Compliance i Ryzyko w procesie tworzenia i nadzorowania (nowych) produktów, czyli kolejna odsłona analizy Raportu oraz Wytycznych EBA.

W jednym z ostatnich artykułów przyjrzeliśmy się nowemu raportowi Europejskiego Urzędu Nadzoru Bankowego (EBA) „Report on the application of the Guidelines on Product Oversight and Governance (POG) Arrangements (EBA/GL/2015/18)” (Wytyczne POG), który dotyczy dobrych praktyk w zakresie wprowadzania i nadzorowania produktów oferowanych m.in. przez dostawców usług płatniczych. W pierwszej części przeyjrzeliśmy kwestii dokumentowania procesu oraz rozwiązaniom organizacyjnym. Dzisiaj zajmę się kwestią roli komórki Compliance oraz Zarządzania Ryzykiem w całym procesie zarządzania produktem.

Problematyka zaangażowania jednostek zarządzania ryzykiem oraz ryzykiem braku zgodności (compliance) w procesie „produktowy”, poza ww. Wytycznymi EBA, regulują Rozporządzenie Ministra Finansów w sprawie kontroli wewnętrznej, Rekomendacja „H” Komisji Nadzoru Finansowego oraz wytyczne EBA w sprawie kontroli wewnętrznej. Prawidłowe wdrożenie (i wykonanie) szeregu obowiązków wynikających z tych dokumentów jest warunkiem tego, że oferowane produkty będą spełniały oczekiwania klientów i tym samym będą do nich bardziej dopasowane.

Rola Compliance i Ryzyka

Już w pierwszym artykule wskazałem na znaczenie komórek compliance oraz zarządzania ryzykiem w procesie tworzenia i nadzorowania produktów. Ustalenie prawidłowych zasad w tym zakresie (w tym odpowiedzialności, eskalacji i monitoringu) – poprzez zaprojektowanie polityk (zarządzania produktem oraz zgodności), procedur (funkcjonowania komitetu produktowego) i regulaminów organizacyjnych (w tym kontroli wewnętrznej) – będzie z pewnością przedmiotem badania KNF zarówno na etapie uzyskiwania licencji, jak i w trakcie regularnych kontroli, np. w ramach BION. Pamiętajmy więc o wyraźnym określeniu tych obowiązków w dokumentach wewnętrznych.

Należy pamiętać, że choć compliance i zarządzanie ryzykiem to osoby o bardzo wysokich kwalifikacjach, to w przypadku osób wyznaczonych do nadzoru nad produktami niezwykle istotna jest odpowiednia wiedza ekspercka (w tym biznesowa) oraz doświadczenie. Spełnienie tych warunków może być przedmiotem badania przez organ nadzoru.

Choć to Zarząd lub Komitet Produktowy odpowiadają za wdrożenie i nadzorowanie produktu (biorąc za to odpowiedzialność), to compliance wraz z komórką zarządzania ryzykiem odpowiadają za wsparcie organów wykonawczych w realizacji tych obowiązków (w tym poprzez opracowywanie i wdrażanie odpowiednich dokumentów). Na tych jednostkach ciąży również dokonywanie okresowych przeglądów wszelkich zasad zarządzania produktem (i ewentualne zgłaszanie potrzeby aktualizacji).

Komitet ds. Ryzyka

Warto nadmienić, że Wytyczne EBA w sprawie kontroli wewnętrznej odnoszą się również do roli Komitetu ds. Ryzyka. Taki komitet powinien nadzorować co najmniej wprowadzanie i dostosowywanie istotnych produktów i usług (to też produkty – o czym pisałem w poprzednim artykule). Taki organ powinien badać również czy te produkty przystają do modelu biznesowego (co może być również przedmiotem badania przez KNF) oraz czy stosunek ceny równoważy ewentualne ryzyko związane z jego wprowadzeniem.

Co „mówi’ rekomendacja H oraz Rozporządzenie Ministra Finansów?

Zacznijmy od Rozporządzenia Ministra Finansów (które dotyczy wprawdzie banków, ale ma dość uniwersalny charakter). Wymaga ono wdrożenia odpowiedniego procesu przygotowawczego obejmującego co najmniej 5 faz (zasady te powinny zostać odzwierciedlone m.in. w polityce zarządzania produktem oraz polityce zarządzania ryzykiem – par. 18 ww. Rozporządzenia – i właściwych procedurach) obejmujących:

Porównanie czy dany produkt „łapie się” do strategii zarządzania oraz ryzyka (te dokumenty przygotowywane są również na etapie przed uzyskaniem licencji);
Zidentyfikowanie ryzyk, które mogą wiązać się z produktem;
Przeprowadzenie analizy produktu pod kątem występującego ryzyko (w tym jego oszacowanie);
Ustalenie limitów w zakresie raportowania oraz ewidencji księgowej;
Wprowadzenie produktu zgodnie z wewnętrznymi zasadami, tj. przez Zarząd lub odpowiedni komitet.

Jeżeli chodzi o rekomendację „H” to znaczenie dla omawianego zagadnienia ma przede wszystkim wytyczna 17.2. Określa ona zakres obowiązków jakie ciążą na komórce compliance, a które muszą znaleźć się w regulaminie organizacyjnym komórki oraz polityce zgodności), do których należy m.in. analiza nowych produktów oraz modyfikacja już istniejących –„significant change” – pod kątem zgodności z odpowiednimi regulacjami, ale i standardami rynkowymi. Tutaj istotne zadania przypisano również komórce audytu.

Polityka zarządzania produktem

Częściowo temat został omówiony powyżej, jednakże jest to na tyle istotna kwestia, że wymaga ona odrębnego akapitu. Taka polityka powinna obejmować m.in. ustalenie zasad weryfikacji produktu pod kątem zgodności z otoczeniem regulacyjnym, zasadami rachunkowości czy wymogami ostrożnościowym (w kontekście ekspozycji na ryzyko). Ważnym elementem będzie część dotycząca rynku docelowego oraz zasad dystrybucji produktu, jednakże tym zagadnieniem zajmę się w kolejnym artykule.

Polityka powinna również uwzględniać kwestie dotyczące wykorzystania infrastruktury informatycznej oraz wiedzy eksperckiej (szczególnie wobec odpowiedzialnych za tworzenie produktu – product ownerów). Taka polityka musi również wyraźnie wskazywać jaka jednostka biznesowa odpowiada za dany produkt, tym bardziej że to ona zazwyczaj odpowiada za zapewnienie działań sprzedażowych z rynkiem docelowym (target market). Dokument ten powinien podlegać przeglądowi co najmniej raz w roku.

A jak to wygląda w praktyce?

Tak jak już wspomniałem w poprzednim artykule, jedną z dobrych praktyk uznanych przez EBA jest stosowanie tzw. checklist, które ułatwiają pozyskiwanie wszelkich analiz i zgód przez odpowiednie jednostki organizacyjne. Zazwyczaj wprowadzenie nowego produktu odbywa się od biznesu poprzez ryzyko, komórkę prawną oraz compliance, które rekomenduje (lub nie) wprowadzenie określonego produktu Zarządowi lub Komitetowi Produktowemu.

Przed rozpoczęciem formalnego procesu uzyskiwania zgód (czyli popularnych w korporacjach „approvali”) warto jednak skorzystać z „doradztwa” komórki ds. zgodności, aby wytyczny ogólny kierunek dla nowego produktu. To co może wydawać się atrakcyjne z biznesowego punktu widzenia nie zawsze musi być całkowicie zgodne z otoczeniem regulacyjnym.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech