Wytyczne Europejskiego Urzędu Nadzoru Bankowego (EUNB) określają standardy dotyczące wewnętrznych polityk oraz mechanizmów kontroli, które instytucje finansowe muszą wdrożyć w celu skutecznego stosowania unijnych i krajowych środków ograniczających. Dokument ten (wraz z innymi) może posłużyć jako wzorzec (model) wewnętrznych standardów zarządzania ryzykiem niezgodności z obowiązującymi regulacjami, nie tylko w zakresie obowiązków sankcyjnych.

Model ten opiera się na podejściu ukierunkowanym na ryzyko (risk-based approach) i jest zaprojektowany tak, aby mógł znaleźć zastosowanie w dowolnym obszarze compliance (np. przeciwdziałanie praniu pieniędzy, ochrona danych osobowych, przeciwdziałanie korupcji, whistleblowing czy regulacje rynkowe).

UNIWERSALNY MODEL ZARZĄDZANIA RYZYKIEM NIEZGODNOŚCI

FILAR I: Ład korporacyjny i kultura zgodności (Governance & Culture)

Podstawą modelu jest osadzenie odpowiedzialności wysoko w strukturach organizacyjnych oraz zbudowanie odpowiedniej kultury organizacyjnej.

• Odpowiedzialność organów zarządzających: zarząd odpowiada za zapewnienie zgodności i wdrożenie skutecznych systemów, a rada nadzorcza sprawuje nadzór nad zarządzaniem ryzykiem braku zgodności.
• Zapewnienie niezależności funkcji compliance: komórka ds. zgodności musi posiadać odpowiedni status, zasoby oraz niezależność, a osoba nią zarządzająca powinna raportować bezpośrednio do organów korporacyjnych.
• Model "Trzech linii obrony":
• Pierwsza linia: jednostki biznesowe i operacyjne, które odpowiadają za bezpośrednie zapewnienie zgodności w realizowanych przez siebie procesach;
• Druga linia: komórka compliance, która identyfikuje, ocenia, kontroluje i monitoruje ryzyko oraz projektuje ramy systemowe;
• Trzecia linia: audyt wewnętrzny, który dokonuje niezależnej oceny skuteczności działań pierwszej i drugiej linii.

FILAR II: Identyfikacja i ocena ryzyka (Risk Assessment Framework)

Zarządzanie ryzykiem compliance nie może być procesem jednorazowym – wymaga ciągłej, udokumentowanej analizy.

• Cykliczna ocena narażenia (Exposure Assessment): regularne przeprowadzanie analizy mającej na celu określenie, jak bardzo organizacja jest podatna na naruszenie danych regulacji. Proces ten podlega aktualizacji przy zmianach prawa, wprowadzaniu nowych produktów lub wykryciu incydentów;
• Kluczowe wektory analizy ryzyka: ocena musi uwzględniać czynniki ryzyka pogrupowane w główne obszary charakterystyczne dla danego obszaru, np. (w przypadku AML czy sankcji): profil i strukturę właścicielską klientów, specyfikę produktów i usług, rynki geograficzne oraz kanały dystrybucji/dostaw;
• Metodologia pomiaru: analiza powinna badać charakter ryzyka, jego źródło, przyczynę oraz potencjalny negatywny skutek. Do pomiaru stosuje się macierze i mapy ryzyka, łączące analizę jakościową z ilościową.

FILAR III: Polityki, procedury i mechanizmy kontrolne (Controls & Mitigation)

Na podstawie zidentyfikowanego ryzyka organizacja wdraża adekwatne środki zaradcze.

• Zasada proporcjonalności: systemy i procedury kontrolne muszą być skuteczne, ale zarazem proporcjonalne do skali, charakteru i złożoności działalności podmiotu;
• Weryfikacja operacyjna w czasie rzeczywistym: integracja procedur compliance z systemami codziennej działalności (np. automatyczne systemy screeningowe, bieżąca aktualizacja baz danych i list kontrolnych) w celu zapobiegania naruszeniom przed ich materializacją;
• Procedury incydentowe i eskalacyjne: jasne określenie algorytmu postępowania w przypadku podejrzenia lub potwierdzenia naruszenia (wstrzymanie transakcji/procesu, wewnętrzne dochodzenie, podział ról).

FILAR IV: Monitorowanie, sprawozdawczość i ścieżka audytowa (Monitoring & Audit Trail)

Filar ten odpowiada za weryfikację, czy wdrożone mechanizmy kontrolne faktycznie działają.

• Wskaźniki ryzyka (KCIs/KPIs): wykorzystanie mierzalnych wskaźników braku zgodności, takich jak liczba naruszeń, liczba przeanalizowanych podejrzeń, koszty regulacyjne czy liczba skarg klientów;
• System raportowania (Reporting): cykliczne i ustrukturyzowane raportowanie wyników ocen ryzyka oraz wykrytych nieprawidłowości bezpośrednio do Zarządu i Rady Nadzorczej w celu podejmowania działań korygujących;
• Ścieżka audytowa (Audit Trail): obowiązek dokumentowania wszystkich podejmowanych decyzji i analiz (np. dlaczego dane podejrzenie odrzucono lub potwierdzono) w sposób umożliwiający pełne odtworzenie procesu przed organami nadzoru zewnętrznego.

FILAR V: Edukacja i ciągłe doskonalenie (Awareness & Adaptation)

Ostatni element dba o to, by model reagował na zmieniające się otoczenie prawne i biznesowe.

• Szkolenia i świadomość: systematyczne podnoszenie kwalifikacji pracowników i zapewnienie, by procedury były znane oraz realnie stosowane na każdym szczeblu organizacji;
• Wnioski z incydentów (Lessons Learned): wykorzystywanie zdarzeń z przeszłości, wykrytych luk oraz ryzyk jako punktów odniesienia do optymalizacji i ciągłego ulepszania całego systemu zarządzania ryzykiem.