LEES
Risk & Compliance

Digitalisering van de compliance functie - Data-driven compliance 

In het eerste artikel van de reeks ‘De digitalisering van de compliancefunctie’ vertelden wij al over de verschillende typen RegTech en wat ervoor nodig is om RegTech succesvol te implementeren. In dit artikel zoomen wij in op data. Zorg dragen voor kwalitatief goede data is namelijk van cruciaal belang voor financiële instellingen. Zeker wanneer zij (een deel van) hun werkzaamheden hebben gedigitaliseerd. Denk bijvoorbeeld aan de compliancefunctie, waarbij compliance officers ondersteund worden door RegTech tooling bij de uitvoering en vastlegging van hun werkzaamheden. Data-gedreven – ofwel ‘data driven’ – compliance dient als uitgangspunt gehanteerd te worden wanneer u op een efficiënte en effectieve wijze gebruik wilt maken van ondersteunende RegTech tools..

Maar wat is data driven compliance precies en hoe kunt u de compliancefunctie binnen uw financiële instelling data gedreven laten opereren? In dit artikel zetten wij voor u uiteen waarom het belangrijk is om die stap nú te zetten en niet volgend jaar (of toch maar het jaar daarna).

Datum:4 oktober 2022

Inhoudsopgave

Wat is data-driven compliance?  

Data driven compliance is een steeds bekender ‘buzzword’. En dat is niet gek, want data driven compliance heeft financiële instellingen veel te bieden. ‘Compliance’ komt in de praktijk vooral neer op het beheersen van compliance-risico’s in de breedste zin van het woord. ‘Data driven’ wijst op het gebruik van (veel) data om (non-) compliance binnen een organisatie te kunnen monitoren, aantonen en (proactief) beheersen. 

Data driven compliance beoogt een gegevensgerichte en overkoepelende benadering van compliance. De crux van data driven compliance is het welbekende silo-werken te voorkomen en gebruik te maken van geaggregeerde data op organisatieniveau, waardoor organisatie-brede inzichten worden verkregen. Want, “een groot deel van de complexiteit en inspanning die het kost om naleving van wet- en regelgeving te toetsen ontstaat doordat er in compliance silo’s wordt gewerkt” [1].  

Wanneer financiële instellingen data leidend laten zijn, kan deze complexiteit verminderd worden en zal de instelling beter in control zijn. De organisatie, en in het bijzonder de compliance afdeling, wordt dan niet meer gedreven door verschillende thema’s (zoals AML, GDPR, privétransacties) uitgevoerd of behandeld door verschillende compliance-experts (‘silo-structuur’), maar door inzicht en overzicht dat gecreëerd wordt door data-analyses vanuit verschillende invalshoeken (bijv. data van verschillende afdelingen). Kortom: (gecombineerde) data als drijvende kracht om continu ‘in control’ te zijn. “Het beheren en juist integreren van verschillende datastromen op risicogebied kan leiden tot kostenbesparingen, efficiëntere risico assessments en het identificeren van nieuwe onvoorziene risico’s [2].” Het koppelen van databronnen en het analyseren van die gecombineerde data zorgt voor meer focus op nieuwe en tot op heden onvoorziene risico’s. 

Over welke data hebben we het?  

Wat bedoelen we precies met data, als we het hebben over data driven compliance? Data is informatie in binaire vorm dat digitaal kan worden verwerkt of verplaatst [3]. Het doorgeven of verwerken van data gebeurt door middel van digitale technologieën. Deze technologieën kunnen, in combinatie met data-analyse, gebruikt worden om kwaadwillende prospects of klanten te profileren, traceren en gerelateerde risico’s (zoals fraude, witwassen of terrorisme) te mitigeren. Kortom, data heeft de potentie om efficient het compliance niveau van een financiële instelling te waarborgen.  

Wat is data-driven compliance?  

Gegevensgericht toetsen en monitoren van bijvoorbeeld transacties, processen en communicatie staat centraal bij data driven compliance. ‘Risico-gebaseerd’ monitoren wordt hierdoor objectiever, waardoor compliance naar een hoger niveau wordt getild. Integratie is daarbij ontzettend belangrijk. Data-analyse wordt vooralsnog gezien als een extra handeling naast het reguliere werk, terwijl het de basis zou moeten vormen van het risicomanagement binnen een organisatie. Door gebruik te maken van data analytics kunnen verschillende databronnen op een inventieve wijze gekoppeld worden. Compliance data, security incidenten, nieuwsberichten en de effectiviteit van beheersmaatregelen kunnen aan elkaar gelinkt worden waardoor belangrijke strategische inzichten en integrale visies kunnen worden gegenereerd. 

Van een 'detecterende' naar een 'voorspellende' compliance functie  

Data driven compliance kan zorgen voor de omslag van een ‘detecterende’ compliancefunctie naar een ‘voorspellende’ compliancefunctie. De compliancefunctie zal dan steeds meer gaan acteren op voorspelde activiteiten, in plaats van dat wordt gereageerd op gebeurtenissen uit het verleden. Door een dergelijke efficiënte en gefocuste werkwijze kan ook meer aandacht worden gegeven aan ‘zelden voorkomende toekomstige compliance-risicoscenario’s met een potentieel grote impact’. Financiële instellingen hebben vaak (alleen) oog voor de bekende risico’s waardoor er (te) weinig aandacht en tijd overblijft voor de onbekende belangrijke risico’s. De focus moet liggen op de staart van een normaalverdeling. De risico’s met de grootste kans – het midden van de normaalverdeling – zijn bekend en bestaande controles zijn daarop ingericht. In de staarten (aan beide kanten) schuilt het gevaar. De risico’s aan de linker staart van de normaalverdeling hebben een potentieel lage impact. Hier kan data de identificatie van bestaande lage risico’s optimaliseren, wat kan leiden tot een kostenbesparing. De rechter staart – de risico’s die weinig voorkomen maar met potentieel een oneindig grote impact – dient meer aandacht te krijgen. Door veel data te gebruiken kan het onbekende inzichtelijk worden gemaakt [2].

Randvoorwarden voor data-driven compliance  

Er zijn een aantal randvoorwaarden om de functie compliance om te vormen tot een data-gestuurde mentaliteit en werkwijze:  

  • Ten eerste dient de financiële instelling een overkoepelend control framework met integrale benadering vanuit een dataperspectief te ontwikkelen en in te regelen.  
  • Ten tweede dient de kloof tussen IT en compliance te worden verkleind. Deze kloof wordt in de praktijk nu eerder groter dan kleiner, omdat IT zich steeds verder ontwikkeld maar de medewerkers van de compliancefunctie ontwikkelen vaak niet (voldoende) mee op IT-gebied.  
  • Ten derde dient de silo- of eilandcultuur binnen de compliancefunctie doorbreken te worden. Data-analyses dienen de gehele context te bevatten en niet de ‘tunnelvisie’ van specifieke compliance-thema’s  
  • Ten vierde dient de financiële instelling te beschikken over voldoende adequaat geschoold en ervaren personeel. Een brede set aan vaardigheden is nodig om data correct te beveiligen, scannen, indexeren, zoeken, opslaan, ordenen, distribueren en bewerken en om de bevindingen van de data-analyse overzichtelijk te visualiseren en communiceren. Multidisciplinaire teams zijn het sleutelwoord, omdat al deze skills vaak niet in één persoon te vinden zijn. Als compliance officer is het dus raadzaam om jezelf te verdiepen in de nodige technieken die er beschikbaar zijn om jouw taak als compliance officer efficiënter en effectiever te maken.  
  • Ten vijfde dient een financiële instelling besluitvaardig te zijn inzake haar data – en met name de kwantiteit ervan. Meer data betekent namelijk niet betere kwaliteit, maar vaak juist slechtere kwaliteit. Op een bepaald punt leidt meer data tot ruis waardoor het eindigt in slechtere data.  
  • Ten zesde dient een financiële instelling het gebruik van technologieën te plaatsen binnen de algehele organisatiestrategie – en het niet te zien als ‘add on’. “Place technology use within a larger strategy: Even if data analysis is correctly done and the results are correctly interpreted and then communicated, the exercise becomes moot if there is not robust implementation/operationalization of the results [3].  
  • Ten slotte dienen gerelateerde risico’s goed gemanaged te worden. Zowel het gebruik van data zelf, als de transitie van een ‘normale’ compliancefunctie naar een ‘datagedreven’ compliancefunctie kunnen verschillende (typen) risico’s met zich mee brengen. Data kan bijvoorbeeld verkeerd geïnterpreteerd of geanalyseerd worden met alle gevolgen van dien. Of in het transitieproces naar een datagedreven compliancefunctie worden de veranderingen (intern en/of extern) niet goed gemanaged waardoor personeel of systemen niet voldoen aan de verwachtingen. Dergelijke risico’s dienen vooraf geïdentificeerd te worden en te allen tijde goed beheerst te worden. 

Meer weten?

Wil je meer weten over het digitaliseren van de compliance functie? Bekijk dan de andere artikelen in deze serie:  

Benieuwd naar data-gedreven compliance in de praktijk? In de cursus DSI Compliance Professional van het Ministerie van Compliance leert u welke stappen een financiële organisatie moet zetten om toe te werken naar data-gedreven compliance. Daarnaast kan Projective Group u helpen om uw compliance functie efficiënter en data-gedreven te maken. Neem gerust contact met ons op.