Zarządzanie ryzykiem
w Grupie Kapitałowej

Zarządzanie ryzykiem jest jednym z najważniejszych procesów wewnętrznych zarówno w PKO Banku Polskim SA, jak i w pozostałych spółkach Grupy Kapitałowej PKO Banku Polskiego SA. Zarządzanie ryzykiem ma na celu zapewnienie odpowiedniego poziomu bezpieczeństwa oraz rentowności działalności biznesowej w zmieniającym się otoczeniu prawnym i ekonomicznym, a poziom ryzyka stanowi ważny składnik procesu planistycznego.

W Grupie Kapitałowej PKO Banku Polskiego SA zidentyfikowane zostały następujące rodzaje ryzyka bankowego, które podlegają zarządzaniu: ryzyko kredytowe, stopy procentowej, walutowe, płynności, cenowe kapitałowych papierów wartościowych, operacyjne, braku zgodności, biznesowe (w tym ryzyko strategiczne) i reputacji. Szczególnej kontroli podlega także ryzyko transakcji pochodnych, ze względu na specyfikę tych instrumentów.

Na proces zarządzania ryzykiem bankowym w Grupie Kapitałowej składają się następujące elementy:

  • identyfikacja ryzyka – polegająca na rozpoznaniu aktualnych i potencjalnych źródeł ryzyka oraz oszacowaniu istotności potencjalnego wpływu tego rodzaju ryzyka na sytuację finansową Grupy Kapitałowej. W ramach identyfikacji ryzyka określane są te rodzaje ryzyka, które uznawane są za istotne w działalności Banku, danej spółki Grupy Kapitałowej lub całej Grupy Kapitałowej,
  • pomiar i ocena ryzyka – pomiar ryzyka obejmujący definiowanie miar ryzyka adekwatnych do rodzaju, istotności ryzyka i dostępności danych oraz ilościowej kwantyfikacji ryzyka za pomocą zdefiniowanych miar, a także ocena ryzyka polegająca na określeniu rozmiarów lub zakresu ryzyka z punktu widzenia realizacji celów zarządzania ryzykiem. W ramach pomiaru ryzyka przeprowadza się testy warunków skrajnych na podstawie założeń zapewniających rzetelną ocenę ryzyka,
  • prognozowanie i monitorowanie ryzyka – polegające na sporządzaniu prognoz poziomu ryzyka oraz monitorowaniu odchyleń realizacji od prognoz lub założonych punktów odniesienia (np. limitów, wartości progowych, planów, pomiarów z poprzedniego okresu, wydanych rekomendacji i zaleceń). Monitorowanie ryzyka odbywa się z częstotliwością adekwatną do istotności danego rodzaju ryzyka oraz jego zmienności,
  • raportowanie ryzyka – polegające na cyklicznym informowaniu Kierownictwa Banku o wynikach pomiaru ryzyka, podjętych działaniach i rekomendacjach działań. Zakres, częstotliwość oraz forma raportowania są dostosowane do szczebla zarządczego odbiorców,
  • działania zarządcze – polegające w szczególności na wydawaniu przepisów wewnętrznych, określaniu poziomu tolerancji na ryzyko, ustalaniu wysokości limitów i wartości progowych, wydawaniu zaleceń, podejmowaniu decyzji o wykorzystywaniu narzędzi wspierających zarządzanie ryzykiem. Celem podejmowania działań zarządczych jest kształtowanie procesu zarządzania ryzykiem oraz poziomu ryzyka.

    Proces zarządzania ryzykiem obrazuje poniższy schemat:

Zarządzanie ryzykiem w Grupie Kapitałowej opiera się w szczególności na następujących zasadach:

  • Grupa Kapitałowa zarządza wszystkimi zidentyfikowanymi rodzajami ryzyka bankowego,
  • poziom ryzyka jest na bieżąco kontrolowany, 
  • proces zarządzania ryzykiem jest odpowiedni do skali działalności oraz do istotności, skali i złożoności danego ryzyka i na bieżąco dostosowywany do nowych czynników i źródeł ryzyka,
  • metody zarządzania ryzykiem (w szczególności modele i ich założenia) oraz systemy pomiaru ryzyka są dostosowane do skali i złożoności ryzyka oraz okresowo weryfikowane i walidowane,
  • proces zarządzania ryzykiem wspiera realizację strategii Grupy Kapitałowej przy zachowaniu zgodności ze strategią zarządzania ryzykiem, w szczególności w zakresie poziomu tolerancji na ryzyko,
  • zachowana jest niezależność organizacyjna obszaru ryzyka i windykacji od działalności biznesowej,
  • zarządzanie ryzykiem jest zintegrowane z systemami planistycznymi i kontrolingowymi.


Zarządzanie ryzykiem w Banku odbywa się we wszystkich jednostkach organizacyjnych Banku.

Organizacja zarządzania ryzykiem przedstawiona jest na poniższym schemacie:

Schemat organizacji zarządzania ryzykiem

Proces zarządzania ryzykiem jest nadzorowany przez Radę Nadzorczą Banku, która regularnie otrzymuje informacje o profilu ryzyka w Banku i Grupie Kapitałowej PKO Banku Polskiego SA oraz najważniejszych działaniach podejmowanych w zakresie zarządzania ryzykiem.

Zarząd Banku odpowiada za zarządzanie ryzykiem, w tym za nadzorowanie i monitorowanie działań podejmowanych przez Bank w zakresie zarządzania ryzykiem. Zarząd Banku podejmuje najważniejsze decyzje mające wpływ na poziom ryzyka Banku oraz uchwala przepisy wewnętrzne dotyczące zarządzania ryzykiem.

Proces zarządzania ryzykiem jest realizowany w trzech, wzajemnie niezależnych liniach obrony:

  1. pierwsza linia obrony, którą stanowi kontrola wewnętrzna funkcjonalna zapewniająca stosowanie mechanizmów kontroli ryzyka i zgodność działania z powszechnie obowiązującymi przepisami prawa, 
  2. druga linia obrony, którą stanowi system zarządzania ryzykiem, w tym metody, narzędzia, proces i organizacja zarządzania ryzykiem,
  3. trzecia linia obrony, którą stanowi audyt wewnętrzny.

Niezależność linii obrony polega na zachowaniu organizacyjnej niezależności w następujących płaszczyznach:

  • funkcja drugiej linii obrony w zakresie tworzenia rozwiązań systemowych jest niezależna od funkcji pierwszej linii obrony,
  • funkcja trzeciej linii obrony jest niezależna od funkcji pierwszej i drugiej linii obrony,
  • funkcja zarządzania ryzykiem braku zgodności podlega Prezesowi Zarządu Banku.

Pierwsza linia obrony realizowana jest w szczególności w jednostkach organizacyjnych Banku, komórkach organizacyjnych Centrali i podmiotach Grupy Kapitałowej i obejmuje te aspekty działalności tych jednostek, komórek i podmiotów, które mogą generować ryzyko. Jednostki, komórki oraz podmioty Grupy Kapitałowej odpowiadają za identyfikację ryzyk, zaprojektowanie i wdrożenie odpowiednich mechanizmów kontroli, o ile nie wdrożono mechanizmów kontrolnych w ramach działań podejmowanych w drugiej linii obrony. Jednocześnie podmioty Grupy Kapitałowej obowiązuje zasada spójności i porównywalności oceny i kontroli ryzyka w Banku oraz w spółkach Grupy Kapitałowej, z uwzględnieniem specyfiki działalności spółki oraz rynku, na którym prowadzi ona działalność.

Druga linia obrony realizowana jest w szczególności w Obszarze Ryzyka i Windykacji, specjalistycznych jednostkach organizacyjnych Banku odpowiedzialnych za analizy kredytowe, komórce organizacyjnej Centrali zarządzającej ryzykiem braku zgodności (compliance), a także w komórkach organizacyjnych Centrali odpowiadających za kontroling.

Trzecia linia obrony realizowana jest w ramach audytu wewnętrznego, w tym dotyczącego skuteczności systemu zarządzania ryzykiem związanym z działalnością Banku.

Komórki organizacyjne Centrali Banku zgrupowane w ramach Pionu Ryzyka Bankowego, Pionu Restrukturyzacji i Windykacji oraz Centrum Analiz i Oceny Ryzyka Kredytowego zarządzają ryzykiem w zakresie przyznanych kompetencji.

Pion Ryzyka Bankowego odpowiada za:

  • identyfikację czynników i źródeł ryzyka,
  • pomiar, ocenę oraz cykliczne monitorowanie i raportowanie poziomu ryzyka (ryzyka istotne),
  • pomiar i ocenę adekwatności kapitałowej,
  • przygotowywanie rekomendacji dla Zarządu Banku lub komitetów dotyczących akceptowalnego poziomu ryzyka,
  • tworzenie przepisów wewnętrznych dotyczących zarządzania ryzykiem i adekwatnością kapitałową,
  • rozwój systemów informatycznych dedykowanych do wspierania zarządzania ryzykiem i adekwatnością kapitałową.

Pion Restrukturyzacji i Windykacji odpowiada za:

  • sprawne odzyskiwanie wierzytelności trudnych klientów oraz zwiększanie efektywności tych działań, 
  • efektywne wczesne monitorowanie opóźnień w spłacie wierzytelności klientów rynku detalicznego,
  • efektywną sprzedaż wierzytelności trudnych i outsourcing realizowanych zadań oraz efektywne zarządzanie majątkiem przejętym w wyniku dochodzenia należności Banku.

Centrum Analiz i Oceny Ryzyka Kredytowego odpowiada za ocenę i weryfikację poziomu oszacowań ryzyka kredytowego pojedynczych zaangażowań kredytowych, które ze względu na skalę ekspozycji, segment klienta lub poziom ryzyka wymagają niezależnej oceny. W związku z wdrożeniem w Banku Rekomendacji T, w Centrum Analiz i Oceny Ryzyka Kredytowego podejmowane są decyzje kredytowe w odniesieniu do spraw klientów indywidualnych.

Zarządzanie ryzykiem wspierają komitety:

  • Komitet Ryzyka („KR”),
  • Komitet Zarządzania Aktywami i Pasywami („KZAP”),
  • Komitet Kredytowy Banku („KKB”),
  • Komitet Kredytowy Centrali („KKC”),
  • Komitet Ryzyka Operacyjnego („KRO"),
  • komitety kredytowe działające w regionalnych oddziałach detalicznych i korporacyjnych.

KR monitoruje integralność, adekwatność i efektywność systemu zarządzania ryzykiem bankowym, adekwatność kapitałową i wdrażanie obowiązujących w Banku zasad zarządzania ryzykiem zgodnie ze Strategią Banku oraz analizuje i ocenia stosowanie strategicznych limitów ryzyka określonych w Strategii zarządzania ryzykiem bankowym w PKO Banku Polskim SA.

KR wspiera Radę Nadzorczą w procesie zarządzania ryzykiem bankowym przez formułowanie zaleceń i podejmowanie decyzji w sprawie adekwatności kapitałowej i efektywności systemu kontroli ryzyka bankowego.

KZAP podejmuje decyzje w zakresie przyznanych kompetencji oraz wydaje rekomendacje dla Zarządu Banku w zakresie zarządzania portfelowym ryzykiem kredytowym, zarządzania ryzykiem stopy procentowej, ryzykiem walutowym, ryzykiem płynności oraz zarządzania aktywami i pasywami Banku. Komitetowi temu przewodniczy Prezes Zarządu Banku.

KKB podejmuje decyzje kredytowe w odniesieniu do pojedynczych znaczących wartościowo zaangażowań kredytowych, bądź wydaje rekomendacje w tym zakresie dla Zarządu Banku.

KKC wspiera swoimi rekomendacjami podejmowanie decyzji przez właściwych dyrektorów zarządzających i członków Zarządu Banku, a komitety kredytowe działające w regionach wspierają dyrektorów oddziałów i dyrektorów Regionalnych Oddziałów Korporacyjnych w odniesieniu do spraw o wyższym poziomie ryzyka.

KRO wspiera Zarząd Banku w procesie zarządzania ryzykiem operacyjnym poprzez:

  • wydawanie rekomendacji m.in. w sprawie akceptacji przez Zarząd Banku poziomu tolerancji na ryzyko operacyjne, limitów na ryzyko operacyjne zastrzeżonych do kompetencji Zarządu Banku, definicji testów warunków skrajnych ryzyka operacyjnego oraz innych działań związanych z systemowym zarządzaniem ryzykiem operacyjnym,
  • podejmowanie decyzji w zakresie wartości progowych i krytycznych kluczowych wskaźników ryzyka (KRI), limitów na ryzyko operacyjne zastrzeżonych do kompetencji KRO, wartości kluczowych parametrów wykorzystywanych do wyliczania wartości zagrożonej na ryzyko operacyjne oraz zastosowania indywidualnego podejścia do wartości odstających.

Ponadto KRO formułuje rekomendacje w zakresie zarządzania ryzykiem operacyjnym w spółkach Grupy Kapitałowej PKO Banku Polskiego SA, które są przekazywane spółkom Grupy Kapitałowej PKO Banku Polskiego SA w ramach sprawowanego przez Bank nadzoru właścicielskiego nad tymi podmiotami.

Bank sprawuje nadzór nad funkcjonowaniem poszczególnych spółek zależnych Grupy Kapitałowej PKO Banku Polskiego SA. W ramach tego nadzoru Bank określa i akceptuje strategie rozwoju spółek, również w zakresie poziomu ryzyka, nadzoruje systemy zarządzania ryzykiem w spółkach oraz wspiera ich rozwój, jak również uwzględnia poziom ryzyka działalności poszczególnych spółek w ramach systemu monitorowania i raportowania ryzyka na poziomie Grupy Kapitałowej.

Przepisy wewnętrzne dotyczące zarządzania poszczególnymi rodzajami ryzyka w spółkach Grupy Kapitałowej Banku określają przepisy wewnętrzne, wprowadzane przez te spółki po zasięgnięciu opinii Banku i z uwzględnieniem rekomendacji formułowanych przez Bank. Przepisy wewnętrzne spółek dotyczące zarządzania ryzykiem są wprowadzane w oparciu o zasadę spójności i porównywalności oceny poszczególnych rodzajów ryzyka w Banku i spółkach Grupy Kapitałowej Banku przy uwzględnieniu specyfiki działalności spółki oraz rynku, na którym ona prowadzi działalność.

Priorytetem Grupy Kapitałowej PKO Banku Polskiego SA jest utrzymanie silnej pozycji kapitałowej oraz przyrost stabilnych źródeł finansowania, które stanowią postawę stabilnego rozwoju działalności biznesowej, przy równoczesnym utrzymaniu priorytetów w zakresie efektywności działania i skutecznej kontroli kosztów.

PKO Bank Polski SA w dniu 21 czerwca 2011 roku otrzymał zgodę Komisji Nadzoru Finansowego na stosowanie od dnia 30 czerwca 2011 roku metod statystycznych do obliczania wymogów kapitałowych z tytułu ryzyka operacyjnego (AMA), z przejściowym ograniczeniem (do czasu eliminacji warunków KNF) na spadek wymogu kapitałowego nie więcej niż do poziomu 75% wymogu wyliczanego metodą standardową.

Ponadto w 2011 roku Grupa Kapitałowa PKO Banku Polskiego brała udział w testach warunków skrajnych organizowanych przez EBA (European Banking Authority) - Europejski Urząd Nadzoru Bankowego. Wyniki testu potwierdziły silną pozycję kapitałową Grupy Kapitałowej Banku oraz znaczącą odporność na realizowanie się negatywnych scenariuszy rynkowych.

W 2011 roku w KREDOBANK SA były prowadzone prace związane z rozwojem metodologii pomiaru ryzyka kredytowego w kierunku dostosowania rozwiązań do stosowania MSR. Prowadzone były także aktywne działania w zakresie automatyzacji procesu kredytowego, w tym oceny ryzyka kredytowego poprzez dostosowanie i wdrożenie systemu analogicznego do aplikacji wykorzystywanej przez PKO Bank Polski SA. Ponadto przeprowadzono nowelizację przepisów wewnętrznych związanych z procesem kredytowania klientów osób fizycznych oraz osób prawnych. 

W 2011 roku w Grupie Kapitałowej Bankowego Funduszu Leasingowego SA rozpoczęto prace w zakresie zmian do „Procedur oceny ryzyka transakcji leasingowych i metodyki scoringowej oraz przebudowy procesu decyzyjnego”. Ich wdrożenie wraz z zaimplementowaniem nowego systemu informatycznego jest planowane na 2012 rok. 

Identyfikacja istotnych rodzajów ryzyka
Istotność poszczególnych rodzajów ryzyka ustalana jest na poziomie Banku oraz poszczególnych spółek Grupy Kapitałowej. Przy określaniu kryteriów uznawania danego rodzaju ryzyka za istotne uwzględniany jest wpływ danego rodzaju ryzyka zarówno na działalność Banku, danej spółki Grupy Kapitałowej, jak również całej Grupy Kapitałowej, przy czym rozróżniane są trzy typy rodzajów ryzyka:

  • z góry uznawane za istotne – podlegające aktywnemu zarządzaniu,
  • potencjalnie istotne – dla nich przeprowadza się monitoring istotności,
  • inne niezdefiniowane lub niewystępujące w Banku lub Grupie Kapitałowej rodzaje ryzyka (nieistotne i niemonitorowane).

W oparciu o informacje ilościowe i jakościowe, cyklicznie dokonywana jest w Banku ocena istotności potencjalnie istotnych rodzajów ryzyka. Wynikiem oceny jest przypisanie danemu rodzajowi ryzyka poziomu istotne/nieistotne. Podobnej oceny dokonuje się cyklicznie w odniesieniu do spółek Grupy Kapitałowej. Monitoring dokonywany jest w szczególności w przypadku istotnej zmiany zakresu lub profilu działalności Banku albo spółki Grupy Kapitałowej.