Istota zarządzania ryzykiem w działalności bankowej. Działalność bankowa opiera się w swojej istocie na zarządzaniu ryzykiem. Każda decyzja podejmowana przez bank wiąże się z określonym poziomem ryzyka, które może mieć charakter finansowy, operacyjny, prawny lub reputacyjny. Ryzyko nie jest elementem ubocznym działalności banku, lecz jej podstawową cechą konstytutywną. Udzielanie kredytów, przyjmowanie depozytów, inwestowanie środków własnych, oferowanie produktów strukturyzowanych czy świadczenie usług płatniczych — wszystkie te działania wymagają określonej tolerancji na ryzyko oraz mechanizmów, które umożliwiają jego identyfikację, pomiar, monitorowanie i kontrolę.
Z tego powodu banki nie dążą do eliminacji ryzyka jako takiego, lecz do utrzymywania go w ramach akceptowalnych apetytów na ryzyko, zgodnych z ich profilem ryzyka oraz wymaganiami regulacyjnymi. Istnienie ryzyka w działalności bankowej nie jest przejawem dysfunkcji, lecz warunkiem możliwości prowadzenia działalności gospodarczej opartej na przewidywaniu, zarządzaniu i wycenie ryzyka.
Różnice w podejściu nadzorczym do poszczególnych rodzajów ryzyka. W przypadku wielu rodzajów ryzyka, takich jak ryzyko kredytowe, rynkowe czy płynności, podejście regulacyjne i nadzorcze przewiduje zarządzanie tym ryzykiem poprzez stosowanie odpowiednich modeli, limitów i buforów kapitałowych. Nadzorca nie oczekuje od banku wyeliminowania tych ryzyk, lecz jedynie zapewnienia, że są one podejmowane w sposób świadomy, kontrolowany i zgodny z wewnętrznym apetytem na ryzyko.
Inaczej kształtuje się sytuacja w odniesieniu do ryzyk uznawanych za krytyczne z perspektywy zgodności z prawem i interesem publicznym, takich jak ryzyko prania pieniędzy, finansowania terroryzmu, naruszenia sankcji czy braku zgodności z przepisami konsumenckimi. W tych obszarach przyjmuje się zasadę braku tolerancji dla ryzyka, określaną mianem zasady zero tolerancji.
Prawidłowe rozumienie zasady „zero tolerancji”. Zasada ta nie oznacza jednak wymogu absolutnego wyeliminowania wszelkich możliwych naruszeń, lecz brak akceptacji dla luk systemowych. Innymi słowy, nie powinno oczekać się od banku, że nigdy nie dojdzie do incydentu, lecz że instytucja zapewni skuteczny system zarządzania ryzykiem, który umożliwi ograniczenie prawdopodobieństwa wystąpienia naruszenia oraz szybkie wykrycie i adekwatną reakcję, jeżeli do niego dojdzie.
Instytucje nie powinny być zobowiązane do zapobiegania wszystkim przypadkom niezgodności, lecz do podejmowania działań proporcjonalnych i odpowiednich do charakteru i skali prowadzonej działalności. Skuteczny zaś system zarządzania ryzykiem braku zgodności powinien umożliwiać wczesne wykrywanie naruszeń, identyfikowanie ich przyczyn oraz wdrażanie działań naprawczych.
Granica pomiędzy incydentem dopuszczalnym a dowodem nieskuteczności. W praktyce bankowej największym wyzwaniem jest określenie, czy konkretne naruszenie stanowi dopuszczalną materializację ryzyka rezydualnego, czy też jest przejawem nieskuteczności systemu zarządzania tym ryzykiem. Nie można przyjąć prostej reguły, zgodnie z którą każde naruszenie oznacza wadliwość systemu, ani też twierdzić, że incydenty mają zawsze charakter nieunikniony. Kluczowa jest ocena kontekstu, w jakim doszło do naruszenia, a także działań podejmowanych przez instytucję przed, w trakcie i po jego wystąpieniu.
O dopuszczalnej materializacji ryzyka można mówić w sytuacji, w której bank posiada aktualne i stosowane procedury, zapewnia szkolenia dla pracowników, wdraża kontrole wewnętrzne, a naruszenie zostało wykryte wewnętrznie i obsłużone zgodnie z procedurą. W takiej sytuacji bank może skutecznie wykazać, że dołożył należytej staranności, a zdarzenie miało charakter incydentalny.
Przeciwnie, jeżeli instytucja nie potrafi udokumentować stosowania procedur, incydenty mają charakter powtarzalny, są wykrywane przez podmioty zewnętrzne, a reakcja wewnętrzna jest opóźniona lub pozorna, można mówić o nieskuteczności systemu zarządzania ryzykiem. W takiej sytuacji naruszenie nie jest przypadkiem, lecz objawem niedostosowania organizacyjnego.
Znaczenie dowodów staranności. W procesie oceny skuteczności systemu zarządzania ryzykiem braku zgodności fundamentalne znaczenie mają dowody należytej staranności. Są to nie tylko procedury i polityki, ale przede wszystkim dokumentacja potwierdzająca ich stosowanie: protokoły szkoleń, raporty z testów kontroli, rejestry incydentów, zapisy z posiedzeń komitetów audytu i zgodności, plany naprawcze i ich ewaluacja. Brak takich dowodów powoduje, że nawet dobrze skonstruowany system może zostać uznany za nieskuteczny.
W praktyce banki powinny wdrażać podejście oparte na cyklu życia ryzyka: identyfikacja, ocena, kontrola, monitorowanie i doskonalenie. W każdym z tych etapów kluczowe jest przypisanie odpowiedzialności, zapewnienie zasobów oraz prowadzenie dokumentacji umożliwiającej wykazanie zgodności z oczekiwaniami regulacyjnymi. Tylko w ten sposób bank może nie tylko ograniczyć skutki naruszenia, ale także zbudować wiarygodność wobec nadzorcy.
Wnioski de lege ferenda. Z perspektywy postulatywnej należy rozważyć wprowadzenie wyraźnych kryteriów rozróżnienia między incydentem a systemową nieskutecznością mechanizmów zarządzania ryzykiem braku zgodności. Do znaczącej poprawy przyczyniłoby się wprowadzenie do obowiązujących regulacji przez ustawodawcę krajowego, jak i regulatorów unijnych zasad interpretacyjnych. Pozwoliłyby one instytucjom obowiązanym lepiej ocenić wagę danego naruszenia. W szczególności wskazane byłoby doprecyzowanie, kiedy incydent może zostać uznany za efekt starannie zaprojektowanego i funkcjonującego systemu, a kiedy stanowi przesłankę do kwestionowania skuteczności całego modelu zarządzania ryzykiem.
Pożądane byłoby również ustanowienie ogólnych zasad dokumentowania należytej staranności w kontekście ryzyk niefinansowych, w tym szczególnie w odniesieniu do funkcji compliance. Praktyka pokazuje, że wiele instytucji podejmuje działania zgodne z najlepszymi standardami, ale nie dysponuje odpowiednimi środkami dowodowymi. Wytyczne nadzorcze w tym zakresie mogłyby przyjąć formę katalogu dobrych praktyk lub przykładowych standardów dokumentacyjnych.
Wreszcie, warto rozważyć zobowiązanie organów nadzorczych do transparentnego uzasadniania decyzji w sprawach naruszeń zasad zgodności, w szczególności poprzez wskazanie, czy podstawą interwencji była luka systemowa, czy incydent rezydualny. Tego rodzaju obowiązek zwiększyłby przewidywalność nadzoru i umożliwiłby instytucjom precyzyjniejsze dostosowanie wewnętrznych modeli zarządzania ryzykiem do oczekiwań regulatorów.
Podsumowanie. Zarządzanie ryzykiem braku zgodności nie polega na dążeniu do całkowitej eliminacji ryzyka, lecz na stworzeniu systemu, który zapewnia jego adekwatne rozpoznanie, kontrolę i reakcję na nieprawidłowości. Granica między jednostkową materializacją ryzyka a nieskutecznością systemu przebiega nie w sferze skutku, lecz w sferze dowodów staranności i jakości działań organizacyjnych. Bank, który potrafi wykazać, że posiada spójny, funkcjonujący i doskonalony system zarządzania ryzykiem braku zgodności, może liczyć na zrozumienie i proporcjonalność reakcji nadzoru, nawet jeżeli incydenty się zdarzają. Instytucja, która traktuje zgodność jako proces ciągły i odpowiedzialność organizacyjną, a nie wyłącznie wymóg formalny, buduje odporność nie tylko wobec ryzyk prawnych, lecz także wobec ryzyk reputacyjnych i strategicznych.