حرکت به روی ریل؛ راهکاری برای حصول اطمینان از انطباق عملیات بانکی با طرح‌ها و قوانین

کاوه رعدی؛ مدیر بازاریابی و فروش گروه فناوری پرند / تفاوت این سه وسیله نقلیه در چیست؟ قطار، اتومبیل و هلیکوپتر؟ هلیکوپتر یک پرنده آزاد است با کمترین محدودیت منطقی تردد، اتومبیل یک وسیله نسبتاً آزاد است منطقا باید در جاده‌ها تردد کند اما گاها می‌تواند به خاکی هم بزند اما قطار یک وسیله نقلیه است که همواره در مسیری که از پیش برایش تعریف شده است حرکت می‌کند و به همین دلیل به مقصدی می‌رسد که باید برسد، به مقصدی می‌رسد که برایش برنامه ریزی شده است. به همین دلیل هم با وجود ظهور وسایل نقلیه جدید و به مراتب پیشرفته‌تر هنوز هم قابل اتکاترین وسیله حمل‌ونقل است.

اما ارتباط این موضوع با صنعت بانکداری و پرداخت چیست؟

واقعیت این است که بانک‌ها با توجه به تاثیری که بر اقتصاد کلان یک کشور دارند نه می‌توانند و نباید بتوانند مانند هیلکوپتر باشند، بیراهه‌هایی مانند پولشویی و تقلب‌های مالی به ایشان اجازه نمی‌دهد حتی مانند اتومبیل باشد. بانک‌ها باید مانند قطار باشند؛ همواره در مسیر درست، طبق برنامه، بر اساس قانون، منظم و قابل اتکا. مطمئن باشید اگر غیر از این امکان‌پذیر بود در فضای داغ، جذاب و رنگارنگ استارت‌آپی فین‌تک‌ها، رگ‌تک (Reg Tech) به عنوان یکی از ارکان غیرقابل چشم‌پوشی فناوری‌های جدید مالی ظهور نمی‌کرد در اصل این حوزه بدون قانون‌گذاری (چیدن ریل‌ها) امکان‌پذیر نیست.

آرزوی هر مقام بالا دستی، فرقی نمی‌کند رگولاتور باشد یا مدیر ارشد یک سازمان بزرگ و یا حتی سرپرست یک واحد اداری کوچک این است زیرمجموعه‌اش آن‌طور که امور طراحی شده‌اند کارها را پیش ببرند؛ این طراحی امور می‌تواند یک برنامه زمان‌بندی باشد، یک روال نظام‌مند باشد یا حتی یک آیین‌نامه بالادستی برای مثال مبارزه با پولشویی. آیا هرگز می‌توان به این آرزو رنگ حقیقت بخشید؟

ظهور رگ‌تک‌ها یا فناوری‌های قانون‌گذاری نوید این مهم را می‌دهند. به عنوان یک مصداق از این فناوری‌های می‌توان به سامانه‌های GRC اشاره کرده، مفهوم GRC که مخفف عبارات Governance (حاکمیت)، Risk Management (مدیریت ریسک) و Compliance (اجابت قوانین و مقررات) حدود 10 سال است که در سازمان‌های بزرگ (سطح Enterprise) که کسب‌وکارشان وابستگی بسیار آیین‌نامه‌های داخلی، الزامات رگولاتور، مفاهیم مدیریت ریسک و حاکمیت دارد، ظهور کرده است.

این سازمان‌ها در ابعاد وسیعی فعالیت می‌کنند لذا نظارت و بازرسی جهت انطباق عمل با دستورالعمل، برایشان منجر به هزینه‌های وسیع عملیاتی گشته و در نهایت نیز همواره مواردی یافت می‌شوند که دستورالعمل‌ها را نقض کرده و کسب‌وکار را با ریسک مواجه کرده‌اند.

بدیهی است صنعت بانکداری و پرداخت از دسته صنایعی است که در آن مقوله‌های مدیریت ریسک، حاکمیت و اجابت قانون و مقررات از اهمیت ویژه‌ای برخوردار است. ریسک‌های عملیاتی، دارایی، نقدینگی، ارزی، بازار و… بازیگران این صنعت را وادار به اتخاذ رویکرد پیش‌اندیش به مسائل و سناریوها با احتمال وقوع مختلف می‌کند. کامپلاینس‌ها نیز در این صنعت دارای ابعاد مختلفی هستند، رگولاتور الزامات و آیین‌نامه‌های خاص کسب‌وکار را به این صنعت ابلاغ می‌کند و برخی کامپلاینس‌های فنی مانند PCI، امنیتی مانند ISMS، فرایندی مانند ISO ها و… بر کسب‌وکار بانک‌ها و شرکت‌های پرداخت تأثیر گذاشته و همه و همه چارچوب‌هایی ایجاد می‌کنند که از یک طرف لازم‌الاجرا هستند و از طرف دیگر محدودیت‌های ذاتی نیز با خود به همراه دارند. در خصوص نقض حاکمیت نیز با توجه به ساختارهای پیشین و روال‌های مرسوم از جمله رقابت شعب در این صنعت شاهد مواردی از نقض حاکمیت هستیم. با همه این تفاسیر، سامانه‌های GRC چه کمکی به بانک‌ها می‌کنند؟

در حد اعلای استقرار، یک سامانه GRC عملاً مانند ریل برای کسب‌وکار خواهد بود. به بیان دیگر ارکان بانک را مانند یک قطار مطیع حاکمیت شرکتی، آن را از ریسک‌ها در امان داشته و یا واکنش نسبت به وقوع ریسک‌ها را مدیریت می‌کند و در نهایت تمامی ارکان بانک را ملزم به اجابتا قوانین و مقررات (از آئین‌نامه‌های داخلی تا بخشنامه‌های رگولاتور) می‌کند.

حاکمیت شرکتی یا Governance رویکردی را توصیف می‌کند که بر اساس آن مدیریت به‌صورت مستقیم از طریق اطلاعات مدیریتی و ساختارهای سلسله مراتبی زیرمجموعه خود را کنترل می‌کند. مکانیزم‌های حاکمیت شرکتی به مدیریت اطمینان می‌دهند که اطلاعات صحیح با روایی و پایایی لازم برای تصمیم‌گیری را در زمانی که به آن‌ها نیاز دارند، در اختیار خواهند داشت و از این طریق می‌توانند کنترل دقیق بر روی اجرای استراتژی‌ها و طرح‌ها داشته و از انطباق برنامه و اجرا مطمئن شوند و در صورت انحراف بتوانند فراخور موقعیت تدابیر اصلاحی را بکار گیرند.

مدیریت ریسک یا Risk Management مجموعه‌ای از فرایندها را شامل می‌شود تا مدیریت بانک بتواند مخاطراتی که دستیابی به اهداف کسب‌وکار بانک را با مشکل مواجه می‌کنند شناسایی، تحلیل و درصورت نیاز واکنش مناسبی به آن‌ها داشته باشد. این واکنش‌ها نیز معمولاً به عواملی مانند تاثیرات مخرب ریسک بستگی دارد و طیفی از نظارت بر عوامل تا مدیریت بحران و احیاء سازمان پس از بحران را شامل می‌گردد. این ریسک‌ها در بسیاری از موارد مربوط به عوامل خارج از سازمان بانک می‌باشند، مانند روندهای فناوری، تامین‌کنندگان، رقبا و حتی الزامات جدید رگولاتور.

اجابت قوانین و مقررات یا Compliance به مدیریت انطباق فرایندها، روال‌ها و محصولات و خدمات بانک با قوانین و مقررات (از جانب رگولاتور، واحدهای بازرسی و حسابرسی، هیات مدیره و مدیریت ارشد) متمرکز است و البته به این موارد نیز محدود نمی‌شود برای مثال یک سازمان ممکن است رویکردش نسبت به قرارداد با مشتریان بر اساس Compliance باشد. به بیان دیگر تمامی امکانات خود را جهت تحقق تعهداتش به کار گیرد و به توافقات خود با مشتری به مانند یک قانون لازم‌الاجرا بنگرد.

در حال حاضر تمامی این مفاهیم در بانک‌ها و شرکت‌های پرداخت جاری هستند اما دلیل عدم تحقق غایی آن‌ها رویکرد منفک و جزیره‌ای به آن‌ها است. ابزارهای GRC به بانک کمک می‌کنند که این سه حوزه را به‌صورت یکپارچه پیش ببرد به بیان ساده با دریافت یک قانون جدید از رگولاتور ریسک‌های آن را با توجه به تغییری بر وی تحمیل می‌کند مدیریت کرده و بر حسن اجابت آن مدیریت (حاکمیت) دقیقی داشته باشد.

این مهم محقق نمی‌گردد مگر اینکه GRC مانند رگ‌ها در کل پیکره بانک یا سایر فعالان حوزه پرداخت گسترش یافته باشد. به بیان دیگر باید تمامی مسیرها را ریل‌گذاری کنید تا قطار بر روی آن حرکت کند، دقیقاً آنطور که حاکمیت بانک خواسته است، آنطور که قوانین رگولاتور ایجاب می‌کند و آنطور که ریسک‌ها به حداقل رسیده و قابل مدیریت کردن باشند. در مقالات بعدی تلاش خواهیم کرد تجارب موفق استقرار GRC را با شما در میان بگذاریم.