Finanssialaan kohdistuva regulaatio tarkoittaa alan yrityksille muutoksia, joilla on usein tiukka aikataulu ja laaja vaikutus. Tietojärjestelmiin kohdistuvat vaatimukset voivat ulottua useiden järjestelmien ja rajapintojen yli ja niiden toteutus vaatii tiivistä yhteistyötä liiketoiminnan, juridiikan ja IT:n välillä.

Regulaation on toteuduttava prosesseissa, tietojärjestelmissä, toimintatavoissa ja ihan kaikessa arjen tekemisessä. Sen lisäksi että juristit ymmärtävät tulevat muutokset, myös prosessien, palveluiden ja tietojärjestelmien omistajien, niiden kehittäjien ja niissä toimivien, eli oikeastaan ihan kaikkien organisaation työntekijöiden on ymmärrettävä, mitä regulaatio konkreettisesti tarkoittaa. Vaatimukset eivät ole valinnaisia. Jos regulaatio ei toteudu organisaation toiminnassa, valvovat viranomaiset, kuten Finanssivalvonta, voivat määrätä tarkastuksissaan jopa sanktioita.

Miten regulaatio vaikuttaa tietojärjestelmiin?

Regulaation vaatimukset tietojärjestelmille voidaan jakaa kahteen kategoriaan, kuten vaatimukset yleensä: toiminnallisiin ja ei-toiminnallisiin vaatimuksiin. Ei-toiminnallisia vaatimuksia ovat esimerkiksi maksuliikenteen vasteaikavaatimukset sekä GDPR:ään (General Data Protection Regulation) liittyvät tietosuoja- ja tiedonhallintavelvoitteet.

Toiminnalliset vaatimukset liittyvät erityisesti rahanpesun estämiseen (AML, Anti-Money Laundering), johon liittyy asiakkaan tunteminen (Know Your Customer, KYC) sekä näitä tukevien prosessien, kontrollien ja järjestelmien toteuttaminen.

Lisäksi sääntely kohdistaa vaatimuksia palvelu- ja tiedonhallintaan sekä dokumentaatioon, joista ajankohtaisena esimerkkinä toimii DORA-asetus (Digital Operational Resilience Act).

Finanssivalvonta valvoo myös tietojärjestelmätoteutusta. On mahdollista, että valvova viranomainen toteaa, ettei tietojärjestelmätoteutus vastaa regulaation vaatimusta, jolloin toteutus on korjattava. Korjaukset voivat vaatia uutta IT-investointia. Projektin myöhäisessä vaiheessa tai vasta käyttöönoton jälkeen huomatut puutteet ovat haastavia ja kalliita korjata. Ihannetilanteessa regulaation vaatimukset ymmärretään alusta alkaen tarpeeksi konkreettisella tasolla, vaatimukset määritellään ja dokumentoidaan, ja järjestelmätoteutus tehdään kerralla oikein.

Kuinka pysyä kärryillä jatkuvassa muutoksessa?

Regulaatio muuttuu jatkuvasti ja sitä syntyy koko ajan lisää. Kuinka organisaatiossa ihan ”tavan työntekijä” eli vaikkapa tietojärjestelmän kehittäjä tai vaatimusmäärittelijä, joilla ei ole juristin koulutusta voisivat pysyä kärryillä siitä, mitä uudet muutokset tarkoittavat? Sekä regulaatio- että IT-asioita syvällisesti ymmärtäviä yksisarvisia tuntuu olevan harvassa, eli tulkeista on pulaa.

Asiaa ei auta se, että regulaatio on kirjoitettu lakikielellä, kun taas IT-ihmisten käyttämä kieli on ihan oma lajinsa. IT-ammattilaisten suosimia kaavioita ei lakitekstissä juuri näe. Järjestelmien muutosten toteuttamiseksi vaatimukset on pystyttävä ilmaisemaan täsmällisesti, niin että toteuttava osapuoli ymmärtää ne ja pystyy toteuttamaan ne oikein. Jos regulaation vaatimukset jäävät epäselviksi ja päälle vielä lisätään tiukka aikaraja tietojärjestelmämuutosten toteutukselle, on ymmärrettävää, että virheitä syntyy helposti ja lain pykälä jää täyttämättä.

Tilanne on haastava erityisesti finanssialalla vasta aloittaville alanvaihtajille tai vaikkapa ulkoisille konsulteille ja toimittajille. Jos alalle tulee ulkopuolelta, sääntöviidakko voi tuntua aluksi todella monimutkaiselta ja vaikeaselkoiselta sotkulta.

Arkkitehtuurin työkalut käyttöön regulaation vaatimusten ymmärtämiseksi

Arkkitehtuurityössä piirrellään tyypillisesti monimutkaisia asioita selventäviä kuvia ja kaavioita. Vanha totuus: ”yksi kuva kertoo enemmän kuin tuhat sanaa” on totta sääntelyviidakonkin selvittelyssä.

Kuva auttaa saamaan eri osapuolet, esimerkiksi tietojärjestelmäprojektin osallistujat, liiketoiminnan ja juridiikan asiantuntijat nopeasti samalle kartalle. Kuvan piirtäminen auttaa pääsemään kohti järjestelmätoteutuksen vaatimaa täsmällistä ilmaisumuotoa.

Kuvan avulla voi visualisoida esimerkiksi sen, miten regulaatio ja tietojärjestelmät liittyvät toisiinsa, millaisia riippuvaisuuksia järjestelmien välillä on ja miten tietovirrat kulkevat järjestelmästä toiseen. Kuvat voivat olla monentyyppisiä: käsitemalleja, prosessikaavioita, tietovirtakaavioita, järjestelmäkarttoja tai kyvykkyyskarttoja tai näiden luovia yhdistelmiä.

Niitä voidaan piirtää monella tasolla: ihan alkuvaiheen ylätason kokonaisuuksien hahmottamisen tueksi tai yksityiskohtaisen vaatimusmäärittelyn tueksi. Hyvä kuva herättää keskustelua ja auttaa huomaamaan nopeasti sellaisia kohtia, joissa eri osapuolten ymmärrys poikkeaa toisistaan. Kuvasta on helppo osoittaa, jos jokin on ”väärin”. Kuvasta on helppo myös havaita, missä kohtaa yhteisessä ymmärryksessä on vielä katvealueita.

Esimerkkejä regulaatiosta piirretyistä kuvista

Tässä alla löytyy esimerkkejä meidän oman työn tueksi tehtyjä ylätason kuvia regulaatiosta. Ehkäpä näistä on apua muillekin – ainakin juuri hiljattain regulaatioviidakkoon saapuneille ja sinne eksyneille?

Alla olevassa kuvassa on koetettu jäsentää, missä finanssialueen regulaatio syntyy ja kuka sitä valvoo. EKP valvoo suoraan ns. merkittäviä luottolaitoksia osana yhtenäistä valvontamekanismia (Single Supervisory Mechanism, SSM).

Seuraava kuva avaa puolestaan ylätasolla sitä, mihin asioihin regulaatio ja valvonta kohdistuu. Ylätasolla jako voidaan tehdä neljään luokkaan:

1. Maksuliikenteen sääntely. Tavoitteena on suojata maksajia petoksilta ja väärinkäytöksiltä.

2. Sijoitustoiminnan sääntely: Tavoitteena on suojata sijoittajia ja varmistaa rahoitusmarkkinoiden luotettava, avoin ja reilu toiminta. Regulaatio määrittää pelisäännöt sekä sijoitustuotteille että markkinatoimijoiden menettelytavoille ja teknisille ratkaisuille.

3. Vakuutustoiminnan sääntely: Tavoitteena on varmistaa alan vakaus, luotettava toiminta ja asiakkaiden oikeuksien toteutuminen. Regulaatio ohjaa sekä taloudellista riskienhallintaa että yhtiöiden toimintatapoja arjessa.

4. Pankkitoiminnan sääntely: Tavoitteena on turvata rahoitusjärjestelmän vakaus ja luottamus sekä suojata sekä pankkeja että niiden asiakkaita.

Jokaisesta luokasta on esitetty esimerkinomaisesti konkreettisia käyttötapauksia, joihin sääntely kohdistuu. Käyttötapauksilla on suora yhteys tietojärjestelmiin.