Przedstawiam siódmą część artykułu w zakresie Wytycznych ESMA dla funkcji compliance, w której skupiłem się na wytycznej nr 6 tj. wytycznej dotyczącej umiejętności, wiedzy, wiedzy fachowej i uprawnień komórki ds. nadzoru zgodności z prawem – pkt. 49 – 54 Wytycznych 2021.
Artykuł do pobrania: TUTAJ. Kolejne części w przygotowaniu.
Z przyjemnością informuję, że w bazie Lex jest już dostępny mój komentarz praktyczny – Ocena wiedzy i kompetencji (MiFID), czyli kto może rozmawiać z klientem o produktach inwestycyjnych.
„Od wejścia w życie większości systemu MiFID II znajdują zastosowanie wytyczne Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych dotyczące oceny wiedzy i kompetencji, które należy czytać wespół z polskimi przepisami ustawy o obrocie instrumentami finansowymi i rozporządzenia w sprawie szczegółowych warunków technicznych i organizacyjnych dla firm inwestycyjnych, banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, i banków powierniczych. Wskazane akty oraz wytyczne ESMA nakładają szereg znaczących obowiązków w kontekście posiadania przez pracowników banków i firm inwestycyjnych określonej wiedzy i kompetencji. Niniejszy komentarz przybliża tę materię, skupiając się także na aspektach praktycznych wdrożenia wskazanych przepisów i wytycznych ESMA.”
Całość dostępna w serwisie LEX.
6 sierpnia 2021 r. ESMA opublikowała aktualizację QA MAR – Questions and Answers On the Market Abuse Regulation (MAR). Aktualizacja o tyle ciekawa, że może wpłynąć na praktykę banków-emitentów, w szczególności w Polsce. Praktyką banków w Polsce jest publikowanie informacji o ratingu kredytowym, po jej publikacji przez agencję ratingową, jako informacji poufnej w rozumieniu Rozporządzenia MAR. Tymczasem ESMA we wskazanych QA (pytanie/odpowiedź nr 5.8 – Interaction between MAR and CRAR, nr 5.9 – Disclosure to the public of credit ratings and inside information i 5.10 – Distribution of subscription ratings and disclosure of inside information) wskazuje jak niżej.
MAR w zakresie ratingów kredytowych, perspektyw ratingowych i informacji ich dotyczących należy czytać razem z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1060/2009 z dnia 16 września 2009 r. w sprawie agencji ratingowych (Aktualna wersja skonsolidowana: 01/01/2019), w szczególności z art. 10 ust. 2a wskazanego. Rozporządzenie stosuje się do ratingów kredytowych wystawianych przez agencje ratingowe zarejestrowane w Unii oraz ujawnianych publicznie lub rozpowszechnianych w drodze subskrypcji. Wskazany art. 10 ust. 2a Rozporządzenia stanowi, że do czasu upublicznienia ratingów kredytowych, perspektyw ratingowych i informacji ich dotyczących traktuje się je jak informacje wewnętrzne zgodnie z definicją i przepisami dyrektywy 2003/6/WE. Wskazana dyrektywa to oczywiście, nieobowiązująca Dyrektywa MAD I (uchylona przez MAD II/MAR), czyli Dyrektywa 2003/6/WE Parlamentu Europejskiego i Rady z dnia 28 stycznia 2003 r. w sprawie wykorzystywania poufnych informacji i manipulacji na rynku (nadużyć na rynku). Zdaniem ESMA, pomimo odwołania Rozporządzenia do Dyrektywy MAD I, należy obecnie przepisy czytać poprzez odwołanie do art. 7 MAR i definicji „informacji poufnej”. Oznacza to zdaniem ESMA, że ratingi kredytowe, perspektywy ratingowe i informacje ich dotyczące należy traktować jak informację poufną w rozumieniu MAR do momentu jej upublicznienia przez agencję ratingową (co następuje najszybciej). Zatem np. banki-emitenci po otrzymaniu takiej informacji, nie powinny publikować otrzymanego ratingu jako informacji poufnej w rozumieniu MAR, bo informacja ta została już upubliczniona.
ESMA wskazuje dodatkowo, że to właśnie moment upublicznienia (w tym także za pośrednictwem „subskrypcji”, przy ograniczonym kręgu subskrybentów) informacji na temat ratingów kredytowych, perspektyw ratingowych i informacji ich dotyczących przez agencję ratingową jest momentem, w którym informacja poufna traci walor poufności („do czasu ich upublicznienia(…)”), co ponownie potwierdza, że praktyka banków publikujących takie informacje jak informacje poufne, nie znajdzie dalej zastosowania (zgodnie z zasadą, że nie powinno się publikować jako informacji poufnej w rozumieniu MAR informacji publicznie dostępnej). Agencje ratingowe znowuż co do zasady publikują ratingi kredytowe, perspektywy ratingowe i informacje ich dotyczące na stronach www/w ramach subskrypcji. Zgodnie ze wskazanym Rozporządzeniem uznaje się, że agencja ratingowa z siedzibą w Unii i zarejestrowana zgodnie z Rozporządzeniem wystawiła rating kredytowy, gdy rating kredytowy został opublikowany na stronie internetowej agencji ratingowej lub z wykorzystaniem innych środków albo został rozpowszechniony w drodze subskrypcji oraz przedstawiony i ujawniony zgodnie z obowiązkami w zakresie m.in. informacji poufnych. Wydaje się, że jest to kolejny krok w sprawie doprecyzowania katalogu zdarzeń powtarzalnych, które nie powinny być już traktowane jak informacja poufna (tu – z powodu utraty waloru poufności), a co za tym idzie – zmniejszenie ilości „wypuszczanych” na rynek informacji poufnych.
QA dostępne TUTAJ.
Update: link do bardzo ciekawej dyskusji w tym temacie: TUTAJ.
Przedstawiam szóstą część artykułu w zakresie Wytycznych ESMA dla funkcji compliance, w której skupię się na wytycznej nr 5 tj. wytycznej dotyczącej skuteczności komórki ds. nadzoru zgodności z prawem – pkt. 43 – 48 Wytycznych 2021.
Artykuł do pobrania: TUTAJ. Kolejne części w przygotowaniu
Przedstawiam piątą część artykułu w zakresie Wytycznych ESMA dla funkcji compliance, w której skupię się na wytycznej nr 4 tj. wytycznej dotyczącej obowiązków komórki ds. nadzoru zgodności z prawem w zakresie doradztwa i pomocy – pkt. 33 – 42 Wytycznych 2021.
Artykuł do pobrania: TUTAJ. Kolejne części w przygotowaniu
Przedstawiam czwartą część artykułu w zakresie Wytycznych ESMA dla funkcji compliance, w której skupię się na dalszej części wytycznej nr 3 tj. wytycznej dotyczącej obowiązków sprawozdawczych komórki ds. nadzoru zgodności z prawem w zakresie pkt. 28 lit. d) – e) oraz punktów 29 – 32 Wytycznych 2021.
Artykuł do pobrania: TUTAJ. Kolejne części w przygotowaniu.
Przedstawiam trzecią część artykułu, po artykule z dnia 28 maja 2021 r. tj. „Wytyczne ESMA dla funkcji compliance (2021r.) – zagadnienia ogólne oraz propozycje wdrożeniowe – cz. 1” oraz drugiej części z dnia 16 czerwca 2021 r. j. „Wytyczne ESMA dla funkcji compliance (2021 r.) – propozycje wdrożeniowe – cz. 3” w zakresie Wytycznych ESMA dla funkcji compliance, w której skupiłem się na dalszej części wytycznej nr 3 tj. wytycznej dotyczącej obowiązków sprawozdawczych komórki ds. nadzoru zgodności z prawem w zakresie pkt. 28 lit. b) – c) Wytycznych 2021. Artykuł do pobrania: TUTAJ. Kolejne części w przygotowaniu.
Po części I artykułu opisującego ESMA dla funkcji compliance czas na cz. 2, w której pokazuję jak m.in. połączyć Wytyczne ESMA z Rekomendacją H dotyczącą systemu kontroli wewnętrznej w bankach. Artykuł dostępny w artykułach do pobrania: TUTAJ. Kolejne części w przygotowaniu.
O samych Guidelines pisałem już wcześniej (TUTAJ), dlatego tym razem daruję sobie wstęp i przejdę od razu do pomysłów na wdrożenie zapisów Wytycznych do konkretnych polityk dotyczących MiFID czy obszaru ryzyka braku zgodności.
I. Regulamin Organizacyjny jednostki compliance
1.Właściwe zarządzanie ryzykiem braku zgodności w firmie inwestycyjnej – poprzez opracowanie i wdrożenie wymaganych przez MiFID polityk i procedur, przegląd ryzyk, testy zgodności etc. – wydaje się, że tego typu ogólne zapisy można bez problemu wdrożyć do regulaminu organizacyjnego jednostki compliance poprzez odwołanie do konkretnych polityk, procedur etc. Mogą więc to być w szczególności zapisy tj.:
A) Jednostka compliance jest odpowiedzialna za wdrożenie oraz monitorowanie przestrzegania polityk i procedur w następujących zakresach(…) – nie widzę przeszkód formalnych, aby w zależności od wielkości jednostki compliance zdefiniować w/w albo w zadaniach jednostki bądź już konkretnie z przypisaniem do obszarów (AML/etyka czy MiFID) z przypisaniem do zakresu zadań wydziału/biura etc.
B) Jednostka compliance obowiązana jest, w ramach efektywnego zarządzania ryzykiem braku zgodności, do wykonywania cyklicznych testów zgodności w następujących obszarach – np. obszar Best Execution – rokrocznie, obszar poprawności sprzedaży produktów inwestycyjnych – rokrocznie oraz dodatkowo wykonywanie kontroli w sposób ciągły, tj. nie rzadziej niż raz na tydzień sprawdzanie transakcji klientów na wybranej próbie, zgodnie z metodologią wykonywania testów i kontroli compliance – dobrą praktyką jest by jednostka compliance posiadała opisaną metodologię zarządzania ryzykiem braku zgodności oraz metodologię wykonywania testów i kontroli zgodności (ważna uwaga – kontrole zgodności nie są kontrolami, które wykonuje jednostka audytu wewnętrznego a zatem nie mogą być, także przez ogólną zasadę transparentności, wykonywane przez tę jednostkę!).
C) Właściwe zarządzanie ryzykiem braku zgodności to zarządzanie wielopoziomowe (od biznesu, przez compliance na audycie wewnętrznym i ryzku operacyjnym skończywszy) – w Regulaminie Organizacyjnym mogą znaleźć się także ogólne zapisy mówiące, iż „(…) Za zarządzanie ryzykiem braku zgodności odpowiada Zarząd firmy inwestycyjnej. Zarząd wykonuje w/w za pomocą jednostki compliance, która wspierana jest w zarządzaniu ryzykiem braku zgodności przez jednostkę ds. ryzyka operacyjnego oraz jednostkę ds. ryzyka reputacyjnego.
Modelowa struktura może wyglądać w sposób następujący:
§ 1. Nadzór nad zarządzaniem ryzykiem braku zgodności sprawuje Rada Nadzorcza.
§ 2. Nadzór jest sprawowany w szczególności poprzez przyjmowanie raportu Zarządu z zarządzania ryzykiem braku zgodności za rok ubiegły.
§ 3. Za zarządzanie ryzykiem braku zgodności odpowiedzialny jest Zarząd.
§ 4. Zarząd wykonuje zadania określone w § 3 za pomocą jednostki compliance, która wspierana jest przez jednostkę ds. ryzyka operacyjnego oraz jednostkę ds. ryzyka reputacyjnego.
§ 5. Struktura zarządzania ryzykiem braku zgodności wygląda następująco:
Ust. 1 Wszyscy pracownicy firmy inwestycyjnej – w zakresie wykonywanych zadań,
Ust. 2 Linie biznesowe – w zakresie I linii kontroli ryzyka braku zgodności,
Ust. 3 Jednostka compliance we współpracy z jednostką ds. ryzyka operacyjnego oraz jednostką ds. ryzyka reputacyjnego,
Ust. 4 Jednostka ds. audytu wewnętrznego – w zakresie kontroli poprawności zarządzania ryzykiem braku zgodności
Ust. 5 Zarząd
Ust. 6 Rada Nadzorcza – w zakresie nadzoru nad zarządzaniem ryzykiem braku zgodności.
2. Sprawowanie nadzoru funkcjonalnego nad rozpatrywaniem reklamacji, w kontekście MiFID’u – Jednostka compliance sprawuje nadzór nad poprawnością rozpatrywania reklamacji z zakresu MiFID (zdefiniowanego wcześniej). Dodatkowe zapisy powinny się znaleźć w procedurze rozpatrywania reklamacji – np. na zasadzie (…) jednostka rozpatrująca reklamację w zakresie MiFID jest obowiązana uzgodnić, przed wysłaniem odpowiedzi do osoby składającej reklamację, treść odpowiedzi z jednostką compliance.
3. Szkolenia, bieżące doradztwo, opiniowanie polityk, procedur etc.: Jednostka compliance wykonuje swe zadania, określone w § …., w szczególności poprzez:
i. Szkolenie pracowników – dobrą praktyką jest aby powstała krótka procedura, np. w formie zarządzenia wewnętrznego dyrektora jednostki compliance, określająca rodzaj i częstotliwość wykonywanych szkoleń;
ii. Bieżące doradztwo dla pracowników poprzez udzielnie wyjaśnień, rekomendacji i opinii, przy czym (kolejna dobra praktyka) przyjmuje się zasadę, że opinia, rekomendacja etc. każdorazowo powinna wskazywać, oprócz stwierdzonych ryzyk, także propozycje rozwiązania problemu czy zmitygowania ryzyka;
iii. Opiniowanie wewnętrznych aktów prawnych – szczegółowe zasady powinny zostać wpisane do procedury legislacyjnej firmy inwestycyjnej (zasad opiniowania);
II. Polityka zgodności, metodologia zarządzania ryzykiem braku zgodności
W grudniu 2011 roku ESMA przedstawiła do publicznych konsultacji dokument, niezwykle wydawało by się istotny dla sprawowania funkcji compliance w instytucjach finansowych, będący nieomal „Bazyleą dla firm inwestycyjnych”, mianowicie tzw. Consultation paper – Guidelines on certain aspects of the MiFID compliance requirments. Sam dokument w fazie projektowej liczy sobie 32 strony, natomiast uwagi zgłosiło 45 instytucji (polskich niestety brak!) w tym poszczególni regulatorzy, stowarzyszenia, banki, asset managerowie etc. Uwagi i odpowiedzi na pytanie ESMA to tak na oko jakieś 250 stron. Kolejnym krokiem ESMA ma być przeanalizowanie nadesłanych odpowiedzi i docelowo opublikowanie uzgodnionych „Wytycznych(…)”.
Tyle statystyk i wprowadzenia. Analizując dokument oraz załączone odpowiedzi w/w podmiotów można zauważyć, parafrazując, że jest to jedynie swoista „ewolucja, natomiast z całą pewnością nie rewolucja” systemu compliance w firmach inwestycyjnych. Najłatwiej oczywiście będzie się dostosować bankom, które od dawna już taki system miały wdrożony (za sprawą dokumentu Komitetu Bazylejskiego ds. nadzoru Bankowego – ‘Zgodność i funkcja zapewnienia zgodności w bankach’).
Same Guidelines(…) powstały jako wynik kryzysu finansowego, który według autorów (i słusznie!) pokazał, że funkcja compliance powinna zdecydowanie zyskiwać na znaczeniu, a co za tym idzie compliance powinno być angażowane w niemal każdy etap kreacji nowej usługi inwestycyjnej, bądź produktu inwestycyjnego.
W telegraficznym skrócie „Wytyczne(…)” określają:
1. Właściwe zarządzanie ryzykiem braku zgodności w firmie inwestycyjnej – poprzez opracowanie i wdrożenie wymaganych przez MiFID polityk i procedur, przegląd ryzyk, testy zgodności etc.
Jako rozszerzenie należy dodać, iż oczywiście moim zdaniem, zasługą MiFID’u jest to, że wymogła na compliance ewolucję do tzw. modelu „dojrzałego” bądź nawet „bardzo dojrzałego”. Model „dojrzały” to efektywne zarządzanie ryzykiem braku zgodności, to tworzenie biznesowych – I-ych linii zarządzania ryzykiem, to wreszcie stała weryfikacja testów zgodności, natomiast model „bardzo dojrzały” to znowuż wszystko to co i w modelu „dojrzałym” plus stanie się dla compliance realnym wsparciem dla biznesu, włączenie zarządzania ryzykiem braku zgodności do praktyk biznesowych, opracowanie i wdrożenie pełnej metodologii zarządzania ryzykiem braku zgodności etc. To wszystko, moim zdaniem, zawdzięczamy MiFID’owi – nie dała nam tego pralnia, nie dała do końca doktryna klasycznego compliance, dały rynki kapitałowe.
2.Wdrożenie programu monitorowania ryzyk – na każdym etapie „tworzenia” danego produktu czy usługi podlegających pod MiFID, wdrożenie narzędzi i właściwych metodologii. Co ciekawe dokumenty wskazują, na wydawałoby się rzecz oczywistą na poziomie „dojrzałym” czy „bardzo dojrzały”, ale jak pokazuje praktyka nie zawsze oczywistych i nie dla każdego, że kontrole powinny być przeprowadzane nie jedynie „zza biurka”, ale także by dokumenty, oświadczenia etc. jednostek biznesowych były weryfikowane poprzez kontrolę praktyczną.
Jest to o tyle istotne, że z rynku dochodzą czasem wieści, że dana jednostka compliance raportowała (Zarząd, rada nadzorcza) de facto nieprawdę. Dane, które otrzymała z biznesu były tak skonstruowane by spowodować brak reakcji i rekomendacji compliance, a compliance nie zweryfikowało ich „na drugą rękę”. Oczywiście nie trzeba mówić czym takie sytuacje mogą się dla kierujących danym compliance zakończyć (nie wspominając o generowaniu ryzyka).
3. Jak przystało na dokument określający zasady „bardzo dojrzałego” compliance także „Wytyczne(…)” wskazują, iż właściwe zarządzanie ryzykiem braku zgodności to zarządzanie wielopoziomowe (od biznesu, przez compliance na audycie wewnętrznym i ryzku operacyjnym skończywszy).
4. Co także powinno być oczywiste – compliance powinno mieć dostęp, a więc de facto sprawować nadzór nazwijmy to funkcjonalny nad rozpatrywanie reklamacji, w kontekście MiFID’u.
5. Kolejna kwestia – raportowanie do „senior management”, czyli w praktyce do Zarządu oraz docelowo do Komitetu ds. Audytu/Compliance (Rady Nadzorczej). Nic nowego, ale oczywiście cieszy, że zwrócono na to uwagę, gdyż jest to wręcz obligatoryjny element właściwej struktury zarządzania ryzykiem braku zgodności via Rys. 1). Bardzo ciekawym założeniem jest, aby taki raport, powiedzmy roczny z zarządzania ryzykiem braku zgodności, pokrywał merytorycznie wszystkie aspekty i jednostki wewnętrzne związane ze świadczeniem usług inwestycyjnych (a zatem np. odrębnie treasury, custody, sieć, detal, marketing, zachęty etc. etc.), a w przypadkach pominięcia danej jednostki – przedstawiać powody owego pominięcia (myślę, ze dobrym powodem mogłoby być np. brak luk w procesie, potwierdzone testem zgodności). Bardzo pozytywnym aspektem dokumentów jest to, że wprowadzają (póki co) założenia raportowania ad hoc do np. Zarządu, w przypadkach np. istotnych naruszeń związanych z MiFID i co ważne raportowanie nie powinno się odbywać na zasadzie „stwierdzono następujące nieprawidłowości”, ale także zawierać „proponowane rozwiązania”, co może ukróci praktyki „starej szkoły kontroli”, mówiące, iż „jeśli kontrola nie wykazała żadnych nieprawidłowości, to znaczy, ze została przeprowadzona błędnie”. „Wytyczne(…)” wskazują także, ze compliance powinno być uczestnikiem korespondencji z właściwymi organami nadzoru.
6. Obowiązki jednostki compliance, oprócz wskazanych powyżej, to zgodnie z „Wytycznymi(…)” także (co również oczywiste) szkolenie pracowników (okresowe i ad hoc), bieżące wsparcie i doradztwo i oczywiście obligatoryjny udział w tworzeniu/opiniowaniu polityk, procedur czy produktów. Każdorazowo w przypadku zmian w prawie, nowych interpretacji UKNF czy ESMA compliance powinno robić krótkie szkolenia z w/w zakresu.
Wydaje się zasadnym, że część szkoleń, w szczególności tych dla większości pracowników, można robić w formie e-learningu, natomiast dobrą praktyką będzie każdorazowe przygotowywanie listy uczestników danego szkolenia.
Warto wspomnieć, że ogólnie pojęty „Zachód” wprowadził jakiś czas temu do metodyki compliance mierzenie tzw. „świadomości” pracowników w danym obszarze. Można to wykonywać dzwoniąc do pracowników np. „lady” i zadając pytania przygotowane zgodnie z metodologią, ale najlepszą dla mnie metodą są póki co ankiety. Oczywiście mogą one przekłamywać rzeczywiste wyniki, ale póki co lepszej metody nie znalazłem. Takie badania (np. roczne) świadomości pracowników w danym obszarze są świetną bazą dla szkoleń (z czego je przeprowadzić) czy też dla testów zgodności (gdzie je przeprowadzić).
7. Kolejna klasyka gatunku – jednostki ds. compliance powinny być wyposażone w tzw. właściwe zasoby, tj. pracownicy winni być doświadczeni i wykształceni kierunkowo. Oznacza to także stałe i wręcz permanentne podnoszenie kwalifikacji przez pracowników compliance – w szczególności poprzez szkolenia (w końcu jeśli ktoś ma być primus inter pares, udzielać wyjaśnień, doradzać czy szkolić, to musi być świetnie wykształcony).
Dobrą praktyką w dzisiejszych czasach jest by jednostka ds. compliance składała się w szczególności z prawników, ekonomistów, osób z wykształceniem w zakresie bankowości i finansów, oraz ze względu na złożoność dzisiejszych systemów niezbędnych do analizy danych – specjalisty ds. IT.
Compliance powinno mieć dostęp do wszelkich niezbędnych informacji oraz analiz, niezbędnych do wykonywania ich obowiązków, czyli do właściwego i skutecznego zarządzania ryzykiem braku zgodności.
Inną dobrą praktyką jest wyposażenie compliance w prerogatywy wstrzymywania danego biznesu, jeśli generuje on zbyt duże ryzyko – decyzja compliance oficera powinna być ostateczną na etapie uzgodnień (oczywiście Zarząd tak czy siak jest władny ją zmienić).
Dokończenie w kolejnej części – TUTAJ.
Cały artykuł (stan na czerwiec 2014 r.) – TUTAJ.
MiFID, MAR & Compliance 