Ryzyka niefinansowe w ostatnich kilku latach stają się coraz bardziej istotne w instytucjach finansowych. Jako organizacja, stale monitorujemy środowisko zewnętrzne i wewnętrzne.
Robimy to, żeby zarządzić każdym ryzykiem niefinansowym, które występuje w banku, w tym ze strony osób trzecich. W szczególności, przywiązujemy dużą uwagę do cyberbezpieczeństwa, bezpieczeństwa danych i ochrony prywatności. Stale monitorujemy związane z nimi procesy oraz wdrażamy nowe rozwiązania technologiczne. Ponadto, przed mBankiem stoją wyzwania w zakresie zmian klimatycznych. Dlatego dostosowujemy swoją działalność operacyjną w kierunku finansowania inwestycji, które będą miały zrównoważony wpływ na środowisko.
Działania banku w zakresie zarządzania ryzykami niefinansowymi nadzoruje Rada Nadzorcza mBanku, m.in. przez powołaną przez siebie Komisję ds. ryzyka. Rada Nadzorcza zatwierdza strategie zarządzania poszczególnymi ryzykami w Grupie mBanku. Zarząd mBanku odpowiada m.in. za:
- opracowanie systemów zarządzania ryzykami niefinansowymi,
- ich wdrożenie, zapewnienie spójności ze strategią biznesową,
- właściwie działanie tych systemów w organizacji.
Dodatkowo w Grupie funkcjonuje Forum Biznesu i Ryzyka, które jest platformą podejmowania decyzji oraz dialogu jednostek organizacyjnych linii biznesowych i obszaru zarządzania ryzykiem w ramach Grupy. W skład Forum wchodzą: Komitet Ryzyka Bankowości Detalicznej, Komitet Ryzyka Bankowości Korporacyjnej i Inwestycyjnej, Komitet Ryzyka Rynków Finansowych. Zarządzanie poszczególnymi ryzykami niefinansowymi odbywa się na podstawie modelu trzech linii obrony:
- pierwszą linią obrony są jednostki biznesowe,
- drugą linią obrony są przede wszystkim jednostki ryzyka, bezpieczeństwa i compliance,
- trzecią linią obrony jest Departament Audytu Wewnętrznego, który realizuje niezależną funkcję audytu wewnętrznego.
W grudniu 2020 roku w banku powołaliśmy Komitet Zrównoważonego Rozwoju Grupy mBanku. Będzie on stanowić platformę podejmowania decyzji i wydawania rekomendacji oraz dialogu w zakresie zrównoważonego rozwoju. Obejmuje to analizę wpływu czynników ESG, czyli związanych ze środowiskiem – E, kwestiami społecznymi – S i ładem korporacyjnym – G.
Ryzyko operacyjne rozumiemy jako możliwość wystąpienia straty wynikającej z niedostosowania lub zawodności procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych, obejmując również ryzyko prawne. Ryzyko operacyjne obejmuje podkategorie zdefiniowane dalej, nie obejmuje natomiast ryzyka reputacji, które stanowi osobną kategorię ryzyka oraz ryzyka strategicznego, uwzględnionego w ryzyku biznesowym.
Zgodnie z Katalogiem Ryzyka Grupy mBanku, ryzyko operacyjne obejmuje w szczególności wymienione trwale istotne i istotne podkategorie:
- ryzyko prawne
- ryzyko IT
- ryzyko cyberzagrożeń
- ryzyko prowadzenia działalności („conduct risk”)
- ryzyko błędów w realizacji, dostawie i zarządzaniu procesem
- ryzyko oszustw zewnętrznych
- ryzyko outsourcingu
- ryzyko kadrowe i organizacyjne
- ryzyko bezpieczeństwa fizycznego.
Zasady zarządzania ryzykiem operacyjnym w banku zawiera „Strategia Zarządzania Ryzykiem Operacyjnym w Grupie mBanku”. Dokument aktualizuje się corocznie, zatwierdza go zarząd banku.
System zarządzania ryzykiem operacyjnym polega na:
- identyfikacji i ocenie ryzyka operacyjnego,
- monitorowaniu strat,
- ograniczeniu przyczyn zdarzeń operacyjnych,
- zmniejszeniu prawdopodobieństwa wystąpienia strat w przyszłości,
- ograniczeniu skutków zmaterializowanych strat.
Szczegółowe informacje na temat narzędzi, miar i strategii zarządzania ryzykiem operacyjnym zostały opisane na stronie Ryzyko operacyjne.
Ryzyko prawne rozumiemy jako możliwość poniesienia strat na skutek:
- wad prawnych uregulowań wewnętrznych,
- umów zawieranych z klientami i stronami trzecimi,
- wad oświadczeń woli ze strony banku,
- zmian orzecznictwa,
- niekorzystnych rozstrzygnięć sądów,
- zmian przepisów prawa.
Szczegółowe informacje na temat postępowań toczących się przed sądem, organem właściwym dla postępowania arbitrażowego lub organem administracji publicznej zostały opisane w nocie 32 do Skonsolidowanego Sprawozdania Finansowego Grupy mBanku S.A. według Międzynarodowych Standardów Sprawozdawczości Finansowej za 2020 rok.
Ryzyko IT jest rozumiane jako ryzyko wynikające z niewłaściwego stosowania technologii informatycznej, albo niedostępności lub niedostatecznej jakości usług opartych na technologii informatycznej, czy wszelkich błędów występujących w środowiskach teleinformatycznych spowodowanych przez czynniki wewnętrzne, jak i zdarzenia zewnętrzne. Ryzyko IT szczególnie jest związane z rozwojem, eksploatacją i wyborem rozwiązań IT, wpierających realizację procesów biznesowych w banku.
Postęp technologiczny to czynnik, który coraz bardziej determinuje sposób, w jaki klienci komunikują się z instytucjami finansowymi. Usługi bankowości cyfrowej są jednymi z najszybciej rozwijających się. Cechuje je innowacyjność, kreatywność i otwartość na nowe technologie. Głównym wyzwaniem przy tak szybkim rozwoju usług, ciągłych zmianach regulacyjnych i nieprzewidywalnym otoczeniu jest zapewnienie najwyższej jakości i dostępności usług.
Przez ostatnie lata przeprowadziliśmy wiele inicjatyw, które znacznie zmniejszyły ryzyko niedostępności naszych usług IT:
- inwestycja w Evidence Base Management i zaawansowany monitoring,
- wdrożenie pełnego procesu zarządzania awariami obejmującego ciągłą analizę i eliminację przyczyn,
- migracja infrastruktury IT do dwóch nowoczesnych ośrodków przetwarzania danych (data center),
- wdrożenie architektury Active / Active dla krytycznych systemów IT.
Inicjatywy te znacznie zmniejszyły ryzyko niedostępności naszych usług IT. W dalszym ciągu prowadzimy zaawansowane prace nad podniesieniem jakości oprogramowania i stabilności działania naszych systemów. Kontynuujemy unowocześnienie głównych systemów transakcyjno-księgowych banku, co pozwala nam myśleć o wykorzystaniu również rozwiązań chmurowych w przyszłości.
Wybuch pandemii COVID-19 na początku 2020 roku sprawił, że musieliśmy przewartościować część z działań zaplanowanych w szczególności na tę część roku. Na pierwszy plan wysunęła się potrzeba zarządzenia sytuacją kryzysową związaną z COVID-19. Ryzykiem masowych zachorowań i niedostępności pracowników zarządziliśmy przez przejście prawie całego banku na zdalny tryb pracy (Home Office). Głównymi wyzwaniami było:
- zapewnienie wysokiej przepustowości łączy po stronie banku,
- odpowiednia wydajność VPN i narzędzi do zdalnej komunikacji,
- bezpieczeństwo dostępu w trybie zdalnym do systemów, z których korzystają pracownicy banku.
W związku z pandemią uruchomiliśmy struktury Zarządzania Kryzysowego. Pracują bez przerwy od marca 2020 roku. Równolegle uporządkowaliśmy ramy regulacyjne dla sytuacji kryzysowych. Aktualizujemy również cały System Zarządzania Ciągłością Działania w banku (BCMS). Włączyliśmy w szczególności tryb pracy zdalnej do Planów Ciągłości Działania. W mBanku stosujemy Politykę IT mBanku S.A., aby zapewnić jak najlepsze działanie całego Pionu IT. Politykę IT i powiązane z nią standardy przyjął Komitet ds. Architektury Informatycznej, którego przewodniczącym jest Wiceprezes Zarządu ds. Operacji i Informatyki. Zgodnie z Polityką IT dążymy do zapewnienia spójnego i transparentnego modelu zarządzania usługami IT, komponentami środowiska teleinformatycznego i powiązanymi aktywnościami.
Ryzyko cyberzagrożeń rozumiemy jako ryzyko nadużyć z wykorzystaniem technologii cyfrowych skierowanych przeciwko bankowi lub jego klientom, jego/ich systemom informatycznym i danym przetwarzanym w tych systemach, w szczególności zagrażających bezpieczeństwu informacji dotyczących klientów, bądź zdeponowanych przez nich środków.
Aby zapewnić odpowiednią ochronę danych swoich klientów, na rynku finansowych usług bankowych coraz większe znaczenie ma zarządzanie ryzykiem cyberzagrożeń. Incydenty informatyczne mogą generować wysokie straty i narażać banki na utratę reputacji. Cyberzagrożenia mogą szybko rozprzestrzeniać się i przynosić jednocześnie negatywne skutki wielu podmiotom z sektora finansowego. Dlatego w mBanku przywiązujemy ogromną wagę do bezpieczeństwa zarówno systemów informatycznych, jak i danych w nich zgromadzonych. Stosujemy odpowiednie rozwiązania organizacyjne oraz techniczne. Promujemy cyberbezpieczeństwo wśród naszych pracowników. Dzięki szkoleniom e-learningowym i stacjonarnym, stale zwiększamy ich świadomość i wiedzę na ten temat. Od kilku lat prowadzimy również kampanie edukacyjne dla naszych klientów (Bądź bezpieczny w sieci). Hasło przewodnie kampanii społecznej w 2020 roku, po raz drugi z rzędu, brzmiało „Ludzie są niesamowici”. Oferujemy klientom usługi wsparcia w sytuacjach kryzysowych. Świadczy je nasza spółka Cyber Rescue. Prowadziliśmy wiele akcji informacyjnych o nowych zagrożeniach skierowanych na klientów bankowości elektronicznej.
Staramy się skutecznie minimalizować ryzyka związane z materializacją cyberzagrożeń. Jako lider w zakresie usług cyfrowych w bankowości stosujemy adekwatne, nowoczesne systemy monitorowania bezpieczeństwa dostarczane przez renomowanych producentów. Bazując na specjalistycznych systemach oraz na wiedzy i doświadczeniu zespołu Security Operations Center staramy się skutecznie chronić przed nowymi typami ataków cybernetycznych. Zespół SOC działa 24 godziny na dobę każdego dnia w roku. Pracownicy i klienci mogą zgłaszać do niego wszelkie tematy związane z cyberbezpieczeństwem, w szczególności informacje o zidentyfikowanych zagrożeniach, próbach ataków, infekcjach czy podejrzanych transakcjach. W ten sposób możemy szybko i skutecznie podejmować działania adekwatne do pojawiających się nowych zagrożeń. Dodatkowo w banku działa zespół CERT mBank współpracujący z innymi jednostkami tego typu na świecie w ramach organizacji Trusted Introducer. CERT mBank ma aktualnie formalnie potwierdzony stopień dojrzałości na poziomie „Accredited”.
Działania obejmujące mitygowanie ryzyka cyberzagrożeń opierają się przede wszystkim na Polityce Cyberbezpieczeństwa mBanku, która jest częścią Polityki Bezpieczeństwa mBanku S.A. W banku funkcjonuje Komitet Bezpieczeństwa, który stanowi platformę wymiany poglądów dotyczących wszystkich aspektów bezpieczeństwa banku. Komitet podejmuje decyzje i wydaje opinie oraz rekomendacje m.in. w zakresie zagadnień bezpieczeństwa związanych z:
- ochroną fizyczną i techniczną,
- przestępczością bankową,
- ochroną informacji z uwzględnieniem ich ochrony w systemach informatycznych,
- zapewnieniem ciągłości działania banku.
W Polityce Cyberbezpieczeństwa zdefiniowaliśmy wizję bezpieczeństwa, ciągłości i stabilności naszych działań oraz sposobów mitygowania ryzyk związanych z aktualnie identyfikowanymi zagrożeniami. Zgodnie z zapisami Polityki, bezpieczny system wymiany informacji ma zapewnić ochronę interesów przedsiębiorstwa, tajemnicy bankowej, realizację celów biznesowych, ochronę wizerunku i innych istotnych wartości. Zgodnie z celami przyjętymi w Polityce:
- Dopasowujemy niezbędny poziom cyberbezpieczeństwa do innowacyjnego biznesu;
- Zapewniamy niezbędne zasoby dla realizowanych procesów bezpieczeństwa oraz wdrażamy nowe zabezpieczenia w zakresie cyberbezpieczeństwa;
- Identyfikujemy wymagania prawne z zakresu bezpieczeństwa;
- Podnosimy świadomość pracowników i klientów w zakresie cyberbezpieczeństwa;
- Zarządzamy zdarzeniami: wcześnie je wykrywamy, reagujemy, wyciągamy wnioski i szacujemy ryzyka;
- Zarządzamy dostawcami i współpracujemy z partnerami biznesowymi;
- Ciągle się rozwijamy i doskonalimy.
W realizację celów angażują się wszyscy pracownicy mBanku.
Istotnym elementem działalności banku jest również zapewnienie bezpieczeństwa informacji. Cele w tym zakresie określa Polityka Bezpieczeństwa Informacji mBank S.A. W szczególności określa działania, które służą ochronie poufności, integralności, dostępności oraz autentyczności przetwarzanych informacji, jak również utrzymania ciągłości usług świadczonych dla klientów. Politykę muszą realizować wszyscy pracownicy, aby zapewnić dostępność usług, a jednocześnie chronić interesy mBanku i klientów.
W dobie coraz większej liczby ataków hackerskich i skutecznych włamań do sieci firmowych, ważnym elementem są również działania w zakresie mitygowania ryzyk związanych z podatnościami w systemach informatycznych. Polityka Monitorowania Podatności Bezpieczeństwa w Infrastrukturze Informatycznej Banku określa sposób identyfikacji podatności bezpieczeństwa w elementach środowiska teleinformatycznego, reguluje sposób ich usuwania przez instalację stosownych poprawek bezpieczeństwa oraz określa sposób monitorowania i raportowania w tym zakresie.
W roku 2020 niezmiennie kładliśmy duży nacisk na aspekty związane z cyberbezpieczeństwem zarówno naszych klientów i oferowanych dla nich usług, jak i pracowników i wykorzystywanych przez nich systemów wewnętrznych. Ze względu na wybuch pandemii COVID-19, ten rok był dla wielu instytucji czasem zmiany modelu pracy z typowej pracy w biurze na model zdalny. Podobnie w mBanku w krótkim okresie umożliwiliśmy pracę w trybie „home office” niemal wszystkim pracownikom. Jednocześnie zapewniliśmy niezbędny poziom bezpieczeństwa wdrażanych rozwiązań. Nowy sposób pracy i związana z tym przebudowa architektury rozwiązań IT, wymusiła znacznie szersze działania w zakresie formalnej oceny ryzyka, odpowiednich mechanizmów mitygujących i ich weryfikacji w postaci praktycznych testów bezpieczeństwa. Aktywny udział zespołu odpowiedzialnego za cyberbezpieczeństwo pozwolił również na szybkie poszerzenie gamy usług oferowanych klientom bankowości elektronicznej. Umożliwienie klientom realizacji nowych usług w trybie zdalnym wiązało się ze znacznym zwiększeniem liczby prowadzonych audytów i testów bezpieczeństwa.
Od kilku lat Security Operations Center oraz CERT mBank są głównym ogniwem operacyjnym Systemu Zarządzania Bezpieczeństwem Informacji. Pozwala on na aktywny monitoring bezpieczeństwa i skuteczne reagowanie na zaistniałe incydenty bezpieczeństwa. Bank, będąc Operatorem Usługi Kluczowej w rozumieniu określonym w Ustawie z 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa, skutecznie realizował wymagania wynikające z tej ustawy oraz współpracował z powołanymi do tego organami. Cały czas rozwijamy również nasze systemy monitorowania bezpieczeństwa, adekwatnie reagując na pojawiające się nowe zagrożenia i wektory ataków. Staramy się również minimalizować ryzyka, wzmacniając działania związane z szybkim i skutecznym usuwaniem podatności w systemach przez implementację niezbędnych poprawek bezpieczeństwa.
W naszych działaniach skupiamy się również na bezpieczeństwie usług i systemów, pracujących w chmurze obliczeniowej. Stworzyliśmy podwaliny bezpieczeństwa w postaci Standardów Bezpieczeństwa i wytycznych dla rozwiązań chmurowych. Stale poszerzamy również kompetencje związane z bezpieczeństwem dla tych rozwiązać. Wdrażamy również techniczne rozwiązania, które zapewniają bezpieczeństwo tych usług oraz umożliwiają monitorowanie ewentualnych naruszeń zasad bezpieczeństwa.
Ryzyko prowadzenia działalności (postępowania – ang. conduct risk) należy rozumieć jako ryzyko wynikające z niewłaściwej dystrybucji produktów bankowych lub świadczenia usług finansowych. W szczególności ryzyko prowadzenia działalności obejmuje:
- ryzyko niewłaściwej sprzedaży transakcji/produktów bankowych („misseling”), tj. wprowadzającej w błąd, niedbałej sprzedaży produktów i usług lub też wypaczania charakterystyk produktów i usług, a w konsekwencji sprzedaży produktu lub usługi, które nie będą odpowiadały potrzebom klienta.
- ryzyko manipulacji referencyjnymi stopami procentowymi, kursami walut lub innymi instrumentami bądź wskaźnikami finansowymi.
W Grupie mBanku prowadzimy politykę „zera tolerancji” wobec niewłaściwej sprzedaży transakcji/produktów, jak również wobec produktów, które są niezgodne z obowiązującym prawem, oraz których celem jest unikanie opodatkowania.
W banku obowiązują „Zasady postępowania pracowników mBanku – Code of conduct” czyli zbiór wytycznych dla wszystkich pracowników. Zdefiniowaliśmy w nich reguły o dozwolonych i niedozwolonych praktykach biznesowych, finansowaniu podmiotów (klientów) oraz właściwym zachowaniu w miejscu pracy. Dokument ten pracownicy mają stosować zarówno w firmie, jak i w kontaktach z klientami, dostawcami i partnerami zewnętrznymi. W banku staramy się unikać sytuacji, w których pracownicy postępują niezgodnie z tym wewnętrznym kodeksem dobrych praktyk. Zarządzanie ryzykiem prowadzenia działalności odbywa się zgodnie z operacyjnym modelem trzech linii obrony.
Ryzyko prowadzenia działalności minimalizujemy przez:
- mechanizmy kontrolne i ich niezależne monitorowanie realizowane przez odpowiednie jednostki w w ramach działającej w sposób ciągły funkcji kontroli,
- identyfikację nieprawidłowości, monitorowanie realizacji planów naprawczych formułowanych dla zidentyfikowanych nieprawidłowości. Obejmuje ona pogłębioną analizę przypadku i definiowanie usprawnień i projektowanie odpowiednich mechanizmów kontrolnych.
- proces wdrażania/modyfikacji nowych produktów lub usług, w którym istotnym elementem jest opiniowanie,
- bieżące ewidencjonowanie zdarzeń i strat operacyjnych i analiza ryzyka w oparciu o rejestr strat operacyjnych RSO i proces raportowania strat,
- bieżący monitoring kluczowych czynników ryzyka KRI (w szczególności związanych z reklamacjami), po przekroczeniu progów ostrzegawczych bądź alarmowych podejmowane są odpowiednie działania zaradcze zdefiniowane dla każdego czynnika, najczęściej jest to analiza przyczyn przekroczenia i przesłanie wyjaśnienia z rekomendacją koniecznych szczegółowych działań korygujących do dyrektora odpowiedzialnej jednostki,
- szczegółową analizę skarg i reklamacji zewnętrznych i poprawę procesów,
- analizę spraw spornych,
- proces opiniowania wniosków na Forum Ryzyka i Biznesu w zakresie m.in. oferty produktowej, regulacji, limitów,
- realizację specjalnych polityk i procedur compliance m.in. z zakresu przeciwdziałania praniu pieniędzy, nadużyć i sankcji,
- szkolenia pracowników.
W 2020 roku osadziliśmy proces wdrażania/modyfikacji nowych produktów lub usług w wystandaryzowanym narzędziu IT, które pozwoli na sprawniejszą jego obsługę od etapu projektowania do wprowadzenia do oferty banku. W proces ten angażują się jednostki sprzedaży, wsparcia, ryzyka i compliance. Narzędzie wspomaga:
- identyfikację ryzyk, które mogą się zmaterializować w związku z modyfikacją bądź wprowadzeniem nowego produktu,
- przebieg poszczególnych etapów procesu (m.in. wspólne opiniowanie, weryfikacja warunków przed wdrożeniem produkcyjnym),
- zarządzanie portfelem produktów przez sprawną ewidencję informacji o produktach oraz ich kluczowych charakterystykach (m.in. kluczowe ryzyka związane z produktem).
Ponadto, w 2020 roku usprawniliśmy proces funkcji kontroli co przełożyło na silniejsze zakorzenienie procesu w świadomości pracowników banku oraz bardziej świadome identyfikowanie nieprawidłowości i skuteczniejsze działania naprawcze.
Ryzyko błędów w realizacji, dostawie i zarządzaniu procesem rozumiemy jako ryzyko m.in.:
- nieudanej obsługi transakcji,
- błędów przy wprowadzaniu danych,
- opóźnień w realizacji zadań,
- problemów dotyczących zarządzania procesem,
- związane ze stosunkami z kontrahentami biznesowymi.
Zarządzanie ryzykiem błędów w realizacji, dostawie i zarządzaniu procesem odbywa się zgodnie z operacyjnym modelem trzech linii obrony. W banku funkcjonuje m.in. Komitet ds. Jakości Danych i Rozwoju Systemów Informacyjnych, którego podstawowym celem jest zapewnienie warunków dla stworzenia, utrzymania i rozwoju efektywnego systemu zarządzania jakością danych w całej organizacji oraz rozwoju systemów informacyjnych w ramach zasad określonych w procedurach i regulacjach wewnętrznych.
Ryzyko błędów w realizacji, dostawie i zarządzaniu procesem minimalizujemy przez:
- realizację Strategii Zarządzania Informacją i Programu Data Governance,
- realizację Polityki i Standardów Zarządzania Danymi,
- bieżące monitorowanie i okresowe raportowanie jakości danych,
- proces obsługi incydentów jakości przez cztero-poziomową sieć data stewardów (liczącą około 90 data stewardów przypisanych do odpowiednich obszarów tematycznych) przy pomocy automatycznej bądź manualnej rejestracji zgłoszeń w specjalnej aplikacji,
- szczegółową analizę reklamacji wewnętrznych i zewnętrznych i poprawę procesów,
- mechanizmy kontrolne i ich niezależne monitorowanie w ramach działającej w sposób ciągły funkcji kontroli,
- identyfikację nieprawidłowości, monitorowanie realizacji planów naprawczych formułowanych dla zidentyfikowanych nieprawidłowości. Obejmuje ona pogłębioną analizę przypadku, definiowanie usprawnień i projektowanie odpowiednich mechanizmów kontrolnych.
- bieżącą ewidencję zdarzeń i strat operacyjnych i analizę ryzyka na podstawie rejestru strat operacyjnych RSO i procesu raportowania strat,
- bieżący monitoring kluczowych czynników ryzyka KRI (w szczególności związanych z terminowością i niedostępnością usług). Po przekroczeniu progów ostrzegawczych bądź alarmowych podejmuje się odpowiednie działania zaradcze zdefiniowane dla każdego czynnika. Najczęściej jest to analiza przyczyn przekroczenia i przesłanie wyjaśnienia z rekomendacją koniecznych szczegółowych działań korygujących do dyrektora odpowiedzialnej jednostki.
W 2020 roku pracowaliśmy m.in. nad poprawą jakości danych klientowskich i budowie systemu automatycznego pomiaru jakości danych.
Ryzyko oszustw zewnętrznych rozumiemy jako ryzyko popełnienia przestępstw przez osoby z zewnątrz. Najistotniejsze kategorie takich oszustw to: kredytowe, związane z płatnościami lub kartami płatniczymi, z wykorzystaniem kanałów bankowości elektronicznej oraz kradzież danych.
Ryzyko związane z wyłudzeniami i oszustwami materializuje się w chwili wyczerpania znamion szczegółowo opisanych w wewnętrznych regulacjach. Podstawowym działaniem zmierzającym do mitygacji tego ryzyka są procesy prewencji – przeciwdziałania i zapobiegania. Zarządzanie obszarem przeciwdziałania wyłudzeniom ma charakter kompleksowy, od skutecznej identyfikacji nadużyć (oszustw i wyłudzeń) do mitygowania ich skutków. Istotnym elementem zarządzania ryzykiem nadużyć mBanku jest zdefiniowany i realizowany program budowania „świadomości fraudowej” wśród pracowników banku oraz zaawansowane mechanizmy kontroli ryzyka oszustw w kanałach sprzedaży.
Obszar bezpieczeństwa płatności jest dla banku kwestią priorytetową. Aby przeciwdziałać oszustwom, stosujemy zaawansowane rozwiązania systemowe, mające na celu monitoring podejrzanych transakcji płatniczych. Aby zapewnić właściwy poziom bezpieczeństwa transakcji internetowych i ochrony procesów bankowych, stosujemy Politykę Bezpieczeństwa Płatności Internetowych w mBank S.A. Określa ona ramowe zasady, jak odpowiednio zabezpieczać płatności internetowe. Integralnym uzupełnieniem Polityki jest Standard Bezpieczeństwa Płatności w mBank S.A. Określamy w nim zasady bezpieczeństwa płatności internetowych i wymagania przy projektowaniu nowych lub modyfikowaniu obecnych produktów informatycznych w zakresie usług płatniczych. W Polityce określamy miedzy innymi zasady dla oceny ryzyka, przeciwdziałania mu oraz monitorowania i zgłaszania incydentów. W dokumencie regulujemy silne uwierzytelnianie klienta, monitorowanie transakcji, ochronę wrażliwych danych płatniczych, a także edukację klientów i komunikację z nimi. Bank na bieżąco publikuje komunikaty ostrzegające przed nowymi rodzajami zagrożeń, szczególnie w bankowości elektronicznej, oraz nowymi metodami oszustw w sieci.
W 2020 roku w obszarze przeciwdziałania oszustwom zewnętrznym skupiliśmy się na skutecznej ochronie przed nadużyciami w realiach COVID-19. Zidentyfikowaliśmy nowe mechanizmy nadużyć i oszustw, które w dużej mierze zmitygowaliśmy dzięki skuteczności opisanego podejścia.
Dodatkowo wdrożyliśmy kolejne narzędzie prewencji fraudowej polegające na połączeniu systemu do obsługi detalicznych wniosków kredytowych z Platformą Antyfraudową BIK. Dzięki temu podnieśliśmy poziom bezpieczeństwa banku i jego klientów przed oszustwami, przez dodatkową weryfikację antyfraudową przeprowadzaną w oparciu o dane gromadzone również przez inne podmioty w ogólnopolskim programie prewencji wyłudzeń.
Ryzyko outsourcingu rozumiemy jako ryzyko negatywnego wpływu podmiotu zewnętrznego świadczącego na podstawie umowy:
- czynności bankowe,
- czynności faktyczne związane z działalnością bankową,
- proces, usługę lub zadanie na rzecz banku i jego klientów,
które w przeciwnym razie realizowane byłyby przez sam bank. Ryzyko outsourcingu może mieć wpływ na ciągłość, integralność lub jakość działania Grupy mBanku, jego majątku oraz pracowników i klientów.
Zarząd banku odpowiada za zgodność umów outsourcingowych z wymogami regulacyjnymi oraz za nadzór nad realizacją tych umów. W szczególności, zarząd jest odpowiedzialny za proces podejmowania decyzji o outsourcingu funkcji krytycznych.
Zarząd wyznaczył Departament Compliance, aby zarządzał i koordynował proces outsourcingowy w banku, w tym w oddziałach zagranicznych.
Zarządzanie ryzykiem outsourcingu opieramy na modelu trzech linii obrony:
- pierwszą linią obrony są jednostki organizacyjne będące właścicielami lub administratorami umów outsourcingowych, zlecające czynności i odpowiedzialne za operacyjną współpracę z podmiotami zewnętrznymi,
- drugą linią obrony jest:
- koordynator ds. outsourcingu, który nadzoruje proces outsourcingu i raportuje do organów banku oraz
- inne jednostki banku drugiej linii (ryzyko, bezpieczeństwo), które uczestniczą w procesie zawierania i realizacji umów outsourcingowych,
- trzecią linią obrony jest Departament Audytu Wewnętrznego, który realizuje niezależną funkcję audytu wewnętrznego.
Jednostki organizacyjne banku, które są właścicielami lub administratorami umów outsourcingowych odpowiadają za zarządzanie ryzykiem wynikającym z tych umów. W tym celu dokonują, w szczególności:
- analizy celowości i efektywności zawarcia umowy,
- analizy ryzyka funkcji, w tym oceny krytyczności funkcji,
- analizy ryzyka kontrahenta (due diligence),
- monitoringu i kontroli jakości czynności wykonywanej w ramach umowy,
- regularnego (co najmniej raz w roku) monitoringu efektywności trwających umów.
Przyjmujemy zasadę maksymalnego ograniczania ryzyka outsourcingu, dlatego systematycznie oceniamy sytuację podmiotu zewnętrznego oraz monitorujemy realizację umowy outsourcingowej.
W 2020 wdrażaliśmy wytyczne EBA w sprawie outsourcingu. W tym celu powstał zespół projektowy. Kluczowe efekty prac:
- dostosowaliśmy wewnętrzne regulacje do wytycznych EBA,
- rozwijaliśmy narzędzie IT, które wspiera zarządzanie umowami outsourcingowymi.
Ryzyko kadrowe i organizacyjne rozumiemy jako ryzyko związane z brakiem możliwości zapewnienia sprawnego funkcjonowania przedsiębiorstwa z powodu braku lub ograniczonej dostępności współpracowników o odpowiednim profilu zawodowym, z powodu niestabilności, zmian lub wad w strukturze organizacyjnej i sposobie organizacji przedsiębiorstwa. Ryzyko to obejmuje również kwestie związane z:
- naruszeniem relacji między pracownikami lub pracownikami a pracodawcą,
- dyskryminacją w miejscu pracy,
- bezpieczeństwem pracy.
W banku obowiązuje Polityka wewnętrznego ładu korporacyjnego. Określa ona jednolite standardy, jak tworzyć, dokumentować i utrzymywać zintegrowaną strukturę organizacyjną. Polityka powstała zgodnie z przyjętymi w banku zasadami oraz Statutem mBanku S.A. – podstawą zarządzania bankiem i tworzącymi go jednostkami.
Za strukturę organizacyjną banku odpowiada zarząd, który zapewnia jej dostosowanie do strategii banku, modelu biznesowego, wielkości i profilu ryzyka oraz planów finansowych. Struktura organizacyjna banku opiera się na zasadzie jasno określonych odpowiedzialności. Zmiana struktury organizacyjnej banku podlega szczegółowej analizie w ramach kompetencji poszczególnych jednostek banku uczestniczących w procesie. Na jej podstawie zarząd banku podejmuje stosowne decyzje dotyczące zasadności jej zmiany.
Przy ustalaniu struktury organizacyjnej banku, zarząd bierze pod uwagę:
- zdefiniowane w banku obszary generujące istotne ryzyka dla prowadzonej działalności oraz szacowanie potencjalnych strat związanych z możliwością wystąpienia tych ryzyk,
- zagwarantowanie planów ciągłości działania banku,
- zapewnienie efektywności realizowanych zadań przez zatrudnianie adekwatnej liczby pracowników z odpowiednimi kompetencjami i wymaganą wiedzą merytoryczną,
- zapewnienie osiągania zdefiniowanych przez bank celów prowadzonej działalności,
- skuteczne i w odpowiednim czasie reagowanie na zmieniające się warunki zewnętrzne lub zdarzenia nagłe i nieoczekiwane.
Ograniczamy ryzyko kadrowe braku lub ograniczonej dostępności współpracowników o odpowiednim profilu zawodowym przez wiele środków zaradczych. Staramy się utrzymać rotację pracowników na niskim poziomie – kreujemy angażujące środowisk pracy i dbamy o wysoką kulturę wewnątrz organizacji. Regularnie badamy zaangażowanie pracowników w anonimowych ankietach Pulse Check, których wyniki pozwalają na bieżąco reagować na potencjalnie demotywujące zjawiska. W 2020 przeprowadziliśmy specjalne ankiety Pulse Check wśród pracowników, związane m.in. z:
- ogłoszonym przez Commerzbank we wrześniu 2019 roku zamiarem sprzedaży mBanku (który następnie został wycofany w 2020 roku),
- potrzebami pracy w formule zdalnej lub hybrydowej po pandemii,
- reorganizacją stanowisk pracy po likwidacji pionu rynków finansowych.
Mamy plan sukcesji dla wybranych stanowisk pracy, w szczególności dla kluczowych pracowników zajmujących pozycje menedżerskie. Kładziemy nacisk na rozwój kompetencji pracowników, nie tylko na aktualnym stanowisku pracy – promujemy możliwości transferów wewnętrznych. W wypadku potrzeby wypełnienia wakatu, w pierwszym rzędzie poszukujemy kandydatów wewnętrznych. Na stanowiska, których nie możemy wypełnić kandydatami spośród pracowników banku, poszukujemy kandydatów na rynku pracy.
W banku przywiązujemy dużą wagę do kwestii związanych z dyskryminacją lub mobbingiem w miejscu pracy. Nie tolerujemy zachowań, które mogą łamać prawa człowieka i naruszać prawa pracownicze. Opracowaliśmy sposób reakcji na przypadki niepożądanych zachowań pracowniczych. Wdrożyliśmy również Politykę mBanku w sprawie przeciwdziałania mobbingowi, dyskryminacji i innym zachowaniom nieakceptowanym. Przeprowadziliśmy kampanię informacyjną wśród pracowników na temat zasad zawartych w tej Polityce.
W banku obowiązuje Polityka wynagrodzeń, która zawiera zasady przyznawania wynagrodzenia pracownikom. Pierwszym filarem Polityki jest podejście do procesu kształtowania wynagrodzeń przez pryzmat wynagrodzenia całkowitego (wynagrodzenie stałe oraz zmienne). Drugim filarem, odgrywającym kluczową rolę w procesie wynagradzania, jest dialog między menedżerami
i pracownikami, który zapewnia kompleksowe informacje oraz uzasadnianie podejmowanych decyzji.
System zarządzania wynagrodzeniami w banku jest tak skonstruowany, aby:
- zapewnić ochronę praw i interesów klientów banku oraz zapobiegać konfliktowi interesów. Tak wynagradzamy pracowników oraz oceniamy ich pracę, aby pieniężne i/lub niepieniężne formy wynagradzania nie zachęcały pracowników do faworyzowania własnych interesów lub interesów banku ze szkodą dla klientów banku,
- wspierać prawidłowe i skuteczne zarządzanie ryzykiem w Grupie mBanku i nie zachęcać do podejmowania nadmiernego ryzyka, przekraczającego apetyt na ryzyko zatwierdzony przez radę nadzorczą,
- budować wysokie zaangażowanie pracowników przez zapewnienie rynkowego i adekwatnego do wkładu pracy pakietu wynagrodzeń (koncentracja na przyszłości i konkurencji, podejście do wynagrodzeń przez pryzmat wynagrodzenia całkowitego),
- utrzymywać najlepszych pracowników (stwarzać optymalne warunki pracy) oraz przyciągać talenty do organizacji (program staży i praktyk),
- zapewnić efektywność kosztową w zakresie budżetu wynagrodzeń (umożliwiać elastyczne zarządzanie wynagrodzeniami, pozwalające optymalnie wykorzystywać dostępny budżet).
Istotną częścią zarządzania wynagrodzeniami w banku jest odrębna Polityka wynagrodzeń dla osób zajmujących stanowiska kierownicze, mające istotny wpływ na profil ryzyka banku (tzw. Risk Takers). Stanowi ona narzędzie wspierania systemu zarządzania Grupy mBanku i zachęca do szczególnej dbałości o długoterminowe dobro grupy oraz unikania nadmiernej ekspozycji na ryzyko.
W związku z pandemią COVID-19 podjęliśmy wiele działań, aby umożliwić pracownikom efektywną pracę oraz zapewnić im wsparcie w tym wymagającym czasie. Szerzej te inicjatywy opisaliśmy na stronie Wsparcie pracowników.
Ryzyko bezpieczeństwa fizycznego rozumiemy jako ryzyko obejmujące kwestie związane z możliwością naruszenia bezpieczeństwa fizycznego, majątku banku/spółki lub osób przebywających na terenie banku/spółki, integralności, poufności lub dostępności informacji przetwarzanej przez bank/spółkę. Ryzyko to obejmuje także brak możliwości zapewnienia ciągłości świadczenia usług dla klientów i innych zainteresowanych stron. Ryzyko bezpieczeństwa fizycznego może wystąpić ze względu na:
- działania osób wewnątrz banku/spółki,
- działania osób na zewnątrz banku/spółki,
- wystąpienie zdarzeń losowych i katastrof (zarówno naturalnych, jak również z winy człowieka).
Dodatkowo ryzyko to obejmuje ryzyko uszkodzenia, niedostępności lub zniszczenia elementów fizycznej infrastruktury banku wskutek bezpośrednich ataków na obiekty banku lub wskutek aktów terroru, zagrożenia dla życia i zdrowia pracowników.
W polityce bezpieczeństwa fizycznego i technicznego określamy zasady organizacji bezpieczeństwa w obiektach centrali banku jak również w placówkach sieci sprzedaży oraz obiektach infrastruktury banku takich jak np. data center. Specjalne zespoły, do których kompetencji należy zarządzanie obszarem bezpieczeństwa fizycznego m.in.:
- przeprowadzają analizy ryzyka dla prowadzonych w banku projektów oraz wydają rekomendacje do prowadzonych w banku projektów,
- określają architekturę bezpieczeństwa fizycznego w całej organizacji,
- monitorują zmiany przepisów prawa dotyczące wymogów w zakresie bezpieczeństwa fizycznego/technicznego oraz wdrażają niezbędne zmiany,
- opracowują koncepcję zabezpieczenia technicznego dla nowobudowanych obiektów,
- przeprowadzają cykliczne konserwacje systemów zabezpieczeń elektronicznych,
- przeprowadzają audyty bezpieczeństwa fizycznego/technicznego obiektów,
- opiniują, pod kątem bezpieczeństwa, prowadzone w banku projekty infrastrukturalne,
- obsługują incydenty bezpieczeństwa fizycznego.
W 2020 roku przeprowadziliśmy projekt związany z migracją centrali banku do nowej siedziby banku – Wieży mBank. Projekt ten wymagał analiz ryzyka dla obiektu nowej centrali (m.in. RIA, analizy zagrożenia terrorystycznego kompleksu, analizy BCP). W jego trakcie opracowaliśmy wiele wymogów z zakresu bezpieczeństwa. W obiekcie wdrożyliśmy wiele innowacyjnych rozwiązań w systemach elektronicznych zabezpieczeń przy wykorzystaniu najnowszych technologii.
Podczas projektu:
- określiliśmy niezbędny poziom bezpieczeństwa dla innowacyjnego budynku,
- opracowaliśmy i wdrożyliśmy system elektronicznych zabezpieczeń dla całego budynku,
- zapewniliśmy niezbędne zasoby oraz technologie dla procesów bezpieczeństwa w budynku,
- przygotowaliśmy szkolenie dla pracowników z zakresu zasad bezpieczeństwa nowego budynku,
- zmodernizowaliśmy autorski w skali kraju system kontroli dostępu wykorzystujący aplikację mobilną do poruszania się po obiekcie,
- wdrożyliśmy innowacyjny system integrujący systemy zabezpieczeń elektronicznych oraz system do zapraszania gości wykorzystujący technologie mobilne.
Oprócz wymienionych wyżej rodzajów ryzyka operacyjnego, w mBanku zarządzamy również innymi rodzajami ryzyka niefinansowego. Są to ryzyko reputacji, ryzyko braku zgodności, ryzyko portfela kredytów w walutach obcych. Ponadto analizujemy i mitygujemy zagrożenia wynikające z niekorzystnych zmian w środowisku naturalnym (przede wszystkim zmian klimatycznych).
mBank jest instytucją zaufania społecznego, dlatego dbałość o wizerunek i reputację jest ważna dla jego dobrego działania. Ryzyko reputacji definiujemy jako ryzyko wynikające z negatywnego postrzegania mBanku lub jego spółek zależnych przez interesariuszy. Cel zarządzania tym ryzykiem to identyfikacja, ocena i ograniczenie ryzyka reputacji w ramach szczególnych procesów, aby chronić i wzmacniać dobre imię mBanku i Grupy mBanku.
W mBanku obowiązuje „Strategia zarządzania ryzykiem reputacji w Grupie mBanku”, przyjęta przez zarząd i radę nadzorczą, która określa sposób, w jaki zarządzamy ryzykiem reputacji. Strategia uwzględnia obszary wrażliwe działalności mBanku z pespektywy czynników ESG.
Stosujemy trzy linie obrony. Pierwsza linia to jednostki organizacyjne banku, oddziały zagraniczne oraz spółki zależne odpowiedzialne za ryzyko reputacji wynikające z ich działalności operacyjnej. Druga linia obrony to jednostki specjalistyczne, w tym: Compliance, Komunikacji i Strategii Marketingowej i Ryzyka. Trzecia linia obrony to Departament Audytu Wewnętrznego.
O dobrą reputację mBanku dbamy za pomocą:
- zasad postępowania Grupy mBanku (Code of Conduct),
- polityk z zakresu compliance oraz
- polityk branżowych (np. „Polityka obsługi branż wrażliwych pod względem ryzyka reputacji mBanku”, „Polityka kredytowa mBanku dotycząca branż istotnych z punktu widzenia polityki klimatycznej UE”).
Monitorujemy publikacje prasowe, komentarze w internecie i mediach społecznościowych i reagujemy, gdy zagrażają reputacji mBanku. Stawiamy na długofalowe relacje z klientami, dbamy o to, by mówić i pisać do nich w sposób przyjazny i zrozumiały. Proponujemy produkty dopasowane do ich potrzeb i możliwości. Analizujemy wyniki badań satysfakcji oraz skargi i reklamacje. Ryzyko reputacji analizujemy także w procesie wdrażania nowych produktów oraz w procesie analizy kredytowej. Specjalny zespół pracowników monitoruje zagrożenia dla reputacji. W razie sytuacji kryzysowej, pracuje tak, żeby zminimalizować lub wyeliminować jej negatywny wpływ na reputację mBanku.
Od 2018 roku w mBanku jest rzecznik etyki, który m.in. tworzy wytyczne, opiniuje i pomaga pracownikom rozstrzygać dylematy etyczne. Świadomość pracowników banku o ryzyku reputacji podnosimy komunikując wewnętrznie tzw. „Lessons Learned”. Przeprowadzamy także coroczne szkolenia e-learningowe dot. m.in. przeciwdziałania korupcji, nadużyciom, praniu pieniędzy oraz inne liczne akcje szkoleniowe z zakresu compliance. Edukujemy również społeczeństwo. Od kilku lat prowadzimy kampanię społeczną dotyczącą cyberbezpieczeństwa. Zwracamy w niej uwagę na zagrożenia, które czyhają w Internecie i tłumaczymy, jak sobie z nimi radzić. Na naszej stronie kwestiom bezpieczeństwa poświęciliśmy osobną sekcję. Podejmujemy tylko odpowiedzialne działania na rzecz klientów, pracowników, środowiska naturalnego i społeczności lokalnych. Ten obszar regulują: strategia odpowiedzialnego biznesu i zrównoważonego rozwoju, polityka sponsoringowa oraz statut Fundacji mBanku.
Ryzyko braku zgodności rozumiemy jako ryzyko skutków nieprzestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych w procesach funkcjonujących w banku.
Celem zarządzania ryzykiem braku zgodności jest minimalizowanie ryzyka związanego z nieprzestrzeganiem i niedostosowaniem działalności banku do przepisów prawa, regulacji wewnętrznych oraz przyjętych przez bank standardów rynkowych. Funkcja compliance to element efektywnego systemu kontroli wewnętrznej.
Zgodność zapewniamy zgodnie z modelem trzech linii obrony:
- pierwsza linia obrony to zarządzanie ryzykiem i realizacja funkcji kontroli w działalności operacyjnej,
- druga linia obrony to co najmniej:
- zarządzanie ryzykiem braku zgodności oraz realizacja funkcji kontroli w ramach zadań realizowanych przez Departament Compliance,
- zarządzanie ryzykiem przez pracowników na specjalnie powoływanych do tego stanowiskach lub w jednostkach organizacyjnych, gdy część zadań odnośnie do identyfikacji i oceny ryzyka braku zgodności powierzono innym jednostkom w ramach pierwszej lub drugiej linii obrony,
- trzecia linia obrony to działalność Departamentu Audytu Wewnętrznego.
Na wszystkich trzech liniach obrony, pracownicy banku odpowiednio stosują mechanizmy kontrolne lub niezależnie monitorują przestrzeganie tych mechanizmów, aby zapewnić zgodność działania banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi.
Zarząd mBanku odpowiada za efektywne zarządzanie ryzykiem braku zgodności, a Rada Nadzorcza sprawuje nadzór nad zarządzaniem ryzykiem braku zgodności.
Departament Compliance odpowiada za koordynację, kontrolę i nadzór nad wykonywaniem obowiązków związanych z realizacją celu zapewnienia zgodności działania banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi.
Ryzyko braku zgodności minimalizujemy przez:
- wdrożone i aktualizowane polityki,
- obowiązkowe szkolenia dla pracowników,
- monitorowanie zmian w przepisach prawa,
- cykliczną ocenę ryzyka braku zgodności,
- funkcję kontroli,
- funkcję doradczą – opiniujemy ofertę produktową oraz regulacje dotyczące procesów operacyjnych (opiniujemy w aplikacji Axiom).
Za realizację procesu zapewniania zgodności są odpowiedzialni wszyscy pracownicy banku stosownie do wykonywanego przez nich zakresu obowiązków oraz nadanych im uprawnień.
W banku są specjalne jednostki (Compliance Control Unit), które stanowią centra doradcze, wspierające procesy compliance w obrębie pierwszej linii obrony. Ich zadaniem jest między innymi budowanie świadomości i wiedzy o compliance w biznesie oraz pomoc w realizacji zadań w procesach przy zachowaniu pełnej zgodności z wymogami regulacyjnymi.
Wszelkie nieprawidłowości i nadużycia można zgłaszać przez elektroniczny system (whistleblowing). Można się z nim połączyć z każdego urządzenia z dostępem do internetu.
W 2020 roku usprawniliśmy proces zapewnienia zgodności, aby lepiej odzwierciedlał aktualny profil działalności banku, przy zachowaniu wymogów regulacyjnych. Przełożyło się to na skuteczniejsze zarządzanie ryzykiem braku zgodności w banku. W wyniku tego wypracowaliśmy rozszerzone podejście do:
- oceny zarządzania ryzykiem braku zgodności,
- funkcji kontroli.
W ślad za tym znowelizowaliśmy Politykę zgodności oraz inne regulacje wewnętrzne w tym obszarze.
Dodatkowo, wdrożyliśmy narzędzie, które będzie kompleksowo wspierać jednostki organizacyjne w monitorowaniu przepisów prawa i ich implementacji do regulacji wewnętrznych. Będzie też ono wspierać Departament Compliance w koordynowaniu i nadzorowaniu procesu zapewnienia zgodności prowadzonej przez bank działalności z obowiązującymi przepisami prawa, regulacjami wewnętrznymi oraz przyjętymi przez bank standardami rynkowymi.
W 2020 roku powstała specjalna jednostka odpowiedzialna za obszar przeciwdziałania przestępczości finansowej, a konkretnie za:
1/ przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu,
2/ stosowanie sankcji i embarg,
3/ stosowanie przepisów ustawy o ujawnianiu informacji o rachunkach zagranicznych dla celów podatkowych FATCA (ang. Foreign Account Tax Compliance Act), standardu CRS (ang. Common Reporting Standard) automatycznej wymiany informacji w kwestiach opodatkowania między zainteresowanymi krajami oraz wytycznych ATEF (ang. Anti Tax Evasion Facilitation) w zakresie zapobiegania ułatwianiu uchylania się od opodatkowania popełnianego przez pracowników, personel zewnętrzny i partnerów biznesowych.
Ryzyko portfela kredytów w walutach obcych jest rozumiane jako rzeczywiste lub potencjalne zagrożenie dla wyników i kapitałów banku związane z kredytami hipotecznymi w walutach obcych, udzielanymi kredytobiorcom niezabezpieczonym do 2012 roku (kredytobiorcy niezabezpieczeni to kredytobiorcy detaliczni z segmentu gospodarstw domowych, którzy narażeni są na niedopasowanie walutowe między walutą ekspozycji i walutą pozostających w dyspozycji kredytobiorców aktywów stanowiących zabezpieczenie kredytu lub walutą, w jakiej kredytobiorcy uzyskują większość swoich dochodów). Zagrożenie to może wynikać w szczególności z materializacji ryzyka kredytowego, operacyjnego (prawnego) oraz reputacyjnego odnośnie do wymienionych kredytobiorców.
Szczegółowe informacje na temat postępowań toczących się przed sądem, organem właściwym dla postępowania arbitrażowego lub organem administracji publicznej zostały opisane w nocie 32 do Skonsolidowanego Sprawozdania Finansowego Grupy mBanku S.A. według Międzynarodowych Standardów Sprawozdawczości Finansowej za 2020 rok.
Zagrożenia, jakie niosą niekorzystne zmiany w środowisku naturalnym (zwłaszcza zmiany klimatyczne) lub długotrwałe skutki tych zmian, analizujemy w sposób horyzontalny. Oznacza to, że badamy ich wpływ na profil działalności banku w jak najszerszym spektrum, m.in. przekładamy je na poszczególne kategorie ryzyka, w tym ryzyko reputacji i ryzyko kredytowe.
Zmiany w środowisku naturalnym, szybkie tempo zmian technologicznych, wymuszone przez te zjawiska zmiany prawne mają coraz większy wpływ na działalność poszczególnych sektorów gospodarczych. Wszystkie te kwestie sprawiają, że wielu klientów musi zmienić lub dostosować swój profil działalności. Efekty reorganizacji bądź dostosowań profilu działalności klientów przekładają się na relację z Grupą, pojawia się tzw. ryzyko transformacji klienta. Na bieżąco monitorujemy zmiany regulacyjne adresujące kwestie klimatyczne i oceniamy ich potencjalny wpływ na Grupę.
Przeprowadziliśmy analizę ryzyka związanego z negatywnym wpływem działalności mBanku na klimat oraz ryzyka związanego z negatywnym wpływem klimatu na bank. Analizę przygotowaliśmy zgodnie z naszą najlepszą wiedzą oraz aktualnie dostępnymi interpretacjami nowego prawodawstwa. Informacje zaprezentowane w tych ujawnienia przygotowaliśmy przy pomocy niewiążących wytycznych UE dotyczących sprawozdawczości w zakresie informacji niefinansowych: Suplement dotyczący zgłaszania informacji związanych z klimatem (2019/C 209/01).
Działalność banku nie ma istotnego bezpośredniego wpływu na klimat. Branża, w której działa bank, nie należy do sektorów o wysokiej emisyjności gazów cieplarnianych. Zdaniem banku, wpływ ten przejawia się przede wszystkim pośrednio, przez udzielane klientom finansowanie. Bank ma wpływ na klimat przez podejmowane decyzje związane z udzielaniem finansowania klientom z poszczególnych branż. Możemy zmniejszać swój wpływ głównie przez ograniczanie finansowania klientów z branż istotnych z punktu widzenia polityki klimatycznej UE.
Według Suplementu dotyczącego zgłaszania informacji związanych z klimatem, ryzyko związane z negatywnym wpływem klimatu na przedsiębiorstwo można sklasyfikować jako ryzyko fizyczne oraz ryzyko związane z przejściem (inaczej ryzykiem transformacji).
Ryzyko fizyczne to ryzyko dla przedsiębiorstwa wynikające z fizycznych skutków zmiany klimatu, np. gwałtownych zjawisk pogodowych czy długotrwałych zmian klimatu takich jak podnoszący się poziom mórz. Z uwagi na przyjęty w mBanku model biznesowy, w którym podstawowym kanałem obsługi są kanały zdalne, czyli bankowość internetowa i mobilna, mBank jest w niewielkim stopniu narażony na bezpośredni wpływ ryzyka fizycznego, typowego dla przedsiębiorstw produkcyjnych. Możliwym ryzykiem fizycznym są czasowe przerwy w dostawach prądu. W mBanku ryzyko fizyczne czasowych przerw w dostawach prądu minimalizujemy przez stosowanie odpowiednich rozwiązań technicznych tj. redundancji zasilania, generatory. Dla obiektów typu data center mBank stosuje wymagania co najmniej TIER III. Zapewniają one stałe dostawy prądu z dwóch niezależnych źródeł w połączeniu z generatorem. W mBanku zarządzamy tym ryzykiem zgodnie z Systemem Zarządzania Ciągłością Działania.
Położenie geograficzne naszych siedzib i placówek w Polsce, Czechach i Słowacji, w miejscach o umiarkowanym klimacie, sprawia, że ryzyko fizyczne dla działalności operacyjnej o charakterze usługowym jest ograniczone. Rozumiemy przez to nieistotne zagrożenie dla działania oddziałów i centrali banku. Ryzyko to może natomiast oddziaływać na bank pośrednio, przez wpływ na klientów, w szczególności:
- powodzie, pożary i wzrost poziomu morza mogą powodować straty w sektorze nieruchomości (kredyty hipoteczne udzielane klientom indywidualnym oraz komercyjne),
- powodzie i susze mogą wpływać ujemnie na sektor rolniczy,
- niski poziom wód w rzekach może oddziaływać negatywnie na przemysł chemiczny.
Zmiany klimatyczne powodują zaburzenie zjawisk pogodowych, w tym coraz częstsze gwałtowne burze i długotrwałe opady. W 2020 roku badaliśmy potencjalne skutki powodzi na klientów Grupy mBanku. Uwzględniliśmy przy tym strukturę naszego portfela. Przeprowadziliśmy m.in. analizę wpływu na wynik i pozycję kapitałową szerokiego scenariusza makroekonomicznego gwałtownej, długotrwałej recesji gospodarczej spowodowanej wpływem COVID-19 połączonej z dodatkowymi zdarzeniami, w tym powodzią. Zbadaliśmy skutki zalania miejsc działalności istotnych klientów korporacyjnych banku. Sprawdziliśmy także dwa osiedla mieszkaniowe finansowane przez Grupę mBanku, zlokalizowane w miejscach potencjalnie zagrożonych. Zalanie miejsc prowadzenia działalności, połączone z problemami z wypłatami ubezpieczeń, a także spadek cen nieruchomości powoduje pogorszenie spłacalności zaciągniętych kredytów. Spadek spłacalności kredytów powoduje, że konieczne jest podwyższenie rezerw kredytowych oraz dodatkowy wymóg kapitałowy.
Z analizy przeprowadzonej przez mBank wynika, że bank narażony jest głównie na ryzyka związane z przejściem. W naszej analizie posłużyliśmy się definicją tego ryzyka określoną w Suplemencie dotyczącym zgłaszania informacji związanych z klimatem. Definiuje on ryzyko związane z przejściem jako ryzyko dla przedsiębiorstwa wynikające z przejścia na gospodarkę niskoemisyjną i odporną na zmianę klimatu. W mBanku za ryzyka związane z przejściem uznaliśmy głównie ryzyka klimatyczne związane z działalnością naszych klientów, przede wszystkim z segmentu korporacyjnego, którym udzielamy finansowania, głównie przez: kredyty i pożyczki, a także Leasing i organizowanie/obejmowanie emisji papierów dłużnych. Działalność przedsiębiorstw z branż o istotnym wpływie na klimat może być obarczona wyższym ryzykiem kredytowym, tj. głównie:
- ryzykiem strat w wyniku niewywiązania się̨ kontrahenta ze swoich zobowiązań́ oraz
- ryzykiem zmniejszenia wartości ekonomicznej ekspozycji kredytowej na skutek pogorszenia się̨ zdolności kontrahenta do obsługi zobowiązań́ m.in. w związku ze wzrostem niezbędnych kosztów inwestycji proekologicznych.
Ryzyka związane z finansowaniem przedsiębiorstw z branż istotnych z punktu widzenia polityki klimatycznej UE mogą wiązać się przede wszystkim z wyższymi odpisami z tytułu utraty wartości kredytów i pożyczek wycenianych według zamortyzowanego kosztu oraz negatywną zmianą wartości kredytów i pożyczek wycenianych w wartości godziwej przez wynik finansowy, a także z utratą części dochodów.
Tabela przedstawia zidentyfikowane w mBanku ryzyka związane z przejściem.
Rodzaj ryzyka | Opis ryzyka | Rodzaj ryzyka wg wytycznych UE |
---|---|---|
Ryzyko technologiczne | Wiąże się z zastępowaniem technologii mających negatywny wpływ na środowisko przez mniej szkodliwe technologie. Może mieć związek z nowymi wymaganiami regulacyjnymi i potrzebą wyższych wydatków inwestycyjnych, bądź zwiększeniem poziomu kosztów. | Ryzyko związane z polityką
Ryzyko technologiczne |
Wysokie potrzeby inwestycyjne | Działalność branż istotnych z punktu widzenia polityki klimatycznej UE wiąże się często z potrzebą wysokich wydatków inwestycyjnych ze względu na dużą skalę i koncentrację tych projektów. W wypadku gorszego momentu cyklu dla takich branż, może to skutkować ujemnymi przepływami pieniężnymi. | Ryzyko technologiczne |
Bardziej ekologiczna konkurencja | Klienci podmiotu mogą zmienić swoje decyzje zakupowe, jeśli konkurencja będzie bardziej przyjazna środowisku. | Ryzyko rynkowe |
Ryzyko reputacyjne klienta | Przedsiębiorstwa o reputacji podmiotu, który szkodzi klimatowi, mogą mieć trudności z pozyskiwaniem nowych klientów, utrzymaniem obecnych klientów, a także pozyskaniem finansowania i obsługą jego kosztów. | Ryzyko rynkowe
Ryzyko prawne |
Ryzyko reputacyjne mBanku | Przedsiębiorstwo finansowane przez mBank może być obiektem protestów, krytyki mediów i organizacji pozarządowych. Nie ma certyfikatów ani polityk środowiskowych, nie publikuje raportów środowiskowych. Nie ma strategii zmniejszania swojego śladu węglowego. Wpływa to na reputację banku jako podmiotu, który dostarcza finansowanie. | Ryzyko utraty reputacji |
Koszty certyfikatów do emisji CO2 | W wypadku spółek prowadzących działalność wpływającą na zmiany klimatu często istnieje obowiązek zakupu odpowiedniej liczby uprawnień do emisji gazów cieplarnianych. Potrzebna liczba uprawnień, tendencje cenowe na rynku uprawnień oraz podejście klienta do zakupu uprawnień może wpływać na jego wyniki finansowe. | Ryzyko związane z polityką
Ryzyko technologiczne |
Pierwszym krokiem w stronę ograniczenia zaangażowania banku w branże wysokoemisyjne była decyzja Komitetu ryzyka bankowości korporacyjnej i inwestycyjnej z kwietnia 2019 roku. Wykluczała m.in. możliwość finansowania budowy kopalni węgla oraz ograniczała możliwości finansowania energetyki węglowej. Rozszerzeniem tej decyzji było wprowadzenie od 1 listopada 2019 roku „Polityki kredytowej dotyczącej branż istotnych z punktu widzenia polityki klimatycznej UE”. Polityka ta w jeszcze większym stopniu ograniczyła możliwość finansowania wysokoemisyjnych przedsięwzięć oraz wskazała obszary preferowane do finansowania w banku. Należą do nich instalacje OZE i stacje ładowania pojazdów elektrycznych. Polityka ta opisuje zasady, które stosujemy w mBanku do ustalania i oceny ryzyka związanego z klimatem. Jest ona częścią procesu kredytowego. Określa zasady finansowania projektów z branż o szczególnie istotnym wpływie na klimat, takich jak:
- energetyka i ciepłownictwo,
- chemia,
- produkcja cementu i wapna,
- produkcja ceramiki i szkła,
- produkcja celulozy, papieru, kartonu,
- wytwarzanie i przetwarzanie koksu,
- rafinerie ropy naftowej,
- górnictwo węgla,
Polityka wyklucza finansowanie budowy kopalni węgla kamiennego lub węgla brunatnego oraz rozbudowę mocy produkcyjnych już istniejących kopalni. W sektorze energetyki i ciepłownictwa wykluczone jest finansowanie takich przedsięwzięć, jak:
- budowa nowych bloków i kotłów energetycznych opalanych węglem kamiennym lub brunatnym,
- inwestycje związane z budową i rozwojem elektrowni atomowych,
- poszukiwanie i wydobycie gazu łupkowego,
- finansowanie nowych klientów, w których udział energii elektrycznej z węgla kamiennego lub brunatnego (liczony na podstawie pomiaru mocy wytwórczej) wynosi ponad 50%.
Preferujemy natomiast projekty celowe, które istotnie zmniejszają emisję gazów cieplarnianych – dla takich przedsięwzięć zaleca się zastosowanie preferencyjnych warunków cenowych.
Z ochroną klimatu wiąże się nie tylko ryzyko dla mBanku, ale również szanse. Podstawową szansą związaną z działaniami na rzecz ochrony klimatu, jest możliwość poszerzania oferty banku zgodnie ze zmieniającymi się potrzebami klientów. Przykładem takiego produktu jest oferta finansowania projektów związanych z odnawialnymi źródłami energii. Wprowadzona w 2018 roku „Polityka kredytowa mBanku S.A. dotycząca finansowania instalacji Odnawialnych Źródeł Energii (OZE)” zakłada przeznaczenie 4 mld zł na farmy wiatrowe i fotowoltaikę (pierwotnie zakładała 0,5 mld zł; w 2020 roku zwiększyliśmy limit do 4 mld zł). Byliśmy jednym z pierwszych banków kredytujących energetykę wiatrową. Obecnie widzimy rosnącą rolę fotowoltaiki w miksie energetycznym, za którą może podążyć morska energetyka wiatrowa. Decyzja o zwiększeniu limitu finansowania projektów OZE wynika między innymi z dużego zainteresowania finansowaniem i dobrej spłacalności kredytów, jak również obiecujących perspektyw dla branży. Pracujemy m.in. nad projektami opartymi na umowach typu PPA (Power Purchase Agreement). W tym modelu inwestor planujący budowę zielonego źródła, najczęściej wiatrowego, podpisuje najpierw kilkunastoletnią umowę sprzedaży energii, np. z firmą produkcyjną.
Aby dostosować ofertę produktową do zmieniających się potrzeb klientów, w 2019 roku mLeasing wprowadził finansowanie paneli fotowoltaicznych. Oferta spółki leasingowej mBanku pozwala firmie sfinansować instalację fotowoltaiczną o wartości do 250 tys. zł oraz o mocy do 50 kW. Okres leasingu może wynosić do 6 lat, a wkład własny przedsiębiorcy powinien stanowić 10% wartości inwestycji. W 2020 roku mLeasing zrealizował 198 transakcji, na łączny wolumen 20 mln zł. Klienci finansujący w mLeasing instalacje fotowoltaiczne korzystają dodatkowo z preferencyjnego kosztu finansowania w ramach programu EBI Climate Action.
Od 2019 roku klienci bankowości prywatnej mBanku jako pierwsi w Polsce mogą inwestować odpowiedzialnie, zgodnie ze standardami ESG. Strategie Zrównoważone ESG mBanku umożliwiają klientom bankowości prywatnej inwestowanie w portfele zawierające akcje i obligacje emitentów wyróżniających się pozytywnym wpływem na środowisko i społeczeństwo. Na koniec 2020 roku aktywa Strategii ESG stanowiły 45% aktywów w strategiach inwestycyjnych o porównywalnym poziomie ryzyka inwestycyjnego.
Przed Grupą mBanku mogą też otworzyć się nowe możliwości pozyskiwania finansowania, np. przez tzw. „zielone obligacje” lub inne formy finansowania związane z kryteriami ESG.