Profil ryzyka Grupy PZU

Główne ryzyka w Grupie PZU 

Do głównych ryzyk, na które jest narażona Grupa PZU, należą ryzyka: aktuarialne, rynkowe (w tym ryzyko płynności), kredytowe, koncentracji, operacyjne, modeli i braku zgodności.

Do głównych ryzyk związanych z działalnością Alior Banku i Banku Pekao należą ryzyka: kredytowe (w tym ryzyko koncentracji portfela kredytowego), operacyjne i rynkowe (obejmujące ryzyka stopy procentowej, walutowe, cen towarów i cen instrumentów finansowych) oraz ryzyko płynności.

Całkowite ryzyko podmiotów sektora bankowego, uwzględniając udziały PZU w obu bankach, stanowi ok. 32% (III kwartał 2021 roku) całkowitego ryzyka Grupy PZU, przy największej kontrybucji w obszarze ryzyka kredytowego.

W związku z pandemią COVID-19 zidentyfikowano wzrost ryzyka w wybranych obszarach, w szczególności ryzyka śmiertelności, ryzyka stopy procentowej, ryzyka płynności i ryzyka kredytowego.

W 2021 roku kontynuowano inicjatywy służące poprawie identyfikacji, pomiaru i oceny oraz monitorowania ryzyk związanych ze zrównoważonym rozwojem, w szczególności ze zmianami klimatu. Główne ryzyka w tym obszarze to ryzyka transformacji oraz ryzyka fizyczne, które są zarządzane w ramach poszczególnych kategorii ryzyk wskazanych w dalszej części Sprawozdania.

Zgodnie z wytycznymi Komisji Europejskiej dotyczącymi sprawozdawczości w zakresie informacji niefinansowych ryzyka transformacji odnoszą się do przejścia gospodarki na niskoemisyjną i odporną na zmianę klimatu. Ryzyka fizyczne obejmują natomiast straty finansowe wynikające z fizycznych skutków zmiany klimatu i obejmują ostre (np. burze, pożary) i długotrwałe (podnoszący się poziom mórz) ryzyko.

Ryzyko aktuarialne

To możliwość poniesienia straty lub niekorzystnej zmiany wartości zobowiązań, jakie mogą wyniknąć z zawartych umów ubezpieczenia i umów gwarancji ubezpieczeniowych w związku z niewłaściwymi założeniami dotyczącymi wyceny składek i tworzenia rezerw techniczno-ubezpieczeniowych.

Identyfikacja ryzyka rozpoczyna się wraz z propozycją tworzenia produktu ubezpieczeniowego i towarzyszy mu aż do momentu wygaśnięcia zobowiązań z nim związanych. Identyfikacja ryzyka aktuarialnego odbywa się m.in. poprzez:

• analizę ogólnych warunków ubezpieczenia pod kątem przyjmowanego ryzyka i zgodności z powszechnie obowiązującymi przepisami prawa;
• analizę ogólnych/szczególnych warunków ubezpieczenia lub innych wzorców umów pod kątem ryzyka aktuarialnego przyjmowanego na ich podstawie;
• rozpoznanie potencjalnych ryzyk związanych z danym produktem dla ich późniejszego pomiaru i monitorowania;
• analizę wpływu wprowadzenia nowych produktów ubezpieczeniowych na wymogi kapitałowe i margines ryzyka obliczonych według formuły standardowej;
• weryfikację i walidację zmian w produktach ubezpieczeniowych;
• ocenę ryzyka aktuarialnego przez pryzmat podobnych, istniejących produktów;
• monitorowanie istniejących produktów;
• analizę polityki underwritingowej (oceny ryzyka przyjmowanego do ubezpieczenia), taryfikacyjnej, rezerw techniczno-ubezpieczeniowych i reasekuracyjnej oraz procesu obsługi szkód i świadczeń.

Ocena ryzyka aktuarialnego polega na rozpoznaniu stopnia zagrożenia lub grupy zagrożeń stanowiących o możliwości powstania szkody oraz na dokonaniu analizy elementów ryzyka w sposób umożliwiający podjęcie decyzji o przyjęciu ryzyka do ubezpieczenia.

Pomiar ryzyka aktuarialnego jest dokonywany przy użyciu:

• analizy wybranych wskaźników;
• metody scenariuszowej – analizy utraty wartości spowodowanej przez zadaną zmianę czynników ryzyka;
• metody faktorowej – uproszczonej wersji metody scenariuszowej, zredukowanej do przypadku jednego scenariusza dla jednego czynnika ryzyka;
• danych statystycznych;
• miar ekspozycji i wrażliwości;
• wiedzy eksperckiej pracowników.

Monitorowanie i kontrolowanie ryzyka aktuarialnego obejmuje analizę poziomu ryzyka za pomocą zestawu raportów zawierających wybrane wskaźniki.

Raportowanie służy efektywnej komunikacji o ryzyku aktuarialnym i wspiera zarządzanie ryzykiem aktuarialnym na różnych poziomach decyzyjnych – od pracownika do Rady Nadzorczej. Częstotliwość poszczególnych raportów oraz ich zakres są dostosowane do potrzeb na poszczególnych poziomach decyzyjnych.

Działania zarządcze przewidywane w procesie zarządzania ryzykiem aktuarialnym są realizowane poprzez:

• określenie poziomu tolerancji na ryzyko aktuarialne i jego monitorowanie;
• decyzje biznesowe i plany sprzedażowe;
• kalkulację i monitorowanie adekwatności rezerw techniczno-ubezpieczeniowych;
• strategię taryfową oraz monitorowanie istniejących szacunków i ocenę adekwatności składki;
• proces oceny, wyceny i akceptacji ryzyka aktuarialnego;
• stosowanie narzędzi ograniczania ryzyka aktuarialnego, w tym w szczególności reasekuracji i prewencji.

Ponadto ograniczaniu ryzyka aktuarialnego związanego z bieżącą działalnością służą:

• zdefiniowanie zakresów odpowiedzialności w ogólnych/szczególnych warunkach ubezpieczenia lub innych wzorcach umów;
• działania koasekuracyjne i reasekuracyjne;
• stosowanie adekwatnej polityki taryfikacyjnej;
• stosowanie odpowiedniej metodyki obliczania rezerw techniczno-ubezpieczeniowych;
• stosowanie odpowiedniej procedury oceny ryzyka przyjmowanego do ubezpieczenia (underwritingu);
• stosowanie odpowiedniej procedury likwidacji szkód lub obsługi świadczeń;
• decyzje i plany sprzedażowe;
• prewencja.

W wyniku pandemii COVID-19 odnotowano wzrost w obszarze ryzyka śmiertelności. Został on uwzględniony w regularnych procesach biznesowych a ryzyko podlega regularnemu monitoringowi i kontroli.

Ryzyko rynkowe, w tym ryzyko płynności

Ryzyko rynkowe jest rozumiane jako ryzyko straty lub niekorzystnej zmiany sytuacji finansowej, wynikające bezpośrednio lub pośrednio z wahań poziomu i zmienności rynkowych cen aktywów, spreadu kredytowego, wartości zobowiązań i instrumentów finansowych.

Proces zarządzania ryzykiem spreadu kredytowego i ryzykiem koncentracji ma odmienną specyfikę od procesu zarządzania pozostałymi podkategoriami ryzyka rynkowego i został opisany w kolejnej części (Ryzyko kredytowe i ryzyko koncentracji) wraz z procesem zarządzania ryzykiem niewypłacalności kontrahenta.

Ryzyko rynkowe w Grupie PZU wypływa z trzech głównych źródeł:

• działalności związanej z dopasowaniem aktywów do zobowiązań (portfel ALM);
• działalności związanej z aktywną alokacją, tj. wyznaczaniem optymalnej średnioterminowej struktury aktywów (portfele AA);
• działalności bankowej – w jej efekcie Grupa PZU jest istotnie narażona na ryzyko stopy procentowej.

Działalność inwestycyjną w podmiotach Grupy PZU reguluje szereg dokumentów zatwierdzonych przez Rady Nadzorcze, Zarządy i odpowiednie komitety.

Identyfikacja ryzyka rynkowego polega na rozpoznaniu jego rzeczywistych i potencjalnych źródeł. W przypadku ryzyka związanego z aktywami rozpoczyna się w momencie podjęcia decyzji o rozpoczęciu transakcji na danym typie instrumentów finansowych. Jednostki, które się na to decydują, sporządzają opis instrumentu zawierający w szczególności czynniki ryzyka. Przekazują go do jednostki ds. ryzyka, która na jego podstawie identyfikuje i ocenia ryzyko rynkowe.

Identyfikacja ryzyka rynkowego związanego ze zobowiązaniami ubezpieczeniowymi rozpoczyna się wraz z procesem tworzenia produktu ubezpieczeniowego. Polega na ustaleniu zależności wielkości przepływów finansowych z tego produktu od czynników ryzyka rynkowego. Do oceny zidentyfikowanych ryzyk rynkowych wykorzystuje się kryterium istotności określające, czy z materializacją ryzyka jest związana strata, która może mieć na kondycję finansową.

Ryzyko rynkowe jest mierzone przy użyciu poniższych miar ryzyka:

• VaR, czyli wartości narażonej na ryzyko, będącej miarą kwantyfikującą potencjalną stratę ekonomiczną, która w horyzoncie roku przy normalnych warunkach rynkowych nie zostanie przekroczona z prawdopodobieństwem 99,5%;
• formuły standardowej;
• miar ekspozycji i wrażliwości;
• skumulowanej miesięcznej straty.

W przypadku podmiotów bankowych stosuje się adekwatne miary zgodne z przepisami sektorowymi i dobrymi praktykami rynkowymi.

Pomiar ryzyka rynkowego dzieli się na etapy, w szczególności:

• gromadzenie informacji o aktywach i zobowiązaniach generujących ryzyko rynkowe;
• kalkulacja wartości ryzyka.

Pomiar ryzyka jest dokonywany:

• codziennie dla miar ekspozycji i wrażliwości instrumentów znajdujących się w systemach użytkowanych przez poszczególne jednostki Grupy PZU;
• miesięcznie przy wykorzystaniu modelu wartości narażonej na ryzyko dla ryzyka rynkowego lub formuły standardowej.

Monitorowanie i kontrolowanie ryzyka rynkowego polega na analizie poziomu ryzyka i wykorzystania wyznaczonych limitów.

Raportowanie polega na komunikowaniu różnym poziomom decyzyjnym poziomu ryzyka rynkowego oraz efektów monitorowania i kontrolowania. Częstotliwość poszczególnych raportów oraz ich zakres są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych.

Działania zarządcze w odniesieniu do ryzyka rynkowego polegają w szczególności na:

• dokonywaniu transakcji służących zmniejszeniu ryzyka rynkowego, tj. sprzedaży instrumentu finansowego, zamknięciu pozycji na instrumencie pochodnym, kupnie zabezpieczającego instrumentu pochodnego;
• dywersyfikacji portfela aktywów, w szczególności ze względu na kategorię ryzyka rynkowego, terminy zapadalności instrumentów, koncentrację zaangażowania w jednym podmiocie, koncentrację geograficzną;
• stanowieniu ograniczeń i limitów ryzyka rynkowego.

Stanowienie limitów jest głównym narzędziem zarządczym, który ma służyć utrzymaniu pozycji ryzyka w ramach akceptowalnego poziomu tolerancji na nie. Struktura limitów dla poszczególnych kategorii ryzyka rynkowego, jak również dla poszczególnych jednostek organizacyjnych, jest ustalana przez wyznaczone komitety w taki sposób, aby były one spójne z tolerancją na ryzyko ustalaną przez zarządy podmiotów zależnych. Podmioty sektora bankowego podlegają w tym zakresie dodatkowym wymogom regulacji sektorowych. Występująca zmienność stóp procentowych może wpłynąć na poziom współczynników wypłacalności.

Ryzyko płynności finansowej to możliwość utraty zdolności do bieżącego regulowania zobowiązań Grupy PZU wobec jej klientów lub kontrahentów. Zarządzanie ryzykiem płynności finansowej służy zachowaniu takiego poziomu płynności, by umożliwiał bieżące regulowanie zobowiązań danego podmiotu. Ryzyko płynności jest zarządzane odrębnie dla części ubezpieczeniowej i bankowej.

Identyfikacja ryzyka polega na analizie możliwości wystąpienia niekorzystnych zdarzeń, w szczególności:

• niedoboru środków płynnych w stosunku do bieżących potrzeb danego podmiotu Grupy PZU;
• braku płynności posiadanych instrumentów finansowych;
• strukturalnego niedopasowania zapadalności aktywów do wymagalności zobowiązań.

Pomiar i ocena ryzyka polegają na oszacowaniu niedoborów środków finansowych na wypłaty zobowiązań. W części ubezpieczeniowej oszacowanie jest dokonywane w następujących ujęciach:

• luk płynnościowych (statycznym, ryzyko płynności finansowej długoterminowej) – poprzez monitorowanie niedopasowania przepływów netto wynikających z umów ubezpieczenia zawartych do dnia bilansowego i wpływów z tytułu aktywów na pokrycie zobowiązań ubezpieczeniowych w poszczególnych okresach, na podstawie projekcji przepływów finansowych sporządzanej na dany dzień;
• potencjalnego niedoboru środków finansowych (ryzyko płynności finansowej średnioterminowej) – poprzez analizę historycznych i spodziewanych przepływów pieniężnych z działalności operacyjnej;
• stress testowym (ryzyko płynności finansowej średnioterminowej) – poprzez oszacowanie możliwości zbycia w krótkim czasie portfela lokat finansowych na zaspokojenie zobowiązań z tytułu wystąpienia zdarzeń ubezpieczeniowych, w tym o charakterze nadzwyczajnym;
• preliminarzy bieżących (ryzyko płynności finansowej krótkoterminowej) – poprzez monitorowanie zgłoszonego przez jednostki podmiotu ubezpieczeniowego z Grupy PZU zapotrzebowania na środki w terminie określonym przez obowiązujące w tym podmiocie regulacje.

W zakresie zarządzania ryzykiem płynności banki w Grupie PZU stosują miary wynikające z regulacji sektorowych, w tym Rekomendacji P Komisji Nadzoru Finansowego.

Do zarządzania płynnością banków w Grupie PZU wykorzystuje się współczynniki płynności dla różnych okresów, w tym do 7 dni, do miesiąca, do 12 i powyżej 12 miesięcy.

W ramach zarządzania ryzykiem płynności banki w Grupie PZU analizują również profil zapadalności/wymagalności w dłuższym terminie, zależnej w dużym stopniu od przyjętych założeń dotyczących kształtowania się przyszłych przepływów gotówkowych związanych z pozycjami aktywów i pasywów. Założenia uwzględniają:

• stabilność pasywów o nieokreślonych terminach wymagalności (np. rachunki bieżące, zerwania i odnowienia depozytów, poziom ich koncentracji);
• możliwość skrócenia terminu zapadalności określonych pozycji aktywów (np. kredyty hipoteczne z możliwością wcześniejszej spłaty);
• możliwość zbycia pozycji aktywów (portfel płynnościowy).

Monitorowanie i kontrolowanie ryzyka płynności finansowej polegają na analizie wykorzystania wyznaczonych limitów.

W związku z pandemią COVID-19 banki w Polsce, w tym banki należące do Grupy PZU w 2021 roku doświadczały nadpłynności. Jednak z danych sektora bankowego wynika, że w bilansach banków w Polsce w IV kwartale 2021 roku wolumen nowo udzielanych kredytów zbliżył się do stanu obserwowanego przed pandemią, co przy zachowaniu trendu powinno stopniowo przyczynić się do ograniczenia nadpłynności w tym sektorze.

Wpływ pandemii COVID-19 na płynność części ubezpieczeniowej Grupy PZU w 2021 roku należy ocenić jako nieistotny. Utrzymuje się trend podwyższonej śmiertelności, jednakże nie wpłynęło to istotnie na ryzyko płynności Grupy PZU. W roku 2021 brak było podstaw do podejmowania nadzwyczajnych działań zarządczych w zakresie ryzyka płynności w związku z pandemią COVID-19. W ramach rutynowych działań zarządczych w roku 2021 w zakresie ryzyka płynności Grupa PZU stale monitorowała wielkość dostępnych środków płynnych oraz wykorzystanie limitów płynnościowych.

Raportowanie ryzyka płynności polega na komunikowaniu poziomu płynności finansowej różnym poziomom decyzyjnym. Częstotliwość poszczególnych raportów i ich zakres są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych.

Ograniczeniu ryzyka płynności finansowej służą:

• utrzymywanie środków w wyodrębnionym portfelu płynnościowym w wysokości zgodnej z limitami wartości tego portfela;
• utrzymywanie odpowiednich środków w walucie obcej w portfelach lokat przeznaczonych na pokrycie zobowiązań ubezpieczeniowych wyrażonych w danej walucie obcej;
• postanowienia Umowy o zarządzanie portfelami instrumentów finansowych, zawartej między TFI PZU a PZU, dotyczące ograniczenia czasu wycofania środków z portfeli zarządzanych przez TFI PZU do maksymalnie 3 dni po złożeniu zapotrzebowania na środki pieniężne;
• posiadanie otwartych linii kredytowych w bankach lub/i możliwość dokonywania transakcji typu sell-buy-back na skarbowych papierach wartościowych, w tym utrzymywanych do terminu wykupu;
• centralizacja zarządzania portfelami/funduszami przez TFI PZU;
• limity wskaźników płynnościowych w bankach należących do Grupy PZU.

Ryzyko kredytowe i ryzyko koncentracji

Ryzyko kredytowe jest rozumiane jako ryzyko straty lub niekorzystnej zmiany sytuacji finansowej, wynikające z wahań wiarygodności i zdolności kredytowej emitentów papierów wartościowych, kontrahentów i wszelkich dłużników. Materializuje się w postaci niewykonania zobowiązania przez kontrahenta lub wzrostem spreadu kredytowego. W ramach ryzyka kredytowego wyróżnia się następujące kategorie ryzyka:

• ryzyko spreadu kredytowego;
• ryzyko niewykonania zobowiązania przez kontrahenta;
• ryzyko kredytowe w ubezpieczeniach finansowych.

Ryzyko koncentracji jest rozumiane jako możliwość poniesienia straty wynikającej z braku dywersyfikacji portfela aktywów lub z dużej ekspozycji na ryzyko niewykonania zobowiązania przez pojedynczego emitenta papierów wartościowych lub grupę powiązanych emitentów.

Identyfikacja ryzyka kredytowego i ryzyka koncentracji odbywa się na etapie decydowania o zainwestowaniu w nowy typ instrumentu finansowego lub zaangażowaniu o charakterze kredytowym. Polega na analizie, czy z daną inwestycją wiąże się ryzyko kredytowe lub ryzyko koncentracji, a także od czego jest uzależniony jego poziom i zmienność w czasie. Identyfikacji podlegają rzeczywiste i potencjalne źródła ryzyka kredytowego i ryzyka koncentracji.

Ocena ryzyka polega na oszacowaniu prawdopodobieństwa materializacji ryzyka oraz potencjalnego wpływu materializacji ryzyka na kondycję finansową danego podmiotu.

Pomiar ryzyka kredytowego jest dokonywany przy użyciu:

• miar ekspozycji (wartość zaangażowania kredytowego brutto i netto oraz zaangażowanie kredytowe netto ważone okresem zapadalności);
• wymogu kapitałowego kalkulowanego zgodnie z formułą standardową.

Ryzyko koncentracji dla pojedynczego podmiotu jest kalkulowane zgodnie z formułą standardową.

Miarą łącznego ryzyka koncentracji jest suma ryzyk koncentracji pojedynczych podmiotów. W przypadku podmiotów powiązanych wyznacza się ryzyko koncentracji dla wszystkich podmiotów powiązanych łącznie.

W przypadku podmiotów bankowych stosuje się adekwatne miary zgodne z przepisami sektorowymi i dobrymi praktykami rynkowymi. Pomiar ryzyka kredytowego jest dokonywany przy użyciu siatki miar jakości portfela kredytowego.

Monitorowanie i kontrolowanie ryzyka kredytowego i ryzyka koncentracji polega na analizie bieżącego poziomu ryzyka, ocenie zdolności kredytowej i określeniu stopnia wykorzystania wyznaczonych limitów. Monitorowanie odbywa się m.in. w cyklach dziennych, miesięcznych i kwartalnych.

Monitorowanie dotyczy:

• zaangażowań kredytowych portfeli inwestycyjnych;
• zaangażowań z tytułu ryzyka kredytowego w ubezpieczeniach finansowych;
• zaangażowań reasekuracyjnych;
• limitów zaangażowania i limitów tolerancji na ryzyko;
• zaangażowań kredytowych w ramach procesów funkcjonujących w podmiotach bankowych.

Raportowanie polega na informowaniu o poziomach ryzyka kredytowego i ryzyka koncentracji oraz efektach monitorowania i kontrolowania. Częstotliwość poszczególnych raportów oraz ich zakres są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych.

Działania zarządcze w odniesieniu do ryzyka kredytowego i ryzyka koncentracji polegają w szczególności na:

• stanowieniu limitów ograniczających zaangażowanie wobec pojedynczego podmiotu, grupy podmiotów, sektorów, krajów;
• dywersyfikacji portfela aktywów i ubezpieczeń finansowych w szczególności ze względu na kraj, sektor;
• przyjęciu zabezpieczenia;
• dokonywaniu transakcji służących zmniejszeniu ryzyka kredytowego, tj. sprzedaży instrumentu finansowego, zamknięciu instrumentu pochodnego, kupnie zabezpieczającego instrumentu pochodnego, restrukturyzacji udzielonego zadłużenia;
• reasekuracji portfela ubezpieczeń finansowych.

Strukturę limitów ryzyka kredytowego i ryzyka koncentracji dla poszczególnych emitentów ustalają wyznaczone komitety w taki sposób, by limity były spójne z tolerancją na ryzyko ustaloną przez zarządy danych podmiotów zależnych i pozwalały zminimalizować ryzyko „zarażania” pomiędzy skoncentrowanymi ekspozycjami.

W działalności bankowej udzielanie produktów kredytowych jest realizowane zgodnie z metodykami kredytowania właściwymi dla segmentu klienta i rodzaju produktu. Oceny zdolności kredytowej klienta poprzedzającej wydanie decyzji kredytowej dokonuje się z wykorzystaniem narzędzi wspierających proces kredytowy, w tym systemu scoringowego lub ratingowego oraz zewnętrznych informacji i wewnętrznych baz danego banku Grupy PZU. Udzielanie produktów kredytowych przebiega zgodnie z obowiązującymi procedurami operacyjnymi, wskazującymi właściwe czynności wykonywane w procesie kredytowym, odpowiedzialne za nie jednostki oraz wykorzystywane narzędzia.

Dla minimalizacji ryzyka kredytowego ustanawia się zabezpieczenia adekwatne do ponoszonego ryzyka kredytowego. Ustanowienie zabezpieczenia nie zwalnia z obowiązku badania zdolności kredytowej klienta.

Ze względu na utrzymującą się pandemię COVID-19 w 2021 roku, pomimo zaobserwowanej w tym okresie poprawy spłacalności portfela kredytowego, banki Grupy PZU utrzymywały konserwatywne podejście, w tym zaostrzone parametry modeli, ograniczenia w underwritingu oraz ścisły monitoring potencjalnie zagrożonych ekspozycji. W tym okresie nie dotwarzano dodatkowych odpisów z tytyłu COVID-19.

W segmencie ubezpieczeniowym Grupy PZU, w obszarze ryzyka kredytowego, wpływ pandemii COVID-19 był niewielki; w całym 2021 roku na portfelu nie odnotowano przesłanek utraty wartości, tym samym żadna ekspozycja nie została zakwalifikowana do koszyka 3 (instrumenty dla których stwierdzono trwałą utratę wartości).

W 2021 roku nie odnotowano znaczących zmian w strukturze posiadanych instrumentów finansowych. Wartość odpisu na ryzyko kredytowe oraz pokrycie odpisem, rozumiane jako relacja skumulowanych odpisów z tytułu ryzyka kredytowego do wartości bilansowej brutto wszystkich aktywów Grupy PZU obarczonych ryzykiem kredytowym podlegających reżimowi MSSF9, nie zmieniała się istotnie w porównaniu do IV kwartału 2020 roku. Jednocześnie zwiększyła się wartość odpisów w ujęciu lifetime na skutek klasyfikacji zagranicznych obligacji skarbowych pochodzących od jednego emitenta do II koszyka jakości kredytowej ze względu na obniżenie ratingu tego emitenta w czerwcu 2021. Podstawowym źródłem zmian w wysokości odpisów w 2021 była realizacja ryzyka systematycznego, utożsamianego ze zmianami w otoczeniu makroekonomicznym.

W 2021 roku nie potwierdzono wpływu COVID-19 na wzrost szkodowości w portfelu gwarancji ubezpieczeniowych. Sytuacja poszczególnych klientów jest na bieżąco monitorowana.

Ryzyko operacyjne

Jest to możliwość poniesienia straty wynikającej z niewłaściwych lub błędnych procesów wewnętrznych, działań ludzi, funkcjonowania systemów lub ze zdarzeń zewnętrznych.

Identyfikacja ryzyka operacyjnego odbywa się w szczególności poprzez:

• gromadzenie i analizę informacji o incydentach ryzyka operacyjnego oraz przyczynach ich wystąpienia;
• samoocenę ryzyka operacyjnego;
• analizy scenariuszowe.

Ocena i pomiar ryzyka operacyjnego odbywają się poprzez:

• określanie skutków incydentów ryzyka operacyjnego, które nastąpiły;
• szacowanie skutków wystąpienia potencjalnych incydentów ryzyka operacyjnego, które mogą wystąpić w działalności.

Oba banki w Grupie PZU, za zgodą KNF, stosują indywidualne modele zaawansowane do pomiaru ryzyka operacyjnego i szacowania wymogów kapitałowych z tytułu tego ryzyka.

Monitorowaniu i kontrolowaniu ryzyka operacyjnego służy głównie ustanowiony system wskaźników ryzyka operacyjnego oraz limitów umożliwiających ocenę zmian poziomu ryzyka operacyjnego w czasie oraz czynników mających wpływ na jego poziom w działalności.

Raportowanie polega na komunikowaniu różnym poziomom decyzyjnym poziomu ryzyka operacyjnego oraz efektów monitorowania i kontrolowania. Częstotliwość poszczególnych raportów oraz ich zakres są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych.

Działania zarządcze w ramach reakcji na zidentyfikowane i ocenione ryzyko operacyjne polegają przede wszystkim na:

• podjęciu działań mających na celu minimalizację ryzyka, m.in. poprzez wzmocnienie systemu kontroli wewnętrznej;
• transferze ryzyka – w szczególności za pomocą zawarcia umowy ubezpieczenia;
• unikaniu ryzyka poprzez niepodejmowanie określonej działalności biznesowej lub wycofanie się z niej w przypadku stwierdzenia zbyt wysokiego ryzyka operacyjnego, którego koszty ograniczenia są nieopłacalne;
• akceptacji ryzyka – aprobatę konsekwencji wynikających z ewentualnej materializacji ryzyka operacyjnego, jeśli nie zagraża ono przekroczeniu poziomu tolerancji na ryzyko operacyjne.

Plany Ciągłości Działania w Grupie PZU są cyklicznie testowane i dzięki temu również aktualizowane.

25 lutego 2020 roku w PZU i PZU Życie powołano Sztab Kryzysowy, który funkcjonował również 2021 roku. Sztab Kryzysowy na bieżąco monitoruje sytuację i podejmuje niezbędne działania zapewniające ciągłość działania spółek przy zachowaniu środków bezpieczeństwa i ograniczeń wynikających m.in. z Rozporządzenia Rady Ministrów w sprawie ustanowienia określonych ograniczeń, zakazów i nakazów w związku z wystąpieniem stanu epidemii. Tego dnia w PZU i PZU Życie ogłoszono również sytuację kryzysową w związku z pandemią COVID-19.

W PZU i PZU Życie wdrożono rozwiązania i procesy służące minimalizowaniu ryzyka wystąpienia zakażenia i rozprzestrzeniania koronawirusa w organizacji oraz dostosowaniu ich funkcjonowania do zmieniającej się sytuacji zewnętrznej. Zastosowano odpowiednie środki bezpieczeństwa:

• informacyjne (newslettery, alerty, sms-y, informacje zamieszczane w serwisie PZU24, webinar, FAQ, biuletyn dla WKK);
• organizacyjno-prawne (powołanie Sztabu Kryzysowego i regularne zwoływanie jego posiedzeń, ogłoszenie sytuacji kryzysowej, wprowadzenie procedury i trybu pracy zdalnej, aktualizacja Planu Ciągłości Działania, stworzenie rejestru zidentyfikowanych przypadków zarażeń, profilaktyka kontaktów w pracy, podwyższony standard higieny osobistej, wsparcie psychologiczne dla pracowników);
• techniczne (zakup i rozbudowa urządzeń IT zwiększających limit VPN, zakup licencji na użytkowanie komunikatorów internetowych oraz na oprogramowanie wspierające bezpieczeństwo pracy zdalnej, zwiększenie limitu transmisji danych w telefonach, wyposażenie pracowników w notebooki i komputery stacjonarne do pracy zdalnej, zwiększenie przepustowości łączy internetowych);
• ochronne (wyposażenie jednostek PZU w środki odkażające i ochronne, wyposażenie stanowisk w oddziałach PZU w pleksi ochronne, zakup maseczek i rękawic ochronnych, zlecenie dezynfekcji, w tym ozonowania pomieszczeń).

Pracę zdalną wprowadzono już w marcu 2020 roku. Zapewniono niezbędne środki techniczne i organizacyjne, aby umożliwić jak największej liczbie pracowników wykonywanie pracy na odległość albo w systemie rotacyjnym. W cyklu miesięcznym pracownicy informowani byli o przyjętym modelu pracy dostosowywanym na bieżąco do sytuacji zewnętrznej oraz realizowanych procesów biznesowych. W I półroczu 2021 roku średnio 64% pracowników w PZU i PZU Życie wykonywało pracę zdalnie. W II półroczu 2021 roku było to średnio 48% wszystkich pracowników obu Spółek. Za cały 2021 rok wskaźnik ten wyniósł średnio 57%.

Oddziały i agencje ubezpieczeniowe pozostały otwarte, dostosowując się do wszystkich ograniczeń prawnych i restrykcji sanitarnych związanych z przeciwdziałaniem rozprzestrzenianiu się COVID-19.

Podobnie zostały dostosowane procesy sprzedażowe, obsługowe i likwidacji szkód, tak aby zapewnić ciągłość działania i jednocześnie bezpieczną obsługę klientów.

Sztab Kryzysowy otrzymuje cyklicznie raporty dotyczące liczby zakażeń wśród pracowników, organizacji pracy w spółkach Grupy PZU, dostępności oddziałów i sieci agencyjnej, realizacji zamówień środków ochrony osobistej i dezynfekujących oraz wydatków poniesionych z budżetu Sztabu Kryzysowego. Część decyzji podjętych przez Sztab Kryzysowy przekazywano jako rekomendacje spółkom zależnym Grupy PZU.

Plany Ciągłości Działania funkcjonują zgodnie z obowiązującymi w spółkach Grupy PZU regulacjami i procedurami wewnętrznymi. Mimo sytuacji kryzysowej nie doszło do istotnych zakłóceń związanych z przerwaniem ciągłości działania realizowanych procesów biznesowych.

Ryzyko modeli

Ryzyko modeli, zakwalifikowane jako istotne dla Grupy PZU, zostało zdefiniowane jako ryzyko poniesienia straty finansowej, błędnego oszacowania danych raportowanych do organu nadzoru, podjęcia błędnych decyzji lub utraty reputacji z powodu błędów w opracowaniu, wdrożeniu lub stosowaniu modeli.

Formalny proces identyfikacji i oceny tego ryzyka jest rozwijany obecnie w spółkach PZU i PZU Życie. Celem tego procesu jest zapewnienie wysokiej jakości praktyk dotyczących zarządzania ryzykiem modeli.

Proces zarządzania ryzykiem modeli obejmuje:

• identyfikację ryzyka, która odbywa się poprzez cykliczną identyfikację modeli wykorzystywanych w obszarach objętych procesem; zidentyfikowane modele są poddawane ocenie istotności;
• pomiar ryzyka, który opiera się na wynikach niezależnych walidacji i monitoringów modeli;
• monitorowanie ryzyka, które polega na bieżącej analizie odchyleń realizacji od założonych punktów odniesienia w zakresie ryzyka modeli (m.in. weryfikacji sposobu realizacji zaleceń oraz porównywaniu poziomu ryzyka do przyjętego poziomu tolerancji);
• raportowanie ryzyka, które polega na komunikowaniu na odpowiednim poziomie zarządczym rezultatów procesu, w szczególności wyników monitoringów, walidacji i poziomu ryzyka;
• działania zarządcze, które mają na celu ograniczanie poziomu ryzyka modeli; mogą mieć charakter aktywny (np. zalecenia wynikające z przeprowadzonych walidacji) i pasywny (rozwijanie standardów zarządzania modelami i ich ryzykiem).

W podmiotach sektora bankowego, z uwagi na duże znaczenie ryzyka modeli, zarządzanie nim zostało wdrożone w ramach dostosowania do wymogów rekomendacji W KNF. Oba banki Grupy PZU określiły standardy procesu zarządzania ryzykiem modeli, w tym zasady budowy modeli oraz oceny jakości ich działania, zapewniając jednocześnie rozwiązania odpowiadające ładowi korporacyjnemu.

Ryzyko braku zgodności

Ryzyko braku zgodności rozumiane jest jako ryzyko niedostosowania się lub naruszenia przez Grupę PZU przepisów prawa, regulacji wewnętrznych oraz przyjętych standardów postępowania, w tym norm etycznych, które skutkuje lub może skutkować:

• poniesieniem sankcji prawnych;
• powstaniem strat finansowych;
• utratą reputacji lub wiarygodności.

PZU dba o adekwatne i jednolite standardy rozwiązań compliance we wszystkich podmiotach zależnych, jak również monitoruje ryzyko braku zgodności w skali całej Grupy.

W 2021 roku podmioty Grupy PZU posiadały systemy zgodności dostosowane do standardów wyznaczonych przez PZU.

Za przekazywanie pełnej informacji na temat ryzyka braku zgodności w spółkach z Grupy są odpowiedzialne ich jednostki ds. zgodności. Ich zadaniem jest ocena i pomiar ryzyka braku zgodności oraz podejmowanie i wdrażanie działań zaradczych, które mitygują materializację tego ryzyka.

Podmioty Grupy PZU są zobowiązane do bieżącego informowania Biura Compliance PZU na temat ryzyka braku zgodności. Zadaniem Biura Compliance jest m.in.:

• analiza raportów miesięcznych i kwartalnych otrzymanych od jednostek ds. zgodności podmiotów Grupy;
• ocena wpływu ryzyka braku zgodności podmiotów na Grupę PZU;
• analiza wykonania zaleceń wydanych podmiotom w zakresie realizacji funkcji compliance;
• wsparcie jednostek ds. zgodności podmiotów Grupy PZU przy ocenie ryzyka braku zgodności;
• wydawanie rekomendacji najlepszych praktyk dla podmiotów Grupy PZU;
• raportowanie Zarządowi i Radzie Nadzorczej PZU.

Ryzyko braku zgodności uwzględnia w szczególności ryzyko niedostosowania działalności podmiotów Grupy PZU do zmieniającego się otoczenia prawnego. Materializacja tego ryzyka może nastąpić w związku z opóźnieniem wdrożenia lub brakiem jasnych i jednoznacznych przepisów, czyli z tzw. luką prawną. Może to powodować nieprawidłowości w działalności Grupy PZU i w konsekwencji przyczynić się do wzrostu kosztów (np. kary administracyjne i inne sankcje finansowe), jak i zwiększenia ryzyka utraty reputacji.

Z uwagi na szeroki zakres działalności Grupy PZU na ryzyko utraty reputacji ma również wpływ ryzyko sporów sądowych dotyczących przede wszystkim spółek ubezpieczeniowych i banków wchodzących w skład Grupy.

Za identyfikowanie i ocenę ryzyka braku zgodności dla poszczególnych procesów wewnętrznych w podmiotach należących do Grupy PZU odpowiadają kierujący komórkami organizacyjnymi, zgodnie z podziałem odpowiedzialności za raportowanie. Dodatkowo jednostki ds. compliance w podmiotach Grupy PZU identyfikują ryzyko braku zgodności na podstawie zgłoszeń do rejestrów konfliktu interesów, prezentów oraz nieprawidłowości, a także wpływających zapytań.

Ocena i pomiar ryzyka braku zgodności są dokonywane poprzez określenie skutków materializacji ryzyk:

• finansowych, wynikających m.in. z możliwości nałożenia kar administracyjnych, wyroków sądowych, decyzji UOKiK, kar umownych i odszkodowań,
• niematerialnych, dotyczących utraty reputacji, w tym uszczerbku w zakresie wizerunku i marki Grupy PZU.

Monitorowanie ryzyka braku zgodności jest dokonywane poprzez:

• analizę systemową raportów cyklicznych otrzymywanych od kierujących jednostkami i komórkami organizacyjnymi;
• monitoring wymogów regulacyjnych i dostosowania działalności do zmieniającego się otoczenia prawnego podmiotów Grupy PZU;
• udział w pracach legislacyjnych nad zmianami powszechnie obowiązujących przepisów;
• podejmowanie aktywności w organizacjach branżowych;
• koordynację procesów kontroli zewnętrznej;
• monitoring wykonania zaleceń wydanych po kontrolach zewnętrznych;
• koordynację realizacji obowiązków informacyjnych giełdowych (PZU) i ustawowych;
• popularyzację wśród pracowników Grupy PZU, adekwatnie do obszaru ich działań, wiedzy w zakresie prawa konkurencji i ochrony konsumentów;
• monitoring orzecznictwa antymonopolowego i postępowań prowadzonych przez Prezesa UOKiK;
• przegląd realizacji zaleceń jednostki ds. compliance Grupy PZU;
• zapewnienie jednolitych standardów i spójnej realizacji funkcji compliance w Grupie PZU.

Działania zarządcze w reakcji na ryzyko braku zgodności obejmują w szczególności:

• akceptację ryzyka, m.in. wobec zmian prawnych i regulacyjnych;
• ograniczanie ryzyka, w tym: dostosowanie procedur i procesów w kontekście wymogów regulacyjnych, opiniowanie i projektowanie regulacji wewnętrznych pod względem zgodności, udział w procesie uzgadniania działań marketingowych;
• unikanie ryzyka poprzez zapobieganie angażowaniu się podmiotów Grupy PZU w działania niezgodne z obowiązującymi wymogami regulacyjnymi, dobrymi praktykami rynkowymi lub mogącymi negatywnie wpłynąć na wizerunek Grupy PZU.

W ramach ograniczania ryzyka braku zgodności w Grupie PZU na poziomie systemowym i bieżącym są podejmowane działania mitygujące, m.in.:

• bieżąca realizacja efektywnej funkcji zgodności jako jednej z kluczowych w systemie zarządzania;
• udział w konsultacjach z organami ustawodawczymi i nadzoru (podmioty nadzorowane Grupy PZU) na etapie tworzenia regulacji (konsultacje społeczne);
• delegowanie przedstawicieli podmiotów nadzorowanych Grupy PZU do udziału w pracach komisji przy organach nadzoru;
• udział w projektach wdrożeniowych dla nowych regulacji;
• szkolenia pracowników w zakresie nowych regulacji i standardów postępowania;
• opiniowanie regulacji wewnętrznych i rekomendowanie ewentualnych zmian pod kątem ich zgodności z przepisami prawa i przyjętymi standardami postępowania;
• weryfikacja procedur i procesów w kontekście ich zgodności z przepisami prawa i przyjętymi standardami postępowania;
• wyprzedzające dostosowywanie dokumentacji do zbliżających się zmian wymogów prawnych;
• systemowy nadzór PZU nad realizacją funkcji zgodności w podmiotach Grupy PZU;
• analiza i bieżący monitoring stosowania zasad „chińskich murów”, w związku ze złożonymi przez PZU dodatkowymi zobowiązaniami inwestorskimi w ramach postępowania z zawiadomienia dotyczącego zamiaru nabycia akcji Banku Pekao;
• bieżący monitoring zmian otoczenia prawno-regulacyjnego służący identyfikacji luk lub obszarów, które wymagają działań dla zapewnienie zgodności.

Podejmowane w 2021 roku działania w obszarze compliance były również związane z dalszym spełnianiem przez Grupę PZU kryteriów pozwalających uznawać ją za konglomerat finansowy, a tym samym ze stosowaniem wobec niej przez KNF nadzoru uzupełniającego sprawowanego na podstawie ustawy z 15 kwietnia 2005 roku o nadzorze uzupełniającym nad instytucjami kredytowymi, zakładami ubezpieczeń, zakładami reasekuracji i firmami inwestycyjnymi wchodzącymi w skład konglomeratu finansowego.

Ponadto obszar compliance był zaangażowany w prace nad dostosowaniem Spółki do wymogów wynikających m.in. z następujących aktów prawnych:

• rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/2088 z 27 listopada 2019 roku w sprawie ujawniania informacji związanych ze zrównoważonym rozwojem w sektorze usług finansowych;
• rozporządzenia Parlamentu Europejskiego i Rady (UE) 2020/852 z 18 czerwca 2020 roku w sprawie ustanowienia ram ułatwiających zrównoważone inwestycje, zmieniającego rozporządzenie (UE) 2019/2088;
• dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii;
• ustawy z 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, 
• Międzynarodowego Standardu Sprawozdawczości Finansowej 17 – „Umowy Ubezpieczeniowe" (MSSF17);
• projektu ustawy o zmianie ustawy o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych oraz ustawy o działalności ubezpieczeniowej i reasekuracyjnej;
• projektu ustawy o zmianie ustawy – Kodeks spółek handlowych oraz niektórych innych ustaw;
• ustawy z 18 listopada 2020 roku o doręczeniach elektronicznych;
• projektu ustawy o ochronie osób zgłaszających naruszenia prawa;
• projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku.

Ponadto w PZU Życie zrealizowano niezbędne działania dostosowawcze do interwencji produktowej (decyzji KNF z dnia 15 lipca 2021 r. w przedmiocie zakazów wprowadzania do obrotu, dystrybucji i sprzedaży produktów inwestycyjnych – umów ubezpieczeń na życie, jeśli są związane z UFK), w tym w szczególności zapewniono, że w zaktualizowanej ofercie produktowej znalazły się wyłącznie produkty spełniające wszystkie kryteria określone w decyzji organu nadzoru.

Koncentracja ryzyka

W ramach zarządzania poszczególnymi kategoriami ryzyka Grupa PZU identyfikuje, mierzy i monitoruje koncentrację ryzyka. Wypełnieniu obowiązków regulacyjnych, nałożonych na grupy kapitałowe identyfikowane jako konglomeraty finansowe, służy wdrożony w 2020 roku – zgodnie z wymogami ustawy o nadzorze uzupełniającym – model zarządzania znaczącą koncentracją ryzyka w Konglomeracie Finansowym PZU.

Nadzór uzupełniający służy ochronie stabilności finansowej instytucji kredytowych, zakładów ubezpieczeń, zakładów reasekuracji i firm inwestycyjnych, które wchodzą w skład konglomeratu finansowego. Realizowany jest m.in. poprzez badanie poziomu koncentracji ryzyka w konglomeracie finansowym jako całości, a także z perspektywy podmiotów regulowanych wchodzących w jego skład.

Wdrożenie tego modelu służyło zdefiniowaniu zasad zarządzania koncentracją ryzyka oraz wsparciu jednostek zaangażowanych w ten proces, w szczególności poprzez:

• określenie ról i odpowiedzialności poszczególnych uczestników procesu zarządzania znaczącą koncentracją ryzyka;
• wprowadzenie spójnych definicji ryzyk;
• wprowadzenie zasad identyfikacji, pomiaru i oceny ryzyka;
• zdefiniowanie limitów oraz wartości progowych;
• określenie zasad monitorowania znaczącej koncentracji ryzyka;
• wprowadzenie zasad raportowania oraz podejmowania decyzji zarządczych.

Regulowane podmioty zależne monitorują i cyklicznie raportują do podmiotu wiodącego w Konglomeracie Finansowym PZU miary i dane niezbędne do identyfikacji koncentracji ryzyka. W przypadku identyfikacji nadmiernej koncentracji ryzyka są wdrażane działania zarządcze na poziomie danego podmiotu lub całego konglomeratu finansowego.

Koncentracja ryzyka jest mierzona i monitorowana w szczególności w następujących przekrojach:

• koncentracja na pojedynczego kontrahenta lub ich grupę;
• koncentracja na poszczególne waluty;
• koncentracja na poszczególne sektory gospodarki;
• koncentracja na kraje;
• koncentracja danego rodzaju aktywów.