W związku z wybuchem pandemii instytucje finansowe przeszły na pracę zdalną i wirtualny kontakt z klientami. Konsekwencją tego jest inny przebieg wielu procesów, szczególnie tych, które do tej pory realizowane były manualnie przez pracowników lub fizycznie z siedziby banków, czy w bezpośredniej interakcji z klientami.
Jednostki compliance w bankach szukają odpowiedzi na następujące pytania:
- Jakie procesy mogą być szczególnie dotknięte przez zmiany?
- Jakie działania powinny podjąć jednostki zgodności?
- Czy stosowane w obecnej sytuacji mechanizmy kontrolne właściwie zabezpieczają organizację, w tym ryzyko braku zgodności?
- Czy w związku ze zmianą przebiegu procesów zostały zaimplementowane dodatkowe mechanizmy kontrolne?
- Jakie mechanizmy kontrolne zostały wprowadzone w ramach dodatkowego monitoringu ryzyka stron trzecich?
- Jak zaprojektować mechanizmy kontrolne tak, aby zapewnić odpowiedni poziom ich adekwatności i efektywności w ciągle zmieniającym się otoczeniu?
W czasach niepewności i ciągle zmieniającego się otoczenia gospodarczego, zapewnienie odpowiednio działającego środowiska kontrolnego jest kluczowe w celu minimalizacji materializacji ryzyk finansowych, operacyjnych i reputacyjnych. System kontroli wewnętrznej w bankach nie był oryginalnie zaprojektowany, aby działać w trybie pracy zdalnej. W sytuacji pandemii, banki musiały podejmować szybko decyzje o zmianie sposobu wykonywania pracy przez pracowników i przejście na pracę zdalną. W tym pośpiechu instytucjom finansowym mogło zabraknąć czasu lub zasobów, aby równolegle dokonać niezbędnych dostosowań do procesów, procedur dokumentujących te procesy, jak również kontroli w procesach.
Szczególnie istotne jest zwrócenie uwagi na zmiany w środowisku kontrolnym w następujących procesach:
- proces zapobiegania przestępstwom wewnętrznym i zewnętrznym,
- proces AML / KYC,
- procesy front-office (sprzedaż, obsługa klienta),
- procesy IT i cyberbezpieczeństwo,
- proces kredytowy
- procesy realizowane przez podmioty trzecie.
Jednostki na pierwszej i drugiej linii obrony powinny odpowiedzieć sobie na pytanie czy stosowane mechanizmy kontrolne są właściwie zaprojektowane (tj. czy mitygują ryzyka istotne), czy działają efektywnie oraz zastanowić się czy w pełni adresują ryzyka. Konieczne może okazać się wdrożenie nowych mechanizmów kontrolnych, modyfikacja istniejących mechanizmów lub tymczasowe zastosowanie alternatywnych mechanizmów. Wszystkie zmiany w procesach i kontrolach powinny zostać udokumentowane.
Banki powinny dokonać przeglądów zmian w procesach i ryzykach oraz na tej podstawie zidentyfikować zmiany w mechanizmach kontrolnych. Aby tego dokonać, konieczna jest właściwa komunikacja jednostek compliance ze Sztabem Kryzysowym lub jego odpowiednikiem, audytem wewnętrznym oraz z jednostkami biznesowymi będącymi w centrum zmian. Ponadto departamenty zgodności powinny rozważyć zmianę harmonogramu testowań (testowanie w pierwszej kolejności mechanizmów kontrolnych w procesach, które uległy największym zmianom oraz przetestowanie nowoutworzonych mechanizmów) oraz rozważyć zmiany podejścia do losowania próby tak, aby objąć w znaczącej mierze okres od połowy marca.
Właściwie funkcjonujący system kontroli wewnętrznej zapewnia bankom przede wszystkim bezpieczeństwo oraz ogranicza materializację ryzyk finansowych i operacyjnych, co w warunkach licznych zmian jest szczególnie ważne.