De digitalisering van de compliance functie - Compliance by design & default
De meeste financiële instellingen zijn verplicht een effectieve en onafhankelijke invulling van de compliancefunctie te realiseren. Over de onafhankelijkheid van de compliancefunctie is veel bekend, maar hoe zorgt u voor een daadwerkelijk effectieve compliancefunctie? En hoe werkt dat in de praktijk met een ingewikkelde bedrijfsvoering, veranderende processen, een doorloop aan medewerkers en een grote hoeveelheid data? In dit artikel leggen wij een specifieke aanpak uit: het realiseren van een effectieve compliancefunctie door het inrichten van ‘compliance by design and default’.
Datum:11 oktober 2022
Inhoudsopgave
De uitdagingen van een compliancefunctie
Een adequate compliance inrichting of het aan boord krijgen (en houden) van ervaren personeel is niet de grootste compliance uitdaging voor financiële instellingen. De echte uitdaging ligt in het voortdurend verbeteren van de effectiviteit van de compliance functie om ervoor te zorgen dat de hele financiële instelling te allen tijde compliant werkt en tegelijkertijd de kosten op een acceptabel niveau houdt. Zoals beschreven in het tweede artikel van de serie 'Digitalisering van de compliance functie' hebben financiële instellingen de neiging om te werken op basis van een silostructuur, waarbij data duplicatie (verschillende afdelingen die (dezelfde) data aanmaken en/of beheren) een negatieve impact heeft op het informatiebeheer en het algemene kennisniveau van de organisatie.
De huidige tijd - waarin de kosten stijgen, de complexiteit van bedrijven toeneemt (en dus ook de complexiteit van de toepasselijke regelgeving framework) en procesinefficiënties aan het licht komen - vraagt om een slimmere compliance functie dan de meeste financiële instellingen zich tot nu toe hebben gerealiseerd. Vaak reageren financiële instellingen op dergelijke uitdagingen met een meer gefragmenteerde (of 'gespecialiseerde', want dat klinkt positiever) aanpak. Vooral op het gebied van compliance risk en controleactiviteiten. Dit is ook zeker verklaarbaar. Dergelijke investeringen worden immers vaak decentraal gedaan door verschillende budgethouders, met weinig of geen aandacht voor de integratie van de activiteiten, processen en onderliggende data. Op deze manier wordt de compliance functie (nog) meer afgeschermd van de business, wat pertinent tegen haar bestaansrecht ingaat. De compliance functie bestaat immers omdat ze onafhankelijk en effectief moet toezien op het beheer van de compliance risico's van de financiële instelling. Compliance risico's vloeien voort uit de bedrijfsvoering en zijn juist niet alleen te vinden binnen de compliance functie. Daarom moet de compliance functie ook meer geïntegreerd zijn in de bedrijfsvoering als ze tijdig op de hoogte wil zijn van deze compliance risico's. Kortom, zoals Doyle et al [1] aangeven: "De GRC-functie [Governance, Risk and Compliance] is er tot op heden niet in geslaagd om raden van bestuur een volledig profiel te geven van haar rol en potentiële impact in termen van haar vermogen om bij te dragen aan het beheersen van de onzekerheid rond zowel gunstige als ongunstige gebeurtenissen".
Compliance door design and default
Compliancefuncties kunnen de strategische benadering van 'compliance by design' gebruiken om hun processen opnieuw vorm te geven, zodat ze echt 100% 'in control' zijn. "Compliance by design betekent het toepassen van een systematische aanpak voor het integreren van wettelijke vereisten in handmatige en geautomatiseerde taken en processen" [2]. Daarnaast kan de extra stap worden gezet naar 'compliance by default'. Hierbij wordt niet alleen gekeken naar het ontwerp van processen vooraf, maar ook naar de uitvoering ervan in realtime. Als een financiële instelling compliance by design en default heeft geïmplementeerd, wordt compliance dus zowel gerealiseerd op het moment van het definiëren van de middelen (zoals software en systemen die processen ondersteunen), als op het moment van de daadwerkelijke uitvoering van die processen (door medewerkers). Deze tweeledige oplossing garandeert compliance zowel vooraf als tijdens het moment suprême.
Compliance by design kan worden bereikt door software en systemen te ontwikkelen die per definitie alleen 'compliant' acties toestaan. Hierbij zijn niet-compliant acties of acties technisch onmogelijk om uit te voeren. Een voorbeeld is de customer due diligence die wordt uitgevoerd in een CDD proces, waarbij het beleid (en de procedures) van de financiële instelling zijn ingebouwd in de onboarding software. Op deze manier wordt er effectief één mogelijk pad gecreëerd voor de werknemer om te doorlopen tijdens het inwerkproces. In een dergelijke case is het verstandig om het CDD beleid systematisch aan te pakken, zodat het niet nodig is om de software (volledig) te veranderen voor elke kleine verandering in het CDD beleid.
Compliance by default kan worden bereikt door bepaalde beveiligingsaspecten te triggeren tijdens de uitvoering van een proces, waardoor een medewerker niet realtime niet-compliant kan handelen. Een voorbeeld is het geven van een pop-up melding met 'let op, door het uitvoeren van deze actie handelt u in strijd met het beleid'. Dit kan bijvoorbeeld gebeuren tijdens een screening van een klant als onderdeel van een CDD proces, wanneer de medewerker aangeeft dat hij het risk profiel van de potentiële klant lager acht dan het profiel dat wordt aangegeven door de rode vlaggen in het systeem. In dit case worden de rode vlaggen uit het CDD beleid geïmplementeerd in het systeem (compliance by design), waardoor de medewerker dit beleid niet meer kan omzeilen tijdens de daadwerkelijke uitvoering van het proces.
Waarom maken weinig financiële instellingen gebruik van compliance by design and default?
Verandering is moeilijk voor mensen. Vooral wanneer IT een grotere invloed begint uit te oefenen dan voorheen. Daarnaast is de compliance functie een functie die traditioneel niet bovenaan de prioriteitenlijst staat om investeringen te krijgen. Dit is echter een onverstandige keuze: een goed niveau van compliance zorgt er immers voor dat de licentie behouden blijft, wat uiteindelijk het bestaansrecht is van de meeste financiële instellingen.
Een andere reden kan zijn dat financiële instellingen het ergens wellicht ook wel prima vinden dat hun compliancefunctie niet constant inzicht heeft in alle data, patronen en trends, maar slechts in bepaalde (minder interessante) fragmenten op bepaalde momenten. Want wie weet wat er aan het licht komt als alle data geïntegreerd is en bepaalde trends en patronen duidelijk worden?
Bovendien kunnen werknemers iets dat geautomatiseerd is niet 'vergeten'. Dit dwingt hen om compliant te handelen (mits compliance by design and default goed is geïmplementeerd). Waarschijnlijk vinden ze het echter prettiger om hun activiteiten in vrijheid uit te voeren, zonder gedwongen te worden om compliant te handelen omdat de systemen en software dat afdwingen. Een 'compliance-first' benadering in processen, systemen en software zal dus helpen om een effectievere compliance functie te bereiken. De vraag is echter of alle medewerkers deze aanpak met open armen zullen ontvangen.
Meer weten?
Meer lezen over de digitalisering van de compliancefunctie? Lees dan de twee andere artikelen uit de reeks:
Benieuwd naar compliance by design en default in de praktijk? Projective Group kan je helpen om je compliance functie effectiever te maken. Neem vrijblijvend contact met ons op.
