-A A+
EN
  • ESG
  • Ład korporacyjny

Ład korporacyjny

GRI:[ ]
PKO Bank Polski dąży do ciągłego udoskonalania ładu korporacyjnego i zapewnia przejrzystość kierowania spółką. Struktura zarządcza banku i jego podmiotów zależnych oparta jest na standardowych, rynkowych zasadach zarządzania, które odzwierciedlają sfery działalności banku.
logo
PKO Raport
Roczny Online
2020

Oświadczenie o stosowaniu ładu korporacyjnego

Bank przyjął do stosowania zasady i rekomendacje zawarte w zbiorze Dobre Praktyki Spółek Notowanych na GPW 2016, z zastrzeżeniem, że rekomendacja IV.R.2., która dotyczy umożliwienia akcjonariuszom udziału w Walnym Zgromadzeniu przy wykorzystaniu środków komunikacji elektronicznej, nie będzie stosowana. Rekomendację IV.R.2 bank stosuje wyłącznie w części dotyczącej transmisji obrad Walnych Zgromadzeń w czasie rzeczywistym.

Bank publikuje informację na temat stosowania rekomendacji i zasad zawartych w Dobrych Praktykach. Sporządza tę informację na formularzu ustalonym przez GPW i wskazuje na szczegółowy stan przestrzegania lub nieprzestrzegania każdej z rekomendacji oraz zasad Dobrych Praktyk. Bank ujawnia również raporty dotyczące ewentualnego, incydentalnego niezastosowania którejkolwiek zasady zawartej w Dobrych Praktykach.

W 2020 roku bank naruszył incydentalnie zasadę II.Z.11 Dobrych Praktyk, która wskazuje na konieczność rozpatrzenia i zaopiniowania przez Radę Nadzorczą spraw mających być przedmiotem uchwał Walnego Zgromadzenia.

W związku z tym, na podstawie § 29 ust. 3 Regulaminu GPW, bank opublikował raport dotyczący incydentalnego naruszenia wyżej wymienionej zasady. Bank wskazał, że naruszenie polegało na niewyrażeniu przez Radę Nadzorczą banku opinii dotyczącej projektów uchwał Zwyczajnego Walnego Zgromadzenia banku w związku z przesłaniem przez akcjonariusza banku projektów na dwa dni przed posiedzeniem ZWZ. Wyrażenie opinii na temat przesłanych projektów stało się niemożliwe ze względu na bardzo krótki czas na podjęcie formalnej decyzji przez Radę Nadzorczą.

ff ff

Przestrzeganie rekomendacji zawartych w Dobrych Praktykach

Nadrzędnym celem banku w zakresie działań informacyjnych jest zagwarantowanie wysokich standardów komunikacji z uczestnikami rynku kapitałowego. Standardy komunikacji są wyrazem poszanowania zasad powszechnego i równego dostępu do informacji. Aby zrealizować ten cel, bank prowadzi politykę informacyjną w sposób gwarantujący właściwy, rzetelny i kompletny dostęp do informacji o banku dla wszystkich inwestorów, bez stosowania preferencji w stosunku do któregokolwiek z nich. Te reguły bank formalnie przyjął w Zasadach polityki informacyjnej PKO Banku Polskiego w zakresie kontaktów z inwestorami i klientami.

Realizując tę politykę, bank dokłada szczególnej staranności, aby umożliwić inwestorom i analitykom zadawanie pytań oraz uzyskiwanie wyjaśnień na interesujące ich tematy. W tym celu organizowane są cykliczne, indywidualne spotkania inwestorów z przedstawicielami banku, konferencje wyjazdowe związane z prezentacją banku (w gronie inwestorów i analityków rynku kapitałowego) oraz konferencje i telekonferencje bezpośrednio po publikacji raportów okresowych PKO Banku Polskiego (w 2020 roku ze względu na pandemię głównie w formie elektronicznej z użyciem dostępnych aplikacji). Inwestorzy na bieżąco otrzymują odpowiedzi na pytania także zadawane pisemnie, drogą elektroniczną lub telefonicznie.

Aby jak najszybciej informować rynek o sytuacji PKO Banku Polskiego, wyniki finansowe są publikowane w możliwie najkrótszym czasie po zakończeniu okresu sprawozdawczego. Sukcesywne skracanie terminów publikacji zaburzyła w 2020 roku konieczność określenia wpływu pandemii na wyniki banku i grupy kapitałowej. W ramach szeroko pojętej polityki informacyjnej bank w rocznych sprawozdaniach Zarządu z działalności grupy opisuje główne zasady polityki w zakresie działalności sponsorskiej i charytatywnej. Bank ma również rekomendowane uregulowania wewnętrzne dotyczące udzielania wyjaśnień i sprostowań dotyczących nieprawdziwych, nieścisłych lub szkodliwych doniesień medialnych.

Potwierdzeniem jakości prowadzonych działań informacyjnych może być fakt, że w 2020 roku w największym w Polsce badaniu relacji inwestorskich w spółkach z WIG30 przygotowanym przez „Parkiet” i Izbę Domów Maklerskich, bank zajął 3. miejsce wśród spółek, które według inwestorów instytucjonalnych i analityków najlepiej komunikują się z rynkiem.

Członkowie Zarządu i Rady Nadzorczej PKO Banku Polskiego są powoływani w sposób umożliwiający wybór osób reprezentujących wysokie kwalifikacje i doświadczenie. Znajduje to odzwierciedlenie w przyjętych w 2020 roku w banku politykach oceny odpowiedniości dotyczących członków obu tych organów, z uwzględnieniem zasady ich zróżnicowania. Zasada zróżnicowania ma zapewnić dobór członków Zarządu lub Rady Nadzorczej tak, aby mieli szeroki zakres kompetencji, wiedzy i umiejętności, które są adekwatne do stanowiska i gwarantują wydawanie przez nich (indywidualnie i jako organ) niezależnych opinii i decyzji w całym zakresie działalności banku. Zasada zróżnicowania doboru opiera się o obiektywne kryteria merytoryczne w zakresie wykształcenia i doświadczenia zawodowego. W razie potrzeby bank zapewnia Radzie Nadzorczej możliwość korzystania z profesjonalnych, niezależnych usług doradczych.

Zarówno członkowie Zarządu, jak i Rady Nadzorczej poświęcają niezbędny czas na wykonywanie swoich obowiązków. Frekwencja na posiedzeniach Rady Nadzorczej jest wysoka, a nieobecność uzyskuje usprawiedliwienie wyrażone w uchwałach Rady Nadzorczej. Pełnienie funkcji w Zarządzie banku jest głównym obszarem aktywności członków tego organu, a członkostwo w organach innych podmiotów w głównej mierze polega na sprawowaniu funkcji nadzorczych w spółkach grupy kapitałowej.

Rada Nadzorcza banku, w ramach zarządzania sukcesją, podejmuje decyzje w zakresie doboru nowych członków Zarządu banku. Celem tego procesu jest zapewnienie ciągłości podejmowania decyzji w zakresie obszaru działania nadzorowanego przez danego członka Zarządu banku, jak i całego Zarządu banku. Kierując się tą zasadą, ze względu na kończącą się w połowie 2020 roku kadencję Zarządu, Rada Nadzorcza dokonała wyboru członków tego organu z odpowiednim wyprzedzeniem.

Statutowym zobowiązaniem banku w zakresie utrzymywania składu Rady Nadzorczej jest konieczność zwołania Walnego Zgromadzenia, aby uzupełnić skład Rady Nadzorczej w przypadku, gdyby zmniejszył się poniżej 5.

Bank wyodrębnia w swojej strukturze jednostki odpowiedzialne za realizację zadań w poszczególnych systemach i funkcjach, w szczególności jednostki zajmujące się kontrolą wewnętrzną, zarządzaniem ryzykiem i zgodnością. Główne założenia systemu kontroli wewnętrznej oraz zasad zarządzania ryzykiem w banku są dostępne na stronie Relacji Inwestorskich w zakładce Audytor i kontrola wewnętrzna.

Bank dąży do odbywania zwyczajnych walnych zgromadzeń w możliwie najkrótszym terminie po publikacji raportu rocznego. Na przestrzeni pięciu ostatnich lat okres ten skrócił się o około miesiąc. Wyjątek stanowi data odbycia Zwyczajnego Walnego Zgromadzenia banku w 2020 roku, która za względu na pandemię przypadła na koniec sierpnia 2020 roku. Obrady walnego zgromadzenia są transmitowane w czasie rzeczywistym.

Przepisy wewnętrzne PKO Banku Polskiego gwarantują przestrzeganie rekomendacji i zasad zawartych w Dobrych Praktykach. W banku obowiązują przepisy wewnętrzne dotyczące zarządzania konfliktami interesów. Zgodnie z tymi przepisami, zarówno członek Rady Nadzorczej, jak i członek Zarządu powinien powstrzymywać się od podejmowania aktywności zawodowej lub pozazawodowej, która mogłaby prowadzić do powstania konfliktu interesów lub w inny sposób wpływać negatywnie na jego reputację jako członka organu odpowiednio nadzorującego lub zarządzającego. Określone są również zasady dotyczące obowiązku ujawniania konfliktów, wstrzymania się od podejmowania decyzji i wyłączania członków tych organów z udziału w rozpatrywaniu spraw, z którymi związany jest konflikt interesów.

W banku obowiązuje polityka wynagrodzeń członków Rady Nadzorczej oraz Zarządu aktualnie przyjęta przez Zwyczajne Walne Zgromadzenie w 2020 roku. Zgodnie z treścią tej polityki wynagrodzenie całkowite członka Zarządu banku składa się z części stałej oraz części zmiennej. Wynagrodzenie zmienne jest uzależnione od poziomu realizacji celów zarządczych takich jak: osiągnięcie wyniku finansowego netto banku i grupy, osiągnięcie wskazanych wskaźników ekonomiczno-finansowych, realizacja strategii banku i grupy oraz utrzymanie pozycji rynkowej banku.

W PKO Banku Polskim przyjęte są również zasady wynagradzania pracowników, których działalność ma istotny wpływ na profil ryzyka banku. Wynagrodzenia kluczowych menedżerów są bezpośrednio uzależnione od sytuacji finansowej banku oraz wzrostu jego wartości. Poziom wynagrodzeń członków organów banku i kluczowych menedżerów jest adekwatny do powierzonego poszczególnym osobom zakresu zadań. Praca w komitetach Rady Nadzorczej banku uwzględniana jest w wysokości wynagrodzenia członków tych komitetów.

Funkcjonowanie powołanego w ramach Rady Nadzorczej Banku Komitetu Nominacji i Wynagrodzeń odpowiada warunkom opisanym w Załączniku nr I do Zalecenia Komisji Europejskiej 2005/162/WE dotyczącego roli dyrektorów niewykonawczych lub będących członkami rady nadzorczej spółek giełdowych i komisji rady (nadzorczej).

Zasady ładu korporacyjnego Komisji Nadzoru Finansowego dla instytucji nadzorowanych

Bank przyjął do stosowania Zasady ładu korporacyjnego dla instytucji nadzorowanych (przyjęte przez KNF na posiedzeniu 22 lipca 2014 roku) w zakresie, który dotyczy kompetencji i obowiązków Zarządu – prowadzenia spraw banku i jego reprezentacji, zgodnie z przepisami prawa oraz Statutem banku. Tym niemniej przyjęto, że § 8 ust. 4 Zasad nie będzie stosowany w zakresie, który dotyczy zapewnienia akcjonariuszom możliwości elektronicznego udziału w posiedzeniach organu stanowiącego. Rozdział 9 Zasad, który dotyczy zarządzania aktywami na ryzyko klienta, nie będzie stosowany, ponieważ bank nie prowadzi takiej działalności.

Rada Nadzorcza Banku przyjęła do stosowania Zasady w zakresie, który dotyczy kompetencji i obowiązków Rady Nadzorczej – nadzorowania prowadzenia spraw banku zgodnie z przepisami prawa oraz Statutem banku.

Walne Zgromadzenie banku zadeklarowało w uchwale z 2015 roku, że działając w ramach przysługujących mu kompetencji będzie kierowało się Zasadami, przy czym odstąpiło od stosowania zasad określonych w:

  • 8 ust. 4 Zasad w zakresie zapewnienia możliwości elektronicznego udziału akcjonariuszy w posiedzeniach organu stanowiącego,
  • 10 ust. 2 Zasad w zakresie wprowadzania uprawnień osobistych lub innych szczególnych uprawnień dla akcjonariuszy,
  • 12 ust. 1 Zasad w zakresie odpowiedzialności akcjonariuszy za niezwłoczne dokapitalizowanie instytucji nadzorowanej,
  • 28 ust. 4 Zasad w zakresie dokonywania przez organ stanowiący oceny, czy ustalona polityka wynagradzania sprzyja rozwojowi i bezpieczeństwu działania instytucji.

Odstąpienie od stosowania zasady określonej w § 8 ust. 4, było zgodne z uprzednią decyzją Zwyczajnego Walnego Zgromadzenia (ZWZ) PKO Banku Polskiego z 30 czerwca 2011 roku. Decyzja była wyrażona poprzez niepodjęcie uchwały w sprawie zmian Statutu banku, których celem było umożliwienie uczestnictwa w Walnym Zgromadzeniu za pośrednictwem środków komunikacji elektronicznej. Decyzja o niestosowaniu tej zasady, została podjęta z uwagi na ryzyko natury prawnej i organizacyjno-technicznej, które może zagrażać prawidłowemu przebiegowi walnego zgromadzenia. W związku z propozycjami uprawnionego akcjonariusza banku – Skarbu Państwa odstąpiono od pozostałych, wskazanych w uchwale ZWZ zasad.

Zgodnie z uzasadnieniem przedstawionym przez Skarb Państwa wraz z propozycją projektu uchwały ZWZ, odstąpienie od stosowania zasady określonej w § 10 ust. 2 i § 12 ust. 1 Zasad spowodowane było niezakończonym procesem prywatyzacji banku przez Skarb Państwa.

Odstąpienie od stosowania zasady określonej w § 28 ust. 4 uzasadnione było, zgodnie z wnioskiem Skarbu Państwa, zbyt szerokim zakresem podmiotowym polityki wynagradzania, który podlega ocenie organu stanowiącego. W opinii akcjonariusza polityka wynagradzania osób, które pełnią kluczowe funkcje i nie są członkami organu nadzorującego i organu zarządzającego, powinna podlegać ocenie ich pracodawcy albo mocodawcy (jest nim bank reprezentowany przez Zarząd, którego działalność nadzoruje Rada Nadzorcza).

W 2021 roku Walnemu Zgromadzeniu akcjonariuszy zostanie przedłożone Sprawozdanie o wynagrodzeniach członków Zarządu i Rady Nadzorczej banku za lata 2019-2020.

Struktura zarządcza

Struktura zarządcza PKO Banku Polskiego i podmiotów zależnych oparta jest na standardowych, rynkowych zasadach zarządzania. Struktura organizacyjna banku dzieli się na 9 obszarów, które odzwierciedlają sfery działalności banku:
  • 102-18
pko-grafy-2020_Schemat-struktury pko-grafy-2020_Schemat-struktury

Od 2019 roku w ramach Obszaru Finansów i Rachunkowości działa Biuro Raportowania Działalności Grupy, którego zadaniem jest m.in. zbieranie, analizowanie oraz upublicznianie informacji w zakresie zagadnień społecznych i środowiskowych. Oznacza to, że zagadnienia środowiskowo-społeczne uzyskały kierownicze umocowanie w strukturze banku. Na początku 2020 roku bank uruchomił projekt ESG. Jego celem jest poprawa jakości raportowania niefinansowego oraz reputacji banku jako instytucji, która oprócz celów finansowych stawia przed sobą również cele w obszarach społecznym, środowiskowym i ładu zarządczego. Prace projektu nadzoruje komitet sterujący, w skład którego wchodzi trzech członków Zarządu.

Zasady wynagradzania członków Zarządu banku

System wynagradzania członków Zarządu banku reguluje:

  • Polityka wynagrodzeń członków Rady Nadzorczej oraz Zarządu banku, przyjęta uchwałą nr 35/2020 Zwyczajnego Walnego Zgromadzania banku z 26 sierpnia 2020 roku,
  • Polityka wynagradzania pracowników banku i Grupy PKO Banku Polskiego, zatwierdzona uchwałą nr 41/2020 Rady Nadzorczej banku z 21 maja 2020 roku,
  • Zasady zatrudnienia i wynagradzania członków Zarządu banku, przyjęte przez Radę Nadzorczą banku w 2017 roku i zmienione uchwałami Rady Nadzorczej banku z 12 sierpnia 2019 roku (nr 71/2019) oraz z 25 czerwca 2020 roku (nr 65/2020); zasady realizują postanowienia ustawy z 9 czerwca 2016 roku o zasadach kształtowania wynagrodzeń osób kierujących niektórymi spółkami (Dz. U. 2016, poz. 1202 z późn. zm.).

Na ich podstawie członkom Zarządu banku przysługują:

  • wynagrodzenie stałe w wysokości określonej w uchwale Rady Nadzorczej banku odrębnie dla Prezesa Zarządu, członka Zarządu do spraw ryzyka zastępującego Prezesa Zarządu i pozostałych członków Zarządu,
  • wynagrodzenie zmienne – wynagrodzenie dodatkowe przyznawane i wypłacane po zakończeniu okresu premiowania, w szczególności z tytułu: premii, nagród za szczególne osiągnięcia w pracy, odpraw związanych z rozwiązaniem umowy (z wyłączeniem wynagrodzenia stałego i świadczeń przyznawanych na podstawie obowiązujących przepisów prawa).

Świadczenia dla członków Zarządu banku

Świadczenia dla członków Zarządu banku wypłacone przez PKO Bank Polski (w tys. PLN)

Wynagrodzenie stałe wypłacone w 2020 Wynagrodzenie zmienne wypłacone w 2020 Inne świadczenia1) Łączna wartość świadczeń w 2020
Świadczenia w formie gotówkowej Płatności na bazie akcji rozliczane w środkach pieniężnych
Zbigniew Jagiełło 793 388 632 63 1 876
Rafał Antczak 740 172 187 39 1 138
Rafał Kozłowski 740 159 204 39 1 142
Maks Kraczkowski 740 263 317 46 1 366
Mieczysław Król 740 266 329 47 1 382
Adam Marciniak 740 171 216 39 1 166
Piotr Mazur 766 316 496 55 1 633
Jakub Papierski 740 303 477 53 1 573
Jan Emeryk Rościszewski 740 255 313 46 1 354
Zarząd banku 6 739 2 293 3 171 427 12 630
Członkowie, którzy przestali pełnić swoje funkcje w poprzednich latach 281 729 28 1 038
Razem 6 739 2 574 3 900 455 13 668
1) Wpłaty na Pracowniczy Program Emerytalny (PPE)
Wartości wykazane w tabeli nie uwzględniają zwrotów nadpłaconych składek ZUS, które w sprawozdaniu za 2019 rok były wykazywane w kolumnie „Inne otrzymane w 2019” w ramach świadczeń w formie gotówkowej.

 

Wynagrodzenie członków Zarządu banku od jednostek powiązanych (w tys. PLN)

2020 2019
Rafał Kozłowski1) 188 453
Jan Emeryk Rościszewski 29 85
Razem 217 538
1) Prezentowane wartości obejmują m.in. wynagrodzenie zmienne, odpowiednio za lata 2016-2017 i 2015-2017, wypłacone z tytułu pełnienia funkcji Prezesa Zarządu PKO Banku Hipotecznego.

Bank na bieżąco aktualizuje zasady ustalania zmiennych składników wynagrodzeń. Robi to zgodnie z wymogami dyrektywy CRD IV i Rozporządzenia delegowanego nr 604/2014, które uzupełnia dyrektywę Parlamentu Europejskiego i Rady 2013/36/UE w odniesieniu do regulacyjnych standardów technicznych w zakresie kryteriów jakościowych i właściwych kryteriów ilościowych ustalania kategorii pracowników, których działalność zawodowa ma istotny wpływ na profil ryzyka instytucji z 4 marca 2014 roku. Podstawą przyznania zmiennych składników wynagrodzeń są przede wszystkim cele premiowe nadawane w ramach zarządzania przez cele – Management by Objectives (MbO).

Formy wynagrodzenia zmiennego:

Wartość wynagrodzenia zmiennego (brutto) Nieodroczone wynagrodzenie zmienne 50% gotówka
/ 50% akcje fantomowe		 Odroczone wynagrodzenie zmienne 50% gotówka
/ 50% akcje fantomowe
Do 700 000 PLN (włącznie) 60% wartości bazowej wynagrodzenia zmiennego
– w pierwszym roku po okresie oceny		 40% wartości bazowej wynagrodzenia zmiennego
– w równych ratach w kolejnych latach po pierwszym roku po okresie oceny
Powyżej 700 000 PLN 420 000 PLN plus 40% z nadwyżki ponad 700 000 PLN 280 000 PLN plus 60% z nadwyżki ponad 700 000 PLN

 

Nadawane cele mają zagwarantować uwzględnienie ryzyka związanego z działalnością banku. Ryzyko jest uwzględniane zarówno poprzez ustalenie odpowiednich, wrażliwych na ryzyko kryteriów oceny efektywności pracy, jak i redukcję lub brak wynagrodzenia zmiennego w przypadku pogorszonych wyników finansowych, straty lub pogorszenia innych wskaźników. Zmienne składniki wynagrodzeń za dany okres premiowania (rok kalendarzowy) przyznawane są po rozliczeniu celów premiowych. Okres odroczenia, na jaki przyznawane są akcje fantomowe wynosi 5 lat (w ujęciu kalendarzowym). Każdy z naliczonych składników wynagrodzenia zmiennego może zostać obniżony w następstwie:

  • naruszenia obowiązków, które wynikają z umowy,
  • uchybień w przestrzeganiu przepisów prawa lub standardów obsługi klientów,
  • nieprawidłowego wykonywania wyznaczonych zadań służbowych,
  • zachowań w stosunku do innych pracowników, które naruszają zasady współżycia społecznego.

Kwota premii członka Zarządu (CZB) może zostać skorygowana na minus lub na plus o określony wskaźnik, w zależności od osiągniętych wyników banku określonych w rocznej Nocie banku (zestaw kluczowych wskaźników zarządczych określonych na dany rok kalendarzowy). Kwota premii MRT (Material Risk Takers) nie będącego członkiem Zarządu może zostać skorygowana na plus o określony wskaźnik w zależności od wyników banku określonych w rocznej Nocie banku. Możliwe jest zastosowanie (odpowiednio przez Radę Nadzorczą lub Zarząd banku) rozwiązania typu malus, które obniża wielkość należnego wynagrodzenia zmiennego odroczonego w kolejnych okresach rozliczeniowych. Jest to możliwe w przypadku:

  • znacznego pogorszenia wyników banku,
  • znaczącej negatywnej zmiany w kapitale własnym,
  • naruszenia przez MRT przepisu prawa lub popełnienia przezeń istotnych błędów,
  • korekty realizacji i stopnia realizacji wyników lub celów MRT,
  • pogorszenia wyników obszarów nadzorowanych lub kierowanych przez wyżej wymienione osoby,
  • przyznania wynagrodzenia zmiennego na podstawie nieprawidłowych, wprowadzających w błąd informacji lub w wyniku oszustwa MRT.

Polityka wynagrodzeń członków Rady Nadzorczej i Zarządu banku nie przewiduje obowiązku zwrotu przyznanego i już wypłaconego wynagrodzenia zmiennego. Polityka ta uprawnia Radę Nadzorczą do przyjmowania dodatkowych postanowień m.in. w zakresie żądania zwrotu przez bank wynagrodzenia zmiennego (clawback). W latach 2019-2020 takie żądanie nie wystąpiło.

W przypadku przyznania odprawy związanej z odwołaniem z funkcji (innej niż wynikająca z powszechnie obowiązujących przepisów prawa), wysokość odprawy odzwierciedla ocenę pracy w ciągu ostatnich trzech lat zatrudnienia. Maksymalną wysokość odpraw określają wewnętrzne przepisy banku. Odprawa przysługuje członkowi Zarządu pod warunkiem pełnienia funkcji członka Zarządu banku przez okres co najmniej dwunastu miesięcy przed rozwiązaniem umowy. Odprawa MRT może być przyznana pod warunkiem zatrudnienia na stanowisku MRT przez okres co najmniej dwunastu miesięcy przed rozwiązaniem umowy o pracę.

Członkowie Zarządu i wybrani MRT objęci są ponadto umowami o zakazie konkurencji, które z tytułu powstrzymywania się przed zatrudnieniem w firmie konkurencyjnej po zakończeniu zatrudnienia w banku, przewidują wypłaty odszkodowań – maksymalnie przez okres sześciu miesięcy, w wysokości do 100% wynagrodzenia stałego wynikającego z umowy.

Bank w pierwszej połowie 2020 roku wprowadził zmiany Zasad zatrudniania i wynagradzania członków Zarządu banku, Polityki wynagradzania pracowników banku i Grupy PKO Banku Polskiego oraz Zasad wynagradzania pracowników banku, których działalność ma istotny wpływ na profil ryzyka Banku – Material Risk Takers w banku. Bank zrobił to w związku z komunikatami Europejskiego Urzędu Nadzoru Bankowego (EUNB) z 31 marca 2020 roku oraz Urzędu Komisji Nadzoru Finansowego (UKNF) z 17 kwietnia 2020 roku dotyczącymi oczekiwanych działań banków oraz zakładów ubezpieczeń w odpowiedzi na wybuch pandemii, w tym odnoszącymi się do wypłaty zmiennych składników wynagradzania.

Zmiany proporcji oraz terminów wypłat wynagrodzeń zmiennych:

Wyszczególnienie Wartość wynikająca z przepisów wewnętrznych Wartość wynikająca z nadzwyczajnych
uchwał podjętych w 2020 roku:
Proporcja między wynagrodzeniem zmiennym nieodroczonym i odroczonym za 2019 rok Nieodroczone 60%1) Nieodroczone 40%
Odroczone 40% Odroczone 60%
Proporcja między wynagrodzeniem zmiennym za 2019 rok w formie gotówkowej / w formie instrumentu finansowego Gotówka 50% Gotówka 40%
Instrument finansowy 50% Instrument finansowy 60%
Termin wypłaty kwoty wynikającej z przeliczenia akcji fantomowych na wartość pieniężną dla wynagrodzenia nieodroczonego za rok 2019 w formie instrumentu finansowego CZB 2 stycznia 2021 roku CZB 1 lipca 2021 roku
MRT 15 listopada 2020 roku MRT 31 maja 2021 roku
Termin wypłat wynagrodzeń zmiennych odroczonych, w odniesieniu do niewypłaconych rat za lata 2016-2019 CZB Gotówka 1 lipca CZB Gotówka 1 lipca (bez zmian)
Instrument finansowy 2 stycznia Instrument finansowy 1 lipca
MRT Gotówka 30 kwietnia MRT Gotówka 31 maja
Instrument finansowy 15 listopada Instrument finansowy 31 maja kolejnego roku
1) Zgodnie z przepisami wewnętrznymi do kwoty 700 000 PLN proporcja wynosi 60% do 40%, a ponad tę kwotę 40% do 60%.

 

W szczególności zmieniono Politykę wynagradzania pracowników banku i Grupy PKO Banku Polskiego. Gdy zajdą nadzwyczajne i nieprzewidziane okoliczności wymagające zastosowania konserwatywnego podejścia do wynagrodzenia zmiennego, można czasowo:

  • zmienić proporcję wynagrodzeń zmiennych odroczonych i nieodroczonych na rzecz zwiększenia części wynagrodzenia zmiennego odroczonego,
  • przedłużyć okresy odroczeń wypłat wynagrodzeń zmiennych oraz przedłużyć terminy, z których wartość bazowa wynagrodzenia zmiennego jest przeliczana na wartość instrumentów finansowych, a wartość instrumentów finansowych będzie stanowiła podstawę przeliczenia instrumentu finansowego na gotówkę do wypłaty,
  • zmienić proporcję między wynagrodzeniem zmiennym w formie gotówkowej i w formie instrumentu finansowego na rzecz zwiększenia części wynagrodzenia zmiennego w formie instrumentu finansowego.

W maju 2020 roku Zarząd banku podjął uchwałę w sprawie wypłat w 2020 roku zmiennych składników wynagrodzenia przyznanych Material Risk Takers w banku. W czerwcu 2020 roku Rada Nadzorcza banku podjęła uchwałę w sprawie zatwierdzenia wysokości wypłat zmiennych składników wynagrodzeń członkom Zarządu banku w 2020 roku. Uchwały Zarządu i Rady Nadzorczej (w związku z ogłoszeniem stanu epidemii COVID-19 w kraju oraz wymienionymi wyżej komunikatami EUNB i UKNF) przesądziły o zmianach proporcji oraz terminów wypłat wynagrodzeń zmiennych.

Od 1 lipca 2017 roku zasady zatrudnienia i wynagradzania członków Zarządu banku zostały dostosowane do przepisów ustawy z 9 czerwca 2016 roku o zasadach kształtowania wynagrodzeń osób kierujących niektórymi spółkami (Dz. U. z 2016 poz. 1202 z późn. zm.). Po zmianie, członkom Zarządu nie przysługuje prawo do pozafinansowych składników wynagrodzenia.

Świadczenia dla członków Rady Nadzorczej banku

Miesięczne wynagrodzenie członków Rady Nadzorczej banku zostało ustalone przez Politykę wynagrodzeń członków Rady Nadzorczej oraz Zarządu banku. Miesięczne wynagrodzenie członków Rady Nadzorczej ustalone jest jako iloczyn podstawy wymiaru, o której mowa w art. 1 ust. 3 pkt 11 ustawy z 9 czerwca 2016 roku o zasadach kształtowania wynagrodzeń osób kierujących niektórymi spółkami oraz mnożnika: dla Przewodniczącego Rady Nadzorczej – 2,75, dla Wiceprzewodniczącego Rady Nadzorczej – 2,5, dla Sekretarza Rady Nadzorczej – 2,25, dla pozostałych członków Rady Nadzorczej – 2.

Wynagrodzenie zostaje podwyższone o 10% w przypadku, gdy członek Rady Nadzorczej uczestniczy w co najmniej jednym stałym komitecie Rady Nadzorczej. Członkowi Rady Nadzorczej, niezależnie od wynagrodzenia, przysługuje zwrot kosztów poniesionych w związku z wykonywaniem funkcji, a w szczególności kosztów przejazdu z miejsca zamieszkania do miejsca posiedzenia Rady Nadzorczej i z powrotem, kosztów zakwaterowania i wyżywienia.

Wynagrodzenia członków Rady Nadzorczej (w tys. PLN)

Wynagrodzenie stałe wypłacone w 2020 roku Wynagrodzenie stałe wypłacone w 2019 roku1)
Mariusz Andrzejewski 115 116
Mirosław Barszcz 86 116
Adam Budnikowski 86 116
Grzegorz Chłopek 30
Grażyna Ciurzyńska2) 139 145
Dariusz Górski 19 65
Zbigniew Hajłasz 137 131
Marcin Izdebski 38
Wojciech Jasiński 115 116
Andrzej Kisielewicz 115 116
Rafał Kos 30
Elżbieta Mączyńska-Ziemacka 86 116
Krzysztof Michalski 115 23
Janusz Ostaszewski 50
Piotr Sadownik 147 160
Razem 1 258 1 270
1) W stosunku do danych opublikowanych w Sprawozdaniu Zarządu z działalności Grupy Kapitałowej PKO Banku Polskiego za 2019 rok, zmianie uległ sposób prezentacji wynagrodzeń Rady Nadzorczej. W sprawozdaniu za 2019 rok prezentowane były wynagrodzenia otrzymane za rok sprawozdawczy, a w obecnym wynagrodzenia otrzymane w roku sprawozdawczym.
2) Inne nie uwzględnione w wynagrodzeniu stałym: użytkowanie samochodu służbowego do celów prywatnych, w tym w 2020 roku w kwocie 17 tys. PLN i w 2019 roku w kwocie 19 tys. PLN.
gg gg

Zarządzanie ryzykiem

  • 102-11

System zarządzania ryzykiem jest dostosowywany do charakteru, skali i złożoności działalności grupy oraz otoczenia regulacyjnego, społecznego i środowiskowego. Za funkcjonowanie efektywnego systemu zarządzania ryzykiem odpowiada Zarząd banku. Zarząd regularnie monitoruje, czy metody identyfikacji, pomiaru lub szacowania ryzyka, kontroli, monitorowania oraz raportowania ryzyka dostosowane są do wielkości i profilu ryzyka. Zarząd zapewnia działanie systemu zarządzania ryzykiem, monitoruje i ocenia jego funkcjonowanie oraz przekazuje Radzie Nadzorczej informację w tym zakresie.

[102-11] Zgodnie ze strategią zarządzania ryzykiem, bank nadzoruje systemy zarządzania ryzykiem w pozostałych podmiotach grupy i wspiera rozwój tych systemów, jak również uwzględnia profil ryzyka działalności poszczególnych podmiotów w monitorowaniu i raportowaniu ryzyka na poziomie grupy. Bank poprzez odpowiednie zarządzanie ryzykiem zapewnia stabilność wyniku finansowego oraz umocnienie pozycji rynkowej banku. Zasady i sposób oceny poszczególnych rodzajów ryzyka w pozostałych podmiotach grupy określają przepisy wewnętrzne tworzone z uwzględnieniem opinii i rekomendacji banku oraz postanowień strategii zarządzania ryzykiem.

Grupa zidentyfikowała ryzyka, które podlegają zarządzaniu i część z nich uznała za istotne: ryzyko kredytowe, ryzyko walutowych kredytów hipotecznych dla gospodarstw domowych, ryzyko walutowe, ryzyko stopy procentowej, ryzyko płynności (z wyróżnieniem ryzyka finansowania), ryzyko operacyjne, ryzyko biznesowe (strategiczne), ryzyko zmian makroekonomicznych oraz ryzyko modeli. W grupie ryzyk istotnych nie wyodrębniono ryzyk społeczno-środowiskowych. Grupa zarządza wymienionymi ryzykami z uwzględnieniem aspektów społecznych. Pozostałe podmioty mogą uznać za istotne także inne rodzaje ryzyka niż wymienione powyżej.

Bank monitoruje proces legislacji nowych regulacji w zakresie ryzyk ESG i prowadzi działania dostosowawcze, aby spełnić wymogi EBA (Europejski Urząd Nadzoru Bankowego), w szczególności w zakresie uwzględnienia czynników klimatycznych w procesach zarządzania poszczególnymi rodzajami ryzyk. [102-11] W pierwszym kroku prac nad Oświadczeniem bank dokonał przeglądu ryzyk społecznych i środowiskowych w grupie, które były rozpoznane w 2019 roku. Lista kluczowych ryzyk pozostaje bez zmian i obejmuje:

  • ryzyko niezgodności produktów z obowiązującymi normami,
  • ryzyko niewłaściwego oznakowania produktów,
  • ryzyko nieuprawnionego dostępu do środków klientów za pomocą bankowości elektronicznej,
  • ryzyko nieuprawnionego dostępu do informacji o klientach,
  • ryzyko związane ze zlecaniem usług podmiotom zewnętrznym,
  • ryzyko finansowania działalności podmiotów, których produkty lub usługi zagrażają środowisku lub społeczności.
pko-grafy-2020_rysyko pko-grafy-2020_rysyko

Zarządzanie ryzykiem jest jednym z kluczowych procesów wewnętrznych, zarówno w PKO Banku Polskim, jak i w pozostałych podmiotach grupy. Celem systemu zarządzania ryzykiem jest zapewnienie rentowności działalności biznesowej, przy jednoczesnej kontroli poziomu ryzyka i jego utrzymaniu w ramach systemu limitów i przyjętej przez bank i grupę tolerancji na ryzyko w zmieniającym się otoczeniu makroekonomicznym i prawnym.

Nadrzędnym priorytetem jest zapewnienie odpowiedniego zarządzania wszystkimi rodzajami ryzyka, związanymi z prowadzoną działalnością. W ramach systemu zarządzania ryzykiem grupa identyfikuje, mierzy i ocenia ryzyko, kontroluje, prognozuje i monitoruje ryzyko, raportuje oraz prowadzi działania zarządcze. System zarządzania ryzykiem obejmuje: strukturę organizacyjną, podział zadań i odpowiedzialności, system regulacji wewnętrznych oraz narzędzia, w tym bazy informacyjne. Regularnie, co najmniej w cyklu rocznym, bank przeprowadza ocenę istotności wszystkich zidentyfikowanych ryzyk. Część z nich ma istotny wpływ na dochodowość i kapitał niezbędny do ich pokrycia. Na ryzyka uznane za istotne szacuje się kapitał wewnętrzny. W grupie istotne są wszystkie ryzyka określone jako istotne w PKO Banku Polskim. W 2020 roku katalog rodzajów ryzyka uznanych za istotne w banku nie został rozszerzony.

  • Ryzyko kredytowe – ryzyko poniesienia straty w wyniku niewywiązania się klienta z zobowiązań wobec grupy lub ryzyko spadku wartości ekonomicznej wierzytelności grupy, gdy pogorszy się zdolność klienta do obsługi zobowiązań.
  • Ryzyko walutowe – ryzyko poniesienia straty przy zmianie kursów walutowych, generowane przez utrzymywanie otwartych pozycji w poszczególnych walutach.
  • Ryzyko stopy procentowej – ryzyko poniesienia straty na pozycjach bilansowych i pozabilansowych grupy wrażliwych na zmiany stóp procentowych, przy zmianie stóp procentowych na rynku.
  • Ryzyko płynności – ryzyko braku możliwości terminowego wywiązania się z zobowiązań ze względu na brak płynnych środków; w ramach ryzyka płynności wyróżnia się ryzyko finansowania.
  • Ryzyko operacyjne – ryzyko powstania straty, która wynika z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub zdarzeń zewnętrznych. To ryzyko uwzględnia ryzyko prawne, czyli ryzyko poniesienia straty w wyniku nieznajomości, niezrozumienia i niestosowania norm prawnych oraz standardów rachunkowości, niemożności wyegzekwowania postanowień umów, niekorzystnych interpretacji lub rozstrzygnięć sądów albo organów administracji publicznej. Ryzyko operacyjne nie obejmuje ryzyka utraty reputacji i ryzyka biznesowego.
  • Ryzyko walutowych kredytów hipotecznych dla gospodarstw domowych – ryzyko poniesienia straty, gdy klient nie wywiąże się z zobowiązań wobec banku z tytułu walutowego kredytu hipotecznego.
  • Ryzyko biznesowe (strategiczne) – ryzyko nieosiągnięcia założonych celów finansowych, w tym poniesienia strat, które wynika z niekorzystnych zmian w otoczeniu biznesowym, niekorzystnych decyzji, nieprawidłowego wdrożenia decyzji lub braku odpowiednich działań w odpowiedzi na zmiany w otoczeniu biznesowym.
  • Ryzyko zmian makroekonomicznych – ryzyko pogorszenia sytuacji finansowej grupy w wyniku niekorzystnej zmiany warunków makroekonomicznych.
  • Ryzyko modeli – ryzyko poniesienia strat w wyniku błędnych decyzji biznesowych podejmowanych na podstawie modeli.

Szczegółowy opis zasad zarządzania istotnymi rodzajami ryzyka, w tym technik ograniczania ryzyka, stosowanych zabezpieczeń oraz polityki w zakresie rachunkowości zabezpieczeń znajduje się w Skonsolidowanym sprawozdaniu finansowym (Nota 29 dotycząca rachunkowości zabezpieczeń) oraz w raporcie Adekwatność kapitałowa oraz inne informacje podlegające ogłaszaniu Grupy Kapitałowej PKO Banku Polskiego według stanu na 31 grudnia 2020 roku.

PKO Bank Polski na bieżąco monitoruje sytuację klientów oraz dostosowuje politykę kredytową, aby minimalizować skutki COVID-19 dla klientów i zabezpieczyć dobrą jakość portfela kredytowego banku. W 2020 roku bank:

  • rozwijał narzędzia i techniki zarządzania ryzykiem kredytowym:
    • wdrożył nowe narzędzie do oceny jakości pracy oddziałów, które bazuje na jakości portfela kredytowego, wynikach audytów i weryfikacji jakości procesów,
    • wdrożył Rating Stabilności, zgodnie z którym ocena klienta indywidualnego jest dokonywana na podstawie dziennych danych behawioralnych,
    • digitalizował procesy kredytowe,
    • kalibrował modele ryzyka kredytowego, w tym w związku z pandemią COVID-19,
    • w związku z nowym czynnikiem ryzyka kredytowego COVID-19 zwiększył częstotliwość monitorowania i na bieżąco dostosowywał politykę kredytową,
  • wprowadził specjalne rozwiązania w procesach kredytowych w związku z COVID-19, w szczególności uproszczenie procesu oceny ryzyka (automatyczne lub półautomatyczne przedłużenie/zawieszenie spłaty kredytów); w III kwartale 2020 roku te rozwiązania były stopniowo wygaszane,
  • utrzymywał bezpieczny poziom płynności, który umożliwia szybką i skuteczną reakcję na potencjalne zagrożenia,
  • w zakresie ryzyka stopy procentowej zawierał transakcje zabezpieczające IRS oraz kształtował odpowiednio strukturę aktywów i pasywów,
  • w zakresie zarządzania ryzykiem operacyjnym kładł nacisk na przeciwdziałanie zagrożeniom, które wynikały z pandemii:
    • powołał Sztab Kryzysowy, który na bieżąco koordynował całość działań grupy w okresie pandemii COVID-19, aby zapewnić bezpieczeństwo klientom i pracownikom oraz ciągłość działania procesów biznesowych,
    • na bieżąco identyfikował zagrożenia związane z COVID-19, które były cyklicznie monitorowane i raportowane do Komitetu Ryzyka Operacyjnego,
    • podejmował działania, które ograniczają zidentyfikowane zagrożenia, w tym w szczególności w zakresie trybu i warunków pracy, zapewnienia odpowiedniej wydajności infrastruktury IT oraz jej bezpieczeństwa; wdrożył nowe metody monitorowania cyberbezpieczeństwa pod kątem zagrożeń pracy zdalnej; dostosował istniejące zabezpieczenia do nowych realiów, prowadził testy penetracyjnie związane z pracą zdalną i cykliczne skanowanie podatności stacji podłączonych poprzez VPN wraz z analizą wpływu podatności na utrzymanie akceptowalnego poziomu bezpieczeństwa,
  • cyklicznie przeprowadzał akcje edukacyjne dla klientów i pracowników w zakresie cyberbezpieczeństwa, które jest szczególnie ważne w związku z rosnącym wykorzystaniem kanałów zdalnych.
  • Grupa zarządza wszystkimi zidentyfikowanymi rodzajami ryzyka,
  • proces zarządzania ryzykiem jest odpowiedni do skali działalności oraz do istotności, skali i złożoności danego ryzyka i na bieżąco dostosowywany do nowych czynników i źródeł ryzyka,
  • metody zarządzania ryzykiem (w szczególności modele i ich założenia) oraz systemy pomiaru lub oceny ryzyka są dostosowane do skali i złożoności ryzyka, aktualnie prowadzonej i planowanej działalności grupy i otoczenia, w którym grupa działa oraz okresowo weryfikowane i walidowane,
  • zachowana jest niezależność organizacyjna obszaru zarządzania ryzykiem od działalności biznesowej,
  • zarządzanie ryzykiem jest zintegrowane z systemami planistycznymi i kontrolingowymi,
  • poziom ryzyka jest na bieżąco monitorowany i kontrolowany,
  • proces zarządzania ryzykiem wspiera realizację strategii banku przy zachowaniu zgodności ze strategią zarządzania ryzykiem, w szczególności w zakresie poziomu tolerancji na ryzyko.

Na politykę kredytową banku oraz grupy kapitałowej składa się zbiór zasad i wytycznych zawartych w regulacjach i procedurach kredytowych. Łącznie tworzą one proces zarządzania ryzykiem kredytowym. Zarządzenie ryzykiem kredytowym banku uwzględnia czynniki zewnętrzne, w tym zgodność z regulacjami zewnętrznymi oraz rekomendacjami i zaleceniami organów nadzoru i kontroli oraz czynniki wewnętrzne, w tym w szczególności poziom limitów strategicznych i poziom parametrów ryzyka kredytowego.

Priorytetem zarządzania ryzykiem jest zrównoważona relacja ryzyka i założonego poziomu rentowności, w ramach określonych limitów apetytu na ryzyko. Ryzyko jest mierzone kompleksowo dzięki wykorzystaniu szerokiego wachlarza jakościowych i ilościowych metod wspomaganych przez odpowiednie systemy informatyczne oraz narzędzia analityczne. Model zarządzania ryzykiem kredytowym jest dostosowany do aktualnej działalności biznesowej i uwarunkowań rynkowych w poszczególnych segmentach klientów. Ocena ryzyka kredytowego ekspozycji jest oddzielona od funkcji sprzedaży dzięki właściwej strukturze organizacyjnej, niezależności budowy i walidacji narzędzi wspierających ocenę ryzyka kredytowego oraz niezależność decyzji akceptujących odstępstwa od wskazań tych narzędzi.

Warunki finansowania oferowane klientowi zależą od oceny poziomu ryzyka kredytowego danego klienta. Elementem oceny ryzyka kredytowego klientów korporacyjnych jest szacowanie ryzyk ESG, które pozwala wskazywać projekty niespełniające rosnących wymogów środowiskowych, kwestii społecznych i ładu korporacyjnego. Podmioty zależne banku, w których występuje istotny poziom ryzyka kredytowego, zarządzają ryzykiem kredytowym indywidualnie. Ich metody oceny i pomiaru ryzyka kredytowego są dostosowane do metod stosowanych w PKO Banku Polskim. Uwzględniają specyfikę działalności podmiotu.

W 2020 roku bank kontynuował politykę kredytową starając się ograniczyć negatywne skutki niekorzystnej sytuacji rynkowej i gospodarczej. Celem było zachowanie oczekiwanego poziomu dochodowości i wartości portfela kredytowego. Jednocześnie bank wdrożył do korporacyjnego procesu kredytowego ocenę ryzyk ESG, aby wspierać finansowanie projektów zrównoważonych środowiskowo i odpowiedzialnych społecznie.

[102-11] Kompleksowe Testy Warunków Skrajnych (KTWS) pozwalają określić wrażliwość miar adekwatności kapitanowej i wyników grupy na negatywne scenariusze zmian w otoczeniu i funkcjonowaniu grupy. Testy są przeprowadzane łącznie dla ryzyka kredytowego i ryzyka koncentracji, ryzyka rynkowego, ryzyka płynności, ryzyka operacyjnego, ryzyka biznesowego, ryzyka nadmiernej dźwigni finansowej oraz ryzyka braku adekwatności kapitałowej. Wyliczenia w ramach KTWS wykorzystują wewnętrzne modele banku, z uwzględnieniem przyjętych założeń makroekonomicznych.

Kompleksowe testy warunków skrajnych obejmują testy cykliczne i testy nadzorcze. Testy cykliczne są przeprowadzane raz w roku i są wykorzystywane do oceny ryzyka zmian makroekonomicznych oraz na potrzeby przygotowania planów naprawy. Testy nadzorcze są przeprowadzane na wniosek zewnętrznych organów nadzorczych, zgodnie z założeniami tych organów.

Odwrotne testy warunków skrajnych (OTWS) uzupełniają wyniki kompleksowych testów warunków skrajnych. Ich celem jest ocena odporności Banku na zmiany makroekonomiczne. OTWS mają formę analizy wrażliwości i polegają na sformułowaniu potencjalnych, negatywnych scenariuszy, a następnie znalezieniu zdarzeń, które przyczyniają się do ich materializacji.

W 2020 roku bank przeprowadził testy cykliczne, testy nadzorcze oraz odwrotne testy warunków skrajnych. W ramach przeprowadzonych testów cyklicznych bank przeanalizował:

  • scenariusz bazowy, który wynikał z opracowanych prognoz, planów finansowych i Strategii banku,
  • scenariusz stresowy skonstruowany w oparciu o wytyczne KNF.

W ramach wykonanych testów nadzorczych bank przeanalizował dwa scenariusze:

  • scenariusz referencyjny, który bazował na opracowanej przez NBP centralnej ścieżce projekcji makroekonomicznej,
  • scenariusz szokowy, który zakładał istotne pogorszenie perspektyw gospodarczych w Polsce i na świecie w wyniku silnego wzrostu liczby zakażeń wirusem COVID-19.

Oba rodzaje przeprowadzonych w 2020 roku testów warunków skrajnych wykazały silną odporność kapitałową PKO Banku Polskiego oraz grupy kapitałowej na ewentualne niekorzystne zmiany otoczenia makroekonomicznego.

Cyberbezpieczeństwo

Bank ma politykę bezpieczeństwa, która odnosi się również do zasad bezpieczeństwa cyfrowego. Zarząd przyjął tę politykę w 2015 roku. W banku funkcjonuje Departament Cyberbezpieczeństwa, który zajmuje się:

  • zapewnianiem bezpieczeństwa systemu informatycznego banku,
  • rozwojem systemów oraz monitorowaniem parametrów cyberbezpieczeństwa i usług krytycznych,
  • zapewnianiem obsługi zdarzeń i incydentów dotyczących cyberbezpieczeństwa, w tym zdarzeń i incydentów w zakresie bankowości elektronicznej.

Za kontrolę aktualnego poziomu bezpieczeństwa infrastruktury odpowiada dyrektor tego departamentu. Podlega mu również Operacyjne Centrum Bezpieczeństwa (SOC Security Operations Centre). Za realizację polityki cyberbezpieczeństwa i kontrolę cyberbezpieczeństwa odpowiada dyrektor Departamentu Cyberbezpieczeństwa. Nadzór nad realizacją tych funkcji sprawuje wiceprezes Zarządu odpowiedzialny za Obszar Informatyki. Nadzór nad realizacją polityki sprawuje prezes Zarządu. Aby doskonalić metody przeciwdziałania przestępstwom Departament Cyberbezpieczeństwa przygotowuje analizy i przedstawia Zarządowi i Radzie Nadzorczej banku wnioski i rekomendacje dotyczące wdrożenia lub modyfikacji rozwiązań.

Monitorowaniem i reagowaniem na incydenty zajmuje się w banku specjalistyczna komórka CERT. Aby zapewnić bezpieczeństwo informatyczne usług banku w zakresie reagowania na incydenty, wdrożono tryb pracy 24/7/365. CERT PKO Banku Polskiego jest członkiem międzynarodowego forum zrzeszającego zespoły reagujące (FIRST) oraz należy do grupy roboczej europejskich zespołów reagujących (TERENA TF-CSIRT) i działającej przy niej organizacji Trusted Introducer.

W ramach wymiany informacji o zagrożeniach w 2020 roku bank korzystał z informacji o złośliwym oprogramowaniu, incydentach czy atakach phishingowych, w szczególności z danych o trendach i nowych zagrożeniach z CIRCL (The Computer Incident Response Center Luxembourg) oraz NICP (instytucji biorących udział w NATO Industry Cyber Partnership). PKO Bank Polski jako jedyny bank z Polski jest członkiem NICP.

Bank systematycznie edukuje pracowników w zakresie bezpieczeństwa środowiska teleinformatycznego oraz bezpieczeństwa informacji przetwarzanych w tym środowisku. Bank przygotował pakiet obowiązkowych szkoleń dla każdego nowego pracownika w zakresie:

  • korzystania z urządzeń mobilnych,
  • korzystania z własnego sprzętu informatycznego w celach zawodowych oraz korzystania ze sprzętu służbowego w celach prywatnych,
  • publikowania przez pracowników informacji dotyczących banku w Internecie (w szczególności na portalach społecznościowych),
  • ataków socjotechnicznych.

Zgodnie z polityką banku zasad cyberbezpieczeństwa muszą przestrzegać nie tylko pracownicy, ale również podmioty zewnętrzne (wykonawcy). Wymagania bezpieczeństwa dla dostawców usług IT rozumiane jako standardowe wymagania banku w zakresie ochrony informacji banku, dostępu do budynków i pomieszczeń banku, ochrony SIB, stanowią integralną część umowy i warunków realizacji przedmiotu zamówienia.

Bank na bieżąco identyfikuje zagrożenia dla cyberbezpieczeństwa. Monitoruje źródła informacji, wdraża zabezpieczenia przed potencjalnymi zagrożeniami oraz tworzy plany reagowania na incydenty. W banku funkcjonuje sformalizowany proces weryfikacji bezpieczeństwa i podatności nowych lub modyfikowanych systemów i aplikacji przed dopuszczeniem ich do produkcji. Ten proces bank realizuje w dwóch wymiarach: jako związany z wdrażaniem i modyfikacją oprogramowania oraz jako proces projektowy. Każdy nowy projekt, w którym zmienia się system kluczowy dla procesów biznesowych, jest poddawany audytowi bezpieczeństwa IT.

Audyt wewnętrzny obejmuje procesy IT minimum raz w cyklu 3-letnim. Wybór procesów IT do audytu wewnętrznego w danym roku zależy m.in. od: wyników przeprowadzonych audytów wewnętrznych, zmian środowiska teleinformatycznego, ryzyk związanych ze zidentyfikowanymi oszustwami wewnętrznymi i zewnętrznymi oraz zmian w przepisach wewnętrznych i zewnętrznych wpływających na funkcjonowanie i działalność operacyjną banku. Wewnętrzne audyty procesów IT prowadzi Zespół Audytu IT i Bezpieczeństwa, zgodnie z ustalonym harmonogramem. Audyty zewnętrzne cyberbezpieczeństwa są zlecane firmom audytowym z którymi bank podpisał umowy ramowe.

Według banku oraz PKO TFI najistotniejszym zagrożeniem dla bezpieczeństwa klientów są potencjalne przestępcze działania osób trzecich, wymierzone w klientów korzystających z elektronicznych kanałów dostępu do usług bankowych i inwestycyjnych.

Po pierwsze, w banku stosowane są najnowsze rozwiązania bezpieczeństwa teleinformatycznego gwarantujące klientom bezpieczny dostęp do swoich środków. Bank stale podnosi jakość zabezpieczenia systemów IT, w szczególności aplikacji dla klientów banku. Dotyczy to m.in. aktywnego zwalczania stron phishingowych podszywających się pod serwisy banku, śledzenia rozwoju złośliwego oprogramowania atakującego klientów banku, rozwoju mechanizmów detekcji zainfekowanych komputerów klientów oraz doskonalenia reguł i rozszerzania zakresu monitoringu transakcji elektronicznych.

Po drugie, bank przywiązuje bardzo dużą wagę do informowania i podnoszenia świadomości klientów na temat bezpiecznego korzystania z bankowości elektronicznej i kart płatniczych. Dzieje się tak dlatego, że bezpieczeństwo w tym zakresie uzależnione jest w znacznej mierze od działań użytkownika. Działania edukacyjne banku to między innymi:

  • masowe kampanie edukacyjne np. poprzez inicjowanie tekstów na temat bezpiecznego korzystania z bankowości elektronicznej (portal edukacyjny Bankomania, media społecznościowe),
  • bieżące odpowiedzi na zapytania klientów (e-mail, media społecznościowe),
  • bieżące przekazywanie mediom stanowiska banku i materiałów edukacyjnych na temat cyberprzestępstw i zasad bezpieczeństwa,
  • bieżące reagowanie na inne sygnały dotyczące zagrożeń,
  • przekazywanie klientom informacji nt. cyberbezpieczeństwa poprzez strony internetowe banku, serwis transakcyjny i mailingi.

W 2020 roku bank doskonalił systemy wykrywania incydentów, anomalii oraz zaawansowanych typów złośliwego oprogramowania. Automatyzował także wiele działań związanych z obsługą incydentów. Wymienił stos technologiczny rozwiązań do informatyki śledczej. Dodatkowo przedstawiciele banku angażują się w prace Bankowego Centrum Cyberbezpieczeństwa (BCC) przy Związku Banków Polskich. Celem BCC są kompleksowe i długofalowe działania na rzecz zwiększenia poziomu bezpieczeństwa bankowości mobilnej i elektronicznej oraz przygotowanie narzędzi (struktury procedury, mechanizmy wymiany informacji) umożliwiających zarządzanie sytuacją kryzysową (np. w przypadku zmasowanego ataku).

Bank nie posiada certyfikacji w zakresie ISO 27001, jednak procesy i przepisy w zakresie cyberbezpieczeństwa tworzy w oparciu o wymagania tej normy. Wysoka dojrzałość organizacyjna w obszarze obsługi incydentów cyberbezpieczeństwa jest szczególnie istotna w świetle decyzji KNF z 2018 roku o uznaniu PKO Banku Polskiego za operatora usługi kluczowej w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa.

Przeciwdziałanie korupcji i praniu pieniędzy

  • 205-1
  • 205-3

PKO Bank Polski nie toleruje korupcji i przeciwdziała wszelkim praktykom korupcyjnym. Zjawiska takie jak nepotyzm oraz przyjmowanie lub oferowanie jakichkolwiek dóbr materialnych, aby wpłynąć na podejmowane decyzje lub działania, są sprzeczne z wyznawanymi przez bank wartościami: wiarygodnością i zaufaniem. W banku obowiązują przepisy dotyczące zapobiegania korupcji, w tym przyjmowania korzyści, prezentów lub upominków, w szczególności:

  • Kodeks Etyki PKO Banku Polskiego,
  • Kodeks Etyki Bankowej (Zasady Dobrej Praktyki Bankowej) Związku Banków Polskich,
  • Zasady zarządzania ryzykiem braku zgodności oraz ryzykiem postępowania w banku.

[205-1] W grupie kapitałowej, w tym w banku, ryzyka związane z korupcją identyfikowane są w szczególności: w obszarach obsługi klientów (indywidualnych i biznesowych), w obszarze dostaw dóbr i usług dla podmiotów grupy, w tym banku przez podmioty zewnętrzne, w związku z dokonywanymi darowiznami i umowami sponsorskimi oraz w obszarze relacji pracowników podmiotów grupy z organami administracji państwowej.

Obszary te są objęte szczególną uwagą, procesy są szczegółowo regulowane, a decyzje, które niosą ze sobą poważne skutki finansowe akceptowane są, co do zasady, na tzw. „drugą rękę” (wymagają podwójnej akceptacji). Przepisy wewnętrzne banku dotyczące zapobiegania korupcji w odniesieniu do pracowników banku i osób, które działają w imieniu banku obejmują:

  • zakaz przyjmowania od klientów, potencjalnych klientów oraz przedstawicieli podmiotów które współpracują z bankiem lub ubiegają się o nawiązanie współpracy, korzyści, prezentów lub upominków przeznaczonych do osobistego użytku. Szczególnie, gdy te korzyści i prezenty mogłyby: tworzyć nieformalne zobowiązanie wobec danego klienta lub osoby współpracującej z bankiem, powodować konflikt interesów lub w inny sposób negatywnie wpływać na sposób wykonywania przez pracownika banku jego obowiązków służbowych,
  • powyższy zakaz dotyczy w szczególności pieniędzy lub ich ekwiwalentu, darowizn rzeczowych (prezentów i upominków) oraz innych korzyści o charakterze materialnym (w szczególności finansowanie kosztów podróży, wypoczynku lub szkolenia, uczestnictwa w imprezie, bądź użyczenie składnika majątku), jak również przyjmowania przez osoby zaangażowane w organizowane przez bank postępowania o udzielenie zamówienia jakichkolwiek upominków i korzyści od podmiotów będących oferentami lub potencjalnymi oferentami,
  • wykluczenie możliwości obejścia zakazu przez nakłanianie innych osób do przyjęcia prezentu w ich imieniu,
  • wyjątkowo dopuszczalne jest przyjęcie korzyści lub prezentu w relacjach biznesowych, na warunkach określonych w przepisach wewnętrznych banku,
  • zakaz oferowania w imieniu banku klientom, kontrahentom, przedstawicielom organów administracji publicznej oraz innym podmiotom jakichkolwiek korzyści, prezentów, upominków bądź zachęt niebędących elementem oferty produktów i usług banku, w celu nakłonienia tych osób do określonego zachowania, w tym zwłaszcza do podjęcia działań niezgodnych z przepisami prawa lub dobrymi obyczajami.

Gdy pracownik banku ma wątpliwości, czy w danej sytuacji może przyjąć korzyść, prezent lub upominek, ma on obowiązek skonsultować się z przełożonym lub z komórką organizacyjną w banku, która zarządza ryzykiem braku zgodności. Informację na temat obowiązujących w tym zakresie zasad otrzymuje każdy nowy pracownik banku. Bank kwalifikuje zachowania korupcyjne jako przypadki braku zgodności i raportuje do Zarządu i Rady Nadzorczej banku. Ryzyko korupcji stanowi element oceny ryzyka braku zgodności.

Każdy z podmiotów zależnych grupy, którego działalność jest związana z ryzykiem korupcyjnym, posiada odpowiednie regulacje dotyczące przeciwdziałania praktykom korupcyjnym. Każdy pracownik ma obowiązek zapoznać się z nimi i je stosować. Każdy podmiot formułuje odpowiednie regulacje przy uwzględnieniu specyfiki swojej działalności i własną ocenę obszarów ryzyka korupcji i łapownictwa, dlatego w grupie w tym zakresie nie obowiązuje jednolita polityka.

W 2020 roku nie stwierdzono zdarzeń krytycznych i nie zidentyfikowano w podmiotach grupy takich zachowań korupcyjnych, które miałyby wpływ na zakłócenie działalności banku lub pozostałych podmiotów grupy. Bank i pozostałe podmioty grupy działaniami antykorupcyjnymi obejmują także swoich potencjalnych kontrahentów na poziomie przystępowania do postępowania zakupowego.

Bank wprowadził uchwałą Zarządu i Rady Nadzorczej system anonimowego zgłaszania naruszeń (instytucja sygnalisty odnosi się do wszystkich działań nieetycznych lub niezgodnych z prawem). Dodatkowo, każdy z pracowników banku, zgodnie z przepisami wewnętrznymi, jest zobowiązany zgłaszać każdy przypadek podejrzenia popełnienia przestępstwa związanego z działalnością banku. Zgłoszenie dotyczące członka zarządu jest kierowane do Rady Nadzorczej, w pozostałych przypadkach – do Prezesa Zarządu banku. Bank posiada wewnętrzne przepisy, które określają sposób procedowania takich spraw. W banku obowiązuje cykliczne raportowanie do Zarządu stwierdzonych przypadków fraudów, w tym działań korupcyjnych.

Gdy pracownik naruszy przepisy prawa lub przepisy wewnętrzne banku (w tym dotyczące korupcji), bank stosuje rozwiązania określone przepisami prawa pracy. Gdy konkretny przypadek kwalifikuje się do wszczęcia postępowania dyscyplinarnego, bank przeprowadza takie postępowanie i, w zależności od jego efektów, korzysta z przewidzianego w tych przepisach katalogu konsekwencji, w tym z prawa rozwiązania z takim pracownikiem umowy o pracę.

Osoby, które dokonują zgłoszenia, podlegają ochronie. Nikt, kto dokonał zgłoszenia, nie może z tego powodu zostać zwolniony z pracy ani ukarany w inny sposób. Anonimowe zgłoszenia są weryfikowane przez ograniczoną liczbę osób, które wskazuje prezes Zarządu banku.

Bank przeprowadza wstępne i regularne szkolenia pracowników banku w zakresie zgłaszania naruszeń i przypadków braku zgodności (w tym noszących znamiona korupcji). Każdy z pracowników banku ma obowiązek odbycia szkoleń z zasad przeciwdziałania wszelkim praktykom korupcyjnym. Informacje o zgłoszeniach oraz wynikach ich weryfikacji są raportowane do Zarządu i Rady Nadzorczej banku. Podobne rozwiązania są stosowane w wybranych spółkach grupy w sposób adekwatny do skali i zakresu ich działalności.

[205-3] W 2020 roku nie potwierdzono żadnych przypadków korupcji, podobnie jak w 2019 roku.

Zarząd banku przyjął 1 października 2018 roku politykę dotyczącą przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, która odnosi się do wszystkich podmiotów grupy. Celem polityki jest zapobieganie wykorzystywaniu produktów grupy do działań związanych z praniem pieniędzy lub finansowaniem terroryzmu. Polityka określa standardy, których powinien przestrzegać bank i podmioty zależne oraz wszystkie osoby w nich pracujące, w tym stali i tymczasowi współpracownicy, konsultanci, wykonawcy, agenci zewnętrzni i ich pracownicy.

Pobierz kwestionariusz: Wolfsberg Group Correspondent Banking Due Diligence Questionnaire 2020

Polityka stanowi jedną z wewnętrznych procedur, które definiują zakres przekazywania danych, przepisów, obowiązków, standardów i środków stosowanych w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Bank i spółki z grupy opracowują, wdrażają i realizują wewnętrzne przepisy dotyczące AML. Przepisy te obejmują w szczególności:

  • identyfikację i weryfikację klienta,
  • monitorowanie transakcji w celu oceny, czy transakcje klientów są zgodne z wiedzą o ich profilu i zamierzonym charakterze stosunków gospodarczych,
  • monitorowanie sankcji zapobiegające nawiązaniu niedozwolonej relacji poprzez sprawdzanie potencjalnej obecności klientów na listach sankcyjnych,
  • sposób wymiany i ochrony informacji przekazywanych,
  • archiwizację,
  • szkolenia.

Grupa stosuje środki bezpieczeństwa finansowego przed nawiązaniem relacji biznesowej z klientem, a następnie powtarza w trakcie trwania tej relacji w interwałach czasowych właściwych dla ryzyka danego klienta. Zamrożenie środków oraz nieudostępnienie wartości majątkowych to działania, które bank stosuje wobec osób i podmiotów znajdujących się na:

  • listach ogłaszanych przez Generalnego Inspektora na podstawie rezolucji Rady Bezpieczeństwa Organizacji Narodów Zjednoczonych wydanych na podstawie rozdziału VII Karty Narodów Zjednoczonych, dotyczących zagrożeń dla międzynarodowego pokoju i bezpieczeństwa spowodowanych aktami terrorystycznymi, w szczególności na listach, o których mowa w pkt 3 rezolucji 2253 (2015) Rady Bezpieczeństwa Organizacji Narodów Zjednoczonych lub w pkt 1 rezolucji 1988 (2011) Rady Bezpieczeństwa Organizacji Narodów Zjednoczonych,
  • liście ogłoszonej przez GIIF dotyczącej osób i podmiotów, wobec których stosuje się szczególne środki ograniczające,
  • listach ogłoszonych na podstawie rozporządzeń Rady Unii Europejskiej,
  • listach ogłoszonych przez the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC).

Osoby wykonujące obowiązki w zakresie AML biorą udział w programach szkoleniowych z tego zakresu. Bank i podmioty zależne wyznaczają w ramach swoich organizacji AML oficera, odpowiedzialnego za wymianę informacji w grupie. Bank przeprowadza okresowy przegląd polityki grupy, nie rzadziej niż raz na rok, jak również sporządza kwartalną informację z zakresu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, którą dyrektor Departamentu Bezpieczeństwa przedkłada prezesowi Zarządu banku.

Bezpieczeństwo produktów i klientów

  • 417-1
  • 417-2

Grupa prowadzi politykę, która ma zapewnić: zgodność produktów z przepisami, ich właściwe oznakowanie oraz bezpieczeństwo klientów korzystających z produktów. Zakres tej polityki obejmuje zarówno etap formułowania oferty produktu, jego prezentacji klientowi, nabycia (podpisania umowy), jak też etap korzystania z produktu przez klienta. Zasady i mechanizmy prowadzenia polityki zgodności i właściwego oznakowania produktów w banku obowiązują w całej grupie kapitałowej.

Grupa dokłada wszelkich starań, by oferowane produkty spełniały wymogi przepisów prawa i standardów rynkowych. Wysiłki te koncentrują się na zapewnieniu, by: (i) oferowane produkty były adekwatne do potrzeb klientów, do których są kierowane, (ii) sposób i proponowana forma nabycia produktów była adekwatna do ich charakteru, (iii) przed zawarciem umowy, w sposób przystępny dla przeciętnego odbiorcy, udzielano klientom rzetelnej, przejrzystej i kompleksowej informacji o produkcie, w szczególności jego charakterze, konstrukcji, warunkach, korzyściach i ryzykach oraz opłatach, prowizjach i innych kosztach związanych z zawarciem, wykonaniem i ewentualnie wcześniejszym rozwiązaniem umowy. Te zasady stosują wszystkie podmioty grupy, a także przedsiębiorstwa, którym bank powierzył wykonanie określonych czynności związanych ze sprzedażą lub obsługą produktów.

Zgodność produktów z obowiązującymi normami

W ramach zapewnienia zgodności produktów z przepisami, bank zarządza ryzykiem niewłaściwej sprzedaży (misselling) na etapie tworzenia i wdrażania produktu, jak również jego oferowania klientom. Każdy produkt podlega analizie przedwdrożeniowej, pod kątem generowanych przez niego ryzyk oraz określenia grup klientów, dla których jest przeznaczony. Bank identyfikuje także grupy klientów, którym nie należy proponować danego produktu, ze względu na nieadekwatność do potrzeb klienta albo z innych przyczyn (tzw. anty-grupy). W przypadku występowania anty-grup, wdrażane są mechanizmy kontrolne, które ograniczają ryzyko niewłaściwej sprzedaży. Ryzyko niewłaściwej sprzedaży jest również ograniczane na etapie podejmowania czynności sprzedażowych – przed zaproponowaniem klientowi nabycia określonego produktu dokonywana jest ocena, czy dany produkt jest adekwatny do potrzeb tego typu klientów. Służy to eliminacji przypadków polegających np. na sprzedaży ubezpieczenia od utraty pracy osobom, które utrzymują się z emerytury lub długoterminowych produktów inwestycyjnych osobom w podeszłym wieku. Dodatkowo, bank każdorazowo udziela klientom wiarygodnej i wyczerpującej informacji na temat produktów i usług tak, by mogli dokonać świadomego wyboru. Bank zapoznaje klientów z korzyściami, jak i ryzykiem, które wynika z zakupu poszczególnych produktów.

Wszelkie nieprawidłowości zgłaszane przez klientów banku (szczególnie reklamacje) są rozpatrywane w terminach zgodnych z przepisami prawa. Zależnie od wyników podjętych ustaleń, bank stara się usunąć nieprawidłowości, zapobiegać ich wystąpieniu w przyszłości i podnieść jakość obsługi. Podobne rozwiązania w zakresie zarządzania ryzykiem niewłaściwej sprzedaży produktów, przy zachowaniu zasady proporcjonalności, funkcjonują również w pozostałych podmiotach grupy, które tworzą produkty finansowe lub je sprzedają.

[417-2] W 2020 roku bank był stroną trzech postępowań administracyjnych prowadzonych przed Urzędem Ochrony Konkurencji i Konsumentów (UOKiK) w poprzednich latach. Jedno z nich zakończyło się nałożeniem na bank kary finansowej oraz utworzeniem rezerwy. Postępowania omówiono w Nocie 48 (Sprawy Sporne: postępowania prowadzone przed Prezesem UOKiK, Skonsolidowanego Sprawozdania Finansowego za 2020 rok).

Bank jest stroną postępowania wszczętego przez Prezesa UOKiK w sprawie stosowania praktyk, które ograniczają konkurencję na rynku płatności za pomocą kart płatniczych w Polsce i stroną postępowań sądowych, które dotyczą kredytów hipotecznych w walutach wymienialnych oraz zwrotu prowizji w przypadku przedterminowej spłaty kredytu. W pozostałych podmiotach grupy nie toczyły się postępowania administracyjne, a w przypadku dwóch podmiotów miały miejsce postępowania wyjaśniające i wymiana korespondencji w zakresie wystąpienia Prezesa UOKiK.

[417-1] Grupa kapitałowa, w tym bank, realizuje wymogi w zakresie właściwego oznakowania produktów bankowych i inwestycyjnych poprzez dostarczenie klientom wszelkich niezbędnych informacji na ich temat, szczególnie na etapie przedkontraktowym. Zakres przekazywanych informacji o produktach wyznaczają przepisy prawa i rekomendacje (KNF). Ogólną zasadą jest, iż najwyższy poziom ochrony przysługuje klientom detalicznym – konsumentom. Informacje te są sformułowane w taki sposób, aby były zrozumiałe dla tzw. „przeciętnego konsumenta” w rozumieniu ustawy o przeciwdziałaniu nieuczciwym praktykom rynkowym, to jest konsumenta dostatecznie dobrze poinformowanego, uważnego i ostrożnego. Natomiast zakres informacji przekazywanych instytucjom finansowym i innym profesjonalnym odbiorcom produktów i usług finansowych jest węższy.

Właściwe oznakowanie produktów obejmuje również przekazy reklamowe banku, które wspierają działania sprzedażowe oraz kształtują wizerunek jego marki. Wszystkie publikowane przez bank materiały o charakterze marketingowym uwzględniają specyficzne obowiązki, które wynikają z przepisów prawa (np. ustawy o kredycie konsumenckim – w zakresie reklamy tego rodzaju kredytów), jak również standardy rynkowe i wytyczne KNF sformułowane w uchwalonych „Zasadach reklamowania usług bankowych”.

Jednym z priorytetów banku jest wyznaczanie najwyższych standardów bezpieczeństwa. Bezpieczeństwo klientów w procesie korzystania z produktów banku i grupy obejmuje przede wszystkim bezpieczeństwo środków klientów, ale także bezpieczeństwo fizyczne klientów w obiektach banku. Kwestię bezpieczeństwa określają przepisy wewnętrzne banku, w tym Polityka Bezpieczeństwa w PKO Banku Polskim oraz przepisy dotyczące konkretnych obszarów bezpieczeństwa: (i) ochrony osób i mienia, (ii) bezpieczeństwa systemu IT, (iii) zarządzania incydentami bezpieczeństwa.

Bezpieczeństwo środków klientów

Działania banku i pozostałych podmiotów grupy na rzecz bezpieczeństwa środków klientów dotyczą zarówno zapewnienia bezpieczeństwa powierzonych środków, jak też bezpieczeństwa środków inwestowanych za pomocą oferowanych produktów. Inicjatywy w zakresie zapewnienia stabilnej i bezpiecznej infrastruktury pozwoliły osiągnąć bardzo wysokie wskaźniki niezawodności infrastruktury informatycznej. Bezpieczeństwo środków klientów gwarantują także procedury cyberbezpieczeństwa.

Bezpieczeństwo inwestowanych środków: Bank dokłada wszelkiej staranności, aby jego produkty nie generowały ryzyka utraty środków przez klientów. Ma to szczególne znaczenie w przypadku produktów inwestycyjnych. Dlatego bank w ramach obowiązków nałożonych przez Dyrektywę MiFID, informuje klientów przed transakcją, czy dany produkt jest dla nich odpowiedni.

Bezpieczeństwo powierzonych depozytów: Podstawowym mechanizmem gwarancji bezpieczeństwa środków klientów środków jest stabilność wyniku finansowego banku i pozostałych podmiotów grupy. Dodatkowym mechanizmem jest uczestnictwo banku w obowiązkowym systemie gwarantowania wkładów, który funkcjonuje na podstawie ustawy o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji.

Bezpieczeństwo fizyczne klientów

Bank i pozostałe podmioty grupy zapewniają klientom w placówkach najwyższą jakość obsługi bezpośredniej, m.in. dzięki komfortowi i właściwym standardom bezpieczeństwa. Stosuje się nowoczesne rozwiązania techniczne, zapewniające fizyczne bezpieczeństwo klientów, pracowników, gotówki oraz informacji chronionych, w tym tajemnicy bankowej i danych osobowych. Ochrona ma formę:

  • bezpośredniej stałej ochrony fizycznej wybranych obiektów banku,
  • zabezpieczeń technicznych (budowlanych, mechanicznych i elektronicznych, w tym systemy sygnalizacji włamania i napadu, telewizji dozorowej i kontroli dostępu),
  • monitorowania sygnałów alarmowych przez koncesjonowane przedsiębiorstwa ochrony i dojazdu tzw. grup interwencyjnych po odebraniu sygnałów alarmowych.

W trosce o bezpieczeństwo klientów i pracowników, w banku prowadzone są szkolenia z zakresu bezpieczeństwa, w tym pt. „Przeciwdziałanie napadom i postępowanie w sytuacjach zagrożenia bezpieczeństwa”. W szkoleniach biorą udział wszyscy pracownicy oddziałów i agencji.

Ochrona prywatności

PKO Bank Polski działa zgodnie z powszechnie obowiązującymi przepisami:

  • rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane RODO),
  • ustawą z 10 maja 2018 roku o ochronie danych osobowych,

a także posiada wewnętrzne przepisy o ochronie danych osobowych. Dotyczą one zasad przetwarzania danych osobowych w banku, w szczególności sposobu ich przetwarzania oraz środków technicznych i organizacyjnych zapewniających bezpieczeństwo procesu.

W banku obowiązują również przepisy wewnętrzne dotyczące w szczególności:

  • bezpieczeństwa informacji chronionych,
  • bezpieczeństwa systemu informatycznego,
  • ochrony osób i mienia,
  • zarządzania incydentami bezpieczeństwa, gdzie został określony sposób zarządzania naruszeniami ochrony danych osobowych,
  • prowadzenia postępowań wyjaśniających,
  • opracowywania i wdrażania mechanizmów bezpieczeństwa.

Standardy Bezpieczeństwa w grupie dotyczą następujących zagadnień: ochrony danych osobowych, zarządzania ciągłością działania, bezpieczeństwa teleinformatycznego, przeciwdziałania praniu pieniędzy, zarządzania incydentami bezpieczeństwa, zasad outsourcingu oraz zasad raportowania stanu bezpieczeństwa. W grupie obowiązuje również polityka grupy w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.

Bank przetwarza dane osobowe z zachowaniem wymogów powszechnie obowiązującego prawa, w tym zasady zgodności z prawem i przejrzystości danych, zasady ograniczenia celu przetwarzania danych, zasady minimalizacji danych, zachowania prawidłowości i integralności przetwarzanych danych. Aby zrealizować te cele, bank stosuje zarówno regulacje proceduralne, jak i rozwiązania technologiczne. Są one projektowane tak, aby zachować określone w RODO zasady przetwarzania danych osobowych. Bank powołał Inspektora Ochrony Danych (IOD). Do jego zadań należy nadzór nad prawidłowym przetwarzaniem danych osobowych.

W związku z RODO bank opracował Informację o przetwarzaniu danych osobowych i przekazuje ją klientom. Informuje ich o obowiązujących zasadach przetwarzania danych osobowych, celu ich przetwarzania, oraz o swoich prawach, w tym prawie dostępu do danych, sprostowania danych i prawie do usunięcia danych. Gdy bank przetwarza dane na podstawie zgody osoby, której dotyczą, informuje ją o prawie do wycofania zgody. Bank określił również zasady informowania klientów w przypadku naruszenia bezpieczeństwa ich danych. Klienci banku mogą w formie reklamacji zgłaszać wątpliwości dot. bezpieczeństwa danych.

Ciągła wymiana informacji i poprawa bezpieczeństwa w oparciu o najlepsze praktyki są stałym elementem współpracy i obowiązujących porozumień w grupie. Postępowanie z ewentualnymi naruszeniami odbywa się w sposób zgodny z prawem. Dotyczy to również informowania odpowiednich organów o naruszeniach, co także wynika z przepisów wewnętrznych oraz prawa powszechnego.

Bank zarządza ryzykiem nieuprawnionego dostępu do informacji o klientach zgodnie z „Polityką Bezpieczeństwa w PKO Banku Polskim”. „Zasady bezpieczeństwa informacji chronionych w PKO Banku Polskim” regulują kwestie poufności informacji i zachowania tajemnicy bankowej oraz bezpieczeństwa danych osobowych, w tym odpowiedzialność pracowników banku w zakresie ochrony danych osobowych. Każdy pracownik obligatoryjnie i zgodnie z procedurami jest zobowiązany ukończyć stosowne szkolenie z ochrony danych osobowych. Szkolenia są realizowane także cyklicznie. Działania na rzecz bezpieczeństwa danych są podejmowane z udziałem Zarządu. Aby chronić dane, wdrażane są najwyższej klasy rozwiązania z zakresu polityki i bezpieczeństwa systemowego. Rozwiązania te zarówno w aspekcie systemowym, jak i polityk, są ciągle oceniane, audytowane i ulepszane zgodnie z najlepszymi praktykami rynkowymi. Departament Bezpieczeństwa nadzoruje realizację obowiązków związanych z zabezpieczeniem informacji chronionych w banku oraz przygotowuje informacje o stanie bezpieczeństwa dla Zarządu i Rady Nadzorczej banku w raporcie w cyklu półrocznym. W ramach swoich działań Departament Bezpieczeństwa prowadzi w jednostkach banku kontrole z zakresu bezpieczeństwa (w tym bezpieczeństwa informacji) oraz opiniuje w tym zakresie nowe rozwiązania i projekty wdrażane w banku.

Zgodnie z powyższymi zasadami:

  • pracownicy mają dostęp do informacji chronionych w banku tylko w zakresie powierzonych zadań i obowiązków służbowych,
  • pracownicy przed rozpoczęciem przetwarzania informacji chronionych realizują szkolenia z zakresu bezpieczeństwa informacji chronionych,
  • gdy materiały zawierające informacje chronione są udostępniane podmiotom zewnętrznym, pomiędzy stronami jest zawierana umowa o zachowaniu poufności, zaś w przypadku powierzenia przetwarzania danych osobowych, zawierana jest umowa o powierzeniu przetwarzania danych osobowych. Umowa ta zawiera m.in. zobowiązania podmiotów współpracujących z bankiem do ochrony powierzonych danych, wykorzystania ich wyłączenie w celach związanych z realizacją umowy oraz przekazywania informacji o wszelkich naruszeniach bezpieczeństwa. Bank określa wymogi zabezpieczenia przetwarzanych danych zgodnie z przepisami powszechnie obowiązującego prawa. Bank przewiduje również możliwość kontroli bezpieczeństwa danych przetwarzanych u podmiotów współpracujących.

Bank jest zobowiązany do zachowania tajemnicy bankowej określonej przepisami ustawy Prawo bankowe. Wszelkie udostępnienie informacji, które stanowią tajemnicę bankową, w tym danych osobowych klientów banku, może mieć miejsce przy zachowaniu obowiązków wynikających z przepisów powszechnie obowiązującego prawa. Zapytania od podmiotów uprawnionych do żądania udzielenia informacji stanowiących tajemnicę bankową (np. od agend rządowych) są rozpatrywane przez bank zgodnie z zasadami określonymi w przepisach prawa. Informacji objętych tajemnicą bankową bank udziela wyłącznie w przypadkach i na zasadach określonych przepisami tej ustawy.

Każdy z pozostałych podmiotów grupy, który przetwarza dane osobowe, przepisy takie posiada i stosuje je w praktyce. Spółki podpisały i wprowadziły Standardy Bezpieczeństwa (w tym w zakresie ochrony danych osobowych), będące częścią „Wytycznych w zakresie Standardu bezpieczeństwa w Grupie Kapitałowej PKO Banku Polskiego”. Są one zgodne z powszechnie obowiązującymi przepisami oraz ze standardami stosowanymi w banku, a w niezbędnym zakresie zawierają regulacje szczególne, adekwatne do specyfiki konkretnego podmiotu.

Bank działa w przypadku naruszeń ochrony danych osobowych zgodnie z przyjętymi Zasadami zarządzania incydentami bezpieczeństwa w PKO Banku Polskim oraz z RODO. Gdy stwierdzi naruszenie, natychmiast je analizuje i stara się zminimalizować negatywne skutki, jeśli takie wystąpią. Przypadki naruszenia ochrony danych osobowych powodujące ryzyko naruszenia praw lub wolności osób fizycznych są niezwłocznie zgłaszane do Prezesa UODO. Ponadto, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o takim naruszeniu niezwłocznie zawiadamia się osobę, której dane dotyczą.

cus cus

Relacje z klientami

  • 102-43
  • 417-3
Proces reklamacyjny w banku

Proces reklamacyjny jest ważnym ogniwem w budowaniu pozytywnego doświadczenia klientów oraz satysfakcji ze współpracy z podmiotami grupy. Każda reklamacja klienta jest rozpatrywana indywidualnie, a zgłoszony problem jest wnikliwie analizowany i wyjaśniany. Przekazywanie reklamacji lub odwołań może przyjmować różną formę, w zależności od decyzji klienta: pisemną, ustną lub elektroniczną. Proces reklamacyjny w banku realizowany jest na dwóch liniach:

  • pierwsza linia to jednostki rozpatrujące (stosownie do wykonywanych zadań) pierwsze wystąpienia klientów oraz zgłoszenia dotyczące ochrony danych osobowych skierowane przez Prezesa Urzędu Ochrony Danych Osobowych,
  • druga linia to Rzecznik Klienta i działające przy nim Biuro Rzecznika Klienta, które rozpatrują: odwołania klientów od stanowiska pierwszej linii banku w procesie reklamacyjnym, a także zgłoszenia dotyczące klientów kierowane przez: KNF i instytucje zewnętrzne, które zajmują się ochroną praw klienta oraz indywidualnie uzgodnione sprawy.

Reklamacje lub odwołania rozpatrywane są z należytą starannością, rzetelnie, wnikliwie i w możliwie najkrótszym terminie. Przy rozpatrywaniu zgłoszeń stosuje się Kodeks Etyki banku, Zasady Dobrej Praktyki Bankowej oraz Standardy jakości obsługi klientów. Rozpatrzenie reklamacji lub odwołania polega w szczególności na: analizie i ocenie jego zasadności, podjęciu działań, aby usunąć nieprawidłowości i udzieleniu wyczerpującej odpowiedzi. Zgodnie z ustawą o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym, bank kieruje się zasadą, że odpowiedź na reklamację klienta powinna być jasna i zrozumiała oraz powinna zawierać:

  • uzasadnienie faktyczne i prawne, chyba że reklamacja została rozpatrzona zgodnie z wolą klienta,
  • informację na temat stanowiska banku w sprawie zastrzeżeń, w tym wskazanie odpowiednich fragmentów umowy lub regulaminu produktowego,
  • termin, w którym bank zrealizuje uznane roszczenie klienta.

Rozwiązanie proponowane przez Rzecznika Klienta jest ostatecznym stanowiskiem banku w sprawie. Terminy udzielania odpowiedzi są zgodne z przepisami prawa. Proces reklamacyjny jest regularnie monitorowany i raportowany, m.in. Komitetowi Ryzyka Operacyjnego oraz Zarządowi i Radzie Nadzorczej banku. Dopełnieniem procesu reklamacyjnego jest inicjowanie w banku korzystnych zmian.

Każda jednostka w banku rozpatrująca reklamacje i odwołania klientów analizuje zgłoszenia, aby zidentyfikować ewentualne nieprawidłowości, ich przyczyny i miejsce wystąpienia. Analizuje też możliwe zmiany w produktach, usługach lub procesach, które podniosłyby jakość usług banku oraz inicjuje działania naprawcze lub usprawnieniowe. Przekazuje także do Biura Rzecznika Klienta oraz do jednostki rozpatrującej zgłoszenie informację o swoich działaniach oraz terminie i sposobie ich wdrożenia. To podejście do procesu reklamacyjnego sprawia, że pojedyncze zgłoszenia prowadzą do wdrożenia korzystnych rozwiązań nie tylko dla zgłaszającego, ale także innych klientów. Biuro Rzecznika Klienta monitoruje wdrażanie działań naprawczych.

Proces reklamacyjny w podmiotach grupy

Podmioty zależne banku zarządzają reklamacjami we własnym zakresie i wdrażają i realizują własne procedury przyjmowania i rozpatrywania reklamacji klientów. Procedury te zostały określone w formie procedur lub przepisów wewnętrznych podmiotów, zostały zamieszczone w regulaminach i umowach z klientami lub wynikają z przepisów prawa. Reklamacje rozpatrywane są w sposób rzetelny i obiektywny, z uwzględnieniem wszystkich informacji i dokumentów związanych ze zgłoszonym przez klienta problemem. Większość podmiotów zależnych banku podlega Ustawie o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym, która szczegółowo reguluje ten proces.

W 2020 roku do podmiotów grupy wpłynęło łącznie prawie 320,5 tys. reklamacji (2019: 271 tys.), około 80% z nich zostało rozpatrzonych w czasie do 14 dni (2019: 86%). Spośród wszystkich spraw około 58% zostało w całości lub w części uznanych na korzyść klienta (2019: 61%).

Polityka banku jest uregulowana w „Zasadach prowadzenia działalności marketingowej oraz public relations (PR) i komunikacji społecznej przez PKO Bank Polski”, przyjętych uchwałą Zarządu w grudniu 2019 roku. Zasady regulują m.in. „Ogólne wymogi tworzenia przekazów reklamowych dotyczących obrotu instrumentami finansowymi” (załącznik nr 3 do Zasad). Przepisy wewnętrzne banku dotyczące zasad prowadzenia działalności marketingowej określają cechy właściwego przekazu reklamowego, jak też katalog działań niepożądanych. Zgodnie z postanowieniami tych zasad przekaz reklamowy:

  • powinien być konstruowany w sposób rzetelny, nie wprowadzać w błąd i cechować się poszanowaniem przepisów prawa, zasad uczciwego obrotu oraz dobrych obyczajów,
  • nie może eksponować korzyści w taki sposób, który powodowałby umniejszenie znaczenia kosztów i ryzyk związanych z nabyciem produktu lub usługi.

Poza przepisami wewnętrznymi, w ramach komunikacji marketingowej bank kieruje się:

  • „Kodeksem etyki bankowej” przygotowanym przez Związek Banków Polskich w ramach Zasad dobrej praktyki bankowej,
  • „Dobrymi Praktykami w zakresie standardów reklamowania kredytu konsumenckiego” wypracowanymi w ramach współpracy Związku Banków Polskich, Konferencji Przedsiębiorstw Finansowych i Związku Firm Pożyczkowych,
  • „Zasadami reklamowania usług bankowych” Komisji Nadzoru Finansowego,
  • „Kanonem dobrych praktyk rynku finansowego” opracowanym przez podmioty sektora finansowo-ubezpieczeniowego.

W ramach swojej działalności marketingowej bank stosuje mechanizmy, które zapobiegają powstawaniu nieetycznych i nierzetelnych komunikatów. Każdorazowo poprawność komunikacji jest konsultowana z jednostkami, które w ramach swoich obowiązków weryfikują zgodność komunikatów z powszechnie obowiązującymi przepisami prawa. Zasady etyki w komunikacji marketingowej i mechanizmy zapobiegania ryzyku nieetycznych przekazów odnoszą się również do materiałów przygotowywanych na zlecenie banku przez podmioty zewnętrzne (agencje reklamowe, agencje eventowe). Jednakowe standardy stosowane są wobec wszystkich grup klientów. Każdy komunikat należy formułować w sposób zrozumiały, rzetelny, wiarygodny, bez względu na to, do jakiego klienta jest kierowany.

Podmioty zależne banku również posiadają przepisy wewnętrzne, które nakładają na nie obowiązek konstruowania komunikatów przy zachowaniu standardów etyki (nie dotyczy podmiotów, które nie prowadzą aktywnej działalności marketingowej). Standardy te pokrywają się z przyjętymi przez bank. Podmioty zależne banku, które zawarły z bankiem umowy dotyczące zlecania usług marketingowych dla grupy kapitałowej, są zobowiązane do stosowania przepisów wewnętrznych banku w zakresie komunikacji marketingowej. Każdy z podmiotów zależnych banku w zakresie swojej działalności marketingowej posiada mechanizmy kontrolne, które zapobiegają ryzyku nieodpowiedzialnej lub nieetycznej komunikacji ze strony spółki. Komunikacja marketingowa jest zatwierdzana odpowiednio przez jednostki nadzorujące daną spółkę. W przypadku spółek, które zawarły z bankiem umowy dotyczące zlecania usług marketingowych dla grupy, przez odpowiednie komórki merytoryczne banku.

[417-3] W 2020 roku w zakresie prowadzonej przez grupę i bank działalności marketingowej nie prowadzono żadnych postępowań administracyjnych związanych z naruszeniem regulacji dotyczących etyki w komunikacji marketingowej i nie odnotowano żadnych przypadków niezgodności w komunikacji marketingowej.

[102-43] Bank ocenia zaangażowanie interesariuszy w regularnych badaniach satysfakcji klienta.

Badania satysfakcji klienta detalicznego

W 2020 roku satysfakcja klienta (wskaźnik Customer Satisfaction Index – CSI) oraz poziom rekomendacji banku (wskaźnik Net Promoter Score – NPS) po raz pierwszy zostały ujęte w celach większości jednostek banku, w tym w celach Zarządu. Ugruntowana została tym samym zasada, że czynnik zadowolenia klienta jest kluczowy z punktu widzenia działań banku. Dotyczy to zwłaszcza projektowania i wdrażania produktów, rozwiązań oraz bieżącej obsługi klientów. Bank oceniał satysfakcję klientów detalicznych poprzez:

  • badania relacyjne – realizowane we wszystkich segmentach klientów, mierzą siłę relacji z bankiem i satysfakcję ze współpracy, obejmują całość doświadczeń klienta,
  • badania transakcyjne – realizowane w kluczowych punktach styku klienta z bankiem, bezpośrednio po zdarzeniu, mierzą zadowolenie z danej, określonej w miejscu i czasie interakcji; w ich ramach są też prowadzone badania na potrzeby projektowania i wdrażania procesów.

Jednocześnie wobec zmian otoczenia, bank dostosowywał metody pozyskiwania opinii klientów do nowej – jeszcze silniej scyfryzowanej – rzeczywistości. Efektem są uruchomione po raz pierwszy badania w kanałach zdalnych (ankiety w iPKO) oraz zaawansowane prace nad uruchomieniem ankiet w IKO, a także testowe wdrożenie pomiaru satysfakcji klientów za pomocą voicebota. W 2020 roku kontynuowano również badania realizowane za pomocą maili oraz SMS-ów, zapoczątkowane w 2019 roku.

Ogółem w 2020 roku bank przeprowadził różnymi metodami ponad 230 tys. wywiadów z klientami rynku detalicznego (ponad 220 tys. wywiadów w 2019 roku). Plany obejmują dalsze zwiększanie liczby monitorowanych procesów (produktów oraz kanałów sprzedaży) pod kątem satysfakcji klientów i rozwój technik pozyskiwania informacji. W 2020 roku kontynuowano pomiary satysfakcji klientów również w pozostałych podmiotach grupy.


Badania satysfakcji klienta korporacyjnego

W 2020 roku trzykrotnie wzrosła liczba „punktów styku” (interakcji klientów z bankiem), po których bank pytał klientów o opinię. Bank badał zarówno wdrożenia w ramach cyfryzacji istniejących procesów (np. dodawanie nowych użytkowników bankowości elektronicznej), jak i nowe rozwiązania wymuszone bieżącą sytuacją (np. składanie wniosków o subwencję PFR). Kluczowe było szybkie przekazywanie do właścicieli produktów zebranych informacji i uwzględnianie ich w kolejnych działaniach.

Bank stale monitoruje chęć udziału w ankietach (Response Rate wynosił 65% w 2020 roku). W 2020 roku grupa wdrożyła kolejne 13 inicjatyw, które dotyczą wskazywanych przez klientów problemów i potrzeb. Wśród nich najmocniej na zadowolenie klientów wpłynęły: cyfryzacja procesów realizowanych do tej pory przez doradców w formie papierowej i zmiany w systemie obsługi klientów PKO Faktoring. Łącznie od 2016 roku w ramach programu grupa wdrożyła 112 inicjatyw.

ESG Obszar społeczny
ESG Indeks GRI Standards

Wyniki wyszukiwania: