Voice-over: Welkom bij Compliance Adviseert. Met experts, adviseurs, bestuurders en de business bespreken we risk en compliance binnen de financiële wereld en alle uitdagingen en dilemma’s die daarbij horen. Want voor het juiste en rechte pad bestaat geen navigatiesysteem. Deze podcast wordt mede mogelijk gemaakt door Hyarchis, Deloitte , de Volksbank en Osborne Clarke. Je host is Jeroen Broekema.
Jeroen: Welkom luisteraars bij een nieuwe aflevering van Compliance Adviseert. Erg leuk dat je luistert, en vandaag hebben we natuurlijk weer een nieuw onderwerp. Het gaat vandaag over het zogenaamde confirmationproces tussen banken, andere financiële instellingen, maar ook advocatenkantoren, auditors en accountants. Oftewel het bevestigingsproces van financiële gegevens tussen organisaties om dat op een veilige en strakke manier te doen. Ik moet eerlijk zeggen, ik wist eigenlijk helemaal niet dat dit zo’n groot iets is tussen al die verschillende organisaties in Nederland, maar ook wereldwijd. Totdat ik de heren sprak die vandaag bij mij aan tafel zitten, en het bleek dat er een hele wereld achter schuilgaat. Nou, daar gaan we het vandaag over hebben en over de dingen die daarmee te maken hebben. Ik heb aan tafel Dominic Thijs, hij is van Thomson Reuters Confirmation. Welkom, Dominic.
Dominic: Dankjewel, leuk om hier te zijn.
Jeroen: Ja, absoluut, hartstikke leuk dat jij er bent. En ook Bart de Nijs van Deloitte, welkom.
Bart: Dankjewel, hartstikke leuk om hier te zijn.
Jeroen: Ja, heel erg leuk, en ik ben heel erg benieuwd. Want zoals ik al zei, voor mij is het een nieuwe wereld. Daar gaan we het zo uitgebreid over hebben. Maar allereerst wil ik natuurlijk weten met wie ik aan tafel zit, want zo’n summiere introductie van mij daar kunnen we niet zoveel mee, en daar kunnen luisteraars helemaal niets mee. Dus Dominic, misschien eerst aan jou de vraag, kun je iets meer over jezelf vertellen en wat je doet?
Dominic: Natuurlijk. Oké, nou, nogmaals heel leuk om hier te zijn, Jeroen. Bedankt voor deze uitnodiging. Mijn naam is Dominic Thijs, ik ben accounting manager voor Thomson Reuters Confirmation in Nederland. Dat betekent dat ik zowel met de banken als met de accountancy firms bijna op dagelijkse basis spreek en bezig ben. Even kort over mezelf: ik ben geboren in Den Haag, opgegroeid tussen Gouda en Rotterdam in een dorpje dat Nieuwekerk aan den IJssel heet. Na de middelbare school ben ik een hbo-studie gaan volgen in Rotterdam op de toenmalige Ichthus, dat is nu InHolland. Op mijn twintigste ben ik in het buitenland gaan studeren als onderdeel van een uitwisselingsprogramma en ben ik in Madrid beland. Dat duurde een jaar, die studie. Ik ben toen teruggegaan naar Nederland voor een master in finance en strategic management in Tilburg aan Tilburg University. En alsof het zo had moeten zijn, kreeg ik na die studie een baan aangeboden in Madrid. Dus ik heb mijn koffers weer gepakt en ben die kant op gegaan. En dat is alweer twintig jaar geleden, Jeroen. Dus ik woon en werk al twintig jaar in Madrid, heb voor verschillende multinationals gewerkt in die tussentijd, en vorig jaar ben ik bij Thomson Reuters Confirmation beland. Ontzettend leuk, een hele uitdagende functie. En ik zal jullie straks meer vertellen over wat het precies inhoudt.
Jeroen: Knap dat je nog zo goed Nederlands spreekt. Waarschijnlijk is je Spaans ondertussen beter, of niet?
Dominic: Ja, dat is inderdaad, ik wil niet zeggen beter, maar wel vloeiend. Ik ben getrouwd met een Spaanse en heb twee kinderen. En ik probeer hen zoveel mogelijk Nederlands te leren, want dat vind ik toch wel belangrijk, dat ze ook de Nederlandse cultuur meekrijgen. En dat gaat heel erg goed, dus ik spreek nog op dagelijkse basis Nederlands.
Jeroen: Dat helpt, dat helpt. En wat is nou, als je één ding mag noemen, het grootste verschil tussen werken in Spanje en werken in Nederland?
Dominic: Ja, nou moet ik eerlijk zeggen, toen ik twintig was ben ik al naar Spanje verhuisd, dus ik heb vrij kort in Nederland gewerkt. Maar ik zou toch zeggen dat de Nederlandse directheid er wel uitspringt. De manier van zaken doen, ook het samenwerken, gebeurt op een heel ander niveau. Ik had het er nog net met Bart over dat ook banken bijvoorbeeld onderling toch veel meer samenwerken, bijvoorbeeld met werkgroepen, en dat gebeurt ook onder de accountancy firms zelf meer dan je in Zuid-Europa ziet. Dus die directheid en samenwerking, dat springt er toch wel uit.
Jeroen: Nou, mooi. Dus het cliché van directheid is toch gewoon altijd weer waar, blijkt maar weer als ik jou zo beluister.
Dominic: Ja, zeker.
Jeroen: Bart, ook wat ik net al zei, ook jij van harte welkom. Kun je iets meer vertellen over jouw achtergrond en jouw huidige rol?
Bart: Zeker weten, dankjewel Jeroen. Nou, mijn naam is Bart de Nijs. Ik werk nu ruim acht jaar bij Deloitte binnen de audit- en assurancepraktijk. Per 1 oktober ook in de rol van auditmanager, dus hartstikke mooie stap weer. Dit voorjaar ben ik theoretisch afgestudeerd in de opleiding tot registeraccountant, en op dit moment ben ik bezig met een praktijkstage. Dus ik hoop binnen een aantal jaren ook mijn registeraccountantstitel te halen. Binnen de audit- en assurancepraktijk focus ik me met name op publieke en privaat gerelateerde klanten, variërend van handelsorganisaties, investeringsmaatschappijen tot een aantal grote overheidsinstellingen. Naast dat ik druk bezig ben met het auditen van bedrijven, vind ik het ook altijd leuk om bezig te zijn met innovatie. Dus hoe kan ik het beroep nu leuker, slimmer en ook efficiënter maken? Het is een beroep dat al heel lang bestaat, maar ook hier is de noodzaak hoog om te blijven innoveren, het beroep relevant te houden, en te kijken waar we het sneller kunnen doen.
Jeroen: Mooi.
Jeroen: En dat traject richting registeraccountant, richting RA worden, is dat nou een zwaar traject? Dat zegt men altijd, maar kun je dat confirmen, om maar even in de termen van deze podcast te blijven?
Bart: Dat kan ik zeker bevestigen. Zelf ben ik op mijn 18e gestart bij Deloitte, dus ik was vrij jong. Ik kwam van het VWO af en ging eigenlijk al meteen vier dagen in de week werken en één dag in de week studeren. En dat is best een pittig traject, maar met de juiste balans en de support vanuit Deloitte heb ik daar de goede balans in kunnen vinden en alles tot een goed einde kunnen brengen. In ieder geval de theoretische opleiding. Nu nog het laatste stukje voor de praktijk.
Jeroen: Prachtig. Ja, als je zo’n titel eenmaal hebt, dan zorgen dat je hem behoudt met allerlei PE-punten en dergelijke, maar het is wel iets dat denk ik heel waardevol is voor jezelf, maar ook voor de markt.
Bart: Zeker weten, het is een hartstikke waardevolle titel, en van veel mensen die ik spreek is het ook gewoon iets om goed te blijven behouden en bij te houden. Dus dat is ook zeker mijn doel.
Jeroen: Nog één andere vervolgvraag. Jij noemt innovatie, dat je dat een belangrijk en leuk onderdeel van je werk vindt. Dan denk ik meteen aan AI, of is dat niet waar je mee bezig bent?
Bart: Onder andere. Het is wel een topic van de laatste jaren dat ineens heel erg naar voren komt, maar als ik zelf een aantal jaren terugkijk, had ik best wel de behoefte om iets anders te doen naast de audit. Dus binnen Deloitte hebben we een aantal tools in gebruik, onder andere ook voor het confirmatieproces, en daar zochten ze een product owner of een topic owner voor, en zo ben ik eigenlijk betrokken geraakt in het hele proces dat nu ook centraal staat in deze podcast. Dus vanuit die gedachte ben ik daar ook bij betrokken geraakt en onderdeel geworden van een transformation change network, zoals we dat zo mooi noemen binnen Deloitte. Dat is eigenlijk een netwerk van collega’s binnen Nederland die binnen de verschillende kantoren actief zijn en proberen innovatie aan te jagen, en ook actief de collega’s te challengen: waarom maak je hier niet gebruik van? Hoe kun je dit op een andere manier doen? En vandaag de dag wordt daar ook de uitdaging rondom AI opgepakt.
Jeroen: Helder. Nou, je verveelt je denk ik niet, als ik dat zo beluister. Ik ben extra blij dat je dan de tijd hebt genomen om met Compliance Adviseert te praten over deze podcast. Even terug naar de basis. Zoals ik al zei, voor mij was het een hele nieuwe wereld, en dit hele bevestigings- en confirmatieproces gaat blijkbaar niet standaard digitaal. Die vraag wil ik graag beantwoord zien, maar daarvoor even: wat is eigenlijk confirmatie, of bevestiging, tussen de instanties die ik eerder noemde? Waar hebben we het eigenlijk over, Dominic?
Dominic: Ja, laat me eerst heel even Thomson Reuters toelichten, zodat je weet wat het bedrijf precies doet. Thomson Reuters is natuurlijk een enorm grote onderneming. Je hebt waarschijnlijk wel gehoord van Reuters. Reuters is de mediakant van Thomson Reuters. Reuters is ongeveer tien jaar geleden overgenomen door Thomson, en Thomson richt zich meer op technologische oplossingen voor verschillende branches. Aan de ene kant legal, en aan de andere kant tax en accounting, voornamelijk. Confirmation was een onafhankelijk bedrijf dat ongeveer zes jaar geleden is overgenomen door Thomson Reuters, en dat past natuurlijk volledig in de strategie van Thomson Reuters om oplossingen te bieden aan tax en accounting en legal. Het proces van confirmation is eigenlijk vrij eenvoudig. Het gaat erom dat voor financiële audits, zoals de audits die bedrijven als Deloitte uitvoeren over hun zakelijke klanten, financiële informatie moet worden opgevraagd bij de banken. En dat proces van het opvragen van die financiële informatie kan op verschillende manieren. Je hebt de traditionele methode, en die ging tot voor kort, en in sommige gevallen nog steeds, via de post of e-mail. Je hebt ook andere kanalen, zoals internetbankieren en platformen zoals Confirmation, die zorgen voor een veilige, compliant en efficiënte manier van het uitwisselen van die informatie.
Jeroen: En als je het hebt over die informatie, Bart, wat voor informatie is dat nou precies die de auditfirm bij die financiële instelling aan het opvragen is? Heel concreet, waar hebben we het over?
Bart: Het gaat met name om bankrekeningen, een overzicht van langlopende leningen, garanties, zekerheden, eigenlijk alle financiële producten die een organisatie afneemt bij een bank en die dan door een derde partij, de bank dus, worden bevestigd aan de accountant, zodat de klant dat niet hoeft te doen.
Jeroen: Het is toch eigenlijk wonderbaarlijk dat het nog per post gaat, of niet?
Bart: Dat is het zeker. En ik zou zeggen, e-mail klinkt ook al niet meer heel modern, toch? Dus dit moet toch makkelijker kunnen? Of gaat het om veiligheid, is dat de reden?
Bart: Je ziet dat banken daarin heel erg differentiëren. De ene bank is wat meer digitaal en innovatiever dan de andere bank, en misschien gaat het ook wel meer over compliance. Het gaat om de vraag wie gemachtigd is om te tekenen, en of de handtekening die voor de aanvraag is ingediend, ook geldig is. Soms zie je dat als ik een aanvraag met een digitale handtekening van een klant heb ingediend, die niet precies overeenkomt met de natte handtekening die bij de bank bekend is. Op dat moment zie je echt het stukje compliance: wie is mijn klant? Het hele KYC-proces wordt door de banken strikt nageleefd. En dat is ook begrijpelijk.
Jeroen: Ja, dus nog even voor de duidelijkheid: is nou de hoofdreden dat een deel nog steeds per post gaat, vooral meer compliance-gedreven, of is het meer dat we technisch nog niet zover zijn?
Bart: Ik denk dat het een combinatie van beide is, maar ik kan niet in de gedachten van de banken kruipen. Dominic, jij spreekt misschien meer met banken. Wat denk jij?
Dominic: Ja, daar kan ik wel even op inhaken. Om even terug te komen op wat je vroeg, Jeroen. Ik heb geen exacte cijfers over post, maar ik weet wel dat een aantal grote banken in Nederland ons platform gebruiken en daarnaast nog steeds veel aanvragen per e-mail ontvangen. In sommige gevallen gaat het wel om 80% van de aanvragen die nog via e-mail binnenkomen.
Jeroen: Dus je hebt eigenlijk post, bedoel je echte fysieke post, en dan heb je e-mail, en dan heb je beveiligde processen zoals internetbankieren en producten zoals Confirmation?
Dominic: Klopt, klopt. Het is nog steeds een vrij hoog percentage dat via redelijk onbeveiligde kanalen, zoals e-mail, wordt uitgewisseld.
Jeroen: En waarom gebeurt dat zo?
Dominic: Nou, ik denk dat het te maken heeft met procesverandering. Digitalisering is natuurlijk een concept dat we al heel lang kennen, zeker tien jaar, zo niet langer. En eigenlijk is elke onderneming daar op een bepaalde manier mee bezig. Maar ik denk dat sommige bedrijven het toch vaak moeilijk vinden om processen aan te passen. Want de voordelen van een digitale oplossing, zoals Confirmation, zijn makkelijk op te noemen. Maar de processen zijn vaak, ik wil niet zeggen vastgeroest, maar toch wel, waardoor het change management en de tijd die daarin gestoken moet worden een drempel vormen.
Jeroen: Maar blijkbaar is dit niet eentje die hoog op de agenda staat om te veranderen. Want ik bedoel, met mijn telefoon kan ik overal betalen. Je kan internetbankieren, je kan geld overmaken in de hele wereld.
Weet je, al die dingen kan ik als particulier, laat staan die tussen grote financiële instellingen en grote accounting audit firms. Blijkbaar is het niet de prioriteit of zo, dat ze het nog niet gedaan hebben.
Dominic: Nou, ik denk dat het in de lift zit. Want als ik bijvoorbeeld kijk naar het gebruik van ons platform, dat wordt al gebruikt door wereldwijd meer dan 16.000 accountancy firms, meer dan 4.000 financiële instellingen. Dus het gaat de goede kant op. En ik denk dat een goede ontwikkeling ook is dat compliance en risk een steeds belangrijkere rol krijgen in de organisaties. En dat geeft ook wel aan dat ze voldoen aan dat soort regelgevingen. Want binnen confirmation, binnen het auditproces, hebben we bijvoorbeeld een regelgeving die heet de International Auditing Standards, de ISA 505. En daar krijgen we ook nog steeds meer bedrijven die daar gewoon aan willen en moeten voldoen.
Jeroen: Dat is natuurlijk ontzettend vertrouwelijke informatie die daar even rondgestuurd wordt, op welke manier dan ook. Of dat nou per e-mail of per fysieke post is of via jullie.
Dominic: Klopt, het gaat echt om de financiële informatie van bedrijven die geaudit worden door bijvoorbeeld een Deloitte. En dat is zeker weten gevoelig.
Jeroen: Ja, is het nou uiteindelijk veiliger via bijvoorbeeld zo’n bevestigingssysteem of via internetbankieren of wat dan ook?
Bart: Ik wil niet per se zeggen dat het veiliger is. Ik denk met name dat het proces efficiënter maakt en gecentraliseerder. Een voorbeeldje wat ik misschien kan noemen is: als bijvoorbeeld een nieuwe hire bij Deloitte binnenkomt en ik vraag hem om iets te doen met de controle van de banken, moet ik diegene uitleggen dat voor iedere bank een verschillend proces aanwezig is om uiteindelijk een confirmatie op te vragen. Dat kan best wel lastig zijn, want we proberen het op één manier te controleren en we streven steeds meer naar standaardisatie en misschien ook automatisering van dat soort controlewerkzaamheden. Als het proces aan de voorkant al heel gedifferentieerd is, hoe kunnen we dan aan de achterkant dat weer automatiseren of standaardiseren?
Jeroen: En je triggerde me ook even toen je zei van het checken van de handtekening voor KYC-doeleinden, onder andere de echtheid van een document. Kan dat als je dit via zo’n technische omgeving doet ook makkelijker? Dat je dat beter kan controleren of is het juist gevoeliger voor fraude?
Bart: Ik denk dat dat wel kan. Een voorbeeld van Dominic’s platform is dat daar één persoon aan toegevoegd kan worden. Die kan ook een digitale handtekening geven en die kan bijvoorbeeld gematcht worden met de KVK-data die beschikbaar is.
Dus is diegene echt ingeschreven als statutaire bestuurder? Op het moment dat dat op die manier is gedaan, kan het voor banken ook een eenvoudige check zijn: komt de persoon die gemachtigd is in een digitaal platform overeen met de gegevens die we hebben? Dat neemt de noodzaak voor een check van de digitale handtekening weg, maar wel of diegene überhaupt gemachtigd is om zo’n aanvraag te kunnen autoriseren.
Jeroen: Hoeveel van dit soort uitvragen doe jij bijvoorbeeld of doen jouw mensen of jouw collega’s? Heb je daar een gevoel bij?
Bart: Voor mijn persoonlijke klanten denk ik een stuk of 10-15 per jaar, maar in principe voor ieder land. Het is afhankelijk van het aantal banken waar een klant bankiert. Ook daar is het weer afhankelijk van wat voor proces een bank heeft ingeregeld. De één accepteert een alomvattende bedrijfsbrede aanvraag en de ander wil het per bankrekening specifiek.
Jeroen: Ontzettend gefragmenteerd landschap.
Bart: Zeker weten.
Jeroen: Heb jij ook aantallen, Dominic? Hoeveel gemiddeld doet zo’n accounting firm als Deloitte, of heb jij iets van getallen? Weet jij daar iets van? Misschien mag je het niet delen?
Dominic: Jawel, dat kan ik wel. Op ons platform zien we bijvoorbeeld dat de accounting firms uit de Big Four duizenden requests per jaar hebben. Het gaat ook om een groot aantal klanten. Sommige klanten hebben meerdere aanvragen die verstuurd moeten worden. Het gaat om meerdere banken die betrokken zijn. Dat zijn vrij hoge aantallen. Wat ik er nog meer over kan zeggen, is dat het ook wel in de lift zit. We zien dat het aantal aanvragen via ons per jaar met 20% toeneemt. Deloitte helpt daar ook zeker mee, want daar ligt dat percentage zelfs hoger.
Jeroen: Je moet wel iets positiefs over Deloitte zeggen, dat begrijp ik.
Dominic: Ja, daar heb ik al een notitie op geschreven.
Voice-over: Dit is Compliance Adviseert.
Jeroen: In mijn mini-introductie aan het begin zei ik dat het tussen banken of andere financiële instellingen, advocatenkantoren en auditors is. Van wie naar wie is het nou precies? In het begin legde jullie uit dat de auditfirm bijvoorbeeld iets uitvraagt bij een financiële instelling, bij een bank. Of is het ook weer via het advocatenkantoor en de auditor, of via de auditor en de bank? Waar zitten precies de connecties?
Dominic: Ja, ik kan dat even uitleggen. Die workflows omvatten eigenlijk drie partijen. Centraal staat de accountancyfirm, want die verstuurt de aanvraag voor financiële informatie naar de bank. Maar dat is niet de eerste stap. De eerste stap is het verkrijgen van een autorisatie van de klant van de auditfirm. Dus de klant moet eerst autoriseren dat de financiële informatie over hen wordt opgevraagd bij de bank.
Dat is stap één. Als dat eenmaal gedaan is, dan wordt er…
Jeroen: En die flow gaat niet via het systeem of ook?
Dominic: Ja, het gaat ook via het systeem.
Jeroen: Dus het gaat van de auditfirm naar de klant en van de klant weer terug naar de auditfirm?
Dominic: Klopt. En van de auditfirm gaat het naar de bank. En de bank krijgt die aanvraag binnen. Die moet die aanvraag evalueren. Die moet kijken of inderdaad de handtekeningen correct zijn. Zoals Bart al aangaf: is de informatie over de klant, bijvoorbeeld de rekening, correct? Als alles klopt, kan de bank die informatie uploaden en terugsturen naar Deloitte. Deloitte kan dan beginnen aan hun audit.
Dus eigenlijk een vrij kort proces met vier stappen.
Jeroen: Ja, maar goed, vier stappen is genoeg om te zorgen dat er heel veel mis kan gaan natuurlijk. Zeker als, zoals jij net vertelde, elke bank een ander proces heeft en elke auditfirm natuurlijk net weer anders werkt, dan krijg je best wel veel verschillende dingen. Ik ben wel benieuwd: als een klant bevestiging wil geven, dat is de eerste stap, van de auditfirm naar de klant, weet die dan altijd hoe dit werkt? Moet die dan ook zo’n tool hiervoor hebben om dat te kunnen doen? Moet hem dat dan uitgelegd worden? Hoe gaat dat praktisch?
Bart: We moeten de klant daar wel in meenemen. Het is niet van: “Hé klant, we gaan dit doen. Je ziet wel een mail in je mailbox verschijnen, graag even autoriseren.” We nemen de klant daar wel in mee. Dat kan via het platform van Dominic, maar het kan ook via ons eigen platform van Deloitte. Uiteindelijk moet je een klant meenemen in zo’n proces van digitalisering. Waar je soms in het verleden zag dat klanten het soms zelf opvroegen, is het nu iets wat we ook uit handen proberen te nemen. We nemen de klant daar in mee: wees niet bang, wij als accountants kunnen dat doen en moeten dat ook doen.
Jeroen: Zijn jullie dan uiteindelijk, jullie, niet alleen Deloitte, maar alle auditfirma’s, diegenen die dit proces aanjagen van digitalisering? Of moet dat toch vooral vanuit financiële instellingen komen? Ga ik zo ook aan jou en Dominic vragen, dezelfde vraag. Ik denk, ja, ik vind dat een lastige vraag om eerlijk te zijn. Het kan van beide kanten komen, maar misschien heb jij een andere kijk daarop.
Dominic: Nee, absoluut. Van beide kanten denk ik, van de auditfirma en van de bank, maar ook van de klant zelf. Want de klant is ook steeds meer bewust dat de financiële informatie natuurlijk uitgewisseld moet worden voor hun audit. En die neigen ook steeds meer naar de eis dat dat op een veilige en efficiënte manier gebeurt.
Jeroen: Ik kan me voorstellen, je weet deze podcast heet Compliance Adviseert, dus er luisteren veel mensen die in het compliance domein van financiële instellingen werkzaam zijn. Zijn zij ook de aanjagers daarvan? Is dat ook een groep die zegt van dit is wel een manier om misschien fouten te voorkomen, maar ook om te voldoen aan alle andere eisen rondom privacy en regulatie enzovoort?
Dominic: Ja, dan ga ik het nu hebben over de banken, want ik probeer ook als onderdeel van mijn werk meer banken op ons netwerk te krijgen, zodat bijvoorbeeld in Deloitte meer aanvragen kan versturen. Dat ze dat kunnen centraliseren op bijvoorbeeld ons platform. Het hangt een beetje af van de bank. Wat ik net al aangaf, ik denk dat compliance en risk steeds belangrijker worden, steeds meer een centrale functie krijgt in de banken. Dus ik denk dat ze er zeker bij betrokken zijn, maar het zijn aan de andere kant niet de product owners binnen de bank. Dus compliance en risk gebruiken ons platform niet. Dat is toch meer bijvoorbeeld operations, maar ik denk dat compliance en risk er wel steeds meer bij komt kijken. Dat ze toch ook wel steeds meer influencers worden binnen de bank om dit soort processen te implementeren.
Jeroen: Ik kan me ook voorstellen als er een paar rode vlaggen binnenkomen bij het compliance-department van “hé, er zijn e-mails gehackt” of “er is privacygevoelige data kwijtgeraakt” of “er is een verkeerde handtekening gebruikt”, dat we hadden kunnen voorkomen dat het dan inderdaad een influencer, zoals jij het noemt, wordt. Dat is wel een mooie term ervoor. Ik weet niet of ze het zelf zo zouden zien, maar die influencers staan niet altijd in een goed daglicht, maar dat is weer wat anders. Wat ik je ook wilde vragen, is technologie. Is dit nou eigenlijk niet heel simpel, de techniek hierachter? Even een stelling.
Dominic: Nou ja, nee zeker. Ik zou zeggen, het is zeker niet ingewikkeld. Dat is ook denk ik wel ergens het mooie ervan. Totdat het een vrij rechttoe-rechtaan workflow is. Het is voor de partijen makkelijk om te gebruiken. Dat wil niet zeggen dat het misschien wel complexer wordt, want je hebt natuurlijk nieuwe trends zoals artificial intelligence, waar ook wij naar aan het kijken zijn. Hoe we dat kunnen gebruiken voor ons platform. Dat wil natuurlijk ook niet precies zeggen dat het ingewikkelder wordt, maar laten we zeggen dat het wel onderhevig is aan verbeteringen en aan een evolutie.
Jeroen: Ik ga nog een beetje door op mijn initiële vraag. Is het dan wel een zware investering die jullie gedaan hebben in dat platform? Of zeg je dat het eigenlijk ook heel makkelijk is om na te maken? Kunnen ook andere partijen het ook zo gaan doen? Of misschien doen de Big Four hun eigen systemen?
Dominic: Het platform zelf bestaat al twintig jaar. In die tijd heeft Thomson Reuters echt heel hard gewerkt om bijvoorbeeld een stabiel netwerk op te bouwen. Want zoals ik al aangaf, het banknetwerk is heel belangrijk voor een platform zoals Confirmation. Want hoe meer banken er op het platform zijn aangesloten, hoe makkelijker het voor auditfirma’s is om het te gebruiken. En dat gebeurt natuurlijk niet zomaar. Dus daar is het bedrijf al lang mee bezig geweest. Het moet natuurlijk wel goed lopen, zo’n platform. Je kunt er geen fouten bij permitteren.
Jeroen: Er loopt geen cyberaanval. Ik neem aan dat je ook veel in cyber investeert? Volgens mij is dat ook een belangrijke kostenpost. Of zeg je dat het een investeringsplek is?
Dominic: Ja, we zijn continu onderhevig aan tests, security tests, SOC-tests, penetration tests. Dat gebeurt op een continue basis om die veiligheid van het platform te garanderen, absoluut.
Jeroen: Helder. Wat ik benieuwd naar was om nog aan jou te vragen, Bart, is: je zei zelf ook al dat er andere methodes zijn. Je hebt ook een eigen manier. Wat maakt het nou dat je bijvoorbeeld met, want je zit hier natuurlijk samen aan tafel met Dominic, jullie werken veel met elkaar samen. Wat maakt het dat je zo’n extern platform gebruikt? Wat is daar het voordeel van?
Bart: Ik denk dat het het proces vereenvoudigt. Het is echt een gestandaardiseerde manier van het aanvragen van de confirmaties, het monitoren daarvan, en uiteindelijk het ontvangen daarvan. Je merkt toch dat op het moment dat banken kiezen voor hun eigen proces—dat kan per post, dat kan per mail—dat je toch wat extra handmatige stappen nodig hebt om uiteindelijk dat proces te monitoren. Deels daarvan proberen we ook te ondervangen met onze eigen tool vanuit Deloitte, maar soms faciliteer je dat daar niet helemaal in. Je merkt toch dat je gewoon wat meer tijd daaraan kwijt bent om dat handmatig te monitoren. We zijn daarin ook gewoon heel erg afhankelijk van wat de preferred way of working is van een bank. De ene bank wil heel graag zijn eigen proces gebruiken. Daar zou een eigen tool vanuit Deloitte wel geschikt voor zijn, maar een andere bank wil bijvoorbeeld alleen het platform van Dominic, Confirmation.com, gebruiken. En waar mogelijk maken we gebruik van dat platform, en waar niet, proberen we onze eigen manier van werken toe te passen.
Jeroen: Ik kan me vanuit jullie kant voorstellen dat een enige mate van standaardisatie erg prettig is met al die flows die jullie toch al hebben.
Bart: Zeker weten, en op het moment dat we bijvoorbeeld ook nog iets van AI kunnen toepassen is dat natuurlijk helemaal mooi. Op het moment dat je standaarddocumenten door AI kunt laten analyseren, biedt dat heel veel kansen en ook weer een stukje efficiëntie in het werk dat we kunnen bewerkstelligen.
Jeroen: Is er een rol voor wet- en regelgeving weggelegd om dit verder richting digitalisering, richting automatisering te drukken? Is er iets op komst, of is er al iets misschien?
Dominic: De ISA 505, die ik al eerder heb genoemd, dat is de International Auditing Standards, die zijn er al, die bestaan ook al best wel lang en daar voldoet ook het platform voldoende aan, aan die regelgeving. Het is natuurlijk een continu proces met nieuwe regelgeving. Dat is ook waarom ik denk dat compliance en risk hier steeds meer bij komt kijken. Het is natuurlijk een heel dynamisch en continu proces, en er komt steeds meer regelgeving bij.
Jeroen: Maar er is niet bepaalde regelgeving op komst waarvan jij weet dat het niet meer per mail mag?
Dominic: Nee, dat ben ik niet van op de hoogte.
Jeroen: Het zou niet eens heel raar zijn toch, in deze tijd?
Dominic: Dat klopt, het zou zeker niet raar zijn en ISA 505 geeft ook al aan dat die workflow die wij volgen, dat dat de correcte workflow is. De klant moet bijvoorbeeld zo min mogelijk betrokken worden bij het uitwisselen van financiële informatie voor een audit, want dat staat natuurlijk open voor mogelijke fraude. Dus ja, dat wordt al zo uitgestippeld in die regelgeving.
Bart: Een mooi voorbeeld is natuurlijk de Wirecard-affaire.
Dominic: Absoluut.
Bart: Van een aantal jaar terug, waar we zagen dat Wirecard in de lead was rondom het confirmatieproces en achteraf bleek dat 2 miljard niet bestond. Het moment dat daar een onafhankelijke partij tussen zit—dat kan een auditfirma zelf zijn die daar in de lead is, maar ook een platform dat daarin kan faciliteren—neemt dat risico naar mijn idee wel weg.
Dominic: Ja, absoluut. Dat soort incidenten of fraudezaken zijn voor veel banken een beslissende factor om dit soort processen te accepteren en te implementeren, want je bent gewoon een stukje fraudebestendiger.
Jeroen: Hoeveel jaar duurt het nog voordat er gewoon niks meer per mail of fysieke post gaat in het auditproces? Ik kijk jou maar eerst even aan, Bart.
Bart: Ik hoop zo kort mogelijk.
Jeroen: Wat is je inschatting? Kan ik je dit op de band zetten, en dan kan ik het over een paar jaar nog eens terugluisteren?
Bart: Ik denk 1, 2, misschien maximaal 3 jaar.
Jeroen: Echt waar?
Bart: Ik denk dat banken nu wel steeds meer de noodzaak gaan inzien. Ik merk al wel een verschuiving bij banken waar eerst dingen per post gingen, dat dat nu al per mail gaat. En wie weet dat banken nog steeds meer de noodzaak gaan inzien dat het geautomatiseerder kan.
Jeroen: Dat is wel goed nieuws voor jou, Dominic.
Dominic: Ik kan ook alleen maar zeggen, ik sluit me aan bij Bart zijn opinie.
Jeroen: Ik had eerder gedacht 5 tot 10 jaar voordat het helemaal weg is. Ik zoek maar even een vergelijking. Met bankafschriften is het nog steeds niet allemaal digitaal. Er zijn nog steeds mensen die dat fysiek ontvangen. Misschien hebben we het dan over de laatste 5% ofzo. Maar dat 95% dan via dit soort processen loopt.
Dominic: Ik moet er ook wel bij zeggen. Ik gaf net een voorbeeld van de hoeveelheid requests die verstuurd worden door bijvoorbeeld de Big Four accountancyfirma’s. Dat kan zich ook vertalen naar de banken. Sommige banken handelen grote aantallen requests af, maar de wat kleinere banken hebben het misschien over tientallen requests per jaar. Dus ook die banken moeten zich bewust worden van de noodzaak om mail en post achter zich te laten, al gaat het om een vrij klein aantal verzoeken. Want een fraudezaak zoals Bart net aangaf, dat kan het gevolg zijn van één case, van één voorval.
Voice-over: Je luistert naar Compliance Adviseert.
Jeroen: Ik heb nog drie vragen voor jullie. We zijn ondertussen alweer aardig op weg in deze aflevering van Compliance Adviseert. Drie vragen van mijn kant. In de eerste plaats bredere toepassing. We hebben het nu echt specifiek over die auditing flows, noem ik het maar even op mijn, als een outsider, manier van verwoorden. Maar is dit niet veel breder toepasbaar voor heel veel andere documentatie ook?
Bart: Zeker. Ik denk dat daar ook een hele mooie kans ligt voor bijvoorbeeld open banking. Ik praat in het begin heel erg over de bankstanden, de leningen, de zekerheden, etcetera. Maar ik denk dat wij als accountants steeds meer geïnteresseerd zijn in een hele brede dataset van de bankgegevens en transacties, om ook echt in te kunnen prikken op de transacties. Wat gebeurt er nu überhaupt door een jaar heen? Zien we opvallende, misschien wel ongebruikelijke transacties waar we op door willen vragen? Op het moment dat een confirmatie of een standaard bankverklaring meer data omvat dan alleen de punten die ik net aanhaalde, kan dat veel relevanter zijn en meer waarde toevoegen voor ons als accountants.
Dominic: Dat is heel goed verwoord. Daar zijn we ook zeker mee bezig om te kijken wat voor extra informatie er uitgewisseld kan worden. En dan wordt zo’n platform misschien ook interessant voor andere gebruikers. Om maar iets te noemen, legal offices of misschien zelfs deurwaarders. Je weet het niet.
Jeroen: Ik kan me ook voorstellen dat het inderdaad steeds veel breder toepasbaar is. Als je eenmaal een betrouwbaar platform hebt. Want uiteindelijk zit het allemaal net zoals alles in de financiële sector. Het is gewoon trustbusiness. Je moet vertrouwen erin hebben dat het goed gaat. Dan gaan mensen je gebruiken, blijven ze je gebruiken. Jullie twee zijn daar natuurlijk, beide organisaties zijn natuurlijk ongelooflijk cruciaal in. Want als er geen vertrouwen is, met het voorbeeld dat jij er straks aanhaalde, dan gaat het hard bergaf. Dat is zeker waar. Tweede vraag van de drie is tips. Dat doen we altijd bij Compliance Adviseer. Dus ik wil die traditie niet doorbreken. In deze hoek waar jullie opereren. Het hoeft dus echt niet over het hele confirmationproces te gaan. Maar met een internationale werkervaring. En natuurlijk jij die al je stappen in je carrière hebt gemaakt, Bart. Hebben jullie tips voor mensen die in de hoek van audit of waar jij zit of risk of compliance? Hebben jullie tips voor mensen die starten op de arbeidsmarkt in die hoeken? Wie mag het alle kanten opnemen? Bart?
Bart: Interessante vraag. Als ik vanuit mijn eigen ervaring mag spreken. Wat ik de afgelopen jaren wel heb gemerkt, is dat op het moment dat je in een grote organisatie als Deloitte, maar ook überhaupt in een andere grote organisatie iets wilt bereiken. Waarvan je denkt ik zie iets wat sneller, slimmer, efficiënter kan. Durf het te zeggen. Dare to speak up. Want op dat moment kunnen mensen dat signaal oppikken. Kunnen ze erover nadenken en mee aan de slag. Wordt het niet gedaan, dan blijft het proces zo gaan zoals het al die jaren gaat. En dat relateert misschien ook terug naar het onderwerp waar we nu over praten. Als het niet geadresseerd kan worden, dan blijft het zo gaan zoals het gaat. En blijf misschien gebruikmaken van de mail en de post.
Jeroen: Heb jij zelf ook die ontwikkeling moeten doormaken? Dat je in het begin misschien minder snel iets zou roepen en nu wat sneller?
Bart: Ik denk dat dat wel met de jaren is gekomen, ja. Dat wordt ook wel steeds meer aangemoedigd. Van durf het ook gewoon te adresseren. Durf het te zeggen en probeer ook gewoon je mannetje te verstaan.
Dominic: Wat kan ik daaraan toevoegen? Ik denk inderdaad wat Bart zegt, communicatie is ontzettend belangrijk. En omdat compliance natuurlijk impact heeft op de gehele organisatie, denk ik ook dat het communiceren met de andere afdelingen binnen het bedrijf erg belangrijk is. Want wat ik ook nog wel veel zie, is dat er erg gewerkt wordt in silo’s. En dat het succes ook vaak ligt in de transversale communicatie tussen afdeling A en afdeling B.
Jeroen: Wat is de tip voor de starter dan, om daar aan bij te dragen?
Dominic: Wat moet hij of zij doen? Ik denk om zich te verdiepen in hoe compliance andere afdelingen direct, wat voor impact dat heeft. Ik denk dat bijvoorbeeld een ISA 505, dat is overal wel bekend binnen de organisatie.
Jeroen: Dus als ik het heel concreet maak, als starter blijf je verdiepen, dus lees veel eigenlijk. Of luister of kijk, maar blijf jezelf uitdagen om steeds nieuwe dingen te leren, behalve alleen maar te doen wat je op een dagelijkse basis doet. Dan moet het zo even naar je woorden. Ik probeer het een beetje terug te brengen naar die tip, maar ja, helder. En ik had gezegd drie vragen. De laatste vraag is een hele algemene. Ik heb jullie heel veel vragen mogen stellen. Het is mij echt veel duidelijker geworden dat dit überhaupt een probleem is en waar het naartoe gaat en hoe het werkt. Het is een heel interessante, totaal nieuwe wereld voor mij. Maar misschien zeg je wel van, Jeroen, er is iets wat echt op tafel moet komen. Dan is dit het moment, want hierna gaan we een beetje afronden. Dus ik weet niet of jullie nog iets hebben waarvan je denkt, dat had je echt moeten vragen, Jeroen, of dat wil ik kwijt?
Bart: Ik heb misschien nog wel een puntje waar ik benieuwd naar ben, ook gerelateerd aan een vraag aan Dominic. Het proces vanuit confirmation is dat er eigenlijk pdf-documenten met elkaar worden uitgewisseld. Die pdf-documenten zijn eigenlijk een doorgegeven lijk van de confirmatie van de bank, maar wordt er binnen Thomson Reuters ook nagedacht over het standaardiseren van dat soort documenten en ook het breder maken, zodat bijvoorbeeld een SBR-workflow of het met AI analyseren van data gestandardiseerder kan. Dat het niet weer een documentuitwisseling is, maar echt een stapje verder met een bredere toepasbaarheid en ook een slimmere manier om te analyseren.
Jeroen: Goeie vraag. Ja, dat is een hele mooie afsluiter. Dominic, succes.
Dominic: Nou ja, enerzijds zeker. Het gebeurt vooral namelijk nog via pdf’s. Die standaardisering van documenten binnen zo’n proces als confirmation, daar zijn we inderdaad mee in gesprek, bijvoorbeeld een SBR-nexus. Dus dat soort zaken liggen zeker op tafel. Dat is ook wel belangrijk, want het wordt natuurlijk steeds belangrijker om te voldoen aan de vraag van accountancy firms en banken om dat te diversificeren en om het makkelijker en sneller te maken. Nou, daar komt bijvoorbeeld artificial intelligence ook weer bij kijken. We zijn bijvoorbeeld bezig met het kijken hoe AI snel door documenten heen kan gaan om te bevestigen dat het daadwerkelijk informatie is voor de klant waar het om gaat. Dus om te vermijden dat er per ongeluk foutieve informatie wordt aangeleverd. Dus ja, die kant gaat het zeker op. En automatisering is dan ook weer een punt. Het gebeurt nu nog erg handmatig, het uploaden van informatie op ons platform. Daar komen ook API’s bij kijken om dat te automatiseren en om daar nog meer tijd op te winnen.
Jeroen: Dat was een hopelijk goed antwoord, Bart. Ben je tevreden? Heb je andersom nog een complexe vraag voor Bart of überhaupt nog iets terug naar mijn initiële vraag van wat je zou willen delen hier wat ik niet heb aangestemd?
Dominic: Het is wel redelijk compleet, denk ik. Misschien voor Bart de vraag of er binnen zo’n grote onderneming als Deloitte projecten op tafel liggen om ook dit soort processen inderdaad nog sneller te maken om de klant daar meer bij te betrekken.
Bart: Binnen Deloitte liggen niet per se concrete processen op tafel om de klanten meer, projecten om de klanten erin te betrekken. We zijn wel aan het nadenken of we dit meer kunnen centraliseren vanuit Deloitte, ook vanuit een capaciteitsvraagstuk. ESG komt op ons af. De verwachting is dat dat extra veel tijd met zich mee gaat brengen. Op het moment dat wij voor al onze klanten diverse processen moeten doorlopen voor het aanvragen van confirmaties, kunnen die tijd misschien ook outsourcen naar onze collega’s op een andere plek binnen Europa of in Azië. Om uiteindelijk ook weer capaciteitsvrij te spelen voor de nieuwe compliance regelgeving die op ons af komt ten aanzien van ESG.
Jeroen: Heren, heel erg veel dank voor jullie tijd. Ontzettend interessant. Ik dacht nou we kunnen in vijf of tien minuten hebben dit wel helemaal duidelijk dit onderwerp maar totaal niet. We hadden toch nog meer dan veertig minuten nodig. Het is alleen maar denk ik een testimonie dat het toch weer veel ingewikkelder en boeiende is als je in een onderwerp duikt waar je nog weinig van af wist voordat ik aan deze podcast begon. Dominic Thijs van Thomson Reuters Confirmation en Bart de Nijs van Deloitte. Ik wil jullie allebei heel hartelijk danken voor je tijd. Om mijn dank wat kracht bij te zetten heb ik zo meteen een klein bedankje om na de aflevering aan jullie te overhandigen. Nogmaals veel dank.
Dominic: Bedankt Jeroen voor deze uitnodiging.
Bart: bedankt Jeroen.
Voice-over: Je luisterde naar Compliance Adviseert. Deze podcast werd mede mogelijk gemaakt door Deloitte, de Volksbank, Hiargis en Osborne Clark. Meer weten of een reactie achterlaten? Dat kan op onze LinkedIn. Als je ons daar volgt ben je bovendien altijd op de hoogte van nieuwe afleveringen. Natuurlijk zijn we je zeer dankbaar als je een review achterlaat en meer mensen vertelt over deze podcast. Vergeet ook niet te kijken naar de andere podcasts op ons kanaal. Er zit vast iets tussen dat je aanspreekt. Bedankt voor het luisteren.
