Profil ryzyka Grupy PZU

Główne ryzyka w Grupie PZU 

Do głównych ryzyk, na które narażona jest Grupa PZU należą: aktuarialne, rynkowe, kredytowe, koncentracji, płynności, operacyjne, modeli i braku zgodności.

Do głównych ryzyk związanych z działalnością Alior Bank i Banku Pekao należą następujące ryzyka: kredytowe (w tym ryzyko koncentracji portfela kredytowego), operacyjne i rynkowe (obejmujące ryzyka stopy procentowej, walutowe, cen towarów oraz cen instrumentów finansowych). Całkowite ryzyko podmiotów sektora bankowego stanowi ok. 33% (III kwartał 2019 roku) całkowitego ryzyka Grupy PZU, przy czym największa kontrybucja następuje w obszarze ryzyka kredytowego. 

Ryzyko aktuarialne

Jest to możliwość poniesienia straty lub niekorzystnej zmiany wartości zobowiązań, jakie mogą wyniknąć z zawartych umów ubezpieczenia i umów gwarancji ubezpieczeniowych, w związku z niewłaściwymi założeniami dotyczącymi wyceny składek i tworzenia rezerw techniczno-ubezpieczeniowych. 

Identyfikacja ryzyka rozpoczyna się wraz z propozycją rozpoczęcia tworzenia produktu ubezpieczeniowego, i towarzyszy mu aż do momentu wygaśnięcia zobowiązań z nim związanych. Identyfikacja ryzyka aktuarialnego odbywa się m.in. poprzez:

• analizę ogólnych warunków ubezpieczenia pod kątem przyjmowanego ryzyka i zgodności z powszechnie obowiązującymi przepisami prawa;
• analizę ogólnych/szczególnych warunków ubezpieczenia lub innych wzorców umów pod kątem ryzyka aktuarialnego przyjmowanego na ich podstawie;
• rozpoznanie potencjalnych ryzyk związanych z danym produktem w celu ich późniejszego pomiaru i monitorowania;
• analizę wpływu wprowadzenia nowych produktów ubezpieczeniowych na wymogi kapitałowe i margines ryzyka obliczonych według formuły standardowej;
• weryfikację i walidację zmian w produktach ubezpieczeniowych;
• ocenę ryzyka aktuarialnego przez pryzmat podobnych, istniejących produktów;
• monitorowanie istniejących produktów;
• analizę polityki underwritingowej, taryfikacyjnej, rezerw techniczno-ubezpieczeniowych i reasekuracyjnej oraz procesu obsługi szkód i świadczeń. 

Ocena ryzyka aktuarialnego polega na rozpoznaniu stopnia zagrożenia lub grupy zagrożeń stanowiących o możliwości powstania szkody oraz na dokonaniu analizy elementów ryzyka w sposób umożliwiający podjęcie decyzji o przyjęciu ryzyka do ubezpieczenia. 

Pomiar ryzyka aktuarialnego dokonywany jest w szczególności, przy użyciu:

• analizy wybranych wskaźników;
• metody scenariuszowej – analizy utraty wartości spowodowanej przez zadaną zmianę czynników ryzyka;
• metody faktorowej – uproszczonej wersji metody scenariuszowej, zredukowanej do przypadku jednego scenariusza dla jednego czynnika ryzyka;
• danych statystycznych;
• miar ekspozycji i wrażliwości;
• wiedzy eksperckiej pracowników. 

Monitorowanie i kontrolowanie ryzyka aktuarialnego obejmuje analizę poziomu ryzyka za pomocą zestawu raportów zawierających wybrane wskaźniki. 

Raportowanie ma na celu efektywną komunikację o ryzyku aktuarialnym i wspiera zarządzanie ryzykiem aktuarialnym na różnych poziomach decyzyjnych od pracownika do Rady Nadzorczej. Częstotliwość poszczególnych raportów oraz zakres informacji dostosowane są do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych. 

Działania zarządcze przewidywane w procesie zarządzania ryzykiem aktuarialnym realizowane są, w szczególności poprzez:

• określenie poziomu tolerancji na ryzyko aktuarialne i jego monitorowanie;
• decyzje biznesowe i plany sprzedażowe;
• kalkulację i monitorowanie adekwatności rezerw techniczno-ubezpieczeniowych;
• strategię taryfową oraz monitorowanie istniejących szacunków i ocenę adekwatności składki;
• proces oceny, wyceny i akceptacji ryzyka aktuarialnego;
• stosowanie narzędzi ograniczania ryzyka aktuarialnego, w tym w szczególności reasekuracji i prewencji. 

Ponadto, w celu ograniczania ryzyka aktuarialnego związanego z bieżącą działalnością, podejmowane są w szczególności, następujące czynności:

• zdefiniowanie zakresów odpowiedzialności w ogólnych/szczególnych warunkach ubezpieczenia lub innych wzorcach umów;
• działania koasekuracyjne i reasekuracyjne;
• stosowanie adekwatnej polityki taryfikacyjnej;
• stosowanie odpowiedniej metodyki obliczania rezerw techniczno-ubezpieczeniowych;
• stosowanie odpowiedniej procedury oceny ryzyka przyjmowanego do ubezpieczenia (underwritingu);
• stosowanie odpowiedniej procedury likwidacji szkód lub obsługi świadczeń;
• decyzje i plany sprzedażowe;
• prewencja. 

Ryzyko rynkowe

Jest to ryzyko straty lub niekorzystnej zmiany sytuacji finansowej, wynikające bezpośrednio lub pośrednio z wahań poziomu i zmienności rynkowych cen aktywów, spreadu kredytowego, wartości zobowiązań i instrumentów finansowych.

Proces zarządzania ryzykiem spreadu kredytowego i ryzykiem koncentracji ma odmienną specyfikę od procesu zarządzania pozostałymi podkategoriami ryzyka rynkowego i został opisany w kolejnej części (Ryzyko kredytowe i ryzyko koncentracji) wraz z procesem zarządzania ryzykiem niewypłacalności kontrahenta.   

Ryzyko rynkowe w Grupie PZU pochodzi z trzech głównych źródeł:

• działalności związanej z dopasowaniem aktywów do zobowiązań (portfel ALM);
• działalności związanej z aktywną alokacją, tj. wyznaczaniem optymalnej średnioterminowej struktury aktywów (portfele AA);
• działalności bankowej – w jej efekcie Grupa PZU jest istotnie narażona na ryzyko stopy procentowej.   

Działalność inwestycyjną w podmiotach Grupy PZU reguluje szereg dokumentów zatwierdzonych przez Rady Nadzorcze, Zarządy i dedykowane Komitety. 

Identyfikacja ryzyka rynkowego polega na rozpoznaniu rzeczywistych i potencjalnych źródeł tego ryzyka. Proces identyfikacji ryzyka rynkowego związanego z aktywami rozpoczyna się w momencie podjęcia decyzji o rozpoczęciu dokonywania transakcji na danym typie instrumentów finansowych. Jednostki, które podejmują decyzję o rozpoczęciu dokonywania transakcji na danym typie instrumentów finansowych, sporządzają opis instrumentu zawierający, w szczególności, opis czynników ryzyka. Przekazują go do jednostki ds. ryzyka, która na jego podstawie identyfikuje i ocenia ryzyko rynkowe. 

Proces identyfikacji ryzyka rynkowego związanego z zobowiązaniami ubezpieczeniowymi rozpoczyna się wraz z procesem tworzenia produktu ubezpieczeniowego i jest związany z identyfikacją zależności wielkości przepływów finansowych z tego produktu od czynników ryzyka rynkowego. Zidentyfikowane ryzyka rynkowe podlegają ocenie ze względu na kryterium istotności tj. czy z materializacją ryzyka związana jest strata mogąca mieć wpływ na kondycję finansową. 

Ryzyko rynkowe jest mierzone przy użyciu poniższych miar ryzyka:

• VaR, wartości narażonej na ryzyko, będącej miarą ryzyka kwantyfikującą potencjalną stratę ekonomiczną, która w horyzoncie jednego roku przy normalnych warunkach rynkowych nie zostanie przekroczona z prawdopodobieństwem 99,5%;
• formuły standardowej;
• miar ekspozycji i wrażliwości;
• skumulowanej miesięcznej straty. 

W przypadku podmiotów bankowych stosuje się adekwatne miary zgodne z przepisami sektorowymi oraz dobrymi praktykami rynkowymi. 

Przy pomiarze ryzyka rynkowego wyróżnia się, w szczególności, następujące etapy:

• gromadzenie informacji o aktywach i zobowiązaniach generujących ryzyko rynkowe;
• kalkulacja wartości ryzyka. 

Pomiar ryzyka dokonywany jest:

• codziennie dla miar ekspozycji i wrażliwości instrumentów znajdujących się w systemach użytkowanych przez poszczególne jednostki Grupy PZU;
• miesięcznie przy wykorzystaniu modelu wartości narażonej na ryzyko dla ryzyka rynkowego lub formuły standardowej. 

Monitorowanie i kontrolowanie ryzyka rynkowego polega na analizie poziomu ryzyka i wykorzystania wyznaczonych limitów.   

Raportowanie polega na komunikacji o poziomie ryzyka rynkowego, efektach monitorowania i kontrolowania różnym poziomom decyzyjnym. Częstotliwość poszczególnych raportów oraz zakres informacji są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych. 

Działania zarządcze w odniesieniu do ryzyka rynkowego polegają w szczególności na:

• dokonywaniu transakcji służących zmniejszeniu ryzyka rynkowego, tj. sprzedaż instrumentu finansowego, zamknięcie pozycji na instrumencie pochodnym, kupnie zabezpieczającego instrumentu pochodnego;
• dywersyfikacji portfela aktywów, w szczególności ze względu na kategorię ryzyka rynkowego, terminy zapadalności instrumentów, koncentrację zaangażowania w jednym podmiocie, koncentrację geograficzną;
• stanowieniu ograniczeń i limitów ryzyka rynkowego. 

Stanowienie limitów jest głównym narzędziem zarządczym mającym na celu utrzymanie pozycji ryzyka w ramach akceptowalnego poziomu tolerancji na ryzyko. Struktura limitów dla poszczególnych kategorii ryzyka rynkowego, jak również dla poszczególnych jednostek organizacyjnych, jest ustalana przez dedykowane komitety w taki sposób, aby były one spójne z tolerancją na ryzyko ustalaną przez zarządy podmiotów zależnych. Podmioty sektora bankowego podlegają w tym zakresie dodatkowym wymogom regulacji sektorowych. 

Ryzyko kredytowe i ryzyko koncentracji

Ryzyko kredytowe rozumiane jest jako ryzyko straty lub niekorzystnej zmiany sytuacji finansowej, wynikające z wahań wiarygodności i zdolności kredytowej emitentów papierów wartościowych, kontrahentów i wszelkich dłużników, materializujące się w postaci niewykonania zobowiązania przez kontrahenta lub wzrostem spreadu kredytowego. W ramach ryzyka kredytowego wyróżnia się następujące kategorie ryzyka:

• ryzyko spreadu kredytowego;
• ryzyko niewykonania zobowiązania przez kontrahenta;
• ryzyko kredytowe w ubezpieczeniach finansowych. 

Ryzyko koncentracji rozumiane jest jako możliwość poniesienia straty wynikającej z braku dywersyfikacji portfela aktywów lub z dużej ekspozycji na ryzyko niewykonania zobowiązania przez pojedynczego emitenta papierów wartościowych lub grupę powiązanych emitentów. 

Identyfikacja ryzyka kredytowego i ryzyka koncentracji odbywa się na etapie podejmowania decyzji o zainwestowaniu w nowy typ instrumentu finansowego lub zaangażowaniu o charakterze kredytowym. Identyfikacja polega na analizie czy z daną inwestycją wiąże się ryzyko kredytowe lub ryzyko koncentracji, od czego uzależniony jest jego poziom i zmienność w czasie. Identyfikacji podlegają rzeczywiste i potencjalne źródła ryzyka kredytowego i ryzyka koncentracji. 

Ocena ryzyka polega na oszacowaniu prawdopodobieństwa materializacji ryzyka oraz potencjalnego wpływu materializacji ryzyka na kondycję finansową danego podmiotu. 

Pomiar ryzyka kredytowego dokonywany jest przy użyciu:

• miar ekspozycji (wartość zaangażowania kredytowego brutto i netto oraz zaangażowanie kredytowe netto ważone okresem zapadalności);
• wymogu kapitałowego kalkulowanego zgodnie z formułą standardową. 

Ryzyko koncentracji dla pojedynczego podmiotu kalkulowane jest zgodnie z formułą standardową. 

Miarą łącznego ryzyka koncentracji jest suma ryzyk koncentracji pojedynczych podmiotów. W przypadku podmiotów powiązanych wyznacza się ryzyko koncentracji dla wszystkich podmiotów powiązanych łącznie. 

W przypadku podmiotów bankowych stosuje się adekwatne miary zgodne z przepisami sektorowymi oraz dobrymi praktykami rynkowymi. W szczególności pomiar ryzyka kredytowego jest dokonywany przy użyciu siatki miar jakości portfela kredytowego.

Monitorowanie i kontrolowanie ryzyka kredytowego i ryzyka koncentracji polega na analizie bieżącego poziomu ryzyka, ocenie zdolności kredytowej i określeniu stopnia wykorzystania wyznaczonych limitów. Monitorowanie odbywa się m.in. w cyklach dziennych oraz miesięcznych. 

Monitorowanie jest wykonywane dla:

• zaangażowań z tytułu ubezpieczeń finansowych;
• zaangażowań reasekuracyjnych;
• limitów zaangażowania oraz limitów ryzyka VaR;
• zaangażowań kredytowych (dotyczy podmiotów bankowych). 

Raportowanie polega na komunikacji o poziomie ryzyka kredytowego i ryzyka koncentracji, efektach monitorowania i kontrolowania różnym poziomom decyzyjnym. Częstotliwość poszczególnych raportów oraz zakres informacji są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych. 

Działania zarządcze w odniesieniu do ryzyka kredytowego i ryzyka koncentracji polegają w szczególności na:

• stanowieniu limitów ograniczających zaangażowanie wobec pojedynczego podmiotu, grupy podmiotów, sektorów, krajów;
• dywersyfikacji portfela aktywów i ubezpieczeń finansowych w szczególności ze względu na kraj, sektor;
• przyjęciu zabezpieczenia;
• dokonywaniu transakcji służących zmniejszeniu ryzyka kredytowego, tj. sprzedaży instrumentu finansowego, zamknięciu instrumentu pochodnego, kupnie zabezpieczającego instrumentu pochodnego, restrukturyzacji udzielonego zadłużenia;
• reasekuracji portfela ubezpieczeń finansowych.   

Struktura limitów ryzyka kredytowego i ryzyka koncentracji dla poszczególnych emitentów jest ustalana przez dedykowane komitety w taki sposób, by były one spójne z tolerancją na ryzyko ustaloną przez zarządy poszczególnych podmiotów zależnych oraz pozwalały zminimalizować ryzyko „zarażania” pomiędzy skoncentrowanymi ekspozycjami. 

W działalności bankowej udzielanie produktów kredytowych realizowane jest zgodnie z metodykami kredytowania właściwymi dla segmentu klienta i rodzaju produktu. Ocena zdolności kredytowej klienta poprzedzająca wydanie decyzji kredytowej przeprowadzana jest z wykorzystaniem narzędzi wspierających proces kredytowy, w tym systemu scoringowego lub ratingowego, zewnętrznych informacji i wewnętrznych baz danego banku Grupy PZU. Udzielanie produktów kredytowych przebiega zgodnie z obowiązującymi procedurami operacyjnymi wskazującymi właściwe czynności wykonywane w procesie kredytowym, odpowiedzialne za nie jednostki oraz wykorzystywane narzędzia.

W celu minimalizacji ryzyka kredytowego ustanawia się zabezpieczenia adekwatne do ponoszonego ryzyka kredytowego. Ustanowienie zabezpieczenia nie zwalnia z obowiązku badania zdolności kredytowej klienta. 

Ryzyko płynności

Ryzyko płynności finansowej jest to możliwość utraty zdolności do bieżącego regulowania zobowiązań Grupy PZU wobec jej klientów lub kontrahentów. Celem zarządzania ryzykiem płynności finansowej jest zachowanie poziomu płynności umożliwiającego bieżące regulowanie zobowiązań danego podmiotu. Ryzyko płynności jest odrębnie zarządzane dla części ubezpieczeniowej oraz części bankowej.

Identyfikacja ryzyka polega na analizie możliwości wystąpienia niekorzystnych zdarzeń, w szczególności:

• niedoboru środków płynnych w stosunku do bieżących potrzeb danego podmiotu Grupy PZU;
• braku płynności posiadanych instrumentów finansowych;
• strukturalnego niedopasowania zapadalności aktywów do wymagalności zobowiązań.

Pomiar i ocena ryzyka są przeprowadzane poprzez oszacowanie niedoborów środków finansowych na wypłaty zobowiązań. W części ubezpieczeniowej oszacowanie dokonywane jest w następujących ujęciach:

• luk płynnościowych (statycznym, ryzyko płynności finansowej długoterminowej) – poprzez monitorowanie niedopasowania przepływów netto wynikających z umów ubezpieczenia zawartych do dnia bilansowego i wpływów z tytułu aktywów na pokrycie zobowiązań ubezpieczeniowych w poszczególnych okresach, na podstawie projekcji przepływów finansowych sporządzanej na dany dzień;
• potencjalnego niedoboru środków finansowych (ryzyko płynności finansowej średnioterminowej) – poprzez analizę historycznych i spodziewanych przepływów pieniężnych z działalności operacyjnej;
• stress testowym (ryzyko płynności finansowej średnioterminowej) – poprzez oszacowanie możliwości zbycia w krótkim czasie portfela lokat finansowych na zaspokojenie zobowiązań z tytułu wystąpienia zdarzeń ubezpieczeniowych, w tym o charakterze nadzwyczajnym;
• preliminarzy bieżących (ryzyko płynności finansowej krótkoterminowej) – poprzez monitorowanie zgłoszonego przez inne jednostki danego podmiotu ubezpieczeniowego z Grupy PZU zapotrzebowania na środki w terminie określonym przez obowiązujące w tym podmiocie regulacje. 

W zakresie zarządzania ryzykiem płynności banki w Grupie PZU stosują miary wynikające z regulacji sektorowych, w tym Rekomendacji P Komisji Nadzoru Finansowego.

Do zarządzania płynnością banków w Grupie PZU wykorzystuje się współczynniki płynności dla różnych okresów, w tym do 7 dni, do miesiąca, do 12 oraz powyżej 12 miesięcy. 

W ramach zarządzania ryzykiem płynności banki w Grupie PZU dokonują również analizy profilu zapadalności/wymagalności w dłuższym terminie, zależnej w dużym stopniu od przyjętych założeń w zakresie kształtowania się przyszłych przepływów gotówkowych związanych z pozycjami aktywów i pasywów. Założenia uwzględniają:

• stabilność pasywów o nieokreślonych terminach wymagalności (np. rachunki bieżące, zerwania i odnowienia depozytów, poziom ich koncentracji);
• możliwość skrócenia terminu zapadalności określonych pozycji aktywów (np. kredyty hipoteczne z możliwością wcześniejszej spłaty);
• możliwość zbycia pozycji aktywów (portfel płynnościowy).

Monitorowanie i kontrolowanie ryzyka płynności finansowej polegają na analizie wykorzystania wyznaczonych limitów.

Raportowanie polega na komunikacji o poziomie płynności finansowej różnym poziomom decyzyjnym. Częstotliwość poszczególnych raportów oraz zakres informacji są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych.

Ograniczeniu ryzyka płynności finansowej służą:

• utrzymywanie środków w wyodrębnionym portfelu płynnościowym, w wysokości zgodnej z limitami wartości tego portfela;
• utrzymywanie odpowiednich środków w walucie obcej w portfelach lokat przeznaczonych na pokrycie zobowiązań ubezpieczeniowych wyrażonych w danej walucie obcej;
• postanowienia Umowy o zarządzanie portfelami instrumentów finansowych zawartej pomiędzy TFI PZU oraz PZU dotyczące ograniczenia czasu wycofania środków z portfeli zarządzanych przez TFI PZU do maksymalnie 3 dni po złożeniu zapotrzebowania na środki pieniężne;
• posiadanie otwartych linii kredytowych w bankach lub/i możliwość dokonywania transakcji typu sell-buy-back na skarbowych papierach wartościowych, w tym utrzymywanych do terminu wykupu;
• centralizacja zarządzania portfelami/funduszami przez TFI PZU;
• limity wskaźników płynnościowych w bankach należących do Grupy PZU. 

Ryzyko operacyjne

Jest to możliwość poniesienia straty wynikającej z niewłaściwych lub błędnych procesów wewnętrznych, działań ludzi, funkcjonowania systemów lub ze zdarzeń zewnętrznych. 

Identyfikacja ryzyka operacyjnego odbywa się, w szczególności, poprzez:

• gromadzenie i analizę informacji o incydentach ryzyka operacyjnego oraz przyczynach ich wystąpienia;
• samoocenę ryzyka operacyjnego;
• analizy scenariuszowe. 

Ocena i pomiar ryzyka operacyjnego odbywa się poprzez:

• określanie skutków wystąpienia incydentów ryzyka operacyjnego;
• szacowanie skutków wystąpienia potencjalnych incydentów ryzyka operacyjnego, które mogą wystąpić w działalności. 

Oba banki w Grupie PZU, za zgodą KNF, stosują indywidualne modele zaawansowane do pomiaru ryzyka operacyjnego oraz szacowania wymogów kapitałowych z tytułu tego ryzyka. 

Monitorowanie i kontrolowanie ryzyka operacyjnego realizowane jest głównie poprzez ustanowiony system wskaźników ryzyka operacyjnego oraz limitów umożliwiających ocenę zmian poziomu ryzyka operacyjnego w czasie oraz czynników mających wpływ na jego poziom w działalności. 

Raportowanie polega na komunikacji o poziomie ryzyka operacyjnego oraz efektach monitorowania i kontrolowania różnym poziomom decyzyjnym. Częstotliwość poszczególnych raportów oraz zakres informacji są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych. 

Działania zarządcze w ramach reakcji na zidentyfikowane i ocenione ryzyko operacyjne polegają, w szczególności, na:

• ograniczaniu ryzyka poprzez podjęcie działań mających na celu minimalizację ryzyka, m.in. poprzez wzmocnienie systemu kontroli wewnętrznej;
• transferze ryzyka – w szczególności za pomocą zawarcia umowy ubezpieczenia;
• unikaniu ryzyka poprzez niepodejmowanie lub wycofanie się z określonej działalności biznesowej, w przypadku stwierdzenia zbyt wysokiego ryzyka operacyjnego, którego koszty ograniczenia są nieopłacalne;
• akceptacji ryzyka – aprobatę konsekwencji wynikających z ewentualnej materializacji ryzyka operacyjnego, jeśli nie zagraża ono przekroczeniu poziomu tolerancji na ryzyko operacyjne. 

Aktualność planów ciągłości działania w podmiotach Grupy PZU jest utrzymywana i cyklicznie testowana. 

Ryzyko modeli

Biorąc pod uwagę rosnące znaczenie zakresu wykorzystania modeli oraz zakwalifikowanie ryzyka modeli jako ryzyka istotnego dla Grupy PZU, w 2019 roku kontynuowany był formalny proces identyfikacji i oceny tego ryzyka. Proces ten ma na celu zapewnienie wysokiej jakości stosowanych praktyk dotyczących zarządzania tym ryzykiem. Rozwijany jest on obecnie w spółkach PZU i PZU Życie. W ramach procesu w 2019 roku wykonywano monitoringi oraz niezależne walidacje modeli. 

Ryzyko modeli zdefiniowane zostało jako ryzyko poniesienia straty finansowej, błędnego oszacowania danych raportowanych do organu nadzoru, podjęcia błędnych decyzji lub utraty reputacji z powodu błędów w opracowaniu, wdrożeniu lub stosowaniu modeli. 

W podmiotach sektora bankowego, z uwagi na wysoką istotność ryzyka modeli, zarządzanie tym rodzajem ryzyka zostało wdrożone w ubiegłych latach w ramach dostosowania do wymogów rekomendacji W KNF. Oba banki określiły standardy procesu zarządzania ryzykiem modeli, w tym zasady budowy modeli oraz oceny jakości ich działania, przy zapewnieniu właściwych rozwiązań w ramach ładu korporacyjnego.   

Ryzyko braku zgodności

Jest to ryzyko niedostosowania się lub naruszenia przez podmioty Grupy PZU lub osoby powiązane z podmiotami Grupy PZU przepisów prawa, regulacji wewnętrznych oraz przyjętych przez podmioty Grupy PZU standardów postępowania, w tym norm etycznych, które skutkuje lub może skutkować poniesieniem przez Grupę PZU lub osoby działające w jej imieniu sankcji prawnych, powstaniem strat finansowych bądź utratą reputacji lub wiarygodności. 

Proces zarządzania ryzykiem braku zgodności na poziomie PZU i PZU Życie dotyczy zarówno działań systemowych, realizowanych przez Biuro Compliance, jak również bieżącego zarządzania ryzykiem braku zgodności, za które odpowiadają kierujący jednostkami i komórkami organizacyjnymi w Spółkach. Identyfikowanie i ocena ryzyka braku zgodności realizowane są dla poszczególnych procesów wewnętrznych PZU i PZU Życie, zgodnie z podziałem odpowiedzialności za raportowanie. Dodatkowo Biuro Compliance identyfikuje ryzyko compliance na podstawie informacji wynikających z procesu legislacyjnego, ze zgłoszeń do rejestrów konfliktu interesów, prezentów oraz nieprawidłowości, a także wpływających do Biura zapytań.

Wśród działań systemowych wskazać należy kwestie takie jak:

• opracowywanie i wdrażanie założeń systemowych i spójnych z nimi regulacji wewnętrznych;
• rekomendowanie pozostałym podmiotom Grupy PZU rozwiązań w zakresie sposobu realizacji spójnej funkcji compliance oraz systemowego zarządzania ryzykiem braku zgodności;
• monitorowanie procesu zarządzania ryzykiem braku zgodności obejmującego w szczególności: dokonywanie analiz ryzyka braku zgodności, przegląd stanu realizacji wytycznych podmiotów zewnętrznych w zakresie zarządzania ryzykiem braku zgodności;
• udzielanie konsultacji oraz wydawanie interpretacji i wytycznych w zakresie stosowania przyjętych standardów postępowania oraz zarządzania ryzykiem braku zgodności;
• planowanie i realizacja szkoleń oraz prowadzenie działań komunikacji wewnętrznej w zakresie zapewnienia zgodności;
• sporządzanie raportów i informacji w zakresie ryzyka braku zgodności. 

Z kolei działania kierujących komórkami i jednostkami organizacyjnymi, związane z bieżącym zarządzaniem ryzykiem braku zgodności oznaczają m.in.:

• identyfikację i ocenę ryzyka braku zgodności w nadzorowanym obszarze;
• pomiar ryzyka braku zgodności w nadzorowanym obszarze;
• ustalanie instrumentów zabezpieczających oraz ograniczających liczbę i skalę występujących nieprawidłowości;
• raportowanie do Biura Compliance zagrożeń i zdarzeń z zakresu ryzyka braku zgodności;
• podejmowanie działań mitygujących ryzyko braku zgodności;
• stałe monitorowanie ryzyka braku zgodności w nadzorowanym obszarze. 

Dodatkowo Biuro Compliance na poziomie PZU dba o adekwatne i jednolite standardy rozwiązań compliance we wszystkich podmiotach Grupy PZU, jak również monitoruje ryzyko braku zgodności w skali Grupy PZU.   

W 2019 roku podmioty Grupy PZU posiadały systemy zgodności dostosowane do standardów wyznaczonych przez PZU. 

Za przekazywanie pełnej informacji na temat ryzyka braku zgodności w podmiotach Grupy odpowiedzialne są jednostki ds. zgodności tych podmiotów. Jednostki te mają za zadanie dokonanie oceny i pomiaru ryzyka braku zgodności oraz podjęcie odpowiednich działań zaradczych, które mitygują materializację tego ryzyka. 

Podmioty Grupy PZU obowiązane są do bieżącego informowania Biura Compliance PZU i PZU Życie na temat ryzyka braku zgodności. Biuro Compliance natomiast dokonuje m.in.:

• analizy raportów miesięcznych i kwartalnych otrzymanych od jednostek ds. zgodności podmiotów Grupy;
• oceny wpływu ryzyka braku zgodności podmiotów na Grupę PZU;
• analizy wykonania zaleceń wydanych podmiotom z zakresu realizacji funkcji compliance;
• wsparcia jednostek ds. zgodności podmiotów Grupy PZU przy ocenie ryzyka braku zgodności;
• raportowania Zarządowi i Radzie Nadzorczej PZU. 

Ryzyko braku zgodności uwzględnia w szczególności ryzyko niedostosowania działalności podmiotów Grupy PZU do zmieniającego się otoczenia prawnego. Materializacja tego ryzyka może nastąpić w związku z opóźnieniem wdrożenia lub brakiem jasnych i jednoznacznych przepisów, czyli z tzw. luką prawną. Może to powodować nieprawidłowości w działalności Grupy PZU, co w konsekwencji może przyczynić się do wzrostu kosztów (np. kary administracyjne, inne sankcje finansowe), jak i zwiększenia ryzyka utraty reputacji. 

Z uwagi na szeroki zakres działalności Grupy PZU, na ryzyko utraty reputacji ma również wpływ ryzyko sporów sądowych o różnej wartości, które dotyczy przede wszystkim spółek ubezpieczeniowych i banków wchodzących w skład Grupy. 

Identyfikowanie i ocena ryzyka braku zgodności w podmiotach Grupy realizowana jest dla poszczególnych procesów wewnętrznych tych podmiotów przez kierujących komórkami organizacyjnymi, zgodnie z podziałem odpowiedzialności za raportowanie. Dodatkowo jednostki ds. compliance w podmiotach Grupy PZU identyfikują ryzyko braku zgodności na podstawie informacji wynikających ze zgłoszeń do rejestrów konfliktu interesów, prezentów oraz nieprawidłowości, a także wpływających zapytań. 

Ocena i pomiar ryzyka braku zgodności dokonywane są poprzez określenie skutków materializacji ryzyk:

• finansowych, wynikających m.in. z kar administracyjnych, wyroków sądowych, decyzji UOKiK, kar umownych oraz odszkodowań;
• niematerialnych, dotyczących utraty reputacji, w tym uszczerbku w zakresie wizerunku i marki Grupy PZU. 

Monitorowanie ryzyka braku zgodności dokonywane jest w szczególności poprzez:

• analizę systemową raportów cyklicznych otrzymywanych od kierujących jednostkami i komórkami organizacyjnymi;
• monitoring wymogów regulacyjnych i dostosowania działalności do zmieniającego się otoczenia prawnego podmiotów Grupy PZU;
• udział w pracach legislacyjnych w zakresie zmian obowiązujących powszechnie przepisów;
• podejmowanie aktywności w organizacjach branżowych;
• koordynację procesów kontroli zewnętrznej;
• koordynację realizacji obowiązków informacyjnych giełdowych (PZU) i ustawowych;
• popularyzację w Grupie PZU wiedzy z obszaru prawa konkurencji i ochrony konsumentów wśród pracowników z dostosowaniem do obszaru działalności;
• monitoring orzecznictwa antymonopolowego oraz postępowań prowadzonych przez Prezesa UOKiK;
• przegląd realizacji zaleceń jednostki ds. compliance Grupy PZU;
• zapewnienie jednolitych standardów i spójnej realizacji funkcji compliance w Grupie PZU. 

Działania zarządcze w zakresie reakcji na ryzyko braku zgodności obejmują w szczególności:

• akceptację ryzyka m.in. wobec zmian prawnych i regulacyjnych;
• ograniczanie ryzyka, w tym: dostosowanie procedur i procesów w kontekście wymogów regulacyjnych, opiniowanie i projektowanie regulacji wewnętrznych pod względem zgodności, uczestnictwo w procesie uzgadniania działań marketingowych;
• unikanie ryzyka poprzez zapobieganie angażowaniu się podmiotów Grupy PZU w działania niezgodne z obowiązującymi wymogami regulacyjnymi, dobrymi praktykami rynkowymi lub mogącymi negatywnie wpłynąć na wizerunek Grupy PZU. 

W ramach ograniczania ryzyka braku zgodności w Grupie PZU na poziomie systemowym i bieżącym realizowane są m.in. następujące działania mitygujące:

• bieżąca realizacja efektywnej funkcji zgodności jako jednej z funkcji kluczowych w systemie zarządzania;
• udział w konsultacjach z organami ustawodawczymi i nadzoru (podmioty nadzorowane Grupy PZU) na etapie tworzenia regulacji (konsultacje społeczne);
• delegowanie przedstawicieli podmiotów nadzorowanych Grupy PZU do udziału w pracach komisji przy organach nadzoru;
• uczestnictwo w projektach wdrożeniowych dla nowych regulacji;
• szkolenia pracowników w zakresie nowych regulacji, standardów postępowania i rekomendowanych działań zarządczych;
• opiniowanie regulacji wewnętrznych i rekomendowanie ewentualnych zmian pod kątem ich zgodności z przepisami prawa i przyjętymi standardami postępowania;
• weryfikacja procedur i procesów w kontekście ich zgodności z przepisami prawa i przyjętymi standardami postępowania;
• wyprzedzające dostosowywanie dokumentacji do zbliżających się zmian wymogów prawnych;
• systemowy nadzór PZU nad realizacją funkcji zgodności w podmiotach Grupy PZU;
• prowadzenie analiz i bieżący monitoring nad stosowaniem zasad funkcjonowania chińskich murów, w związku ze złożonymi przez PZU dodatkowymi zobowiązaniami inwestorskimi w ramach postępowania z zawiadomienia dotyczącego zamiaru nabycia akcji Banku Pekao;
• bieżący monitoring zmian otoczenia prawno-regulacyjnego w celu identyfikacji luk lub obszarów wymagających podjęcia działań mających na celu zapewnienie zgodności. 

W 2019 roku - w związku z dalszym spełnianiem przez Grupę PZU kryteriów pozwalających uznawać ją za konglomerat finansowy i tym samym koniecznością kontynuowania stosowania wobec niej przez KNF nadzoru uzupełniającego sprawowanego na podstawie ustawy z 15 kwietnia 2005 roku o nadzorze uzupełniającym nad instytucjami kredytowymi, zakładami ubezpieczeń, zakładami reasekuracji i firmami inwestycyjnymi wchodzącymi w skład konglomeratu finansowego – obszar compliance był zaangażowany w prace związane z dostosowaniem Spółki do wymogów wynikających z tejże ustawy, a także do wymogów wynikających przede wszystkim z następujących aktów prawnych:

• rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
• dyrektywy z 15 maja 2014 roku w sprawie rynków instrumentów finansowych (MIFID II) (regulacja istotna dla niektórych podmiotów z Grupy PZU, w szczególności TFI);
• ustawy z 15 grudnia 2017 roku o dystrybucji ubezpieczeń;
• ustawy z 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu,
• ustawy z 16 października 2019 roku o zmianie ustawy o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych oraz niektórych innych ustaw. 

Koncentracja ryzyka

W ramach zarządzania poszczególnymi kategoriami ryzyka Grupa PZU identyfikuje, mierzy i monitoruje koncentrację ryzyka, przy czym dla sektora bankowego procesy te realizowane są na poziomie poszczególnych podmiotów zgodnie z wymogami sektorowymi. W celu wypełnienia obowiązków regulacyjnych jakie nałożone są na grupy kapitałowe identyfikowane jako konglomeraty finansowe w 2019 roku podjęto szereg inicjatyw mających na celu wdrożenie modelu zarządzania znaczącą koncentracją ryzyka w konglomeracie finansowym zgodnie z wymogami ustawy o nadzorze uzupełniającym. Część prac będzie kontynuowana również w 2020 roku. 

Obecnie Grupa PZU identyfikuje następujące typy koncentracji ryzyka:

• w ramach ryzyka aktuarialnego identyfikuje się koncentrację ryzyka w odniesieniu do możliwych szkód spowodowanych przez zdarzenia katastroficzne, w szczególności takie jak powodzie i huragany oraz koncentracje na dużych ryzykach korporacyjnych, przy czym stosowany program reasekuracji w obu przypadkach pozwala na redukcję wielkości potencjalnej szkody na udziale własnym;
• w ramach ryzyka kredytowego oraz rynkowego koncentracja ryzyka jest identyfikowana na poziomie grup kapitałowych, sektorów gospodarki oraz krajów;
• w ramach ryzyka operacyjnego oraz innych istotnych ryzyk nie zidentyfikowano koncentracji ryzyka. 

Koncentracja ryzyka w zidentyfikowanych obszarach podlega regularnemu pomiarowi i monitoringowi.