Nart Wielaard

Van GDPR tot SOC2 en van WWFT tot CSRD en nog tal van andere regulerende kaders: er is voor bedrijven simpelweg niet te ontkomen aan toezicht en controle. Stafafdelingen hebben er de handen vol aan om control frameworks op te tuigen, om organisaties aantoonbaar compliant te maken. Externe toezichthouders evenzeer. Beide hebben al jaren te kampen met een tekort aan mensen en gezien de groei van wet- en regelgeving zal dat waarschijnlijk niet snel veranderen. De kosten - bijvoorbeeld binnen het bancaire systeem -lopen gierend uit de hand. En dan speelt er ook nog een hardnekkige reflex dat zodra toezicht een keer faalt, er meestal (politieke) verontwaardiging volgt met daarna weer meer - of strenger - toezicht.

'Stafafdelingen hebben er de handen vol aan om control frameworks op te tuigen, om organisaties aantoonbaar compliant te maken.'

De situatie is niet om vrolijk van te worden en toch zijn er weinig serieuze pogingen om er echt wat aan te doen. Bunq-voorman Ali Niknam ging juridisch het gevecht aan met toezichthouder De Nederlandsche Bank, over hoe zijn bank witwaspraktijken mag monitoren en won op punten. De uitspraak van de rechter opende ook voor anderen de deur naar een meer risicogebaseerd toezicht, met meer ruimte voor technologische oplossingen. Controls inbouwen in de werkprocessen dus, in plaats van een separate activiteit ervan maken.

Handzaam

En dat is precies waar TidalControl zich op richt. Oprichter Dennis van de Wiel klaagt niet over regeldruk. Hij vindt het bijvoorbeeld heel goed dat Europa vooroploopt in privacyregels of het reguleren van AI-toepassingen, want daarbij staat veel op het spel. "Maar dat is alleen houdbaar als we die regels ook op een handzame manier kunnen handhaven, anders prijs je jezelf uit de markt."

De klassieke werkwijze is dat controls een extraatje zijn en ook als zodanig worden vastgelegd - met formulieren en rapportages - zodat de toezichthouder of de accountant kan vaststellen wat er precies is gecontroleerd. Het mooie van zwaar geautomatiseerde omgevingen is echter dat de technologie het ook mogelijk maakt om die controls in te bouwen in de processen zelf en dit ook zichtbaar te maken.

'Het bedrijf heeft een missie die er niet om liegt.'

De praktijk van TidalControl bewijst dat het kan. Het bedrijf heeft een missie die er niet om liegt. Op de website van het bedrijf is te lezen dat men streeft naar een open assurance-markt, waarin controles modulair plaatsvinden en naar wens aan elkaar worden geknoopt. Samen met de auteur van dit stuk schreef hij er al eens een opinie over op dit platform. Dat is nu nog niet meer dan een mooi toekomstbeeld waar heel gestaag aan wordt gewerkt, vooral met een nieuwe standaard in hoe die controls kunnen worden geautomatiseerd. Dat gestage pad betekent ook dat TidalControl niet het geijkte pad van de Venture Capitalist volgt en/of zich vestigt in de VS, maar liever stapje voor stapje bouwt aan kwalitatief goede toepassingen.

Adoptie

Aan de techniek zal het niet liggen. Zoals wel vaker het geval is, zal het succes worden bepaald door de adoptie. En in dit geval heeft Van de Wiel daar het voordeel van een grote marktvraag - iedereen komt handen te kort en wil het compliance werk efficiënter maken - en het nadeel van een tamelijk vastgeroeste aanpak. In de klassieke aanpak zijn er immers controlefunctionarissen die als extraatje op de organisatie aan het werk zijn en daarover rapporteren.

'Je moet conclusies baseren op wat er in de systemen is ingebouwd.'

In de aanpak van TidalControl wordt er veel meer gebruikgemaakt van systeemdata om vast te stellen dat bepaalde activiteiten hebben plaatsgevonden en wordt daarover openheid gegeven naar belanghebbenden. "Je moet conclusies baseren op wat er in de systemen is ingebouwd. Maar dat betekent dat je de gedachte los moet laten dat controle per se door mensen moet worden gedaan die erover rapporteren. Ik moet zowel mijn klant als de toezichthouder ervan overtuigen dat dit een betere aanpak is."

Hoe het in de praktijk precies werkt, hangt af van de specifieke klant en diens compliance-uitdagingen. Van de Wiel waakt daarbij voor elke keer maatwerk oplossingen: "We implementeren een standaard stramien en bieden binnen dat stramien natuurlijk wel flexibiliteit. Maar geen maatwerk: dan loop je het risico dat je straks bij honderd klanten steeds onderhoud moet doen. Dat is niet schaalbaar."

Sterk idee

Al met al werkt TidalControl vanuit een sterk idee aan een fundamentele vernieuwing. Het gevecht met de alsmaar uitdijende controletorens is zeer relevant. Tegelijkertijd is het nog maar net de kraamkamer uit en heeft het bedrijf nog maar een kleine klantenkring. En die combinatie zorgt voor 3,5 sterren op de schaal van Elliott.