Ryzyko prawne jest jedną z wyróżnianych podkategorii ryzyka operacyjnego, które nie posiada legalnej definicji w systemie prawa wspólnotowego, jak również w polskich przepisach prawa. Pewne lakoniczne stwierdzenia zawiera jedynie ust. 644 raportu Bazylejskiego Komitetu Nadzoru Bankowego wskazując, iż „ryzyko operacyjne obejmuje ryzyko prawne, lecz nie obejmuje ryzyka strategicznego i ryzyka reputacyjnego”. Ponadto, zgodnie z wspomnianym raportem Komitetu Bazylejskiego, ryzyko operacyjne można rozumieć jako: ryzyko straty wynikającej z niewłaściwych lub zawodnych procesów wewnętrznych, ludzi i systemów technicznych lub ze zdarzeń zewnętrznych.
Tym samym należy wskazać istotną wstrzemięźliwość w zakresie definicji legalnych pojęcia ryzyka prawnego w aktualnym stanie prawnym, zarówno w systemie normatywnym wspólnoty europejskiej, jak również w obszarach pozostawionych kompetencji prawodawstw krajowych państw członkowskich.
DEFINICJA
Biorąc powyższe pod uwagę, dla potrzeb niniejszego artykułu, ryzyko prawne można zdefiniować jako prawdopodobieństwo poniesienia strat materialnych i niematerialnych, powstające m.in.: na skutek błędnego lub zbyt późnego opracowania lub uchwalenia regulacji prawnych; niestabilności uregulowań prawnych; zmian w orzecznictwie; błędnego ukształtowania stosunków prawnych; czy też niekorzystnych rozstrzygnięć sądów lub organów administracji publicznej rozstrzygających sprawy sporne powstających na tle stosunków prawnych danej organizacji z innymi podmiotami.
Na co warto zwrócić szczególną uwagę w kontekście przedstawionej powyżej definicji ryzyka prawnego?
Po pierwsze, należy podkreślić, iż ryzyko to prawdopodobieństwo wystąpienia strat lub innych nieprzewidzianych okoliczności, które takie straty mogą powodować. Tym samym, o ryzyku nie mówimy w kategoriach „pewności” (że coś na pewno się zdarzy), a to oznacza, że niepożądane przez nas zdarzenie może, choć nie musi się wydarzyć. Po drugie, prawdopodobne straty, które bez wątpienia wpływają na wynik finansowy danej organizacji, a tym samym na jej konkurencyjność, mogą mieć charakter materialny lub niematerialny. Po trzecie, zaproponowana definicja ryzyka prawnego wskazuje, iż zdarzenia generujące ten rodzaj ryzyka mogą mieć charakter wewnętrzny i zewnętrzny. To oznacza, że na pewne zdarzenia możemy mieć wpływ w ramach własnej organizacji, gdyż mają one miejsce wewnątrz banku, i ograniczanie tych zdarzeń zależy od poprawnego działania choćby służb prawnych, audytu wewnętrznego, czy też komórek compliance. Natomiast na inne zdarzenia (zewnętrzne), które mają miejsce poza strukturami naszej organizacji wpływu mieć nie możemy (np. zmiany w prawie, tworzona linia orzecznicza sądów, polityka nadzorcza etc.), niemniej, musimy być na nie w odpowiedni sposób przygotowani.
PODKATEGORIE
Ryzyko prawne nie jest pojęciem jednolitym, a tym samym niezbędnym wydaje się wyróżnienie co najmniej kilku podkategorii tego rodzaju ryzyka, dla poprawnego zrozumienia jego istoty. Można wyróżnić następujące podkategorie ryzyka prawnego:
1. Ryzyko poniesienia straty
Najszerszą zakresowo podkategorią ryzyka prawnego jest bez wątpienia ryzyko poniesienia straty, które należy rozumieć jako potencjalną możliwość poniesienia strat operacyjnych oraz utraty aktywów przez bank komercyjny.
Jako przykład można podać następujące rodzaje zdarzeń, które generować mogą występowanie ryzyka poniesienia straty przez bank:
– wadliwie dokonywanie czynności bankowych (art. 5 ustawy Prawo bankowe) i innych czynności przez bank (art. 6 ustawy Prawo bankowe);
– nieprawidłowa konstrukcja umów cywilnoprawnych, których jedną ze stron jest bank (nieprecyzyjnie określone prawa i obowiązki stron, które skutkują powstaniem wątpliwości interpretacyjnych, czy też wadliwe określenie zakresu odpowiedzialności stron, terminów, a także miejsca wykonania świadczenia etc.);
– niewłaściwe wykonywanie umów cywilnoprawnych, których stroną jest bank;
– brak wewnętrznej współpracy w „obsłudze” poprawnego wykonywania umów przez bank, pomiędzy służbami prawnymi (etap negocjacji i zawarcia umów), jednostkami nadzorującymi wykonanie umów (właściwe departamenty operacyjne) oraz na przykład księgowością;
– wadliwe procedury wewnętrzne, powodujące brak badania należytych zabezpieczeń ze strony kontrahentów banku, brak zbadania zdolności kontrahenta do wykonania umowy, czy nawet brak zbadania należytego umocowania kontrahenta do zawarcia umowy.
Wszystkie wskazane powyżej przykłady zdarzeń mogą generować występowanie ryzyka poniesienia straty przez bank.
2. Ryzyko sporów sądowych
Kolejna podkategoria ryzyka prawnego związana jest ze zdarzeniami, które powodują zarówno potencjalną możliwość wszczęcia postępowań we wszystkich istniejących trybach proceduralnych (cywilnym, karnym oraz administracyjnym i podatkowym), w których stroną będzie bank, jak również prawdopodobieństwo wydania niekorzystnych dla banku rozstrzygnięć.
Jako przykład można podać następujące rodzaje zdarzeń, które generować mogą występowanie ryzyka sporów sądowych dla banku:
– wadliwie wykonywanie ciążących na banku obowiązków, wynikających z norm prawnych, których adresatem są banki, jak również z postanowień umów cywilnoprawnych i innych aktów prawnych o charakterze prywatnoprawnym, co skutkuje podstawą dla osób trzecich do wszczęcia określonych postępowań;
– brak przygotowania, a także analizy wiarygodności i przydatności posiadanych przez bank dowodów, w okresie poprzedzającym wszczęcie określonego postępowania;
– brak analizy prawdopodobieństwa wydania niekorzystnego dla banku rozstrzygnięcia przed rozpoczęciem postępowania (wyroku, decyzji, postanowienia);
– niewłaściwy dobór pełnomocników reprezentujących bank w określonym rodzaju postępowania.
3. Ryzyko błędnej wykładni
Bardzo istotną dla analizy ryzyka prawnego podkategorią jest także ryzyko błędnej wykładni, które wynika z niewłaściwie przeprowadzonej analizy przepisów prawa powszechnie obowiązującego. Błędna wykładnia może być dokonywana zarówno przez służby prawne banku, jak też może powstać w ramach outsourcingu usług prawnych.
4. Ryzyko legislacyjne
Ryzyko o charakterze zewnętrznym, na które osoby odpowiedzialne za zarządzanie ryzykiem operacyjnym w danej organizacji nie mają bezpośredniego wpływu. Ryzyko to wynika ze niekorzystnych dla prowadzonej przez bank działalności zmian w prawie, przygotowywanych i uchwalonych zarówno przez polskiego, jak i wspólnotowego prawodawcę.
Zmiany w prawie, tak w sferze funkcjonowania banków, jak i w odniesieniu do wszystkich rodzajów przedsiębiorców (choćby zmiany w prawie podatkowym) mogą spowodować pogorszenie warunków działalności bankowej, wpływając w istotny sposób na dochodowość (rentowność) prowadzonej przez banki działalności. Tym samym, niezbędny wydaje się stały monitoring w zakresie prac legislacyjnych, tak w wymiarze krajowym, jak i wspólnotowym.
5. Ryzyko zgodności (compliance)
Badanie zgodności (compliance) to stosunkowo nowy obszar aktywności w funkcjonowaniu banków, które można zaliczyć do mechanizmów wspomagających systemy kontroli wewnętrznej w bankach.
Analiza zgodności, przedstawiając to w pewnym uproszczeniu, polega na weryfikowaniu zgodności regulacji prawa wewnętrznego, przyjętych i stosowanych w bankach, z regulacjami prawa powszechnie obowiązującego oraz normami tworzonymi przez nadzór bankowy. Compliance jest zatem swoistą „wewnętrzną implementacją” norm prawa adresowanego do banków, w wewnętrznych regulacjach utworzonych w ramach tejże organizacji (np. w regulaminach wewnętrznych banku).
6. Ryzyko reputacyjne
Biorąc pod uwagę względnie bezpieczne funkcjonowanie polskiego systemu bankowego, będącego wynikiem wieloletnich działań polskiego nadzoru bankowego, banku centralnego, a także Bankowego Funduszu Gwarancyjnego, powodujące, że klienci banków mogą koncentrować się raczej na atrakcyjności ofert w zakresie produktów bankowych, nie zaś bezpośrednio na bezpieczeństwie środków finansowych, tym samym „zapominając” nieco o samym zagadnieniu bezpieczeństwa powierzonych bankom środków – dbałość o reputację banku nabiera pierwszorzędnego znaczenia. Wszelkie spektakularne pomyłki i wady prawne związane z funkcjonowaniem banku, w szczególności nagłośnione przez środki masowego przekazu, mogą znacznie wpłynąć na utratę zaufania klientów do danego banku, a także skoncentrować szczególną uwagę nadzoru ostrożnościowego na standardach prowadzonej przez dany bank działalności.
Tego typu zdarzenia mogą w najgorszym przypadku doprowadzić do powstania strat z tytułu „odejścia” znacznej liczby klientów banku, gdyż utrata zaufania do banku, połączona z intensywną działalnością konkurencyjnych banków, może prowadzić do rezygnacji z korzystania z usług oferowanych przez dany bank.
Tym samym, ryzyko reputacyjne, pomimo że nie posiada „materialnego” charakteru, może mieć bardzo istotne „majątkowe” implikacje dla wyniku finansowego uzyskiwanego przez dany bank, co powoduje, że zainteresowanie ograniczania tego rodzaju ryzyka powinno być priorytetowe z punktu widzenia istotnych interesów danej organizacji.
SZACUNKI
Używając przede wszystkim metod jakościowych, zarządzanie ryzykiem opiera się na stałym przeprowadzaniu szacunków. Ryzyko operacyjne (w tym także ryzyko prawne) szacuje się z wykorzystaniem dwóch podstawowych parametrów: „prawdopodobieństwa” i „skutków”.
Z jednej strony, analizujemy procentowo określone „prawdopodobieństwo” wystąpienia niepożądanego zdarzenia, zaś z drugiej strony, analizujemy „skutki” (czyli potencjalne straty), jeśli do niepożądanego przez nas zdarzenia miałoby dojść.
Przy wysokim poziomie ryzyka należy zadać sobie kluczowe dla analizy ryzyka pytanie: czy akceptuję tak wysoki poziom ryzyka (ang. Risk appetite)? Jeśli w wyniku tak sformułowanego pytania odpowiedź jest przecząca, a tym samym nie występuje akceptacja dla wysokiego poziomu ryzyka, należy poszukać tzw. sposobów ograniczania ryzyka, które są środkami redukującymi poziom prawdopodobieństwa, jak i skutków występowania ryzyka. Przykłady takich środków do celów zarządzania ryzykiem prawnym przytoczone są na końcu niniejszego artykułu.
Biorąc powyższe pod uwagę, można uznać, że od naszego apetytu na ryzyko, czyli dopuszczalności ryzyka w prowadzonej przez nas działalności zależy, jakiego typu (i na ile skuteczne) środki ograniczania ryzyka zastosujemy.
MONITORING
Niezbędnym elementem procesu zarządzania ryzykiem jest także stały monitoring skuteczności zastosowanych metod ograniczania ryzyka, w określonym (periodycznym) wymiarze. Taka analiza pozwala na ocenę na ile i w jakim stopniu zastosowane sposoby ograniczania ryzyka okazały się skuteczne, oraz czy metody ograniczania ryzyka nie wymagają jednak pewnej merytorycznej korekty, w celu uzyskania ich większej skuteczności. Tym samym, należy jednoznacznie wskazać, że zarządzanie ryzykiem operacyjnym (w tym prawnym) jest procesem stałym, w którym należy po pierwsze dokonać oceny i akceptacji poziomu zidentyfikowanego ryzyka, zaś po drugie należy okresowo weryfikować metody jego ograniczania.
OGRANICZANIE RYZYKA
Na zakończenie warto wskazać na wybrane sposoby ograniczania ryzyka prawnego, których celem zastosowania jest minimalizacja poziomu prawdopodobieństwa i skutków występowania tego rodzaju ryzyka, takie jak:
– stałe podnoszenie kwalifikacji zawodowych służb prawnych, zgodnie z łacińską premią: repetitio mater studiorum est (powtarzanie jest matką nauk), co sprowadza się do ciągłego szkolenia i rozwoju umiejętności zawodowych prawników w banku;
– stałe podnoszenie wiedzy prawnej wśród pozostałych pracowników banku, ze szczególnym uwzględnieniem informowania o najistotniejszych z punktu widzenia banku zamianach w prawie powszechnie obowiązującym i regulacjach nadzorczych;
– tworzenie adekwatnych (do prowadzonej działalności), spójnych wewnętrznie i dobrze przemyślanych procedur wewnętrznych, określających w szczególności zakres kompetencji przyznanych pracownikom banku, w ramach wykonywania przez nich zadań;
– tworzenie przemyślanego i adekwatnego systemu zabezpieczeń prawnych, służącego zabezpieczeniu praw banku z tytułu wykonywania umów cywilnoprawnych;
– tworzenie precyzyjnych i adekwatnych wzorców umów, stosowanych w praktyce bankowej;
– korzystanie z outsourcingu obsługi prawnej, w szczególności w przypadku spraw o wyjątkowo skomplikowanej naturze;
– zawieranie umów ubezpieczenia – jako środka ograniczania ryzyka przed skutkami trudnych do przewidzenia błędów lub zdarzeń operacyjnych, o znacznych implikacjach finansowych;
– otwartość na propozycje ugodowe (ugody), jako sposób ograniczający w szczególności ryzyko sporów sądowych;
– korzystanie z pozabankowych systemów informacji (danych) o kontrahentach (np. Biuro Informacji Kredytowej, wywiadownie gospodarcze etc.), jak również tworzenie wewnętrznych baz danych o kontrahentach;
– prowadzenie stałego monitoringu zmian legislacyjnych, a także orzeczeń sądów krajowych i Europejskiego Trybunału Sprawiedliwości;
– analiza skuteczności wykonywania umów (tworzenie baz statystycznych, zawierających dane o niewykonanych lub nienależycie wykonanych umowach);
– prowadzenie statystyk (baz danych) w zakresie prowadzonych spraw sądowych, niekorzystnych dla banku rozstrzygnięć, błędnych wykładni prawa oraz innych zdarzeń wywołujących ryzyko prawne;
– rozszerzenie systemu kontroli wewnętrznej w banku o audyt o profilu prawnym oraz komórkę compliance;
-zapewnienie współpracy służb prawnych z audytem wewnętrznym, w zakresie ograniczania ryzyka prawnego w bankach;
– przygotowanie kampanii informacyjno-medialnej (o charakterze public relations) na wypadek wystąpienia zdarzenia, które może narazić bank na ryzyko reputacyjne, a także stworzenie koncepcji komunikacji z klientami i szybkiej „reakcji” służb prasowych banku w wypadku wystąpienia tego typu zdarzeń;
– zapewnienie koordynacji wymiany informacji nt. ryzyka prawnego w ramach organizacji (czyli stworzenie dobrego systemu komunikacji wewnętrznej pomiędzy jednostkami wewnętrznymi banku);
– budowa wewnętrznych kanałów przepływu informacji nt. ryzyka prawnego w całej organizacji (vide alert dotyczący najistotniejszych zmian w prawie);
– zapewnienie łatwiejszego dostępu pracownikom do prawników świadczących usługi prawne w banku (np. wyznaczenie osób kontaktowych do poszczególnych spraw lub projektów);
– zmiana warsztatu prawniczego, polegająca nie tylko na dokonywaniu wykładni prawa, lecz także na proaktywnej postawie w zakresie identyfikacji i redukcji ryzyk prawnych;
– zapewnienie łatwiejszego dostępu osoby koordynującej pracę prawników w banku do prezesa zarządu banku, co umożliwić ma szybką informację o potencjalnych ryzykach prawnych w działalności banku;
– przeprowadzenie okresowego informowania zarządu banku o występujących w organizacji ryzykach prawnych.
Warty podkreślenia jest fakt, że bank może bądź to stosować wszystkie z wymienionych metod, bądź też wybrać (dostosować) niektóre z rozwiązań do własnej praktyki w zakresie ograniczania poziomu ryzyka prawnego.
Autor jest doradcą prezesa Narodowego Banku Polskiego i adiunktem w katedrze Prawa Finansowego i Ekonomii Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie