Hoe houd je toezicht op digitale transformatie bij financiële instellingen?
Digitale transformatie heeft de laatste jaren grote impact gehad in de financiële sector. Banken, verzekeraars en in mindere mate ook pensioenfondsen zijn volop bezig met digitalisering en merken de invloed van bigtechs en fintechs in hun sector. Mede hierdoor verandert het risicobeeld van deze organisaties, neemt het toezicht toe en moet zwaar geïnvesteerd worden in risicobeheersing en compliance. Casper Hermans, partner IT Risk Assurance BDO, geeft antwoord op de vraag: Hoe moet een commissaris omgaan met digitale transformatie in het toezicht op een financiële instelling en waarop moet gelet worden?
Hoe ziet digitale transformatie er binnen de financiële sector precies uit? Volgens Casper Hermans, partner IT Risk Assurance van BDO, gaat het vooral om het beter, breder en sneller bedienen van klanten, het vergroten van markten of het efficiënter inrichten van je operatie met behulp van technologie: “Organisaties proberen om de interne bedrijfsvoering en (klant)processen efficiënter of anders in te richten met behulp van technologie. Binnen de financiële sector vind je de meest zichtbare voorbeelden in de klantgerichte processen en diensten. Denk aan je banking-app, betalen met je mobiel, maar ook declaraties via je zorg-app of schademeldingen met een foto via een app. Dat zijn enkele bekende voorbeelden waarbij je nieuwe vormen van technologie toepast die de propositie van financiële instellingen richting de consument of interne gebruiker versterken en aan de andere kant de interne operatie ontlasten, zoals callcenters.”
Bigtechs en fintechs
Een aantal belangrijke ontwikkelingen speelt in de financiële sector een rol, volgens Hermans: “Aan de ene kant zie je dat consumenten heel erg verwend zijn door wat partijen als Facebook en Google doen. Op het moment dat je iets zoekt, is het meteen digitaal beschikbaar. Sterker nog: bigtechs weten vaak op basis van data waarover zij beschikken, dat mensen een bepaalde latente behoefte hebben, nog voordat men dit zelf weet. Je ziet dat allerlei toepassingen die ontwikkeld worden nu ook naar de financiële industrie komen, omdat organisaties in deze sector hun klanten beter willen bedienen. Daar ontstaan ook de fintechs die specifieke behoeften invullen, denk aan een iDeal of Tikkie, PayPal voor consumenten en Adyen, Mollie als betaalplatformen voor zakelijk gebruik. De financiële sector kent daardoor veel nieuwe toetreders, die onder de PSD2-wetgeving ook een plaats hebben in het ecosysteem.” (PSD2 is de nieuwe Europese wet (richtlijn) voor het betalingsverkeer van consumenten en bedrijven (red.))
Financiële organisaties moeten steeds meer investeren in risicobeheersing
Anderzijds hebben traditionele financiële instellingen het lastig. Hun verdienmodellen worden geraakt door de structureel lage rentestanden en de hoge kosten van hun enorme legacy: een verouderd IT-landschap met applicaties, dat soms wel veertig tot vijftig jaar bestaat en waarvan niemand nog precies weet hoe het werkt en welke risico’s er mogelijk uit kunnen komen. Hermans: “Dit geldt vaak ook voor de operationele processen. Er zijn dermate complexe processen en afdelingen opgetuigd, die bovendien regelmatig worden gereorganiseerd, dat overzicht en inzicht zeker op detailniveau vaak ontbreekt.” Deze legacy kent nog een ander probleem, namelijk dat informatie over producten, klanten en geldstromen vaak slecht of niet inzichtelijk is, met alle risico’s van dien. “Zeker de laatste jaren zijn er veel berichten verschenen over al dan niet bewuste ondersteuning van illegale of criminele klant(en)transacties. Het zorgt er overigens ook voor dat innovatie, toepassingen van technologie vaak beter ‘aan de randen van de organisatie’ of buiten de organisatie ontwikkeld kunnen worden. Tel daarbij op de toenemende compliance-druk vanuit toezichthouders als DNB, EBA en EIOPA, waarbij ook steeds meer naar technologie-aspecten wordt gekeken, zoals bijvoorbeeld uitbesteding en security.” Kortom, financiële organisaties moeten als gevolg van nieuwe (onbekende) technologie, nieuwe dienstverleners en leveranciers, interne uitdagingen en druk van de toezichthouders, steeds meer investeren in risicobeheersing.
Risicobeeld verandert
In abstracte zin zijn twee belangrijke risico’s te noemen die voor financiële organisaties van belang zijn bij digitale transformatie. “Vroeger was het zo dat IT losstond van de operatie. Interne beheersing van IT ging toen meer over welke rechten mensen hebben en of de continuïteit gewaarborgd was door het maken van back-ups, dat soort zaken. Nu zie je dat volledige processen en afdelingen gedigitaliseerd worden. Dat betekent ook dat de technologie zelf, op basis van parameters die jij als organisatie ingeeft, belangrijke delen van het werk uitvoert. Als organisatie moet je dan wel weten dat de technologie ook daadwerkelijk doet wat je wilt of verwacht.”
Een ander aspect is de verandering van de beheersbaarheid van je IT-omgeving. “Applicaties draaien in clouds van Amazon (AWS), Microsoft (Azure) of Google, deels bij eigen of andere datacenters en deels zijn ze ook eigendom van andere partijen. Het digitale ecosysteem van financiële organisaties is nu veel groter dan vroeger. Daarmee is het ook veel interessanter voor hackers geworden. Van welke vorm er ook sprake is, het is de verantwoordelijkheid van de financiële organisatie om regie op de IT-omgeving te houden. Toezichthouders richtten zich daarbij voorheen vooral op de financiële instellingen zelf en niet per se de hele keten daarachter. De laatste tijd zien wij echter dat toezichthouders zelf ook meer inzicht willen in de integrale kwaliteit van security en outsourcing. Als zij namelijk alleen toezicht zouden houden op de banken zelf, missen ze een groot deel van het ecosysteem.”
Veranderingen op het gebied van audit en assurance
Met de toename van digitalisering binnen financiële instellingen worden assurance en de rol van IT-beheersing steeds nadrukkelijker van belang. Doordat technologie een meer centrale plaats inneemt in businessmodellen en in de operatie, raken audits vaak meerdere IT-aspecten. Hermans: “Sterker nog: Enterprise Risk Management en daarmee de toetsende rol van audits zonder een geïntegreerde digitale-component kunnen mijns inziens niet meer in de financiële sector. Meer dan in andere sectoren draait het hier om technologie, data, security, wereldwijde ecosystemen en omvangrijke risico’s en opbrengsten. Als ik naar IT-audit in brede zin kijk, dan is er altijd aandacht voor het proces, voor IT en voor mensen in de organisatie.” Hermans ziet de laatste jaren dat de vraagstukken breder worden. Van sec interne beheersing op (vaak) interne IT-beheerprocessen als logische toegangsbeveiliging, wijzigingsbeheer en continuïteit, wordt nu in brede zin gevraagd naar de kwaliteit van governance, operationele processen (inclusief uitbesteding), toepassing van technologie, security en de cloud. “Een auditor moet tegenwoordig inzicht kunnen geven in de kwaliteit van een proces met veel meer risico-aspecten en over een gehele keten van interne en externe afdelingen en bedrijven. Het proces is inmiddels een volledig geïntegreerde keten. Ook zien we meer behoefte ontstaan aan assurance over technologische principes als robotics (RPA), kunstmatige intelligentie (AI) en blockchain.” Bij technology assurance, bijvoorbeeld bij het beoordelen van AI, wordt gekeken naar hoe een bepaalde query eruitziet en wordt minder gebruikgemaakt van de traditionele mix van control testing, interviews en het doornemen van beleidsstukken. “We testen dan of het proces dat wordt doorlopen op basis van de input, daadwerkelijk loopt zoals je verwacht. Kan het met die input dat proces inderdaad doorlopen? Of kan het ook tot een heel ander resultaat leiden wat niet wenselijk is? Je gaat veel technischer kijken hoe iets loopt en of daadwerkelijk dat gebeurt wat jij als organisatie denkt en wenst. Dat vraagt ook om een ander soort mensen die (interne) audits uitvoeren.”
Goed luisteren naar de antwoorden
Wat betekent digitale transformatie voor het toezicht van een commissaris op een financiële instelling? Moet hij/zij andere vragen stellen aan het bestuur? Hermans: “Ik denk dat de vragen op hoofdlijnen - in termen van risicobeheersing - niet heel veel anders zijn. Wel is het zo dat door digitale transformatie bedrijfsmodellen en bedrijfsprocessen verschuiven en daarmee ook de aard van de risico’s. Technologie/IT is van oudsher een onderbelicht onderwerp in (strategische) risicoanalyses. Voor commissarissen is de noodzaak daarmee evident om vast te stellen of het bestuur/de organisatie afdoende inzicht in en grip op de technologische kant (van de risico’s) heeft. Hoe zorgt het bestuur dat (technologische en security-)risico’s worden afgedekt? Zijn bij de inschatting van de risico’s ook technologische componenten in acht genomen? Is kennis van technologie ook geborgd binnen de risicoanalyse? Zijn de antwoorden die bestuurders geven ook de juiste dingen waar zij mee bezig moeten zijn? Je moet als commissaris beseffen dat financiële instellingen, met name banken, gewoon technologiebedrijven zijn geworden.” Daarnaast is het goed om te beseffen dat met toepassingen van technologie de kleinste detailaspecten/componenten in potentie grote impact kunnen hebben.
Zorg voor techprofielen in de rvc
Hermans vult aan: “Zorg dan ook dat je je verdiept in technologie. Thema’s als security, cloud, digitalisering, outsourcing, privacy, datamanagement, zijn inmiddels hoekstenen van de bedrijfsvoering. In deze branche word je gedwongen tot een digitale transformatie; als je als organisatie niets doet op dit gebied, dan ben je binnenkort niet meer relevant. Echter, als je door een gebrek aan kennis de verkeerde keuzes en inschattingen maakt, dan zal dit enorme impact hebben. Haal kennis van buiten naar binnen en zorg dat je op basis van een gedegen risicoanalyse waar nodig diepgaande onderzoeken uitvoert om echt inzicht en grip te krijgen. Zeker in het proces van digitale transformatie moet de commissaris directer betrokken zijn. Daarnaast is het aanbevelenswaardig om ook binnen de raad van commissarissen een of meerdere techprofielen te hebben. Zorg ook dat bovenstaande thema’s afdoende verankerd zijn in de Internal Audit kalender en challenge en vraag als rvc ook de externe accountant om vanuit zijn expertise inzicht te geven in deze onderwerpen. Dat helpt echt om beter zicht te krijgen op de risico’s die digitale transformatie met zich meebrengt.”
Casper Hermans is partner IT Risk Assurance bij BDO en richt zich op het beoordelen van en adviseren over complexe IT-projecten, IT-systemen en IT-beheeromgevingen vanuit risicobeheersings- en compliance-perspectief. Hij heeft jarenlange ervaring met het uitvoeren van IT-/security audits, onderzoeken en implementatietrajecten op het gebied van IT bij corporate clients, met name in de financiële sector.
Meer informatie
Heeft u naar aanleiding van dit artikel vragen of wenst u meer informatie? Neem dan contact op met Casper Hermans, via casper.hermans@bdo.nl of 030 284 98 00.