Banken staan tegenwoordig onder scherp toezicht, wat je onder andere terugziet aan de vele nieuwe en veranderende eisen die worden gesteld aan datahuishouding (data compliance) en rapportages. De invloed en eisen van de regelgeving zijn merkbaar in de gehele keten. Om de datahuishouding op orde te houden is daarom goede besturing nodig.
Om compliant te blijven, is het noodzakelijk om het IT- en datalandschap continu te onderhouden en op de toekomst voor te bereiden. Maar het vinden van mensen met een sterk dataprofiel is erg lastig. Hoe ga je als bank om met deze uitdagingen?

De grote thema’s op IT- en datagebied voor banken zijn nu met name gericht op beheersing van kredietrisico (IFRS9, Basel IV, AnaCredit, Residential Real Estate (RRE)), op het vergroten van transparantie en vertrouwen in de sector (MIFID II, DGS, BRRD), op het opsporen en voorkomen van fraude (AML, Verwijzingsportaal Bankgegevens) en op de bescherming van privacy (AVG). Het lijkt al heel wat, toch vormt dit slechts het topje van de ijsberg aan regelgeving waarmee financiële instellingen de afgelopen paar jaar te maken hebben gekregen.

Bij al deze nieuwe en gewijzigde regelgeving is duidelijk merkbaar dat de snelheid, de omvang en de mate van detail van rapportages sterk stijgt. De toezichthouders verleggen het accent steeds meer naar het leveren van data in plaats van naar het leveren van rapporten, met als gevolg dat datakwaliteit een steeds grotere uitdaging vormt. Toezichthouders gaan steeds meer letten op de plausibiliteit van gegevens, de samenhang met vorige- en andere rapportages en de samenhang met de rest van de sector. Bovendien worden deze datakwaliteitscontroles steeds meer geautomatiseerd uitgevoerd, wat natuurlijk de snelheid enorm verhoogt. Tegelijkertijd gaat de tolerantie omlaag als niet aan de (data)eisen wordt voldaan, er wordt namelijk gewoon verwacht dat dit op orde is. Zo krijgen toezichthouders ook steeds meer grip op het proces dat tot de rapportages leidt.

Een van de grote uitdagingen is het verkrijgen van voldoende begrip van de inhoud en samenhang van wat er moet worden gerapporteerd. Dat klinkt als een open deur, maar de realiteit is dat het efficiënt organiseren van deze functie niet meevalt. Naast diepgaande kennis van de regelgeving en rapportage zelf en kennis van de organisatie, is begrip op het niveau van de data en de verwerking daarvan een steeds belangrijker onderdeel.

Het vereist dat de mensen die verantwoordelijk zijn voor de inrichting van (nieuwe) rapportages sterk ontwikkeld zijn op diverse aspecten van data en de verwerking ervan. Vanaf het moment dat de data ontstaat tot en met het moment waarop deze gerapporteerd wordt. Deze mensen moeten een brug kunnen slaan tussen wat gevraagd wordt, de vorm waarin het geleverd moet worden, de mate waarin de vereiste data beschikbaar is en wat ervoor nodig is om de data te ontsluiten of aan te vullen.

Data & Reporting afdeling

Deze ontwikkeling – de grote(re) behoefte aan het begrijpen van de data binnen compliance en regulatory reporting – leidt ertoe dat de verantwoordelijke afdelingen bij banken zich steeds meer zullen moeten ontwikkelen tot een Data & Reporting afdeling. Dat vereist andere profielen dan de traditionele profielen voor rapportage-afdelingen. Bovendien ontstijgt de verantwoordelijkheid het afdelingsniveau. Voor het creëren en beheren van wat gerapporteerd wordt is immers de hele organisatie verantwoordelijk!

Door de hele organisatie heen zal iedereen meer begrip moeten krijgen van wat hun invloed en impact is op data. Dit zien we de laatste tijd bij diverse banken al gebeuren , onder andere bij ING en De Volksbank. Zo biedt ING ruime opleidingsmogelijkheden voor eigen medewerkers op het gebied van data en analytics (link) en heeft bij De Volksbank de afdeling die verantwoordelijk is voor Regulatory Reporting ook een Data en Analytics team gecreëerd (link). Door dit breed uit te voeren bij meerdere of zelfs bij alle afdelingen, vergroot je niet alleen significant het begrip van data, maar zal men ook de impact van werk en wijzigingen op data beter begrijpen. Dit leidt tot een meer vruchtbare bodem voor het voorbereiden op nieuwe wet- en regelgeving met impact op data.

Goede organisatie

Een andere uitdaging is dat de invloed van regelgeving steeds sterker merkbaar is in de gehele keten van dataverwerking. Vroeger waren de rapportage-eisen nog meer ‘form-based’, oftewel voorgedefinieerde formulieren die met geaggregeerde standen gevuld moesten worden. Nu is het steeds vaker een vereiste dat complete gegevensverzamelingen worden opgeleverd (bijvoorbeeld in AnaCredit, DGS en RRE), die door de toezichthouders individueel en in samenhang worden beoordeeld. Met daarnaast korte rapportagetijdlijnen, geautomatiseerde controles en lagere fouttolerantie zullen alle processen en systemen die leiden tot deze rapportages al rekening moeten houden met wat er aan het einde van die keten gerapporteerd moet worden. Als dit niet wordt georganiseerd, volgt er bij rapportage een bijna onmogelijke taak om – onder druk van deadlines van de toezichthouder – de verplichtingen na te kunnen komen.

Keten compliance by design

Deze nieuwe stijl van rapportage-eisen, grote volumes aan data in combinatie met de hoge kwaliteitseisen en korte tijdlijnen, maken duidelijk dat hiermee in de gehele keten van dataverwerking rekening gehouden moet worden. Of anders gezegd, de keten(s) moeten zo georganiseerd worden dat deze meer ‘compliance by design’ zijn. Dit kan onder andere worden gedaan door het toepassen van een goede data architectuur. Deze kan helpen om gegevensstromen te stroomlijnen en over afdelingen heen te organiseren. Er is geen ruimte voor denken in silo’s, aangezien alle informatie in een consistente en coherente dataset bij elkaar moet komen. De data houdt zich niet aan de grenzen van afdelingen.

Ook het organiseren van goede definities is hierbij van groot belang. Zonder ingevulde betekenis van de eigen data en begrip van de betekenis die toezichthouders eraan toekennen kan onmogelijk worden voldaan aan die eisen. Dan weet je immers niet wat je hebt, of dat is wat je nodig hebt of zijn er tegenstrijdige invullingen. Definities helpen tevens om een standaard of norm te bepalen, waaraan de aanwezige data getoetst kan worden. Dit kan bijvoorbeeld dan al bij de invoer van data worden gedaan, of kan helpen bij het gecontroleerd overgaan van data van één omgeving of verantwoordelijkheid naar een andere.

Besturingsmodel met duidelijke verantwoordelijkheden

En dan is er nog de grote uitdaging om data governance goed in te richten. Dit gaat over het geheel aan afspraken om deze data ook echt als ‘key asset’ te beheren en beheersen. Niet alleen het op orde krijgen maar ook het op orde houden van de datahuishouding is hier de belangrijkste prioriteit. Data en verwerking worden van oudsher nog vaak als een IT-uitdaging gezien, terwijl deze data eigenlijk een weerspiegeling van de business is.

Een goed ingevoegd besturingsmodel is cruciaal om mensen, processen en technologie samen te laten werken, zodat vanuit een goed fundament de huidige en toekomstige rapportage-eisen ingevuld kunnen worden. Vanuit toezichthouders wordt goede governance van banken verwacht, bijvoorbeeld in BCBS239 – of Principles for Effective Risk Data Aggregation and Risk Reporting – waarin duidelijke verwachtingen staan ten aanzien van data governance en de rol van het (senior) management daarin.

Voor banken is het daarom noodzakelijk om een goed besturingsmodel in te vullen. Belangrijk hierin is onder andere het duidelijk maken van ieders verantwoordelijkheden in de verwerkingsketen. Dit is niet gericht op verantwoording, maar gericht op het bereiken van transparantie. Als er problemen zijn met de te rapporteren data, helpt het immers niet als onduidelijk is bij wie je voor dat probleem moet zijn. Hierbij gaat het zowel om procesverantwoordelijkheid als dataverantwoordelijkheid. Denk bij dit laatste bijvoorbeeld aan het benoemen van dataeigenaren en databeheerders (of data-stewards).

Ook is het van belang om bij alle deelnemers aan de keten het risico-bewustzijn te vergroten. Denken vanuit een toezichthouder kan helpen. Zij krijgen een grote en gedetailleerde dataset, hoe kunnen we hen overtuigen dat waar ze naar kijken compleet en juist is?
Hoe kunnen we problemen met het samenstellen van de rapportage voorkomen (proces)? Hoe kunnen we problemen in de data zelf voorkomen? Dit is niet een verantwoordelijkheid van degene die het rapport heeft verzonden, maar van alle betrokkenen.

Door diverse controls in de gehele keten in te richten en daar duidelijke verantwoordelijkheden aan te verbinden, kan de keten veel soepeler en sneller naar het eindpunt stromen.

De juiste mix vinden in een dynamisch speelveld

Niemand zal beweren dat het vinden van de juiste aanpak en het maken van de juiste keuzes op het vlak van compliance en regulatory reporting in de bankenwereld eenvoudig is. Alles draait om het vinden van de juiste mix tussen mensen, processen, techniek en besturing.

Aangezien het inrichten mensenwerk is en iedereen in daar een aandeel in heeft, is het van belang om de data awareness en -kennis binnen de gehele organisatie naar een hoger niveau te brengen.

Qua procesinrichting is het te adviseren ketens zo aan te passen of in te richten dat van het begin af aan rekening gehouden wordt met compliancy en regulatory reporting. Dit kan bijvoorbeeld door het toepassen van een goede data architectuur.
Met betrekking tot besturing is het van belang om te zorgen voor duidelijkheid, bijvoorbeeld door goed gedefinieerde verantwoordelijkheden binnen het data landschap zoals het benoemen data-eigenaren. En dan hebben we ook nog te maken met een dynamisch speelveld: zowel de ingrediënten van die mix, als de eisen waaraan voldaan moet worden, ontwikkelen zich in de loop der tijd. Rekening houden met verandering is daarom een cruciaal onderdeel van de juiste besturing en vraagt overigens ook het nodige van de mensen en de techniek.

Ondanks deze uitdagingen zullen de inspanningen er maximaal op gericht moeten zijn om te slagen. Banken die op dit thema onvoldoende grip hebben, zullen het steeds lastiger krijgen om te kunnen voldoen aan de eisen van de toezichthouders en zullen de kosten voor deze inspanningen zien stijgen.

Artikel is door Pascal Snijders in co-creatie geschreven met Ronald Kunenborg. Beiden actief met inrichting van data compliancy vraagstukken bij banken en verzekeraars.

meer over dit onderwerp