Færslan var fyrst birt á Moggabloggi höfundar 15.2.2009.
Á ýmsu átti ég von en því að hið veika íslenska fjármálaeftirlit hafi verið margfalt betur mannað hlutfallslega en hið stóra öfluga Financial Services Authority (FSA) í Bretlandi. Ég hef alltaf staðið í þeirri trú að FSA væri fyrirmynd annarra fjármálaeftirlita, en svo kemur kaldur sannleikurinn í ljós. Það var engan veginn í stakk búið til að sinna starfi sínu. Það sem meira er, að mjög líklegt er að fjármálafyrirtæki hafi leitað í jafnríku mæli til London með starfsemi sína, vegna þess að þau fundu út að þar var veikt eftirlit. Ég hafði svo sem oft skoðað útgáfur FSA og stundum fundist þær rýrar, t.d. er FSA handbook oft bara beinagrind, en taldi bara að bakvið lægju skjöl sem ég hefði ekki aðgang að. Nú veit er að svo er ekki. Kröfurnar eru slappar, svo einfalt er það.
Annars eru menn brjálaðir í Bretlandi yfir kostnaðinum sem fór í FSA og árangrinum af starfsemi þess. Hér á landi gráta menn bara árangursleysið. Ég held að vandi liggi í því að fyrirtækin sjálf eru vísvitandi eða af gáleysi að leggja of litla áherslu á sitt innra eftirlit. Hvernig stendur á því að kannski í kringum 10 manns eiga að sjá um stjórnun upplýsingaöryggis, regluvörslu og innri endurskoðun fyrir 1.500 - 2.000 manna banka? (Miðað við starfsemi hér á landi.) Í þessu felst bullið, þar sem fyrirtækin eiga ekki að rembast við að uppfylla öryggiskröfur vegna þess að FME eða FSA gætu bankað upp á. Þau eiga að gera það, vegna þess að það er gott fyrir afkomu fyrirtækisins.
Við erum búin að læra, að það eykur öryggi okkar umtalsvert, ef við lendum í bílslysi, að hafa bílbeltin spennt. Rannsóknir hafa leitt í ljós að það eru meiri líkur á að sleppa ómeiddur eða lítið slasaður úr 99% bílslysa, ef beltin hafa verið spennt. Samt er alltaf einhverjir sem spenna ekki beltin. Þeir taka frekar sjensinn á því að verða ekki gripnir af lögreglu og að sleppa við slys.
Bankarnir gerðu þetta og það sem meira er, þeir halda ennþá uppteknum hætti. Þeir valsa um hagkerfið án þess að vera með beltin spennt. Samt eru þeir nýbúnir að lenda í mjög alvarlegu slysi sem kostaði miklar fórnir. Ekki bara fyrir þá, heldur hagkerfið í heild. Það er því grafalvarlegur hlutur, að þeir hafi ekki fjölgað í þessum grunneftirlitsstörfum sínum. Allir stóru bankarnir eiga að vera með mun fleiri í upplýsingaöryggismálum, regluvörslu og innri endurskoðun, en þeir höfðu fyrir hrunið. Ein ástæða stendur það upp úr. Nú eru meira og minna allir starfsmenn bankanna í þeirri óþægilegu stöðu að hafa lækkað í launum, tapað fjármunum, eru með himinháar húsnæðisskuldir eða að einhver nákominn þeim er í þessari stöðu. Það er því nauðsynlegt að herða allt eftirlit með starfsmönnunum, þar sem líkurnar á því að þeir fremji auðgunarbrot hafa margfaldast frá því áður.
Ef stjórnvöld geta lært eitthvað af þessum glannaakstri bankanna, þá er það að draga úr hámarkshraða og herða eftirlitið. Ekki endilega eftirlit FME, heldur auka kröfur til innra eftirlits hjá fjármálafyrirtækjum. Starfsmannafjöldi hjá innri endurskoðun þarf að byggja á stærð og umfangi, ekki hvað fyrirtækið sjálft vill leggja í þennan þátt. Sama á við um öryggisstjórnun og regluvörslu. Einn maður sinnir ekki öryggisstjórnun eða regluvörslu hjá 1.500 - 2.000 manna fyrirtæki, ef einhver árangur á að nást. Það er bara djók, yfirklór eða hvað eigum við að kalla það.
Kannski átti FME að vera löngu búið að setja strangari reglur um umfang þessarar starfsemi hjá bönkunum. En voru það ekki fyrst og fremst stjórnir bankanna, sem áttu að gera þessar kröfur. Öryggisvitund verður að koma innan frá. Áhættustýring verður að byggjast á viðskiptalegum og rekstrarlegum markmiðum og hlutverk hennar á fyrst og fremst að vera að tryggja samfelldan rekstur fyrirtækjanna. Það er hliðarmarkmið að uppfylla réttarfarslegar kröfur og kröfur í samningum við ytri aðila. Öryggismál og innra eftirlit er hagsmunamál hluthafanna, þar sem tekjur þeirra ráðast af afkomu fyrirtækisins. Því miður hafa menn ekki verið nægilega vakandi fyrir þessu hér á landi (og þó víðar væri leitað) og það þarf að laga. Eitt veit ég þó, að hert eftirlit FME mun ekki skila eins góðum árangri og aukin öryggisvitund fjármálafyrirtækjanna. Þetta er vinna sem verður að koma ofan frá og færast niður. Koma innan frá og færast út.
Þetta er það sem ég fæst við og þykist því vita nokkuð vel hvað ég er að tala um. Ég hef líka orðið var við breytt viðhorf til öryggismála eða öllu heldur að það er betra að selja mönnum að öryggi borgar sig. Ég get nefnilega alltaf sagt, ef mönnum finnst einhver möguleiki út í hött. "Já, en hverjum datt í hug í febrúar í fyrra, að allir bankarnir myndu hrynja í október?" Ég þarf ekki að segja neitt frekar. Öll mótstaða, ef svo má segja, er brotin á bak aftur. En höfum eitt á hreinu: Það voru ekki bara bankarnir sem voru að leika sér að eldinum. Stór hluti fyrirtækja landsins var að því líka. Fyrirtæki geta aldrei varpað sökinni á mistökum sínum á það að eftirlitsaðilinn hafi ekki stoppað þau af. Það er þeirra eigið hlutverk að stoppa sig af!
Ég bið svo fólk að misskilja mig ekki. Ég er ekki að taka ábyrgðina af FME. Það er mín skoðun að stofnunin hafi ekki verið að beita réttum vinnubrögðum. Ég er heldur ekki að taka ábyrgðina af stjórnvöldum. Ég er ennþá þeirrar skoðunar að regluverk fjármálageirans hafi verið of opið. Ég fyrst og fremst að segja að eftirlitið verður að byrja vegna eigin þarfa fyrirtækjanna. Vegna þeirrar áhættu sem kemur út úr áhættumati fyrirtækjanna. Allt annað kemur þar á eftir. Og það var þetta sem fór fyrst og síðast úrskeiðis. Fyrirtækin vanmátu eða mátu alls ekki áhættuna af gjörðum sínum eða því að bregðast ekki við.