LEES
Risk & Compliance

De digitalisering van de compliance functie - Compliance by design & default

De meeste financiële instellingen zijn verplicht een effectieve en onafhankelijke invulling van de compliancefunctie te realiseren. Over de onafhankelijkheid van de compliancefunctie is veel bekend, maar hoe zorgt u voor een daadwerkelijk effectieve compliancefunctie? En hoe werkt dat in de praktijk met een ingewikkelde bedrijfsvoering, veranderende processen, een doorloop aan medewerkers en een grote hoeveelheid data? In dit artikel leggen wij een specifieke aanpak uit: het realiseren van een effectieve compliancefunctie door het inrichten van ‘compliance by design and default’.

Datum:11 oktober 2022

De uitdagingen van een compliancefunctie

Een adequate compliance-inrichting of het aan boord halen (en houden) van ervaren medewerkers is niet de grootste compliance-uitdaging voor financiële instellingen. De daadwerkelijke uitdaging zit in het constant verbeteren van de effectiviteit van de compliancefunctie om ervoor te zorgen dat de gehele financiële instelling te allen tijde compliant opereert, terwijl tegelijkertijd de kosten op een acceptabel niveau worden gehouden. Zoals beschreven in het tweede artikel van de ‘Digitalisering van de compliancefunctie’-reeks, werken financiële instellingen veelal op basis van een silo-structuur, waarbij data-duplicatie (verschillende afdelingen die (dezelfde) data creëren en/of managen) een negatieve invloed heeft op het informatiemanagement en het algehele kennisniveau van de organisatie.

De huidige tijd – waarin kosten stijgen, bedrijfscomplexiteit (en daarmee ook de complexiteit van het van toepassing zijnde regelgevend kader) toeneemt en proces-inefficiënties aan het licht komen – vraagt om een slimmere compliancefunctie dan de meeste financiële instellingen tot op heden gerealiseerd hebben. Vaak reageren financiële instellingen op dergelijke uitdagingen met een meer gefragmenteerde (ofwel ‘gespecialiseerde’, want dat klinkt positiever) aanpak. Met name op het gebied van compliance risico- en controle-activiteiten. Dit is ook zeker verklaarbaar. Dergelijke investeringen worden namelijk vaak decentraal gedaan door verschillende budgethouders, waarbij er weinig tot geen focus is op het integreren van de activiteiten, processen en achterliggende data. Op deze manier wordt de compliancefunctie (nog) meer afgeschermd van de business, wat pertinent indruist tegen haar bestaansrecht. Immers, de compliancefunctie bestaat omdat zij op een onafhankelijke en effectieve wijze de beheersing van de compliance risico’s van de financiële instelling in de gaten moet houden. Compliance risico’s komen voort uit de bedrijfsvoering en zijn juist niet alleen te vinden binnen de compliancefunctie. Daarom dient de compliancefunctie ook meer te integreren in de business wil zij tijdig op de hoogte zijn van deze compliance risico’s. Kortom, zoals Doyle et al. [1] aangeven: “The GRC [Governance, Risk and Compliance] function, to date, has failed to deliver Boards with a comprehensive profile of its role and potential impact in terms of its ability to contribute to manage the uncertainty around both favourable and unfavourable events”.

Compliance door design and default

Compliancefuncties kunnen door de strategische aanpak van ‘compliance by design’ hun processen zo hervormen dat ze écht 100% ‘in control’ zijn. “Compliance by design means applying a systematic approach to integrating regulatory requirements into manual and automated tasks and processes” [2]. Daarnaast kan de extra stap gezet worden naar ‘compliance by default’. Dan wordt er niet alleen op voorhand naar het design gekeken van de processen, maar ook naar de uitvoering op real time basis. Als een financiële instelling compliance by design and default heeft geïmplementeerd, wordt compliance dus gerealiseerd op het moment van het bepalen van de middelen (zoals software en systemen die processen ondersteunen), én op het moment van de daadwerkelijke uitvoering van die processen (door medewerkers). Door deze tweeledige oplossing wordt compliance vooraf én tijdens het moment suprême gewaarborgd.

Compliance by design kan gerealiseerd worden door software en systemen te ontwikkelen die per definitie alleen ‘compliant’ handelen toestaan. Hierbij zijn niet-compliant handelingen of acties technisch onmogelijk om uit te voeren. Een voorbeeld is het cliëntenonderzoek dat in een CDD-proces wordt uitgevoerd, waarbij het beleid (en procedures) van de financiële instelling in de onboarding-software is gebouwd. Op deze manier wordt er feitelijk één mogelijke weg gecreëerd die de medewerker kan doorlopen tijdens het onboarding proces. Het is verstandig om in zo’n geval een systematische aanpak in het CDD-beleid te hanteren, zodat niet voor iedere kleine wijziging in het CDD-beleid de software (volledig) hoeft te worden aangepast.

Compliance by default kan gerealiseerd worden door tijdens de uitvoering van een proces bepaalde beveiligingsaspecten te laten starten waardoor een medewerker op real time basis geremd wordt om non-compliant te acteren. Een voorbeeld is het geven van een pop-up melding met ‘let op, door deze actie uit te voeren handel je in strijd met het beleid’. Dit kan bijvoorbeeld tijdens een cliëntenonderzoek als onderdeel van een CDD-proces, wanneer de medewerker aangeeft dat hij het risicoprofiel van de potentiële klant lager vindt dan dat de red flags in het systeem indiceren. De red flags uit het CDD-beleid zijn in dit geval geïmplementeerd in het systeem (compliance by design), waarbij de medewerker tegen wordt gehouden om dergelijk beleid te omzeilen tijdens de daadwerkelijke uitvoering van het proces.

Waarom maken weinig financiële instellingen gebruik van compliance by design and default?

Verandering is moeilijk voor mensen. Zeker wanneer IT een grotere invloed zal gaan uitoefenen dan het voorheen deed. Daarnaast is de compliancefunctie een functie die van oudsher niet bovenaan het prioriteitenlijstje staat om investeringen te krijgen. Echter is dit een onverstandige keuze: een goed compliance-niveau zorgt er namelijk voor dat de vergunning wordt behouden wat uiteindelijk het bestaansrecht is voor de meeste financiële instellingen.

Een andere reden kan zijn dat financiële instellingen het ergens wellicht ook wel prima vinden dat hun compliancefunctie niet constant inzicht heeft in alle data, patronen en trends, maar slechts in bepaalde (minder interessante) fragmenten op bepaalde momenten. Want wie weet wat er aan het licht komt als alle data geïntegreerd is en bepaalde trends en patronen duidelijk worden?

Bovendien kunnen medewerkers iets dat geautomatiseerd is niet ‘vergeten’. Hierdoor worden ze gedwongen om compliant te handelen (mits het compliance by design and default goed is geïmplementeerd). Echter vinden zij het waarschijnlijk prettiger om vrij hun activiteiten uit te voeren, zonder dat ze geforceerd worden om compliant te acteren omdat de systemen en software dat afdwingen. Een ‘compliance-first’ aanpak in processen, systemen en software zal dus helpen om een meer effectievere compliancefunctie te realiseren. De vraag is echter of alle medewerkers deze aanpak met open armen zullen ontvangen.

Meer weten?

Meer lezen over de digitalisering van de compliancefunctie? Lees dan de twee andere artikelen uit de reeks:

De digitalisering van de compliance -functie - Het Regtech-landschap

De digitalisering van de compliance functie - Data-driven compliance

Benieuwd naar compliance by design en default in de praktijk? Projective Group kan je helpen om je compliance functie effectiever te maken. Neem vrijblijvend contact met ons op.