§ 18. [Polityka i procedury zarządzania ryzykiem] Realizując strategię zarządzania ryzykiem, bank wprowadza i aktualizuje polityki i procedury zarządzania ryzykiem, określające w szczególności:

1) w zakresie ryzyka kredytowego i kontrahenta:

a) wewnętrzne metody pozwalające na dokonanie identyfikacji i pomiaru ryzyka kredytowego ekspozycji wobec poszczególnych dłużników, papierów wartościowych lub pozycji sekurytyzacyjnych oraz ryzyka kredytowego na poziomie portfela; metody te nie mogą opierać się wyłącznie lub w mechaniczny sposób na zewnętrznych ocenach wiarygodności kredytowej; jeżeli dla celów obliczania wymogów kapitałowych bank stosuje oceny sporządzane przez zewnętrzne instytucje oceny wiarygodności kredytowej lub wymóg kapitałowy oparty jest na fakcie nieposiadania takiej oceny przez ekspozycję, bank nie jest zwolniony z uwzględnienia dodatkowo innych istotnych informacji przy ocenie poziomu utrzymywanego kapitału wewnętrznego,

b) kryteria oceny zdolności kredytowej klientów banku, umożliwiające ograniczanie ryzyka kredytowego związanego z produktami i usługami, które bank oferuje,

c) zasady dywersyfikacji portfela ekspozycji kredytowych, dostosowane do ustalonego przez bank dopuszczalnego poziomu ryzyka kredytowego, z uwzględnieniem rynków, na których działa bank,

d) zasady zarządzania ryzykiem kredytowania w walutach obcych, za które uznaje się rzeczywiste lub potencjalne zagrożenie dla wyników i kapitałów banku związane z kredytami w walutach obcych udzielanymi kredytobiorcom niezabezpieczonym, rozumianym jako kredytobiorcy detaliczni lub małe i średnie przedsiębiorstwa, nieposiadający dochodu w walucie kredytu lub zabezpieczenia finansowego w postaci instrumentu finansowego, którzy są narażeni na niedopasowanie walutowe między walutą kredytu a walutą zabezpieczenia,

e) system klasyfikacji ekspozycji kredytowych do kategorii ryzyka i tworzenia rezerw na ryzyko związane z działalnością banku, zgodnie z przepisami wydanymi na podstawie art. 81 ust. 2 pkt 8 lit. c ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r. poz. 217), lub system identyfikacji ekspozycji kredytowych, które utraciły wartość, dokonywania odpisów aktualizujących z tytułu utraty wartości bilansowych ekspozycji kredytowych i tworzenia rezerw na pozabilansowe ekspozycje kredytowe,

f) zasady zarządzania ryzykiem rozliczenia lub dostawy, za które uznaje się ryzyko, że instrumenty dłużne, instrumenty kapitałowe, waluty obce lub towary, z wyjątkiem transakcji odkupu i transakcji udzielania lub zaciągania pożyczek papierów wartościowych lub towarów, pozostaną nierozliczone po ustalonych datach rozliczenia albo dostawy,

g) zasady zarządzania ryzykiem wynikającym z mniejszej niż założona przez bank skuteczności stosowanych w banku technik ograniczania ryzyka kredytowego;

2) stanowiące część zasad dotyczących zarządzania ryzykiem kredytowym w zakresie ryzyka koncentracji, zarówno na poziomie jednostkowym, jak i skonsolidowanym, z uwzględnieniem dużych ekspozycji, rozumianych zgodnie z art. 392 rozporządzenia nr 575/2013, oraz z uwzględnieniem wartości ekspozycji obliczonej zgodnie z art. 389, art. 390 oraz art. 429 ust. 4 rozporządzenia nr 575/2013 zasady:

a) zarządzania ryzykiem koncentracji z tytułu ekspozycji wobec każdego kontrahenta, w tym kontrahentów centralnych, grup powiązanych kontrahentów i kontrahentów działających w tym samym sektorze gospodarki, regionie geograficznym, prowadzących tę samą działalność lub obrót takimi samymi towarami, ekspozycji denominowanych w tej samej walucie lub indeksowanych do tej samej waluty, a także z tytułu stosowania technik ograniczenia ryzyka kredytowego oraz zarządzania ryzykiem koncentracji związanym z dużymi pośrednimi ekspozycjami kredytowymi, takimi jak pojedynczy wystawca zabezpieczenia, uwzględniające zapewnienie spójności w odniesieniu do polityki kredytowej, polityki w zakresie inwestycji kapitałowych oraz polityki w zakresie transakcji pozabilansowych,

b) zarządzania ryzykiem koncentracji wynikającym z ekspozycji wobec podmiotów i osób, o których mowa w art. 79 ust. 1 ustawy – Prawo bankowe,

c) uwzględniania w testach warunków skrajnych scenariuszy przewidujących co najmniej istotne pogorszenie się sytuacji finansowej podmiotów, wobec których bank posiada ekspozycje powodujące ryzyko koncentracji, jak również możliwej do zrealizowania wartości przyjętych zabezpieczeń,

d) przeprowadzania okresowych przeglądów wszystkich ekspozycji powodujących ryzyko koncentracji, w celu identyfikacji, pomiaru lub oceny towarzyszącego im ryzyka oraz umożliwienia podejmowania właściwych decyzji w zakresie zarządzania ryzykiem koncentracji,

e) uwzględniania zasad ustanawiania limitu dużych ekspozycji, o którym mowa w art. 395 ust. 1 akapit drugi rozporządzenia nr 575/2013;

3) w zakresie ryzyka wynikającego z sekurytyzacji:

a) zasady zarządzania ryzykiem, pozwalające w szczególności na identyfikację i pomiar ryzyka z tytułu przeprowadzonych transakcji sekurytyzacyjnych, w tym ryzyka utraty reputacji, występującego w przypadku złożonych struktur czy produktów, w szczególności w celu pełnego odzwierciedlenia ekonomicznej istoty transakcji – dla banku będącego inwestorem, jednostką sponsorującą lub inicjującą, o których mowa w części trzeciej tytule II rozdziale 5 rozporządzenia nr 575/2013,

b) plany zachowania płynności, mające na celu uwzględnienie skutków planowej i przedterminowej spłaty należności – dla banku inicjującego odnawialne transakcje sekurytyzacyjne z opcją przedterminowej spłaty, o których mowa w części trzeciej tytule II rozdziale 5 rozporządzenia nr 575/2013;

4) w zakresie ryzyka wynikającego ze zmian warunków makroekonomicznych – zasady zarządzania, w tym zabezpieczenia banku przed ryzykiem wynikającym ze zmian warunków makroekonomicznych oraz jego wpływem na wysokość minimalnych wymogów kapitałowych w przyszłości;

5) w zakresie ryzyka rynkowego – zasady pozwalające na zarządzanie ryzykiem, w tym na pomiar ryzyka rynkowego, które bank uznaje za istotne, przy czym bank zabezpiecza się również przed ryzykiem braku płynności, które może występować na pewnych rynkach;

6) w zakresie ryzyka stopy procentowej w portfelu bankowym:

a) zasady zarządzania ryzykiem wynikające z wewnętrznych systemów oceny ryzyka stopy procentowej albo ze standardowej metodyki lub uproszczonej standardowej metodyki w celu identyfikacji i oceny ryzyka z tytułu potencjalnych zmian stóp procentowych, które wpływają zarówno na wartość ekonomiczną kapitału własnego, jak i na wynik odsetkowy netto z działalności w ramach portfela bankowego, a także w celu zarządzania takim ryzykiem i jego ograniczania,

b) zasady zarządzania ryzykiem wynikające z wewnętrznych systemów w celu oceny i monitorowania ryzyka z tytułu potencjalnych zmian spreadów kredytowych, które wpływają zarówno na wartość ekonomiczną kapitału własnego, jak i na wynik odsetkowy netto z działalności w ramach portfela bankowego;

7) w zakresie ryzyka operacyjnego:

a) zasady zarządzania ryzykiem operacyjnym obejmujące ekspozycję na ryzyko operacyjne oraz zrealizowane straty z tytułu ryzyka operacyjnego wraz z odpowiednimi procedurami wykonawczymi,

b) zasady zarządzania ryzykiem operacyjnym w szczególności uwzględniające:

– przyjętą przez bank definicję ryzyka operacyjnego dla potrzeb stosowania tych zasad, uwzględniającą możliwość wystąpienia straty wynikającej z niedostosowania lub zawodności procesów wewnętrznych, systemów, czynnika ludzkiego lub ze zdarzeń zewnętrznych,

– możliwość wystąpienia zdarzeń charakteryzujących się niską częstotliwością występowania, ale wysokimi stratami,

c) [2] strategie i plany awaryjne oraz strategie i plany na rzecz ciągłości działania, w tym w zakresie ICT, oraz plany reagowania i przywracania sprawności ICT utworzone, zarządzane i testowane zgodnie z art. 11 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.), zapewniające ciągłe i niezakłócone działanie banku oraz ograniczenie strat w przypadku wystąpienia niekorzystnych zdarzeń wewnętrznych i zewnętrznych, mogących poważnie zakłócić tę działalność,

d) zasady zarządzania kadrami, w tym rekrutacji, monitorowania potrzeb kadrowych oraz planowania zaplecza kadrowego,

e) zasady zarządzania ryzykiem powierzenia wykonywania czynności podmiotom zewnętrznym,

f) zasady zarządzania ryzykiem modeli, rozumianym jako ryzyko potencjalnej straty, jaką może ponieść bank w wyniku decyzji, które mogły zasadniczo opierać się na danych uzyskanych przy zastosowaniu modeli wewnętrznych, z powodu błędów w opracowaniu, wdrażaniu lub stosowaniu takich modeli:

– kompleksowo ustalające sposób zarządzania wykorzystywanymi przez bank modelami, z uwzględnieniem zasady proporcjonalności,

– zapewniające, że stosowane modele, w szczególności ich założenia, są poddawane okresowej ocenie wewnętrznej, uwzględniającej testowanie i weryfikację historyczną,

g) zasady zarządzania ryzykiem systemów związanym z prawidłowym, efektywnym i bezpiecznym wspieraniem działalności banku przez jego środowisko teleinformatyczne,

h) zasady zarządzania ryzykiem prowadzenia działalności (conduct risk);

8) w zakresie ryzyka płynności i finansowania – zasady zarządzania tym ryzykiem;

9) w zakresie ryzyka nadmiernej dźwigni finansowej – zasady zarządzania ryzykiem nadmiernej dźwigni finansowej, o którym mowa w art. 128 ust. 2a ustawy – Prawo bankowe, przy czym w ramach zarządzania ryzykiem stosowane są wskaźniki ryzyka obejmujące wskaźnik określony zgodnie z art. 429 rozporządzenia nr 575/2013 i wskaźnik niedopasowania między aktywami i zobowiązaniami; w szczególności polityki i procedury mają służyć przeciwdziałaniu przez bank temu ryzyku przez odpowiednie uwzględnianie potencjalnego wzrostu ryzyka nadmiernej dźwigni finansowej spowodowanego obniżeniem funduszy własnych banku w związku ze spodziewanymi lub zrealizowanymi stratami, w zależności od mających zastosowanie zasad rachunkowości, a w konsekwencji umożliwić bankowi przetrwanie szeregu różnych zdarzeń powodujących napięcia finansowe, dotyczących ryzyka nadmiernej dźwigni finansowej;

10) w zakresie ryzyka (utraty) reputacji – zasady zarządzania tym ryzykiem;

11) w zakresie ryzyka braku zgodności – zasady zarządzania tym ryzykiem z uwzględnieniem przepisów rozdziału 4.

§ 18. [Polityka i procedury zarządzania ryzykiem] Realizując strategię zarządzania ryzykiem, bank wprowadza i aktualizuje polityki i procedury zarządzania ryzykiem, określające w szczególności:

1) w zakresie ryzyka kredytowego i kontrahenta:

a) wewnętrzne metody pozwalające na dokonanie identyfikacji i pomiaru ryzyka kredytowego ekspozycji wobec poszczególnych dłużników, papierów wartościowych lub pozycji sekurytyzacyjnych oraz ryzyka kredytowego na poziomie portfela; metody te nie mogą opierać się wyłącznie lub w mechaniczny sposób na zewnętrznych ocenach wiarygodności kredytowej; jeżeli dla celów obliczania wymogów kapitałowych bank stosuje oceny sporządzane przez zewnętrzne instytucje oceny wiarygodności kredytowej lub wymóg kapitałowy oparty jest na fakcie nieposiadania takiej oceny przez ekspozycję, bank nie jest zwolniony z uwzględnienia dodatkowo innych istotnych informacji przy ocenie poziomu utrzymywanego kapitału wewnętrznego,

b) kryteria oceny zdolności kredytowej klientów banku, umożliwiające ograniczanie ryzyka kredytowego związanego z produktami i usługami, które bank oferuje,

c) zasady dywersyfikacji portfela ekspozycji kredytowych, dostosowane do ustalonego przez bank dopuszczalnego poziomu ryzyka kredytowego, z uwzględnieniem rynków, na których działa bank,

d) zasady zarządzania ryzykiem kredytowania w walutach obcych, za które uznaje się rzeczywiste lub potencjalne zagrożenie dla wyników i kapitałów banku związane z kredytami w walutach obcych udzielanymi kredytobiorcom niezabezpieczonym, rozumianym jako kredytobiorcy detaliczni lub małe i średnie przedsiębiorstwa, nieposiadający dochodu w walucie kredytu lub zabezpieczenia finansowego w postaci instrumentu finansowego, którzy są narażeni na niedopasowanie walutowe między walutą kredytu a walutą zabezpieczenia,

e) system klasyfikacji ekspozycji kredytowych do kategorii ryzyka i tworzenia rezerw na ryzyko związane z działalnością banku, zgodnie z przepisami wydanymi na podstawie art. 81 ust. 2 pkt 8 lit. c ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r. poz. 217), lub system identyfikacji ekspozycji kredytowych, które utraciły wartość, dokonywania odpisów aktualizujących z tytułu utraty wartości bilansowych ekspozycji kredytowych i tworzenia rezerw na pozabilansowe ekspozycje kredytowe,

f) zasady zarządzania ryzykiem rozliczenia lub dostawy, za które uznaje się ryzyko, że instrumenty dłużne, instrumenty kapitałowe, waluty obce lub towary, z wyjątkiem transakcji odkupu i transakcji udzielania lub zaciągania pożyczek papierów wartościowych lub towarów, pozostaną nierozliczone po ustalonych datach rozliczenia albo dostawy,

g) zasady zarządzania ryzykiem wynikającym z mniejszej niż założona przez bank skuteczności stosowanych w banku technik ograniczania ryzyka kredytowego;

2) stanowiące część zasad dotyczących zarządzania ryzykiem kredytowym w zakresie ryzyka koncentracji, zarówno na poziomie jednostkowym, jak i skonsolidowanym, z uwzględnieniem dużych ekspozycji, rozumianych zgodnie z art. 392 rozporządzenia nr 575/2013, oraz z uwzględnieniem wartości ekspozycji obliczonej zgodnie z art. 389, art. 390 oraz art. 429 ust. 4 rozporządzenia nr 575/2013 zasady:

a) zarządzania ryzykiem koncentracji z tytułu ekspozycji wobec każdego kontrahenta, w tym kontrahentów centralnych, grup powiązanych kontrahentów i kontrahentów działających w tym samym sektorze gospodarki, regionie geograficznym, prowadzących tę samą działalność lub obrót takimi samymi towarami, ekspozycji denominowanych w tej samej walucie lub indeksowanych do tej samej waluty, a także z tytułu stosowania technik ograniczenia ryzyka kredytowego oraz zarządzania ryzykiem koncentracji związanym z dużymi pośrednimi ekspozycjami kredytowymi, takimi jak pojedynczy wystawca zabezpieczenia, uwzględniające zapewnienie spójności w odniesieniu do polityki kredytowej, polityki w zakresie inwestycji kapitałowych oraz polityki w zakresie transakcji pozabilansowych,

b) zarządzania ryzykiem koncentracji wynikającym z ekspozycji wobec podmiotów i osób, o których mowa w art. 79 ust. 1 ustawy – Prawo bankowe,

c) uwzględniania w testach warunków skrajnych scenariuszy przewidujących co najmniej istotne pogorszenie się sytuacji finansowej podmiotów, wobec których bank posiada ekspozycje powodujące ryzyko koncentracji, jak również możliwej do zrealizowania wartości przyjętych zabezpieczeń,

d) przeprowadzania okresowych przeglądów wszystkich ekspozycji powodujących ryzyko koncentracji, w celu identyfikacji, pomiaru lub oceny towarzyszącego im ryzyka oraz umożliwienia podejmowania właściwych decyzji w zakresie zarządzania ryzykiem koncentracji,

e) uwzględniania zasad ustanawiania limitu dużych ekspozycji, o którym mowa w art. 395 ust. 1 akapit drugi rozporządzenia nr 575/2013;

3) w zakresie ryzyka wynikającego z sekurytyzacji:

a) zasady zarządzania ryzykiem, pozwalające w szczególności na identyfikację i pomiar ryzyka z tytułu przeprowadzonych transakcji sekurytyzacyjnych, w tym ryzyka utraty reputacji, występującego w przypadku złożonych struktur czy produktów, w szczególności w celu pełnego odzwierciedlenia ekonomicznej istoty transakcji – dla banku będącego inwestorem, jednostką sponsorującą lub inicjującą, o których mowa w części trzeciej tytule II rozdziale 5 rozporządzenia nr 575/2013,

b) plany zachowania płynności, mające na celu uwzględnienie skutków planowej i przedterminowej spłaty należności – dla banku inicjującego odnawialne transakcje sekurytyzacyjne z opcją przedterminowej spłaty, o których mowa w części trzeciej tytule II rozdziale 5 rozporządzenia nr 575/2013;

4) w zakresie ryzyka wynikającego ze zmian warunków makroekonomicznych – zasady zarządzania, w tym zabezpieczenia banku przed ryzykiem wynikającym ze zmian warunków makroekonomicznych oraz jego wpływem na wysokość minimalnych wymogów kapitałowych w przyszłości;

5) w zakresie ryzyka rynkowego – zasady pozwalające na zarządzanie ryzykiem, w tym na pomiar ryzyka rynkowego, które bank uznaje za istotne, przy czym bank zabezpiecza się również przed ryzykiem braku płynności, które może występować na pewnych rynkach;

6) w zakresie ryzyka stopy procentowej w portfelu bankowym:

a) zasady zarządzania ryzykiem wynikające z wewnętrznych systemów oceny ryzyka stopy procentowej albo ze standardowej metodyki lub uproszczonej standardowej metodyki w celu identyfikacji i oceny ryzyka z tytułu potencjalnych zmian stóp procentowych, które wpływają zarówno na wartość ekonomiczną kapitału własnego, jak i na wynik odsetkowy netto z działalności w ramach portfela bankowego, a także w celu zarządzania takim ryzykiem i jego ograniczania,

b) zasady zarządzania ryzykiem wynikające z wewnętrznych systemów w celu oceny i monitorowania ryzyka z tytułu potencjalnych zmian spreadów kredytowych, które wpływają zarówno na wartość ekonomiczną kapitału własnego, jak i na wynik odsetkowy netto z działalności w ramach portfela bankowego;

7) w zakresie ryzyka operacyjnego:

a) zasady zarządzania ryzykiem operacyjnym obejmujące ekspozycję na ryzyko operacyjne oraz zrealizowane straty z tytułu ryzyka operacyjnego wraz z odpowiednimi procedurami wykonawczymi,

b) zasady zarządzania ryzykiem operacyjnym w szczególności uwzględniające:

– przyjętą przez bank definicję ryzyka operacyjnego dla potrzeb stosowania tych zasad, uwzględniającą możliwość wystąpienia straty wynikającej z niedostosowania lub zawodności procesów wewnętrznych, systemów, czynnika ludzkiego lub ze zdarzeń zewnętrznych,

– możliwość wystąpienia zdarzeń charakteryzujących się niską częstotliwością występowania, ale wysokimi stratami,

c) plany utrzymania ciągłości działania zapewniające ciągłe i niezakłócone działanie banku oraz plany awaryjne służące zapewnieniu możliwości prowadzenia bieżącej działalności banku i ograniczeniu strat, w przypadku wystąpienia niekorzystnych zdarzeń wewnętrznych i zewnętrznych, mogących poważnie zakłócić tę działalność,

d) zasady zarządzania kadrami, w tym rekrutacji, monitorowania potrzeb kadrowych oraz planowania zaplecza kadrowego,

e) zasady zarządzania ryzykiem powierzenia wykonywania czynności podmiotom zewnętrznym,

f) zasady zarządzania ryzykiem modeli, rozumianym jako ryzyko potencjalnej straty, jaką może ponieść bank w wyniku decyzji, które mogły zasadniczo opierać się na danych uzyskanych przy zastosowaniu modeli wewnętrznych, z powodu błędów w opracowaniu, wdrażaniu lub stosowaniu takich modeli:

– kompleksowo ustalające sposób zarządzania wykorzystywanymi przez bank modelami, z uwzględnieniem zasady proporcjonalności,

– zapewniające, że stosowane modele, w szczególności ich założenia, są poddawane okresowej ocenie wewnętrznej, uwzględniającej testowanie i weryfikację historyczną,

g) zasady zarządzania ryzykiem systemów związanym z prawidłowym, efektywnym i bezpiecznym wspieraniem działalności banku przez jego środowisko teleinformatyczne,

h) zasady zarządzania ryzykiem prowadzenia działalności (conduct risk);

8) w zakresie ryzyka płynności i finansowania – zasady zarządzania tym ryzykiem;

9) w zakresie ryzyka nadmiernej dźwigni finansowej – zasady zarządzania ryzykiem nadmiernej dźwigni finansowej, o którym mowa w art. 128 ust. 2a ustawy – Prawo bankowe, przy czym w ramach zarządzania ryzykiem stosowane są wskaźniki ryzyka obejmujące wskaźnik określony zgodnie z art. 429 rozporządzenia nr 575/2013 i wskaźnik niedopasowania między aktywami i zobowiązaniami; w szczególności polityki i procedury mają służyć przeciwdziałaniu przez bank temu ryzyku przez odpowiednie uwzględnianie potencjalnego wzrostu ryzyka nadmiernej dźwigni finansowej spowodowanego obniżeniem funduszy własnych banku w związku ze spodziewanymi lub zrealizowanymi stratami, w zależności od mających zastosowanie zasad rachunkowości, a w konsekwencji umożliwić bankowi przetrwanie szeregu różnych zdarzeń powodujących napięcia finansowe, dotyczących ryzyka nadmiernej dźwigni finansowej;

10) w zakresie ryzyka (utraty) reputacji – zasady zarządzania tym ryzykiem;

11) w zakresie ryzyka braku zgodności – zasady zarządzania tym ryzykiem z uwzględnieniem przepisów rozdziału 4.