Tag Archives: ESMA

Wytyczne ESMA dla funkcji compliance 2021 – propozycje wdrożeniowe cz. 3

Przedstawiam trzecią część artykułu, po artykule z dnia 28 maja 2021 r. tj. „Wytyczne ESMA dla funkcji compliance (2021r.) – zagadnienia ogólne oraz propozycje wdrożeniowe – cz. 1” oraz drugiej części z dnia 16 czerwca 2021 r. j. „Wytyczne ESMA dla funkcji compliance (2021 r.) – propozycje wdrożeniowe – cz. 3” w zakresie Wytycznych ESMA dla funkcji compliance, w której skupiłem się na dalszej części wytycznej nr 3 tj. wytycznej dotyczącej obowiązków sprawozdawczych komórki ds. nadzoru zgodności z prawem w zakresie pkt. 28 lit. b) – c) Wytycznych 2021. Artykuł do pobrania: TUTAJ. Kolejne części w przygotowaniu.

Wytyczne ESMA dla funkcji compliance 2021 – propozycje wdrożeniowe cz. 2

Po części I artykułu opisującego ESMA dla funkcji compliance czas na cz. 2, w której pokazuję jak m.in. połączyć Wytyczne ESMA z Rekomendacją H dotyczącą systemu kontroli wewnętrznej w bankach. Artykuł dostępny w artykułach do pobrania: TUTAJ. Kolejne części w przygotowaniu.

Sprawozdanie roczne ESMA za 2020

ESMA opublikowała swoje sprawozdanie roczne (Annual Report), w którym podsumowuje rok 2020 w kontekście swoich priorytetów i celów. Sprawozdanie jest dobrym podsumowaniem działalności ESMA w 2020 r. i tego co działo się na rynkach w tym czasie. Annual Report dostępny jest: TUTAJ, notka prasowa: TUTAJ.

Wytyczne ESMA dla funkcji compliance (2021r.) – zagadnienia ogólne oraz propozycje wdrożeniowe cz. 1

Po ponad trzech latach od wejścia w życie pakietu MiFID II oraz po prawie 9 latach od czasu publikacji pierwszych Wytycznych w sprawie określonych aspektów wymogów dyrektywy MiFID dotyczących komórki ds. nadzoru zgodności z prawem, ESMA zaserwowała nam nowe Wytyczne.

Tak jak przy dokumencie Wytycznych z 2012 roku pozwoliłem sobie na analizę wdrożeniową, tak i przy obecnym postanowiłem zaproponować możliwości wdrożeniowe w firmie inwestycyjnej ale także na potrzeby funkcji compliance dla banków z art. 70 ust 2 ustawy o obrocie.  Więcej w pierwszej części artykułu Wytyczne ESMA dla funkcji compliance (2021r.) – zagadnienia ogólne oraz propozycje wdrożeniowe. Kolejne części po długim weekendzie.

Artykuł do pobrania: TUTAJ.

Wytyczne w sprawie pewnych aspektów wymogów dyrektywy MiFID dotyczących odpowiedniości

Dokumentów dotyczących doradztwa inwestycyjnego oraz, jako pochodnej, testów odpowiedniości i adekwatności zrobiło nam się ostatnio całkiem sporo, może słusznie bo temat w całej Europie wzbudza kontrowersje. Jak do tego dodamy różnice w implementacji MiFID w poszczególnych krajach członkowskich to mamy totalny chaos. Zapewne stąd szereg inicjatyw nadzorców (ESMA czy KNF), żeby ten „dziki temat” nieco uregulować. Z ciekawszych dokumentów mamy więc:

  1. CESR – Feedback statement – ‘Understanding the definition of advice under MiFID’ z dnia 19 kwietnia 2010 r.
  2.  KNF – ‘Stanowisko w sprawie świadczenia przez firmy inwestycyjne usług doradztwa inwestycyjnego’ z dnia 27 marca 2012 r.
  3.  IDM – odpowiedź na w/w Stanowisko KNF z dnia 11 maja 2012 r.
  4.  ESMA – ‘Wytyczne w sprawie pewnych aspektów wymogów dyrektywy MiFID dotyczących odpowiedniości’ czyli tzw. ‘Guidelines on certain aspects of the MiFID suitability requirements’ z (tłumaczenie) 28 sierpnia 2012 r.

Oczywiście dokumentów dotyczących doradztwa czy testów odpowiedniości i adekwatności jest więcej, ale skupię się póki co na najnowszym, czyli właśnie ‘Wytycznych w sprawie pewnych aspektów wymogów dyrektywy MiFID dotyczących odpowiedniości’ i spróbuję się zastanowić czy wnoszą coś nowego do praktyk rynków kapitałowych (generalnie oceniam dokument Wytycznych pozytywnie, jako dobrą, udaną próbę uregulowania choć w pewnym stopniu zasad dotyczących odpowiedniości).

Pierwsza uwaga generalna – Wytyczne będą miały słabą moc oddziaływania na instytucje (w szczególności banki), które posiadają w swojej ofercie doradztwo inwestycyjne, czyli dokonują sprawdzenia wiedzy, doświadczenia, celów inwestycyjnych etc. klienta. Zgodnie z art. 69 Ustawy doradztwo inwestycyjne to przygotowywanie w oparciu o potrzeby i sytuację klienta oraz przekazywanie mu pisemnych lub ustnych rekomendacji (zgodnie ze słownikiem języka polskiego rekomendacją jest m.in. pozytywna lub negatywna ocena wydana o kimś / o czymś. Jest to tym samym wypowiedź języka o charakterze ocennym, opiniującym zawierającym wskazanie określonego zachowania)dotyczących:

1)   kupna, sprzedaży, subskrypcji, wymiany, wykonania lub wykupu określonych instrumentów finansowych albo powstrzymania się od zawarcia transakcji dotyczącej tych instrumentów;

2)   wykonania lub powstrzymania się od wykonania uprawnień wynikających z określonego instrumentu finansowego do zakupu, sprzedaży, subskrypcji, wymiany, wykonania lub wykupu instrumentu finansowego.

Opracowano za: Paweł Flak (materiały konferencyjne)

Niniejsze Wytyczne znajdą więc zastosowanie przy świadczeniu usługi zarządzania portfelem oraz oczywiście doradztwa inwestycyjnego oraz tyczyć się będą co do zasady głównie klientów detalicznych (niekiedy także profesjonalnych). Generalnie Wytyczne nie formułują zagadnień w sposób obligatoryjny (nieczęsto posługują się sformułowaniem „mają obowiązek”, częściej fakultatywnym „powinien”), a raczej ustanawiają swoiste „dobre praktyki” w zakresie odpowiedniości.

Dokument zawiera 9 ogólnych wytycznych co przekłada się na 63 wytyczne szczegółowe. Oczywiście mijałoby się z celem opisywanie wszystkich wytycznych, zważywszy, ze spora cześć z nich to jak mawiał klasyk „oczywista oczywistość”.

Wytyczna nr 16 :

  1. Firma inwestycyjna powinna poczynić kroki i dopilnować, aby klient zrozumiał pojęcie ryzyka inwestycyjnego oraz związek między ryzykiem a zwrotem z inwestycji(…)” ­ – ta akurat część jest jasna i zrozumiała, więc nie ma się bardzo nad czym zastanawiać, może jedynie wątpliwości budzić sformułowanie „dopilnować(…) by zrozumiał”. Moim zdaniem bardziej odpowiednim byłoby sformułowanie „powinna zapoznać klienta z (…)”, bo nie rolą firmy inwestycyjnej jest zapewnianie by klient zrozumiał dane zagadnienie (za słownikiem języka polskiego PWN – ‘rozumieć’ to „wiedzieć, uświadamiać sobie, jakie są istotne relacje między obserwowanymi rzeczami, zjawiskami, co znaczą te rzeczy (np. wyrazy), zdawać sobie sprawę z czegoś” oraz „wyciągać z czegoś wnioski, interpretować coś”). Pytanie czy instytucja finansowa, działając oczywiście w najlepiej pojętym interesie klienta, uczciwie, rzetelnie etc. powinna w swoich regulaminach zapisywać tak abstrakcyjne sformułowania jak „rozumienie danego tematu przez klienta”? Oczywiście moim zdaniem nie! O wiele bardziej rozsądnym, także na wypadek późniejszego sporu z klientem, będzie informacja o fakcie zapoznania się z daną informacją (no chyba, że damy klientowi do podpisania disclaimer, iż zrozumiał informację przedstawioną przez doradcę, ale wartość takiego oświadczenia jest moim zdaniem znikoma).
  2.  „firmy inwestycyjne(…) powinny ocenić reakcję klienta na takie scenariusze”  – jestem sobie w stanie wyobrazić, że doradca oceni empirycznie taką reakcję, np. na scenariusz agresywny z dużymi potencjalnymi stratami klient zareaguje krzycząc „Nieeeeee!”. Wtedy sprawa jest oczywista, możemy wpisać w dokumentach, iż „reakcja klienta była negatywna”. Gorzej, gdy klient z kamienną twarzą będzie odpowiadał na każdy scenariusz „Aha”, wtedy już pozamiatane. Mówiąc poważniej, oczywiście możliwym jest opracowanie formularza, gdzie doradca wpisywał będzie potencjalną reakcję klienta na dany scenariusz (pozytywna – neutralna – negatywna) tylko po co? ESMA twierdzi, iż służyć to będzie określeniu podejścia klienta do ryzyka i choć z samą ideą jak najbardziej się zgadzam, to już wdrażanie tego typu rozwiązań w praktyce uważam za co najmniej nieskuteczne. Po pierwsze klient może nie mieć ochoty aby ktoś jego reakcję badał, po drugie czas obsługi (z przedstawieniem wszystkich wymaganych dokumentów, poprawnym przeprowadzeniem testów etc.) i tak jest już wystarczająco długi, że dalsze wydłużanie nikomu się nie przysłuży.

Wytyczna nr 26:

Pracownicy muszą rozumieć rolę , jaką odgrywają w procesie oceny odpowiedniości, oraz posiadać niezbędne umiejętności, kwalifikacje i wiedze fachową, w tym wystarczającą znajomość stosowanych wymogów regulacyjnych oraz procedur, aby wykonywać swoje obowiązki” ­– wspominam o tym tylko dlatego, że teoria teorią (w zasadzie wszystkie firmy mają taki, bądź analogiczny zapis) natomiast rozjazd pomiędzy deklarowaną częstokroć wiedzą tzw. pracowników lady a ich wiedzą rzeczywistą jest jak stąd do wieczności.

Wytyczna nr 37

Określając, jakie informacje należy zgromadzić, firma inwestycyjna powinna również uwzględnić charakter klienta. Bardziej szczegółowe informacje należy, na przykład, zazwyczaj gromadzić w przypadku klientów starszych i potencjalnie podatnych na zagrożenia(…)” –  bardzo dobrze, że tego typu zapis pojawił się w Wytycznych. Idąc tropem FSA, wydaje mi się, że dobra praktyką byłaby sytuacja aby wszystkie firmy inwestycyjne zwiększały poziom ochrony klientów „starszych” wiekiem, traktując ich jako klienta uprzywilejowanego. Można np. odnieść się do art. 24 ustawy z dnia 17 grudnia 1998 roku o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2009 r., Nr 153, poz. 1227, t.j.) i w ten sposób określić, od którego momentu mówimy o kliencie traktowanym w sposób uprzywilejowany.

Wytyczna 41 (a)

(…) nie polegać w nadmiernym stopniu na samoocenie klientów dotyczącej wiedzy, doświadczenia i sytuacji finansowej” ­– dobrze, ze oprócz KNF także ESMA potwierdziła to zagadnienie wprost. Samoocena wiedzy i doświadczenia przez klienta jest w moim odczuciu niezgodna z MiFID i to z jego najbardziej podstawowymi aspektami (to firma inwestycyjna, czyli doradca ma ocenić wiedze i doświadczenie).

Wytyczna 47

W przypadku, gdy firma inwestycyjna utrzymuje relacje biznesowe z klientem, powinna ona ustanowić właściwe procedury w celu zagwarantowania, że informacje posiadane na temat klienta są adekwatne i aktualne” – o tyle istotne, że niektórzy zapominają, bądź celowo ignorują ‘obowiązek’ aktualizacji ‘profili inwestycyjnych klienta’ czy też ogólnie poziomu wiedzy i doświadczenia danego klienta, co w moim odczuciu także jest, co do zasady, błędem.

Wytyczna  53 (i pośrednio dalsze)

W związku z wytyczną 51 a więc „(…) firma inwestycyjna powinna [przy identyfikacji kto podlegaocenie odpowiedniości] oprzeć się na obowiązujących ramach prawnych” zestawione „(…)natomiast doświadczenie i wiedzę przedstawiciela osoby fizycznej lub osoby uprawnionej do zawierania transakcji w imieniu podmiotu.”. – Chciałoby się powiedzieć, że wreszcie się coś zmieni i wprost wyrażone zostanie, że przy badaniu wiedzy i doświadczenia, badanym może być pełnomocnik (np. dyrektor „Skarbu”, który został powołany właśnie do tego aby inwestować i zabezpieczać środki danego przedsiębiorstwa). Niestety! Klauzula „guma” z wytycznej 51 wprost wskazuje, że pierwszeństwo, co oczywiste, mają zasady krajowego prawodawstwa, a więc dalej zostajemy przy koncepcji (nieco absurdalnej kontekście „praktyki” rynków kapitałowych i inwestowania), że test wiedzy i doświadczenia jest oświadczeniem wiedzy (nie woli), wywołującym określone skutki prawne, a zatem nie może zostać do niego udzielone pełnomocnictwo.

Harmonogram:

Wytyczne wejdą w życie 60 dni kalendarzowych od tzw. daty realizacji obowiązku sprawozdawczego (który tyczy się tzw. „właściwych organów” nie zaś uczestników rynku), czyli po upływie 2 miesięcy od daty opublikowania tłumaczeń Wytycznych, co w tej chwili sugeruje daty ok.:

  1. 21 sierpnia 2012 r. – opublikowanie tłumaczeń Wytycznych
  2. 25 października 2012 r. – zakończenie okresu powiadamiania EUNGiPW
  3. 27 grudnia 2012 r. – wejście w życie Wytycznych

Lik do Wytycznych: http://www.esma.europa.eu/system/files/2012-387_pl_0.pdf

Guidelines on certain aspects of the MiFID compliance requirements – cz. 2 – jak wdrożyć?

O samych Guidelines pisałem już wcześniej (TUTAJ), dlatego tym razem daruję sobie wstęp i przejdę od razu do pomysłów na wdrożenie zapisów Wytycznych do konkretnych polityk dotyczących MiFID czy obszaru ryzyka braku zgodności.

I. Regulamin Organizacyjny jednostki compliance

1.Właściwe zarządzanie ryzykiem braku zgodności w firmie inwestycyjnej – poprzez opracowanie i wdrożenie wymaganych przez MiFID polityk i procedur, przegląd ryzyk, testy zgodności etc. – wydaje się, że tego typu ogólne zapisy można bez problemu wdrożyć do regulaminu organizacyjnego jednostki compliance poprzez odwołanie do konkretnych polityk, procedur etc. Mogą więc to być w szczególności zapisy tj.:

A) Jednostka compliance jest odpowiedzialna za wdrożenie oraz monitorowanie przestrzegania polityk i procedur w następujących zakresach(…) – nie widzę przeszkód formalnych, aby w zależności od wielkości jednostki compliance zdefiniować w/w albo w zadaniach jednostki bądź już konkretnie z przypisaniem do obszarów (AML/etyka czy MiFID) z przypisaniem do zakresu zadań wydziału/biura etc.

B) Jednostka compliance obowiązana jest, w ramach efektywnego zarządzania ryzykiem braku zgodności, do wykonywania cyklicznych testów zgodności w następujących obszarach – np. obszar Best Execution – rokrocznie, obszar poprawności sprzedaży produktów inwestycyjnych – rokrocznie oraz dodatkowo wykonywanie kontroli w sposób ciągły, tj. nie rzadziej niż raz na tydzień sprawdzanie transakcji klientów na wybranej próbie, zgodnie z metodologią wykonywania testów i kontroli compliance – dobrą praktyką jest by jednostka compliance posiadała opisaną metodologię zarządzania ryzykiem braku zgodności oraz metodologię wykonywania testów i kontroli zgodności (ważna uwaga – kontrole zgodności nie są kontrolami, które wykonuje jednostka audytu wewnętrznego a zatem nie mogą być, także przez ogólną zasadę transparentności, wykonywane przez tę jednostkę!).

C) Właściwe zarządzanie ryzykiem braku zgodności to zarządzanie wielopoziomowe (od biznesu, przez compliance na audycie wewnętrznym i ryzku operacyjnym skończywszy) – w Regulaminie Organizacyjnym mogą znaleźć się także ogólne zapisy mówiące, iż „(…) Za zarządzanie ryzykiem braku zgodności odpowiada Zarząd firmy inwestycyjnej. Zarząd wykonuje w/w za pomocą jednostki compliance, która wspierana jest w zarządzaniu ryzykiem braku zgodności przez jednostkę ds. ryzyka operacyjnego oraz jednostkę ds. ryzyka reputacyjnego.

Modelowa struktura może wyglądać w sposób następujący:

§ 1. Nadzór nad zarządzaniem ryzykiem braku zgodności sprawuje Rada Nadzorcza.

§ 2. Nadzór jest sprawowany w szczególności poprzez przyjmowanie raportu Zarządu z zarządzania ryzykiem braku zgodności za rok ubiegły.

§ 3. Za zarządzanie ryzykiem braku zgodności odpowiedzialny jest Zarząd.

§ 4. Zarząd wykonuje zadania określone w § 3 za pomocą jednostki compliance, która wspierana jest przez jednostkę ds. ryzyka operacyjnego oraz jednostkę ds. ryzyka reputacyjnego.

§ 5. Struktura zarządzania ryzykiem braku zgodności wygląda następująco:

            Ust. 1 Wszyscy pracownicy firmy inwestycyjnej – w zakresie wykonywanych zadań,

            Ust. 2 Linie biznesowe – w zakresie I linii kontroli ryzyka braku zgodności,

            Ust. 3 Jednostka compliance we współpracy z jednostką ds. ryzyka operacyjnego oraz jednostką ds. ryzyka reputacyjnego,

            Ust. 4 Jednostka ds. audytu wewnętrznego – w zakresie kontroli poprawności zarządzania ryzykiem braku zgodności

            Ust. 5 Zarząd

            Ust. 6 Rada Nadzorcza – w zakresie nadzoru nad zarządzaniem ryzykiem braku zgodności.

2. Sprawowanie nadzoru funkcjonalnego nad rozpatrywaniem reklamacji, w kontekście MiFID’uJednostka compliance sprawuje nadzór nad poprawnością rozpatrywania reklamacji z zakresu MiFID (zdefiniowanego wcześniej).  Dodatkowe zapisy powinny się znaleźć w procedurze rozpatrywania reklamacji – np. na zasadzie (…) jednostka rozpatrująca reklamację w zakresie MiFID jest obowiązana uzgodnić, przed wysłaniem odpowiedzi do osoby składającej reklamację, treść odpowiedzi z jednostką compliance.

3. Szkolenia, bieżące doradztwo, opiniowanie polityk, procedur etc.:      Jednostka compliance wykonuje swe zadania, określone w § …., w szczególności poprzez:

i. Szkolenie pracowników – dobrą praktyką jest aby powstała krótka procedura, np. w formie zarządzenia wewnętrznego dyrektora jednostki compliance, określająca rodzaj i częstotliwość wykonywanych szkoleń;

ii. Bieżące doradztwo dla pracowników poprzez udzielnie wyjaśnień, rekomendacji i opinii, przy czym (kolejna dobra praktyka) przyjmuje się zasadę, że opinia, rekomendacja etc. każdorazowo powinna wskazywać, oprócz stwierdzonych ryzyk, także propozycje rozwiązania problemu czy zmitygowania ryzyka;

iii. Opiniowanie wewnętrznych aktów prawnych – szczegółowe zasady powinny zostać wpisane do procedury legislacyjnej firmy inwestycyjnej (zasad opiniowania);

II. Polityka zgodności, metodologia zarządzania ryzykiem braku zgodności

  1. Wdrożenie programu monitorowania ryzyk– powinna zostać określona metodologia zarządzania ryzykiem braku zgodności, jako odrębny dokument, który oparty byłby de facto o kontrole następczą, bądź w określonych przypadkach bieżącą. W szczególności metodologia taka powinna zawierać:
    1. Szczegółowe zasady wykonywania testów zgodności oraz kontroli ad hoc
    2. Pokazywać matrycę testu zgodności (modelowego) – tj. określić przynajmniej podstawowe zasady metodologii jakie zawsze taki test musi wypełniać,
    3. Kontrole i testy ad hoc – przyczyny oraz zasady ich wykonywania,
    4. Monitorowanie zmian w prawie – częstotliwość oraz jakie akty są monitorowane (w przypadku MiFID będą to w szczególności prace ustawodawcze w Polsce, rekomendacje KNF, UOKiK, ZBP czy KDPW i NBP a także w zakresie ustawodawstwa europejskiego – prace Komisji Europejskiej, Parlamentu Europejskiego, ESMA plus dodatkowo mogą być to naukowe instytuty jak ECMI) – dobrą praktyką będzie wskazanie konkretnych stron WWW.
    5. Określenie form kontroli wykonywanej przez biznes,
    6. Fazy wykonywania testów zgodności,
    7. Fazy raportowania wyników,
    8. Kryteria oceny i nadawania ratingów rekomendacjom oraz całym testom,
    9. Dokumentacja i archiwizacja,
    10. Określenie metodyki doboru próby kontrolowanej przy testach, celem wyeliminowania uznaniowości,
    11. Określenie załączników.
  2. Kwestia raportowania– proponowane przeze mnie zapisy to np.:
    1. Compliance nie rzadziej niż raz na pół roku (na rok, na kwartał) sporządza raport z wykonywanych działań w ramach zarządzania ryzykiem braku zgodności, który przekazuje do wiadomości Zarządu,
    2. Compliance raz do roku sporządza raport roczny z wykonywanych działań w ramach zarządzania ryzykiem braku zgodności, który przekazuje za pośrednictwem Zarządu do Rady Nadzorczej,
    3. Compliance, każdorazowo po zakończeniu testu zgodności, kontroli ad hoc, sporządza raport z przeprowadzonego testu, kontroli, który przekazuje do wiadomości nadzorującego Członka Zarządu (Prezesa Zarządu).
  3.  Właściwe zasoby jednostki compliance:
    1. Pracownicy jednostki compliance powinni charakteryzować się znaczną wiedzą z zakresu działalności firmy inwestycyjnej, którą nadzorują oraz kompetencjami i przymiotami osobistymi, pozwalającymi na efektywne wykonywanie powierzonych im zadań.
    2. Pracownicy jednostki compliance zobligowani są do uczestniczenia, nie rzadziej niż raz na kwartał, w szkoleniach merytorycznych (stacjonarnych bądź e-learningowych) z zakresu działalności, którą wykonują. Obowiązek skierowania na w/w spoczywa na dyrektorze jednostki ds. compliance.

Guidelines on certain aspects of the MiFID compliance requirements – rola compliance w firmie inwestycyjnej – cz. I

W grudniu 2011 roku ESMA przedstawiła do publicznych konsultacji dokument, niezwykle wydawało by się istotny dla sprawowania funkcji compliance w instytucjach finansowych, będący nieomal „Bazyleą dla firm inwestycyjnych”, mianowicie tzw. Consultation paper – Guidelines on certain aspects of the MiFID compliance requirments. Sam dokument w fazie projektowej liczy sobie 32 strony, natomiast uwagi zgłosiło 45 instytucji (polskich niestety brak!) w tym poszczególni regulatorzy, stowarzyszenia, banki, asset managerowie etc. Uwagi i odpowiedzi na pytanie ESMA to tak na oko jakieś 250 stron. Kolejnym krokiem ESMA ma być przeanalizowanie nadesłanych odpowiedzi i docelowo opublikowanie uzgodnionych „Wytycznych(…)”.

Tyle statystyk i wprowadzenia. Analizując dokument oraz załączone odpowiedzi w/w podmiotów można zauważyć, parafrazując, że jest to jedynie swoista „ewolucja, natomiast z całą pewnością nie rewolucja” systemu compliance w firmach inwestycyjnych. Najłatwiej oczywiście będzie się dostosować bankom, które od dawna już taki system miały wdrożony (za sprawą dokumentu Komitetu Bazylejskiego ds. nadzoru Bankowego – ‘Zgodność i funkcja zapewnienia zgodności w bankach’).  

Same Guidelines(…) powstały jako wynik kryzysu finansowego, który według autorów (i słusznie!) pokazał, że funkcja compliance powinna zdecydowanie zyskiwać na znaczeniu, a co za tym idzie compliance powinno być angażowane w niemal każdy etap kreacji nowej usługi inwestycyjnej, bądź produktu inwestycyjnego.

W telegraficznym skrócie „Wytyczne(…)” określają:

1. Właściwe zarządzanie ryzykiem braku zgodności w firmie inwestycyjnej – poprzez opracowanie i wdrożenie wymaganych przez MiFID polityk i procedur, przegląd ryzyk, testy zgodności etc.

Jako rozszerzenie należy dodać, iż oczywiście moim zdaniem, zasługą MiFID’u jest to, że wymogła na compliance ewolucję do tzw. modelu „dojrzałego” bądź nawet „bardzo dojrzałego”. Model „dojrzały” to efektywne zarządzanie ryzykiem braku zgodności, to tworzenie biznesowych – I-ych linii zarządzania ryzykiem, to wreszcie stała weryfikacja testów zgodności, natomiast model „bardzo dojrzały” to znowuż wszystko to co i w modelu „dojrzałym” plus stanie się dla compliance realnym wsparciem dla biznesu, włączenie zarządzania ryzykiem braku zgodności do praktyk biznesowych, opracowanie i wdrożenie pełnej metodologii zarządzania ryzykiem braku zgodności etc. To wszystko, moim zdaniem, zawdzięczamy MiFID’owi – nie dała nam tego pralnia, nie dała do końca doktryna klasycznego compliance, dały rynki kapitałowe.

2.Wdrożenie programu monitorowania ryzyk – na każdym etapie „tworzenia” danego produktu czy usługi podlegających pod MiFID, wdrożenie narzędzi i właściwych metodologii. Co ciekawe dokumenty wskazują, na wydawałoby się rzecz oczywistą na poziomie „dojrzałym” czy „bardzo dojrzały”, ale jak pokazuje praktyka nie zawsze oczywistych i nie dla każdego, że kontrole powinny być przeprowadzane nie jedynie „zza biurka”, ale także by dokumenty, oświadczenia etc. jednostek biznesowych były weryfikowane poprzez kontrolę praktyczną.

Jest to o tyle istotne, że z rynku dochodzą czasem wieści, że dana jednostka compliance raportowała  (Zarząd, rada nadzorcza) de facto nieprawdę. Dane, które otrzymała z biznesu były tak skonstruowane by spowodować brak reakcji i rekomendacji compliance, a compliance nie zweryfikowało ich „na drugą rękę”. Oczywiście nie trzeba mówić czym takie sytuacje mogą się dla kierujących danym compliance zakończyć (nie wspominając o generowaniu ryzyka).

3. Jak przystało na dokument określający zasady „bardzo dojrzałego” compliance także „Wytyczne(…)” wskazują, iż właściwe zarządzanie ryzykiem braku zgodności to zarządzanie wielopoziomowe (od biznesu, przez compliance na audycie wewnętrznym i ryzku operacyjnym skończywszy).

Obrazek

4. Co także powinno być oczywiste – compliance powinno mieć dostęp, a więc de facto sprawować nadzór nazwijmy to funkcjonalny nad rozpatrywanie reklamacji, w kontekście MiFID’u.

5. Kolejna kwestia – raportowanie do „senior management”, czyli w praktyce do Zarządu oraz docelowo do Komitetu ds. Audytu/Compliance (Rady Nadzorczej). Nic nowego, ale oczywiście cieszy, że zwrócono na to uwagę, gdyż jest to wręcz obligatoryjny element właściwej struktury zarządzania ryzykiem braku zgodności via Rys. 1). Bardzo ciekawym założeniem jest, aby taki raport, powiedzmy roczny z zarządzania ryzykiem braku zgodności, pokrywał merytorycznie wszystkie aspekty i jednostki wewnętrzne związane ze świadczeniem usług inwestycyjnych (a zatem np. odrębnie treasury, custody, sieć, detal, marketing, zachęty etc. etc.), a w przypadkach pominięcia danej jednostki – przedstawiać powody owego pominięcia (myślę, ze dobrym powodem mogłoby być np. brak luk w procesie, potwierdzone testem zgodności). Bardzo pozytywnym aspektem dokumentów jest to, że wprowadzają (póki co) założenia raportowania ad hoc do np. Zarządu, w przypadkach np. istotnych naruszeń związanych z MiFID i co ważne raportowanie nie powinno się odbywać na zasadzie „stwierdzono następujące nieprawidłowości”, ale także zawierać „proponowane rozwiązania”, co może ukróci praktyki „starej szkoły kontroli”, mówiące, iż „jeśli kontrola nie wykazała żadnych nieprawidłowości, to znaczy, ze została przeprowadzona błędnie”. „Wytyczne(…)” wskazują także, ze compliance powinno być uczestnikiem korespondencji z właściwymi organami nadzoru.

6. Obowiązki jednostki compliance, oprócz wskazanych powyżej, to zgodnie z „Wytycznymi(…)” także (co również oczywiste) szkolenie pracowników (okresowe i ad hoc), bieżące wsparcie i doradztwo i oczywiście obligatoryjny udział w tworzeniu/opiniowaniu polityk, procedur czy produktów. Każdorazowo w przypadku zmian w prawie, nowych interpretacji UKNF czy ESMA compliance powinno robić krótkie szkolenia z w/w zakresu.

Bez tytułu

Wydaje się zasadnym, że część szkoleń, w szczególności tych dla większości pracowników, można robić w formie e-learningu, natomiast dobrą praktyką będzie każdorazowe przygotowywanie listy uczestników danego szkolenia.

Warto wspomnieć, że ogólnie pojęty „Zachód” wprowadził jakiś czas temu do metodyki compliance mierzenie tzw. „świadomości” pracowników w danym obszarze. Można to wykonywać dzwoniąc do pracowników np. „lady” i zadając pytania przygotowane zgodnie z metodologią, ale najlepszą dla mnie metodą są póki co ankiety. Oczywiście mogą one przekłamywać rzeczywiste wyniki, ale póki co lepszej metody nie znalazłem. Takie badania (np. roczne) świadomości pracowników w danym obszarze są świetną bazą dla szkoleń (z czego je przeprowadzić) czy też dla testów zgodności (gdzie je przeprowadzić).

7. Kolejna klasyka gatunku – jednostki ds. compliance powinny być wyposażone w tzw. właściwe zasoby, tj. pracownicy winni być doświadczeni i wykształceni kierunkowo. Oznacza to także stałe i wręcz permanentne podnoszenie kwalifikacji przez pracowników compliance – w szczególności poprzez szkolenia (w końcu jeśli ktoś ma być primus inter pares, udzielać wyjaśnień, doradzać czy szkolić, to musi być świetnie wykształcony).

Dobrą praktyką w dzisiejszych czasach jest by jednostka ds. compliance składała się w szczególności z prawników, ekonomistów, osób z wykształceniem w zakresie bankowości i finansów, oraz ze względu na złożoność dzisiejszych systemów niezbędnych do analizy danych – specjalisty ds. IT.

Compliance powinno mieć dostęp do wszelkich niezbędnych informacji oraz analiz, niezbędnych do wykonywania ich obowiązków, czyli do właściwego i skutecznego zarządzania ryzykiem braku zgodności.

Inną dobrą praktyką jest wyposażenie compliance w prerogatywy wstrzymywania danego biznesu, jeśli generuje on zbyt duże ryzyko – decyzja compliance oficera powinna być ostateczną na etapie uzgodnień (oczywiście Zarząd tak czy siak jest władny ją zmienić).

Dokończenie w kolejnej części – TUTAJ.

Cały artykuł (stan na czerwiec 2014 r.) – TUTAJ.