belso-ellenorzes-penzugyi-szektor-prioritasok-iranyitas-kockazatkezeles-es-kultura-2022

Elemzések

Irányítás, Kockázatkezelés és kultúra

Belső Ellenőrzés a pénzügyi szektorban – Prioritások 2022-ben

4.1. Harmadik felekkel kapcsolatos kockázatkezelés – szabályozói előírások

Miért fontos?

Egyetlen vállalati szervezet sem működik teljesen elszigetelten, és bár nem feltétlenül minden szervezet növeli „ökoszisztémáján” belül a harmadik felekkel való együttműködés mértékét, azt a tendenciát látjuk és tapasztaljuk, hogy a szervezetek egyre inkább függenek a harmadik felekkel való kapcsolatoktól. Ennek okai között szerepel a kapcsolatok jellege, a szolgáltatások testre szabottsága (ami kihívást jelent a helyettesíthetőség szempontjából), vagy akár az, hogy a kiszervezett tevékenységek mennyire állnak közel az adott szervezet által nyújtott az alapvető szolgáltatásokhoz. Az ilyen jellegű együttműködések esetleges hibáinak pénzügyi következményei (bírságok, ügyfélvesztés vagy hírnévvesztés révén) igen költségesek. A COVID-19 járvány ráadásul gyorsan növelte a harmadik feles kockázatokra irányuló figyelmet, mivel a cégek a teljes működésükben gyorsuló digitalizációval szembesültek, és a hagyományos szolgáltatások és működési modellek ilyen rövid időn belül példátlan változásokat igényeltek az új munkamódszerekhez.

Tapasztalataink azt mutatják, hogy azok a cégek, amelyek elismerik a harmadik feles együttműködésekből fakadó kockázatok több szervezeti funkciót érintő jellegét, és a harmadik felek felügyeletét holisztikus módon, a technológia segítségével valósítják meg, sokkal nagyobb egyértelműséget és következetességet érnek el, mint azok a cégek, amelyek az egyes harmadik felek kockázatainak értékelését különálló, elszigetelt csapatokban végzik.

Mi változott?

Bár a pénzügyi szektor piaci szereplőinek belső ellenőrzése előtt e téren számos szabályozási követelmény már nem jelent újdonságot, 2021-ben jelentős új szabályozási változások történtek a harmadik felek kockázatával kapcsolatban, amelyek kiszélesítették a piaci szereplőkre vonatkozó követelmények körét.

Mi a belső ellenőrzés feladata?

A belső ellenőrzésnek át kell tekintenie, hogy a cég rendelkezik-e megfelelő harmadik fél kockázatkezelési keretrendszerrel (a továbbiakban: TPRM), és ezt mind a tervezés és mind a működés hatékonysága szempontjából meg kell vizsgálnia:

A kontroll kialakításának hatékonysága szempontjából:

Értékelje, hogy a következő tényezőket megfelelően alakították-e ki:

  • Átfogó irányítási (governance) modell;
  • TPRM keretrendszer és kapcsolódó szabályzatok;
  • Feladatok és kötelezettségek megfelelő felosztása;
  • Folyamatok és kontrollok a harmadik felek kockázatainak kezelésére azok teljes életciklusa során;
  • A TPRM folyamatot támogató eszközök és technológia; valamint
  • A kockázati hajlandóság és tolerancia mérésére használt mérőszámok megfelelősége a szervezeten belül.

A kontroll működési hatékonyságának szempontjából:

Értékelje az ellenőrzési teljesítményt a következő területeken:

  • Kockázatok azonosítása és értékelése;
  • Harmadik felek kiválasztása;
  • Szerződések végrehajtása;
  • Feladatok és felelősségek felosztása;
  • Folyamatos monitoring és jelentéstétel értékelés; és
  • Szerződés felbontása vagy megújítás kezelése.

Aktuális témák – A COVID-19 világjárvány okozta bizonytalanság miatt különös figyelmet kell fordítani annak megértésére, hogy a TPRM-keret hogyan értékeli és ellenőrzi a pénzügyi fizetésképtelenséget, a működési ellenálló képességet („operational resilience”), az alvállalkozói kockázatot és a digitális kockázatot. A belső ellenőrzésnek például meg kell értenie, hogy a vállalat hogyan használja azokat az eszközöket, amelyek lehetővé teszik a valós idejű információkhoz való hozzáférést, hogy kiegészítsék a hagyományosabb, "point-in-time" adatgyűjtést, annak a prioritás megfelelő kezelése érdekében, hogy a vállalatok továbbra is kellő időben és megfelelően reagáljanak a világjárvány által kialakult körülményekre.

Szabályozói megfelelés – A legfontosabb szabályozói követelmények való megfelelés értékelése, beleértve a következőket:

  • Az Európai Bankhatóság (European Banking Authority – EBA) , az Európai Értékpapír-piaci Hatóság (European Securities and Markets Authority – ESMA), az Európai Biztosítás- és Foglalkoztatói nyugdíj-hatóság (European Insurance and Occupational Pensions Authority – EIOPA) és mások által közzétett kiszervezési iránymutatások („guidelines).

4.2. Javadalmazás - Kockázat és jutalom

Miért fontos?

Az elmúlt években a pénzügyi szolgáltató szervezetek szabályozási és irányítási keretei egyre összetettebbé váltak, és ennek a keretrendszernek kulcsfontosságú részét képezi a javadalmazás. A banki, vagyonkezelési és biztosítási ágazatban a javadalmazás továbbra is az Egyesült Királyság és az EU szabályozó hatóságainak egyik legfontosabb területe, tekintettel a kockázat („risk”), a jutalmazás („reward”) és az egyéni elszámoltathatóság („accountability”) közötti kapcsolatra. A javadalmazási struktúrák, politikák és folyamatok az Egyesült Királyságban és uniós szinten jelentős szabályozási változások tárgyát képezték, például azzal kapcsolatban, hogy pénzügyi szektor szereplőinek miként kell azonosítaniuk a "lényeges kockázatot vállalók" körét, és hogyan kell a változó javadalmazást meghatározni és a teljesítmény alapján az egyéneknek kiosztani, biztosítva ugyanakkor, hogy a változó javadalmazás megfelelően igazodjon a kockázathoz, és ne befolyásolja a pénzügyi vállalkozás azon képességét, hogy tőkehelyzete szilárd és megfelelő legyen.

Mi változott?

  • Bár a pénzügyi szektorban a különböző iparágakban szinte azonos elvek érvényesek, a javadalmazási szabályok és a legújabb fejlemények az egyes ágazatokra specifikusan jellemzőek, amelyek megfelelő implementálására az EU szabályozó hatóságai egyre nagyobb hangsúlyt fektetnek.
  • A pénzügyi szektor szereplői számára további követelmény, hogy javadalmazási politikáik végrehajtását legalább évente belső felülvizsgálatnak kell alávetni. Banki környezetben a szabályozói iránymutatás elvárja, hogy ezt a felülvizsgálatot a belső ellenőrzés végezze el. A vagyonkezelő cégek esetében a jelenlegi iránymutatás kevésbé előíró jellegű, bár elvárja, hogy a cégek biztosítsák a felülvizsgálat függetlenségét. A befektetési vállalkozásokról szóló irányelv (IFD) szerinti uniós iránymutatás tervezete azt sugallja, hogy a belső ellenőrzésnek kell elvégeznie ezt a felülvizsgálatot. A gyakorlatban egyes vállalatok időszakonként (pl. háromévente) átfogó felülvizsgálatot végeznek, majd évente váltakozó alapon bizonyos területeket részletesebben felülvizsgálnak. Fontos lesz azonban annak biztosítása, hogy a javadalmazási szabályoknak való folyamatos megfelelés érdekében figyelembe vegyék a politikák, folyamatok és gyakorlatok évről-évre történő lényeges változásait.
  • A bankszektor európai szereplői esetében a tőkekövetelmény-irányelv (CRD V) módosított javadalmazási szabályai alkalmazandóak. Ez magában foglalt bizonyos változásokat a lényeges kockázatvállalók azonosításának módjában, valamint bizonyos javadalmazási szabályok arányossági alapon történő alkalmazásának mellőzésének tekintetében.

Mi a belső ellenőrzés feladata?

A kontrollok kialakításának minősége tekintetében: A jelenlegi javadalmazási politikák, javadalmazási irányítási keretek és közzétételek körüli folyamatok felülvizsgálata annak megállapítása érdekében, hogy azok megfelelnek-e az alkalmazandó javadalmazási szabályozási követelményeknek, beleértve a következőket:

  • Javadalmazási politikák és kiegészítő politikák és eljárások, például a fix és változó javadalmazás szerkezetére és meghatározására, a lényeges kockázatvállalók azonosítására, a változó javadalmazás szerkezetére (beleértve pl. a teljesítményfeltételeket (KPI), valamint az újonnan felvett és távozó munkavállalók kezelésére vonatkozóan;
  • Irányítás, beleértve a javadalmazási bizottság összetételét és szerepét, valamint az ellenőrzési funkciók (pl. Kockázatkezelés/Compliance) szerepét a tágabb javadalmazási irányításon belül, beleértve az év végi folyamatot; és
  • Adott esetben különös figyelmet kell fordítani az üzleti tevékenység azon területeire, ahol a jutalékalapú megállapodások befolyásolják a jutalmazást.

A kontrollok megvalósításának hatékonysága tekintetében: A javadalmazási politikát alátámasztó folyamatok és eljárások alkalmazásának és végrehajtásának tesztelése annak biztosítása érdekében, hogy azok szilárdak (kellően robosztusak) és hatékonyak legyenek, és a vonatkozó szabályoknak és szabályozói iránymutatásoknak megfelelően működjenek:

  • A pénzügyi vállalkozás döntéshozatali keretrendszerének felülvizsgálata (pl. az kontroll- és egyéb releváns funkciók hozzájárulása, a lényeges kockázatvállalók felé történő kifizetések felügyelete, a cég tőkemegfelelésének értékelése);
  • A javadalmazási folyamat és eljárások kontrolljának tesztelése (pl. a lényeges kockázatvállalók azonosítása); és
  • A releváns IT rendszerek és általuk előállított riportok vagy egyéb output-ok szúrópróbaszerű ellenőrzése.
  • A javadalmazási és ösztönző rendszereket az üzletág valamennyi részlegében annak biztosítása érdekében, hogy azok hatékonyan ösztönözzék az ügyfélközpontú kultúrát, és ne ösztönözzék a nem megfelelő kockázatvállalást.
Hasznosnak találta?