FBI, dat is een mooie, tot de verbeelding sprekende, term. Natuurlijk niet te verwarren met het Amerikaanse Federal Bureau of Investigation. Nee, we spreken over alle organisaties die te maken hebben met 'finance, banking en insurance', oftewel met financiële transacties op allerlei manieren. Wel kun je een link leggen tussen beide organisaties, want is het niet zo dat het management van beide soorten organisaties continu op zoek is naar controle? Dat laatste wil ik het in dit artikel over hebben.
Als je kijkt op de website van de Amerikaanse FBI, dan vindt je daarop de volgende missie: 'To protect and defend the United States against terrorist and foreign intelligence threats, to uphold and enforce the criminal laws of the United States, and to provide leadership and criminal justice services to federal, state, municipal, and international agencies and partners.' Daarin komen natuurlijk termen zoals ‘to protect', ‘to defend' en ‘to enforce' voor. Als je dan de vergelijking trekt naar organisaties in de financiële sector, dan zie je dat men daarin met vele wet- en regelgevingen te maken heeft. Zo spreek je van Basel I en II, Solvency II, Sarbanes Oxly (SOX), etc.
Ik heb twee van deze wetgevingen eruit gelicht, namelijk de MiFID en de PSD, enkele grote nieuwe veranderingen in financiële wetgevingen sinds tien jaar.
MiFID
De MiFID is op 1 november 2007 van kracht geworden. De MiFID (Markets in Financial Instruments Directive) bevat de meest uitgebreide EU-wetgeving voor de financiële sector sinds tien jaar. Deze richtlijn vervangt de huidige ISD (Investment Services Directive of Richtlijn Beleggingsdiensten) en vormt een belangrijk onderdeel van het Financial Services Action Plan (FSAP) van de Europese Unie om één markt voor financiële diensten en producten te creëren. In de MiFID is de regelgeving met betrekking tot beleggingsondernemingen grondig herzien teneinde te komen tot een geharmoniseerde pan-Europese markt voor beleggingsdiensten.
De MiFID heeft verstrekkende gevolgen voor bedrijfsstrategieën en organisatiestructuren, de bedrijfsvoering en vanzelfsprekend de structuren, beleidslijnen en processen die worden gehanteerd voor naleving van geldende wetgeving. |
Voor beleggingsondernemingen brengt deze nieuwe richtlijn grote veranderingen met zich mee. De MiFID heeft verstrekkende gevolgen voor bedrijfsstrategieën en organisatiestructuren, de bedrijfsvoering en vanzelfsprekend de structuren, beleidslijnen en processen die worden gehanteerd voor naleving van geldende wetgeving. Beleggingsondernemingen moeten als gevolg van de invoering van de MiFID investeren in nieuwe systemen, grote delen van hun bedrijfsvoering herzien en opnieuw documenteren. Dit dient te gebeuren aan de hand van veeleisende standaards, onder inachtneming van strakke deadlines en op basis van wetgeving die nog in de conceptfase verkeert en momenteel nog in geen van de 28 landen van de Europese Economische Ruimte is ingevoerd. De noodzakelijke aanpassingen van ict-systemen zullen beleggingsondernemingen voor een grote uitdaging stellen. Naleving van de MiFID vereist dus een enorme reorganisatie tegen hoge kosten.
De MiFID is van toepassing op:
> Banken
> Beleggingsondernemingen
> Vermogensbeheerders
> Markten, beurzen, handelssystemen, platforms
> Verzekeraars, assurantiebedrijven en hypotheekverstrekkers
> Kortom, zo'n beetje alle organisaties uit de FBI
PSD
Het politieke en economische streven naar een uniforme Europese betaalruimte heeft ertoe geleid dat de Europese Commissie de juridische voorwaarden betreffende betaaldiensten heeft geharmoniseerd tot een Europese richtlijn, de Payment Services Directive (PSD). De richtlijn betaaldiensten voorziet in een vergunningenstelsel voor betaaldienstverleners, informatieverplichtingen omtrent betaaldiensten en rechten en plichten van verleners en gebruikers van betaaldiensten.
De richtlijn betaaldiensten dient per 1 november 2009 als wet in Nederland te zijn ingevoerd. Deze richtlijn heeft ten doel ervoor te zorgen dat betalingen binnen de EU, met name overmakingen, automatische afschrijvingen, kaartbetalingen en zogenaamde money transfer, gemakkelijk, veilig en efficiënt worden. De richtlijn introduceert en harmoniseert de regels ten aanzien van de aanbieders van betaaldiensten.
Al deze wet- en regelgevingen hebben uiteindelijk tot doel het beschermen van jouw en mijn belangen. Dat het nog niet altijd goed werkt, blijkt wel uit een bekend incident uit het recente verleden, waarbij de Fransman Jérome Kerviel kans zag om de Franse bank Société General 4,9 miljard euro ‘lichter' te maken. Hadden zijn managers een betere realtime controle gehad van zijn transacties, dan was het misschien niet zo ver gekomen. Maar zelfs nu nog puzzelt men naar hoe hij het voor elkaar heeft kunnen krijgen, met andere woorden: men zoekt naar de benodigde informatie over zijn transacties.
Ik kan me dus niet anders voorstellen dan dat medewerkers van zowel de business- als van de automatiseringskant van deze organisatie een dringende behoefte hebben aan actieve bewaking en controle van alle financiële transacties en natuurlijk de KPI (key performance indicatoren) van de kritische bedrijfsprocessen. De enige manier om dat voor elkaar te krijgen, is de inzet van oplossingen op het gebied van zowel business intelligence, security als business service management. Want aan de ene kant wil je een continue rapportage over de wijze waarop de KPI's zich gedragen ten opzichte van de doelstellingen en aan de andere kant wil je een continue controle van de transacties binnen deze processen en vooral ook mogelijke verdachte incidenten binnen deze processen. Dan komt nog de vraag, wie bewaakt deze bewaking? Met andere woorden, deze controle moet ook voor externe auditors eenvoudig toegankelijk zijn, zodat zij hun controlewerkzaamheden snel en efficiënt kunnen uitvoeren.
Een voorbeeld. Een beursbedrijf heeft te maken met real-time transacties die direct verwerkt moeten worden en die aan het einde van de dag kloppend moeten zijn. Elk incident wat ertoe kan leiden dat de transacties niet, niet goed, of met vertraging worden verwerkt, of dat de transacties op het einde van de dag niet matchen, kan desastreuze gevolgen hebben. Het is dus zaak om het transactieverkeer realtime te bewaken en te controleren op juistheid en accuraatheid, maar ook op beveiligingsaspecten, zodat elke ‘verdachte' handeling direct gedetecteerd wordt. Behalve dat dient men aan het einde van de dag te controleren of alle transacties op de juiste wijze zijn verwerkt. Bovendien moet het transactieverkeer nog getoetst worden aan diverse wet- en regelgevingen.
Dat zijn nogal wat controles die continu en op regelmatige basis moeten worden uitgevoerd en dan is het natuurlijk uitermate zinvol om dit te automatiseren.
Het mooiste is natuurlijk als je al deze controles via één centraal management dashboard kunt uitvoeren. Tenslotte wil je zowel business proces management, securitymanagement en business intelligence gelijktijdig uitvoeren.
Het moet mogelijk zijn om een securityincident direct te toetsen aan compliancy en meteen te zien wat de business en securityimpact van dat incident is. De manier waarop dit gerealiseerd kan worden is door alle technische en applicatieonderdelen van een proces onder te brengen in een controlepunt. Vervolgens kan een causaal verband worden gelegd tussen de diverse controlepunten, zodat er een soort end-to-end bewaking kan plaats vinden om elk incident direct te analyseren en te bepalen wat nu precies de impact op compliancy en security is van dit incident. Dit gaat uit van een reactief model. Door middel van scripting kan ook een pro-actief model gecreëerd worden. Met scripting kan bijvoorbeeld een dummytransactie worden ingestuurd, zodat al direct kan worden gezien waar eventueel een incident ontstaat voordat er echte transacties plaats gaan vinden. Vervolgens moet het wel mogelijk zijn om direct te kunnen analyseren waar het incident ontstaat door middel van een 'down drill' naar de oorzaak, oftewel een root cause analysis. Als je weet wat de begin- en eindwaarde moeten zijn, dan kun je op deze twee manieren dus een sluitende realtime bewaking uitvoeren van businessprocessen, security en compliancy. Als je vervolgens al deze controlemechanismen vast laat leggen in rapportages, dan is het voor externe auditors weer eenvoudig om hun gewenste rapportages daaruit te destilleren.
Zie hiernaast (klik om te vergroten) een voorbeeld van een creditcardmanagement-dashboard waarin zowel de bedrijfsprocessen als de securityaspecten worden gevisualiseerd en realtime worden bewaakt. Dat niet alleen, alle mogelijke incidenten worden vastgelegd en zijn later beschikbaar voor auditrapportages. Op die manier worden de processen en gerelateerde securityaspecten inzichtelijk en eenvoudig te managen, zodat de compliancy aan een wetgeving aantoonbaar wordt en men zich niet druk hoeft te maken over audits die jaarlijks of halfjaarlijks worden uitgevoerd door de externe auditors.