Technologie en ontwikkelingen in wet- en regelgeving

24 januari, 2023
Samenwerking IT-auditors en de compliance functie is een must
Column over het belang van samenwerking met het oog op de snelle ontwikkelingen in Rechtech.
Volledig artikel
Auteurs: Eddy van Rooijen en Jean-Jacques Bistervels

Dit is een wat aangepaste versie van een column die de auteurs in oktober 2022 hebben bijgedragen aan het Lustrumboek van de Vereniging van Compliance Officers (VCO).

Al ruim dertig jaar is er regelgeving op het gebied van antiwitwassen. Het is dan ook niet vreemd dat het een van de centrale thema’s is bij het ontwikkelen van technologie binnen de financiële sector. En dat de compliance officer of de IT-auditor zich daar een mening over moeten vormen, en eventueel een oordeel kunnen geven richting hun opdrachtgever. Voor beide functies geldt dat er een uitdaging ligt voor het verkrijgen van zekerheid. Bijvoorbeeld over IT-systemen die allerlei gereguleerde zaken via geprogrammeerde routines afhandelen, data van klanten en meer informatie op steeds grotere schaal verwerken. Veel werkzaamheden op het gebied van antiwitwassen gebeuren nog handmatig. Vroeg of laat zal dat moeten veranderen, al is het maar onder druk van de kosten. Deze trend is al in gang gezet. Het gebruik van artificial intelligence en machine learning worden straks, of zijn nu al, ‘business as usual’ – afhankelijk van de sector.

Jaren terug kwam je als compliance officer of IT-auditor nog makkelijk weg met de redenering: ‘de techniek is voor de specialisten’. In het vakjargon van IT-auditors (destijds EDP Auditors genoemd), heette dat ‘om het systeem heen auditen’ – het IT-systeem werd behandeld als een black box. De aanname hierbij was dat wat erin ging, bij uitvoer weer gecontroleerd kon worden zonder verder bij die verwerking in de box te hoeven stilstaan. De transformatie van veel handmatige werkzaamheden naar meer automatisering maakt dat de eisen aan zowel de functies als de werkzaamheden hoger en vooral ook anders worden.

Als compliance officer of IT-auditor staan we immers al enige tijd op een kruispunt: hoe weet je nu dat al de IT- en business-specialisten de vele en steeds wijzigende regels goed hebben gecodeerd in de IT-systemen? En hoe kan je vaststellen of deze systemen doen wat nodig is volgens het beleid van een organisatie?
Het komt in de praktijk nog veel voor dat compliance officers weinig meer doen dan aangeven dat ze ‘betrokken waren bij het vaststellen van de requirements of epics en stories. En de IT-auditor? Bij veel instellingen is de compliance-functie niet voldoende toegerust met kennis van de techniek en betrekt men de IT-auditor nauwelijks of niet. Maar met alleen een juridische- of economische achtergrond maakt een bijspijkercursus je niet van de ene op de andere dag tot een IT-specialist. Daar komt dan een mogelijke rol voor de IT-auditor om de hoek kijken. En hier ligt een kans.

De IT-auditor kan met zijn of haar inzichten de compliance-functie prima ondersteunen. Dat kan deze doen door advies geven over of het verkrijgen van zekerheid over de inrichting en de werking van complexe systemen die nu of in de nabije toekomst worden toegepast binnen het gebied van antiwitwassen. Een schitterend voorbeeld hiervan is de toepassing van AI, zoals zeer recent onderwerp was van een rechtszaak tussen Bunq en DNB. Daarbij was de inzet dat uitlegbare AI-technologie toegepast moest kunnen worden. Wie zou dit dan beter kunnen onderzoeken dan een op dat terrein gespecialiseerde IT-auditor?

Tijden veranderen… dus ook (voor) de compliance- en auditfuncties. Compliance-afdelingen moeten transformeren in constructief kritische volgers van de lijnafdelingen (de ‘business), ook op het vlak van IT. ‘Compliance by design’, in navolging van ‘privacy by design’ gaat steeds meer invulling krijgen qua begrip. Alleen een juridische achtergrond als bagage is inmiddels ontoereikend geworden binnen sectoren waar flinke regulering en digitale transformatie hand in hand gaan: BigTech voorop (de ‘Googles’, ‘Amazons’, ‘Microsofts’ en ‘Alibabas’ van deze wereld), maar ook Regtech (diverse relevante reguleringen), Fintech (bijvoorbeeld Revolut en crypto platformen) en eHealth.

Niet alleen in de financiële sector maar ook in bijvoorbeeld de zorgsector, farmacie en advocatuur is deze transformatie gaande. Partijen als de Financial Action Task Force (FATF) hebben recent via enkele kaders geschetst hoe zij aankijken tegen minder of meer geavanceerde technologische middelen in de bedrijfsvoering om ‘state-of-the-art compliant’ te blijven. Dat wordt de uitdaging voor de komende twintig jaar.

Kennisgroepen bij NOREA en ISACA zijn er inmiddels een aantal, maar op dit specifieke en hard groeiende themagebied helaas nog niet. Maar vanuit NOREA en de VCO RegTech kennistafel is in 2021 een samenwerking tot stand gekomen van waaruit we periodiek artikelen voor dit thema en andere terreinen met raakvlakken tussen compliance en techniek willen delen met onze collega’s. Ons eerste artikel was: Anti-witwastechnologie: waar de IT-auditor en compliance officer elkaar treffen (november 2021), het tweede artikel volgt binnenkort
Interesse in samenwerking?
Heb je als lid van NOREA of de VCO interesse om samen te werken aan artikelen op het vlak van Rechtech? Neem dan even contact op met Jean-Jacques Bistervels. Jullie hulp is bijzonder welkom
Auteurs: Eddy van Rooijen en Jean-Jacques Bistervels