Znaczenie Rekomendacji M. Rekomendacja M Komisji Nadzoru Finansowego została wydana w dniu 26 marca 2013 roku jako dokument zawierający szczegółowe zalecenia dotyczące organizacji i funkcjonowania systemu zarządzania ryzykiem operacyjnym w bankach. Jej celem było dostarczenie bankom uporządkowanego zbioru dobrych praktyk, które obejmowały m.in. klasyfikację ryzyk operacyjnych, zasady rejestrowania incydentów, przypisywania odpowiedzialności, wyznaczania działań naprawczych oraz zarządzania ciągłością działania. Rekomendacja M przez wiele lat stanowiła punkt odniesienia w ocenie jakości mechanizmów kontrolnych i ryzyka operacyjnego podczas inspekcji prowadzonych przez nadzór.
Brak nowelizacji i zmieniające się otoczenie regulacyjne. Pomimo upływu ponad dekady od publikacji, Rekomendacja M nie została nigdy zaktualizowana ani formalnie uchylona. Jej treść pozostaje niezmieniona od 2013 roku. Tymczasem w ostatnich latach doszło do zasadniczych zmian w europejskim i krajowym systemie regulacyjnym, które znacząco wpłynęły na ramy zarządzania ryzykiem operacyjnym w bankach. Obecnie obowiązujące przepisy obejmują znacznie szerszy zakres ryzyk, uwzględniają zagrożenia cyfrowe, rozwój usług chmurowych, nowe modele outsourcingu, a także większy nacisk na cyfrową odporność operacyjną.
Największe znaczenie na poziomie unijnym miało wejście w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego, powszechnie znanego jako rozporządzenie DORA. Rozporządzenie to, mające zastosowanie bezpośrednie, wprowadziło obowiązki w zakresie kompleksowego zarządzania ryzykiem ICT, raportowania incydentów, testowania odporności oraz nadzoru nad dostawcami zewnętrznymi. Jednocześnie Europejski Urząd Nadzoru Bankowego wydał szereg wytycznych, które mają charakter obowiązkowy zgodnie z zasadą „zastosuj lub wyjaśnij”, w tym wytyczne EBA/GL/2021/05 dotyczące ładu wewnętrznego oraz EBA/GL/2019/02 dotyczące outsourcingu.
Rekomendacje krajowe wspierające zarządzanie ryzykiem. Na poziomie krajowym odpowiedzialność za aktualizację ram ostrożnościowych przejęły inne rekomendacje nadzorcze. W 2022 roku została przyjęta Rekomendacja Z KNF, która stanowi kompleksowy dokument odnoszący się do zasad ładu wewnętrznego w banku. Rekomendacja ta przejęła wiele elementów dotychczas rozwijanych w Rekomendacji M, takich jak struktura zarządu, rola komitetów, przypisywanie odpowiedzialności oraz ocena funkcji kontrolnych. Jednocześnie Rekomendacja Z nie zawiera szczegółowej metodologii zarządzania ryzykiem operacyjnym jako odrębnej kategorii ryzyka.
Drugim istotnym dokumentem jest Rekomendacja H KNF, która reguluje zasady organizacji i funkcjonowania funkcji zgodności, audytu wewnętrznego oraz funkcji kontroli. Szczególnie ta ostatnia funkcja, stanowiąca część pierwszej linii obrony, odgrywa istotną rolę w wykrywaniu i raportowaniu ryzyk operacyjnych na poziomie bieżącego zarządzania. Rekomendacja H wskazuje, że funkcja kontroli powinna być zorganizowana w sposób zapewniający skuteczne reagowanie na ryzyka wynikające z działań operacyjnych, jednak nie odnosi się do systemowych metodyk klasyfikacji czy pomiaru ryzyka operacyjnego.
Dodatkowo, na gruncie prawa powszechnie obowiązującego, należy wskazać rozporządzenie Ministra Finansów z dnia 8 czerwca 2021 roku w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz planu ciągłości działania. Rozporządzenie to nakłada na banki obowiązek posiadania formalnych mechanizmów identyfikacji, pomiaru i monitorowania wszystkich istotnych ryzyk, w tym ryzyka operacyjnego. Zawiera także minimalne wymogi dotyczące opracowania planu ciągłości działania. Choć dokument ten ma charakter wiążący, to również nie zawiera konkretnych narzędzi ani klasyfikacji ryzyk.
Luki po ewentualnym uchyleniu Rekomendacji M. Pomimo szerokiego zakresu regulacji obejmujących ryzyko operacyjne, uchylenie Rekomendacji M bez wprowadzenia dokumentu uzupełniającego może prowadzić do powstania konkretnych luk regulacyjnych. W pierwszej kolejności należy wskazać, że żadna z aktualnie obowiązujących regulacji nie zawiera metodycznego opisu zarządzania ryzykiem prawnym, które powinno być elementem całościowego podejścia do ryzyka operacyjnego. Wprawdzie przepisy CRR oraz wytyczne EBA nakazują zarządzanie wszystkimi istotnymi ryzykami, jednak nie precyzują, w jaki sposób instytucja powinna je identyfikować i mierzyć.
Kolejnym obszarem niedostatecznie uregulowanym jest ryzyko nadużyć wewnętrznych. Chociaż funkcja compliance, zgodnie z Rekomendacją H, powinna monitorować zachowania nieetyczne oraz zgodność z regulacjami wewnętrznymi, to nie istnieje jednolity systemowy standard w zakresie wykrywania, rejestrowania i raportowania nadużyć. Ryzyko reputacyjne, które może wynikać zarówno z działań wewnętrznych, jak i incydentów komunikacyjnych, również nie zostało ujęte w żadnym obowiązującym akcie jako samodzielna kategoria ryzyka, co oznacza brak wymogu jego operacyjnej kontroli.
Ponadto, obecnie obowiązujące akty prawne i nadzorcze nie nakładają obowiązku tworzenia map procesów oraz matryc odpowiedzialności z perspektywy ryzyka operacyjnego. Dotyczy to w szczególności instytucji funkcjonujących w złożonych strukturach kapitałowych lub federacyjnych, w których zarządzanie ryzykiem wymaga koordynacji działań między jednostkami organizacyjnymi. Rekomendacja M była jednym z nielicznych dokumentów, które podkreślały znaczenie podejścia przekrojowego. Wreszcie, żaden z aktualnych dokumentów nie nakłada obowiązku stosowania takich narzędzi jak rejestry incydentów, analiza scenariuszowa, RCSA czy wskaźniki KRI. Brak tych narzędzi w nowym systemie regulacyjnym może utrudnić bankom skuteczne zarządzanie ryzykiem operacyjnym w sposób mierzalny i porównywalny.
Ocena efektywności dalszego obowiązywania Rekomendacji M. Z punktu widzenia spójności systemu regulacyjnego, dalsze obowiązywanie Rekomendacji M w niezmienionej formie budzi wątpliwości. Dokument ten nie uwzględnia współczesnych zagrożeń technologicznych, nie odnosi się do systemów chmurowych, nie obejmuje zagadnień sztucznej inteligencji ani nie integruje się z cyfrowym modelem odporności promowanym przez DORA. Jednocześnie utrzymywanie obowiązywania Rekomendacji M prowadzi do powielania wymogów, które wynikają już z rozporządzeń i wytycznych obowiązujących bezpośrednio. Taka dublacja może prowadzić do niejasności interpretacyjnych oraz zwiększać koszt compliance po stronie banków.
Z drugiej strony, należy uznać, że Rekomendacja M, pomimo swojej przestarzałej struktury, wciąż pełni rolę dokumentu pomocniczego, który może wspierać banki, zwłaszcza średnie i mniejsze, w projektowaniu systemu zarządzania ryzykiem operacyjnym. Jej utrata jako punktu odniesienia bez wprowadzenia dokumentu zastępczego mogłaby skutkować niejednorodnością praktyk rynkowych oraz brakiem punktu odniesienia dla nowych instytucji.
Propozycje działań de lege ferenda. Mając na uwadze powyższe argumenty, należy uznać, że utrzymywanie Rekomendacji M w jej obecnym kształcie nie jest dłużej zasadne. Właściwym rozwiązaniem byłoby formalne uchylenie dokumentu i jednoczesne wprowadzenie nowego standardu metodycznego. Dokument taki mógłby przyjąć formę przewodnika interpretacyjnego KNF lub aneksu do Rekomendacji Z. Powinien on zawierać szczegółowe wskazówki dotyczące identyfikacji, pomiaru i monitorowania ryzyka operacyjnego, katalog ryzyk zgodny z klasyfikacją Basel, przykłady wskaźników ryzyka oraz struktury rejestrów incydentów.
Alternatywnie, w okresie przejściowym, Rekomendacja M mogłaby zostać przekształcona w zbiór dobrych praktyk, który nie miałby charakteru quasi-obowiązkowego. Taki model „best practices” pozwoliłby instytucjom, które jeszcze nie zbudowały własnych metodyk, na kontynuację stosowania sprawdzonych mechanizmów.
Niezależnie od decyzji KNF, banki powinny samodzielnie uzupełnić swój system zarządzania ryzykiem operacyjnym, w szczególności w obszarach nieuwzględnionych przez DORA i EBA Guidelines. Dotyczy to przede wszystkim ryzyka prawnego, nadużyć, reputacji oraz współpracy między jednostkami organizacyjnymi. Obowiązki te powinny zostać uwzględnione w ramach ICAAP, systemu kontroli wewnętrznej oraz planów ciągłości działania, zgodnie z rozporządzeniem Ministra Finansów oraz Rekomendacjami Z i H.