‘Data driven compliance’ - van detecteren naar voorspellen

Data driven compliance is een steeds bekender ‘buzzword’. En dat is niet gek, want data driven compliance heeft financiële instellingen veel te bieden. ‘Compliance’ komt in de praktijk vooral neer op het beheersen van compliance-risico’s in de breedste zin van het woord. ‘Data driven’ wijst op het gebruik van grote hoeveelheden data om compliance binnen een organisatie te kunnen aan te tonen en te beheersen.

Een groot deel van de complexiteit en inspanning die het kost om de naleving van wet- en regelgeving te toetsen ontstaat doordat er in compliance silo’s wordt gewerkt. Data driven compliance kan het welbekende silo-denken en werken voorkomen. Bij data driven compliance wordt gebruik gemaakt van geaggregeerde data op organisatieniveau, zodat organisatie-brede inzichten worden verkregen.

Wat bedoelen we precies met data? Data is informatie die digitaal kan worden verwerkt of verplaatst door middel van digitale technologieën. Deze technologieën kunnen bijvoorbeeld, in combinatie met data-analyse, gebruikt worden om kwaadwillende (potentiële) klanten te profileren, traceren en gerelateerde risico’s (zoals fraude, witwassen of terrorisme) te mitigeren. Kortom, data heeft de potentie om efficiënt het compliance niveau van een financiële instelling te waarborgen.

Als organisaties zich laten leiden door data, kan dit leiden tot minder complexiteit. De organisatie, en in het bijzonder de compliance afdeling, wordt dan niet meer gedreven door verschillende thema’s (zoals AML of AVG) uitgevoerd of behandeld door verschillende compliance-experts (silo-structuur), maar door inzicht en overzicht dat gecreëerd wordt door data-analyses vanuit verschillende invalshoeken (bijvoorbeeld vanuit verschillende afdelingen). Kortom: gecombineerde data als drijvende kracht om continu ‘in control’ te zijn. Het koppelen van databronnen en het analyseren van die gecombineerde data zorgt voor meer focus op nieuwe en tot op heden wellicht onvoorziene risico’s.

Kortom: gecombineerde data als drijvende kracht om continu ‘in control’ te zijn.

Gegevensgericht toetsen en monitoren van bijvoorbeeld transacties, processen en communicatie staat centraal bij data driven compliance. ‘Risico-gebaseerd’ monitoren wordt hierdoor objectiever, waardoor compliance naar een hoger niveau wordt getild. Integratie is daarbij belangrijk. Door gebruik te maken van data-analyse kunnen verschillende databronnen op een inventieve wijze gekoppeld worden. Compliance data, security incidenten, nieuwsberichten en de effectiviteit van beheersmaatregelen kunnen aan elkaar gelinkt worden, waardoor belangrijke strategische inzichten kunnen worden gegenereerd.

Data driven compliance kan zorgen voor de omslag van een ‘detecterende’ naar een ‘voorspellende’ compliancefunctie. In plaats van te reageren op gebeurtenissen uit het verleden, zal de compliancefunctie dan steeds meer gaan acteren op voorspellingen op basis van data.

Financiële instellingen hebben vaak voornamelijk oog voor de bekende risico’s waardoor er weinig aandacht en tijd overblijft voor de onbekende – maar wel belangrijke – risico’s. De focus moet liggen op de staart van een normaalverdeling. De risico’s met de grootste kans – het midden van de normaalverdeling – zijn bekend en bestaande controles zijn daarop ingericht. In de staarten van de normaalverdeling (aan beide kanten) schuilt het gevaar.

De risico’s aan de linker staart van de normaalverdeling hebben een potentieel lage impact. Hier kan data de identificatie van bestaande lage risico’s optimaliseren, wat kan leiden tot een kostenbesparing. De rechter staart – de risico’s die weinig voorkomen maar met potentieel een oneindig grote impact – dient meer aandacht te krijgen. Door veel data te gebruiken kan het onbekende inzichtelijk worden gemaakt. Er kan meer aandacht worden gegeven aan ‘zelden voorkomende toekomstige compliance-risicoscenario’s met een potentieel grote impact’.

Hoe transformeer je de compliancefunctie van jouw organisatie naar een data driven mindset en werking?

1. Ontwikkel een overkoepelend control framework met integrale benadering vanuit een dataperspectief.
2. Bied compliance medewerkers cursussen en opleidingen op het gebied van data-analyse. Bij veel organisaties wordt de bestaande kloof tussen IT en compliance steeds groter, omdat de compliancefunctie de ontwikkelingen op IT-gebied niet bijhoudt. Probeer deze kloof te verkleinen.
3. Doorbreek de silo- of eilandcultuur binnen de compliancefunctie. Data-analyses dienen de gehele context te bevatten en niet de ‘tunnelvisie’ van specifieke compliance-thema’s.
4. Zorg dat de organisatie beschikt over voldoende adequaat geschoold en ervaren personeel. Een brede set aan vaardigheden is nodig om data correct te beveiligen, scannen, indexeren, zoeken, opslaan, ordenen, distribueren en bewerken en om de bevindingen van de data-analyse overzichtelijk te visualiseren en communiceren. Het schaap met vijf poten bestaat niet; multidisciplinaire teams zijn dan ook het sleutelwoord.
5. Wees kritisch ten opzichte van de vergaarde data – en met name de kwantiteit ervan. Meer data betekent namelijk niet per definitie betere kwaliteit. Vaak leidt dit juist tot ruis, en dus slechtere kwaliteit.
6. Plaats het gebruik van technologieën binnen de algehele organisatiestrategie – en zie het niet als ‘add on’.

Het gebruik van compliance software zoals Ruler kan helpen de compliancefunctie meer datagedreven te maken. Met Ruler heb je niet alleen alle informatie over (veranderingen in) relevante wet- en regelgeving in één overzicht, waardoor je eerder voorbereid bent op aankomende veranderingen. Je kunt ook risicoanalyses maken, beheersmaatregelen koppelen aan nieuwsitems en de effectiviteit van het gekozen beleid monitoren. Doordat alle informatie aan elkaar wordt gelinkt, ontstaat meer overzicht en kun je tot belangrijke strategische inzichten komen.

Wil je zelf ervaren wat Ruler voor jouw organisatie kan betekenen? Lees dan meer over Ruler of vraag geheel vrijblijvend een demo aan.