Compliance według Rekomendacji H KNF
Rekomendacja H jako próba ujęcia compliance w ramy dające się zaadaptować do sektora bankowego.
ZOBACZ WSZYSTKIE ARTYKUŁY LUB WYBIERZ TEMATY, KTÓRE CIĘ INTERESUJĄ:
Compliance według Rekomendacji H KNF
dr Łukasz Cichy, ekspert GRC, 26/03/2020Od ponad dekady coraz głośniej jest o compliance, które chyba już na dobre zagościło w polskich korporacjach, zwłaszcza tych z sektora regulowanego. Wciąż jednak brakuje jednego wspólnego standardu dla całego obszaru compliance, jakim dysponują chociażby audytorzy wewnętrzni w postaci standardu IIA. Stąd rozmaite próby ujęcia compliance w pewne ramy, dające się zaadaptować do poszczególnych sektorów i uwzględniające ich specyfikę. Taką próbą jest właśnie Rekomendacja H dotycząca systemu kontroli wewnętrznej w bankach wydana przez Komisję Nadzoru Finansowego w 2017 roku.
Założeniem Rekomendacji H, co widać chociażby po dokumentach przywołanych we wstępie, jest w pierwszej kolejności usystematyzowanie rozwiązań compliance w sektorze bankowym. Jednocześnie wydaje się, iż rozwiązania te mogą być odpowiednio zaadaptowane do innych sektorów czy spółek, w tym nie tylko do sektora komercyjnego, ale nawet publicznego.
Rozwiązanie przyjęte w Rekomendacji H stara się uporządkować odwieczny problem compliance, to znaczy odpowiedzieć na pytanie, na ile compliance przynależy do kontroli wewnętrznej, a na ile do zarządzania ryzykiem? Przyjęto, że o ile formalnie compliance należy do szeroko rozumianej kontroli wewnętrznej (tzw. pierwszy filar compliance), o tyle do tej kontroli przynależy także wyodrębniony proces zarządzania ryzykiem braku zgodności (tzw. drugi filar compliance). W ten sposób compliance w ramach tzw. funkcji kontroli niejako skierowany jest na przeszłość (wykrywanie niezgodności w czynnościach i procesach już wykonanych) a w ramach zarządzania ryzykiem braku zgodności także na przyszłość (przewidywanie możliwej niezgodności w momencie wejścia w życie przepisów).
Pierwszy filar compliance (funkcja kontroli)
W ramach tzw. funkcji kontroli (część B Rekomendacji H) system kontroli wewnętrznej rozumiany jest jako zbiór celów, które system ten ma zapewniać. Zapewnienie tych celów (tzw. celów ogólnych) jest niezbędnym warunkiem realizacji przez organizację własnych celów strategicznych. Innymi słowy, bank może realizować strategię, o ile w ramach systemu kontroli wewnętrznej zapewni:
- skuteczność i efektywność działania banku
- wiarygodność sprawozdawczości finansowej
- przestrzeganie zasad zarządzania ryzykiem w banku;
- zgodność działania banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi.
Z punktu widzenia compliance najważniejsze jest zapewnianie zgodności działania banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi. Oznacza to, że compliance staje się jednym z czterech najważniejszych celów systemu kontroli wewnętrznej. W jaki sposób dokonywane jest owe zapewnianie? Otóż Rekomendacja H zakłada, że zapewnianie zgodności możliwe jest tylko wówczas, gdy będziemy mieli wskazany „mechanizm kontrolny (zwłaszcza kluczowy) + jego niezależne monitorowanie”
Mechanizmy kontrolne rozumiane są zwykle albo jako zaszyte w procedurach czynności operacyjne zapewniające zgodność albo jako czynności sprawdzające wykonywane w ramach czynności operacyjnych. Mechanizmem kontrolnym może więc być np. rejestrowanie wypełnionego formularza zgody klienta na przetwarzanie danych osobowych (mechanizm kontrolny jako czynność operacyjna) albo sprawdzanie tego formularza przez pracownika (mechanizm kontrolny jako czynność sprawdzająca). Takie mechanizmy, w tym zwłaszcza mechanizmy kluczowe, powinny być zaszyte we wszystkich procesach, w tym zwłaszcza procesach istotnych. Ich rolą jest zaś zapewnianie zgodności z przepisami i standardami rynkowymi poprzez działanie prewencyjne, detekcyjne bądź korekcyjne.
Drugim elementem funkcji kontroli jest bliskie technikom audytowym i rewizyjnym czy tzw. kontroli funkcjonalnej następczej, tzw. niezależne monitorowanie.
Przedmiotem tego monitorowania jest zwykle skuteczności mechanizmu kontrolnego, a więc fakt, czy jest on wykonywany zgodnie z przypisaną mu rolą. W przypadku mechanizmów kontrolnych compliance, czyli tych, które mają zapewniać zgodność, chodzi więc o monitrowanie, czy są one prawidłowo stosowane. Biorąc pod uwagę powyższy przykład, jeśli mechanizmem kontrolnym jest formularz zgody na przetwarzanie danych osobowych, to niezależnym monitorowaniem jest sprawdzenie, czy został wypełniony. Jeśli zaś mechanizmem kontrolnym jest sprawdzenie formularza, to niezależnym monitorowaniem jest sprawdzenie, czy formularz był wcześniej w ramach mechanizmu kontrolnego sprawdzany.
Przy takim podejściu właścicielami mechanizmów kontrolnych compliance są niemal wszystkie komórki organizacyjne banku, a rolą komórki compliance jest projektowanie i niezależne monitorowanie przestrzegania tych mechanizmów. Tak przyjęte rozwiązanie ma tę zaletę, że komórka compliance nie odpowiada samodzielnie za zapewnianie zgodności, ale jedynie za to, że przetestowała przestrzeganie odpowiednio zaprojektowanych mechanizmów.
Drugi filar compliance
Drugi filar compliance (część C Rekomendacji H) polega na umieszczeniu w ramach systemu kontroli wewnętrznej odrębnego procesu zarządzania ryzykiem braku zgodności. Właścicielem tego procesu jest komórka compliance, aczkolwiek w procesie tym często uczestniczy cały bank. W Rekomendacji H KNF ryzyko braku zgodności zostało zdefiniowane jest ryzyko zaistnienia niezgodności, aczkolwiek na bazie Rekomendacji organizacje nie będące bankami mogą je definiować jako ryzyko sankcji za naruszenie przepisów i standardów. Istotą procesu zarządzania ryzykiem braku zgodności jest szereg następujących po sobie etapów wykonywanych cyklicznie.
Pierwszym z nich jest identyfikacja ryzyka braku zgodności polegająca na zidentyfikowaniu zdarzeń i przypadków, które mogą spowodować materializację ryzyka. W tym celu kluczowe jest zbieranie informacji z poszczególnych źródeł. Drugim elementem jest ocena ryzyka braku zgodności. Ze względu na fakt, że ocena ryzyka braku zgodności jest oceną trudnomierzalną, zwykle mamy do czynienia z samooceną prawdopodobieństwa i dotkliwości sankcji w przypadku zaistnienia niezgodności. Ocena zawsze powinna być zatwierdzona przez komórkę compliance. Trzecim elementem jest kontrola, zwana też mitygacją albo ograniczeniem ryzyka. To najważniejszy, często jednak zbyt słabo opisany w rozmaitych metodykach etap. Rekomendacja H wskazuje na dwa podstawowe sposoby kontroli ryzyka braku zgodności. Pierwsze polega na zaleceniach, które wydaje komórka compliance innym komórkom (np. napisania nowej procedury, wdrożenia określonych mechanizmów). Drugi rodzaj kontroli to działania własne komórki compliance, jak choćby działania opiniujące, doradcze i szkoleniowe. Kolejnym etapem jest monitorowanie poziomu ryzyka braku zgodności, które polega przede wszystkim na sprawdzeniu, czy wydane zalecenia zostały wykonane. Ostatnim elementem jest raportowanie.
Jak widać Rekomendacja H wskazuje na pewne ramy, które nawet wybiórczo można spróbować zastosować w swojej organizacji, bez względu na to, czy jest ona bankiem. O ile bowiem, do różnych organizacji zastosowanie mają przepisy prawne różnej treści, o tyle sama logika systemu, czy też funkcji compliance , jest dość podobna i dlatego może być tak bardzo przydatna.
SZKOLENIA POWIĄZANE
Ekspert GRC, specjalizuje się w zagadnieniach corporate governance, kontroli wewnętrznej, compliance, audytu wewnętrznego, zarządzania ryzykiem i whistleblowingu