60. Zarządzanie ryzykiem w banku
2021
Bank identyfikuje ryzyka w swojej działalności oraz analizuje wpływ poszczególnych rodzajów ryzyka na swoją działalność biznesową. Wszystkie ryzyka podlegają zarządzaniu, część z nich ma istotny wpływ w odniesieniu do dochodowości i kapitału niezbędnego do ich pokrycia. Za istotne ryzyka Bank uznaje ryzyko kredytowe, ryzyko walutowych kredytów hipotecznych dla gospodarstw domowych, ryzyko walutowe, ryzyko stopy procentowej, ryzyko płynności, w tym ryzyko finansowania, ryzyko operacyjne, ryzyko biznesowe, ryzyko zmian makroekonomicznych oraz ryzyko modeli. Regularnie, co najmniej w cyklu rocznym, Bank przeprowadza ocenę istotności wszystkich zidentyfikowanych ryzyk.
Szczegółowy opis zasad zarządzania istotnymi rodzajami ryzyka zawarty jest w raporcie „Adekwatność kapitałowa oraz inne informacje podlegające ogłaszaniu w Grupie Kapitałowej PKO Banku Polskiego SA”.
Cel zarządzania ryzykiem
Celem zarządzania ryzykiem poprzez dążenie do utrzymywania poziomu ryzyka w ramach przyjętego poziomu tolerancji jest:
- ochrona wartości kapitału akcjonariuszy,
- ochrona depozytów klientów,
- wsparcie Banku w prowadzeniu efektywnej działalności.
Bank osiąga cele zarządzania ryzykiem w szczególności poprzez zapewnianie właściwej informacji o ryzyku, tak aby decyzje były podejmowane z pełną świadomością poszczególnych rodzajów ryzyka, jakie ze sobą niosą.
Główne zasady zarządzania ryzykiem
Bank zarządza ryzykiem stosując w szczególności następujące zasady:
- zarządzanie obejmuje wszystkie zidentyfikowane rodzaje ryzyka,
- proces zarządzania ryzykiem jest odpowiedni do skali działalności oraz do istotności, skali i złożoności danego ryzyka i na bieżąco dostosowywany do nowych czynników i źródeł ryzyka,
- metody zarządzania ryzykiem (w szczególności modele i ich założenia) oraz systemy pomiaru lub oceny ryzyka Bank dostosowuje do skali i złożoności ryzyka, aktualnie prowadzonej i planowanej działalności i otoczenia, w którym Bank działa oraz okresowo je weryfikuje i waliduje,
- obszar zarządzania ryzykiem zachowuje niezależność organizacyjną od działalności biznesowej,
- zarządzanie ryzykiem integruje się z systemami planistycznymi i kontrolingowymi,
- Bank na bieżąco monitoruje i kontroluje poziom ryzyka,
- proces zarządzania ryzykiem wspiera realizację strategii Banku przy zachowaniu zgodności ze strategią zarządzania ryzykiem, w szczególności w zakresie poziomu tolerancji na ryzyko.
Proces zarządzania ryzykiem
Na proces zarządzania ryzykiem w Banku składają się następujące elementy:
Identyfikacja ryzyka polega na rozpoznaniu aktualnych i potencjalnych źródeł ryzyka oraz oszacowaniu istotności jego potencjalnego wpływu na sytuację finansową Banku. W ramach identyfikacji ryzyka Bank określa te rodzaje ryzyka, które uznawane są za istotne w działalności Banku.
Pomiar i ocena ryzyka mają na celu określenie skali zagrożeń związanych z występowaniem ryzyka. Pomiar ryzyka obejmuje określanie miar ryzyka adekwatnych do rodzaju, istotności ryzyka i dostępności danych. Wyniki pomiaru o charakterze ilościowym i jakościowym stanowią podstawę oceny ryzyka, która określa poziom lub zakres ryzyka.
W ramach pomiaru ryzyka Bank przeprowadza:
- specyficzne testy warunków skrajnych, przeprowadzane odrębnie dla poszczególnych rodzajów ryzyka, służące ocenie wrażliwości danego ryzyka na wystąpienie niekorzystnych sytuacji rynkowych,
- kompleksowe testy warunków skrajnych, przeprowadzane łącznie dla ryzyka koncentracji oraz rodzajów ryzyka uznanych za istotne, służące określeniu wrażliwości miar adekwatności kapitałowej i wyników Banku na realizację negatywnego scenariusza zmian w otoczeniu i funkcjonowaniu Banku.
Testy warunków skrajnych Bank przeprowadza na podstawie założeń zapewniających rzetelną ocenę ryzyka, w szczególności z uwzględnieniem postanowień rekomendacji Komisji Nadzoru Finansowego.
Kontrola ryzyka obejmuje ustalanie dostosowanych do skali i złożoności działalności Banku mechanizmów kontroli ryzyka w szczególności w postaci strategicznych limitów tolerancji na poszczególne rodzaje ryzyka. Strategiczne limity tolerancji na ryzyko podlegają cyklicznemu monitorowaniu, a w przypadku ich przekroczenia Bank podejmuje działania zarządcze.
Prognozowanie ryzyka polega na przewidywaniu przyszłego poziomu ryzyka przy uwzględnieniu zakładanej projekcji rozwoju działalności oraz zdarzeń wewnętrznych i zewnętrznych. Prognozy poziomu ryzyka Bank poddaje ocenie (tzw. „testowanie wsteczne”) w celu weryfikacji ich dokładności.
Monitorowanie ryzyka polega na obserwowaniu odchyleń realizacji od prognoz lub założonych punktów odniesienia (np. limitów, wartości progowych, planów, pomiarów z poprzedniego okresu, rekomendacji i zaleceń wydanych przez zewnętrzny organ nadzoru i kontroli). Monitorowanie i prognozowanie ryzyka odbywa się z częstotliwością adekwatną do istotności danego rodzaju ryzyka oraz jego zmienności.
Raportowanie ryzyka obejmuje informowanie o wynikach identyfikacji, pomiaru lub oceny ryzyka, monitorowania i prognozowania ryzyka, przyczynach zmian ryzyka, podjętych działaniach i rekomendacjach działań. Bank dostosowuje zakres, częstotliwość oraz formę raportowania do szczebla zarządczego odbiorców. Rada Nadzorcza jest niezwłocznie informowana o istotnych zmianach w poziomie ryzyka, w szczególności o zagrożeniach i podejmowanych działaniach zaradczych w sytuacji potencjalnych problemów płynnościowych Banku oraz efektach tych działań i ich wpływie na poziom płynności Banku.
Działania zarządcze polegają na określaniu pożądanego poziomu ryzyka służącemu budowie struktury aktywów i pasywów. Działania zarządcze mogą skutkować w szczególności:
- akceptacją ryzyka – określeniem akceptowalnego poziomu ryzyka z uwzględnieniem potrzeb biznesowych oraz opracowaniu działań zarządczych na wypadek przekroczenia tego poziomu,
- redukcją ryzyka – łagodzeniem wpływu czynników ryzyka lub skutków jego materializacji (np. przez zmniejszenie lub dywersyfikację ekspozycji na ryzyko, ustalenie limitów, wykorzystywanie zabezpieczeń),
- transferem ryzyka – przeniesieniem odpowiedzialności za pokrycie ewentualnych strat (np. przez przeniesienie ryzyka na inny podmiot przy użyciu instrumentów prawnych takich jak umowy ubezpieczenia, czy umowy o ochronę obiektu, przyjmowanie gwarancji),
- unikaniem ryzyka – rezygnacją z działalności generującej ryzyko lub wyeliminowaniem prawdopodobieństwa wystąpienia czynnika ryzyka, w tym w szczególności ustaleniem zerowej tolerancji na ryzyko.
Organizacja zarządzania ryzykiem w PKO Banku Polskim S.A.
Zarządzanie ryzykiem w Banku odbywa się we wszystkich jednostkach Banku.
Organizacja zarządzania ryzykiem w PKO Banku Polskim SA przedstawiona jest na poniższym schemacie:
Rada Nadzorcza nadzoruje i ocenia proces zarządzania ryzykiem, w szczególności na podstawie cyklicznych raportów ryzyka uwzględniających ocenę adekwatności i skuteczności systemu zarządzania ryzykiem oraz informacji o realizacji strategii zarządzania ryzykiem, w tym poziomie limitów ograniczających ryzyko oraz wniosków z testów warunków skrajnych i w razie konieczności zleca dokonanie weryfikacji tego procesu.
Radę Nadzorczą wspierają m.in. następujące komitety: Komitet ds. Nominacji i Wynagrodzeń Rady Nadzorczej, Komitet ds. Ryzyka Rady Nadzorczej i Komitet Audytu Rady Nadzorczej.
Zarząd PKO Banku Polskiego SA w zakresie zarządzania ryzykiem odpowiada za strategiczne zarządzanie ryzykiem, w tym za nadzorowanie i monitorowanie działań podejmowanych przez Bank w zakresie zarządzania ryzykiem. Podejmuje najważniejsze decyzje mające wpływ na profil ryzyka Banku oraz uchwala przepisy wewnętrzne Banku dotyczące zarządzania ryzykiem. Zapewnia działanie systemu zarządzania ryzykiem, monitoruje i ocenia jego funkcjonowanie oraz przekazuje Radzie Nadzorczej informację w tym zakresie. W zarządzaniu ryzykiem Zarząd wspierają następujące komitety działające w Banku:
- Komitet Ryzyka (KR),
- Komitet Zarządzania Aktywami i Pasywami (KZAP),
- Komitet Kredytowy Banku (KKB),
- Komitet Ryzyka Operacyjnego (KRO).
System zarządzania ryzykiem jest realizowany na trzech niezależnych wzajemnie uzupełniających się poziomach:
Tworzą struktury organizacyjne zarządzające produktem, realizujące sprzedaż produktów i obsługę klientów oraz inne struktury realizujące zadania operacyjne generujące ryzyko, funkcjonujące na podstawie przepisów wewnętrznych. Funkcja jest realizowana we wszystkich jednostkach Banku i podmiotach Grupy Kapitałowej. Jednostki Banku implementują zaprojektowane przez jednostki Banku usytuowane na drugim poziomie odpowiednie mechanizmy kontroli ryzyka, w tym zwłaszcza limity oraz zapewniają ich przestrzeganie poprzez odpowiednie mechanizmy kontrolne.
Obejmuje działalność komórki do spraw zgodności oraz identyfikację, pomiar, ocenę lub kontrolę, monitorowanie i raportowanie istotnych rodzajów ryzyka, a także stwierdzanych zagrożeń i nieprawidłowości – zadania realizowane są przez wyspecjalizowane struktury organizacyjne działające na podstawie obowiązujących przepisów wewnętrznych Banku; celem tych struktur jest zapewnienie żeby działania realizowane na pierwszym poziomie były właściwie uregulowane w przepisach wewnętrznych Banku i skutecznie ograniczały ryzyko, wspierały pomiar, ocenę i analizę ryzyka oraz efektywność działalności. Funkcja realizowana jest w szczególności w Obszarze Zarządzania Ryzykiem, Departamencie Zgodności i właściwych komitetach. Drugi poziom wspiera podejmowanie działań mających na celu eliminację niekorzystnych odchyleń od planu finansowego w zakresie wielkości wpływających na ujęte w planie finansowym ilościowe strategiczne limity tolerancji na ryzyko. Działania te realizuje się w szczególności w jednostkach Banku odpowiadających za kontroling.
stanowi audyt wewnętrzny, realizujący niezależne audyty elementów systemu zarządzania Bankiem, w tym systemu zarządzania ryzykiem oraz systemu kontroli wewnętrznej; audyt wewnętrzny funkcjonuje odrębnie od pierwszego i drugiego poziomu i może wspierać realizowane tam działania poprzez konsultacje, ale bez możliwości wpływu na podejmowane decyzje. Funkcja jest realizowana zgodnie z przepisami wewnętrznymi Banku dotyczącymi zasad funkcjonowania systemu kontroli wewnętrznej.
Niezależność poziomów polega na zachowaniu organizacyjnej odrębności w następujących płaszczyznach:
- funkcja drugiego poziomu w zakresie tworzenia rozwiązań systemowych jest niezależna od funkcji pierwszego poziomu,
- funkcja trzeciego poziomu jest niezależna od funkcji pierwszego i drugiego poziomu.