Het belang van risicomanagement voor de Nederlandse FinTech

Het belang van risicomanagement voor de Nederlandse FinTech

Auteur: Owen Strijland
Beeld: Adobe Stock - iStock - Christiann Koepke
8 min

Een succesvolle FinTech is slechts enkelen gegund, vele interne en externe factoren zijn van invloed op falen en/of slagen. Risk management is een belangrijke factor om te slagen. Dit artikel belicht een select aantal belangrijke risk-managementprocessen die van belang zijn.

De Nederlandse FinTechmarkt heeft een significante groei laten zien in de afgelopen jaren.1 Al in de zomer van 2016 analyseerde De Nederlandsche Bank (DNB) de snelle intrede van innovatieve technologieën in de financiële markten. In dit onderzoek onderkent en beschrijft DNB drie belangrijke scenario’s voor groei van FinTech waarvan we weten dat alle drie zich nu in hoog tempo voordoen:2

 

  • De adoptie van technologische innovatie door gevestigde spelers. Een goed voorbeeld hiervan is Tikkie van ABN AMRO: in nog geen twee jaar gaat Tikkie van ‘minimum viable product’, bedacht door een aantal medewerkers, naar een door ABN AMRO geadopteerde en ondersteunde dienst.3
  • De fragmentatie van financiële diensten als gevolg van de adoptie van technologie. Hier hint DNB naar FinTech als start-up die heel effectief een enkele dienst verkoopt. Ook dit scenario zien we terug in de markt in de vorm van bijvoorbeeld Bunq met zijn razendsnelle klantacceptatie en online omgeving of bij AfterPay dat een mogelijkheid biedt om bij webbestellingen alleen te betalen als je het product houdt.
  • De absorptie door bigtech. Ook al zijn de meest bekende, ApplePay en GooglePay, in Nederland (nog) niet mogelijk, als men even over de grens gaat blijkt dit heel anders te zijn. Reis je af naar China, dan blijkt dat meer dan 80% van de online betalingen door consumenten niet meer via reguliere banken wordt gedaan.

Snelle ontwikkeling

De Nederlandse FinTechmarkt ontwikkelt zich snel. Er zijn vooral veel nieuwe toetreders op het gebied van betalen, alternatieve manieren van financieren en toeleveranciers aan financiële dienstverleners, zoals BusinessForensics en Five˚degrees. Waarom nu juist deze markten groeien is niet vreemd; online betalen en alternatieven als AfterPay volgen simpelweg de groei van online winkelen. Alternatieve financieringen volgen de roep om krediet van zowel particulieren als bedrijven, het liefst zonder de inmenging van banken.

En er is nog een belangrijke factor waarom de FinTechsector zo hard kan groeien. Er ontstaat namelijk een ecosysteem waarin slimme apparaten met name de steeds meer geavanceerde smartphones een belangrijke centrale rol hebben. IOS van Apple en Android van Google hebben samen zo goed als de hele markt van operating systems van smartphones in handen. Het beschikbaar stellen van een app als Tikkie via deze platforms garandeert daarmee het bereik van een groot publiek.

Naast het beschikbaar zijn van technologie en het tot stand komen van standaarden waarmee nieuwe technologie mogelijk wordt gemaakt, is er nog een belangrijke Europese factor. Dat is de meer en meer geharmoniseerde Europese regelgeving. Neem als voorbeeld de payment service directive 2 (PSD2). Simpel gezegd regelt deze wetgeving, zij het met zeer strenge eisen aan de onderneming, dat banken hun systemen beschikbaar (via API) moeten stellen voor PSD2-vergunninghouders, en dat deze vergunninghouders toegang krijgen tot betaalgegevens van haar klanten die hiervoor toestemming hebben gegeven.4 Bij het hebben van de zwaarste vergunningsvorm kunnen deze PSD2-vergunninghouders zelfs betalingen initiëren in het systeem van de bank.

De ontwikkelaars van de Tikkie-app maakten de keuze om groepsbetalingen aan te bieden in hun app door gebruik te maken van iDEAL in combinatie met WhatsApp. Het gevolg is bekend

Is FinTech dan altijd succesvol?

Garandeert deze groei van de Nederlandse FinTechmarkt en het gemak waarmee FinTech bij een grote hoeveelheid klanten onder de aandacht komt, ook het succes? Een FinTech is nu eenmaal altijd nog een onderneming of initiatief, geleid door mensen en bestuurd met processen. Hoe agile er ook gewerkt wordt of hoe veel dagstarts er ook aan voorafgaan, er is een doel dat de betreffende FinTech nastreeft.5 Ieder doel is onderhevig aan risico’s die ervoor zorgen dat doelen niet of maar gedeeltelijk gehaald worden.

Een voorbeeld. In 2016 startten drie grootbanken in Nederland met een initiatief voor een platform om groepsbetalingen aan een ontvangende partij te vereenvoudigen. Hiervoor werden, zoals vaker gehanteerd in de FinTechindustrie, pakkende namen verzonnen zoals GRPPY en TWYP. MyOrder, een dochter van Rabobank ontwikkelde GRPPY (Groepie) als betaalapp waarmee vrienden gedeelde betalingen konden verrichten. ING ontwikkelde TWYP (The Way You Pay) ook als betaalapp voor groepen en gaf daarnaast een mogelijkheid om te chatten met leden van de groep. Deze twee apps leken zeer succesvol te worden, totdat een paar handige medewerkers van ABN AMRO kwamen met Tikkie. De ontwikkelaars van de eerste Tikkie-app maakten de keuze – die later een cruciale bleek te zijn – om groepsbetalingen aan te bieden in hun app door gebruik te maken van iDEAL in combinatie met het zeer succesvolle WhatsApp. Het gevolg is bekend.

Wat waren nou de key differentiators die Tikkie de voorsprong hebben gegeven?

  • bruikbaar voor iedereen, ook zonder ABN AMRO-rekening;
  • gebruik van al bekende en breed ondersteunde technologie (iDEAL);
  • communicatie via de in Nederland meest gebruikte chat-app WhatsApp.

Waar de concurrentie koos voor eigen klanten en een eigen platform, waren de producteigenaren van ABN AMRO bereid meer risico te nemen en een meer ‘open’ omgeving aan te bieden. Dit resulteerde in circa 90% marktaandeel, ruim 2 miljoen unieke gebruikers en bijna 100.000 tikkies per dag. Niet zo gek dat Tikkie Business ontstaat en expansie naar Duitsland wordt gezocht.

Relatie met risicomanagement en governance

Waarom is die ene FinTech een succes en de andere niet? Een belangrijke vraag die meerdere antwoorden kent. Interessant is de vraag of risk management en governance een rol spelen in het succes van FinTech en of te achterhalen is of er een positieve of negatieve invloed wordt ervaren.

Dit is onderzocht bij twaalf FinTechondernemingen en gelieerde personen, waarbij is gekeken naar de rol en functie van de geïnterviewden binnen de FinTech, hun kennis van risk en governance, welke factoren in hun ogen een positieve of negatieve bijdrage hebben geleverd aan het succes van de FinTech en in welk stadium van de FinTech dit effect zich heeft voorgedaan. De uitkomsten zijn vervolgens gegroepeerd in thema’s:

  • Thema’s die door de FinTech als duidelijk negatief werden ervaren. Door deze thema’s trad vertraging op of werden initiatieven niet doorgezet.
  • Thema’s die duidelijk een positieve invloed hadden op de FinTech door bijvoorbeeld de ontwikkeling te versnellen of klanten eerder te binden.
  • Thema’s die zelf niet direct positief of negatief waren, maar indirect wel een grote invloed hadden op de negatieve en positieve thema’s.

Twee van de gevonden positieve thema’s zijn risk identification en risk response. Een van de beïnvloedende thema’s is de klant/auditor.

Risk identification

Bijna alle FinTechs gaven aan dat het goed kunnen identificeren van risico’s vroeg in het ontstaan van de FinTech een positieve bijdrage heeft geleverd aan het succes van de organisatie. Het in beeld krijgen van de juiste risico’s voor een FinTech vereist echter wel dat de persoon die de risico’s identificeert of helpt bij het identificeren van de risico’s, bepaalde expertkennis moet hebben. Er wordt hierbij een flexibele houding tegenover de risico’s verwacht, waarbij rekening wordt gehouden met het ‘nieuwe’ dat de FinTech nastreeft. Dit nieuwe kan het proces zijn waarmee de FinTech de markt benadert of zichzelf organiseert, de nieuwe technologie die wordt ingezet of zelfs de nieuwe markt die ontstaat door de FinTech.

Online betalen en alternatieven als AfterPay volgen simpelweg de groei van online winkelen

Naast deze kennis moet tijdens de identificatie ook rekening worden gehouden met de constante veranderingen binnen de FinTech. Bijvoorbeeld door impactvolle wijzingen, door veranderende doelen, of belangrijke klanten en investeerders die veranderingen in de organisatie of het product kunnen afdwingen. Het effect dat deze veranderingen hebben op eventuele vergunningen is een bijkomende complexiteit voor het management van de risico’s. Als de risico-identificatie aansluit bij de behoefte en business van de FinTech is het management veel beter in staat om op kansen en bedreigingen te reageren.

Risk response

Net zo belangrijk als de identificatie van risico’s zijn de maatregelen die genomen worden als reactie op de geïdentificeerde risico’s. Alleen als de identificatie van de risico’s op een passende wijze verloopt, heeft het herkennen, benoemen en nemen van maatregelen een positief effect. Deze maatregelen kunnen FinTechspecifiek zijn of komen uit een good practice, zoals COSO of COBIT.6,7 Als de maatregel is geëffectueerd, is het belangrijk dat deze geëvalueerd wordt op de toepasbaarheid terwijl de FinTech zich beweegt in de markt, producten ontwikkelt en nieuwe partnerships aangaat.

Voor internal auditors zijn de voorgaande twee thema’s natuurlijk niets nieuws. Voor FinTechs vaak wel. Een FinTech heeft een sterke product- en marktfocus met een team dat verantwoordelijk is voor het ontwikkelen van een bepaald product of dienst en een team dat zich bezighoudt met het plaatsen van het product in de markt. Zeker in het ontstaan van een FinTech is men niet snel geneigd aandacht te hebben voor risico’s en maatregelen. Bij het aantrekken van investeringen, het acquireren van een eerste grote klant en het eventueel verkopen van de organisatie krijgen deze twee thema’s wel aandacht. En helemaal bij het overtuigen van een toezichthoudende instantie, zoals de AFM of DNB.

Tijdens het beschrijven van de drie fasen (investeringen, acquireren en verkoop) is door de onderzochte FinTech’s een belangrijke beïnvloeder genoemd, namelijk de auditor. De auditor is veelal een eerste persoon die de FinTech wijst op risico’s die worden gelopen. De auditor heeft wel expertise op het gebied van de beheersing van risico’s, maar is zich minder bewust van de snelheid, flexibiliteit en de (soms) tijdelijkheid van producten. Dit wordt door de FinTech’s soms als stroef en remmend ervaren. Hier is voor auditors dus nog terrein te winnen.

Conclusies

Risk management en governance kunnen zeker een positieve invloed hebben op het succes van FinTechs. Belangrijke reden is dat een FinTech juist in de huidige zeer competitieve markt goed op de hoogte moet zijn van bedreigingen en kansen, iets waar een goede risk professional/auditor bij kan ondersteunen, maar alleen als deze zich kan aanpassen aan het tempo en flexibiliteit van de FinTech.

Een FinTech komt daarnaast veel groeifase-issues tegen die verband houden met risk en control, zoals een eerste klant, een samenwerkingspartner, een toezichthouder of een belangrijke investeerder die veeleisende standaarden oplegt aan de organisatie en het product. FinTechs die in een vroeg stadium weten welke standaarden zij tegenkomen, hebben aanzienlijk voordeel bij het aangaan van een verhouding met deze partijen. Een vroege voorbereiding op het adopteren van een standaard, ondersteund door een eventueel tijdelijke professional kan een groot verschil maken op het moment dat er vragen worden gesteld.

Zeker in het ontstaan van een FinTech is men niet snel geneigd aandacht te hebben voor risico’s en maatregelen

Risk professionals/auditors kunnen bij het voorgaande alleen een belangrijke rol vervullen als zij gevoel hebben voor de wezenlijke kenmerken van een FinTech en over voldoende inhoudelijke kennis van de markt beschikken. Voorts moeten ze goed om kunnen gaan met de wensen van deze organisaties om niet alleen te helpen inventariseren, maar ook juist te helpen implementeren. Dit betekent dat de professional om moet kunnen gaan met een bottom-up en top-down risk managementbenadering die aansluit bij de FinTech. Dit vraagt om professionals met kennis van nieuwe technologie, markten en mogelijke klanten van de FinTech.

Noten

  1. In mijn onderzoek heb ik aan FinTech een brede definitie gegeven: nieuwe initiatieven ondersteund door technologie die ingezet wordt door financiële instellingen.
  2. Technologische innovatie in de Nederlandse Financiële sector, DNB, 2016.
  3. Minimum viable product; het eerste werkende product met minimale bruikbaarheid.
  4. API, application programming interface.
  5. Agileteams beginnen de dag met een dagstart waarin de details van de dag worden doorgenomen
  6. The Committee of Sponsoring Organizations of the Treadway Commission.
  7. Control objectives for information and related technologies.

Over
Owen Strijland werkt sinds 2012 bij Protiviti, maakt onderdeel uit van het MT en is sinds 2018 verantwoordelijk voor de diensten aan FinTech. Hij behaalde in 2018 zijn MBA aan de Nyenrode Business Universiteit met een onderzoek naar FinTech en risk management.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp:

Staat blockchain al in het auditplan 2019?

Ondanks de hype lijkt het erop dat blockchain bedrijfsprocessen en businessmodellen gaat veranderen. Kan de auditor zich permitteren om een van de belangrijkste technologische ontwikkelingen van deze tijd nog langer te negeren? Blockchain verdient een plek in het auditplan 2019.

Lees meer

Wat vinden robots van COBIT?

RPA doet in steeds meer organisaties haar intrede. In dit artikel de nieuwe uitdagingen en RPA-specifieke risico’s en de COBIT IT-controleprocessen die als handvatten dienen voor internal auditors om de interne beheersing rondom RPA te beoordelen.

Lees meer