Automatyzacja procesów biznesowych, a bezpieczeństwo i zapobieganie oszustwom finansowym

Przybywa obowiązków regulacyjnych, rośnie ilość danych, ilość akcji do podjęcia. Jak przekuć ten trend w sukces: bezpieczeństwo i biznes już razem na zawsze, jeśli tak, to jak to zrobić? O tym w artykule rozmawiają: Marzena Janicka, dyrektor sprzedaży dla sektora finansowego w IMPAQ (Gfi), Dariusz Wojtas, Head of R&D w IMPAQ (Gfi), Tomasz Imbiorowski, dyrektor Departamentu Bezpieczeństwa w Banku Pocztowym.

W gąszczu nowych przepisów dla sektora bankowego, takich jak dyrektywa PSD2, PAD czy ogólne rozporządzenie o ochronie danych, szczególne znaczenie posiadają nowe regulacje odnośnie zwalczania prania pieniędzy. Jak zmieniła się sytuacja banków wskutek nowelizacji prawa w tym obszarze?

Marzena Janicka, dyrektor sprzedaży dla sektora finansowego w IMPAQ: Działamy na rynku już w mocy obowiązywania postanowień unijnej dyrektywy w sprawie zapobiegania wykorzystywania systemu finansowego do prania pieniędzy lub finansowania terroryzmu (tzw. IV dyrektywy AML) oraz powstałych w oparciu o ten akt prawny przepisów krajowych przewidujących szereg zmian istotnych z punktu widzenia funkcjonowania rynku finansowego. Jedną z istotniejszych nowości jest rozszerzenie definicji osoby na eksponowanym stanowisku (PEP), która obecnie obejmuje również krajowych funkcjonariuszy publicznych, takich jak parlamentarzyści, włodarze miast i gmin czy sędziowie. Oznacza to, że banki oraz inne obowiązane instytucje znacznie częściej będą musiały stosować specjalne środki oceny ryzyka, w rodzaju choćby weryfikacji źródeł przychodów osób na eksponowanych stanowiskach oraz podejmowania decyzji w sprawie sprzedaży produktów bankowych przez szczebel kierowniczy. Czwarta dyrektywa AML obliguje także banki oraz inne wskazane podmioty do przeprowadzania oceny ryzyka instytucji finansowej. Pierwsza taka procedura musi zostać zakończona do dnia 13 stycznia 2019 roku. Nie można liczyć na przedłużenie tego terminu, ponieważ na podstawie analiz dostarczonych przez przedsiębiorców Generalny Inspektor Informacji Finansowej będzie dokonywać już w pierwszej połowie przyszłego roku oceny ryzyka krajowego. Tu najszybciej możemy pomóc naszym klientom bankowym i pomóc przeprowadzić tzw. weryfikację wstępną, tj. zweryfikowanie pełnej bazy klientów danej instytucji.

Tomasz Imbiorowski, dyrektor Departamentu Bezpieczeństwa: w Banku Pocztowym: Jako praktyk w obszarze przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, zajmujący się tymi zagadnieniami od wielu lat, mogę dodać, że poprzednia duża zmiana ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu z 2009 r. wprowadzała istotne zmiany. Dotyczyły one roli instytucji obowiązanych w procesie AML, z instytucji pasywnych rejestrujące transakcje na instytucje aktywne opierające swoje relacje z klientem o ocenę ryzyka. Nowa ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, powstała na podstawie IV dyrektywy AML, nie jest rewolucją co ewolucją dotychczasowego podejścia. Mając za sobą fazę zasadniczą projektu dostosowania procesów Banku Pocztowego, którą miałem przyjemność kierować, mogę stwierdzić, że ilość istotnych zmian wprowadzanych nie jest aż tak duża jakby mogło się wydawać z objętości samej ustawy, ale kilka zmian jest na tyle obszernych i ich wpływ na procesy obsługi klienta jest na tyle istotny, że wdrożenie ustawy jest sporym wyzwaniem dla sektora bankowego, w szczególności mam tu na myśli zmiany dot. procesów obsługi klienta.

A jak Bank podchodzi do nowych regulacji?

Tomasz Imbiorowski, dyrektor Departamentu Bezpieczeństwa: Banki brały aktywny udział w procesie tworzenia nowej ustawy oraz w konsultacjach jej treści, stąd nie była ona zaskoczeniem, a procesy dostosowawcze zostały przeprowadzone moim zdaniem sprawnie. W Banku Pocztowym duże zmiany legislacyjne realizujemy w formie projektowej, koncentrując się na efektywnym i optymalnym kosztowo wdrożeniu nowych procesów czy zmianie istniejących. W tym roku wyzwaniem było i jest nadal realizacja kilku bardzo dużych zmian legislacyjnych w jednym czasie dot. obszaru bezpieczeństwa (AML, STIR, RODO, ustawa o systemie cyberbezpieczeństwa, PSDII), co wymaga sprawnej koordynacji zespołów produktowych oraz zespołów IT oraz odpowiedniego zaangażowania komórek merytorycznie odpowiedzianych za dany obszar.

W jakim stopniu obowiązki w zakresie przeciwdziałania praniu pieniędzy mogą przekładać się na kondycję instytucji bankowych?

Tomasz Imbiorowski, dyrektor Departamentu Bezpieczeństwa: Zmiany wynikające z przepisów IV dyrektywy i nowej ustawy dnia 1 marca 2018 r. są punktowe, lecz bardzo istotnie zmieniające procesy frontoffice’owe banku, jak również procesy komórek bezpieczeństwa. Procesy obsługi klienta musiały zostać rozbudowane o nowe elementy jak identyfikacja osoby na eksponowanym stanowisku (PEP) na rynku krajowym, czy też rejestracja transakcji okazjonalnej. Wprowadzono zmianę podejścia w identyfikacji beneficjentów rzeczywistych z liberalnej należytej staranności do obowiązkowego ustalenia osoby fizycznej jako beneficjenta rzeczywistego. Dodatkowo należy mieć na uwadze bardzo istotną zmianę elementów istniejących od 9 lat, dotyczącej rejestru transakcji, który teoretycznie został zlikwidowany nowymi przepisami. Do tego bardzo duża zmiana procesu przekazywania danych do GIIF, która nadal niestety nie jest do końca zidentyfikowana ze względu na brak konkretnego zdefiniowania zmiany tego procesu. Wszystkie te zmiany wprowadzone nowymi przepisami prawa zwiększają pracochłonność obsługi klienta i komórek analitycznych bezpieczeństwa oraz zwiększają koszty banków w procesach AML. Na podstawie doświadczeń z kilku miesięcy pod rządami nowej ustawy mogę stwierdzić, że czeka nas z pewnością proces doskonalenia nowych procesów, który w szczególności będzie koncentrował się na automatyzacji i usprawnianiu procesów identyfikacji PEP i beneficjentów rzeczywistych, aby były szybsze i mniej skomplikowane.

Zapytam przewrotnie, a co IMPAQ (GFI) robi w obliczu takich zmian na rynku?

Dariusz Wojtas, Head of R&D w IMPAQ: Najważniejsze – słuchamy naszych klientów! Bez ich doświadczeń, danych i realnych przypadków użycia nasz system byłby tylko makietą. To czy się sprawdzi u danego klienta zależy od wielu czynników, przede wszystkim od wspólnego zrozumienia potrzeb, wypracowania sposobu realizacji. Czasem wszystko idzie z marszu, czasem potrzebny jest Proof of Concept aby poczuć wynik dla wybranego scenariusza. Część compliance’owa naszych systemów zależy od regulacji, dlatego śledzimy zmiany prawne – a mając klientów w wielu krajach czasem widzimy różnice w implementacjach przepisów unijnych w różnych krajach, na które musimy być przygotowani. Wreszcie śledzimy rynek, a tu na znaczeniu nabiera centralizacja danych o podmiotach: dane z różnych źródeł (produkty, reklamacje, wnioski, własny fraud file, informacje o pracownikach, informacje ze źródeł internetowych, listy sankcyjne). Aktualność danych, szybkie wyszukiwanie powiązań i precyzyjne zarządzanie prawami dostępu do tych danych. Do tego API wystawione dla systemów klienckich. Przymierzamy się właśnie do budowy modułu analityki śledczej, który pozwoli na szybką wizualizację powiązań, wykrywanie rzeczy nieoczywistych, masową weryfikację hipotez, także w procesach automatycznych. Duże znaczenie posiada również wieloletnia praktyka z różnymi instytucjami działającymi na rynku, również spoza sektora bankowego. Współdziałamy na przykład z jednym z największych spedytorów morskich, który używa naszego systemu kdprevent do oceny ryzyka przesyłek przewożonych drogą morską, celem weryfikacji, czy może je przyjąć na pokład. Podobnie koncerny z branży chemicznej, które zgodnie z obowiązującymi regulacjami muszą oceniać ryzyko sprzedaży swoich produktów określonym podmiotom – w oparciu o najświeższe dane. Rośnie świadomość potrzeby weryfikacji swoich klientów i partnerów. IMPAQ (GFI) jest w stanie zapewnić dostęp do takich zasobów, jesteśmy partnerem renomowanych dostawców w tym zakresie, w tym Dow Jones i Thomson Reuters.

Rośnie ilość wymagań, mnożą się systemy, moduły, potrzebne są kolejne ręce do pracy. Recepta na to?

Marzena Janicka, dyrektor sprzedażydla sektora finansowego w IMPAQ: Ostatnio wiele się mówi i pisze o tym, że na rynku brakuje ludzi do pracy i tutaj nie dodamy niczego odkrywczego. To co się zmienia po stronie naszych klientów, to podejście i otwarcie na automatyzację. Z uwagi na rosnący wolumen spraw do obsłużenia, to jakie zdarzenia trafią do analizy manualnej analityka, a ile z nich uda się obsłużyć automatycznie – ma duże znaczenie. Mamy duże doświadczenie w automatyzacji procesów biznesowych, zarówno wprowadzając automatyzację decyzji biznesowych poprzez silnik decyzyjny, który niejako pracuje za nas na podstawie zadanych scenariuszy biznesowych. Również aktywnie pracujemy nad wprowadzeniem elementów analityki opartej na Machine Learningu (ML) oraz Robotic Process Automation (RPA) do naszej oferty, która pozwala na redukcję obsługi manualnej z gwarancją szybkiego wykonania zadań.

Tomasz Imbiorowski, dyrektor Departamentu Bezpieczeństwa: Mogę potwierdzić, że dostosowując Bank do nowych przepisów prawa, banki zwracają uwagę na jak największą automatyzację procesów i jak najmniejsze zaangażowanie pracowników w czynności manualne. Takie podejście zastosowaliśmy w tym roku przeprowadzając dostosowanie Banku Pocztowego do nowych regulacji jak omawiana powyżej ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz nowa ustawa o przeciwdziałaniu wykorzystaniu instytucji finansowych do wyłudzeń skarbowych (tzw. STIR).

Dariusz Wojtas, Head of R&D w IMPAQ: Gotowa recepta to nasz AntiFraud Hub, system do zapobiegania wyłudzeniom, który w tym roku został wyróżniony przez kapitułę konkursu Liderzy IT 2018. Jest świetnym przykładem dla automatyzacji procesów. Jego Silnik Decyzyjny oprócz online’owej analizy napływających wniosków kredytowych czy transakcji, może automatycznie oceniać dane z różnych źródeł, np. decyzje podejmowane w procesach bankowych, cykliczną ocenę ryzyka, podnosić alarmy kiedy określone wskaźniki przestaną mieścić się w normie. Dodam, że dokonuje tego w trybie błyskawicznym – a przy tym utrzymuje jakość weryfikacji na wysokim poziomie. Drugim kluczowym elementem jest bogaty workflow, w którym może przebiegać dalsza obróbka sprawy. Ta obsługa także może być zautomatyzowana dzięki wbudowanym mechanizmom do obsługi eskalacji czy integracji z innymi systemami. To kompleksowe rozwiązanie, które podczas wdrożenia dopasowuje się do istniejących już systemów klienta – a to jak wiadomo, zysk czasowy i kosztowy całego rozwiązania.

Artykuł upublikowany w IT@Bank, Listopad