Wat is data-driven compliance?
Data driven compliance is een steeds bekender ‘buzzword’. En dat is niet gek, want data driven compliance heeft financiële instellingen veel te bieden. ‘Compliance’ komt in de praktijk vooral neer op het beheersen van compliance-risico’s in de breedste zin van het woord. ‘Data driven’ wijst op het gebruik van (veel) data om (non-) compliance binnen een organisatie te kunnen monitoren, aantonen en (proactief) beheersen.
Data driven compliance beoogt een gegevensgerichte en overkoepelende benadering van compliance. De crux van data driven compliance is het welbekende silo-werken te voorkomen en gebruik te maken van geaggregeerde data op organisatieniveau, waardoor organisatie-brede inzichten worden verkregen. Want, “een groot deel van de complexiteit en inspanning die het kost om naleving van wet- en regelgeving te toetsen ontstaat doordat er in compliance silo’s wordt gewerkt” [1].
Wanneer financiële instellingen data leidend laten zijn, kan deze complexiteit verminderd worden en zal de instelling beter in control zijn. De organisatie, en in het bijzonder de compliance afdeling, wordt dan niet meer gedreven door verschillende thema’s (zoals AML, GDPR, privétransacties) uitgevoerd of behandeld door verschillende compliance-experts (‘silo-structuur’), maar door inzicht en overzicht dat gecreëerd wordt door data-analyses vanuit verschillende invalshoeken (bijv. data van verschillende afdelingen). Kortom: (gecombineerde) data als drijvende kracht om continu ‘in control’ te zijn. “Het beheren en juist integreren van verschillende datastromen op risicogebied kan leiden tot kostenbesparingen, efficiëntere risico assessments en het identificeren van nieuwe onvoorziene risico’s [2].” Het koppelen van databronnen en het analyseren van die gecombineerde data zorgt voor meer focus op nieuwe en tot op heden onvoorziene risico’s.
Over welke data hebben we het?
Wat bedoelen we precies met data, als we het hebben over data driven compliance? Data is informatie in binaire vorm dat digitaal kan worden verwerkt of verplaatst [3]. Het doorgeven of verwerken van data gebeurt door middel van digitale technologieën. Deze technologieën kunnen, in combinatie met data-analyse, gebruikt worden om kwaadwillende prospects of klanten te profileren, traceren en gerelateerde risico’s (zoals fraude, witwassen of terrorisme) te mitigeren. Kortom, data heeft de potentie om efficient het compliance niveau van een financiële instelling te waarborgen.
Wat is data-driven compliance?
Gegevensgericht toetsen en monitoren van bijvoorbeeld transacties, processen en communicatie staat centraal bij data driven compliance. ‘Risico-gebaseerd’ monitoren wordt hierdoor objectiever, waardoor compliance naar een hoger niveau wordt getild. Integratie is daarbij ontzettend belangrijk. Data-analyse wordt vooralsnog gezien als een extra handeling naast het reguliere werk, terwijl het de basis zou moeten vormen van het risicomanagement binnen een organisatie. Door gebruik te maken van data analytics kunnen verschillende databronnen op een inventieve wijze gekoppeld worden. Compliance data, security incidenten, nieuwsberichten en de effectiviteit van beheersmaatregelen kunnen aan elkaar gelinkt worden waardoor belangrijke strategische inzichten en integrale visies kunnen worden gegenereerd.
Van een 'detecterende' naar een 'voorspellende' compliance functie
Data driven compliance kan zorgen voor de omslag van een ‘detecterende’ compliancefunctie naar een ‘voorspellende’ compliancefunctie. De compliancefunctie zal dan steeds meer gaan acteren op voorspelde activiteiten, in plaats van dat wordt gereageerd op gebeurtenissen uit het verleden. Door een dergelijke efficiënte en gefocuste werkwijze kan ook meer aandacht worden gegeven aan ‘zelden voorkomende toekomstige compliance-risicoscenario’s met een potentieel grote impact’. Financiële instellingen hebben vaak (alleen) oog voor de bekende risico’s waardoor er (te) weinig aandacht en tijd overblijft voor de onbekende belangrijke risico’s. De focus moet liggen op de staart van een normaalverdeling. De risico’s met de grootste kans – het midden van de normaalverdeling – zijn bekend en bestaande controles zijn daarop ingericht. In de staarten (aan beide kanten) schuilt het gevaar. De risico’s aan de linker staart van de normaalverdeling hebben een potentieel lage impact. Hier kan data de identificatie van bestaande lage risico’s optimaliseren, wat kan leiden tot een kostenbesparing. De rechter staart – de risico’s die weinig voorkomen maar met potentieel een oneindig grote impact – dient meer aandacht te krijgen. Door veel data te gebruiken kan het onbekende inzichtelijk worden gemaakt [2].
Randvoorwarden voor data-driven compliance
Er zijn een aantal randvoorwaarden om de functie compliance om te vormen tot een data-gestuurde mentaliteit en werkwijze:
- Ten eerste dient de financiële instelling een overkoepelend control framework met integrale benadering vanuit een dataperspectief te ontwikkelen en in te regelen.
- Ten tweede dient de kloof tussen IT en compliance te worden verkleind. Deze kloof wordt in de praktijk nu eerder groter dan kleiner, omdat IT zich steeds verder ontwikkeld maar de medewerkers van de compliancefunctie ontwikkelen vaak niet (voldoende) mee op IT-gebied.
- Ten derde dient de silo- of eilandcultuur binnen de compliancefunctie doorbreken te worden. Data-analyses dienen de gehele context te bevatten en niet de ‘tunnelvisie’ van specifieke compliance-thema’s
- Ten vierde dient de financiële instelling te beschikken over voldoende adequaat geschoold en ervaren personeel. Een brede set aan vaardigheden is nodig om data correct te beveiligen, scannen, indexeren, zoeken, opslaan, ordenen, distribueren en bewerken en om de bevindingen van de data-analyse overzichtelijk te visualiseren en communiceren. Multidisciplinaire teams zijn het sleutelwoord, omdat al deze skills vaak niet in één persoon te vinden zijn. Als compliance officer is het dus raadzaam om jezelf te verdiepen in de nodige technieken die er beschikbaar zijn om jouw taak als compliance officer efficiënter en effectiever te maken.
- Ten vijfde dient een financiële instelling besluitvaardig te zijn inzake haar data – en met name de kwantiteit ervan. Meer data betekent namelijk niet betere kwaliteit, maar vaak juist slechtere kwaliteit. Op een bepaald punt leidt meer data tot ruis waardoor het eindigt in slechtere data.
- Ten zesde dient een financiële instelling het gebruik van technologieën te plaatsen binnen de algehele organisatiestrategie – en het niet te zien als ‘add on’. “Place technology use within a larger strategy: Even if data analysis is correctly done and the results are correctly interpreted and then communicated, the exercise becomes moot if there is not robust implementation/operationalization of the results [3].
- Ten slotte dienen gerelateerde risico’s goed gemanaged te worden. Zowel het gebruik van data zelf, als de transitie van een ‘normale’ compliancefunctie naar een ‘datagedreven’ compliancefunctie kunnen verschillende (typen) risico’s met zich mee brengen. Data kan bijvoorbeeld verkeerd geïnterpreteerd of geanalyseerd worden met alle gevolgen van dien. Of in het transitieproces naar een datagedreven compliancefunctie worden de veranderingen (intern en/of extern) niet goed gemanaged waardoor personeel of systemen niet voldoen aan de verwachtingen. Dergelijke risico’s dienen vooraf geïdentificeerd te worden en te allen tijde goed beheerst te worden.
Meer weten?
Wil je meer weten over het digitaliseren van de compliance functie? Bekijk dan de andere artikelen in deze serie:
Benieuwd naar data-gedreven compliance in de praktijk? In the Ministry of Compliance's DSI Compliance Professional cursus leer je welke stappen een financiële organisatie moet nemen om naar data-gedreven compliance te gaan. Daarnaast kan Projective Group je helpen om je compliance functie efficiënter en data-gedreven te maken. Neem gerust contact met ons op.
