De invloed van Regtech op compliance-afdelingen in de financiële sector

De afgelopen jaren heeft de financiële sector veel regelgeving op zich af zien komen. Voor compliance-afdelingen betekent dit soms formidabele uitdagingen, zowel in werklast als in verantwoordelijkheid. Regulatory Technology (Regtech) is een automatiseringsoplossing die de compliance vanuit het bedrijf kan helpen in termen van efficiency en minder foutgevoelig is. Kennis- en netwerkorganisatie IIR organiseert later dit jaar het evenement ‘Regtech en Gedrag’. Heleen Rietdijk, Chief Compliance Manager bij Aegon, is daar één van de sprekers. Banken.nl sprak met haar in aanloop naar het event.  

Wat kun je vertellen over de opkomst van Regtech?

Regtech helpt bij monitoring van gedigitaliseerde data. Het kan bijvoorbeeld automatisch mogelijke belangenverstrengeling detecteren. Stel, een financiële instelling besteedt een bouwproject uit aan een grote bouwonderneming. Het systeem geeft dan direct weer of er wellicht een commissaris zit die bij beide instellingen actief is. Of dat er sprake is van een bepaald aandelenbelang of dat werknemers van de uitbesteder onlangs gefêteerd zijn door de partij die de aanbesteding wint.

Met Regtech kun je overkoepelend monitoren en eventueel vlaggetjes zetten bij potentieel risicovolle ontwikkelingen en trends singaleren binnen de organisatie. Het bespaart uitzoekwerk en als je het goed inricht kun je ook toekomstig gedrag gaan voorspellen door de hoeveelheid data die je beschikbaar krijgt.

Natuurlijk raken dergelijke registers en systemen aan privacy en integriteit, het moet daarom een stand-alone applicatie blijven, waar een select aantal mensen toegang tot heeft, en waar conform transparante en aantoonbare mechanisme’s gemonitord wordt binnen applicaties en processen. Het is essentieel dat grote financiële bedrijven digitaal de juiste gegevens vroegtijdig kunnen monitoren. Los van de mogelijkheid dat je de wet overtreedt bij de uitoefening van financiële dienstverlening, loop je als grote instelling risico op ernstige imagoschade wanneer de schijn wordt gewekt dat werkzaamheden niet transparant en integer worden uitgevoerd. We kunnen niet iets tastbaars neerzetten wat als toetsbaar kwaliteitsobject kan worden gezien zoals bijvoorbeeld een fabrikant van auto’s of televisies doet. Financiële instellingen hebben enkel het hebben van vertrouwen van de klant. Regtech helpt dat vertrouwen te behouden.

Welke meerwaarde heeft de inzet van Regtech voor financiële bedrijven?

Toezichthouders bewegen steeds meer naar digitale monitoring en willen dat de cultuur en het gedrag binnen financiële instellingen voldoet aan gestelde eisen. Regtech kan dit aantonen op een digitale en efficiënte manier. Regtech zorgt voor comfort binnen bedrijven, vertrouwen in de interne compliance.

Als voorbeeld van het meebewegen met de toezichthouders naar digitale monitoring zou kunnen dienen het digitaal inregelen van de SIRA (systematische integriteitrisicoanalyse, dat financieel economische criminaliteit moet voorkomen). Het zou optimaal zijn wanneer je als bedrijf de SIRA vanuit je eigen systemen zou kunnen voeden. Dat is niet zomaar meer het registreren in een spreadsheetje, maar een voortdurend overzicht van de stand van zaken middels digitale monitoring. In de SIRA zitten al bepaalde criteria opgenomen, waardoor we als Compliance bijvoorbeeld kunnen stellen dat voor een bepaalde afdeling het stoplicht op oranje staat door een aantal waargenomen risk-events of overschrijdingen van de risicomarges in de SIRA tool.

Nu wordt er nog veel handmatig gewerkt met de SIRA. Er zijn workshops met werknemers, overleggen met directies, daarna moet alles veelal in Excel en het jaar erop moet het hele circus opnieuw. De SIRA vanuit het systeem voeden is een belangrijke bijdrage aan de integriteitstoets. Het is efficiënt, maar ook hier ligt de klemtoon op vertrouwen, vertrouwen kunnen hebben en geven inzake interne compliance.

Vertrouwen is het enige dat de financiële sector zijn klanten kan bieden. Als bedrijf wil je bovendien een volledig beeld hebben van je bedrijfsrisico en hoe risico gemanaged wordt binnen de organisatie. Digitaal risk-management kan directies een bepaald comfort en inzicht geven in hoe integer de organisatie eigenlijk is.

Gedrag speelt een belangrijke rol bij compliance, het maakt niet voor niets deel uit van de naam van het Regtech & gedrag Event 2018. Wat is het belang van een goede inbedding en bewustzijn van het belang van compliance binnen een organisatie?

Een goede inbedding en bewustzijn van het belang van compliance is essentieel. Als een werknemer de deur van het bedrijf binnenloopt moet hij of zij zich al beseffen dat hij werkzaam is voor een financiële instelling, vaak ook nog beursgenoteerd. Een medewerker moet zich bewust zijn tijdens omgang met klanten, mag dit wel of mag dit niet? Maar sterker nog: hij moet in staat zijn om de vraag te stellen: ‘Moeten we dit wel willen?’ Wanneer goed gedrag en bewustzijn goed is ingebed voorkom je veel risk-events in een organisatie.

Een bedrijf dat bijvoorbeeld overstapt op agile werken moet kunnen rekenen op een heel goed ontwikkeld bewustzijn van de mensen op de werkvloer van het risico dat zíj lopen voor het bedrijf. Ze moeten weten wat hun stukje van de werkzaamheden betekent in het grotere geheel. Compliance moet in het DNA zitten. Een bedrijf moet weten welke risico’s het loopt en hoe dat bewustzijn door managers en bestuurders wordt uitgedragen.

Hoe kunnen bedrijven zorgen voor een optimale inbedding? Wat vraagt het van het management en wat vraagt het van de medewerkers?

Het vraagt veel. Een goede inbedding loopt volgens mij via twee sporen. Ten eerste door het neerzetten van de juiste leiders, die de juiste governance eromheen weten te zetten. Leiders die in staat zijn om leiderschap te tonen. Niet alleen in de top, maar zeker ook in de middenlagen. Hier is een goede visie voor nodig.

Ten tweede door het risicobewustzijn op het juiste niveau neer te zetten. Door middel van gerichte trainingen, workshops, zeepkistactiviteiten. Zodat medewerkers snappen wat er speelt. Dat hoeft allemaal niet tot achter de komma, maar besteed bijvoorbeeld aandacht aan het beleid rondom geschenken. Waarom is dat belangrijk? Leg dat uit, het hoeft niet eens veel tijd te kosten. Een e-learning kan voor zo’n onderwerp al voldoende zijn. Werknemers moeten een aha-erlebnis krijgen. Alle bouwsteentjes op de juiste manier op elkaar zorgen voor het nodige begrip over wat een risico is voor de organisatie.

Hoe zou je de verhouding aangeven tussen het belang van de juiste tools en van de juiste mentaliteit als het gaat om succesvolle compliance?

Het één kan vanzelfsprekend niet zonder het ander. De juiste tools en de juiste mentaliteit vullen elkaar aan. Als je met behulp van de juiste tools processen digitaliseert en zorgt voor data governance speel je ruimte vrij om je te richten op het trainen van de juiste mentaliteit.

Met behulp van goed georganiseerde Regtech kun je als compliance-afdeling analyseren of zelfs voorspellen waar je extra aandacht aan moet besteden. Je kunt zo gerichte workshops opzetten voor werknemers. Bijvoorbeeld in het geval van de nieuwe IDD (Insurance Distribution Directive) die eraan komt. Wat betekent het voor jouw afdeling? Waar loop je tegenaan? Waar twijfel je over?

Om Regtech effectief te gebruiken is wel een goede risico-barometer nodig. Zo kun je het risico-bewustzijn binnen een organisatie concreet meten. Als op één afdeling voortdurend onverantwoorde risico’s worden genomen kun je daar heel specifiek aandacht aan geven en extra inspanningen doen om het risico-bewustzijn op die afdeling te verhogen.

Regtech is vooral belangrijk voor de bedrijfsvoering van financiële instellingen. Op welke manier merken consumenten iets van de ontwikkeling in Regtech?

Goed ingebedde Regtech zorgt voor meer speelruimte om met de klant mee te denken, met het zelfvertrouwen dat er geen onverantwoorde risico’s worden genomen. Daar profiteert uiteindelijk ook de klant van. Door met Regtech procesmatig efficiënter bezig te zijn komen er nieuwe middelen bij om aan de voorkant de klant te bedienen. Dat is nog een manier waarop klanten profiteren.

Hoe zie je Regtech en compliance de komende jaren ontwikkelen? Wat is nu nog toekomstmuziek en over enkele jaren naar verwachting realiteit?

Kunstmatige intelligentie zal een steeds grotere rol gaan spelen. Bijvoorbeeld voice logging van telefoongesprekken met klanten. Dit kan zowel realtime als direct na afloop van zo’n gesprek. Kunstmatige intelligentie kan een gesprek scannen op woorden die in het verleden bijvoorbeeld leidden tot risico-gevallen. Kunstmatige intelligentie heeft hierbij meer de rol van coach dan van controleur. We willen niet alleen maar robots aan het werk, maar ter ondersteuning van het menselijk personeel.

En het heeft nog een positieve kant, namelijk dat je kunt monitoren op processen en procedures die bij bepaalde afdelingen juist heel erg goed gaan. Die werkwijze kun je vervolgens uitrollen naar andere afdelingen die moeite hebben met bepaalde situaties. Zo kunnen afdelingen via kunstmatige intelligentie misschien van elkaar leren.

Kunstmatige intelligentie maakt het mogelijk om veel meer data te genereren en die data vervolgens ook nog op een nuttige manier aan elkaar te knopen. Regtech helpt, niet met als doel om kosten te besparen en mensen te kunnen ontslaan, maar om mensen vanuit hun kracht laten werken. Regtech schept ruimte om een strategische business partner voor klanten te kunnen zijn. Door het verdwijnen van handmatige monitoring en rapportages wordt menselijke capaciteit vrijgespeeld.