František Zeman: Banky přišly regulace již na miliardy korun
Finanční instituce musely již kvůli regulacím investovat miliardy korun. „Vyhovět regulacím jako GDPR či MiFID je někdy procesně a technologicky náročnější. Některé proto raději vyčkávají, až je regulátor praští přes prsty. My umíme, ale pomoci každé instituci na kterou se regulace vztahuje,“ říká František Zeman, generální ředitel společnosti Algotech, která dodává technologie nejenom finančním institucím.
Čím se vaše společnost zabývá?
Jsme technologická firma, která patří do segmentu takzvaných integrátorů. Naším úkolem bývají specifické případy spojování nejrůznějších vnitřních i zakoupených systémů firem, které spolu mají fungovat dohromady. Zajišťujeme také například technologie pro finanční instituce, aby mohly dostát regulacím. Našimi klienty jsou například Komerční banka, Moneta Money Bank, AXA, Unicredit, Aegon a zprostředkovaně i Česká spořitelna či ČSOB.
Jak se tedy například banky vyrovnávají s požadavky regulací?
Regulace jsou pro instituce mandatorní, musí proto plnit jejich požadavky. Každá instituce si je vykládá úplně jinak, a to i například přes spolupráci s regulátorem. Teprve delší praxe ukáže, co je vlastně správně.
Jsou dva přístupy. Jeden je hyperkorektní, kdy banky a ostatní finanční instituce uplatňují veškeré požadavky v praxi až s přebujelou fantazií, za obrovských nákladů a v některých případech i za zbytečného obtěžování klientů. A druhý je takový typicky český přístup: nebudu dělat nic a uvidím, co se stane. My pomáháme oběma typům institucí. Jsou to dva úplně odlišné světy, ale nemohu říct, co je špatně a co je dobře.
REKLAMA
Základní regulací je MiFID. Jakým způsobem finančním institucím u této regulace pomáháte?
MiFID I byla o informování spotřebitelů, riziko investování apod. Šlo tedy spíše o papírování a získávání souhlasu. MiFID II ale přinesla i technologickou podporu jako například nahrávání či skladování hovorů. My se zabýváme především hlasovými technologiemi.
Prodejce investičních produktů má dnes povinnost všechno nahrávat. Například v Komerční bance má zaměstnanec na pobočce ze své pracovní náplně možnost nabídnout klientům investiční produkt. Ve chvíli, kdy to udělá, musí být hovor zaznamenán, a to i když se uskuteční z jeho mobilu.
To znamená, že je potřeba technologicky vyřešit, aby všichni tito lidé byli nahráváni, když to regulace vyžaduje. Pokud zaměstnanec hovor uskuteční ze soukromého mobilu, pak je banka sice vyviněna, přesto musí v rámci procesů zajistit, aby to dotyčný věděl.
Banka musí navíc technologicky zajistit, aby všechna zařízení byla nejenom nahrávána, ale aby bylo možné v nahrávkách vyhledávat. Regulátor si může například vyžádat nahrávku konkrétního hovoru, ale nemusí znát přesné datum.
Velké banky se snaží každá svým způsobem těmto regulacím vyhovět. Jedna banka například rozhodla, že její poradci na pobočkách nebudou nabízet investiční produkty, tudíž nebudou nahráváni. Na druhé straně jsou přeprodejci bankovních služeb, kteří ve většině případů hovory nenahrávají a čekají, až je regulátor postihne.
Některé společnosti zase nutí své prodejce, aby na své mobily nainstalovali nahrávací zařízení. Jak ale zkontrolují, zda to prodejce opravdu udělal, zda nahrává všechny hovory a jak za několik let konkrétní nahrávku najdete? Telefon může prodejce navíc ztratit, nebo odejde ke konkurenci. Tyto společnosti, které spadají pod regulace v oblasti MiFIDu, mají rozhodně prostor pro zlepšení.
REKLAMA
V současné době ale nejvíce rezonuje regulace GDPR…
Evropská komise sice publikovala normu, ale provádějící postupy neexistují. Každý si pak implementaci vykládá různým způsobem. V České republice vznikl úřad, který je vybavený velkým množstvím lidí na provádění kontrol, má možná více lidí než finanční úřad. Jako první se dle mého názoru dočkají kontrol například zprostředkovatelé, mobilní operátoři či dodavatelé energií.
Proč zrovna tyto společnosti?
Protože mají velké množství nejcitlivějších údajů – znají příjmy, hypotéky, pojištění atd. A navíc se k těmto informacím nejhůře chovají. Banky přijdou na řadu až později, protože mají většinou regulace zvládnuté.
GDPR má tři vrstvy. První vrstva je procesní – musíte zajistit, aby vaši zaměstnanci s daty nakládali správně a nezneužívali je. Druhá vrstva je aplikační. Aplikace by měla například být schopná odhalit export dat a zaslat tuto informaci poučené osobě. Pokud někdo v instituci například vyexportuje 500 kontaktů – tak je to buď dobře, protože to potřebuje ke své práci, nebo je to špatně a musí se to řešit. Třetí vrstva je pak infrastrukturní, tedy veškerá informatická bezpečnost. My se zabýváme převážně infrastrukturní a aplikační vrstvou. Naše vlastní cloudové centrum je v souladu s infrastrukturními požadavky na GDPR.
V bankách byl přístup k bankovním údajům vždycky hodně hlídaný. Jak to ale vypadá například u zprostředkovatelských společností?
Nechci nikomu sahat do svědomí, ale u mnoha společností tohoto typu jsem viděl významné prostory ke zlepšení. Nároky předpisu jsou takové, že některé společnosti nemají několik procent ze svého obratu, které by mohly investovat, aby normě vyhověly. Ale alespoň něco udělat jde a tím se vyvarovat velkých následků.
Většina velkých zprostředkovatelských společností ale své systémy upgradovala. CRM nástroje základních velkých výrobců GDPR funkcionalitu obsahují od té doby, kdy tato regulace spatřila světlo světa. Například u našeho Sugar CRM stačilo původní verzi upgradovat (jako například ve Fincentru). Ti, kteří si koupili velké řešení TOP 10 poskytovatelů, tak s GDPR nemají problém, protože technologie, které mají, jim umožňují být v souladu s GDPR.
Takže upgrade systému stačí, aby společnost splňovala požadavky GDPR?
Mít aktuální technologie ještě neznamená, že opravdu společnost splňuje požadavky GDPR. To jsou dvě odlišné věci. Pokud nemáte správně nastavené procesy, tak vám jsou všechny technologie k ničemu. Mohou být například špatně nastavená práva.
Příkladem může být recepční, která bude mít přístup do kompletní databáze firmy včetně všech jejich produktů, které zprostředkovatel kdy prodal. Společnost sice má systém připraven na GDPR, ale špatně nastavený a tím pádem není v souladu s GDPR.
Problém je ten, že můžete nastavit systém a procesy, ale ve chvíli, kdy lidé procesy nedodržují, nejste v souladu s požadavky GDPR. Musíte mít proto také nastavený kontrolní mechanismus.
Všechny regulace jsou o tom, aby se zamezilo chybám. V letectví je 96 procent nehod zaviněných člověkem, chyby technologií jsou zanedbatelné. Lidský faktor hraje největší roli i u regulací.
Takže vy pomáháte s technologií, ale procesy si musí nastavit každá společnost sama?
Dokážeme pomoci i s procesy a poskytujeme i službu tzv. Data Protection Officer – DPO. Je to nezávidění hodná role. Jejím hlavním úkolem je hledat díry v organizaci a čas od času udělat i penetrační test. Zájem o tuto službu byl takový, že jsme dokonce založili zvláštní oddělení a pomáháme i v této oblasti.
Kolik české finanční instituce za regulace GDPD a MiFID utratily?
Každá sebemenší změna v bance, je obrovský zásah do provozu banky (technicky, lidsky, procesně – změny smluvních dokumentací, vyškolení personálu, změny IT systémů atd.) a stojí stovky milionů korun. Odhaduji tedy, že musely investovat nižší možná i vyšší miliardy korun. Na druhou stranu si myslím, že to nejsou investice beze smyslu. Spotřebitele je potřeba chránit a v době, kdy je na světě velká řádka různých obchodních a investičních nabídek, se méně informovanému člověku hůře orientuje.
Vy se proti regulacím stavíte, i když z nich žijete?
Václav Klaus tvrdil, že všechno vyřeší neviditelná volná ruka trhu. Regulacemi tu ruku zkracujeme. Pravda je jako ve všem vždy někde uprostřed. Jsem přesvědčen, že extrémismus jako takový nefunguje v žádné oblasti lidského počínání.
Děkuji za rozhovor.
