Rewolucyjne zmiany w bankowym compliance

1 maja zacznie obowiązywać nowe rozporządzenie Ministra Rozwoju i Finansów z dnia 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach. Przepisy wprowadzają zmiany w zasadach zarządzania bankiem, systemie zarządzania ryzykiem i kontroli wewnętrznej. Przed bankami postawiono nowe wyzwania, między innymi w obszarze compliance, jako integralnej części systemu zarządzania bankiem. Przepisy rozporządzenia zostają uzupełnione Rekomendacją H, która w sposób szczegółowy określa zasady, na jakich ma funkcjonować system kontroli wewnętrznej. Banki staną przed koniecznością zmian w statutach, regulaminach pracy zarządów i rad nadzorczych, na co wbrew pozorom (6 miesięcy vacatio legis) nie zostało wiele czasu, zważając na ograniczone moce przerobowe w KNF versus ilość banków, które będą zgłaszały organowi nadzoru zmiany w statutach. Poniżej odpowiedzi na najczęściej zadawane przez czytelników Forum Compliance pytania odnośnie rozporządzenia, w szczególności dotyczących compliance.

1. Jak rozporządzenie wpłynie na strukturę organizacyjną instytucji?

Znacząco. Przede wszystkim zmianie powinien ulec statut banku w zakresie obowiązków rady nadzorczej i zarządu. Zmianie ulegnie też regulamin organizacyjny banku, między innymi w zakresie organizacji jednostki compliance, która ma być niezależna i nie może być łączona z innymi komórkami (nie dotyczy to wyłącznie banków spółdzielczych zrzeszonych w bankach zrzeszających). Banki, w których jednostka compliance zajmuje się równocześnie zadaniami z zakresu przeciwdziałania praniu pieniędzy i finansowania terroryzmowi staną przed dylematem wyodrębnienia działalności operacyjnej z pierwszej linii obrony, jakim jest zarządzanie obszarem ochrony danych osobowych, czy weryfikacja klientów pod kątem KYC, monitorowania transakcji/alertów AML i sporządzania zawiadomień o transakcjach podejrzanych, od zarządzania ryzykiem na poziomie drugim (compliance).

2. Co należałoby zmienić w regulacjach wewnętrznych banku?

Przede wszystkim należy powiazać strategię zarządzania bankiem (zostało 10 dni!) ze strategią zarządzania ryzykiem i systemem kontroli wewnętrznej, według której należy min. zidentyfikować procesy uznane za istotne (uwaga: nie są one tożsame z procesami kluczowymi, które znamy z Rekomendacji M). Dodatkowo należy stworzyć w formie opisowej matrycę funkcji kontroli, jednocześnie wyznaczając jednostkę odpowiedzialną za jej aktualizację i weryfikację oraz wyznaczyć zadania w ramach funkcji kontroli wszystkim jednostkom organizacyjnym banku. Nie można zapomnieć o regulaminie funkcjonowania komórki do spraw zgodności, który ma dodatkowo zostać zatwierdzony przez zarząd i radę nadzorczą. Dodatkowo zmiany będą również wymagane w regulaminach wynagradzania, zasadach wynagradzania risk takers, w tym w umowach o pracę/kontraktach/kartach zadań/zakresach obowiązków. 

3. Jakie główne zmiany dotyczą zarządu i rady nadzorczej?

Zarząd banku ma ustalić wewnętrzny podział kompetencji i wskazać członka zarządu, do którego będą zgłaszane naruszenia oraz odpowiedzialnego za bieżące funkcjonowanie procedur anonimowego zgłaszania naruszeń (whistleblowing). Wewnętrzny podział kompetencji podlega zatwierdzeniu przez radę nadzorczą i zmian w statucie. Dodatkowo należy opracować procedury przyjmowania zgłoszeń w przypadku zgłoszenia dotyczącego członka zarządu oraz zasady raportowania i oceny przez radę nadzorczą adekwatności i skuteczności działań podejmowanych przez zarząd. Rada nadzorcza i zarząd będą zobowiązane do przestawiania i akceptacji nowych rodzajów raportów, zmianie ulegnie, więc system zarządzania informacją zarządczą, jak również regulaminy pracy tych organów. Rozporządzenie dotyka również kwestii zmiennych składników wynagrodzeń członków zarządu (oraz innych risk takers) określając zasady wysokości, przyznawania, odraczania i cofania wynagrodzenia. Ważne: nie będzie można wykorzystywać w tym celu akcji fantomowych.
Jednym z nowych obowiązków rady nadzorczej, o ile nie powołano komitetu wynagrodzeń, będzie opiniowanie i monitorowania zmiennych składników wynagrodzenia risk takers na drugim poziomie zarządzania (compliance, zarządzający poszczególnymi rodzajami ryzyka) oraz audytu. Rada będzie również oceniać stopień efektywności zarządzania ryzykiem braku zgodności

4. Jakie zmiany dotyczą compliance?

Rewolucyjne. Compliance ma być w pełni niezależną komórką, tak jak audyt. Ma działać na podstawie regulaminu, planu i wykonywać określone rozporządzeniem obowiązki. Nie może być łączona z departamentem prawnym, ryzyka, czy audytu. O ile rozporządzenie nie wskazuje, komu bezpośrednio ma podlegać kierujący jednostką compliance, o tyle jasne w tej kwestii są przepisy dot. MiFID i wytyczne Rekomendacji H – prezesowi zarządu. Kłopot zaczyna się w sytuacji, w której ryzyko braku zgodności zostanie uznane za ryzyko istotne, nadzorowane przez innego członka zarządu, a które nie może być w przypadku banków komercyjnych pod bezpośrednim nadzorem prezesa.

Pracownicy komórki do spraw zgodności mają posiadać kwalifikacje, doświadczenie i umiejętności w zakresie zarządzania ryzykiem braku zgodności występującym w działalności banku. Dodatkowo, w bankach które prowadzą działalność maklerską na podstawie art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, kierujący komórką do spraw zgodności pełni jednocześnie rolę inspektora nadzoru zgodności zgodnie z MiFID. Rozporządzenie wprowadza ochronę kierującego audytem i compliance – ich powołanie/odwołanie ma się odbywać za zgodą rady nadzorczej, dodatkowo przed odwołaniem rada ma wysłuchać zwalnianą osobę.  Każda zmiana na tym stanowisku ma być raportowana do KNF. Dodatkowe środki ochronne przed nieuzasadnionym zwolnieniem z pracy mają być również wdrożone w stosunku do pracowników komórek compliance i audytu. Compliance ma brać aktywny udział w ocenie ryzyka nowych produktów. 

5. Jakie zmiany w audycie?

Oprócz wymienionych powyżej,  audyt będzie miał obowiązek  oceny efektywności realizacji zaleceń wydanych przez komórkę audytu wewnętrznego w ramach badań audytowych, co wiąże się z koniecznością określenia zasad, na jakich będzie ona oceniana.

Wszystkim, którzy chcieliby poszerzyć swoją wiedzę i szczegółowo zapoznać się ze zmianami, zachęcam do udziału w szkoleniu „Compliance w banku według rozporządzenia Ministra Rozwoju i Finansów z dnia 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach oraz rekomendacji H i Z”, które odbędzie się 30 maja 2017 r. w Warszawie, którego organizatorem jest nasz partner, firma Prestige Conferences

 

Joanna Grynfelder
napisz do autorki: j.grynfelder@forumcompliance.com

Może Ci się również spodoba

8 komentarzy

  1. olo napisał(a):

    Rozporządzenie nie wyłącza możliwości zarządzania AML przez Compliance. Nie wiem skąd autor wysnuł taki wniosek..

    • Forum Compliance napisał(a):

      Nigdzie nie napisałam, że możliwości zarządzania AML przez Compliance zostanie wyłączona, ale o dylemacie konfliktu interesów w przypadku realizacji przez compliance zadań operacyjnych, których zgodność i ryzyko braku zgodności ma badać. Proces AML, czyli min. weryfikacja klientów pod kątem KYC, monitorowanie transakcji/alertów AML czy sporządzanie zawiadomień o transakcjach podejrzanych – to ewidentnie czynności operacyjne z pierwszej linii obrony. Zadania komórki compliance na drugiej linii, są jasno określone w rozporządzeniu. Oczywiście zadania compliance w zakresie AML mogą być określone w ramach matrycy funkcji kontroli i w planie monitoringu compliance. Podobnie jak w przypadku komórki audytu, skuteczne zarządzanie ryzykiem wymaga od compliance bezstronności i obiektywizmu – stąd wymóg powstrzymania się compliance od czynności, które mogą powodować zaistnienie konfliktu interesów. Tak samo będzie z każdym procesem operacyjnym realizowanym przez compliance, np. administrowanie danymi osobowymi, raportowanie ESPI/KNF, czy zarządzanie procesem reklamacji. Chętnie podyskutuję na ten temat 🙂 Pozdrawiam serdecznie, Joanna

  2. Forum Compliance napisał(a):

    Mnie najbardziej interesuje kwestia wyłączenia spod compliance obszaru AML. Czy da się pogodzić pozostawienie pralki w compliance?

  3. Zana napisał(a):

    Nie jestem pewna, czy to może być compliance. Tworzenie matrycy i jej aktualizacja to IMHO czynności pierwszej linii obrony.

  4. Artur napisał(a):

    W banku w którym pracuje zadanie powierzono komitetowi ryzyka operacyjnego

  5. adr napisał(a):

    jak w Waszych bankach zorganizowano matrycję fukcji kontroli, tzn jaka jednostka jest za to odpowiedzialna? U nas zaproponowano żeby zadania przydzielić do compliance, ale nie jestem pewien czy to nie będzie stało w konflikcie interesów z zadaniami compliance.

    • Bankier napisał(a):

      Jak najbardziej jest to zadanie dla komórki compliance

      • Forum Compliance napisał(a):

        a konkretnie, jakie zadania wg Pana może wykonywać compliance w ramach procesu AML, biorąc pod uwagę wymogi organizacyjne systemu kontroli wewnętrznej?

Dodaj komentarz

Twój adres email nie zostanie opublikowany.