Zarządzanie ryzykiem jest jednym z najważniejszych procesów wewnętrznych zarówno w PKO Banku Polskim SA, jak i w pozostałych spółkach Grupy Kapitałowej PKO Banku Polskiego SA. Zarządzanie ryzykiem ma na celu zapewnienie rentowności działalności biznesowej, przy zapewnieniu kontroli poziomu ryzyka i jego utrzymaniu w ramach przyjętej przez Bank i Grupę Kapitałową tolerancji na ryzyko i systemu limitów, w zmieniającym się otoczeniu makroekonomicznym i prawnym. Poziom ryzyka stanowi ważny składnik procesu planistycznego.
W Grupie Kapitałowej PKO Banku Polskiego SA zidentyfikowane zostały następujące rodzaje ryzyka bankowego, które podlegają zarządzaniu: kredytowe, stopy procentowej, walutowe, płynności, cen towarów, cen kapitałowych papierów wartościowych, instrumentów pochodnych, operacyjne, braku zgodności, zmian makroekonomicznych, modeli, biznesowe (w tym ryzyko strategiczne), utraty reputacji, kapitałowe oraz ubezpieczeniowe.
52.1. Elementy procesu zarządzania ryzykiem bankowym
Na proces zarządzania ryzykiem bankowym w Grupie Kapitałowej składają się następujące elementy:
- identyfikacja ryzyka:
polegająca na rozpoznaniu aktualnych i potencjalnych źródeł ryzyka oraz oszacowaniu istotności potencjalnego wpływu tego rodzaju ryzyka na sytuację finansową Grupy Kapitałowej. W ramach identyfikacji ryzyka określane są te rodzaje ryzyka, które uznawane są za istotne w działalności Banku, danej spółki Grupy Kapitałowej lub całej Grupy Kapitałowej,
- pomiar i ocena ryzyka:
pomiar ryzyka obejmujący definiowanie miar ryzyka adekwatnych do rodzaju, istotności ryzyka i dostępności danych oraz ilościowej kwantyfikacji ryzyka za pomocą ustalonych miar, a także ocena ryzyka polegająca na określeniu rozmiarów lub zakresu ryzyka z punktu widzenia realizacji celów zarządzania ryzykiem. W ramach pomiaru ryzyka przeprowadza się testy warunków skrajnych na podstawie założeń zapewniających rzetelną ocenę ryzyka,
- prognozowanie i monitorowanie ryzyka:
polegające na sporządzaniu prognoz poziomu ryzyka oraz monitorowaniu odchyleń realizacji od prognoz lub założonych punktów odniesienia (np. limitów, wartości progowych, planów, pomiarów z poprzedniego okresu, wydanych rekomendacji i zaleceń). Monitorowanie ryzyka odbywa się z częstotliwością adekwatną do istotności danego rodzaju ryzyka oraz jego zmienności,
- raportowanie ryzyka:
polegające na cyklicznym informowaniu organów Banku o wynikach pomiaru ryzyka, podjętych działaniach i rekomendacjach działań. Zakres, częstotliwość oraz forma raportowania są dostosowane do szczebla zarządczego odbiorców,
- działania zarządcze:
polegające w szczególności na wydawaniu przepisów wewnętrznych, określaniu poziomu tolerancji na ryzyko, ustalaniu wysokości limitów i wartości progowych, wydawaniu zaleceń, podejmowaniu decyzji o wykorzystywaniu narzędzi wspierających zarządzanie ryzykiem. Celem podejmowania działań zarządczych jest kształtowanie procesu zarządzania ryzykiem oraz poziomu ryzyka.
Proces zarządzania ryzykiem obrazuje poniższy schemat:
52.2. Główne zasady zarządzania ryzykiem
Zarządzanie ryzykiem w Grupie Kapitałowej opiera się w szczególności na następujących zasadach:
- Grupa Kapitałowa zarządza wszystkimi zidentyfikowanymi rodzajami ryzyka bankowego,
- proces zarządzania ryzykiem jest odpowiedni do skali działalności oraz do istotności, skali i złożoności danego ryzyka i na bieżąco dostosowywany do nowych czynników i źródeł ryzyka,
- metody zarządzania ryzykiem (w szczególności modele i ich założenia) oraz systemy pomiaru ryzyka są dostosowane do skali i złożoności ryzyka oraz okresowo weryfikowane i walidowane,
- zachowana jest niezależność organizacyjna obszaru ryzyka i windykacji od działalności biznesowej,
- zarządzanie ryzykiem jest zintegrowane z systemami planistycznymi i kontrolingowymi,
- poziom ryzyka jest na bieżąco kontrolowany,
- proces zarządzania ryzykiem wspiera realizację strategii Grupy Kapitałowej przy zachowaniu zgodności ze strategią zarządzania ryzykiem, w szczególności w zakresie poziomu tolerancji na ryzyko.
52.3. Organizacja zarządzania ryzykiem w Banku
Zarządzanie ryzykiem w Banku odbywa się we wszystkich jednostkach organizacyjnych Banku.
Organizacja zarządzania ryzykiem przedstawiona jest na poniższym schemacie:
Schemat organizacji zarządzania ryzykiem
Proces zarządzania ryzykiem jest nadzorowany przez Radę Nadzorczą Banku, która regularnie otrzymuje informacje o profilu ryzyka w Banku i Grupie Kapitałowej PKO Banku Polskiego SA oraz najważniejszych działaniach podejmowanych w zakresie zarządzania ryzykiem.
Zarząd Banku odpowiada za zarządzanie ryzykiem, w tym za nadzorowanie i monitorowanie działań podejmowanych przez Bank w zakresie zarządzania ryzykiem. Zarząd Banku podejmuje najważniejsze decyzje mające wpływ na poziom ryzyka Banku oraz uchwala przepisy wewnętrzne dotyczące zarządzania ryzykiem.
Proces zarządzania ryzykiem jest realizowany w trzech, wzajemnie niezależnych liniach obrony:
- pierwsza linia obrony, którą stanowi kontrola wewnętrzna funkcjonalna zapewniająca stosowanie mechanizmów kontroli ryzyka i zgodność działania z powszechnie obowiązującymi przepisami prawa,
- druga linia obrony, którą stanowi system zarządzania ryzykiem, w tym metody, narzędzia, proces i organizacja zarządzania ryzykiem,
- trzecia linia obrony, którą stanowi audyt wewnętrzny.
Niezależność linii obrony polega na zachowaniu organizacyjnej niezależności w następujących płaszczyznach:
- funkcja drugiej linii obrony w zakresie tworzenia rozwiązań systemowych jest niezależna od funkcji pierwszej linii obrony,
- funkcja trzeciej linii obrony jest niezależna od funkcji pierwszej i drugiej linii obrony,
- funkcja zarządzania ryzykiem braku zgodności podlega Prezesowi Zarządu.
Pierwsza linia obrony realizowana jest w szczególności w jednostkach organizacyjnych Banku, komórkach organizacyjnych Centrali i podmiotach Grupy Kapitałowej i obejmuje te aspekty działalności tych jednostek, komórek i podmiotów, które mogą generować ryzyko. Jednostki, komórki oraz podmioty Grupy Kapitałowej odpowiadają za identyfikację ryzyk, zaprojektowanie i wdrożenie odpowiednich mechanizmów kontroli, o ile nie wdrożono mechanizmów kontrolnych w ramach działań podejmowanych w drugiej linii obrony. Jednocześnie podmioty Grupy Kapitałowej obowiązuje zasada spójności i porównywalności oceny i kontroli ryzyka w Banku oraz w spółkach Grupy Kapitałowej, z uwzględnieniem specyfiki działalności spółki oraz rynku, na którym prowadzi ona działalność.
Druga linia obrony realizowana jest w szczególności w Obszarze Zarządzania Ryzykiem, komórce organizacyjnej Centrali zarządzającej ryzykiem braku zgodności (compliance), ryzykiem reputacji, odpowiednich komitetach, a także w komórkach organizacyjnych Centrali odpowiadających za kontroling.
Trzecia linia obrony realizowana jest w ramach audytu wewnętrznego, w tym dotyczącego skuteczności systemu zarządzania ryzykiem.
Komórki organizacyjne Centrali Banku tworzące Pion Ryzyka Bankowego, Departament Integracji Ryzyka, Departament Restrukturyzacji i Windykacji Klienta Korporacyjnego oraz Centrum Analiz i Oceny Ryzyka Kredytowego a także Centrum Restrukturyzacji i Windykacji zarządzają ryzykiem w zakresie przyznanych kompetencji.
Pion Ryzyka Bankowego odpowiada w szczególności za:
- identyfikację czynników i źródeł ryzyka,
- pomiar, ocenę oraz cykliczne monitorowanie i raportowanie poziomu ryzyka (ryzyka istotne),
- pomiar i ocenę adekwatności kapitałowej,
- przygotowywanie dla Zarządu lub komitetów rekomendacji dotyczących akceptowalnego poziomu ryzyka,
- tworzenie przepisów wewnętrznych dotyczących zarządzania ryzykiem i adekwatnością kapitałową,
- rozwój systemów informatycznych przeznaczonych do wspierania zarządzania ryzykiem i adekwatnością kapitałową.
Departament Integracji Ryzyka odpowiada w szczególności za:
- walidację modeli ryzyka,
- wdrożenie efektywnego systemu zarządzania ryzykiem modeli w Grupie Kapitałowej,
- koordynację wdrożenia zintegrowanego systemu zarządzania ryzykiem w Grupie Kapitałowej,
- nadzór nad zarządzaniem ryzykiem w Grupie Kapitałowej.
Departament Restrukturyzacji i Windykacji Klienta Korporacyjnego odpowiada w szczególności za:
- efektywne odzyskiwanie wierzytelności trudnych klientów instytucjonalnych, o wartości nie mniejszej niż kwota określona w odrębnych przepisach wewnętrznych Banku, poprzez ich restrukturyzację i windykację,
- ochronę interesów Banku jako wierzyciela w trakcie przymusowego dochodzenia roszczeń,
- optymalną sprzedaż wierzytelności oraz przejmowanie majątku w wyniku dochodzenia roszczeń,
- przegląd i klasyfikację wierzytelności będących w zarządzaniu Departamentu oraz udzielonych zobowiązań pozabilansowych i ustalanie poziomu odpisów z tytułu utraty ich wartości związanej z ryzykiem działalności Banku.
Centrum Restrukturyzacji i Windykacji odpowiada w szczególności za:
- sprawne odzyskiwanie wierzytelności trudnych klientów poprzez ich restrukturyzację i windykację oraz zwiększanie efektywności tych działań,
- efektywne monitorowanie opóźnień w spłacie wierzytelności klientów rynku detalicznego,
- efektywny outsourcing realizowanych zadań oraz efektywne zarządzanie majątkiem przejętym w wyniku dochodzenia należności Banku,
- efektywną sprzedaż wierzytelności trudnych.
Celem Centrum Analiz i Oceny Ryzyka Kredytowego jest ograniczanie ryzyka kredytowego pojedynczych zaangażowań kredytowych Banku klientów rynku detalicznego, rynku korporacyjnego oraz instytucji finansowych, które są istotne w szczególności ze względu na skalę ekspozycji, segment klienta lub poziom ryzyka oraz zapewnianie efektywnych analiz kredytowych dotyczących kredytów hipotecznych udzielanych klientom indywidualnym przez sieć detaliczną Banku i kredytów udzielanych klientom małych i średnich przedsiębiorstw ocenianych metodą ratingową, a także podejmowanie decyzji kredytowych w tym zakresie.
Zarządzanie ryzykiem wspierają komitety:
Komitet Ryzyka („KR”):
- monitoruje integralność, adekwatność i efektywność systemu zarządzania ryzykiem bankowym, adekwatność kapitałową i wdrażanie obowiązujących w Banku zasad zarządzania ryzykiem zgodnie ze Strategią Banku,
- analizuje i ocenia stosowanie strategicznych limitów ryzyka określonych w Strategii zarządzania ryzykiem bankowym w PKO Banku Polskim SA.
- wspiera Radę Nadzorczą w procesie zarządzania ryzykiem bankowym przez formułowanie zaleceń i podejmowanie decyzji w sprawie adekwatności kapitałowej i efektywności systemu kontroli ryzyka bankowego.
Komitet Zarządzania Aktywami i Pasywami („KZAP”):
- podejmuje decyzje w zakresie limitów i wartości progowych na poszczególne rodzaje ryzyka, kwestii związanych z ustalaniem cen transferowych oraz modeli i parametrów portfelowych wykorzystywanych do ustalania odpisów i rezerw, a także innych istotnych modeli ryzyka finansowego i biznesowego oraz ich parametrów,
- wydaje rekomendacje dla Zarządu m. in. w zakresie kształtowania struktury aktywów i pasywów Banku zarządzania poszczególnymi rodzajami ryzyka, kapitałem oraz polityki cenowej.
Komitet Kredytowy Banku („KKB”):
- podejmuje decyzje kredytowe w odniesieniu do pojedynczych znaczących wartościowo zaangażowań kredytowych oraz modeli ryzyka kredytowego,
- wydaje rekomendacje w wyżej wymienionym zakresie dla Zarządu,
- podejmuje decyzje dotyczące zatwierdzenia modeli ryzyka kredytowego oraz wyników walidacji tych modeli w składzie uwzględniającym przedstawicieli Obszaru Finansów i Rachunkowości.
Komitet Kredytowy Centrali („KKC”) i komitety kredytowe działające w makroregionach korporacyjnych:
- wspiera swoimi rekomendacjami podejmowanie decyzji przez właściwych dyrektorów Pionów i członków Zarządu, a komitety kredytowe działające w regionach wspierają dyrektorów makroregionów korporacyjnych w odniesieniu do spraw o wyższym poziomie ryzyka.
Komitet Ryzyka Operacyjnego („KRO”)
- podejmuje decyzje, wydaje rekomendacje, zalecenia i opinie w zakresie m.in. strategicznych limitów tolerancji i limitów strat na ryzyko operacyjne, metryk kluczowych wskaźników ryzyka (KRI), założeń testów warunków skrajnych, wyników walidacji modeli pomiaru ryzyka operacyjnego,zmian w podejściu AMA oraz podejmowania działań mających na celu obniżenie poziomu ryzyka operacyjnego we wszystkich obszarach działalności Grupy Kapitałowej,
- formułuje rekomendacje w zakresie zarządzania ryzykiem operacyjnym w spółkach Grupy Kapitałowej PKO Banku Polskiego SA, które są przekazywane spółkom Grupy Kapitałowej PKO Banku Polskiego SA w ramach sprawowanego przez Bank nadzoru właścicielskiego nad tymi podmiotami.
KZAP, KR, KRO, KKB, Zarząd i Rada Nadzorcza są odbiorcami cyklicznych raportów dotyczących poszczególnych rodzajów ryzyka.
52.4. Działania w zakresie zarządzania ryzykiem w Grupie Kapitałowej
Bank sprawuje nadzór nad funkcjonowaniem poszczególnych spółek zależnych Grupy Kapitałowej PKO Banku Polskiego SA. W ramach tego nadzoru Bank określa i akceptuje strategie rozwoju spółek, również w zakresie poziomu ryzyka, nadzoruje systemy zarządzania ryzykiem w spółkach oraz wspiera ich rozwój, jak również uwzględnia poziom ryzyka działalności poszczególnych spółek w ramach systemu monitorowania i raportowania ryzyka na poziomie Grupy Kapitałowej.
Przepisy wewnętrzne dotyczące zarządzania poszczególnymi rodzajami ryzyka w spółkach Grupy Kapitałowej Banku określają przepisy wewnętrzne, wprowadzane przez te spółki po zasięgnięciu opinii Banku i z uwzględnieniem rekomendacji formułowanych przez Bank. Przepisy wewnętrzne spółek dotyczące zarządzania ryzykiem są wprowadzane w oparciu o zasadę spójności i porównywalności oceny poszczególnych rodzajów ryzyka w Banku i spółkach Grupy Kapitałowej Banku przy uwzględnieniu zakresu i rodzaju powiązań podmiotów wchodzących w skład Grupy Kapitałowej, specyfiki i skali działalności spółki oraz rynku, na którym ona prowadzi działalność.
Zarządzanie ryzykiem w spółkach Grupy Kapitałowej jest realizowane w szczególności poprzez:
- zaangażowanie jednostek z Obszaru Zarządzania Ryzykiem w Banku lub właściwych komitetów Banku w opiniowanie dużych transakcji spółek Grupy Kapitałowej,
- opiniowanie i przeglądy przepisów wewnętrznych dotyczących zarządzania ryzykiem w poszczególnych spółkach Grupy Kapitałowej realizowane przez jednostki z Obszaru Zarządzania Ryzykiem w Banku,
- raportowanie na temat ryzyka spółek Grupy Kapitałowej do właściwych komitetów Banku lub Zarządu,
- monitorowanie strategicznych limitów tolerancji na ryzyko dla Grupy Kapitałowej.
Priorytetem Grupy Kapitałowej PKO Banku Polskiego SA jest utrzymanie silnej pozycji kapitałowej oraz przyrost stabilnych źródeł finansowania, które stanowią postawę stabilnego rozwoju działalności biznesowej, przy równoczesnym utrzymaniu priorytetów w zakresie efektywności działania i skutecznej kontroli kosztów oraz odpowiedniej oceny ryzyka.
W tym celu Bank w 2014 roku podjął następujące działania:
- pozyskał w styczniu 2014 roku finansowanie z tytułu emisji obligacji w ramach programu EMTN w kwocie 500 milionów EUR,
- pozyskał w lutym 2014 roku finansowanie z tytułu transakcji Cross Currency Repo w kwocie 50 milionów CHF,
- pozyskał w kwietniu 2014 roku długoterminowe finansowanie od Nordea AB w kwocie 14 miliardów PLN (opisane w nocie 25 „Inwestycje w jednostki stowarzyszone i wspólne przedsięwzięcia”),
- zrolował w maju i listopadzie 2014 roku obligacje krótkoterminowe o obecnym terminie wymagalności trzech miesięcy w kwocie 700 milionów PLN oraz wyemitował dodatkowe 50 milionów PLN tych papierów,
- zaliczył do funduszy własnych część zysku Banku za rok 2013 oraz część zysku netto Banku za 2014 rok po pomniejszeniu o przewidywane obciążenie i dywidendy, na podstawie decyzji Komisji Nadzory Finansowego.
Nabycie spółek Nordea Polska na dzień 1 kwietnia 2014 roku oraz fuzja prawna na dzień 31 października 2014 roku nie wpłynęła na zmianę rodzaju ryzyk identyfikowanych w działalności Grupy Kapitałowej.
W październiku 2014 roku PKO Bank Polski SA uzyskał zgodę Komisji Nadzoru Finansowego na wprowadzenie znacznego rozszerzenia podejścia AMA, stosowanego do wyliczenia wymogu w zakresie funduszy własnych z tytułu ryzyka operacyjnego, przez ujęcie w tym podejściu dodatkowej części działalności powstałej w wyniku fuzji prawnej.
W 2014 roku w zakresie ryzyka operacyjnego, Bank prowadził prace związane z zapewnieniem, że po fuzji prawnej Bank jest dostosowany do wymagań znowelizowanej przez Komisję Nadzoru Finansowego w styczniu 2013 roku Rekomendacji M dotyczącej zarządzania ryzykiem operacyjnym w bankach.
52.5. Identyfikacja istotnych rodzajów ryzyka
Istotność poszczególnych rodzajów ryzyka ustalana jest na poziomie Banku oraz poszczególnych spółek Grupy Kapitałowej. Przy określaniu kryteriów uznawania danego rodzaju ryzyka za istotne uwzględniany jest wpływ danego rodzaju ryzyka zarówno na działalność Banku, danej spółki Grupy Kapitałowej, jak również całej Grupy Kapitałowej, przy czym rozróżniane są trzy typy rodzajów ryzyka:
- z góry uznawane za istotne – podlegające aktywnemu zarządzaniu,
- potencjalnie istotne – dla nich przeprowadza się monitoring istotności,
- inne niezdefiniowane lub niewystępujące w Banku lub Grupie Kapitałowej rodzaje ryzyka (nieistotne i niemonitorowane).
W oparciu o informacje ilościowe i jakościowe, cyklicznie dokonywana jest w Banku ocena istotności potencjalnie istotnych rodzajów ryzyka. Wynikiem oceny jest przypisanie danemu rodzajowi ryzyka poziomu istotne/nieistotne. Podobnej oceny dokonuje się cyklicznie w odniesieniu do spółek Grupy Kapitałowej. Monitoring dokonywany jest w szczególności w przypadku istotnej zmiany zakresu lub profilu działalności Banku albo spółki Grupy Kapitałowej.