Okiem eksperta Dobre praktyki w zakresie compliance, czyli czego fintechy mogą uczyć się od tradycyjnych instytucji finansowych

W języku polskim pojęcie compliance często tłumaczone jest jako nadzór zgodności działalności z prawem, jednak przekład ten oddaje w pełni jego idei. System compliance powinien raczej być rozumiany jako zbiór środków, narzędzi i działań podejmowanych w celu zapewnienia zgodności działalności danego podmiotu z przepisami prawnymi, procedurami i regulaminami wewnętrznymi oraz dobrymi praktykami. Zakres systemu compliance nie powinien zatem ograniczać się wyłącznie do mitygowania ryzyka związanego z naruszeniem przepisów prawa, ale szerzej – braku zgodności ze wszystkimi regułami i zasadami przyjętymi do stosowania.

Obowiązek wdrożenia skutecznego i adekwatnego systemu compliance jest immanentnie wpisany w wymogi regulacyjne stawiane nadzorowanym instytucjom finansowych np. banków, domów maklerskich czy towarzystw funduszy inwestycyjnych. Od tego typu podmiotów wymaga się m.in. wyznaczenia osoby odpowiedzialnej za zarządzanie ryzykiem braku zgodności (ang. Compliance Officer) przyjęcia odpowiednich procedur i regulaminów wewnętrznych wytyczających kierunki działania w tym obszarze, przeprowadzanie regularnych kontroli, ustanowienie odpowiedniego kanału raportowania ewentualnych nieprawidłowości oraz podnoszenia świadomości pracowników w zakresie obowiązujących w danym przedsiębiorstwie regulacji i konsekwencji ich naruszenia.Obowiązki te niejednokrotnie istotnie ograniczają zakres swobody działalności określonego podmiotu oraz wiążą się z dodatkowymi kosztami i utrudnieniami.

Praktyka pokazuje jednak, że w wielu przypadkach sprawnie działający system compliance to nie dodatkowy formalizm, ale rzeczywiste wsparcie w zapewnieniu prawidłowego funkcjonowania przedsiębiorstwa. Z tego względu coraz powszechniej obserwowane jest przyjmowanie na zasadzie dobrych praktyk określonych rozwiązań z obszaru compliance, również przez podmioty, które nie zostały do tego zobowiązane wprost przez przepisy prawne.

Ryzyko naruszenia przepisów prawnych:

Negatywne konsekwencje spowodowane zmaterializowaniem się ryzyka braku zgodności mogą istotnie wpłynąć na prowadzoną działalność. Najpowszechniejszym (i często najbardziej dolegliwym) skutkiem jest zastosowanie sankcji za naruszenie przepisów prawnych normujących określoną działalność. Tempo zmian regulacji prawnych – w szczególności wobec dynamicznie rozwijających się nowych technologii – wymusza obowiązek ciągłego monitorowania, czy prowadzona przez określony podmiot działalność pozostaje zgodna z obowiązującymi przepisami. Pominięcie istotnej nowelizacji może skutkować nie tylko wysokimi karami pieniężnymi, ale również zastosowaniem sankcji w postępowaniu karnym (np. z uwagi na prowadzenie działalności bez wymaganego zezwolenia).

Fintechy – jako podmioty poruszające się w sferze dużej niepewności i zmienności regulacyjnej – powinny w sposób szczególny nadzorować, czy prowadzona przez nie działalność nie została objęta zakresem zastosowania nowych przepisów. Jednocześnie warto śledzić nie tylko zmiany w aktach prawnych, ale również oficjalne wytyczne krajowych i unijnych regulatorów – Komisji Nadzoru Finansowego, ESMA (ang. European Securities and Market Authorities) czy EBA (ang. European Banking Authority). Wiele z obowiązków nałożonych na uczestników rynku finansowego lub sposób realizacji tych obowiązków nie wynika wprost z przepisów prawa, lecz praktyki nadzorczej tych organów. Dla przykładu, przepisy ustawy o z dnia 1 marca 2018 r. przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nie zawierają precyzyjnych wskazówek odnośnie do metodyki sporządzania tzw. instytucjonalnej oceny ryzyka.

Kwestia ta ma z kolei istotne znaczenie, biorąc pod uwagę to, że znaczna część fintechów posiada status instytucji obowiązanej i jest zobligowana do przyjęcia tego dokumentu. Wskazówki co do prawidłowej realizacji tego obowiązku można odnaleźć jednak w Stanowisku UKNF z 15 kwietnia 2020 r. dot. oceny ryzyka instytucji obowiązanej. Tym samym, aby w toku kontroli obszaru AML/CFT nie narazić się na zarzut nieprawidłowej realizacji obowiązków, oprócz dokładnego przeanalizowania przepisów ustawy warto dodatkowo zapoznać się ze stanowiskami właściwych organów np. Komisji Nadzoru Finansowego czy Generalnego Inspektora Informacji Finansowej. Powyższy przykład wyraźnie unaocznia, że biegłe poruszanie się w meandrach przepisów prawnych i wytycznych organów nadzorczych to fundament każdej profesjonalnej działalności. Efektywny system compliance niewątpliwie to ułatwia.

Ryzyko obniżenia jakości usług:

Brak sprawnie funkcjonującego systemu compliance może nie tylko istotnie narazić fintech na ryzyko naruszenia przepisów prawnych (a w konsekwencji zastosowanie dolegliwych sankcji), ale znacząco obniżyć profesjonalizm i jakość świadczonych usług. Obserwacja rynku prowadzi do wniosku, że nie wszystkie podmioty z branży nowych technologii są gotowe na prowadzenie działalności na dużą skalę. Problematyczne okazuje się zapewnienie wymaganego poziomu bezpieczeństwa – i to w sferach najbardziej kluczowych z punktu widzenia klienta.Wymogi w zakresie cyberbezpieczeństwa, zarządzania ryzykiem, ochrony interesów klientów czy jakości świadczonych usług stawiane tradycyjnym instytucjom rynku kapitałowego (tj. bankom, funduszom inwestycyjnym czy domom maklerskim) są niezwykle rygorystyczne. Od tego typu podmiotów wymaga się dopełnienia najwyższych standardów w zakresie kadry zarządzającej, infrastruktury IT, ochrony informacji poufnych, a nawet warunków lokalowych, w których prowadzona jest działalność. Z kolei podmioty z branży fintech działają w dużej mierze poza bezpośrednią regulacją prawną, a świadczone przez nie usługi nie podlegają zwykle kognicji właściwych organów nadzoru lub podlegają jej w ograniczonym zakresie*.Oznacza to, że – co do zasady – restrykcyjne ograniczenia przewidziane dla tradycyjnych podmiotów rynku kapitałowego nie znajdują do nich zastosowania, a żaden organ centralny nie sprawuje nadzoru nad standardem świadczonych przez nie usług. Nie da się zatem w sposób rzetelny i kompleksowy zweryfikować, czy dany podmiot wykonuje swoją działalność z dołożeniem najwyższej staranności.Prowadzi to do obniżenia poziomu ochrony klienta względem usług finansowych z sektora regulowanego. Nie mają charakteru bezprecedensowego incydenty związane z wyciekiem danych, utratą środków klientów w wyniku ataków hakerskich, awariami technicznymi czy problemami z płynnością finansową. To wszystko z kolei negatywnie odbija się na reputacji fintechów i rażąco podważa zaufanie klientów. Kluczowe jest więc, by fintechy przywiązywały szczególnie dużą wagę do zapewnienia odpowiednio wysokich standardów w każdej sferze prowadzonej działalności. Nieocenione w tym zakresie jest wdrożenie sprawnego systemu compliance, którego podstawowym celem będzie kontrola legalności i prawidłowości podejmowanych działań.

Brak konkretnych obowiązków ustawowych w zakresie zarządzania ryzykiem braku zgodności bardzo często skłania przedsiębiorców do bagatelizowania krytycznych sfer swojej działalności, głównie ze względu na redukcję kosztów. Oszczędności są jednak często tylko pozorne, bowiem koszty przywrócenia działalności przedsiębiorstwa do stanu sprzed incydentu wywołanego brakiem zgodności niejednokrotnie znacząco przewyższają koszty kompletnego wdrożenia sytemu compliance. Zaleca się więc, aby fintechy stosowały się do odpowiednich przepisów i wytycznych dotyczących regulowanych podmiotów rynku finansowego na zasadzie dobrych praktyk.Rzecz jasna takie działanie musi być adekwatne do skali i specyfiki prowadzonej działalności, tak aby ułatwiać sprawne funkcjonowanie przedsiębiorstwa a jednocześnie nie stanowić nadmiernego i nieuzasadnionego formalizmu. Każdy fintech powinien zatem sam sporządzić mapę ryzyk związanych z prowadzoną działalnością i na tej podstawie opracować odpowiedni sposób ich ograniczania. Pewne obszary mają jednak charakter kluczowy niezależnie od specyfiki konkretnej działalności, można więc stworzyć uniwersalny katalog dobrych praktyk, których wdrożenie powinien rozważyć każdy podmiot:

• opracowanie zasad związanych z identyfikacją i zarządzaniem konfliktami interesów;
• opracowanie zasad związanych z ochroną informacji poufnych i stanowiących tajemnicę zawodową oraz ochroną danych osobowych;
• opracowanie zasad związanych z outsourcingiem, czyli powierzaniem wykonywania określonych czynności podmiotom zewnętrznym;
• opracowanie zasad związanych z rozpatrywaniem skarg i reklamacji;
• opracowanie zasad związanych z funkcjonowaniem infrastruktury IT i monitorowaniem jej zabezpieczeń.

W większości przypadków skala i rodzaj prowadzonej działalności nie będzie uzasadniała znaczącego rozbudowywania regulaminów i procedur wewnętrznych, jednak dla przejrzystości zaleca się, aby zasady postępowania w wyżej wymienionych obszarach zostały zebrane w zwięzłych procedurach (instrukcjach) wewnętrznych, tak by ujednolicić praktykę. Przestrzeganie tych zasad powinno być również stale monitorowane przez wyznaczony do tego podmiot.

*Na przykład, działalność w charakterze dostawcy świadczącego wyłącznie usługę dostępu do informacji o rachunku (AISP) jest działalnością regulowaną w rozumieniu przepisów ustawy Prawo przedsiębiorców i wymaga uzyskania wpisu do prowadzonego przez Komisję Nadzoru Finansowego rejestru dostawców usług płatniczych i wydawców pieniądza elektronicznego. Podjęcie działalności w charakterze AISP nie wymaga natomiast uzyskania zezwolenia KNF, a zatem zakres i intensywność nadzoru nad tego typu podmiotami jest znacząco ograniczona względem np. krajowych instytucji płatniczych.