FEC bestrijden met RegTech & Smart Data

Chris Juta
Financial Economic Crime (FEC) is één van de belangrijkste thema’s op dit moment als we spreken over risk en compliance. De geschatte omvang is in de orde van 5 procent van het mondiale bruto nationaal product (bron: Global Economic Crime Survey 2016, PwC). Het ‘verschijnsel’ FEC kent vele uitingsvormen: misleiding, verduistering, vertrouwensinbreuk en -schendingen, cybercrime, omkoping en corruptie, inkoopfraude en accounting fraude, etc… een veelheid van onderwerpen, die aan de orde komen bij het komende  Risk & Compliance Jaarcongres op 1 juni aanstaande in Baarn. In deel twee van dit artikel ga ik nader in op het nieuwe concept van de fraude vierhoek.

In een artikel in Forbes van januari 2016 lezen we: “Cyber Crime Costs Projected To Reach $2 Trillion by 2019” […] Crime wave is an understatement when you consider the costs that businesses are suffering as a result of cybercrime. ‘Epidemic’ is more like it […] IBM Corp.’s Chairman, CEO and President, Ginni Rometty, recently said that cybercrime may be the greatest threat to every company in the world.
Killer risks
De recente wereldwijde cyber-attack, met nog groeiende ‘fall out’ voor ondernemingen en instituties, is een nieuw voorbeeld van de digitale revolutie die we meemaken. Met op het ‘darknet’ vrij verkrijgbare software is met minimale kosten resultaat te bereiken dat voorheen ondenkbaar was. Oneindig zijn de mogelijkheden om vanuit het niets aanvallen uit te voeren op gevestigde infrastructuren en systemen. Het zijn dé killer risks van dit moment.
Het zijn nieuwe intelligenties die bestaande instituties tot de dinosaurussen van deze tijd maken. Tegenover de intelligentie van wereldwijd vernetwerkte hackers – het zijn geen ‘lone wolves’ meer – kunnen onze klassiek georganiseerde instituties niets anders zetten dan het maken van meer en meer kosten om de gevolgen te bestrijden. Tegen de oneindig veel grotere mogelijke gevolgen van deze killer risks, die vanuit het niets opduiken en letterlijk overal kunnen toeslaan, zullen de klassiek georganiseerde instituties (financieel) niet bestand blijken, zo is mijn verwachting.
Als je naar de militaire inspanningen kijkt, wordt het dramatisch. De VS stoppen nu 12 miljard dollar in één enkel vliegdekschip. De kosten van de recente cyberaanval met zijn wereldwijde en razendsnelle impact, zijn nietige fracties van dat bedrag. Hoe lang gaat het duren voordat we begrijpen dat we met deze drijvende ‘bakstenen’ – die steeds meer van de budgetten vragen – op de totaal verkeerde weg zitten?
De verkeerde reactie
We zijn vogelvrij in deze nieuwe wereld en steeds meer op ons zelf aangewezen, terwijl het establishment kraakt in z’n voegen. Onze ogen moeten open gaan en we moeten gaan begrijpen dat de wereld van het internet en de virtuele realiteit een totaal andere sociale en technologische realiteit is dan de realiteit waaruit we zijn voortgekomen. Er is dus reden om je ernstig zorgen te maken en je ziet dan ook dat – in een klassieke respons – de compliance budgetten stijgen. Met man en macht worden nu de klassieke legacy systemen aan de praat gehouden om nieuwe markt- en compliance vereisten mogelijk te maken, in de compleet foute gedachte dat die systemen ook nog maar iets te betekenen hebben in de nieuwe realiteit. Het zal een desastreuze blinde vlek blijken, vrees ik.
RegTech
Dé trend van dit moment op het gebied van compliance is RegTech: technologie waarmee het gemakkelijker wordt om te voldoen aan nieuwe (en bestaande) regelgeving. De impact zal groot zijn. Compliance wordt er goedkoper en effectiever door in haar uitvoering. In essentie gaat het om data gedreven werken, met een scala aan toepassingen, zoals scenario analytics, predictive modelling, serious gaming, machine learning, artificial intelligence, simulation, benchmarking.
Het fascinerende is dat RegTech met haar invloed natuurlijk verder gaat dan compliance alleen. RegTech maakt op fundamenteel niveau mogelijk waar alle (ondernemende) organisaties naar op zoek zijn: een bestuurbare relatie tussen business en risico in deze nieuwe wereld van killer risks en meer in het algemeen: in een wereld van fundamenteel onvoorspelbaar (gedrags-)risico’s.
RegTech maakt ondernemen met (gedrags-)risico mogelijk en daardoor ben je niet alleen maar bezig met het moeten voldoen aan randvoorwaarden die de externe toezichthouders opleggen. Met RegTech is het ook (relatief) eenvoudig om een organisatiebreed werkend coördinatiemechanisme te installeren dat zowel top-down als bottom-up communicatie over risico’s mogelijk maakt. Met RegTech wordt het mogelijk om op elke schaal benchmarks en normen te definiëren, zowel intern als extern.
Als ik het abstracter formuleer: RegTech is symptoom van nieuw (management) denken. Met als uitkomst: sneller, beter, goedkoper, flexibeler, online, mobile en real-time. RegTech luidt de overgang in van de klassieke centralistische kwalitatieve aanpak (interviews, centrale besluitvorming) waar al het management van vandaag op gestoeld is, naar gedistribueerd en data-gedreven werken. Een disruptieve innovatie dus!
RegTech: een kritische noot en een glinstering
RegTech produceert ‘registratie-data’: data die het handelen van mensen betreft, dus wat mensen werkelijk hebben gedaan. Sturen op ‘registratie-data’ alleen is niet voldoende: zolang we blijven uitgaan van wat ís gedaan en dus blijven uitgaan van alleen de feiten – blijf je sturen op gevolgen, blijf je krijgen wat je had en blijf je denken wat je dacht. Stel je eens voor dat je deze registratie-data aanvult met ‘sense-data’ (ook wel bekend als gedragsdata of psychologische data): data die de intenties van mensen betreft. Het is deze koppeling van sense data aan registratie data die ‘smart-data’ creëert. Daarom durf ik te stellen: je hebt smart-data nodig om tot begripsvorming en vervolgens effectieve beïnvloeding te komen van het ‘verschijnsel’ Financial Economic Crime.
De auteur, Chris Juta, is Managing Partner van YX Company in Utrecht en tevens blogger op het Risk & Compliance Platform Europe.