Zo verlies je het overzicht niet: 6 compliance-tips voor financiële organisaties
Veel bedrijven ervaren compliance als ‘vervelende’ regelgeving waar je helaas niet aan ontkomt. Daarnaast geeft 67% van de organisaties aan dat compliance steeds complexer wordt. Maar de regels zijn er met een reden: het juiste compliance-framework zorgt voor een stabiele en goed functionerende financiële sector. Dit is enorm belangrijk voor onze economie, en daarom is juist in deze sector de regulering zo streng. In deze blog lees je een aantal praktische tips om succesvol om te gaan met compliance-regels.
Financiële instellingen moeten voldoen aan een groot eisenpakket. Dit brengt uitdagingen met zich mee. Consultant Remy Christiaan is een van de OGD’ers die organisaties hiermee helpt. Hij houdt zich bezig met automatisering binnen consultancy en maakt applicaties met het power platform. Vooral veel financiële organisaties maken gebruik van deze applicaties. “Juist voor deze organisaties is automatisering van groot belang”, vertelt Remy. “Deze organisaties hebben te maken met zeer strenge controleprocessen waar ook nog eens torenhoge boetes op staan. Het kan zelfs oplopen tot enkele percentages van de wereldwijde omzet. Dan wil je wel dat het goed zit met je compliance.”
Leestip: manieren om concurrentievoordeel te behalen in de financiële sector
Toenemende compliance-druk
Financiële organisaties staan onder toezicht van AFM, DNB, FIOD en andere toezichthouders. Remy: “Je hebt als financiële organisatie rapportageplicht en moet verantwoording geven aan de toezichthouders. Dat betekent dat je bij deze instanties snel moet aanleveren wat de stand van zaken is. Je moet je boekhouding in orde hebben voor de Belastingdienst. Ook vindt er controle plaats op grote bedragen, want veel financiële organisaties werken met miljoenenprojecten over de hele wereld. Soms ook in landen die niet in een goed daglicht staan.”
De laatste jaren zijn deze controleprocessen nog strenger geworden. “Al jaren moeten organisaties voldoen aan de strenge controle-eisen van de DNB. Toezichthouders oefenen steeds meer druk uit. De drang naar meer controle over het omgaan met persoonsgegevens en de plichten op het gebied van risicobeheersing lijkt steeds groter te worden. Dit is versterkt door de AVG-wetgeving van een aantal jaar geleden. Je leest geregeld in het nieuws dat financiële organisaties op de vingers getikt worden door de DNB.”
Ook wijst Remy op Digital Operational Resilience Act (DORA). “De technische maatregelen zijn op dit moment nog niet bekend. Maar geen enkele financiële organisatie komt hier onderuit.”
Belangrijke tips
In zijn dagelijkse werkzaamheden adviseert Remy financiële organisaties regelmatig over hun compliance-aanpak. Hij heeft de belangrijkste tips op een rij gezet.
1. Bekijk het complete proces
Wanneer je aan compliance-eisen moet voldoen is het belangrijk dat je het volledige proces onder de loep neemt. De reden waarom je dit doet is dat je medewerkers zo’n compliance-proces altijd eenduidig uitvoeren. Want dat maakt het proces herleidbaar en herhaalbaar is. Daarnaast kost het automatiseren van zo’n proces minder tijd en minder geld. Een andere reden om het complete proces onder de loep te nemen is, is dat je per processtap de verantwoordelijken op de juiste manier betrekt. Een voorbeeld is bij de DORA-wetgeving, waarbij ook c-level betrokken moet zijn.
Remy: “Dit is de moeilijkste stap. Je gaat in gesprek met de mensen die onderdeel van het proces zijn. Je kijkt welke stappen mensen nemen en hoeveel tijd dat kost. Dan kijk je waar het in het proces vastloopt. Pas daarna begin je met automatiseren en het weghalen van overbodige stappen om de doorlooptijd te verkorten. Denk aan zaken als factuurbewerking of audits en controles.”
2. Automatiseer en zorg dat de data op een centrale plek komt
Met automatisering haal je de menselijke fout uit de processen. Remy legt uit: “Financiële organisaties hebben enorm veel controleprocessen. Ze moeten snel verantwoording van data geven op het moment dat een toezichthouder dat vraagt. Ik zie nog vaak dat bedrijven Word- en Excelbestanden over en weer mailen en invullen. Het komt geregeld voor dat slechts één persoon dit beheert. Hier gaat veel mis. De data staat nergens op een centrale plek. Wanneer iemand ziek is of uitvalt, is het beheer ervan lastig. Dit soort processen zijn afhankelijk van mensen en dat maakt het foutgevoelig.”
Remy noemt een voorbeeld: “Denk aan de declaratie van dienstreizen. Als dat via de mail gaat, dan heb je er op den duur geen zicht meer op. Met automatisering via workflows voorkom je een hoop problemen. Dan kun je het foutmarge verminderen.”
Verder noemt Remy het voorbeeld van projectbeheer. “Hiervoor moet je elke maand financiële gegevens van projecten ophalen. Die moet je presenteren en klaarzetten voor je medewerkers waarbij alle data in een centraal rapport terecht komt. Ik hoor vaak dat organisaties dit niet digitaal doen en dat mensen rondlopen om collega’s formulieren in te laten vullen. Die worden daarna ingescand en dan zet iemand dat vervolgens in Excel. Gedoe natuurlijk. Je raakt dingen kwijt en bent er veel tijd aan kwijt.
Wanneer je dit automatiseert, krijgen je medewerkers een notificatie en kunnen ze eenvoudig het formulier invullen door een paar vragen te beantwoorden."
3. Houd rekening met de menselijke factor
“Ict is geen doel, maar een middel”, zegt Remy stellig. “Wij zien nog te vaak dat organisaties ict implementeren om een proces in de juiste banen te leiden, zoals met compliance. Je kunt nog zoveel oplossingen bedenken, maar je mensen moeten ermee werken. Praat met ze. Meestal hebben ze goede ideeën over hoe het makkelijker kan en welke dingen beter kunnen. Ga het gesprek aan met deze mensen en luister hoe dingen beter kunnen.”
Wanneer je vervolgens een nieuwe ict-oplossing introduceert is het belangrijk om je mensen uit te leggen waarom je dit doet. “Mensen willen weten waarom ze ergens mee moeten werken, anders krijg je weerstand. Het gaat erom hoe de techniek je medewerkers verder helpt.”
4. Creëer bewustzijn rondom security en compliance bij je medewerkers
Je ziet op het securityvlak dat phishing voor cybercriminelen een van de makkelijkste manieren is om binnen te komen. Sneller dan door het hacken van systemen. “We zien dat de menselijke factor – vaak onbewust – de meeste impact heeft op security en compliance. Je kunt je ict nog zo veilig inrichten, als iemand besluit zijn wachtwoord te delen met iemand anders dan heb je een probleem.
Bewustzijn over hoe je met technologie werkt en wat je daarmee doet is heel belangrijk. Je bereikt dit door goede training en opleiding. Je verkleint de kans op incidenten door je mensen goed mee te nemen in waarom ze dingen doen, welke formulieren ze moeten inleveren en wat voor bijdrage ze moeten leveren aan de organisatie.”
5. Maak goed gebruik van de applicaties en functies van Microsoft
“Denk goed na over welke applicaties je installeert. Wanneer je gebruik maakt van Microsoft, zorg dan dat je applicaties benut en ook niet zomaar nieuwe applicaties aanschaft. Want dan krijg je wildgroei en weten mensen vaak niet meer welke applicatie waarvoor is.”
Als je je medewerkers niet faciliteert in wat ze nodig hebben, gaan ze zelf plekken waarop ze data opslaan en verplaatsen. Remy heeft hier een aantal voorbeelden van. “Denk aan medewerkers die het systeem van hun werk niet fijn vinden werken en dan maar documenten opslaan via hun privé-account op Dropbox of WeTransfer. Wie weet wat er met die bestanden gebeurt op een server waar je geen contract mee hebt lopen? Het hoeft maar één keer goed fout te gaan en dat wil je niet.”
Een bizar voorbeeld is volgens Remy wel het feit dat Hugo de Jonge bestanden mailde via zijn privémail omdat het eigen systeem zo dichtgetimmerd zat. “Je mensen gaan dan andere paden zoeken om hun werk te doen. Zonde natuurlijk.”
Verder wijst Remy op de functies in Microsoft waar je je data kunt labelen en beschermen. Zo kun je het label ‘algemeen’ of ‘veilig’ geven. “Dan voorkom je dat je mensen data ongewenst gaan delen. Zo houd je meer de controle.”
6. Blijf actief op de hoogte
Blijf actief op de hoogte van de ontwikkelingen die er zijn. Zowel technische ontwikkelingen maar ook ontwikkelingen binnen je organisatie. Houd in de gaten waar je mensen mee kunnen werken. Daarnaast is het van belang dat je de wetten en regelgeving op de voet volgt. Dat geeft rust.
Whitepaper: de 6 belangrijkste trends voor 2024
Investering in compliance-regels
Dagelijkse investering in compliance-regels is cruciaal. De focus moet op je mensen binnen je organisatie liggen, zorg dat ze de ict-systemen snappen en leer ze dat ze begrijpen dat hun gedrag invloed heeft op de regelgeving van je organisatie. Wil je meer weten? Lees whitepaper over cybersecurity van onze security-experts.
Misschien vind je dit leuk
Anderen hebben deze artikelen gelezen