XXIV Ranking Banków Miesięcznika Finansowego Bank 2019. Wolters Kluwer – LEX Compliance Banki: Systemy GRC to dzisiaj konieczność
Piotr Welenc
Zastępca Dyrektora Regulatory Software&Compliance
ds. rozwoju rynku GRC w Wolters Kluwer Polska.
Certyfikowany: audytor IT, specjalista w zakresie zarządzania ryzykiem informatycznym i ładem IT
Zmienność rynków finansowych, dekonwergencja usług świadczonych przez banki, nowe usługi, produkty i jakość obsługi klientów sprawiają, iż coraz częściej w kształtowaniu dojrzałości systemów wewnętrznych banku (rozdz. III. Wytyczne GPW dla spółek nadzorowanych) odgrywają systemy klasy Governance-Risk-Compliance (GRC). Pomimo iż polskie banki uchodzą w Europie za jedne z najbardziej innowacyjnych, to jednak stopień wykorzystania w nich systemów klasy GRC jawi się jako znacząco niski w porównaniu z bankami Europy Zachodniej lub kontynentu północnoamerykańskiego.
Aspekty rozwoju systemów wewnętrznych i GRC
Powodów przyspieszonego rozwoju usług świadczonych przez banki jest wiele. Można je podzielić na powody czysto ekonomiczne, związane z dekonwergencją usług, oraz na powody czysto utylitarne związane z korzystaniem z nowoczesnych technologii, służących zapewnieniu wiarygodności na rynku, ostrożności czy stabilności systemu finansowego.
Wśród tych ostatnich zasadniczą rolę odgrywają coraz bardziej integrowane systemy wspierające procesy GRC. Pojęcia te nie są dla banków nowością. Od lat są wymogiem prawnym i faktycznym stawianym bankom przez regulatora. Mają służyć samym interesariuszom (klientom, inwestorom) i ochronie rynku przed nieuczciwymi lub wręcz bezprawnymi praktykami i pomysłami. Oczekiwania klientów i ich zaspokojenie to przede wszystkim czynniki sukcesu dla ładu organizacyjnego (Governance). Ład wewnętrznych procesów stanowi gwarant jakości usług bankowych.
Modelowanie systemu zarządzania ryzykiem, zarówno na poziomie pierwszej linii obrony (first-line defense), jak i w drugiej linii obrony (second-line defense), który wyraża się w instytucjonalnej funkcji kontroli wewnętrznej, instytucjonalnego zarządzania ryzykiem (Risk management) i zarządzania zgodnością (Compliance) GRC, stanowi podstawę raportowania do zarządu interesariuszy banków w celu spełnienia wymagań nadzorczych i możliwości podejmowania decyzji o charakterze strategicznym. Całość dopełnia niezależne, obiektywne i profesjonalne zapewnienie o skuteczności wyżej wskazanych linii obrony – audyt wewnętrzny (third-line defense).
Rosnąca liberalizacja usług finansowych zmusza nadzór do systemowego patrzenia na bezpieczeństwo obrotu z niezbędną rolą nadzoru w zrozumieniu i zaakceptowaniu nowych technologii. W tym kontekście systemy GRC będą odgrywać znaczącą i coraz bardziej pożądaną wartość dla stabilnego, ostrożnego i wiarygodnego zarządzania bankiem (art. 9 upb). Wśród technologii, które podniosą wiarygodność, należy wskazać przede wszystkim na blockchain, sztuczną inteligencję (AI) oraz systemy wsparcia compliance, zasilane on demand systemami informacji prawnej. Badania firmy PWC prognozują ok. 40-60-proc. wzrost zainteresowania takimi obszarami bankowości, jak: aplikacje mobilne, analiza danych, cyberbezpieczeństwo czy automatyzacja procesów. Przynajmniej trzy ostatnie związane są z rozwojem systemów GRC w bankach. Można wskazać, że poza własnymi rozwiązaniami opartymi na funkcjonalności pakietu biurowego banki nie stosują w przeważającej większości informatyzacji procesów GRC.
Workflow zagadnień Governance-Risk-Compliance obejmuje przekazywanie informacji tradycyjnymi metodami poczty elektronicznej, intranetu lub wręcz obiegiem dokumentacji papierowej. Jest ona trudna do procesowania z oczywistych przyczyn – przykładem są wymagania RODO lub wysublimowane wymagania nadzorcze. Najistotniejszą barierą wprowadzania w banku systemów klasy GRC jest brak świadomości kadry wyższego szczebla, która dużą wagę przywiązywała do aspektu kosztowego. Perspektywa ta była i jest poniekąd uzasadniona: kierownictwo próbuje dostrzegać funkcjonalność systemów klasy GRC przez pryzmat realnych i finansowo mierzalnych dla udziałowców korzyści biznesowych. Mniejszą rolę w podejmowaniu decyzji odgrywa merytokracja, niewątpliwa rozliczalność lub automatyzacja obsługi wewnętrznego ładu w banku (governance).
Workflow zagadnień Governance-Risk-Compliance obejmuje przekazywanie informacji tradycyjnymi metodami poczty elektronicznej, intranetu lub wręcz obiegiem dokumentacji papierowej. Jest ona trudna do procesowania z oczywistych przyczyn – przykładem są wymagania RODO lub wysublimowane wymagania nadzorcze. Najistotniejszą barierą wprowadzania w banku systemów klasy GRC jest brak świadomości kadry wyższego szczebla, która dużą wagę przywiązywała do aspektu kosztowego. Perspektywa ta była i jest poniekąd uzasadniona: kierownictwo próbuje dostrzegać funkcjonalność systemów klasy GRC przez pryzmat realnych i finansowo mierzalnych dla udziałowców korzyści biznesowych. Mniejszą rolę w podejmowaniu decyzji odgrywa merytokracja, niewątpliwa rozliczalność lub automatyzacja obsługi wewnętrznego ładu w banku (governance).
Geneza systemów klasy GRC
Do głównych wyzwań w organizacji, na które systemy klasy GRC wydają się być kompleksową odpowiedzią, można zaliczyć między innymi:
- środowisko silnie regulowane (kontekst regulacyjny i regulujący)
- ryzyko utraty reputacji
- szybkozmienność i jakość prawa (subiektywnie postrzegana i oceniana jako niska)
- zasada rozliczalności płynąca szczególnie z aktów inteligentnych (np. RODO)
- opór wewnętrzny pracowników wobec konieczności zmian (nierzadko manifestowany).
Systemy klasy GRC spełniają doniosłą rolę w organizacjach, tj. między innymi:
- systematyzują organizację i poprawiają jej PR
- dowodzą społecznej odpowiedzialności biznesu
- wspierają minimalizację kosztów
- minimalizują skalę roszczeń (mogą stanowić dowód dokładania należytej staranności)
- nadają kształt dla zarządzania jakością
- stanowią czynnik obrony przed ryzykiem
- umożliwiają błyskawiczne reagowanie na zmiany otoczenia
- asymilują standardy międzynarodowe i najlepsze praktyki zarządcze.
Założeniem systemów klasy GRC jest takie mapowanie procesów operacyjnych, aby możliwe było pokazanie ich osadzenia w strategii przedsiębiorstwa – jako wynikających ze strategii i do niej prowadzących (miary osiągania strategii). Wartością dla właściciela jest tutaj dopasowanie działań operacyjnych do założeń strategicznych.
Krytyczne funkcjonalności systemów GRC
Strategiczne zarządzanie organizacją stanowi kluczową cześć systemu GRC. Użytkownik ma więc w systemie GRC jednolity kokpit managerski, odpowiadający jego roli, funkcjom i odpowiedzialności, tj.:
- Zestaw celów strategicznych i ich mapowanie na cele operacyjne;
- Możliwość definiowania ryzyk, ich mierzenia, odzwierciedlenia wszystkich elementów zarządzania ryzykiem, jakie opisują międzynarodowe standardy (enterprise risk management oraz non-compliance risk management);
- Możliwość definiowania zadań i funkcji, aby osiągać cele strategiczne z uwzględnieniem zasady rozliczalności (action management);
- Stałą możliwość dynamicznego, on demand, określenia praw, powinności, standardów, zasad, wiążących reguł korporacyjnych oraz stałego badania zgodności z nimi na każdym poziomie działania organizacji (compliance);
- Możliwość wsparcia systemu wewnętrznej i zewnętrznej komunikacji przepływu informacji, monitorowania, kontroli działań wszystkich trzech linii biznesowych oraz niezależnej i wiarygodnej oceny na pierwszej i drugiej linii obrony;
- Możliwość wsparcia informatycznego dla niezależnego audytu wewnętrznego i pracy zlecanej do audytora zewnętrznego oraz utworzenia w systemie GRC systemu wewnętrznej i zewnętrznej sprawozdawczości (system sprawozdawczości zintegrowanej).
Systemy klasy GRC dzisiaj stanowią już konieczność. Koszty manualnego zarządzania ryzykiem, compliance, ładem organizacyjnym lub nadzorowaniem są już trudne do zaakceptowania i chociaż czasami nie są liczone w sposób formalny, to jednak są coraz wyraźniej odczuwalne w organizacjach. Zarządzanie GRC oparte o proste narzędzia na bazie funkcjonalności typu „office” są niestety nieefektywne i bywają coraz częściej kwestionowane przez wszelkiego typu regulatorów (głównie pod kątem niemożliwości udowodnienia realizacji zasady rozliczalności).
Systemy klasy GRC ze względu na swoją naturę mogą zawierać twarde „dowody” wskazujące na nieprawidłowości, nieoptymalność, niezgodność lub zgodność pozorną z przepisami prawa. Z tego m.in. powodu obecność systemów GRC jawi się jako problematyczna, niepopularna, burząca pewien spetryfikowany obraz korporacji, która przez wiele lat sterowana ręcznie (niestrategicznie) może nie być zainteresowana wytrąceniem jej z błogiego przekonania o pełnej zgodności z prawem i regułami korporacyjnymi. Dopiero kryzysy, kary, bad newsy lub odkryte fraudy uświadamiają instytucjom, że można było uniknąć tych porażek, gdyby GRC działało w organizacji wiarygodnie i realnie, w sposób upowszechniony i zinformatyzowany.
Mając to na uwadze, Wolters Kluwer Polska proponuje instytucjom finansowym ofertę LEX Compliance Banki – łączącą wiedzę ekspercką i wieloletnie doświadczenie w zakresie zarządzania zgodnością i ryzykiem z wykorzystaniem innowacyjnych narzędzi informatycznych.
LEX Compliance Banki to pakiet 6 innowacyjnych produktów wspierających instytucje finansowe w zarządzaniu zgodnością procesów i dokumentów z prawem powszechnym, wytycznymi Komisji Nadzoru Finansowego (KNF), standardami postępowania i najlepszymi praktykami na rynku oraz regulacjami wewnętrznymi, jak i w zarządzaniu ryzykiem braku zgodności.
Pakiet jest dedykowany dla podmiotów, takich jak: banki, firmy ubezpieczeniowe, windykacyjne, leasingowe czy doradcze oraz inne podmioty rynku kapitałowego (instytucje regulowane i wysokiego ryzyka).
Więcej: www.produkty.lex.pl/compliance-banki |
Dzięki LEX Compliance Banki instytucje finansowe zyskują między innymi:
- dostęp do ciągle aktualizowanego zasobu wiedzy prawnej
- bieżące monitorowanie zgodności z prawem i wytycznymi KNF (cykliczne badania zgodności w oparciu o eksperckie listy pytań kontrolnych)
- całościową ocenę i bieżącą obsługę procesu zarządzania ryzykiem
- możliwość identyfikacji kluczowych obszarów zagrożonych ryzykiem braku zgodności z prawem – m.in. niedochowania należytej staranności
- standaryzację przy tworzeniu dokumentów i pełną kontrolę nad regulacjami wewnętrznymi
- wiarygodną i pełną informację o danym podmiocie gospodarczym, co ułatwia podejmowanie właściwych decyzji biznesowych i zwiększa bezpieczeństwo obrotu gospodarczego.
Z pomocą narzędzi informatycznych z obszaru compliance, dostarczanych przez Wolters Kluwer Polska, podmioty z rynku finansowego wprowadzą dobre praktyki zarządzania zgodnością i ryzykiem oraz otrzymają praktyczne wskazówki, poparte wieloletnim doświadczeniem wdrożeniowym naszych ekspertów.