Rekomendacja Z, a raczej jej projekt to kolejny przedmiot naszej analizy.
Komisja Nadzoru Finansowego, regulator rynku nie ustaje w wysiłkach uczynienia naszego finansowego świata bezpieczniejszym. Rekomendacje KNF są podstawowym narzędziem tej szczytnej aktywności, przy czym dla porządku dodamy, stają się także źródłem ryzyka nie-zgodności, dlatego tak ważne jest, aby były one jak najlepsze i konsultowane z regulowanymi. Konsultacje oczywiście mają miejsce, a my przeanalizujmy tutaj elementy projektu Rekomendacji Z dotyczącej zasad ładu wewnętrznego w bankach.
Rekomendacja Z jest „bankowa”, ale ponieważ temat ładu, governance jest uniwersalny i ważny dla całego świata finansów wydaje się, że dobrze, aby i inni, choćby ubezpieczniowcy rzucili okiem na ten dokument. My zwrócimy uwagę dzisiaj na jakże nas intersujące kwestie zarządzania ryzykiem poruszone w projekcie „Z”-ki. Bardzo nas cieszy, że kwestie zarzadzania ryzykiem zajmują centralne miejsce w regulacjach Komisji, co ma oczywiście wielowątkowe uzasadnienie i dotyczy nie tylko podmiotów regulowanych z sektora finansowego.
Odnosząc się do już samego wstępu Rekomendacji należy zauważyć, nie podważając prawidłowości zawartego tam określenia „ład wewnętrzny”, że w rodzimej praktyce najczęściej używa się określenie „ład korporacyjny” (corporate governance) lub ład organizacyjny (governance); tak jak we wcześniejszych „Zasadach ładu korporacyjnego” (obowiązujących także ubezpieczycieli) z 22 lipca 2014 r. Pojęcie „ład wewnętrzny” mogłoby sugerować, że jest to jakaś „odmiana” ładu, co nie znajduje oczywiście uzasadnienia merytorycznego.
We wstępie, w jego zakończeniu słusznie znajduje się odniesienie do powszechnie uznawanych kodeksów lub standardów w zakresie ładu, w tym jak się można domyślić również jego podsystemów takich jak zarządzanie ryzykiem czy kontrola wewnętrzna. Biorąc pod uwagę, że w praktyce jak to wynika z wszystkich analiz są to przed wszystkim standardy COSO I oraz II oraz standard ISO 31000, być może byłoby celowe wymienienie tych standardów wprost. Oczywiście utrzymując zastrzeżenie, że wykorzystywanie tych standardów nie jest obligatoryjne. Mogłoby to stanowić cenną wskazówkę, szczególnie dla mniejszych podmiotów, gdzie zakres wiedzy w tym obszarze jest z natury mniejszy.
W „Słowniczku pojęć” na początku kolejnej części projektu „Z-ki” znajduje się definicja apetytu na ryzyko, która jest jednym z kluczowych koncepcji używanych w obszarze regulowanego przez dokument procesu zarządzania ryzykiem. W rekomendacji dotyczącej Ładu Korporacyjnego z 22.07.2014 poczesne miejsc znajduje natomiast pojęcie „tolerancja na ryzyko”, a pojęcie apetytu w kluczowych akapitach „Zasad Ładu” się nie pojawia w ogóle. Należy tu zauważyć, że zarówno w literaturze, standardach zarządzania ryzykiem, jak i wśród praktyków można znaleźć różne, nie zawsze spójne definicje pojęć jak „apetyt na ryzyko”, „tolerancja”, „akceptowany poziom ryzyka” i bez względu na zajmowane stanowisko i preferowane definicje konsekwentne stosowanie jednolitej terminologii będzie służyło lepszemu zrozumieniu regulacji przez ich adresatów.
W Rekomendacji 14 celnie podkreślona jest rola ryzyk łańcucha dostaw, a postępowanie z nimi staje się jednym z niezwykle ważnych obszarów zarządzania ryzykiem. Analiza ryzyka łańcucha dostaw w nie powinna, jak wiemy ograniczać się tylko do bezpośrednich dostawców, ale i dostawców – dostawców itp. Precyzyjne wskazanie przez Regulatora na konieczność dokonania „analizy ryzyka łańcucha dostaw” mogłaby zwrócić uwagę na szerszy kontekst tego niezwykle ważnego obszaru ryzyka instytucji finansowych. W tym na wymóg szczegółowej identyfikacji, jakie są ukryte i często krytyczne elementy łańcucha dostaw, co niekoniecznie, jak uczy doświadczenie ma miejsce.
W punkcie 17.2 kolejnej rekomendacji Projektu jest mowa o strategii zarządzania ryzykiem oraz apetycie na ryzyko, podczas gdy wydaje się, że ustalanie apetytu na ryzyko w rozumieniu dokumentu jest jednym z kluczowych elementów strategii. Mowa jest również o konieczności komunikowania wszystkim pracownikom (banku) apetytu na ryzyko; być może pomocne byłoby doprecyzowanie zakresu tej komunikacji. Apetyt na ryzyko to pojęcie wielowątkowe i może być niezrozumiałe dla niebędących ekspertami w zarządzaniu ryzykiem.
Bardzo interesująca wydaje nam się także kolejna, 18-a rekomendacja. W tym punkcie opisane są elementy procesu zarządzania ryzykiem: identyfikacja, ocena (pomiar lub szacowanie), kontrola i monitorowania. Nie jest to ścisła zgodność z najczęściej stosowanymi standardami zarządzania ryzykiem. Szczególnie, że sam projekt rekomendacji postuluje konieczność stosowania „spójnej terminologii”.
W COSO II, jako elementy procesu zarządzania ryzykiem mamy bowiem kolejno: „środowisko wewnętrzne, ustalanie celów, identyfikację zdarzeń, ocenę ryzyka, reakcję na ryzyko, kontrolę, informację i komunikację, monitorowanie”. W standardzie ISO 31 000 elementy procesu zarządzania ryzykiem to: „ustalanie kontekstu, ocena ryzyka (identyfikacja, analiza, ewaluacja), postępowanie z ryzykiem, komunikacja i konsultacja oraz monitorowanie i przegląd”.
W dokumencie „Rekomendacja Z” występuję więc niejako wersja skrócona, niepełna jednak metodycznie, co ma znaczenie dla zgodności rozwiązań stosowanych przez podmioty regulowane, a ponad wszystko dla efektywności wprowadzonych rozwiązań w zakresie zarządzania ryzykiem.
Rekomendacja Z proponuje już wcześniej spotykaną w regulacjach KNF terminologię wydaje się, że należałoby tu wybrać jednolity, uzgodniony, powszechnie akceptowany sposób opisu procesu zarządzania ryzykiem. Podobna uwaga odnosi się zresztą do tej samej kwestii opisanej w wspomnianych „Zasadach ładu korporacyjnego”, skądinąd.
Dalej, w rekomendacji 20-ej ogólnie jest mowa o kluczowej dla zarządzania ryzykiem banku komórce zarządzania ryzykiem. Wydaje się, że wzorem regulacji światowych należałoby rozważyć wskazanie literalnie na konieczność powołania Oficera Ryzyka (CRO); skądinąd jest to funkcja powszechnie spotykana w większych podmiotach regulowanych. Wydaje się, że funkcja CRO powinna być dzisiaj obecna we wszystkich instytucjach finansowych, nie tylko tych największych.
W rekomendacji 21 z kolei postulowany jest udział komórki zarządzania ryzykiem w tworzeniu strategii w banku już na wczesnym etapie jej opracowania. Wydaje się konieczne bardziej precyzyjne i dobitniejsze podkreślenie tego imperatywu i wskazanie zarządu banku, jako odpowiedzialnego za zapewnienie udziału komórki zarządzania ryzykiem i/albo CRO w procesie formułowania strategii. Podobna uwaga odnosi się do rekomendacji 23 (fuzje i przejęcia)
Odnosząc się do kolejnego punktu projektu (21.1.) wydaje się, że komórka zarządzania ryzykiem może „proponować”, „konsultować”, „opiniować” strategię zarządzania ryzykiem, a nie ją „oceniać”. Ocenianie powinno być rolą zarządu i potem rady nadzorczej. Podobnie w rekomendacji 26.2 należałoby dobitniej podkreślić, że zarząd i rada nadzorcza są „odpowiedzialne” zamiast „odgrywać kluczową rolę” przy zapewnieniu wykonywania rekomendacji komórki zarządzania ryzykiem na wszystkich poziomach struktury organizacyjnej.
Wreszcie, nasza ulubiona 28-a rekomendacja dotyczy kultury ryzyka. Kultura ryzyka, jak wskazuje projekt „Z”-ki to kluczowe pojęcie dla efektywnego zarządzania ryzykiem i jej znaczenie powinno być zawsze podkreślane, a zakres na ile to możliwe wyjaśniany adresatom regulacji, dla których często jak się wydaje ma charakter „potoczny”, dowolny. Także, bardzo cieszy że KNF wzorem innych regulatorów promuje tę koncepcję, bez której skutecznego zarządzania ryzykiem po prostu nie ma.
[wysija_form id=”1″]
Rekomendacja Z, Rekomendacja Z
Pliki cookie Aby zapewnić sprawne funkcjonowanie tego portalu, używamy pliki cookies („ciasteczka”). Jeśli nie wyrażasz na to zgody opuść portal.