Voice-over: Welkom bij de Leaders in Finance Compliance Podcast. Met experts, adviseurs, bestuurders en de business bespreken we risk en compliance binnen de financiële wereld en alle uitdagingen en dilemma’s die daarbij horen. Want voor het juiste en rechte pad bestaat geen navigatiesysteem.
Deze podcast wordt mede mogelijk gemaakt door Deloitte, Rabobank, Cense en Osborne Clarke. Je host is Jeroen Broekema.
Jeroen: Welkom luisteraars bij een nieuwe aflevering van de Leaders in Finance Compliance Podcast. Hartstikke leuk dat je luistert. Ook vandaag hebben we, denk ik, weer een heel interessant onderwerp met interessante mensen hier aan tafel. Het gaat vandaag over de rol van risk en compliance binnen innovatie. Of met andere woorden: hoe kan risk management innovatie ondersteunen, of wellicht zelfs aanjagen, maar in ieder geval ervoor zorgen dat risk management innovatie niet vertraagt.
Dit onderwerp bespreek ik vandaag met Olaf Smit, Global Head of Risk Management bij Adyen, en daarnaast met Pieter van Doorn, Partner bij Deloitte. Welkom beiden. Ik ben heel blij dat jullie er zijn. Ik vind het ook een heel interessant onderwerp. We hadden het er in het voorgesprek kort over dat dit thema eigenlijk in al die podcasts over compliance en risk management nooit op deze manier naar voren is gekomen, in relatie tot innovatie. Voordat we het daarover gaan hebben en er veel dieper op ingaan, wil ik natuurlijk eerst heel graag meer weten over mijn gasten vandaag, Olaf en Pieter. Te beginnen bij jou, Olaf: kan jij iets meer kleur geven aan jouw huidige rol, maar ook jouw achtergrond, en misschien zelfs iets over jou persoonlijk? Het zijn in feite drie vragen in één, dus de floor is yours.
Olaf: Dankjewel Jeroen, ik ga mijn best doen. Zoals gezegd: Olaf Smit. Ik werk bij Adyen, dat doe ik nu al een jaar of zes, en ik geef leiding aan onze risicomanagementfunctie binnen Adyen. Ik opereer binnen de organisatie van onze CRCO en ik ben verantwoordelijk voor een aantal risicotypes. Dat klinkt misschien een beetje abstract, maar ik kan het wel iets concreter maken. Dat zijn de financiële risico’s, onze tech risico’s (dus information security en IT, heel relevant voor een techbedrijf als Adyen), onze strategische risico’s, onze productontwikkelingsrisico’s en onze operationele risico’s. Het is best wel een breed palet aan risico’s dat we afdekken. Dat is mijn primaire rol. Andere mensen binnen Adyen kennen mij misschien ook als iemand die alle hardlooporganisaties op zich neemt. We zijn een sportief bedrijf, en ik ben ook een hele lange tijd de vertrouwenspersoon binnen Adyen geweest. Dus dat zijn eigenlijk de drie rollen, waarbij ik er slechts voor eentje betaald word, en dat is die eerste.
Jeroen: En hiervoor, wat heb ik hiervoor gedaan?
Olaf: Ik ben hiervoor consultant geweest, hier Pieter knikkend naast me. Dat heb ik twaalf jaar gedaan. Ik heb twaalf jaar bij EY gewerkt, altijd risicomanagement gedaan in de financiële sector. Dus mijn achtergrond is ook echt financieel risicomanagement, en vanuit daar heb ik het verbreed. Twaalf jaar lang met heel veel plezier gedaan. Ik vind het ook nog steeds een prachtig bedrijf, ik ben er opgegroeid. Maar na een jaar of twaalf begon de vraag zich toch wel op te roepen: wat nu? Ga ik hier echt committeren, richting langetermijnpartner worden, dat soort zaken? Of roept het avontuur elders? Wat ik toen gedaan heb, is een downloadje gemaakt, heel praktisch, van alle klanten die ik ooit heb bediend of advies heb mogen geven in die twaalf jaar. En dan kwam er een rijtje uit van, ik denk, 60 à 65 klanten in twaalf jaar, in Nederland en in Engeland. En toen ben ik gaan strepen: waar zou ik eventueel willen werken? Alleen al om de gedachten te cultiveren. En er bleef een rijtje van drie over. Ik herinner me dat nog goed, want het was echt een aha-erlebnis. En één daarvan was Adyen, die stond ook bovenaan. Via wat gemeenschappelijke kennissen die daar werkten heb ik toch de stap gemaakt. Dat is toen zes jaar geleden, en geen seconde spijt van gehad, moet ik zeggen.
Jeroen: Wat mooi. Dit roept natuurlijk ongelooflijk veel vragen bij mij op, maar ik kies er drie uit. Eén: twaalf jaar in die consulting, nu zes jaar bij Adyen. Hoe anders is consulting versus werken bij één bedrijf?
Olaf: Anders, maar ik had wat ik nu bij Adyen doe nooit kunnen doen zonder die consulting-achtergrond. Als ik binnen mijn team, binnen de functie, mensen aanneem, dan heeft toch wel zeker 70% een big four-achtergrond. Wat je goed leert als consultant is een kader van opleveren. Dus je hebt een bepaald project en je hebt een bepaald vraagstuk, en je probeert daar een product van te maken dat echt waarde toevoegt. Nou, binnen een bedrijf als Adyen, waar er zo ontzettend veel innovatie en ontwikkeling plaatsvindt, is dat een dagelijkse uitdaging: hoe rond je iets af? Hoe voeg je iets toe? Hoe maak je iets duurzaam? Hoe maak je iets schaalbaar, maar op zo’n manier dat je ook verder kan met het volgende project? Dat is echt iets wat ik heb geleerd als consultant. Wat anders is? Ja, wat anders is, is de tijd en de rust om op de lange termijn aan één organisatie te bouwen. En dat is buitengewoon goed bevallen. Want deze klant, om het zo te zeggen, deze werkgever, die kun je zelf kiezen. Ik ben heel erg blij dat ik hier werk, ook om die lange termijn, die langere adem, te kunnen toepassen op één vraagstuk.
Jeroen: Mooi. Ik zie jou steeds kijken naar Pieter. Dat is toch mooi, hoe je even nadenkt. Er zit hier een partner van een big four-kantoor, van Deloitte in dit geval.
Pieter: Ja, het is ook veel herkenbaar wat je vertelt. Ja, precies. Ergens kijk ik ook in de spiegel, want dat is het big four-deel.
Olaf: Ja, je zit ook dichtbij, dus als ik iets verkeerds zeg, dan krijg je een por.
Jeroen: Mooi. Ik had drie follow-up vragen beloofd, Olaf. De tweede is: jij somt net even alle risico’s op alsof het niks is. Ik probeer ze na te vertellen hier: financiële risico’s, tech, data, strategische, product, operationeel. Dat klinkt als heel erg veel. Is dat realistisch om daarvoor allemaal een mate van verantwoordelijkheid te hebben in die tweede lijn?
Olaf: Ja, gelukkig doe ik dat niet alleen. Zo simpel is dat. Om specifieke aantallen te noemen, dat doen we meestal niet, maar rond de 25, dus dat is echt wel overzichtelijk. Kijk, Adyen, misschien als achtergrond, heeft ongeveer 5000 mensen. Daarvan is 40% tech, die kun je als tech engineers betitelen. 40% is commercieel en de 20% die overblijft is ondersteunend en die zorgt ervoor dat dat een gelukkig huwelijk is. Daar komt het feit op neer. Dus we varen als organisatie best wel scherp aan de wind voor wat betreft FTE, wat betreft grootte van teams. Ook als je ons vergelijkt met onze directe concurrenten, denk ik. Dat zijn cijfers die je natuurlijk gewoon uit jaarverslagen naast elkaar kan zetten. Dus we zijn gewend om met relatief kleinere teams te werken. Dat houdt de snelheid er ook in. Maar voor wat betreft de verantwoordelijkheid: zo ervaar ik dat niet. Ik heb niet het gevoel alsof dat echt alleen op mijn schouders ligt, zeker niet. We hebben een best wel uitgebreide en gespecialiseerde tweede lijn. Zo zijn er bijvoorbeeld mijn directe collega’s die verantwoordelijkheid dragen voor de integriteitsrisico’s. Dat is al in het verleden veel, ook met mensen die op sancties en witwassen en fraude toezien. Dat ligt niet binnen mijn scope. Ook op internal control worden we ondersteund door fantastische professionals. Hetzelfde geldt voor legal en voor het regulatory-gedeelte. Het is echt wel een team effort.
Jeroen: Dat is mooi, want het is nogal een lijst. Dus ik ben blij om dit te horen. Het wordt anders vrij veel om op één persoon al die risico’s neer te zetten. De derde follow-up die ik had, Olaf, is: hoe verhoudt jouw rol zich nou precies ten opzichte van de compliancefunctie? Want dit is natuurlijk de Leaders in Finance Compliance Podcast. Er zijn veel Chief Compliance Officers die hiernaar luisteren en anderen in die lijn. Hoe zit dat precies bij jullie in elkaar?
Olaf: Dat is een Global Head of Compliance, een VP Compliance. Dat is mijn directe collega. Daar zit ik bij in het leadership team van onze CRCO. Dat wil niet zeggen dat we niks zeggen over elkaars risicotypes. Zo moet je het eigenlijk zien. Wij voeren ook de model risico’s bijvoorbeeld uit. Wij voeren specifieke risico assessments uit voor de modellen die gebruikt worden binnen de compliance omgeving. Dus dan kom je automatisch bij elkaar over de vloer. Heel praktisch: we zitten ook gewoon naast elkaar op de vloer, dus dat scheelt. Die verantwoordelijkheid hebben we echt wel gescheiden per risicotype, maar er zit wel echt overlap bij. Daarnaast, wat ik al eerder zei: we dragen wel gezamenlijk de last voor het uitbouwen, het ontwikkelen en het monitoren van ons risicomanagement raamwerk. Zo doe ik dat. Die contacten zijn heel erg innig, zou ik zeggen.
Jeroen: Ik heb geregeld… je noemt steeds de CRCO, de Chief Risk and Compliance Officer. Mariette Zwart, volgens mij. Dus jullie zitten ook echt samen in dat team. Ik spreek haar weleens. Over naar jou, Pieter. En dank voor de introductie, Olaf. Pieter, zou jij hetzelfde willen doen? Ook iets meer willen vertellen over je rol, je achtergrond? Misschien nog iets persoonlijks?
Pieter: Mijn naam is Pieter van Doorn. Binnen Deloitte leid ik het Risk and Compliance-team, gespecialiseerd op banking en payment institutions. Eigenlijk de bredere financiële sector, maar dat is wel onze core, zou ik maar zeggen. We bedienen uit dat team drie takken van sport. Eén daarvan is het verkennen van nieuwe markten, het innoveren van producten, het opzetten van nieuwe producten en innovaties. Dat doen we eigenlijk altijd in combinatie. Dat is nooit vanuit alleen een risk and compliance angle; dat is altijd in combinatie met een technology angle, een strategie angle. Vaak zijn het toch ook businessmodel-innovaties. We geloven heel erg in die chemistry. Vanuit mijn team komen dan meer die risk- en compliance-experts, die affiniteit hebben met de technologiekant en ook met de businessmodel-innovaties, en daar ervaring in hebben. Een andere tak van sport is eigenlijk het algemene risicomanagement: alles rondom het efficiënter en effectiever maken van je risicomanagementprocessen. Ook het implementeren van nieuwe wet- en regelgeving. Dat was eigenlijk het afgelopen decennium een groot thema. En de derde tak van sport is response. Plat gezegd: boze brieven, claims. Dat kan van ECB, DNB, AFM. Het kan ook van een juridische uitspraak komen, of vanuit een key-fit-uitspraak. Dat zijn heel vaak incidenten die onderzoek nodig hebben en soms ook herstel. En dat is ook een pijler in ons team. Dat is een beetje mijn rol.
Ik ben denk ik inmiddels 14 jaar geleden begonnen bij Deloitte. Ik denk ook, qua achtergrond: ik ben afgestudeerd en mijn eerste baan was eigenlijk midden in de financiële crisis. Ik ben ooit begonnen bij ABN AMRO. Dat was toen eigenlijk een crisissituatie. Op dat moment werd ABN AMRO opgeknipt. Uiteindelijk werd Fortis, wat nu ABN AMRO is, ook genationaliseerd. Inmiddels waren DSB-ongelukken, Icesave en heel veel dingen gebeurd. En dat was allemaal in mijn studie voorbijgekomen, eigenlijk in draft wetgeving. Het was nooit finaal, het was allemaal nog draft; het moest allemaal nog uitrollen. Toen ik afstudeerde kwam ik op die arbeidsmarkt. Ik wilde altijd al in de financiële sector werken. Het was een financiële sector die eigenlijk in puin lag. Maar ik wist wel wat er allemaal moest gaan gebeuren. Dus ik dacht: ja, ik denk niet dat iedereen droomt van, als je jong bent, ik word compliance. Of ik ga iets in compliance doen. Misschien bestond het toen eigenlijk nog niet eens, deze beroepsgroep. Maar zo ben ik er eigenlijk ingerold. En ik denk dat je de afgelopen 14 jaar, zeker in het begin, veel meer aan het verkennen was: wat is het eigenlijk? Compliance, risk management, hoe ziet dat er precies uit? We weten dat er heel veel golven kwamen. En het was misschien meer crisismanagement soms dan risicomanagement. En eigenlijk de afgelopen jaren is dat veel meer gekanteld naar: hoe gaan we innoveren? En ik denk dat dat ook iets is wat we echt veel in de markt zien. Dus de hot topics op dit moment zijn toch: hoe worden we weer concurrerend? Hoe krijgen we weer markt? En kosten zijn denk ik ook een hele belangrijke: hoe krijgen we ons kostenniveau weer naar een normaal peil? En ik denk dat het antwoord op al die ontwikkelingen nu echt innovatie is. En dat zien we eigenlijk al een paar jaar, maar we zien het nu wel echt versnellen. En ik denk: Adyen is natuurlijk eigenlijk altijd al een beetje een frontrunner geweest, maar je ziet dat die markt nu allemaal een beetje in beweging komt. Dat gaat soms heel goed, soms wat minder goed. Ik denk dat er nog veel geleerd wordt, vooral ook op dit vlak.
Olaf: Het is een absolute noodzaak. Dus iedere organisatie dealt met het vraagstuk. Daardoor heeft iedereen er ook wat over te vertellen, denk ik. Dat levert vaak leuke gesprekken op en inzichten.
Jeroen: Daar gaan we zo nog uitgebreid op in. Maar ik zit nog steeds in de introductieronde, die best wel uitgebreid is. Maar waar we wel al heel veel mee pakken, dus dat is prima.
Voor jou nog even drie vervolgvragen, korte vervolgvragen, Pieter. Eén is: ik kan me voorstellen dat als jij aan innovatie werkt, dat dat ook wel heel positief is. In de zin van: je bent bezig met iets nieuws. Er zijn natuurlijk ook programma’s vanuit jouw firma, maar ook vanuit heel veel firma’s, om alleen maar op kosten te zitten bijvoorbeeld. Dan lijkt me dit wel een stuk positiever. Eens?
Pieter: Helemaal eens. Het vraagt ook een stukje creativiteit. Het is vaak ook itereren, kijken: oké, dit kan niet, dit kan wel. Hoe krijgen we het wel passend? En het is ook leuk om vooruit te kijken. Want bij innovatie is het vaak: we hebben een vraagstuk, hoe zouden we daar invulling aan kunnen geven? Het heeft vaak een paar stadia. Maar voordat je echt een innovatie live zet, heb je natuurlijk ook een plan moeten maken van: oké, wacht even, maar als we deze stap nu zetten, wat is dan die stap daarna, en die stap daarna, en die stap daarna? En hoe zien we dan eigenlijk het eindplaatje? En ja, dat zijn hele leuke gesprekken. Dat zijn vaak ook gesprekken die je op wat hoger niveau binnen de instellingen hebt, dus op hoger strategisch niveau. En dat is natuurlijk ontzettend gaaf om daar actief in te mogen zijn.
Jeroen: Ja, dat kan ik me voorstellen. Tweede vervolgvraag is: je ziet ongelooflijk veel bedrijven van binnen. Dat gaf Olaf ook al aan, over 65 die hij had gezien in al die jaren. Dat zal bij jou niet anders zijn. Blijft het nog steeds verrassen waar organisaties en boards staan, en met wat voor vraagstukken ze naar jou toekomen?
Pieter: Ja, maar dan in een positieve zin. Dus ik verbaas me op dagelijkse basis over dingen die ik tegenkom. Soms denk ik: hé, ze zijn echt veel stukken verder dan ik eigenlijk had gedacht. Soms ben ik ook verbaasd over discussies die bepaalde wendingen nemen. En dat kan vaak heel veel gevolgen hebben. Soms gebeurt er iets in de markt en dan krijg je een soort schrikreactie elders. En dan zie je in één keer zo’n soort dominostenen aan de lopende band doorgaan. Ik verbaas me ook weleens: kijk, de innovaties die slagen, die zien wij. Die komen de wereld in, die staan vaak op de voorpagina van de krant, of daar zie je vervolgens reclames van. Maar er zijn natuurlijk ook heel veel innovaties die het levenslicht niet zien.
Olaf: Godzijdank, zou ik zeggen. Maar dat is de truc ook toch? Maar daar gaan we misschien zo meteen verder over praten.
Jeroen: Nee, maar helder. En de derde vervolgvraag, Pieter, aan jou is: innoveren is natuurlijk voor jouw klanten van cruciaal belang. Dat gaven jullie net beide aan. Maar voor jullie zelf, is dat ook iets waar jij intern mee bezig bent? Bij Deloitte moet je ook innoveren, toch?
Pieter: Ja, dus wij zijn natuurlijk ergens een opportunistisch bedrijf. Dus wij kijken vooral naar buiten: wat gebeurt daar, en hoe kunnen we daar een rol in spelen? Klanten helpen met die vraagstukken. Maar intern kijken wij ook. Dus wij innoveren intern ook. Wij ontwikkelen ook zelf producten. Dat doen we voor onszelf intern, maar met name ook om onze klanten uiteindelijk te helpen. Dus we hebben een platform dat heet Converge, waar we klanten mee kunnen helpen om snel oplossingen in de markt te zetten die ook compliant zijn. Dus wij kijken ook zelf: kunnen we vanuit die drie lenzen producten ontwikkelen die onze klanten verder kunnen helpen? Dat wisselt een beetje per doelgroep, voor wie dat aantrekkelijk is. Maar we kijken ook heel erg naar onszelf. En we zien dat innovatie ook een bedrijf als Deloitte kan raken. Dus net zo goed als het onze klanten raakt, raakt het ons ook. En moeten wij ook nadenken wat ons businessmodel is in de toekomst. Dus dat zijn vraagstukken die wij natuurlijk ook hebben op te lossen.
Jeroen: Ja, mooi. Ik kan me voorstellen dat je altijd met die klanten bezig bent en opeens denkt: we moeten zelf ook wel bezig blijven. We zijn natuurlijk een gigantisch bedrijf, maar ook gigantische bedrijven moeten innoveren.
Naar het onderwerp toe bewegend zijn er twee kernwoorden. De ene is risk, de andere is innovatie. Innovatie, dat woord hoor je natuurlijk ongelofelijk veel. Maar wat is het nou voor jullie? Is innovatie een kleine verandering? Zijn het grote big bangs? Is het allebei? Pieter, eerst eens aan jou vragen: wat versta je eigenlijk onder innovatie? Ik vraag je niet een definitie op te lepelen, maar meer een beetje jouw gevoel daarbij. Wat zie jij in de markt?
Pieter: Ik denk bij innovatie met name aan echt iets nieuws gaan doen, een nieuw veld intreden. En dat kan zijn door iets wat je nu al doet op een andere manier te doen, door middel van technologie. Maar het kan ook zijn dat je echt in een nieuw product stapt en een nieuwe markt in gaat. Even een heel saai voorbeeld: je gaat een manueel proces met AI oplossen, ik noem maar even wat. En daardoor kan je het slimmer, sneller en beter doen, en tegen lagere kosten. Dat zijn herkenbare voorbeelden van innovatie. Maar bijvoorbeeld een vraagstuk dat we nu geregeld krijgen gaat over blockchaintechnologie, MiCAR, payments over blockchain. Dat zijn ook dingen, allemaal vraagstukken die nu momenteel in de markt leven. Dat zijn echt kantelingen: dingen die we nu op een andere manier gaan doen. Dus dat zijn systeemveranderingen en dat zijn grote innovaties. Het is altijd de vraag welke kant het op gaat en hoe het er precies uit gaat zien. Daar zou ik aan denken. Dat zijn voor mij de breakthroughs.
Jeroen: Ik kan me voorstellen dat we een grote innovatie hebben, bijvoorbeeld een ABN AMRO die zo’n boot lanceert. Of de banken die gezamenlijk een transactie monitoring systeem opzetten. Dat vind ik echt grote innovaties. Maar zie jij ook, om nog wat door te vragen, een grote bank die zijn app net wat gebruiksvriendelijker maakt: is dat ook innovatie voor jou?
Pieter: Ik denk dat het daaronder valt. Maar dat zou niet als eerste in mij opkomen dat er nieuwe schermen in de app beschikbaar zijn. Maar ook die gelden, waarschijnlijk, als dat een nieuwe invulling geeft aan een klantbehoefte: een vorm van innovatie.
Jeroen: Dat is heel fijn. Dat geeft mij wat meer kader. Olaf, hoe kijk jij ernaar?
Olaf: Je legt wel echt een vinger op de zere plek. Want innovatie is echt een term die door veel verschillende mensen op een andere manier wordt ingevuld. Ik zeg altijd: innovatie is nieuwe dingen doen, of bestaande dingen op een nieuwe manier doen. Dat betekent inherent dat het een enorm breed palet behelst. Ikzelf ben het meeste bezig met grote productinnovaties, maar ook kleine tweaks, features zoals wij dat noemen binnen het bedrijf, dat is ook innovatief. Dat is denk ik als risicomanagement ook de uitdaging. Binnen het team zeggen we vaak: risicomanagement houdt het bedrijf gezond, dus wat dat betreft een soort medicijn. Bij medicijn is het effect belangrijk, maar ook de dosis, in de mate waarin je risicomanagement toepast. Dat is van levensbelang. Dat betekent dus dat als je betrokken wil zijn als risicomanagement, je niet alleen de bazooka — dus de hele uitgebreide risicoanalyse, het hele uitgebreide product approval-proces — binnen je arsenaal moet hebben. Dan moet je ook het gesprek waarin je even de zaken scherpstelt. Of het spreekwoordelijke hand op de schouder. Of het nalopen van de gedachte van een product owner. Dat hoeft niet altijd de echte pil te zijn, dus die uitgebreide dosis. En op die manier durf ik bijna te zeggen dat dat het meest uitdagende is wat ik als risicomanager doe: inschatten welke dosis van het medicijn ik moet toepassen bij welke casus. Dus ook kleine features: die kunnen ook betrokkenheid van risicomanagement vragen, maar dan wel op een kleine, beperkte, ondersteunende manier.
Jeroen: Dit is heel interessant, want dit is een van mijn dingen op mijn lijstje die ik absoluut beantwoord zou willen hebben, als dat mogelijk is. Namelijk: wanneer ontmoeten innovatie en riskmanagement elkaar? Want mijn onderliggende vraag daarbij is: gebeurt er niet ook heel veel binnen die organisatie waarvan mensen niet doorhebben dat het enorme risico-impact heeft, terwijl ze denken: oh, het is een kleine feature-verandering? Maar als die feature-verandering betekent dat je opeens in een ander regulatory bakje valt, dan is het nogal een risico. Bijvoorbeeld. Ik verzin dit nu, maar je snapt wat ik bedoel.
Olaf: Ja, dat is ook helemaal waar. En in een bedrijf als Adyen — ik zal het vanuit mijn bestaande kader praten — is er echt geen gebrek aan hele goede ideeën en nieuwe oplossingen. We hebben een ontzettend getalenteerde engineering-omgeving, een productomgeving en ook een commerciële omgeving, die met hele mooie oplossingen voor klanten komt. Maar hoe zorg je ervoor dat de juiste vraagstukken bij ons binnenkomen? Daar zijn wel een aantal praktische manieren voor. Eén is sowieso het risicobewust maken van wat wij dan noemen de eerste lijn. Dus ik denk dat de gemiddelde luisteraar, zeker Pieter naast me en Jeroen ook, begrijpen: de eerste, tweede, derde lijn. Maar wij zijn natuurlijk als tweedelijns risicomanagement team niet de eigenaren van het risico. Dat ligt bij de product owner die een bankrekening oplossing wil creëren in Frankrijk, of een engineer die een nieuwe manier van encryptie wil introduceren. Dus het kan heel breed zijn. Maar de bewustwording dat nadenken over wat er mis kan gaan, even heel praktisch, onderdeel is van je werk als eerste lijn — product owner, engineer, of ook commercieel persoon — dat is echt van levensbelang, en daar doen we heel erg ons best voor. Dat doe ik gelukkig niet alleen. Het is niet dat wij dat als tweede lijn blijven verkondigen. Dat is echt wel breed gedragen binnen de board. En dat heeft heel erg met autonomie te maken, denk ik: dat je verantwoordelijkheid neemt voor je eigen acties.
Jeroen: En je wilde een opsomming maken: risicobewust als één?
Olaf: Ja, het is risicobewust inderdaad, fijn dat je dat scherp houdt. En het tweede is toch een bepaalde menukaart creëren van de opties die je hebt. Ik had het net al over de toolbelt, of de verschillende doses van risicomanagement, en dat het op een handige manier begrijpelijk is welk loket een product owner bijvoorbeeld naartoe moet. En dat kan je via makkelijk beschikbare informatie doen, maar het is ook: daar niet te veel wijzigingen in aanbrengen. Consistent daarin zijn. Aanmoedigen dat als een senior product owner een jongere persoon meeneemt, zodat het een keer bekend is. Niet een tiental verschillende opties aanbieden, maar echt drie, vier, vijf. Training geven en ook gewoon in gesprek gaan. Dus dit is echt wel heel erg Adyen. Ik denk ook: we geven heel veel vrijheid aan onze collega’s, aan elkaar. Maar één van de weinige regels die we wel hebben, is dat we verwachten dat mensen op kantoor zijn, een minimaal aantal dagen. Daar doen we ook heel erg ons best voor, om het zo aangenaam en comfortabel mogelijk te maken. We zullen ook zeker niet het enige bedrijf zijn in Nederland dat dat op die manier doet, maar dat is om deze dialoog te faciliteren. En er zijn zoveel momenten geweest — die kan ik echt niet tellen — waarin ik over onderwerp A begon en er uiteindelijk een risk assessment uitkwam over onderwerp C. Waarbij je ook waarde kan toevoegen: dat het echt een stamp of approval wordt, en een aanmoediging.
Jeroen: Daar komen we zo. Want dat is zeker ook een heel belangrijk onderwerp, wat ik bij de introductie heb beloofd. Ik heb met ze mee te schrijven, want ik vind die lijstjes altijd mooi. Dus ik probeer een soort van te samenvatten wat jij zegt, met het risico dat ik het niet goed doe. Dus dan moet je daarop inbreken. Maar eigenlijk zeg jij: één, risicobewustzijn in de eerste lijn altijd blijven vergroten. Zij zijn de risico-eigenaren, dus uiteindelijk moeten zij daarmee komen bij jullie en ook voelen wanneer het het goede moment is. Twee, een menukaart maken: welke doses moeten er zijn, bij hoe zwaar moet ik wat doen? Drie, training en gesprek. En vier, dat vat ik eigenlijk samen als: elkaar blijven spreken. Dus niet in je eigen silo blijven zitten, maar ook bij het koffieapparaat dingen oppakken. Allemaal mijn woorden hoor. Maar is dit een soort van samenvatting?
Olaf: Ja, helemaal mee eens. En ik zou er nog eentje op willen toevoegen, als ik zo ondeugend mag zijn. En dat is natuurlijk gewoon echt waarde toevoegen en kwaliteit leveren als riskmanagementteam, dus als tweede lijn in het geheel. Als jij onderdeel bent van de innovatie, als je het echt de juiste kant op kan duwen, en als je die reputatie en track record hebt, dan word je ook automatisch — denk ik — en kan je erop vertrouwen dat je bij dat soort besluitvorming betrokken bent.
Jeroen: Anders word je natuurlijk gewoon gezien als een poortje waar je doorheen moet, langs moet. En dat is natuurlijk nooit… zo’n stopper.
Pieter: Snap ik. Dat is gewoon een beetje het beeld, denk ik.
Olaf: Ja, een rituele dans. Daar doen we niet aan.
Pieter: Ik denk dat jullie ook best wel een sterke cultuur hebben, toch? Jullie hebben altijd de cultuur van: ga niet mailen, bel gewoon, loop langs. Jullie zitten allemaal dichtbij. Dat is eigenlijk ook een beetje de cultuur waarin je benaderbaar bent, denk ik toch?
Olaf: Denk ik wel. Maar dat wil niet zeggen dat de uitdaging die Jeroen schetst, die ervaar ik ook echt wel hoor. Dus hoe zorgen we er nou voor dat je op de juiste plek betrokken bent? Een consequente uitdaging.
Voice-over: Je luistert naar de Leaders in Finance Compliance Podcast.
Jeroen: Wat ik natuurlijk vaak hoor, Pieter, is “compliance by design”. Het klinkt echt geweldig, maar zie jij nou dat ook in jouw praktijk? Want het gaat allemaal om timing. Je wil niet een hele nieuwe organisatie optuigen voordat je risk en compliance erbij hebt gehaald. Je wil hen op het juiste moment involveren, maar je wil ze misschien ook niet helemaal in het maken van de allereerste draft erbij hebben. I don’t know. Maar merk jij dat “compliance by design” ook echt werkt?
Pieter: Of is het vooral een mooie phrase? Wij worden vaak eigenlijk betrokken… je hebt vaak een aantal fases. Je hebt vaak een aantal ideeën, en op een gegeven moment worden die ideeën wat concreter. En dan moet een idee omgezet worden in een propositie, of in een voorstel, in iets waar je daarna op kan acteren, wat je kan executeren. En ik denk dat onze lesson learned — dat is ook een beetje onze approach die wij naar klanten toe hebben — is: als je in die fase bent, is er al een codenaam voor zo’n project. Dat is vaak concurrentiegevoelig, koersgevoelig. Dus dan is er vaak een projectnaam. En wat eigenlijk de pitfall is die wij vaak zien: als je risk en compliance helemaal aan het einde, bij de finish, betrekt, dan is de kans dat dit proces helemaal goed verloopt gewoon minder groot. Dus wat wij vaak doen, is: vanuit die technology-kant, die strategie- en businessmodelkant, ook die risicexpertise vanaf het design meenemen. En dat zijn vaak allrounders. Je kan niet twintig man laten aanschuiven in een kamer van: ik ga over dit risico, ik ga over dat risico. Je moet eigenlijk iemand hebben die een beetje generalist is, die het speelveld begrijpt, en af en toe misschien een reach-out kan doen naar die expert, maar in principe dat proces kan begeleiden. En met name om te voorkomen dat er op verkeerde aannames wordt geacteerd. Soms is er een verkeerde aanname waardoor een risico te groot wordt gemaakt, waardoor een innovatie in een vroeg stadium wel gekild wordt, maar eigenlijk onterecht. Of er wordt een propositie gebouwd die misschien wel een MVP-status kan halen, of misschien überhaupt niet eens door de goedkeuring heen komt. Of misschien wel de MVP-status haalt, maar uiteindelijk niet schaalbaar blijkt te zijn, omdat een aantal dingen vanuit een risk- en complianceperspectief niet goed zijn ingeweven in dit product, en dan klopt die business case dus ook niet. Dus wij geloven heel erg in dat drie-lenzenmodel. En dat is eigenlijk juist die nauwe betrokkenheid. En zeker omdat innovaties vaak ook heel erg tech-heavy zijn, is de impact die je kan maken meestal het grootst in die designfase. Want als die designfase is geweest, ja, dan is het vaak mosterd na de maaltijd. En dan is het vaak alleen nog maar — ik noem het even — ducttape-oplossingen. Dus de meeste impact kan je eigenlijk maken juist in de designfase.
Jeroen: Ik word natuurlijk enorm getriggerd door wat jullie zeggen. Want ik denk dan altijd: ja, ik kan me helemaal voorstellen dat je risk en compliance erbij betrekt om ervoor te zorgen dat die meegroeien met zo’n innovatief proces. Want dan wordt het vaak geïtereerd, het verandert weer, het wordt toch net wat anders, en dan hoeven ze zich niet helemaal in te lezen en in te leven in alles wat je een half jaar daarvoor gedaan hebt. Maar ik zou ook zeggen: het remt misschien ook wel af. Je gaat misschien ook wel andere keuzes maken, daardoor, die wat minder innovatief zijn.
Pieter: Nou, het vraagt ook wel iets van de capability die je erin zet. Want het is vaak iteratief. Dus: oké, dit is de propositie. Oké, dit kan niet. Nou, als we dan een beetje draaien zo… Je moet een beetje meekijken hoe je tot een oplossing komt. Je moet eigenlijk onderdeel worden van de oplossing. En ik denk dat daarvoor wel belangrijk is dat je ook vanuit die riskrol affiniteit hebt met de techkant, maar ook met die business-innovatiekant. Dus je kan niet… je moet echt een beetje “oranje” zijn. Natuurlijk is je expertise risk, maar je moet ook die andere bloedgroepen begrijpen en ook de taal kunnen spreken.
Olaf: Om toe te voegen: op alle tijden moet het perspectief zijn om tot voortgang te komen, ook als risicomanager. Tot tempo, tot besluiten, tot features. En daar ben je eigenlijk de partner. Dus natuurlijk kan het vertragen, maar het grootste risico dat je probeert uit te bannen is stilstand. En het tempo houden. “We’re in a hurry”, hoor je het nog weleens. Het is best lastig om goede besluiten te maken terwijl je haast hebt. Daarvoor zitten we aan tafel.
Jeroen: Maar gewetensvraag, Olaf. Gewetensvraag. Want heb je niet soms ook dingen waarvan je denkt: ja, sorry jongens en meisjes, maar dit gaan we gewoon niet doen. This is not gonna work. This is not gonna fly. We krijgen te veel problemen. Dit schiet ik gewoon af.
Olaf: Nou, als er iets het tempo bevordert, is het ook om kritisch te zijn en ervoor te zorgen dat je niet te lang over sommige zaken doorpraat. Maar dat is in de praktijk, kan ik je vertellen, echt niet zo dat ik dan op een rode knop druk, of dat de tweede lijn op een rode knop drukt. Dat is niet de manier waarop het werkt. Je komt gezamenlijk tot een besluit. Maar je kan wel refereren aan bepaalde kaders die je van tevoren hebt afgesproken, dingen die mis zouden kunnen gaan. En natuurlijk ben je tot op zekere hoogte soms gatekeeper, maar het is echt niet zo dat er een soort ja-nee-machine hier met je aan het praten is, Jeroen. Gelukkig niet. Dus dat valt in de praktijk heel erg mee. Maar open daarin zijn dat iets misschien geen goed idee is, te complex is, of alleen van toepassing is op deze klant in deze markt: dat is niet hoe we het willen. We willen het kunnen toepassen voor al onze merchants, zeggen wij dan. En kunnen refereren aan dat soort uitgangspunten maakt het wel makkelijker om een nee te kunnen motiveren.
Jeroen: En even voor mensen die niet in de paymentswereld zitten: merchants zijn dus de partijen die al jullie betaaloplossingen gebruiken, en die het weer bij hun consumenten of andere bedrijven inzetten. Maar dat even voor de niet-payments mensen. Sorry Pieter, ik onderbrak je.
Pieter: Ik denk ook vaak… en dat is ook gewoon de goede discussie die je soms moet hebben: wat is nu het daadwerkelijke risico? Kunnen we dat gesprek goed voeren? Want als je dat goed kan voeren, dan kan je ook kijken: wat is de way out? Is er een mitigant? Is er iets? En wat doet dit risico met de business case? Want uiteindelijk gaat het ook… het is niet omdat risk het niet wil. Uiteindelijk moet er een valide business case zijn, die kan draaien, die niet alleen de MVP-fase overleeft, maar die ook schaalbaar kan zijn. En die uiteindelijk ook weer te integreren is in die business as usual. Want ik denk dat dat ook onderdeel is van die horizon: dat het uiteindelijk weer terug kan grijpen in de verdere organisatie. Vaak als wij betrokken zijn is het een soort programmaproject, maar het moet uiteindelijk wel onderdeel worden van die instelling. En dat is een hele wezenlijke discussie. En daar kan je niet voor of tegen zijn, dan ben je niet een tegenpartij. Dan moet je ook de consensus met elkaar vinden. Als dit het is, dan gaat het inderdaad niet goed werken. Of: als we het op deze manier aanpassen, dan werkt het wel. Dat is denk ik de dialoog die je dan probeert te zoeken.
Jeroen: Heb je daar nog praktische tips voor, hoe je dat dan doet? Ik kan me voorstellen dat je moet blijven praten. Dat is altijd belangrijk. Stop iedereen in een kamer bij elkaar. Want anders — dat zei ik altijd vroeger in mijn vorige baan — product, tech, compliance, risk: haal iedereen bij elkaar. Want als je niet praat, dan weet je niet. En dan ga je ook allemaal langs elkaar heen leven. Is dat de kern? Of zijn er nog andere belangrijke dingen?
Pieter: Het is goed om inderdaad met elkaar dit te bespreken. Dit moet je niet over de mail of over WhatsApp doen, maar je moet het gesprek hebben. En wat helpt, zijn duidelijke kaders. En een duidelijk mandaat voor die propositie helpt ook, dan kan je daarop teruggrijpen. Maar uiteindelijk: als je het risico ook weer terug weet te wegen, wat betekent dat dan voor een businessmodel? Dus dat je niet per se vanuit je eigen silo dit blijft toeredeneren, maar eigenlijk vanuit de greater good voor Adyen of voor welke instelling dan ook: hoe lost dit iets op voor Adyen? En ik denk als je dan vanuit dat perspectief blijft beredeneren, dan kom je er uiteindelijk altijd met elkaar uit.
Olaf: Ja, precies. Dus maak het praktisch. Een grote uitdaging, denk ik, voor consultants, voor risicomanagers of voor compliance-specialisten, is om in het abstracte, hypothetische of in je silo — zoals jij dat zo mooi noemt — te blijven hangen. Dat levert geen besluitvorming op. Je moet jezelf echt dwingen, en elkaar ook motiveren, om het praktisch te houden. Dus: wat betekent dat nou voor dit product? Wat betekent dat voor deze klant? Wat is de ervaring? Want daar vind je elkaar.
Jeroen: Maar kijk, mijn ervaring is dat mensen die het echt simpel kunnen maken, heel erg goed in de materie zitten. Dus dan zou je bijna denken: je kan jouw rol, Olaf, niet goed doen als je niet zelf ook in de business hebt gewerkt. Of zoals jij bij allerlei bedrijven binnen bent geweest. Als je echt opgegroeid bent in een risk- en compliance-lijn, noem ik het maar even, dan is dat misschien niet de beste voorbereiding op jouw rol.
Olaf: Mijn huidige rol?
Jeroen: Nee, maar niet van jou. Maar in zijn algemeenheid: is het niet zo dat als je echt een goede risk- of compliance manager wil zijn, dat je ook de business gewoon… dat je daar gewerkt moet hebben?
Olaf: Je moet in ieder geval heel goed begrip hebben van hetgeen wat je doet. Ik moedig het ook aan als mijn teamleden meegaan naar een klantgesprek, of dat ze meekijken met de engineer. Maar 100%: helemaal mee eens. Maar daar begint het wel echt. Dus echt begrijpen hoe acquiring of payments in ons geval in elkaar zit. Mensen zeggen — andere risicomanagers zeggen weleens — “houd het simpel”. Dat klinkt heel leuk, maar de realiteit is gewoon complex. Wat wij als techbedrijf doen, en wat andere financiële instellingen ook doen, is oplossingen bedenken voor hele complexe situaties. Dus je moet het echt goed begrijpen. Je moet elkaar daar ook scherp op houden. Dat is kwaliteit, denk ik, maar het is ook een beginpunt om je kwetsbaar te durven opstellen. Want natuurlijk kan ik niet presteren zoals een commerciële collega van mij dat doet. Ik ben ook heel blij dat het echte talent natuurlijk bij engineering en commercieel zit binnen bedrijven als Adyen. Maar dat motiveert ook wel om je eigen expertise goed te begrijpen en op die manier iets bij te dragen. Dus ja, ik weet niet of ik de vraag helemaal beantwoord…
Jeroen: Zeker wel, maar je moet jezelf niet wegcijferen. Het echte talent zit ook wel bij jou natuurlijk.
Olaf: Natuurlijk wel. Ik ben ook ontzettend trots op wat we opgebouwd hebben. Maar de innovatie voor een bedrijf als Adyen komt niet bij de risicomanagementafdeling vandaan. Dat zou niet zo moeten zijn. Natuurlijk innoveren wij wel onze eigen approaches, methodologieën en technieken die we gebruiken. Maar engineering, product, commercieel: daar komen de echte briljante ideeën vandaan. We proberen alleen ervoor te zorgen dat die tot wasdom komen.
Jeroen: In dit gesprek is mij in ieder geval duidelijk geworden, op basis van wat je zegt, dat bij jullie de riskkant in de kern niet een functie is die innovatie wil tegengaan, maar juist de partner wil zijn. Maar wat is nou eigenlijk de praktijk, Pieter, breder dan Adyen? Is het vaak een onderdeel van het bedrijf dat voor vertraging zorgt?
Pieter: Ik denk dat je daar gewoon heel veel verschillende vormen in hebt. Je hebt traditioneel wat conservatievere partijen. Wij zitten vaak een beetje op het snijvlak van de eerste en de tweede lijn. Dus wij zijn vaak een beetje de brug daartussen. En dan werk je met een voorstel, met een propositie, en dan zit je vanuit die twee lijnen inderdaad soms met een zaal van twintig heren aan tafel. Ieder met een eigen policy onder de arm. Eigenlijk met een rode pen in de hand, klaar om…
Olaf: Als het twintig alleen heren zijn, dan gaat er sowieso iets mis, denk ik.
Pieter: Ik chargeer het misschien ook een heel klein beetje, maar die situatie heb ik wel echt meegemaakt. En dan is het heel moeilijk om daar doorheen te breken. Dan ervaar je het ook niet als een enabler of als een partnership. Dan heb je vaak nog verschillende lijnen in risk, en dan heb je echt het gevoel dat je door twintig hoepels moet. Op een gegeven moment denk je: als ik die hoepels maar overleefd heb, dan maakt me eigenlijk die hele business case niet meer uit. Ik chargeer het eventjes, maar dat soort situaties had je vroeger denk ik wat meer. En ik denk dat dat nu echt snel aan het veranderen is. Bij klanten waar ik nu rondloop is dat eigenlijk nergens meer het geval. Daar is de tweede lijn ook heel bewust dat zij een rol hebben om in te spelen, en dat het ook een noodzaak is. Dus ik denk dat dat echt de afgelopen jaren drastisch is gekanteld.
En ik denk dat dat ook te maken heeft met de tijd waarin we nu zitten. We hebben aan de ene kant die spillover vanuit de US, maar “deregulate” is natuurlijk ook een thema. Ik denk dat zowel wetgever als supervisor — toezichthouder bedoel ik — als markt allemaal zeggen: we willen wat meer ruimte hebben om concurrerend te kunnen zijn. Alle instellingen hebben ook een hele duidelijke cost driver. Dus ik denk dat die tweede lijn zich daar ook van bewust is: dat de firefight-fase voorbij is en dat er nu andere prioriteiten zijn die in de balans mee moeten wegen. En één daarvan is innoveren. Bedrijven die goed zijn in innovatie hebben vaak een tweede lijn die daar echt actief in faciliteert. Die hebben fast tracks, predefined processen: oké, we gaan het binnen dit mandaat doen, dit zijn de stappen, en dan gaat het live. En dan krijg je heel snel dingen voor elkaar, en krijg je ook ruimte om te experimenteren.
Want ik denk dat dat soms ook nodig is. “Fouten maken” klinkt niet leuk, maar je moet leren — laat ik het zo zeggen. En daar ruimte voor hebben. En ik denk dat dat succesvolle concepten zijn: dat je dat op een veilige en beheersde manier doet, waar de tweede lijn juist ruimte in faciliteert. En je hebt bedrijven die dat nog wat minder doen. Maar ja, ik zie eigenlijk allerlei situaties, als ik het even plat sla.
Jeroen: Ja, nee, dat kan ik me voorstellen. Maar wat ik enorm herken is veel van wat je zegt. Eén ding springt er bij mij uit: er is veel druk om te innoveren. Onder druk van wat jij zegt: kosten, maar ook concurrentie natuurlijk. Alle onzekerheid in de wereld rondom tech.
Pieter: En ook wetgeving. Er is ook heel veel wetgeving die dwingt tot innovatie. Ik denk MiCAR is er eentje. Maar ook de Consumer Credit Directive, absoluut, voor Buy Now Pay Later. En dat heeft een enorme impact. En zo heb je voor allerlei… nou goed, sorry dat ik je in de rede val. Maar er zijn heel veel drivers die je nu wakker schudden: je moet nu iets doen.
Jeroen: Nee, absoluut. En waar ik naartoe wilde is: ik heb soms ook het idee dat het ook alweer te ver kan doorslaan. Want uiteindelijk moet die risk manager natuurlijk wel… het is een koorddansactiviteit. Je wil het niet — zoals Olaf mooi beschreef — je wil doseren. Dat blijft ook erg bij me hangen. Maar je wil op een moment ook wel zeggen: ja jongens, maar dit element kan gewoon niet. Dat wel, dit niet. Ik zie ook wel in organisaties — ik zie er ook heel veel van binnen, of semi van binnen — dat ik denk: hier zou een risk manager misschien toch wel iets steviger in mogen zitten. Dit kan best wel grote consequenties hebben voor de gehele business. Herken je dat ook? Of zeg je: nee, het is juist goed dat we iets dichter tegen die business aan zijn gaan zitten?
Pieter: Er zijn natuurlijk risico’s. En ik denk — Olaf, jij herkent het denk ik ook — volgens mij is dat ook een van jouw speerpunten. Maar het kan natuurlijk ook chaos creëren. Dus als je allerlei innovaties die niet consistent met elkaar zijn de wereld in schiet, die niet aansluiten bij je totale framework, die andere processen gebruiken… ja, dan kan je ook in een wirwar terechtkomen die de kosten weer opdrijft. Dan is innovatie zó groot geweest dat je de bigger picture, je endgame, uit het oog bent verloren. En dat is natuurlijk het risico.
Jeroen: Of toch iets in de markt zetten wat gewoon te risicovol bleek, misschien. Je ziet ook wel voorbeelden waar mensen AI gebruikt hebben om data in te zetten richting klanten, en dat er gewoon keiharde pushback kwam: van de Autoriteit Persoonsgegevens, of zelfs een hele backlash vanuit de samenleving. Daar hebben we ook voorbeelden van.
Olaf: Dan heb je het gewoon, denk ik, niet goed gedaan in het voortraject. En hoe komt dat dan? Hoe komt het dat je toch in dat soort situaties terechtkomt? Ik denk dat het te maken heeft met… je noemde net het woord “chaos”. Maar innovatie en risicomanagement zijn niet strijdig. Wat wél strijdig is, is complexiteit in risicomanagement. Dus geef jezelf een kans als compliance manager of als risicomanager om echt waarde toe te voegen. En dan moet je het eenvoudig houden, centraal, zodat je ook via innovatie kan inschatten wat het doet met je organisatie. Ik heb natuurlijk wel de luxe dat ik bij een bedrijf werk dat relatief jong is. Wij hebben een centraal platform, en dus ook een centrale risicomanagementaanpak. We hebben één policy die wereldwijd geldt. Alleen dat al is zo ontzettend prettig om een assessment op uit te oefenen, want het is eenduidig welke kaders er gelden, overal ter wereld.
Jeroen: Dat is heel interessant. Daar moet ik even op induiken, het staat ook op mijn lijstje. Aan de ene kant hoor je altijd die grote techbedrijven zeggen, en ook traditionele financiële instellingen: we plaatsen iets op afstand, met eigen mensen, inclusief eigen compliance, geen centrale aansturing. Een beetje het extreme: geen “China”, zeg maar. We willen innovatie heel decentraal neerleggen. Maar eigenlijk zeg jij: daar valt wel wat op af te dingen.
Olaf: Ik denk ook dat we daar wel echt een eigen aanpak in hebben, en ik zou het iedereen aanraden. Misschien heel kort even de achtergrond schetsen. Het is sowieso denk ik voor ons als tweede lijn heel prettig binnen Adyen, omdat wij echt bijdragen aan de kern van de strategie. En de kern van die strategie is dat we zelf dingen in controle willen hebben. Dus wij willen zelf iets kunnen fixen als het kapot gaat. Maar wij zijn ook zelf verantwoordelijk voor het onderhouden van al onze bankvergunningen, onze license stack, zoals we dat noemen. Net zoals dat je een engineering stack hebt. Mariette heeft daar in onze laatste Investors Day een ontzettend leuk en inzichtelijk verhaal over gehouden. Maar vanuit die gedachte — vanuit het consequent zelf keuzes kunnen maken, zelf risk appetite kunnen vaststellen — als je dat wil doen, dan kan dat denk ik alleen maar als je een uniforme, centrale aanpak hebt. Anders is het niet te overzien. Dat betekent wel heel veel. Het heeft heel veel gevolgen, zo’n centrale aanpak. En één daarvan is bijvoorbeeld dat je dingen opschrijft of afspreekt, zodat ze van toepassing kunnen zijn op meerdere plekken. Dus je moet automatisch iets meer ruimte geven waarbinnen de rest van de organisatie kan opereren. Wij hebben geen financiële limieten die specifiek van toepassing zijn voor Brazilië of voor de Verenigde Arabische Emiraten. Natuurlijk, als je echt ver doorklikt, zijn er afspraken die gelden. Maar waarop wij monitoren, proberen we natuurlijk een geheel beeld te krijgen. En dat maakt het wel echt mogelijk dat je ook als risicomanagementteam kan toetsen, aan bijvoorbeeld de policies, maar ook aan je appetite. En dat je dat relatief snel kan doen. En dat voorkomt chaos.
Jeroen: Mooi. Is dit de methode, Pieter? Of zeg je: er kan ook prima een ander model bij, waarbij je heel decentraal innovatie neerlegt, en heel decentraal risk management neerlegt?
Pieter: Wat het mooie van dit model natuurlijk is, is dat je consistentie globally houdt, maar ook je oversight goed kan organiseren. Maar je kan ook inspelen op verandering, eigenlijk. Ik denk dat zo’n vraagstuk als DORA, of ik noem maar even iets… daar heb je de UK-versie, en je hebt ook een US-versie. Als je dat soort changes als geheel kan oppakken, in plaats van elk land zijn eigen implementatieplan, dan kan je eigenlijk kostenefficiënt, maar ook heel effectief veranderingen doorvoeren. Ik ken ook voorbeelden van een global partij waar het wel op neerkwam dat ze een setup maakten voor een hub — dat was een hub in Amsterdam — en vervolgens die hub hebben gekloond naar andere hubs in de wereld, zodat het altijd consistent is. Zo zijn zij organisch gegroeid, door hubs te klonen, met een centraal team erboven. Dus dat werkt ook. En ik denk dat decentraal in sommige, misschien specifiekere bedrijfstakken — waar juist lokale verschillen heel groot zijn, en lokale markten verschillend kunnen zijn — ook kan werken. Dus er zijn denk ik verschillende oplossingen, afhankelijk van het type bedrijf. Maar voor bedrijven waarvan eigenlijk altijd dezelfde business, dezelfde producten, aan dezelfde klantengroepen worden uitgevoerd, wil je eigenlijk het liefst zo consistent mogelijk werken. Want dan is er eigenlijk geen verschil, en dan wil je dat zo globaal en consistent mogelijk houden.
Olaf: Er zijn uiteraard voor andere bedrijven zeker ook methodes. Maar het belangrijke is dat je wel één uitgangspunt hebt. Daar gaat het ook om. En ik wil het ook niet als een centrale aanpak, of Adyen, als dogma neerzetten. Ik denk dat het alleen maar verstevigd wordt als je ook lokale uitzonderingen of toepassingen hebt. Dat toont ook aan dat je niet vanuit één perspectief alleen denkt. In sommige gevallen vraagt een specifieke vraag om een specifieke oplossing. Maar dan moeten er uitzonderingen zijn. Alleen: we hebben geen discussie over wat het uitgangspunt is. En ik hoop — Pieter, dat weet jij misschien beter dan ik — dat bij de bedrijven die wél kunnen innoveren, of die effectief compliance management of risicomanagement hebben, er in ieder geval een gemeenschappelijk begrip is over: hoe doen we het? Of het nou decentraal is of centraal, maar dat daar wel echt een idee achter zit. En dat helpt ook heel veel in hoe je een design van een oplossing maakt.
Pieter: Absoluut. Want het risico als je dat niet hebt, is natuurlijk dat je in een heel duur implementatietraject, monitoringstraject, terechtkomt, waarin controles overal in de wereld anders eruitzien, anders getest moeten worden, en testresultaten ook niet meer vergelijkbaar zijn. Dus uiteindelijk raak je je in control, eigenlijk. Want je kan moeilijk zeggen: als er een change is of een nieuw risico, hoe je daardoor geraakt wordt. Dat zijn mankementen die je vroeger vrij veel zag, en nu steeds minder.
Olaf: Ja, precies. En als ik met collega’s bij andere bedrijven praat, dat is wel echt de uitdaging. Dus als je een nieuw product probeert te lanceren, dan is het nog wel even een stuk prettiger als je met één assessment — die echt helemaal goed gedetailleerd is — naar tafel kan komen, in plaats van dat je met vier, vijf versies komt. En dat is complexiteit. Daar vecht ik dagelijks tegen, om het behapbaar te houden. Dat sluit een beetje aan bij je eerdere vraag, Jeroen, over: is het nog wel te doen? Het is wel te doen, Jeroen.
Jeroen: Dat is mooi om te horen, Olaf.
Olaf: Ja, het is toch een Sinterklaasgedicht.
Jeroen: Nee, perfect. Ik ga richting een afronding van deze aflevering. Dat gaan we niet doen voordat ik jullie de laatste vraag heb gesteld, en aan beiden dezelfde. Die hebben we altijd aan elke gast gesteld. Namelijk: heb je tips voor de compliance officer, de chief compliance officer, of een compliance officer die je zou willen meegeven? Het mag in het licht zijn van het gesprek vandaag over innovatie en risk, het mag ook heel iets anders zijn, maar het moet wel een tip zijn gericht aan de compliance officer.
Olaf: Ik ga me dan denk ik wel herhalen, maar: je zit aan tafel en je bent onderdeel van een bedrijf, met de gratie van iedere dag waarde toevoegen aan de doelen van het bedrijf als geheel, niet alleen van je eigen afdeling. En ik denk dat dat het beste kan door dingen zo praktisch mogelijk te houden. En dat is ontzettend moeilijk, als je met zulke complexe, en misschien soms ook wel theoretische, materie bezig bent op dagelijkse basis. Zodra je het niet meer kan uitleggen in Jip-en-Janneke, of commerciële taal, of wat dan ook, dan is het lastig. Dan ga je de verkeerde kant op. Het is een hele eenvoudige manier om relevant te blijven, maar ook om hoofdzaken van bijzaken te kunnen scheiden. Wat voegt er toe? Wat voeg ik praktisch toe? En wat ben ik puur voor de methodologie aan het doen?
Jeroen: Mooi verwoord. Pieter.
Pieter: Ik denk misschien ook een beetje in lijn van wat Olaf zegt: als we nou vooruit kijken, dan gaat de wereld alleen maar dynamischer worden. Dat vraagt veel van de risk- en compliancefunctie. Dat vraagt ook die grondhouding die Olaf zegt: probeer het simpel te houden, maar zorg dat je daar toegevoegde waarde in levert. Dat betekent in een dynamische wereld dat je snel moet kunnen schakelen. Je hoofddoel van risk management moet je niet loslaten, maar je moet ook die innovatie en die change omarmen om die relevantie voor je organisatie te behouden, en die toegevoegde waarde te kunnen leveren. Ik denk dat dat mijn tip zou zijn: omarm het gewoon. Kijken naar de toekomst is gewoon heel belangrijk om die toegevoegde waarde te blijven leveren.
Jeroen: Heel mooi. Als het gaat om waarde toevoegen: jullie hebben in ieder geval bij luisteraar nummer 1 vandaag heel veel waarde toegevoegd. Ik zei in het vorige gesprek 30–40 minuten, het werden er geloof ik 60. Misschien dat we nog wat knippen. Maar het geeft aan dat er veel waarde is toegevoegd, want er was zoveel interessant te bespreken. En we hebben nog steeds heel veel vervolgvragen die mogelijk zijn. Maar ik neem aan dat luisteraars jullie kunnen vinden op LinkedIn als ze daar vragen over hebben.
Olaf: Absoluut.
Jeroen: Heel veel waarde toegevoegd in ieder geval. Heel interessant. Ik heb twee pagina’s met aantekeningen gemaakt die mijn archief ingaan om nog eens te bekijken. Er zitten een aantal dingen in die ik nog wil uitzoeken. Heel veel dank. Ik vond het ongelooflijk leuk om jullie bij ons te hebben. We zitten nu niet bij elkaar, maar we zijn digitaal verbonden. Dus normaal overhandig ik nu dan het boek van ons aan jullie, maar dat sturen we op. Daarmee wil ik mijn dank wat extra kracht bij zetten, want ik vond het ontzettend leuk dat jullie de tijd hiervoor genomen hebben. Dus heel veel dank, Olaf Smit, Global Head of Risk Management bij Adyen, voor je komst en je bijdrage. En hetzelfde geldt voor Pieter van Doorn, Partner bij Deloitte. Dank jullie wel.
Voice-over: Je luisterde naar de Leaders in Finance Compliance Podcast. Deze podcast werd mede mogelijk gemaakt door Deloitte, Rabobank, Cense en Osborne Clarke. Meer weten of een reactie achterlaten? Dat kan op onze LinkedIn. Als je ons daar volgt, ben je bovendien altijd op de hoogte van nieuwe afleveringen. Natuurlijk zijn we je zeer dankbaar als je een review achterlaat en meer mensen vertelt over deze podcast. Vergeet ook niet te kijken naar de andere podcasts op ons kanaal. Er zit vast iets tussen dat je aanspreekt. Bedankt voor het luisteren.