Tag Archives: metodologia compliance

Parametry zarządzania ryzykiem braku zgodności w MIFID

Zarządzanie ryzykiem braku zgodności jest jednym z kluczowych aspektów zarządzania firmą inwestycyjną czy bankiem z art. 70 ust. 2 ustawy o obrocie instrumentami inwestycyjnymi[1]. Pogląd ten był wielokrotnie akcentowany tak poprzez stanowiska Urzędu Komisji Nadzoru Finansowego[2], jak i przez Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (European Securities and Markets Authority – ESMA)[3]. Warto wskazać, że np. UKNF w cytowanym Stanowisku wprost wskazuje, że nieprawidłowością w zarządzaniu ryzykiem braku zgodności jest brak określonej metodyki zarządzania wskazanym ryzykiem, czyli brak określenia praktycznego zastosowania metod do zarządzania ryzykiem[4]. Ryzyko braku zgodności jest ryzykiem z gatunku trudnomierzalnych, klasyfikowane zaraz obok ryzyka prawnego albo ryzyka reputacyjnego. Poniżej przedstawiam krótką i prostą metodykę zarządzania ryzykiem braku zgodności w zakresie MiFID. Na wstępie zaznaczam, że konkretne parametry, które badane są w ramach kompleksowej oceny ryzyka braku zgodności w kontekście MiFID to kwestia indywidualna, może być ich więcej, mniej, w zależności od rodzajów działalności maklerskiej świadczonych przez dana firmę inwestycyjną czy bank. Podobnie z określaniem parametrów danego współczynnika – należy dostosować je do swojego apetytu na ryzyko oraz określić na podstawie analizy danych historycznych.

Jako współczynniki właściwego zarządzania ryzykiem braku zgodności w MiFID, w którym przesłanką naczelną będzie najlepiej pojęty interes klienta proponuję na przykładzie banku: sssa

Gdzie:

ggfgf

 

 

 

 

  • Kategoria nr 1 nie wymaga w zasadzie podjęcia działań naprawczych (stan postulowany).
  • Kategoria nr 2 wymaga podjęcia niewielkich działań naprawczych, doprecyzowania kilku kwestii etc.
  • Kategoria nr 3 wymaga szybkich działań naprawczych, gdyż prawdopodobnie usługi inwestycyjne są świadczone w sposób nieodpowiedni, niezgodny z MiFID.
  • Kategoria nr 4 wymaga zapewne natychmiastowych działań naprawczych, najpewniej o charakterze systemowym, a usługi na podstawie MiFID są świadczone w sposób niezgody z MiFID, zatem istnieje znaczne ryzyko materializacji się ryzyk –  regulatorskiego, braku zgodności, reputacyjnego. Wyniak na poziomie 9 – 11 pkt. powinien być natychmiast eskalowany do rady nadzorczej.

Propozycje określania parametrów przedstawiam poniżej(choć oczywiście jak wspominałem na wstępie powinniśmy je dostosować do swojego apetytu na ryzyko etc.). bcvbvc

——————————————————————————————-

Artykuł dostępny w wersji do wydruku w zakładce: Do pobrania.

——————————————————————————————-

[1] tj. Dz. U. z 2010 Nr 211, poz. 1384, z późn. zm.

[2] Por.  Stanowisko UKNF w zakresie funkcjonowania w ramach firm inwestycyjnych systemu nadzoru zgodności działalności z prawem (compliance) z dnia 28 maja 2014 r.

[3] Por. Wytyczne ESMA w sprawie określonych aspektów wymogów dyrektywy MiFID dotyczących komórki ds. nadzoru zgodności z prawem z dnia 25 czerwca 2012 r., syg. ESMA/2012/388. Por. także Financial Conduct Authority Handbook – SYSC 6.1 Compliance, czy opracowanie Komitetu Bazylejskiego ds. Nadzoru Bankowego – Zgodność i funkcja  zapewnienia zgodności  w bankach z kwietnia 2005 r.

[4] Za: Uniwersalny słownik języka polskiego, „metodyka” to „zbiór zasad dotyczących sposobów wykonywania jakiejś pracy lub trybu postępowania dotyczącego określonego celu”.

Reklamy

Testy zgodności i kontrole compliance

Abstrahując w chwili obecnej od COSO, czy innych metodyk pomocnych w zarządzaniu ryzykiem braku zgodności, skupię się jedynie na samych testach zgodności w obszarze MiFID. Ważną kwestią jest oczywiście częstotliwość wykonywania takich testów – mogą być one wykonywane rokrocznie, co dwa lata (w uzasadnionych przypadkach), oraz oczywiście ad hoc i w sposób ciągły (możliwe są inne kombinacje – np. kwartalnie, aczkolwiek wydaje mi się, że tracą nieco wtedy na efektywności).

Przyporządkowanie domen MiFID do harmonogramu szkoleń (Rys. 1 – opracowanie własne autora):

zzza

Umiejscowiłem testy z zakresu ochrony informacji poufnych oraz stanowiących tajemnicę zawodową, oraz przeciwdziałania manipulacjom wraz z reklamacjami w cyklu dwuletnim (jest czymś pośrednim pomiędzy cyklem corocznym – racjonalnym, a trzyletnim – zdecydowanie zbyt długim), a to w związku z faktem, że właściwe ‘domknięcie’ obszarów reklamacji oraz market abuse (insider trading oraz market manipulation) powoduje, że nie powstaje konieczność tak ‘częstego’ testowania w/w obszarów (także w związku, ze są to obszary nieco back-upowe).

Istotnym jest aby dokument testu zgodności obszaru MiFID składał się z trzech części:

1. Określenia kontroli jakie przeprowadzane są w danym obszarze przez I-ą linię kontroli, czyli biznes – zgodnie z teorią rozwoju funkcji compliance – charakterystyczne dla compliance bardzo dojrzałego. W dokumencie takim powinno być zaznaczone, jaka jednostka dokonuje kontroli, przedstawiony jej wyczerpujący opis, klasyfikacja kontroli, jej automatyzacja (o ile w danej firmie inwestycyjnej występują jakiekolwiek kontrole automatyczne, dokonywane już na poziomie systemu komputerowego, niemalże bez udziału czynnika ludzkiego), czy jej częstotliwość, oraz wreszcie tzw. inne elementy istotne, które nie zostały ujęte wyżej.  Należy pamiętać, że jest to co do zasady odrębny dokument wypełniany przez biznes przed rozpoczęciem  kontroli właściwej, który potem de facto staje się częścią raportu pokontrolnego.

2. Określenia założeń metodologii – jak zawsze, im bardziej szczegółowa metodologia, tym i test będzie łatwiejszy. Należy też pamiętać o fakcie ciągłości testów i kontroli, czyli o prostej zasadzie mówiącej, że czytelnik dokumentu pokontrolnego za kilka lat powinien bez zbędnych trudności móc odtworzyć wnioskowanie, które przewodziło testowi. Metodologia więc powinna pokrywać wszystkie aspekty danego obszaru oraz wpisywać się w metodologię zarządzania ryzykiem braku zgodności. Ważnym jest także:

    1. Zakreślenie ram przedmiotowych i podmiotowych
    2. Przegląd procedur danego obszaru
    3. Zebranie niezbędnych dokumentów
    4. Określenie świadomości pracowników w danym obszarze – mail, telefon, oraz przede wszystkim ankieta
    5. Określenie przeszkolenia pracowników z danego obszaru
    6. Określenie metod archiwizacji

3. Elementów dodatkowych testu zgodności – w szczególności określeniu procedur raportowania – czy każdorazowo raportujemy do Zarządu, czy tez jedynie dajemy informację w raportach półrocznych czy rocznych. Dodatkowo raport z przeprowadzonego testu zgodności powinien każdorazowo przedstawiany do wiadomości komórki audytu wewnętrznego a opis kontroli powinien być odbiciem pytań i zasad określonych w metodologii. Wydaje się być kwintesencją samego testu, aby dokument pokontrolny (Opis Testu Zgodności) zawierał albo informację o braku stwierdzonych nieprawidłowości albo też szczegółowy opis stwierdzonych nieprawidłowości wraz z:

  • Rekomendacją jednostki compliance
  • Komórką odpowiedzialną za wykonanie planu naprawczego
  • Określeniem samego planu naprawczego
  • Ustosunkowaniem się komórki odpowiedzialnej
  • Określeniem daty wykonania rekomendacji
  • Określeniem ratingu rekomendacji (nieprawidłowości)