DBK_V/7111/55/1/2012/RK - Due diligence w bankach.

Realizując zadania określone w ustawie z 21.07.2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2006 r., nr 157, poz. 1119), do których należy m.in. zapewnienie prawidłowego funkcjonowania tego rynku, jego stabilności, bezpieczeństwa oraz przejrzystości, Urząd Komisji Nadzoru Finansowego pragnie zwrócić uwagę na poniższe kwestie, związane z prawidłowym zarządzaniem przez banki ryzykiem.

Urząd Komisji Nadzoru Finansowego przypomina, iż zgodnie z postanowieniami Uchwały nr 258/2011 KNF z 4.10.2011 r. w sprawie szczegółowych zasad funkcjonowania systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz szczegółowych warunków szacowania przez banki kapitału wewnętrznego i dokonywania przeglądów procesu szacowania i utrzymywania kapitału wewnętrznego oraz zasad ustalania polityki zmiennych składników wynagrodzeń osób zajmujących stanowiska kierownicze w banku (dalej: "Uchwały 258/2011") banki posiadają pisemne strategie, plany, procedury i analizy m.in. w zakresie zarządzania ryzykiem. Zarząd banku, na podstawie odpowiednich procedur, prowadzi politykę służącą skutecznemu zarządzaniu ryzykiem, nie ograniczając się jednak do rodzajów ryzyka wyszczególnionych w treści przedmiotowej uchwały, ale w prowadzonej polityce uwzględnia również te rodzaje ryzyka, które zostały zidentyfikowane jako istotne w prowadzonej działalności bankowej.

Jednym z obszarów działalności banków, który stanowi przedmiot zainteresowania organu nadzoru w kontekście badania prawidłowości zarządzania ryzykiem, jest działalność w zakresie przeprowadzania badania due diligence. Element ten jest oceniany jako istotny z punktu widzenia nadzoru ostrożnościowego i Urząd Komisji Nadzoru Finansowego widzi potrzebę doprecyzowania związanych z nim kwestii.

Prawidłowy przebieg procesu due diligence ma szczególne znaczenie w procesie badania przez organ nadzoru jakości zarządzania ryzykiem w bankach. Due diligence jest procesem gromadzenia wszechstronnych i gruntownych danych dotyczących banku przez zespół wysoko wyspecjalizowanych instytucji, m.in. firm audytorskich, doradców finansowych czy kancelarii prawnych, zwykle przed nabyciem przez inwestora udziałów i akcji banku, jego zorganizowanej części, podjęciem decyzji o łączeniu, przekształceniu, a także podjęciem decyzji w zakresie innych inwestycji o charakterze kapitałowym. Znajduje on również zastosowanie przy przygotowaniu projektów rozwojowych w bankach, które przechodzą reorganizację struktur wewnętrznych lub istotne zmiany organizacyjne, np. wdrażają nową strategię, szybko budują i poszerzają rynek, zmieniają swoją kulturę organizacyjną lub politykę komunikacyjną.

W tak rozumianym procesie due diligence, oprócz ryzyka nieuprawnionego ujawnienia przez podmiot przeprowadzający badanie informacji prawnie chronionych dotyczących banku, istnieje również ryzyko ujawnienia informacji wrażliwych dotyczących funkcjonowania banku (know how, procedury, plany), których ujawnienie może spowodować dla banku szkody, czy ryzyko upublicznienia zidentyfikowanych nieprawidłowości w procesach i systemach banku, które może generować ryzyko utraty reputacji.

Mając na uwadze powyższe, Urząd Komisji Nadzoru Finansowego przeprowadził na przełomie grudnia 2011 r. i stycznia 2012 r. badanie prowadzonych w bankach procesów due diligence. Badanie koncentrowało się na analizie trybu podejmowania decyzji dotyczących procesu due diligence, obowiązujących w bankach procedur w tym zakresie oraz sposobu zabezpieczania interesów banków.

Celem analizy było zebranie informacji na temat prowadzonych w bankach procesów due diligence oraz ocena prawidłowości ich przebiegu, jak również odpowiedniego zabezpieczenia interesów banków. Wyniki analizy informacji dostarczonych przez banki w 10 przypadkach wskazały na istniejące nieprawidłowości podczas przeprowadzania badania, w szczególności w zakresie trybu podejmowania decyzji oraz zabezpieczenia informacji. Mając na uwadze powyższe, Urząd Komisji Nadzoru Finansowego zwraca się z prośbą o zwrócenie uwagi na następujące kwestie:

I. Brak procedur może prowadzić do braku przejrzystości zasad postępowania i uniemożliwiać właściwą ocenę przebiegu procesu pod kątem potencjalnego ryzyka z nim związanego, dokonywaną zarówno przez bank, jak i na podstawie art. 133 ust. 2 pkt 2 ustawy z 29.08.1997 - Prawo bankowe (t.j. Dz. U. z 2002 r., nr 72, poz. 665 ze. zm.) (dalej: "ustawy - Prawo bankowe"), przez Komisję Nadzoru Finansowego w toku sprawowanego nadzoru nad jakością systemu zarządzania bankiem, w szczególności systemu zarządzania ryzykiem oraz systemu kontroli wewnętrznej.

Z uwagi na to, że proces due diligence często obejmuje bardzo szeroki zakres działań (badanie może mieć charakter kompleksowy lub dotyczyć tylko wybranych obszarów działalności podmiotu), a jednocześnie jest potencjalnym źródłem ryzyka dla badanego banku, zagadnienie to powinno być w każdym banku odpowiednio uregulowane wewnętrznie. Powołując się na przepisy Uchwały 258/2011, Urząd Komisji Nadzoru Finansowego przypomina o konieczności posiadania przez banki odpowiednich procedur w tym zakresie.

II. Rola zarządu i rady nadzorczej w procesie podejmowania decyzji o przeprowadzeniu due diligence powinny być określone precyzyjnie, a decyzja o wszczęciu procesu powinna być podejmowana w drodze uchwały zarządu oraz skonsultowana z radą nadzorczą. Rola rady nadzorczej w procesie decyzyjnym dotyczącym due diligence nie może ograniczać się do odebrania informacji w formie komunikatu zarządu w tej sprawie. Ze względu na wagę ryzyka związanego z możliwymi nieprawidłowościami w przeprowadzaniu procesu due diligence, Urząd Komisji Nadzoru Finansowego przypomina o konieczności zapewnienia przez banki efektywności systemu zarządzania ryzykiem, podkreślając zasadność stworzenia procedur regulujących tryb podejmowania decyzji w tym zakresie.

III. Obieg informacji oraz jej udostępnianie przez banki w procesie due diligence muszą być zgodne z przepisami prawa regulującymi ochronę danych osobowych na mocy ustawy z 29.08.1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r., nr 101, poz. 926 ze zm.), tajemnicę bankową na mocy art. 104-106d ustawy - Prawo bankowe czy tajemnicę przedsiębiorstwa. Kwestia ta ma szczególne znaczenie w przypadku banków będących spółkami publicznymi. Urząd Komisji Nadzoru Finansowego zwraca uwagę na to, że banki te podlegają reżimowi informacyjnemu określonemu przez przepisy ustawy z 29.07.2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych (t.j. Dz. U. z 2009 r., nr 185, poz. 1439 ze zm.) (dalej: "ustawa o ofercie"). Niezależnie od powyższego przypomnieć należy także o mających szczególne znaczenie przepisach art. 147 i następnych ustawy z 29.07.2005 r. o obrocie instrumentami finansowymi (t.j. Dz. U. z 2010 r., nr 211, poz. 1384 ze zm.) (dalej: "ustawa o obrocie"), określających ramy tajemnicy zawodowej w rozumieniu tejże ustawy oraz statuujących zakaz jej ujawniania przez m.in. osoby wchodzące w skład statutowych organów firmy inwestycyjnej oraz banku powierniczego. Z punktu widzenia interesów wspomnianych podmiotów, należy położyć silny nacisk na precyzyjne określenie zakresu dostępu do informacji oraz na określenie zasad obiegu informacji i jej udostępniania w procesie due diligence, zarówno w umowach o zachowaniu poufności zawieranych przez bank z instytucją przeprowadzającą badanie, jak i w procedurach obowiązujących w danym banku. Przebieg procesów due diligence musi zapewniać prawidłowe zabezpieczenie informacji objętych tajemnicą prawnie chronioną. Banki w zakresie ochrony informacji prawnie chronionych nie powinny poprzestawać na stosowaniu ogólnych procedur, nieuwzględniających charakteru badania due diligence i celu przekazywania informacji w tym procesie.

Jednocześnie Urząd Komisji Nadzoru Finansowego przypomina, że niedopuszczalne jest zezwalanie przez banki będące spółkami publicznymi akcjonariuszom strategicznym na pozyskiwanie informacji niedostępnych dla innych akcjonariuszy w trakcie przeprowadzania przez akcjonariusza strategicznego badania due diligence. W tym kontekście zwrócenia uwagi wymagają postanowienia ustawy o ofercie, w tym w szczególności dotyczące przekazywania informacji poufnych w rozumieniu art. 154 ustawy o obrocie, jak również przepisy rozporządzenia Ministra Finansów z 19.02.2009 r. w sprawie informacji bieżących i okresowych przekazywanych przez emitentów papierów wartościowych oraz warunków uznawania za równoważne informacji wymaganych przepisami prawa państwa niebędącego państwem członkowskim (Dz. U. z 2009 r., nr 33, poz. 259 ze zm.). Jednocześnie należy mieć na uwadze postanowienia art. 428 § 7 ustawy z 15.09.2000 r. - Kodeks spółek handlowych (Dz. U. nr 94, poz. 1037 ze zm.), zgodnie z którym w dokumentacji przedkładanej najbliższemu walnemu zgromadzeniu, zarząd ujawnia na piśmie informacje udzielone akcjonariuszowi poza walnym zgromadzeniem wraz z podaniem daty ich przekazania i osoby, której udzielono informacji.

IV. Niezbędne jest stosowanie najwyższych standardów ochrony informacji, polegających m.in. na zawarciu ze wszystkimi podmiotami zaangażowanymi w proces due diligence umów o zachowaniu poufności, określeniu kanałów dostępu do informacji udostępnianych w ramach procesu due diligence. Stosowanie tych standardów jest konieczne ze względu na szczególną istotność zabezpieczenia chronionego prawem interesu banku oraz istniejące ryzyko związane z udostępnianiem informacji innym podmiotom. Należy położyć silny nacisk na precyzyjne określenie zakresu dostępu do informacji oraz na określenie zasad obiegu informacji i jej udostępniania w procesie due diligence oraz na sprawowanie przez bank stałej kontroli nad zakresem udostępnianych informacji. Ponadto zakres informacji przekazywanych przez banki podmiotom przeprowadzającym due diligence powinien być precyzyjnie określony i dostosowany do celu przeprowadzania badania, aby zminimalizować ryzyko ujawnienia informacji wrażliwych oraz ryzyko utraty reputacji. Decyzja o przekazywaniu informacji wrażliwych innemu podmiotowi powinna być podejmowana uchwałą zarządu. Ochrona informacji w przypadku due diligence poprzedzającego dokonywanie transakcji kapitałowych powinna obejmować pełną kontrolę banku nad zaangażowaniem w proces due diligence przez inwestora podmiotów trzecich.

V. Zapewnienie równego dostępu do informacji potencjalnym inwestorom - uczestnikom procesu due diligence, będącego częścią realizacji planu inwestycyjnego, jest jednym z istotnych elementów zwiększenia zaufania na rynku i poprawy relacji inwestorskich, zarówno między podmiotami już uczestniczącymi w owym procesie, jak i podmiotami, które mogą być zaangażowane w due diligence w przyszłości. Równy dostęp do informacji powinien przyczynić się także do umożliwienia dokonania właściwej oceny ryzyka i wyceny przyszłych zysków przez potencjalnych inwestorów.

Mając na uwadze powyższe, Urząd Komisji Nadzoru Finansowego oczekuje, że banki podejmą stosowne działania mające na celu uwzględnienie powyższych uwag w ramach prowadzonej działalności, w tym w procedurach wewnętrznych dotyczących zarówno trybu podejmowania decyzji, jak i dostępu do informacji. Uwzględnienie przez banki przedstawionych uwag w polityce zarządzania ryzykiem winno przyczynić się do zwiększenia przejrzystości działań podejmowanych w ramach due diligence oraz ograniczenia ryzyka przekazania informacji wrażliwych nieuprawnionym podmiotom. Jednocześnie Urząd Komisji Nadzoru Finansowego przypomina, że w razie stwierdzenia, że działalność banku jest wykonywana z naruszeniem prawa, wobec podmiotu mogą mieć zastosowanie sankcje przewidziane w przepisach prawnych.