Wprowadzenie
Współczesny model regulacyjny sektora finansowego deklaratywnie pozostaje oparty na podejściu opartym na ryzyku (risk-based approach). Pojęcie to stanowi dziś jeden z podstawowych elementów języka regulacyjnego i nadzorczego — zarówno w obszarze przeciwdziałania praniu pieniędzy, zarządzania ryzykiem operacyjnym, cyberbezpieczeństwa, outsourcingu, zgodności działalności z prawem, jak i szerzej rozumianego ładu wewnętrznego instytucji finansowych. Konstrukcja ta zakłada, że ryzyko nie może zostać całkowicie wyeliminowane, lecz powinno być identyfikowane, oceniane, monitorowane i ograniczane przy użyciu proporcjonalnych mechanizmów kontrolnych.
Jednocześnie praktyka regulacyjna i organizacyjna ostatnich lat coraz częściej rozwija się w kierunku modelu, który można określić jako logikę „zero tolerancji” (zero tolerance). Nie chodzi przy tym o formalnie zdefiniowaną kategorię normatywną, lecz o sposób oceny skuteczności instytucji finansowej, w którym sama materializacja ryzyka — wystąpienie incydentu, naruszenia, błędu lub obejścia mechanizmów kontrolnych — zaczyna być traktowana jako przesłanka świadcząca o niewystarczalności systemu zarządzania ryzykiem lub nieskuteczności ładu wewnętrznego. To przesunięcie ma charakter głębszy niż zwykłe zaostrzenie praktyki nadzorczej. Nie dotyczy bowiem poziomu restrykcyjności regulatora ani wysokości sankcji administracyjnych. Dotyczy samej konstrukcji odpowiedzialności regulacyjnej i sposobu rozumienia skuteczności mechanizmów kontrolnych. Innymi słowy — pytanie nie brzmi, czy instytucje finansowe powinny być objęte rygorystycznym nadzorem, lecz czy model oparty na ryzyku może współistnieć z praktyką, która faktycznie zakłada nieakceptowalność materializacji ryzyka.
W klasycznym podejściu opartym na ryzyku centralne znaczenie ma pojęcie ryzyka rezydualnego, a więc poziomu ryzyka pozostającego po zastosowaniu mechanizmów kontrolnych. Ryzyko rezydualne nie stanowi anomalii systemu, lecz jego immanentny element. Skoro działalność instytucji finansowej zawsze wiąże się z niepewnością, nie jest możliwe stworzenie środowiska całkowicie wolnego od incydentów lub naruszeń. Podejście oparte na ryzyku zakłada zatem, że skuteczność systemu powinna być oceniana przede wszystkim przez pryzmat adekwatności procesu zarządzania ryzykiem, a nie wyłącznie przez brak zdarzeń negatywnych.
Logika „zero tolerancji” prowadzi natomiast do odmiennego sposobu oceny instytucji. W takim modelu sam fakt wystąpienia zdarzenia niepożądanego może zostać uznany za dowód niewystarczalności mechanizmów kontrolnych, niezależnie od skali działalności instytucji, charakteru ryzyka, proporcjonalności zastosowanych środków czy obiektywnej możliwości całkowitego wyeliminowania danego zagrożenia. W praktyce oznacza to przejście od oceny ex ante — koncentrującej się na jakości procesu zarządzania ryzykiem — do oceny ex post, w której centralnym punktem staje się rezultat rozumiany jako brak materializacji ryzyka.
Szczególnie wyraźnie zjawisko to widoczne jest w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, gdzie formalnie utrzymywany model podejścia opartego na ryzyku coraz częściej współistnieje z organizacyjnym i reputacyjnym oczekiwaniem faktycznej eliminacji błędu. Konsekwencją tego procesu stają się między innymi zjawiska określane mianem de-risking, polegające na ograniczaniu lub wyłączaniu relacji z klientami, sektorami lub jurysdykcjami postrzeganymi jako podwyższone ryzyko — nie dlatego, że ryzyko to jest niemożliwe do zarządzania, lecz dlatego, że materializacja ryzyka staje się systemowo nieakceptowalna.
Celem niniejszego artykułu nie jest krytyka praktyki nadzorczej ani kwestionowanie potrzeby utrzymywania wysokich standardów zgodności działalności instytucji finansowych z prawem. Przedmiotem analizy jest natomiast narastające napięcie pomiędzy deklarowanym podejściem opartym na ryzyku a rozwijającą się równolegle logiką nieakceptowalności błędu. Pytanie zasadnicze nie dotyczy więc tego, czy instytucje finansowe powinny skutecznie zarządzać ryzykiem, lecz tego, czy system regulacyjny może jednocześnie utrzymywać konstrukcję opartą na ryzyku oraz traktować każdą materializację ryzyka jako dowód wadliwości systemu kontroli. Od odpowiedzi na to pytanie zależy bowiem nie tylko sposób oceny skuteczności funkcji compliance i mechanizmów kontrolnych, lecz również sama definicja odpowiedzialności organów instytucji finansowych oraz praktyczne znaczenie pojęć takich jak apetyt na ryzyko, proporcjonalność czy adekwatność ładu wewnętrznego.
Istota podejścia opartego na ryzyku
Podejście oparte na ryzyku (risk-based approach) należy obecnie do podstawowych zasad organizujących współczesny model regulacyjny sektora finansowego. Konstrukcja ta występuje zarówno w regulacjach dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, jak i w przepisach odnoszących się do zarządzania ryzykiem operacyjnym, cyberbezpieczeństwa, outsourcingu, ochrony konsumenta czy szerzej rozumianego ładu wewnętrznego instytucji finansowych. Wspólnym elementem tych regulacji jest założenie, że ryzyko stanowi nieusuwalny element działalności instytucji finansowej, a zadaniem organizacji nie jest jego całkowite wyeliminowanie, lecz utrzymywanie go na poziomie mieszczącym się w granicach akceptowalnych z perspektywy modelu działalności, skali operacji i obowiązków regulacyjnych. Istota podejścia opartego na ryzyku polega zatem na odejściu od modelu absolutnego bezpieczeństwa na rzecz modelu proporcjonalnego zarządzania niepewnością. Oznacza to, że intensywność środków kontrolnych powinna pozostawać powiązana z poziomem oraz charakterem identyfikowanego ryzyka, a skuteczność systemu nie może być oceniana wyłącznie przez pryzmat występowania albo braku incydentów. W przeciwnym razie sama konstrukcja zarządzania ryzykiem traci sens normatywny, ponieważ ryzyko przestaje być kategorią podlegającą ocenie i akceptacji, a staje się kategorią zakazaną.
W obszarze przeciwdziałania praniu pieniędzy podejście oparte na ryzyku zostało wyraźnie zakorzenione w rekomendacjach FATF oraz kolejnych dyrektywach AML Unii Europejskiej. Model ten zakłada, że instytucje obowiązane powinny identyfikować obszary podwyższonego ryzyka i stosować środki adekwatne do charakteru relacji gospodarczej, produktu, kanału dystrybucji lub jurysdykcji. Konstrukcja ta opiera się więc na założeniu, że nie wszystkie relacje biznesowe generują identyczny poziom zagrożenia oraz że niemożliwe jest stworzenie systemu całkowicie wolnego od ryzyka wykorzystania sektora finansowego do celów nielegalnych.
Podobna logika występuje w regulacjach dotyczących ładu wewnętrznego instytucji finansowych. Zarówno przepisy CRD, jak i wytyczne Europejskiego Urzędu Nadzoru Bankowego dotyczące ładu wewnętrznego oraz zarządzania ryzykiem opierają się na konstrukcji adekwatności i proporcjonalności mechanizmów kontrolnych. Instytucja ma posiadać skuteczny system zarządzania ryzykiem, ale skuteczność ta nie jest definiowana jako absolutna gwarancja braku naruszeń lub incydentów. Przeciwnie — sama potrzeba budowania mechanizmów monitorowania, raportowania i eskalacji ryzyka wynika z założenia, że materializacja części ryzyk pozostaje możliwa mimo prawidłowego funkcjonowania systemu kontroli.
Zasadnicze znaczenie posiada w tym kontekście pojęcie ryzyka rezydualnego. Ryzyko rezydualne oznacza poziom ryzyka pozostający po wdrożeniu mechanizmów ograniczających i kontrolnych. Konstrukcja ta pełni funkcję fundamentalną dla całego modelu zarządzania ryzykiem, ponieważ zakłada, że nawet najbardziej rozwinięty system kontroli nie prowadzi do całkowitej eliminacji zagrożeń. Innymi słowy — skuteczny system kontroli nie jest systemem gwarantującym brak incydentów, lecz systemem pozwalającym utrzymywać ryzyko na poziomie akceptowalnym i możliwym do uzasadnienia z perspektywy regulacyjnej oraz organizacyjnej.
W konsekwencji podejście oparte na ryzyku wymaga rozróżnienia pomiędzy dwiema sytuacjami, które w praktyce regulacyjnej coraz częściej zaczynają się zacierać. Pierwszą jest nieskuteczność systemu zarządzania ryzykiem, polegająca na braku adekwatnych mechanizmów kontrolnych, niewłaściwej identyfikacji ryzyka albo świadomym ignorowaniu zagrożeń. Drugą jest materializacja ryzyka pomimo funkcjonowania proporcjonalnych i adekwatnych mechanizmów kontroli. Z punktu widzenia klasycznego modelu podejścia opartego na ryzyku obie sytuacje nie są tożsame. Wystąpienie incydentu nie stanowi automatycznie dowodu wadliwości systemu kontroli, ponieważ sam system zakłada możliwość występowania ryzyka rezydualnego. To właśnie w tym miejscu pojawia się zasadnicze napięcie pomiędzy podejściem opartym na ryzyku a rozwijającą się logiką „zero tolerancji”. Jeżeli bowiem skuteczność systemu zaczyna być oceniana wyłącznie przez brak materializacji ryzyka, pojęcie ryzyka rezydualnego przestaje pełnić realną funkcję normatywną. Formalnie pozostaje ono elementem języka regulacyjnego, lecz operacyjnie traci znaczenie, ponieważ każda materializacja ryzyka staje się dowodem niewystarczalności systemu kontroli.
W takim modelu dochodzi do istotnej zmiany sposobu oceny instytucji finansowej. Punktem odniesienia przestaje być jakość procesu zarządzania ryzykiem, a staje się nim rezultat rozumiany jako brak incydentu. Oznacza to przejście od oceny adekwatności systemu do oceny skuteczności absolutnej. Taka zmiana ma charakter fundamentalny, ponieważ prowadzi do redefinicji samego znaczenia pojęcia „zarządzanie ryzykiem”. Jeżeli bowiem ryzyko może zostać uznane za dopuszczalne wyłącznie pod warunkiem, że nigdy się nie zmaterializuje, instytucja finansowa przestaje zarządzać ryzykiem, a zaczyna odpowiadać za eliminację zdarzeń niepożądanych niezależnie od obiektywnych ograniczeń organizacyjnych, technologicznych i operacyjnych. Podejście oparte na ryzyku nie oznacza zatem tolerowania niezgodności działalności z prawem ani akceptacji dla nieskutecznych mechanizmów kontrolnych. Jego istotą pozostaje jednak założenie, że skuteczność systemu nie może być utożsamiana z absolutnym brakiem incydentów. W przeciwnym razie pojęcie ryzyka rezydualnego staje się konstrukcją wyłącznie deklaratywną, a model oparty na ryzyku zostaje zastąpiony modelem odpowiedzialności za sam fakt materializacji zagrożenia.
Geneza i logika modelu „zero tolerancji”
Model określany jako „zero tolerancji” (zero tolerance) nie funkcjonuje obecnie jako jednolicie zdefiniowana konstrukcja normatywna prawa regulacyjnego sektora finansowego. Trudno wskazać przepisy, które wprost nakładałyby na instytucje finansowe obowiązek całkowitego wyeliminowania ryzyka lub ustanawiały zasadę absolutnej odpowiedzialności za każdą materializację zagrożenia. Mimo to w praktyce regulacyjnej, organizacyjnej i reputacyjnej coraz wyraźniej widoczna staje się logika, w której dopuszczalność występowania incydentów ulega systematycznemu zawężeniu, a sama materializacja ryzyka zaczyna być postrzegana jako zdarzenie co do zasady nieakceptowalne. Genezy tego zjawiska nie należy poszukiwać wyłącznie w działalności organów nadzoru. Znacznie istotniejsze znaczenie ma szersza ewolucja środowiska regulacyjnego sektora finansowego, obejmująca jednocześnie wzrost oczekiwań społecznych, rozwój międzynarodowych standardów zgodności, rosnącą wrażliwość reputacyjną instytucji finansowych oraz coraz silniejsze powiązanie pojedynczych incydentów z oceną jakości całego systemu zarządzania ryzykiem.
Szczególną rolę odegrały w tym procesie duże kryzysy regulacyjne i reputacyjne ostatnich dwóch dekad — przede wszystkim przypadki prania pieniędzy, naruszeń reżimów sankcyjnych, manipulacji rynkowych, niewłaściwej sprzedaży produktów finansowych oraz incydentów cyberbezpieczeństwa. Każde tego rodzaju zdarzenie prowadziło do wzrostu oczekiwań dotyczących skuteczności mechanizmów kontrolnych oraz do stopniowego przesuwania odpowiedzialności z poziomu indywidualnego naruszenia na poziom systemowej oceny instytucji. W rezultacie coraz częściej nie analizowano już wyłącznie samego faktu naruszenia, lecz zadawano pytanie, w jaki sposób instytucja dopuściła do wystąpienia zdarzenia pomimo funkcjonowania systemów kontroli.
To przesunięcie ma istotne znaczenie dla rozumienia współczesnego modelu odpowiedzialności regulacyjnej. W klasycznym podejściu opartym na ryzyku incydent stanowił element wymagający analizy, ale nie przesądzał automatycznie o nieskuteczności całego systemu. W modelu rozwijającej się logiki „zero tolerancji” sam fakt materializacji ryzyka zaczyna natomiast pełnić funkcję dowodu wskazującego na niewystarczalność mechanizmów kontrolnych, niedostateczną kulturę zgodności lub wadliwość ładu wewnętrznego. Nie oznacza to oczywiście odejścia od języka podejścia opartego na ryzyku. Przeciwnie — współczesne regulacje nadal konsekwentnie odwołują się do proporcjonalności, adekwatności środków kontrolnych oraz konieczności uwzględniania charakteru i skali działalności instytucji finansowej. Zmiana następuje jednak na poziomie praktycznego sposobu oceny skuteczności systemu. Formalnie utrzymywana pozostaje konstrukcja zarządzania ryzykiem, lecz operacyjnie rośnie znaczenie kryterium rezultatu rozumianego jako brak zdarzeń niepożądanych.
Proces ten szczególnie wyraźnie widoczny jest w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Regulacje AML wprost opierają się na podejściu opartym na ryzyku, zakładając możliwość różnicowania intensywności środków bezpieczeństwa finansowego oraz akceptację zróżnicowanego poziomu ryzyka klientów i transakcji. Jednocześnie praktyka rynkowa rozwija się w kierunku coraz dalej idącej niechęci do utrzymywania relacji obarczonych podwyższonym ryzykiem regulacyjnym lub reputacyjnym. W efekcie instytucje finansowe coraz częściej ograniczają działalność w obszarach generujących ryzyko trudne do pełnego wyeliminowania, nawet jeżeli formalnie ryzyko to mogłoby podlegać zarządzaniu przy użyciu proporcjonalnych mechanizmów kontrolnych. Zjawisko to określane jest mianem de-risking. Pojęcie to oznacza ograniczanie lub kończenie relacji z klientami, sektorami gospodarki albo jurysdykcjami uznawanymi za źródło podwyższonego ryzyka regulacyjnego, operacyjnego lub reputacyjnego. Co istotne, mechanizm ten nie zawsze wynika z niemożliwości zarządzania ryzykiem. Często stanowi raczej konsekwencję środowiska regulacyjnego, w którym koszt potencjalnej materializacji ryzyka staje się organizacyjnie i reputacyjnie nieakceptowalny.
Analogiczne zjawiska można zaobserwować również poza obszarem AML. W regulacjach dotyczących odporności cyfrowej i cyberbezpieczeństwa rośnie znaczenie oczekiwania ciągłości operacyjnej oraz odporności systemów informatycznych na incydenty. W obszarze outsourcingu coraz większy nacisk kładzie się na możliwość pełnej kontroli nad dostawcami usług krytycznych. W zakresie ochrony konsumenta wzrasta znaczenie standardów eliminujących ryzyko nieprawidłowej sprzedaży produktów finansowych. W każdym z tych obszarów formalnie utrzymywany pozostaje model zarządzania ryzykiem, lecz praktycznie maleje przestrzeń dla akceptacji materializacji zagrożeń.
W konsekwencji współczesny model regulacyjny zaczyna stopniowo przesuwać punkt ciężkości z oceny adekwatności procesu na ocenę skutku. O ile w klasycznym podejściu opartym na ryzyku centralne znaczenie posiadało pytanie, czy instytucja wdrożyła proporcjonalne i racjonalne mechanizmy kontroli, o tyle rozwijająca się logika „zero tolerancji” coraz częściej prowadzi do pytania, dlaczego mimo funkcjonowania tych mechanizmów doszło do incydentu. Zmiana ta ma charakter fundamentalny, ponieważ wpływa nie tylko na praktykę stosowania regulacji, lecz również na zachowania samych instytucji finansowych. Jeżeli bowiem materializacja ryzyka zaczyna być postrzegana jako zdarzenie systemowo nieakceptowalne, racjonalną reakcją organizacyjną staje się nie tyle zarządzanie ryzykiem, ile ograniczanie ekspozycji na wszelkie obszary potencjalnie generujące możliwość wystąpienia incydentu. W takim modelu priorytetem przestaje być adekwatność mechanizmów kontrolnych, a staje się nim minimalizacja prawdopodobieństwa pojawienia się zdarzenia, które mogłoby zostać uznane za dowód nieskuteczności systemu.
Fundamentalne napięcie pomiędzy podejściem opartym na ryzyku a logiką „zero tolerancji”
Napięcie pomiędzy podejściem opartym na ryzyku a logiką „zero tolerancji” nie sprowadza się wyłącznie do różnicy poziomu restrykcyjności regulacyjnej. Ma ono charakter znacznie głębszy, ponieważ dotyczy samego sposobu rozumienia ryzyka, skuteczności mechanizmów kontrolnych oraz odpowiedzialności instytucji finansowej za materializację zagrożeń. Oba modele opierają się bowiem na częściowo odmiennych założeniach dotyczących relacji pomiędzy ryzykiem a kontrolą.
Podejście oparte na ryzyku zakłada, że ryzyko stanowi trwały element działalności instytucji finansowej i nie może zostać całkowicie wyeliminowane. Mechanizmy kontrolne mają ograniczać prawdopodobieństwo oraz skutki materializacji ryzyka, ale nie są w stanie zagwarantować absolutnego bezpieczeństwa organizacji. Logika „zero tolerancji” rozwija się natomiast wokół założenia, że wystąpienie określonych zdarzeń staje się samo w sobie dowodem niewystarczalności systemu kontroli, niezależnie od stopnia złożoności działalności instytucji, charakteru ryzyka czy obiektywnych ograniczeń organizacyjnych i technologicznych. To właśnie w tym miejscu pojawia się podstawowa sprzeczność systemowa. Jeżeli bowiem skuteczność systemu zarządzania ryzykiem oceniana jest przede wszystkim przez brak materializacji ryzyka, pojęcie ryzyka rezydualnego traci praktyczne znaczenie. Ryzyko rezydualne zakłada przecież możliwość wystąpienia incydentu mimo wdrożenia adekwatnych i proporcjonalnych mechanizmów kontroli. Jeżeli jednak każdy incydent staje się dowodem nieskuteczności systemu, oznacza to faktyczne odrzucenie założenia, że część ryzyk może pozostawać organizacyjnie akceptowalna.
W rezultacie dochodzi do przesunięcia od modelu zarządzania ryzykiem do modelu oczekiwania rezultatu. Instytucja finansowa nie jest już oceniana przede wszystkim przez pryzmat jakości procesu identyfikacji, monitorowania i ograniczania ryzyka, lecz przez sam fakt występowania albo braku zdarzeń niepożądanych. Z perspektywy praktycznej oznacza to zmianę niezwykle istotną. W klasycznym podejściu opartym na ryzyku pytanie zasadnicze brzmi: czy instytucja wdrożyła adekwatne mechanizmy kontroli odpowiadające skali i charakterowi ryzyka? W logice „zero tolerancji” pytanie coraz częściej przyjmuje inną postać: skoro doszło do incydentu, to dlaczego system kontroli nie zapobiegł jego wystąpieniu? Takie podejście prowadzi do stopniowego zacierania granicy pomiędzy ryzykiem nieakceptowalnym a ryzykiem, które zmaterializowało się mimo prawidłowo funkcjonujących mechanizmów kontroli. W modelu opartym na ryzyku rozróżnienie to posiada znaczenie fundamentalne. Możliwe jest bowiem istnienie sytuacji, w której instytucja finansowa działała zgodnie z wymaganym standardem staranności, posiadała adekwatny system zarządzania ryzykiem i proporcjonalne mechanizmy kontroli, a mimo to doszło do incydentu stanowiącego przejaw ryzyka rezydualnego. Logika „zero tolerancji” ogranicza natomiast przestrzeń dla takiego rozróżnienia, ponieważ sam rezultat zaczyna dominować nad oceną procesu.
Konsekwencją tego zjawiska jest rozwój mechanizmów organizacyjnej defensywności. Jeżeli bowiem instytucja finansowa uznaje, że materializacja ryzyka może zostać potraktowana jako dowód wadliwości systemu kontroli niezależnie od obiektywnych okoliczności, racjonalną reakcją staje się ograniczanie ekspozycji na obszary generujące podwyższone ryzyko regulacyjne lub reputacyjne. W praktyce prowadzi to do wzrostu znaczenia strategii opartych na unikaniu ryzyka zamiast jego zarządzania.
Szczególnie widoczne jest to w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Instytucje finansowe coraz częściej ograniczają relacje z klientami lub sektorami postrzeganymi jako trudne z perspektywy zgodności regulacyjnej, nawet wtedy, gdy formalnie możliwe byłoby zarządzanie tym ryzykiem przy użyciu odpowiednio intensywnych mechanizmów kontroli. Zjawisko de-risking staje się w takim modelu nie tyle wyjątkiem od podejścia opartego na ryzyku, ile jego konsekwencją w środowisku, w którym materializacja ryzyka przestaje być organizacyjnie akceptowalna.
Analogiczny mechanizm można zaobserwować również w innych obszarach działalności regulowanej. Wzrost znaczenia odporności cyfrowej, cyberbezpieczeństwa czy ciągłości operacyjnej prowadzi do rozwoju coraz bardziej rozbudowanych mechanizmów kontrolnych, których celem staje się nie tylko ograniczanie ryzyka, lecz również minimalizowanie możliwości wystąpienia incydentu mogącego zostać uznanym za przejaw nieskuteczności systemu. W konsekwencji organizacje zaczynają rozwijać kulturę proceduralnej nadmiarowości, w której priorytetem staje się możliwość wykazania maksymalnego poziomu kontroli, nawet kosztem efektywności operacyjnej lub proporcjonalności działań.
Proces ten wpływa również na sposób rozumienia odpowiedzialności organów instytucji finansowych. W modelu opartym na ryzyku odpowiedzialność zarządu oraz rady nadzorczej koncentruje się na zapewnieniu adekwatnego systemu zarządzania ryzykiem oraz właściwego ładu wewnętrznego. W logice „zero tolerancji” odpowiedzialność zaczyna natomiast przesuwać się w kierunku oczekiwania faktycznej eliminacji incydentów. Im bardziej materializacja ryzyka utożsamiana jest z dowodem nieskuteczności systemu, tym bardziej obowiązek należytej staranności zaczyna przekształcać się w oczekiwanie rezultatu.
Nie oznacza to oczywiście, że system regulacyjny powinien akceptować nieskuteczność mechanizmów kontrolnych lub tolerować niezgodność działalności instytucji finansowych z prawem. Problem polega jednak na czym innym. Podejście oparte na ryzyku wymaga uznania, że nawet prawidłowo zaprojektowany i proporcjonalny system kontroli nie eliminuje całkowicie możliwości materializacji zagrożeń. Jeżeli założenie to przestaje być operacyjnie akceptowane, model oparty na ryzyku zachowuje znaczenie wyłącznie deklaratywne, podczas gdy rzeczywista praktyka regulacyjna zaczyna opierać się na logice nieakceptowalności błędu.
Przeciwdziałanie praniu pieniędzy jako laboratorium przejścia od zarządzania ryzykiem do zarządzania nieakceptowalnością błędu
Obszar przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu stanowi obecnie najbardziej wyrazisty przykład napięcia pomiędzy podejściem opartym na ryzyku a rozwijającą się logiką „zero tolerancji”. Wynika to z kilku przyczyn jednocześnie. Po pierwsze, regulacje AML od samego początku budowane były wokół konstrukcji risk-based approach i należą do najbardziej rozwiniętych przykładów regulacyjnego zarządzania ryzykiem. Po drugie, jest to jednocześnie obszar wyjątkowo silnie obciążony ryzykiem reputacyjnym, politycznym oraz sankcyjnym. Po trzecie wreszcie, praktyka AML szczególnie wyraźnie pokazuje, w jaki sposób formalne utrzymanie modelu opartego na ryzyku może współistnieć z organizacyjnym oczekiwaniem faktycznej eliminacji błędu.
Konstrukcja regulacji AML opiera się na założeniu, że ryzyko wykorzystania systemu finansowego do celów nielegalnych nie może zostać całkowicie wyeliminowane. Dyrektywy AML, rekomendacje FATF oraz regulacje krajowe konsekwentnie odwołują się do konieczności identyfikacji, oceny i ograniczania ryzyka z uwzględnieniem charakteru klienta, produktu, kanału dystrybucji oraz jurysdykcji. Instytucje obowiązane mają stosować środki bezpieczeństwa finansowego adekwatne do poziomu ryzyka, a nie identyczne wobec wszystkich relacji gospodarczych. Sama konstrukcja podejścia opartego na ryzyku zakłada więc, że część relacji biznesowych będzie wiązała się z podwyższonym ryzykiem, które pozostaje dopuszczalne pod warunkiem wdrożenia odpowiednich mechanizmów kontroli. Jednocześnie praktyka funkcjonowania systemów AML coraz częściej rozwija się w kierunku organizacyjnej nieakceptowalności incydentu. Materializacja ryzyka — ujawnienie przypadku prania pieniędzy, naruszenia reżimu sankcyjnego albo niewykrycia transakcji podejrzanej — bardzo często przestaje być postrzegana jako przejaw ryzyka rezydualnego, a zaczyna funkcjonować jako dowód niewystarczalności systemu kontroli. W rezultacie instytucje finansowe zaczynają budować swoje modele działania nie wokół pytania, jakie ryzyko można racjonalnie kontrolować, lecz wokół pytania, jak ograniczyć możliwość wystąpienia zdarzenia, które mogłoby zostać uznane za organizacyjnie lub reputacyjnie nieakceptowalne.
To właśnie w tym kontekście należy analizować zjawisko de-risking. Formalnie podejście oparte na ryzyku powinno prowadzić do różnicowania intensywności środków kontrolnych oraz umożliwiać utrzymywanie relacji z klientami podwyższonego ryzyka przy zastosowaniu adekwatnych mechanizmów bezpieczeństwa finansowego. W praktyce jednak część instytucji finansowych ogranicza lub kończy relacje z całymi kategoriami klientów, sektorów gospodarki lub jurysdykcji nie dlatego, że ryzyko jest niemożliwe do zarządzania, lecz dlatego, że koszt potencjalnej materializacji ryzyka staje się nieproporcjonalnie wysoki z perspektywy regulacyjnej, reputacyjnej i organizacyjnej. Zjawisko to szczególnie widoczne jest w odniesieniu do relacji korespondencyjnych, klientów prowadzących działalność transgraniczną, podmiotów związanych z aktywami wirtualnymi, organizacji działających w obszarach podwyższonego ryzyka geograficznego czy klientów posiadających status osoby zajmującej eksponowane stanowisko polityczne. W każdym z tych przypadków podejście oparte na ryzyku formalnie zakłada możliwość zarządzania relacją przy użyciu odpowiednio intensywnych mechanizmów kontroli. Jednocześnie praktyka organizacyjna coraz częściej prowadzi do ograniczania samej ekspozycji na ryzyko jako rozwiązania bezpieczniejszego z perspektywy odpowiedzialności regulacyjnej.
Powoduje to istotną zmianę funkcji systemu AML. W klasycznym modelu przeciwdziałanie praniu pieniędzy miało umożliwiać identyfikację i ograniczanie ryzyka przy zachowaniu proporcjonalności działań oraz ciągłości dostępu do usług finansowych. W modelu rozwijającej się logiki „zero tolerancji” system zaczyna natomiast pełnić funkcję minimalizowania prawdopodobieństwa wystąpienia incydentu, który mógłby zostać uznany za dowód nieskuteczności instytucji. W efekcie organizacje coraz częściej preferują działania redukujące ekspozycję regulacyjną nawet wtedy, gdy prowadzi to do nadmiernej ostrożności operacyjnej lub ograniczania dostępności usług. Mechanizm ten wzmacniany jest dodatkowo przez asymetrię odpowiedzialności regulacyjnej. Instytucja finansowa ponosi bowiem bardzo wysokie ryzyko organizacyjne, reputacyjne i sankcyjne w przypadku materializacji zagrożenia, natomiast proporcjonalne i skuteczne zarządzanie ryzykiem rzadko prowadzi do porównywalnie istotnej „nagrody regulacyjnej”. W praktyce oznacza to, że z perspektywy organizacyjnej bardziej racjonalne staje się unikanie ekspozycji na ryzyko niż rozwijanie coraz bardziej zaawansowanych mechanizmów jego kontroli.
Konsekwencją jest również stopniowa zmiana sposobu funkcjonowania samej funkcji compliance oraz systemów AML. Coraz większe znaczenie zyskują mechanizmy pozwalające wykazać maksymalny poziom staranności proceduralnej, rozbudowane procesy dokumentowania działań oraz rozwiązania projektowane przede wszystkim pod kątem odporności na ocenę następczą. W takim modelu priorytetem staje się nie tylko skuteczne zarządzanie ryzykiem, lecz również możliwość wykazania, że instytucja podjęła wszelkie działania pozwalające ograniczyć ryzyko zarzutu niewystarczalności systemu kontroli. W rezultacie przeciwdziałanie praniu pieniędzy staje się obszarem, w którym najpełniej ujawnia się podstawowe napięcie współczesnego modelu regulacyjnego sektora finansowego. Formalnie utrzymywany pozostaje model podejścia opartego na ryzyku, zakładający możliwość istnienia ryzyka rezydualnego oraz konieczność proporcjonalnego zarządzania zagrożeniami. Operacyjnie jednak coraz większe znaczenie uzyskuje logika, w której sama materializacja ryzyka staje się organizacyjnie nieakceptowalna. W takim środowisku instytucje finansowe zaczynają stopniowo przechodzić od zarządzania ryzykiem do zarządzania możliwością wystąpienia błędu, który mógłby zostać uznany za dowód nieskuteczności całego systemu kontroli.
Konsekwencje dla ładu wewnętrznego oraz odpowiedzialności organów instytucji finansowych
Przesunięcie od klasycznego podejścia opartego na ryzyku w kierunku logiki nieakceptowalności błędu wywołuje istotne konsekwencje dla sposobu rozumienia ładu wewnętrznego instytucji finansowych oraz odpowiedzialności członków organów zarządzających i nadzorczych. Zmiana ta nie polega wyłącznie na wzroście oczekiwań wobec skuteczności mechanizmów kontrolnych. Jej rzeczywiste znaczenie polega na stopniowej redefinicji samego standardu należytego wykonywania funkcji zarządczych i nadzorczych.
W modelu opartym na ryzyku odpowiedzialność organów instytucji finansowej koncentruje się przede wszystkim na zapewnieniu adekwatnego systemu zarządzania ryzykiem, skutecznych mechanizmów kontroli wewnętrznej oraz właściwego funkcjonowania ładu wewnętrznego. Punktem odniesienia pozostaje zatem jakość procesu organizacyjnego — sposób identyfikacji ryzyk, proporcjonalność stosowanych środków, efektywność monitorowania oraz zdolność instytucji do reagowania na pojawiające się zagrożenia. Taki model zakłada, że nawet prawidłowo funkcjonujący system kontroli nie eliminuje całkowicie możliwości wystąpienia incydentów.
Logika „zero tolerancji” prowadzi natomiast do istotnego przesunięcia ciężaru oceny. Im bardziej materializacja ryzyka utożsamiana jest z dowodem niewystarczalności systemu kontroli, tym bardziej odpowiedzialność organów zaczyna być oceniana przez pryzmat rezultatu rozumianego jako brak incydentów. W praktyce oznacza to stopniowe przekształcanie obowiązku zapewnienia adekwatnego systemu zarządzania ryzykiem w oczekiwanie faktycznej eliminacji zdarzeń niepożądanych.
Proces ten ma szczególne znaczenie dla funkcjonowania zarządu instytucji finansowej. To zarząd odpowiada bowiem za projektowanie oraz utrzymywanie systemu zarządzania ryzykiem, określanie apetytu na ryzyko oraz zapewnienie zgodności działalności instytucji z wymaganiami regulacyjnymi. W klasycznym modelu podejścia opartego na ryzyku pojęcie apetytu na ryzyko posiada realną funkcję organizacyjną — oznacza dopuszczalny poziom ryzyka, jaki instytucja jest gotowa zaakceptować w związku z prowadzoną działalnością. Jeżeli jednak każda materializacja ryzyka może zostać uznana za dowód nieskuteczności systemu kontroli, praktyczne znaczenie apetytu na ryzyko zaczyna ulegać erozji.
Powstaje bowiem fundamentalne pytanie, czy możliwe jest rzeczywiste zaakceptowanie ryzyka rezydualnego w środowisku regulacyjnym, w którym materializacja zagrożenia coraz częściej prowadzi do następczej oceny systemu przez pryzmat samego rezultatu. W takim modelu zarząd znajduje się pod presją rozwijania mechanizmów organizacyjnych projektowanych nie tylko dla celów skutecznego zarządzania ryzykiem, lecz również dla ograniczania możliwości postawienia zarzutu niewystarczalności systemu kontroli.
Analogiczne napięcie pojawia się również na poziomie rady nadzorczej. Współczesne regulacje dotyczące ładu wewnętrznego coraz silniej akcentują obowiązek aktywnego nadzoru nad systemem zarządzania ryzykiem, kulturą zgodności oraz funkcjonowaniem mechanizmów kontroli wewnętrznej. Jednocześnie rozwój logiki „zero tolerancji” prowadzi do sytuacji, w której odpowiedzialność nadzorcza zaczyna być pośrednio oceniana również przez pryzmat samego wystąpienia incydentu. Im większe znaczenie uzyskuje oczekiwanie braku materializacji ryzyka, tym bardziej funkcja nadzorcza przesuwa się od oceny adekwatności systemu ku oczekiwaniu jego absolutnej skuteczności.
Zmiana ta wpływa również na praktyczne funkcjonowanie funkcji compliance oraz systemów kontroli wewnętrznej. W modelu opartym na ryzyku funkcja compliance pełni rolę mechanizmu identyfikowania, monitorowania i ograniczania ryzyk braku zgodności. Jej zadaniem nie jest zagwarantowanie całkowitego braku naruszeń, lecz utrzymywanie ryzyka na poziomie akceptowalnym i zgodnym z profilem działalności instytucji. W logice nieakceptowalności błędu funkcja compliance zaczyna natomiast funkcjonować pod presją oczekiwania faktycznej eliminacji incydentów, co prowadzi do rozwoju coraz bardziej defensywnych modeli organizacyjnych.
Konsekwencją staje się wzrost znaczenia formalizacji procesów, rozbudowy mechanizmów dokumentacyjnych oraz proceduralnej nadmiarowości. Organizacje zaczynają rozwijać rozwiązania projektowane przede wszystkim pod kątem odporności na ocenę następczą oraz możliwości wykazania maksymalnego poziomu staranności organizacyjnej. Priorytetem staje się nie tylko efektywność kontroli, lecz również zdolność do udowodnienia, że instytucja podjęła wszelkie możliwe działania ograniczające ryzyko wystąpienia incydentu. Proces ten może prowadzić do istotnej zmiany charakteru ładu wewnętrznego instytucji finansowej. Ład wewnętrzny oparty na podejściu opartym na ryzyku zakłada bowiem zdolność organizacji do podejmowania decyzji w warunkach niepewności oraz świadomego zarządzania ryzykiem rezydualnym. W modelu rozwijającej się logiki „zero tolerancji” organizacja zaczyna natomiast funkcjonować w warunkach coraz silniejszej presji minimalizowania samej możliwości wystąpienia zdarzenia niepożądanego. W rezultacie centralnym elementem systemu przestaje być zarządzanie ryzykiem, a staje się nim zarządzanie możliwością przypisania odpowiedzialności za materializację ryzyka.
Nie oznacza to oczywiście, że współczesny model regulacyjny zmierza do ustanowienia formalnej odpowiedzialności absolutnej organów instytucji finansowych za każde naruszenie lub incydent. Kierunek zmian wskazuje jednak na stopniowe przesuwanie praktycznej oceny skuteczności ładu wewnętrznego z poziomu adekwatności procesu na poziom rezultatu. Im silniejsze staje się oczekiwanie braku materializacji ryzyka, tym bardziej obowiązek należytej staranności zaczyna funkcjonować w sposób zbliżony do oczekiwania gwarancji skutku.
Czy możliwe jest pogodzenie podejścia opartego na ryzyku z logiką „zero tolerancji”?
Narastające napięcie pomiędzy podejściem opartym na ryzyku a logiką „zero tolerancji” nie oznacza jeszcze, że oba modele pozostają całkowicie nie do pogodzenia. Problem polega jednak na tym, że ich współistnienie wymaga precyzyjnego określenia granicy pomiędzy ryzykiem dopuszczalnym a ryzykiem systemowo nieakceptowalnym. Bez takiego rozróżnienia podejście oparte na ryzyku zaczyna bowiem stopniowo tracić znaczenie operacyjne i pozostaje wyłącznie deklaratywnym elementem języka regulacyjnego.
Punktem wyjścia musi być dostrzeżenie, że współczesny system regulacyjny sektora finansowego nie jest jednolity pod względem akceptowalności ryzyka. Istnieją obszary, w których logika zarządzania ryzykiem nadal zachowuje realne znaczenie operacyjne, oraz obszary, w których praktyka regulacyjna i organizacyjna coraz wyraźniej rozwija się w kierunku faktycznej nieakceptowalności materializacji zagrożenia.
W klasycznym modelu podejścia opartego na ryzyku centralne znaczenie posiada ocena adekwatności działań instytucji finansowej podejmowanych ex ante. Kluczowe pytanie brzmi zatem, czy organizacja prawidłowo identyfikowała ryzyko, wdrożyła proporcjonalne mechanizmy kontrolne, zapewniła właściwy nadzór oraz utrzymywała adekwatny ład wewnętrzny. W takim modelu możliwe pozostaje uznanie, że mimo wystąpienia incydentu instytucja działała zgodnie z wymaganym standardem staranności, ponieważ materializacja ryzyka stanowiła element ryzyka rezydualnego niemożliwego do całkowitego wyeliminowania.
Model rozwijającej się logiki „zero tolerancji” prowadzi natomiast do sytuacji, w której ocena ex ante zaczyna ustępować miejsca ocenie ex post. Sam rezultat — wystąpienie incydentu, naruszenia albo obejścia mechanizmów kontroli — uzyskuje coraz większe znaczenie jako punkt odniesienia dla oceny skuteczności organizacji. W praktyce powoduje to przesunięcie odpowiedzialności z poziomu należytego zarządzania ryzykiem na poziom oczekiwania braku materializacji zagrożenia. Nie oznacza to jednak, że każda forma „zero tolerancji” pozostaje z definicji sprzeczna z podejściem opartym na ryzyku. W części obszarów regulacyjnych system świadomie zmierza bowiem do ustanowienia szczególnie wysokiego poziomu ochrony określonych dóbr lub wartości. Dotyczy to przede wszystkim działań związanych z finansowaniem terroryzmu, świadomym obchodzeniem reżimów sankcyjnych, umyślnym uczestnictwem w procederze prania pieniędzy czy celowym wprowadzaniem klientów w błąd. W takich przypadkach ograniczona akceptacja dla materializacji ryzyka może wynikać nie tyle z odejścia od logiki regulacyjnej, ile z charakteru chronionego interesu publicznego. Również w tych obszarach konieczne pozostaje jednak zachowanie rozróżnienia pomiędzy świadomym lub rażąco niedbałym naruszeniem obowiązków a materializacją ryzyka pomimo funkcjonowania adekwatnych mechanizmów kontroli. Jeżeli bowiem system regulacyjny zaczyna traktować oba przypadki w sposób zbliżony, dochodzi do istotnego zatarcia granicy pomiędzy odpowiedzialnością za brak należytego zarządzania ryzykiem a odpowiedzialnością za sam fakt wystąpienia zdarzenia niepożądanego.
To właśnie w tym miejscu ujawnia się podstawowy problem współczesnego modelu regulacyjnego sektora finansowego. Formalnie utrzymywane pozostaje podejście oparte na ryzyku, obejmujące pojęcia proporcjonalności, apetytu na ryzyko oraz ryzyka rezydualnego. Jednocześnie praktyka organizacyjna coraz częściej rozwija się tak, jakby ryzyko rezydualne przestawało być rzeczywiście akceptowalne. W efekcie instytucje finansowe zaczynają funkcjonować w środowisku, w którym formalnie oczekuje się od nich zarządzania ryzykiem, lecz operacyjnie premiowane staje się przede wszystkim ograniczanie samej ekspozycji na możliwość wystąpienia incydentu.
Konsekwencją jest stopniowe przechodzenie od kultury zarządzania ryzykiem do kultury unikania ryzyka. Im silniejsze staje się przekonanie, że materializacja zagrożenia może zostać automatycznie utożsamiona z nieskutecznością ładu wewnętrznego, tym bardziej racjonalne organizacyjnie staje się ograniczanie działalności w obszarach generujących podwyższone ryzyko regulacyjne lub reputacyjne. Zjawisko de-risking stanowi najbardziej widoczny przejaw tego procesu, ale jego konsekwencje mają charakter znacznie szerszy i wpływają na całą architekturę zarządzania ryzykiem w instytucjach finansowych. Ostatecznie możliwość pogodzenia podejścia opartego na ryzyku z logiką „zero tolerancji” zależy od tego, czy system regulacyjny zachowa realną przestrzeń dla uznania, że część materializacji ryzyka może pozostawać zgodna z konstrukcją prawidłowo funkcjonującego systemu kontroli. Jeżeli każda materializacja ryzyka zaczyna być traktowana jako dowód nieskuteczności organizacji, podejście oparte na ryzyku przestaje pełnić funkcję operacyjną. W takim modelu instytucja finansowa nie zarządza już ryzykiem w klasycznym znaczeniu tego pojęcia, lecz odpowiada za eliminowanie zdarzeń, które system uznaje za organizacyjnie nieakceptowalne niezależnie od obiektywnych ograniczeń procesu kontroli.
Zakończenie – system regulacyjny musi zdecydować, czy zarządza ryzykiem, czy eliminuje błąd
Współczesny model regulacyjny sektora finansowego pozostaje formalnie oparty na podejściu opartym na ryzyku. Zarówno regulacje dotyczące przeciwdziałania praniu pieniędzy, zarządzania ryzykiem operacyjnym, cyberbezpieczeństwa, outsourcingu, jak i konstrukcja ładu wewnętrznego instytucji finansowych opierają się na pojęciach proporcjonalności, adekwatności mechanizmów kontrolnych oraz ryzyka rezydualnego. Konstrukcje te zakładają, że ryzyko nie może zostać całkowicie wyeliminowane, a skuteczność organizacji powinna być oceniana przede wszystkim przez pryzmat jakości procesu zarządzania ryzykiem. Jednocześnie praktyka regulacyjna i organizacyjna coraz wyraźniej rozwija się w kierunku logiki nieakceptowalności materializacji zagrożeń. W wielu obszarach działalności regulowanej sama obecność incydentu zaczyna funkcjonować jako przesłanka podważająca skuteczność systemu kontroli, niezależnie od charakteru ryzyka, proporcjonalności zastosowanych mechanizmów ochronnych czy obiektywnej możliwości całkowitego wyeliminowania zagrożenia. W rezultacie punkt ciężkości przesuwa się z oceny adekwatności procesu na ocenę rezultatu rozumianego jako brak zdarzeń niepożądanych.
To właśnie w tym miejscu ujawnia się podstawowe napięcie współczesnego modelu regulacyjnego sektora finansowego. Podejście oparte na ryzyku wymaga bowiem uznania, że część ryzyk pozostaje nieusuwalna i może ulec materializacji mimo funkcjonowania prawidłowego oraz proporcjonalnego systemu kontroli. Logika „zero tolerancji” prowadzi natomiast do stopniowego zawężania przestrzeni dla akceptacji ryzyka rezydualnego. Im silniejsze staje się oczekiwanie braku incydentów, tym bardziej sam fakt materializacji ryzyka zaczyna być utożsamiany z dowodem wadliwości ładu wewnętrznego. Nie oznacza to, że system regulacyjny powinien akceptować nieskuteczność mechanizmów kontroli albo tolerować brak zgodności działalności instytucji finansowych z prawem. Nie każda materializacja ryzyka może zostać uznana za przejaw prawidłowo funkcjonującego systemu zarządzania ryzykiem. Problem dotyczy jednak czegoś innego — stopniowego zacierania granicy pomiędzy odpowiedzialnością za brak należytej staranności a odpowiedzialnością za sam fakt wystąpienia zdarzenia niepożądanego. Konsekwencje tego procesu wykraczają daleko poza obszar przeciwdziałania praniu pieniędzy czy compliance. Wpływają one na sposób definiowania apetytu na ryzyko, praktyczne znaczenie proporcjonalności regulacyjnej, funkcjonowanie ładu wewnętrznego oraz zakres odpowiedzialności organów instytucji finansowych. Im bardziej materializacja ryzyka przestaje być operacyjnie akceptowalna, tym bardziej organizacje przechodzą od modelu zarządzania ryzykiem do modelu zarządzania możliwością przypisania odpowiedzialności za wystąpienie incydentu.
W takim środowisku naturalną konsekwencją staje się rozwój strategii defensywnych — ograniczania ekspozycji na ryzyko, proceduralnej nadmiarowości oraz zjawisk takich jak de-risking. Instytucje finansowe zaczynają bowiem funkcjonować w warunkach, w których bardziej racjonalne organizacyjnie staje się unikanie obszarów podwyższonego ryzyka niż podejmowanie próby proporcjonalnego zarządzania nim. Oznacza to istotną zmianę logiki działania systemu regulacyjnego. Ryzyko przestaje być kategorią podlegającą zarządzaniu, a zaczyna funkcjonować jako zjawisko, którego materializacja staje się organizacyjnie nieakceptowalna.
Nie można jednocześnie utrzymywać, że system opiera się na podejściu opartym na ryzyku, oraz traktować każdej materializacji ryzyka jako dowodu nieskuteczności systemu kontroli. Jeżeli bowiem ryzyko rezydualne przestaje być rzeczywiście akceptowalne, podejście oparte na ryzyku zachowuje znaczenie wyłącznie deklaratywne. W praktyce system przechodzi wówczas od modelu zarządzania ryzykiem do modelu eliminowania błędu. To właśnie dlatego współczesny sektor finansowy znajduje się obecnie w punkcie wymagającym zasadniczego rozstrzygnięcia. System regulacyjny musi zdecydować, czy jego rzeczywistym celem pozostaje zarządzanie ryzykiem, czy też stopniowo przekształca się on w model oparty na nieakceptowalności samej możliwości wystąpienia zdarzenia niepożądanego.