Identyfikacja ryzyka polega na rozpoznaniu aktualnych i potencjalnych źródeł ryzyka oraz oszacowaniu istotności jego potencjalnego wpływu na sytuację finansową Banku i Grupy Kapitałowej. W ramach identyfikacji ryzyka podmioty Grupy Kapitałowej określają te rodzaje ryzyka, które uznawane są za istotne w działalności Banku lub Grupy Kapitałowej.
53. Zarządzanie ryzykiem w grupie kapitałowej
Zarządzanie ryzykiem jest jednym z najważniejszych procesów wewnętrznych zarówno w Banku, jak i w pozostałych podmiotach Grupy Kapitałowej.
Celem zarządzania ryzykiem jest zapewnienie (przy zmieniającym się otoczeniu) rentowności działalności biznesowej, przy jednoczesnej kontroli i utrzymaniu poziomu ryzyka w ramach systemu limitów i przyjętej przez Bank i Grupę Kapitałową tolerancji na ryzyko i systemu limitów w zmieniającym się otoczeniu makroekonomicznym. Poziom ryzyka stanowi ważny składnik procesu planistycznego.
Grupa Kapitałowa identyfikuje ryzyka w swojej działalności oraz analizuje wpływ poszczególnych rodzajów ryzyka na swoją działalność biznesową. Wszystkie ryzyka podlegają zarządzaniu, część z nich ma istotny wpływ w odniesieniu do dochodowości i kapitału niezbędnego do ich pokrycia. Za istotne ryzyka Grupa Kapitałowa uznaje ryzyko kredytowe, ryzyko walutowych kredytów hipotecznych dla gospodarstw domowych, ryzyko walutowe, ryzyko stopy procentowej, ryzyko płynności (w tym ryzyko finansowania), ryzyko operacyjne, ryzyko biznesowe, ryzyko zmian makroekonomicznych oraz ryzyko modeli. Regularnie, co najmniej w cyklu rocznym, Grupa Kapitałowa przeprowadza ocenę istotności wszystkich zidentyfikowanych ryzyk.
Szczegółowy opis zasad zarządzania istotnymi rodzajami ryzyka zawarty jest w raporcie „Adekwatność kapitałowa oraz inne informacje podlegające ogłaszaniu w Grupie Kapitałowej PKO Banku Polskiego S.A.”.
Cel zarządzania ryzykiem
Celem zarządzania ryzykiem poprzez dążenie do utrzymywania poziomu ryzyka w ramach przyjętego poziomu tolerancji jest:
- ochrona wartości kapitału akcjonariuszy,
- ochrona depozytów klientów,
- wsparcie Grupy Kapitałowej w prowadzeniu efektywnej działalności.
Grupa Kapitałowa osiąga cele zarządzania ryzykiem w szczególności poprzez zapewnianie właściwej informacji o ryzyku, tak aby decyzje były podejmowane z pełną świadomością poszczególnych rodzajów ryzyka, jakie ze sobą niosą.
Główne zasady zarządzania ryzykiem
Grupa Kapitałowa zarządza ryzykiem stosując w szczególności następujące zasady:
- zarządzanie obejmuje wszystkie zidentyfikowane rodzaje ryzyka,
- proces zarządzania ryzykiem jest odpowiedni do skali działalności oraz do istotności, skali i złożoności danego ryzyka i na bieżąco dostosowywany do nowych czynników i źródeł ryzyka,
- metody zarządzania ryzykiem (w szczególności modele i ich założenia) oraz systemy pomiaru lub oceny ryzyka Grupa dostosowuje do skali i złożoności ryzyka, aktualnie prowadzonej i planowanej działalności i otoczenia, w którym Grupa Kapitałowa działa oraz okresowo je weryfikuje i waliduje,
- obszar zarządzania ryzykiem zachowuje niezależność organizacyjną od działalności biznesowej,
- zarządzanie ryzykiem integruje się z systemami planistycznymi i kontrolingowymi,
- podmioty Grupy Kapitałowej na bieżąco monitorują i kontrolują poziom ryzyka,
- proces zarządzania ryzykiem wspiera realizację strategii Banku przy zachowaniu zgodności ze strategią zarządzania ryzykiem, w szczególności w zakresie poziomu tolerancji na ryzyko.
Proces zarządzania ryzykiem
Na proces zarządzania ryzykiem w Grupie Kapitałowej składają się następujące elementy:
Pomiar i ocena ryzyka mają na celu określenie skali zagrożeń związanych z występowaniem ryzyka. Pomiar ryzyka obejmuje określanie miar ryzyka adekwatnych do rodzaju, istotności ryzyka i dostępności danych. Wyniki pomiaru o charakterze ilościowym i jakościowym stanowią podstawę oceny ryzyka, która określa poziom lub zakres ryzyka.
W ramach pomiaru ryzyka Grupa Kapitałowa Banku przeprowadza:
- specyficzne testy warunków skrajnych, przeprowadzane odrębnie dla poszczególnych rodzajów ryzyka, służące ocenie wrażliwości danego ryzyka na wystąpienie niekorzystnych sytuacji rynkowych,
- kompleksowe testy warunków skrajnych, przeprowadzane łącznie dla ryzyka koncentracji oraz rodzajów ryzyka uznanych za istotne, służące określeniu wrażliwości miar adekwatności kapitałowej i wyników Banku na realizację negatywnego scenariusza zmian w otoczeniu i funkcjonowaniu Grupy Kapitałowej Banku.
Testy warunków skrajnych Grupa Kapitałowa Banku przeprowadza na podstawie założeń zapewniających rzetelną ocenę ryzyka, w szczególności z uwzględnieniem postanowień rekomendacji Komisji Nadzoru Finansowego.
Kontrola ryzyka obejmuje ustalanie dostosowanych do skali i złożoności działalności Grupy Kapitałowej Banku mechanizmów kontroli ryzyka w szczególności w postaci strategicznych limitów tolerancji na poszczególne rodzaje ryzyka. Strategiczne limity tolerancji na ryzyko podlegają cyklicznemu monitorowaniu, a w przypadku ich przekroczenia podmioty Grupy Kapitałowej Banku podejmują działania zarządcze.
Prognozowanie ryzyka polega na przewidywaniu przyszłego poziomu ryzyka przy uwzględnieniu zakładanej projekcji rozwoju działalności oraz zdarzeń wewnętrznych i zewnętrznych. Prognozy poziomu ryzyka Banku i Grupy Kapitałowej Banku poddaje się ocenie (tzw. „testowanie wsteczne”) w celu weryfikacji ich dokładności.
Monitorowanie ryzyka polega na obserwowaniu odchyleń realizacji od prognoz lub założonych punktów odniesienia (np. limitów, wartości progowych, planów, pomiarów z poprzedniego okresu, rekomendacji i zaleceń wydanych przez zewnętrzny organ nadzoru i kontroli). Monitorowanie i prognozowanie ryzyka odbywa się z częstotliwością adekwatną do istotności danego rodzaju ryzyka oraz jego zmienności.
Raportowanie ryzyka obejmuje informowanie o wynikach identyfikacji, pomiaru lub oceny ryzyka, monitorowania i prognozowania ryzyka, przyczynach zmian ryzyka, podjętych działaniach i rekomendacjach działań. Bank dostosowuje zakres, częstotliwość oraz formę raportowania do szczebla zarządczego odbiorców. Rada Nadzorcza jest niezwłocznie informowana o istotnych zmianach w poziomie ryzyka, w szczególności o zagrożeniach i podejmowanych działaniach zaradczych w sytuacji potencjalnych problemów płynnościowych Banku oraz efektach tych działań i ich wpływie na poziom płynności Banku.
Działania zarządcze polegają na określaniu pożądanego poziomu ryzyka służącemu budowie struktury aktywów i pasywów. Działania zarządcze mogą skutkować w szczególności:
- akceptacją ryzyka – określeniem akceptowalnego poziomu ryzyka z uwzględnieniem potrzeb biznesowych oraz opracowaniu działań zarządczych na wypadek przekroczenia tego poziomu,
- redukcją ryzyka – łagodzeniem wpływu czynników ryzyka lub skutków jego materializacji (np. przez zmniejszenie lub dywersyfikację ekspozycji na ryzyko, ustalenie limitów, wykorzystywanie zabezpieczeń),
- transferem ryzyka – przeniesieniem odpowiedzialności za pokrycie ewentualnych strat (np. przez przeniesienie ryzyka na inny podmiot przy użyciu instrumentów prawnych takich jak umowy ubezpieczenia, czy umowy o ochronę obiektu, przyjmowanie gwarancji),
- unikaniem ryzyka – rezygnacją z działalności generującej ryzyko lub wyeliminowaniem prawdopodobieństwa wystąpienia czynnika ryzyka, w tym w szczególności ustaleniem zerowej tolerancji na ryzyko.
Organizacja zarządzania ryzykiem w Grupie Kapitałowej
Bank sprawuje nadzór nad funkcjonowaniem poszczególnych podmiotów Grupy Kapitałowej PKO Banku Polskiego SA. W ramach tego nadzoru Bank nadzoruje systemy zarządzania ryzykiem w podmiotach oraz wspiera ich rozwój, jak również uwzględnia poziom ryzyka działalności poszczególnych podmiotów w ramach systemu monitorowania i raportowania ryzyka na poziomie Grupy Kapitałowej. Zarządzanie ryzykiem w Banku odbywa się we wszystkich jednostkach Banku.
Organizacja zarządzania ryzykiem w PKO Banku Polskim SA przedstawiona jest na poniższym schemacie:
Rada Nadzorcza nadzoruje i ocenia proces zarządzania ryzykiem, w szczególności na podstawie cyklicznych raportów ryzyka uwzględniających ocenę adekwatności i skuteczności systemu zarządzania ryzykiem oraz informacji o realizacji strategii zarządzania ryzykiem, w tym poziomie limitów ograniczających ryzyko oraz wniosków z testów warunków skrajnych i w razie konieczności zleca dokonanie weryfikacji tego procesu.
Radę Nadzorczą wspierają m.in. następujące komitety: Komitet ds. Nominacji i Wynagrodzeń Rady Nadzorczej, Komitet ds. Ryzyka Rady Nadzorczej i Komitet Audytu Rady Nadzorczej.
Zarząd PKO Banku Polskiego SA w zakresie zarządzania ryzykiem odpowiada za strategiczne zarządzanie ryzykiem, w tym za nadzorowanie i monitorowanie działań podejmowanych przez Bank w zakresie zarządzania ryzykiem. Zarząd podejmuje najważniejsze decyzje mające wpływ na profil ryzyka Banku oraz uchwala przepisy wewnętrzne Banku dotyczące zasad zarządzania ryzykiem. Zapewnia działanie systemu zarządzania ryzykiem, monitoruje i ocenia jego funkcjonowanie oraz przekazuje Radzie Nadzorczej informację w tym zakresie. W zarządzaniu ryzykiem Zarząd wspierają następujące komitety działające w Banku:
- Komitet Ryzyka (KR),
- Komitet Zarządzania Aktywami i Pasywami (KZAP),
- Komitet Kredytowy Banku (KKB),
- Komitet Ryzyka Operacyjnego (KRO).
System zarządzania ryzykiem jest realizowany na trzech niezależnych wzajemnie uzupełniających się poziomach:
tworzą struktury organizacyjne zarządzające produktem, realizujące sprzedaż produktów i obsługę klientów oraz inne struktury realizujące zadania operacyjne generujące ryzyko, funkcjonujące na podstawie przepisów wewnętrznych. Funkcja jest realizowana we wszystkich jednostkach Banku i podmiotach Grupy Kapitałowej. Jednostki Banku implementują zaprojektowane przez jednostki Banku usytuowane na drugim poziomie odpowiednie mechanizmy kontroli ryzyka, w tym zwłaszcza limity oraz zapewniają ich przestrzeganie poprzez odpowiednie mechanizmy kontrolne.
Jednocześnie spółki Grupy Kapitałowej Banku obowiązuje zasada spójności i porównywalności oceny i kontroli ryzyka w Banku oraz w podmiotach Grupy Kapitałowej, z uwzględnieniem specyfiki działalności podmiotu oraz rynku, na którym prowadzi działalność.
obejmuje działalność komórki do spraw zgodności oraz identyfikację, pomiar, ocenę lub kontrolę, monitorowanie i raportowanie istotnych rodzajów ryzyka, a także stwierdzanych zagrożeń i nieprawidłowości – zadania realizowane są przez wyspecjalizowane struktury organizacyjne działające na podstawie obowiązujących przepisów wewnętrznych Banku; celem tych struktur jest zapewnienie żeby działania realizowane na pierwszym poziomie były właściwie uregulowane w przepisach wewnętrznych Banku i skutecznie ograniczały ryzyko, wspierały pomiar, ocenę i analizę ryzyka oraz efektywność działalności. Funkcja realizowana jest w szczególności w Obszarze Zarządzania Ryzykiem, Departamencie Zgodności i właściwych komitetach. Drugi poziom wspiera podejmowanie działań mających na celu eliminację niekorzystnych odchyleń od planu finansowego w zakresie wielkości wpływających na ujęte w planie finansowym ilościowe strategiczne limity tolerancji na ryzyko. Działania te realizuje się w szczególności w jednostkach Banku odpowiadających za kontroling.
stanowi audyt wewnętrzny, realizujący niezależne audyty elementów systemu zarządzania Bankiem, w tym systemu zarządzania ryzykiem oraz systemu kontroli wewnętrznej; audyt wewnętrzny funkcjonuje odrębnie od pierwszego i drugiego poziomu i może wspierać realizowane tam działania poprzez konsultacje, ale bez możliwości wpływu na podejmowane decyzje. Funkcja jest realizowana zgodnie z przepisami wewnętrznymi Banku dotyczącymi zasad funkcjonowania systemu kontroli wewnętrznej.
Niezależność poziomów polega na zachowaniu organizacyjnej odrębności w następujących płaszczyznach:
- funkcja drugiego poziomu w zakresie tworzenia rozwiązań systemowych jest niezależna od funkcji pierwszego poziomu,
- funkcja trzeciego poziomu jest niezależna od funkcji pierwszego i drugiego poziomu.
Zarządzanie ryzykiem w Grupie Kapitałowej
Bank, jako podmiot dominujący w Grupie Kapitałowej Banku, określa kluczowe zasady zarządzania ryzykiem stosowane w Grupie Kapitałowej Banku, nadzoruje wdrażanie w podmiotach Grupy Kapitałowej zasad zarządzania ryzykiem wynikających ze strategii zarządzania ryzykiem z uwzględnieniem adekwatności tych zasad do działalności podmiotów Grupy Kapitałowej Banku, jak również sprawuje kontrolę nad ryzykiem w Grupie Kapitałowej Banku w zakresie istotnych rodzajów ryzyka. Podmioty Grupy Kapitałowej Banku tworzą i aktualizują przepisy wewnętrzne dotyczące zarządzania poszczególnymi rodzajami ryzyka po zasięgnięciu opinii Banku i z uwzględnieniem rekomendacji formułowanych przez Bank oraz z uwzględnieniem strategii zarządzania ryzykiem.
Zarządzanie ryzykiem w podmiotach Grupy Kapitałowej jest realizowane w szczególności poprzez:
- zaangażowanie jednostek z Obszaru Zarządzania Ryzykiem w Banku lub właściwych komitetów Banku w opiniowanie dużych transakcji podmiotów Grupy Kapitałowej,
- opiniowanie i przeglądy przepisów wewnętrznych dotyczących zarządzania ryzykiem w poszczególnych podmiotach Grupy Kapitałowej realizowane przez jednostki z Obszaru Zarządzania Ryzykiem w Banku oraz Departament Zgodności,
- raportowanie na temat ryzyka Grupy Kapitałowej do właściwych komitetów Banku lub Zarządu,
- monitorowanie strategicznych limitów tolerancji na ryzyko dla Grupy Kapitałowej.