In dit interview bespreekt Jules van Damme met Patrick Özer en Jori van Schijndel zijn recente overgang van operationele functies in international banking naar Financial Economic Crime (FEC) Compliance. Op basis van zijn dertigjarige carrière in de bancaire sector bespreekt hij de uitdagingen en kansen binnen FEC, het belang van verandermanagement en de noodzaak van verbeterde samenwerking tussen bankafdelingen. Hoe kan FEC leren van operationeel bankieren om compliance in balans te brengen met commerciële kansen?
Inleiding
Kunt u uw ervaring in banking en uw carrièrepad toelichten?
Sinds 1991 ben ik actief binnen banking, waarvan de afgelopen dertig jaar binnen international banking. In die tijd heb ik verschillende dingen gedaan: ik ben begonnen in IT en heb daarna bij operations, finance, product control, market risk en markets en treasury gewerkt. Dit waren steeds relatief korte trajecten van drie à vier jaar.
Mijn taak was meestal om veranderingen te begeleiden. Dit kan zijn nieuwe producten, nieuwe activiteiten of verbeteractiviteiten. Dit heeft ervoor gezorgd dat ik in iedere nieuwe functie meer geleerd heb over hoe een bank functioneert en daarbij een heel compleet beeld heb gekregen wat er bij de verschillende afdelingen van de bank gedaan wordt. Daarbij heb ik altijd binnen de primaire functie gewerkt, maar heb ik natuurlijk indirect wel met compliance te maken gehad.
Als ik erop terugkijk, is wat ik heb gedaan een soort combinatie van interim-management en consultancy. Naast veranderprojecten heb ik ook nog afdelingen geleid. Het mooie van veranderprojecten vind ik zelf dat je naar een tastbaar resultaat toe werkt en wanneer dat bereikt is, kun je aan iets nieuws beginnen.
Wat kunt u vertellen over uw meest recente overstap?
Sinds oktober 2023 ben ik overgestapt naar Financial Economic Crime (FEC) Compliance. In het verleden heb ik wel indirect te maken gehad met FEC, maar toen had het onderwerp niet de aandacht die het nu heeft, door de intensievere wet- en regelgeving en toezicht.
FEC heeft bij Rabobank, net als bij andere banken en financiële instellingen, aandacht voor ontwikkelingen bij onze klanten. In Nederland wordt er bijvoorbeeld steeds vaker online betaald via Payment Service Providers (PSP’s) zoals Adyen en Mollie. Ook is crypto een groeiende trend. In een van mijn projecten ben ik bijvoorbeeld bezig met de beheersing van deze dynamische risico’s.
Een ander project van mij, gezien mijn praktische ervaring in international banking, betreft de verdere bestendiging van FEC-controls binnen international banking. Vanuit mijn huidige rol kan ik in dit werkveld veel van mijn ervaring en expertise kwijt en zo mijn bijdrage leveren voor de klant, de bank en de maatschappij om financieel-economische criminaliteit op te sporen en te voorkomen.
Van banking naar compliance: observaties en verrassingen
Wat viel u op bij de overgang naar FEC Compliance qua werkwijze, cultuur en communicatie?
De commercie en FEC zijn aparte werelden, met hun eigen terminologie en belevingswereld. Als voorbeeld: wanneer de (commerciële) business het heeft over een transactie, bedoelen ze de overeenkomst of het contract. FEC heeft het dan over de ‘settlement’ of de werkelijke uitvoer van een betaling. Vaak wordt er aangenomen dat ze het over hetzelfde hebben omdat ze hetzelfde woord gebruiken, zich niet realiserend dat ze over verschillende zaken praten.
Een ander aspect is dat de operationele kant makkelijker voor een 80%-oplossing gaat, de overige 20% komt later wel. FEC wil vaker een 100%-oplossing. Dit kan komen door minder gevoel van urgentie, maar een andere verklaring kan zijn dat alle risico’s afgedekt moeten worden; ongedekte risico’s blijven een probleem.
Vanuit mijn ervaring zou ik zeggen dat je toe wilt werken naar meer samenwerking tussen FEC en de (commerciële) business. FEC-medewerkers werken vaak al lang in dit domein en hebben soms weinig kennis van de banking business. Het is vaak ook moeilijk mensen met een bankachtergrond te interesseren voor een functie bij FEC. Wat je zou willen bereiken is dat er kruisbestuiving is en daarmee kennisoverdracht: een tijdje FEC en dan business en andersom.
Verder vereist FEC vooral logisch nadenken over bijvoorbeeld waar witwas- of frauderisico’s zitten, en als je de businessprocessen begrijpt, kun je die makkelijk duiden. Waar ik nog steeds mee bezig ben, is de FEC-terminologie. De bank staat stijf van afkortingen, maar binnen FEC zijn er nog extra afkortingen. Deze terminologie maakt communicatie intern tussen afdelingen lastiger. Commercie weet bijvoorbeeld niet wat een SIRA is (red.: de SIRA, of systematische integriteitsrisicoanalyse, is een door DNB verplichte analyse van risico’s van financieel-economische criminaliteit). De FEC-terminologie over banken heen is wel gestandaardiseerd, waardoor ik het bij de FEC Compliance-afdeling van een andere bank wel kan hebben over bijvoorbeeld een SIRA.
Voor retail banking is gebrek aan kennis van de business denk ik minder problematisch, omdat de producten simpeler zijn en mensen er kennis van hebben door hun privé-interacties met banken. Voor international banking is dit anders vanwege de producten, het internationale karakter en bijvoorbeeld de verschillen in regelgeving of processen tussen verschillende buitenlandse vestigingen.
Kunt u voorbeelden geven van verbeterpunten voor FEC-afdelingen, naast werken aan de kennisleemte?
Ik denk dat we nog beter kunnen samenwerken. Mijn ervaring is: FEC ziet een risico en wil dat oplossen, in plaats van met andere afdelingen te overleggen en te kijken wat bankbreed de beste oplossing is. Ze beschouwen FEC-risico’s direct als hun probleem. Het is vaak mogelijk om gedurende de waardeketen die risico’s te beheersen, maar dit is lastiger meetbaar en aantoonbaar. FEC kan aan de achterkant, met bijvoorbeeld transactiemonitoring. Je moet hierbij wel kijken naar de kosten/baten. Sommige restrisico’s zijn klein. Kan het als (tijdelijk) geaccepteerd risico beschouwd worden of kan de beheersing eerder in de keten plaatsvinden?
Een aspect dat hierin meespeelt, is risicotolerantie. Wie bepaalt risicoacceptatie?
De risicoacceptatie wordt op verschillende manieren bepaald: gedreven door wet- en regelgeving, het bankbeleid en wie waar (eind)verantwoordelijk voor is. Bij Rabobank is die verantwoordelijkheid op bestuursniveau belegd, waarbij Rabobank ook een bestuurslid heeft alleen verantwoordelijk voor FEC. Uiteindelijk zal de risicoacceptatie bepaald worden door de betreffende bestuursleden (commercie en FEC).
Leren van banking: kenniskloof dichten
U noemt dat er te weinig samenwerking is en dat kruisbestuiving nodig is. Hoe kunnen FEC en de operatie beter samenwerken?
Communicatie is belangrijk. Er zijn bijvoorbeeld situaties waarin de commerciële business het risico hoger inschat dan FEC. FEC heeft meer ervaring met regelgeving en kan gevolgen vanuit toezicht beter inschatten. Door elkaar uit te leggen hoe we de risico’s zien – wat de gevolgen voor de klant zijn en wat de intentie van de regelgever is met bepaalde regels – kunnen we tot een zo goed mogelijke aanpak komen voor de klant en de bank. We moeten van elkaar leren om beter te functioneren voor de klanten en de bank.
Ik denk dat het goed zou zijn om FEC meer en vroegtijdig bij commerciële overleggen te betrekken. Zo krijgt FEC meer gevoel bij de business en klanten en begrijpt de business beter de regels. Vroegtijdige samenwerking voorkomt latere vertragingen. We kunnen potentiële FEC-risico’s uitleggen en samen bepalen hoe deze te mitigeren. Niet ieder theoretisch risico vereist een aparte FEC-control; soms volstaat een bestaande business control of is de waarschijnlijkheid te laag. Als bepaalde producten alleen aangeboden worden aan bijvoorbeeld enkele blue-chip bedrijven, is het dan noodzakelijk om hier een aparte FEC-control voor in te richten? Of kan het risico worden afgedekt als onderdeel van de productverstrekking, of meegenomen worden in de toch al aanwezige periodieke klantbeoordeling?
Wat zou de oorzaak kunnen zijn van de mismatch tussen theorie en praktijk?
FEC-issues en -oplossingen verschillen tussen retail en international banking. Het thema cash geld, en de bijbehorende risico’s, is bijvoorbeeld veel minder relevant binnen international banking dan binnen retail banking. Bij retail gaat het om volume en standaardoplossingen, terwijl international banking, met minder klanten en complexe producten, persoonlijke gesprekken en maatwerk mogelijk maakt. Dit vraagt om een praktische benadering per klant; kan er bijvoorbeeld gebruikgemaakt worden van kennis over de interne beheersing bij specifieke klanten om risico’s ten aanzien van omkoping van en door tegenpartijen inzichtelijk te krijgen?
Gevoel van urgentie en commercieel bewustzijn
Hoe beïnvloedt het verschil in ‘gevoel van urgentie’ tussen business en FEC de bedrijfsvoering? Hoe wordt succes bijvoorbeeld gemeten?
Banken zijn gehouden aan de regels van de wet. FEC voert namens de bank de ‘poortwachtersrol’ uit: voorkomen van misbruik van het financiële stelsel, zoals witwassen en terrorismefinanciering. Dat vereist controleren op en handhaving van regels. De business wil ook voldoen aan deze regels, maar ziet daarnaast de commerciële mogelijkheden en gevolgen van niet op tijd handelen.
Het verschil in aanpak zit mijns inziens vooral in naleving van de regels en richtlijnen. Gaan we voor een 10 of is een 6 voldoende? Door over specifieke gevallen met elkaar in gesprek te gaan, kunnen we beide partijen dichter bij elkaar brengen. Met begrip en kennis van elkaars positie en achtergrond is het makkelijker om een gezamenlijk gedragen oplossing te vinden.
Hoe zou u het bewustzijn vergroten dat FEC een verlengstuk is van de bank?
In mijn ogen zou je de FEC-activiteiten willen integreren in de waardeketen van de bank. Dit betekent dat je elke stap in het commerciële en administratieve proces beoordeelt op FEC-risico’s en samen met de business bepaalt welke controles nodig zijn om deze risico’s te mitigeren. Zo optimaliseren we processen voor de bank en de klant en voldoen we aan de eisen van de toezichthouders.
Internationale uitdagingen
Hoe gaat een complex internationaal domein om met FEC-activiteiten?
Het maakt uit wat voor juridische structuur een instelling heeft en of er sprake is van een banklicentie, een branch of een vertegenwoordigingskantoor. Bij bijvoorbeeld een vertegenwoordigingskantoor kan een financieel toezichthouder van een land een milder toezichtregime toepassen of mogelijk geheel geen toezicht (hoeven te) houden. Ook kan het uitmaken of je groot of klein bent binnen een specifieke jurisdictie.
Vanuit een FEC-perspectief zijn de risico’s min of meer hetzelfde over de landen heen. Ook vanuit wet- en regelgeving is er steeds meer harmonisatie van witwasregelgeving (bijvoorbeeld de AMLR en AMLD6 binnen de EU). Daarom kan FEC goed centraal aangestuurd worden. Je moet echter niet vanuit een centraal orgaan denken dat je alles weet en doorschieten in het centraliseren. Lokale expertise voor specifieke zaken blijft nodig. Denk hierbij bijvoorbeeld aan situaties dat lokale wetgeving extra eisen heeft of een lokale toezichthouder specifieke verwachtingen heeft. Europese en Nederlandse regelgeving op het gebied van witwassen is veelal van toepassing op het hoogste niveau, maar binnen de Verenigde Staten bijvoorbeeld zijn er enkele regels die verder gaan. Dan is de afweging om die op globale schaal te implementeren of lokaal te beleggen. Ook zijn er bepaalde wetgevingen en vereisten die alleen lokaal relevant zijn of bijvoorbeeld alleen lokaal belegd mogen worden: de FinCEN 314(a)-wetgeving vereist informatiedeling tussen financiële instellingen en andere partijen binnen de Verenigde Staten, maar vanwege vertrouwelijkheid moet dit belegd zijn binnen de Verenigde Staten.
Conclusie
Wat zou u nog willen meegeven aan de lezers?
Als eerste wil ik meegeven om praktisch bezig te blijven en FEC niet puur vanuit theorie te beredeneren. Ten tweede, anticipeer in plaats van achteraf te proberen risico’s te beheersen. Probeer dus de business zoveel mogelijk bewust te maken van de FEC-uitdagingen en te laten meedenken in oplossingen. En als derde, focus op automatisering bij grote of langdurige handmatige controles. Daarmee kunnen we medewerkers uitdagingen blijven bieden. Hierbij kan gedacht worden aan E-KYC (Electronic Know Your Customer), om de verificatieprocessen te automatiseren en te versnellen. Denk bijvoorbeeld aan tekstanalyse, samen met geautomatiseerde screening van openbare bronnen, om risicofactoren te identificeren. Het is hierbij van belang om frictie in processen te reduceren en het ook zeker voor klanten makkelijk te maken om informatie te delen. Ook kunnen technieken die nu nog veelal worden toegepast binnen het retaildomein op het gebied van transactiemonitoring, een meerwaarde zijn binnen international banking. AI-technieken beginnen nu hun meerwaarde te laten zien binnen retail, en met de nodige aanpassingen kunnen ze ook helpen om de monitoring efficiënter te maken.
