Hoeveel tijd resteert er nog voor banken?

Nils de Heer
Maakt onbekend ook per definitie onbemind? Toegegeven, ten tijde van het schrijven van `De Pijnbank-De problemen van de Rabobank´ heb ik, Nils de Heer, als onderzoeker en auteur onvoldoende oog gehad voor het IT-dossier. De benodigde specialistische kennis en het juiste inzicht ontbraken bij mij. Deze verkreeg ik pas, nadat ik tijdens het Risk & Compliance Jaarcongres 2017 in Baarn een expert ter zake ontmoette. In dit geval was er dus zeker geen sprake van desinteresse, noch van onwil.
Indien zich in boardrooms vergelijkbare situaties voor doen is dit zonder meer zorgelijk te noemen. Echter, binnen de boardrooms van de West-Europese multinationals en banken is er (tot voor kort) wel degelijk sprake geweest van desinteresse inzake het IT-dossier. Veelal werd het IT-dossier gezien als een zaak waarvan het strategisch belang ondergeschikt werd geacht in operationele zaken. Er werd veelal een faciliterende rol toebedacht, zeker geen strategische. Een riskante misvatting volgens ons.
Het is onze opvatting, dat geen enkele onderneming zich kan onttrekken aan de exogene variabelen waaraan zij blootgesteld wordt. Veranderende omgevingsfactoren kunnen simpelweg niet genegeerd (blijven) worden. Probeert men dit wel, dan loopt de onderneming een bijzonder grote kans de aansluiting met de veranderende buitenwereld volledig mis te lopen.
Problemen met IT-legacies
Een fenomeen dat wij de laatste jaren binnen ondernemingen in zijn algemeenheid, en de banken in het bijzonder hebben moeten constateren. Uit eigen ervaring in het verleden kunnen we bevestigen dat nieuwe applicaties vaak uit kostenoogpunt op cello-tape achtige wijze werden verbonden met de bestaande systemen. Met als irritant gevolg voor de gebruikers dat systemen niet goed met elkaar konden communiceren. Hetgeen vervolgens leidde tot dubbel werk, zoals het verplicht moeten overtypen van complete tekstblokken. Lastig voor de dagelijkse gebruikers, maar op zich niet de grootste bedreiging. Dan hebben wij het nog niet over de aanzienlijke kosten als het gevolg van de vele storingen van de complete IT-parken. Noch over de bedrijfseconomische- en veiligheidsrisico’s. Kortom, multinationals en banken hebben een enorm probleem waar het gaat om hun IT-legacies.
Veelal realiseren CEO’s zich niet dat de bestaande IT-omgeving de grootste kostenpost op de balans is, met name binnen de banken. Als voorbeeld noemen we een West-Europese bank met haar sterk stijgende operationele kosten (Opex) omdat 90% van haar IT-budget opgaat aan de kosten om de bank te runnen. Hierdoor is er aan de andere kant geen of nauwelijks geld meer om de bank te moderniseren. Tevens speelt mee dat er feitelijk tot 75% dient te worden afgeschreven op de boekwaarde van de (sterk) verouderde IT-parken. Door deze versnelde afschrijvingen (impairments in jargon) ontstaat een negatief rendement op de in IT geïnvesteerde kapitaalsmiddelen. Bedrijfseconomisch gezien loont het dus niet om nog verder te investeren in nieuwe IT-ontwikkelingen.
Het merkwaardige is echter, dat banken tóch sterk geneigd zijn om dit juist wel te doen. In plaats van de kerntaken van het bankieren draait het in deze tijd sterk om de zogenaamde `customer experience´ systemen. Met het faciliteren van de `customer journey´ hopen de banken op een moderne manier meer cashflow te kunnen genereren. Beleving prevaleert boven functionaliteit. Hiervoor worden met het grootste gemak honderden miljoenen euro’s beschikbaar gesteld binnen de banken. Om voor de hand liggende redenen is deze transitie bij voorbaat geneigd te gaan mislukken! De koppeling tussen de bestaande 40 jaar oude CRM-systemen en de nieuw bedachte state of the art functionaliteiten in het kader van de `customer journey´ zal slechts leiden tot een grote kans op uitval van de gehele IT-parken en tot een toenemende kans op het risico van cyber-aanvallen.
Banken eigenlijk niet langer compliant meer
Het negeren van het belang van stabiele, betrouwbare en veilige IT-parken heeft geleid tot een situatie waarin enkele banken op dit gebied naar onze inschatting al lang niet meer compliant zijn. Een situatie die reeds kenbaar gemaakt is aan toezichthouder DNB. Echter, aangezien DNB een aanzienlijke kennisachterstand heeft op dit gebied, en nog altijd haar EDP-audits op een ouderwetse manier uitvoert, heeft men nooit in de gaten gekregen dat de bestaande IT-parken van de banken inmiddels volledig op instorten staan. Maar ook bij de meeste Risk & Compliance Officers bestond volstrekt onvoldoende kennis om de gevaren tijdig te onderkennen en hierop te kunnen anticiperen. Chief Information Officers en IT-medewerkers hielden de ellende vaak liever onder de pet uit angst hun banen te verliezen.
Vanuit de EU wordt wél een toenemende druk gelegd op de compliance van de IT-parken. Te meer omdat mr. Aleid Wolfsen in 2016 is benoemd tot voorzitter van de Autoriteit Persoonsgegevens. In deze hoedanigheid kan Wolfsen zeer forse boetes opleggen aan bedrijven die hun zaken volgend jaar niet op tijd op orde hebben wanneer in het geval van een `cyber breach´ klantgegevens op straat terecht komen: namelijk oplopend tot 5% van de wereldwijde omzet van de betreffende onderneming. Tel uit je winst. Uit onderzoek van de NOS blijkt dat 55% van de betrokken bedrijven nog altijd niet gestart is met de vereiste aanpassingen van hun data-warehouses, 33% geeft aan hier mee bezig te zijn en een schamele 12% zegt deze operatie te hebben afgerond.
Bank in the Cloud
IT-reuzen als Google en Apple hebben vele tientallen miljarden dollars in hun oorlogskas, smekend om een mogelijkheid winstgevend ingezet te gaan worden. Immers, voor een onderneming als Google is het verzamelen, beheren en exploiteren van grote hoeveelheden data `core business´. Wie zegt ons dat Google na het verzamelen van voldoende klantgegevens niet `out of the blue´ met een nieuw digitaal bancair-platform gaat komen? Dan zou bijvoorbeeld in de nabije toekomst krediet- en hypotheekacceptatie plaats kunnen gaan vinden op basis van algoritmen en kunstmatige intelligentie! Een `bank in the cloud´ met een groot landelijk bereik, maar zonder het bijbehorende kantorennetwerk met duizenden (kostbare) medewerkers.
De grote vraag naar onze mening is hoeveel tijd sommige banken nog resteert, voor zij weggeblazen gaan worden door een majeure IT-speler met een enorme kennis van zaken en ongehoord diepe broekzakken…
Nils de Heer is Senior Editor van het Risk & Compliance Platform Europe, onderzoeksjournalist en auteur van `De Pijnbank – De problemen van de Rabobank´.