niedziela, Marzec 29

Prawo do błędu a regulacje. Transformacja cyfrowa w sektorze finansowym w praktyce

Google+ Pinterest LinkedIn Tumblr +

Myśląc o transformacji cyfrowej w organizacji niekiedy zapominamy o tym jak bardzo istotna może być zmiana mentalności i podejścia ludzi, którzy są z nią związani. W ostatnim artykule przeszliśmy przez bariery jakie możemy napotkać na drodze do osiągnięcia cyfrowej dojrzałości. W kolejnej odsłonie przyjrzymy się z czym wiąże się ta zmiana i jak wpływać może ona na podejście do regulacji. Żyjąc w czasach dynamicznie zmieniającego się otoczenia technologicznego, prawo i regulacje nie zawsze nadążają za tymi zmianami, a klienci nie zawsze są cierpliwi (polecam ten artykuł z zeszłorocznego IT@Bank). Czy jednak możliwe jest pogodzenie „agile’owo-start’upowego” prawa do błędu z oczekiwaniami regulatora i wymaganiami prawnymi?

Nie jestem praktykiem w zakresie zarządzania, a więc moje rozważania mają charakter może nie teoretyczny, ale obarczone są ryzykiem błędu.

Otaczająca nas rzeczywistość

W organizacjach, które chcą pozostać innowacyjne i konkurencyjne, niezwykle istotne jest wyzwolenie pokładów kreatywności. Będąc kreatywnym niekiedy może ponieść nas fantazja i zapomnimy o otaczającej nas rzeczywistości (lub przynajmniej nie uwzględnimy jej pewnych elementów). Zdarzyć się może także, że regulacyjna rzeczywistość nie przystaje do tej technologiczno-klienckiej lub wręcz jej zaprzecza. Może to więc prowadzić do zasadniczo dwóch scenariuszy:

  1. „ubicia” pomysłu na etapie jego projektowania lub
  2. podjęcia pewnego ryzyka biznesowego (prawno-regulacyjnego?) i jego zrealizowania.

Najbardziej elastyczne i zwinne organizacje będą dopuszczać możliwość zrealizowania opcji numer 2. Kreowanie prawdziwego „disruption” to często metoda prób i błędów (disruption rozumiane nie tylko „produktowo”, ale również organizacyjnie). Podejmowanie ryzyka i wyciąganie wniosków na przyszłość jako konsekwencja, choć zderzenie z rzeczywistością może niekiedy zaboleć.

Prawo do błędu w sektorze regulowanym?

Z biznesowo-organizacyjnego punktu widzenia – próbowałeś, dałeś z siebie wszystko, ale nie wyszło. Wyciągnąłeś jednak lekcję i próbujesz dalej z nową wiedzą i doświadczeniem. Nie ponosisz też surowych konsekwencji, bo próbowałeś, a nie siedziałeś z założonymi rękoma.

Pięknie brzmi, ale w organizacjach regulowanych nie jest już tak różowo. O ile w „klasycznej” organizacji ryzyko ma najczęściej charakter operacyjny (wynikowy) – bo nie mówimy o sytuacjach ekstremalnych – to w przypadku organizacji regulowanych, np. w sektorze finansowym, mam dużo więcej do stracenia. Niewłaściwe zaprojektowanie określonych rozwiązań może skutkować:

  1. obniżeniem oceny nadzorczej BION (dla banków) i wyższe wymogi ostrożnościowe;
  2. podjęciem działań ze strony nadzorcy, z sankcjami administracyjnymi włącznie;
  3. utratą reputacji;
  4. odpowiedzialnością odszkodowawczą względem klientów.

I nie jest to wcale ryzyko teoretyczne. Nadzorca przykłada dużą wagę do zapewnienia zgodności działalności instytucji z przepisami prawa oraz dobrymi praktykami (oraz regulacjami). Wystarczy tylko spojrzeć na zakres Badania i Oceny Nadzorczej dla banków, aby przekonać się, że wyzwań jest sporo. Patrząc (bezrefleksyjnie) przez pryzmat BION ryzyko do błędu praktycznie nie powinno materializować się w instytucjach nadzorowanych. Pamiętajmy jednak, że często – wobec technologicznej rewolucji – nie mamy po prostu na czym się opierać. A czas goni.

Świat jednak się zmienia

I wydaje się, że klasyczne podejście powinno ulec zmianie. Unijni regulatorzy też to dostrzegają, czego efektem są bardzo obiecujące raporty, m.in. EBA i ESMA w kontekście fintechów (rozumianych również jako banki). Nadzorcy widzą, że bez zmiany dotychczasowych modeli biznesowych i „wywrócenia do góry nogami” przestarzałych systemów (legacy systems), duże i old-schoolowe organizacje mogą mieć problem w wyścigu z bardziej zwinnymi organizacjami.

A przepisy nie zawsze idą z tym w parze. Wprowadzanie niektórych innowacji może więc wiązać się z ryzykami regulacyjnymi. Może to mieć szczególnie miejsce w przypadku rozwiązań, które od strony prawnej nie zostały opisane lub zostały opisane w taki sposób, że efektywne ich wdrożenie nie jest na tej podstawie praktycznie możliwe, co miało miejsce chociażby w przypadku pakietu PSD2 (i Rozporządzenia 2018/389).

Przykłady można mnożyć. Mamy tutaj wykorzystanie metod biometrycznych, cyfrową tożsamość, wykorzystanie technologii Blockchain/DLT czy kwestie związane z ochroną danych osobowych oraz sztuczną inteligencją (zachęcam do przeczytania tego podsumowania), w szczególności w połączeniu z Big Data.

Nie możemy też zapominać, że idziemy w kierunku przepisów neutralnych technologicznie, które dają większe pole do interpretacji (ale i błędu) oraz wytycznych organów nadzoru, a twarde przepisy prawa niekiedy stanowią jedynie trzon określonych rozwiązań regulacyjnych. Ważne będzie tutaj wsparcie Compliance oraz jednostek prawnych.

Co więc można zrobić?

Możemy nie wdrażać i czekać na uregulowanie tych kwestii, ale nie w każdym przypadku da to nam oczekiwane rezultaty. Trudno przykładowo oczekiwać, że w najbliższym czasie zostanie uregulowana kwestia odpowiedzialności AI czy przeprowadzona zostanie rewizja PSD2. Szybciej mogą pojawić się stanowiska interpretacyjne (m.in. KNF), ale to również jest długi proces, który może nie pokrywać się ze wspomnianymi oczekiwaniami klientów i zmieniającymi się trendami.

Pozostaje więc przyjęcie określonego poziomu ryzyka i próba znalezienia odpowiedniej interpretacji, która uzasadnia jego przyjęcie. Ta interpretacja może być wsparta np. stanowiskiem z art. 11b ustawy o nadzorze nad rynkiem finansowym czy Innovation Hub. Trudności może jednak sprawić – zgodne z oczekiwaniem UKNF – opisanie stanu faktycznego, który może się przecież bardzo dynamicznie zmieniać.

No i zawsze pozostaje kontakt z regulatorem. Z pomocą ma przyjść również piaskownica regulacyjna, ale do niej jeszcze (chyba) daleka droga.

Ciekawe rozwiązanie z ustawy o przedsiębiorcach?

Inspirujące jest rozwiązanie z art. 21a ustawy Prawo o przedsiębiorcach, czyli prawo do błędu. W dużym skrócie i abstrahując od „wieku” przedsiębiorcy, chodzi o możliwość skorzystania z prawa do usunięcia naruszeń przed nałożeniem kary lub sankcji administracyjnej. Takie usunięcie naruszeń następuje po wezwaniu przez właściwy organ. Konsekwencja wykonania postanowienia jest zasadniczo wyłącznie pouczenie.

W przypadku sektora regulowanego, organ nadzoru (niezależnie od sektora) wzywa zazwyczaj do usunięcia naruszeń w ramach przeprowadzanych inspekcji, jednak „dołożenie” kolejnego klocka w postaci prawa do błędu związanego z innowacjami technologicznymi mogłoby nieco przyśpieszyć rozwój tego typu rozwiązań, dając większe pole do „zdrowych” eksperymentów. Oczywiście nie mówimy tutaj o poważnych sprawach, a raczej różnicach w interpretacji pomiędzy nadzorcą a podmiotem nadzorowanym.

Mam oczywiście świadomość tego, że może to prowadzić do nadużyć, które w sektorze regulowanym nie są pożądane. Nie wszyscy mają świadomość istnienia Innovation Hub, nie zawsze jest też możliwe skorzystanie z art. 11b (podmioty nadzorowane). Nie każdy podmiot stać również na kosztowne opinie prawne. Dopuszczanie pewnych odstępstw mogłoby więc pozytywnie wpłynąć na fintechową rewolucję. Musiałaby być ona jednak bardzo przemyślana i obwarowana dodatkowymi warunkami. Może to być rozwiązanie przejściowe – do czasu utworzenia piaskownicy lub „stałe”, jeżeli się sprawdzi.

 

 

Udostępnij.

Zostaw komentarz