Datagedreven toezicht heeft de toekomst

Foto Rini van Ooijen MSc
Auteur: Rini van Ooijen MSc
senior expert Datagedreven werken
Inhoudsopgave

Eens per vier jaar publiceert De Nederlandsche Bank zijn visie op toezicht. Voor de periode 2018-2022 wil DNB met datagedreven toezicht vooral inspelen op technologische vernieuwing. Tevens wil de toezichthouder sturen op toekomstgerichtheid en duurzaamheid. Streng zijn op financieel-economische criminaliteit is een derde speerpunt. Tegelijkertijd wil DNB toegroeien naar een meer proportioneler toezicht en meer uitleg geven over onderzoeken. Rini van Ooijen, associate partner bij Passionned Group, werkte bij verschillende banken en geeft commentaar op enkele van deze ambitieuze plannen. “Op de werkvloer overheerst vooral de regelmoeheid”, zo constateert hij nuchter.

Tsunami van wet- en regelgeving

Regelmoeheid is een term die makkelijk appelleert aan het heersende sentiment dat banken de laatste tien jaar zijn overspoeld door een tsunami van wet- en regelgeving. Maar waar hebben we het eigenlijk over? Van Ooijen somt de belangrijkste (lopende) wet- en regelgevingstrajecten moeiteloos op. En dan blijkt de enorme omvang van de rapportagelast.

Het gaat al snel om duizenden formulieren en templates

Wat te denken van de aanpassing van de risicoweging binnen het Basel 3-raamwerk, ook wel Basel 3.5 genoemd, de Europese betaaldienstenrichtlijn PSD2, de nieuwe boekhoudkundige regels IFRS9 voor financiële instrumenten en de onlangs ingevoerde Europese privacywetgeving zoals vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Maar ook geïmplementeerde projecten zoals MiFID II en AnaCredit, hebben nog steeds impact op de dagelijkse operatie van bankmedewerkers op riskmanagementafdelingen. Van datagedreven toezicht lijkt geen sprake.

Rupsje-nooit-genoeg

De European Banking Authority (EBA) houdt op Europees niveau toezicht om de financiële stabiliteit in de EU te handhaven en heeft als doelstelling te zorgen voor een goed werkende bankensector. De EBA stelt onder andere templates op die banken moeten invullen en aanleveren aan de toezichthouders. Het gaat om vele honderden templates.

De toezichthouder gedraagt zich als een rupsje-nooit-genoeg

Van Ooijen schetst in een notendop het spanningsveld: “De EBA hanteert in zijn templates vaak andere definities dan banken in de verschillende bronsystemen gebruikt. Om de gevraagde gegevens aan te kunnen leveren, zijn veel aanpassingen nodig waardoor projecten vaak lange doorlooptijden hebben. De toezichthouder gedraagt zich daarbij als een rupsje-nooit-genoeg en vraagt steeds meer gegevens. Banken hebben een portfolio van vaak tientallen projecten om te kunnen voldoen aan de eisen van de toezichthouders. Prioritering en afstemming tussen de projecten is dan van levensbelang.”

Definitie van default

“Momenteel ben ik als business analist intensief betrokken bij de harmonisering van de definitie van ‘default’, een initiatief van Europese Commissie en de EBA. Oftewel: wanneer kan een klant niet meer aan de betaalverplichtingen voldoen. Het is belangrijk dat banken daarvoor voldoende voorzieningen treffen en de toezichthouders controleren daarop. Op Europees niveau worden daarvoor nu consistente, uniforme regels opgesteld. Het gaat daarbij overigens niet alleen om wanbetalers, maar ook als een bank voorziet dat de klant een lening niet kan terugbetalen (‘unlikely to pay’) moeten daar al reserveringen voor gemaakt worden. Die uniforme definitie gebruiken banken dan voor het risicobeleid, met name het inschatten van kans op wanbetaling (‘probability of default’). Banken gebruiken hiervoor vele voorspellende modellen en die zullen zij door de wijziging van de definitie allemaal moeten bijstellen.”

Datagedreven toezicht geeft recht van spreken

Als het gaat om datawarehouses, dan kun je bijna niet om Rini van Ooijen heen. Zo ontwierp en bouwde hij mee aan nieuwe datawarehouses voor banken, retailers en overheidsorganisaties. Daarnaast heeft hij ervaring met het migreren van datawarehouses en is hij de aangewezen man om vastgelopen datawarehouse-projecten weer vlot te trekken. Rode draad in zijn carrière zijn de zogenoemde regulatory reporting-projecten die hij als business analist, projectleider en scrummaster begeleidde en aanstuurde. Zijn opdracht bij ING Bank, ABN Amro en Volksbank was om te voldoen aan de eisen van externe toezichthouders, zoals de European Central Bank (ECB) en De Nederlandsche Bank (DNB). Kortom: als er iemand recht van spreken heeft, dan is hij het wel.

Klaagzang is van alle tijden

Het beeld dat banken dreigen te bezwijken onder de accumulerende wet- en regelgeving, lijkt van alle tijden. Gezien de vele projecten die banken hebben opgestart lijkt het of ze alleen nog maar bezig zijn om de toezichthouders tevreden te stellen zo lijkt het, alle mooie ambities en intenties van DNB ten spijt. “Compliance, het handelen in overeenstemming met de wet- en regelgeving, doe je echter niet voor de lol van de toezichthouder, maar uiteraard ook voor de bank, het publieke belang en jezelf”, zo realiseert Van Ooijen zich terdege. Om de context te begrijpen, is het volgens hem zaak om eerst even kort terug te blikken.

Regelmoeheid slaat onverbiddelijk toe in het bankwezen

“De financiële sector heeft het afgelopen decennium een noodzakelijke transitie doorgemaakt naar grotere financiële weerbaarheid. De noodzaak kwam voort uit de grootste financiële crisis sinds de depressie in de jaren dertig van de vorige eeuw. Banken hebben hun kapitaalbuffers versterkt en zijn minder complex geworden door de ontvlechting van verzekeringsonderdelen en de afname van internationale activiteiten. Tegelijkertijd is het bancaire toezicht van nationaal naar Europees niveau getild. De Nederlandse financiële sector lijkt de financiële crisis definitief achter zich te hebben gelaten”, zo kunnen we lezen in het visiedocument van DNB. “Maar nu zien we in de sector een zekere regelmoeheid ontstaan, ook onder invloed van de opgaande conjunctuur”, zo geeft DNB zelf ruiterlijk toe. Het is het vooral zaak om een nieuwe financiële crisis te voorkomen.

Alles is gericht op het voorkomen van een nieuwe financiële crisis

Het prudentieel toezicht van DNB, het bewaken van de solvabiliteit en liquiditeit van banken, verzekeraars, pensioenfondsen, is hier dan ook op gericht. Financiële instellingen moeten voldoende kapitaal aanhouden om schokken op te vangen en tegelijkertijd voldoende liquide middelen in huis hebben om aan de kortetermijnverplichtingen te voldoen. “De vorige crisis begon op de huizenmarkt. Helaas weten we niet in welke sector of geografische regio een eventuele nieuwe crisis de kop op zal opsteken.”

EBA voert stresstests uit

De genoemde regelmoeheid ontstaat volgens Van Ooijen ook omdat de afdelingen riskmanagement waar hij heeft gewerkt met meerdere toezichthouders hebben te maken, die allemaal zo hun eigen eisen stellen en met eigen templates op de proppen komen. Naast DNB is De Europese Bankenautoriteit (EBA) immers ook belast met het toezicht op de banken in de Europese Unie. De EBA is een van de financiële toezichthouders die in 2010 zijn ingesteld naar aanleiding van de economische crisis en de grote begrotingstekorten van een aantal EU-lidstaten. De EBA heeft als hoofdtaak om bij te dragen aan totstandkoming van een gemeenschappelijk Europees ‘rulebook’ voor de bankensector. Hiermee streeft de EBA naar gemeenschappelijke, geharmoniseerde prudentiële regels voor financiële instellingen in de hele EU. Zij heeft daarnaast tot taak de risico’s en kwetsbare aspecten van de Europese bankensector te beoordelen, vooral aan de hand van regelmatige risicobeoordelingsverslagen en pan-Europese stresstests.

Banken zijn uitgegroeid tot technologiebedrijven

Een accumulatie van wet- en regelgeving kan er ook toe leiden dat innovatie in de kiem wordt gesmoord. DNB realiseert zich dat ook en probeert daar zo goed en zo kwaad als het gaat rekening mee te houden.

Robo-finance, robo-advies en robo-audit zijn opkomende trends in de financiële sector

Zo heeft de toezichthouder een InnovationHub opgezet om vragen over toezicht te beantwoorden en biedt DNB maatwerk voor fintechs. Technologische vernieuwing neemt een hoge vlucht binnen de financiële sector. Denk hierbij ook aan opkomende trends als robo-finance, robo-advies en robo-audit. Hierdoor komen nieuwe toezichtvragen op over het gebruik van algoritmes en persoonsinformatie.

Datagedreven toezicht met RegTech

Met RegTech (Regulatory Technology), een nieuw toverwoord, proberen toezichthouders hierop in te spelen. DNB onderzoekt bijvoorbeeld momenteel het gebruik van data en (zelflerende) algoritmes binnen bankinstellingen, de kwaliteit van de gebruikte data en hoe de besturing en het toezicht hierop (de data governance) binnen instellingen is ingericht. De richting van datagedreven toezicht wordt ingezet maar is het genoeg? Innovatieve toepassingen groeien exponentieel, dankzij de grotere beschikbaarheid van data en nieuwe technologieën, zoals machine learning en distributed ledger technology, lees blockchain. Als datamanagement-expert volgt Van Ooijen deze ontwikkelingen uiteraard op de voet. “Banken zijn uitgegroeid tot technologiebedrijven waar data een hoofdrol speelt.” Toch gaat de innovatie in de dagelijkse praktijk volgens hem niet zo snel als je zou verwachten. Dat heeft te maken met het beperkte verandervermogen als organisaties veel legacy systemen hebben. Het vereist veel inspanningen om wijzigingen in bestaande systemen en processen aan te brengen.

Enorme legacy aan systemen

Banken worstelen immers dagelijks met een legacy aan systemen die allemaal nog onderhoud en support behoeven. Uitval van een bepaald systeem betekent volgens Van Ooijen dat mensen acuut van projecten worden afgehaald, waardoor deze projecten stagneren. Een ander zorgpunt zijn de voortdurende deadlines die toezichthouders eenzijdig afkondigen. De impact hiervan op de dagelijkse werkzaamheden is enorm, zo weet hij uit eigen ervaring. Banken krijgen soms inspraak in de rapportagewijzigingen, maar uiteindelijk luidt de boodschap van de toezichthouder: ‘Hier is het template, de richtlijn graag per 1 januari aanstaande implementeren’. Daar zit weinig ruimte tussen. Prioriteiten kunnen stellen en een flexibele instelling zijn daarom onmisbare basiscompetenties om te overleven in het moderne bankwezen. Dat geldt zeker ook voor een externe projectmanager.

Heel vaak moet je toch roeien met de riemen die je hebt

Nieuwe technologie brengt ook nieuwe (operationele) risico’s en toezichtvragen met zich mee. Bijvoorbeeld de vraag hoe om te gaan met de uitbesteding van bedrijfskritische informatietechnologie via clouddiensten. DNB beschouwt cloud computing als een vorm van uitbesteding. En uitbesteding aan derden mag geen belemmering vormen voor toezicht. In 2015 heeft DNB in een brochure hiervoor al richtlijnen gegeven. “Met uitbestedingstrajecten heb ik enkele minder goede ervaringen. Als je taken uitbesteedt aan een externe partij, die vervolgens zelf ook weer uitbesteedt aan een onderaannemer in bijvoorbeeld India, dan verlies je als opdrachtgever het overzicht. Taal- en cultuurverschillen speelden ons toen ook parten.” Een potentiële bedreiging voor banken is dat technologiebedrijven als Apple, Amazon, Facebook en Google met een bankvergunning van DNB ook ‘bankje kunnen gaan spelen’. Van Ooijen vindt het lastig in te schatten hoe realistisch dit scenario is, maar een serieuze bedreiging voor de gevestigde banken is deze ontwikkeling wel.

Datagedreven toezicht in de lift

Toezichthouders willen steeds vaker datagedreven werken, waardoor ze sneller en beter risico’s kunnen detecteren met behulp van data-analyses, effectieve datavisualisaties, nieuwe tools en technologieën zoals natural language processing. DNB experimenteert hier al druk mee. Dit maakt risicogebaseerd toezicht mogelijk, waarbij de toezichtcapaciteit wordt ingezet daar waar risico’s het grootst zijn. Datagedreven werken betekent dat intuïtie (“we vertrouwen erop dat het wel goed zit”) plaats maakt voor de feiten (“we weten dat het goed zit”). Toezichthouders hebben daarom een grotere behoefte aan granulaire informatie (detailgegevens) om het datawarehouse mee te vullen.

Grote behoefte aan granulaire data

Een ander experiment richt zich op het detecteren van netwerken door het gebruik van algoritmes in grote databestanden van geldtransferkantoren. Als het goed is, zou deze manier van werken de rapportagelast voor individuele banken op termijn ook moeten verlichten. Proportionaliteit betekent echter niet minder strenge regels, maar een meer op de omvang en risico’s van de bank toegesneden aanpak. “Deze initiatieven moeten er uiteindelijk voor zorgen dat de werkvloer minder met de waan van de dag bezig is, lees: het tackelen van deadlines”, zo hoopt Van Ooijen van ganser harte.

Datakwaliteit verhogen heeft topprioriteit

Datagedreven toezicht vereist ook dat de toezichthouder krachtiger stuurt op de kwaliteit van data die bankmedewerkers aanleveren. Ook nemen de mogelijkheden toe om de frequentie waarin data worden verstrekt te verhogen. DNB onderzoekt in dit verband de mogelijkheden van real-time toezicht. Van Ooijen toont zich sceptisch als hij met deze laatstgenoemde ontwikkeling wordt geconfronteerd. “De vraag die je zou moeten stellen: hoeveel gegevens heb je nodig en in welke frequentie om goed toezicht te houden. Dan denk ik dat realtime aanlevering van gegevens niet de hoogste prioriteit verdient.”

Projectteams kiezen noodgedwongen voor kortetermijnoplossingen

Over het belang van datakwaliteit wil hij nog wel wat kwijt. “De strakke deadlines waarmee onze projectteams worden geconfronteerd, leiden ertoe dat zij noodgedwongen kiezen voor kortetermijnoplossingen in plaats van structurele oplossingen. De vervanging van het bronsysteem wordt uitgesteld of er wordt gekozen voor een tijdelijke oplossing, waardoor de datakwaliteit afneemt. Dat is natuurlijk niet ideaal, maar dat gebeurt nu eenmaal.” Ook bij het schrijven van software is dit een bekend fenomeen. Men spreekt dan van technical debt.

Groot voorstander van scrum

Met zijn meer dan twintig jaar ervaring weet Van Ooijen als geen ander dat projectmanagement nauw luistert. Projecten mislukken als er onvoldoende managementaandacht is, de juiste skills en projectvaardigheden in het projectteam ontbreken, of als er geen sense of urgency is om daadwerkelijk een probleem op te lossen. Als gecertificeerd scrummaster is hij een groot voorstander van agile werken. “Het voordeel van het tweewekelijkse sprintjes trekken is dat veel eerder aan het licht komt of bepaalde projecten wel levensvatbaar zijn. Bij de traditionele watervalmethode kan er zomaar maanden voorbijgaan voordat de eerste signalen naar buiten komen dat een projectteam op een dood spoor zit. Dat is pure tijdwinst.”

Pas op voor schijnzekerheid

In hoeverre werkt het ’three lines of defence’-model bij banken nu adequaat? In dit model is de bank verantwoordelijk voor de risicobeheersing van de eigen processen. De financiële instelling wordt daarbij ondersteund door de tweede lijn die kaders stelt, de bank adviseert, en bewaakt of de bank binnen deze kaders opereert. De derde lijn is de auditfunctie die vaststelt of het samenspel tussen de eerste en tweede lijn goed functioneert. Dat is de theorie, maar ondanks dit model en de intensivering van het toezicht bestaat volgens Van Ooijen nog steeds het gevaar dat we ons met z’n allen in slaap laten sussen. Hij waarschuwt met name voor de schijnzekerheid die kan ontstaan. “Alle templates zijn immers ingevuld, alle checklists zijn afgevinkt en alle deadlines gehaald. Wat kan ons nog gebeuren? Maar wie garandeert ons dat we de eerste signalen die duiden op een aanstaande nieuwe financiële crisis nu wel op tijd oppikken?”

Conclusie: datagedreven toezicht door AI & machine learning

Nu de toezichthouders een heldere toekomstvisie op hun toezichtstaken hebben ontwikkeld en inmiddels inspelen op technologische vernieuwing door te experimenteren met big data en machine learning, kunnen de grootbanken met goed fatsoen niet achterblijven als het gaat om datagedreven toezicht. Ook de banken zullen een strategie en visie moeten ontwikkelen die hout snijdt en toekomstbestendig is. Een strategiekaart is hierbij een handig instrument. Als banken verzuimen na te denken over hun strategie, dan worden ze vanzelf minder relevant. Ze dreigen dan links en rechts te worden ingehaald door fintechs of branchevreemde aanbieders van bancaire diensten. Het zich verschuilen achter regeldruk, deadlines en legacy-systemen is zonder meer begrijpelijk, maar geeft in die context eigenlijk geen pas.

Bronnen:

  • Proportioneel en effectief toezicht, DNB, mei 2018
  • Visie op toezicht 2018-2022, DNB, november 2017

Bekijk het PDCA-handboek 'Datacratisch werken'

Productafbeelding van het PDCA-handboek 'Datacratisch werken'

Deze organisaties gingen je voor

Word nu ook klant

Wil je ook klant bij ons worden? Wij helpen je maar wat graag verder met datagedreven toezicht en slim sturen of andere zaken waar je slimmer van wordt.

Foto Daan van Beek - Managing DirectorDAAN VAN BEEK MScManaging Director

Neem contact met mij op

Fact sheet

___
klanten geholpen
___
trainingen & workshops
___
mensen opgeleid
8,9
klanttevredenheid
___
consultants & docenten
20
jaar ervaring