AI ondersteuning van Risicomanagement bij een Verzekeringsmaatschappij

In de financiële sector is het voldoen aan wet- en regelgeving van levensbelang. Fouten kunnen leiden tot boetes of imagoschade. De verzekeraar had uiteenlopende verplichtingen: van gegevensbescherming (AVG) en informatiebeveiliging (ISO27001) tot de nieuwe NIS2-richtlijn voor kritieke infrastructuur en interne ESG-doelstellingen. Een groot deel van deze normen vereist een risicogebaseerde aanpak: je moet aantonen dat je de risico’s kent en maatregelen neemt in verhouding tot die risico’s. Echter, het inventariseren van risico’s was voorheen mensenwerk. Men organiseerde brainstormsessies met managers om risico’s in kaart te brengen, of gebruikte standaardlijstjes van sectorgenoten. Dit leverde vaak een beperkt en subjectief beeld op. Belangrijke risico’s werden soms vergeten omdat niemand in de sessie eraan dacht, of omdat informatie in silo’s zat. Bovendien was het inschatten van kans en impact van elk risico lastig en eveneens gevoelig voor menselijk bias. Zo ontstond het gevaar dat bepaalde compliance-risico’s onderschat werden, terwijl men zich misschien focuste op relatief kleine gevaren. Kortom, het traditionele risicomanagement was tijdrovend én gaf geen compleet plaatje.

PrudAI bracht twee AI-gedreven tools in stelling: IRMA (Intelligent Risk Management Agent) en NORA (Norm Oversight & Risk Advisor). Allereerst verzamelden we samen met de verzekeraar alle relevante interne informatie die iets kon zeggen over risico’s. Denk aan audits en controles, incidentrapportages, polisvoorwaarden, klachtenregisters, operationele data, maar ook e-mails of notulen waarin problemen genoemd worden. Deze diverse brondocumenten – gestructureerd en ongestructureerd – werden in een veilige omgeving door de AI geanalyseerd. IRMA en NORA “lezen” als het ware de organisatie uit. Ze gebruiken geavanceerde algoritmen en taalmodellen om in al die tekst en data risicosignalen te ontdekken. AI-geholpen risicobeoordeling kan namelijk patronen en aanwijzingen voor potentiële risico’s detecteren die mensen gemakkelijk over het hoofd zien. Bijvoorbeeld: de AI ziet in vergadernotulen terugkerende zorgen over IT-systemen, in klachtendata een trend van klantontevredenheid over een bepaald proces, of in policy-documenten gaten waar geen eigenaar voor is aangewezen – allemaal mogelijke risico-indicatoren. Vervolgens formuleert de AI voor elk ontdekt risico-item een duidelijke beschrijving in risico-termen (“Risico: uitval van systeem X kan leiden tot <…>”).

Na de inventarisatiefase helpt de AI ook bij de evaluatie. IRMA is getraind om per risico een inschatting van de kans en impact te geven op basis van beschikbare data en algemene bronnen. Zo combineert het bijvoorbeeld interne incidentfrequentie met externe statistieken om de kans op bijvoorbeeld datalekken “hoog/medium/laag” te scoren, en gebruikt het financiële data om de potentiële schade te kwantificeren. Indien gewenst suggereert de AI bovendien mogelijke beheersmaatregelen. Het resultaat is een bijna kant-en-klare risicomatrix en rapportage. De compliance officer kan deze als uitgangspunt nemen en samen met management finetunen. Maar in plaats van blanco te beginnen, start men nu met een zeer complete lijst. Uit een demo bleek dat een taalmodel (ChatGPT) in één prompt al makkelijk een lijst van twintig relevante risico’s kan geven voor een bepaalde situatie – onze ervaring met IRMA/NORA is vergelijkbaar, zij het op maat van de eigen organisatiecontext. Uiteraard blijft menselijke beoordeling nodig; de AI is een aanvulling die het werk van risk managers en compliance officers verrijkt en versnelt.

Toegevoegde waarde van AI (IRMA/NORA): Deze AI-aanpak levert meerdere voordelen op. Ten eerste: volledigheid. De AI vergeet niet zomaar iets; het doorzoekt duizenden documenten en vindt daarmee risico’s in “hoekjes” waar mensen niet aan denken. Dit geeft een veel completer risicoregister. Ten tweede: snelheid en efficiency. Het doorlichten van al die informatie zou een team risk officers maanden kosten, de AI doet dit in uren of dagen. Zo houdt het risk&compliance-team meer tijd over voor het bedenken van oplossingen en maatregelen, in plaats van voor data verzamelen. Ten derde: objectivering. Waar risicoscores voorheen het resultaat waren van discussie en inschatting (met alle bias van dien), baseert de AI zich op data en duidelijke regels bij het voorstellen van een kans- en impactscore. Bijvoorbeeld: “Op basis van 3 voorvallen afgelopen jaar en een toename-trend acht ik de kans op dit risico hoog”. Dit dwingt tot transparantie en onderbouwing. Vierde voordeel is dynamiek: IRMA/NORA kunnen continu op de achtergrond monitoren. Nieuwe gegevens (bijv. een incidentmelding of een change in een IT-systeem) worden door de AI meegenomen, zodat risicoprofielen live bijgewerkt kunnen worden. Hierdoor verschuift risicomanagement van een jaarlijkse exercitie naar een continu en doorlopend proces waarmee je continu inzicht hebt in de actuele top risico’s die om aandacht vragen. Tot slot merken we dat het gesprek over risico’s binnen de organisatie verbeterde. Omdat de AI ook risico’s aandraagt buiten het normale blikveld, komen nu onderwerpen op tafel die eerder onderbelicht bleven – dit vergroot het risicobewustzijn bij iedereen.

De verzekeraar beschikt nu over een veelomvattend risicobeeld. Bij de eerste AI-gegenereerde risico-inventarisatie kwamen ~30% meer risico-punten bovendrijven dan in de oude lijst stonden – waaronder enkele kritieke waarvan men zich niet bewust was. Dankzij de inschattingen kon het managementteam meteen prioriteren: van de wellicht honderd risico’s zijn er nu tien “topprioriteit” (hoog risico) die onmiddellijke aandacht krijgen, twintig middelgrote risico’s voor de middellange termijn, en de rest wordt gemonitord. Dit gaf grip: er is een gericht plan van aanpak opgesteld voor de top 10 risico’s, iets wat eerder lastig was zonder compleet overzicht. Een directielid noemde het “alsof we eindelijk de volledige landkaart hebben in plaats van een schets”. Ook naar toezichthouders toe kan de organisatie nu beter aantonen dat ze in control is: men heeft aantoonbaar alle relevante risico’s geïdentificeerd en beoordeeld, wat bijvoorbeeld bij ISO audits en DNB-toezicht veel vertrouwen wekte. De tijdsinvestering om tot dit rapport te komen, was bovendien kleiner – de AI nam het initiale monnikenwerk voor rekening. Dit laat het risk&compliance-team toe om hun expertise in te zetten waar ze waarde toevoegt: het interpreteren van de resultaten en adviseren van mitigatieacties. In de maanden na implementatie merkte de organisatie al verbeteringen: er traden minder verrassingen op, want potentiële issues waren proactief gesignaleerd. En als er toch iets gebeurt, staat het al op de radar met een plan klaar. Al met al is de verzekeraar dankzij IRMA/NORA stap voor stap meer in control: van reactief brandjes blussen naar proactief risicomanagement.