Ocena sytuacji Idea Bank S.A., z uwzględnieniem oceny systemów kontroli wewnętrznej, zarządzania ryzykiem, compliance oraz funkcji audytu wewnętrznego

Transkrypt

1 Ocena sytuacji Idea Bank S.A., z uwzględnieniem oceny systemów kontroli wewnętrznej, zarządzania ryzykiem, compliance oraz funkcji audytu wewnętrznego Zgodnie z Dobrymi Praktykami Spółek Notowanych na GPW, Rada Nadzorcza Idea Bank S.A. ( Bank ) dokonała oceny sytuacji Banku w 2018 roku, z uwzględnieniem oceny funkcjonującego w Banku systemu kontroli wewnętrznej, zarządzania ryzykiem, zapewnienia zgodności funkcjonowanie Banku z odpowiednimi przepisami prawa ( compliance ) oraz funkcji audytu wewnętrznego. I. Ocena działalności Idea Bank S.A w 2018 roku Rok 2018 był najtrudniejszym rokiem w dotychczasowej historii działalności Banku, który na dzień 31 grudnia 2018 roku wykazał stratę na poziomie jednostkowym w wysokości mln zł oraz mln zł na poziomie skonsolidowanym. Wysoka strata finansowa była spowodowana przede wszystkim koniecznością utworzenia rezerw i odpisów na należności oraz inne aktywa Grupy. Większość wprowadzonych rezerw i odpisów na należności miała charakter jednorazowy i była związana z działalnością Grupy w latach ubiegłych. Bank rozpoczął w 2018 r. proces restrukturyzacji finansowej, rozliczając efekty poprzednio realizowanego modelu biznesowego, nastawionego przede wszystkim na dynamiczny wzrost. W dniu 4 września 2018 roku Bank uruchomił Plan Naprawy Grupy Kapitałowej Idea Bank S.A. w związku z przekroczeniem poziomów krytycznych dla wskaźników rentowności w ujęciu skonsolidowanym i jednostkowym według stanu na 30 czerwca 2018 roku, a w dniu 24 sierpnia 2018 roku w związku z przekroczeniem poziomów krytycznych dla wskaźników kapitałowych Bank przyjął Plan Ochrony Kapitału. W wyniku tego kierunki działania Banku i jego strategia w drugiej połowie roku uległy znaczącej zmianie i skoncentrowały się na jak najszybszym doprowadzeniu do poprawy wskaźników kapitałowych oraz rentowności. Obydwa Plany zostały odpowiednio zmodyfikowane na początku 2019 roku, opierając osiągnięcie założonych celów w zakresie poprawy wskaźników o połączenie z Getin Noble Bank S.A. oraz pozyskanie nowego kapitału od inwestora typu private equity. W okresie od sierpnia do listopada 2018 roku nastąpiły istotne zmiany w składzie Zarządu Banku. Od początku objęcia prowadzenia Banku przez nowy Zarząd, jego członkowie realizowali swoje działania z zachowaniem najwyższej staranności i kierując się zasadami ostrożnego i stabilnego zarządzania Bankiem. Nowe osoby objęły nadzór nad wszystkimi kluczowymi obszarami działalności spółki. Nowy Zarząd Banku musiał już w listopadzie 2018 r. zmierzyć się z kryzysem płynnościowym na niespotykana skalę. Po jego opanowaniu Zarząd skupił się na opracowaniu strategii eliminacji luki kapitałowej zidentyfikowanej w drugim półroczu 2018 r. oraz realizacji procesu związanego z połączeniem Banku z Getin Noble Bank S.A. oraz bardzo aktywnym poszukiwaniem inwestora strategicznego dla połączonego banku lub banków funkcjonujących samodzielnie. W dniu 18 stycznia 2019 r. w wyniku tych prac Bank złożył do KNF wniosek o wydanie zgody na połączenie banków. Bank w roku 2018 musiał zmierzyć się także z następstwami udziału w procesie dystrybucji obligacji GetBack S.A. Spowodowały one zarówno nadszarpnięcie zaufania i w konsekwencji spadek zainteresowania klientów usługami Grupy oraz zmianę perspektywy jego dalszego rozwoju, jak i przełożyły się na wartość cen akcji Banku na Giełdzie Papierów Wartościowych. Następstwa ww. procesów najdotkliwiej objawiły się w IV kwartale 2018 roku skutkując znaczącą zmianą sytuacji płynnościowej Banku. Wpis na Listę ostrzeżeń publicznych Komisji Nadzoru Finansowego spowodował znaczący odpływ depozytów i konieczność wdrożenia działań awaryjnych dla podtrzymania płynności Banku. Gwałtowna redukcja bazy depozytowej spowodowała obniżenie współczynnika LCR z poziomu 166,02% w dniu 13 listopada do poziomu 79,19% w dniu 15 listopada. Bank podjął szereg działań naprawczych, w szczególności: podwyższając oprocentowanie depozytów, zbywając aktywa płynne oraz zaciągając kredyt refinansowy w NBP. W wyniku konsekwentnie realizowanych działań naprawczych, sytuacja została w pełni opanowana, a w dniu 14 stycznia 2019 r. dokonano całkowitej przedterminowej spłaty kredytu refinansowego. Pomimo kryzysu, Bank realizował bez zakłóceń wszystkie transakcje klientowskie.

2 W wyniku odnotowanych na koniec 2018 r. strat, współczynniki kapitałowe Banku i Grupy spadły poniżej wymogów określonych w art. 92 Rozporządzenia CRR. Aktywa Grupy na dzień r. wyniosły tys. PLN, co oznacza spadek o 13,6% w stosunku do stanu z dnia r., głównie ze względu na spadek aktywów dostępnych do sprzedaży w reakcji na znaczący wzrost odpływu depozytów klientów. Należności klientów na dzień wyniosły tys. PLN, co oznacza spadek o 3,2% r/r. Zobowiązania wobec klientów na dzień r. wyniosły tys. PLN, co oznacza spadek o 2,5% r/r. Kapitały własne Grupy wyniosły tys. PLN. Wynik odsetkowy Grupy wyniósł tyś. PLN, - 28% r/r ze względu przede wszystkim na znaczący wzrost kosztów finansowania. Wynik z opłat i prowizji wyniósł mln PLN, głównie ze względu na zawiązanie rezerwy związanej ze zwrotem prowizji od produktów ubezpieczeniowych powiązanych z umowami kredytu w wysokości 191 mln zł oraz od produktów inwestycyjnych w wysokości 49 mln PLN. Pozostałe przychody i koszty operacyjne netto wyniosły tyś. PLN, głównie ze względu na rezerwy i odpisy wymienione powyżej. Koszty administracyjne pozostawały pod kontrolą i wyniosły tys. PLN. Wynik z tytułu odpisów wyniósł tyś. PLN, odzwierciedlając utworzone odpisy i rezerwy z tytułu utraty wartości ekspozycji kredytowych w kwocie 407 mln zł w związku z zidentyfikowanymi komponentami zaburzającymi właściwe określanie możliwych do realizacji odzysków z kredytów w statusie NPL. W szczególności zidentyfikowane i wyeliminowane nieprawidłowości dotyczyły wykorzystywanych do nauki modelu danych na temat historycznie realizowanych sprzedaży. II. Ocena systemu zarządzania ryzykiem istotnym dla Banku Idea Bank S.A. oraz Grupa Kapitałowa Idea Bank S.A. prowadząc działalność operacyjną narażone są na ryzyka, z których, zgodnie z przeprowadzonym w 2018 roku przeglądem procesu oceny adekwatności kapitału wewnętrznego ICAAP i zarządzania kapitałowego do najistotniejszych należą: ryzyko kredytowe, ryzyko kontrahenta, płynności, rynkowe (w tym ryzyko stóp procentowych, ryzyko walutowe) ryzyko operacyjne, ryzyko braku zgodności, ryzyko koncentracji dużych zaangażowań, ryzyko strategiczne, ryzyko kapitałowe i ryzyko reputacji. Zarządzanie ryzykiem jest jednym z najważniejszych procesów w Grupie Kapitałowej i ma na celu zapewnienie rentowności działalności biznesowej, przy zapewnieniu kontroli poziomu ryzyka i jego utrzymaniu w ramach przyjętych przez Grupę tolerancji na ryzyko i systemu limitów, w zmieniającym się otoczeniu makroekonomicznym i prawnym. Zarządzanie ryzykiem jest procesem zintegrowanym i odbywa się w oparciu o wymogi nadzorcze oraz regulacje zatwierdzone przez Radę Nadzorczą i Zarząd Banku. W procesie zarządzania ryzykiem uczestniczą: Rada Nadzorcza, Zarząd, Komitet Zarządzania Aktywami i Pasywami, Komitet Kredytowy Banku, Komitet Ryzyka Operacyjnego komórki organizacyjne zarządzające poszczególnymi rodzajami ryzyka, komórki kontroli (w tym komórka audytu wewnętrznego oraz komórka compliance), wybrane komórki organizacyjne jednostek zależnych. Rada Nadzorcza Banku sprawuje nadzór nad systemem zarządzania ryzykiem w Grupie. Rada Nadzorcza akceptuje strategię, kluczowe polityki zarządzania ryzykiem i wielkość akceptowalnego poziomu ryzyka. Prowadzi przeglądy głównych obszarów ryzyka, trybu identyfikacji zagrożeń oraz procesu ustalania i monitorowania działań naprawczych. 2

3 Zarząd Banku odpowiada za wdrożenie efektywnego systemu zarządzania ryzykiem, zgodnego z wymogami regulacyjnymi oraz przyjętymi założeniami strategicznymi. Zakres ten obejmuje takie czynności jak: identyfikację, pomiar, monitorowanie i kontrolę, raportowanie, podejmowanie działań zaradczych, a także przeglądy i weryfikacje procesu zarządzania wybranym rodzajem ryzyka. Zarząd ponadto odpowiada za ustanowienie struktury organizacyjnej dostosowanej do wielkości i profilu podejmowanego ryzyka, podział odpowiedzialności zapewniający niezależność funkcji pomiaru i kontroli ryzyka od działalności operacyjnej, wprowadzenie i aktualizację strategii zarządzania ryzykiem. Ze względu na szeroki aspekt i przenikanie poszczególnych rodzajów ryzyka, każdy rodzaj ryzyka posiada komórkę wiodącą, która jest odpowiedzialna za koordynację procesu zarządzania danym rodzajem ryzyka. Komórki te odpowiadają za identyfikację, pomiar, monitoring i koordynację działań zaradczych w zakresie poszczególnych rodzajów ryzyka. Do zadań komórek należy także opracowywanie procedur realizacji poszczególnych etapów procesu zarządzania ryzykiem. W Banku funkcjonuje komórka audytu wewnętrznego, której celem jest badanie i ocena, w sposób niezależny i obiektywny, adekwatności i skuteczności systemu kontroli wewnętrznej, procedur i mechanizmów kontroli wewnętrznej oraz opiniowanie systemu zarządzania Bankiem, w tym skuteczności zarządzania ryzykiem związanym z działalnością Banku. W celu zapewnienia zgodności działania Banku z odpowiednimi prawami, przepisami oraz standardami, w Banku funkcjonuje także wydzielona komórka compliance, której celem działania jest również właściwe zarządzanie ryzykiem braku zgodności. Działalność poszczególnych Komitetów opisano poniżej w poszczególnych kategoriach ryzyka. Ryzyko kredytowe Ryzyko kredytowe jest podstawowym ryzykiem w działalności Banku. Zarządzanie ryzykiem kredytowym ma na celu zapewnienie bezpieczeństwa prowadzonej działalności kredytowej, przy zachowaniu racjonalnego podejścia do ryzyka. Rolą Rady Nadzorczej jest akceptacja strategii zarządzania ryzykiem kredytowym oraz polityki kredytowej, okresowa ocena realizacji przez Zarząd założeń strategii i polityki kredytowej, nadzór nad kontrolą systemu zarządzania ryzykiem kredytowym oraz ocena jej adekwatności i skuteczności. Zarząd Banku odpowiada za opracowanie, wprowadzenie i aktualizację strategii oraz procedur w zakresie systemu zarządzania ryzykiem kredytowym oraz polityki kredytowej, okresowe raportowanie do Rady Nadzorczej o realizacji strategii i polityki kredytowej oraz funkcjonowaniu systemu zarządzania ryzykiem kredytowym, utrzymywanie komunikacji z instytucją nadzoru i raportowanie do niej oraz udostępnianie jej wszelkiej wymaganej odpowiednimi przepisami prawa informacji w zakresie ryzyka kredytowego. Zarząd Banku jest również odpowiedzialny za rozwój systemu zarządzania ryzykiem kredytowym w odpowiednich komórkach biorących udział w tym procesie. Komitet Kredytowy Banku jest organem opiniodawczym i decyzyjnym, co wynika z przyjętego w Banku trybu podejmowania decyzji kredytowych, rozpatrującym całokształt spraw związanych z ryzykiem kredytowym bieżących transakcji. Rolą Komitetu jest wsparcie działalności Zarządu Banku w postaci realizacji funkcji opiniodawczo-doradczych w procesie podejmowania decyzji kredytowych lub samodzielne podejmowanie decyzji w ramach przyznanych uprawnień przez Zarząd Banku. Komórkami odpowiedzialnymi za zarządzanie ryzykiem kredytowym w Banku w 2018 roku były Biuro Polityki Kredytowej i ICAAP oraz Departament Ryzyka Kredytowego, podległe bezpośrednio Członkowi Zarządu nadzorującemu obszar ryzyka kredytowego. Komórki te odpowiadają m.in. za zarządzanie ryzykiem kredytowym poprzez bieżący monitoring i kontrolę ryzyka w Banku, w tym także sprawozdawczość w zakresie wpływu ryzyka kredytowego na działalność Banku, za ustalanie minimalnych kryteriów akceptacji, sprawowanie kontroli nad jakością stosowanych procedur oraz przestrzegania właściwych standardów procesu kredytowego. Do zadań Departamentu Ryzyka Kredytowego należy również zapewnienie prawidłowości klasyfikacji ekspozycji kredytowych oraz tworzenia odpisów z tytułu oczekiwanych strat kredytowych na należności kredytowe z uwzględnieniem przyjętych zabezpieczeń prawnych, a także koordynacja procesu wyceny portfela kredytowego Banku zgodnie z odpowiednimi przepisami rachunkowości. 3

4 Zarządzanie ryzykiem kredytowym w Banku realizowane jest na podstawie wewnętrznych procedur dotyczących identyfikacji, pomiaru, monitorowania i kontroli ryzyka kredytowego, opracowanych w formie pisemnej i zatwierdzonych przez Zarząd Banku. Funkcjonujący w Banku wewnętrzny system sprawozdawczości zarządczej dostarcza Radzie Nadzorczej i Zarządowi Banku informacji na temat wielkości ryzyka w działalności Banku, służy ocenie skutków decyzji w zakresie zarządzania ryzykiem i monitorowaniu przestrzegania limitów wewnętrznych i zewnętrznych oraz jakości portfela kredytowego. Poziom wykorzystania poszczególnych limitów analizowany był w okresach kwartalnych, a informacja o poziomie ich wykorzystania przekazywana była do Zarządu Banku oraz Rady Nadzorczej. Na dzień 31 grudnia 2018 nie odnotowano przekroczenia żadnego z wewnętrznych limitów koncentracji kredytowej, jednocześnie ze względu na znaczny spadek funduszy podstawowych Banku, który miał miejsce w 2018 roku i który był konsekwencją utworzonych odpisów i rezerw obciążających wynik finansowy Banku, na dzień 31 grudnia Bank odnotował przekroczenie limitu wynikającego z art. 79 ust. 4 Prawa Bankowego i limitu wynikającego z wymogów określonych w art. 395 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012. Rada Nadzorcza uznaje system zarządzania ryzykiem kredytowym za zasadniczo spójny z założeniami Strategii i Polityki Kredytowej Banku, jednakże mając na względzie postępujący proces dojrzałości Banku uznaje za celowe podjęcie przez Bank działań zmierzających do wzmocnienia przedmiotowego systemu w szczególności poprzez: doskonalenie narzędzi służących ocenie zdolności kredytowej potencjalnych klientów, prowadzenie regularnego monitoringu sytuacji finansowej klientów, monitoringu zachowania portfela kredytowego oraz obszaru tworzenia odpisów aktualizujących na oczekiwane straty kredytowe. Ryzyko płynności Celem zarządzania ryzykiem płynności jest prowadzenie przez Bank działalności w sposób zapewniający wykonanie wszystkich zobowiązań pieniężnych zgodnie z terminami ich wymagalności oraz finansowanie aktywów, bez konieczności ponoszenia nadmiernych kosztów. Podstawowym celem Banku w zakresie zarządzania płynnością jest zapobieganie wystąpieniu sytuacji kryzysowej (poprzez nadmierny odpływ środków) oraz wdrożenie rozwiązań umożliwiających jej przetrwanie. Nadrzędnym celem zarządzania płynnością jest minimalizowanie ryzyka utraty płynności Banku, w horyzontach śróddziennym, krótko-, średnio- i długoterminowym, poprzez zapewnienie zdolności do wywiązywania się w sposób optymalny z bieżących i przyszłych zobowiązań. Zarządzanie płynnością średnioterminową i długoterminową należy do kompetencji Zarządu Banku, natomiast za zarządzanie płynnością śróddzienną bieżącą i krótkoterminową odpowiedzialny jest Departament Skarbu i Rynków Finansowych. Komitet Zarządzania Aktywami i Pasywami sprawuje w procesie zarządzania płynnością rolę opiniodawczo-doradczą oraz monitoruje poziom ryzyka płynności w okresach miesięcznych. Do oceny poziomu ryzyka płynności Bank wykorzystuje w szczególności następujące miary ryzyka/analizy: 1. nadzorcze normy płynności określone w Uchwale nr 386/2008 Komisji Nadzoru Finansowego z dnia 17 grudnia 2008 r., 2. wskaźniki LCR i NSFR, 3. poziom aktywów płynnych, 4. luki płynności, tj. niedopasowania zapadalności aktywów i wymagalności pasywów, uwzględniająca wszystkie pozycje bilansu oraz pozycje pozabilansowe wg terminów zapadalności/wymagalności, w ujęciu kontraktowym oraz urealnionym, 5. wewnętrzne wskaźniki płynności, 6. informacje dotyczące stanu bazy depozytowej oraz poziomu środków stabilnych, 7. testy warunków skrajnych. 4

5 Zarządzanie płynnością opiera się między innymi na zestawieniu aktywów i pasywów Banku według urealnionych terminów zapadalności / wymagalności (metoda luki). Pozwala ono na analizę i kontrolę pozycji płynności w skali całego Banku w ujęciu krótko-, średnio- i długoterminowym. Metoda luki ma za zadanie ostrzegać z wyprzedzeniem o pojawieniu się niebezpiecznego dla Banku niedopasowania aktywów i pasywów. Funkcja ostrzegawcza pozwala na zareagowanie z wyprzedzeniem lub zaplanowanie użycia odpowiedniego instrumentu finansowego w celu pokrycia ujemnej luki. W celu ograniczania ryzyka płynności Bank stosuje nadzorcze oraz wewnętrzne limity płynności nałożone na wybrane miary płynności. Na dzień 31 grudnia 2018 r. wybrane wskaźniki płynności kształtowały się poniżej obowiązujących limitów ograniczających ryzyko płynności. Miało to związek z przejściowymi problemami płynnościowymi Banku w listopadzie 2018 r. Rada Nadzorcza uznaje system zarządzania ryzykiem płynności za spójny ze strategią Banku. Ryzyko rynkowe (w tym ryzyko walutowe i ryzyko stopy procentowej) Ryzyko rynkowe definiowane jest jako niepewność, iż stopy procentowe, kursy walut lub ceny papierów wartościowych oraz innych instrumentów finansowych posiadanych przez Bank przyjmą wartości różniące się od istniejących w dacie początkowego ujęcia, powodując powstawanie nieoczekiwanych zysków lub strat z tytułu utrzymywanych pozycji. Za zarządzanie ryzykiem na poziomie strategicznym odpowiedzialny jest Zarząd Banku. Organem wspomagającym Zarząd Banku w zarządzaniu aktywami i pasywami jest Komitet Zarządzania Aktywami i Pasywami (ALCO). Ryzyko walutowe Podstawowym celem zarządzania ryzykiem walutowym jest kształtowanie struktury walutowych aktywów i pasywów, a także składników pozabilansowych, w ramach obowiązujących norm ostrożnościowych określanych przez regulacje nadzorcze oraz przyjętych limitów wewnętrznych.. Polityka Banku w zakresie zarządzania ryzykiem walutowym sprowadza się do zarządzania pozycjami walutowymi Banku poprzez: ustalanie oraz przestrzeganie limitu otwartych pozycji walutowych, sporządzanie zestawienia pozycji walutowych Banku w poszczególnych walutach oraz pozycji całkowitej, monitorowanie oraz zabezpieczanie operacji generujących różnice kursowe. Zarządzanie operacyjne ryzykiem walutowym należy do kompetencji Departamentu Skarbu i Rynków Finansowych, natomiast kontrolę nad przestrzeganiem limitów i norm ostrożnościowych sprawuje Komitet Zarządzania Aktywami i Pasywami (ALCO). Obliczanie ekspozycji Banku na ryzyko walutowe oraz obliczanie wymogu kapitałowego niezbędnego do pokrycia ryzyka dokonywane jest z częstotliwością dzienną. Bank w ramach prowadzonej działalność operacyjnej dąży do minimalizacji ryzyka walutowego poprzez utrzymywanie wartości pozycji walutowej całkowitej na poziomie niższym od limitu przyjętego w regulacji wewnętrznej Zasady zarządzania ryzykiem walutowym w Idea Banku S.A.. Wartość pozycji walutowej całkowitej nie może być wyższa niż 2% funduszy własnych Banku. Przyjęty limit obowiązuje w każdym dniu roboczym. Wartość pozycji walutowych wyrażonych w złotych przeliczana jest przy zastosowaniu średniego kursu NBP obowiązującego na dzień sprawozdawczy. Ponadto w Banku przeprowadzana jest analiza wrażliwości dla ryzyka walutowego, polegająca na analizie wpływu na wynik finansowy zmian średnich kursów walutowych NBP z wykorzystaniem modelu VaR (Value at Risk). Polega ona na wyznaczeniu maksymalnej straty, jaką Bank może ponieść w ramach posiadanej otwartej pozycji walutowej z tytułu zmian kursów walutowych w normalnych warunkach rynkowych oraz przy założeniu okresu utrzymywania pozycji i określonym poziomie ufności. Biuro Ryzyka Finansowego przeprowadza z częstotliwością miesięczną stress-testy kapitałowe ryzyka walutowego, a z częstotliwością kwartalną testy warunków skrajnych, polegające na wpływie szokowych zmian kursów walut na wycenę otwartej pozycji walutowej. Ponadto zgodnie z regulacjami nadzorczymi i wewnętrznymi przeprowadzane są cykliczne weryfikacje poprawności działania modeli, czyli tzw. backtesting. 5

6 Rada Nadzorcza Banku nie wnosi zastrzeżeń do stosowanych metod pomiaru ryzyka walutowego i zauważa, iż poziom utrzymywanej przez Bank całkowitej pozycji walutowej w 2018 nie przekroczył wyznaczonego limitu. Tym samym system zarządzania ryzykiem walutowym wydaje się adekwatny do skali i zakresu prowadzonej działalności przez Bank. Ryzyko stopy procentowej Podstawowym celem Banku w zakresie zarządzania ryzykiem stopy procentowej w księdze bankowej jest utrzymanie zmienności wyniku odsetkowego w granicach niezagrażających realizacji planu finansowego i adekwatności kapitałowej Banku, ograniczając ewentualne straty z tytułu zmian rynkowych stóp procentowych do akceptowalnego poziomu poprzez odpowiednie kształtowanie struktury pozycji bilansowych i pozabilansowych. W 2018 r. Bank prowadził działania mające na celu zabezpieczenie ryzyka stopy procentowej w ramach zarządzania aktywami i pasywami, stosując przy tym rachunkowość zabezpieczeń. Bank definiuje ryzyko stopy procentowej jako ryzyko wynikające z narażenia aktualnego i przyszłego wyniku finansowego Banku oraz jego kapitału na niekorzystny wpływ zmian stóp procentowych. W szczególności jest ono związane z niedopasowaniem aktywów i pasywów (oraz pozycji pozabilansowych) Banku, wrażliwych na zmiany oprocentowania w danym horyzoncie czasowym. Bank dostosowuje zarządzanie ryzykiem stopy procentowej do rodzaju i skali prowadzonej działalności. W Banku ryzyko stopy procentowej wyznacza się tylko dla księgi bankowej. Bank nie prowadzi działalności handlowej w tym zakresie. Zgodnie z Zasadami zarządzania ryzykiem stopy procentowej w Idea Bank S.A. Zarząd Banku zatwierdza konstrukcję limitów na dopuszczalną ekspozycję Banku na ryzyko stopy procentowej oraz wielkość tych limitów.: W 2018 r. w Banku funkcjonowały poniższe limity: limit maksymalnej prognozowanej zmiany wyniku odsetkowego od dnia sprawozdawczego do końca roku, względem sumy wyniku osiągniętego w danym roku kalendarzowym do dnia sprawozdawczego oraz założonej w Planie Finansowym kwoty wyniku odsetkowego od dnia sprawozdawczego do końca roku; limit maksymalnego wpływu prognozowanej zmiany wyniku odsetkowego w horyzoncie 12 miesięcy na fundusze własne Banku; limit na ryzyko bazowe relacja wpływu ryzyka bazowego na wynik odsetkowy Banku w horyzoncie 12 miesięcy do sumy osiągniętego wyniku odsetkowego Banku w ostatnich 12 miesiącach (do dnia sprawozdawczego); limit na ryzyko opcji klienta udział depozytów wycofanych w analizowanym miesiącu przez klientów przed ustalonym terminem (zerwanych) w sumie pasywów wrażliwych na zmianę stóp procentowych według stanu na poprzedni dzień sprawozdawczy; limit na ryzyko krzywej dochodowości wpływ równoległego przesunięcia krzywej dochodowości o 2 punkty procentowe na fundusze własne Banku. Poza powyższym badaniem Bank dokonuje również analizy ryzyka: niedopasowania terminów przeszacowania opcji klienta, bazowego, krzywej dochodowości. Rada Nadzorcza nie wnosi zastrzeżeń do stosowanych przez Bank w 2018 roku metod pomiaru ryzyka stopy procentowej. Rada Nadzorcza jednakże wyraża pogląd, iż system informacji zarządczej w zakresie ryzyka stopy procentowej wymaga dalszego doskonalenia. Ryzyko operacyjne Ryzyko operacyjne jest drugim (po ryzyku kredytowym) podstawowym ryzykiem w działalności Banku. Jednostką koordynującą proces ryzykiem operacyjnym w Banku jest Departament Ryzyka Operacyjnego. Bank zarządza ryzykiem operacyjnym zgodnie z ustaloną przez Zarząd i zaakceptowaną przez Radę Nadzorczą Polityką Zarządzania Ryzykiem Operacyjnym, która uwzględnia regulacje ostrożnościowe wynikające z prawa bankowego oraz odpowiednich uchwał i rekomendacji instytucji nadzoru, przyjętą 6

7 w Banku definicję ryzyka operacyjnego, docelowy profil ryzyka operacyjnego oraz ogólne zasady zarządzania ryzykiem operacyjnym, jak również zakłada ciągle doskonalenie procesów zarządzania ryzykiem operacyjnym. Celem zarządzania ryzykiem operacyjnym jest zwiększenie bezpieczeństwa działalności prowadzonej przez Bank. Zarządzanie ryzykiem operacyjnym obejmuje wszystkie procesy i systemy związane z wykonywaniem czynności bankowych, zapewniających klientom usługi finansowe świadczone w ramach przedmiotu działalności Banku. W systemie zarządzania ryzykiem operacyjnym aktywnie uczestniczą wszystkie komórki i jednostki organizacyjne Banku oraz Komitet Ryzyka Operacyjnego jako organ opiniodawczo doradczy dla Zarządu Banku. W Banku funkcjonuje system raportowania i pomiaru ryzyka operacyjnego wspomagany systemem informatycznym. W 2018 r. Bank koncentrował się głównie na: optymalizacji procesów dotyczących zarządzania ryzykiem operacyjnym, w tym procesu samooceny, przeprowadzania testów warunków skrajnych oraz outsourcingu, prowadzeniu działań mających głównie na celu wzmocnienie kompletności bazy strat poprzez m. in.; dodatkowe kontrole, co ma bezpośredni wpływ na poprawę efektywności identyfikowania zdarzeń oraz incydentów, realizacji zadań wynikających z regulacji wewnętrznych w ramach funkcji kontroli, realizacji rekomendacji po kontroli KNF dotyczących w głównej mierze zarządzania ryzykiem operacyjnym oraz utrzymania ciągłości biznesowej Banku, koordynacji przeprowadzanych przy współpracy z IT oraz komórkami biznesowymi Banku testów z zakresu Utrzymania Ciągłości Działania ( UCB ) oraz ich dokumentowania, Bank zarządza także ryzykiem operacyjnym w Grupie Kapitałowej Idea Bank, poprzez analizę zdarzeń operacyjnych w spółkach zależnych jak również poprzez stosowanie w miarę możliwości jednolitych zasad zgodnych z zasadami zarządzania ryzykiem stosowanymi w Banku. Zgodnie z obowiązującą Polityką Zarządzania Ryzykiem Operacyjnym w Spółkach Zależnych Grupy Kapitałowej Idea Bank S.A., spółki zależne przekazują do Departamentu Ryzyka Operacyjnego Banku informacje o zdarzeniach / incydentach dotyczących ryzyka operacyjnego oraz stosują spójne z Bankiem zasady zarządzania ryzykiem operacyjnym. Do wyliczania minimalnego wymogu kapitałowego z tytułu ryzyka operacyjnego Bank stosuje metodę standardową zgodnie z art. 317 Rozporządzenia CRR. Na 2018 r. wymóg kapitałowy z tytułu ryzyka operacyjnego wynosił: tys. zł. Suma strat brutto z tytułu zdarzeń dotyczących ryzyka operacyjnego, odnotowanych w 2018 r. wyniosła: tys. zł. W 2018 r. Bank kontynuował realizację znaczących działań (rozpoczętych w roku 2017) mających na celu dalsze podnoszenie poziomu bezpieczeństwa teleinformatycznego oraz zabezpieczających Bank przed cyberzagrożeniami. W 2018 roku w zakresie ryzyka operacyjnego w Banku mieliśmy do czynienia ze zdarzeniami o charakterze bardzo istotnym, wskazującymi na potencjalną możliwość wystąpienia strat finansowych w dużej skali. Jednocześnie Bank podejmował działania mające na celu zabezpieczenie zidentyfikowanych ryzyk oraz wyeliminowanie nieprawidłowości poprzez ustanowenie dodatkowych mechanizmów kontrolnych zabezpieczających m. in. uniemożliwienie wystąpienia podobnych zdarzeń w przyszłości. Odbywało się to głównie poprzez wprowadzenie istotnych zmian w obowiązujących regulacjach wewnętrznych i funkcjonujących procesach, uregulowanie czynności dotychczas nieujętych w formalnych regulacjach, ale również poprzez szereg istotnych zmian w funkcjonujących w Banku matrycach kontroli. W 2018 roku matryce kontroli podlegały licznym zmianom. Zmiany te wynikały zarówno z rekomendacji nadzoru, rekomendacji komórek II i III linii obrony w Banku, ale także były efektem działań weryfikacyjnych i edukacyjnych prowadzonych głównie przez komórki II linii obrony mających na celu podnoszenie świadomości w zakresie skuteczności i efektywności prowadzonych kontroli. 7

8 Mając na uwadze powyższe Rada Nadzorcza wyraża pogląd, iż niezbędne jest kontynuowanie prac mających na celu dalsze podnoszenie efektywności systemu kontroli wewnętrznej, systemu zarządzania ryzykiem oraz podnoszenia bezpieczeństwa teleinformatycznego Banku. Ryzyko braku zgodności Zgodnie z definicją przyjętą przez Bank, ryzyko braku zgodności rozumiane jest jako ryzyko skutków nieprzestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych w procesach funkcjonujących w Banku. Skutki, o których mowa powyżej mogą dotyczyć w szczególności pogorszenia reputacji i wiarygodności Banku, narażenia Banku na sankcje prawne lub powstanie strat finansowych. Zarządzanie ryzykiem braku zgodności w Banku opiera się na następujących elementach kultury organizacyjnej: świadomości pracowników Banku, co do istnienia ryzyka braku zgodności, specyfiki tego ryzyka oraz sposobów jego ograniczania, w obszarach odpowiedzialności poszczególnych pracowników; znajomości i przestrzeganiu obowiązujących przepisów prawa oraz regulacji nadzorczych obowiązujących dla sektora bankowego, regulacji wewnętrznych obowiązujących w Banku, przyjętych przez Bank dobrych praktyk i standardów rynkowych obowiązujących dla sektora bankowego, w tym obowiązujących w Banku kodeksów etycznych; poczuciu współodpowiedzialności pracowników za kontrolę i ograniczanie ryzyka braku zgodności; dbałości o długoterminowe dobro Banku. W 2018 r. zapewnienie zgodności, w tym zarządzanie ryzykiem braku zgodności realizowane było na podstawie zmienionej Polityki zgodności Idea Bank S.A., zatwierdzonej przez Zarząd i Radę Nadzorczą Banku oraz zaktualizowanych regulacji wykonawczych do tej polityki. W procesie zarządzania ryzykiem braku zgodności, obejmującym identyfikację, ocenę, kontrolę, monitorowanie oraz raportowanie uczestniczą wszystkie komórki organizacyjne funkcjonujące w Banku. Sformalizowany system zarządzania ryzykiem braku zgodności jest traktowany jako niezbędny element wsparcia działalności Banku w zakresie efektywnego i bezkolizyjnego wdrażania nowych standardów, metodyk i procedur wewnętrznych wynikających z zewnętrznych przepisów prawa oraz regulacji nadzorczych. Dotyczy to także zagwarantowania prawidłowego wdrożenia i realizacji w Banku zasad wyznaczania adekwatności kapitałowej, wprowadzania nowych produktów i zarządzania ryzykiem, wynikających z regulacji zewnętrznych. Kluczowym elementem procesu zarządzania ryzykiem braku zgodności jest działalność wyodrębnionej komórki do spraw zgodności ( DCO ), do zadań której należy m.in. opracowanie i aktualizowanie metodyk lub procedur określających tryb i zasady zarządzania ryzykiem braku zgodności w Banku, identyfikacja ryzyka braku zgodności, w szczególności poprzez monitoring zmian zachodzących w otoczeniu prawny i regulacyjnym mających wpływ na funkcjonowanie Banku oraz prowadzonych działań dostosowawczych, analizę danych pozyskanych z wewnętrznych źródeł informacji oraz wyników wewnętrznych postępowań wyjaśniających przeprowadzonych przez DCO, analizę produktów wprowadzanych do oferty banku przez komórkę produktową, jaki również analizie procesów sprzedażowych tych produktów, ocenę całościową ryzyka braku zgodności, określanie, rodzajów mechanizmów kontroli ryzyka braku zgodności, stosowanie własnych mechanizmów kontroli ryzyka, monitorowanie wielkości i profilu ryzyka braku zgodności po zastosowaniu mechanizmów kontroli ryzyka braku zgodności. Bank nadzoruje wprowadzone wspólne zasady zarządzania ryzykiem braku zgodności w podmiotach zależnych od Banku, które zostały dostosowane do skali i rodzaju działalności prowadzonej przez te podmioty. Departament ds. Compliance w zakresie zarządzania ryzykiem braku zgodności pełni funkcję doradczą także wobec podmiotów zależnych od Banku. W 2018 r. Bank zidentyfikował obszary jego działalności najbardziej narażone na ryzyko braku zgodności, do których należą ochrona konsumenta, przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu, ochrona danych osobowych i tajemnica bankowa, wymogi FATCA i CRS, czynności w 8

9 obrocie instrumentami finansowymi. We wszystkich wskazanych obszarach Bank podjął i nadal prowadzi działania mające na celu ograniczenie rozmiaru ewentualnych skutków braku zgodności. Wdrożono również liczne działania naprawcze, stanowiące jednocześnie realizację zaleceń pokontrolnych Komisji Nadzoru Finansowego zaadresowanych wobec Banku po inspekcji problemowej dotyczącej wykonywania przez Bank działań w związku z ofertą obligacji wyemitowanych przez spółkę GetBack S.A. tj. zmiany w regulacjach wewnętrznych i procesach, w mechanizmach kontrolnych i matrycach kontroli, organizacja szkoleń dla sieci sprzedaży obejmujących zagadnienia etycznej sprzedaży, misselingu, doradztwa inwestycyjnego, a także szkolenie z etyki dla pracowników Banku. Rada Nadzorcza uznaje proces zarządzania ryzykiem braku zgodności w roku 2018 za pozostający w zgodzie z Polityką zgodności Idea Bank S.A., aczkolwiek nie w pełni skuteczny, ze względu na ujawnione nieprawidłowości i zaistniałe zdarzenia, które mogą generować dla Banku istotne sankcje finansowej jak i niefinansowe. Rada Nadzorcza wyraża pogląd, że niezbędne jest kontynuowanie prac mających na celu dalsze podnoszenie efektywności zarządzania ryzykiem braku zgodności, w szczególności poprzez wzmocnienie mechanizmów kontroli ryzyka oraz budowanie świadomości i dojrzałej kultury w systemie zapewnienia zgodności, w oparciu o zasadę wspólnej odpowiedzialności przestrzeganą na wszystkich szczeblach struktury organizacyjnej Banku. Ryzyko reputacji Ryzyko reputacji rozumiane jest jako ryzyko pogorszenia reputacji wśród klientów, kontrahentów, inwestorów, organów nadzoru i kontroli oraz opinii publicznej, na skutek decyzji biznesowych, zdarzeń operacyjnych, przypadków braku zgodności lub innych nieprzewidzianych zdarzeń. Celem zarządzania ryzykiem reputacji jest ochrona reputacji, w tym wiarygodności Banku poprzez przeciwdziałanie występowaniu zagrożeń reputacyjnych oraz ograniczanie negatywnego wpływu zdarzeń wizerunkowych na reputację Banku. Zarządzania ryzykiem reputacji w Banku obejmuje w szczególności monitorowanie kluczowych czynników wpływających na sposób postrzegania Banku przez otoczenie zewnętrzne, tj.: negatywne informacje w mediach dotyczące Banku; reklamacje zgłaszane przez klientów; spory sądowe z klientami, kontrahentami i pracownikami; rodzaj i przyczyny odmowy wypłaty odszkodowania z tytułu ubezpieczeń grupowych lub stanowiących zabezpieczenie należności Banku; możliwość nałożenia na Bank kary przez organy nadzorcze; przestrzeganie przez pracowników Banku regulacji wewnętrznych Banku oraz przepisów prawa; zapewnienie ciągłości obsługi klientów; zapewnienie bezpieczeństwa (tj. zdeponowanych środków pieniężnych, informacji, infrastruktury informatycznej); identyfikowanie potencjalnych zagrożeń związanych z ofertą produktową Banku i praktykami sprzedażowymi. Ograniczanie ryzyka reputacji odbywa się poprzez całokształt działań służących do utrzymywania pozytywnego wizerunku Banku oraz zasad wysokiej kultury prowadzenia działalności biznesowej. Bank, poprzez system regulacji wewnętrznych definiujących oraz dokumentujących obszary aktywności Banku, ogranicza pole zdarzeń wpływających na powstanie ryzyka reputacji. Działania w ramach zarządzania ryzykiem utraty reputacji podejmowane są na bieżąco lub na podstawie cyklicznych informacji zarządczych, w tym ocen poziomu ryzyka i mają na celu aktywną kontrolę ryzyk powstających w danych obszarach działalności Banku. Dotyczą one w szczególności unikania lub zaniechania praktyk generujących ryzyko utraty reputacji oraz działań komunikacyjnych, podejmowanych przez Bank w celach osłonowych. 9

10 W 2018 r. miały miejsce zdarzenia, które mogą skutkować podwyższeniem poziomu ryzyka utraty reputacji. Do najistotniejszych należą: udział Banku w dystrybucji obligacji korporacyjnych spółki GetBack S.A. i związane z tym faktem doniesienia medialne kreujące negatywny wizerunek Banku w przestrzeni publicznej, reklamacje klientów dotyczące zastrzeżeń na proces sprzedażowy tych obligacji, jak również dotyczące procesu przekazywania danych klientów do podmiotów trzecich, wszczęcie wobec Banku postepowań przez organy nadzoru i kontroli, spadki notowań akcji Banku, wpis Banku na listę ostrzeżeń publicznych, publikacja wyników finansowych Banku informująca o stracie. Ponadto w 2018 r. Bank zaobserwował w ramach swojej działalności zdarzenia operacyjnie mogące potencjalnie wpłynąć negatywnie na reputację Banku. Główne typy zdarzeń z tej kategorii zostały sklasyfikowane jako naruszenia bezpieczeństwa środków klienta, danych klientów, informacji, w tym tajemnicy bankowej. Wobec powyższych zdarzeń zostały podjęte działania mające na celu łagodzenie lub ograniczanie skutków oraz działania osłonowe w komunikacji z opinia publiczną. Rada Nadzorcza uznaje funkcjonujący proces zarządzania ryzykiem utraty reputacji za istotny element budowy pozycji rynkowej Banku. Rada Nadzorcza wyraża pogląd iż niezbędne jest kontynuowanie działań mających na celu podnoszenie efektywności systemu wewnętrznych procedur zrządzania ryzykiem reputacyjnym, obejmującym całą strukturę organizacyjną Banku i wszystkich jego pracowników, niezależnie od zajmowanego stanowiska czy pełnionej funkcji. System ten powinien uwzględniać skuteczne procedury szybkiego reagowania w sytuacjach kryzysowych, a także dalsze zarządzanie poprawą wizerunku Banku. Zarządzanie kapitałem Zarządzanie adekwatnością kapitałową ma na celu utrzymywanie funduszy własnych Banku oraz Grupy Kapitałowej na poziomie nie niższym niż ustanowione wymogi nadzorcze uwzględniające wszystkie nałożone bufory kapitałowe. W 2018 r. zgodnie z Rozporządzeniem CRR, ustawą o nadzorze makroostrożnościowym, oraz rekomendacjami nadzorczymi, instytucje finansowe miały obowiązek utrzymywania następujących dodatkowych buforów kapitałowych ponad poziomy minimalne określone w Rozporządzeniu CRR: 1.Bufor zabezpieczający, który obowiązuje wszystkie banki. Zgodnie z Rozporządzeniem CRR, począwszy od 2016 r., bufor będzie zwiększany do ostatecznego, stałego poziomu równego 2,5% (od 1 stycznia 2019 r.). Według stanu na dzień r. wskaźnik bufora zabezpieczającego wynosił 1,875%. 2.Bufor antycykliczny nakładany będzie w celu ograniczania ryzyka systemowego wynikającego z cyklu gospodarczego (koniunkturalnego). Może być wprowadzany np. w okresach nadmiernego wzrostu akcji kredytowej i rozwiązywany w sytuacji jej spowolnienia. Według stanu na dzień r. wskaźnik bufora antycyklicznego wynosił 0%. 3. Bufor ryzyka systemowego, którego rolą jest zapobieganie i ograniczanie długoterminowego ryzyka niecyklicznego lub ryzyka makroostrożnościowego, które może spowodować silne negatywne konsekwencje dla systemu finansowego i gospodarki danego kraju. Według stanu na dzień r. wskaźnik bufora ryzyka systemowego wynosił 3%. 4. Bufor dla instytucji o znaczeniu systemowym dodatkowy wymóg dla instytucji mogących kreować ryzyko systemowe. Bank nie został uznany za globalną instytucje o znaczeniu systemowym, zgodnie z art. 131 dyrektywy 2013/36/UE oraz nie został nałożony na Bank wymóg utrzymania bufora innej instytucji o znaczeniu systemowym. 5. Rekomendacja nadzorcza Komisji Nadzoru Finansowego ( KNF ) z dnia r. oraz r. w zalecenia utrzymywania współczynnika Tier 1 na poziomie nie niższym niż 9% oraz współczynnika wypłacalności na poziomie nie niższym niż 12%. Mając na względzie powyższe, od stycznia 2018 roku Bank obowiązywały: bufor zabezpieczający w wysokości 1,875% i bufor ryzyka systemowego w wysokości 3%. W ramach wyznaczania całkowitego wymogu kapitałowego w tytułu kapitału regulacyjnego Bank stosuje metody wynikające z Rozporządzenia CRR, w tym w szczególności: 10

11 metodę standardową do obliczania wymogu kapitałowego z tytułu ryzyka kredytowego, metodę standardową do obliczania wymogu kapitałowego z tytułu ryzyka operacyjnego, metodę standardową dla ryzyka korekty wyceny kredytowej, metodę podstawową do obliczania wymogu kapitałowego z tytułu ryzyka walutowego, W analizowanym okresie Bank posiadał wymóg kapitałowy wyłącznie z tytułu ryzyka kredytowego, ryzyka operacyjnego oraz ryzyka korekty wyceny kredytowej (korekta wg. stanu na dzień r. wyniosła tys. zł, natomiast według. stanu na dzień r. wyniosła tys. zł). W efekcie ujęcia w księgach Banku w trakcie 2018 roku rezerw i odpisów oraz korekt, poziom wybranych współczynników kapitałowych Banku i Grupy spadł poniżej minimalnych wymogów połączonego bufora co było efektem uruchomienia Planu Ochrony Kapitału, a następnie poziomów współczynników o których mowa w art. 92 rozporządzenia nr 575/2013 rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.Urz. UEL176 z , str.1, z późn. zm.). Łączny współczynnik kapitałowy, obliczony zgodnie z obowiązujący przepisami CRR/CRD IV Grupy wyniósł na koniec 2018 r. 2,74%. Współczynnik kapitału podstawowego Tier 1 Grupy wynosił 1,35%. Ze względu wysokość luki kapitałowej oraz istotną zmianę możliwej ścieżki rozwoju Banku, planowane w trakcie 2018 roku działania naprawcze nie dawały gwarancji osiągnięcia celów naprawy w racjonalnym horyzoncie czasowym i w związku z tym Bank zaktualizował Plan Ochrony Kapitału opierając plan naprawy na pozyskaniu nowego kapitału dla banku powstałego z połączenia Idea Bank S.A. oraz Getin Noble Bank S.A. Zarządzanie ryzykiem inwestycji w spółki zależne Bank sprawuje nadzór nad ryzykiem związanym z działalnością spółek zależnych Grupy Kapitałowej. Zasady zarządzania ryzykiem w spółkach zależnych Grupy Kapitałowej wynikają z przyjętej przez Bank strategii zarządzania ryzykiem i uwzględniają rodzaj działalności prowadzonej przez te podmioty. Proces zarządzania poszczególnymi ryzykami w spółkach zależnych Grupy Kapitałowej, w tym system monitorowania i raportowania zidentyfikowanych ryzyk, proces wewnętrznej oceny adekwatności kapitałowej określają właściwe przepisy wewnętrzne, wprowadzone przez te spółki zgodnie z Polityką zarządzania ryzykiem w spółkach zależnych Grupy Kapitałowej Idea Bank S.A. Spółki zależne Grupy Kapitałowej tworzą przepisy wewnętrzne dotyczące zarządzania poszczególnymi rodzajami ryzyka z uwzględnieniem wytycznych i rekomendacji formułowanych przez Bank. Przepisy wewnętrzne spółek zależnych dotyczące zarządzania ryzykiem uwzględniają zasadę spójności i porównywalności oceny poszczególnych rodzajów ryzyka w Banku i spółkach Grupy oraz specyfikę działalności spółki oraz rynku, na którym ona prowadzi działalność. Za zarządzanie ryzykiem inwestycji w spółki zależne na poziomie strategicznym odpowiedzialny jest Zarząd Banku, który dla celów zarządzania operacyjnego powołał komitety: Komitet Kredytowy, Komitet Ryzyka Operacyjnego oraz Komitet Zarządzania Aktywami i Pasywami. Komitety odpowiedzialne są za zarządzanie podległymi im obszarami ryzyka na poziomie operacyjnym, monitorowanie poziomu ryzyka, a także wytyczanie bieżącej polityki w ramach przyjętej przez Zarząd Banku strategii w ramach limitów wewnętrznych i regulacji nadzorczych. Bank monitoruje, ewidencjonuje i zarządza poszczególnymi rodzajami ryzyka w ujęciu skonsolidowanym tj. zarówno na poziomie Banku oraz w ujęciu całej Grupy. Bank sprawuje nadzór właścicielski nad spółkami, w których zaangażowany jest kapitałowo. Nadzór właścicielski to proces składający się z monitorowania działalności podmiotów, w których Idea Bank jest zaangażowany kapitałowo (podmiotów zależnych i stowarzyszonych), bieżącej ocenę ich działalności oraz podejmowania działań prowadzących do optymalizacji sposobu ich funkcjonowania. Nadzór właścicielski to również wykonywanie uprawnień właścicielskich przysługujących Bankowi. Nadzór nad spółkami zależnymi w Grupie Idea Bank S.A. sprawuje Członek Zarządu Idea Bank S.A., zgodnie z podziałem kompetencji, zatwierdzonym przez Radę Nadzorczą Banku. Operacyjnie dokonywany jest przez Departament Nadzoru Właścicielskiego. 11

12 Nadrzędnymi celami nadzoru właścicielskiego (jednocześnie wyznacznikami strategii rozwoju tych podmiotów) w 2018 r. były: 1) skuteczność zarządzania poszczególnymi spółkami, w których Bank jest zaangażowany kapitałowo, kształtowanie relacji biznesowych pomiędzy Idea Bankiem i spółkami zależnymi oraz pomiędzy poszczególnymi spółkami zależnymi; 2) zapewnienie działania poszczególnych podmiotów w sposób, który miał na celu realizację strategii Grupy Kapitałowej Idea Bank; 3) eliminacja zjawisk niepożądanych, w tym słabości w systemie kontroli wewnętrznej oraz nadużyć; 4) skuteczne wykorzystanie praw właścicielskich przysługujących Akcjonariuszowi, w tym dotyczących dystrybucji wyników finansowych oraz kształtowanie składów Zarządów. Osiągnięciu wymienionych celów służy: 1) stosowanie przyjętych standardów nadzoru właścicielskiego (Procedury szczegółowe), stanowiących wyraz oczekiwań w zakresie realizacji określonych celów; 2) doskonalenie procedur i/lub dobrych praktyk, dotyczących bezpośrednio/pośrednio relacji Idea Bank spółka zależna oraz funkcjonowania spółek zależnych; 3) istniejący mechanizm monitorowania i oceny działalności ekonomicznej i finansowej spółek zależnych, umożliwiający szybkie reagowanie na zachodzące zjawiska niepożądane. Rada Nadzorcza uznaje system zarządzania inwestycjami w spółki zależne za adekwatny. III. Ocena systemu kontroli wewnętrznej oraz funkcji audytu wewnętrznego System Kontroli Wewnętrznej (SKW) w Idea Banku zorganizowany jest na trzech niezależnych liniach obrony, na które składają się w ramach: 1) pierwszej linii - jednostki i komórki organizacyjne zajmujące się sprzedażą produktów i usług oraz obsługą Klientów, a także realizujące zadania operacyjne generujące ryzyka określone w regulacjach wewnętrznych Banku, 2) drugiej linii - komórki organizacyjne lub pracownicy na specjalnie powołanych stanowiskach ds. zarządzania ryzykiem (kontrolujące realizację działań wykonywanych w ramach pierwszej linii obrony) oraz działalności Departamentu ds. Compliance (DCO), 3) trzeciej linii - Departament Audytu Wewnętrznego (DAW). Do celów funkcjonującego SKW, istotnego narzędzia kontrolowania działalności bankowej, wspomagającego zarządzanie Bankiem oraz usprawniającego realizację przyjętej strategii, należy wspieranie procesów decyzyjnych przyczyniające się do zapewnienia: 1) przestrzegania zasad zarządzania ryzykiem, 2) skuteczności, a także efektywności działania, 3) wiarygodności sprawozdawczości finansowej, 4) zgodności działania Banku z przepisami prawa, regulacjami wewnętrznymi oraz przyjętymi w Banku standardami rynkowymi. Za zaprojektowanie, wprowadzanie i zapewnianie funkcjonowania adekwatnego i skutecznego SKW odpowiada Zarząd Banku, uwzględniając przy tym stopień skomplikowania procesów funkcjonujących w Banku i w spółkach zależnych, dostępne zasoby, ryzyko zaistnienia nieprawidłowości w zakresie poszczególnych procesów, zwłaszcza tych istotnych oraz ocenę dotychczasowej adekwatności i skuteczności pierwszej, drugiej i trzeciej linii obrony. Nadzór nad powyższym sprawuje Rada Nadzorcza Banku, monitorując skuteczność SKW w oparciu o informacje uzyskane z DCO, DAW, Zarządu Banku oraz Komitetu Audytu Rady Nadzorczej, któremu może zlecić bieżący monitoring we wskazanym zakresie. Niezależne i obiektywne badanie oraz ocena adekwatności i skuteczności SKW jest zadaniem DAW, który wykonuje je poprzez działania o charakterze zapewniającym oraz doradczym, we wszystkich obszarach, procesach i czynnościach oraz elementach struktury organizacyjnej Banku, spółek 12

13 zależnych oraz podmiotów zewnętrznych świadczących usługi na rzecz Banku. Departament ten systematycznie i w uporządkowany sposób, ocenia procesy, zarządzanie ryzykiem i funkcjonowanie kontroli, w tym kontroli na pierwszej i drugiej linii obrony. DAW dokonuje obiektywnej oceny adekwatności i skuteczności systemu zarządzania, w tym w szczególności systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, poprzez prowadzone audyty realizowane w ramach zdefiniowanego przez Bank metodycznego procesu audytu wewnętrznego. Zadaniem DAW jest ocena adekwatności i skuteczności systemu zarządzania ryzykiem, odpowiednio na pierwszej i drugiej linii obrony, z uwzględnieniem adekwatności i skuteczności mechanizmów kontroli ryzyka stosowanych w ramach tych linii oraz systemu kontroli wewnętrznej. W ramach cyklicznej zewnętrznej oceny zgodnej z Międzynarodowymi Standardami Praktyki Zawodowej Audytu Wewnętrznego, przeprowadzonej przez firmę audytorską PKF Consult Sp. z o.o. Sp. k., działalność komórki audytu wewnętrznego została oceniona na poziomie bardzo dobrym. Rada Nadzorcza pozytywnie ocenia współpracę z DAW w roku obrotowym Jednakże w oparciu o przedstawiony przez DAW raport z oceny systemu kontroli wewnętrznej w 2018 roku przygotowany na podstawie audytów przeprowadzonych w roku 2018, rekomenduje wzmocnienie działań zarządczych wspierających system kontroli wewnętrznej. 13