Wprowadzenie
Punktem wyjścia dla analizy odpowiedzialności członków zarządu banku jest konstrukcja normatywna, w której zarząd jest identyfikowany jako podmiot odpowiedzialny za prowadzenie spraw banku oraz za funkcjonowanie systemu zarządzania, w tym systemu zarządzania ryzykiem. Konstrukcja ta wynika wprost z przepisów prawa bankowego oraz regulacji nadzorczych, które w sposób spójny przypisują zarządowi rolę centralnego ośrodka decyzyjnego i odpowiedzialnościowego.
Zgodnie z art. 368 § 1 Kodeksu spółek handlowych, mającym zastosowanie do banków działających w formie spółki akcyjnej, zarząd prowadzi sprawy spółki i reprezentuje ją na zewnątrz. Przepis ten, choć ogólny, ma fundamentalne znaczenie dla określenia zakresu odpowiedzialności zarządu. Prowadzenie spraw spółki obejmuje bowiem nie tylko podejmowanie decyzji strategicznych, lecz także zapewnienie prawidłowego funkcjonowania całego mechanizmu organizacyjnego, w ramach którego realizowane są działania operacyjne, w tym działania obarczone ryzykiem.
Na gruncie prawa bankowego konstrukcja ta zostaje doprecyzowana. Zgodnie z art. 9 ustawy – Prawo bankowe, bank jest obowiązany posiadać system zarządzania, obejmujący w szczególności system zarządzania ryzykiem oraz system kontroli wewnętrznej. System zarządzania ryzykiem obejmuje identyfikację, pomiar lub szacowanie oraz monitorowanie ryzyka występującego w działalności banku. Już na tym poziomie ustawodawca przesądza, że zarządzanie ryzykiem nie jest incydentalną funkcją organizacyjną, lecz elementem strukturalnym funkcjonowania banku.
Dalsze przepisy oraz regulacje nadzorcze jednoznacznie przypisują odpowiedzialność za ten system zarządowi. W szczególności, zgodnie z utrwaloną linią regulacyjną wyrażoną w rekomendacjach i wytycznych organów nadzoru (w tym m.in. w Rekomendacji H dotyczącej systemu kontroli wewnętrznej oraz wytycznych EBA dotyczących ładu wewnętrznego), zarząd odpowiada za ustanowienie, wdrożenie i utrzymanie adekwatnego i skutecznego systemu zarządzania ryzykiem. Odpowiedzialność ta obejmuje zarówno projekt systemu, jak i nadzór nad jego funkcjonowaniem oraz reagowanie na stwierdzone nieprawidłowości.
Istotne znaczenie ma przy tym charakter tej odpowiedzialności. Nie ogranicza się ona do formalnego zapewnienia istnienia procedur czy struktur organizacyjnych. Regulacje nadzorcze konsekwentnie odwołują się do kryterium adekwatności i skuteczności systemu. Oznacza to, że zarząd odpowiada nie tylko za to, aby system istniał, lecz także za to, aby działał w sposób odpowiadający profilowi ryzyka banku oraz umożliwiał jego rzeczywistą kontrolę.
Na tym tle należy odnotować, że odpowiedzialność zarządu ma charakter zarówno instytucjonalny, jak i osobisty. Członkowie zarządu mogą ponosić odpowiedzialność cywilnoprawną wobec spółki (art. 483 § 1 Kodeksu spółek handlowych), odpowiedzialność administracyjną wobec organu nadzoru (w tym sankcje nakładane przez Komisję Nadzoru Finansowego), a w określonych przypadkach także odpowiedzialność karną. W każdym z tych reżimów punktem odniesienia pozostaje jednak to samo założenie: zarząd jako organ odpowiada za sposób, w jaki bank zarządza ryzykiem.
Konstrukcja ta zakłada istnienie związku między działaniem zarządu a poziomem ryzyka w banku. Odpowiedzialność jest bowiem racjonalna tylko wtedy, gdy podmiot, któremu jest przypisywana, ma realny wpływ na stan rzeczy, za który odpowiada. W przeciwnym razie odpowiedzialność przestaje być powiązana z działaniem lub zaniechaniem, a zaczyna być powiązana wyłącznie z rezultatem.
Na poziomie normatywnym założenie to nie budzi wątpliwości. System jest zbudowany w sposób konsekwentny: zarząd odpowiada za system zarządzania ryzykiem, ponieważ to on jest organem prowadzącym sprawy banku. Problem pojawia się dopiero na poziomie operacyjnym, w którym należy odpowiedzieć na pytanie, na ile zarząd rzeczywiście jest w stanie sprawować kontrolę nad procesami, w których ryzyko powstaje i się materializuje.
Współczesny bank funkcjonuje w warunkach wysokiej złożoności organizacyjnej i technologicznej. Decyzje obarczone ryzykiem – kredytowym, rynkowym, operacyjnym, regulacyjnym czy związanym z przeciwdziałaniem przestępczości finansowej – są podejmowane na wielu poziomach organizacji, często przy wykorzystaniu zautomatyzowanych modeli, algorytmów oraz rozbudowanych procedur decyzyjnych. Zarząd nie uczestniczy w tych decyzjach bezpośrednio, a jego wpływ ma charakter pośredni, realizowany poprzez kształtowanie ram systemowych.
Powoduje to powstanie napięcia między założeniem normatywnym a rzeczywistością operacyjną. Z jednej strony system odpowiedzialności opiera się na przekonaniu o zdolności zarządu do sprawowania kontroli nad ryzykiem. Z drugiej strony rzeczywista kontrola ma charakter rozproszony, wieloetapowy i w znacznym stopniu oparty na mechanizmach pośrednich. To napięcie nie jest jedynie problemem organizacyjnym, lecz ma bezpośrednie znaczenie dla oceny granic odpowiedzialności członków zarządu.
W dalszej części opracowania konieczne będzie zatem zbadanie, czy i w jakim zakresie założenie o zdolności zarządu do kontrolowania ryzyka znajduje potwierdzenie w rzeczywistości funkcjonowania banku, a w konsekwencji – czy może stanowić adekwatną podstawę przypisywania odpowiedzialności w sytuacji materializacji ryzyka.
Charakter zarządzania ryzykiem
Ustalenie zakresu odpowiedzialności zarządu wymaga uprzedniego określenia, czym w istocie jest zarządzanie ryzykiem w sensie normatywnym i funkcjonalnym. Bez tego punktu odniesienia każda ocena odpowiedzialności będzie obarczona ryzykiem błędu polegającego na utożsamieniu zarządzania ryzykiem z jego eliminacją.
Na poziomie regulacyjnym zarządzanie ryzykiem nie jest definiowane jako zapewnienie określonego rezultatu, lecz jako proces. Wynika to zarówno z przepisów prawa bankowego, jak i z regulacji nadzorczych. Art. 9 ustawy – Prawo bankowe wskazuje, że system zarządzania ryzykiem obejmuje identyfikację, pomiar lub szacowanie oraz monitorowanie ryzyka. Konstrukcja ta ma charakter dynamiczny i procesowy. Nie odnosi się do wyniku, lecz do sposobu postępowania z ryzykiem.
To ujęcie jest konsekwentnie rozwijane w wytycznych nadzorczych, w szczególności w regulacjach dotyczących ładu wewnętrznego oraz zarządzania ryzykiem (m.in. wytyczne EBA w sprawie ładu wewnętrznego – EBA/GL/2021/05). Zarządzanie ryzykiem jest tam ujmowane jako ciąg powiązanych działań obejmujących ustalenie apetytu na ryzyko, identyfikację ekspozycji, ich pomiar, monitorowanie, raportowanie oraz podejmowanie działań ograniczających. Każdy z tych elementów ma charakter proceduralny i ex ante – służy podejmowaniu decyzji w warunkach niepewności, a nie gwarantowaniu określonego rezultatu.
Kluczowe znaczenie ma przy tym samo pojęcie ryzyka. W ujęciu ekonomicznym i regulacyjnym ryzyko oznacza możliwość wystąpienia zdarzenia niekorzystnego, a nie jego pewność. Zarządzanie ryzykiem polega zatem na zarządzaniu prawdopodobieństwem oraz skutkami takich zdarzeń, a nie na ich całkowitym wyeliminowaniu. Oznacza to, że nawet przy prawidłowo zaprojektowanym i funkcjonującym systemie zarządzania ryzykiem, materializacja ryzyka pozostaje zjawiskiem możliwym i – w pewnym zakresie – nieuniknionym.
To rozróżnienie ma fundamentalne znaczenie dla dalszej analizy. Jeżeli zarządzanie ryzykiem jest procesem, a nie gwarancją rezultatu, to ocena jego prawidłowości powinna koncentrować się na tym, czy proces ten został zaprojektowany i wykonany w sposób adekwatny. Innymi słowy, przedmiotem oceny powinno być to, czy bank – działając poprzez zarząd – ustanowił i stosował mechanizmy pozwalające na racjonalne ograniczanie ryzyka, a nie to, czy ryzyko w ogóle się zmaterializowało.
W tym kontekście istotne jest odróżnienie dwóch porządków: oceny ex ante i oceny ex post. Zarządzanie ryzykiem ma charakter ex ante – polega na podejmowaniu decyzji w oparciu o dostępne informacje, modele i założenia dotyczące przyszłości. Ocena ex post, dokonywana po materializacji ryzyka, operuje natomiast pełną wiedzą o tym, co się wydarzyło. Z natury rzeczy prowadzi to do asymetrii informacyjnej, która może zniekształcać ocenę wcześniejszych decyzji.
Asymetria ta jest dobrze znana w teorii decyzji i ekonomii jako efekt „hindsight bias”. Po wystąpieniu zdarzenia negatywnego istnieje naturalna tendencja do uznawania go za bardziej przewidywalne, niż było w rzeczywistości, oraz do przypisywania większego znaczenia sygnałom ostrzegawczym, które ex ante mogły mieć charakter niejednoznaczny. W kontekście zarządzania ryzykiem prowadzi to do ryzyka utożsamienia materializacji ryzyka z dowodem na wadliwość wcześniejszych decyzji.
Z perspektywy normatywnej takie utożsamienie nie znajduje jednak uzasadnienia. Ani przepisy prawa bankowego, ani regulacje nadzorcze nie ustanawiają standardu „zero risk”. Przeciwnie, wprost odwołują się do koncepcji apetytu na ryzyko, która zakłada świadome podejmowanie określonego poziomu ryzyka w zamian za oczekiwane korzyści. Oznacza to, że system zarządzania ryzykiem dopuszcza, a nawet zakłada, że część ryzyk może się zmaterializować w granicach przyjętego apetytu.
Na tym tle należy wyraźnie odróżnić dwie sytuacje. Pierwsza to materializacja ryzyka w warunkach prawidłowego funkcjonowania systemu zarządzania ryzykiem, w granicach przyjętego apetytu i przy zachowaniu należytej staranności. Druga to materializacja ryzyka będąca wynikiem wadliwego zaprojektowania systemu, jego nieskutecznego działania lub zaniechania reakcji na istotne sygnały ostrzegawcze. Tylko w tym drugim przypadku istnieje podstawa do przypisania zarządowi naruszenia standardu zarządzania ryzykiem.
Zatarcie granicy między tymi dwiema sytuacjami prowadzi do istotnego błędu konstrukcyjnego. Jeżeli każda materializacja ryzyka jest traktowana jako dowód jego niewłaściwego zarządzania, to zarządzanie ryzykiem zostaje w praktyce utożsamione z obowiązkiem zapewnienia określonego rezultatu, a nie z obowiązkiem należytego działania. Taki standard nie tylko nie wynika z przepisów, ale jest sprzeczny z samą naturą ryzyka.
Konsekwencją takiego podejścia jest przesunięcie punktu ciężkości z oceny procesu na ocenę wyniku. W miejsce pytania, czy zarząd zapewnił adekwatny system zarządzania ryzykiem, pojawia się pytanie, czy ryzyko się zmaterializowało. To właśnie to przesunięcie stanowi punkt wyjścia dla dalszej analizy odpowiedzialności członków zarządu w sytuacji wystąpienia zdarzeń ryzykownych.
Operacyjna rzeczywistość banku
Ujęcie zarządzania ryzykiem jako procesu prowadzi do konieczności analizy tego, w jaki sposób proces ten funkcjonuje w rzeczywistości organizacyjnej banku oraz jaka jest w nim rola zarządu. Na poziomie normatywnym zarząd jest identyfikowany jako podmiot odpowiedzialny za system zarządzania ryzykiem. Na poziomie operacyjnym pojawia się jednak pytanie o charakter tej kontroli i jej rzeczywisty zakres.
Współczesny bank jest organizacją o wysokim stopniu złożoności, w której procesy decyzyjne mają charakter rozproszony i wieloetapowy. Decyzje obarczone ryzykiem nie powstają na poziomie zarządu, lecz na poziomie jednostek operacyjnych, wyspecjalizowanych funkcji oraz systemów wspierających podejmowanie decyzji. W wielu przypadkach są one efektem zastosowania wcześniej zdefiniowanych modeli, kryteriów i procedur, które umożliwiają podejmowanie decyzji w sposób powtarzalny i skalowalny. Dotyczy to zarówno decyzji kredytowych, jak i decyzji związanych z ryzykiem operacyjnym, regulacyjnym czy przeciwdziałaniem przestępczości finansowej.
W tym modelu rola zarządu polega na kształtowaniu ram, w których decyzje te są podejmowane. Zarząd określa strategię, definiuje apetyt na ryzyko, zatwierdza polityki i procedury, ustanawia limity oraz nadzoruje funkcje kontrolne. Nie uczestniczy jednak bezpośrednio w podejmowaniu decyzji jednostkowych. Oznacza to, że kontrola sprawowana przez zarząd nie ma charakteru bezpośredniego, lecz systemowy.
Charakter tej kontroli jest dodatkowo determinowany przez strukturę organizacyjną banku, w której zarządzanie ryzykiem jest delegowane do wyspecjalizowanych jednostek. Funkcje zarządzania ryzykiem, compliance oraz audytu wewnętrznego działają jako odrębne linie obrony, których zadaniem jest identyfikacja, monitorowanie i ograniczanie ryzyka. Zarząd działa poprzez te struktury, a nie zamiast nich. Delegacja ta nie znosi odpowiedzialności zarządu, ale oznacza, że jego wpływ na konkretne decyzje jest pośredni i realizowany poprzez nadzór nad systemem, a nie poprzez ingerencję w pojedyncze przypadki.
Istotne znaczenie ma również charakter informacji, na podstawie których zarząd wykonuje swoje funkcje. Informacja ta ma przede wszystkim charakter zagregowany i raportowy. Zarząd nie operuje na poziomie pojedynczych zdarzeń, lecz na poziomie syntetycznych ujęć ryzyka, obejmujących wskaźniki, raporty okresowe oraz analizy trendów. Oznacza to, że wiedza zarządu o ryzyku jest w znacznym stopniu pochodna wobec informacji generowanych przez system.
W efekcie powstaje wielostopniowy mechanizm, w którym decyzje ryzykowe są podejmowane na niższych poziomach organizacji, następnie agregowane i analizowane, a dopiero później prezentowane zarządowi w formie raportowej. Kontrola sprawowana przez zarząd polega zatem na ocenie jakości tego mechanizmu, a nie na bezpośredniej kontroli jego każdego elementu.
Taki model funkcjonowania systemu zarządzania ryzykiem jest uzasadniony funkcjonalnie, ale jednocześnie prowadzi do istotnego ograniczenia zakresu bezpośredniej kontroli sprawowanej przez zarząd. Ograniczenie to nie wynika z niedoskonałości organizacyjnej, lecz z samej skali i złożoności działalności banku. Przyjęcie, że zarząd może kontrolować każdą decyzję ryzykową w sposób bezpośredni, pozostaje w sprzeczności z rzeczywistością operacyjną.
Na tym tle powstaje napięcie między konstrukcją normatywną a rzeczywistością funkcjonowania systemu. Z jednej strony zarząd ponosi odpowiedzialność za zarządzanie ryzykiem w całym banku. Z drugiej strony jego kontrola nad procesami, w których ryzyko powstaje i się materializuje, ma charakter pośredni, delegowany i oparty na informacji wtórnej.
To napięcie nabiera szczególnego znaczenia w sytuacji, w której ryzyko się materializuje. Ocena działania zarządu dokonywana jest wówczas ex post, przy uwzględnieniu skutku, który wystąpił. Powstaje zatem pytanie, czy przypisywana zarządowi odpowiedzialność uwzględnia charakter sprawowanej przez niego kontroli, czy też opiera się na założeniu jej pełnego i bezpośredniego zakresu. To właśnie to pytanie prowadzi do dalszej analizy relacji między kontrolą, odpowiedzialnością a materializacją ryzyka.
Standard należytego zarządzania ryzykiem
Ustalenie zakresu odpowiedzialności zarządu nie może opierać się wyłącznie na ogólnym założeniu, że zarząd odpowiada za system zarządzania ryzykiem. Konieczne jest doprecyzowanie, jaki jest rzeczywisty standard tego zarządzania, a więc co w sensie normatywnym i funkcjonalnym oznacza „prawidłowe” zarządzanie ryzykiem. Bez takiego doprecyzowania ocena odpowiedzialności będzie nieuchronnie przesuwać się w kierunku oceny rezultatu, a nie sposobu działania.
Na poziomie regulacyjnym standard ten nie jest wyrażony w postaci jednego przepisu, lecz wynika z zestawu norm odnoszących się do adekwatności i skuteczności systemu zarządzania. Art. 9 ustawy – Prawo bankowe nakłada obowiązek posiadania systemu zarządzania, obejmującego zarządzanie ryzykiem i kontrolę wewnętrzną. Przepisy te nie określają jednak rezultatu, jaki ma zostać osiągnięty, lecz koncentrują się na strukturze i funkcjonowaniu systemu. Podobnie regulacje nadzorcze, w tym wytyczne EBA oraz krajowe rekomendacje nadzorcze, odwołują się do kryteriów takich jak adekwatność, proporcjonalność i skuteczność, nie formułując wymogu eliminacji ryzyka.
Z tego wynika pierwsza istotna konsekwencja: standard należytego zarządzania ryzykiem ma charakter procesowy. Oznacza to, że jego ocena powinna koncentrować się na tym, czy bank – działając poprzez zarząd – ustanowił i stosował mechanizmy pozwalające na racjonalne identyfikowanie, pomiar i ograniczanie ryzyka. W szczególności obejmuje to ocenę, czy system zarządzania ryzykiem jest dostosowany do skali i złożoności działalności banku, czy uwzględnia istotne rodzaje ryzyka oraz czy zapewnia przepływ informacji umożliwiający podejmowanie decyzji.
Standard ten obejmuje także jakość informacji, którymi dysponuje zarząd. Jeżeli kontrola ma charakter pośredni i oparty na raportowaniu, to kluczowe znaczenie ma to, czy informacje przekazywane zarządowi są rzetelne, kompletne i aktualne. Odpowiedzialność zarządu obejmuje zatem zapewnienie takiego systemu raportowania, który pozwala na identyfikację istotnych zagrożeń oraz podejmowanie działań korygujących.
Kolejnym elementem standardu jest zdolność do reagowania na sygnały ostrzegawcze. System zarządzania ryzykiem nie może być oceniany wyłącznie przez pryzmat jego konstrukcji, lecz także przez pryzmat jego funkcjonowania w sytuacjach, w których pojawiają się sygnały wskazujące na podwyższone ryzyko. W tym kontekście znaczenie ma to, czy zarząd otrzymuje informacje o takich sygnałach, czy dokonuje ich oceny oraz czy podejmuje adekwatne działania.
Istotne znaczenie ma również rola funkcji kontrolnych. W modelu trzech linii obrony funkcje zarządzania ryzykiem, compliance oraz audytu wewnętrznego stanowią mechanizmy zapewniające niezależną ocenę funkcjonowania systemu. Odpowiedzialność zarządu obejmuje zapewnienie ich niezależności, odpowiednich zasobów oraz realnego wpływu na funkcjonowanie banku. Brak skuteczności tych funkcji lub ich marginalizacja może stanowić podstawę do stwierdzenia naruszenia standardu zarządzania ryzykiem.
Na tym tle należy wyraźnie odróżnić standard należytego zarządzania ryzykiem od standardu osiągnięcia określonego rezultatu. Zarządzanie ryzykiem nie polega na eliminacji zdarzeń niekorzystnych, lecz na ich racjonalnym ograniczaniu. Oznacza to, że nawet w sytuacji spełnienia wszystkich wymogów dotyczących konstrukcji i funkcjonowania systemu, materializacja ryzyka pozostaje możliwa.
Z tego wynika kluczowa konsekwencja dla oceny odpowiedzialności zarządu. Ocena ta powinna koncentrować się na tym, czy zarząd zapewnił adekwatny system zarządzania ryzykiem oraz czy system ten funkcjonował w sposób pozwalający na identyfikację i ograniczanie ryzyka. Sama materializacja ryzyka nie przesądza o naruszeniu tego standardu, jeżeli nastąpiła w warunkach prawidłowo funkcjonującego systemu.
Zatarcie tej granicy prowadzi do istotnego przesunięcia standardu odpowiedzialności. Jeżeli bowiem materializacja ryzyka jest traktowana jako dowód niewłaściwego zarządzania, to standard procesowy zostaje zastąpiony standardem rezultatu. W praktyce oznacza to przypisanie zarządowi odpowiedzialności za zdarzenia, które mieszczą się w istocie ryzyka i mogą wystąpić mimo prawidłowego działania systemu.
To właśnie to przesunięcie – od oceny procesu do oceny wyniku – stanowi punkt wyjścia dla dalszej analizy. W kolejnym etapie konieczne będzie zbadanie, w jaki sposób materializacja ryzyka jest wykorzystywana jako podstawa przypisywania odpowiedzialności oraz jakie są konsekwencje takiego podejścia dla konstrukcji odpowiedzialności członków zarządu.
Materializacja ryzyka jako pozorny dowód wadliwości systemu
Dotychczasowe rozważania prowadzą do punktu, w którym konieczne jest skonfrontowanie dwóch porządków: sposobu, w jaki ryzyko jest zarządzane, oraz sposobu, w jaki jest oceniane po jego materializacji. To właśnie w tym miejscu ujawnia się zasadnicze napięcie konstrukcyjne, które ma bezpośrednie znaczenie dla przypisywania odpowiedzialności członkom zarządu.
Zarządzanie ryzykiem ma charakter ex ante. Polega na podejmowaniu decyzji w warunkach niepewności, przy wykorzystaniu dostępnych informacji, modeli oraz przyjętych założeń. Każda decyzja obarczona ryzykiem jest w istocie oceną prawdopodobieństwa oraz potencjalnych skutków określonych zdarzeń. Oznacza to, że proces ten z natury rzeczy nie eliminuje ryzyka, lecz jedynie je kształtuje.
Ocena działania zarządu w sytuacji materializacji ryzyka ma natomiast charakter ex post. Dokonywana jest w warunkach pełnej wiedzy o tym, co się wydarzyło, oraz przy uwzględnieniu skutków, które wystąpiły. Ta zmiana perspektywy nie jest neutralna. Prowadzi do sytuacji, w której wcześniejsze decyzje są oceniane przez pryzmat ich rezultatu, a nie przez pryzmat informacji, którymi dysponowano w momencie ich podejmowania.
W tym kontekście szczególnego znaczenia nabiera mechanizm poznawczy określany jako „hindsight bias”. Po wystąpieniu zdarzenia negatywnego pojawia się tendencja do uznawania go za bardziej przewidywalne, niż było w rzeczywistości, oraz do przypisywania większego znaczenia sygnałom ostrzegawczym, które ex ante mogły mieć charakter niejednoznaczny. W efekcie dochodzi do rekonstrukcji procesu decyzyjnego w sposób, który upraszcza jego rzeczywisty przebieg i prowadzi do wniosku, że zdarzenie było możliwe do uniknięcia.
Na poziomie odpowiedzialności prowadzi to do istotnego przesunięcia. Materializacja ryzyka zaczyna być traktowana nie jako jeden z możliwych rezultatów procesu zarządzania ryzykiem, lecz jako dowód jego wadliwości. Skutek przestaje być neutralnym elementem rzeczywistości, a staje się podstawą wnioskowania o błędzie.
Takie podejście nie znajduje jednak uzasadnienia w konstrukcji normatywnej zarządzania ryzykiem. Jak wskazano wcześniej, regulacje nie ustanawiają standardu eliminacji ryzyka, lecz standard należytego działania. Oznacza to, że ocena powinna koncentrować się na tym, czy proces zarządzania ryzykiem był adekwatny i racjonalny w świetle dostępnych informacji, a nie na tym, czy doprowadził do określonego rezultatu.
Utożsamienie materializacji ryzyka z dowodem jego niewłaściwego zarządzania prowadzi zatem do zmiany standardu odpowiedzialności. Zamiast oceny ex ante, opartej na analizie procesu decyzyjnego, pojawia się ocena ex post, oparta na wyniku. W efekcie odpowiedzialność zostaje oderwana od działania lub zaniechania i powiązana bezpośrednio ze skutkiem.
Zmiana ta ma daleko idące konsekwencje. Po pierwsze, prowadzi do zaostrzenia standardu odpowiedzialności ponad poziom wynikający z przepisów. Jeżeli każda materializacja ryzyka jest traktowana jako dowód błędu, to zarządzanie ryzykiem zostaje w praktyce utożsamione z obowiązkiem zapewnienia określonego rezultatu. Po drugie, zniekształca ocenę działania zarządu, ponieważ pomija warunki, w jakich decyzje były podejmowane.
Na tym tle szczególnie istotne jest odróżnienie sytuacji, w których materializacja ryzyka wynika z wadliwości systemu, od sytuacji, w których stanowi ona realizację ryzyka mieszczącego się w granicach przyjętego apetytu. W pierwszym przypadku istnieje podstawa do przypisania odpowiedzialności. W drugim – materializacja ryzyka nie może być sama w sobie traktowana jako dowód naruszenia standardu zarządzania.
Brak tego rozróżnienia prowadzi do uproszczenia, które ma charakter systemowy. Odpowiedzialność przestaje być funkcją sposobu zarządzania ryzykiem, a staje się funkcją jego materializacji. W konsekwencji zarząd może być oceniany nie przez pryzmat tego, czy zapewnił adekwatny system zarządzania, lecz przez pryzmat tego, czy w banku wystąpiły zdarzenia niepożądane.
To właśnie to przesunięcie stanowi punkt krytyczny dla konstrukcji odpowiedzialności. W dalszej części konieczne będzie zbadanie, w jaki sposób wpływa ono na zakres odpowiedzialności osobistej członków zarządu oraz gdzie przebiega granica między dopuszczalnym przypisaniem odpowiedzialności a jej rozszerzeniem ponad racjonalny zakres.
Odpowiedzialność osobista członków zarządu a granice przypisania winy
Przesunięcie od oceny procesu do oceny rezultatu ma bezpośrednie znaczenie dla konstrukcji odpowiedzialności osobistej członków zarządu. W każdym z reżimów odpowiedzialności – cywilnym, administracyjnym czy karnym – warunkiem przypisania odpowiedzialności jest ustalenie naruszenia określonego standardu działania. Sam fakt wystąpienia niekorzystnego skutku nie jest wystarczający, jeżeli nie zostanie wykazane, że pozostaje on w adekwatnym związku z działaniem lub zaniechaniem podmiotu, któremu przypisywana jest odpowiedzialność.
Na gruncie prawa spółek, zgodnie z art. 483 § 1 Kodeksu spółek handlowych, członek zarządu ponosi odpowiedzialność wobec spółki za szkodę wyrządzoną działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami statutu, chyba że nie ponosi winy. Konstrukcja ta wyraźnie odwołuje się do kategorii winy oraz naruszenia określonego obowiązku. Nie przewiduje odpowiedzialności opartej wyłącznie na skutku. Oznacza to, że dla przypisania odpowiedzialności konieczne jest wykazanie, że zarząd naruszył standard należytego działania, a naruszenie to pozostaje w związku przyczynowym ze szkodą.
Podobne założenie występuje na gruncie odpowiedzialności administracyjnej w sektorze bankowym. Sankcje nakładane przez organ nadzoru, w tym Komisję Nadzoru Finansowego, wymagają ustalenia naruszenia przepisów prawa lub regulacji ostrożnościowych. Choć reżim ten ma charakter bardziej obiektywny niż odpowiedzialność cywilna, nadal wymaga wskazania konkretnego naruszenia, a nie jedynie stwierdzenia, że wystąpił niepożądany skutek.
Również odpowiedzialność karna opiera się na przypisaniu czynu zabronionego, który musi być zawiniony i pozostawać w związku przyczynowym ze skutkiem. W tym ujęciu odpowiedzialność za rezultat, który nie jest wynikiem zawinionego działania lub zaniechania, nie znajduje uzasadnienia.
Na tym tle szczególnego znaczenia nabiera pytanie o to, w jaki sposób w praktyce dokonywane jest przypisanie odpowiedzialności członkom zarządu w sytuacji materializacji ryzyka. Jeżeli materializacja ryzyka jest traktowana jako dowód niewłaściwego zarządzania, to pojawia się ryzyko obejścia wskazanych wyżej przesłanek odpowiedzialności. Skutek zaczyna pełnić funkcję substytutu dowodu naruszenia standardu działania.
Taka konstrukcja prowadzi do istotnego uproszczenia procesu przypisywania odpowiedzialności. Zamiast analizy tego, czy system zarządzania ryzykiem był adekwatny i czy zarząd reagował na dostępne informacje, ocena sprowadza się do stwierdzenia, że skoro doszło do zdarzenia niepożądanego, to musiało dojść do błędu. W ten sposób ciężar dowodu zostaje w praktyce odwrócony: to nie organ przypisujący odpowiedzialność musi wykazać naruszenie, lecz zarząd musi wykazać, że mimo wystąpienia skutku działał prawidłowo.
Takie podejście prowadzi do rozszerzenia odpowiedzialności poza granice wynikające z przepisów. Odpowiedzialność zaczyna obejmować nie tylko działania i zaniechania, ale także zdarzenia, które mieszczą się w istocie ryzyka. W konsekwencji członkowie zarządu mogą być oceniani przez pryzmat zdarzeń, na które nie mieli bezpośredniego wpływu, a których wystąpienie było możliwe nawet przy prawidłowym funkcjonowaniu systemu.
Z perspektywy konstrukcji odpowiedzialności prowadzi to do powstania modelu zbliżonego do odpowiedzialności za rezultat, który nie znajduje wyraźnej podstawy normatywnej w analizowanych reżimach prawnych. Odpowiedzialność taka jest oderwana od kategorii winy oraz naruszenia standardu działania i opiera się na założeniu, że zarządzanie ryzykiem powinno zapobiegać jego materializacji.
Na tym tle konieczne jest wyraźne odróżnienie odpowiedzialności za sposób zarządzania ryzykiem od odpowiedzialności za jego materializację. W pierwszym przypadku przedmiotem oceny jest to, czy zarząd działał zgodnie z obowiązującymi standardami, czy ustanowił adekwatny system oraz czy reagował na dostępne informacje. W drugim przypadku odpowiedzialność jest przypisywana na podstawie samego faktu wystąpienia zdarzenia, niezależnie od jakości procesu decyzyjnego.
Brak tego rozróżnienia prowadzi do zatarcia granic odpowiedzialności i do jej rozszerzenia w sposób, który nie odpowiada konstrukcji prawa. Odpowiedzialność przestaje być funkcją działania, a staje się funkcją rezultatu. W konsekwencji powstaje napięcie między normatywnym modelem odpowiedzialności a praktyką jego stosowania.
To napięcie wymaga rozstrzygnięcia poprzez wyznaczenie granicy, która pozwala odróżnić sytuacje uzasadniające przypisanie odpowiedzialności od tych, w których materializacja ryzyka stanowi jedynie realizację zdarzenia mieszczącego się w jego istocie. Wyznaczenie tej granicy stanowi przedmiot kolejnego rozdziału.
Między oceną zarządzania ryzykiem a oceną jego materializacji
Dotychczasowe rozważania prowadzą do konieczności jednoznacznego wyznaczenia granicy odpowiedzialności członków zarządu banku. Granica ta nie przebiega między odpowiedzialnością a jej brakiem, lecz między dwoma odmiennymi sposobami jej rozumienia: odpowiedzialnością za sposób zarządzania ryzykiem oraz odpowiedzialnością za sam fakt jego materializacji.
Pierwszy z tych modeli pozostaje zgodny z konstrukcją normatywną. Odpowiedzialność jest w nim powiązana z działaniem lub zaniechaniem zarządu, a jej przypisanie wymaga wykazania naruszenia określonego standardu. Przedmiotem oceny jest to, czy zarząd ustanowił adekwatny system zarządzania ryzykiem, czy zapewnił jego skuteczne funkcjonowanie oraz czy reagował na informacje wskazujące na podwyższone ryzyko. W tym ujęciu materializacja ryzyka może stanowić punkt wyjścia do analizy, ale nie przesądza o jej wyniku.
Drugi model opiera się na utożsamieniu materializacji ryzyka z dowodem jego niewłaściwego zarządzania. W tym ujęciu skutek staje się podstawowym kryterium oceny, a analiza procesu decyzyjnego schodzi na dalszy plan. Odpowiedzialność jest przypisywana nie dlatego, że wykazano naruszenie standardu działania, lecz dlatego, że wystąpiło zdarzenie niepożądane.
Granica między tymi modelami ma charakter fundamentalny. Jej przekroczenie prowadzi do zmiany charakteru odpowiedzialności. W pierwszym modelu odpowiedzialność ma charakter zawiniony i jest powiązana z naruszeniem obowiązków. W drugim zbliża się do odpowiedzialności za rezultat, w której sam fakt wystąpienia skutku staje się wystarczającą podstawą przypisania winy.
Wyznaczenie tej granicy wymaga wskazania kryteriów, które pozwalają odróżnić sytuacje uzasadniające przypisanie odpowiedzialności od tych, w których materializacja ryzyka stanowi realizację zdarzenia mieszczącego się w jego istocie. Kryteria te nie mogą mieć charakteru wyłącznie abstrakcyjnego, lecz muszą odnosić się do konkretnych elementów systemu zarządzania ryzykiem.
W pierwszej kolejności należy odnieść się do konstrukcji samego systemu. Jeżeli system zarządzania ryzykiem jest wadliwy, w szczególności jeżeli nie obejmuje istotnych rodzajów ryzyka, nie zapewnia ich identyfikacji lub nie umożliwia ich monitorowania, to materializacja ryzyka może stanowić potwierdzenie jego nieskuteczności. W takim przypadku istnieje podstawa do przypisania zarządowi odpowiedzialności za brak adekwatnego systemu.
Podobnie należy ocenić sytuację, w której system formalnie istnieje, ale jego funkcjonowanie jest pozorne. Dotyczy to przypadków, w których procedury mają charakter wyłącznie deklaratywny, funkcje kontrolne nie są w stanie wykonywać swoich zadań w sposób niezależny, a przepływ informacji jest zaburzony. W takich sytuacjach materializacja ryzyka może ujawniać systemowy charakter nieprawidłowości i stanowić element potwierdzający naruszenie standardu zarządzania.
Odmiennie należy ocenić sytuacje, w których system zarządzania ryzykiem jest adekwatny i funkcjonuje w sposób pozwalający na identyfikację i ograniczanie ryzyka, a mimo to dochodzi do jego materializacji. W takich przypadkach skutek nie może być traktowany jako dowód naruszenia standardu działania. Jest on realizacją ryzyka, które z natury rzeczy nie może zostać całkowicie wyeliminowane.
Szczególne znaczenie ma również reakcja zarządu na sygnały ostrzegawcze. Jeżeli zarząd dysponował informacjami wskazującymi na zwiększone ryzyko i nie podjął adekwatnych działań, to materializacja ryzyka może stanowić konsekwencję tego zaniechania. W takim przypadku odpowiedzialność jest powiązana z konkretnym naruszeniem obowiązku działania. Jeżeli jednak sygnały te nie były dostępne lub miały charakter niejednoznaczny, ocena powinna uwzględniać warunki, w jakich decyzje były podejmowane.
Wyznaczenie granicy odpowiedzialności wymaga zatem powrotu do perspektywy ex ante. Odpowiedzialność powinna być oceniana w oparciu o informacje dostępne w momencie podejmowania decyzji oraz o racjonalność działań podejmowanych w tych warunkach. Ocena ex post, choć nieunikniona, nie może zastępować tej perspektywy ani prowadzić do jej zniekształcenia.
Brak takiego rozróżnienia prowadzi do rozszerzenia odpowiedzialności poza granice wyznaczone przez przepisy. W miejsce odpowiedzialności za zarządzanie ryzykiem pojawia się odpowiedzialność za jego materializację. Odpowiedzialność przestaje być funkcją działania, a staje się funkcją rezultatu. W konsekwencji zarząd może być oceniany nie przez pryzmat tego, czy zapewnił adekwatny system zarządzania, lecz przez pryzmat tego, czy w banku wystąpiły zdarzenia niepożądane.
Takie ujęcie odpowiedzialności nie tylko nie znajduje uzasadnienia w konstrukcji normatywnej, ale również prowadzi do zniekształcenia samej funkcji zarządzania ryzykiem. Jeżeli bowiem zarządzanie ryzykiem jest oceniane wyłącznie przez pryzmat jego materializacji, to racjonalne podejmowanie ryzyka zostaje zastąpione dążeniem do jego unikania za wszelką cenę. W efekcie system przestaje realizować swoją funkcję, a odpowiedzialność traci swój związek z działaniem.
Wyznaczenie wskazanej granicy ma zatem znaczenie nie tylko dla przypisywania odpowiedzialności, lecz także dla zachowania spójności całego modelu zarządzania ryzykiem.
Podsumowanie
Analiza konstrukcji odpowiedzialności członków zarządu banku w kontekście zarządzania ryzykiem prowadzi do wniosku, że zasadniczy problem nie polega na zakresie tej odpowiedzialności, lecz na sposobie jej stosowania. Na poziomie normatywnym model jest spójny: zarząd odpowiada za ustanowienie i funkcjonowanie systemu zarządzania ryzykiem, a przypisanie odpowiedzialności wymaga wykazania naruszenia standardu działania. Problem pojawia się w momencie, w którym ocena ta przestaje koncentrować się na procesie, a zaczyna być oparta na rezultacie.
Przesunięcie od perspektywy ex ante do perspektywy ex post prowadzi do zmiany charakteru odpowiedzialności. Materializacja ryzyka, która w modelu regulacyjnym jest jednym z możliwych rezultatów zarządzania ryzykiem, zaczyna być traktowana jako dowód jego niewłaściwego prowadzenia. W konsekwencji odpowiedzialność przestaje być powiązana z działaniem lub zaniechaniem, a zaczyna być powiązana bezpośrednio ze skutkiem.
Taka konstrukcja nie znajduje oparcia w przepisach prawa ani w regulacjach nadzorczych. Zarządzanie ryzykiem nie jest obowiązkiem osiągnięcia określonego rezultatu, lecz obowiązkiem należytego działania. Oznacza to, że ocena odpowiedzialności powinna odnosić się do jakości systemu, jego adekwatności oraz sposobu jego funkcjonowania, a nie do samego faktu wystąpienia zdarzenia niepożądanego.
Zatarcie tej różnicy prowadzi do rozszerzenia odpowiedzialności poza granice wyznaczone przez konstrukcję prawa. W miejsce odpowiedzialności za zarządzanie ryzykiem pojawia się odpowiedzialność za jego materializację. Taki model jest zbliżony do odpowiedzialności za rezultat, mimo że nie został w ten sposób ukształtowany przez ustawodawcę.
Konsekwencją tego przesunięcia jest nie tylko zmiana zakresu odpowiedzialności, lecz także zmiana funkcji zarządzania ryzykiem. Jeżeli bowiem materializacja ryzyka jest traktowana jako dowód błędu, to racjonalne zarządzanie ryzykiem, polegające na jego świadomym podejmowaniu w granicach określonego apetytu, zostaje zastąpione dążeniem do jego eliminacji. W takim modelu zarządzanie ryzykiem przestaje być procesem optymalizacji, a staje się mechanizmem unikania odpowiedzialności.
W efekcie dochodzi do rozszczepienia dwóch porządków. Z jednej strony funkcjonuje model regulacyjny, który dopuszcza podejmowanie ryzyka i opiera się na jego zarządzaniu. Z drugiej strony pojawia się praktyka stosowania odpowiedzialności, która traktuje materializację ryzyka jako dowód naruszenia. Te dwa porządki nie są ze sobą spójne.
Granica odpowiedzialności członków zarządu banku powinna zatem przebiegać w miejscu, w którym kończy się ocena sposobu zarządzania ryzykiem, a zaczyna przypisywanie odpowiedzialności za jego materializację. Przekroczenie tej granicy prowadzi do przypisania odpowiedzialności w oderwaniu od działania, a tym samym do jej rozszerzenia poza racjonalny i normatywnie uzasadniony zakres.
W tym sensie problem odpowiedzialności zarządu nie sprowadza się do pytania o to, czy powinna ona być szeroka czy wąska. Problem polega na tym, czy pozostaje ona powiązana z naturą ryzyka i konstrukcją zarządzania nim, czy też zaczyna funkcjonować w oparciu o uproszczone założenie, że każde zdarzenie niepożądane jest wynikiem błędu.
Jeżeli odpowiedzialność ma zachować swój racjonalny charakter, musi pozostać odpowiedzialnością za działanie, a nie za rezultat. W przeciwnym razie zarządzanie ryzykiem zostaje ocenione według kryterium, którego nie jest w stanie spełnić, a sama konstrukcja odpowiedzialności traci swoje normatywne uzasadnienie.