Szanowni Państwo,
z dniem 30 czerwca 2018 r. uchylone zostały wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie zarządzania wewnętrznego (GL 44)[1] i zastąpiono je nowymi wytycznymi[2] wydanymi przez EBA. Nowe wytyczne są w pełni stosowane w Polsce.
Wytyczne EBA w sprawie zarządzania wewnętrznego
[Zasada proporcjonalności] Podczas opracowywania i wdrażania zasad zarządzania wewnętrznego, instytucje powinny uwzględnić swoją wielkość i organizację wewnętrzną, a także charakter, skalę oraz złożoność swojej działalności. Wytyczne doprecyzowują, jakie kryteria należy wziąć pod uwagę stosując zasadę proporcjonalności. Wśród tych kryteriów znajduje się odwołanie m.in. do wielkość pod względem sumy bilansowej instytucji oraz jej jednostek zależnych objętych zakresem konsolidacji ostrożnościowej, a także do strategii w zakresie ryzyka, skłonności do podejmowania ryzyka i rzeczywistego profilu ryzyka instytucji z uwzględnieniem wyników BION dotyczących kapitału i płynności (pkt 19).
[Rola i skład organu zarządzającego oraz komitetów] Wytyczne szczegółowo określają zadania, funkcje i skład organu zarządzającego i poszczególnych komitetów, w tym m.in. osobno funkcję zarządczą (pkt 28 i nast.) i nadzorczą (pkt 31 i nast.) organu zarządzającego, rolę przewodniczącego organu zarządzającego (pkt 34 i nast.), a także odnoszą się do komitetów organu zarządzającego pełniącego funkcję nadzorczą (pkt 39 i nast.).
[Zadania komitetu ds. ryzyka] Wytyczne bardziej precyzyjnie (w stosunku do poprzednich wytycznych) wskazują zadania komitetu ds. ryzyka. Nie przytaczając całości tych zadań, wskazać można chociażby na obowiązek dokonywania przeglądu możliwych scenariuszy, w tym scenariuszy warunków skrajnych, w celu określenia reakcji profilu ryzyka instytucji na wydarzenia zewnętrzne i wewnętrzne, czy też na obowiązek nadzoru nad dostosowaniem wszystkich istotnych produktów finansowych i usług oferowanych klientom do modelu biznesowego instytucji oraz jej strategii w zakresie ryzyka (pkt 60).
[Ramy organizacyjne zarządzania – przejrzysta struktura i opis] Wytyczne szczegółowo określają obowiązki organu zarządzającego w zakresie ram organizacyjnych zarządzania. I tak, organ zarządzający powinien zapewnić odpowiednią i przejrzystą strukturę organizacyjną i operacyjną tej instytucji, a także powinien posiadać opis tej struktury w formie pisemnej (pkt 67).
[Ramy organizacyjne zarządzania – niezależność] Organ zarządzający powinien zapewnić, aby komórki kontroli wewnętrznej były niezależne od kontrolowanych przez nie linii biznesowych, w tym zapewnić właściwy podział obowiązków, a także odpowiednie zasoby finansowe i ludzkie oraz uprawnienia umożliwiające skuteczne pełnienie ich roli (pkt 67).
[Złożone struktury i niestandardowe lub nieprzejrzyste działania] Instytucje powinny unikać tworzenia złożonych i potencjalnie nieprzejrzystych struktur. Wytyczne doprecyzowują obowiązek uwzględniania w procesie decyzyjnym wyników oceny ryzyka w celu ustalenia, czy takie struktury mogłyby być wykorzystywane w celu związanym z praniem brudnych pieniędzy lub innymi przestępstwami finansowymi. Wytyczne wprost wskazują, jakie aspekty należy uwzględnić, w tym m.in. stopień, w jakim struktura służy oczywistemu, zgodnemu z prawem celowi ekonomicznemu, czy też stopień, w jakim jurysdykcja, w której zostanie ustanowiona struktura, skutecznie spełnia unijne i międzynarodowe standardy w zakresie przejrzystości podatkowej, przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (pkt 75). Co więcej, instytucje nie powinny ustanawiać nieprzejrzystych lub niepotrzebnie złożonych struktur, które nie mają jasnego uzasadnienia ekonomicznego ani celu prawnego (pkt 76).
[Wartości instytucji i kodeks postępowania] Wytyczne wskazują również, jakie elementy powinna zawierać „jasna i udokumentowana” polityka w zakresie przestrzegania standardów etycznych i zawodowych. Między innymi polityka ta powinna określać zasady oraz przedstawiać przykłady dopuszczalnych i niedopuszczalnych zachowań związanych m.in. z nieprawidłowościami w sprawozdawczości finansowej (pkt 101). Instytucje, oprócz elementów wskazywanych w poprzednich wytycznych, powinny także zapewniać, aby pracownicy byli świadomi standardów etycznych i zawodowych np. poprzez szkolenia. Ponadto, instytucja powinna wyznaczyć komórkę odpowiedzialną za monitorowanie zgodności z polityką w zakresie przestrzegania standardów etycznych i zawodowych – przyjętej jako kodeks postępowania lub inny podobny dokument (pkt 102).
[Wewnętrzne procedury ostrzegania] Wytyczne, w zakresie wewnętrznych procedur ostrzegania, kładą większy nacisk na ochronę osób zgłaszających naruszenie wymogów regulacyjnych lub wewnętrznych. Na instytucji ciąży obowiązek odpowiedniej ochrony osób zgłaszających naruszenia przed wszelkimi negatywnymi skutkami np. odwetem, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania. Należy zapewnić, aby żadna osoba pozostająca pod kontrolą instytucji nie represjonowała osoby, która zgłosiła naruszenie (pkt 121). Wytyczne wskazują także na obowiązek ochrony osób, których dotyczą zgłoszenia, przed wszelkimi negatywnymi skutkami w przypadku, gdy w trakcie dochodzenia nie znaleziono dowodów uzasadniających podjęcie środków przeciwko takiej osobie (pkt 122).
[Właściwości wewnętrznych procedur ostrzegania] Wytyczne określają właściwości wewnętrznych procedur ostrzegania, w tym m.in. konieczność zapewnienia monitorowania wyniku dochodzenia w sprawie zgłoszonego naruszenia, właściwego prowadzenia ewidencji, a także odpowiedniego dokumentowania procedur (np. w formie podręczników dla pracowników).
[Komórki kontroli wewnętrznej] Wśród komórek kontroli wewnętrznej powinna znaleźć się komórka ds. zarządzania ryzykiem, komórka ds. nadzoru zgodności z prawem oraz komórka audytu wewnętrznego (pkt 153). Niemniej jednak, zgodnie z Wytycznymi i przy zachowaniu zasady proporcjonalności, komórka ds. zarządzania ryzykiem i komórka ds. nadzoru zgodności z prawem mogą być łączone (pkt 159). Wyjątek stanowi komórka audytu wewnętrznego, która nie może być łączona z żadną inną komórką kontroli wewnętrznej.
[Outsourcing zadań operacyjnych komórek kontroli wewnętrznej] Zadania operacyjne komórek kontroli wewnętrznej mogą zostać zlecone w ramach outsourcingu – z zachowaniem zasady proporcjonalności określonej w Wytycznych – (i) instytucji konsolidującej, (ii) innemu podmiotowi należącemu do grupy bądź (iii) podmiotowi spoza grupy za zgodą organów zarządzających (pkt 154). Pomimo zlecenia wykonywania tych zadań operacyjnych innemu podmiotowi, kierownik danej komórki kontroli wewnętrznej i organ zarządzający pozostają odpowiedzialni za te działania oraz za utrzymanie komórki kontroli wewnętrznej w instytucji.
[1] EBA BS 2011 116 wersja ostateczna z 27 września 2011 r.
[2] EBA/GL/2017/11 z 21.03.2018 r.; dalej jako: „Wytyczne”.