Aktuální poznatky ČNB z kontrol nastavení vnitřních kontrolních systémů úvěrových institucí

Tento blog byl zveřejněn jako odborný článek v časopisu Interní auditor č. 4/2020 (externí odkaz, pdf)


Úvodem

Česká národní banka se při kontrolách činnosti úvěrových institucí systematicky věnuje mj. nastavení jejich vnitřních kontrolních systémů. Prověřuje je jak ve vztahu k jednotlivým činnostem a procesům, tak v celkovém kontextu podmínek bank a družstevních záložen. Hodnotí přitom adekvátnost jejich koncepčního a systémového nastavení a předpokladů jejich řádného fungování.

Přestože úvěrové instituce obecně stále více vnímají důležitost svých kontrolních systémů, setkává se dohled ČNB i nadále s některými nedostatky  v jejich nastavení. Ty občas bývají důsledkem nedostatečného zohlednění významných změn v organizaci činnosti, změny obchodního modelu, rozšíření škály poskytovaných služeb nebo skupinových vlivů, pro něž je příznačná snaha o centralizaci činností v zájmu vnitroskupinové optimalizace nákladů. Další slabiny v nastavení systému lze pozorovat u subjektů určité velikosti, akcionářské struktury anebo v souvislosti s korporátní kulturou.

Záměrem tohoto článku je zprostředkovat interním auditorům souhrnnou informaci o typologii slabin v nastavení vnitřních kontrolních systémů úvěrových institucí a jejich nežádoucích projevech, se kterými se ČNB při výkonu dohledu setkává, poskytnout jim perspektivu dohledu a případně i inspiraci při hledání přiměřeného nastavení vnitřního kontrolního systému.

Outsourcing kontrolních funkcí

Pozorovatelný trend charakteristický pro skupiny úvěrových institucí představuje vnitroskupinový outsourcing. Jakkoliv je hledání co nejhospodárnějšího modelu fungování skupin prostřednictvím vnitroskupinového outsourcingu přirozené, je třeba mít na paměti, že tyto snahy mají své nepřekročitelné normativní limity. Při přeshraničním vnitroskupinovém outsourcingu je klíčové, aby činnost byla navzdory jejímu přeshraničnímu zajištění vykonávána v kontextu lokálních specifik. Riziko, že zahraniční „matka“ zdaleka nepřizpůsobí dostatečně svou přeshraničně poskytovanou činnost lokálním podmínkám, musí být příjemcem outsourcingu řízeno. Uvedené riziko se nemusí projevit jen nepatřičně velkými prodlevami reakce outsourcovaných komponent řídicího a kontrolního systému na lokální podmínky, ale i ztrátou povědomí o fungování těchto komponent na straně příjemce outsourcingu. Při takovémto uspořádání je přitom důležitá nejen role poskytovatele outsourcingu, ale i jeho příjemce. Využitím outsourcingu totiž není nijak dotčena jeho veřejnoprávní odpovědnost za řádný výkon činnosti. Od příjemce outsourcingu se tedy stále očekává jeho aktivita, iniciativa, určování dalšího směřování a určování konkrétní podoby činnosti, pravidelné přehodnocování nastaveného uspořádání, soustavné řízení rizika střetu zájmů a v neposlední řadě kontrola kvality činnosti.

Obdobně negativní projevy lze pozorovat ve větší či menší míře i u čistě lokálního vnitroskupinového outsourcingu. Následování tohoto trendu mívá poměrně často za následek podcenění nastavení (závazného) režimu poskytování outsourcingu a jeho parametrů či podcenění řízení rizika střetů zájmů ze strany jeho příjemce. Jde přitom o poměrně přirozený efekt. K rozhodnutí o tom, že ke vnitroskupinovému outsourcingu dojde, dochází typicky v rámci tzv. koncernového řízení „shora“, tj. de facto u poskytovatele outsourcingu. Přitom jak již bylo uvedeno výše, ani tato faktická okolnost nezbavuje příjemce outsourcingu jeho odpovědnosti.

ČNB tak mívá výhrady nejen k obsahu smluvního závazku, ale i k vyhodnocování přínosů a rizik outsourcingu, jakož i k míře připravenosti na jeho případné ukončení. V těchto případech nezřídka konstatuje nežádoucí oslabení postavení příjemce outsourcingu a nepatřičné omezení jeho kontroly nad přijímanou službou, jakož i nedostatečnou míru detailu úpravy vzájemných práv a povinností. Právní úprava sice připouští určité modifikace podmínek využívání outsourcingu uvnitř skupiny, avšak jen za předpokladu, že nebude dotčena účinnost řízení rizika outsourcingu jeho příjemcem.

Typickým takovým příkladem nastavení vnitroskupinového outsourcingu jsou případy vyšší koncentrace outsourcingu, kdy poskytovatel outsourcingu zajišťuje určitou činnost (např. obchodní), přičemž zároveň ve vztahu k této činnosti poskytuje i služby kontrolních funkcí (řízení rizik, compliance, vnitřní audit). Tyto případy musejí být posouzeny z pohledu rizika střetu zájmů, a to v kontextu konkrétních navrhovaných parametrů smlouvy o outsourcingu. Uzavřená smlouva o outsourcingu musí výsledek tohoto posouzení náležitě reflektovat.

Podstatné je v tomto ohledu také zmínit, že přistoupení k outsourcingu s sebou zákonitě nese i zvýšení osobnostních požadavků na pracovníky, kteří pracují s výstupy poskytovatele outsourcingu a sledují jejich kvalitu, resp. řídí riziko spojené s daným případem outsourcingu. V závislosti na rozsahu a míře outsourcingu se tyto požadavky mohou zvýšit až na úrovni členů vedoucích orgánů úvěrových institucí. V rámci systému zajišťování vhodnosti osob (individuální i kolektivní) je třeba tyto faktory náležitě zohledňovat.

Na pozadí úvah o zahájení vnitroskupinového outsourcingu bývá snaha o optimalizaci využití pracovních kapacit. ČNB se v tomto ohledu nicméně setkává i s případy, kdy na straně příjemce outsourcingu dochází k postupné ztrátě potřebné odbornosti – typicky v oblasti pokročilých přístupů používaných k řízení rizik. Uvedené se pak může materializovat při řízení rizika spojeného s daným případem outsourcingu, jakož i v případě potřeby opětovně převzít vlastními kapacitami výkon dosud outsourcované činnosti.

Funkce vs. útvar compliance

Je běžné, že jsou v podmínkách úvěrových institucí zřizovány útvary compliance a že jsou v organizační struktuře i správně vymezovány pracovní pozice osob ve vedení funkce compliance. Spíše výjimečně se lze setkat s nedostatkem, že by osoby ve vedení těchto funkcí nebyly členy vrcholného vedení úvěrových institucí (tzv. B-1). Častěji však ČNB konstatuje nedostatečné rozlišování mezi útvarem compliance a funkcí compliance či nedostatečné promítnutí povahy funkce compliance a úlohy jejího vedení do podmínek úvěrové instituce.

Útvaru coby organizační jednotce je svěřena určitá agenda, která je v jeho působnosti koncentrovaná, a to v ideálním případě tak, že nevznikají žádné pozitivní ani negativní kompetenční spory. V případě, že do výkonu určité funkce může být zapojen jediný útvar, lze tak při určování organizačního zajištění výkonu této funkce postupovat. Tak tomu je např. v případě funkce vnitřního auditu. V případě funkce compliance, do jejíhož výkonu bývá nutně zapojeno více útvarů, tj. tato funkce je z hlediska organizačního zajištění dekoncentrovaná, takto postupovat nelze. Přesto či spíše právě proto je nezbytné, aby činnost funkce compliance byla napříč útvary náležitě koordinovaná. Tuto koordinaci má zajištovat osoba ve vedení této funkce, jíž je (nejen) pro tyto účely dáván k dispozici potřebný aparát, resp. jíž je podřízen, ať už přímo nebo zprostředkovaně, útvar compliance.

V praxi se lze stále relativně často setkat s tím, že útvar compliance, resp. osoba ve vedení funkce compliance, není dostatečně informován o tom, jaké kontroly jsou na jednotlivých úsecích nastaveny či jaké jsou jejich výsledky, a není dostatečně zapojen do nastavování těchto kontrol. Příslušné informace pak nejsou koordinovaně poskytovány ani vedoucím orgánům. Součástí těchto informací by přitom měly být i informace o personálních potřebách pro tyto účely a o míře jejich saturace. Pokud jde o monitoring právních předpisů, sledování vzájemného souladu vnitřních předpisů či jejich souladu s právními předpisy, zde ČNB významnější nedostatky běžně neshledává. V této oblasti je patrný důraz na koordinaci činnosti compliance. Naproti tomu v případě zajišťování souladu faktické činnosti s předpisy prostřednictvím vnitřních kontrol bývá situace s ohledem na nižší míru koordinace o poznání častěji méně uspokojivá.

Limitace funkce compliance

Některé otázky spadající do působnosti funkce compliance bývají, typicky z důvodu omezenosti dané interním vymezením této funkce, přehlíženy. Příkladem takové oblasti je rozdělení kompetencí mezi vedoucí orgány úvěrové instituce. ČNB se tak setkává s případy, kdy vrcholné předpisy sice v tomto ohledu vyhovují korporačnímu právu, jsou však rozporu se zvláštní úpravou platící pro tento sektor. Sektorové právní předpisy obsahují poměrně detailní požadavky na rozdělení kompetencí mezi řídicí a kontrolní orgány, přičemž normativně předpokládaná rovnováha bývá v podmínkách dotčených úvěrových institucí vychýlena ve prospěch kontrolního orgánu, a to cestou svěření předběžných kontrolních pravomocí. Konkrétně tak rozhodovací procesy předpokládají zapojení kontrolního orgánu, které je způsobilé znemožnit přijetí usnesení řídicím orgánem, a to v případech, ve kterých takovýto zásah není s ohledem na kogentní povahu právní úpravy na místě. Typicky se jedná o nutný předchozí souhlas či o nezbytné vyjádření kontrolního orgánu, bez něhož nemůže řídicí orgán rozhodovací proces ukončit (rozhodnutí o celkové strategii, dílčích strategiích, soustavě limitů, o nových produktech, organizační struktuře nebo třeba o plánování vnitřních auditů).

Neméně často zaznívá požadavek následného schválení usnesení řídicího orgánu kontrolním orgánem, aby se stalo usnesení řídicího orgánu závazným. Pak dochází k situacím, kdy pracovníci úvěrové instituce předpokládající, že vnitřními předpisy stanovený proces přijetí určitých rozhodnutí je v souladu s právními předpisy, mají za to, že dané rozhodnutí ještě nebylo přijato. Ve skutečnosti je ale s ohledem na charakter právní úpravy dodatečné schválení kontrolním orgánem bez významu, a usnesení přijatá řídicím orgánem jsou již finální.

Pro úplnost je však třeba dodat, že aktivní zapojení kontrolního orgánu do určitých (např. schvalovacích) procedur se předpokládá. Je jeho povinností se kriticky a konstruktivně podílet na vnitřních záležitostech úvěrové instituce - typicky ve formě oponentních návrhů, kritických stanovisek a iniciativ. Nemůže se tak však dít na úkor kompetencí, natož odpovědnosti představenstva.  V opačném případě by docházelo k oslabení nezávislosti dozorčí rady. Oba vedoucí orgány mají v tomto ohledu svou (vzájemně) nezastupitelnou úlohu.

Dalším příkladem nežádoucího vymezení kompetencí je svěření kompetencí, které náleží představenstvu, generálnímu řediteli, resp. předsedovi představenstva. ČNB se setkává někdy s tím, že jedna osoba může v nadměrné míře ovlivňovat činnost či předpoklady pro činnost úvěrové instituce. Požadavek na vyváženost kompetencí a zamezení neúměrného vlivu jedné osoby (či malé skupiny osob) je přitom jeden ze stěžejních. V některých případech svěření přílišných kompetencí kontrolnímu orgánu bylo zjištěno i neúměrně silné postavení předsedy tohoto orgánu.

Předmětem zájmu funkce compliance tedy mají být i základní otázky správy a řízení společnosti. I v těchto otázkách je žádoucí, aby se jich přímo nebo prostřednictvím jí podřízených pracovníků angažovala osoba ve vedení této funkce.

Limitace funkce vnitřního auditu

I v současnosti, byť jde o ojedinělé případy, zjišťuje ČNB koncepční nedostatky funkce vnitřního auditu. U některých úvěrových institucí dochází k selhání při analýze rizik a následném plánování, které může vést k systematickému opominutí některých rizikově významných či povinně v určité frekvenci prověřovaných oblastí činnosti úvěrové instituce vnitřním auditem. Analýza rizik v takových případech typicky vznikala bez náležitého metodického podkladu, a to převzetím analýz zpracovaných jinými útvary bez vlastní úvahy vnitřního auditu (typicky RCSA), nebo byla nepřezkoumatelná. Periodické a strategické plány činnosti vnitřního auditu zpracovávané na základě těchto analýz pak nereflektovaly skutečnou potřebu rozsahu a frekvence prověření činností uvěrové instituce. V důsledku toho pak ani vlastní činnost vnitřního auditu neodpovídala potřebám úvěrové instituce.

Nedostatky byly zjištěny i ve vyhodnocování personálních potřeb pro účely vnitřních auditů. Ty se pak v některých případech promítaly i do kvality prověření určitých oblastí audit universe, typicky pak v těch případech, pro jejichž plnohodnotné prověření je nezbytná specifická odbornost. Samostatně lze zmínit i každoročně zpracovávané souhrnné zprávy vnitřního auditu o řídicím a kontrolním systému. Ty ve výjimečných případech poskytovaly zkreslenou, resp. nepodloženě optimistickou informaci o stavu řídicího a kontrolního systému. Nepostihovaly totiž některé aspekty tohoto systému buď vůbec, nebo je sice zmiňovaly, ale nedostatečně je zohledňovaly v rámci souhrnného hodnocení stavu řídicího a kontrolního systému.

Pasivita kontrolního orgánu

Nehledě na to, že právní předpisy předpokládají vlastní kontrolní činnost kontrolního orgánu, mají se kontrolní orgány vhodným způsobem zapojovat do určování podoby vnitřního kontrolního prostředí úvěrových institucí. Kontrolní orgány nicméně někdy nevyvíjejí v tomto ohledu dostatečnou iniciativu. Nedostatečně aktivní kontrolní orgán se pak typicky spokojuje s podklady, které nejsou dostatečně detailní, věrohodné či nedávají dostatečnou míru ujištění. Paradoxně pak výstupy činnosti takto nečinného kontrolního orgánu mohou vyvolávat zavádějící dojem, že řídicí a kontrolní systém netrpí významnějšími nedostatky.

Nedostatečná rekonstruovatelnost rozhodovacích a kontrolních procesů

Základním předpokladem pro ověření souladu určité činnosti s normou je možnost skutkový stav rekonstruovat. Přestože neformalizované procesy mohou být z hlediska fungování úvěrových institucí přínosné, zůstává faktem, že jimi lze formalizované procesy pouze doplňovat, nikoliv suplovat. Pro neformalizované procesy je navíc příznačné, že postrádají auditní stopu. Jinými slovy lze jen velmi obtížně prokazovat, že proběhly a s jakým výsledkem. V různé míře pak dochází k situacím, kdy pracovníkům úvěrových institucí nezbývá než tvrdit, že určitá činnost probíhá, resp. že probíhá určitým způsobem. Postrádají však pro tato tvrzení potřebné důkazy, ať už v podobě metodických podkladů či výstupů z dané činnosti. Naplňování požadavku na rekonstruovatelnost je přitom stejně důležité jak pro výkon dohledu, tak pro vlastní potřeby úvěrových institucí. Představuje totiž nejen základní předpoklad pro výkon vnitřní kontroly a pro zjednání nápravy, ale i pro zajištění kontinuity (typicky při personální obměně).

Obcházení řídicího a kontrolního systému

Naštěstí jen ojediněle se dnes ČNB setkává s tím, že dochází k obcházení vlastních pravidel úvěrové instituce doprovázeného zastíráním tohoto jednání. Ať už jde o antedatování materiálů nebo o postupy prováděné s cílem, aby je nebylo možné prokázat, lze konstatovat, že tyto druhy jednání jsou charakteristické tím, že bývají úzce spojeny s působením jednotlivce nebo v horším případě (z hlediska dopadů i obtížnosti prokázání) úzké skupiny spolupracujících osob. Sotva je možné očekávat, že vnitřní kontrolní systém bude správně fungovat i proti tomu, kdo jej vytváří. Stěží lze také předpokládat, že ten, kdo má v úmyslu tento nástroj obcházet, nastaví jej tak robustně (procesně, kompetenčně či technicky), aby mu to nebylo umožněno. Má-li však někdo v úmyslu takto postupovat, musí mít na paměti, že pro tyto případy je kromě standardních dohledových nástrojů vytvořen mechanismus k hlášení porušení nebo hrozícího porušení obezřetnostních předpisů. Nezareaguje-li vnitřní kontrolní systém a vedoucí orgány na interní podněty adekvátně, mají pracovníci možnost využít mechanismus ČNB. Pro výkon dohledu může jít o cenný zdroj informací.

Závěrem

Přes uvedený výčet slabin v nastavení vnitřních kontrolních systémů je zjevné, že úvěrové instituce věnují svým kontrolním systémům stále větší pozornost. To se příznivě projevuje i na vývoji typologie a četnosti nedostatků v jejich činnosti. Na rozdíl od minulosti ČNB už nemusí vyvracet ani krajní názor, že její kontrolní činnost plní v podstatě pomyslnou čtvrtou linii obrany, tedy názor, že při selhání první, druhé i třetí vnitřní linie obrany je zde stále ještě „záchrana“ v podobě upozornění od dohledu ČNB. Negativní projev tohoto přístupu byl zřejmý. Docházelo při něm ke koncepčnímu poddimenzování vnitřního kontrolního systému se všemi důsledky pro zranitelnost instituce.

I v současnosti se lze samozřejmě setkat s případy, kdy dochází k selháním, jejichž vzniku kontrolní systém nezabránil nebo které včas neodhalil. V závislosti na jejich povaze, příčinách, důsledcích a dalších okolnostech ČNB citlivě volí přiměřenou dohledovou reakci. Pro většinu nedostatků není třeba zahajovat správní řízení. Instituce samy a často ještě před skončením kontrol přijímají opatření vedoucí k nápravě stavu. ČNB postupuje formou správních řízení u nedostatků vykazujících vyšší míru závažnosti a při zohlednění okolností případu. Lze přitom shrnout, že případů, kdy dochází k nápravě, aniž by postup dospěl do fáze zveřejněného rozhodnutí, je naprostá většina. Není proto překvapivé, že úplnou představu o poznatcích dohledu ČNB v této oblasti nelze získat pouze ze zveřejňovaných informací. Konečně i pro účely tohoto článku byly dohledové poznatky sepsány tak, aby se s nimi čtenář mohl blíže seznámit a přitom si je nemohl spojit s konkrétní úvěrovou institucí.