Kto widzi całość rynku finansowego? O sieci nadzorczej i wielości oczekiwań regulacyjnych

Rynek finansowy jako przestrzeń wielu nadzorów

Pytanie o to, kto nadzoruje sektor finansowy, wydaje się na pierwszy rzut oka proste. W polskim porządku prawnym istnieje organ nadzoru nad rynkiem finansowym, którego zadaniem jest zapewnienie prawidłowego funkcjonowania tego rynku, jego stabilności, bezpieczeństwa, przejrzystości, zaufania do rynku finansowego oraz ochrony interesów jego uczestników. W tym sensie odpowiedź instytucjonalna wydaje się oczywista: zasadniczą rolę pełni Komisja Nadzoru Finansowego.

Taka odpowiedź jest prawdziwa, ale coraz mniej wystarczająca. Współczesny sektor finansowy nie funkcjonuje bowiem wyłącznie w relacji z jednym organem nadzoru. Bank, dom maklerski, zakład ubezpieczeń, instytucja płatnicza, instytucja pożyczkowa, dostawca usług kryptoaktywów albo inny podmiot rynku finansowego działa dziś w polu oddziaływania wielu organów, instytucji i reżimów prawnych. Każdy z nich widzi inny fragment tej samej działalności. Każdy posługuje się własnym językiem ryzyka. Każdy ma własny punkt ciężkości, własne instrumenty i własne oczekiwania wobec instytucji finansowej.

KNF patrzy na instytucję finansową jako podmiot nadzorowany: przez pryzmat bezpieczeństwa, stabilności, prawidłowości działania, ładu wewnętrznego, zarządzania ryzykiem i ochrony uczestników rynku. Prezes UOKiK patrzy na nią jako przedsiębiorcę działającego na rynku, którego praktyki mogą wpływać na konkurencję, konsumentów, wzorce umowne i zbiorowe interesy konsumentów. Generalny Inspektor Informacji Finansowej widzi w niej instytucję obowiązaną, która ma rozpoznawać ryzyko prania pieniędzy i finansowania terroryzmu, identyfikować klienta, monitorować relację i reagować na transakcje podejrzane. Prezes UODO patrzy na ten sam podmiot przez pryzmat danych osobowych, prywatności, minimalizacji, retencji, profilowania, automatyzacji i praw osób, których dane dotyczą.

To jednak dopiero część obrazu. Bankowy Fundusz Gwarancyjny widzi instytucję finansową przez pryzmat gwarantowania depozytów, uporządkowanej restrukturyzacji i skutków kryzysu dla deponentów oraz stabilności systemu. Narodowy Bank Polski patrzy na rynek także przez perspektywę stabilności systemu finansowego, bezpieczeństwa i sprawności systemu płatniczego, płynności oraz infrastruktury finansowej. Komitet Stabilności Finansowej ma z kolei identyfikować, oceniać i monitorować ryzyko systemowe powstające w systemie finansowym lub jego otoczeniu, a więc widzieć te zjawiska, które wymykają się logice jednego organu i jednej kompetencji. Rzecznik Finansowy widzi klienta w sporze z instytucją finansową, jego reklamację, roszczenie, niezrozumienie produktu i praktyczny skutek działania profesjonalnego uczestnika rynku.

Obok tego istnieje administracja skarbowa, która patrzy na przepływy finansowe, rachunki, blokady, STIR i ryzyka podatkowo-skarbowe. Są organy ścigania, dla których sektor finansowy jest miejscem ujawniania fraudów, oszustw, cyberprzestępczości, prania pieniędzy i innych przestępstw gospodarczych. Są sądy, które nie projektują polityki nadzorczej, ale rozstrzygają konkretne umowy, konkretne postanowienia, konkretne szkody i konkretne roszczenia, a przez swoje orzecznictwo potrafią istotnie zmienić profil ryzyka całego sektora. Jest Minister Finansów, który nie jest klasycznym organem nadzoru nad pojedynczą instytucją, ale wpływa na architekturę regulacyjną rynku, politykę legislacyjną, AML, podatki i implementację prawa europejskiego. Jest wreszcie poziom unijny: EBA, ESMA, EIOPA, EBC w ramach jednolitego mechanizmu nadzorczego, SRB, AMLA czy EROD, których standardy, wytyczne, decyzje i praktyka wpływają na sposób działania krajowych organów i krajowych instytucji finansowych.

W rezultacie pytanie „kto nadzoruje sektor finansowy?” przestaje być pytaniem o jeden organ. Staje się pytaniem o sieć. Sektor finansowy nie jest dziś nadzorowany liniowo, z jednej perspektywy i według jednego języka ryzyka. Jest oceniany równolegle przez wiele instytucji, które widzą różne skutki tej samej działalności: stabilność, bezpieczeństwo, konsumenta, konkurencję, AML, dane osobowe, depozyty, płatności, podatki, cyberbezpieczeństwo, tajemnicę, spory prywatnoprawne i ryzyko systemowe. Nie jest to zarzut wobec samej wielości organów. Sektor finansowy rzeczywiście jest zbyt złożony, aby mógł być opisany wyłącznie z jednej perspektywy. Bank nie jest tylko przedsiębiorcą, tylko instytucją obowiązaną, tylko administratorem danych, tylko uczestnikiem systemu płatniczego, tylko stroną umów z klientami albo tylko podmiotem istotnym dla stabilności finansowej. Jest tym wszystkim jednocześnie. Dlatego wielość perspektyw nadzorczych i regulacyjnych jest w pewnym stopniu naturalna. Wynika z wielości funkcji, które instytucje finansowe pełnią w gospodarce i w państwie.

Problem zaczyna się gdzie indziej. Nie w tym, że organów jest wiele, ale w tym, że każda perspektywa regulacyjna ma własną racjonalność i własne oczekiwania. To, co z punktu widzenia jednego organu jest przejawem ostrożności, z punktu widzenia innego może być ograniczeniem dostępu do usług. To, co z perspektywy AML jest koniecznym pogłębieniem wiedzy o kliencie, z perspektywy ochrony danych może rodzić pytania o minimalizację i retencję. To, co z perspektywy bezpieczeństwa systemu płatniczego jest właściwym ograniczeniem ryzyka operacyjnego, z perspektywy klienta może być niezrozumiałą blokadą albo odmową wykonania transakcji. To, co z perspektywy ochrony konsumenta jest postulatem większej przejrzystości, z perspektywy praktyki instytucji może oznaczać konieczność przebudowy procesów, dokumentacji, systemów informatycznych i modelu sprzedaży.

Współczesna instytucja finansowa nie zarządza więc wyłącznie obowiązkami wobec poszczególnych organów. Zarządza przecięciami między różnymi oczekiwaniami publicznymi. Ten sam proces może być jednocześnie procesem nadzorczym, konsumenckim, AML-owym, podatkowym, technologicznym, prywatnościowym, operacyjnym i reputacyjnym. Onboarding klienta, monitoring transakcji, odmowa relacji, zamknięcie rachunku, rozpatrywanie reklamacji, wdrożenie modelu scoringowego, wykorzystanie sztucznej inteligencji, outsourcing usługi chmurowej, awaria systemu płatniczego czy wykonanie obowiązków sankcyjnych nie należą już do jednego porządku regulacyjnego. Są punktami styku wielu reżimów. Dlatego najważniejsze pytanie nie brzmi dziś tylko: czy instytucja finansowa wykonuje obowiązki wynikające z poszczególnych ustaw. Coraz częściej brzmi ono inaczej: czy potrafi rozpoznać, że wykonanie jednego obowiązku może tworzyć ryzyko w innym obszarze, i czy umie uzasadnić sposób pogodzenia różnych oczekiwań regulacyjnych. To samo pytanie dotyczy również państwa. Czy poszczególne organy widzą skutki własnych oczekiwań dla innych obszarów regulacji? Czy sieć nadzorcza tworzy spójny obraz rynku finansowego, czy raczej zbiór równoległych, częściowo autonomicznych ocen tego samego procesu?

To napięcie będzie jednym z najważniejszych wyzwań regulacyjnych najbliższych lat. Sektor finansowy jest zbyt istotny, aby pozostawić go bez silnego nadzoru. Jest jednak również zbyt złożony, aby zakładać, że suma odrębnych perspektyw automatycznie stworzy spójny model. Wielość organów nie musi oznaczać chaosu. Może być warunkiem właściwego rozpoznania ryzyk. Ale tylko wtedy, gdy sieć nadzorcza potrafi zobaczyć coś więcej niż własne fragmenty rzeczywistości.

Każdy organ widzi inne ryzyko

Sieć nadzorcza nad sektorem finansowym nie jest przypadkowym zbiorem instytucji publicznych. Każdy z organów i każda z instytucji działających wokół rynku finansowego widzi określony fragment tej samej rzeczywistości. Nie wynika to wyłącznie z formalnego podziału kompetencji. Wynika przede wszystkim z odmiennego rodzaju ryzyka, które dany organ ma rozpoznawać, ograniczać albo eliminować. Dlatego sektor finansowy nie jest jedynie sumą banków, domów maklerskich, zakładów ubezpieczeń, instytucji płatniczych czy innych podmiotów regulowanych. Jest przestrzenią, w której nakładają się różne sposoby rozumienia bezpieczeństwa, stabilności, legalności, uczciwości, przejrzystości, prywatności, odporności i odpowiedzialności.

Najbardziej oczywista jest perspektywa Komisji Nadzoru Finansowego. KNF widzi instytucję finansową jako podmiot nadzorowany. Interesuje ją to, czy działalność instytucji jest prowadzona w sposób bezpieczny, stabilny, zgodny z przepisami i adekwatny do skali oraz charakteru podejmowanego ryzyka. To spojrzenie jest najbliższe wewnętrznej organizacji instytucji finansowej. Obejmuje ład wewnętrzny, system zarządzania ryzykiem, kontrolę wewnętrzną, funkcję zgodności, ostrożność działania, bezpieczeństwo produktów, outsourcing, ciągłość działania, adekwatność kapitałową, zarządzanie ryzykiem operacyjnym oraz ochronę uczestników rynku finansowego. KNF patrzy więc na instytucję nie tylko przez pryzmat pojedynczego zdarzenia, ale przez pryzmat sposobu prowadzenia działalności jako całości.

Prezes UOKiK widzi ten sam podmiot inaczej. Z jego perspektywy instytucja finansowa jest przedsiębiorcą działającym na rynku, którego praktyki mogą wpływać na konkurencję i konsumentów. W centrum tej perspektywy znajdują się praktyki rynkowe, wzorce umowne, obowiązki informacyjne, nieuczciwe praktyki, reklama, sposób prezentowania produktu, relacja z konsumentem oraz ochrona zbiorowych interesów konsumentów. Tam, gdzie KNF może widzieć proces wewnętrzny podmiotu nadzorowanego, UOKiK może widzieć praktykę przedsiębiorcy wobec rynku. Tam, gdzie instytucja finansowa mówi o modelu sprzedaży, polityce produktowej albo standardzie komunikacji, organ ochrony konsumentów może pytać o to, czy przeciętny konsument został potraktowany uczciwie, zrozumiale i w sposób niewprowadzający w błąd.

Jeszcze inną perspektywę ma Generalny Inspektor Informacji Finansowej. Dla GIIF instytucja finansowa jest przede wszystkim instytucją obowiązaną. Jej podstawową rolą nie jest tu oferowanie produktu, obsługa klienta czy zarządzanie relacją biznesową, lecz rozpoznawanie ryzyka prania pieniędzy i finansowania terroryzmu. Ten sam klient, który dla UOKiK jest konsumentem, a dla KNF uczestnikiem rynku, dla GIIF staje się klientem podlegającym identyfikacji, weryfikacji, ocenie ryzyka i bieżącemu monitorowaniu. Ten sam rachunek bankowy, który z perspektywy klienta jest podstawowym narzędziem uczestnictwa w obrocie gospodarczym, z perspektywy AML jest miejscem potencjalnego przepływu wartości majątkowych pochodzących z przestępstwa albo służących finansowaniu działalności zabronionej. W tej logice instytucja finansowa ma wiedzieć więcej, monitorować uważniej, dokumentować dokładniej i reagować wcześniej niż wynikałoby to z czysto kontraktowego modelu relacji z klientem.

Prezes UODO wchodzi w ten sam obszar od strony praw podstawowych, prywatności i kontroli nad danymi osobowymi. Sektor finansowy jest jednym z tych miejsc, w których przetwarzanie danych ma szczególnie intensywny charakter. Banki i inne instytucje finansowe identyfikują klientów, weryfikują dokumenty, analizują transakcje, oceniają zdolność kredytową, przeciwdziałają fraudom, stosują monitoring behawioralny, korzystają z modeli scoringowych, automatyzują decyzje, personalizują komunikację i przechowują informacje przez długie okresy. Z perspektywy ochrony danych nie wystarczy więc powiedzieć, że dane są potrzebne dla bezpieczeństwa, AML albo wykonania umowy. Trzeba jeszcze odpowiedzieć na pytania o podstawę prawną, cel, adekwatność, minimalizację, przejrzystość, retencję, profilowanie, prawa osoby, której dane dotyczą, oraz proporcjonalność ingerencji w sferę informacyjną klienta.

Bankowy Fundusz Gwarancyjny widzi instytucję finansową przede wszystkim przez pryzmat odporności na kryzys i skutków ewentualnej upadłości. Jego perspektywa nie koncentruje się na pojedynczym produkcie ani pojedynczym sporze klienta z bankiem. Dotyczy gwarantowania depozytów, planowania przymusowej restrukturyzacji, możliwości uporządkowanego przeprowadzenia działań kryzysowych, ochrony deponentów oraz ograniczania kosztów upadłości dla systemu finansowego i finansów publicznych. To spojrzenie jest szczególnie ważne, bo przypomina, że instytucja finansowa nie jest zwykłym przedsiębiorcą. Jej problemy mogą wywoływać skutki wykraczające poza relację z akcjonariuszami, klientami i kontrahentami. Mogą dotykać zaufania do całego sektora.

Narodowy Bank Polski widzi rynek finansowy przez jeszcze inną soczewkę. Jest nią stabilność systemu finansowego, bezpieczeństwo i sprawność systemu płatniczego, płynność, infrastruktura finansowa oraz warunki funkcjonowania pieniądza w gospodarce. Z tej perspektywy istotne są nie tylko pojedyncze instytucje, ale również przepływy, infrastruktura, rozliczenia, systemy płatności, odporność operacyjna oraz mechanizmy, które pozwalają gospodarce funkcjonować w sposób ciągły i bezpieczny. To sprawia, że niektóre procesy instytucji finansowych, pozornie wewnętrzne albo kontraktowe, mogą mieć również znaczenie infrastrukturalne. Awaria płatności, ograniczenie dostępu do rachunków, zaburzenie płynności albo utrata zaufania do podstawowych usług finansowych nie są wyłącznie problemem jednej instytucji.

Komitet Stabilności Finansowej ma natomiast szczególne znaczenie dlatego, że nie reprezentuje jednej wąskiej perspektywy sektorowej. Jego sens polega na identyfikowaniu, ocenie i monitorowaniu ryzyka systemowego oraz wspieraniu współdziałania kluczowych instytucji odpowiedzialnych za stabilność finansową. KSF nie zastępuje KNF, NBP, BFG ani Ministra Finansów. Jego znaczenie polega raczej na tym, że niektóre ryzyka można właściwie rozpoznać dopiero wtedy, gdy przestaje się je traktować jako problem jednego organu. Masowy spór prawny, utrata zaufania do określonego segmentu rynku, ryzyko płynnościowe, koncentracja technologiczna, cyberincydent, de-risking, zaburzenia w systemie płatniczym albo kryzys reputacyjny sektora mogą mieć wymiar przekraczający pojedynczą kompetencję. KSF jest więc dobrym przykładem instytucjonalnej odpowiedzi na fakt, że rynek finansowy generuje ryzyka sieciowe.

Rzecznik Finansowy widzi z kolei rynek od strony klienta, który znalazł się w sporze z instytucją finansową. To perspektywa bardzo konkretna, często bardziej praktyczna niż systemowa. Jej punktem wyjścia jest reklamacja, odmowa uwzględnienia roszczenia, niezrozumienie produktu, poczucie bezradności klienta wobec dużej organizacji, powtarzalność podobnych problemów i realny skutek działania instytucji finansowej w życiu klienta. Ta perspektywa nie zastępuje nadzoru sektorowego ani ochrony zbiorowych interesów konsumentów, ale ujawnia coś, czego nie zawsze widać z poziomu procedur i raportów zarządczych: jak produkt, komunikacja i obsługa działają w praktyce dla konkretnego odbiorcy.

Krajowa Administracja Skarbowa oraz Szef KAS wprowadzają do tej sieci perspektywę podatkowo-skarbową. Rachunek bankowy, przepływ pieniądza, blokada rachunku, dane o transakcjach i infrastruktura finansowa mogą mieć znaczenie nie tylko dla AML, ale również dla przeciwdziałania wyłudzeniom skarbowym, nadużyciom podatkowym i ochrony interesów fiskalnych państwa. Z tej perspektywy instytucja finansowa staje się jednym z kluczowych punktów obserwacji obrotu gospodarczego. To kolejny przykład sytuacji, w której infrastruktura prywatnej relacji bank–klient pełni funkcję publicznoprawną.

Organy ścigania i prokuratura widzą sektor finansowy przez pryzmat przestępczości finansowej, oszustw, wyłudzeń, cyberprzestępczości, prania pieniędzy, finansowania terroryzmu i konieczności zabezpieczenia dowodów oraz majątku. Dla nich instytucja finansowa jest często źródłem informacji, miejscem ujawnienia podejrzanych przepływów, podmiotem zobowiązanym do współpracy albo uczestnikiem działań służących zatrzymaniu skutków przestępstwa. Ta perspektywa wzmacnia oczekiwanie szybkości, skuteczności i gotowości do współdziałania z państwem. Jednocześnie może wchodzić w napięcie z oczekiwaniami przejrzystości wobec klienta, tajemnicą zawodową, tajemnicą bankową, ochroną danych i wymogami proporcjonalności.

Sądy widzą sektor finansowy z jeszcze innej strony. Nie są organami nadzoru w ścisłym znaczeniu, ale ich rola w kształtowaniu praktyki rynku jest ogromna. Sąd rozpoznaje konkretną umowę, konkretne postanowienie, konkretną szkodę, konkretne roszczenie i konkretny stan faktyczny. Jego perspektywa jest indywidualna i retrospektywna, ale skutki orzecznictwa mogą być systemowe. Spory dotyczące kredytów walutowych, opłat, klauzul abuzywnych, wskaźników referencyjnych, obowiązków informacyjnych albo odpowiedzialności za transakcje nieautoryzowane pokazują, że prawo prywatne potrafi zmienić profil ryzyka całego sektora równie silnie jak decyzja organu nadzoru. Instytucja finansowa musi więc zarządzać nie tylko ryzykiem regulacyjnym, ale również ryzykiem orzeczniczym.

Minister Finansów pełni inną funkcję niż organy nadzoru i organy interwencyjne. Nie jest co do zasady organem bieżąco nadzorującym pojedynczą instytucję finansową w taki sposób jak KNF. Ma jednak istotny wpływ na architekturę regulacyjną rynku, politykę legislacyjną, implementację prawa Unii Europejskiej, regulacje podatkowe, AML oraz kształt systemu finansowego jako elementu polityki publicznej. To perspektywa projektowania ram, w których później działają organy, instytucje finansowe i klienci. W tym sensie Minister Finansów jest jednym z ważnych uczestników sieci, choć jego rola ma bardziej regulacyjny niż nadzorczy charakter.

Do tego dochodzi poziom europejski. Europejskie urzędy nadzoru, Europejski Bank Centralny w ramach jednolitego mechanizmu nadzorczego, Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji, AMLA, Europejska Rada Ochrony Danych oraz inne instytucje unijne tworzą kolejną warstwę oczekiwań. Krajowe organy coraz częściej nie działają wyłącznie jako autonomiczni twórcy praktyki, lecz jako element szerszej europejskiej sieci regulacyjnej i nadzorczej. Wytyczne, standardy techniczne, opinie, rekomendacje, wspólne stanowiska, decyzje i praktyka europejska wpływają na to, jak krajowe przepisy są rozumiane i stosowane. Instytucja finansowa musi więc uwzględniać nie tylko krajowe ustawy i krajowych regulatorów, ale również europejski język ryzyka.

Ta mapa pokazuje, że każdy organ i każda instytucja widzi coś prawdziwego. Problem polega na tym, że żadna z tych perspektyw nie wyczerpuje całości. KNF widzi organizację podmiotu nadzorowanego, ale nie zastępuje UOKiK w ocenie praktyk rynkowych ani GIIF w ocenie ryzyka AML. UODO widzi granice przetwarzania danych, ale nie przejmuje odpowiedzialności za stabilność systemu finansowego. Rzecznik Finansowy widzi klienta w sporze, ale nie jest organem resolution ani organem polityki pieniężnej. Sądy widzą skutki konkretnej umowy, ale nie projektują systemu nadzoru. KSF widzi ryzyko systemowe, ale nie prowadzi codziennego nadzoru nad każdym procesem instytucji finansowej. Właśnie dlatego współczesny nadzór nad sektorem finansowym coraz mniej przypomina piramidę, w której jeden organ patrzy z góry na całość rynku. Bardziej przypomina sieć, w której różne węzły widzą różne ryzyka, a obraz całości może powstać dopiero z ich połączenia. To połączenie nie jest jednak automatyczne. Wymaga wspólnego języka, koordynacji i świadomości, że ta sama decyzja instytucji finansowej może być oceniana jednocześnie przez kilka racjonalności regulacyjnych. Dopiero wtedy można przejść od prostego katalogu organów do rzeczywistego pytania o model nadzorowania rynku finansowego.

Jedna instytucja, wiele oczekiwań

Mapa organów i instytucji publicznych działających wokół rynku finansowego pokazuje dopiero pierwszy poziom problemu. Można bowiem opisać, kto za co odpowiada, jaki rodzaj ryzyka widzi i jaką funkcję pełni w systemie. Taki opis pozostaje jednak wciąż opisem zewnętrznym. Pokazuje sieć z perspektywy kompetencji organów, ale nie pokazuje jeszcze, jak ta sieć działa z perspektywy samej instytucji finansowej. Tymczasem dla banku, domu maklerskiego, zakładu ubezpieczeń, instytucji płatniczej albo innego podmiotu regulowanego najważniejsze jest nie to, że istnieje wiele organów. Najważniejsze jest to, że te różne perspektywy spotykają się w tych samych procesach. Instytucja finansowa nie wykonuje bowiem swoich obowiązków w izolowanych szufladach regulacyjnych. Nie ma odrębnej rzeczywistości dla nadzoru ostrożnościowego, odrębnej dla AML, odrębnej dla ochrony danych, odrębnej dla ochrony konsumenta, odrębnej dla podatków, odrębnej dla płatności i odrębnej dla sporów cywilnych. W praktyce istnieje jeden proces, jedna decyzja, jeden klient, jeden rachunek, jedna transakcja, jedna aplikacja, jedna reklamacja albo jeden model oceny ryzyka. Dopiero później te same elementy są opisywane różnymi językami regulacyjnymi.

Najlepiej widać to na przykładzie onboardingu klienta. Z perspektywy instytucji finansowej jest to proces rozpoczęcia relacji, który ma umożliwić zawarcie umowy, udostępnienie produktu i rozpoczęcie obsługi. Z perspektywy KNF onboarding jest elementem organizacji działalności, kontroli wewnętrznej, zarządzania ryzykiem operacyjnym, bezpieczeństwa i jakości relacji z klientem. Z perspektywy GIIF jest to moment identyfikacji i weryfikacji klienta, ustalenia beneficjenta rzeczywistego, rozpoznania celu i charakteru relacji oraz przypisania klientowi właściwego profilu ryzyka AML. Z perspektywy UODO jest to intensywny proces pozyskiwania, utrwalania, weryfikowania i dalszego przetwarzania danych osobowych, który musi mieć podstawę prawną, określony cel, adekwatny zakres i uzasadniony okres retencji. Z perspektywy UOKiK może to być element sposobu komunikowania konsumentowi warunków usługi, kosztów, ograniczeń i konsekwencji wejścia w relację z instytucją finansową. Ten sam onboarding może być jednocześnie początkiem późniejszego sporu z klientem, jeżeli dojdzie do odmowy otwarcia rachunku, żądania dodatkowych dokumentów, zablokowania aktywacji usługi albo niezrozumiałej dla klienta decyzji automatycznej. Może być również istotny dla organów ścigania lub administracji skarbowej, jeżeli klient albo transakcje powiązane z jego rachunkiem okażą się związane z nadużyciami. Może mieć znaczenie dla bezpieczeństwa systemu płatniczego, jeżeli dotyczy dostępu do podstawowej infrastruktury usług płatniczych. Jeden proces staje się więc punktem przecięcia wielu oczekiwań: poznaj klienta, nie zbieraj danych nadmiarowo, działaj szybko, zapewnij dostęp do usługi, zapobiegaj nadużyciom, komunikuj jasno, dokumentuj decyzję, zachowaj proporcjonalność i bądź gotów do późniejszego wyjaśnienia każdego kroku.

Podobnie wygląda monitoring transakcji. Dla GIIF jest to jeden z podstawowych elementów systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Instytucja finansowa ma rozumieć zachowanie klienta, identyfikować nietypowe operacje, aktualizować ocenę ryzyka i reagować na transakcje podejrzane. Dla KNF monitoring transakcji może być elementem szerszego systemu zarządzania ryzykiem, kontroli wewnętrznej, bezpieczeństwa operacyjnego i reputacyjnego. Dla UODO jest to obszar intensywnego przetwarzania danych, często z wykorzystaniem automatyzacji, profilowania, modeli analitycznych i reguł behawioralnych. Dla klienta monitoring może być natomiast widoczny dopiero wtedy, gdy transakcja zostanie opóźniona, zablokowana, zakwestionowana albo gdy instytucja zażąda dodatkowych wyjaśnień. W tym jednym procesie spotykają się oczekiwania, które na poziomie abstrakcyjnym brzmią bezspornie, ale w praktyce mogą prowadzić do trudnych decyzji. Instytucja ma skutecznie monitorować przepływy, ale nie może przetwarzać danych bez ograniczeń. Ma reagować na nietypowe zachowania, ale nie może opierać decyzji na niejasnych albo dyskryminujących kryteriach. Ma zapobiegać przestępstwom, ale musi brać pod uwagę prawa klienta, tajemnicę, obowiązki informacyjne i ryzyko nieuzasadnionego ograniczenia dostępu do środków. Ma działać szybko, ale musi dokumentować uzasadnienie, zachować ślad audytowy i przygotować się na ewentualną kontrolę kilku różnych organów.

Jeszcze bardziej widoczne jest to przy odmowie relacji, wypowiedzeniu umowy rachunku albo szerzej rozumianym de-riskingu. Z perspektywy AML ograniczenie relacji z klientem wysokiego ryzyka może być traktowane jako element ostrożnego zarządzania ryzykiem. Z perspektywy nadzoru sektorowego może pojawić się pytanie, czy instytucja posiada jasne procedury, czy decyzja została podjęta na odpowiednim poziomie, czy była należycie udokumentowana i czy nie wynikała z automatyzmu albo niewłaściwego modelu zarządzania ryzykiem. Z perspektywy ochrony konsumenta ta sama decyzja może być odczytywana jako odmowa dostępu do usługi, nieprzejrzyste działanie przedsiębiorcy albo źródło poważnego sporu z klientem. Z perspektywy ochrony danych pojawia się pytanie o podstawę dalszej retencji informacji, zakres danych przetwarzanych po zakończeniu relacji oraz możliwość wyjaśnienia klientowi przyczyn decyzji. Z perspektywy polityki publicznej de-risking może być natomiast problemem wykluczenia finansowego. Ten przykład dobrze pokazuje, że racjonalność jednego reżimu nie wyczerpuje oceny całego procesu. Instytucja finansowa nie może powiedzieć wyłącznie, że działała zgodnie z AML, jeżeli skutkiem jej działania było nieproporcjonalne, nieprzejrzyste albo masowe ograniczenie dostępu do usług. Nie może też powołać się wyłącznie na oczekiwania konsumenckie, jeżeli utrzymywanie relacji z klientem prowadziłoby do nieakceptowalnego ryzyka prania pieniędzy, finansowania terroryzmu, sankcji albo nadużyć. Musi umieć pokazać, że rozpoznała przecięcie reżimów i przyjęła rozwiązanie proporcjonalne, uzasadnione oraz organizacyjnie kontrolowane.

Podobne przecięcia pojawiają się przy przeciwdziałaniu fraudom. Dla instytucji finansowej skuteczny system antyfraudowy jest elementem bezpieczeństwa klientów, ochrony środków, zarządzania ryzykiem operacyjnym i ograniczania strat. Dla organów ścigania może być źródłem informacji o przestępczości i mechanizmem szybkiej reakcji na nadużycia. Dla nadzoru sektorowego jest elementem organizacji bezpieczeństwa i odporności instytucji. Dla UODO może być jednak obszarem profilowania, monitoringu behawioralnego, automatycznego podejmowania decyzji i przetwarzania danych wrażliwych z perspektywy prywatności klienta. Dla klienta system antyfraudowy jest oceniany nie wtedy, gdy działa niewidocznie, lecz wtedy, gdy zablokuje legalną transakcję, odmówi dostępu do środków albo doprowadzi do sporu o odpowiedzialność za transakcję nieautoryzowaną.

Równie wielowymiarowe są procesy reklamacyjne. Reklamacja jest oczywiście indywidualnym wystąpieniem klienta i elementem relacji kontraktowej. Dla Rzecznika Finansowego może być początkiem sporu i źródłem wiedzy o powtarzalnych problemach rynku. Dla UOKiK powtarzalność reklamacji może wskazywać na praktykę naruszającą zbiorowe interesy konsumentów. Dla KNF reklamacje mogą być informacją o jakości procesu, ryzyku operacyjnym, wadliwości produktu, słabości kontroli wewnętrznej albo problemie w kulturze organizacyjnej. Dla sądu reklamacja może być jednym z elementów stanu faktycznego konkretnej sprawy. Dla samej instytucji finansowej reklamacja nie powinna być więc wyłącznie sprawą do rozpatrzenia w terminie. Powinna być także sygnałem zarządczym, który pozwala zrozumieć, czy problem ma charakter jednostkowy, czy systemowy.

Tak samo należy patrzeć na sprzedaż produktów inwestycyjnych, kredytów hipotecznych, ubezpieczeń z elementem inwestycyjnym czy innych produktów złożonych. Jeden proces sprzedaży może być jednocześnie oceniany przez pryzmat obowiązków informacyjnych, adekwatności produktu, badania potrzeb klienta, przejrzystości komunikacji, konfliktów interesów, zachęt sprzedażowych, ochrony konsumenta, zgodności z regulacjami sektorowymi, ryzyka reputacyjnego i późniejszych skutków cywilnoprawnych. Formalna poprawność dokumentacji może nie wystarczyć, jeżeli całość procesu tworzyła błędne wyobrażenie o ryzyku. Z drugiej strony nie każdy niekorzystny wynik ekonomiczny produktu oznacza wadliwość sprzedaży. Instytucja musi więc zarządzać nie tylko treścią dokumentów, ale całym środowiskiem decyzyjnym klienta.

Cyfryzacja usług finansowych dodatkowo zagęszcza tę sieć. Aplikacja mobilna, ścieżka zakupowa, chatbot, model scoringowy, system rekomendacyjny, analiza behawioralna, usługa chmurowa czy narzędzie oparte na sztucznej inteligencji nie są już tylko rozwiązaniami technologicznymi. Są elementami procesu regulacyjnego. Mogą być oceniane przez KNF z perspektywy outsourcingu, ciągłości działania, bezpieczeństwa i kontroli wewnętrznej. Przez UODO z perspektywy danych, profilowania, automatyzacji i praw jednostki. Przez UOKiK z perspektywy praktyk rynkowych i sposobu oddziaływania na decyzje konsumenta. Przez organy cyberbezpieczeństwa i ścigania z perspektywy odporności, incydentów i nadużyć. Przez sądy z perspektywy skutków konkretnej decyzji wobec klienta. Technologia nie znosi więc regulacji. Przeciwnie, powoduje, że kilka reżimów zaczyna działać jednocześnie w tym samym interfejsie.

To samo dotyczy outsourcingu i koncentracji technologicznej. Dla instytucji finansowej zlecenie określonego procesu zewnętrznemu dostawcy może być sposobem zwiększenia efektywności, bezpieczeństwa i skalowalności. Dla nadzoru sektorowego jest to jednak pytanie o kontrolę nad funkcją, ciągłość działania, możliwość audytu, koncentrację dostawców i zależność od podmiotów trzecich. Dla UODO — pytanie o powierzenie przetwarzania danych, transfery, zabezpieczenia i odpowiedzialność administratora. Dla BFG i KSF — potencjalnie element ryzyka systemowego, jeżeli wiele instytucji korzysta z tych samych kluczowych dostawców. Dla klienta problem stanie się widoczny dopiero wtedy, gdy usługa przestanie działać albo jego dane zostaną naruszone.

Wszystkie te przykłady prowadzą do jednego wniosku. Współczesna instytucja finansowa nie zarządza wyłącznie sumą obowiązków sektorowych. Zarządza przecięciami między obowiązkami. Oczywiście nadal potrzebne są mapy regulacyjne, procedury, właściciele procesów, kontrole i raportowanie do poszczególnych organów. Jednak najtrudniejsze ryzyka coraz częściej powstają nie tam, gdzie obowiązek jest jednoznaczny i przypisany do jednej jednostki organizacyjnej, lecz tam, gdzie jeden proces musi jednocześnie spełnić kilka racjonalnych, ale nie zawsze łatwych do pogodzenia oczekiwań.

To zmienia sposób myślenia o zgodności. Compliance nie może ograniczać się do odpowiedzi na pytanie, czy dana instytucja wykonała obowiązek wobec konkretnego organu. Coraz częściej musi odpowiadać na pytanie, czy sposób wykonania jednego obowiązku nie tworzy ryzyka w innym reżimie. Czy pogłębiona analiza klienta na potrzeby AML nie prowadzi do nadmiarowego przetwarzania danych. Czy mechanizm antyfraudowy nie tworzy nieprzejrzystych decyzji wobec klientów. Czy ograniczenie relacji z klientami wysokiego ryzyka nie staje się niedopuszczalnym de-riskingiem. Czy cyfrowa ścieżka sprzedaży nie zwiększa ryzyka niezrozumienia produktu. Czy model scoringowy jest nie tylko skuteczny, ale także wyjaśnialny, sprawiedliwy i kontrolowalny. Czy outsourcing poprawia efektywność, ale nie pozbawia instytucji realnej kontroli nad procesem. W tym sensie pojęcie sieci nadzorczej nie opisuje wyłącznie organizacji państwa. Opisuje także codzienne doświadczenie instytucji finansowej, która musi podejmować decyzje w warunkach wielości oczekiwań. Każde z tych oczekiwań może być uzasadnione. Problem polega na tym, że ich suma nie zawsze prowadzi do prostego wyniku. Właśnie dlatego najważniejszą kompetencją organizacyjną staje się zdolność rozpoznania przecięcia, zważenia racji, udokumentowania decyzji i pokazania, że przyjęte rozwiązanie było proporcjonalne wobec wszystkich istotnych ryzyk. Dopiero z tej perspektywy widać, że pytanie o nadzór nad sektorem finansowym nie jest tylko pytaniem o kompetencje organów. Jest pytaniem o to, jak jedna instytucja ma działać w środowisku, w którym ten sam proces jest widziany jednocześnie jako problem stabilności, bezpieczeństwa, AML, ochrony danych, ochrony konsumenta, podatków, płatności, odpowiedzialności cywilnej i ryzyka systemowego. To właśnie tutaj zaczyna się prawdziwy galimatias oczekiwań regulacyjnych — nie w samej liczbie organów, lecz w tym, że każdy z nich może mieć rację, patrząc na ten sam proces z własnej perspektywy.

Kiedy racjonalne oczekiwania zaczynają się zderzać

Wielość perspektyw nadzorczych nie jest sama w sobie problemem. Przeciwnie, w sektorze finansowym jest ona w dużej mierze nieunikniona. Instytucja finansowa pełni zbyt wiele funkcji, aby mogła być oceniana wyłącznie przez jeden organ i z jednego punktu widzenia. Jest przedsiębiorcą, podmiotem nadzorowanym, administratorem danych, instytucją obowiązaną, uczestnikiem systemu płatniczego, stroną umów z klientami, elementem infrastruktury gospodarczej i potencjalnym kanałem przepływu ryzyk systemowych. Każda z tych funkcji uzasadnia odrębne oczekiwania publiczne. Problem zaczyna się dopiero wtedy, gdy racjonalne oczekiwania formułowane w jednym obszarze regulacyjnym zaczynają oddziaływać na inny obszar. Wtedy okazuje się, że wykonanie jednego obowiązku nie jest neutralne dla pozostałych. Może wzmacniać bezpieczeństwo, ale ograniczać dostępność usługi. Może zwiększać skuteczność wykrywania nadużyć, ale pogłębiać ingerencję w prywatność. Może chronić stabilność instytucji, ale tworzyć trudności po stronie klienta. Może wzmacniać przejrzystość wobec konsumenta, ale jednocześnie komplikować proces do tego stopnia, że staje się on mniej zrozumiały w praktyce. Właśnie w tych miejscach widać, że sektor finansowy nie jest zarządzany przez proste sumowanie obowiązków, lecz przez ważenie napięć pomiędzy nimi.

Pierwszym i najbardziej oczywistym przykładem jest relacja między AML a ochroną danych osobowych. Z perspektywy przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu instytucja finansowa powinna wiedzieć o kliencie odpowiednio dużo. Ma go zidentyfikować, zweryfikować, ustalić beneficjenta rzeczywistego, rozumieć cel i charakter relacji, ocenić ryzyko, monitorować transakcje, aktualizować dane, dokumentować decyzje i przechowywać informacje przez wymagany okres. Logika AML jest logiką wiedzy, czujności, dokumentowania i gotowości do działania na podstawie sygnałów niepewnych, ale istotnych z perspektywy bezpieczeństwa systemu finansowego. Z perspektywy ochrony danych osobowych ten sam proces wygląda inaczej. Instytucja finansowa nie tylko realizuje obowiązek publicznoprawny, ale również głęboko ingeruje w sferę informacyjną jednostki. Pozyskuje dokumenty, dane identyfikacyjne, informacje o transakcjach, powiązaniach, zachowaniach, źródłach majątku, celach relacji, a niekiedy również dane pozwalające tworzyć profile ryzyka. Dlatego pojawiają się pytania o podstawę prawną, zakres danych, adekwatność, minimalizację, przejrzystość, retencję, dostęp klienta do informacji oraz proporcjonalność całego procesu. Z perspektywy AML problemem może być wiedza zbyt mała. Z perspektywy ochrony danych — wiedza zbyt szeroka, zbyt długo przechowywana albo wykorzystywana poza właściwym celem.

Obie perspektywy są racjonalne. Państwo nie może skutecznie przeciwdziałać praniu pieniędzy, jeżeli instytucje finansowe nie będą znały swoich klientów i ich aktywności. Jednocześnie ochrona danych osobowych nie traci znaczenia tylko dlatego, że dane są przetwarzane w sektorze regulowanym i w celu bezpieczeństwa. Napięcie nie polega więc na tym, że jedna logika jest słuszna, a druga błędna. Polega na tym, że instytucja finansowa musi zbudować proces, który jednocześnie zapewni skuteczność AML i będzie możliwy do obrony z perspektywy prywatności, minimalizacji i kontroli nad danymi. To wymaga znacznie więcej niż prostego wskazania podstawy prawnej w procedurze.

Drugie napięcie dotyczy bezpieczeństwa systemu i dostępności usług finansowych. Instytucje finansowe są zachęcane do ostrożności. Mają unikać relacji nadmiernie ryzykownych, przeciwdziałać nadużyciom, ograniczać ekspozycję na sankcje, fraudy, AML, ryzyka reputacyjne i operacyjne. W tej logice odmowa nawiązania relacji, wypowiedzenie umowy rachunku, dodatkowa weryfikacja klienta albo ograniczenie określonych usług może być przejawem odpowiedzialnego zarządzania ryzykiem. Z perspektywy nadzorczej taka ostrożność często wydaje się uzasadniona, zwłaszcza jeżeli instytucja potrafi wykazać, że działała według procedury, na podstawie oceny ryzyka i w sposób spójny z własnym apetytem na ryzyko. Z perspektywy klienta, konsumenta albo przedsiębiorcy korzystającego z usług finansowych ten sam proces może wyglądać zupełnie inaczej. Odmowa otwarcia rachunku, zamknięcie relacji albo blokada transakcji nie jest abstrakcyjnym działaniem risk management. Jest realnym ograniczeniem dostępu do infrastruktury finansowej. Może uniemożliwić prowadzenie działalności, otrzymywanie wynagrodzenia, wykonywanie płatności, korzystanie z podstawowych usług albo uczestnictwo w obrocie gospodarczym. Jeśli instytucja nie wyjaśnia przyczyn decyzji albo zasłania się ogólną formułą ryzyka, po stronie klienta powstaje poczucie arbitralności. Jeżeli podobne decyzje dotyczą całych kategorii klientów, pojawia się problem de-riskingu i wykluczenia finansowego. Tu również nie chodzi o prosty wybór między bezpieczeństwem a dostępnością. Instytucja finansowa nie może być zmuszona do utrzymywania relacji, które tworzą nieakceptowalne ryzyko. Nie może jednak traktować każdej trudności w ocenie klienta jako uzasadnienia dla automatycznej odmowy. Dojrzały model powinien wymagać proporcjonalności, indywidualizacji i zdolności do uzasadnienia decyzji. W przeciwnym razie racjonalna ostrożność może przekształcić się w systemowe odsuwanie od usług finansowych tych klientów, którzy są bardziej kosztowni, trudniejsi albo mniej przewidywalni z perspektywy procesów zgodności.

Trzecie napięcie pojawia się między ochroną konsumenta a ryzykiem ekonomicznym produktu. Instytucja finansowa ma projektować produkty odpowiedzialnie, komunikować ryzyko w sposób przejrzysty, badać potrzeby klienta, unikać wprowadzania w błąd i organizować sprzedaż tak, aby klient mógł podjąć świadomą decyzję. To jest racjonalne oczekiwanie. Sektor finansowy operuje produktami skomplikowanymi, długoterminowymi i często trudnymi do oceny dla przeciętnego odbiorcy. Nie można więc sprowadzać ochrony konsumenta do podpisu pod dokumentem albo formalnego przekazania informacji. Jednocześnie produkt finansowy pozostaje produktem ryzykownym. Kredyt ze zmiennym oprocentowaniem może stać się droższy. Inwestycja może przynieść stratę. Ubezpieczenie może nie zadziałać tak, jak klient sobie wyobrażał, jeżeli zakres ochrony był ograniczony. Instrument płatniczy może zostać wykorzystany w warunkach fraudu. Nie każdy negatywny skutek po stronie klienta oznacza, że produkt był wadliwy, sprzedaż nieuczciwa albo instytucja naruszyła prawo. Jeżeli ochrona konsumenta zacznie być rozumiana jako ochrona przed każdym niekorzystnym rezultatem, instytucja finansowa stanie się faktycznym gwarantem wyniku ekonomicznego. To byłoby sprzeczne z naturą rynku finansowego. Napięcie polega więc na konieczności odróżnienia wadliwego procesu od materializacji ryzyka. Instytucja powinna odpowiadać za nieprzejrzystą komunikację, nieadekwatny produkt, złą dystrybucję, błędne zachęty sprzedażowe, brak reakcji na reklamacje albo niezrozumiały interfejs. Nie powinna jednak automatycznie odpowiadać za to, że ryzyko właściwe produktowi rzeczywiście się zmaterializowało. To rozróżnienie jest trudne, ponieważ ocena często następuje po fakcie, gdy znany jest już niekorzystny skutek. Właśnie dlatego nadzór i sądy powinny szczególnie uważać na pokusę retrospektywnego uproszczenia: skoro klient stracił, to proces musiał być wadliwy.

Czwarte napięcie dotyczy szybkości reakcji i proceduralizacji. Organy publiczne oczekują od instytucji finansowych sprawności. W razie podejrzenia fraudu, cyberincydentu, prania pieniędzy, naruszenia sankcji, awarii systemu płatniczego albo powtarzalnych skarg klientów instytucja powinna reagować szybko. Ma wykryć problem, ograniczyć skutki, zabezpieczyć środki, poinformować właściwe osoby, zawiadomić organ, uruchomić procedury naprawcze i zapobiec eskalacji. W sektorze finansowym czas reakcji ma znaczenie fundamentalne. Opóźnienie może oznaczać utratę środków, rozprzestrzenienie się incydentu, ryzyko systemowe albo poważną szkodę dla klientów. Jednocześnie każda szybka reakcja musi być później możliwa do obrony. Powinna mieć podstawę prawną, uzasadnienie faktyczne, ślad audytowy, zgodność z procedurą, ocenę proporcjonalności i właściwy poziom decyzyjny. Instytucja, która działa zbyt wolno, może zostać oceniona jako nieskuteczna. Instytucja, która działa zbyt szybko i zbyt automatycznie, może zostać oceniona jako arbitralna, nieprzejrzysta albo naruszająca prawa klienta. W praktyce oznacza to, że organizacja musi być jednocześnie szybka i proceduralna, elastyczna i udokumentowana, skuteczna i kontrolowalna. To nie jest łatwe wymaganie organizacyjne.

Piąte napięcie dotyczy innowacyjności i kontrolowalności. Od instytucji finansowych oczekuje się cyfryzacji, prostoty obsługi, automatyzacji, personalizacji, szybkości decyzji, wykorzystania danych, sztucznej inteligencji, rozwoju kanałów mobilnych i współpracy z dostawcami technologicznymi. Rynek wymusza wygodę i natychmiastowość. Klient oczekuje, że konto otworzy w kilka minut, decyzję otrzyma automatycznie, płatność wykona natychmiast, a produkt będzie dostępny w aplikacji bez nadmiernych formalności. Innowacyjność staje się warunkiem konkurencyjności. Jednocześnie każdy z tych elementów zwiększa oczekiwania regulacyjne. Model automatyczny powinien być zrozumiały, testowany, monitorowany i niedyskryminujący. Proces cyfrowy powinien być przejrzysty i nie powinien manipulować decyzją klienta. Outsourcing technologiczny powinien być kontrolowany. Usługa chmurowa powinna zapewniać bezpieczeństwo, audytowalność i ciągłość działania. Sztuczna inteligencja powinna być zgodna z regulacjami dotyczącymi danych, ryzyka, odpowiedzialności, bezpieczeństwa i potencjalnie praw podstawowych. Im bardziej instytucja upraszcza doświadczenie klienta, tym bardziej komplikuje się zaplecze regulacyjne tego uproszczenia.

Szóste napięcie dotyczy tajemnicy, prywatności i obowiązków raportowych. Instytucja finansowa jest tradycyjnie kojarzona z obowiązkiem ochrony informacji o kliencie. Tajemnica bankowa, zawodowa, ubezpieczeniowa, inwestycyjna czy szerzej rozumiana poufność relacji z klientem stanowią istotny element zaufania do rynku. Jednocześnie współczesne państwo coraz częściej oczekuje od instytucji finansowych przekazywania informacji, raportowania transakcji, wykonywania blokad, udzielania odpowiedzi organom, wspierania ścigania przestępstw, realizacji obowiązków podatkowych, sankcyjnych, AML i nadzorczych. Instytucja finansowa ma więc chronić informacje przed nieuprawnionym dostępem, a jednocześnie udostępniać je w wielu sytuacjach przewidzianych prawem. Takie napięcie nie jest możliwe do rozwiązania ogólnym hasłem o prymacie bezpieczeństwa albo prymacie prywatności. Wymaga precyzyjnej podstawy prawnej, kontroli zakresu udostępnienia, dokumentowania procesu, rozróżnienia pomiędzy obowiązkiem a uprawnieniem, a także świadomości, że każde udostępnienie informacji może być oceniane jednocześnie przez organ żądający danych, organ ochrony danych, klienta, sąd i nadzór sektorowy. To pokazuje, że tajemnica i raportowanie nie są już odrębnymi światami. Są dwoma stronami tej samej funkcji instytucji finansowej jako podmiotu zaufania i jednocześnie uczestnika systemu bezpieczeństwa publicznego.

Siódme napięcie dotyczy stabilności systemu i indywidualnej sprawiedliwości. Z perspektywy makroostrożnościowej, resolution, płynności, bezpieczeństwa płatności albo odporności operacyjnej pewne decyzje mogą być racjonalne, choć trudne dla konkretnych klientów. Ograniczenie określonych usług, zmiana warunków, czasowe wstrzymanie działania, działania naprawcze, blokady, przymusowa restrukturyzacja albo szybkie decyzje kryzysowe mogą być podejmowane po to, aby chronić większą całość. Z perspektywy jednostki skutkiem może być jednak utrata dostępu do środków, ograniczenie możliwości działania, niepewność prawna albo poczucie niesprawiedliwości. To napięcie przypomina, że sektor finansowy zawsze działa na styku interesu indywidualnego i publicznego. Klient widzi swoją umowę, rachunek, transakcję i stratę. Organ stabilnościowy widzi ryzyko dla systemu. Instytucja finansowa znajduje się pomiędzy tymi perspektywami. Musi komunikować, wykonywać obowiązki, ograniczać skutki i jednocześnie nie obiecywać tego, czego prawo ani ekonomia rynku finansowego nie mogą zagwarantować. W takich sytuacjach szczególnie ważna staje się przejrzystość procesu i uczciwość komunikacji. Brak możliwości pełnego zaspokojenia indywidualnego oczekiwania nie zwalnia bowiem z obowiązku wyjaśnienia logiki działania.

Wszystkie te napięcia mają wspólną cechę. Nie wynikają z irracjonalności organów ani z wadliwości samego modelu regulacji. Wynikają z tego, że sektor finansowy jest miejscem koncentracji wielu wartości publicznych. Stabilność finansowa, ochrona konsumenta, przeciwdziałanie przestępczości, prywatność, konkurencja, bezpieczeństwo technologiczne, dostępność usług, integralność rynku i skuteczność państwa są wartościami rzeczywistymi. Każda z nich zasługuje na ochronę. Problem polega na tym, że żadna z nich nie może być realizowana tak, jakby pozostałe nie istniały. Właśnie dlatego prosty język zgodności z przepisami coraz częściej okazuje się niewystarczający. Instytucja finansowa może działać w przekonaniu, że wykonuje jeden obowiązek, a jednocześnie tworzyć ryzyko w innym obszarze. Może wzmocnić AML, ale osłabić ochronę danych. Może zwiększyć bezpieczeństwo, ale ograniczyć dostępność usług. Może uprościć proces cyfrowy, ale utrudnić realne zrozumienie produktu. Może przyspieszyć reakcję, ale osłabić kontrolowalność decyzji. Może ograniczyć ryzyko własne, ale przenieść koszt na klienta albo na system.

Nie oznacza to, że każde napięcie wymaga natychmiastowej interwencji ustawodawcy albo powołania kolejnego organu. W wielu przypadkach potrzebne jest coś trudniejszego: zdolność ważenia racji w konkretnym procesie. Instytucja finansowa musi umieć pokazać, że rozpoznała kolizję oczekiwań, wybrała rozwiązanie proporcjonalne, udokumentowała przyczyny decyzji i monitoruje jej skutki. Organy publiczne muszą natomiast uwzględniać, że oczekiwania formułowane z jednej perspektywy mogą mieć konsekwencje w innych obszarach. W przeciwnym razie sieć nadzorcza zaczyna działać jak zbiór równoległych nacisków, a nie jak system. Największym ryzykiem nie jest więc sama wielość regulacji. Największym ryzykiem jest sytuacja, w której każda racjonalność regulacyjna zaczyna zachowywać się tak, jakby była jedyną. Wtedy AML przestaje widzieć prywatność, ochrona danych przestaje widzieć bezpieczeństwo, ochrona konsumenta przestaje widzieć ryzyko ekonomiczne produktu, stabilność systemu przestaje widzieć indywidualny skutek dla klienta, a innowacyjność przestaje widzieć kontrolowalność. To właśnie w tym miejscu sieć nadzorcza może przekształcić się z mechanizmu lepszego rozpoznawania ryzyk w galimatias oczekiwań regulacyjnych. Dlatego przyszłość nadzoru nad sektorem finansowym nie powinna polegać na mechanicznym dokładaniu kolejnych obowiązków do istniejących procesów. Powinna polegać na lepszym rozumieniu przecięć między obowiązkami. To tam powstają najtrudniejsze decyzje, największe ryzyka organizacyjne i najpoważniejsze spory o proporcjonalność. Jeżeli sieć nadzorcza ma działać dobrze, musi umieć zobaczyć nie tylko własny fragment rzeczywistości, ale również to, jak ten fragment łączy się z pozostałymi.

Sieć nadzorcza nie oznacza chaosu, ale wymaga koordynacji

Jeżeli sektor finansowy działa dziś w warunkach wielu racjonalnych, ale częściowo nakładających się oczekiwań regulacyjnych, to naturalną pokusą może być poszukiwanie jednego centrum. Skoro organów jest wiele, perspektyw jest wiele, a te same procesy mogą być oceniane równocześnie z punktu widzenia stabilności, AML, ochrony danych, konsumenta, płatności, podatków, bezpieczeństwa i odpowiedzialności cywilnej, to intuicyjną odpowiedzią wydaje się postulat uproszczenia. Jeden organ. Jedna procedura. Jedno dominujące kryterium oceny. Jedna instytucja, która zobaczy całość. Taka odpowiedź byłaby jednak zbyt prosta. Sektor finansowy rzeczywiście wymaga wielu specjalistycznych perspektyw. Nie da się zastąpić nadzoru ostrożnościowego ochroną konsumenta, ochrony danych nadzorem AML, AML nadzorem nad systemem płatniczym, a resolution rozstrzygnięciami sądów powszechnych. Każdy z tych obszarów odpowiada na inny rodzaj ryzyka i chroni inną wartość publiczną. Wielość organów nie jest więc sama w sobie błędem konstrukcyjnym. Jest konsekwencją tego, że instytucja finansowa nie pełni jednej funkcji w gospodarce i państwie. Jest jednocześnie przedsiębiorcą, instytucją zaufania publicznego, uczestnikiem infrastruktury płatniczej, administratorem danych, instytucją obowiązaną, podmiotem nadzorowanym i stroną milionów relacji prywatnoprawnych.

Problemem nie jest zatem sama sieć nadzorcza. Problemem jest sieć, która nie widzi własnych przecięć. Jeżeli każdy organ działa wyłącznie w logice własnego pionu kompetencyjnego, to suma jego oczekiwań nie musi prowadzić do spójnego modelu. Może prowadzić do nadmiarowej formalizacji, dublowania wymogów, przerzucania ryzyk pomiędzy procesami, defensywnego compliance i trudności w wyjaśnieniu, które oczekiwanie ma pierwszeństwo w konkretnym przypadku. Wtedy instytucja finansowa nie tyle zarządza ryzykiem, ile próbuje jednocześnie odpowiadać na wiele nie zawsze uzgodnionych sygnałów regulacyjnych. Dlatego sieć nadzorcza wymaga koordynacji. Nie koordynacji rozumianej jako podporządkowanie wszystkich organów jednej instytucji ani jako odebranie im ich własnych kompetencji. Chodzi raczej o zdolność dostrzegania, że działanie jednego organu może wywoływać skutki w obszarze znajdującym się w polu zainteresowania innego organu. Oczekiwania AML mogą wpływać na dostępność usług finansowych i ochronę konsumenta. Oczekiwania dotyczące ochrony danych mogą wpływać na sposób przeciwdziałania fraudom i praniu pieniędzy. Oczekiwania konsumenckie mogą wymuszać przebudowę procesu produktowego, który jednocześnie podlega ocenie nadzorczej. Oczekiwania dotyczące stabilności i bezpieczeństwa płatności mogą wpływać na sposób realizacji indywidualnych praw klienta. Orzecznictwo sądowe może zmienić profil ryzyka prawnego, kapitałowego i reputacyjnego całego sektora. W tym sensie koordynacja nie jest wyłącznie kwestią formalnych porozumień między organami. Jest również kwestią wspólnego języka ryzyka. Organy nie muszą widzieć rynku w taki sam sposób, ale powinny rozumieć, jak ich perspektywy wpływają na siebie nawzajem. Jeżeli GIIF formułuje oczekiwania dotyczące pogłębionej analizy klienta, musi istnieć świadomość, że ta analiza odbywa się w środowisku ochrony danych osobowych, tajemnicy, praw klienta i proporcjonalności. Jeżeli UODO ocenia zakres przetwarzania danych, musi widzieć, że część tego przetwarzania wynika z publicznoprawnych obowiązków bezpieczeństwa i przeciwdziałania przestępczości finansowej. Jeżeli UOKiK ocenia praktykę wobec konsumentów, musi brać pod uwagę, że część działań instytucji finansowej może być skutkiem reżimów ostrożnościowych, AML, sankcyjnych albo antyfraudowych. Jeżeli KNF ocenia organizację procesu, musi widzieć również skutki tego procesu dla klienta, danych, konkurencji i sporów prywatnoprawnych.

Szczególna rola przypada tutaj Komitetowi Stabilności Finansowej. Nie dlatego, że KSF miałby stać się organem rozstrzygającym wszystkie napięcia między regulatorami. Jego znaczenie polega na czym innym. KSF pokazuje, że w systemie istnieją ryzyka, których nie da się zamknąć w kompetencji jednego organu. Ryzyko systemowe nie jest prostą sumą pojedynczych naruszeń, błędów procesowych albo decyzji nadzorczych. Może powstawać na styku zjawisk: masowych sporów prawnych, utraty zaufania do sektora, odpływu depozytów, koncentracji dostawców technologicznych, cyberincydentów, zakłóceń płatniczych, de-riskingu, kryzysu reputacyjnego, niedopasowania regulacji do praktyki rynku albo gwałtownej zmiany otoczenia makroekonomicznego. KSF jest więc instytucjonalnym przypomnieniem, że część ryzyk sektora finansowego ma charakter sieciowy. Nie oznacza to jednak, że koordynacja powinna ograniczać się do ryzyk systemowych w wąskim znaczeniu. W praktyce potrzeba wspólnego języka pojawia się znacznie wcześniej, na poziomie zwykłych procesów instytucji finansowych. Dobrym przykładem jest de-risking. Dla jednej perspektywy może on być przejawem odpowiedzialnego ograniczania ryzyka AML, sankcyjnego albo reputacyjnego. Dla innej — problemem dostępności usług, proporcjonalności, ochrony konsumenta albo równego traktowania. Dla jeszcze innej — sygnałem niewystarczająco precyzyjnych regulacji albo zbyt wysokiego kosztu zgodności. Jeżeli każda z tych perspektyw będzie działać osobno, instytucja finansowa otrzyma sprzeczne sygnały: ograniczaj ryzyko, ale nie ograniczaj dostępu; monitoruj klienta, ale nie przetwarzaj zbyt wielu danych; reaguj szybko, ale wyjaśniaj i dokumentuj każdy krok; chroń system, ale nie naruszaj indywidualnych praw.

Podobnie jest z wykorzystaniem danych i technologii. Organy mogą zgodnie oczekiwać bezpieczeństwa, odporności, skuteczności antyfraudowej, jakości obsługi, personalizacji i cyfryzacji. Jednocześnie te same rozwiązania technologiczne mogą rodzić pytania o profilowanie, automatyzację decyzji, transparentność algorytmów, niedyskryminację, outsourcing, koncentrację dostawców, cyberodporność i kontrolę zarządu nad procesem. Bez koordynacji języka ryzyka instytucja finansowa będzie otrzymywać z różnych stron oczekiwania, które w teorii są komplementarne, lecz w praktyce mogą wymagać trudnych wyborów projektowych, organizacyjnych i prawnych.

Koordynacja nie powinna prowadzić do obniżania standardów. To istotne zastrzeżenie. Nie chodzi o to, aby w imię spójności osłabić AML, ochronę danych, prawa konsumenta, stabilność finansową albo bezpieczeństwo systemu płatniczego. Chodzi o to, aby każdy z tych standardów był realizowany w świadomości pozostałych. Sektor finansowy nie potrzebuje regulacyjnej ulgi od złożoności. Potrzebuje racjonalnego zarządzania złożonością. Różnica jest zasadnicza. Pierwsze oznaczałoby rezygnację z ochrony określonych wartości. Drugie oznacza konieczność ważenia ich w procesach, w których rzeczywiście się spotykają. Właśnie dlatego tak ważna jest proporcjonalność. W sieci nadzorczej proporcjonalność nie jest techniczną klauzulą łagodzącą obowiązki. Jest jednym z podstawowych mechanizmów godzenia racjonalności regulacyjnych. Pozwala pytać, czy określony sposób wykonania obowiązku jest adekwatny do ryzyka, skali działalności, charakteru klienta, rodzaju produktu, dostępnych środków, skutków dla innych wartości oraz możliwych konsekwencji ubocznych. Bez proporcjonalności każda logika regulacyjna ma tendencję do maksymalizacji własnego celu. AML chce wiedzieć więcej. Ochrona danych chce ograniczać więcej. Ochrona konsumenta chce wyjaśniać więcej. Bezpieczeństwo chce blokować szybciej. Stabilność chce minimalizować ryzyko wcześniej. Proporcjonalność jest tym mechanizmem, który pozwala zapytać, czy więcej zawsze oznacza lepiej.

Drugim mechanizmem jest ocena skutków regulacyjnych rozumiana szerzej niż klasyczna ocena projektu ustawy. Chodzi o świadomość, że oczekiwania formułowane przez organ — również w miękkich komunikatach, stanowiskach, rekomendacjach, decyzjach, ostrzeżeniach, pismach sektorowych albo praktyce kontrolnej — mogą realnie zmieniać zachowania instytucji finansowych. Jeżeli organ silnie akcentuje jedno ryzyko, instytucje będą racjonalnie przesuwać swoje procesy w stronę ograniczania tego ryzyka, nawet kosztem innych wartości. Tak powstaje często niezamierzony efekt regulacyjny. Nie wynika on z przepisu, lecz z dominującego sygnału nadzorczego. Dlatego sieć nadzorcza powinna być świadoma nie tylko formalnych kompetencji, ale również siły własnych oczekiwań.

Trzecim mechanizmem jest wymiana informacji i doświadczeń między organami. Nie chodzi przy tym o dowolne przekazywanie danych ani o obchodzenie ograniczeń wynikających z tajemnicy, ochrony danych czy procedur. Chodzi o to, aby organy potrafiły identyfikować zjawiska, które pojawiają się w kilku obszarach jednocześnie. Jeżeli Rzecznik Finansowy widzi rosnącą liczbę sporów związanych z określonym produktem, może to mieć znaczenie nie tylko dla klientów, ale również dla KNF, UOKiK, sądów i stabilności reputacyjnej sektora. Jeżeli GIIF widzi wzrost ryzyk w określonym typie relacji, może to mieć skutki dla dostępności usług i praktyk de-riskingowych. Jeżeli UODO identyfikuje problem z retencją albo automatyzacją, może to dotyczyć również AML, fraudów i procesów kredytowych. Jeżeli BFG, NBP albo KSF widzą ryzyka infrastrukturalne, mogą one mieć praktyczne konsekwencje dla klientów, płatności i obowiązków informacyjnych instytucji.

Czwartym mechanizmem jest wspólne rozumienie granic odpowiedzialności instytucji finansowej. Sieć nadzorcza powinna wzmacniać odpowiedzialność organizacyjną instytucji, ale nie może przekształcać jej w odpowiedzialność absolutną za pogodzenie wszystkich wartości publicznych bez wyraźnych reguł. Instytucja finansowa powinna umieć wykazać, że rozpoznała przecięcie obowiązków, oceniła ryzyka, przyjęła proporcjonalne rozwiązanie i monitorowała skutki. Nie powinna jednak działać w warunkach, w których po czasie każdy organ ocenia ten sam proces wyłącznie z własnej perspektywy, bez uwzględnienia racji, które przemawiały za określonym wyborem organizacyjnym. Taki model prowadziłby do compliance defensywnego, w którym głównym celem jest nie tyle dobre zarządzanie ryzykiem, ile zabezpieczenie się przed każdą możliwą krytyką.

Piątym mechanizmem jest lepsze odróżnienie sprzeczności od napięcia. Wiele problemów sieci nadzorczej nie polega na rzeczywistej sprzeczności przepisów. Często przepisy da się formalnie pogodzić. Trudność pojawia się na poziomie praktyki, kosztu, czasu, automatyzacji, komunikacji, organizacji procesu i ryzyka późniejszej oceny. Instytucja może jednocześnie mieć podstawę do przetwarzania danych na potrzeby AML i obowiązek ograniczania ich zakresu do tego, co niezbędne. Może mieć prawo zablokować transakcję i jednocześnie obowiązek zapewnienia klientowi przejrzystej obsługi. Może mieć obowiązek raportowania do organu i jednocześnie obowiązek ochrony tajemnicy wobec osób nieuprawnionych. To nie zawsze są sprzeczności prawne. Często są to napięcia organizacyjne. Ale właśnie one decydują o jakości działania systemu.

Koordynacja sieci nadzorczej musi więc działać na dwóch poziomach. Pierwszy to poziom państwa: wymiana informacji, spójność sygnałów, świadomość skutków ubocznych, proporcjonalność oczekiwań i wspólny język ryzyka. Drugi to poziom instytucji finansowej: governance procesów, identyfikacja przecięć, ważenie racji, dokumentowanie decyzji i zdolność do wyjaśnienia, dlaczego dany proces został zaprojektowany w określony sposób. Te dwa poziomy są ze sobą powiązane. Państwo nie może oczekiwać od instytucji dojrzałego zarządzania przecięciami, jeżeli samo wysyła sygnały całkowicie sektorowe i nieuzgodnione. Instytucja nie może z kolei zasłaniać się złożonością systemu, jeżeli sama nie potrafi pokazać, jak tę złożoność rozpoznała i uporządkowała. Nie należy przy tym idealizować koordynacji. Sieć nadzorcza nigdy nie będzie w pełni jednolita. Organy mają różne mandaty, różne podstawy prawne, różne kultury działania, różne procedury i różne horyzonty czasowe. Sąd rozstrzyga inaczej niż organ nadzoru. Organ AML patrzy inaczej niż organ ochrony danych. Organ stabilnościowy ma inny punkt odniesienia niż Rzecznik Finansowy. To zróżnicowanie jest potrzebne. Gdyby wszystkie instytucje patrzyły na sektor finansowy tak samo, część ryzyk pozostałaby niewidoczna. Celem nie powinno być więc ujednolicenie wszystkich perspektyw, lecz zapewnienie, aby żadna z nich nie była ślepa na pozostałe.

Właśnie w tym sensie sieć nadzorcza nie musi oznaczać chaosu. Może oznaczać dojrzały model rozpoznawania złożonych ryzyk, których nie da się uchwycić z jednego miejsca. Warunkiem jest jednak to, aby sieć była czymś więcej niż sumą organów. Musi posiadać zdolność komunikacji, uczenia się, identyfikowania skutków ubocznych i korygowania nadmiernych uproszczeń. Jeżeli tego zabraknie, wielość perspektyw przestaje być zaletą, a staje się źródłem galimatiasu oczekiwań regulacyjnych. Dlatego odpowiedź na pytanie, kto widzi całość rynku finansowego, nie może polegać na wskazaniu jednego organu. Całość może być widziana wyłącznie sieciowo. Ale sieciowo nie oznacza przypadkowo. Oznacza to, że każda perspektywa musi znać swoje granice, rozumieć wpływ na inne obszary i akceptować, że w sektorze finansowym żaden cel regulacyjny nie powinien być realizowany tak, jakby był jedynym celem systemu.

Co to oznacza dla instytucji finansowej?

Sieć nadzorcza jest wyzwaniem nie tylko dla państwa i organów publicznych. Jest również jednym z najważniejszych wyzwań organizacyjnych dla samych instytucji finansowych. Jeżeli jeden proces może być jednocześnie oceniany z perspektywy nadzoru sektorowego, AML, ochrony danych, ochrony konsumenta, podatków, płatności, cyberbezpieczeństwa, sporów cywilnych i ryzyka systemowego, to klasyczne podejście do zgodności przestaje wystarczać. Nie wystarczy już wiedzieć, jaki przepis ma zastosowanie i która jednostka organizacyjna odpowiada za jego wykonanie. Trzeba jeszcze rozumieć, jak wykonanie jednego obowiązku wpływa na inne obszary regulacyjne. Tradycyjny model compliance bardzo często opierał się na mapowaniu obowiązków. Osobno identyfikowano obowiązki wobec KNF, osobno obowiązki AML, osobno ochronę danych, osobno reklamacje, osobno ochronę konsumenta, osobno raportowanie podatkowe, osobno outsourcing, osobno cyberbezpieczeństwo i osobno obowiązki związane z udostępnianiem informacji organom publicznym. Taka mapa jest oczywiście potrzebna. Instytucja finansowa musi wiedzieć, jakie przepisy ją obowiązują, kto jest właścicielem procesu, jakie procedury należy przyjąć, jakie kontrole wykonać i do jakiego organu raportować. Problem polega na tym, że mapa obowiązków nie pokazuje jeszcze miejsc, w których te obowiązki zaczynają się przecinać.

A to właśnie na przecięciach powstają dziś najtrudniejsze ryzyka regulacyjne. Nie zawsze tam, gdzie przepis jest oczywisty i przypisany do jednej funkcji. Często tam, gdzie kilka przepisów, kilka oczekiwań i kilka racjonalności regulacyjnych spotyka się w jednej decyzji organizacyjnej. Przykładem może być decyzja o zakresie danych pozyskiwanych od klienta. Z perspektywy AML instytucja może potrzebować szerokiego obrazu relacji, źródła środków, beneficjenta rzeczywistego i charakteru transakcji. Z perspektywy ochrony danych musi jednak wykazać adekwatność, celowość, podstawę prawną, minimalizację i retencję. Z perspektywy klienta proces powinien być zrozumiały, niearbitralny i możliwy do przejścia. Z perspektywy bezpieczeństwa powinien skutecznie ograniczać nadużycia. Jedno pytanie zadane klientowi może więc należeć jednocześnie do kilku światów regulacyjnych. Podobnie jest z decyzją o blokadzie transakcji, odmowie usługi, wypowiedzeniu rachunku albo wdrożeniu systemu antyfraudowego. Instytucja może działać w celu ochrony klienta, ograniczenia strat, przeciwdziałania przestępczości albo wykonania obowiązków publicznoprawnych. Jednocześnie musi liczyć się z tym, że ta sama decyzja zostanie oceniona przez klienta jako niezrozumiała, przez Rzecznika Finansowego jako źródło sporu, przez UODO jako obszar automatyzacji lub profilowania, przez UOKiK jako element praktyki wobec konsumentów, przez KNF jako kwestia organizacji procesu, a przez sąd jako działanie wywołujące określony skutek prywatnoprawny. W takim środowisku nie wystarcza odpowiedź: „działaliśmy zgodnie z procedurą”. Trzeba jeszcze umieć wyjaśnić, dlaczego procedura w taki właśnie sposób godziła różne oczekiwania regulacyjne.

To oznacza zmianę roli compliance. Funkcja zgodności nie może być już wyłącznie redaktorem procedur, strażnikiem terminów i jednostką opiniującą materiały pod kątem literalnej zgodności z przepisami. Musi stać się jedną z funkcji pozwalających organizacji rozumieć złożoność regulacyjną. Jej zadaniem nie jest tylko odpowiedzieć na pytanie, czy istnieje obowiązek. Coraz częściej jej zadaniem jest wskazać, jakie inne reżimy zostaną uruchomione przez sposób wykonania tego obowiązku, jakie napięcia mogą powstać i jak udokumentować decyzję, która nie będzie idealna z perspektywy każdego obszaru, ale będzie racjonalna, proporcjonalna i możliwa do obrony jako całość. W takim modelu szczególnego znaczenia nabiera governance procesów. Instytucja finansowa powinna wiedzieć nie tylko, kto jest właścicielem danego obowiązku, ale również kto jest właścicielem procesu, w którym spotykają się różne obowiązki. Onboarding klienta nie jest wyłącznie procesem sprzedażowym, AML-owym, operacyjnym albo technologicznym. Jest procesem przekrojowym. Monitoring transakcji nie jest wyłącznie zadaniem AML albo antyfraudowym. Jest również procesem danych, klienta, operacji, technologii i reputacji. Reklamacje nie są wyłącznie procesem obsługi klienta. Są źródłem informacji o produkcie, komunikacji, sprzedaży, ryzyku prawnym, ryzyku konsumenckim i jakości kontroli wewnętrznej. Jeżeli organizacja przypisze każdy z tych elementów wyłącznie jednej funkcji, może nie zauważyć ryzyka powstającego między funkcjami.

Dlatego instytucja finansowa potrzebuje zdolności do zarządzania przecięciami. W praktyce oznacza to konieczność tworzenia mechanizmów, w których różne funkcje organizacji widzą ten sam proces jednocześnie. Compliance, AML, ochrona danych, prawny, ryzyko operacyjne, bezpieczeństwo, IT, biznes, reklamacje, audyt wewnętrzny i jednostki odpowiedzialne za produkty nie mogą spotykać się dopiero wtedy, gdy problem stał się incydentem, sporem albo kontrolą. Muszą mieć możliwość wspólnego rozpoznania ryzyk wcześniej: przy projektowaniu produktu, wdrażaniu nowego kanału sprzedaży, zmianie procedury, automatyzacji decyzji, wyborze dostawcy technologicznego albo przebudowie procesu obsługi klienta. Nie oznacza to, że każda decyzja wymaga rozbudowanego komitetu i wielomiesięcznej analizy. To również byłaby patologia sieci nadzorczej: nadmierna proceduralizacja, która zabija zdolność działania. Chodzi raczej o proporcjonalne rozpoznanie, kiedy proces jest prosty i jednowymiarowy, a kiedy dotyka kilku istotnych reżimów regulacyjnych. Inaczej należy traktować drobną zmianę komunikatu operacyjnego, inaczej wdrożenie nowego modelu scoringowego, inaczej zmianę zasad de-riskingu, inaczej outsourcing kluczowej usługi, a jeszcze inaczej automatyzację monitoringu transakcji. Dojrzała organizacja powinna umieć odróżnić sprawę proceduralną od sprawy przekrojowej.

Kluczowe staje się również dokumentowanie uzasadnień decyzji. W świecie wielu oczekiwań regulacyjnych dokumentacja nie powinna być wyłącznie dowodem, że procedura została wykonana. Powinna pokazywać tok ważenia racji. Dlaczego instytucja uznała, że potrzebuje określonego zakresu danych? Dlaczego przyjęła taki, a nie inny okres retencji? Dlaczego zdecydowała się na określony model automatyzacji? Dlaczego uznała, że dana kategoria klientów wymaga pogłębionej weryfikacji? Dlaczego komunikat do klienta jest sformułowany w taki sposób? Dlaczego określone ostrzeżenie pojawia się na tym etapie ścieżki cyfrowej? Dlaczego określona funkcja została outsourcowana i jak zapewniono nad nią kontrolę? Takie pytania nie służą produkowaniu dokumentów dla samych dokumentów. Służą temu, aby po czasie można było wykazać, że decyzja była świadoma, proporcjonalna i organizacyjnie kontrolowana. W tym ujęciu informacja zarządcza również musi się zmienić. Zarząd instytucji finansowej nie powinien otrzymywać wyłącznie raportów sektorowych: osobno o AML, osobno o ochronie danych, osobno o reklamacjach, osobno o incydentach, osobno o sprawach sądowych i osobno o ryzyku operacyjnym. Takie raportowanie jest potrzebne, ale może utrwalać podział na silosy. Jeżeli te same zjawiska powtarzają się w kilku raportach, organizacja powinna umieć zobaczyć ich wspólne źródło. Wzrost reklamacji, wzrost zapytań klientów, wzrost blokad transakcji, wzrost żądań dostarczenia dokumentów, wzrost skarg do organów i wzrost sporów sądowych mogą nie być odrębnymi problemami. Mogą być objawami słabości jednego procesu.

To samo dotyczy relacji z organami. Instytucja finansowa działająca w sieci nadzorczej powinna umieć rozmawiać z organem nie tylko językiem danego przepisu, ale również językiem przecięć. Jeżeli wyjaśnia proces AML, powinna umieć pokazać, jak uwzględniła ochronę danych i prawa klienta. Jeżeli wyjaśnia działanie modelu antyfraudowego, powinna umieć pokazać jego skuteczność, ale także kontrolę nad automatyzacją, możliwość interwencji człowieka, komunikację z klientem i mechanizmy odwoławcze. Jeżeli tłumaczy decyzję o odmowie relacji, powinna umieć wykazać, że nie działała automatycznie, masowo i arbitralnie, lecz w oparciu o rozpoznane ryzyka, proporcjonalność i kontrolę procesu. Organy nie zawsze będą pytały o wszystkie te elementy, ale instytucja powinna mieć świadomość, że proces może być oceniony szerzej niż z jednej perspektywy.

Dojrzałe zarządzanie siecią nadzorczą wymaga również odwagi w identyfikowaniu miejsc, w których oczekiwania regulacyjne są niejasne, napięte albo praktycznie trudne do pogodzenia. Instytucje finansowe często reagują na taką niepewność defensywnie: tworzą dodatkowe oświadczenia, wydłużają procedury, wymagają większej liczby dokumentów, blokują więcej transakcji, ograniczają relacje, przechowują dane „na wszelki wypadek” albo przerzucają odpowiedzialność na klienta. Takie działania mogą krótkoterminowo ograniczać ryzyko jednego rodzaju, ale długoterminowo tworzą ryzyka innego rodzaju. Defensywne compliance nie zawsze jest bezpieczne. Czasem jest tylko dowodem, że organizacja nie potrafiła podjąć proporcjonalnej decyzji. Z tego powodu coraz ważniejsza staje się kultura regulacyjnego ważenia, a nie wyłącznie kultura regulacyjnego zabezpieczania się. Instytucja finansowa musi oczywiście chronić się przed naruszeniami. Musi wykonywać obowiązki, dokumentować procesy i reagować na ryzyka. Ale powinna także umieć powiedzieć, dlaczego nie poszła dalej. Dlaczego nie zebrała większej liczby danych. Dlaczego nie zablokowała całej kategorii klientów. Dlaczego nie wydłużyła procesu o kolejne ostrzeżenia. Dlaczego nie zautomatyzowała całkowicie decyzji. Dlaczego nie utrzymywała danych bez końca. W sieci nadzorczej racjonalność działania nie zawsze polega na maksymalizacji ostrożności. Często polega na umiejętności wyznaczenia granicy.

To prowadzi do ważnego wniosku praktycznego. Instytucja finansowa powinna zarządzać nie tylko ryzykiem naruszenia przepisu, ale również ryzykiem jednostronności regulacyjnej. Ryzyko jednostronności polega na tym, że organizacja projektuje proces wyłącznie pod dominujące oczekiwanie jednego reżimu, ignorując pozostałe. Proces AML może być bardzo silny, ale prywatnościowo i konsumencko trudny do obrony. Proces sprzedaży może być bardzo szybki i przyjazny dla klienta, ale niewystarczający z perspektywy ryzyka produktu. Model antyfraudowy może być skuteczny, ale nieprzejrzysty. Procedura outsourcingowa może być efektywna kosztowo, ale słaba z perspektywy kontroli i ciągłości działania. W dojrzałej organizacji pytanie nie brzmi tylko: czy proces spełnia swoje główne zadanie. Brzmi również: jakie ryzyka tworzy przy okazji. Dlatego compliance przyszłości w sektorze finansowym będzie coraz mniej przypominało katalog odpowiedzi na pytania prawne, a coraz bardziej funkcję integrującą różne racjonalności regulacyjne. Nie zastąpi zarządu, biznesu, ryzyka, AML, ochrony danych, bezpieczeństwa ani działu prawnego. Może jednak pomagać organizacji widzieć połączenia pomiędzy nimi. Może identyfikować miejsca, w których proces wymaga szerszej oceny. Może wymuszać pytanie o proporcjonalność. Może pilnować, aby decyzje były nie tylko zgodne z jednym przepisem, ale także możliwe do obrony w świetle całego otoczenia regulacyjnego.

W tym sensie sieć nadzorcza wymusza również zmianę odpowiedzialności zarządczej. Zarząd nie może znać każdego przepisu, każdego stanowiska organu i każdej decyzji operacyjnej. Powinien jednak zapewnić, że organizacja ma mechanizmy identyfikowania ryzyk przekrojowych. Powinien wiedzieć, które procesy są najbardziej narażone na przecięcia reżimów. Powinien otrzymywać informacje nie tylko o incydentach, ale także o trendach, sygnałach ostrzegawczych i obszarach napięcia. Powinien rozumieć, że ryzyko regulacyjne nie jest już wyłącznie ryzykiem sankcji za naruszenie przepisu, ale również ryzykiem niewłaściwego pogodzenia kilku racjonalnych oczekiwań publicznych. Nie można przy tym zapominać o roli audytu wewnętrznego. W tradycyjnym modelu audyt sprawdza, czy proces jest zgodny z przyjętą procedurą i czy kontrole działają. W środowisku sieci nadzorczej wartością audytu jest również zdolność spojrzenia przekrojowego. Czy organizacja nie tworzy silosów? Czy procesy przekrojowe mają rzeczywistych właścicieli? Czy informacje z reklamacji trafiają do właścicieli produktów? Czy wnioski z incydentów danych są widoczne dla zespołów AML i antyfraudowych? Czy decyzje de-riskingowe są analizowane także z perspektywy konsumenckiej? Czy outsourcing technologiczny jest oceniany nie tylko przez zakupy i IT, ale również przez ryzyko, dane, ciągłość działania i zgodność? Audyt może być jednym z miejsc, w których organizacja sprawdza, czy naprawdę widzi swoje przecięcia.

Instytucja finansowa nie powinna jednak traktować sieci nadzorczej wyłącznie jako obciążenia. Oczywiście wielość organów, oczekiwań i perspektyw zwiększa koszt zgodności. Może prowadzić do niepewności, formalizacji i ostrożności. Ale jednocześnie właściwe zarządzanie tą złożonością może stać się elementem przewagi organizacyjnej. Instytucja, która potrafi projektować procesy z uwzględnieniem wielu reżimów od początku, działa bezpieczniej, szybciej reaguje na zmiany i lepiej uzasadnia swoje decyzje wobec organów, klientów i sądów. Złożoność regulacyjna nie znika, ale może być zarządzana dojrzale albo chaotycznie.

Ostatecznie więc pytanie o sieć nadzorczą jest również pytaniem o dojrzałość instytucji finansowej. Czy organizacja widzi tylko pojedyncze obowiązki, czy rozumie procesy? Czy reaguje dopiero na kontrolę, czy sama identyfikuje napięcia? Czy zabezpiecza się przez nadmiar formalizmu, czy potrafi uzasadnić proporcjonalne decyzje? Czy raportuje ryzyka w silosach, czy umie zobaczyć ich wspólne źródło? Czy traktuje compliance jako koszt, czy jako zdolność do funkcjonowania w środowisku wielu racjonalności regulacyjnych? Współczesna instytucja finansowa nie może więc ograniczyć się do pytania, czego oczekuje od niej każdy organ z osobna. Musi pytać, jak te oczekiwania spotykają się w jej własnych procesach. To właśnie tam, a nie w abstrakcyjnym katalogu kompetencji, rozstrzyga się rzeczywista jakość zarządzania ryzykiem regulacyjnym. Sieć nadzorcza istnieje nie tylko na poziomie państwa. Istnieje także wewnątrz organizacji — w sposobie, w jaki instytucja potrafi połączyć AML, dane, konsumenta, bezpieczeństwo, technologię, stabilność, podatki, płatności i odpowiedzialność cywilną w jeden spójny model działania.

Kto widzi całość?

Pytanie postawione w tytule artykułu nie ma prostej odpowiedzi. Współczesnego rynku finansowego nie widzi w całości żaden pojedynczy organ. Nie widzi go w całości KNF, choć jej perspektywa jest najbliższa organizacji podmiotów nadzorowanych i sposobu prowadzenia działalności finansowej. Nie widzi go w całości UOKiK, choć dostrzega praktyki rynkowe, konkurencję i zbiorowe interesy konsumentów. Nie widzi go w całości GIIF, choć bez perspektywy AML nie da się dziś zrozumieć ryzyk przepływu pieniądza. Nie widzi go w całości UODO, choć sektor finansowy jest jednym z najważniejszych obszarów intensywnego przetwarzania danych. Nie widzą go w całości BFG, NBP, KSF, Rzecznik Finansowy, KAS, organy ścigania, sądy, Minister Finansów ani instytucje europejskie. Każdy z tych podmiotów widzi część prawdy o rynku finansowym. I każda z tych części jest istotna.

Problem zaczyna się wtedy, gdy część zaczyna być traktowana jak całość. Gdy perspektywa AML przestaje widzieć ochronę danych, prawa klienta i dostępność usług. Gdy ochrona danych przestaje widzieć bezpieczeństwo finansowe, przeciwdziałanie fraudom i obowiązki publicznoprawne instytucji. Gdy ochrona konsumenta przestaje widzieć ryzyko ekonomiczne produktu i naturę działalności finansowej. Gdy stabilność systemu przestaje widzieć indywidualny skutek dla klienta. Gdy innowacyjność technologiczna przestaje widzieć audytowalność, wyjaśnialność i kontrolę. Gdy sądowa ocena konkretnego stosunku prawnego zaczyna być przenoszona na cały sektor bez uwzględnienia funkcji regulacyjnych i systemowych. Wtedy sieć nadzorcza przestaje być mechanizmem lepszego rozpoznawania ryzyk, a zaczyna stawać się zbiorem równoległych presji. Nie oznacza to, że rozwiązaniem powinno być stworzenie jednego organu, który przejmie wszystkie funkcje. Taki pomysł byłby atrakcyjny tylko pozornie. Sektor finansowy jest zbyt złożony, aby jedna instytucja mogła jednocześnie i z równą kompetencją widzieć stabilność finansową, ochronę konsumenta, konkurencję, AML, dane osobowe, płatności, gwarantowanie depozytów, podatki, cyberbezpieczeństwo, resolution, spory prywatnoprawne, politykę regulacyjną i europejskie standardy nadzorcze. Próba zbudowania jednego centrum mogłaby doprowadzić nie do lepszego widzenia całości, lecz do utraty specjalistycznych perspektyw, które są potrzebne właśnie dlatego, że rynek finansowy pełni tak wiele funkcji. Odpowiedź nie polega więc na zastąpieniu sieci hierarchią. Polega na tym, aby sieć była świadoma samej siebie. Oznacza to potrzebę koordynacji, wspólnego języka ryzyka, proporcjonalności, wymiany doświadczeń i zdolności rozpoznawania skutków ubocznych własnych działań. Każdy organ powinien zachować własną perspektywę, ale żadna perspektywa nie powinna działać tak, jakby była jedyną. W sektorze finansowym stabilność, bezpieczeństwo, ochrona konsumenta, prywatność, AML, przeciwdziałanie fraudom, konkurencja, płatności, podatki i odpowiedzialność cywilna nie są odrębnymi światami. Są różnymi językami opisu tej samej rzeczywistości.

Dlatego szczególnego znaczenia nabiera pytanie nie tylko o kompetencje organów, ale o ich wzajemną świadomość. Czy organ formułujący oczekiwania wobec instytucji finansowych widzi, że ich wykonanie może zmienić praktykę w innym obszarze? Czy oczekiwania AML uwzględniają wpływ na prawa klienta, ochronę danych i dostępność usług? Czy oczekiwania prywatnościowe uwzględniają realia przeciwdziałania przestępczości finansowej? Czy ochrona konsumenta uwzględnia naturę ryzyka finansowego? Czy nadzór nad bezpieczeństwem i stabilnością widzi konsekwencje dla relacji z klientem? Czy orzecznictwo prywatnoprawne dostrzega skutki systemowe, jakie może wywoływać w regulowanym sektorze? Nie chodzi o to, aby każdy organ rezygnował z własnego mandatu. Chodzi o to, aby wykonywał go w świadomości, że jego decyzje i oczekiwania nie działają w próżni.

To samo dotyczy instytucji finansowych. Nie mogą one sprowadzać zarządzania regulacyjnego do obsługi kolejnych obowiązków wobec kolejnych organów. W takim modelu powstaje tabela wymogów, ale nie powstaje rozumienie procesu. Dojrzała instytucja finansowa musi wiedzieć, gdzie spotykają się jej obowiązki AML, ochrona danych, komunikacja z klientem, przeciwdziałanie fraudom, ryzyko operacyjne, outsourcing, cyberbezpieczeństwo, reklamacje, sprzedaż i odpowiedzialność cywilna. Musi umieć wskazać nie tylko właściciela pojedynczego obowiązku, ale również właściciela przecięcia między obowiązkami. Musi potrafić wyjaśnić, dlaczego określone rozwiązanie zostało przyjęte, jakie racje zostały zważone i dlaczego wybrany model działania był proporcjonalny.

W tym sensie sieć nadzorcza zmienia rozumienie compliance. Zgodność nie jest już wyłącznie stanem wykonania przepisu. Coraz częściej jest zdolnością organizacji do funkcjonowania w środowisku wielu racjonalnych, ale częściowo napiętych oczekiwań publicznych. Oczywiście instytucja finansowa nadal musi znać przepisy, mieć procedury, wykonywać obowiązki i odpowiadać na kontrole. Ale to za mało. Musi również umieć zarządzać sytuacjami, w których wykonanie jednego obowiązku tworzy ryzyko w innym obszarze. Musi umieć unikać jednostronności regulacyjnej, w której cały proces zostaje podporządkowany jednej logice: wyłącznie AML, wyłącznie ochronie danych, wyłącznie szybkości sprzedaży, wyłącznie ochronie konsumenta albo wyłącznie ograniczeniu ryzyka własnego.

Największym wyzwaniem najbliższych lat może być więc nie samo mnożenie regulacji, ale zarządzanie ich przecięciami. W tym miejscu powstają najtrudniejsze pytania praktyczne. Ile danych wolno zebrać, aby skutecznie znać klienta, ale nie naruszyć minimalizacji? Kiedy odmowa relacji jest uzasadnionym zarządzaniem ryzykiem, a kiedy staje się nieproporcjonalnym de-riskingiem? Jak daleko można automatyzować decyzje, aby zwiększyć bezpieczeństwo i efektywność, ale zachować wyjaśnialność i kontrolę? Jak chronić konsumenta przed nieuczciwym procesem, ale nie przekształcać instytucji finansowej w gwaranta rezultatu ekonomicznego? Jak zapewnić szybkość reakcji na fraud albo incydent, a jednocześnie zachować prawa klienta, dokumentację i możliwość późniejszej kontroli?

Na te pytania nie odpowie sama liczba organów. Nie odpowie też samo zwiększenie liczby procedur. Potrzebne jest dojrzalsze rozumienie nadzoru jako sieci, w której różne instytucje publiczne widzą różne ryzyka, ale żadne z tych ryzyk nie istnieje całkowicie osobno. Potrzebne jest również dojrzalsze rozumienie organizacji instytucji finansowej jako miejsca, w którym te ryzyka faktycznie się spotykają. Państwo może tworzyć regulacje i organy, ale to w procesach instytucji finansowych rozstrzyga się, jak różne oczekiwania zostaną pogodzone w praktyce. Dlatego pytanie „kto widzi całość rynku finansowego?” powinno pozostać pytaniem otwartym. Nie po to, aby wskazać brakujący organ, ale po to, aby przypominać o ograniczeniach każdej pojedynczej perspektywy. Całości nie widzi nikt samodzielnie. Całość może powstać dopiero z połączenia spojrzeń: nadzorczego, konsumenckiego, AML-owego, prywatnościowego, stabilnościowego, podatkowego, technologicznego, orzeczniczego i europejskiego. Ale samo połączenie nie nastąpi automatycznie. Wymaga świadomego wysiłku po stronie organów i instytucji finansowych.

Współczesny sektor finansowy jest zbyt ważny, aby pozostawić go bez silnego nadzoru. Jest jednak również zbyt złożony, aby nadzorować go tak, jakby jeden punkt widzenia wystarczał do opisania wszystkich ryzyk. Przyszłość nadzoru nie polega więc na poszukiwaniu jednego oka, które zobaczy wszystko. Polega na budowaniu sieci, która rozumie, że widzi tylko wtedy, gdy potrafi połączyć własne fragmenty obrazu. Jeżeli tego zabraknie, będziemy mieli coraz więcej organów, procedur, oczekiwań, raportów, stanowisk i kontroli, ale niekoniecznie lepsze rozumienie rynku. Jeżeli jednak sieć nadzorcza nauczy się widzieć przecięcia, może stać się nie źródłem chaosu, lecz warunkiem dojrzałego nadzorowania sektora finansowego. Bo w dzisiejszych finansach najważniejsze ryzyka rzadko mieszczą się w jednym przepisie, jednym organie i jednej procedurze. Najczęściej powstają pomiędzy nimi.