Nowe wymogi prawne i regulacyjne, podejście oparte na ryzyku ‒ to bariery czy szanse na rozwój technologii?

Nowe wymogi prawne i regulacyjne, podejście oparte na ryzyku ‒ to bariery czy szanse na rozwój technologii?
Michał Nowakowski. Źródło: NGL Advisory, NGL Legal
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Dość często w swoich wystąpieniach czy szkoleniach poruszam tematykę (nie)właściwego podejścia do aktów prawnych i regulacji związanych z rozwojem technologicznym oraz pewnymi obszarami świata finansów, jak np. przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu. Wejście w życie nowej (czy zmienianej) regulacji budzi bardzo często niepotrzebne emocje i obawy przed ograniczeniami, które przepisy mogą wprowadzać w zakresie prowadzonej działalności, głównie biznesowej. Rzadko kiedy, o ile w ogóle, patrzymy na nowe wymogi prawne i regulacyjne z perspektywy szansy, którą można wykorzystać do bardziej efektywnego i bezpiecznego prowadzenia biznesu, co oczywiście jest związane też z pewną niechęcią do podejmowania ryzyka, które je w nie wpisane, podkreśla Michał Nowakowski.

W praktyce jednak coraz więcej aktów prawnych, które dotykają szeroko rozumianego obszaru technologii (niekoniecznie nowych), bazuje na kilku podstawowych zasadach, które realizowane w sposób rozsądny mogą nam dać znaczącą przewagę konkurencyjną przy zachowaniu najwyższych standardów bezpieczeństwa, a także ‒ paradoksalnie ‒ pomóc ograniczyć liczne ryzyka związane z konkretnymi obszarami.

Te zasady to:

1. Neutralność technologiczna.

2. Proporcjonalność.

3. Podejście oparte na ryzyku, czyli risk-based approach.

Implementacja i stosowanie aktów prawnych

Każda z tych zasad „daje” nam określone wskazówki co do tego, jak powinniśmy podchodzić do implementacji czy stosowania aktów prawnych i regulacji, mając na uwadze nie tylko sam cel, który regulacja ma spełnić, ale także rozmiar czy zakres prowadzonej działalności i ryzyka, na które może być ona narażona.

Niestety, jeszcze nie dość często podchodzimy do tych zasad w sposób adekwatny do treści, którymi są one wypełnione, a przez to narażamy siebie (nasze organizacje) na nieefektywne zarządzanie ryzykami (w tym zgodności), co może mieć przełożenie na straty, które albo są dla nas na pierwszy rzut oka niezauważalne, albo są ukryte w innych kosztach (np. operacyjnych), które jako taka organizacja ponosimy.

Spójrzmy na przykład. Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu jest przykładem aktu bazującego na zasadzie risk-based approach, gdzie instytucje obowiązane są zobowiązane do identyfikacji ryzyk związanych z praniem pieniędzy i finansowaniem terroryzmu, a także ich dokumentowania (w praktyce obowiązki są oczywiście znacznie szersze).

Narażamy siebie (nasze organizacje) na nieefektywne zarządzanie ryzykami (w tym zgodności), co może mieć przełożenie na straty

Art. 33 ust. 4 odnoszący się do środków bezpieczeństwa finansowego wskazuje nam, że powinniśmy stosować środki bezpieczeństwa finansowego w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego oceną. W pewnych sytuacjach musimy stosować wzmocnione środki, a niekiedy możemy skorzystać też z uproszczonych.

Tak czy inaczej, ustawa daje nam jakąś elastyczność w zakresie środków, które będziemy „przykładać” do zidentyfikowanych ryzyk i to w dużej mierze od organizacji zależy czy z tego uprawnienia skorzysta, czy też przyjmie podejście oparte o brak tolerancji dla jakiegokolwiek ryzyka skutkującego stosowaniem najwyższego możliwego reżimu.

Czytaj także: Risk-Aware Culture

Risk-based approach

Reżim to akurat dobre określenie, bowiem przyjęcie takiego skrajnego założenia może być swoistym łańcuchem na szyi instytucji obowiązanej, która ponosić będzie dodatkowe (ukryte) koszty związane ze wdrożeniem konkretnych instrumentów, np. pewnych funkcjonalności systemu AML czy środków o charakterze osobowym, choć przepisy dają w tym zakresie większą swobodę.

Przyjęło się jednak (oczywiście nie w każdej instytucji), że stosowanie instrumentów zgodnych z klasyfikacją ryzyk może generować dla instytucji ryzyko niewypełnienia obowiązków ciążących na nich na mocy przepisów i regulacji. To zaś może w efekcie doprowadzić do jakiejś formy odpowiedzialności ‒ administracyjnej, regulacyjnej, odszkodowawczej czy reputacyjnej.

Oczywiście, może się tak zdarzyć, ale przyjmowanie odgórnego założenia, że działanie ‒ ZGODNE z przepisami ‒ oparte o risk-based approach może doprowadzić z większym prawdopodobieństwem do odpowiedzialności jest krzywdzące dla tej fundamentalnej zasady, jak i samej organizacji. Nie po to przecież prawodawca daje pewną dozę wolności, abyśmy w każdych warunkach stosowali najbardziej restrykcyjne rozwiązania.

Tym bardziej, że nawet te najbardziej restrykcyjne też mogą być nieskuteczne. Nie ma czegoś takiego jak ryzyko (całkowicie) zerowe (zachęcam do przeczytania tego artykułu). Z tego względu określenie własnego poziomu apetytu na ryzyko jest tutaj kluczowe i przyjęcie założenia, że akceptujemy możliwość ziszczenia się pewnych ryzyk, nie świadczy wcale o naszej niedbałości czy braku zgodności z przepisami prawa. Ot, rozumiemy jak działa świata.

Ci bardziej konserwatywni zaczną zaraz krzyczeć ‒ ale jak to, ryzyka trzeba mitygować i eliminować wszelkim możliwymi środkami! I tak, i nie. Mając matrycę ryzyk typowych dla naszej działalności jesteśmy też w stanie określić, jakie instrumenty będą najbardziej adekwatne do tych konkretnych ryzyk. To wcale nie oznacza, że instrumenty te będą nieefektywne ‒ w żadnym wypadku.

Nie po to przecież prawodawca daje pewną dozę wolności, abyśmy w każdych warunkach stosowali najbardziej restrykcyjne rozwiązania

W podejściu opartym na ryzyku nie chodzi o niestosowanie instrumentów, a stosowanie instrumentów, które są odpowiednie do danego ryzyka ‒ prawdopodobieństwa wystąpienia, charakteru czy złożoności. Wymaga to oczywiście dużej pracy na początku, tj. na etapie identyfikacji ryzyk i następnie nałożenia na te ryzyka konkretnych rozwiązań, które będą najbardziej skuteczne i/lub będą uwzględniały rzeczywiste skutki jakie może wywołać ich materializacja.

Wymaga to także stworzenia odpowiednich rozwiązań naprawczych na wypadek zmaterializowania się ryzyka. Podejście oparte na ryzyku nie kończy się na zastosowaniu instrumentu ‒ kończy się, gdy wyeliminujemy ewentualne negatywne skutki, jeżeli one wystąpiły.

O jednym musimy tutaj pamiętać. Dobre zrozumienie ryzyk inherentnych dla danej działalności to podstawa. Bez właściwej identyfikacji nie będziemy w stanie stworzyć bezpiecznych rozwiązań. First things first. Etap ten pozwoli nam na zrozumienie całościowego poziomu ryzyka na jakie narażona jest instytucja.

W ramach takiego ćwiczenia jesteśmy w stanie określić, jakie będzie prawdopodobieństwo wystąpienia określonych zdarzeń (jak często się one pojawiają i jaką uwagę powinniśmy do nich przykładać), a więc systemowo włączyć odpowiednie instrumenty.

Czytaj także: Najlepsze praktyki banków i trendy w zarządzaniu ryzykiem związanym z ESG, raport Mazars

Identyfikacja ryzyk ‒ jak to zrobić?

Nie ma jednej metody na poradzenie sobie z identyfikacją ryzyk i przypisaniem odpowiednich instrumentów. Pewną wskazówkę możemy znaleźć w Rozporządzeniu 2016/679 (RODO), a konkretnie w art. 35 odnoszącym się do tzw. DPIA, czyli oceny skutków dla ochrony danych.

Przepis ten wskazuje, że „jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”.

W ust. 7 znajdziemy co taka ocena powinna (minimalnie) zawierać, a liczne organy ochrony danych dają bardziej szczegółowe wskazówki. Kto szuka, ten znajdzie.

Mając taką matrycę musimy się jeszcze zastanowić, jakie narzędzia zastosować, a także wprowadzić odpowiednie polityki i procedury w życie ‒ dobrze, żeby były one spisane, ale każdy podmiot ma swoje podejście, ale i wymagania prawne. Monitorowanie takiego systemu wydaje się też konieczne, bo przecież w tak dynamicznym otoczeniu może okazać się, że coś, co dzisiaj działa, za pół roku już niekoniecznie.

Pamiętajmy jednak o wspomnianej przeze mnie zasadzie proporcjonalności, która będzie nam wyznaczała m.in. częstotliwość określonych działań.

Monitorowanie takiego systemu wydaje się też konieczne, bo przecież w tak dynamicznym otoczeniu może okazać się, że coś, co dzisiaj działa, za pół roku już niekoniecznie

Pozostaje pytanie czy to bezpieczne z punktu widzenia instytucji i czy nie narazimy się tutaj na jakąś formę odpowiedzialności. Cóż, tego wykluczyć się nie da. Rzecz w tym, aby zrozumieć, że kary przychodzą zazwyczaj w przypadku albo niezastosowania się do przepisów, albo niedołożenia należytej staranności. Rzadko w sytuacji, w której instytucja zastosowała podejście risk-based approach, które było właściwe, ale zdarzenie miało inne podłoże.

Organy nadzorcze i regulacyjne nie są też od tego, aby wyłącznie karać, ale raczej uzyskiwać pożądany stan zgodności, a więc często dają swoje zalecenia. Warto o tym pamiętać. Wszystko jest oczywiście uzależnione od indywidualnej oceny.

Podejście typu risk-based jest w dzisiejszych czas ‒ cyfrowych czasach ‒ bardzo istotne. Nie jesteśmy w stanie całkowicie uchronić siebie i naszych klientów przed zróżnicowanymi ryzykami, natomiast możemy podejść do tego mądrze, co przełoży się na lepszy biznes i wartość dodaną dla wszystkich zainteresowanych.

Nie jest to oczywiście zadanie łatwe i wymaga akceptacji ryzyka, także po stronie organów zarządzających, a to już wymaga dużych zmian, także kulturowych. Niemniej jednak warto o tym pamiętać przy kolejnej implementacji.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Head of NewTech w NGL Advisory oraz Counsel w NGL Legal, założyciel www.finregtech.pl, wykładowca studiów podyplomowych SGH: FinTech ‒ nowe zjawiska i technologie na rynku finansowym. Adres e-mail: michal.nowakowski@ngladvisory.com
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: aleBank.pl