Global menu

Our global pages

Close

Doradztwo komórki do spraw zgodności i komórki audytu wewnętrznego w świetle projektu Rekomendacji H

  • Poland
  • Banking and finance

30-06-2017

Obowiązująca od 1 listopada 2015 r. zmiana systemu kontroli wewnętrznej uregulowana w  znowelizowanym art. 9c ustawy Prawo bankowe (dalej: ustawa) w sposób oczywisty musiała dotknąć także i compliance jako elementu koniecznego tegoż systemu. Rzecz jasna, na samej ustawie zmiany te się kończyć nie mogą, co wynika choćby z prostego faktu, że uchwała Nr 258/2011 KNF obowiązywać będzie co najwyżej do końca kwietnia 2017 r[1]. Spodziewane zmiany powinny więc wejść w życie najpóźniej do tego czasu. Z komunikatów Ministerstwa Finansów oraz Komisji Nadzoru Finansowego wynika, że oto ten moment nadchodzi, projekt stosowanego rozporządzenia Ministerstwa Finansów zastępującego uchwałę NR 258/2011 KNF (dalej: projekt rozporządzenia) pojawił się właśnie na stronie RCL[2], zaś w czerwcu 2016 r. Komisja przyjęła założenia nowelizacji Rekomendacji H KNF[3] (dalej: Założenia Rekomendacji). Jeśli dodać do tego konsultowany publicznie projekt Rekomendacji Z KNF dotyczący zarządzania wewnętrznego w bankach[4], widać, że zmian jest relatywnie wiele, a cała organizacja, w tym zwłaszcza compliance oficerzy staną w najbliższym czasie przed nie lada zadaniem tychże zmian implementacji.

Redefinicja zakresu zadań compliance

Kluczową zmianą widoczną zarówno w projekcie rozporządzenia, jak i Założeniach Rekomendacji, jest przejście na model trzech (poziomów) linii obrony, rozumianych jako system kontroli wewnętrznej i system zarządzania ryzykiem razem. Graficznie ów model (w przeciwieństwie, choćby do trójwymiarowego modelu COSO), przedstawiany jest jako trzy poziomie linie umieszczone zwykle jedna nad drugą, co poniekąd determinuje charakter modelu. Jest nim weryfikacja/monitorowanie/kontrola[5] niższej linii przez wyższą tj. pierwsza linia powinna być monitorowana przez drugą i trzecią, a druga linia monitorowana powinna być przez trzecią. Z punktu widzenia komórki do spraw zgodności najważniejsze jest zaliczenie jej (jako elementu systemu kontroli wewnętrznej) do drugiej linii obrony tego modelu, co, rzecz jasna, oznacza, że powinny być jej przypisane odpowiednie zadania wykonywane w ramach tejże linii. Aby zrozumieć charakter owych zadań, należy wskazać, co jest zadaniem systemu kontroli wewnętrznej wpisanego w model trzech linii obrony. Zgodnie z art. 9c ust. 1 ustawy jest nim zapewnienie osiągania czterech kategorii celów, w tym m.in. zgodności działania banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi. Oznacza to więc, że model trzech linii obrony, to jest każda z trzech linii obrony, odpowiada m.in. za zapewnienie owej zgodności. Oznacza to również, że za zapewnianie zgodności nie może odpowiadać jedynie komórka do spraw zgodności (bo to zadanie wszystkich trzech linii w kontekście zapewniania owego celu).

Mimo iż w toku historycznego rozwoju zarówno komórka compliance, jak i komórka audytu wewnętrznego, traktowane były jako tzw. funkcje kontrolne, to jednak ich rola doradcza rozumiana jako wydawanie niewiążących opinii jak najbardziej dawała się zauważyć jako stosowana praktyka rynkowa. Najnowszy projekt nowelizacji Rekomendacji H KNF dotyczący systemu kontroli wewnętrznej w banku także nie pomija tej kwestii, zwłaszcza w przypadku audytu wewnętrznego.

Doradztwo a compliance

W pierwszej kolejności należy zaznaczyć, że projekt Rekomendacji H nie odnosi się do ewentualnej roli doradczej komórki do spraw zgodności. W związku z tym w przypadku compliance, a konkretnie komórki do spraw zgodności, wydaje się, że możliwość doradzania– jeśli miałaby być dopuszczalna – powinna być wpisana w jedną z ról tej komórki, jakie jej zostały przypisane w projekcie Rekomendacji. Zgodnie z projektem rola komórki do spraw zgodności określona została przez dwa podstawowe filary:

  • Pierwszy filar stanowi niezależne monitorowanie mechanizmów kontrolnych w ramach funkcji kontroli (np. monitorowanie poziome samej komórki do spraw zgodności oraz monitorowanie pionowe tj. weryfikacja bieżąca pionowa pierwszej linii obrony oraz testowanie pionowe pierwszej linii obrony).
  • Drugi filar stanowi zarządzanie ryzykiem braku zgodności, w tym zwłaszcza projektowania i wprowadzania mechanizmów kontroli ryzyka braku zgodności.

W tak ujętych zadaniach, wydaje się, że z doradzaniem, to jest wydawaniem opinii niewiele wspólnego ma testowanie poziome oraz pionowe, a także takie elementy procesu zarządzania ryzykiem braku zgodności jak: identyfikowanie, ocena, monitorowanie oraz raportowanie o ryzyku braku zgodności. Pojawia się pytanie, czy w grę może wchodzić opiniowanie jako rodzaj weryfikacji bieżącej, zwłaszcza pionowej lub opiniowanie jako rodzaj mechanizmu kontroli ryzyka braku zgodności? Pamiętając, że – zgodnie ze słowniczkiem Rekomendacji – weryfikacja bieżąca to porównywanie stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny co najmniej przestrzegania mechanizmów kontrolnych, przed rozpoczęciem lub w trakcie trwających czynności wykonywanych w ramach procesów funkcjonujących w banku, należy zauważyć, iż wydawanie opinii jako przejaw weryfikacji bieżącej mogłoby oznaczać porównywanie ex ante lub porównywanie w trakcie procesu zakończone wydaniem stosownej opinii. Przykładowo, zgodnie z Rekomendacją 7.3 weryfikacja bieżąca może być realizowana przez pracownika w toku wykonywania przez niego czynności operacyjnych (np. weryfikacja poprawności dokumentacji kredytowej lub danych wprowadzonych). Problem, jaki się jednak pojawia przy takiej interpretacji, dotyczy charakteru ewentualnej opinii. Weryfikacja bieżącą, czy to pionowa czy pozioma, jest elementem niezależnego monitorowania funkcji kontroli, polegającego na porównywaniu stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny, co oznacza, iż ocena taka (np. weryfikacja dokumentacji kredytowej) powinna być w ramach owego porównywania wiążąca. Tym samym trudno wynik czynności kontrolnych (owego porównywania) uznać za opinię, skoro jest to wiążąca (w ramach niezależnego monitorowania) ocena danego stanu faktycznego...

Cały artykuł dr Łukasza Cichego przeczytasz w wiosennym wydaniu magazynu "Compliance i Zarządzanie">

Tekst przygotowany został przed ostateczną wersją Rekomendacji H

 

< Wstecz

© Eversheds Sutherland 2022. All rights reserved. Eversheds Sutherland is a global provider of legal and other services operating through various separate and distinct legal entities.

Eversheds Sutherland is the name and brand under which the members of Eversheds Sutherland Limited (Eversheds Sutherland (International) LLP and Eversheds Sutherland (US) LLP) and their respective controlled, managed and affiliated firms and the members of Eversheds Sutherland (Europe) Limited (each an "Eversheds Sutherland Entity" and together the "Eversheds Sutherland Entities") provide legal or other services to clients around the world. Eversheds Sutherland Entities are constituted and regulated in accordance with relevant local regulatory and legal requirements and operate in accordance with their locally registered names. The use of the name Eversheds Sutherland, is for description purposes only and does not imply that the Eversheds Sutherland Entities are in a partnership or are part of a global LLP. The responsibility for the provision of services to the client is defined in the terms of engagement between the instructed firm and the client.