Abstrahując w chwili obecnej od COSO, czy innych metodyk pomocnych w zarządzaniu ryzykiem braku zgodności, skupię się jedynie na samych testach zgodności w obszarze MiFID. Ważną kwestią jest oczywiście częstotliwość wykonywania takich testów – mogą być one wykonywane rokrocznie, co dwa lata (w uzasadnionych przypadkach), oraz oczywiście ad hoc i w sposób ciągły (możliwe są inne kombinacje – np. kwartalnie, aczkolwiek wydaje mi się, że tracą nieco wtedy na efektywności).
Przyporządkowanie domen MiFID do harmonogramu szkoleń (Rys. 1 – opracowanie własne autora):
Umiejscowiłem testy z zakresu ochrony informacji poufnych oraz stanowiących tajemnicę zawodową, oraz przeciwdziałania manipulacjom wraz z reklamacjami w cyklu dwuletnim (jest czymś pośrednim pomiędzy cyklem corocznym – racjonalnym, a trzyletnim – zdecydowanie zbyt długim), a to w związku z faktem, że właściwe ‘domknięcie’ obszarów reklamacji oraz market abuse (insider trading oraz market manipulation) powoduje, że nie powstaje konieczność tak ‘częstego’ testowania w/w obszarów (także w związku, ze są to obszary nieco back-upowe).
Istotnym jest aby dokument testu zgodności obszaru MiFID składał się z trzech części:
1. Określenia kontroli jakie przeprowadzane są w danym obszarze przez I-ą linię kontroli, czyli biznes – zgodnie z teorią rozwoju funkcji compliance – charakterystyczne dla compliance bardzo dojrzałego. W dokumencie takim powinno być zaznaczone, jaka jednostka dokonuje kontroli, przedstawiony jej wyczerpujący opis, klasyfikacja kontroli, jej automatyzacja (o ile w danej firmie inwestycyjnej występują jakiekolwiek kontrole automatyczne, dokonywane już na poziomie systemu komputerowego, niemalże bez udziału czynnika ludzkiego), czy jej częstotliwość, oraz wreszcie tzw. inne elementy istotne, które nie zostały ujęte wyżej. Należy pamiętać, że jest to co do zasady odrębny dokument wypełniany przez biznes przed rozpoczęciem kontroli właściwej, który potem de facto staje się częścią raportu pokontrolnego.
2. Określenia założeń metodologii – jak zawsze, im bardziej szczegółowa metodologia, tym i test będzie łatwiejszy. Należy też pamiętać o fakcie ciągłości testów i kontroli, czyli o prostej zasadzie mówiącej, że czytelnik dokumentu pokontrolnego za kilka lat powinien bez zbędnych trudności móc odtworzyć wnioskowanie, które przewodziło testowi. Metodologia więc powinna pokrywać wszystkie aspekty danego obszaru oraz wpisywać się w metodologię zarządzania ryzykiem braku zgodności. Ważnym jest także:
- Zakreślenie ram przedmiotowych i podmiotowych
- Przegląd procedur danego obszaru
- Zebranie niezbędnych dokumentów
- Określenie świadomości pracowników w danym obszarze – mail, telefon, oraz przede wszystkim ankieta
- Określenie przeszkolenia pracowników z danego obszaru
- Określenie metod archiwizacji
3. Elementów dodatkowych testu zgodności – w szczególności określeniu procedur raportowania – czy każdorazowo raportujemy do Zarządu, czy tez jedynie dajemy informację w raportach półrocznych czy rocznych. Dodatkowo raport z przeprowadzonego testu zgodności powinien każdorazowo przedstawiany do wiadomości komórki audytu wewnętrznego a opis kontroli powinien być odbiciem pytań i zasad określonych w metodologii. Wydaje się być kwintesencją samego testu, aby dokument pokontrolny (Opis Testu Zgodności) zawierał albo informację o braku stwierdzonych nieprawidłowości albo też szczegółowy opis stwierdzonych nieprawidłowości wraz z:
- Rekomendacją jednostki compliance
- Komórką odpowiedzialną za wykonanie planu naprawczego
- Określeniem samego planu naprawczego
- Ustosunkowaniem się komórki odpowiedzialnej
- Określeniem daty wykonania rekomendacji
- Określeniem ratingu rekomendacji (nieprawidłowości)
MiFID, MAR & Compliance 
