W dniu 10 czerwca 2021 r. w Dzienniku Ustaw opublikowano Rozporządzenie Ministra Finansów, Funduszy i Polityki Regionalnej z dnia 8 czerwca 2021 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz polityki wynagrodzeń w bankach (dalej: „Rozporządzenie”)[1].
Rozporządzenie określa sposób funkcjonowania w bankach systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, w tym trybu anonimowego zgłaszania naruszeń prawa. Reguluje także obowiązujące w banku procedury kontroli wewnętrznej, standardy etyczne oraz zakres polityki wynagrodzeń i sposób jej ustalania. Przepisy Rozporządzenia w zasadniczej części weszły w życie 11 czerwca 2021 r., przy czym obowiązek w zakresie ustanawiania wewnętrznych, strategicznych limitów dla ryzyk wchodzi w życie w dniu 31 grudnia 2021 r.
Rozporządzenie zastąpiło dotychczas obowiązujące rozporządzenie Ministra Rozwoju i Finansów z dnia 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach[2]. W stosunku do uprzednio obowiązującego aktu, z zakresu Rozporządzenia wyłączone zostały regulacje w zakresie szczegółowego sposobu szacowania kapitału wewnętrznego oraz utrzymywania poziomu funduszy własnych na poziomie nie niższym niż oszacowany kapitał wewnętrzny banku. Zagadnienia te reguluje oddzielne rozporządzenie[3].
Ogólne rozwiązania
Wprowadzone zmiany implementują częściowo Dyrektywę CRD V[4], służą stosowaniu Rozporządzenia CRR oraz są konsekwencją zmian wprowadzonych w ustawie z dnia 25 lutego 2021 r. o zmianie ustawy – Prawo bankowe oraz niektórych innych ustaw[5].
Kompetencja w zakresie projektowania, wprowadzania oraz zapewnienia działania systemu zarządzania ryzykiem, w tym procedur anonimowego zgłaszania naruszeń prawa oraz systemu kontroli wewnętrznej, opracowania i wdrożenia polityki wynagrodzeń oraz dokonywania przeglądów obowiązujących w banku procedur i standardów etycznych przyznana została zarządowi banku. Rozporządzenie przewiduje przy tym obowiązek zatwierdzenia przez radę nadzorczą powołania i odwołania kierujących komórką do spraw zgodności i komórką audytu wewnętrznego oraz obowiązek informowania o zmianach na tych stanowiskach Komisji Nadzoru Finansowego.
Rozporządzenie powiela rozwiązanie dotychczas obowiązujących regulacji w zakresie trzech poziomów systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, na które składają się:
1) zarządzanie ryzykiem w działalności operacyjnej banku tj. zarządzanie ryzykiem przez jednostki biznesowe w toku prowadzonych działań biznesowych i sprzedażowych;
2) zarządzanie ryzykiem przez pracowników na specjalnie powoływanych do tego stanowiskach lub w komórkach organizacyjnych, niezależnie od zarządzania ryzykiem na pierwszym poziomie, co oznacza niezależne komórki i departamenty zarządzania ryzykiem oraz działalność komórki do spraw zgodności;
3) działalność komórki audytu wewnętrznego.
System zarządzania ryzykiem
Rozporządzenie przewiduje obowiązek ustanawiania strategicznych limitów dla każdego istotnego ryzyka na poziomie banku, których zasady ustalania i aktualizowania wysokości muszą zostać określone w wewnętrznych procedurach. Przyjęte rodzaje limitów oraz ich wysokość zatwierdza zarząd banku lub odpowiednie, powołane przez zarząd komitety. W przypadku strategicznych limitów decyzja zarządu jest przekazywana radzie nadzorczej.
Zmiany w stosunku do dotychczas obowiązujących przepisów wynikające z implementacji Dyrektywy CRD V, wprowadzone zostały również w zakresie zasad realizacji strategii zarządzania ryzykiem co do wprowadzania i aktualizacji polityk i procedur zarządzania ryzykiem m.in. z uwzględnieniem ryzyka stopy procentowej. W związku z powyższym, banki obowiązane są w zakresie ryzyka stopy procentowej w portfelu bankowym określić w ww. dokumentach – zasady zarządzania ryzykiem wynikające z wewnętrznych systemów oceny ryzyka stopy procentowej albo ze standardowej metodyki lub uproszczonej standardowej metodyki w celu identyfikacji i oceny ryzyka z tytułu potencjalnych zmian stóp procentowych oraz zasady zarządzania ryzykiem wynikające z wewnętrznych systemów w celu oceny i monitorowania ryzyka z tytułu potencjalnych zmian spreadów kredytowych.
Polityka wynagrodzeń
Zmiany wnikające z implementacji Dyrektywy CRD V wprowadzone zostały również w zakresie zasad polityki wynagrodzeń w obszarze zmiennych składników wynagrodzenia i neutralności wynagrodzeń pod względem płci.
Zmienne składniki wynagrodzenia mają być zachętą do szczególnej dbałości o długoterminowe dobro banku. W bankach działających w formie spółki akcyjnej, co najmniej 50% zmiennych składników wynagrodzenia stanowić mają:
1) akcje lub związane z nimi instrumenty finansowe albo odpowiadające im instrumenty niepieniężne,
2) inne instrumenty w rozumieniu art. 52 lub art. 63 Rozporządzenia CRR lub inne instrumenty, które mogą zostać w pełni przekształcone w instrumenty kapitału podstawowego Tier I lub mogą podlegać odpisowi obniżającemu wartość, które w każdym wypadku odpowiednio odzwierciedlają wiarygodność kredytową banku kontynuującego działalność i są przeznaczone do wykorzystania, jako zmienne składniki wynagrodzenia.
Jednocześnie, banki mają obowiązek zapewnienia w polityce wynagrodzeń, regulaminie pracy, regulaminie wynagradzania oraz odpowiednych umowach, w stosunku do osób, których działalność zawodowa ma istotny wpływ na profil ryzyka banku, brak możliwości zbycia tych instrumentów wcześniej, niż wynika to z zasad określonych przez bank. Określone zostały też szczegółowe zasady wypłaty zmiennych składników po zakończeniu okresu oceny szczegółowo wskazanego w Rozporządzeniu.
Rozporządzenie wprowadza też ogólną zasadę neutralności polityki wynagrodzeń dotyczącą wszystkich pracowników banku, w tym również kadry zarządzającej banku oraz do osób, których działalność zawodowa ma istotny wpływ na profil ryzyka banku.
Kontrola wewnętrzna i system zgłaszania naruszeń
Obok dotychczasowych mechanizmów kontrolnych dostosowanych do specyfiki banku, Rozporządzenie wskazuje również takie instrumenty jak zabezpieczenia prawne tj. możliwość złożenia pozwu w wyniku naruszenia umowy przez dostawcę lub kontrahenta lub nałożenia kar umownych oraz obowiązkowe lub niezbędne dla bezpiecznego i niezakłóconego prowadzenia działalności banku ubezpieczenia.
Procedury anonimowego zgłaszania przez pracowników naruszeń powinny natomiast określać co najmniej sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami Ogólnego rozporządzenia o ochronie danych[6].
Pozostałe rozwiązania z zakresu kontroli wewnętrznej m.in. dotyczące zakresu obowiązków komórki do spraw zgodności i komórki audytu wewnętrznego oraz mechanizmów zapewniających niezależność tych komórek, stanowią powtórzenie dotychczas obowiązujących regulacji. Zachowane zostały również regulacje dotyczące zasad zarządzania ryzykiem płynności i finansowania.
W ujęciu całościowym, zasadnicza struktura Rozporządzenia nie uległa więc zmianie, poza wyłączeniem z jej zakresu zasady szacowania kapitału wewnętrznego oraz utrzymywania poziomu funduszy własnych na odpowiednim poziomie. Najważniejsze zmiany przewidziane zostały natomiast w regulacjach dotyczących sytemu zarządzania ryzykiem oraz polityki wynagrodzeń.
#bank, #prawobankowe, #dyrektywaCRDV, #zarządzanieryzykiem, #politykawynagrodzeń
[1] Dz. U. z 2021 r. poz. 1045.
[2] Dz. U. z 2017 r. poz. 637.
[3] Rozporządzenie Ministra Finansów, Funduszy i Polityki Regionalnej z dnia 27 lipca 2021 r. w sprawie szczegółowego sposobu szacowania kapitału wewnętrznego oraz dokonywania przez bank przeglądów strategii i procedur szacowania i stałego utrzymywania kapitału wewnętrznego (Dz.U. z 2021 r., poz. 1408).
[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/878 z dnia 20 maja 2019 r. zmieniająca dyrektywę 2013/36/UE w odniesieniu do podmiotów zwolnionych, finansowych spółek holdingowych, finansowych spółek holdingowych o działalności mieszanej, wynagrodzeń, środków i uprawnień nadzorczych oraz środków ochrony kapitału (Dz. Urz. UE L 150 z 07.06.2019, str. 253).
[5] Dz. U. z 2021 r poz. 680.
[6] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.