Rozdział 2 - System zarządzania ryzykiem - System zarządzania ryzykiem i system kontroli wewnętrznej oraz polityka wynagrodzeń w bankach.
Dziennik Ustaw
Dz.U.2021.1045
Akt obowiązujący Wersja od: 10 czerwca 2021 r.
Rozdział 2
System zarządzania ryzykiem
System zarządzania ryzykiem
§ 7.
1.
W ramach systemu zarządzania ryzykiem bank zarządza ryzykiem przez identyfikację, pomiar lub ocenę, monitorowanie, kontrolę, w tym ograniczanie ryzyka, oraz raportowanie o ryzyku wraz z oceną skuteczności podjętych działań ograniczających ryzyko.2.
Zarządzanie ryzykiem w banku jest realizowane na podstawie odpowiednich analiz niezależnie od funkcjonowania systemu zarządzania ryzykiem w banku na podstawie strategii, polityk, procedur i planów.3.
W ramach kontroli ryzyka bank zabezpiecza się przed ryzykiem lub je ogranicza, wprowadzając odpowiednie do skali i złożoności działalności banku mechanizmy kontroli ryzyka, w szczególności w postaci limitów, o których mowa w § 14.§ 8.
Zarząd banku w ramach zadań, o których mowa w § 7 ust. 1, w szczególności:1)
określa bieżącą i przyszłą gotowość banku do podejmowania ryzyka;2)
wprowadza podział zadań, realizowanych w banku, zapewniając niezależność zarządzania ryzykiem na pierwszym poziomie, o którym mowa w § 3 ust. 1 pkt 1, od zarządzania ryzykiem na drugim poziomie, o którym mowa w § 3 ust. 1 pkt 2;3)
nadzoruje zarządzanie ryzykiem na pierwszym i drugim poziomie, o których mowa w § 3 ust. 1 pkt 1 i 2;4)
nadzoruje wielkość i profil ryzyka w banku, w tym ryzyka związanego z działalnością podmiotów zależnych, z uwzględnieniem funkcjonowania banku w holdingach, o których mowa w art. 141f ust. 1 pkt 1 ustawy - Prawo bankowe.§ 9.
Członek lub członkowie zarządu banku, o których mowa w art. 22a ust. 4 ustawy - Prawo bankowe, odpowiadają w szczególności za:1)
nadzór nad zarządzaniem ryzykiem na drugim poziomie w zakresie, o którym mowa w § 3 ust. 1 pkt 2;2)
dostarczanie zarządowi i radzie nadzorczej banku kompleksowych informacji na temat ryzyka.§ 10.
Rada nadzorcza w ramach nadzoru sprawowanego nad wprowadzeniem systemu zarządzania ryzykiem oraz oceny adekwatności i skuteczności tego systemu, w szczególności:1)
zatwierdza określony przez zarząd banku akceptowalny ogólny poziom ryzyka oraz monitoruje jego przestrzeganie;2)
zatwierdza przyjętą przez zarząd banku strategię zarządzania ryzykiem oraz monitoruje jej przestrzeganie;3)
nadzoruje opracowanie, przyjęcie i wdrożenie polityk i procedur, na podstawie których funkcjonować ma w banku system zarządzania ryzykiem;4)
nadzoruje wykonywanie obowiązków, o których mowa w § 8 i § 9;5)
zatwierdza zasady raportowania do rady nadzorczej o rodzajach i wielkości ryzyka w działalności, po uprzednim przedstawieniu propozycji przez zarząd, w sposób umożliwiający nadzorowanie systemu zarządzania ryzykiem w banku;6)
dokonuje corocznej oceny adekwatności i skuteczności systemu zarządzania ryzykiem.§ 11.
W ramach nadzoru nad systemem zarządzania ryzykiem rada nadzorcza może zlecić bieżące monitorowanie systemu zarządzania ryzykiem komitetowi do spraw ryzyka, o którym mowa w art. 9cb ust. 1 pkt 2 ustawy - Prawo bankowe, lub połączonemu komitetowi, o którym mowa w art. 9cb ust. 5 tej ustawy.§ 12.
1.
Bank stosuje metody identyfikowania, pomiaru lub oceny ryzyka, monitorowania, kontroli i ograniczania ryzyka, raportowania o ryzyku związanym z jego działalnością wraz z oceną skuteczności działań ograniczających ryzyko, dostosowane do wielkości banku i profilu ryzyka jego działalności.2.
Częstotliwość pomiaru lub oceny ryzyka jest dostosowana do wielkości banku i profilu ryzyka jego działalności.3.
Stosowane przez bank metody pomiaru lub oceny ryzyka uwzględniają aktualnie prowadzoną i planowaną działalność banku oraz kryteria udzielania zezwoleń, o których mowa w art. 329 ust. 1, art. 352 ust. 1 i art. 358 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych oraz zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 176 z 27.06.2013, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem nr 575/2013".§ 13.
1.
W ramach pomiaru ryzyka bank przeprowadza testy warunków skrajnych.2.
Testy warunków skrajnych są przeprowadzane w banku na podstawie założeń zapewniających rzetelny pomiar lub ocenę ryzyka.§ 14.
1.
W ramach kontroli ryzyka bank stosuje limity dostosowane do wielkości banku i profilu ryzyka jego działalności.2.
Dla każdego istotnego ryzyka jest ustanawiany strategiczny limit na poziomie banku. W przypadku pozostałych zidentyfikowanych ryzyk ewentualna decyzja o nieustanowieniu limitu jest dokumentowana i odpowiednio uzasadniona. W przypadku ryzyk trudno mierzalnych limity ryzyka są wyrażane za pomocą miar jakościowych.3.
Przyjęte rodzaje limitów oraz ich wysokość zatwierdza zarząd banku lub odpowiednie komitety powołane przez zarząd banku. W przypadku strategicznych limitów decyzja zarządu jest przekazywana radzie nadzorczej.4.
Bank określa w procedurach zasady ustalania i aktualizowania wysokości limitów, o których mowa w ust. 1, oraz częstotliwość monitorowania ich przestrzegania i raportowania o wynikach tego monitoringu.5.
Wysokość limitów, o których mowa w ust. 1, jest dostosowana do zaakceptowanego przez radę nadzorczą akceptowalnego ogólnego poziomu ryzyka.6.
Analizy będące podstawą do określenia wysokości limitów są dokumentowane.§ 15.
W ramach kontroli ryzyka bank określa sposób postępowania w przypadku przekroczenia limitów, o których mowa w § 14 ust. 1, sposoby wyeliminowania tego przekroczenia oraz środki mające na celu zapobieżenie ich przekroczeniu w przyszłości. W przypadku przekroczenia strategicznego limitu zarząd banku niezwłocznie przekazuje radzie nadzorczej informację o takim przypadku wraz z informacją o podjętych lub planowanych działaniach naprawczych.§ 16.
Monitorowanie ryzyka odbywa się z częstotliwością umożliwiającą dostarczanie radzie nadzorczej, zarządowi i innym wskazanym przez zarząd jednostkom organizacyjnym, komórkom organizacyjnym oraz stanowiskom organizacyjnym banku informacji o zmianach wielkości banku i profilu ryzyka jego działalności.§ 17.
1.
W banku funkcjonuje system sprawozdawczości zarządczej, wspomagający proces decyzyjny w zakresie zarządzania ryzykiem w banku, na który składa się w szczególności raportowanie o ryzyku.2.
Raportowanie o ryzyku:1)
zawiera rzetelne, dokładne i aktualne dane oraz dostarcza wykorzystywanych w zarządzaniu ryzykiem informacji na temat wielkości banku i profilu ryzyka jego działalności;2)
służy ocenie skutków decyzji w zakresie zarządzania ryzykiem w banku i monitorowaniu przestrzegania limitów, o których mowa w § 14 ust. 1.§ 18.
Realizując strategię zarządzania ryzykiem, bank wprowadza i aktualizuje polityki i procedury zarządzania ryzykiem, określające w szczególności:1)
w zakresie ryzyka kredytowego i kontrahenta:a)
wewnętrzne metody pozwalające na dokonanie identyfikacji i pomiaru ryzyka kredytowego ekspozycji wobec poszczególnych dłużników, papierów wartościowych lub pozycji sekurytyzacyjnych oraz ryzyka kredytowego na poziomie portfela; metody te nie mogą opierać się wyłącznie lub w mechaniczny sposób na zewnętrznych ocenach wiarygodności kredytowej; jeżeli dla celów obliczania wymogów kapitałowych bank stosuje oceny sporządzane przez zewnętrzne instytucje oceny wiarygodności kredytowej lub wymóg kapitałowy oparty jest na fakcie nieposiadania takiej oceny przez ekspozycję, bank nie jest zwolniony z uwzględnienia dodatkowo innych istotnych informacji przy ocenie poziomu utrzymywanego kapitału wewnętrznego,b)
kryteria oceny zdolności kredytowej klientów banku, umożliwiające ograniczanie ryzyka kredytowego związanego z produktami i usługami, które bank oferuje,c)
zasady dywersyfikacji portfela ekspozycji kredytowych, dostosowane do ustalonego przez bank dopuszczalnego poziomu ryzyka kredytowego, z uwzględnieniem rynków, na których działa bank,d)
zasady zarządzania ryzykiem kredytowania w walutach obcych, za które uznaje się rzeczywiste lub potencjalne zagrożenie dla wyników i kapitałów banku związane z kredytami w walutach obcych udzielanymi kredytobiorcom niezabezpieczonym, rozumianym jako kredytobiorcy detaliczni lub małe i średnie przedsiębiorstwa, nieposiadający dochodu w walucie kredytu lub zabezpieczenia finansowego w postaci instrumentu finansowego, którzy są narażeni na niedopasowanie walutowe między walutą kredytu a walutą zabezpieczenia,e)
system klasyfikacji ekspozycji kredytowych do kategorii ryzyka i tworzenia rezerw na ryzyko związane z działalnością banku, zgodnie z przepisami wydanymi na podstawie art. 81 ust. 2 pkt 8 lit. c ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r. poz. 217), lub system identyfikacji ekspozycji kredytowych, które utraciły wartość, dokonywania odpisów aktualizujących z tytułu utraty wartości bilansowych ekspozycji kredytowych i tworzenia rezerw na pozabilansowe ekspozycje kredytowe,f)
zasady zarządzania ryzykiem rozliczenia lub dostawy, za które uznaje się ryzyko, że instrumenty dłużne, instrumenty kapitałowe, waluty obce lub towary, z wyjątkiem transakcji odkupu i transakcji udzielania lub zaciągania pożyczek papierów wartościowych lub towarów, pozostaną nierozliczone po ustalonych datach rozliczenia albo dostawy,g)
zasady zarządzania ryzykiem wynikającym z mniejszej niż założona przez bank skuteczności stosowanych w banku technik ograniczania ryzyka kredytowego;2)
stanowiące część zasad dotyczących zarządzania ryzykiem kredytowym w zakresie ryzyka koncentracji, zarówno na poziomie jednostkowym, jak i skonsolidowanym, z uwzględnieniem dużych ekspozycji, rozumianych zgodnie z art. 392 rozporządzenia nr 575/2013, oraz z uwzględnieniem wartości ekspozycji obliczonej zgodnie z art. 389, art. 390 oraz art. 429 ust. 4 rozporządzenia nr 575/2013 zasady:a)
zarządzania ryzykiem koncentracji z tytułu ekspozycji wobec każdego kontrahenta, w tym kontrahentów centralnych, grup powiązanych kontrahentów i kontrahentów działających w tym samym sektorze gospodarki, regionie geograficznym, prowadzących tę samą działalność lub obrót takimi samymi towarami, ekspozycji denominowanych w tej samej walucie lub indeksowanych do tej samej waluty, a także z tytułu stosowania technik ograniczenia ryzyka kredytowego oraz zarządzania ryzykiem koncentracji związanym z dużymi pośrednimi ekspozycjami kredytowymi, takimi jak pojedynczy wystawca zabezpieczenia, uwzględniające zapewnienie spójności w odniesieniu do polityki kredytowej, polityki w zakresie inwestycji kapitałowych oraz polityki w zakresie transakcji pozabilansowych,b)
zarządzania ryzykiem koncentracji wynikającym z ekspozycji wobec podmiotów i osób, o których mowa w art. 79 ust. 1 ustawy - Prawo bankowe,c)
uwzględniania w testach warunków skrajnych scenariuszy przewidujących co najmniej istotne pogorszenie się sytuacji finansowej podmiotów, wobec których bank posiada ekspozycje powodujące ryzyko koncentracji, jak również możliwej do zrealizowania wartości przyjętych zabezpieczeń,d)
przeprowadzania okresowych przeglądów wszystkich ekspozycji powodujących ryzyko koncentracji, w celu identyfikacji, pomiaru lub oceny towarzyszącego im ryzyka oraz umożliwienia podejmowania właściwych decyzji w zakresie zarządzania ryzykiem koncentracji,e)
uwzględniania zasad ustanawiania limitu dużych ekspozycji, o którym mowa w art. 395 ust. 1 akapit drugi rozporządzenia nr 575/2013;3)
w zakresie ryzyka wynikającego z sekurytyzacji:a)
zasady zarządzania ryzykiem, pozwalające w szczególności na identyfikację i pomiar ryzyka z tytułu przeprowadzonych transakcji sekurytyzacyjnych, w tym ryzyka utraty reputacji, występującego w przypadku złożonych struktur czy produktów, w szczególności w celu pełnego odzwierciedlenia ekonomicznej istoty transakcji - dla banku będącego inwestorem, jednostką sponsorującą lub inicjującą, o których mowa w części trzeciej tytule II rozdziale 5 rozporządzenia nr 575/2013,b)
plany zachowania płynności, mające na celu uwzględnienie skutków planowej i przedterminowej spłaty należności - dla banku inicjującego odnawialne transakcje sekurytyzacyjne z opcją przedterminowej spłaty, o których mowa w części trzeciej tytule II rozdziale 5 rozporządzenia nr 575/2013;4)
w zakresie ryzyka wynikającego ze zmian warunków makroekonomicznych - zasady zarządzania, w tym zabezpieczenia banku przed ryzykiem wynikającym ze zmian warunków makroekonomicznych oraz jego wpływem na wysokość minimalnych wymogów kapitałowych w przyszłości;5)
w zakresie ryzyka rynkowego - zasady pozwalające na zarządzanie ryzykiem, w tym na pomiar ryzyka rynkowego, które bank uznaje za istotne, przy czym bank zabezpiecza się również przed ryzykiem braku płynności, które może występować na pewnych rynkach;6)
w zakresie ryzyka stopy procentowej w portfelu bankowym:a)
zasady zarządzania ryzykiem wynikające z wewnętrznych systemów oceny ryzyka stopy procentowej albo ze standardowej metodyki lub uproszczonej standardowej metodyki w celu identyfikacji i oceny ryzyka z tytułu potencjalnych zmian stóp procentowych, które wpływają zarówno na wartość ekonomiczną kapitału własnego, jak i na wynik odsetkowy netto z działalności w ramach portfela bankowego, a także w celu zarządzania takim ryzykiem i jego ograniczania,b)
zasady zarządzania ryzykiem wynikające z wewnętrznych systemów w celu oceny i monitorowania ryzyka z tytułu potencjalnych zmian spreadów kredytowych, które wpływają zarówno na wartość ekonomiczną kapitału własnego, jak i na wynik odsetkowy netto z działalności w ramach portfela bankowego;7)
w zakresie ryzyka operacyjnego:a)
zasady zarządzania ryzykiem operacyjnym obejmujące ekspozycję na ryzyko operacyjne oraz zrealizowane straty z tytułu ryzyka operacyjnego wraz z odpowiednimi procedurami wykonawczymi,b)
zasady zarządzania ryzykiem operacyjnym w szczególności uwzględniające:–
przyjętą przez bank definicję ryzyka operacyjnego dla potrzeb stosowania tych zasad, uwzględniającą możliwość wystąpienia straty wynikającej z niedostosowania lub zawodności procesów wewnętrznych, systemów, czynnika ludzkiego lub ze zdarzeń zewnętrznych,–
możliwość wystąpienia zdarzeń charakteryzujących się niską częstotliwością występowania, ale wysokimi stratami,c)
plany utrzymania ciągłości działania zapewniające ciągłe i niezakłócone działanie banku oraz plany awaryjne służące zapewnieniu możliwości prowadzenia bieżącej działalności banku i ograniczeniu strat, w przypadku wystąpienia niekorzystnych zdarzeń wewnętrznych i zewnętrznych, mogących poważnie zakłócić tę działalność,d)
zasady zarządzania kadrami, w tym rekrutacji, monitorowania potrzeb kadrowych oraz planowania zaplecza kadrowego,e)
zasady zarządzania ryzykiem powierzenia wykonywania czynności podmiotom zewnętrznym,f)
zasady zarządzania ryzykiem modeli, rozumianym jako ryzyko potencjalnej straty, jaką może ponieść bank w wyniku decyzji, które mogły zasadniczo opierać się na danych uzyskanych przy zastosowaniu modeli wewnętrznych, z powodu błędów w opracowaniu, wdrażaniu lub stosowaniu takich modeli:–
kompleksowo ustalające sposób zarządzania wykorzystywanymi przez bank modelami, z uwzględnieniem zasady proporcjonalności,–
zapewniające, że stosowane modele, w szczególności ich założenia, są poddawane okresowej ocenie wewnętrznej, uwzględniającej testowanie i weryfikację historyczną,g)
zasady zarządzania ryzykiem systemów związanym z prawidłowym, efektywnym i bezpiecznym wspieraniem działalności banku przez jego środowisko teleinformatyczne,h)
zasady zarządzania ryzykiem prowadzenia działalności (conduct risk);8)
w zakresie ryzyka płynności i finansowania - zasady zarządzania tym ryzykiem;9)
w zakresie ryzyka nadmiernej dźwigni finansowej - zasady zarządzania ryzykiem nadmiernej dźwigni finansowej, o którym mowa w art. 128 ust. 2a ustawy - Prawo bankowe, przy czym w ramach zarządzania ryzykiem stosowane są wskaźniki ryzyka obejmujące wskaźnik określony zgodnie z art. 429 rozporządzenia nr 575/2013 i wskaźnik niedopasowania między aktywami i zobowiązaniami; w szczególności polityki i procedury mają służyć przeciwdziałaniu przez bank temu ryzyku przez odpowiednie uwzględnianie potencjalnego wzrostu ryzyka nadmiernej dźwigni finansowej spowodowanego obniżeniem funduszy własnych banku w związku ze spodziewanymi lub zrealizowanymi stratami, w zależności od mających zastosowanie zasad rachunkowości, a w konsekwencji umożliwić bankowi przetrwanie szeregu różnych zdarzeń powodujących napięcia finansowe, dotyczących ryzyka nadmiernej dźwigni finansowej;10)
w zakresie ryzyka (utraty) reputacji - zasady zarządzania tym ryzykiem;11)
w zakresie ryzyka braku zgodności - zasady zarządzania tym ryzykiem z uwzględnieniem przepisów rozdziału 4.§ 19.
Stosowany przez bank model do obliczania współczynników delta dla opcji lub warrantu będących przedmiotem obrotu poza rynkiem regulowanym, o którym mowa w art. 329 ust. 1, art. 352 ust. 1 i art. 358 ust. 3 rozporządzenia nr 575/2013, spełnia następujące warunki:1)
model wyceny opcji lub warrantu zapewnia zgodność z cenami rynkowymi opcji;2)
dokumentacja modelu zawiera co najmniej opis modelu wyceny opcji lub warrantu stanowiącego podstawę obliczania współczynnika delta z uwzględnieniem specyfikacji rodzajów opcji lub warrantu i instrumentów bazowych objętych modelem, sposobu szacowania jego parametrów oraz specyfikacji i weryfikacji założeń modelu;3)
założenia teoretyczne modelu wyceny opcji lub warrantu są spełnione lub bank wykaże, że ich niespełnienie nie wpływa istotnie na wielkość obliczonych współczynników delta;4)
mechanizm dostarczania danych dla potrzeb modelu jest niezależny od działalności handlowej banku i osób lub komórek organizacyjnych wykorzystujących obliczone współczynniki delta, przy czym warunek ten można uznać za spełniony również, jeżeli istnieje bieżąca, niezależna weryfikacja danych wprowadzanych przez osoby lub komórki organizacyjne wykorzystujące obliczone współczynniki delta; bank dokumentuje wszystkie wykorzystywane źródła danych oraz powiązania między danymi;5)
metody aktualizacji danych zawierają mechanizmy zapewniające poprawność i aktualność danych wykorzystywanych w modelu, przy czym bank posiada odpowiednie procedury, w przypadku gdy danych nie można zaktualizować;6)
bank korzysta ze wszystkich dostępnych źródeł danych; bank może pominąć źródło danych, jeżeli uzna i wykaże, że dane z tego źródła są wyraźnie mniej wiarygodne niż dane z pozostałych źródeł;7)
bank na bieżąco aktualizuje i dokumentuje wykorzystywane źródła danych;8)
bank posiada procedury w zakresie zarządzania ryzykiem w odniesieniu do pkt 4-7;9)
estymacja parametrów modelu zapewnia możliwie najlepsze wykorzystanie dostępnych danych, przy czym bank może stosować uproszczenia lub pominąć dane, o ile wykaże, że nie wpływa to istotnie na wielkość obliczonych współczynników delta lub że pominięcie danych poprawia jakość modelu wyceny opcji lub warrantu;10)
za stosowanie modelu wyceny opcji lub warrantu odpowiada właściwa komórka kontroli ryzyka na drugim poziomie, o którym mowa w § 3 ust. 1 pkt 2, a stosowanie procedur w zakresie zarządzania ryzykiem zapewnia właściwą kontrolę i weryfikację działania modelu wyceny, w tym jakości danych, estymacji parametrów oraz stosowania modelu, oraz zapewnia niezależność funkcjonowania modelu od działalności handlowej banku i osób lub komórek organizacyjnych wykorzystujących obliczone współczynniki delta.§ 20.
Bank wprowadza zasady zarządzania innymi niż wymienione w § 18 rodzajami ryzyka, które zostały zidentyfikowane jako istotne w prowadzonej działalności bankowej.§ 21.
Przed wprowadzeniem nowego produktu bank przeprowadza proces przygotowawczy, obejmujący w szczególności:1)
analizę zgodności produktu ze strategią zarządzania bankiem i strategią zarządzania ryzykiem;2)
identyfikację i ocenę istotnych rodzajów ryzyka związanych z produktem w ramach systemu zarządzania ryzykiem;3)
uwzględnienie rodzaju produktu w stosowanych metodach identyfikacji, pomiaru lub oceny ryzyka;4)
ustalenie limitów, zasad ewidencji księgowej i raportowania;5)
zatwierdzenie wprowadzenia produktu przez zarząd banku lub odpowiednie komitety powołane przez zarząd banku, pod warunkiem że wyniki oceny ryzyka wskazują na akceptowalny poziom ryzyka dla tego produktu oraz że wprowadzenie nowego produktu nie spowoduje naruszenia akceptowalnego poziomu ryzyka, o którym mowa w § 14 ust. 5.§ 22.
1.
W banku jest sprawowany nadzór nad ryzykiem związanym z działalnością podmiotów zależnych.2.
Zasady zarządzania ryzykiem w podmiotach zależnych wynikają z przyjętej przez bank strategii zarządzania ryzykiem i są zgodne, z uwzględnieniem rodzaju działalności prowadzonej przez te podmioty, z zasadami określonymi w § 18.3.
W banku jest dokonywana ocena wielkości i profilu ryzyka związanego z działalnością podmiotów zależnych.4.
Bank ustanawia dla ryzyk istotnych limity na poziomie skonsolidowanym (na poziomie grupy).