van geaggregeerde data op organisatieniveau, waardoor organisatie-brede inzichten worden verkregen. Een groot deel van de complexiteit en inspanning die het kost om naleving van wet- en regelgeving te toetsen ontstaat doordat er in silo’s wordt gewerkt.
Wanneer financiële instellingen data leidend laten zijn, kan de complexiteit omlaag en zal de instelling beter ‘in control’ zijn. Het voordeel is dat compliance-afdelingen dan niet meer hoeven te opereren vanuit verschillende thema’s, zoals AML, GDPR of privétransacties, en vanuit verschillende silo’s. In plaats daarvan handelt men op basis van inzicht en overzicht. Deze worden gecreëerd door data-analyses vanuit verschillende invalshoeken. Kortom, (gecombineerde) data als drijvende kracht om continu ‘in control’ te zijn. Het koppelen van databronnen en het analyseren van die gecombineerde data zorgt voor meer focus op nieuwe en tot op heden onvoorziene risico’s.
Wat bedoelen we precies met data, als we het hebben over data driven compliance? Data is informatie in binaire vorm die digitaal kan worden verwerkt of verplaatst. Het doorgeven of verwerken van data gebeurt door middel van digitale technologieën. Deze technologieën kunnen, in combinatie met data-analyse, gebruikt worden om kwaadwillende prospects of klanten te profileren, traceren en gerelateerde risico’s te mitigeren. Denk bijvoorbeeld aan fraude, witwassen of terrorismefinanciering. Data heeft de potentie om op efficiënte wijze het hele compliance-niveau van een financiële instelling te waarborgen.
Gegevensgericht toetsen en monitoren van bijvoorbeeld transacties, processen en communicatie staat centraal bij data driven compliance. ‘Risico-gebaseerd’ monitoren wordt hierdoor objectiever, waardoor compliance een hoger niveau aantikt. Integratie is daarbij ontzettend belangrijk. Data-analyse wordt vooralsnog gezien als een extra handeling naast het reguliere werk, terwijl het de basis zou moeten vormen van het risicomanagement binnen een organisatie.
Door gebruik te maken van data analytics zijn verschillende databronnen op een inventieve wijze aan elkaar te koppelen. Compliance-data, security-incidenten, nieuwsberichten en de effectiviteit van beheersmaatregelen kunnen aan elkaar gelinkt worden, waaruit belangrijke strategische inzichten en integrale visies naar voren komen.
Data driven compliance kan zorgen voor de omslag van een ‘detecterende’ compliancefunctie naar een ‘voorspellende’ compliancefunctie. De compliancefunctie zal dan steeds meer gaan acteren op voorspelde activiteiten, in plaats van reageren op gebeurtenissen uit het verleden. Door een dergelijke efficiënte en gefocuste werkwijze ontstaat ook meer aandacht aan ‘zelden voorkomende toekomstige compliance-risicoscenario’s met een potentieel grote impact’.
Financiële instellingen hebben vaak alleen oog voor de bekende risico’s waardoor onvoldoende aandacht en tijd overblijft voor de onbekende belangrijke risico’s. De focus moet liggen op de staart van een normaalverdeling. De risico’s met de grootste kans – het midden van de normaalverdeling – zijn bekend en bestaande controles zijn daarop ingericht. In de staarten (aan beide kanten) schuilt het gevaar.
De risico’s aan de linkerstaart van de normaalverdeling hebben een potentieel lage impact. Hier kan data de identificatie van bestaande lage risico’s optimaliseren, wat kan leiden tot een kostenbesparing. De rechter staart – de risico’s die weinig voorkomen maar met potentieel een oneindig grote impact – dient meer aandacht te krijgen. Door veel data te gebruiken kan het onbekende inzichtelijk worden gemaakt.
Er zijn een aantal randvoorwaarden voor financiële instellingen om de compliancefunctie te transformeren naar een data driven houding en werkwijze:
Financiële instellingen dienen een overkoepelend control-framework te ontwikkelen met integrale benadering vanuit een data-perspectief.
De kloof tussen IT en compliance moet kleiner. In de praktijk groeit deze koof momenteel, omdat IT zich in het algemeen sneller ontwikkelt dan de IT-expertise van compliance-medewerkers zelf.
Het doorbreken van de silo- of eilandcultuur binnen de compliancefunctie. Data-analyses dienen de gehele context te bevatten en niet de ‘tunnelvisie’ van specifieke compliance-thema’s.
Voldoende en adequaat geschoold en ervaren personeel. Een brede set aan vaardigheden is nodig om data correct te beveiligen, scannen, indexeren, zoeken, opslaan, ordenen, distribueren en bewerken en om de bevindingen van de data-analyse overzichtelijk te visualiseren en communiceren. Multidisciplinaire teams zijn het sleutelwoord, omdat al deze skills vaak niet in één persoon te vinden zijn. Als compliance-officer is het dus raadzaam om jezelf te verdiepen in de nodige technieken die er beschikbaar zijn om jouw taak als compliance officer efficiënter en effectiever te maken.
Besluitvaardigheid inzake data en met name de kwantiteit ervan. Meer data betekent namelijk niet per se betere data. Niet zelden vertroebelt het beeld zelfs. Op een bepaald punt leidt meer data tot ruis waardoor het eindigt in slechtere data.
Zie het gebruik van technologie niet als ‘add on’, maar als een spil binnen de algehele organisatiestrategie.
Ten slotte dienen gerelateerde risico’s goed gemanaged te worden. Zowel het gebruik van data zelf als de transitie van een ‘normale’ compliancefunctie naar een ‘datagedreven’ compliancefunctie kunnen verschillende risico’s met zich mee brengen. Een verkeerde interpretatie of analyse kan grote gevolgen hebben. Een slecht gemanaged transitieproces naar een datagedreven compliancefunctie kan ervoor zorgen dat personeel of de systemen niet voldoen aan de verwachtingen.