poniedziałek, 10 lutego 2014

Zarządzanie ryzykiem compliance przez ubezpieczycieli w świetle Solvency II

W listopadzie 2013r. powstało ciekawe opracowanie „Audyt – Compliance – Zarządzanie Ryzykiem-Aktuariat. Modele współpracy w zakładach ubezpieczeń”. Autorami tej broszury są członkowie Podkomisji ds. Audytu i Kontroli Wewnętrznej PIU, pracownicy firmy KPMG oraz przedstawiciele UKNF. Dokument powstał w celu przybliżenia wymogów, jakie mają być spełnione przez działające na terenie UE zakłady ubezpieczeniowe (dalej „ZU”) w wymienionych w przytoczonym tytule obszarach.
Art. 41 ust. 1 Dyrektywy Parlamentu Europejskiego i Rady 2009/138/WE z dnia 25 listopada 2009 r. w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej Solvency II (Wypłacalność II) stanowi, że ZU objęte zasięgiem regulacji mają stworzyć skuteczny system zarządzania, który zapewnia prawidłowe i ostrożne zarządzanie prowadzoną działalnością. Wymagania dyrektywy odnoszą się w szczególności do funkcji zarządzania ryzykiem, compliance, aktuarialnej oraz audytu wewnętrznego.


Warte podkreślenia jest wyodrębnienie funkcji compliance u ubezpieczycieli. Na pierwszy rzut oka wydaje się, że unijne ustawodawstwo idzie w regulacji rynku ubezpieczeniowego w podobnym do bankowego kierunku, że wspomnę tylko wytyczne Bazylejskiego Komitetu Nadzoru Bankowego (Basel Committee on Banking Supervision, 2005, Compliance and the compliance function in banks), które na trwałe umiejscawiają compliance w model zarządzania bankami. Rekomendacja M KNF (załącznik do uchwały Nr 8/2013 Komisji Nadzoru Finansowego z dnia 8 stycznia 2013 r. (Dz. Urz. KNF z 2013 poz. 6), obowiązująca w pełni od dnia 31 grudnia 2013 r.) już wyraźnie także wyodrębnia te funkcje (por. np. rekomendacja nr 14). Właśnie zaczyna się to dziać w branży ubezpieczeniowej. Funkcja compliance została także przewidziana w projekcie ustawy o działalności ubezpieczeniowej. Ciekaw jestem, kiedy powstanie jakieś opracowanie porównujące przyjęte modele zarządzania na rynku bankowym i ubezpieczeniowym.


Wracając do wskazanego w Solvency II systemu zarządzania ryzykiem, autorzy broszury prezentują model zgodnego z założeniami Dyrektywy kompleksowego zarządzania ryzykiem COSO II, opracowany przez The Committee of Sponsoring Organizations of the Treadway Commission, zakłada, że cele każdej organizacji powinny być określone w czterech wymiarach: 1) Strategicznym – zapewnienie zgodności celów strategicznych na wszystkich poziomach organizacyjnych, wsparcie misji firmy i odzwierciedlenie wyboru kierownictwa w sprawie sposobu tworzenia wartości dla interesariuszy organizacji; 2) Działalności operacyjnej – zapewnienie efektywności działalności organizacji, w tym celów operacyjnych i finansowych, wydajne wykorzystywanie zasobów organizacji, obejmujące wyniki, zyski, zabezpieczenie zasobów przed ich stratą; 3) Sprawozdawczości – jakość i terminowość raportowania finansowego i niefinansowego (wewnętrzne i zewnętrzne) 4) Compliance – przestrzeganie prawa i regulacji.


 Zgodnie z Solvency II, funkcje: audytu wewnętrznego, zarządzania ryzykiem, compliance oraz aktuarialna wchodzi w skład systemu zarządzania w zakładzie ubezpieczeń. Relacje tych funkcji dla wsparcia procesu zarządzania ryzykiem w zakładach ubezpieczeniowych dobrze oddaje model trzech linii obrony. Zgodnie z nim, funkcja compliance stanowi drugą linię obrony w organizacji. Pierwszą stanowią właściciele ryzyka. Trzecia linia to audyt wewnętrzny. Autorzy broszury także zauważają, że funkcja compliance nie jest obecnie dostatecznie określona, identyfikują jednak obszary, w których ma być sprawowana/ wykonywana. Porównajmy to z moim niedawnym wpisem. Generalnie opisują tę funkcję w zakładach ubezpieczeniowych jako identyfikująco doradczą i wygląda to tak: 

„1) Identyfikacja i monitorowanie ryzyka wynikającego z nieprzestrzegania norm prawnych (do głównych obszarów prawa objętych wymaganiem compliance należą: Kodeks spółek handlowych, Ustawa o działalności ubezpieczeniowej, Regulacje rynku kapitałowego, Regulacje o przeciwdziałaniu praniu brudnych pieniędzy, Prawo konkurencji, Kodeks karny (przekupstwo, korupcja, defraudacja, oszustwo etc.), regulacje IT i ochrona danych); 

 2) Wczesne ostrzeganie: rozumiane jako ocena potencjalnego wpływu zmian pojawiających się w otoczeniu regulacyjnym na działalność zakładu ubezpieczeń (wytyczne, zalecenia KNF i PIU); 

 3) Doradzanie zarządowi w sprawie przestrzegania przepisów przyjętych zgodnie z wytycznymi prawa, w tym wytycznymi dyrektywy Solvency II oraz w kwestiach nowych produktów, usług i rynków z punktu widzenia compliance;

 4) Identyfikowanie i opiniowanie wszelkich działań lub decyzji kierownictwa mogących powodować ryzyko niezgodności, wzrost ryzyka regulacyjnego, lub ryzyka utraty reputacji ZU W przypadku gdyby kwestie nie były niezwłocznie rozwiązywane, Compliance Oficer i kierownictwo powinno zastosować proces eskalacji adekwatny do danego ryzyka i zgodny z kulturą organizacji.”


Autorzy opracowania podkreślali, że w celu realizacji tych funkcji, komórka compliance powinna mieć zapewniony dostęp do wszelkich niezbędnych informacji w organizacji. Zgadzam się, że to ważne. Druga wytyczna już nie dla wszystkich będzie taka oczywista- rekomenduje sie, by osoba odpowiedzialna za zadania funkcji compliance posiadała wykształcenie prawnicze. Jako prawnik nie jestem być może obiektywny, ale wydaje mi się to rozsądne, by CCO był właśnie prawnikiem, albo, jeżeli komórka jest dostatecznie duża, prawnicze wykształcenie posiadał przynajmniej jeden z jego zastępców. O ile wyraźnie należy rozróżnić funkcje prawne i compliance, to jednak złożona i często bazująca na przepisach materia może wymagać dla pełnego zrozumienia istoty rzeczy właśnie wykształcenia prawniczego, aczkolwiek niczego nie ujmuję tu nie prawnikom, którzy z czasem nabierają niejednokrotnie wielkiego doświadczenia. Czas zweryfikuje, co jest dobrą praktyka, a co stanie się realną potrzebą.


Na koniec kilka interesujących danych dotyczących istnienia wyodrębnionej komórki compliance w ZU. 51 zakładów ubezpieczeń posiada w strukturze stanowisko lub komórkę organizacyjną odpowiedzialną za zarządzanie ryzykiem zgodności, nie wszystkie zakłady natomiast uregulowały zasady jej działania, a 19 podmiotów nie posiada dokumentacji dotyczącej funkcji compliance, ale zapewne juz niedługo. Osoba lub komórka odpowiedzialna za funkcję compliance w 25 zakładach podlega bezpośrednio pod zarząd, w 2 zakładach podlega bezpośrednio pod dyrektora komórki zarządzania ryzykiem, a w 5 zakładach odpowiada bezpośrednio przed kierownikiem komórki prawnej. W pozostałych 22 ZU compliance podlega pod inne organy. W 29 zakładach osoba lub komórka compliance raportuje do zarządu. Taka liczba może wynikać ze zróżnicowania wielkości i specyfiki poszczególnych ZU.


Jeżeli podoba Wam się mój blog i chcielibyście pomóc mi w dotarciu z nim do Waszych znajomych, proszę polecajcie go dalej. Dziękuję! Konrad Sędkiewicz

Brak komentarzy:

Prześlij komentarz