Na Fintech is nu Regtech hot
Fintech is de afkorting voor Financial technology. Vooral digitale techniek voegt nieuwe vormen toe aan de traditionele methodes van financiële diensten. Denk aan mobiel bankieren, investeringsdiensten en cryptovaluta. Als maatschappij willen we naast handige, ook veilige betaaldiensten waarvoor bevoegde autoriteiten vergunningen uitgeven. Inclusief wet- en regelgeving op dit gebied voor gegevensbescherming en bestrijding van fraude en witwassen. Om deze regelgeving effectief in te zetten, is nog meer slimme digitale techniek nodig. Dat noemen we Regtech, een afkorting van Regulatory technology. Regtech is het gebruik van informatietechniek om risk en compliance processen te ondersteunen en te verbeteren.
Regtech en het nieuwe toezicht
Afgelopen donderdag 15 juni stond het druk bezochte Risk en Compliance Congres in het teken van Regtech onder de titel: ‘Innovatie & Toezicht: Is RegTech het juiste antwoord?’ De inzet van techniek om beter toezicht te kunnen houden en handhaven in de financiële wereld. Een dynamische wereld waar veel gebeurt en dus ook veel verandert. Niet alleen nieuwe technische mogelijkheden binnen de Fintech zelf, maar ook de worsteling die maatschappij en toezichthouders hebben om die nieuwe mogelijkheden te volgen, te begrijpen en veilig te maken en te houden. Het gebied is immers uiterst complex en de belangen zijn groot.
Nieuwe technologie betekent vooral nieuwe informatietechniek om allerhande nieuwe digitale diensten voor Web3 mogelijk te maken. Die nieuwe mogelijkheden hebben niet alleen impact op de financiële dienstverlening zelf maar voor iedereen die met deze wereld te maken heeft: accountants, advocaten, notarissen en natuurlijk bedrijfsleven en overheid. Het is normaal dat innovatie vóórloopt op wet- en regelgeving. Per land zich verschillend ontwikkelt. Nieuwe mogelijkheden worden uitgeprobeerd en geslaagde toepassingen breiden zich snel uit. Op dat moment moeten we als maatschappij in staat zijn snel en adequaat passende regelgeving te benoemen, ontwikkelen en implementeren. En dat gaat niet zonder horten en stoten.
GRC: Governance, Risk en Compliance
GRC is een bekende term als raamwerk voor regelgeving voor goed ondernemingsbestuur. In 2007 werd deze term voor het eerst in een handboek beschreven waarin GRC formeel werd gedefinieerd als “de geïntegreerde verzameling van capaciteiten die een organisatie in staat stellen op betrouwbare wijze doelstellingen te bereiken, onzekerheid aan te pakken en integer te handelen”. Vanaf die tijd werden geïntegreerde IT-applicaties ontwikkeld om bedrijven op GCR gebied te ondersteunen. Denk aan interne audits, compliance, risicobeheer, juridische zaken, financiën, IT, HR. Eerst voor alle bedrijfsonderdelen, maar later zeker ook voor executive suite en raad van bestuur zelf.
GRC is in het digitale tijdperk ontstaan en was vanaf het begin ondersteund met software. De werkelijke verandering begon toen Big Data zijn intrede deed en beschikbaar werd voor GRC-processen. Machine learning en kunstmatige intelligentie leveren input voor algoritmes om processen snel en eenduidig te kunnen doorzoeken, voorspellen en controleren. Hier komt blockchain techniek om de hoek kijken als nieuw digitaal grootboek dat bijna automatisch (financiële) processen kan registreren, vastleggen en goedkeuren. Allemaal ingrediënten voor fikse innovatie, uitdagende nieuwe regelgeving en dus discussies tussen nieuw en oud.
DNB en Bunq
In zo’n discussie hoort bijna vanzelfsprekend het geschil dat zich afspeelde tussen toezichthouder DNB en de nieuwe digitale bank Bunq. Ik ben zelf sinds de oprichting van Bunq een enthousiaste klant van hun moderne, pragmatische maar vooral 100% digitale aanpak. Elke bank moet een nieuwe klant vóóraf controleren, een proces dat bekend staat als KYC: know your customer. Discussie tussen DNB en Bunq was dat onze toezichthouder vond dat de nieuwe digitale wijze hoe Bunq haar nieuwe klanten controleerde niet goed was en zij de oude formele manier moesten toepassen. Bunq gebruikte moderne algoritmen, kunstmatige intelligentie en data-analyses. Uiteindelijk oordeelde het College van Beroep voor het bedrijfsleven (CBb) in 2022 dat nergens staat hoé banken hun klanten moeten screenen.
Een overwinning voor de bancaire sector dat ook toezichthouders mee moeten in de innovatie van Fintech en dus Regtech. Volgens de antiwitwaswet moeten banken witwassen en financiering van terrorisme voorkomen door hun klanten in te delen in risicoprofielen en hen daarmee beter in de gaten te houden. Een zeer arbeidsintensief proces waar makkelijk zaken fout gaan. Dat leidde in 2018 en 2021 al tot zeer grote schikkingen met enkele banken. Dus de wens deze processen datacentrisch en digitaal te maken en te automatiseren, zijn begrijpelijk. Precies datgene wat Bunq al direct in 2012 had gedaan en uiteindelijk, op wat kleinere verbeteringen na, door de toezichthouder moest worden toegestaan.
Eerste kogel door de kerk
Was Bunq bank de eerste kogel door de toezichthouderskerk, er liggen nog wat meer kogels te wachten om geschoten te worden. Intussen zijn diverse banken, geschrokken door de grote schikkingsbedragen, voortvarend begonnen hun processen te digitaliseren en automatiseren. Maar dit gebeurt niet alleen binnen de banken. Ook de accountants, advocaten en verwante beroepsgroepen moeten mee in deze digitale procesinnovatie die voor de beroepsgroep ook extra uitdagingen kent. Immers zonder enige digitale vaardigheid is het lastig als bestuurder, manager en toezichthouder digitale ontwikkelingen te begrijpen, te overzien en aan te sturen.
Een herkenbare ontwikkeling die op meer terreinen speelt: veel management, bestuurders en ook toezichthouders komen nog uit een traditionele wereld en hebben in zowel hun studie als beroepspraktijk weinig ‘kaas gegeten van digitalisering’. Net zoals je een analfabeet niet een administratief proces laat ontwikkelen en leiden, moet je een a-digibeet niet een digitaal proces laten ontwikkelen en leiden. Die uitdaging is voor veel organisaties wellicht een nog grotere uitdaging dan de datacentrische aanpak en digitalisering van hun organisatie zelf. Daarnaast levert de Web3 ontwikkeling – het nieuwe decentrale internet en basis voor de metaverse – een goed gevulde gereedschapskist met allerlei nieuwe digitale gereedschappen zoals digitale identiteit (SSI), autonome organisaties (DAO), digitale munten, wallets en waardebewijzen (tokens) en slimme algoritmes (smart contracts).
Single source of Truth
De uitdaging voor elke organisatie dat er een ‘Single source of truth’ is die de waarheid zegt over elke stap in elk proces. Niets nieuws natuurlijk. In de kapitaalintensieve industrie zoals luchtvaart, energie en defensie zorgde zware veiligheidsregelgeving al voor uitgebreide en intensieve vastlegging van werkelijk alles dat noodzakelijk was om een product niet alleen veilig te ontwerpen en te produceren, maar ook bewezen veilig te gebruiken en vele decennia compliant en handhaafbaar te kunnen blijven gebruiken. De markt van GRC deskundigheid, inclusief bijbehorende software en algoritmes, is ook initieel in die branches ontstaan. Fintech en nu Regtech zijn goede volgers.
De financiële en wet- en regelgeving markten hadden een voordeel toen zij deskundigheid moesten opbouwen en binnenhalen: veel techniek was al aanwezig. Maar moet nu ingebed worden in vanouds traditionele organisaties met bijbehorende weinig technische, niet digitaal vaardig management, bestuur en toezichthouders. Die innovatie is wellicht de grootste uitdaging die deze beroepsgroep heeft, bleek ook tijdens het geanimeerde debat op het Risk en Compliance Congres afgelopen donderdag. Gelukkig hoef je het nooit zelf allemaal te weten, zolang je die deskundigheid maar je teams binnenhaalt. Van laag maar vooral ook hoog! Multidisciplinair geldt ook op het gebied van datacentrisch werken, digitalisering en nieuwe Web3 ontwikkelingen . . .
Photo by Markus Winkler on Unsplash