Wprowadzenie. Rekomendacje Komisji Nadzoru Finansowego stanowią istotny element polskiego porządku nadzorczego. Choć nie mają charakteru wiążącego w sensie formalnym, ich praktyczne znaczenie dla instytucji finansowych – w szczególności banków – jest trudne do przecenienia. Wskazują bowiem oczekiwany przez nadzór standard należytej staranności w zarządzaniu ryzykiem oraz organizacji wewnętrznej. Ich katalog, choć szeroki, pozostaje jednak niepełny. Tempo zmian technologicznych, legislacyjnych i społecznych sprawia, że niektóre istotne obszary ryzyka wciąż nie zostały objęte szczegółowymi wytycznymi KNF. To rodzi trudności interpretacyjne i praktyczne, a w niektórych przypadkach zwiększa również ryzyko braku zgodności z przepisami unijnymi.
Brak rekomendacji dotyczącej sztucznej inteligencji. Szczególnie dotkliwy jest brak rekomendacji lub stanowiska poświęconego stosowaniu systemów sztucznej inteligencji w działalności instytucji finansowych. Rozwiązania AI są coraz szerzej wykorzystywane w procesach scoringowych, ocenie ryzyka kredytowego, onboardingu klienta, monitoringu transakcji, analizie behawioralnej oraz w zarządzaniu operacjami. Jednocześnie wiążą się z istotnymi ryzykami prawnymi, reputacyjnymi i operacyjnymi. EBA, ESMA i EIOPA już w 2022 roku rozpoczęły działania ukierunkowane na identyfikację i klasyfikację takich systemów, a przyjęcie unijnego aktu o sztucznej inteligencji (AI Act) tylko zwiększy presję regulacyjną.
W polskim porządku nadzorczym nie istnieje jednak żaden dokument, który odnosiłby się do dobrych praktyk w zakresie wdrażania i nadzorowania rozwiązań AI w instytucjach objętych nadzorem KNF. Brakuje wskazówek dotyczących zarządzania cyklem życia modeli, dokumentowania decyzji podejmowanych automatycznie, zapewnienia przejrzystości algorytmów oraz testowania ich odporności na błędy i uprzedzenia. Instytucje finansowe są zatem zmuszone do samodzielnej interpretacji przepisów ogólnych i wytycznych europejskich, co prowadzi do fragmentaryczności podejścia i asymetrii regulacyjnej.
Niewystarczający outsourcing. Drugim obszarem wymagającym pilnej interwencji jest problematyka outsourcingu. Uchylona już Rekomendacja D dotycząca zarządzania ryzykiem związanym z powierzaniem czynności podmiotom trzecim została wydana w 2011 roku. Od tego czasu uwarunkowania technologiczne i prawne uległy zasadniczej zmianie. Wytyczne EBA z 2019 roku (EBA/GL/2019/02) oraz wymogi DORA wyznaczają nowy standard w zakresie wymogów notyfikacyjnych, zarządzania relacjami z dostawcami ICT, monitorowania ryzyka koncentracji oraz identyfikacji outsourcingu krytycznego.
Tymczasem KNF jedynie uchyliła Rekomendacji D ale nie wydała żadnego nowego dokumentu, który w sposób kompleksowy odzwierciedlałby zmienione realia regulacyjne. Wątpliwości pojawiają się zwłaszcza w odniesieniu do dokumentacji umów outsourcingowych, mechanizmów kontroli oraz zasad suboutsourcingu. Brak spójnej i aktualnej rekomendacji KNF zwiększa ryzyko naruszeń i utrudnia jednolite wdrażanie wytycznych w skali sektora.
Nieobecność wytycznych ESG. Kolejnym istotnym obszarem nieuwzględnionym w katalogu rekomendacji KNF są kwestie ESG, czyli czynniki środowiskowe, społeczne i związane z ładem korporacyjnym. W ostatnich latach temat ten zyskał na znaczeniu zarówno w regulacjach unijnych, jak i w oczekiwaniach inwestorów oraz klientów. EBA wprowadziła wytyczne dotyczące integracji ryzyka ESG w systemach zarządzania ryzykiem i procesach nadzorczych, a od 2024 roku obowiązują przepisy dotyczące ujawnień niefinansowych w ramach CSRD.
W Polsce brakuje jednak szczegółowych wytycznych KNF, które wskazywałyby, jak uwzględniać ryzyka ESG w procesach kredytowych, w modelach scoringowych, w strategiach ryzyka oraz w strukturze organizacyjnej instytucji. Nie istnieje również krajowy dokument adresujący kwestie raportowania czynników zrównoważonego rozwoju lub ich wpływu na ryzyko niewypłacalności klienta. Ta luka regulacyjna jest tym bardziej dotkliwa, że ESG staje się coraz częściej przedmiotem analiz due diligence oraz ocen nadzorczych w ramach SREP.
Cyfrowa odporność a brak stanowiska w sprawie DORA. Rozporządzenie DORA, które zaczęło obowiązywać od stycznia 2025 roku, ustanawiło nowy standard dla zarządzania ryzykiem ICT w sektorze finansowym. Nakłada na instytucje obowiązki w zakresie testowania odporności cyfrowej, zarządzania incydentami, rejestrowania relacji z dostawcami ICT oraz przeprowadzania due diligence w relacjach outsourcingowych. Pomimo bezpośredniego stosowania DORA, organy krajowe odgrywają kluczową rolę w nadzorze nad wdrażaniem przepisów i w identyfikacji ryzyk systemowych.
KNF nie opublikowała jednak dotąd żadnego stanowiska ani dokumentu pomocniczego, który wskazywałby, jak interpretować wymogi DORA w kontekście dotychczasowych regulacji krajowych. Nie odniesiono się również do relacji pomiędzy DORA a Rekomendacją M czy przepisami ustawy o usługach płatniczych. Brak takiego stanowiska osłabia skuteczność wdrożenia i utrudnia przygotowanie instytucji do nadchodzącej zmiany regulacyjnej.
Potrzeba przeglądu i uzupełnienia katalogu rekomendacji. Powyższe przykłady prowadzą do jednoznacznego wniosku, że katalog rekomendacji KNF wymaga systemowego przeglądu i uzupełnienia. Zmieniające się otoczenie regulacyjne, wzrost złożoności ryzyk oraz coraz szersze obowiązki wynikające z prawa unijnego sprawiają, że instytucje finansowe nie mogą już polegać wyłącznie na przepisach ustawowych i własnej interpretacji. Rekomendacje pełnią istotną rolę w ujednolicaniu praktyki rynkowej i wspieraniu zgodności z oczekiwaniami nadzorczymi.
W szczególności zasadne byłoby: (1) wydanie nowej rekomendacji dotyczącej stosowania AI w sektorze finansowym; (2) nowa rekomendacja dot. outsourcingu w świetle wytycznych EBA i DORA; (3) przygotowanie rekomendacji ESG dla banków i domów maklerskich; (4) opracowanie stanowiska interpretacyjnego dotyczącego wdrożenia DORA w Polsce. Tylko w ten sposób możliwe będzie utrzymanie wysokich standardów zarządzania ryzykiem i zapewnienie spójności z unijnym porządkiem prawnym.