Conformitatea în domeniul bancar, la răscruce? (opinie Paul Costea)

• De ce mandatul AMLA al EBA necesită o regândire și un cadru de risc îmbunătățit

Odată cu publicarea documentului de consultare pe tema mandatului AMLA (autoritatea europeană de combatere a spălării banilor și finanțării terorismului)  de către Autoritatea Bancară Europeană (EBA), la cererea expresă a Comisiei Europene, asistăm la un moment definitoriu în reconfigurarea supravegherii activităților de combatere a spălării banilor și finanțării terorismului în Uniunea Europeană. Impulsul politic din spatele acestei inițiative reflectă clar seriozitatea cu care se dorește tratată criminalitatea financiară la nivelul cel mai înalt al instituțiilor europene. Însă acest impuls introduce și o tensiune nedorită: cadrele de reglementare concepute într-un context politic pot deveni dificil de aplicat în practică, odată filtrate prin realitățile instituționale și operaționale ale domeniului bancar.

Deși intenția este clară – consolidarea coerenței, transparenței și convergenței între statele membre – propunerile de reglementare riscă să devină contraproductive atât pentru profesioniștii din conformitate care trebuie să le implementeze, cât și pentru instituțiile care trebuie să se conformeze.

Un zid de apărare construit pe fragmente diferite

Actuala abordare pare similară cu construcția unui zid defensiv format din segmente disparate, fiecare proiectat pentru a contracara o anumită amenințare, dar fără o gândire unitară asupra modului în care acestea se conectează și funcționează împreună. Un segment poate este rezistent la foc, altul la asaltul cu berbecele, iar altul la escaladare, însă între segmente rămân fisuri, tocmai acolo unde atacurile reale vor pătrunde. Iar dacă se limitează la a verifica strict conformitatea construcției cu planurile sau certificările obligatorii de rezistență ale fiecărui segment, fără monitorizarea continuă a ceea ce pătrunde prin breșe, domeniul bancar se va afla într-o situație de siguranță iluzorie.

La prima vedere, propunerile par simple ajustări tehnice ale coordonării supravegherii. Dar în detaliu, ele impun evaluări periodice, detaliate, ale riscurilor de spălare de bani și finanțare a terorismului, folosind tipologii statice, praguri fixe și analize retrospective.

Potențialul rezultat? Cel mai probabil echipele de conformitate vor fi blocate în autoevaluări consumatoare de timp, încărcate de spreadsheet-uri complexe și argumente circulare despre eficiența controalelor. Li se cere practic imposibilul: să reflecte cu acuratețe un peisaj de amenințări în continuă schimbare, folosind instrumente calitative învechite.

Poate mai grav de atât, propunerile leagă nivelurile de risc raportate de mecanisme sancționatorii, expunând instituții și persoane la penalizări nu pentru erori reale, ci pentru incapacitatea de a explica implementarea unor metodologii opace într-un cadru deficitar.

Ce lipsește? Capacitatea de a contabiliza expunerile la risc

Una dintre slăbiciunile structurale fundamentale ale cadrului propus este modul în care tratează riscul inerent și cel rezidual. În acest model, riscul inerent este considerat o caracteristică fixă a unor sectoare, geografii sau tipuri de clienți, externă instituției, în timp ce riscul rezidual este redus la o estimare calitativă bazată pe prezența și eficacitatea estimată a elementelor de control.

Această dihotomie statică ignoră practic realitatea: expunerea la risc este fluidă, fiind modelată în mod continuu de comportamente tranzacționale și de vectori de amenințare în permanentă schimbare, transpuse în tranzacțiile acceptate de către instituțiile financiare.

Aici intervine contabilitatea riscurilor – un cadru emergent care oferă o alternativă fundamental mai solidă. În loc să se bazeze pe scoruri calitative și rapoarte retrospective, contabilizarea riscurilor permite cuantificarea riscului acceptat de instituții, atât cel inerent, cât și cel rezidual, în mod continuu, la nivelul real de manifestare: tranzacția în sine.

Fiecărei tranzacții i se poate aloca un scor standardizat de Unitate de Risc (Risk Unit – RU) pentru cuantificarea riscului său inerent, ajustat dinamic cu un Indice de Atenuare a Riscului (Risk Mitigation Index – RMI) în funcție de eficiența reală a controalelor aplicate, pentru a obține valoarea Riscului Rezidual (tot in RU) – dimensiunea efectivă a pierderii potențiale. Aceste unități de risc se acumulează de-a lungul proceselor operaționale, formând un profil de risc în timp real, cu relevanță imediată pentru deciziile de conformitate.

Astfel, în loc să trimită un nou raport static și retrospectiv, la finalul fiecărei perioade de raportare, instituțiile ar putea oferi atât autorităților de supraveghere și guvernamentale, cât și propriilor structuri de guvernanță și management, tablouri de bord interactive, bazate pe date auditabile și actualizate zilnic, care permit adoptarea pro-activă de acțiuni corective.

Viitor sumbru pentru profesioniștii în conformitate

Fără o astfel de schimbare, povara pentru ofițerii de conformitate nu va face decât să crească artificial: mai multe raportări, audituri mai multe și mai dure, risc semnificativ mai mare de sancționare, fără ca nimic din toate acestea să garanteze rezultate mai bune în combaterea spălării de bani. Paradoxal, cu cât instituțiile investesc mai mult în a respecta forma cerințelor, cu atât le rămâne mai puțin timp să combată fondul amenințărilor reale.

Un studiu, recent publicat de McKinsey, scoate în evidență cum creșterea dramatică a costurilor cu conformitatea și managementul riscului, introduse prin norme și reglementări tot mai complexe, a dus la o scumpire a produselor bancare, în detrimentul clienților, cu 8% pe an, din 2012 până în 2023. Pornind de la această constatare, autorii sugerează simplificarea semnificativă a acestor activități, împovărătoare deopotrivă pentru instituțiile financiare și clienții acestora.

Contabilitatea riscurilor poate contribui la această simplificare. Nu doar că va eficientiza conformitatea – îi va oferi sens. În loc să funcționeze într-un regim punitiv și retrospectiv, unde profesioniștii sunt trași la răspundere pentru că nu pot explica scoruri obscure sau nu respectă liste rigide, contabilitatea riscurilor oferă un cadru care poate recompensa comportamentele pro-active, transparente și bazate pe date reale.

Este o tranziție de la un model centrat pe folosirea “nuielei” la unul care oferă și un “morcov” credibil: instituțiile care implementează controale eficiente, care demonstrează atenuarea riscului prin metrici dinamici și care răspund în timp real la amenințări, își pot reduce vizibil expunerea reziduală. Aceasta ar putea fi corelată cu mai puține intervenții din partea supraveghetorilor, mai puține controale formale și o mai mare încredere din partea tuturor părților interesate.

Pentru specialiștii în conformitate, înseamnă acces la instrumente care demonstrează valoarea muncii lor, nu doar în fața autorităților, ci și în fața propriului management, ca veritabili catalizatori ai rezilienței organizaționale.

Ca un beneficiu suplimentar, la rândul lor, autoritățile de reglementare își vor reduce din încărcare, având capacitatea de a compara direct și aproape în timp real nivelul de conformitate al instituțiilor din piață și a interveni proporțional numai în situațiile de excepție.

Este momentul pentru o nouă abordare

Consultarea publică AMLA vine într-un moment de cotitură. Factorii de decizie pot insista pe raportări periodice, matrice de scoruri vagi și justificări post-factum – sau pot adopta un model modern, bazat pe date și adaptat realităților operaționale din instituțiile financiare.

Mai mult decât atât, având în vedere interesul politic deosebit pe care îl arată Comisia Europeană, o astfel de abordare poate avea inclusiv beneficii pentru autoritățile guvernamentale – beneficii pe care le-am expus mai demult în acest articol.

Contabilitatea riscurilor este mai mult decât o modalitate superioară de a raporta expunerea la riscurile de spălare de bani și finanțare a terorismului. Este o abordare mai bună de a le înțelege, gestiona și reduce împreună cu toate celelalte riscuri, mai ales cele non-financiare. Pentru echipele de conformitate, autorități de reglementare și legiuitori, o astfel de alegere este mai mult decât tehnică, este strategică și urgentă.

Este echivalentă cu construirea unui zid de apărare uniform, adaptabil oricărei situații, a cărui performanță se va măsura și ajusta dinamic, pe baza tranzacțiilor ce l-ar putea penetra, ci nu strict prin măsurarea conformității acestuia cu specificațiile de construcție.

Dacă Europa vrea să conducă lupta globală împotriva criminalității financiare, trebuie să înceapă prin modernizarea instrumentelor prin care aceasta este înțeleasă. Iar contabilizarea riscurilor acceptate în domeniul bancar reprezintă un astfel de instrument.

Notă: Paul Costea este implicat în cercetarea utilității și aplicabilității unei noi metode de cuantificare a expunerii la risc (risk accounting) în domeniul serviciilor financiare.