Geneza i znaczenie Rekomendacji H. Rekomendacja H Komisji Nadzoru Finansowego dotycząca systemu kontroli wewnętrznej w bankach została opublikowana w kwietniu 2017 r., zastępując poprzednią wersję z 2011 r. Jej celem było dostosowanie ram nadzorczych do dynamicznie zmieniającego się otoczenia regulacyjnego, w tym wytycznych EBA w sprawie wewnętrznego ładu (EBA/GL/2017/11, a obecnie EBA/GL/2021/05), oraz do doświadczeń KNF z nadzoru nad funkcjonowaniem banków. Rekomendacja H wpisuje się w szerszy kontekst wzmocnienia kultury zgodności, ładu wewnętrznego oraz odporności instytucji finansowych na ryzyka niefinansowe.
Zakres i struktura Rekomendacji H. Rekomendacja H reguluje kompleksowo organizację systemu kontroli wewnętrznej w bankach. Opiera się na klasycznym modelu trzech linii obrony, precyzując role i zadania poszczególnych funkcji: zarządzania ryzykiem, compliance oraz audytu wewnętrznego. Dokument kładzie nacisk na konieczność zapewnienia odpowiedniego nadzoru ze strony organów statutowych, w szczególności rady nadzorczej, oraz wzmocnienie niezależności jednostek kontrolnych. Rekomendacja zawiera również wymagania w zakresie mechanizmów kontrolnych, raportowania, monitorowania ryzyk oraz komunikacji wewnętrznej.
Praktyka wdrożeniowa – zróżnicowane doświadczenia sektora. W ponad sześć lat od zalecanego terminu wdrożenia Rekomendacji H widać istotne zróżnicowanie w stopniu i jakości implementacji. Banki komercyjne w większości przypadków sformalizowały swoje struktury kontroli wewnętrznej, jednak nie zawsze towarzyszyło temu rzeczywiste wzmocnienie funkcji compliance i II linii obrony. W wielu przypadkach compliance pozostaje funkcją niesamodzielną, ograniczoną kadrowo i operacyjnie, a jej pozycja organizacyjna nie gwarantuje pełnej niezależności. Szczególnie widoczne jest to w bankach spółdzielczych, gdzie ze względu na skalę działalności i ograniczenia zasobów, dochodzi do łączenia funkcji i niepełnej separacji ról.
Wdrożenia często przyjmowały charakter dokumentacyjny, bez rzeczywistej zmiany kultury organizacyjnej. Raporty wewnętrzne, przeglądy compliance i oceny efektywności funkcjonowania systemu kontroli wewnętrznej bywały realizowane w sposób rutynowy, bez wyciągania realnych wniosków. W niektórych przypadkach nie dostosowano odpowiednio polityk outsourcingu, strategii zarządzania ryzykiem czy funkcjonowania komitetów wewnętrznych do wymagań rekomendacji.
Działania i oczekiwania nadzoru. KNF nie opublikowała dotychczas kompleksowego raportu ewaluacyjnego dotyczącego wdrażania Rekomendacji H. Niemniej jednak z działań nadzorczych – w tym przeglądów tematycznych oraz rekomendacji pokontrolnych – można wyciągnąć pewne wnioski. Nadzór coraz częściej weryfikuje nie tylko zgodność formalną, ale również efektywność działania systemu kontroli wewnętrznej. Pojawiają się również sygnały o konieczności lepszej integracji funkcji zgodności z systemem zarządzania ryzykiem i systemem zarządczym jako całością.
Kontrola wewnętrzna w procesach czy w funkcjach. Dylemat strukturalny. Jednym z istotnych założeń Rekomendacji H jest integracja kontroli wewnętrznej z procesami bankowymi. Takie podejście zakłada, że każda funkcja kontrolna (pierwszej, drugiej lub trzeciej linii obrony) jest osadzona w strukturze procesowej i powinna monitorować ryzyka związane z realizacją poszczególnych zadań operacyjnych. Ujęcie to ma na celu zapewnienie pełnego pokrycia procesów kontrolami, zwiększenie ich skuteczności oraz lepsze powiązanie między zarządzaniem ryzykiem a codzienną działalnością operacyjną.
W praktyce jednak model ten napotyka na istotne ograniczenia. W dużych organizacjach struktura procesów jest bardzo złożona i ulega częstym zmianom, co utrudnia zapewnienie spójności mechanizmów kontrolnych i aktualności macierzy ryzyk. Ponadto, procesowe przypisanie odpowiedzialności za kontrolę może prowadzić do rozmycia odpowiedzialności w sytuacjach, gdy kilka jednostek realizuje wspólny proces.
Jeszcze większe wyzwania pojawiają się w mniejszych bankach, gdzie nie istnieje sformalizowany katalog procesów ani nie są dostępne narzędzia do ich bieżącego mapowania. W takich warunkach wdrażanie kontroli „w procesach” często kończy się na formalnym przypisaniu ról bez faktycznego pokrycia operacyjnego. Dochodzi również do sytuacji, w których funkcje II linii – zamiast budować horyzontalną perspektywę nadzorczą – zostają zredukowane do roli monitorowania listy punktów kontrolnych.
Alternatywą dla podejścia procesowego jest model funkcjonalny, w którym kontrola wewnętrzna opiera się na wyodrębnieniu obszarów ryzyka i funkcji kluczowych z perspektywy celów organizacji, niezależnie od przebiegu procesu. Przykładem może być osobne traktowanie ryzyk prawnych, reputacyjnych czy ESG, nawet jeśli nie są one przypisane do pojedynczego procesu. Tego rodzaju podejście pozwala na bardziej elastyczne zarządzanie ryzykiem i lepsze odwzorowanie rzeczywistej odpowiedzialności jednostek organizacyjnych.
W związku z tym warto rozważyć, czy przyszła aktualizacja Rekomendacji H nie powinna dopuścić równoważnego stosowania podejścia funkcjonalnego – tam, gdzie podejście procesowe nie jest wykonalne lub nie przynosi oczekiwanej efektywności. Pozwoliłoby to bankom na większą adaptacyjność w organizacji mechanizmów kontroli i dostosowanie struktury nadzorczej do specyfiki ich działalności.
Rozdzielenie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej. Dylemat funkcjonalny.Obowiązujące przepisy prawa bankowego oraz rozporządzenie Ministra Finansów, Funduszy i Polityki Regionalnej z dnia 8 czerwca 2021 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz polityki wynagrodzeń w bankach wymagają, aby bank posiadał dwa odrębne systemy: zarządzania ryzykiem oraz kontroli wewnętrznej. Rekomendacja H oraz wytyczne EBA (EBA/GL/2021/05) wzmacniają to podejście, wskazując na potrzebę wyraźnego wyodrębnienia funkcji compliance, ryzyka i audytu jako niezależnych komponentów trzech linii obrony.
Z punktu widzenia logiki regulacyjnej podział ten ma zapewnić, że ocena ryzyk oraz działanie mechanizmów kontrolnych nie będą wzajemnie zależne ani skupione w jednej jednostce, co mogłoby prowadzić do konfliktu interesów i osłabienia nadzoru wewnętrznego. System zarządzania ryzykiem ma bowiem identyfikować, oceniać i monitorować ryzyka, a system kontroli wewnętrznej – weryfikować zgodność działań z przepisami i procedurami oraz skuteczność wdrażanych mechanizmów.
Jednak z perspektywy operacyjnej, rozdzielenie to bywa w praktyce sztuczne. W wielu bankach dochodzi do powielania zadań, dublowania oceny tych samych ryzyk i generowania rozbieżnych raportów przez jednostki compliance i zarządzania ryzykiem. Zdarza się także, że współpraca między tymi jednostkami opiera się na formalizmie, bez faktycznego przepływu wiedzy i danych. Może to skutkować rozmyciem odpowiedzialności, lukami w identyfikacji ryzyk oraz fragmentaryzacją podejścia do kultury ryzyka.
Dodatkowym problemem jest to, że w małych i średnich bankach, a zwłaszcza w bankach spółdzielczych, taki dualizm organizacyjny jest trudny do utrzymania personalnie i zasobowo. Banki te nie dysponują wystarczającą liczbą specjalistów, by efektywnie realizować oba systemy w pełnej separacji. W konsekwencji powstają sytuacje, w których teoretyczne rozdzielenie funkcji nie przekłada się na realną wartość dodaną dla zarządzania ryzykiem.
Z funkcjonalnego punktu widzenia zasadne wydaje się dążenie nie tyle do ścisłego rozdziału obu systemów, co do spójności ich działania i synergii informacyjnej. Kontrola wewnętrzna powinna wzmacniać system zarządzania ryzykiem poprzez jego niezależną ocenę i testowanie, ale nie działać w oderwaniu od jego architektury. Oba systemy powinny korzystać z tych samych źródeł danych, być wspierane przez wspólne narzędzia technologiczne i działać na podstawie zintegrowanego katalogu ryzyk.
W związku z tym przyszłe zmiany regulacyjne – choć nie mogą odejść od wymogu formalnego rozdziału – powinny położyć większy nacisk na efektywność współdziałania obu systemów, a nie jedynie ich odrębność organizacyjną. Wymogi proceduralne nie powinny zastępować oceny skuteczności. Dla instytucji o mniejszej skali działania należałoby przewidzieć elastyczne modele integrujące oba systemy przy zachowaniu zasady niezależności funkcji.
Relacja z regulacjami europejskimi i nowe wyzwania. Warto ocenić spójność Rekomendacji H z europejskimi wytycznymi EBA, w szczególności w kontekście zaktualizowanych wytycznych w sprawie ładu wewnętrznego z czerwca 2021 r. (EBA/GL/2021/05). Wytyczne te wzmacniają rolę funkcji kontroli wewnętrznej i wymagają od banków dostosowania kultury organizacyjnej oraz struktury zarządzania do rosnącej złożoności ryzyk. Wymogi EBA są bardziej jednoznaczne i wymagają większego zaangażowania rady nadzorczej w ocenę skuteczności funkcji compliance oraz audytu wewnętrznego. W perspektywie najbliższych lat banki będą musiały uwzględnić również wymogi wynikające z rozporządzenia DORA, które wpłynie na systemy kontroli technologicznej i odporności operacyjnej. Z kolei inicjatywy z zakresu zrównoważonego finansowania będą wymagały od banków integracji ryzyk ESG z funkcjonującym systemem kontroli, co nie znajduje obecnie wyraźnego odzwierciedlenia w Rekomendacji H.
Wnioski de lege ferenda i postulaty praktyczne. Analiza doświadczeń z wdrażania Rekomendacji H prowadzi do kilku istotnych wniosków dotyczących konieczności jej aktualizacji. W ciągu sześciu lat od wejścia w życie obecnej wersji rekomendacji zmieniło się zarówno otoczenie regulacyjne, jak i praktyka nadzorcza. Pojawiły się także nowe obszary ryzyka, których obecna wersja dokumentu nie obejmuje w wystarczającym stopniu. Poniżej przedstawiono kluczowe propozycje zmian, które powinny zostać rozważone w procesie rewizji Rekomendacji H.
Po pierwsze, należy doprecyzować wymagania dotyczące niezależności funkcji compliance. Obecna treść rekomendacji dopuszcza zbyt szeroką interpretację zasady niezależności, co prowadzi do sytuacji, w których compliance formalnie spełnia wymogi, ale nie ma realnej zdolności do wykonywania zadań kontrolnych. Rekomendacja powinna zawierać jednoznaczne wymogi co do poziomu podporządkowania funkcji compliance (np. bezpośrednio zarządowi lub prezesowi zarządu), zakazu łączenia jej z funkcjami operacyjnymi oraz minimalnych zasobów kadrowych i kompetencyjnych.
Po drugie, należy uwzględnić różnice skali i modelu działania banków. Obecna rekomendacja zakłada jednolite podejście do wszystkich typów instytucji, co w praktyce utrudnia wdrożenie jej w bankach spółdzielczych i mniejszych bankach lokalnych. Warto rozważyć wprowadzenie podejścia proporcjonalnego, podobnie jak w wytycznych EBA, z jasnym rozgraniczeniem, które elementy mają charakter niezbędnego minimum, a które mogą być dostosowane do charakteru działalności.
Po trzecie, rekomendacja powinna zostać uzupełniona o wymogi dotyczące integracji funkcji kontroli z zarządzaniem ryzykami niefinansowymi, w tym ryzykiem ESG, ryzykiem prawnym oraz ryzykiem reputacyjnym. W praktyce wiele banków nie posiada obecnie mechanizmów monitorowania tych obszarów, mimo że mają one istotne znaczenie dla ciągłości działania i zaufania do instytucji.
Po czwarte, należy uaktualnić zapisy dotyczące wykorzystania technologii w systemie kontroli wewnętrznej. Obecna wersja rekomendacji nie odnosi się wprost do roli narzędzi klasy GRC, zautomatyzowanego monitorowania procesów, wykorzystania sztucznej inteligencji w analizie ryzyk czy bezpieczeństwa ICT. W kontekście nadchodzących obowiązków wynikających z rozporządzenia DORA, te zagadnienia powinny zostać uwzględnione w sposób bardziej precyzyjny.
Po piąte, Rekomendacja H powinna zostać lepiej powiązana z innymi dokumentami nadzorczymi, w tym z Rekomendacją Z dotyczącą ładu wewnętrznego czy Rekomendacją M. W obecnym stanie istnieją fragmenty, które mogą prowadzić do rozbieżności interpretacyjnych. Zharmonizowanie terminologii i założeń pozwoliłoby na spójne wdrażanie wymogów nadzorczych przez banki.
Po szóste, warto rozważyć wprowadzenie obowiązku okresowej, niezależnej oceny efektywności systemu kontroli wewnętrznej – nie tylko w formie audytu wewnętrznego, lecz również jako narzędzie oceny jakości kultury zgodności. Tego rodzaju mechanizm wspierałby banki w samoocenie i pozwalał identyfikować słabe punkty systemowe, zanim zostaną one zauważone przez nadzór.
Podsumowanie. Rekomendacja H odegrała istotną rolę w podniesieniu standardów kontroli wewnętrznej w polskim sektorze bankowym. Jej wdrożenie ujawniło jednak szereg praktycznych trudności, które powinny skłonić zarówno nadzór, jak i instytucje finansowe do dalszej refleksji. Wzmacnianie systemu kontroli wewnętrznej musi iść w parze z budowaniem kultury organizacyjnej opartej na odpowiedzialności, przejrzystości i zdolności do uczenia się na błędach. Dopiero wówczas cele Rekomendacji H mogą zostać zrealizowane w pełni.