Marinó G. Njálsson

Ég, eins og fleiri, hóf að líta um öxl á orsakir bankahrunsins í lok september og boðaði þá í færslunni Dagurinn sem öllu breytti, að ég myndi birta skoðun mína á 12 atriðum, sem ég tel mestu skipta.  Ég hef þegar birt tvær færslur, þ.e. Hrunið - hluti 1: Peningamálastjórnun Seðlabanka Íslands og íslenska flotkrónan og Hrunið 2: Einkavæðing bankanna en vil núna taka fyrir næsta atriði á listanum, þ.e.

• Meingallað regluverk fjármálakerfisins, þ.m.t. fyrirkomulag eftirlits með fjármálafyrirtækjum

Ég hef í mörg ár fylgst með regluverki í kringum fjármálageirann.  Þannig vill til að í starfi mínu, sem ráðgjafi, þá hef ég unnið fyrir fjölmörg fjármálafyrirtæki.  Ráðgjöf mín hefur snúist um að aðstoða fyrirtækin við að innleiða stjórnkerfi upplýsingaöryggis, öryggiskerfi persónuupplýsinga, stjórnun rekstrarsamfellu og bregðast við kröfum Fjármálaeftirlitsins um rekstur upplýsingakerfa eftirlitsskyldra aðila.  Margt hefur rekið á fjörur mínar og hef ég kynnst mörgum hliðum í starfsemi fjármálafyrirtækja.  Þó það sé ekki efni þessa pistils, þá er reynsla mín af flestum, sem ég vann með, að menn voru upp til hópa ákaflega viljugir til að gera hlutina rétt (a.m.k. á þeim tíma).

Mín reynsla var líka sú, að eftirliti með fyrirtækjunum var ábótavant og eins voru margar brotalamir í því regluverki sem mönnum var ætlað að fara eftir.  Þriðja atriðið var að mjög mörg fjármálafyrirtæki eru einfaldlega það lítil, að þau hafa ekki getu eða möguleika á að hlíta öllum reglum eins og best væri.

Ég þekki einstakar reglur misvel.  Það sem ég þekki best til eru að sjálfsögðu allt um upplýsingaöryggi og persónuvernd, en þessu tengjast atriði eins og ýmsir kaflar laga um fjármálafyrirtæki, innri endurskoðun, peningaþvætti og fleira í þeim dúr.  Í sumum tilfellum var ég að vinna með regluverk í fleiri en einu landi og kom þá berlega í ljós, að það vantar alla dýpt (ef svo má segja) í íslenska regluverkið.  Hér var/er meira byggt á rammareglum og fjármálafyrirtækjum látið eftir að fylla inn í rammann.  Þannig eru gefin út leiðbeinandi tilmæli um eitthvað efni upp á 2 til 4 blaðsíður sem eru það sem heitir á ensku "top level guidelines".  Þetta voru/eru skjöl sem stjórnarmenn gætu skilið, en ekki átt nokkurn möguleika að átta sig á hvernig ætti að útfæra, hvað þá innleiða.  Jafnvel sérfræðingarnir á gólfinu voru oft í vafa um hvernig best væri að nálgast lausnina og það sem verra var, starfsmenn FME höfðu, að því virtist, enga sérstaka skoðun á því heldur.  Besta dæmið sem ég þekki eru leiðbeinandi tilmæli nr. 1/2005 um rekstur upplýsingakerfa eftirlitsskyldra aðila.

Tilmælin komu út í drögum árið 2004.  Ég fékk drögin til yfirlestrar og  leyst ágætlega á þau sem drög, en taldi að það vantaði kjöt á beinið.  Hóf ég því rannsóknarvinnu til að skoða hvernig þessu væri háttað í örðum löndum.  Ég fann sambærilegar reglur í Noregi, Danmörku, Bretlandi, Lúxemborg, Belgíu, Þýskalandi og Frakklandi.  Danir voru með frekar fátæklegar reglur, en öll hin löndin voru með þokkalega skjalfest regluverk, þó það væri almennt orðað hjá þeim flestum.  Undantekningarnar voru Lúxemborg og Noregur.  Tekið skal fram að FSA Handbook í Bretlandi er nokkuð ítarlegt skjal, en oft vantaði að fara niðurfyrir yfirborðið.  Það var ekki málið í Lúxemborg og sérstaklega í Noregi.  Við samburð kom í ljós, að FME hafði gengið í smiðju Kredittilsynet í Noregi.  Drögin að tilmælunum voru unnin upp úr norsku reglunum, en Norðmenn áttuðu sig á einu sem FME virtist annað hvort ekki átta sig á eða lét gott heita, að reglurnar þurftu stuðning í nánari leiðbeiningum.  Og það er kannski munurinn á aðferðafræðinni í Noregi og hér.  Norsku reglunum fylgdu talsvert ítarlegar leiðbeiningar og það sem meira var, að þær voru miðaðar við ákveðna alþjóðlega aðferðafræði (CobiT) um stjórnun upplýsingatækni og þar með upplýsingaöryggi.  Ég tók þessar norsku reglur upp í mína vinnu og einnig CobiT.  En þegar á reyndi, þá veit ég ekki hvort það skipti nokkru máli hvað ég lagði mikla vinnu í að undirbúa ráðgjöf mína við fjármálafyrirtækin.  Eina eftirlitið sem flest þeirra fengu á þessu sviði var rafrænt spurningablað sem menn hefðu getað svarað hvernig sem er.

Eftirlit með fjármálafyrirtækjum var oft nokkuð sérstakt.  Í stórum dráttum byggði það á rafrænum skýrsluskilum og rafrænum spurningalistum.  Þetta má sjá með því að fara inn á vef FME.  Vissulega er þetta mjög góð aðferð til að kalla inn mikið af upplýsingum á stuttum tíma.  Starfsmenn fjármálafyrirtækja gátu unnið í ró og næði að skýrslum og sent þær inn án þess að hitta nokkru sinni starfsmenn FME.  Eftir einhverjar vikur eða mánuði brast síðan bréf, þar sem annað hvort var óskað eftir nánari upplýsingum, skýringum á tilteknu atriði eða sagt að samkvæmt skoðun FME á hinni rafrænni skýrslu, þá sæi FME ekki ástæðu til að aðhafast neitt frekar í málinu.  En eftirlit felst ekki í slíku. Svona aðferðafræði leyfir eftirlitsskyldum aðilum nánast að setja hvað sem er í skýrslurnar.  Hjá einu fyrirtæki (sem ég vann aldrei fyrir) var mér sagt, að starfsmaður hafi fengið spurningarlista frá FME til að svara og senda inn.  Viðkomandi hafði litla sem enga þekkingu á viðfangsefninu, en var þekktur fyrir að bjarga sér.  Hann fékk auk þess þær leiðbeiningar, að hefði hann einhverjar spurningar ætti hann bara að hringja í FME.  Sem hann gerði.  Vandamálið var að starfsmaður FME gat lítið leiðbeint eða taldi sig ekki mega það til að glata ekki hlutleysi sínu!  Listanum var því svarað eftir bestu getu en þó meira eins og starfsmaðurinn taldi að yrði til þess að fyrirtækið stæðist skoðun.  Svörin voru send inn rafrænt og nokkrum mánuðum síðar barst bréf, þar sem fyrirtækinu var tjáð að FME teldi allt vera í góðu lagi!

Þegar FME sendi út rafrænt spurningaform um mitt sérsvið, þ.e. tilmælin um rekstur upplýsingarkerfa hjá eftirlitsskyldum aðilum, þá datt mér ekki annað í hug en að FME myndi nota vettvangsskoðun til að sannreyna svörin.  Sendi ég því þáverandi aðstoðarforstjóra tölvupóst, þar sem ég bauð fram sérfræðiþekkingu mína, enda efaðist ég um að fámennt starfslið FME kæmist yfir að heimsækja alla.  Ég fékk svar tveimur mánuðum síðar um að þess gerðist ekki þörf, en um það er í sjálfu sér ekkert nema allt gott að segja. Fylgdist ég nú með hjá viðskiptavinum mínum hvort FME kíkti ekki í óvænta heimsókn til að grilla menn, en ekkert gerðist.  Kannski truflaði það að bankarnir hrundu nokkrum vikum síðar og allt komst í uppnám.  Truflunin var nú ekki meiri en sú, að áður en árið var á enda fóru menn að fá bréf um að engar athugasemdir væru gerðar.  Kannski var minni vinnu treyst svona vel, ég veit það ekki, en enginn þeirra aðila sem ég vann að ráðgjöf hjá fékk heimsókn.  Heldur ekki þeir aðilar aðrir sem ég hleraði um.  Ekki einu sinni þessi, sem svaraði meira til að svara en segja sannleikann.  Í ljós kom, að innihaldi svaranna var treyst í blindni.  Og ef menn viðurkenndu, að ekki var allt í lagi, þá fengu menn bara klapp á bakið og hvatningu um að halda vinnunni áfram.

Ég veit það fyrir víst, að mjög stór hluti eftirlitsskyldra aðila uppfyllti ekki tiltekinn atriði í hinum leiðbeinandi tilmælum.  Ég hélt líka að FME vissi það, en það virtist ekki skipta máli.

Ég hef ekki hugmynd um hvort þetta hafi verið hin almenna aðferðafræði hjá FME.  Þ.e. hvort rafræn skýrslu- og spurningaskil hafi verið látin duga.  Ég vona ekki.

En það var ekki öllu skilað rafrænt.  FME heimsótti marga eftirlitsskylda aðila, suma oftar en aðra.  Margar sögur hafa farið af slíkum heimsóknum og lýsti Elín Jónsdóttir, nýskipaður forstjóri Bankasýslu ríkisins, því í viðtali við Viðskiptablað Morgunblaðsins (að mig minnir) haustið 2008.  Hún lýsti því að í hvert sinn sem starfsmenn FME komu í heimsóknir til stóru fjármálafyrirtækjanna til að ræða einhver mál, sama hve einföld þau voru, þá var þeim mætt með hópi lögfræðinga sem virtust hafa það eina hlutverk að vefengja og mótmæla öllu sem kom frá FME.  Það virtist ekkert atriði vera það ómerkilegt, að því væri ekki mótmælt, áfrýjað eða vísað til dómstóla.

Loks má ekki gleyma einni taktík fjármálafyrirtækjanna í viðbót og hugsanlega starfsmanna FME.  Ef einhver starfsmaður FME sýndi óvenjulegt innsæi í starfsemi fjármálafyrirtækjanna, þá var hann einfaldlega keyptur yfir.  Það var auðvelt, þar sem FME gat ekki keppt við fjármálafyrirtækin í launum.  Kvað svo rammt að þessu, að ýmis töldu fljótlegustu leiðina til að komast í góða stöðu hjá bönkunum felast í því að ráða sig til FME.  Fólk vissi nefnilega sem svo, að ef það stóð sig þar, þá fékk það innan tíðar starfstilboð frá einhverjum af bönkunum.  Kvartaði Jónas Jónsson, þáverandi forstjóri FME, einhvern tímann yfir þessu í blaðaviðtali.  Hvort það var ásetningur hjá fjármálafyrirtækjunum að halda niðri þekkingu og reynslu hjá FME, þá varð það reyndin.

Hvort sem ástæðan var að starfsmönnum FME var mætt með ókleifan vegg af lögfræðingum, að rafræn skil voru látin duga eða örar mannabreytingar hjá FME, þá er niðurstaðan sú, að eftirlit með fjármálafyrirtækjum var ófullnægjandi. Kannski varð það til þess að allt fór hér í kaldakol, um það er ómögulegt að segja.  Ætli menn sér að sniðganga reglur, þá finna þeir leið til þess sama hversu gott eftirlitið er.