Inhoudsopgave
Wat is data-driven compliance?
Data-gedreven compliance is een steeds populairder modewoord. Dat is niet verwonderlijk, want data-driven compliance heeft financiële instellingen veel te bieden. In de praktijk gaat 'compliance' vooral over het beheren van compliance risk in de breedste zin van het woord. Data-gestuurd' verwijst naar het gebruik van (veel) data om (niet-compliance) binnen een organisatie te monitoren, aan te tonen en (proactief) te controleren.
Data-gedreven compliance is gericht op een data-centrische en holistische benadering van compliance. De essentie van data-gedreven compliance is om de bekende silobenadering te vermijden en gebruik te maken van geaggregeerde data op organisatieniveau om organisatiebrede inzichten te verschaffen. De reden hiervoor is dat "veel van de complexiteit en inspanning die nodig is om compliance te controleren op naleving van wet- en regelgeving voortkomt uit het werken in compliance silo's"[1].
Als financiële instellingen de data laten leiden, kan deze complexiteit worden verminderd en heeft de instelling meer controle. De organisatie, en in het bijzonder de afdeling compliance , wordt niet langer gedreven door verschillende onderwerpen (bijv. AML, AVG, privétransacties) die door verschillende compliance experts worden uitgevoerd of behandeld ("silostructuur"), maar door het inzicht en overzicht dat ontstaat door data vanuit verschillende invalshoeken te analyseren (bijv. data van verschillende afdelingen). Kortom, (gecombineerde) data als drijvende kracht om voortdurend 'in control' te zijn. "Het beheren en goed integreren van verschillende risk data stromen kan leiden tot kostenbesparingen, efficiëntere risk beoordelingen en de identificatie van nieuwe, onvoorziene risico's[2]". Het koppelen van data bronnen en het analyseren van deze gecombineerde data biedt een grotere focus op nieuwe en voorheen ongeziene risico's.
Over welke data hebben we het?
Als we het hebben over data-gestuurd compliance, wat bedoelen we dan precies met data? Data is informatie in binaire vorm die digitaal verwerkt of verplaatst kan worden[3]. De overdracht of verwerking van data gebeurt met behulp van digitale technologieën. Deze technologieën, gecombineerd met data analytics, kunnen worden gebruikt om kwaadwillende prospects of klanten te profileren, op te sporen en de bijbehorende risico's (zoals fraude, witwassen of terrorisme) te beperken. Kortom, data heeft het potentieel om op efficiënte wijze het niveau van compliance van een financiële instelling te waarborgen.
Wat is data-driven compliance?
De kern van data-gestuurde compliance is data-gestuurde auditing en monitoring van bijvoorbeeld transacties, processen en communicatie. Het maakt 'risk-gebaseerde' monitoring objectiever en tilt compliance naar een hoger niveau. Integratie is ongelooflijk belangrijk. Tot nu toe werd data analytics gezien als een aanvulling op het reguliere werk, terwijl het de basis zou moeten zijn van risk management binnen een organisatie. Data analytics kan worden gebruikt om ongelijksoortige data bronnen op inventieve manieren met elkaar te verbinden. Compliance data, beveiligingsincidenten, nieuwsberichten en de effectiviteit van controlemaatregelen kunnen aan elkaar worden gekoppeld om belangrijke strategische inzichten en geïntegreerde overzichten te bieden.
Van een 'detecterende' naar een 'voorspellende' compliance functie
Data-gestuurde compliance kan een verschuiving teweegbrengen van een 'detecterende' compliance functie naar een 'voorspellende' compliance functie. De compliance functie zal steeds meer handelen op basis van voorspelde activiteit, in plaats van te reageren op gebeurtenissen uit het verleden. Een dergelijke efficiënte en gerichte manier van werken zal het ook mogelijk maken om meer aandacht te besteden aan 'infrequente toekomstige compliance risk scenario's met een potentieel grote impact'. Financiële instellingen richten zich vaak (alleen) op de bekende risico's, waardoor er (te) weinig aandacht en tijd overblijft voor de onbekende belangrijke risico's. De focus moet liggen op de staart van een normale verdeling. De risico's met de hoogste waarschijnlijkheid - het midden van de normale verdeling - zijn bekend en de bestaande controles zijn daarop afgestemd. Het gevaar schuilt in de staarten (aan weerszijden). De risico's in de linker staart van de normale verdeling hebben een potentieel lage impact. Hier kan data de identificatie van bestaande lage risico's optimaliseren, wat leidt tot kostenbesparingen. De rechterstaart - de risico's die klein zijn maar potentieel oneindig veel impact hebben - zou meer aandacht moeten krijgen. Door veel data te gebruiken, kan het onbekende inzichtelijk worden gemaakt[2].
Randvoorwarden voor data-driven compliance
Er zijn een aantal randvoorwaarden om de functie compliance om te vormen tot een data-gestuurde mentaliteit en werkwijze:
- Ten eerste dient de financiële instelling een overkoepelend control framework met integrale benadering vanuit een dataperspectief te ontwikkelen en in te regelen.
- Ten tweede dient de kloof tussen IT en compliance te worden verkleind. Deze kloof wordt in de praktijk nu eerder groter dan kleiner, omdat IT zich steeds verder ontwikkeld maar de medewerkers van de compliancefunctie ontwikkelen vaak niet (voldoende) mee op IT-gebied.
- Ten derde moet de silo- of eilandcultuur binnen de compliance functie doorbroken worden. Data analyse moet de hele context omvatten en niet de 'tunnelvisie' van specifieke compliance kwesties.
- Ten vierde dient de financiële instelling te beschikken over voldoende adequaat geschoold en ervaren personeel. Een brede set aan vaardigheden is nodig om data correct te beveiligen, scannen, indexeren, zoeken, opslaan, ordenen, distribueren en bewerken en om de bevindingen van de data-analyse overzichtelijk te visualiseren en communiceren. Multidisciplinaire teams zijn het sleutelwoord, omdat al deze skills vaak niet in één persoon te vinden zijn. Als compliance officer is het dus raadzaam om jezelf te verdiepen in de nodige technieken die er beschikbaar zijn om jouw taak als compliance officer efficiënter en effectiever te maken.
- Ten vijfde moet een financiële instelling beslissend zijn over haar data - en vooral over de kwantiteit. Meer data betekent niet een betere kwaliteit, maar vaak een slechtere kwaliteit. Op een gegeven moment leidt meer data tot ruis, wat weer leidt tot slechtere data.
- Ten zesde moet een financiële instelling het gebruik van technologie binnen de algehele strategie van de organisatie plaatsen - en niet zien als een toevoeging. "Plaats het gebruik van technologie binnen een grotere strategie: Zelfs als de data analyse correct is uitgevoerd en de resultaten correct worden geïnterpreteerd en vervolgens gecommuniceerd, dan nog is de oefening zinloos als er geen robuuste implementatie/operationalisatie van de resultaten is [3].
- Tot slot moeten de bijbehorende risico's goed worden beheerd. Zowel het gebruik van data zelf als de overgang van een 'normale' compliance functie naar een 'data-gestuurde' compliance functie kan verschillende (soorten) risico's met zich meebrengen. data kan bijvoorbeeld verkeerd geïnterpreteerd of geanalyseerd worden, met alle gevolgen van dien. Of, in het overgangsproces naar een data-gestuurde compliance functie, kunnen veranderingen (intern en/of externe) niet goed worden gemanaged, met als gevolg dat mensen of systemen niet aan de verwachtingen voldoen. Dergelijke risico's moeten vooraf worden geïdentificeerd en te allen tijde goed worden beheerd.
Meer weten?
Wil je meer weten over het digitaliseren van de compliance functie? Bekijk dan de andere artikelen in deze serie:
Benieuwd naar data-gedreven compliance in de praktijk? In de cursus DSI Compliance Professional van het Ministerie van Compliance leert u welke stappen een financiële organisatie moet zetten om toe te werken naar data-gedreven compliance. Daarnaast kan Projective Group u helpen om uw compliance functie efficiënter en data-gedreven te maken. Neem gerust contact met ons op.
