Ryzyko braku zgodności [2] rozumiane jest jako ryzyko poniesienia sankcji prawnych, powstania strat finansowych bądź utraty reputacji lub wiarygodności wskutek niezastosowania się Grupy Kapitałowej, pracowników Grupy Kapitałowej lub podmiotów działających w jego imieniu do przepisów prawa, regulacji wewnętrznych oraz przyjętych przez Grupę Kapitałową standardów postępowania, w tym norm etycznych.

Celem zarządzania ryzykiem braku zgodności jest zapewnienie przestrzegania przez Grupę Kapitałową prawa, przyjętych standardów postępowania oraz funkcjonowania banku jako instytucji godnej zaufania, uczciwej i rzetelnej, poprzez eliminowanie ryzyka braku zgodności, przeciwdziałanie możliwości wystąpienia utraty reputacji lub wiarygodności Grupy Kapitałowej oraz przeciwdziałanie ryzyku wystąpienia strat finansowych lub sankcji prawnych mogących być rezultatem naruszenia przepisów i norm postępowania.

Za tworzenie systemowych rozwiązań w zakresie zapewnienia zgodności funkcjonowania poszczególnych podmiotów Grupy Kapitałowej z obowiązującym prawem i standardami postępowania odpowiadają odpowiednie komórki organizacyjne, bądź wyznaczeni pracownicy tych podmiotów. W Banku za tworzenie tych rozwiązań oraz rozwój metod oceny, monitorowania i raportowania ryzyka braku zgodności odpowiada Departament Zgodności, któremu zapewniono niezależność, podporządkowując w zakresie spraw związanych z zarządzaniem ryzykiem braku zgodności bezpośrednio Prezesowi Zarządu Banku.

We wszystkich podmiotach Grupy Kapitałowej PKO Banku Polskiego SA funkcjonują spójne zasady zarządzania ryzykiem braku zgodności.

Zarządzanie ryzykiem braku zgodności obejmuje w szczególności następujące zagadnienia:

• zapobiegania angażowaniu Grupy Kapitałowej w działalność niezgodną z prawem,
• zapewnienia ochrony informacji,
• propagowania standardów etycznych i monitorowania ich funkcjonowania,
• zarządzania konfliktami interesów,
• zapobiegania sytuacjom, w których postępowanie pracowników Grupy Kapitałowej w sprawach służbowych sprawiałoby wrażenie interesowności,
• profesjonalnego, rzetelnego i przejrzystego formułowania oferty produktowej oraz przekazów reklamowych i marketingowych,
• niezwłocznego, uczciwego i profesjonalnego rozpatrywania skarg, wniosków i reklamacji klientów.

Do identyfikacji ryzyka braku zgodności wykorzystuje się informacje o przypadkach braku zgodności i przyczynach ich wystąpienia, w tym informacje będące wynikiem przeprowadzenia audytu wewnętrznego, kontroli wewnętrznej funkcjonalnej oraz kontroli zewnętrznych.

Identyfikacja i ocena ryzyka braku zgodności opiera się przede wszystkim na:

• oszacowaniu dotkliwości ewentualnych przypadków braku zgodności,
• ocenie występowania dodatkowych czynników ryzyka braku zgodności z przepisami prawa.

Dokonując oceny określa się charakter i potencjalną skalę strat oraz wskazuje w jaki sposób można ograniczyć lub wyeliminować ryzyko braku zgodności. Ocena przeprowadzana jest w formie warsztatów.

62.1. Monitorowanie ryzyka braku zgodności

Monitorowanie ryzyka braku zgodności dokonywane jest z wykorzystaniem informacji przekazywanych przez Spółki i polega na:

• analizie przypadków braku zgodności w Grupie Kapitałowej i w sektorze bankowym, przyczyn ich wystąpienia i wywołanych skutków,
• ocenie zmian kluczowych przepisów prawa wpływających na działalność Banku i Grupy Kapitałowej,
• ocenie działań podejmowane przez Grupę Kapitałową w ramach zarządzania ryzykiem braku zgodności.

Raportowanie informacji dotyczących ryzyka braku zgodności obejmuje zarówno Bank, jak i Spółki Grupy Kapitałowej. Opracowywane w cyklach kwartalnych raporty zawierają informacje przekazywane przez Spółki Grupy Kapitałowej, w tym dotyczące przypadków braku zgodności. Odbiorcami raportów są Zarząd, Rada Nadzorcza oraz Komitet Audytu Rady Nadzorczej. Raporty zawierają między innymi informacje na temat:

• wyników identyfikacji i oceny ryzyka braku zgodności,
• przypadków braku zgodności,
• najważniejszych zmian otoczenia regulacyjnego.

W ramach Grupy Kapitałowej przyjęta została zerowa tolerancja na ryzyko braku zgodności, co oznacza, iż Grupa Kapitałowa koncentruje swoje działania na wyeliminowaniu tego ryzyka.