Wprowadzenie. Funkcja Compliance stanowi jeden z filarów systemu kontroli wewnętrznej w banku. Jej zadaniem jest nie tylko zapewnienie zgodności działalności instytucji z przepisami prawa, regulacjami nadzorczymi i wewnętrznymi procedurami, ale również aktywne doradztwo oraz ostrzeganie przed ryzykami regulacyjnymi. W praktyce bankowej nadal obserwuje się jednak istotne niejasności dotyczące granic odpowiedzialności między funkcją Compliance a zarządem, audytem wewnętrznym oraz jednostkami operacyjnymi. Celem niniejszego artykułu jest przedstawienie modelu przypisania odpowiedzialności, który odpowiada aktualnym standardom nadzorczym oraz zapewnia efektywność i odporność systemu zgodności.
Potrzeba mapy odpowiedzialności. W złożonej strukturze bankowej, w której ryzyka zgodności występują zarówno na poziomie centralnym, jak i w procesach operacyjnych, jednoznaczne określenie zakresów odpowiedzialności jest warunkiem koniecznym skutecznego działania. Brak wyraźnego przypisania ról prowadzi do zjawisk rozmycia odpowiedzialności, opóźnień decyzyjnych oraz nieefektywnej reakcji na incydenty i niezgodności. Mapa odpowiedzialności powinna zatem służyć nie tylko klarowności formalnej, lecz także praktycznemu wsparciu dla zarządzania ryzykiem i rozliczalności działań.
Zakres odpowiedzialności komórki Compliance. Funkcja Compliance ponosi odpowiedzialność za identyfikowanie ryzyk zgodności, projektowanie mechanizmów kontrolnych, formułowanie rekomendacji oraz doradztwo regulacyjne. Jej zadania obejmują także monitorowanie wdrożenia zaleceń oraz raportowanie do zarządu i rady nadzorczej. Kluczowe jest jednak rozróżnienie, że Compliance nie odpowiada za operacyjne wdrożenie zasad i rekomendacji. To rozróżnienie wyraża się w formule: Compliance doradza, ostrzega, kontroluje – ale nie wdraża.
W praktyce oznacza to, że to jednostki operacyjne, jako właściciele procesów, muszą wdrażać działania zgodne z regulacjami oraz ponosić odpowiedzialność za ich efektywność. Compliance ma natomiast obowiązek poinformować, jeśli wdrożenie nie nastąpiło, lub nastąpiło w sposób niewystarczający. Taki model zapewnia przejrzystość odpowiedzialności i unika sytuacji, w których komórka Compliance staje się faktycznym operatorem ryzyk, za które nie posiada zasobów ani mandatów.
Rola zarządu i jednostek operacyjnych. Zarząd banku ponosi odpowiedzialność za zapewnienie adekwatności i skuteczności całego systemu compliance. Oznacza to, że to zarząd musi przypisać odpowiedzialność, zapewnić odpowiednie zasoby i stworzyć warunki do niezależnego działania funkcji zgodności. W zakresie strategicznym to zarząd odpowiada również za określenie apetytu na ryzyko regulacyjne oraz za działania naprawcze w przypadku poważnych niezgodności.
Jednostki operacyjne są odpowiedzialne za stosowanie przepisów i regulacji w codziennej działalności banku. W praktyce oznacza to, że kierownicy poszczególnych pionów muszą posiadać świadomość regulacyjną, wdrażać zasady zgodności w swoich procesach i raportować incydenty. Jednostki te nie mogą delegować tej odpowiedzialności na Compliance, nawet jeśli to ona zidentyfikuje problem. W przeciwnym razie dochodzi do poważnego naruszenia zasady pierwszej linii odpowiedzialności.
Granica z audytem wewnętrznym. Audyt wewnętrzny stanowi trzecią linię w systemie kontroli wewnętrznej i pełni funkcję niezależnej oceny skuteczności systemu zarządzania ryzykiem, w tym również funkcji Compliance. Audyt nie odpowiada za projektowanie mechanizmów zgodności ani za doradztwo regulacyjne. Jego zadaniem jest ocena tego, czy funkcja Compliance działa efektywnie, zgodnie z przyjętymi zasadami i zapewnia odpowiedni poziom kontroli.
Współpraca między audytem a Compliance musi respektować zasadę niezależności. Oznacza to, że audyt nie może brać udziału w bieżącym doradztwie lub współprojektowaniu rozwiązań regulacyjnych. W przeciwnym razie ocena audytorska traci swój obiektywny charakter i przekształca się w samoocenę.
Model współpracy i operacjonalizacja odpowiedzialności. Skuteczny model przypisania ról wymaga formalizacji – nie wystarczy wiedza niepisana lub oparcie się na strukturze organizacyjnej. Wiodącym narzędziem w tym zakresie powinna być tzw. mapa RACI, czyli dokument określający kto jest odpowiedzialny (Responsible), kto zatwierdza (Accountable), kto jest konsultowany (Consulted), a kto informowany (Informed) w odniesieniu do kluczowych procesów zgodności. Takie mapy powinny być tworzone wspólnie przez Compliance, zarząd oraz właścicieli procesów.
Dodatkowym narzędziem powinien być rejestr właścicieli ryzyk regulacyjnych – dokument, który wskazuje, kto odpowiada za określone ryzyka z punktu widzenia wdrożenia, monitorowania i raportowania. Uzupełnieniem może być procedura eskalacji niezgodności, wskazująca ścieżkę informacyjną w przypadku wykrycia uchybień.
Model współpracy powinien opierać się na wzajemności: funkcja Compliance ostrzega i doradza, jednostka wdraża i odpowiada, audyt ocenia i raportuje. W sytuacji kryzysowej odpowiedzialność nie może być rozproszona – każda z funkcji powinna wiedzieć, jakie ma zadania, jakie ma granice i jakiej reakcji oczekuje od pozostałych.
Wnioski. Jasne przypisanie odpowiedzialności za zgodność z przepisami i regulacjami stanowi warunek skutecznego działania systemu compliance w banku. Funkcja Compliance nie może być obciążana odpowiedzialnością operacyjną ani zaimplementowaniem zaleceń, podobnie jak audyt nie może doradzać na etapie projektowania. Zarząd musi zapewnić zasoby, przypisać role i egzekwować ich realizację. Jednostki operacyjne muszą przyjąć odpowiedzialność za zgodność w procesach, którymi zarządzają. W interesie całej instytucji leży wdrożenie przejrzystej mapy odpowiedzialności, wspierającej nie tylko formalną zgodność z regulacjami, ale przede wszystkim kulturę organizacyjną opartą na współpracy, rozliczalności i szacunku dla ról każdej z funkcji.