Cześć 2. ESMA projektuje wytyczne w sprawie Compliance (MiFID2): obowiązki raportowe oraz doradztwo dla biznesu

W połowie lipca Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) poinformował o rozpoczęciu konsultacji obejmujących projekt wytycznych w sprawie komórek Compliance w ramach pakietu MiFID2. Dokument ten stanowi bardzo istotne uzupełnienie krajowych rozwiązań prawnych w zakresie wymogów organizacyjnych dla firm inwestycyjnych (m.in. Rozporządzenia Ministra Finansów z 29 maja 2018 r.) oraz Rozporządzenia 2017/565. W jednym z ostatnich artykułów przybliżyłem dwie pierwsze wytyczne dotyczące zarządzania ryzykiem oraz obowiązków w zakresie monitorowania. Dzisiaj zajmę się kwestią wymogów raportowych oraz doradztwa na rzecz jednostek biznesowych. Zaczynamy!

Dla przypomnienia, odpowiedzi na ogłoszenie ESMA można przesyłać do 15 października. Unijny nadzorca zwraca przy tym uwagę, aby odpowiedzi były jasne i zawierały alternatywne rozwiązania, które można rozważyć przy tworzeniu kolejnej iteracji.

Raportowanie, czyli ważny i wymagający obowiązek compliance

Obowiązki raportowe określają przede wszystkim art. 21 i następne Rozporządzenia 2017/565 oraz par. 22 i następne Rozporządzenia Ministra Finansów z 29 maja 2018 r.

Podstawowym wymogiem jest konieczność sporządzania i przekazywania raportów dotyczących (nie)spełniania warunków określonych w przepisach regulujących działalność inwestycyjną firmy inwestycyjnej. Takie pisemne raporty obejmują m.in. sposób funkcjonowania środowiska kontroli, zidentyfikowanych zagrożeń i kwestii reklamacji (co jest związane z obowiązkami compliance w tym zakresie). Raport powinien odnosić się do wszystkich jednostek biznesowych zaangażowanych w świadczenie usług inwestycyjnych. Brak wskazania jakiejkolwiek informacji (np. wobec braku danych) powinien zostać odpowiednio uzasadniony.

ESMA w swoich wytycznych określiła szczegółowo zakres informacji, które powinny znaleźć się w raportach do wyższego kierownictwa (zarządu, rady nadzorczej). Zakres ten jest bardzo szeroki (zachęcam do prześledzenia raportu i zmapowania tych elementów) i obejmuje m.in.:

Ogólne informacje dotyczące Compliance i środowiska regulacyjnego, co obejmuje m.in. podsumowanie zmian prawnych wpływających na działalność instytucji, a także tzw. headcount w ramach komórki Compliance i przypisane do poszczególnych obszarów;
Monitorowanie i rewizja, w tym podsumowanie informacji odnośnie zmian w politykach i procedurach;
Podsumowanie zidentyfikowanych ryzyk compliance oraz naruszeń;
Podjęte działania (w tym działania naprawcze);
Inne istotne kwestie, w tym m.in. korespondencja z regulatorami czy odstępstwa od rekomendacji compliance (tutaj ESMA podkreśla, że compliance powinno być zaangażowane w każdą korespondencję z regulatorem).

Zarządzanie produktem w raporcie i na co dzień

Ponieważ komórki compliance pełnią bardzo ważną rolę w procesie zarządzania produktem (m.in. udział w opracowywaniu dokumentacji i identyfikacji ryzyk), raport przesyłany do kierownictwa powinien odnosić się również i do tej kwestii. I tak powinna tam znaleźć się:

Sposób w jaki funkcja compliance realizuje obowiązki w zakresie monitoringu i przeglądu rozwiązań produktowych (w tym komitetów i regulaminów oraz procedur) dotyczących produktów;
Wszelkie informacje odnośnie zidentyfikowanych ryzyk lub naruszeń dotyczących produktu, w tym jego dystrybucji (ma to szczególne znaczenie w kontekście wymogów wobec pracowników sprzedających produkty inwestycyjne – nadzorujący versus nadzorowani);
Podsumowanie realizacji strategii w zakresie zarządzania produktami i ocena jej spełnienia wraz z oceną zgodności z wewnętrznymi procedurami i politykami;
Inne informacje odnośnie instrumentów finansowych (produktów inwestycyjnych) znajdujących się w „portfelu” instytucji, w tym w kontekście ewentualnych konfliktów interesów, zgodności dystrybucji z grupą docelową czy adekwatnością i odpowiedniością).

Jak często?

Przepisy Rozporządzenia 2017/565 wskazują, że raporty powinny być przekazywane nie rzadziej niż raz w roku. Generalnie jednak ESMA wskazuje, że częstsze przekazywanie raportów jest dobrą praktyką, przy czym należy pamiętać również o zasadzie proporcjonalności. Ważne jest również, aby komórki compliance mogły przekazywać raporty ad hoc – np. w wyniku zidentyfikowania istotnego ryzyka braku zgodności.

Doradztwo na rzecz biznesu

Ogólnym obowiązkiem compliance w firmie inwestycyjnej jest doradztwo na rzecz jednostek biznesowych zaangażowanych w świadczenie usług inwestycyjnych. Obejmuje to m.in. wsparcie w zakresie zmian regulacyjnych i dostosowywanie wewnętrznych regulacji tych jednostek do wymogów prawnych. To także konieczność przeprowadzania regularnych szkoleń, szczególnie w przypadku pojawienie się istotnych zmian regulacyjnych.

Zgodnie z wytycznymi ESMA, firmy inwestycyjne powinny wspierać „kulturę compliance”, która powinna mieć poparcie wyższego kierownictwa. Celem wprowadzenia takiej kultury ma być nie tylko zapewnienie zgodności regulacyjnej, ale „uczulenie” pracowników firmy inwestycyjnej na znaczenie ochrony inwestorów.

Wsparcie biznesowe obejmuje również udzielanie odpowiedzi na „codzienne” pytanie biznesu. Takie działania powinny być w odpowiedni sposób ewidencjonowane, np. w stosownym rejestrze, choć może to być oczywiście trudne w przypadku braku zautomatyzowanych rozwiązań.

Szkolenia!

Formą doradztwa jest również przeprowadzanie szkoleń. Tutaj ESMA wskazała czego takie szkolenia lub warsztaty powinny dotyczyć. Zakres tematów powinien obejmować:

Poznanie ogólnej struktury organizacyjnej oraz polityk i procedur mających znaczenie dla działalności inwestycyjnej;
Zakres regulacji krajowych i unijnych, w tym dobrych praktyk i wytycznych, które jednostki biznesowe powinny stosować w codziennej pracy.

Takie szkolenia powinny odbywać się regularnie oraz na żądanie jednostek biznesowych, ze szczególnym uwzględnieniem „różnorodności” tych jednostek.

Tworzenie i rozwijanie polityk i procedur

Rolą compliance powinno być wsparcie (wraz ze służbami prawnymi) w zakresie tworzenia i modyfikowania polityk i procedur z obszaru działalności inwestycyjnej. Obejmuje to również włączenie jednostki compliance do procesu opracowywania strategii i zmiany modelu biznesowego firmy inwestycyjnej, a także kampanii marketingowych. Dokumenty powinny być przekazywane do compliance z odpowiednim wyprzedzeniem. Efekt prac tych jednostek powinien znaleźć odzwierciedlenie w treści raportów, o których wspomniałem powyżej.

Co w kolejnej części?

Zajmę się bardziej „organizacyjnymi” cechami komórek compliance w świetle projektu wytycznych ESMA, w tym kompetencjami i niezależnością.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech