Digitaliseer uw risicomanagement

Anthony Kruizinga Partner, Risk & Regulation lead, PwC Netherlands 07/07/21

Van de kast naar de cloud - en wat dit allemaal betekent

Dat u moet digitaliseren staat wat mij betreft buiten kijf. De hamvraag is hoe u slim en effectief kunt digitaliseren, zonder te verzanden in allerlei complexiteiten. In dit blog help ik u op weg in het doolhof van digitalisering, om zo te komen tot beter risicomanagement.

Het begrip digitalisering gaat gepaard met veel steekwoorden. Als dit soort buzzwords hun intrede doen, is het goed om even te terug te gaan naar de etymologie, oftewel de oorsprong van het woord. Digitus betekent in het Latijn vinger en in het Engels is een digit een cijfer tussen nul en negen. Deze twee betekenissen zijn met elkaar verbonden door het gebruik om op je vingers te tellen. Het woordenboek definieert digitaal als ‘iets [zoals een klok of een horloge] dat informatie weergeeft door figuren te gebruiken, in plaats van handen die naar nummers wijzen’.

Hoewel ik zelf een liefhebber ben van analoge horloges, ben ik een groot voorstander van digitaal risicomanagement. Maar in de praktijk kom ik vaak organisaties tegen waar de digitalisering van risicomanagement nog niet volledig tot bloei is gekomen. Waarom dat is, zal  ik proberen te verklaren door eerst in te gaan op de context van digitalisering, daarna de rol van Risk in deze puzzel uit te diepen en ten slotte wat praktische tips te geven. 

Van de kast naar de cloud - een korte geschiedenis van digitalisering

Van origine was het gebruikelijk om zaken te doen op papier, met documentatie en contracten netjes opgeborgen in archiefkasten en -lades. Toen de computer zijn intrede deed, werd steeds meer informatie elektronisch opgeslagen in e-mails, gedeelde mappen en IT-applicaties. Dit heeft tot twee belangrijke Risk-trends geleid. Ten eerste, doorlooptijden werden steeds korter, en dreigingen en risico’s konden sneller worden gedetecteerd en geadresseerd. 

Ten tweede kon men data makkelijker aggregeren en opzoeken. Dat leidde ertoe dat Risk het grote plaatje beter en sneller kon overzien en zo relevante informatie voor zowel de toezichthouder als voor managers in de organisatie kon waarnemen. En dit kon realtime, of in ieder geval nagenoeg realtime. 

Deze ontwikkeling was niet lineair, en de archiefkast en de cloud sluiten elkaar ook niet voor honderd procent uit. Het kan best het geval zijn dat binnen dezelfde organisatie de ene afdeling nog handmatig informatie invoert, terwijl de collega’s op de andere al bezig zijn met experimenteren met neurale netwerken. En u moet dit allemaal tegelijkertijd managen. 

In sommige gevallen wordt informatie nog opgeslagen op servers ter plekke. Maar outsourcing naar de cloud, wat als voordeel geavanceerde data-opslag en toegenomen rekenkundige capaciteit heeft, wordt steeds vaker een voorwaarde voor efficiënte digitale operaties.

Gefragmenteerde IT-landschappen, fijnmazige IT architectuur, beslissingen en de noodzaak om operaties te runnen terwijl systemen tegelijkertijd doorlopend moeten worden geüpgraded, maken digitalisering een enorme uitdaging. En Risk moet deze ontwikkelingen allemaal bijbenen. 

Ik stop hier even. Om het allemaal wat simpeler te maken, gebruik ik het begrip digitalisering, wat bestaat uit twee stappen. De eerste is het proces van het omzetten van informatie van een fysieke naar een digitale vorm. De tweede stap is als dit proces wordt gebruikt om bedrijfsprocessen te verbeteren. Dit zijn twee belangrijke dingen voor risicomanagement, want hoe meer processen digitaal gebeuren, hoe meer data er wordt gegenereerd. Idealiter gebeurt dit op een gestructureerde manier, maar in de praktijk is het vaak ongestructureerd. Al deze gegevens zijn grondstof voor risico-analyses, wat kan leiden tot de gewilde inzichten in risico’s voor risicomanagers, zakenpartners en toezichthouders. 

De verschillende betekenissen van kunstmatige intelligentie

Kunstmatige intelligentie is een van de meest genoemde elementen in het kader van digitale initiatieven, en terecht. Hoewel kunstmatige intelligentie op zichzelf niet zo nieuw is (het werd voor het eerst genoemd in 1956 en de conceptuele oorsprong is al decennialang bekend), heeft de beschikbaarheid van grote hoeveelheden data en de toegenomen rekencapaciteit de toepassing ervan een boost gegeven. Het onderwerp zelf zou al genoeg zijn om een hele blogserie over te schrijven. Daarom ga ik nu slechts in op de verschillende types kunstmatige intelligentie. Zodat we allemaal op dezelfde bladzijde zitten:

  • We spreken van automated intelligence als simpele, terugkerende taken niet langer menselijke betrokkenheid nodig hebben.
  • Assisted intelligence vereist nog wel een menselijk oordeel en besluitvorming, maar de aanbevelingen gegeven door het systeem veranderen niet meer. 
  • Augmented intelligence richt zich op adaptieve systemen gedreven door machine learning waarin algoritmes leren van menselijke ervaringen, maar waarbij de uiteindelijke besluitvorming nog wel bij de mens ligt.
  • Bij autonomous intelligence is het systeem adaptief en neemt het zelf beslissingen, zonder menselijke inmenging. 

Het is belangrijk dat u zelf duidelijk hebt met welk type toepassing van kunstmatige intelligentie u te maken hebt voordat u besluit iets te implementeren - en dat u goed nadenkt of het past bij uw strategie en uw eigen risicobeoordelingen. 

De rol van Risk in de digitale transformatie

Commerciële afdelingen zijn al langer bezig met digitale initiatieven. Risicomanagement is grotendeels afhankelijk van de commerciële takken en ‘erft’ daarom alle problemen die nog moeten worden opgelost in de bedrijfsketen. Achter de digitale façade van fancy gebruikersinterfaces is het vaak het geval dat door de beperkte en imperfecte functionaliteiten een schaduw-administratie plaatsvindt buiten het IT-systeem. 

Handmatig aangepaste gegevens, een gebrek aan uniforme datamodellen en de complexiteit van het IT- en datalandschap maken het voor Risk ingewikkeld om alle data bij elkaar op te tellen. En omdat Risk een grote datagrebruiker is, heeft het de verplichting om data-issues te signaleren naar de business, die de data kunnen aanpassen bij de bron. Om even terug te vallen op de etymologie: vriendelijk vingerwijzen is essentieel voor digitalisering en een verbeterde datakwaliteit.

Daarbij moet Risk ook zijn eigen processen digitaliseren, op een slimme en effectieve manier. Waarom? Omdat digitalisering kan leiden tot kostenbesparingen en verbeteringen van uw risicomanagement - mits het goed is geïmplementeerd. Technologie omwille van de technologie is geen goed uitgangspunt. U moet starten met een probleem, en die - als dat mogelijk is -  oplossen met slimme technologie.

Tools leiden tot meer accurate kwantificatie van risico’s, zowel voor traditionele als opkomende risicotypes. En ze reduceren de hoeveelheid handmatig werk (en dus menselijke fouten), en leiden tot betere inzichten in waarom (strategische) doelstellingen niet worden behaald. Door datavisualisatietools toe te passen kan Risk op een overtuigende manier de business adviseren over wat het nemen van risico’s betekent.

Om dit allemaal effectief te laten gebeuren hebt u in eerste instantie een goed overzicht nodig van alle mogelijkheden, en van wat er al gebeurt. Zoals ik in mijn blog over outsourcing al beschreef: start met opstellen van een lijst van producten en diensten binnen uw risicofunctie. Analyseer vervolgens de mogelijkheden om kosten te besparen en efficiëntie te behalen voor de dingen op deze lijst. Per activiteit kunt u een businesscase ontwikkelen en bepalen of digitalisering een haalbare optie is, en of u dat zelf wilt doen of met een derde partij.

In sommige gevallen is risk as a service een goede oplossing, want dan hoeft u niet zelf te investeren in uw IT-infrastructuur, applicaties en licenties; en in uw medewerkersbestand, voor bepaalde taken die u maar weinig uitvoert. En wees ook kritisch of u daadwerkelijk automatisering nodig hebt. Zou u voor een kleine achtertuin met een postzegeltje gras investeren in een volledig automatische grasmaaier of zou u zelf handmatig uw gras blijven maaien?

Onderdelen van succesvolle digitalisering van risicomanagement

Effectieve digitalisering van de risicofunctie vereist een alomvattende strategie, waarin IT, data, mensen en verandermanagement een belangrijke rol spelen. Om maar met de eerste te beginnen: het moet duidelijk zijn wie er met  (kwaliteits)vereisten voor IT en data komt, naar wie dit moet worden gecommuniceerd en wie ze vertaalt naar technologische vereisten en concrete acties.

Het is belangrijk dat uw nieuwe infrastructuur u helpt met een snelle toegang tot alle data en meer transparantie over waar de data vandaan komen en waar ze weer naartoe gaan. Dit is een flinke implementatie, dus het is van belang dat Risk dan ook goed de inspanningen verdeeld tussen de issues van vandaag en de implementatie van deze toekomstige staat.

Wat betreft uw mensen: trainen en upskillen is niet genoeg. U moet uw medewerkersplan harmoniseren met uw digitaliseringsplan. Als uw mensen getraind zijn in nieuwe digitale oplossingen, maar ze daarna terugkeren naar hun (virtuele) bureau en ze daar weer gaan zitten kopiëren-plakken in Excel, lijkt het me dat de strategie voor uw mensen en uw IT niet geharmoniseerd zijn. Dit klinkt vanzelfsprekend, maar ik wil nog maar eens aanstippen dat het essentieel is dat als een medewerker getraind is in het gebruik van een nieuwe tool, hij of zij ook direct toegang tot die tool moet hebben om die direct te kunnen gebruiken bij het oplossen van problemen.

Verandermanagement is ten slotte ook ontzettend belangrijk. Bij klanten zie ik vaak dat digitalisering nog niet is ingebed in risicomanagement, want het valt nog binnen zogeheten interne of externe innovatiehubs. Zulke hubs zijn een logische stap om digitale capaciteit op te bouwen binnen uw organisatie, maar op een zeker moment moet deze capaciteit onderdeel worden van uw dagelijkse bedrijfsvoering. Dus onderdeel van uw implementatiestrategie zou moeten zijn dat deze dingen ook daadwerkelijk blijven plakken. 

Begin met uw begrip

Ik geloof dat tools en technologie risicomanagement kunnen verbeteren. Maar digitalisering is geen heilige graal. Ik zou zelfs willen zeggen dat digitalisering het menselijke aspect des te belangrijker maakt. U moet uw inzichten over geautomatiseerde risicomanagement laten balanceren met gezond verstand, logische interpretatie en creatief denken. Welke problemen kunt u - en wilt u -  vertalen in getallen, en welke problemen hebben een slim, zorgzaam en zorgvuldig menselijk oog nodig?

Digitalisering is een ingewikkeld onderwerp, maar deze complexiteit is geen geldig excuus om er maar niet aan te beginnen. Ik begon dit blog met de hamvraag, en als je het mij vraagt mag het voor risicofuncties wat betreft digitalisering wel 'een onsje meer' zijn.

Playback of this video is not currently available

0:02:06

De transformatie van risicomanagement

Verbeter uw strategie rondom risico's en regulering

De Covid-19-pandemie heeft het tempo waarin risicovolle gebeurtenissen plaatsvinden en zich verspreiden, verhoogd. Risico’s die eerst nog ver weg en onwaarschijnlijk leken, zijn de norm geworden. Om beter voorbereid te zijn op het onverwachte, is het belangrijk dat uw organisatie weerbaar is. Op die manier kunt u sneller en adequater reageren op veranderingen en nieuwe wet- en regelgeving.

Is uw aanpak voor risico’s geschikt voor de wereld van morgen? Wij ondersteunen u daar graag bij.

Lees meer >

Contact

Anthony Kruizinga

Anthony Kruizinga

Partner, Risk & Regulation lead, PwC Netherlands

Tel: +31 (0)61 308 76 37

Volg ons