Załącznik nr 2 do Uchwały Zarządu Banku Spółdzielczego w Prabutach z dnia 26.06.2014 r... Strategia zarządzania ryzykiem w Banku Spółdzielczym w Prabutach Prabuty, czerwiec 2014
SPIS TREŚCI DZIAŁ I - Postanowienia ogólne... 2 DZIAŁ II - Podstawowe założenia procesu zarządzania ryzykiem... 2 DZIAŁ III - Proces zarządzania ryzykiem... 3 Rozdział 1 - Struktura organizacyjna zarządzania ryzykiem... 3 Rozdział 2 - Procedury zarządzania ryzykiem bankowym... 5 Rozdział 3 - Identyfikacja, pomiar i monitorowanie ryzyka... 7 Rozdział 4 - Limity ograniczające ryzyko... 8 Rozdział 5 - Informacja zarządcza dotycząca zarządzania ryzykiem... 9 DZIAŁ IV Cele strategiczne oraz polityki w zakresie zarządzania istotnymi rodzajami ryzyka... 10 Rozdział 1 Ryzyko kredytowe, w tym koncentracji... 10 Rozdział 2 Ryzyko operacyjne... 13 Rozdział 3 Ryzyko płynności... 13 Rozdział 4 Ryzyko stopy procentowej... 14 Rozdział 5 Ryzyko kapitałowe... 15 Rozdział 6 Ryzyko braku zgodności... 15 DZIAŁ V - Postanowienia końcowe... 15 Wykaz załączników: Załącznik nr 1 Raport z realizacji ustalonego przez Radę Nadzorczą apetytu na ryzyko wyrażonego wskaźnikami ilościowymi Załącznik nr 2 Strategia zarządzania ryzykiem operacyjnym 1
DZIAŁ I - Postanowienia ogólne 1 Bank Spółdzielczy w Prabutach, mając na uwadze realizację dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26.06.2013 r. dostosowuje funkcjonujący w Banku system zarządzania ryzykiem do postanowień tej regulacji obejmujący identyfikację, pomiar, limitowanie, monitorowanie i kontrolę poszczególnych rodzajów ryzyka oraz proces szacowania kapitału wewnętrznego zapewniający jego adekwatność do profilu ryzyka Banku. 2 Niniejsza Strategia zarządzania ryzykiem w Banku Spółdzielczym w Prabutach, zwana dalej strategią, określa: 1) strukturę organizacyjną w zakresie zarządzania ryzykiem; 2) zadania organów Banku, komitetów, jednostek organizacyjnych i poszczególnych osób w procesie zarządzania ryzykiem; 3) schemat procedur odnoszących się do zarządzania ryzykiem w Banku, cele strategiczne w zakresie zarządzania istotnymi rodzajami ryzyka w Banku; 4) cele strategiczne w zakresie zarządzania istotnymi rodzajami ryzyka w Banku; 5) generalną skłonność do podejmowania przez Bank ryzyka; 6) organizację systemu informacji zarządczej; 7) ogólne zasady organizacji systemu kontroli wewnętrznej. 3 Najważniejsze regulacje zewnętrzne i wewnętrzne, będące podstawą opracowania niniejszej strategii, to: 1) dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26.06.2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi (CRD IV); 2) Statut Banku Spółdzielczego w Prabutach; 3) Strategia działania Banku Spółdzielczego w Prabutach, zwana dalej strategią działania; 4) Regulamin organizacyjny Banku Spółdzielczego w Prabutach, zwany dalej regulaminem organizacyjnym. 4 W dalszej treści użyte są następujące skróty i pojęcia, które oznaczają: 1) Bank Bank Spółdzielczy w Prabutach; 2) Rada Nadzorcza Rada Nadzorcza Banku; 3) Zarząd Zarząd Banku; 4) bank zrzeszający SGB-Bank S.A. w Poznaniu; 5) Komitet - Komitet Zarządzania Ryzykami DZIAŁ II - Podstawowe założenia procesu zarządzania ryzykiem 5 1. Podejmowanie ryzyka zmusza Bank do koncentrowania uwagi na powstających zagrożeniach, poszukiwania form obrony przed zagrożeniami i dostosowywania działalności do zmieniających się warunków zewnętrznych, ostrożnościowe 2
podejmowanie ryzyka, oznacza utrzymywanie racjonalnej równowagi pomiędzy prowadzeniem działalności przychodowej i kontrolowaniem ryzyka. 2. W celu przeprowadzania procesów wymienionych w ust. 1 realizowane są zadania, związane z analizą wartości podstawowych mierników charakterystycznych dla poszczególnych rodzajów ryzyka. 3. Do głównych zadań w zakresie zarządzania ryzykiem w Banku należy: dostarczanie informacji na temat ryzyka i jego profilu, stosowanie działań profilaktycznych redukujących ryzyko i jego skutki, monitorowanie dopuszczalnego poziomu ryzyka. 4. Bank zarządza rodzajami ryzyka uznanymi przez Bank za istotne 1 zgodnie z obowiązującymi wewnętrznymi regulacjami zarządzania tymi rodzajami ryzyka. 5. Na system zarządzania każdym rodzajem ryzyka składa się: 1) procedura opisująca zasady zarządzania ryzykiem; 2) identyfikacja, pomiar i monitorowanie; 3) system limitów ograniczających ryzyko; 4) system informacji zarządczej; 5) odpowiednio dostosowana organizacja procesu zarządzania. 6. Do rodzajów ryzyka uznanych przez Bank za istotne, o których mowa w ust. 4, zaliczane są: 1) ryzyko kredytowe; 2) ryzyko operacyjne; 3) ryzyko koncentracji; 4) ryzyko płynności; 5) ryzyko stopy procentowej w księdze bankowej; 6) ryzyko kapitałowe; 7) ryzyko braku zgodności. 6 Procedury zarządzania ryzykiem podlegają przeglądowi i aktualizacji w cyklach rocznych pod względem dostosowania ich do aktualnych przepisów prawa przy uwzględnieniu zmian w skali działalności Banku oraz zmian organizacyjnych; wnioski z przeglądu prezentowane są Zarządowi Banku oraz przekazywane do odpowiednich komórek organizacyjnych Banku, celem ewentualnego uaktualnienia zasad zarządzania poszczególnymi ryzykami. DZIAŁ III - Proces zarządzania ryzykiem Rozdział 1 - Struktura organizacyjna zarządzania ryzykiem 7 W procesie zarządzania ryzykiem bankowym w Banku uczestniczą: 1) Rada Nadzorcza; 2) Zarząd; 3) Komitet Zarządzania Ryzykami 4) komórki organizacyjne (lub wyznaczone osoby w Banku) odpowiedzialne za: a) sprawozdawczość dla odbiorców zewnętrznych, b) zarządzanie nadwyżką środków, c) sprzedaż kredytów, 1 Definicja ryzyka istotnego została zawarta w procedurze dotyczącej zarządzania i planowania kapitałowego. 3
d) identyfikację i akceptację ryzyka kredytowego dla pojedynczych transakcji, e) pomiar, monitorowanie i kontrolę poszczególnych rodzajów ryzyka bankowego. 8 Rada Nadzorcza: 1) zatwierdza Strategię działania Banku oraz zasady ostrożnego i stabilnego zarządzania Bankiem, obejmujące m.in. możliwy do zaakceptowania ogólny poziom ryzyka Banku; 2) zatwierdza procedury dotyczące procesów: a) szacowania kapitału wewnętrznego, b) planowania i zarządzania kapitałowego; 3) zatwierdza strukturę organizacyjną Banku, zawartą w Regulaminie organizacyjnym, dostosowaną do wielkości i profilu ponoszonego ryzyka; 4) zatwierdza ogólne zasady polityki dotyczącej zmiennych składników wynagrodzeń; 5) zatwierdza zasady przeprowadzania testów warunków skrajnych w odniesieniu do portfela ekspozycji kredytowych zabezpieczonych hipotecznie; 6) sprawuje nadzór nad zarządzaniem ryzykiem braku zgodności rozumianym jako skutki nieprzestrzegania przepisów prawa, regulacji wewnętrznych oraz przyjętych przez Bank standardów postępowania, a także zatwierdza założenia polityki Banku w zakresie ryzyka braku zgodności, ocenia efektywność zarządzania ryzykiem braku zgodności; 7) sprawuje nadzór nad zgodnością polityki Banku w zakresie podejmowania ryzyka ze Strategią działania i planem finansowym Banku; 8) zapewnia wybór członków Zarządu posiadających odpowiednie kwalifikacje do sprawowania wyznaczonych im funkcji; 9) sprawuje nadzór nad wprowadzeniem systemu zarządzania ryzykiem występującym w działalności Banku oraz ocenia adekwatność i skuteczność tego systemu, głównie poprzez zapoznawanie się z raportami i sprawozdaniami dotyczącymi oceny narażenia Banku na poszczególne rodzaje ryzyka (w tym ryzyka braku zgodności) i na ich podstawie dokonuje oceny stopnia efektywności i adekwatności zarządzania ryzykiem; 10) ocenia, czy działania Zarządu w zakresie kontroli nad działalnością Banku są skuteczne i zgodne z polityką Rady Nadzorczej. 9 Zarząd: 1) odpowiada za opracowanie, wprowadzenie oraz aktualizację pisemnych strategii oraz procedur dotyczących identyfikacji, pomiaru, monitorowania i kontroli ryzyka w zakresie: a) systemu zarządzania ryzykiem, w tym ryzyka braku zgodności, b) systemu kontroli wewnętrznej, c) szacowania kapitału wewnętrznego, zarządzania i planowania kapitałowego, d) dokonywania przeglądów procesu szacowania i utrzymywania kapitału wewnętrznego; 2) odpowiada za skuteczność systemu zarządzania ryzykiem, w tym ryzyka braku zgodności, systemu kontroli wewnętrznej, procesu szacowania kapitału wewnętrznego i dokonywania przeglądów procesu szacowania i utrzymywania kapitału wewnętrznego oraz za nadzór nad efektywnością tych procesów; 3) odpowiada za zorganizowanie skutecznego procesu oceny adekwatności kapitałowej i utrzymywania kapitału wewnętrznego oraz nadzór nad jego efektywnością, wprowadzając w razie potrzeby niezbędne korekty i udoskonalenia; 4
4) wprowadza zatwierdzoną przez Radę Nadzorczą strukturę organizacyjną dostosowaną do wielkości i profilu ponoszonego ryzyka; 5) wprowadza podział zadań realizowanych w Banku, który zapewnia niezależność funkcji pomiaru, monitorowania i kontrolowania ryzyka od działalności operacyjnej skutkującej podejmowaniem ryzyka przez Bank; 6) zatwierdza rodzaje limitów wewnętrznych oraz ich wysokość dostosowaną do akceptowanego przez Radę Nadzorczą ogólnego poziomu ryzyka Banku; 7) odpowiada za przejrzystość działań Banku, w szczególności za politykę informacyjną w zakresie działalności Banku, pozwalającą na ocenę skuteczności działania Rady Nadzorczej i Zarządu Banku w zakresie zarządzania Bankiem, monitorowania stanu bezpieczeństwa działalności Banku i za ocenę sytuacji finansowej Banku; 8) zapewnia zgodność działania Banku z obowiązującymi przepisami prawa; 9) zapewnienia, że Bank prowadzi politykę służącą zarządzaniu wszystkimi istotnymi rodzajami ryzyka w działalności Banku i posiada procedury w tym zakresie; 10) odpowiada za opracowanie, wprowadzenie oraz aktualizację polityki zmiennych składników wynagrodzeń; 11) uwzględnia rezultaty badań prowadzonych przez audyt wewnętrzny oraz biegłych rewidentów przy podejmowaniu decyzji w ramach zarządzania Bankiem; 12) przekazuje Radzie Nadzorczej, okresowe informacje przedstawiające w sposób rzetelny, przejrzysty i syntetyczny rodzaje i wielkość ryzyka w działalności Banku; jednym z elementów informacji zarządczej jest raport z realizacji apetytu na ryzyko (zaprezentowanego w postaci wskaźników ilościowych) ujętego w Dziale IV, którego wzór stanowi załącznik nr 1 do niniejszej strategii. 10 1. Zarządzanie ryzykiem jest zorganizowane w sposób umożliwiający zapobieganie konfliktom interesów pomiędzy pracownikami, czy też jednostkami organizacyjnymi Banku. 2. Komórki organizacyjne Banku biorą udział w procesie zarządzania ryzykiem poprzez realizację celów zawartych w niniejszej strategii oraz zgodnie z regulaminem organizacyjnym Banku. 3. Komitet Zarządzania Ryzykami realizuje zadania opisane w jego regulaminie funkcjonowania. 4. Komórki organizacyjne (lub wyznaczone osoby w Banku) uczestniczą w procesie zarządzania ryzykiem w ramach przypisanych im zadań w strukturze organizacyjnej Banku oraz w procedurach wewnętrznych, dotyczących zarządzania poszczególnymi rodzajami ryzyka. Rozdział 2 - Procedury zarządzania ryzykiem bankowym 11 1. Niniejszy dokument stanowi wspólną strategię dla zarządzania ryzykiem bankowym, z wyszczególnionymi celami strategicznymi dla występujących w Banku istotnych rodzajów ryzyka. 2. Zarządzanie ryzykiem w Banku realizowane jest w oparciu o opracowane w formie pisemnej i zatwierdzone przez Zarząd wewnętrzne procedury. 3. W procesie zarządzania ryzykiem uczestniczą pracownicy Banku, którzy winni znać i przestrzegać procedury wewnętrzne Banku. 4. Obowiązujące w Banku procedury podlegają co najmniej rocznej weryfikacji w celu ich dostosowania do zmian profilu ryzyka Banku i otoczenia gospodarczego, w którym Bank 5
działa; nadto Bank dokonuje regularnych przeglądów procedury oceny adekwatności kapitału wewnętrznego, w celu zapewnienia, że proces ten jest kompleksowy i odpowiedni do charakteru, skali i złożoności działalności Banku. 5. W ramach stosowanych procedur zarządzania ryzykiem Bank wprowadził w formie pisemnej, w szczególności: 1) w zakresie ryzyka kredytowego i koncentracji: a) Politykę kredytową Banku Spółdzielczego w Prabutach, b) Zasady zarządzania ryzykiem kredytowym w Banku Spółdzielczym w Prabutach, c) Zasady zarządzania ryzykiem koncentracji w Banku Spółdzielczym w Prabutach, d) Zasady zarządzania ekspozycjami kredytowymi zabezpieczonymi hipotecznie w Banku Spółdzielczym w Prabutach; e) Zasady zarządzania ryzykiem detalicznych ekspozycji kredytowych w Banku Spółdzielczym w Prabutach, 2) w zakresie ryzyka stopy procentowej: zasady zarządzania ryzykiem stopy procentowej; 3) w zakresie ryzyka operacyjnego: a) Zasady zarządzania ryzykiem operacyjnym w Banku Spółdzielczym w Prabutach, b) Procedura powierzania wykonywania czynności związanych z działalnością bankową w Banku Spółdzielczym w Prabutach, c) Zasady budowy planów utrzymania ciągłości działania, d) Plan utrzymania ciągłości działania Banku Spółdzielczego w Prabutach, e) Polityka kadrowa Banku Spółdzielczego w Prabutach, f) Zasady opracowywania i wprowadzania regulacji wewnętrznych w Banku Spółdzielczym w Prabutach, g) Instrukcja ochrony informacji w BS w Prabutach; h) Polityka bezpieczeństwa Banku Spółdzielczego w Prabutach, i) Ramowe zasady ochrony danych osobowych w Banku Spółdzielczym w Prabutach, j) Ramowe zasady przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu w Banku Spółdzielczym w Prabutach, k) Regulamin zarządzania systemami informatycznymi w Banku Spółdzielczym w Prabutach, l) Polityka bezpieczeństwa ochrony danych osobowych w Banku Spółdzielczym w Prabutach, m) Instrukcja zarządzania systemem informatycznym ochrony danych osobowych w Banku Spółdzielczym w Prabutach, n) Ramowe zasady ochrony danych osobowych w Banku Spółdzielczym w Prabutach 4) w zakresie ryzyka płynności: Zasady zarządzania ryzykiem płynności w Banku Spółdzielczym w Prabutach; 5) w zakresie ryzyka braku zgodności: Zasady zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Prabutach; 6) w zakresie ryzyka kapitałowego: a) Strategia zarządzania i planowania kapitałowego w Banku Spółdzielczym w Prabutach, b) Zasady wyznaczania łącznej ekspozycji na ryzyko w Banku Spółdzielczym w Prabutach (I filar), c) Zasady szacowania kapitału wewnętrznego w Banku Spółdzielczym w Prabutach (II filar). 6. Ponadto Bank wprowadził regulacje w obszarze innych ryzyk, w szczególności: 6
a) Polityka informacyjna w zakresie profilu ryzyka i poziomu kapitału Banku Spółdzielczego w Prabutach, b) System Informacji Zarządczej w Banku Spółdzielczym w Prabutach, c) Polityka zmiennych składników wynagrodzeń osób zajmujących stanowiska kierownicze w Banku Spółdzielczym w Prabutach; d) Procedura planowania w Banku Spółdzielczym w Prabutach, e) Zasady zarządzania zmianami w Banku Spółdzielczym w Prabutach. 12 1. Bank wprowadził do systemu zarządzania ryzykiem, badanie ryzyka jakie niesie otoczenie makroekonomiczne Banku w związku ze stanem cyklu koniunkturalnego (cyklu gospodarczego). 2. Ze względu na szeroki zakres oraz pracochłonność przeprowadzenia pełnego procesu zarządzania ryzykiem zmian warunków makroekonomicznych, część zadań w tym zakresie realizuje bank zrzeszający. 3. Zarządzanie ryzykiem wynikającym ze zmian warunków makroekonomicznych składa się z następujących etapów: 1) w banku zrzeszającym została opracowana metodologia przeprowadzania analizy zmian w otoczeniu makroekonomicznym, na bazie której prognozowane są parametry makroekonomiczne na okres kolejnego roku obrachunkowego; 2) na podstawie kolejnych czynności i w oparciu o prognozowane wskaźniki makroekonomiczne bank zrzeszający dokonuje prognoz wskaźników mikroekonomicznych; 3) wyniki przeprowadzonych prognoz Bank otrzymuje od banku zrzeszającego w wariancie najbardziej prawdopodobnym - centralnym i wariancie skrajnym; 4) wykorzystując otrzymane prognozy wskaźników, Bank przeprowadza (bez konieczności opracowywania nowej metodologii) pomiar wpływu zmian tych wskaźników na poszczególne rodzaje ryzyka; 5) pomiar, o którym mowa w pkt 4, dokonywany jest w ramach testów warunków skrajnych; jego opis został zawarty w każdej procedurze dotyczącej zarządzania poszczególnym rodzajem ryzyka bankowego. Rozdział 3 - Identyfikacja, pomiar i monitorowanie ryzyka 13 1. Bank stosuje metody (modele) identyfikowania i pomiaru ryzyka związanego z jego działalnością dostosowane do profilu, skali i złożoności ryzyka, w przypadku wątpliwości w zakresie poziomu ryzyka, stosuje się podejście z zachowaniem maksymalnego stopnia ostrożności. 2. Częstotliwość pomiaru ryzyka dostosowana jest do wielkości oraz charakteru poszczególnych rodzajów ryzyka w działalności Banku. 3. Metody lub systemy pomiaru ryzyka, w szczególności ich założenia są poddawane okresowej ocenie uwzględniającej testowanie i weryfikację historyczną. 4. Przegląd i aktualizacja metod lub systemów pomiaru ryzyka przeprowadzane są wraz z przeglądem procedur dotyczących zarządzania ryzykiem. 14 1. Stosowane w Banku modele do pomiaru ryzyka mają głównie charakter ekspercki; charakter statystyczny posiada tylko model do szacowania stabilnej części depozytów. 7
2. Prawie wszystkie modele można ocenić jako nieistotne 2 ; Bank nie stosuje modeli do obliczania kapitału regulacyjnego, jedynie model służący do pomiaru ryzyka stopy procentowej stanowi podstawę do szacowania kapitału wewnętrznego na to ryzyko. 3. Ze względu na małą złożoność modeli oraz ograniczony charakter ich istotności Bank nie wprowadza odrębnej regulacji dotyczącej ryzyka modeli; natomiast cały proces zarządzania tym ryzykiem stanowi element procesów zarządzania poszczególnymi rodzajami ryzyka, w szczególności: 1) opis działania modelu, wykaz osób odpowiedzialnych za aktualizację i badanie poprawności działania modeli są zawarte w procedurach do zarządzania ryzykiem; 2) proces zatwierdzania i weryfikacji modeli odbywa się wraz z zatwierdzaniem i weryfikacją procedur opisujących zarządzanie ryzykiem; 3) sprawdzanie poprawności danych stosowanych w modelu jest przedmiotem kontroli funkcjonalnej, okresowo podlega również badaniom audytu wewnętrznego. 4. W przypadku korzystania z usług podmiotów trzecich w zakresie dostarczenia modelu do pomiaru ryzyka Bank zapewnia sobie: 1) posiadanie dokumentacji opisującej działanie modelu; 2) przeszkolenie pracowników, którzy będą wykorzystywali model; 3) możliwość aktualizowania założeń do modelu w odpowiednim czasie i zakresie. 15 1. W ramach pomiaru ryzyka Bank przeprowadza testy warunków skrajnych. 2. Bank dokłada staranności, by założenia przyjmowane w przeprowadzanych testach warunków skrajnych uwzględniały najgorsze z prawdopodobnych scenariuszy i dawały podstawy rzetelnej oceny ryzyka. 3. W szczególności przyjmowane założenia do przeprowadzania testów obejmują: 1) Scenariusze mikroekonomiczne, w tym: a) badanie poziomu przyszłych strat kredytów; b) badanie wpływu ryzyka kredytowego na poziom wymogu kapitałowego; c) badanie wartości zabezpieczeń, d) badanie kosztu uzupełnienia środków płynnych w celu spełnienia miar płynności; e) badanie czasu obsługi klienta w przypadku sytuacji skrajnej; f) badanie wpływu zmian stóp procentowych na wynik finansowy Banku; g) badanie wpływu zmian w strukturze funduszy własnych h) badanie wpływu nie wykonania planu finansowego na fundusze własne Banku 2) Scenariusze makroekonomiczne Rozdział 4 - Limity ograniczające ryzyko 16 1. Bank wprowadza odpowiednie do skali i złożoności działalności limity wewnętrzne ograniczające poziom ryzyka występującego w poszczególnych obszarach działania Banku. 2. Procedury wewnętrzne określają zasady ustalania i aktualizowania wysokości limitów oraz częstotliwości monitorowania ich przestrzegania i raportowania. 3. Poziom limitów wewnętrznych jest dostosowany do akceptowanego przez Radę Nadzorczą ogólnego poziomu ryzyka Banku. 2 Za model istotny uznawany jest model, który służy wyznaczaniu wymogu kapitałowego. 8
4. Analizy będące podstawą do określenia wysokości limitów wewnętrznych są sporządzane w formie pisemnej. 5. Bank określa wysokość limitów (w zależności od rodzaju ryzyka lub charakteru limitu) w oparciu o następujące przesłanki: 1) analizę historyczną stopnia wykorzystania limitu; 2) apetyt na ryzyko określony przez Radę Nadzorczą; 3) analizę wpływu zrealizowania się limitu w maksymalnej wysokości na sytuację finansową Banku; 4) wysokość ryzyka, którym jest obciążona pozycja objęta limitem. 6. Z zachowaniem limitów określonych w ustawie Prawo bankowe, Bank ustalił i weryfikuje wewnętrzne limity zaangażowań według kryteriów uwzględniających specyfikę ich działalności. 7. Procedury wewnętrzne dotyczące zarządzania ryzykiem określają sytuacje, w których dopuszczalne jest przekroczenie limitów wewnętrznych, określają warunki akceptacji przekroczeń oraz sposób postępowania w przypadku przekroczenia limitów wewnętrznych. 8. Przyjęte rodzaje limitów wewnętrznych, dotyczących poszczególnych rodzajów ryzyka oraz ich wysokość, zatwierdza Zarząd Banku. 9. Przekroczenia limitów wewnętrznych są monitorowane i poddawane szczegółowej analizie zadania te wykonują komórki organizacyjne wskazane w procedurach szczegółowych dotyczących zarządzania poszczególnymi rodzajami ryzyka. Rozdział 5 - Informacja zarządcza dotycząca zarządzania ryzykiem 17 1. Podstawę monitorowania procesu zarządzania ryzykiem w Banku stanowi formalnie ustanowiony system informacji zarządczej. 2. System sprawozdawczości zarządczej dostarcza informacji na temat: 1) rodzajów i wielkości ryzyka w działalności Banku; 2) profilu ryzyka; 3) stopnia wykorzystania limitów wewnętrznych; 4) wyników testów warunków skrajnych; 5) skutków decyzji w zakresie zarządzania ryzykiem. 3. Monitorowanie ryzyka odbywa się z częstotliwością umożliwiającą dostarczenie informacji o zmianach profilu ryzyka Banku. 4. Zakres oraz szczegółowość sprawozdań wewnętrznych są dostosowane do rodzaju raportowanego ryzyka oraz odbiorców informacji. 5. Rzetelność, dokładność oraz aktualność dostarczanych informacji zapewnia wprowadzony w Banku system kontroli wewnętrznej. 6. Szczegółowe zasady działania systemu informacji zarządczej reguluje w Banku odrębna procedura; ponadto w regulacjach dotyczących zarządzania poszczególnymi rodzajami ryzyka bankowego został określony w sposób ogólny zakres informacji zarządczej z obszaru, którego dotyczy regulacja; szczegółowy wykaz sprawozdań zarządczy określa odrębna regulacja. 9
DZIAŁ IV Cele strategiczne oraz polityki w zakresie zarządzania istotnymi rodzajami ryzyka Rozdział 1 Ryzyko kredytowe, w tym koncentracji 18 1. Cele strategiczne w zakresie ryzyka kredytowego obejmują: 1) wdrożenie systemu zarządzania ryzykiem kredytowym zapewniającego stabilny rozwój optymalnego jakościowo portfela kredytowego; 2) dostarczanie Zarządowi Banku informacji o poziomie ryzyka kredytowego umożliwiających podejmowanie ostrożnościowych, zasadnych decyzji dotyczących działalności kredytowej Banku; 3) utrzymywanie jakości portfela kredytowego Banku, wyrażonej udziałem kredytów zagrożonych w kredytach ogółem na poziomie nie wyższym od 3%. 4) ograniczanie ryzyka utraty wartości aktywów, wynikającego z pozostałych (poza kredytami) aktywów Banku. 2. Polityka Banku w zakresie realizacji celów strategicznych dotyczących ryzyka kredytowego realizowana jest poprzez: 1) stosowanie odpowiednich standardów zawartych w regulacjach kredytowych, w szczególności dotyczących oceny zdolności kredytowej klientów Banku oraz prowadzenia monitoringu kredytów; 2) ustanawianie skutecznych i adekwatnych do ponoszonego ryzyka zabezpieczeń spłaty kredytów, w szczególności weryfikacja ich wartości i płynności, zarówno podczas oceny wniosku kredytowego, jak i w ramach prowadzonego monitoringu, ograniczanie ryzyka prawnego w procesie ustanawiania zabezpieczeń; 3) inwestowanie nadwyżek zgromadzonych środków na lokatach w banku zrzeszającym lub za pośrednictwem banku zrzeszającego w papierach wartościowych Skarbu Państwa lub Narodowego Banku Polskiego; 4) utrzymywanie w bilansie Banku tylko portfeli aktywów o charakterze bankowym 3 ; 5) utrzymywanie aktywów obciążonych najwyższym ryzykiem kredytowym, tj. portfela kredytów podmiotów niefinansowych na poziomie 85% ich udziału w sumie bilansowej powiększonej o zobowiązania pozabilansowe udzielone dotyczące finansowania 4. 19 1. Cele strategiczne w zakresie ryzyka koncentracji obejmują: 1) utrzymywanie umiarkowanie zdywersyfikowanego portfela kredytowego w zakresie uwarunkowanym terenem działania Banku; 2) bezwzględne przestrzeganie limitów koncentracji zaangażowań określonych w ustawie Prawo bankowe. 3) Polityka Banku w zakresie realizacji celów strategicznych dotyczących ryzyka koncentracji realizowana jest poprzez: 1) angażowanie się Banku w branże, w których obsłudze Bank posiada wieloletnie doświadczenie; 2) ograniczenie kredytowania klientów, których zaangażowanie w Banku wyniosłoby 10% uznanego kapitału (np. 10% zgodnie z definicją dużych zaangażowań); 3 Pojęcie portfela bankowego i handlowego jest zgodne z definicją zawartą w uchwale KNF w sprawie wyznaczania wymogów kapitałowych. 4 Definicja portfela została określona w zasadach zarządzania ryzykiem kredytowym. 10
3) ograniczanie ryzyka koncentracji w ten sam rodzaj zabezpieczenia w postaci hipoteki poprzez opracowanie i stosowanie odpowiednich standardów postępowania dotyczących zarządzania ryzykiem ekspozycji kredytowych zabezpieczonych hipotecznie; 20 1. Cele strategiczne w zakresie ryzyka związanego z udzielaniem kredytów zabezpieczonych hipotecznie obejmują: 1) wdrożenie, weryfikacja i aktualizacja zasad zarządzania ryzykiem w obszarze związanym z ekspozycjami zabezpieczonymi hipotecznie, które będą uwzględniały w sposób adekwatny do skali prowadzonej działalności zapisy dobrych praktyk w zakresie zarządzania ekspozycjami kredytowymi zabezpieczonymi hipotecznie; 2) prowadzenie działalności w zakresie związanym z udzielaniem kredytów zabezpieczonych hipotecznie mającej na celu utrzymanie zaangażowania na nieistotnym poziomie; 3) utrzymywanie udziału portfela kredytów zagrożonych zabezpieczonych hipotecznie na poziomie nie wyższym od 3% całego portfela kredytów zabezpieczonych hipotecznie; 4) zaangażowanie się w ekspozycje kredytowe zabezpieczone hipotecznie maksymalnie do 75% ich udziału w portfelu kredytowym. 2. Polityka Banku w zakresie realizacji celów strategicznych dotyczących ryzyka związanego z udzielaniem kredytów zabezpieczonych hipotecznie realizowana jest poprzez: 1) udzielanie kredytów zabezpieczonych hipotecznie, tym klientom detalicznym w przypadku których poziom relacji wydatków związanych z obsługą zobowiązań kredytowych i innych niż kredytowe zobowiązań finansowych do dochodów tych klientów (wskaźnik DtI 5 ) nie przekracza: a) 50% - w przypadku, gdy dochód klienta detalicznego nie przekracza jednego przeciętnego miesięcznego wynagrodzenie w sektorze przedsiębiorstw, b) 65% - w przypadku, gdy dochód klienta detalicznego przekracza poziom jednego przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw i nie przekracza trzykrotności przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw, c) 80% - w przypadku, gdy dochód klienta detalicznego przekracza trzykrotność przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw, d) wskaźniki wymienione w lit. a-c mogą ulec: - podwyższeniu o 5 p.p. - jeżeli długość okresu zaangażowania Banku w finansowanie ekspozycji kredytowej nie przekracza 3 lat, - podwyższeniu o 5 p.p. - jeżeli miejscem zamieszkania klienta jest wieś lub miasto z liczbą mieszkańców do 15 tys., - obniżeniu o 5 p.p. - jeżeli długość okresu zaangażowania Banku w finansowanie ekspozycji kredytowej przekracza 5 lat, - obniżeniu o 5 p.p. - jeżeli miejscem zamieszkania klienta jest miasto powyżej 40 tys. mieszkańców, - pozostają bez zmian - jeżeli długość okresu zaangażowania Banku w finansowanie ekspozycji kredytowej przekracza 3 lata i nie przekracza 5 lat lub miejscem zamieszkania klienta jest miasto poniżej 40 tys. mieszkańców; 5 Definicja wskaźnika DtI znajduje się w procedurze szczegółowej dotyczącej zarządzania ryzykiem ekspozycji kredytowych zabezpieczonych hipotecznie. 11
2) stosowanie szczegółowych limitów LtV, na maksymalnym poziomie 6 : a) 80% - przypadku ekspozycji kredytowych zabezpieczonych na nieruchomościach mieszkalnych, b) 90% - przypadku ekspozycji kredytowych zabezpieczonych na nieruchomościach mieszkalnych, gdy część ekspozycji przekraczająca 80% LtV jest odpowiednio ubezpieczona, c) 75% - w przypadku ekspozycji kredytowej zabezpieczonej na nieruchomości komercyjnej; d) 80% w przypadku, gdy część ekspozycji przekraczająca 75% Ltv jest odpowiednio ubezpieczona, lub kredytobiorca przedstawił dodatkowe zabezpieczenie w formie blokady środków na rachunku bankowym lub poprzez zastaw na denominowanych w złotych dłużnych papierach wartościowych Skarbu Państwa lub NBP. 3) kierowanie oferty kredytów hipotecznych głównie do klientów detalicznych preferowanie zabezpieczeń hipotecznych w postaci gruntów rolnych, nieruchomości mieszkalnych, stosowanie maksymalnego okresu kredytowania 30 lat. 21 1. Cele strategiczne w zakresie ryzyka detalicznych ekspozycji kredytowych obejmują: 1) wdrożenie, weryfikacja i aktualizacja zasad zarządzania ryzykiem w obszarze związanym z detalicznymi ekspozycjami kredytowymi, które będą uwzględniały w sposób adekwatny do skali prowadzonej działalności zapisy dobrych praktyk w zakresie zarządzania detalicznymi ekspozycjami kredytowymi; 2) prowadzenie działalności w zakresie związanym z udzielaniem detalicznych ekspozycji kredytowych mającej na celu utrzymanie zaangażowania na nieistotnym poziomie; 3) utrzymywanie udziału portfela detalicznych ekspozycji zagrożonych na poziomie nie wyższym od 5% całego portfela detalicznych ekspozycji kredytowych. 4) zaangażowanie się w detaliczne ekspozycje kredytowe maksymalnie do 30% ich udziału w portfelu kredytowym. 2. Polityka Banku w zakresie realizacji celów strategicznych dotyczących ryzyka detalicznych ekspozycji kredytowych realizowana jest poprzez: 1) przyjęcie maksymalnego okresu kredytowania dla detalicznych ekspozycji kredytowych na 10 lat; 2) udzielanie kredytów detalicznych tym klientom w przypadku których poziom relacji wydatków związanych z obsługą zobowiązań kredytowych i innych niż kredytowe zobowiązań finansowych do dochodów tych klientów (wskaźnik DtI 7 ) nie przekracza: a) 50% - w przypadku, gdy dochód klienta detalicznego nie przekracza jednego przeciętnego miesięcznego wynagrodzenie w sektorze przedsiębiorstw, b) 65% - w przypadku, gdy dochód klienta detalicznego przekracza poziom jednego przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw i nie przekracza trzykrotności przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw, c) 80% - w przypadku, gdy dochód klienta detalicznego przekracza trzykrotność przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw, d) wskaźniki wymienione w lit. a-c mogą ulec: 6 Dla ekspozycji kredytowych zabezpieczonych hipotecznie powstałych w okresie do 31 grudnia 2013 r. poziom wskaźnika LtV może osiągać 100%, dla ekspozycji kredytowych zabezpieczonych hipotecznie powstałych w okresie od 1 stycznia 2014 r. do 31 grudnia 2014 r. poziom wskaźnika LtV może osiągać 90%. 7 Definicja wskaźnika DtI znajduje się w procedurze szczegółowej dotyczącej zarządzania ryzykiem detalicznych ekspozycji kredytowych. 12
- podwyższeniu o 5 p.p. - jeżeli długość okresu zaangażowania Banku w finansowanie ekspozycji kredytowej nie przekracza 3 lat, - podwyższeniu o 5 p.p. - jeżeli miejscem zamieszkania klienta jest wieś lub miasto z liczbą mieszkańców do 15 tys., - obniżeniu o 5 p.p. - jeżeli długość okresu zaangażowania Banku w finansowanie ekspozycji kredytowej przekracza 5 lat - obniżeniu o 5 p.p. - jeżeli miejscem zamieszkania klienta jest miasto powyżej 40 tys. mieszkańców, - pozostają bez zmian jeżeli długość okresu zaangażowania Banku w finansowanie ekspozycji kredytowej przekracza 3 lata i nie przekracza 5 lat lub miejscem zamieszkania klienta jest miasto poniżej 40 tys. mieszkańców; Rozdział 2 Ryzyko operacyjne 22 1. Celem strategicznym w zakresie ryzyka operacyjnego jest: 1) optymalizacja efektywności gospodarowania poprzez zapobieganie i minimalizowanie strat operacyjnych oraz wyeliminowanie przyczyn ich powstawania, racjonalizacja kosztów, jak również zwiększenie szybkości oraz adekwatności reakcji Banku na zdarzenia od niego niezależne; 2) wdrożenie efektywnej struktury zarządzania ryzykiem operacyjnym, w tym określenie ról i odpowiedzialności w zakresie zarządzania ryzykiem operacyjnym. 2. Strategia w zakresie zarządzania ryzykiem operacyjnym została określona w załączniku nr 2 do niniejszej strategii. Rozdział 3 Ryzyko płynności 23 1. Cele strategiczne w zakresie ryzyka płynności obejmują: 1) zapewnienie finansowania aktywów i terminowego wykonywania zobowiązań w toku normalnej działalności Banku lub w innych warunkach, które można przewidzieć, bez konieczności poniesienia straty; 2) zapobieganie powstania sytuacji kryzysowej, zwłaszcza z powodu czynników wewnątrzbankowych oraz posiadanie aktualnego i skutecznego planu awaryjnego na wypadek wystąpienia takiej sytuacji. 2. Polityka Banku w zakresie realizacji celów strategicznych dotyczących ryzyka płynności realizowana jest poprzez: 1) utrzymanie dotychczasowej struktury banku pasywów Banku, gdzie głównym źródłem finansowania aktywów są depozyty podmiotów niefinansowych oraz instytucji samorządowych; 2) pozyskiwanie depozytów o możliwie długich terminach wymagalności, tak aby Bank mógł otwierać po stronie aktywnej pozycje o dłuższym horyzoncie czasowym; 3) utrzymywanie na bezpiecznym poziomie nadzorczych miar płynności, przy jednoczesnym minimalizowaniu kosztów z tym związanych; 4) finansowanie kredytów przez depozyty stabilne (osad), nadwyżkę funduszy własnych nad majątkiem trwałym oraz długoterminowe (z terminem zapadalności pow. 1 roku) kredyty zaciągnięte w banku zrzeszającym przy jednoczesnym minimalizowaniu kosztów z tym związanych; 13
5) utrzymywanie płynnościowej struktury bilansu 8 na poziomie zapewniającym występowanie nadwyżki skumulowanych aktywów 9 nad skumulowanymi pasywami 10 w okresie do 1 roku oraz nadwyżki skumulowanych pasywów nad skumulowanymi aktywami w okresie powyżej 1 roku 11 ; 6) zapewnienie globalnej wypłacalności Banku, oznaczającej posiadanie skumulowanej luki płynności 12 (bez uwzględnienia zobowiązań pozabilansowych udzielonych i otrzymanych) na poziomie nieujemnym; 7) dywersyfikacja źródeł finansowania poprzez ograniczanie udziału środków dużych deponentów w bazie depozytowej; 8) dążenie do podnoszenia stabilności źródeł finansowania głównie poprzez pozyskiwanie środków od osób fizycznych po akceptowalnej cenie; 9) identyfikacja wszelkich zagrożeń związanych z ryzykiem utraty płynności w zależności od stwierdzonego charakteru zagrożenia postępowanie według procedur awaryjnych określonych w obowiązujących w Banku zasadach zarządzania ryzykiem płynności. Rozdział 4 Ryzyko stopy procentowej 24 1. Cele strategiczne w zakresie ryzyka stopy procentowej obejmują: 1) optymalizacja wyniku odsetkowego w warunkach zmienności rynkowych stóp procentowych; 2) ograniczanie negatywnego wpływu zmian stóp procentowych poprzez doskonalenie narzędzi pomiaru i odpowiednie kształtowanie struktury aktywów i pasywów wrażliwych na zmiany stóp procentowych; 3) utrzymywanie poziomu ryzyka w ramach ustanowionych limitów opisanych w wewnętrznej procedurze dotyczącej zasad zarządzania ryzykiem stopy procentowej. 2. Polityka Banku w zakresie realizacji celów strategicznych dotyczących ryzyka stopy procentowej realizowana jest poprzez: 1) ograniczenie ryzyka stopy procentowej tylko do portfela bankowego i tylko do pozycji wynikających z produktów bilansowych; 2) ograniczenie kwoty pozycji wrażliwych na zmiany stóp procentowych z terminami przeszacowania powyżej 1 roku do maksymalnie 3% sumy bilansowej; 3) zmniejszanie ryzyka bazowego poprzez: a) stosowanie dla produktów klientowskich stóp bazowych w postaci stawek własnych Banku (w zakresie przewidzianym w przepisach prawa) - zwłaszcza dla aktywów wrażliwych, b) oferowanie klientom produktów depozytowych, których oprocentowanie uzależnione byłoby od stawek rynkowych (stóp rynku międzybankowego); 4) ograniczanie ryzyka opcji klienta poprzez stosowanie opłat za opcję, zwłaszcza dla możliwości zerwania depozytu przed umownym terminem. 8 Wyznaczonej w oparciu o zestawienie luki płynności, o którym mowa w obowiązującej w Banku procedurze dotyczącej zarządzania ryzykiem płynności. 9 Wraz ze zobowiązaniami pozabilansowymi otrzymanymi. 10 Wraz ze zobowiązaniami pozabilansowymi udzielonymi. 11 Kumulując aktywa i pasywa począwszy od ostatniego przedziału. 12 O której mowa w obowiązującej w Banku procedurze dotyczącej zarządzania ryzykiem płynności. 14
Rozdział 5 Ryzyko kapitałowe 25 Cele strategiczne dotyczące ryzyka kapitałowego zostały określone w obowiązującej w Banku strategii dotyczącej zrządzania i planowania kapitałowego. Rozdział 6 Ryzyko braku zgodności 26 Zarządzanie ryzykiem braku zgodności oznacza: 1) efektywne przeciwdziałanie możliwościom wystąpienia naruszeń przepisów prawa, regulacji wewnętrznych oraz przyjętych przez Bank standardów postępowania; 2) sprawne i skuteczne podejmowanie działań naprawczych w sytuacji zidentyfikowania braku zgodności; 3) dążenie do zgodności regulacji wewnętrznych Banku z przepisami zewnętrznymi; 4) dążenie i dbałość o: a) wizerunek zewnętrzny Banku rozumianego jako instytucja zaufania publicznego, b) pozytywny odbiór Banku przez klientów, c) przejrzystość działań Banku wobec klientów, d) stworzenie kadry pracowniczej identyfikującej się z Bankiem, dobrze zorganizowanej wewnętrznie dla realizacji wspólnych celów wytyczonych przez Bank. DZIAŁ V - Postanowienia końcowe 27 1. Niniejsza regulacja jest znana wszystkim pracownikom uczestniczącym w procesie zarządzania ryzykiem, w szczególności pracownikom zespołów/ komórek/ komitetów wymienionych w Dziale III Rozdział 1. 2. Strategia podlega regularnym (nie rzadziej niż raz w roku) przeglądom w celu jej dostosowania do zmian profilu ryzyka Banku i otoczenia gospodarczego; dokonane weryfikacje procedury zostają potwierdzone odpowiednimi notatkami i są przechowywane w dokumentacji Banku. 3. Jeżeli przegląd, o którym mowa w ust. 2, wykazał konieczność dokonania aktualizacji procedury to Bank wprowadza odpowiednie zmiany oraz zaktualizowaną procedurę przekazuje do zatwierdzenia Zarządowi i Radzie Nadzorczej Banku. 15
Załącznik nr 1 do Strategii zarządzania ryzykiem Raport z realizacji ustalonego przez Radę Nadzorczą apetytu na ryzyko wyrażonego wskaźnikami ilościowymi Nazwa limitu Ryzyko kredytowe Łączna wartość aktywów (wg wartości bilansowej) w postaci: papierów wartościowych (niebędących papierami wartościowymi Skarbu Państwa, Narodowego Banku Polskiego, akcjami banku zrzeszającego), jednostek funduszy inwestycyjnych, udziałów Wysokość limitu Wartość Stopień realizacji 0 X Udział kredytów zagrożonych w portfelu kredytowym Max 3 %.%..% Udział portfela kredytów podmiotów niefinansowych w sumie bilansowej powiększonej o zobowiązania pozabilansowe udzielone dotyczące finansowania Udział ekspozycji kredytowych Banku zabezpieczonych hipotecznie w łącznej wartości ekspozycji kredytowych zabezpieczonych hipotecznie w sektorze bankowym 13 Udział ekspozycji kredytowych zabezpieczonych hipotecznie w portfelu kredytowym Udział zagrożonych ekspozycji kredytowych zabezpieczonych hipotecznie w portfelu ekspozycji kredytowych zabezpieczonych hipotecznie ogółem Udział detalicznych ekspozycji kredytowych Banku w łącznej wartości detalicznych ekspozycji kredytowych sektora bankowego 14 Udział detalicznych ekspozycji kredytowych w portfelu kredytowym Udział zagrożonych detalicznych ekspozycji kredytowych w detalicznych ekspozycjach kredytowych ogółem Ilość ekspozycji kredytowych udzielonych poza obowiązującymi standardami kredytowania (w okresie od daty ostatniego raportu) Wartość ekspozycji kredytowych udzielonych poza obowiązującymi standardami kredytowania (w okresie od daty ostatniego raportu) Wartość ekspozycji kredytowych udzielonych poza obowiązującymi standardami kredytowania (w okresie od daty ostatniego raportu) w relacji do średniej wartości portfela kredytowego obliczonej wg stanów z końca miesięcy analizowanego okresu Wskaźnik dźwigni finansowej (liczony od końca I kwartału 2014 r.) Max 85%.%..% Max 2% %..% Max 75%.%..% Max 3%.%..% Max 2% %..% Max 30%.%..% Max 5 %.%..% 15 ----- 1500 tys. zł ----- 5% ----- Min. 3% 13 Limit monitorowany raz w roku, do końca I kwartału. 14 Limit monitorowany raz w roku, do końca I kwartału.
Ryzyko operacyjne Iloczyn ryzyk wyodrębnionych w procesie samooceny, dla których prawdopodobieństwo wystąpienia jest średnie lub wysokie i kwoty stanowiącej wartość progową, powyżej której Bank uznaje skutki ekonomiczne za wysokie Ryzyko płynności Ilość przypadków przekroczenia nadzorczej miary płynności M1 Ilość przypadków przekroczenia nadzorczej miary płynności M2 Kwota nadwyżki środków ponad kwotę środków wypełniających nadzorczą miarę płynności M1 Udział kredytów w depozytach stabilnych (osad) plus nadwyżka funduszy własnych nad majątkiem trwałym plus długoterminowe kredyty zaciągnięte w banku zrzeszającym max kapitał regulacyjny z tytułu ryzyka operacyjnego 0.. X 0.. X Min. 1,5 mln zł X Max 1.%..% Ilość przekroczeń limitu luki płynności w okresie do1 roku 0.. X Ilość przekroczeń limitu luki płynności w okresie powyżej 1 roku Ilość przekroczeń limitu luki płynności skumulowanej (bez uwzględnienia zobowiązań pozabilansowych udzielonych i otrzymanych) Ryzyko stopy procentowej Udział pozycji wrażliwych na zmiany stóp procentowych z terminami przeszacowania powyżej 1 roku w sumie bilansowej Iloraz aktywów wrażliwych o oprocentowaniu uzależnionym od stawek własnych Banku w pasywach wrażliwych o oprocentowaniu uzależnionym od stawek własnych Banku 15 Ryzyko kapitałowe 0.. X 0.. X Max 3%.%..% 1.. X Łączny współczynnik kapitałowy Min 15%.%..% Udział kapitału wewnętrznego w funduszach własnych Max 65%.%..% 15 Nie ma charakteru limitu, jest to sytuacja pożądana. 2
Strategia zarządzania ryzykiem operacyjnym Załącznik nr 2 do Strategii zarządzania ryzykiem 1 1. Przez ryzyko operacyjne Bank rozumie możliwość wystąpienia straty wynikającej z niedostosowania lub zawodności procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych, w tym również ryzyko prawne. 2. Proces zarządzania ryzykiem operacyjnym stanowi integralny element procesu zarządzania Bankiem. 3. W procesie zarządzania ryzykiem operacyjnym uczestniczy każdy pracownik Banku, ze względu na fakt, że ryzyko operacyjne dotyczy wszystkich komórek i obszarów działalności Banku. 4. Za skuteczność systemu zarządzania ryzykiem operacyjnym, w tym utrzymywanie poziomu ryzyka w granicach wyznaczonej tolerancji odpowiada Zarząd Banku; w szczególności odpowiedzialność za obszar zarządzania ryzykiem operacyjnym przypisana jest Członkowi Zarządu Głównemu Księgowemu 5. Identyfikacja ryzyka operacyjnego w Banku obejmuje: 1) ryzyko operacyjne powstające w istniejących produktach, procesach i systemach Banku, 2) ryzyko operacyjne powstające na etapie opracowywania nowych produktów oraz procesów. 2 Proces zarządzania ryzykiem operacyjnym w Banku obejmuje: 1) identyfikację procesów, a w ich ramach: a) krytycznych procesów biznesowych, b) procesów kluczowych; 2) identyfikację ryzyka; 3) pomiar i ocenę ryzyka; 4) stosowanie narzędzi redukcji ryzyka; 5) monitorowanie ryzyka, w tym: a) raportowanie zdarzeń operacyjnych, b) raportowanie strat operacyjnych, c) monitorowanie limitów nałożonych na poziom KRI. 3 1. Efektywna identyfikacja ryzyka obejmuje wszystkie istotne obszary działalności Banku. 2. Do skutecznej identyfikacji i pomiaru ryzyka Bank wykorzystuje następujące narzędzia: 1) rejestr zdarzeń i strat operacyjnych; 2) rejestr skarg i reklamacji klientów Banku; 3) wyniki testów (PCD 16, planów awaryjnych); 4) dokumenty z audytów; 5) materiały z kontroli wewnętrznej. 3. Do pomiaru ryzyka operacyjnego wykorzystywane są także: 1) wyniki samooceny ryzyka operacyjnego; 2) KRI 17. 4. Bank stosuje metody ograniczania i monitorowania poziomu ryzyka operacyjnego. 5. Z punktu widzenia ust.1-4, Bank ocenia, że wrażliwość na ryzyko operacyjne jest niska; ocena ta uzależniona jest od prawdopodobieństwa i skutków ekonomicznych ryzyk, zidentyfikowanych w procesie samooceny ryzyka. 16 PCD Plany Ciągłości Działania 17 KRI Kluczowe Wskaźniki Ryzyka 3
4 1. Ogólny profil ryzyka operacyjnego określa obszary, w których potencjalne narażenie Banku na ryzyko operacyjne jest największe. 2. Bank określa docelowy profil ryzyka korzystając z metody samooceny ryzyka operacyjnego. 3. Bank zakłada, że do najbardziej wrażliwych rodzajów ryzyka operacyjnego należą: (ryzyka o wskaźniku IR>=6) 1) utworzenie niewłaściwej kwoty rezerw celowych; 2) niekompletne informacje na temat odzyskiwanych wierzytelności; 3) niewłaściwe działanie komórki Zarządzającej i windykacji oraz kredytowej (nierzetelna analiza wniosków kredytowych, błędy w procedurach windykacji należności, braki w monitoringu należności, niewłaściwe sporządzenie zapotrzebowania na limity dopłat do oprocentowania kredytów preferencyjnych, niekompletne wnioski kredytowe, błędy w umowach kredytowych itp.) 4) błędy w zakładaniu, prowadzeniu i obsłudze rachunków bankowych; 5) niewłaściwa obsługa zastrzeżeń w obrocie oszczędnościowym; 6) błędy w obsłudze kasowo-skarbcowej; 7) ryzyko niekompetentnej obsługi samorządu i członków; 8) ryzyko braku zgodności; 9) niewłaściwe funkcjonowanie systemu kontroli wewnętrznej; 10) błędy w funkcjonowaniu Stanowiska ds. sprawozdawczości, analiz, ryzyk i płac; 11) niewłaściwe zarządzanie ryzykiem bezpieczeństwa osób i mienia; 12) ryzyko braku dostępu do systemu transakcyjno-księgowego Banku; 13) ujawnianie informacji o kliencie. 5 1. Tolerancję na ryzyko operacyjne Bank wyznacza na bazie tych rodzajów ryzyka, dla których, w procesie samooceny, spełnione są łącznie poniższe warunki: 1) prawdopodobieństwo wystąpienia ryzyka jest średnie lub wysokie; 2) skutki ekonomiczne są wysokie. 2. Dla ryzyk wyodrębnionych w procesie samooceny, zgodnie z ust. 1, obliczana jest maksymalna kwota straty, która mogłaby wystąpić, poprzez obliczenie iloczynu liczby ryzyk, o których mowa w ust. 1, oraz kwoty stanowiącej wartość progową, od której Bank uznaje, że konsekwencje ekonomiczne zrealizowania się ryzyka są wysokie. 3. Kwota, wyliczona zgodnie z ust. 2, nie może przekroczyć regulacyjnego wymogu na ryzyko operacyjne, który stanowi granicę tolerancji na to ryzyko. 6 W przypadku przekroczenia granicy tolerancji na ryzyko operacyjne, Zarząd podejmuje decyzję o: 1) zaakceptowaniu podwyższonego poziomu ryzyka; 2) zmianie poziomu tolerancji na ryzyko; 3) zobowiązaniu Właściciela ryzyka do ograniczenia poziomu ryzyka; 4) utworzeniu dodatkowego wymogu kapitałowego na ryzyko operacyjne; Zarząd każdorazowo wskazuje przesłanki podjętej decyzji. 7 Bank ustala minimalną wartość progowa dla rejestrowania strat na poziomie 500 zł. 4
8 1. Bank określił w swojej działalności podstawowe procesy, niezbędne do zarządzania ryzykiem operacyjnym, tj.: 1) operacje kasowe, 2) działalność kredytowa, 3) działalność oszczędnościowo-rozliczeniowa, 4) księgowość, 5) proces kadrowy, 6) pranie pieniędzy, 7) ryzyko braku zgodności, 8) sprawozdawczość dla NBP, 9) ryzyko operacyjne, 10) ryzyko płynności finansowej, 11) ryzyko stopy procentowej, 12) ryzyko biznesowe, 13) ryzyko kredytowe, koncentracji zaangażowań i rezydualne, 14) ryzyko kapitałowe, 15) zarządzanie zmianami, 16) obsługa organów samorządu Banku i członkostwo, 17) kontrola wewnętrzna i audyt, 18) ochrona osób i mienia, 19) zarządzanie systemem informatycznym. 2. Następnie Bank wyodrębnił z nich procesy kluczowe, które warunkują realizację strategii Banku, tj.: 1) operacje kasowe, 2) działalność kredytowa, 3) działalność oszczędnościowo-rozliczeniowa, 4) księgowość, 5) proces kadrowy, 6) sprawozdawczość dla NBP, 7) kontrola wewnętrzna i audyt, 8) zarządzanie systemem informatycznym, 9) ochrona osób i mienia. 3. Bank wskazał także następujące procesy krytyczne, które warunkują szybkie odzyskanie sprawności działania, tj.: 1) operacje kasowe, 2) działalność kredytowa, 3) działalność oszczędnościowo-rozliczeniowa, 4) księgowość, 5) zarządzanie systemem informatycznym. 4. Metodykę identyfikacji procesów, jak też sposób wyodrębnienia procesów kluczowych oraz krytycznych Bank uzasadnił i udokumentował. 5
Strategia zarządzania obszarem technologii informatycznej i bezpieczeństwa środowiska teleinformatycznego 9 1. Proces zarządzania obszarem technologii informatycznej i bezpieczeństwem środowiska teleinformatycznego stanowi integralny element procesu zarządzania ryzykiem operacyjnym, a co za tym procesu zarządzania Bankiem. 2. W procesie zarządzania uczestniczy każdy pracownik Banku, gdyż ryzyko to dotyczy wszystkich komórek i obszarów działalności Banku. 10 1. Proces zarządzania obszarem technologii informatycznej i bezpieczeństwa środowiska teleinformatycznego służy bezpiecznej realizacji celów biznesowych (strategii biznesowych) Banku uwzględniając rozwój działalności skorelowany we wszystkich obszarach. 2. Proces zarządzania tym obszarem ma na celu minimalizowanie ryzyka przerwania procesów biznesowych, funkcjonowania systemów teleinformatycznych, nieodpowiedniej jakości świadczonych usług i ujawnienia, modyfikacji lub utraty informacji, które naraziłyby klientów, podmioty zewnętrzne oraz Bank na straty. 11 Proces analizy ryzyka obejmuje badanie wpływu zagrożeń z obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego na realizację funkcji biznesowych oraz dobór narzędzi i ocenę skuteczności zastosowanych metod ochrony dostosowanych do rodzaju i wielkości zagrożeń, podejmowanego ryzyka oraz wielkości potencjalnych szkód. 12 W Banku zadania komitetu właściwego do spraw obszaru bezpieczeństwa środowiska teleinformatycznego powierzono Zarządowi. 13 Strategia obszarów technologii informacyjnej oraz bezpieczeństwa teleinformatycznego Banku jest realizacją strategii biznesowej Banku, a poprzez określenie konkretnych i mierzalnych celów oraz programów/projektów w zakresie: rozwoju wykorzystywanego oprogramowania, bezpieczeństwa zmian w zakresie danych przetwarzanych w działalności Banku, rozwoju infrastruktury teleinformatycznej, zmian organizacyjnych i procesowych w zakresie zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego; umożliwia skorelowany rozwój Banku we wszystkich obszarach. 14 Obszary biznesowe i technologii informacyjnej oraz bezpieczeństwa teleinformatycznego uczestniczą w procesie tworzenia i opiniowania strategii, a obszar biznesowy jest regularnie 6