Compliance: de uitdagingen van strenge regelgeving
Voldoen aan wet- en regelgeving (compliance) is voor financiële instellingen heel belangrijk. Het belang van risicobeheersing en het toezicht daarop wordt door iedereen onderkend. Maar toezichthouders oefenen steeds meer druk uit. De drang naar meer controle op de manier waarop instellingen zaken doen, omgaan met persoonsgegevens en hun plichten op het gebied van risicobeheersing uitoefenen, lijkt steeds groter te worden. De eisen worden zwaarder en preciezer, maar tegelijk wordt het tijdsbestek waarbinnen voldaan moet worden aan nieuwe wet- en regelgeving steeds korter. Tegen welke uitdagingen lopen financiële instellingen aan?
Compliance: wat houdt dat in?
Compliance betekent: het naleven van (inter)nationale wet- en regelgeving en daaruit voortvloeiend het werken volgens de normen en regels die een instelling zelf heeft opgesteld. Deze regelgeving en normen zijn gericht op gedrag, en bedoeld om de risico’s te beheersen die gevolgen kunnen hebben voor het vertrouwen in en de integriteit van de instelling. Wetten en regels die hierbij van belang zijn:
- WWFT: Wet ter voorkoming van Witwassen en Financieren van Terrorisme
- WFT: Wet Financieel Toezicht
- KYC: Know your Customer-principe: de plicht van een financiële instelling om iedere klant goed te screenen voordat hij klant wordt.
- AVG: Algemene Verordening Gegevensbescherming.
Het toezicht wordt steeds strenger
Toezichthouders kijken niet alleen naar zakelijke elementen als risicofactoren. Ze houden ook toezicht op organisatorische zwakheden. Als financiële instelling moet je niet meer alleen rapporteren hoe je er financieel gezien voorstaat, maar ook: hoe heb je de processen georganiseerd, hoe komen je gegevens tot stand, hoe veilig is het allemaal? De eisen worden steeds zwaarder.
In de toekomst zal er zeker nog regelgeving bij komen. Naar verwachting zal vooral regelgeving met betrekking tot technologische innovaties zoals bijvoorbeeld blockchain en kunstmatige intelligentie de nodige aandacht gaan opeisen. Want hoe bescherm je gegevens (AVG) als de data overal staat, zoals bij blockchain het geval is? En hoe regel je de aansprakelijkheid als al je processen zich in de cloud afspelen? Dat moet allemaal worden vastgelegd.
Waarom is het toezicht zo streng?
Streng toezicht is er niet voor niets. In het verleden is er vaak wat fout gegaan, en daar wil je organisaties (en hun klanten!) voor behoeden. Geld moet veilig worden beheerd en voor integere doeleinden gebruikt worden. Je wilt als financiële instelling niet in verband worden gebracht met witwaspraktijken, en al helemaal niet met terroristische activiteiten. Ook een datalek, een gehackte website of social media account wil je voorkomen.
Het belang van compliance en risicobeheersing wordt dus door iedereen wel erkend. En daar waar het ook een direct commercieel belang dient, is het ook makkelijk om na te leven. Een goed voorbeeld is kredietrisico: dit is goed afgedekt, want als het daar mis gaat kost het jou als bank of verzekeraar direct geld. Andere regels zijn lastiger na te leven, omdat het soms indruist tegen de commerciële belangen. Lees daar meer over in ons blog over de uitdagingen bij het implementeren van Know Your Customer-processen.
Waarom ervaren veel instellingen het strenge toezicht als last?
Er zijn meerdere redenen aan te wijzen waarom banken en verzekeraars de strenge wet- en regelgeving als een last, of een noodzakelijk kwaad ervaren.
Implementatie en uitvoering is lastig
- De toezichthouder weet ook niet altijd exact wat het resultaat van de regelgeving zal zijn, welk inzicht ermee wordt verkregen. Voortschrijdend inzicht zorgt daardoor vaak voor wijzigingen, en die moeten dan vervolgens ook weer geïmplementeerd worden in de organisatie.
- Veel richtlijnen zijn op verschillende manieren te interpreteren. De richtlijn is er wel, maar die is soms lastig te vertalen naar de eigen organisatie. De toezichthouder geeft hier vaak te weinig duiding. Hij zal niet snel zeggen “het is goed zo”. Dus wanneer is goed dan ook echt goed? Dat blijft vaak gissen. En dus worden de regels weer aangepast zodra zich iets voordoet.
- De rapportages vergen heel veel tijd en energie.
Organisatorische uitdagingen
- Financiële instellingen zijn grote logge organisaties, met veel verschillende schijven en bestuurslagen.
- Er is vaak geen zicht op het totale plaatje, waardoor niemand zich ook echt verantwoordelijk voelt.
- Veel organisaties worstelen met de vraag waar de integriteitscontroles organisatorisch moeten worden neergelegd. Van wie is de klant? Wie draagt de verantwoordelijkheid voor de integriteit van die klant? Is het de afdeling “Klanten”, bij wie hij zich aangemeld heeft als nieuwe klant? Of is het de afdeling “Hypotheken”, “Sparen” of “Schadeverzekeringen”, omdat hij die producten afneemt? Moet het centraal worden gecontroleerd, per afdeling, wie is verantwoordelijk?
- Compliance botst vaak met de businessdoelen. En commerciële doelstellingen (targets) prevaleren toch vaak boven naleving van de regels. De afdeling compliance wordt daarom vaak gezien als sluitpost (het levert geen omzet op), wat vaak resulteert in te weinig personeel om het werk écht goed te kunnen doen.
- Uitgebreide klantscreenings vertragen het proces en ‘verpesten’ de customer journey. Daarmee druisen ze in tegen het commerciële gevoel van veel medewerkers.
- Hoewel iedere financiële instelling het belang van compliance onderschrijft, zijn veel compliance afdelingen toch ooit opgericht omdat dat nou eenmaal moest. Het kost geld en het naleven blijft lastig, vanwege alle uitdagingen die erbij komen kijken.
- Er zijn inmiddels zoveel regels dat het ondoenlijk is geworden om ze alleen over te laten aan de afdeling compliance.
Hoe zorg je op een goede manier voor compliance?
Hoe overwin je bovenstaande uitdagingen? Hoe zorg je er nou voor dat aan alle wet- en regelgeving wordt voldaan zonder dat dit commerciële doelen schaadt? Dat begint bij een juist klimaat voor risicobeheersing binnen de instelling. De verantwoordelijkheid hiervoor moet expliciet binnen de raad van bestuur worden belegd. De tone at the top is bepalend voor de mate waarin de organisatie moeite doet om de regels na te leven. Het naleven van regels moet in de genen van de organisatie komen, met name daar waar het werk gedaan wordt en/of de besluiten worden genomen. Daarnaast is het belangrijk dat er controles worden ingebed op de juiste plekken in de processen.
Hulp nodig?
Kun je hier hulp bij gebruiken? Accedis helpt je graag bij het vertalen van de wetgeving naar duidelijk beleid. Ook helpen we bij het vormgeven van het beleid in werkinstructies, processen en IT-systemen. Inclusief controles op de juiste plekken in het proces. Neem contact met ons op via info@accedis.nl of bel 023-5627555.
- Accedis levert als detacheringsbureau diensten op het gebied van informatievoorziening. Deze blog is opgesteld op basis van een interview met Hans van Agten. Hans is business consultant bij Accedis en heeft jarenlange ervaring met veranderingsprocessen bij banken en verzekeraars -