Compliance w firmie – podstawowe funkcje

W przedsiębiorstwie zakres, do którego może odnosić się system zarządzania compliance, może mieć szerokie spektrum. Głównie jest to zależne od działalności danego przedsiębiorstwa i jego profilu. Co więcej, na compliance firmy ma również wpływ, to czy podlega ona regulacjom sektorowym ze względu na profil swojej działalności. Niemniej jednak niezależnie od profilu compliance pełni szereg funkcji. Jakie są te funkcje? Przedstawiamy w dzisiejszym artykule.

Funkcje compliance w przedsiębiorstwie

Zapewnienie zgodności działań w przedsiębiorstwie, a także zgodności działań przedsiębiorcy, pracowników i kadry zarządzającej zgodnie z normami prawnymi i pozaprawnymi, a także identyfikacja naruszeń, które występują w przedsiębiorstwie to zadanie CMS. Dlatego też stwierdza się, że compliance jako system zapewnienia zgodności pełni w przedsiębiorstwie szereg funkcji.

Funkcja ochronna

Ochrona interesów przedsiębiorcy, jego kadry zarządzającej oraz pracowników i kontrahentów to podstawowa funkcja compliance. Zadaniem CMS jest ochrona przedsiębiorcy, ale również działania prewencyjne, które zabezpieczają firmę, przedsiębiorcę i kontrahentów przed ryzykiem wystąpienia naruszeń. Umożliwia przeciwdziałanie ryzyku, a także znacząco obniża jego powstanie. Co więcej, należy mieć na względzie również sankcje, które mogą być konsekwencjami pojawienia się jakichkolwiek naruszeń w firmie. Ponadto system compliance, to również identyfikacja wystąpienia naruszeń i prowadzenie tzw. procedur naprawczych.

Funkcja doradcza i informacyjna

Prawidłowo działający system zarządzania zgodnością pełni również funkcję doradczą i informacyjną. Jeśli w przedsiębiorstwie stosuje się compliance, to należy mieć na względzie, że jego funkcja doradczo-informacyjna, powinna występować między innym w procedurach, które będą przykładem zachowania dla pracowników. A także pisemnie będą przewidywać sytuacje niecodzienne. Dla pracownika sytuacją niecodzienną może być kontrola z sanepidu, PIP itp.

Dlatego warto przekazać wiedzę i doradzić pracownikowi, jak powinien zachować się w takich sytuacjach, żeby np. nie spanikował. Jednak sama procedura nie wystarczy, bo zgodnie z metodą prowadzenia compliance w przedsiębiorstwie, każde procedury powinny być jasno określone, zrozumiałe dla pracowników, ale przede wszystkim umieszczone w miejscu łatwo dostępnym i zawsze w tym samym, aby pracownicy z łatwością mogli je odnaleźć. Przykładem może być tablica informacyjna dla krótkich założeń i komunikatów, czy specjalny segregator z procedurami – dostępny dla pracowników.

Funkcja kontrolna i dowodowa

Następne z funkcji, które możemy przypisać prowadzeniu compliance w przedsiębiorstwie to funkcja kontrolna i dowodowa. Oczywiście celem jest kontrola i sprawowanie pieczy nad prawidłowością przeprowadzania procedur w firmie. Weryfikacja przedsiębiorstwa, czy zachowuje procedury i działa zgodnie z zalecanymi normami. Natomiast odnosząc się do części dowodowej, to jest to gromadzenie dokumentacji stanowiącej dowód działania systemu compliance w przedsiębiorstwie. Czyli notatki służbowe, protokoły z audytów wewnętrznych i zewnętrznych.

Warto również zauważyć, że wszystkie powyższe funkcje compliance sprowadzają się do budowania reputacji przedsiębiorstwa, a także wpływają na dozę zaufania ze strony kontrahentów i klientów. Ponadto wszystkie wyżej wymienione funkcje, można sprowadzić do jednej, którą nazwiemy funkcją gwarancji jakości przedsiębiorstwa. Oczywiście będzie ona funkcjonować wtedy i tylko wtedy, kiedy zostaną spełnione warunki każdej z funkcji osobno.

Nadużycia w przedsiębiorstwie – co robić?

W każdej organizacji może dojść do nadużywania prawa, czyli celowych działań, które mają na celu przyniesienie korzyści osobie dopuszczające się tych działań i generowanie strat przedsiębiorstwie czy firmie, na których szkodę działa dana osoba. Nie ma tutaj zależności czy jest to duże przedsiębiorstwo, czy mała organizacja, ani też czy przedsiębiorstwo jest prywatne, czy publiczne.

Jakie działania mogą być uznane za nadużycie?

Działania określone jako nadużycia i kierowane na szkodę interesów firmowych mogą być różne. Ich forma jest zależna od celu, jaki chce osiągnąć osoba dopuszczająca się nadużyć. Między innymi możemy tutaj wymienić działania takie jak:

  • zaniedbanie obowiązków,
  • brak należytej staranności,
  • malwersacje,
  • nadużycia finansowe,
  • mobbing,
  • ustawianie przetargów,
  • kradzież własności intelektualnej,
  • niewłaściwe rozliczanie czy fałszowanie wydatków służbowych,
  • fałszowanie faktur sprzedażowych i zawyżanie cen,
  • fikcyjne zakupy,
  • konflikty interesów i powiązania z dostawcami,
  • niewłaściwe wykorzystywanie poufnych danych osobowych.

Oczywiście to tylko kilka przykładów dla działań, które powtarzają się najczęściej. Nadużycia mogą wynikać z zewnętrznych okoliczności i uwarunkowań, w jakich działają przedsiębiorca i pracownik.

Trójkąt nadużyć Cresseya

To metoda, dzięki której przedsiębiorca ma możliwość identyfikacji zagrożeń i prawdopodobieństwa ich wystąpienia, a także grupy pracowników szczególnego ryzyka. Ponadto jest w stanie opracować procedury zapobiegające powstaniu nadużyć i chroniących interesy przedsiębiorstwa. Trójkąt nadużyć został opracowany przez Donalda Cresseya podczas badań na osobach skazanych za przestępstwa finansowe. Badania prowadził w latach 70. XX w. Co więcej, Donald Cressey stwierdził, że u podstaw nadużyć leży zazwyczaj presja, która jest głównym motywatorem. Ponadto teoria trójkąta nadużyć mówi również o tym, że u osób dopuszczających się nadużyć występuje racjonalizacja. Czyli osoba dopuszczająca się nadużycia tłumaczy sama sobie, że jej postępowanie nie jest zabronione, bo inny robią o wiele gorsze rzeczy. Ma poczucie, że jej poczynania są działaniami akceptowanymi.

Właśnie do tego nie można dopuścić i należy eliminować takie zachowania, a także wszelkie próby nadużyć w przedsiębiorstwie. Jeśli nie będą akceptowane, to nie staną się „wzorem” do naśladowania. Jednym ze sposobów na przeciwdziałanie nadużyciom i ich wykrywanie jest oddelegowanie sygnalisty.

Sygnalista i jego rola w przedsiębiorstwie

Żeby zapobiegać nadużyciom, przedsiębiorstwo powinno zdecydować się na wytypowanie osoby kontrolującej, dzięki której nadużycia będzie można łatwo zidentyfikować, a tym samym zapobiegać im w przyszłości. Osoby, które zdecydują się na pełnienie tej funkcji, nazywane są sygnalistami (ang. whistleblowers), a ich działalność jest definiowana jako whistleblowing. Czyli zgłaszanie wewnątrz danej organizacji bądź właściwemu organowi na zewnątrz lub ujawnianie informacji o nadużyciach w danej organizacji.

To właśnie osoby, które funkcjonują w danym przedsiębiorstwie i kolokwialnie ujmując znają je od podszewki, pasują najlepiej do roli sygnalisty. Najlepiej wiedzą, kiedy i jakie problemy się w niej pojawiają. Wprowadzenie sygnalisty w przedsiębiorstwie uważane jest za jedno z najskuteczniejszych narzędzi wykrywania nadużyć i nieprawidłowości w organizacji. Należy jednak pamiętać, że niezwykle trudno znaleźć jest osobę, która podejmie się tego stanowiska. Trzeba mieć na względzie, że w społeczności pracowniczej może zostać uznana za donosiciela. Dlatego też jest to jedna z największych barier, która sprawia, że rzadko pracownik sam z siebie zgłosi się do pełnienia funkcji sygnalisty.

Compliance to przede wszystkim model zarządzania organizacją

Ze względu na drastycznie zmieniające się środowisko biznesowe niezbędne jest nowe podejście do zarządzania ryzykami związanymi z compliance, a także wszystkimi innymi rodzajami ryzyka; oparte na technologii podejście systemowe, który umożliwi kierownictwu firmy mierzenie, ustalanie priorytetów i obsługę zagrożeń w sposób efektywny i kompleksowy.

AML & Compliance

Kompleksowe zdefiniowanie i zakomunikowanie ryzyk w obszarze zgodności, na które narażona jest organizacja, należy w świecie VUCA zdefiniować jako priorytet nie tylko dla compliance oficera, ale dla całego kierownictwa firmy.

W wielu firmach compliance (zarządzanie ryzykiem) w całej firmie polega  na  monitorowaniu zmian jedynie w wybranych obszarach skoncentrowanym w rękach compliance oficera. Warto jednak przyjrzeć się podejściu obejmującemu wszystkie procesy całej organizacji, dającemu narzędzia do monitorowania i reagowania na zmiany na poziomie właścicieli poszczególnych procesów biznesowych, a nawet właścicieli poszczególnych procedur wewnętrznych.

Najlepsze praktyki w zakresie AML (Anti-Money Laundering) i compliance to zbiór procedur, działań i polityk, mających na celu zapobieganie praniu pieniędzy oraz przestrzeganie przepisów prawnych i regulacji dotyczących finansów i biznesu. Przykładowe praktyki to: przeprowadzanie gruntownej analizy ryzyka, weryfikacja tożsamości klientów, monitorowanie transakcji, tworzenie polityk i procedur wewnętrznych, szkolenie pracowników, współpraca z organami ścigania i raportowanie podejrzanych działań. Działania te mają na celu ochronę przed finansowymi nadużyciami, zwiększenie przejrzystości działalności i minimalizację ryzyka prawnego i reputacyjnego.

Zintegrowane podejście do zarządzania ryzykiem zgodności

Skuteczne podejście do zarządzania zgodnością i ryzykiem łączy wszystkie działania we wszystkich jednostkach biznesowych.

Takie podejście zaczyna się od ustawienia i aktualizacji adekwatnego compliance universe, a następnie oceny ryzyka braku zgodności własnych procedur z jego poszczególnych elementami (ustawami, rozporządzeniami, wytycznymi) we wszystkich lub wybranych procesach w organizacji. Dynamiczne raportowanie i szereg widgetów pozwalają z kolei na natychmiastową wizualizację niezgodności i zarządzanie mitygacją ryzyka compliance w całej organizacji.

Wdrożenie systemu zaprojektowanego na Giełdzie Papierów Wartościowych, prowadzi do istotnego zwiększenia skuteczności i obniżenia kosztów funkcjonowanie komórki ds. zarządzania zgodnością oraz całego procesu w organizacji.

Know Your Customer – KYC w praktyce

Wdrażanie procedur w przedsiębiorstwach to ważny element zabezpieczający jednocześnie interesy firmy i klienta. Procedury można podzielić na obowiązkowe i takie, które są dobrymi praktykami i warto je wdrożyć. Czy wiesz czym jest KYC, czy jest Ci potrzebne? Co obejmuje Know Your Customer? Dowiesz się tego z dzisiejszego artykułu.

Czym jest KYC i czy trzeba je wprowadzić?

Z angielskiego KYC oznacza Know Your Customer. Czyli po prostu Poznaj Swojego Klienta (PSK). KYC jest procedurą należytej staranności. To nic innego jak identyfikacja klienta i jego działań. Polityka KYC zakłada między innymi sprawdzenie tożsamości klienta, czy pozyskiwania przez niego funduszy, które są przedmiotem transakcji. Najczęściej możemy spotkać się z procedurą KYC w bankach i innych instytucjach finansowych, a to dlatego, że instytucje obowiązane muszą stosować procedury wewnętrzne AML. Dlaczego jest to takie ważne? Obowiązek KYC wynika z ustawy o przeciwdziałaniu i praniu pieniędzy, a wdrożenie procedur AML to kluczowe działanie, które wpływa na przeciwdziałanie praniu pieniędzy.

Wdrożenie KYC w każdej firmie jest dobrą praktyką i elementem procedur bezpieczeństwa, a także niwelowania ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu. Chociaż obowiązek KYC dotyczy tylko przedsiębiorstw zobowiązanych ustawą o przeciwdziałaniu praniu pieniędzy i finansowania terroryzmu, to zalecamy, aby procedura PSK została wdrożona w każdej firmie.

Rekomendacje dla KYC są opracowywane przez wyznaczone organy – jakie?

Żeby wytyczne mogły zostać zaimplementowane do regulacji prawnych poszczególnych państw, to najpierw muszą zostać stworzone. Rekomendacjami dla KYC zajmują się:

  • FATF (Financial Action Task Force).
  • EBA (European Banking Authority).
  • Organy Unii Europejskiej (Dyrektywy AML).

Dzięki narzędziom analitycznym system AML, a także iAML połączone z listami restrykcyjnymi można usprawnić procesy wdrażania procedury KYC w poszczególne regulacje prawne i struktury firmy.

Kilkuetapowa procedura KYC

Procesy weryfikacji klienta mogą przybierać różne formy zależnie od instytucji, jednak powinny być do siebie zbliżone i obejmują elementy takie jak:

  • Pozyskanie numeru PESEL lub NIP klienta oraz dane osobowe.
  • Oświadczenie PEP i RCA.
  • Weryfikacja klienta na podstawie udzielonych informacji.
  • Przechowywanie danych klienta w bezpiecznym miejscu z dostępem tylko dla osób upoważnionych.
  • Aktualizacja danych klienta.

Powyższe etapy składają się na procedurę KYC i powinny być przeprowadzane w podobny sposób. Może je różnić sposób weryfikacji, czy ilość wymaganych danych lub kolejność pozyskiwania tych danych. Jednak ogół procesu przebiega tak, jak opisano powyżej.

Gdzie weryfikować klienta w procedurze Know Your Customer?

Weryfikacja klienta może być ręczna lub automatyczna. Etap weryfikacji klienta obejmuje sprawdzenie jego danych między innymi:

  • W rejestrze beneficjentów rzeczywistych.
  • Na liście PEP i liście ostrzeżeń KNF.
  • W PKD podwyższonego ryzyka.
  • Na listach krajów podwyższonego ryzyka, szczególnie jeśli mamy do czynienia z klientem zagranicznym.

Podsumowując procedury KYC są obowiązkowe dla banków i innych instytucji finansowych, jednakże dobrą praktyką będzie wdrożenie ich w każdej firmie.

Centralny rejestr beneficjentów rzeczywistych – czym jest CRBR?

Prawie wszyscy o nim słyszeli, ale nie wszyscy wiedzą czym jest, po co jest i kto musi podać tam swoje dane. Czym jest rejestr beneficjentów rzeczywistych i dlaczego należy o nim wiedzieć? Kto powinien zgłosić się do CRBR?

Centralny Rejestr Beneficjentów Rzeczywistych – kim jest beneficjent rzeczywisty?

Zanim przejdziemy do systemu CRBR, należałoby wyjaśnić, kim jest beneficjent rzeczywisty? Jest to każda osoba fizyczna, która sprawuje bezpośrednią lub pośrednią kontrolę nad spółką. Innymi słowy, jest udziałowcem lub współwłaścicielem. Takie osoby właśnie należy zgłaszać do CRBR. Beneficjenta rzeczywistego należy samodzielnie zidentyfikować i wskazać do wpisu we wspomnianym rejestrze. Przed wskazaniem właściwej osoby należy się upewnić, czy ma ona bezpośrednie uprawnienia właścicielskie, pośrednie uprawnienia właścicielskie, czy też inne uprawnienia, które umożliwiają jej zarządzanie spółką.

Czym jest CRBR?

Centralny Rejestr Beneficjentów Rzeczywistych, w skrócie CRBR jest to system gromadzenia i przetwarzania danych o beneficjentach rzeczywistych. CRBR obowiązuje od 2018 roku, w którym powstał na mocy ustawy z 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, która implementowała wcześniejszą unijną dyrektywę Parlamentu Europejskiego i Rady (tzw. IV dyrektywa AML).

Wszystkie dane w rejestrze są jawne i dostępne bezpłatnie na stronie https://www.podatki.gov.pl/crbr/. Tam również można zgłosić beneficjenta do rejestru. System ten ma na celu ułatwienie identyfikację osób kontrolujących daną spółkę. Warto zaznaczyć, że wpis na listę Centralnego Rejestru Beneficjentów Rzeczywistych jest obowiązkowy, a w razie niedopełnienia tego obowiązku mogą zostać nałożone kary administracyjne. Najwyższa kara może sięgać nawet miliona złotych.

Jakie spółki muszą zgłosić dane do rejestru?

Powołując się na ustawę z 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, do rejestru muszą zgłosić się praktycznie wszystkie spółki prawa handlowego:

  • spółki jawne,
  • spółki komandytowe,
  • spółki komandytowo-akcyjne,
  • spółki z ograniczoną odpowiedzialnością,
  • spółki akcyjne (z wyłączeniem spółek publicznych),
  • proste spółki akcyjne.

Wszystkie spółki, które ogłosiły upadłość i zostały wykreślone z KRS przed 13 lipca 2020 r. nie mają obowiązku dokonywania wpisu w CRBR. Natomiast po tym terminie obowiązek dotyczy nawet spółek będących w stanie likwidacji lub tych, które upadłość ogłosiły. Ważna informacja dla spółek zagranicznych z oddziałami na terytorium Polski. Te spółki nie mają obowiązku wpisu danych do rejestru CRBR, jednak warunkiem jest działalność zarejestrowana i wpisana do KRS.

Jak zgłosić się do Centralnego Rejestru Beneficjentów Rzeczywistych?

Zacznijmy od tego, że takiego zgłoszenia może dokonać jedynie osoba uprawniona, reprezentująca daną spółkę. Co ważne, jeśli spółka ma więcej niż jedną osobę uprawnioną, to pod zgłoszeniem do rejestru wymagane są podpisy wszystkich osób uprawnionych do reprezentowania spółki. Uwaga! Osobą reprezentującą spółkę w przypadku wpisu do Centralnego Rejestru Beneficjentów Rzeczywistych nie może być pełnomocnik spółki. Zgłoszenie do CRBR odbywa się za pomocą drogi elektronicznej i jest to jedyna dostępna możliwość zgłoszenia danych beneficjenta. Zgłoszenia można dokonać na stronie: https://crbr.podatki.gov.pl/adcrbr/#/. Należy mieć na uwadze, że osoba, która dokonuje zgłoszenia, musi mieć możliwość podpisania go podpisem elektronicznym lub za pomocą profilu zaufanego ePUAP.

Czy spółka wpisana do CRBR, która ogłosiła likwidację lub upadłość musi zmienić dane w rejestrze?

Zgodnie z art. 58 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2020 r., poz. 971) Spółki postawione w stan likwidacji lub upadłości mają obowiązek zgłaszania informacji do CRBR na zasadach określonych w ustawie. W przypadku stanu likwidacji lub ogłoszenia upadłości zachodzi zmiana nazwy spółki zatem należy taką zmianę zgłosić do CRBR. Obowiązek ten ciąży na osobie uprawnionej do reprezentacji spółki lub na likwidatorze.

Stan prawny na dzień 16.11.2020 rok

Jeżeli chcesz poznać więcej informacji na temat beneficjenta rzeczywistego, zapraszamy Cię do wzięcia udziału w szkoleniu Certyfikowany specjalista ds. beneficjenta rzeczywistego. Podczas szkolenia omówimy kwestie związane ze zgłoszeniem informacji o beneficjentach rzeczywistych do Centralnego Rejestru Beneficjentów Rzeczywistych.

Szkolenia AML – Co to jest pranie pieniędzy?

Tematyka prania pieniędzy poruszana jest najczęściej na szkoleniach AML. Tematyka porusza szereg zagadnień związanych z praniem pieniędzy, a znajomość tematu pozwala na wykrywanie i przeciwdziałanie praniu pieniędzy. Dlatego dzisiaj poruszymy pierwsze zagadnienie, które pojawia się na szkoleniach AML, a jest nim definicja prania pieniędzy.

Czym jest pranie pieniędzy? – szkolenia AML zaczynają od definicji

Wszystko zaczęło się od Ala Capone, Którego masa czerpała ogromne zyski z nielegalnych działalności. Między innymi przemytu i sprzedaży alkoholu. Wszystkie zyski pochodzące z nielegalnego źródła dopisywane były do legalnie prowadzonych działalności. Właśnie wtedy po raz pierwszy w Stanach Zjednoczonych w latach 20 XX wieku żyto pojęcia prania pieniędzy. Natomiast z definicji Ośrodka Szkolenia Departamentu Skarbu USA pranie pieniędzy jest procesem, którego uzyskane dochody, oczywiście pochodzące z działalności przestępczej są przekazywane, przekształcony, wymienione, lub łączone w inny sposób przepływ gotówki. celem prania pieniędzy jest oczywiście otrzymanie pozoru legalności pochodzenia źródła pieniędzy.

Drugą definicję, która jest zbieżna z powyższym opisem, możemy przedstawić w sposób następujący; pranie pieniędzy ma na celu wprowadzenie pieniędzy pochodzących z nielegalnych źródeł do legalnego obrotu. Pranie pieniędzy może mieć zasięg lokalny, międzynarodowy, a nawet globalny. Dlatego też o praniu pieniędzy mówimy również wtedy, kiedy uzyskanie pieniędzy i wykonywanie nielegalnych działań ma miejsce na terytorium innego państwa. Ponadto należy mieć również na uwadze fakt, że definicją prania pieniędzy można określić nie tylko same pieniądze, ale również wartości majątkowe, przedmioty pochodzące na przykład z kradzieży, handel bronią, czy lichwiarskie pożyczki i ich oprocentowania oraz odsetki tych pożyczek.

Pranie pieniędzy według Kodeksu Karnego

Natomiast według Kodeksu Karnego z artykułu 299 ustawy z dnia 6 czerwca 1997 roku pranie pieniędzy określone jest jako; przyjmowanie, przekazywanie lub wywożenie za granicę, pomaganie do przenoszenia własności lub posiadania, albo podejmowania innych czynności, które mogą udaremnić, znacznie utrudnić stwierdzenie przestępczego pochodzenia. Miejsce umieszczenia, wykrycie zajęć lub orzeczenie w przypadku środków płatniczych, instrumentów finansowych, papierów wartościowych, wartości dewizowych, praw majątkowych lub innego mienia ruchomego i nieruchomości pochodzących z korzyści związanych z popełnionym czynem zabronionym.

Powyższe definicje pojawiają się praktycznie na każdym szkoleniu AML i są początkiem wdrożenia uczestników szkolenia AML w tematykę i zagadnienia związane z praniem brudnych pieniędzy, a także przeciwdziałaniem praniu brudnych pieniędzy

Skutki prania pieniędzy

Niezależnie czy będziemy poruszać tematykę w zakresie prania brudnych pieniędzy z kraju, czy za granicą to musisz być świadomy, że gospodarka każdego kraju poddana będzie działaniom skutków prania pieniędzy.

Do największych skutków wynikających z prania brudnych pieniędzy możemy zaliczyć:

  1. Naruszenie stabilności systemu podatkowego i całego systemu finansowego w obrębie danego państwa.
  2. Zachwianie gospodarki i wzrost zjawiska korupcji.
  3. Osłabienie wiarygodności państwa w tym również instytucji finansowych.
  4. Zmniejszony Kapitał pochodzący z legalnych źródeł.

Jeśli chcesz dowiedzieć się więcej na temat prania brudnych pieniędzy i przeciwdziałaniu temu procederowi, to zapraszamy Cię do zapoznania się z ofertą naszych szkoleń z AML. Tam tematyka jest omawiana w szerszym zakresie i dogłębniej wyjaśniana. Ponadto na szkoleniach poruszany jest szereg innych tematów, które są powiązane z AML, Compilance i tematyką bezpieczeństwa finansowego.

AML & Compliance

Pranie pieniędzy – poznaj 3 główne fazy i dowiedz się, jak im przeciwdziałać

Pranie pieniędzy może odbywać się za pomocą wielu technik. Każde działanie to maskowanie procederu, utrudnienie lub udaremnienie wykrycia, że pieniądze pochodzą z nielegalnego źródła. Podczas wykonywania tego procederu można stwierdzić, że przebiegały w trzech fazach. Czytaj dalej, by poznać te fazy i dowiedzieć się, jak przeciwdziałać praniu pieniędzy.

W jakich fazach odbywa się pranie pieniędzy?

Fazy prania pieniędzy następują po sobie kolejno. Jednakże mogą one także występować osobno. Na każdym z tych etapów można doprowadzić do udaremnienia próby obrotu nielegalnymi pieniędzmi, czy wykrycia całego procederu.

Wyróżniamy fazy następująco:

  • lokowanie (wprowadzenie do obrotu finansowego),
  • maskowanie (odseparowanie środków od nielegalnego źródła),
  • integracja (stworzenie wyjaśnienia pochodzenia posiadanych środków),

Według literatury przedmiotu określone niżej fazy prania pieniędzy występują zarówno w Polsce, jak i za granicą. Możemy zatem przyjąć, że teoretyczny schemat występowania tych faz jest jednolity dla rynku lokalnego i międzynarodowego.

Pranie pieniędzy i metody w każdej z trzech faz

LOKOWANIE

Pierwsza faza, jaka występuje, jest to faza wprowadzenia do obrotu finansowego pieniędzy pochodzących z działalności przestępczej. Fazę nazywamy również lokowaniem. W języku angielskim natomiast spotkasz się z określeniem placement. Pierwsza faza zakłada zatarcie, ukrycie śladów uniemożliwienie konfiskaty pieniędzy pochodzących z działalności przestępczej.

Dla tej fazy możemy przypisać cechy identyfikujące:

  • prostota, jednorodność, powtarzalność i krótkoterminowość dokonywanych transakcji,
  • forma gotówkowa transakcji,
  • środki finansowych pochodzące bezpośrednio z przestępstwa.

Przykładowe metody prania pieniędzy w fazie lokowania:

  • rozdrabnianie wpłat (smurfing),
  • wymiana walut (refining),
  • dzielenie wpłat (structuring).

MASKOWANIE

Maskowanie to druga faza występująca w procederze prania pieniędzy. W tej fazie następuje oddzielenie nielegalnych pieniędzy od źródła ich pochodzenia. W tym celu stosuje się szereg różnych metod i transakcji, aby uniemożliwić wykrycie i powiązanie pieniędzy ze źródłem ich pochodzenia.

Charakterystyczne dla tej fazy jest:

  • realizowanie bardzo dużej ilości transakcji,
  • korzystanie z elektronicznych form przekazu pieniędzy,
  • dokonywanie transakcji, które nie mają ekonomicznego uzasadnienia.

Procedury wykorzystywane w tej fazie są na tyle skuteczne, że czasami uniemożliwiają dotarcie do rzeczywistego źródła pochodzenia nielegalnych pieniędzy.

LEGITYMIZACJA

Inaczej zwana integracją (z ang. integration), jest trzecią i ostatnią fazą. Właśnie w tej fazie dzięki stworzeniu rzekomo prawnego uzasadnienia pochodzenia pranych pieniędzy, dochody są traktowane jako legalne. Mogą być zatem wykorzystywane bez żadnych konsekwencji prawnych.

Przykładowymi transakcjami wykorzystywanymi w fazie integracji są:

  • fikcyjne transakcje kupna-sprzedaży,
  • transakcje importu i eksportu z zastosowaniem cen transferowych,
  • kredyty bankowe,
  • zakupy upadających przedsiębiorstw,
  • nagły wzrost wynagrodzeń pracowników,
  • zakup dużej ilości sprzętu np. biurowego, AGD.

Przeciwdziałanie praniu pieniędzy – procedury

Centralnym elementem polskiego systemu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu jest Generalny Inspektor Informacji Finansowej (GIIF). Zgodnie z ustawą, GIIF – będący sekretarzem albo podsekretarzem stanu w Ministerstwie Finansów – jest powoływany i odwoływany przez Prezesa Rady Ministrów na wniosek ministra właściwego do spraw finansów publicznych po zasięgnięciu opinii ministra – członka Rady Ministrów właściwego do spraw koordynowania działalności służb specjalnych (o ile został wyznaczony przez Prezesa Rady Ministrów). – źródło: https://www.gov.pl

Każda obowiązana instytucja ma obowiązek prowadzenia rozpoznania i oceny ryzyka w związku z praniem pieniędzy i finansowania terroryzmu. Ponadto instytucje obowiązane są do stosowania wszelkich środków bezpieczeństwa finansowego i kontroli procedur, a także transakcji zawieranych przez klientów.

Na każdej z obowiązanych instytucji ciąży obowiązek powiadomienia GIIF o podejrzeniu popełnienia przestępstwa prania pieniędzy, a także w uzasadnionych przypadkach kiedy wykonywane są transakcje ponad progowe, czyli przekraczające wartość 15 tysięcy euro.
Na żądanie GIIF lub postanowienia prokuratora, instytucje obowiązane blokują rachunki i wstrzymują wszelkie transakcje. Ponadto mają obowiązek przekazania informacji i dokumentów dotyczących transakcji i osób mogących wskazywać na popełnienie przestępstwa prania pieniędzy.

Chcesz dowiedzieć się więcej na temat przeciwdziałania praniu pieniędzy? W takim razie z pewnością zainteresują Cię szkolenia Langas.pl:

Na szkoleniach poznasz najlepsze praktyki przeciwdziałania praniu pieniędzy, które są stosowane zarówno przez polskie, jak i międzynarodowe firmy.

Compliance officer, czyli kto?

Szkolenia compliance to jedno ze szkoleń dostępnych w naszej ofercie. Dlatego dzisiaj przyjrzymy się stanowisku compliance officer tak, aby każdy mógł zrozumieć istotę tego stanowiska, a także o tym, jak należy wdrożyć compliance w przedsiębiorstwie.

Szkolenia z compliance a profil kandydata?

Czyli jakie preferencje są wymagane na stanowisko compliance oficer i jakie cechy musi mieć taka osoba, aby obejmował to stanowisko? Należy pamiętać, że szkolenia compliance mogą być narzędziem do rozpoczęcia kariery zawodowej lub do podniesienia kwalifikacji i umiejętności osoby, która takie stanowisko już obejmuje. Ponieważ zarządzanie zgodnością ma z reguły charakter wieloaspektowy i interdyscyplinarny, pretendent do objęcia funkcji compliance powinien cechować się udokumentowaną wiedzą i praktyką prawniczą. Pod uwagę brane są również aspekty takie jak znajomość audyty wewnętrznego, ekonomii, czy nowych technologii. Kluczowa jest również znajomość danej branży, w której będzie objęte stanowisko compliance officer. Wiele przedsiębiorstw poszukuje również specjalistów z dziedzin ekonomii i nowych technologii.

Jakie jeszcze cechy powinien mieć kandydat na stanowisko compliance? Przede wszystkim powinna być to osoba komunikatywna z zacięciem kierowniczym. Osoba godna zaufania i wzbudzająca zaufanie wśród innych. Najważniejszą zaletą jednak z punktu widzenia obejmowanego stanowiska jest znajomość specyfiki konkretnej firmy, co umożliwia sprawne zarządzanie i dostrzeganie występującego ryzyka.

Dlaczego funkcja compliance officer jest ważna?

Istota funkcji zarządzania zgodnością i jej znaczeniu w wewnętrznych strukturach firmy jest bardzo ważnym elementem, który powinien znaleźć się w każdej strukturze organizacji. Niezależnie od profilu i działalności firmy. Jeśli firma nie ma jeszcze compliance officera, to ma dwie drogi. Spośród kadry wybrać najlepszego kandydata do pełnienia tej funkcji i przygotować go poprzez udział w szkoleniach compliance lub zatrudnić osobę zewnętrzną poprzez zorganizowany proces rekrutacji. Co zyskuje firma wprowadzając compliance w przedsiębiorstwie?

  • Ochrona przed przed konsekwencjami np. sankcje finansowe dla członków organów zarządzających.
  • Ochrona przed utratą reputacji.
  • Ugruntowana kultura compliance to w perspektywie długofalowej umocnienie wizerunku przedsiębiorstwa na rynku i podwyższenie jego wartości.
  • Zysk w postaci lojalności partnerów biznesowych i pracowników.
  • Zwiększona sprzedaż.
  • Przewaga nad konkurencją.
  • Obniżenie możliwości wystąpienia ryzyka sankcji.

Jak wprowadzić compliance w firmie?

Należy zacząć od wyodrębnienia dwóch płaszczyzn; wewnętrznej i zewnętrznej. system compliance oparty na dwóch płaszczyznach gwarantuje osiągnięcie jak najlepszych korzyści. Do działań wewnętrznych zaliczymy zatem wszystkie dokumenty związane z regulacją obowiązków od stanowiska szeregowego pracownika przez kadrę kierowniczą, a na zarządzie kończąc. Oprócz regulaminu ważne jest również sporządzenie kodeksów postępowania, które z kolei zostaną zatwierdzone przez zarząd firmy.

Działania zewnętrzne natomiast, to działanie zgodnie z prawem i ze wszelkimi regulacjami dotyczącymi działalności przedsiębiorstwa. Jako działania zewnętrzne możemy również określić zachowanie firmy wobec klientów i kontrahentów tj. uczciwość, ochrona danych i zachowanie (jeśli jest konieczność) wszelkich tajemnic zawodowych. Compliance to również dbałość o etyczne działania, zapobiegania manipulacjom, mataczeniem i próbami manipulacji finansowych.

Zarządzanie ryzykiem w firmie – to musisz wiedzieć

Reaguj przed i bądź przygotowany i nie daj się zaskoczyć sytuacji. Każdy przedsiębiorca powinien wdrożyć w swojej firmie zarządzanie ryzykiem i być przygotowanym na każdą ewentualność. Dobrze opracowany system zarządzania ryzykiem umożliwi identyfikację zagrożeń przed ich wystąpieniem, a co za tym idzie, umożliwi zapobieganie konsekwencjom wynikającym z powstałego ryzyka.

Zarządzanie ryzykiem w firmie, jak je określić?

W metodologii zarządzania ryzykiem możemy określić zarządzanie przez 2 różne od siebie koncepcje. Pierwsze z pojęcia zakłada, że ryzyko jest operacją, którą się nie powiedzie. Czyli występuje wtedy, kiedy jest zagrożenie możliwością straty lub braku realizacji celu. Koncepcję tę możemy nazwać również koncepcją negatywną. Druga zaś nazwana koncepcją neutralną jest wtedy, kiedy nie jesteśmy w stanie określić możliwości danego ryzyka. Inaczej mówiąc, rozpatrujemy koncepcję w zakresie, jako ryzyko lub jako szansa niewiadoma. Czyli założenie, że wyniki działania, przy realizacji celów mogą być lepsze bądź gorsze od poprzednich.

Z powyższego zatem wynika, że nie jesteśmy w stanie całkowicie wyeliminować ryzyka w przedsiębiorstwie, ale możemy tak zarządzać ryzykiem, aby zminimalizować jego wystąpienie i skutki.

Zarządzanie ryzykiem poprzez proces, czy audyt?

Zależnie od profilu przedsiębiorstwa, a także czasu, jaki chcemy przeznaczyć na zarządzanie ryzykiem, można wykorzystać do tego dwie różne drogi. Pierwsza z nich to wykorzystanie audytu. Czyli jest to korzystanie z usług firmy zewnętrznej, która będzie wykonywać audyt w okresowo. Taki audyt zarządzania ryzyka polega na analizie wszelkich możliwych aspektów ryzyka w przedsiębiorstwie i otrzymanie stosownego planu rekomendacji wykonania konkretnych czynności. Ta opcja jest tańszym rozwiązaniem niż zarządzanie myśl procesu, jednak sama w sobie niesie ryzyko wynikające z czasu między poszczególnymi audytami.

Druga droga to zarządzanie ryzykiem poprzez proces. Z punktu widzenia minimalizowania ryzyka i podejmowania szybkich działań jest to lepsze rozwiązanie, ponieważ proces ten jest przeprowadzany w czasie rzeczywistym wewnątrz przedsiębiorstwa. Z tą metodą wiąże się jednak wytworzenie nowej komórki w przedsiębiorstwie, lub zespołu zarządzania ryzykiem, który będzie monitorował i identyfikował ryzyko, a także możliwie w jak najszybszym czasie reagował i wprowadzał działania naprawcze.

Jakie elementy należy uwzględnić w procesie zarządzania ryzykiem?

Jeśli zdecydujemy się na zarządzanie ryzykiem poprzez proces, to w procesie należy uwzględnić 4 etapy, które pomogą w standaryzacji procesu.

Należy również wziąć pod uwagę fakt, że cały proces zarządzania ryzykiem należy rozpatrywać jako centralny element zarządzania strategicznego. Oznacza to, że stworzona komórka w firmie, lub zespół od początku do końca zajmuje się rozwiązywaniem problemów na każdej płaszczyźnie i na każdym etapie zarządzania ryzykiem. Dlaczego opłaca się wdrożyć proces zarządzania ryzykiem? Jeśli proces odbywa się wewnątrz firmy, to przedsiębiorstwo ma ogląd na sytuację w trybie ciągłym. Każda analiza umożliwia poznanie wewnętrznych i zewnętrznych zagrożeń, a także szans dla przedsiębiorstwa. A co za tym idzie, można je szybko zlokalizować, zminimalizować ryzyko lub wykorzystać szansę.

Etapy zarządzania ryzykiem możemy wyszczególnić następująco:

  • identyfikacja ryzyka,
  • analiza ryzyka,
  • planowanie reakcji na ryzyko,
  • monitorowanie i kontrola ryzyka.

Bardzo ważnym elementem prowadzenia wewnętrznego procesu zarządzania ryzykiem jest standaryzacja tego procesu, a także skrupulatne prowadzenie dokumentacji in dostarczanie raportów na bieżąco. Natomiast częstotliwość raportowania powinna być dopasowana przede wszystkim do wysokości ryzyka, a także specyfiki przedsiębiorstwa.

Rekomendacja Z

Rekomendacja Z, dotyczącą zasad ładu wewnętrznego w bankach, została po długich konsultacjach wreszcie wydana przez Komisję Nadzoru Finansowego.

W pewnym sensie Rekomendacja jest „implementacją” wytycznych EUNB w sprawie zarządzania wewnętrznego (EBA/GL/2017/11) oraz Wytycznych EuNB w sprawie oceny odpowiedniości członków organu zarządzającego i osób pełniących najważniejsze funkcje (EBA/GL/2017/12). W istocie jednak dokument idzie nieco dalej, rekomenduje rozwiązania, które zdaniem KNF pomogą bankom uniknąć nieprawidłowych praktyk zwiększających ryzyko ich działalności.

Co ważne, Rekomendacja Z jest kolejnym dokumentem regulującym szeroko rozumiane internal governance banków, co oznacza, że ład wewnętrzny banków regulowany już jest poprzez:

  • Prawo bankowe,
  • Rozporządzenie Ministra Rozwoju i Finansów z dnia 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach (Dz. U. z 2017 r. poz. 637),
  • Zasad Ładu Korporacyjnego dla instytucji nadzorowanych wydanych przez KNF,
  • Dobre Praktyk Spółek Notowanych na GPW 2016 w przypadku, gdy bank jest spółką notowaną na GPW.

Dodatkowo, jak trafnie wskazuje Rekomendacja Z, wybrane kwestie są również przedmiotem innych Rekomendacji wydanych przez Komisję Nadzoru Finansowego, w szczególności:

 

  • Rekomendacji H dotyczącej systemu kontroli wewnętrznej w bankach
  • Rekomendacji M dotyczącej zarzadzania ryzykiem operacyjnym w bankach.

 

Wreszcie, ład wewnętrzny określają też Wytyczne Europejskiego Urzędu Nadzoru Bankowego:

 

  • Wytycznych EUNB w sprawie zarzadzania wewnętrznego (EBA/GL/2017/11) z 21 marca 2018 r.
  • Wytycznych EBA w sprawie oceny odpowiedniości członków organu zarządzającego i osób pełniących najważniejsze funkcje (EBA/GL/2017/12) z 21 marca 2018 r.
  • Wytyczne EUNB dotyczące prawidłowej polityki wynagrodzeń́, o których mowa w art. 74 ust. 3 i 75 ust. 2 dyrektywy 2013/36/UE, i ujawniania informacji zgodnie z art. 450 rozporządzenia (UE) nr 575/2013 (EBA/GL/2015/22) z 27 czerwca 2016 r., jak również inne standardy, np. zasady etyki zawodowej.
  • Wytyczne EUNB dotyczące zasad nadzoru nad produktami i ustaleń zarządczych dla produktów bankowości detalicznej (EBA/GL/2015/18) z 22 marca 2016 r.
  • Wytycznych EUNB w sprawie outsourcingu (EBA/GL/2019/02 z dnia 25 lutego 2019 r.

Można się więc pokusić, że ład wewnętrzny akurat w sektorze bankowym jest prawdopodobnie najbardziej regulowanym obszarem działalności.  Rekomendacja Z stara się jednej strony poprzez rozmaite rekomendacje ogólne, zebrać, uporządkować i ułożyć wedle pewnej wewnętrznej logiki, ogólne zasady i dobre praktyki wynikające z powyższych aktów normatywnych. W tym sensie stanowi nietypową, ale jednak swoistą regulację parasolową („umbrella regulation”), która skupia najważniejsze wymogi ładu korporacyjnego. Oznacza to, że podstawą wdrożenia Rekomendacji, na co banki mają czas do stycznia 2022 r., powinna być szczegółowa analiza luki, która pozwoli zidentyfikować zakres ewentualnego niedostosowania się banków do zaleceń i dobrych praktyk. Ogromna większość wymogów jest bowiem w bardziej lub mniej podobny sposób przez banki już dawno wdrożona, aczkolwiek zakres owego wdrożenia ex ante z pewnością będzie wymagał drobiazgowych poprawek.

Z drugiej strony nietrudno zauważyć, że Rekomendacja Z zawiera także zbiór dobrych praktyk, których próżno szukać w przywoływanych powyżej aktów normatywnych i nawet bez analizy luki wiadomo, że banki będą je musiały dopiero wprowadzić. Warto się kilku tym nowościom przyjrzeć bliżej.

Pełen tekst Rekomendacji Z znajduje się na stronie KNF

Oceny i przeglądy

Rekomendacja Z wymaga szeregu ocen i przeglądów, nie tylko jako pewien element czynności operacyjnych (ocena ryzyka, czy ocen zagrożeń przy outsourcingu), ale także odrębnych ocen i przeglądów wskazanych w poniższej tabeli:

Rodzaj oceny lub przeglądu Podmiot dokonujący oceny Rekomendacja szczegółowa
Ocena ładu wewnętrznego w banku i jego wdrożenia Rada nadzorcza Rek. 1.3
Ocena odpowiedniości członka zarządu, rady nadzorczej lub osoby pełniącej kluczowe funkcje Organy banku właściwe do podjęcia decyzji o obsadzie określonych funkcji lub stanowisk Rek. 7-8
Okresowa weryfikacja i ocena przestrzegania zasad etyki Zarząd Banku Rek 12.4
Ocena wpływu zasad wynagradzania na sposób zarządzania bankiem. Rada nadzorcza Rek. 15.4
Niezależny wewnętrzny przegląd zasad wynagradzania Brak wskazanej komórki – najbardziej pasuje komórka audytu bądź komórka compliance Rek 15.6
Roczny przegląd procedur wewnętrznych, w tym regularna aktualizacja polityki dywidendowej Brak wskazanej komórki Rek. 16.2

Najbardziej wymagająca wydaje się ocena odpowiedniości członka zarządu, rady nadzorczej lub osoby pełniącej kluczowe funkcje, albowiem na nią składa się szereg ocen składowych. Zaletą jest jednak to, że KNF przygotował specjalne wzorce takich ocen, z których można skorzystać. Pewne wątpliwości budzi roczny przegląd procedur wewnętrznych, w tym regularna aktualizacja polityki dywidendowej, albowiem do tej pory taki przegląd wszystkich regulacji wewnętrznych nie był dokonywany co roku.

Wydaje się, że można go jednak uwzględnić np. w ramach identyfikacji i oceny ryzyka braku zgodności bądź badań audytowych.

Konflikty interesów

Rekomendacja Z szczegółowo wskazuje na zakres podmiotowy dotyczący ról i stanowisk, które w kontekście relacji, umowy i transakcji z bankiem powinny być objęte konfliktami interesów. Co ważne wskazuje także na obowiązek zarządzania takimi konfliktami, w tym także na kluczowe mechanizmy kontrolne. Jednym z nim jest, wskazany w rekomendacji 13.4

odpowiedni podział obowiązków, np. powierzenie czynności będących w konflikcie w obrębie łańcucha transakcji lub usług, różnym osobom lub powierzenie odpowiedzialności za nadzór i sprawozdawczość w odniesieniu do czynności będących w konflikcie, różnym osobom.

W wersji podstawowej, jeśli transakcje lub usługi są ujęte w tzw. matrycy funkcji kontroli, wydaje się, że należałoby dokonać przeglądu matrycy pod kątem podziału na linie obrony i rozdzielenia właścicielstwa za mechanizmy kontrolne oraz niezależne monitorowanie poziome oraz pionowe. W wersji bardziej zawansowanej, zwyczajowo tworzy się tzw. matryce podziału obowiązków, w których wyraźnie zaznacza się, dlaczego osoby na danych stanowiskach czy pełniące dane funkcje nie mogą wykonywać danych czynności. Często wykorzystuje się w tym role przypisane w systemach IT.

Przykładem takiej uproszczonej matrycy jest tabela poniżej:

Proces Podproces Opis wykonywanych czynności Kto nie może ich wykonywać? Dlaczego
Bankowość detaliczna Obsługa depozytów Pracownik otwierający lokatę u klienta inicjującego w drodze telefonicznej Pracownik dokonujący weryfikacji u klienta inicjującego otwarcia lokaty drogą telefoniczną Ten sam pracownik nie może weryfikować samego siebie

Tak rozumiany konflikt interesów wynika z obiektywnych relacji między poszczególnymi funkcjami i stanowiskami w banku. Jednocześnie Rekomendacja Z wskazuje na pewne cechy subiektywne dotyczące poszczególnych osób pełniących określone funkcje i stanowiska, które także powinny być brane pod uwagę. Najwięcej wątpliwości wzbudza rekomendacja 13.5 wskazując na konflikt interesów będący wynikiem pokrewieństwa lub powinowactwa.

Zgodnie z tą rekomendacją

bank nie powinien dopuszczać do sytuacji, w których ze względu na łączące poszczególnych pracowników pozasłużbowe więzi niezbędna dla rzetelnego wykonywania powierzonych im zadań niezależność osądu i decyzji mogłaby być zagrożona.

Problem w tym, że na mocy poprzedniego stanu prawnego, wedle interpelacji GIODO danych o relacjach rodzinnych w tym kontekście nie powinno się przetwarzać. Powstaje więc pytanie, na ile jest to dozwolone po wejściu w życie RODO. Być może warto uzyskać interpretacje od Urzędu Ochrony Danych Osobowych.

Dodatkowo, zgodnie z rekomendacją 13.6

Rada nadzorcza i zarząd banku powinny zapewnić publiczne ujawnianie odpowiednich informacji dotyczących przyjętej w banku polityki zarządzania konfliktami interesów. Ujawnienia te powinny obejmować informacje na temat sposobu zarządzania przez bank istotnymi konfliktami interesów oraz konfliktami, które mogłyby powstać z powodu przynależności banku do grupy lub transakcji zawieranych przez bank z innymi podmiotami w grupie.

Należy podkreślić, że nie oznacza to publicznego ujawniania konfliktów interesów, ale jedynie wskazania rodzajów możliwych konfliktów sposobów zarządzania konfliktami, w tym wskazania podstawowych mechanizmów kontrolnych jak podział obowiązków, bariery informacyjne, wyłącznie z podejmowanych decyzji, czy dodatkowe szczeble zatwierdzenia transakcji. W tym sensie rozwiązanie to jest podobne do tego stosowanego na mocy przepisów tzw. obowiązków MIFID.

Co jednak ważniejsze, zgodnie z tą rekomendacją

Powyższe informacje, a także informacje o istnieniu w banku takich potencjalnych konfliktów oraz ich zakresie, powinny być także przekazywane do Komisji Nadzoru Finansowego – a w przypadku banku spółdzielczego lub banku zrzeszającego będącego uczestnikiem systemu ochrony, także do jednostki zarządzającej systemem ochrony.

Powstaje więc pytanie, czy oprócz Polityki zarządzania konfliktami interesów jako informacje o istnieniu w banku takich potencjalnych konfliktów oraz ich zakresie należy przesłać wykaz zmaterializowanych/zidentyfikowanych konfliktów interesów banku, czy może tylko wykaz sytuacji, w których wedle banku może istnieć konflikt interesów. Jednocześnie należy podkreślić, że Rekomendacja 13.6 odwołuje się do istotnych konfliktów interesów oraz konfliktów, które mogłyby powstać z powodu przynależności banku do grupy lub transakcji zawieranych przez bank z innymi podmiotami w grupie. Wydaje się więc, że jako minimum należy uznać, że informacje o istnieniu w banku takich potencjalnych konfliktów oznaczają informacje o konfliktach, które mogłyby powstać z powodu przynależności banku do grupy lub transakcji zawieranych przez bank z innymi podmiotami w grupie. Wobec tego Bank działający w grupie powinien przekazać do KNF informację o ewentualnym konflikcie interesów w grupie.

Sam KNF wskazał dwa takie przykłady. Pierwszy w przypisie nr 13 Rekomendacji Z w kontekście stosunku podległości i przepływu informacji w grupie oraz drugi w Rekomendacji 13.7.

Zgodnie z Rekomendacją 13. 7

Członkowie zarządu oraz osoby pełniące kluczowe funkcje w banku nie mogą pełnić dodatkowych funkcji w podmiocie zależnym lub innym podmiocie należącym do grupy, w której znajduje się bank, jeżeli mogłoby to negatywnie wpłynąć na efektywność wykonywanych obowiązków w banku, w szczególności nie gwarantowałoby poświęcania niezbędnej ilości czasu na wykonywanie funkcji w banku lub powodowałoby powstanie konfliktów interesów osłabiających niezależność osądu wobec funkcji pełnionej w banku.

Należy zauważyć, że w stosunku do wersji pierwotnej Rekomendacja 13.7 została w znacznym stopniu złagodzona. Kluczową przesłanką dopuszczalności jednoczesnego zasiadania w różnych organach i komitetach grupy jest poświęcenie odpowiedniej ilości czasu, co może być oceniane w ramach tzw. oceny odpowiedniości oraz brak konfliktów interesów. Typowym przykładem takiego konfliktu interesów jest uczestnictwo tej samej osoby w ocenie ryzyka decyzji biznesowej podejmowanej przez spółkę, w której władzach ta sama osoba zasiada (np. spółka córka banku)

Directors’ Pay Ratio

Całkowitą nowością w Rekomendacji Z jest ustalenie tzw. Directors Pay Ratio. Zgodnie z Rekomendacją 15.3

Bank powinien określić w zasadach wynagradzania w banku maksymalny stosunek średniego całkowitego wynagrodzenia brutto członków zarządu w okresie rocznym do średniego całkowitego wynagrodzenia brutto pozostałych pracowników banku w okresie rocznym.

Rekomendacja wspomina o średnim wynagrodzeniu, aczkolwiek nie podaje jaki to ma być rodzaj średniej (mediana, dominanta?). Wydaje się, że najbardziej popularna będzie średnia arytmetyczna. Jako że ma to być średnia członków zarządu, oznacza to, że średnia powinna być wyciągana z wynagrodzenia ich wszystkich. Dodatkowo Rekomendacja wspomina o całkowitym wynagrodzeniu, co oznacza wynagrodzenie stałe oraz zmienne za dany rok. Wobec tego bank powinien potrafić wycenić wynagrodzenie zmienne, co nota bene zwykle powinno być robione przy obliczaniu stosunku wynagrodzenia stałego do zmiennego na podstawie przepisów o wynagrodzeniach w bankach. Rekomendacja wspomina także o „pracownikach”, co należy rozumieć tradycyjnie co najmniej jako osoby zatrudnione na podstawie umowy o pracę. Powstaje pytanie, czy zaliczać do tej puli także osoby zatrudnione na kontrakcie menadżerskim, co też musi określić bank.

Rekomendacja wskazuje także, że ów stosunek wynagrodzenia powinien być ustalony na poziomie umożliwiającym skuteczne wykonywanie zadań przez pracowników banku, z uwzględnieniem potrzeby ostrożnego i stabilnego zarządzania bankiem. Jednoznacznie chodzi tutaj o sytuację, gdy wynagrodzenia pracowników zbytnio odbiegają od wynagrodzeń członków zarządu. Owa luka wynagrodzeń, znana w licznych badaniach pod nazwą „CEO pay worker gap” swymi rozmiarami różnie się nie tylko co do krajów, ale także sektorów. Wedle Rekomendacji kluczowe jest jednak wymóg potrzeb ostrożnego i stabilnego zarządzania bankiem. Wydaje się, że pewną podpowiedzią mogą być zlecane przez bank analizy wynagrodzeń w tych bankach, które najlepiej spełniają normy ostrożnościowe a także wymogów planów ciągłości działania czy generalnie wymogów ryzyka operacyjnego odnośnie zapewniania adekwatnych zasobów ludzkich minimalizujących te ryzyko.

Rekomendacja Z a zarządzanie ryzykiem

Stosunkowo wiele miejsca Rekomendacja Z poświęca zarządzaniu ryzykiem, aczkolwiek większość rekomendacji szczegółowych dotyczy zadań i obowiązków już wykonywanych. Rekomendacja Z utrzymuje, przyjęty w Rekomendacji H, podział mechanizmów na mechanizmy kontroli ryzyka (np. limity) oraz mechanizmy kontrolne dotyczące mechanizmów kontroli ryzyka (np. alerty wskazujące na przekroczenie limitu). W tym podziale limit jako mechanizm kontroli ryzyka oznacza więc pewną ilościową bądź jakościową  (przy ryzyku trudnomierzalnym) „wartość” progową, której nie powinno się przekraczać, zaś mechanizmy kontrolne z funkcji kontroli to wszystkie działania, które mają zapobiegać przekraczaniu limitowi, dokumentować i alarmować o jego przekroczeniu.

Sam fakt zakazu przekroczenia limitów został w Rekomendacji Z wskazany po raz pierwszy wprost. Do tej pory mógł być wyinterpretowany z § 15 ww. Rozporządzenia z dnia 6 marca 2017 w sprawie sytemu zarządzania…., zgodnie z którym  „W ramach kontroli ryzyka bank określa sposób postępowania w przypadku przekroczenia limitów …. sposoby wyeliminowania tego przekroczenia oraz środki mające na celu zapobieżenie takim sytuacjom w przyszłości.

Przytoczony §15 zastąpił analogiczny § 18 ust. 1 uchwały KNF nr 258/2011, zgodnie z którą „Bank określa sytuacje, w których dopuszczalne jest przekroczenie limitów wewnętrznych, o których mowa w § 17 ust. 1 oraz warunki akceptacji takich przekroczeń.”

Jak widać, od 2017 przekraczanie limitów wewnętrznych jest niedopuszczalne. Rekomendacja Z podąża tym tropem, a w rekomendacji szczegółowe 19.5 wskazuje, że „jednostki biznesowe raportują, w ramach systemu informacji zarządczej, odnośnie stanu bieżącego zarządzania ryzykiem, w tym zwłaszcza odnośnie zbliżania się do limitu lub przekroczenia, bądź niedotrzymania limitu.

Kluczowe wydaje się jednak ustalenie, co jest rozumiane w banku pod pojęciem „limitu” poza tym, że limit ma charakter mechanizmu kontroli ryzyka. Czy limitem jest limit na karcie kredytowej? Czy limitem są nieprzekraczalne wartości progowe dla pojedynczej ekspozycji kredytowej, czy dla ekspozycji dla całego portfela? Być może chodzi o limity, które wyznaczają nieprzekraczalny poziomy dla poszczególnych rodzajów ryzyka? Wydaje się, że bez tego określenia trudno będzie bankom wdrożyć Rekomendację, zwłaszcza że wspomniane jest także raportowanie odnośnie zbliżania się do limitu. Owszem, te swoiste pre-limity możliwe są w niektórych przypadkach, jak choćby popularne systemy świateł ostrzegawczych/alertów w ryzyku kredytowym, ale jak wiadomo rodzajów i limitów jest w banku multum. Z tego powodu najlepszym rozwiązaniem powinna być metoda top down approach, gdzie limity wyznacza się rozpoczynając od adekwatności kapitałowej idąc niejako w dół po poszczególnych ryzykach.

Całkowitą nowością jest nałożenie, zgodnie z rekomendacją 27.3, obowiązku uzasadnienia veta lub zmiany stanowiska podczas głosowania przez Chief Risk Officera oraz niezwłoczne poinformowanie o tym rady nadzorczej. Zgodnie z rekomendacją proces podejmowania decyzji w zakresie zarządzania ryzykiem można opisać na poniższym rysunku.

Proces podejmowania decyzji w zakresie zarządzania ryzykiem zgodnie z Rekomendacją Z
Proces podejmowania decyzji w zakresie zarządzania ryzykiem zgodnie z Rekomendacją Z

Z racji faktu, że rekomendacja 27.3 wskazuje na głosowanie CRO „w sposób odmienny, niż wstępnie zostało to zaproponowane w projekcie decyzji” oznacza, że w sprawach zarządzania ryzykiem, które są przedmiotem obrad powinno być już wyrażone pewne wstępne stanowisko, tudzież pewna rekomendacja dla zarządu ze strony komórek ds. zarządzania ryzykiem, często zresztą stanowisko zatwierdzone już przez Chief Risk Officera. W przeciwnym wypadku, trudno będzie wskazać, że CRO głosował „w sposób odmienny”.  Co ważne głosowanie odmienne od wstępnego stanowiska lub odmiennego w stosunku niż większość członków zarządu obejmuje także wstrzymanie się od głosu, co może być istotne dla rady nadzorczej oraz regulatora w ustalaniu zakresu odpowiedzialności za podjęcie określonych decyzji przez poszczególnych członków zarządu.

Rekomendacja Z a „małe weto” komórki ds. zgodności

Rekomendacja Z porządkuje też zasady dotyczące tzw. polityki wprowadzania produktów. Jedną z jej nowości jest mechanizm „małego weta” komórki ds. zgodności i komórki ds. zarządzania ryzykiem. Zgodnie z rekomendacją 29.5

W przypadku, gdy komórka organizacyjna odpowiedzialna za zarządzanie ryzykiem lub komórka do spraw zgodności, wyraża negatywną opinię co do zasadności zatwierdzenia nowego produktu lub znaczących zmian dotychczasowego produktu, rekomenduje się, aby decyzję o zatwierdzeniu podejmował zarząd banku (a nie powołany przez niego komitet). W przypadku zatwierdzenia nowego produktu lub znaczących zmian w dotychczasowym produkcie przez zarząd, zarząd niezwłocznie informuje o tym radę nadzorczą, wraz ze wskazaniem powodów, dla których nie uwzględnił opinii w/w komórek.

Dla tych banków, dla których bez pozytywnej opinii komórki ds. zgodności oraz komórki ds. zarządzania ryzykiem, żadnej produkt nie mogą zostać wdrożone, rekomendacja 29.5 może się wydać wręcz złagodzeniem pewnych standardów. Wydaje się jednak, że Rekomendacja wskazuje tu pewien standard minimum, wedle którego swoiste weto ww. komórek drugiej linii obrony, może zostać przełamane jedynie przez zarząd i to przy obowiązku poinformowania o tym rady nadzorczej.

Pojęcie produktu należy rozumieć szeroko, a więc także jako usługi, nawet jeśli nie zostało to wskazane wprost. Pewne trudności interpretacyjne mogą wywoływać sytuacje, gdy ww. komórki nie tyle dokonują zatwierdzenia danego produktu, co jedynie oceniają poziom ryzyka, a decyzja zostawiano zostaje komitetowi bądź zarządowi. W takich przypadkach wydaje się, że przydatnym rozwiązaniem byłoby wskazanie na akceptowalny pozom ryzyka, zaś ocena ryzyka przekraczająca ten poziom (np. poziom niski ryzyka braku zgodności) mogłaby być traktowana analogicznie do braku zatwierdzenia.