Aktualności

Bank 4.0 – teoria a praktyka. Jakie bariery prawne napotkać mogą banki na drodze do transformacji? Cz. 1

Michał Nowakowski

Jestem świeżo po lekturze książki Bank 4.0. Banking Everywhere, Never at a Bank autorstwa Bretta Kinga. Po pierwszym zachwycie nad wnioskami płynącymi z tej lektury, naszła mnie refleksja nad tym przed jakimi wyzwaniami prawnymi stoją banki, które chcą być “4.0”. Taka transformacja to proces, którego nie da się przeprowadzić w krótkim czasie nie tylko ze względu na koszty, ogrom pracy operacyjnej, a także brak w pełni „funkcjonalnego” ekosystemu prawnego, który taką transformację by wsparł. Jak więc ma wyglądać bank przyszłości i przed jakimi wyzwaniami prawnymi staną instytucje finansowe, które postanowią zmierzyć się z tym zadaniem?

Zacznijmy od tego jak „powinien” wyglądać bank przyszłości. Wiele z aspektów poruszanych w książce znalazło się w Raporcie o Bank X przygotowanego przez Citi (pisałem o tym tutaj). B. King wskazał na 14 punktów, których „zaliczenie” może świadczyć o tym, że jesteśmy bankiem „4.0”. Są one następujące:

  1. Zasada „first principles” jest podstawą działalności instytucji;
  2. Digital CEO;
  3. Technologia i infrastruktura techniczna w banku nie stanowi przeszkody;
  4. Wykorzystywane są rozwiązania chmurowe;
  5. Najważniejsze jest User Experience;
  6. Podstawą działalności od strony technologicznej jest wykorzystanie Big Data oraz uczenie maszynowe (Machine Learning – ML);
  7. Regulacje nigdy nie są wymówką (sic!);
  8. Współpraca z fintechami;
  9. Wykorzystanie technologii już opracowanych przez innych;
  10. Wykorzystanie technologii API (Your bank is open);
  11. Posiadanie zespołu, który zna i rozumie technologię;
  12. Bez oddziałów;
  13. Fully digital;
  14. Technologia nie jest kanałem, a standardowym sposobem prowadzenia działalności.

Lista jest długa. W książce autor porusza również kwestię wykorzystania technologii Blockchain oraz RegTech. Są to jednak tematy na odrębny artykuł. Jak więc ta lista przedstawia się w zestawieniu z otoczeniem regulacyjnym dla banków, które chciałyby przejść taką transformację? Ponieważ temat jest rozległy, w tej części zajmę się jedynie wybranymi zagadnieniami.

Digital CEO a prawo bankowe

Bank, aby utrzymać się na rynku i należycie chronić depozyty musi prowadzić ostrożną, ale i zyskowną działalność. Wyższe ryzyko, to wyższe wymogi kapitałowe. Mniejszy zysk, to większe ryzyko dla banku. Stabilne zarządzanie bankiem to jedna z najważniejszy funkcji i zadań jego prezesa, która jest przedmiotem drobiazgowej analizy ze strony regulatora już na etapie wczesnej kandydatury.

Artykuły 22a-b Prawa bankowego, jak również wytyczne EBA w sprawie zarządzania wewnętrznego oraz Wytyczne EBA i ESMA w sprawie wymogów stawianych członkom zarządu, stawiają przed kandydatami na członków zarządu (w tym jego prezesa) szereg wymagań w zakresie doświadczenia (w sektorze finansowym) oraz wiedzy (szczególne wymogi mamy w odniesieniu np. do zarządzających ryzykiem).

Postulat, który prezentuje B.King wydaje się trudny do zrealizowania. Proponuje on, aby funkcję prezesa zarządu pełniła osoba, która ma mocny technologiczny „background” lub istotne doświadczenie w pracy z Fintechami. Jedną z funkcji prezesa banku jest zarządzanie różnymi procesami i obszarami oraz koordynowanie prac pozostałych członków zarządu (jako organu), a także wytyczanie strategii banku. Czy do przeprowadzenia transformacji rzeczywiście potrzebny jest ktoś kto jest „fully digital”? Kompetencje technologiczne są bardzo ważne, ale znajomość sektora i tego jak funkcjonuje bank, wydaje się równie istotna.

W bankach funkcjonują liczne komitety doradcze (i wykonawcze), które mają na celu wspieranie członków zarządu. Nic nie stoi na przeszkodzie, aby w banku utworzyć komitet nowych technologii, który będzie wspierał zarząd w realizacji transformacji do banku 4.0. Nie sposób nie wyrazić obaw czy powierzenie bankowi zarządzania przez osobę, która jest ściśle technologiczna, ale nie ma odpowiedniego doświadczenia w sektorze finansowym lub zarządzaniu instytucją, będzie satysfakcjonujące patrząc chociażby przez pryzmat wymagań stawianych przez KNF w Zasadach Ładu Korporacyjnego dla Instytucji Nadzorowanych.

Nie wyklucza to oczywiście, że osoba o świetnym „backgroundzie” technologicznym będzie zarazem świetnym CEO banku 4.0, ale stwierdzenie, że digital CEO wydaje się chyba zbyt daleko idące.

Technologia i infrastruktura technologiczna nie stanowią przeszkody oraz wykorzystanie rozwiązań chmurowych

Banki często korzystają z infrastruktury, która została zbudowana 10 czy 20 lat temu. Nierzadko jest przez to nieco przestarzała i nie nadążają za bardziej nowoczesnymi fintechami czy challenger bankami. Dlaczego więc banki masowo nie przenoszą się do chmury? Tego typu rozwiązanie może przecież przyśpieszyć transformację i umożliwić oferowanie klientom nowych produktów i usług szybciej i taniej.

Tzw. legacy systems, z których korzystają banki niestety mogą stanowić przeszkodę do szybkiej i efektywnej transformacji. Fintechy czy challenger banki to zazwyczaj podmioty, które zostały stworzone w oparciu o technologię najbardziej aktualną i uwzględniającą zdobycze ostatnich lat, a także tworzone nieco na „uboczu” regulacji sektora finansowego (a potem do nich dostosowywane).

Banki muszą spełnić szereg wymagań związanych z bezpieczeństwem ich systemów informatycznych. Nie będę tutaj wymieniał wszystkich regulacji, ale przykładowo banki opracowują tzw. Business Continuity Plan, plany naprawy (Prawo bankowe) czy są obowiązane przekazywać informacje na potrzeby planów przymusowej restrukturyzacji wymagane ustawą o BFG, które zawierają również informacje w zakresie infrastruktury IT i wpływu ich funkcjonowania na działalność operacyjną banku.

Banki muszą również stosować się do wymogów Rozporządzenia Ministra Finansów w zakresie zarządzania ryzykiem (w tym ryzykiem operacyjnym) czy wytycznych KNF dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego (głównie dla firm inwestycyjnych). Nie bez znaczenia pozostaje również Rekomendacja dotycząca bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo – kredytowe.

Jest również kwestia outsourcingu (w szczególności w kontekście rozwiązań chmurowych). Mamy tutaj z jednej strony przepisy prawa bankowego (nie tylko art. 6a i następne, ale przepisy dotyczące tajemnicy bankowej), a z drugiej wytyczne EBA w sprawie outsourcingu, a także komunikat KNF w sprawie wykorzystania chmury. Przepisy i dokumenty stawiają wysokie wymagania instytucjom finansowym, które chciałyby powierzyć przetwarzanie danych klientów podmiotom trzecim, szczególnie z siedzibą poza Europejskim Obszarem Gospodarczym.

Jaki ma to wpływ na listę zaproponowaną przez Bretta Kinga? Bank, który chciałby „przewrócić do góry nogami” swoje systemy musiałby zacząć wszystko od początku. Konieczne byłoby wykonanie odpowiedniego back-upu danych w sposób niezakłócających bieżącej działalności banku. Trzeba by opracować nową dokumentację procesów i procedur. Dokonać reorganizacji wewnętrznej i zawrzeć nowe umowy z poddostawcami. Całość musiałaby się odbywać przy udziale regulatora i za jego aprobatą. O kosztach takiego rozwiązania nie wspominam.

A co z migracją do chmury? To bardzo trudne ze względu na wymogi jakie stawiają regulatorzy oraz przepisy. Ten „trend” zaczyna się zmieniać, ale jest to proces bardzo powolny i wymagający bezpiecznego podejścia po stronie wszystkich zainteresowanych. Nie zapominajmy, że systemy informatyczne stanowią istotny element oceny ryzyka operacyjnego, a nieodpowiednie nim zarządzanie może doprowadzić do negatywnych konsekwencji dla banku.

Co w kolejnej części?

Zajmę się kwestią regulacyjnego compliance, wykorzystaniem dużych zbiorów danych oraz współpracą z fintechami i firmami technologicznymi, również w zakresie outsourcingu.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *