Zarządzanie ryzykiem niefinansowym

Grupa Kapitałowa, w tym Bank zarządza ryzykiem z uwzględnieniem aspektów społecznych (w odniesieniu do klientów i produktów im oferowanych oraz pracowników) i środowiskowych (w odniesieniu do działalności związanej z zarządzaniem nieruchomościami). Kluczowe ryzyka związane z aspektami społecznymi i środowiskowymi, wynikające z działalności Grupy Kapitałowej, obejmują:

Zarządzanie ryzykiem niezgodności produktów z obowiązującymi normami (w tym, misselingu)

Przykładem troski o zapewnienie zgodności produktów z obowiązującymi przepisami jest eliminowanie ryzyka niewłaściwej sprzedaży (misselling), realizowane na etapie tworzenia i wdrażania produktu, a następnie na etapie oferowania produktu klientom. Zgodnie ze stosowanymi w Banku zasadami tworzenia i wdrażania produktów do oferty Banku, każdy produkt wprowadzany do oferty podlega analizie pod kątem generowanych przez niego ryzyk oraz identyfikacji grup klientów docelowych dla danego produktu. PKO Bank Polski SA identyfikuje także grupę klientów, którym Bank nie powinien proponować nabycia danego produktu ze względu na ryzyko niewłaściwej sprzedaży, niedostosowania produktu do potrzeb klienta albo z innych przyczyn (tzw. antygrupa). W takim przypadku Bank każdorazowo wdraża działania, w tym rozwiązania systemowe ograniczające ryzyko niewłaściwej sprzedaży. Kolejny etap eliminowania ryzyka niewłaściwej sprzedaży przypada na bezpośredni kontakt z klientem. Przed przedstawieniem oferty produktowej danemu klientowi Bank dokonuje oceny potrzeb klienta w kontekście danego produktu, aby nie wystąpiło ryzyko missellingu (np. sprzedaż ubezpieczenia od utraty pracy w powiązaniu z pożyczką gotówkową, klientowi, który pobiera emeryturę). Dodatkowo Bank każdorazowo udziela klientom wiarygodnej i wyczerpującej informacji tak, by mogli dokonać świadomego wyboru określonego produktu. Bank zapoznaje klientów z korzyściami, jak i ryzykiem wynikającym z zakupu poszczególnych produktów.

Wszelkie nieprawidłowości zgłaszane przez klientów Banku, w szczególności w postaci reklamacji Bank niezwłocznie rozpatruje i zależnie od ustaleń, podejmuje działania mające na celu ich usunięcie, zapobieżenie ich wystąpieniu w przyszłości oraz podniesienie jakości obsługi (szerzej w podrozdziale 3.3).

Ryzykiem niewłaściwej sprzedaży produktów klientom zarządzają również następujące podmioty zależne: PKO Życie Towarzystwo Ubezpieczeń SA, PKO Bank Hipoteczny SA oraz Grupa PKO BP Finat sp. z o.o.

Zarządzanie ryzykiem niewłaściwego oznakowania produktów

Oznakowanie produktów bankowych i inwestycyjnych sprowadza się do dostarczenia klientowi informacji na ich temat. Grupa Kapitałowa PKO Banku Polskiego SA w procesie zarządzania ryzykiem niewłaściwego oznakowania produktów zapewniają klientom dostęp do wszelkich istotnych informacji o oferowanych produktach, szczególnie na etapie przedkontraktowym. 

Zarządzanie ryzykiem nieuprawnionego dostępu do środków klientów za pomocą bankowości elektronicznej

Najistotniejszym identyfikowanym przez PKO Bank Polski SA oraz PKO TFI SA zagrożeniem dla bezpieczeństwa klientów korzystających z produktów Grupy Kapitałowej są potencjalne przestępcze działania osób trzecich, wymierzone w klientów korzystających z elektronicznych kanałów dostępu do usług bankowych i inwestycyjnych.

Po pierwsze, w Banku stosowane są najnowsze rozwiązania bezpieczeństwa teleinformatycznego gwarantujące bezpieczny dostęp do posiadanych przez klientów środków, a Bank stale podnosi jakość zabezpieczenia systemów IT, w szczególności w zakresie aplikacji wykorzystywanych przez klientów Banku. Dotyczy to m.in. aktywnego zwalczania stron phishingowych podszywających się pod serwisy Banku, śledzenia rozwoju złośliwego oprogramowania atakującego klientów Banku, rozwoju mechanizmów detekcji zainfekowanych komputerów klientów oraz doskonalenia reguł i rozszerzania zakresu prowadzonego monitoringu transakcji elektronicznych.

Po drugie, Bank przywiązuje bardzo dużą wagę do informowania i podnoszenia świadomości klientów w zakresie bezpiecznego korzystania z usług bankowości elektronicznej, a także z kart płatniczych, gdyż bezpieczeństwo w tym zakresie uzależnione jest w znacznej mierze od działań użytkownika. Działania te obejmują w szczególności

  • masowe kampanie edukacyjne np. poprzez inicjowanie tekstów na temat bezpiecznego korzystania z bankowości elektronicznej (magazyn Bankomania dystrybuowany w wersji papierowej w ponad 1200 oddziałach i agencjach (tj. w blisko 2/3), portal edukacyjny www.bankomania.pkobp.pl),
  • bieżące przekazywanie odpowiedzi i wyjaśnień na zapytania klientów (e-mail, media społecznościowe),
  • bieżące przekazywanie poprzez środki masowego przekazu stanowiska Banku dotyczącego fałszywych e-maili, zawierającego elementy edukacyjne,
  • bieżące reagowanie na inne sygnały dotyczące zagrożeń,
  • publikowanie na stronach internetowych Banku, w serwisie transakcyjnym i dystrybuowane do klientów drogą mailową informacje na temat bezpiecznego logowania i zasad korzystania z bankowości elektronicznej.

Od 2016 r. Bank realizuje autorski program Cyberstrażnik, poprzez który monitoruje internet w poszukiwaniu treści ujawniających dane osobowe i ostrzega internautów przed upublicznianiem ich w sieci. Przekaz akcji do końca 2017 r. dotarł do ok. 4 mln użytkowników internetu.

Bank, jako pierwszy w Europie, rozpoczął współpracę z firmą Microsoft, której celem jest podnoszenie poziomu bezpieczeństwa poprzez wymianę informacji dotyczących potencjalnych zagrożeń. Porozumienie ułatwia szybszą i bardziej skuteczną reakcję na niebezpieczne zdarzenia pojawiające się w sieci. Współpraca była kontynuowanaw 2017 r.

Dodatkowo przedstawiciele Banku angażują się w prace realizowane w ramach Bankowego Centrum Cyberbezpieczeństwa (BCC), działającego w ramach Związku Banków Polskich. Celem BCC jest realizacja kompleksowych i długofalowych działań na kilku poziomach: wewnątrzsektorowym, międzysektorowym (m.in. współpraca z instytucjami z sektora telekomunikacji), ogólnokrajowym (współpraca z administracją państwową, organami ścigania) i międzynarodowym, zmierzających do zwiększenia poziomu bezpieczeństwa bankowości mobilnej i elektronicznej oraz przygotowanie narzędzi (struktury, procedury, mechanizmy wymiany informacji) umożliwiających zarządzanie sytuacją kryzysową (np. w przypadku zmasowanego ataku cyberprzestępców na sektor bankowy).

Zarządzanie ryzykiem nieuprawnionego dostępu do informacji o klientach

Ryzyko nieuprawnionego dostępu do informacji o klientach zarządzane jest zgodnie z Polityką bezpieczeństwa Banku. Polityka ta reguluje zasady poufności informacji i zachowania tajemnicy bankowej oraz bezpieczeństwa danych osobowych, w tym szczegółowo odpowiedzialność pracowników Banku w zakresie ochrony danych osobowych. Zgodnie z powyższymi zasadami:

  • Dostęp do informacji chronionych w Banku posiadają pracownicy wyłącznie w zakresie powierzonych zadań i obowiązków służbowych.
  • Pracownicy przed rozpoczęciem przetwarzania informacji chronionych realizują szkolenia z zakresu bezpieczeństwa informacji chronionych.
  • W przypadku udostępniania podmiotom zewnętrznym materiałów zawierających informacje chronione zawierana jest pomiędzy stronami umowa o zachowaniu poufności, zaś w przypadku powierzenia przetwarzania danych osobowych, zawierana jest umowa o powierzeniu przetwarzania danych osobowych.

Każdy z pozostałych podmiotów Grupy Kapitałowej przetwarzający dane osobowe, na którym spoczywa obowiązek posiadania odpowiednich regulacji w tym zakresie, przepisy takie posiada i stosuje je w praktyce. Są one zgodne z powszechnie obowiązującymi przepisami oraz ze standardami stosowanymi w Banku, a w niezbędnym zakresie zawierają regulacje szczególne adekwatne do specyfiki działalności konkretnego podmiotu.

W 2017 r. w żadnym podmiocie Grupy Kapitałowej, w tym w Banku, nie odnotowano przypadków „wycieku” lub nieuprawnionego wykorzystania danych osobowych przetwarzanych w tych podmiotach oraz nie były prowadzone żadne postępowania administracyjne w tym obszarze (np. przez Generalnego Inspektora Ochrony Danych Osobowych), które zakończyłyby się nałożeniem kary finansowej.

Ryzyko operacyjne związane ze zlecaniem usług podmiotom zewnętrznym w zakresie działalności bankowej

Bank prowadzi działalność bankową wspomagając się podmiotami zewnętrznymi, w związku z czym narażony jest na ryzyko operacyjne wynikające ze zlecania usług innym podmiotom.

Zgodnie z przepisami wewnętrznymi Banku z zakresu:

  • zarządzania ryzykiem operacyjnym,
  • powierzania wykonywania czynności na rzecz Banku innym podmiotom zewnętrznym niż agenci i pośrednicy (outsourcing),
  • współpracy z agentami, pośrednikami i pośrednikami internetowymi,
  • zarządzanie ryzykiem związanym z powierzaniem czynności podmiotom zewnętrznym w Banku dotyczy wszystkich etapów powierzenia, począwszy od planowanego powierzenia czynności, przez wybór podmiotu, który będzie realizował czynności, zawarcie umowy outsourcingowej, monitoringu współpracy i jej zakończenia.

W ramach zarządzania ryzykiem operacyjnym związanym ze zlecaniem usług podmiotom zewnętrznym Bank w szczególności:

  • dokonuje oceny wykonawcy na etapie wyboru podmiotu zewnętrznego;
  • dba o właściwe zabezpieczenie interesów Banku i jego klientów w umowach z wykonawcami (w tym zabezpieczenie danych objętych tajemnicą bankową);
  • zapewnia, że Bank oraz wykonawca posiadają plany awaryjne, w celu zapewnienia ciągłego i niezakłóconego prowadzenia działalności w zakresie objętym umową outsourcingową;
  • prowadzi nadzór nad realizacją umów, raportuje nieprawidłowości, oblicza i monitoruje wskaźnik KRI (ang. Key Risk Indicator) informujący o skali naruszeń umów outsourcingowych;
  • ocenia ryzyko związane z powierzeniem czynności na etapie planowanego powierzenia czynności w przypadku każdej istotnej zmiany umowy oraz w trakcie corocznej oceny ryzyka operacyjnego związanego z realizacją umowy outsourcingowej.

Zarządzanie ryzykiem operacyjnym związanym ze zlecaniem usług podmiotom zewnętrznym odbywa się również w pozostałych podmiotach Grupy Kapitałowej.