Regulacje

Microsoft sugeruje podział odpowiedzialności przy outsourcingu, czyli raport Banku Światowego “Prudential Regulatory and Supervisory Practices for Fintech

Michał Nowakowski

Wejście na rynek fintechów to wyzwanie nie tylko w kontekście konkurencji, ale również regulacji ostrożnościowej i wpływu działalności tych podmiotów na stabilność finansową i ochronę klientów. Jest to temat często pomijany, a jednak bardzo istotny wobec pojawiających się nowych modeli biznesowych i produktów oraz usług, które nie zawsze są dobrze „rozpoznane”. Nad tą kwestią pochylili się eksperci Banku Światowego (WB), którzy w raporcie „Prudential Regulatory and Supervisory Practices for Fintech: Payments, Credit and Deposits” jakie praktyki w obszarze trzech podstawowych produktów fintechowych, tj. rachunków transakcyjnych, kredytu (pożyczek) oraz płatności, pojawiły się w ostatnim czasie na świecie. Raport przedstawia również podstawowe zagrożenia, które mogą pojawić się w kontekście rozwoju innowacji finansowych. Przejdźmy przez najważniejsze wnioski.

Autorzy raportu wskazują, że choć regulatorzy pozyskują coraz większą wiedzę w zakresie szeroko rozumianego fintechu, to nadal cztery obszary budzą obawy (pisałem o nich m.in. przy okazji dwóch raportów Financial Stability Board – klik1; klik2):

  1. Wykorzystanie chmury obliczeniowej w sektorze finansowym i nadzór regulatorów nad tym obszarem – tutaj WB wskazuje, że nadzorcy nie są w stanie sprawować skutecznego nadzoru nad największymi dostawcami chmurowymi jak Amazon czy Microsoft – abstrahując od lokalizacji;
  2. Poziom wymogów kapitałowych i płynnościowych dla fintechów, który rzadko kiedy uzależniony jest od poziomu ryzyka generowanego przez te podmioty (w Unii Europejskiej mamy wprawdzie nowe rozwiązania wprowadzone przez CRDV i CRRII, ale w dalszym ciągu może okazać się to niewystarczające);
  3. Przenoszenie środków z banków do niebankowych podmiotów w obszarze pieniądza elektronicznego, co może mieć wpływ na bezpieczeństwo środków klientów;
  4. Rozwój SupTech jako wyzwanie dla regulatorów, którzy muszą dostosować się do zmieniającego się otoczenia, m.in. operacyjne.

Warto nadmienić, że badaniem objęta była również Polska.

Co będzie „popychało” fintechy do przodu?

Zdaniem Banku Światowego będą to przede wszystkim technologie związane z wykorzystaniem API, sztuczną inteligencją i uczeniem maszynowym (oraz Big Data – przypomnijmy tutaj ostatni raport EBA), DLT (Distributed Ledger Technology) oraz chmurą obliczeniową.

Poza tym, że mogą one przynosić określone korzyści, rodzą też pewne ryzyka (wyszczególnione w tabeli). To co rzuca się w oczy to, że poza ryzykami operacyjnymi związanymi z wykorzystywanymi technologiami mamy również ryzyka płynnościowe (charakterystyczne dla AI), ryzyko zarażania czy ryzyka związane z tzw. fire sales. Mamy również ryzyko kredytowe i ryzyko rynkowe. Kiedy mogą się one zmaterializować? Przykładem może być wykorzystanie robo-advisory (warto przeczytać ten raport) czy zautomatyzowanych narzędzi do oceny zdolności kredytowej. W tym kontekście nie można też zapominać o ryzyku reputacyjnym i ryzykach ESG (więcejtutaj).

Największym wyzwaniem może okazać się jednak chmura obliczeniowa, która jest też – paradoksalnie – najmniej poznana (co może uzasadniać ostrożnościowe podejście KNF wyrażone w komunikacie – więcej tutaj). Ryzyka z nią związane rozciągają się nie tylko na wspomniane już ryzyka operacyjne, ale i ryzyka compliance. Korzystanie z przetwarzania z użyciem cloud computing wymaga wprowadzania dość rozbudowanych rozwiązań technologiczno-organizacyjnych, które mogą być prawdziwym wyzwaniem dla „początkujących” podmiotów.

Autorzy raportu zwrócili uwagę na jeszcze jedną kwestię, a mianowicie wpływ wykorzystania AI oraz interfejsów dostępowych (API) na systemową niestabilność i powstanie efektu zarażania (np. w kontekście handlu algorytmicznego).

Jak podejść do nadzoru ostrożnościowego  i regulacji?

Ten temat omawiałem już przy okazji raportu Międzynarodowego Funduszu Walutowego (tutaj) i nie ma sensu powielać zasadniczo tożsamych wniosków. Na świecie nadzór nad fintechami opiera się na trzech filarach:

  1. Monitoringu i „zaangażowaniu” realizowanemu m.in. poprzez cykliczne spotkania z rynkiem czy wyznaczanie tzw. office hours;
  2. Tworzeniu środowisk testowych (m.in. Innovation Hubs czy piaskownice regulacyjne) oraz
  3. Uproszczeniu modelu licencjonowania fintechów (np. poprzez publikację QnA czy tworzenie metodyk oceny członków zarządu – m.in. z uwzględnieniem zasady proporcjonalności).

Outsourcing?

WB zwraca również uwagę na outsourcing, który już na stałe zagościł w sektorze finansowym. Nawiasem mówiąc ciekawym przykładem na to jak outsourcing wspiera rozwój jest historia Apple i zmiana podejścia do jego wykorzystania (ciekawie opisana w książce L. Kahney „Tim Cook. Człowiek, który wzniósł Apple na wyższy poziom).

Outsourcing niesie jednak ze sobą znaczne ryzyka (chociażby wspomniane już wykorzystanie chmury) i jego stosowanie musi podlegać odpowiednim zasadom. Bardzo ciekawe wnioski pojawią się w tym kontekście. W raporcie pojawia się pytanie o to kto powinien sprawować nadzór nad chmurą obliczeniową w kontekście sektora finansowego (być może powinien to być bardziej „technologiczny” nadzorca?). Zwrócono nawet uwagę na propozycję Microsoft, aby wprowadzić prawdziwą rewolucję i umożliwić „podział” odpowiedzialności pomiędzy instytucje finansowe a dostawców chmury. Podział taki mógłby „wyszczególniać” te obszary za które odpowiada dostawca i instytucja finansowa. Może rzeczywiście byłoby to jakieś rozwiązanie?

Podejście do danych

Ponieważ ilość danych z którymi mamy do czynienia (i które przetwarzamy) stale rośnie, bezpieczne i efektywne ich wykorzystanie to wyzwanie zarówno dla instytucji finansowych, jak i regulatorów. Pomóc ma w tym rozwój RegTech i SupTech (pisałem na ten temat m.in. tutaj). Po stronie regulatorów mamy jednak określone ryzyka:

  1. Ryzyko techniczne (technologiczne?), które materializuje się w kontekście dostępu do osób posiadających odpowiednią wiedzę i doświadczenia, ale również ograniczenia w zakresie rozwoju infrastruktury IT;
  2. Ryzyko „danych”, które odnosić należy do jakości danych (np. danych pozyskiwanych z social media) oraz ryzyka związane z ochroną tych danych;
  3. Ryzyko operacyjne, które dotyczą kwestii cyberbezpieczeństwa oraz outsourcingu – tutaj warto zwrócić uwagę na UKNF, który posiada dedykowany Departament Cyberbezpieczeństwa.

Co dalej?

Raport podnosi zasadniczo te same problemy, które pojawiają się w innych dokumentach. Największym wyzwaniem jest utrzymanie tempa nadawanego przez nowe technologie przez regulatorów oraz prawodawców (co może być trudne). Ważne jest zapewnienie odpowiednich zasobów oraz zmiana mentalności. Wszyscy „stakeholderzy” muszą mieć świadomość, że świat się zmienia i dotychczasowe modele funkcjonowania rynku finansowych ulegają transformacji. Jeżeli regulacje nie będą za nimi nadążać, to ryzyko systemowe może przestać być tylko teoretycznym rozważaniem, a stać się prawdziwym problemem dla wszystkich.

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *