Pierwsze polskie regulacje dotyczące sygnalistów już są. A teraz czas na kolejne

Nowe obowiązki w bankach i firmach inwestycyjnych

To pokłosie unijnej polityki i wynikających z niej regulacji. A być może także pierwsze jaskółki zmian, które w dłuższej perspektywie zaowocują ochroną osób ujawniających nieprawidłowości w pozostałych branżach.

Na przełomie kwietnia i maja weszły w życie nowe przepisy dotyczące m.in. zgłaszania nieprawidłowości w bankach i firmach inwestycyjnych działających na rynku kapitałowym. Przewidują one, w zasadzie niespotykaną w dotychczasowych regulacjach w naszym kraju, ochronę sygnalistów, czyli osób zgłaszających takie nieprawidłowości w firmach. Często są nimi sami pracownicy tych przedsiębiorców.

Przepisy te stanowią kolejne elementy rodzącego się w bólach systemu whistleblowingu w Polsce, który wciąż daleko odbiega od tego obowiązującego np. w Stanach Zjednoczonych czy Wielkiej Brytanii. Niemniej jednak nowe regulacje mogą pozytywnie wpłynąć na przyspieszenie procesu legislacyjnego w zakresie kompleksowego uregulowania w prawie krajowym sytuacji sygnalistów oraz oddziaływać na kształtowanie dobrych praktyk w tym zakresie. Bez wątpienia również omawiane tu nowe rozwiązania legislacyjne dotyczące banków i firm inwestycyjnych stanowią duży krok naprzód w tworzeniu regulacji compliance w polskim systemie prawnym. Warto zwrócić uwagę zwłaszcza na to, że przepisy te wprowadzają liczne obowiązki tych firm polegające na tworzeniu regulacji wewnętrznych dotyczących wielu zagadnień, m.in. kontroli wewnętrznej, przeciwdziałania konfliktowi interesów, postępowania z osobami powiązanymi z tymi firmami czy ochrony przepływu informacji poufnych i stanowiących tajemnicę zawodową.

RAMKA 1

● Compliance

- to w najszerszym rozumieniu zapewnienie zgodności podejmowanych działań z prawem. Idea compliance zrodziła się w praktyce funkcjonowania podmiotów działających w obszarach regulowanych (np. bankowość, energetyka, rynek ubezpieczeniowy), gdzie jest ona rozumiana jako zgodność regulacyjna, a więc zapewnienie zgodności działalności z przepisami prawa oraz wymaganiami nakładanymi przez regulatora. Z czasem idea ta uległa spopularyzowaniu. Stosowanie się do obowiązujących przepisów prawa, regulacji branżowych czy określonych standardów korporacyjnych dotyczy bowiem - w mniejszym lub większym zakresie - każdego podmiotu działającego na rynku, nie tylko regulowanym.

Oprac. Sławomir Paruch i Robert Stępień

radcowie prawni w kancelarii Raczkowski Paruch

Najnowsze zmiany

1 maja 2017 r. weszło w życie rozporządzenie ministra rozwoju i finansów z 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach (dalej także jako: rozporządzenie z 6 marca 2017 r.) Zobowiązuje ono banki do wdrożenia m.in. kompleksowego systemu zgłaszania naruszeń oraz do zapewnienia skutecznej ochrony osobom zgłaszającym nieprawidłowości (sygnalistom).

RAMKA 2

REGULACJE WYKONYWANE I WDRAŻANE

● stanowi wykonanie upoważnienia zawartego w art. 9f ust. 1 pkt 1 ustawy - Prawo bankowe,

● uzupełnia transpozycję do polskiego prawa dyrektywy CRD IV (tj. dyrektywy 2013/36/UE w sprawie nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi),

● dostosowuje prawo krajowe do rozporządzenia nr 575/2013 w sprawie wymogów ostrożnościowych m.in. dla firm inwestycyjnych oraz

● rozwija zasady funkcjonowania wewnętrznych systemów kontroli określone w uchwale KNF nr 258/2011 z 4 października 2011 r. ⒸⓅ

PiSZ

Z kolei 25 kwietnia 2017 r. Komisja Nadzoru Finansowego wydała nową Rekomendację H dotyczącą systemu kontroli wewnętrznej w bankach. KNF oczekuje, że rekomendacja ta zostanie wprowadzona w tych instytucjach nie później niż do 31 grudnia 2017 r.

RAMKA 3

Z ręką na pulsie - podstawowe pojęcia ⒸⓅ

● - proces realizowany zarówno przez kierownictwo jednostki, jak i jej pracowników, uwzględniony w strategii działania i dotyczący całej jednostki. Celem zarządzania ryzykiem jest identyfikacja potencjalnych zdarzeń, które mogą wywrzeć wpływ na jednostkę (realizację jej celów), utrzymanie ryzyka w ustalonych granicach oraz rozsądne, a więc niedające 100 proc. gwarancji, zapewnienie realizacji celów organizacji ("Zarządzanie ryzykiem", departament audytu sektora finansów publicznych, wrzesień 2011).

● - wszystkie te procedury i instrukcje operacyjne, mechanizmy i struktury (organizacyjne i hierarchicznie), przepisy i zarządzenia, inne wymagania etc., które przedsiębiorstwo wprowadza, aby jego działalność była prowadzona w sposób jak najbardziej efektywny, i które razem wzięte stanowią system kontroli wewnętrznej danego przedsiębiorstwa (def. E.J. Saunders, , Audyt i kontrola wewnętrzna w przedsiębiorstwach", Wydawnictwo Akademii Polonijnej, Częstochowa 2003, s. 32). Innymi słowy: kontrola wewnętrzna to środki funkcjonalne, za pośrednictwem których kierownictwo jednostki dobywa pewność ze źródeł wewnętrznych, że procesy, za które ono odpowiada, przebiegają w sposób minimalizujący prawdopodobieństwo wystąpienia oszustwa, błędu czy nieekonomicznych lub nieskutecznych praktyk (raport pt. Kontrola wewnętrzna - Zintegrowana Koncepcja Ramowa, INTOSAI 2000). Dotyczy ona przede wszystkim finansowej sfery danej jednostki, osobami decyzyjnymi są głównie kierownicy, główni księgowi, upoważnieni pracownicy działów operacyjnych oraz finansowych.

Oprac. KTop

Równocześnie, bo 25 kwietnia 2017 r., minister rozwoju i finansów wydał rozporządzenie w sprawie szczegółowych warunków technicznych i organizacyjnych dla firm inwestycyjnych i banków prowadzących działalność maklerską oraz banków powierniczych (dalej także jako: rozporządzenie z 25 kwietnia 2017 r.). Weszło ono w życie z dniem ogłoszenia, tj. 27 kwietnia br. Akt ten stanowi realizację obowiązku wyrażonego w dyrektywie wykonawczej 2015/2392 do rozporządzenia nr 596/2014 w sprawie nadużyć na rynku - tzw. rozporządzenia MAR (ang. Market Abuse Regulation).

Rozporządzenie z 25 kwietnia 2017 r. wymaga od firm inwestycyjnych i banków prowadzących działalność maklerską oraz banków powierniczych m.in.:

● wdrożenia u siebie regulaminu zarządzania konfliktem interesów,

● wdrożenia systemu nadzoru zgodności działalności z prawem (compliance),

● wydzielenia w swojej strukturze organizacyjnej komórki do spraw zgodności,

● wdrożenia procedury anonimowego zgłaszania przez pracowników naruszeń prawa, a także procedur i standardów etycznych obowiązujących w firmie inwestycyjnej, które określać będą m.in. sposób ochrony sygnalisty, w tym co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania.

Dla banków...

Rozporządzenie z 6 marca 2017 r. określa m.in. szczegółowy sposób funkcjonowania w bankach systemów zarządzania ryzykiem i kontroli wewnętrznej, w tym tryb anonimowego zgłaszania przez pracowników wskazanemu członkowi zarządu lub rady nadzorczej naruszeń prawa oraz obowiązujących w banku procedur i standardów etycznych.

Zgodnie z tą regulacją systemy zarządzania ryzykiem i kontroli wewnętrznej powinny być zorganizowane na trzech niezależnych poziomach:

● - zarządzanie ryzykiem w działalności operacyjnej banku,

● - zarządzanie ryzykiem przez pracowników na specjalnie powołanych do tego stanowiskach lub komórkach organizacyjnych oraz działalność komórki do spraw zgodności,

● - działalność komórki audytu wewnętrznego.

Rozporządzenie obliguje wszystkie trzy poziomy do niezależnego monitorowania przestrzegania mechanizmów kontrolnych.

Z kolei na zarządzie banku spoczywa odpowiedzialność za zaprojektowanie, wdrożenie i zapewnienie działania ww. systemów (w tym procedur anonimowego zgłaszania naruszeń prawa, procedur, standardów etycznych). W tym celu konieczne jest m.in. zapewnienie takiej struktury organizacyjnej banku, która będzie dostosowana do wielkości danego podmiotu i profilu ponoszonego przez niego ryzyka, a także umożliwi:

● skuteczne wykonywanie jego zadań,

● opracowanie, przyjęcie i powiązanie strategii zarządzania bankiem z systemami zarządzania ryzykiem i kontroli wewnętrznej, oraz

● opracowanie, przyjęcie, wdrożenie, monitorowanie oraz przestrzeganie strategii, polityk i planów umożliwiających efektywne funkcjonowanie całej jednostki.

System kontroli wewnętrznej musi być adekwatny i skuteczny. Na zarządzie banku spoczywa więc konieczność opracowania polityki zgodności, która powinna zawierać podstawowe zasady zapewniania zgodności z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi. Zarząd odpowiada przy tym za efektywne zarządzanie ryzykiem braku takiej zgodności, s. c4

RAMKA 4

Niezależność i pieniądze

Rozporządzenie z 6 marca 2017 r. zobowiązuje zarząd banku do zapewnienia niezależności i środków finansowych komórce audytu wewnętrznego i komórce do spraw zgodności.

Choć definicja pojęcia niezależności nie została w rozporządzeniu rozwinięta, to obejmuje ona m.in. konieczność zapewnienia osobie kierującej komórką audytu wewnętrznego czy zgodności bezpośredniego kontaktu z członkami zarządu i rady nadzorczej, uczestnictwo w spotkaniach tych gremiów. Dodatkowo komórka do spraw zgodności nie może być łączona z innymi komórkami organizacyjnymi, funkcjami i stanowiskami w banku, a jej pracownicy nie mogą wykonywać innych obowiązków niż wynikające z zadań tej komórki.

W zakresie zaś obowiązku zapewnienia środków finansowych na działalność komórek audytu i zgodności, powinny one być wystarczające do skutecznego wykonywania zadań oraz systematycznego podnoszenia umiejętności i kwalifikacji przez pracowników.

Rozporządzenie zobowiązuje zarządy banków do ustalenia wewnętrznego podziału kompetencji. W jego ramach zostanie wskazany członek zarządu, do którego mają być zgłaszane nieprawidłowości, przy czym będzie on też odpowiedzialny za bieżące funkcjonowanie procedur anonimowego zgłaszania naruszeń. Taki podział kompetencji ma być zatwierdzany przez radę nadzorczą.

Rozporządzenie nakłada również na członka zarządu, do którego zgłaszane są nieprawidłowości, obowiązek sprawozdawczy dotyczący informacji o otrzymanych istotnych zgłoszeniach naruszeń, wypełniany nie rzadziej niż raz na pół roku. Banki zostały ponadto zobowiązane do przeprowadzania wstępnych i regularnych szkoleń pracowników dotyczących zgłaszania naruszeń, w szczególności w zakresie obowiązujących procedur.

Wreszcie rozporządzenie z 6 marca 2017 r. przewiduje, że w bankach powinny zostać opracowane i wdrożone procedury anonimowego zgłaszania przez pracowników naruszeń prawa oraz obowiązujących w nich procedur i standardów etycznych. , s. c4

RAMKA 5

WYMOGI DLA PROCEDURY ANONIMOWEGO ZGŁASZANIA NIEPRAWIDŁOWOŚCI PRZEZ PRACOWNIKÓW

● zapewniać możliwość zgłaszania naruszeń za pośrednictwem specjalnego, niezależnego i autonomicznego kanału komunikacji i odbierania zgłoszeń bez podawania tożsamości przez sygnalistę,

● określać sposób ochrony sygnalisty, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania,

● wskazywać sposób ochrony danych osobowych sygnalisty i osoby, której zarzuca się naruszenie,

● określać zasady zapewniające zachowanie poufności sygnalisty, nawet gdy ten ujawnił swoją tożsamość,

● wskazywać osoby odpowiedzialne za odbieranie zgłoszeń,

● regulować kwestie przekazywania zgłoszeń oraz termin powiadomienia osoby, której zarzuca się dokonanie naruszenia.

PiSZ

Rozporządzenie zakłada przy tym, że gdy w wyniku weryfikacji zgłoszenia podejrzenia okażą się bezpodstawne, trzeba będzie niezwłocznie powiadomić o tym osobę, której zarzucano złamanie prawa. Adekwatność i skuteczność procedury powinna być oceniana przez radę nadzorczą nie rzadziej niż raz w roku.

...i firm inwestycyjnych

Rozporządzenie z 25 kwietnia 2017 r. nakłada na zarządy firm inwestycyjnych obowiązek zapewnienia zgodności funkcjonowania tych instytucji z prawem, przyjętymi standardami i zasadami etycznymi. Choć tego typu podmioty w dużej mierze wprowadziły już u siebie wewnętrzne systemy nadzoru zgodności, to nowe regulacje zmuszą je do ich aktualizacji, a w przypadku firm, które ich nie posiadały - do szybkiego wprowadzenia.

Regulacje rozporządzenia z 25 kwietnia 2017 r. przypominają w dużym stopniu te wprowadzone przez rozporządzenie z 6 marca 2017 r. dotyczące banków, m.in. w zakresie obowiązków w ramach procedury anonimowego zgłaszania naruszeń.

Rozporządzenie to wprowadza liczne obowiązki firm inwestycyjnych, tworząc w całości dość spójny obraz działań, nałożonych głównie na członków zarządu tego typu podmiotów, mających na celu stworzenie efektywnego systemu kontroli wewnętrznej, którego koronnym elementem powinien być system zgłaszania nieprawidłowości przez pracowników.

Whistleblowing

Firmy inwestycyjne zostały zobligowane do utworzenia systemu whistleblowingu, tj. do opracowania i wdrożenia procedury anonimowego zgłaszania przez pracowników naruszeń prawa oraz obowiązujących w firmie inwestycyjnej procedur i standardów etycznych, s. c4

RAMKA 6

Reguły postępowania dla sygnalistów

sposób odbierania zgłoszeń w sprawie naruszeń, uwzględniając możliwość dokonywania i odbierania tych zgłoszeń bez wskazywania tożsamości przez osobę sygnalizującą nieprawidłowości w firmie;

sposób ochrony osoby dokonującej zgłoszenia, w tym co najmniej przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;

sposób ochrony danych osobowych sygnalisty oraz osoby, której zarzuca się dokonanie naruszenia;

rozwiązania pozwalające na zachowanie poufności tożsamości osoby dokonującej zgłoszenia, w przypadku gdy osoba ta ujawniła swoją tożsamość lub jej tożsamość jest możliwa do ustalenia;

organy odpowiedzialne za odbieranie zgłoszeń naruszeń (z tym zastrzeżeniem, że w przypadku, gdy zgłoszenie dotyczy członka zarządu, powinno ono być przyjęte przez radę nadzorczą);

sposób przekazywania członkowi zarządu lub radzie nadzorczej oraz pracownikom i jednostkom organizacyjnym informacji związanych ze zgłoszeniem naruszenia, które są niezbędne do prawidłowej jego weryfikacji, mając na uwadze ograniczenie zakresu przekazywanych informacji ze względu na cele realizowane przez procedurę oraz treść zgłoszenia naruszenia.

PiSZ

WAŻNE

- w języku angielskim to dosłownie "człowiek dmuchający w gwizdek". W ten sposób określa się osobę, która ujawnia informacje o nieprawidłowościach w interesie społecznym oraz w dobrej wierze (ograniczonej do szczerego przekonania). W Polsce równolegle używa się też sformułowań: sygnalista lub demaskator.

- oznacza więc zgłaszanie firmie, m.in. przez jej pracowników, nadużyć i niewłaściwych zachowań, w tym także przypadków nieuczciwości lub naruszeń prawa przez innych zatrudnionych.

System whistleblowingu powinien zapewniać możliwość zgłaszania przez pracowników naruszeń za pośrednictwem dedykowanego temu celowi, niezależnego i autonomicznego kanału komunikacji. Za adekwatność i skuteczność procedury zgłaszania naruszeń odpowiedzialny jest zarząd firmy.

Nałożono na niego także obowiązek ustalenia wewnętrznego podziału kompetencji poprzez wskazanie członka zarządu odpowiedzialnego za bieżące funkcjonowanie procedur zgłaszania naruszeń i do którego takie naruszenia mają być zgłaszane. Taki członek zarządu lub rada nadzorcza po otrzymaniu zgłoszenia wyznacza pracowników bądź jednostki organizacyjne odpowiedzialne za weryfikację zgłoszenia oraz podejmowanie i koordynowanie kolejnych działań z nim związanych. W przypadku gdy jest to uzasadnione wielkością, strukturą i rodzajem prowadzonej działalności, wskazany członek zarządu lub rada nadzorcza może odstąpić od wyznaczania pracowników lub jednostek organizacyjnych.

Podobnie do regulacji wynikających z rozporządzenia z 6 marca 2017 r., w przypadku negatywnej weryfikacji zasadności zgłoszenia i oddalenia podejrzeń w nim zawartych członek zarządu lub rada nadzorcza (jeśli zgłoszenie dotyczy członka zarządu) musi niezwłocznie powiadomić osobę, której zarzucono dokonanie naruszenia, o samym fakcie zgłoszenia naruszeń, jak też przeprowadzonej procedurze jego weryfikacji, z zastrzeżeniem zachowania poufności.

Ponadto członek zarządu, któremu powierzono powyższe zadania, ma obowiązek regularnego (nie rzadziej niż raz na sześć miesięcy) przekazywania radzie nadzorczej informacji o otrzymanych zgłoszeniach naruszeń. Rada nadzorcza zaś, w zależności od potrzeb, ale nie rzadziej niż raz w roku, ocenia adekwatność i skuteczność procedury zgłaszania naruszeń.

Oprócz wszystkich powyższych obowiązków, na firmy inwestycyjne został nałożony obowiązek wstępnego i regularnego szkolenia pracowników w zakresie zgłaszania nieprawidłowości, w szczególności dotyczącego obowiązujących w tym zakresie procedur.

@RY1@i02/2017/106/i02.2017.106.183000200.102(c).jpg@RY2@

Plany i propozycje w kraju oraz za granicą

Sprzeczne dążenia

W rozporządzeniu z 25 kwietnia 2017 r. pochylono się też nad kwestią konfliktu interesów. Na jego mocy firmy inwestycyjne mają obowiązek opracować i wdrożyć regulamin określający sposób postępowania w celu przeciwdziałania powstawaniu konfliktu interesów. Tego typu dokument powinien być oczywiście dostosowany do rozmiaru i rodzaju prowadzonej działalności oraz struktury organizacyjnej, a w przypadku firm inwestycyjnych wchodzących w skład grupy kapitałowej powinien określać także czynniki mogące powodować taki konflikt, o których dana firma wie lub powinna wiedzieć, a które wynikają ze struktury organizacyjnej i rodzaju działalności.

RAMKA 7

Przeciwdziałanie konfliktowi interesów

okoliczności, które mogą powodować konflikt interesów oraz środki i procedury zarządzania takimi konfliktami, w tym metody zapewnienia nadzoru nad osobami wykonującymi czynności na rzecz i w imieniu klientów, które to czynności powodują lub mogą powodować ów konflikt pomiędzy klientami lub interesem klienta i firmy inwestycyjnej,

metody zapobiegania istnieniu bezpośrednich zależności pomiędzy wysokością wynagrodzenia osób powiązanych wykonujących określone czynności w ramach działalności firmy inwestycyjnej, od wynagrodzenia lub zysków osiąganych przez osoby wykonujące czynności innego rodzaju, które powodują lub mogłyby spowodować powstanie konfliktu interesów,

metody zapobiegania możliwości wywierania niekorzystnego wpływu osób trzecich na sposób wykonywania przez osoby powiązane czynności związanych z prowadzeniem przez firmę inwestycyjną działalności maklerskiej oraz

metody zapobiegania przypadkom jednoczesnego lub następującego bezpośrednio po sobie wykonywania przez tę samą osobę czynności związanych z różnymi usługami świadczonymi przez daną firmę, jeżeli mogłoby to wywrzeć niekorzystny wpływ na prawidłowe zarządzanie konfliktami interesów, lub metody zapewnienia nadzoru nad takim sposobem wykonywania czynności, jeżeli jest on konieczny.

PiSZ

Rozporządzenie z 25 kwietnia 2017 r. wymaga także od firm inwestycyjnych posiadania takiej struktury organizacyjnej, która powinna zapobiegać powstawaniu konfliktu interesów, a w przypadku powstania takiego konfliktu umożliwić ochronę interesów klienta przed jego szkodliwym wpływem.

Podejrzane zaangażowanie finansowe

Obok regulaminu zarządzania konfliktem interesów, firmy inwestycyjne zostały też zobowiązane do wdrożenia regulaminu inwestowania w instrumenty finansowe przez osoby z nimi powiązane (lub na ich rachunek). Dokument ten ma określać zasady oraz sposoby zapobiegania wykorzystywaniu lub ujawnianiu posiadanych informacji przez osoby powiązane, uczestniczące w świadczeniu usług przez firmę inwestycyjną lub mające dostęp do informacji poufnych lub innych informacji stanowiących tajemnicę zawodową.

RAMKA 8

INWESTOWANIE PRZEZ OSOBY POWIĄZANE Z FIRMĄ

● wymóg informowania osób powiązanych o istniejących ograniczeniach w zawieraniu transakcji własnych oraz o sposobie postępowania w związku z zawieraniem takich transakcji przez osoby powiązane,

● wymóg niezwłocznego informowania firmy inwestycyjnej przez osoby powiązane o zawieranych transakcjach własnych,

● zasady prowadzenia rejestru transakcji własnych zawieranych przez osoby powiązane i rejestru zgód udzielonych na zawarcie takich transakcji.

PiSZ

Informacje poufne i tajemnica zawodowa

W przepisach rozporządzenia z 25 kwietnia 2017 r. zadbano także o to, by uniemożliwić osobom nieuprawnionym dostęp do informacji poufnych oraz stanowiących tajemnicę zawodową, a także zapobiegać wykorzystywaniu takich informacji przez osoby mające do nich dostęp w celach innych niż wykonywanie obowiązków dotyczących sprawowanych funkcji lub zatrudnienia. W tym celu na firmy inwestycyjne nałożono obowiązek wdrożenia regulaminu ochrony przepływu informacji poufnych oraz stanowiących tajemnicę zawodową. Powinien on szczegółowo określać rozwiązania wdrożone przez daną firmę inwestycyjną oraz zasady przepływu informacji w tym zasady obiegu dokumentów.

Systemy informatyczne

Jednym z obowiązków firmy inwestycyjnej jest również zabezpieczenie jej systemów informatycznych, w taki sposób, aby uniemożliwić nieuprawniony dostęp do przetwarzanych przez nie danych. Wiąże się to m.in. z obowiązkiem ustanowienia wewnętrznych procedur regulujących dostęp do systemów informatycznych firmy inwestycyjnej oraz kontrolę tego dostępu. Procedury te mają zapewniać możliwość odtworzenia dostępu do danych wraz z historią modyfikacji i przetwarzania tych danych.

Wymóg zabezpieczenia systemów informatycznych wprowadza także konieczność podejmowania działań mających na celu zapewnienie ciągłości obsługi oraz pracy urządzeń i systemów informatycznych. W tym celu konieczne jest m.in.:

● przeprowadzenie testów w zakresie prawidłowości działania urządzeń i tychże systemów,

● monitorowanie funkcjonowania ich działalności,

● zapewnienie odpowiednich zasobów kadrowych do obsługi tychże (co wiąże się także z zapewnieniem takim osobom wystarczającego czasu na realizację swojego obowiązku),

● zabezpieczenie tych systemów, wraz z obowiązkiem codziennego tworzenia kopii zapasowych, oraz

● wprowadzenie odpowiedniej infrastruktury zapewniającej przechowywanie kopii baz danych w miejscu, w którym - w przypadku awarii lub utraty wskutek wystąpienia sytuacji nadzwyczajnej części bądź całości danych w bazach danych - nie dojdzie do utraty kopii baz danych.

Infrastruktura powinna zapewniać także:

● możliwość automatycznego odrzucania, blokowania lub anulowania wprowadzonych do systemów zleceń, które nie spełniają wymagań określonych przez przepisy prawa, firmę inwestycyjną lub inny podmiot;

● informowanie inspektora nadzoru i kierownika jednostki realizującej funkcję zarządzania ryzykiem (albo osoby odpowiedzialnej za wdrożenie systemu zarządzania ryzykiem) w przypadku zamiaru wykonania lub przekazania w systemach informatycznych zleceń, które zostały zablokowane lub anulowane;

● zgodność funkcji urządzeń i systemów informatycznych z wymaganiami systemów informatycznych podmiotu, do którego kierowane są zlecenia, w szczególności spółki prowadzącej rynek regulowany lub alternatywny system obrotu oraz podmiotów prowadzących rozliczenie lub rozrachunek transakcji, których uczestnikiem jest firma inwestycyjna.

Dostosowanie struktury organizacyjnej

Na firmy inwestycyjne został nałożony obowiązek uporządkowania i dostosowania struktury organizacyjnej. Pomóc w tym ma regulamin organizacyjny, do którego wdrożenia firmy te zostały zobligowane. Powinien on szczegółowo określać wewnętrzną strukturę organizacyjną firmy inwestycyjnej wraz z zakresem zadań poszczególnych jednostek organizacyjnych oraz zasadami odpowiedzialności i podległości służbowej tych jednostek i osób zajmujących w nich poszczególne stanowiska, a ponadto procedury decyzyjne oraz zasady sprawozdawczości wewnętrznej.

Struktura organizacyjna powinna zapewniać zaś:

● aby czynności z zakresu działalności maklerskiej prowadzonej przez firmę inwestycyjną:

- były powierzane osobom posiadającym niezbędny zakres wiedzy, umiejętności oraz kwalifikacji dla prawidłowego ich wykonywania,

- były powierzane osobom powiązanym w taki sposób, który nie uniemożliwia ich wykonywania właściwie, uczciwie i rzetelnie, w szczególności w przypadku powierzania jednej osobie jednoczesnego wykonywania kilku czynności;

● istnienie systemu sprawozdawczości wewnętrznej i niezbędny przepływ informacji wewnątrz firmy inwestycyjnej,

● rejestrację danych związanych z prowadzoną przez firmę inwestycyjną działalnością maklerską oraz z czynnościami wykonywanymi przez jej poszczególne jednostki organizacyjne.

System kontroli wewnętrznej

Rozporządzenie z 25 kwietnia 2017 r. wprowadza również obowiązek opracowania i wdrożenia systemu kontroli wewnętrznej, służącego zapobieganiu przypadkom działania niezgodnego z decyzjami i procedurami wewnętrznymi przyjętymi przez firmę inwestycyjną. Celem takiego systemu powinno być:

● zapewnienie nadzoru nad przestrzeganiem reguł postępowania tak, by przeciwdziałać wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł;

● badanie zgodności działalności firmy inwestycyjnej i czynności wykonywanych w ramach tej działalności przez osoby powiązane z regulacjami rynków, na których działa firma inwestycyjna, regulacjami Krajowego Depozytu Papierów Wartościowych SA, regulacjami innych izb rozliczeniowych oraz izb rozrachunkowych, których uczestnikiem jest firma inwestycyjna, a także regulacjami izby gospodarczej, jeśli firma inwestycyjna do takiej izby należy;

● zapewnienie nadzoru nad przepływem informacji poufnych i informacji stanowiących tajemnicę zawodową oraz zabezpieczenie dostępu do nich, a także nadzoru nad rozpatrywaniem skarg i wniosków klientów oraz prowadzeniem rejestru skarg.

W realizacji powyżej wskazanych celów pomóc powinien regulamin kontroli wewnętrznej, który powinien w szczególności określać rodzaje kontroli wewnętrznej, stanowiska osób odpowiedzialnych i jednostki organizacyjne odpowiedzialne za wykonywanie poszczególnych rodzajów tej kontroli oraz zasady ich wykonywania, dokumentowania przebiegu kontroli i dokonanych ustaleń oraz podjętych w związku z nimi działań.

Nadzór w zakresie compliance

Obok systemu kontroli wewnętrznej na firmy inwestycyjne nałożono obowiązek opracowania i wdrożenia systemu nadzoru zgodności działalności z prawem. System ten ma służyć:

● ujawnianiu i zapobieganiu naruszania przez firmę inwestycyjną obowiązków wynikających z przepisów, które regulują prowadzenie działalności maklerskiej;

● propagowaniu przez zarząd firmy inwestycyjnej znaczenia wykonywania działalności w sposób zgodny z prawem oraz roli systemu w organizacji przedsiębiorstwa, a także

● minimalizacji skutków ewentualnych naruszeń.

Zasady nadzoru w tym zakresie będzie określać przyjęty przez firmę inwestycyjną regulamin.

Jako pozytywny znak należy ocenić zapisanie w rozporządzeniu z 25 kwietnia 2017 r. obowiązku propagowania znaczenia compliance i jego roli w organizacji. Praktycy zajmujący się tym tematem od lat wskazują wprawdzie, że nie tyle wdrożenie systemu zgodności, ile raczej sukcesywne, regularne szkolenia i propagowanie tej idei odgrywa największą rolę w osiąganiu zamierzonych przez compliance celów. Jednakże jak dotąd podobne regulacje nie znalazły się w aktach prawnych, wprost wymuszając na konkretnej organizacji realizację zadań, które takie cele będą urzeczywistniać.

Warto podkreślić, że obowiązek propagowania tej idei został nałożony na zarząd firmy inwestycyjnej, a co za tym idzie to zarząd ponosić będzie odpowiedzialność za odpowiednie wdrożenie obowiązków wynikających z rozporządzenia. Jest to też zgodne z zasadą, że przykład powinien iść z góry - jedną z podstawowych zasad teorii skutecznego compliance.

System nadzoru zgodności działalności z prawem wiąże się także z wydzieleniem w strukturze firmy inwestycyjnej odpowiedniej komórki - a jakże - do spraw nadzoru zgodności działalności z prawem. Należy jej zapewnić niezależność umożliwiającą prawidłowe i ciągłe wykonywanie obowiązków. Jeżeli jest to uzasadnione rodzajem i zakresem prowadzonej działalności, czynności te mogą być wykonywane jednoosobowo.

Jako obowiązki komórki do spraw nadzoru zgodności działalności z prawem wskazano:

● badanie i regularną ocenę adekwatności i skuteczności przyjętego systemu nadzoru zgodności działalności z prawem, jak również działań podejmowanych w celu wypełniania przez firmę inwestycyjną obowiązków wynikających z przepisów prawa regulujących prowadzenie działalności maklerskiej, oraz

● doradztwo i bieżącą pomoc osobom powiązanym (wykonującym czynności w ramach prowadzonej przez firmę inwestycyjną działalności maklerskiej) w wypełnianiu przez nich obowiązków zgodnie z przepisami prawa regulującymi prowadzenie działalności maklerskiej.

Firma inwestycyjna musi umożliwić wykonywanie przez komórkę ds. nadzoru zgodności działalności z prawem jej obowiązków w sposób należyty i, jak już wspomniano, niezależny.

W tym celu musi zapewnić, aby osoby wykonujące zadania z zakresu nadzoru zgodności działalności z prawem:

● miały stosowne uprawnienia, odpowiednie kwalifikacje, wystarczającą ilość czasu na realizację obowiązków i dostęp do niezbędnych informacji,

● były odpowiedzialne za raportowanie w zakresie dotyczącym funkcjonowania systemu nadzoru zgodności działalności z prawem,

● nie brały udziału w wykonywaniu czynności z zakresu działalności, która jest przedmiotem sprawowanego przez nie nadzoru.

Sposób wynagradzania tych osób nie powinien zaś wpływać na ich obiektywizm, a sama komórka do spraw nadzoru zgodności działalności z prawem powinna posiadać odpowiednie zasoby, w tym kadrowe, umożliwiające należyte wykonywanie obowiązków.

Powyższe obowiązki stanowią kolejne kroki milowe we wdrażaniu kompleksowego systemu compliance w polskim prawie. W szczególności na uwagę zwraca obowiązek zapewnienia takiego sposobu wynagradzania osób wykonujących zadania z zakresu nadzoru zgodności działalności z prawem, który nie będzie wpływał na ich obiektywizm. Choć pojęcie to nie zostało nigdzie zdefiniowane, bez wątpienia chodzi o zapewnienie adekwatnego do ich obowiązków wynagrodzenia, tj. na odpowiednim poziomie płacowym.

Zastanawiać może jednak, czy obowiązek ten aby nie wprowadza także wymogu nieprzekraczania pewnego pułapu płacowego, który może zatracać obiektywizm danego pracownika, a zmuszać go do szczególnej lojalności wobec zarządów firm, co może uniemożliwiać obiektywną realizację jego obowiązków. Pozytywnie zaopiniować należy jednak obowiązek zapewnienia komórkom do spraw zgodności odpowiednich zasobów, co należy rozumieć jako wyposażenie ich w odpowiedni stan osobowy i finansowy, umożliwiający należyte wykonywanie obowiązków przez tę komórkę.

Co istotne, osoba wykonująca czynności nadzoru zgodności działalności z prawem (w przypadku stanowiska jednoosobowego) albo osoba kierująca komórką nadzoru zgodności działalności z prawem (inspektor nadzoru), niebędąca członkiem zarządu, podlega - z pewnymi wyjątkami - bezpośrednio prezesowi zarządu firmy inwestycyjnej, a w przypadku gdy prezes nie został powołany - zarządowi firmy inwestycyjnej.

WAŻNE

Banki zostały zobowiązane do przeprowadzania wstępnych i regularnych szkoleń pracowników dotyczących zgłaszania naruszeń, w szczególności w zakresie obowiązujących procedur.

Jest to kolejna regulacja, którą należy ocenić pozytywnie, zapewnia bowiem takiej osobie bezpośredni dostęp do najwyższego szczebla zarządzania organizacją i nie angażuje jej w raportowanie do osób znajdujących się pod tym szczeblem struktury organizacyjnej. Takie umiejscowienie jej w organizacji firmy zapewnia jej niezależność w stosunku do pozostałych pracowników, a także możliwość szybkiej reakcji i pewność, że o sprawie powiadomione zostaną najważniejsze osoby z organizacji.

RAMKA 9

Raport nadzorczy co najmniej raz do roku

ocenę adekwatności i skuteczności przyjętego systemu nadzoru zgodności działalności z prawem w okresie, którego on dotyczy,

opis działań podjętych przez komórkę do spraw nadzoru zgodności działalności z prawem w okresie, którego raport dotyczy, wraz z omówieniem zidentyfikowanych ryzyk:

● związanych z prowadzoną przez firmę inwestycyjną działalnością, w tym maklerską,

● związanych z modelem biznesowym oraz systemami stosowanymi w prowadzonej przez firmę działalności,

wskazanie podjętych lub proponowanych środków w przypadkach stwierdzenia niezgodności z przepisami regulującymi prowadzenie działalności maklerskiej lub ryzyk wystąpienia takiej niezgodności, oraz

opis istotnych zagadnień związanych z funkcjonowaniem systemu nadzoru zgodności działalności z prawem, innych niż powyższe, które wystąpiły od momentu przekazania poprzedniego raportu.

PiSZ

Audyt i zarządzanie ryzykiem

Rozporządzenie z 25 kwietnia 2017 r. nakłada także na firmy inwestycyjne obowiązek opracowania i wdrożenia systemów: audytu wewnętrznego i oceny ryzyka.

W ramach systemu audytu wewnętrznego firma inwestycyjna powinna na bieżąco monitorować i regularnie weryfikować stosowane systemy oraz wdrożone regulaminy i procedury wewnętrzne (pod względem ich prawidłowości i skuteczności w wypełnianiu obowiązków wynikających z przepisów) oraz podejmować działania mające na celu eliminację nieprawidłowości.

Gdy jest to uzasadnione rozmiarem i rodzajem prowadzonej działalności, firma powinna wyodrębnić w swojej strukturze organizacyjnej komórkę audytu. Do jej zadań należy opracowywanie i wykonywanie planu audytu wewnętrznego, wydawanie zaleceń wynikających z czynności podejmowanych w ramach wykonywania tego planu, ocenianie wykonania powyższych zaleceń oraz sporządzanie, w zależności od potrzeb (nie rzadziej jednak niż raz w roku) pisemnych raportów z wykonywania przez komórkę audytu wewnętrznego powierzonych jej zadań, zawierających w szczególności wskazanie środków podejmowanych w ramach wykonywania planu audytu wewnętrznego. Weryfikacja wdrożonych systemów, regulaminów i procedur spoczywa na zarządzie lub radzie nadzorczej firmy inwestycyjnej, w zależności od kompetencji danego organu. Z kolei celem systemu zarządzania ryzykiem jest identyfikacja, zarządzanie oraz monitorowanie ryzyka w działalności firmy inwestycyjnej. W ramach tego systemu na firmie inwestycyjnej spoczywa obowiązek opracowania i wdrożenia zasad oraz procedur zarządzania ryzykiem.

Gdy jest to uzasadnione, firma inwestycyjna powinna wyodrębnić w swojej strukturze organizacyjnej jednostkę realizującą funkcję zarządzania ryzykiem, niezależną od obarczonej ryzykiem działalności operacyjnej. Do jej zadań należy wdrożenie systemu zarządzania ryzykiem, doradzanie zarządowi firmy inwestycyjnej w zakresie tego zarządzania oraz przekazywanie zarządowi, w zależności od potrzeb (ale nie rzadziej niż raz w roku), pisemnych sprawozdań z funkcjonowania tegoż systemu, zawierających w szczególności wskazanie środków podejmowanych w ramach zarządzania ryzykiem. System zarządzania ryzykiem podlega regularnej weryfikacji pod kątem adekwatności i skuteczności, a także w celu wyeliminowania nieprawidłowości w tym systemie, a obowiązek weryfikacji tego systemu, został nałożony na zarząd firmy inwestycyjnej.

@RY1@i02/2017/106/i02.2017.106.183000200.101(c).jpg@RY2@

Jakub Lasek

prawnik w kancelarii Raczkowski Paruch

Podstawa prawna

Ustawa z 29 sierpnia 1997 r. - Prawo bankowe (t.j. Dz.U. z 2016 r. poz. 1988 ze zm.).

Rozporządzenie ministra rozwoju i finansów z 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach (Dz.U. poz. 637).

Dyrektywa 2013/36/UE Parlamentu Europejskiego i Rady z 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniającej dyrektywę 2002/87/WE i uchylającej dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.Urz. UE L 176 z 27 czerwca 2013 r., s. 338).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.Urz. UE L 176 z 27 czerwca 2013 r., s. 1).

Uchwała Komisji Nadzoru Finansowego nr 258/2011 z 4 października 2011 r. w sprawie szczegółowych zasad funkcjonowania systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz szczegółowych warunków szacowania przez banki kapitału wewnętrznego i dokonywania przeglądów procesu szacowania i utrzymywania kapitału wewnętrznego oraz zasad ustalania polityki zmiennych składników wynagrodzeń osób zajmujących stanowiska kierownicze w banku (Dz.Urz. KNF z 2011 r. nr 11, poz. 42 z 23 listopada 2011 r.).

Rekomendacja H dotycząca systemu kontroli wewnętrznej w bankach z 25 kwietnia 2017 r.

Rozporządzenie ministra rozwoju i finansów z 25 kwietnia 2017 r. w sprawie szczegółowych warunków technicznych i organizacyjnych dla firm inwestycyjnych, banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, i banków powierniczych (Dz.U. poz. 855).

Dyrektywa wykonawcza Komisji (UE) nr 2015/2392 z 17 grudnia 2015 r. w sprawie rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 596/2014 w odniesieniu do zgłaszania właściwym organom rzeczywistych lub potencjalnych naruszeń tego rozporządzenia (Dz.Urz. UE L 332 z 18 grudnia 2015 r., s. 126).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 596/2014 z 16 kwietnia 2014 r. w sprawie nadużyć na rynku oraz uchylające dyrektywę 2003/6/WE Parlamentu Europejskiego i Rady i dyrektywy Komisji 2003/124/WE, 2003/125/WE i 2004/72/WE (Dz.Urz. UE L 173 z 12 czerwca 2014 r., s. 1).