Profil ryzyka Grupy PZU

Główne ryzyka w Grupie PZU 

Do głównych ryzyk, na które jest narażona Grupa PZU, należą ryzyka: aktuarialne, rynkowe, kredytowe, koncentracji, operacyjne, modeli i braku zgodności.

Do głównych ryzyk związanych z działalnością Alior Banku i Banku Pekao należą ryzyka: kredytowe (w tym ryzyko koncentracji portfela kredytowego), operacyjne i rynkowe (obejmujące ryzyka stopy procentowej, walutowe, cen towarów i cen instrumentów finansowych).

Całkowite ryzyko podmiotów sektora bankowego stanowi ok. 35% (III kwartał 2020 roku) całkowitego ryzyka Grupy PZU, przy największej kontrybucji w obszarze ryzyka kredytowego. 

W związku z pandemią COVID-19 zidentyfikowano wzrost ryzyka w wybranych obszarach, w szczególności ryzyka śmiertelności, ryzyka stopy procentowej, ryzyka płynności i ryzyka kredytowego.

W 2020 roku podjęto inicjatywy służące poprawie identyfikacji, pomiaru i oceny oraz monitorowania ryzyk związanych ze zrównoważonym rozwojem, w szczególności ze zmianami klimatu. Główne ryzyka w tym obszarze, transformacji i fizyczne, są zarządzane w ramach poszczególnych kategorii ryzyk wskazanych w dalszej części Sprawozdania. 

Ryzyko fizyczne to ryzyko dla przedsiębiorstwa wynikające z fizycznych skutków zmiany klimatu i obejmuje ostre (np. burze, pożary) i długotrwałe ryzyko fizyczne (podnoszący się poziom mórz). Ryzyko transformacji (transition risk) to ryzyko związane z przejściem gospodarki na niskoemisyjną i odporną na zmianę klimatu i obejmuje ryzyko związane z polityką, prawne, technologiczne, rynkowe oraz reputacyjne.

Ryzyko aktuarialne

To możliwość poniesienia straty lub niekorzystnej zmiany wartości zobowiązań, jakie mogą wyniknąć z zawartych umów ubezpieczenia i umów gwarancji ubezpieczeniowych w związku z niewłaściwymi założeniami dotyczącymi wyceny składek i tworzenia rezerw techniczno-ubezpieczeniowych.

Identyfikacja ryzyka rozpoczyna się wraz z propozycją tworzenia produktu ubezpieczeniowego i towarzyszy mu aż do momentu wygaśnięcia zobowiązań z nim związanych. Identyfikacja ryzyka aktuarialnego odbywa się m.in. poprzez:

• analizę ogólnych warunków ubezpieczenia pod kątem przyjmowanego ryzyka i zgodności z powszechnie obowiązującymi przepisami prawa;
• analizę ogólnych/szczególnych warunków ubezpieczenia lub innych wzorców umów pod kątem ryzyka aktuarialnego przyjmowanego na ich podstawie;
• rozpoznanie potencjalnych ryzyk związanych z danym produktem dla ich późniejszego pomiaru i monitorowania;
• analizę wpływu wprowadzenia nowych produktów ubezpieczeniowych na wymogi kapitałowe i margines ryzyka obliczonych według formuły standardowej;
• weryfikację i walidację zmian w produktach ubezpieczeniowych;
• ocenę ryzyka aktuarialnego przez pryzmat podobnych, istniejących produktów;
• monitorowanie istniejących produktów;
• analizę polityki underwritingowej (oceny ryzyka przyjmowanego do ubezpieczenia), taryfikacyjnej, rezerw techniczno-ubezpieczeniowych i reasekuracyjnej oraz procesu obsługi szkód i świadczeń.

Ocena ryzyka aktuarialnego polega na rozpoznaniu stopnia zagrożenia lub grupy zagrożeń stanowiących o możliwości powstania szkody oraz na dokonaniu analizy elementów ryzyka w sposób umożliwiający podjęcie decyzji o przyjęciu ryzyka do ubezpieczenia. 

Pomiar ryzyka aktuarialnego jest dokonywany przy użyciu:

• analizy wybranych wskaźników;
• metody scenariuszowej – analizy utraty wartości spowodowanej przez zadaną zmianę czynników ryzyka;
• metody faktorowej – uproszczonej wersji metody scenariuszowej, zredukowanej do przypadku jednego scenariusza dla jednego czynnika ryzyka;
• danych statystycznych;
• miar ekspozycji i wrażliwości;
• wiedzy eksperckiej pracowników. 

Monitorowanie i kontrolowanie ryzyka aktuarialnego obejmuje analizę poziomu ryzyka za pomocą zestawu raportów zawierających wybrane wskaźniki. 

Raportowanie służy efektywnej komunikacji o ryzyku aktuarialnym i wspiera zarządzanie ryzykiem aktuarialnym na różnych poziomach decyzyjnych – od pracownika do Rady Nadzorczej. Częstotliwość poszczególnych raportów oraz ich zakres są dostosowane do potrzeb na poszczególnych poziomach decyzyjnych.

Działania zarządcze przewidywane w procesie zarządzania ryzykiem aktuarialnym są realizowane poprzez:

• określenie poziomu tolerancji na ryzyko aktuarialne i jego monitorowanie;
• decyzje biznesowe i plany sprzedażowe;
• kalkulację i monitorowanie adekwatności rezerw techniczno-ubezpieczeniowych;
• strategię taryfową oraz monitorowanie istniejących szacunków i ocenę adekwatności składki;
• proces oceny, wyceny i akceptacji ryzyka aktuarialnego;
• stosowanie narzędzi ograniczania ryzyka aktuarialnego, w tym w szczególności reasekuracji i prewencji. 

Ponadto ograniczaniu ryzyka aktuarialnego związanego z bieżącą działalnością służą: 

• zdefiniowanie zakresów odpowiedzialności w ogólnych/szczególnych warunkach ubezpieczenia lub innych wzorcach umów;
• działania koasekuracyjne i reasekuracyjne;
• stosowanie adekwatnej polityki taryfikacyjnej;
• stosowanie odpowiedniej metodyki obliczania rezerw techniczno-ubezpieczeniowych;
• stosowanie odpowiedniej procedury oceny ryzyka przyjmowanego do ubezpieczenia (underwritingu);
• stosowanie odpowiedniej procedury likwidacji szkód lub obsługi świadczeń;
• decyzje i plany sprzedażowe;
• prewencja. 

W wyniku pandemii COVID-19 odnotowano wzrost w obszarze ryzyka śmiertelności. Został on uwzględniony w regularnych procesach biznesowych a ryzyko podlega regularnemu monitoringowi i kontroli.

Ryzyko rynkowe, w tym ryzyko płynności

Ryzyko rynkowe jest rozumiane jako ryzyko straty lub niekorzystnej zmiany sytuacji finansowej, wynikające bezpośrednio lub pośrednio z wahań poziomu i zmienności rynkowych cen aktywów, spreadu kredytowego, wartości zobowiązań i instrumentów finansowych.

Proces zarządzania ryzykiem spreadu kredytowego i ryzykiem koncentracji ma odmienną specyfikę od procesu zarządzania pozostałymi podkategoriami ryzyka rynkowego i został opisany w kolejnej części (Ryzyko kredytowe i ryzyko koncentracji) wraz z procesem zarządzania ryzykiem niewypłacalności kontrahenta.

Ryzyko rynkowe w Grupie PZU wypływa z trzech głównych źródeł: 

• działalności związanej z dopasowaniem aktywów do zobowiązań (portfel ALM);
• działalności związanej z aktywną alokacją, tj. wyznaczaniem optymalnej średnioterminowej struktury aktywów (portfele AA);
• działalności bankowej – w jej efekcie Grupa PZU jest istotnie narażona na ryzyko stopy procentowej.

Działalność inwestycyjną w podmiotach Grupy PZU reguluje szereg dokumentów zatwierdzonych przez Rady Nadzorcze, Zarządy i odpowiednie komitety.

Identyfikacja ryzyka rynkowego polega na rozpoznaniu jego rzeczywistych i potencjalnych źródeł. W przypadku ryzyka związanego z aktywami rozpoczyna się w momencie podjęcia decyzji o rozpoczęciu transakcji na danym typie instrumentów finansowych. Jednostki, które się na to decydują, sporządzają opis instrumentu zawierający w szczególności czynniki ryzyka. Przekazują go do jednostki ds. ryzyka, która na jego podstawie identyfikuje i ocenia ryzyko rynkowe.

Identyfikacja ryzyka rynkowego związanego ze zobowiązaniami ubezpieczeniowymi rozpoczyna się wraz z procesem tworzenia produktu ubezpieczeniowego. Polega na ustaleniu zależności wielkości przepływów finansowych z tego produktu od czynników ryzyka rynkowego. Do oceny zidentyfikowanych ryzyk rynkowych wykorzystuje się kryterium istotności określające, czy z materializacją ryzyka jest związana strata, która może mieć wpływ na kondycję finansową.

Ryzyko rynkowe jest mierzone przy użyciu poniższych miar ryzyka:

• VaR, czyli wartości narażonej na ryzyko, będącej miarą kwantyfikującą potencjalną stratę ekonomiczną, która w horyzoncie roku przy normalnych warunkach rynkowych nie zostanie przekroczona z prawdopodobieństwem 99,5%;
• formuły standardowej;
• miar ekspozycji i wrażliwości;
• skumulowanej miesięcznej straty. 

W przypadku podmiotów bankowych stosuje się adekwatne miary zgodne z przepisami sektorowymi i dobrymi praktykami rynkowymi.

Pomiar ryzyka rynkowego dzieli się na etapy, w szczególności: 

• gromadzenie informacji o aktywach i zobowiązaniach generujących ryzyko rynkowe;
• kalkulacja wartości ryzyka. 

Pomiar ryzyka jest dokonywany:

• codziennie dla miar ekspozycji i wrażliwości instrumentów znajdujących się w systemach użytkowanych przez poszczególne jednostki Grupy PZU;
• miesięcznie przy wykorzystaniu modelu wartości narażonej na ryzyko dla ryzyka rynkowego lub formuły standardowej. 

Monitorowanie i kontrolowanie ryzyka rynkowego polega na analizie poziomu ryzyka i wykorzystania wyznaczonych limitów. 

Raportowanie polega na komunikowaniu różnym poziomom decyzyjnym poziomu ryzyka rynkowego oraz efektów monitorowania i kontrolowania. Częstotliwość poszczególnych raportów oraz ich zakres są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych.

Działania zarządcze w odniesieniu do ryzyka rynkowego polegają w szczególności na: 

• dokonywaniu transakcji służących zmniejszeniu ryzyka rynkowego, tj. sprzedaży instrumentu finansowego, zamknięciu pozycji na instrumencie pochodnym, kupnie zabezpieczającego instrumentu pochodnego;
• dywersyfikacji portfela aktywów, w szczególności ze względu na kategorię ryzyka rynkowego, terminy zapadalności instrumentów, koncentrację zaangażowania w jednym podmiocie, koncentrację geograficzną;
• stanowieniu ograniczeń i limitów ryzyka rynkowego.

Stanowienie limitów jest głównym narzędziem zarządczym, który ma służyć utrzymaniu pozycji ryzyka w ramach akceptowalnego poziomu tolerancji na nie. Struktura limitów dla poszczególnych kategorii ryzyka rynkowego, jak również dla poszczególnych jednostek organizacyjnych, jest ustalana przez wyznaczone komitety w taki sposób, aby były one spójne z tolerancją na ryzyko ustalaną przez zarządy podmiotów zależnych. Podmioty sektora bankowego podlegają w tym zakresie dodatkowym wymogom regulacji sektorowych.

W związku z pandemią COVID-19 sektor bankowy w Polsce odnotował istotny spadek dochodów odsetkowych. Dotknęło to także banki z Grupy PZU. Obniżka referencyjnej stopy procentowej NBP łącznie o 140 pb. w pierwszej połowie 2020 roku wpłynęła na spadek marży odsetkowej netto (NIM) w sektorze.

W związku z zawiązaniem dodatkowych rezerw w PZU Życie w II kwartale 2020 roku oraz uwzględnieniem występujących obecnie poziomów stóp procentowych w procesach biznesowych, w krótkim horyzoncie ryzyko związane z niskimi stopami procentowymi w segmencie ubezpieczeniowym Grupy PZU nie jest uznawane za istotne. Ryzyko jest na bieżąco monitorowane i analizowane pod kątem właściwego dostosowania struktury portfela lokat. 

Ryzyko płynności finansowej to możliwość utraty zdolności do bieżącego regulowania zobowiązań Grupy PZU wobec jej klientów lub kontrahentów. Zarządzanie ryzykiem płynności finansowej służy zachowaniu takiego poziomu płynności, by umożliwiał bieżące regulowanie zobowiązań danego podmiotu. Ryzyko płynności jest zarządzane odrębnie dla części ubezpieczeniowej i bankowej.

Identyfikacja ryzyka polega na analizie możliwości wystąpienia niekorzystnych zdarzeń, w szczególności: 

Ryzyko kredytowe i ryzyko koncentracji

Ryzyko kredytowe jest rozumiane jako ryzyko straty lub niekorzystnej zmiany sytuacji finansowej, wynikające z wahań wiarygodności i zdolności kredytowej emitentów papierów wartościowych, kontrahentów i wszelkich dłużników. Materializuje się w postaci niewykonania zobowiązania przez kontrahenta lub wzrostem spreadu kredytowego. W ramach ryzyka kredytowego wyróżnia się następujące kategorie ryzyka:

• ryzyko spreadu kredytowego;
• ryzyko niewykonania zobowiązania przez kontrahenta;
• ryzyko kredytowe w ubezpieczeniach finansowych. 

Ryzyko koncentracji jest rozumiane jako możliwość poniesienia straty wynikającej z braku dywersyfikacji portfela aktywów lub z dużej ekspozycji na ryzyko niewykonania zobowiązania przez pojedynczego emitenta papierów wartościowych lub grupę powiązanych emitentów. 

Identyfikacja ryzyka kredytowego i ryzyka koncentracji odbywa się na etapie decydowania o zainwestowaniu w nowy typ instrumentu finansowego lub zaangażowaniu o charakterze kredytowym. Polega na analizie, czy z daną inwestycją wiąże się ryzyko kredytowe lub ryzyko koncentracji, a także od czego jest uzależniony jego poziom i zmienność w czasie. Identyfikacji podlegają rzeczywiste i potencjalne źródła ryzyka kredytowego i ryzyka koncentracji.

Ocena ryzyka polega na oszacowaniu prawdopodobieństwa materializacji ryzyka oraz potencjalnego wpływu materializacji ryzyka na kondycję finansową danego podmiotu. 

Pomiar ryzyka kredytowego jest dokonywany przy użyciu: 

• miar ekspozycji (wartość zaangażowania kredytowego brutto i netto oraz zaangażowanie kredytowe netto ważone okresem zapadalności);
• wymogu kapitałowego kalkulowanego zgodnie z formułą standardową. 

Miarą łącznego ryzyka koncentracji jest suma ryzyk koncentracji pojedynczych podmiotów. W przypadku podmiotów powiązanych wyznacza się ryzyko koncentracji dla wszystkich podmiotów powiązanych łącznie.

W przypadku podmiotów bankowych stosuje się adekwatne miary zgodne z przepisami sektorowymi i dobrymi praktykami rynkowymi. Pomiar ryzyka kredytowego jest dokonywany przy użyciu siatki miar jakości portfela kredytowego. 

Monitorowanie i kontrolowanie ryzyka kredytowego i ryzyka koncentracji polega na analizie bieżącego poziomu ryzyka, ocenie zdolności kredytowej i określeniu stopnia wykorzystania wyznaczonych limitów. Monitorowanie odbywa się m.in. w cyklach dziennych i miesięcznych.

Monitorowanie dotyczy: 

• zaangażowań z tytułu ubezpieczeń finansowych;
• zaangażowań reasekuracyjnych;
• limitów zaangażowania oraz limitów ryzyka VaR;
• zaangażowań kredytowych (w przypadku podmiotów bankowych). 

Raportowanie polega na informowaniu o poziomach ryzyka kredytowego i ryzyka koncentracji oraz efektach monitorowania i kontrolowania. Częstotliwość poszczególnych raportów oraz ich zakres są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych.

Działania zarządcze w odniesieniu do ryzyka kredytowego i ryzyka koncentracji polegają w szczególności na: 

• stanowieniu limitów ograniczających zaangażowanie wobec pojedynczego podmiotu, grupy podmiotów, sektorów, krajów;
• dywersyfikacji portfela aktywów i ubezpieczeń finansowych w szczególności ze względu na kraj, sektor;
• przyjęciu zabezpieczenia;
• dokonywaniu transakcji służących zmniejszeniu ryzyka kredytowego, tj. sprzedaży instrumentu finansowego, zamknięciu instrumentu pochodnego, kupnie zabezpieczającego instrumentu pochodnego, restrukturyzacji udzielonego zadłużenia;
• reasekuracji portfela ubezpieczeń finansowych.

Strukturę limitów ryzyka kredytowego i ryzyka koncentracji dla poszczególnych emitentów ustalają wyznaczone komitety w taki sposób, by limity były spójne z tolerancją na ryzyko ustaloną przez zarządy danych podmiotów zależnych i pozwalały zminimalizować ryzyko „zarażania” pomiędzy skoncentrowanymi ekspozycjami.

W działalności bankowej udzielanie produktów kredytowych jest realizowane zgodnie z metodykami kredytowania właściwymi dla segmentu klienta i rodzaju produktu. Oceny zdolności kredytowej klienta poprzedzającej wydanie decyzji kredytowej dokonuje się z wykorzystaniem narzędzi wspierających proces kredytowy, w tym systemu scoringowego lub ratingowego oraz zewnętrznych informacji i wewnętrznych baz danego banku Grupy PZU. Udzielanie produktów kredytowych przebiega zgodnie z obowiązującymi procedurami operacyjnymi, wskazującymi właściwe czynności wykonywane w procesie kredytowym, odpowiedzialne za nie jednostki oraz wykorzystywane narzędzia. 

Strukturę limitów ryzyka kredytowego i ryzyka koncentracji dla poszczególnych emitentów ustalają wyznaczone komitety w taki sposób, by limity były spójne z tolerancją na ryzyko ustaloną przez zarządy danych podmiotów zależnych i pozwalały zminimalizować ryzyko „zarażania” pomiędzy skoncentrowanymi ekspozycjami. 

W działalności bankowej udzielanie produktów kredytowych jest realizowane zgodnie z metodykami kredytowania właściwymi dla segmentu klienta i rodzaju produktu. Oceny zdolności kredytowej klienta poprzedzającej wydanie decyzji kredytowej dokonuje się z wykorzystaniem narzędzi wspierających proces kredytowy, w tym systemu scoringowego lub ratingowego oraz zewnętrznych informacji i wewnętrznych baz danego banku Grupy PZU. Udzielanie produktów kredytowych przebiega zgodnie z obowiązującymi procedurami operacyjnymi, wskazującymi właściwe czynności wykonywane w procesie kredytowym, odpowiedzialne za nie jednostki oraz wykorzystywane narzędzia.

W segmencie ubezpieczeniowym Grupy PZU, w obszarze ryzyka kredytowego, wpływ pandemii COVID-19 był niewielki; podobnie jak w 2019 roku na portfelu nie odnotowano przesłanek utraty wartości, tym samym żadna ekspozycja nie została zakwalifikowana do koszyka 3 (instrumenty dla których stwierdzono trwałą utratę wartości). W trakcie 2020 roku zmieniała się istotnie struktura posiadanych instrumentów finansowych; udział ekspozycji korporacyjnych, które co do zasady charakteryzują się wyższymi parametrami ryzyka (PD, LGD) został ograniczony na rzecz zakupu polskich obligacji skarbowych lub gwarantowanych przez Skarb Państwa. Wartość odpisów w portfelu w 2020 uległa obniżeniu w porównaniu do 2019 roku, ze względu na zmianę struktury portfela na bardziej bezpieczny, przesunięcie struktury ratingowej, powiązanej z ogólną poprawą wyników finansowych podmiotów oraz poprawy wewnętrznych prognoz makroekonomicznych dla Polski w stosunku do negatywnych scenariuszy związanych z pandemią COVID-19 z I kwartału. Obniżenie wartości odpisów w portfelu było efektem spadku odpisów w koszyku 1 jakości kredytowej, częściowo zniesionym przez wzrost wartości odpisów w koszyku 2 (instrumenty ze zidentyfikowanym znaczącym wzrostem ryzyka kredytowego wg MSSF 9). Jako łączny efekt wzrostu wartości portfela oraz spadku skumulowanych odpisów, obniżyło się pokrycie odpisami, rozumiane jako relacja skumulowanych odpisów z tytułu ryzyka kredytowego do wartości bilansowej brutto wszystkich aktywów Grupy PZU obarczonych ryzykiem kredytowym podlegających reżimowi MSSF 9.

Od kwietnia 2020 roku nie potwierdzono wpływu COVID-19 na wzrost szkodowości w portfelu gwarancji ubezpieczeniowych. Sytuacja poszczególnych klientów jest na bieżąco monitorowana.

Ryzyko operacyjne

Jest to możliwość poniesienia straty wynikającej z niewłaściwych lub błędnych procesów wewnętrznych, działań ludzi, funkcjonowania systemów lub ze zdarzeń zewnętrznych.

Identyfikacja ryzyka operacyjnego odbywa się w szczególności poprzez: 

• gromadzenie i analizę informacji o incydentach ryzyka operacyjnego oraz przyczynach ich wystąpienia;
• samoocenę ryzyka operacyjnego;
• analizy scenariuszowe.

Ocena i pomiar ryzyka operacyjnego odbywają się poprzez: 

• określanie skutków incydentów ryzyka operacyjnego, które nastąpiły;
• szacowanie skutków wystąpienia potencjalnych incydentów ryzyka operacyjnego, które mogą wystąpić w działalności.

Oba banki w Grupie PZU, za zgodą KNF, stosują indywidualne modele zaawansowane do pomiaru ryzyka operacyjnego i szacowania wymogów kapitałowych z tytułu tego ryzyka.

Monitorowaniu i kontrolowaniu ryzyka operacyjnego służy głównie ustanowiony system wskaźników ryzyka operacyjnego oraz limitów umożliwiających ocenę zmian poziomu ryzyka operacyjnego w czasie oraz czynników mających wpływ na jego poziom w działalności. 

Raportowanie polega na komunikowaniu różnym poziomom decyzyjnym poziomu ryzyka operacyjnego oraz efektów monitorowania i kontrolowania. Częstotliwość poszczególnych raportów oraz ich zakres są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych.

Działania zarządcze w ramach reakcji na zidentyfikowane i ocenione ryzyko operacyjne polegają przede wszystkim na: 

• podjęciu działań mających na celu minimalizację ryzyka, m.in. poprzez wzmocnienie systemu kontroli wewnętrznej;
• transferze ryzyka – w szczególności za pomocą zawarcia umowy ubezpieczenia;
• unikaniu ryzyka poprzez niepodejmowanie określonej działalności biznesowej lub wycofanie się z niej w przypadku stwierdzenia zbyt wysokiego ryzyka operacyjnego, którego koszty ograniczenia są nieopłacalne;
• akceptacji ryzyka – aprobatę konsekwencji wynikających z ewentualnej materializacji ryzyka operacyjnego, jeśli nie zagraża ono przekroczeniu poziomu tolerancji na ryzyko operacyjne.

Plany Ciągłości Działania w Grupie PZU są cyklicznie testowane i dzięki temu również aktualizowane.

W PZU i PZU Życie wdrożono rozwiązania i procesy służące minimalizowaniu ryzyka wystąpienia zakażenia i rozprzestrzeniania koronawirusa w organizacji. Zastosowano odpowiednie środki bezpieczeństwa:

• informacyjne (newslettery, alerty, sms-y, informacje zamieszczane w serwisie PZU24, webinar, FAQ);
• organizacyjno-prawne (powołanie Sztabu Kryzysowego i regularne zwoływanie jego posiedzeń, ogłoszenie sytuacji kryzysowej, wprowadzenie procedury i trybu pracy zdalnej, aktualizacja Planu Ciągłości Działania, stworzenie rejestru zidentyfikowanych przypadków zarażeń, profilaktyka kontaktów w pracy, podwyższony standard higieny osobistej);
• techniczne (zakup i rozbudowa urządzeń IT zwiększających limit VPN, zakup licencji na użytkowanie komunikatorów internetowych oraz na oprogramowanie wspierające bezpieczeństwo pracy zdalnej, zwiększenie limitu transmisji danych w telefonach, wyposażenie pracowników w notebooki i komputery stacjonarne do pracy zdalnej, zwiększenie przepustowości łączy internetowych);
• ochronne (wyposażenie jednostek PZU w środki odkażające i ochronne, wyposażenie stanowisk w oddziałach PZU w pleksi ochronne, zakup maseczek i rękawic ochronnych, zlecenie dezynfekcji, w tym ozonowania pomieszczeń).

Na każdym posiedzeniu Sztabu Kryzysowego Biuro Bezpieczeństwa prezentowało raporty dotyczące liczby zakażeń wśród pracowników i w Polsce, organizacji pracy w spółkach Grupy PZU, dostępności oddziałów i sieci agencyjnej, realizacji zamówień środków ochrony osobistej i dezynfekujących oraz wydatków poniesionych z budżetu Sztabu Kryzysowego. 

Plany Ciągłości Działania, uruchomione w związku z pandemią w pozostałych spółkach Grupy PZU, funkcjonowały zgodnie z obowiązującymi w tych spółkach regulacjami i procedurami wewnętrznymi. 

Mimo kryzysowej sytuacji w żadnej ze spółek Grupy PZU nie doszło do istotnych zakłóceń związanych z przerwaniem ciągłości działania i obsługą klientów.

Ryzyko modeli

Ryzyko modeli, zakwalifikowane jako istotne dla Grupy PZU, zostało zdefiniowane jako ryzyko poniesienia straty finansowej, błędnego oszacowania danych raportowanych do organu nadzoru, podjęcia błędnych decyzji lub utraty reputacji z powodu błędów w opracowaniu, wdrożeniu lub stosowaniu modeli.

Formalny proces identyfikacji i oceny tego ryzyka jest rozwijany obecnie w spółkach PZU i PZU Życie. Celem tego procesu jest zapewnienie wysokiej jakości praktyk dotyczących zarządzania ryzykiem modeli.

Proces zarządzania ryzykiem modeli obejmuje: 

• identyfikację ryzyka, która odbywa się poprzez cykliczną identyfikację modeli wykorzystywanych w obszarach objętych procesem; zidentyfikowane modele są poddawane ocenie istotności;
• pomiar ryzyka, który opiera się na wynikach niezależnych walidacji i monitoringów modeli;
• monitorowanie ryzyka, które polega na bieżącej analizie odchyleń realizacji od założonych punktów odniesienia w zakresie ryzyka modeli (m.in. weryfikacji sposobu realizacji zaleceń oraz porównywaniu poziomu ryzyka do przyjętego poziomu tolerancji);
• raportowaniu ryzyka, które polega na komunikowaniu na odpowiednim poziomie zarządczym rezultatów procesu, w szczególności wyników monitoringów, walidacji i poziomu ryzyka;
• działania zarządcze, które mają na celu ograniczanie poziomu ryzyka modeli; mogą mieć charakter aktywny (np. zalecenia wynikające z przeprowadzonych walidacji) i pasywny (rozwijanie standardów zarządzania modelami i ich ryzykiem).

W podmiotach sektora bankowego, z uwagi na duże znaczenie ryzyka modeli, zarządzanie nim zostało wdrożone już w poprzednich latach w ramach dostosowania do wymogów rekomendacji W KNF. Oba banki Grupy PZU określiły standardy procesu zarządzania ryzykiem modeli, w tym zasady budowy modeli oraz oceny jakości ich działania, zapewniając jednocześnie rozwiązania odpowiadające ładowi korporacyjnemu.

Ryzyko braku zgodności

Jest to ryzyko niedostosowania się przez podmioty Grupy PZU lub powiązane z nimi osoby do przepisów prawa, regulacji wewnętrznych oraz przyjętych przez podmioty Grupy PZU standardów postępowania, w tym norm etycznych, a także ryzyko naruszenia tych przepisów, regulacji i standardów. Efektem tego jest albo może być: 

• poniesienie sankcji prawnych przez Grupę PZU lub osoby działające w jej imieniu;
• powstanie strat finansowych;
• utrata reputacji lub wiarygodności.

PZU dba o adekwatne i jednolite standardy rozwiązań compliance we wszystkich podmiotach zależnych, jak również monitoruje ryzyko braku zgodności w skali całej Grupy. 

W 2020 roku podmioty Grupy PZU posiadały systemy zgodności dostosowane do standardów wyznaczonych przez PZU. 

Za przekazywanie pełnej informacji na temat ryzyka braku zgodności w spółkach z Grupy są odpowiedzialne ich jednostki ds. zgodności. Ich zadaniem jest ocena i pomiar ryzyka braku zgodności oraz podejmowanie działań zaradczych, które mitygują materializację tego ryzyka.

Podmioty Grupy PZU są obowiązane do bieżącego informowania Biura Compliance PZU na temat ryzyka braku zgodności. Zadaniem Biura Compliance jest m.in.: 

• analiza raportów miesięcznych i kwartalnych otrzymanych od jednostek ds. zgodności podmiotów Grupy;
• ocena wpływu ryzyka braku zgodności podmiotów na Grupę PZU;
• analiza wykonania zaleceń wydanych podmiotom w zakresie realizacji funkcji compliance;
• wsparcie jednostek ds. zgodności podmiotów Grupy PZU przy ocenie ryzyka braku zgodności;
• raportowanie Zarządowi i Radzie Nadzorczej PZU.

Ryzyko braku zgodności uwzględnia w szczególności ryzyko niedostosowania działalności podmiotów Grupy PZU do zmieniającego się otoczenia prawnego. Materializacja tego ryzyka może nastąpić w związku z opóźnieniem wdrożenia lub brakiem jasnych i jednoznacznych przepisów, czyli z tzw. luką prawną. Może to powodować nieprawidłowości w działalności Grupy PZU i w konsekwencji przyczynić się do wzrostu kosztów (np. kary administracyjne i inne sankcje finansowe), jak i zwiększenia ryzyka utraty reputacji. 

Z uwagi na szeroki zakres działalności Grupy PZU na ryzyko utraty reputacji ma również wpływ ryzyko sporów sądowych dotyczących przede wszystkim spółek ubezpieczeniowych i banków wchodzących w skład Grupy. 

Za identyfikowanie i ocenę ryzyka braku zgodności dla poszczególnych procesów wewnętrznych w podmiotach należących do Grupy PZU odpowiadają kierujący komórkami organizacyjnymi, zgodnie z podziałem odpowiedzialności za raportowanie. Dodatkowo jednostki ds. compliance w podmiotach Grupy PZU identyfikują ryzyko braku zgodności na podstawie zgłoszeń do rejestrów konfliktu interesów, prezentów oraz nieprawidłowości, a także wpływających zapytań. 

Ocena i pomiar ryzyka braku zgodności są dokonywane poprzez określenie skutków materializacji ryzyk: 

• finansowych, wynikających m.in. z kar administracyjnych, wyroków sądowych, decyzji UOKiK, kar umownych i odszkodowań;
• niematerialnych, dotyczących utraty reputacji, w tym uszczerbku w zakresie wizerunku i marki Grupy PZU.

Monitorowanie ryzyka braku zgodności jest dokonywane poprzez: 

• analizę systemową raportów cyklicznych otrzymywanych od kierujących jednostkami i komórkami organizacyjnymi;
• monitoring wymogów regulacyjnych i dostosowania działalności do zmieniającego się otoczenia prawnego podmiotów Grupy PZU;
• udział w pracach legislacyjnych nad zmianami powszechnie obowiązujących przepisów;
• podejmowanie aktywności w organizacjach branżowych;
• koordynację procesów kontroli zewnętrznej;
• monitoring wykonania zaleceń wydanych po kontrolach zewnętrznych;
• koordynację realizacji obowiązków informacyjnych giełdowych (PZU) i ustawowych;
• popularyzację wśród pracowników Grupy PZU, adekwatnie do obszaru ich działań, wiedzy w zakresie prawa konkurencji i ochrony konsumentów;
• monitoring orzecznictwa antymonopolowego i postępowań prowadzonych przez Prezesa UOKiK;
• przegląd realizacji zaleceń jednostki ds. compliance Grupy PZU;
• zapewnienie jednolitych standardów i spójnej realizacji funkcji compliance w Grupie PZU.

Działania zarządcze w reakcji na ryzyko braku zgodności obejmują w szczególności: 

• akceptację ryzyka, m.in. wobec zmian prawnych i regulacyjnych;
• ograniczanie ryzyka, w tym: dostosowanie procedur i procesów w kontekście wymogów regulacyjnych, opiniowanie i projektowanie regulacji wewnętrznych pod względem zgodności, udział w procesie uzgadniania działań marketingowych;
• unikanie ryzyka poprzez zapobieganie angażowaniu się podmiotów Grupy PZU w działania niezgodne z obowiązującymi wymogami regulacyjnymi, dobrymi praktykami rynkowymi lub mogącymi negatywnie wpłynąć na wizerunek Grupy PZU.

W ramach ograniczania ryzyka braku zgodności w Grupie PZU na poziomie systemowym i bieżącym są podejmowane działania mitygujące, m.in.: 

• bieżąca realizacja efektywnej funkcji zgodności jako jednej z kluczowych w systemie zarządzania;
• udział w konsultacjach z organami ustawodawczymi i nadzoru (podmioty nadzorowane Grupy PZU) na etapie tworzenia regulacji (konsultacje społeczne);
• delegowanie przedstawicieli podmiotów nadzorowanych Grupy PZU do udziału w pracach komisji przy organach nadzoru;
• udział w projektach wdrożeniowych dla nowych regulacji;
• szkolenia pracowników w zakresie nowych regulacji, standardów postępowania i rekomendowanych działań zarządczych;
• opiniowanie regulacji wewnętrznych i rekomendowanie ewentualnych zmian pod kątem ich zgodności z przepisami prawa i przyjętymi standardami postępowania;
• weryfikacja procedur i procesów w kontekście ich zgodności z przepisami prawa i przyjętymi standardami postępowania;
• wyprzedzające dostosowywanie dokumentacji do zbliżających się zmian wymogów prawnych;
• systemowy nadzór PZU nad realizacją funkcji zgodności w podmiotach Grupy PZU;
• analizy i bieżący monitoring stosowania zasad „chińskich murów”, w związku ze złożonymi przez PZU dodatkowymi zobowiązaniami inwestorskimi w ramach postępowania z zawiadomienia dotyczącego zamiaru nabycia akcji Banku Pekao;
• bieżący monitoring zmian otoczenia prawno-regulacyjnego służący identyfikacji luk lub obszarów, które wymagają działań dla zapewnienie zgodności.

Podejmowane w 2020 roku działania w obszarze compliance były również związane z dalszym spełnianiem przez Grupę PZU kryteriów pozwalających uznawać ją za konglomerat finansowy, a tym samym ze stosowaniem wobec niej przez KNF nadzoru uzupełniającego sprawowanego na podstawie ustawy z 15 kwietnia 2005 roku o nadzorze uzupełniającym nad instytucjami kredytowymi, zakładami ubezpieczeń, zakładami reasekuracji i firmami inwestycyjnymi wchodzącymi w skład konglomeratu finansowego. Obszar compliance był zaangażowany w prace nad dostosowaniem Spółki do wymogów tej ustawy, a także do wymogów wynikających z następujących aktów prawnych:

• dyrektywy z 15 maja 2014 roku w sprawie rynków instrumentów finansowych (MIFID II) (regulacja istotna dla niektórych podmiotów z Grupy PZU, w szczególności TFI);
• ustawy z 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu;
• ustawy z 16 października 2019 roku o zmianie ustawy o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych oraz niektórych innych ustaw;
• Międzynarodowego Standardu Sprawozdawczości Finansowej 17 – „Umowy Ubezpieczeniowe” (MSSF17);
• projektu ustawy o zmianie ustawy o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych oraz ustawy o działalności ubezpieczeniowej i reasekuracyjnej;
• projektu ustawy o zmianie ustawy – Kodeks spółek handlowych oraz niektórych innych ustaw;
• dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii;
• rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/2088 z 27 listopada 2019 roku w sprawie ujawniania informacji związanych ze zrównoważonym rozwojem w sektorze usług finansowych;
• rozporządzenia Parlamentu Europejskiego i Rady (UE) 2020/852 z 18 czerwca 2020 roku w sprawie ustanowienia ram ułatwiających zrównoważone inwestycje, zmieniającego rozporządzenie (UE) 2019/2088;
• ustawy z 16 kwietnia 2020 roku o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 (tzw. Tarcza antykryzysowa 2.0).

Koncentracja ryzyka

W ramach zarządzania poszczególnymi kategoriami ryzyka Grupa PZU identyfikuje, mierzy i monitoruje koncentrację ryzyka. Wypełnieniu obowiązków regulacyjnych, nałożonych na grupy kapitałowe identyfikowane jako konglomeraty finansowe, służy wdrożony w 2020 roku – zgodnie z wymogami ustawy o nadzorze uzupełniającym – model zarządzania znaczącą koncentracją ryzyka w Konglomeracie Finansowym PZU. 

Nadzór uzupełniający służy ochronie stabilności finansowej instytucji kredytowych, zakładów ubezpieczeń, zakładów reasekuracji i firm inwestycyjnych, które wchodzą w skład konglomeratu finansowego. Realizowany jest m.in. poprzez badanie poziomu koncentracji ryzyka w konglomeracie finansowym jako całości, a także z perspektywy podmiotów regulowanych wchodzących w jego skład.

Wdrożenie tego modelu służyło zdefiniowaniu zasad zarządzania koncentracją ryzyka oraz wsparciu jednostek zaangażowanych w ten proces, w szczególności poprzez: 

• określenie ról i odpowiedzialności poszczególnych uczestników procesu zarządzania znaczącą koncentracją ryzyka;
• wprowadzenie spójnych definicji ryzyk;
• wprowadzenie zasad identyfikacji, pomiaru i oceny ryzyka;
• zdefiniowanie limitów oraz wartości progowych;
• określenie zasad monitorowania znaczącej koncentracji ryzyka;
• wprowadzenie zasad raportowania oraz podejmowania decyzji zarządczych.

Regulowane podmioty zależne monitorują i cyklicznie raportują do podmiotu wiodącego w Konglomeracie Finansowym PZU miary i dane niezbędne do identyfikacji koncentracji ryzyka. W przypadku identyfikacji nadmiernej koncentracji ryzyka są wdrażane działania zarządcze na poziomie danego podmiotu lub całego konglomeratu finansowego. 

Koncentracja ryzyka jest mierzona i monitorowana w szczególności w następujących przekrojach:

• koncentracja na pojedynczego kontrahenta lub ich grupę;
• koncentracja na poszczególne waluty;
• koncentracja na poszczególne sektory gospodarki;
• koncentracja na kraje; 
• koncentracja danego rodzaju aktywów.