COO Marcel Prins van Robeco: met AI kregen we inzicht in honderden contracten

“Elk bedrijf moet zich bewust zijn van de risico’s en je bent eigenlijk altijd kwetsbaarder dan je denkt.”

In het kort:

• DORA heeft Robeco gedwongen om beter inzicht te krijgen in risico's en afhankelijkheden. 
• AI speelde een cruciale rol in het versnellen van contractanalyse en het verbeteren van processen. 
• De implementatie van DORA biedt waardevolle lessen voor onder andere de financiële sector, met aandacht voor transparantie en risico-inzicht.

Marcel Prins is COO van Robeco en was vanuit die rol verantwoordelijk voor de implementatie van DORA. In gesprek met Marc Welters (EY) waarschuwt hij dat we moeten oppassen voor regulatory overreach in Europa, maar is positief over het effect van DORA. “Het vertaalt zich in beter zicht op je risico’s.”  

Het is zover. DORA is van kracht geworden en dat was voor financiële instellingen een pittige kluif, al was het alleen maar vanwege de veelheid en complexiteit aan relaties met derde partijen. Wat is achteraf gezien een van de belangrijkste leerervaringen bij Robeco? 

“Dat de timing bij zo’n wetgevingstraject erg lastig is. Het thema waar DORA op inspeelt is geen verrassing, we zijn bij Robeco immers altijd bezig om nog beter in control te raken over third party risk en we weten dat er veel afhankelijkheden zijn in een wereld waarin alles met alles is verbonden. Die inspanningen konden we mooi integreren in de aanpak voor de implementatie van DORA. Maar veel details van die wetgeving kwamen pas heel laat beschikbaar. En dat leverde dan stevige dilemma’s op: gaan we bepaalde dingen doen voordat die details bekend zijn en daarom misschien moeten bijsturen? Of wachten we nog even, wetende dat dat ook problemen kan opleveren in een heel drukke veranderkalender?”

Third party risk is inderdaad niet nieuw, zoals je zelf ook aangeeft. Is DORA daarmee eigenlijk het repareren van iets wat allang gerepareerd had moeten zijn? 

“Nee, die term zou ik niet gebruiken. DORA leverde bij ons vooral reflectie op over hoe afhankelijk we zijn van techno logie, data en daarmee ook van andere partijen. DORA dwingt tot transparantie over die afhankelijkheden zodat iedereen goed zicht krijgt op de concentratierisico’s. In de zomer van 2024 waren de gebeurtenissen rondom Crowdstrike natuurlijk een serieuze wake up call op dat thema. Veel partijen die op zwart gingen realiseerden zich waarschijnlijk vooraf niet eens dat ze last zouden ondervinden doordat ze zich niet bewust waren van de afhankelijkheden in de keten.” 

Zijn er derde partijen die gedurende het traject als gevolg van de vergaande DORA verplichtingen afzagen van een relatie met Robeco? 

“Nee. En dat heeft alles te maken met ons beleid. Voor bedrijfskritische processen hebben we altijd ingezet op partners die topkwaliteit leveren en laten we geen ruimte voor opportunisme. We doen zaken met partijen die sowieso hun Europese markt niet willen verliezen en dus willen voldoen aan DORA.” 

Waar zaten de praktische uitdagingen in dit project?

“The devil is in the detail. In de zomer hebben we veel gesprekken met leveranciers gevoerd over de contracten die we met hen hebben. Dat leidde dan bijvoorbeeld tot aanvullende clausules of hoe de rapportage over hun eigen uitbestede processen eruit moet zien. Overigens heeft AI tooling ons daarbij enorm geholpen om inzicht te krijgen.” 

Op wat voor manier? 

“Een van de uitdagingen is dat we veel contracten moeten analyseren op een aantal aspecten die in DORA zijn opgenomen. Dat is heel veel werk. In ons geval gaat het om ongeveer 200 contracten. We hebben een test gedaan door drie contracten te laten analyseren door een vendor manager en een jurist – beide mensen – en dezelfde drie contracten te analyseren met 32 ‘AI-prompts’. Toen bleek dat het AI-model het veel sneller deed dan de mens, maar niet altijd 100% correct. AI heeft dus wel een enorme versnelling kunnen brengen in de analyse, waarbij de mensen wel altijd de eindcontrole deden. We gebruiken intern ook steeds meer de prompt buddy van Microsoft Copilot om van elkaar te leren hoe je de beste vragen kunt stellen aan de tool en passen dat ook op andere vlakken toe. Bijvoorbeeld op het vlak van quality assurance om verschillende interne documenten te analyseren op consistentie helpt AI ons heel goed. Dat is heel waardevol, zolang je er als mens maar supervisie op houdt. Onze centrale boodschap is dan ook: don’t stop thinking.” 

Hoe kijk je aan tegen het wereldwijde level playing field vanuit de verplichtingen die DORA in Europa oplegt?  

“De trend is wereldwijd hetzelfde. Ook in het Verenigd Koninkrijk en de Verenigde Staten zetten toezichthouders hoog in op resilience. En doordat de technologie zich in razend tempo ontwikkelt, zullen de toezichtkaders zich ook blijven ontwikkelen. Dat is goed, ik heb afgelopen jaar gezien dat DORA zorgt voor meer bewustwording en ook dat het leidt tot beter inzicht in je risico’s. Heel waardevol. Tegelijkertijd moeten we in Europa wel opletten dat we niet doorschieten in regulatory overreach.” 

Zou DORA in aangepaste vorm ook voor andere sectoren moeten gelden?  Resilience is bijvoorbeeld ook voor de voedselvoorziening en daarmee voor supermarkten belangrijk?  

“Elk bedrijf moet zich bewust zijn van de risico’s en je bent eigenlijk altijd kwetsbaarder dan je denkt. Maar er is wel een verschil tussen een kaasleverancier en een bank. Als je drie weken geen kaas hebt, is dat heel vervelend, maar als er drie weken geen financieel systeem is, dan is dat rampzalig. Het vertrekpunt van DORA is het zorgen voor stabiliteit in het financiële systeem. Het goede nieuws is dat met de toekomstige implementatie van de Network and Information security Directive (NIS2) een Europese richtlijn wordt toegepast voor beveiliging van informatiesystemen van alle vitale sectoren, zoals telecom, cloud providers en voedselvoorziening. Daarmee wordt onze hele samenleving meer resilient.” 
 

Dit is een artikel uit het Eye on Finance magazine. Download hier de PDF voor meer inzichten over DORA en de financiële sector of bekijk de andere artikelen hieronder.