Patrick Lemmens en Jeroen van Oerle zijn met het fonds Robeco Global Fintech Equities momenteel onderwogen banken. Een van de redenen daarvoor is de problemen die banken hebben met hun heel oude IT-systemen. Die maken het lastig de dynamische en rappe fintechontwikkelingen bij te benen.
Van Oerle: "De meeste banken werken nog met systemen uit de jaren ‘70 en ‘80. Die communiceren allemaal niet goed met elkaar. Grote techbedrijven moderniseren hun systemen elk zes tot acht jaar, en hun systemen zijn veel beter geïntegreerd."
Maar core system replacement is niet iets van de laatste vijf jaar toch? Waarom duur het zo lang voordat banken in actie komen?
Patrick Lemmens: “Nee, het speelt al meer dan tien jaar, van voor de crisis. Banken hadden toen het crisis werd heel lang geen geld beschikbaar. En toen er weer geld was, ging dat vanwege een hogere regeldruk vooral naar regtech.”
Jeroen van Oerle: “De toezichthouders zijn veel kritischer geworden en vragen dagelijks om updates en allerlei informatie. Maar banken zijn daar nog helemaal niet klaar voor. Veel van hun data wordt nu nog met de hand ingevoerd. Dat moet eerst opgelost zijn. Laat staan dat ze klaar zijn voor de blockchain.”
Van Oerle vreest echter dat er aandeelhouders zijn die tegenwerken omdat extra kosten leiden tot minder winsten. "Aandeelhouders bij banken zijn meer gericht op dividend dan op toekomstige groei. En daarom zijn ze niet happig op grote uitgaven aan achterstallige IT.”
Kunnen banken die kosten niet over een lange periode spreiden, zeg tien jaar, om het minder pijnlijk te maken voor aandeelhouders?
Lemmens: “Ja, zeker, maar dan zijn de systemen die ze hebben geïmplementeerd alweer verouderd. Banken moeten nu kijken naar de komende vier, vijf jaar en daarin misschien wel een miljard euro investeren in hun systemen. Wat het lastig maakt, is dat het niet zeker is wat die investeringen opleveren in de toekomst. Maar misschien kan de bank de aandeelhouders duidelijk maken dat het belangrijker is om over vijf jaar nog te bestaan, dan nu niet te investeren en wel flink winst te maken?”
Is het zo erg?
Lemmens: “Het is echt hele oude IT. Largetech-bedrijven vervangen hun systemen elke zes tot acht. Maar de grootste verandering die banken kunnen doen is nu de IT-systemen vervangen. Het is een soort openhartchirurgie terwijl de patiënt auto rijdt, maar het moeten willen ze niet aan alle kanten ingehaald worden door fintechs.”
Van Oerle: “En het moet wel geleidelijk gaan, die vernieuwing van de technologie. Het mag geen big bang-project zijn van de toezichthouders. De systemen van banken mogen niet uitvallen. Alles draait om continuïteit en veiligheid.”
Moeten banken deze stappen nemen om niet door fintechs te worden vervangen?
Van Oerle: “Nee, fintech moet nog veel meer investeren voordat dat kan, vooral om te voldoen aan alle regelgeving. Daar hebben banken een voorsprong. Het is eerder onze verwachting dat banken meer zullen samenwerken met fintechs en largetechs. Large techs zijn nu allemaal aan het bedenken hoe ze kunnen verdienen aan financial services, zonder er zelf eentje te worden. Want daar hebben ze natuurlijk de vergunningen niet voor. Cash hebben ze wel, maar dat willen ze niet vastzetten.”
Lemmens: “Het zou straks wel zo kunnen zijn dan banken een pipestrategy krijgen. Dat de bank de basis is, maar andere bedrijven zorgen voor customer facing. Banken moeten ook niet streven naar dezelfde technolgie hebben als FinTechs vandaag want dan lopen ze weer achter als de investeringen klaar zijn over een aantal jaar. Ze moeten een man-on-the-moon-strategie hanteren. Formuleer een grote ambitie vandaag en wellicht kun je dan over tien jaar op gelijk niveau zijn met de largetechs.”
Wat is daarvoor nodig?
Lemmens: “Een hele visionaire CEO. Die CEO gaat de hele IT op zijn kop gooien en dat gaat verder dan zijn eigen voorzitterschap, hij moet dat wel durven. Verder welwillende aandeelhouders en een goed macroklimaat.”
Van Oerle: “En wij vinden een Chief Technologie Officer in het bankbestuur een heel goed idee. De CEO weet vaak niet genoeg van technologie.”
Wat gaat dit allemaal kosten?
Lemmens: “Miljarden. En daar zijn aandeelhouders niet blij mee. Maar banken kunnen ook een IT-bank naast hun bestaande operaties zetten.”
Van Oerle: “Dan bestaat het risico van kannibaliseren op het eigen klantenbestand. Ze zetten immers hun eigen klanten over.”
Lemmens: “Als voorbeeld: JP Morgan heeft aangegeven elf miljard dollar per jaar te investeren in technologie. Maar daar zit ook onderhoud bij. Ik denk dat slechts 10 tot 25% echt voor nieuwe IT is. Banken met een omvang van tien tot twintig miljard moeten denken aan investeringen van twee tot drie miljard. Het zure is, een nieuwe techbank kan dat goedkoper. Die hoeven namelijk geen oude auto helemaal om te bouwen. Hoeveel er de komende jaar geïnvesteerd zal worden, zal ook afhangen van het verloop van de rente. Als die laag is, is het minder aantrekkelijk voor banken om grote uitgaven te doen.”
Wat is het worst case scenario voor banken?
Lemmens: “Dat er een behoorlijke shake-out komt. Heel geleidelijk hoor, maar er komt een schifting tussen banken die wel en niet mee kunnen komen op IT-gebied. Banken moeten gaan nadenken of zij klanten in de toekomst zelf geheel willen blijven bedienen, of dat ze een backoffice/betalingsrol willen of moeten gaan aannemen.”
Van Oerle: “Maar het zou kunnen zijn dat kleine banken met een vergunning worden geïntegreerd in fintechoplossingen.”
Is het slim als banken ook onderworpen worden aan een cyberstresstest?
Van Oerle: “Zeker wel. We hebben een eigen stresstest ontwikkeld voor betaalbedrijven. Bedrijven die daar slecht uitkomen, daar praten we mee om te kijken of ze hun problemen op korte termijn aan kunnen pakken.”
Lemmens: “Maar als je nog een doemscenario wilt horen. Die oude systemen zorgen ervoor dat hackers banken kunnen hacken. Dat doen ze nu al, alleen horen we daar weinig over. Stel je voor dat een grote bank zes miljard euro verliest door een hack.”
Van Oerle: “Aan een cyberstresstest moet je wel consequenties hangen. Dan is het bij iedereen duidelijk wat eraan schort. Ratingbureau S&P is al bezig om cyberveiligheid van banken vast te stellen. Dat is nu alleen op basis van een vragenlijst, vooral vrijwillig dus, niet verplicht. Maar denk je eens in als hackers die lijst zien. De banken onderaan zijn het eenvoudigst te hacken. Het moet dus geen ideeënlijstje voor hen worden.”
Welke rol kan de overheid of toezichthouder hierbij spelen?
Lemmens: “In ieder geval een actievere rol. Een aantal landen, zoals Zwitserland, Singapore, China en het VK zet al in hierop. De Britse overheid heeft een white paper gepubliceerd waarin ze alle betrokkenen hebben betrokken. Dat is erg goed. Het probleem is alleen vaak dat toezichthouders nieuwe technologieën lastig kunnen bijhouden, waardoor ze teveel tegenhouden. Er werken bij toezichthouders in Europa ook nog teveel mensen die te weinig op de hoogte zijn van de ontwikkelingen van tech. En ze kijken allemaal naar elkaar en wachten af. Waarom is er geen door de centrale bank gereguleerde cryptocurrency? We moeten en kunnen alle problemen die nu achter crypto hangen oplossen, technisch gezien.”
Wanneer zijn de IT-problemen van banken opgelost?
Lemmens: “Nooit. Over tien jaar zijn er weer nieuwe problemen.”