Wysłałem dzisiaj swoje propozycje uzupełnień. Warto by nasze środowisko możliwie szeroko przyjrzało się temu zagadnieniu, gdyż z takimi Rekomendacjami przyjdzie nam przez kolejne lata funkcjonować. Uwagi można przesyłać na adres drb@knf.gov.pl
Poniżej zamieszczam te kwestie, które wzbudziły moje szczególne zainteresowanie, może staną się natchnieniem również i dla innych
Rekomendacja 3
3.1. Wymienione procesy zarządcze, za które odpowiedzialny jest zarząd, polegają w szczególności na:
Dodać a) rozpoznaniu otoczenia w którym funkcjonuje bank i zrozumieniu wymagań wszystkich zainteresowanych stron
UZASADNIENIE: nowoczesne akty normalizacyjne zgodnie (np. ISO 9001, ISO 27001 czy ISO 31000) zgodnie podkreślają istotność dobrego zrozumienia oczekiwań stron wszystkich zainteresowanych by moc stworzyć adekwatny system zarządzania. Warto by Rekomendacje KNF również i w tym przypadku szła zgodnie z międzynarodowymi trendami, szczególnie, że prowadzą one w dobrym kierunku
Rekomendacja 3
3.1. Wymienione procesy zarządcze, za które odpowiedzialny jest zarząd, polegają w szczególności na:
c) opracowaniu i przyjęciu strategii zarządzania bankiem – w tym ogólnych celów działania w średnim i długim okresie adekwatnych do zidentyfikowanych szans i ryzyk, jak również planów działania obejmujących konkretne zadania mające prowadzić do realizacji tych celów (planowanie),
UZASADNIENIE: Cele działań powinny być adekwatne do wniosków z procesu zarządzania ryzykiem. Inaczej dalej funkcjonować mogą patologiczne przykłady w których zarządzanie ryzykiem funkcjonuje jedynie jako przykry obowiązek i a co codziennego zarządzania bankiem nie jest ono w żadne sposób prane pod uwagę
Rekomendacja 4
4.3 Rada nadzorcza powinna:
b) monitorować, czy strategia zarządzania bankiem, strategia zarządzania ryzykiem, apetyt na ryzyko, system kontroli wewnętrznej, polityki oraz procedury są wdrażane w spójny sposób, a realizacja celów strategicznych następuje zgodnie z długoterminowym interesem finansowym banku, w tym koniecznością spełniania wymogów ostrożnościowych w zakresie funduszy własnych i płynności,
UZASADNIENIE: Zgodnie z wymaganiami prawa bankowego system zarządzania bankiem składa się z systemu zarządzania ryzykiem i systemu kontroli wewnętrznej. Skuteczność tego drugiego również powinna być nadzorowana przez Radę Nadzorczą by moc zapewnić, że bank funkcjonuje w sposób poprawny
Rekomendacja 14
14.2 Zarząd banku odpowiada za opracowanie zasad powierzania czynności podmiotom zewnętrznym, w szczególności w zakresie powierzania czynności, o których mowa w art. 6a ust. 1 lit. a-l ustawy – Prawo bankowe. Zasady dotyczące powierzania czynności powinny obejmować takie elementy jak:
a) kryteria doboru podmiotów zewnętrznych, w tym minimalne wymogi technologiczno-organizacyjne wobec podmiotów zewnętrznych, adekwatnie do ryzyka związanego z realizowanymi czynnościami,
UZASADNIENIE: W zależności od charakteru powierzonych czynności bardzo zmieniać się mogą ryzyka. Tym samym należy rozważyć różne wymogi technologiczno-organizacyjne biorąc pod uwagę konkretne przypadki.
Rekomendacja 14
14.2 Zarząd banku odpowiada za opracowanie zasad powierzania czynności podmiotom zewnętrznym, w szczególności w zakresie powierzania czynności, o których mowa w art. 6a ust. 1 lit. a-l ustawy – Prawo bankowe. Zasady dotyczące powierzania czynności powinny obejmować takie elementy jak:
Dodać d) kryteria i zasady prowadzenia przez bank nadzoru nad działalnością podmiotów zewnętrznych
UZASADNIENIE: W zależności od charakteru powierzonych czynności bardzo zmieniać się mogą ryzyka. Tym samym należy rozważyć różne kryteria i zasady nadzoru jaki bank będzie prowadzić nad poszczególnymi podmiotami zewnętrznymi.
Rekomendacja 17
17.2 Bank określając strategię zarządzania ryzykiem oraz apetyt na ryzyko uwzględnia w szczególności cele działalności banku i strategię zarządzania bankiem, model biznesowy banku, wszystkie istotne ryzyka powstałe w związku z prowadzoną działalnością przez bank, poziom funduszy własnych banku, obowiązujące bank normy ostrożnościowe, wykorzystywane technologie IT oraz politykę wynagrodzeń. Bank powinien jasno określić szczegółowy podział obowiązków odnośnie procesu określania strategii zarządzania ryzykiem i apetytu na ryzyko, uwzględniający rolę rady nadzorczej, komitetu do spraw ryzyka, o ile został powołany, zarządu i jego członków oraz pracowników zatrudnionych na specjalnych stanowiskach organizacyjnych lub w komórkach organizacyjnych w ramach drugiego poziomu zarządzania ryzykiem. Strategia zarządzania ryzykiem oraz apetyt na ryzyko powinny być zakomunikowane wszystkim pracownikom banku.
UZASADNIENIE: W związku z stale rosnącą rolą systemów teleinformatycznych oraz coraz bardziej dotkliwymi cyberzagrożeniami należy uwzględniać aspekt technologiczny w określaniu strategii zarządzania ryzykiem
Rekomendacja 17
17.3 Funkcjonowanie systemu zarządzania ryzykiem powinno podlegać badaniu audytu wewnętrznego pod kątem apetytu na ryzyko banku, przy uwzględnieniu informacji uzyskiwanych od komórek organizacyjnych banku oraz komitetów w banku, w tym komitetu do spraw ryzyka, o ile został powołany. Dokonując badania audytowego należy przykładowo rozważyć takie czynniki, jak wydarzenia wewnętrzne i zewnętrzne, w tym zmiana sumy bilansowej i wyników banku, rosnąca złożoność działalności banku, wielkość i profil ryzyka, struktura organizacyjna, ekspansja geograficzna, połączenia i przejęcia, skuteczność wykorzystywanych technologii IT oraz wprowadzanie nowych produktów lub linii biznesowych.
UZASADNIENIE: Cyberzagrożeniami oraz błędy technologiczne przekładające się na funkcjonowania całego banku są coraz częstsze i mogą prowadzić do coraz to bardziej poważnych skutków. Ponieważ zdecydowana większość informacji badanych w trakcie audytu pochodzi z systemów teleinformatycznych, ich skuteczność również powinna być integralnym elementem badań.
Rekomendacja 19
19.1 Proces planowania i podejmowania decyzji w jednostkach biznesowych powinien być dostosowany do strategii zarządzania ryzykiem i apetytu na ryzyko oraz adekwatny do wniosków płynących z przeprowadzanych analiz w zakresie zarządzania ryzykiem.
UZASADNIENIE: Jeżeli proces podejmowania decyzji nie będzie adekwatny do wniosków, które płyną z procesu zarządzania ryzykiem, może okazać się, ze system zarządzania ryzykiem przede wszystkim utrzymywany jest na potrzeby kontrolerów a nie wnosi wartości w codzienne funkcjonowania banków.
Rekomendacja 19
Przypis 9 Istotą mechanizmów kontroli ryzyka, o których mowa np. w art. 9b ust. 2 pkt 3 ustawy – Prawo bankowe jest zapewniane że dany poziom ryzyka jest adekwatny i nie będzie przekraczany, podczas gdy istotą mechanizmów kontrolnych systemu kontroli wewnętrznej, o których mowa w art. 9c ust. 2 pkt 1, jest zapewnianie m.in. że dany mechanizm kontroli ryzyka jest skutecznie wdrożony (np. zapewnianie przez weryfikację, że dany limit jest przestrzegany).
UZASADNIENIE: zgodnie ze standardami audytu wewnętrznego IIA weryfikować należy najpierw adekwatność mechanizmów kontrolnych a następnie potwierdzać ich skuteczność. Proponuję przywołać w tym miejscu terminy powszechnie funkcjonujące w środowisku
Rekomendacja 19
19.5 Jednostki biznesowe raportują, w ramach systemu informacji zarządczej, odnośnie stanu bieżącego zarządzania ryzykiem, w tym zwłaszcza odnośnie zbliżania się do limitu lub przekroczenia bądź niedotrzymania limitu oraz przypadków ujawniania tajemnicy bankowej
UZASADNIENIE: Raportowanie w zakresie stanu bieżącego zarządzania ryzykiem powinno również w szczególny sposób dotyczyć incydentów dotyczących bezpieczeństwa informacji powierzonych bankom. Mamy już zresztą nawet w Polsce przypadku celowego ukrywania informacji o zaniedbaniach banku przed opinią publiczną prowadzących do udanych włamań. Takie kwestie burzą zaufanie do całego sektora bankowego i dlatego powinni być analizowane ze szczególną uwagą.
Rekomendacja 28
Dodać 28.3. Wszystkie przypadku wystąpienia ryzyka godzącego w sposób istotny w bieżące funkcjonowanie, w tym dobre imię banku powinny być analizowane. Wnioski płynące z analizy takich wydarzeń powinny prowadzić do wdrożenia systemowych rozwiązań mających zmniejszyć prawdopodobieństwo lub skutki ponownego wystąpienia analogicznych wydarzeń w przyszłości
UZASADNIENIE: Istotą nowoczesnych systemów zarządzania jest stałe doskonalenie. Powinno to być stałym elementem kultury ryzyka. Zwłaszcza w przypadku, gdy celem analiz nie będzie jedynie karanie winnych a dociekanie rzeczywistych przyczyn zdarzeń/incydentów celem ich ograniczania ich skutków lub prawdopodobieństwa.
Rekomendacja 29
29.3 PZNP powinna wskazywać najważniejsze kwestie, które należy wziąć pod uwagę przed podjęciem decyzji. Powinny one w szczególności obejmować kwestie dotyczące: przestrzegania wymogów regulacyjnych, modeli wyceny, ograniczeń technologicznych, wpływu na wielkość i profil ryzyka, adekwatność kapitałową i rentowność, a także dostępności wystarczających zasobów w jednostkach biznesowych oraz jednostkach wsparcia, jak też narzędzi wewnętrznych i wiedzy specjalistycznej wystarczających do zrozumienia i monitorowania ryzyka związanego ze zmianami. W decyzji o podjęciu nowej działalności należy wyraźnie wskazać jednostkę biznesową i osoby za nią odpowiedzialne. Nowej działalności nie należy podejmować do chwili zapewnienia zasobów wystarczających do zrozumienia związanego z nią ryzyka i zarządzania nim.
UZASADNIENIE: Nowe produkty realizowane są przy pomocy niezmiernie złożonych systemów teleinformatycznych. Warto podczas tworzenia produktów bankowych rozważyć ograniczenia obecnie wykorzystywanych technologii. Obecnie działy IT w bankach zbyt często zaskakiwane są propozycjami, które wymagają tworzenia szybkich i często niedokładnych protez, co potrafi prowadzić do awarii lub ataków.