Jest to ryzyko niedostosowania się lub naruszenia przez podmioty Grupy PZU lub osoby powiązane z podmiotami Grupy PZU przepisów prawa, regulacji wewnętrznych oraz przyjętych przez podmioty Grupy PZU standardów postępowania, w tym norm etycznych, które skutkuje lub może skutkować poniesieniem przez Grupę PZU lub osoby działające w jej imieniu sankcji prawnych, powstaniem strat finansowych bądź utratą reputacji lub wiarygodności.
Proces zarządzania ryzykiem braku zgodności na poziomie PZU i PZU Życie dotyczy zarówno działań systemowych, realizowanych przez Biuro Compliance, jak również bieżącego zarządzania ryzykiem braku zgodności, za które odpowiadają kierujący jednostkami i komórkami organizacyjnymi w Spółkach. Identyfikowanie i ocena ryzyka braku zgodności realizowane są dla poszczególnych procesów wewnętrznych PZU i PZU Życie, zgodnie z podziałem odpowiedzialności za raportowanie. Dodatkowo Biuro Compliance identyfikuje ryzyko compliance na podstawie informacji wynikających z procesu legislacyjnego, ze zgłoszeń do rejestrów konfliktu interesów, prezentów oraz nieprawidłowości, a także wpływających do Biura zapytań.
Wśród działań systemowych wskazać należy kwestie takie jak:
- opracowywanie i wdrażanie założeń systemowych i spójnych z nimi regulacji wewnętrznych;
- rekomendowanie pozostałym podmiotom Grupy PZU rozwiązań w zakresie sposobu realizacji spójnej funkcji compliance oraz systemowego zarządzania ryzykiem braku zgodności;
- monitorowanie procesu zarządzania ryzykiem braku zgodności obejmującego w szczególności: dokonywanie analiz ryzyka braku zgodności, przegląd stanu realizacji wytycznych podmiotów zewnętrznych w zakresie zarządzania ryzykiem braku zgodności;
- udzielanie konsultacji oraz wydawanie interpretacji i wytycznych w zakresie stosowania przyjętych standardów postępowania oraz zarządzania ryzykiem braku zgodności;
- planowanie i realizacja szkoleń oraz prowadzenie działań komunikacji wewnętrznej w zakresie zapewnienia zgodności;
- sporządzanie raportów i informacji w zakresie ryzyka braku zgodności.
Z kolei działania kierujących komórkami i jednostkami organizacyjnymi, związane z bieżącym zarządzaniem ryzykiem braku zgodności oznaczają m.in.:
- identyfikację i ocenę ryzyka braku zgodności w nadzorowanym obszarze;
- pomiar ryzyka braku zgodności w nadzorowanym obszarze;
- ustalanie instrumentów zabezpieczających oraz ograniczających liczbę i skalę występujących nieprawidłowości;
- raportowanie do Biura Compliance zagrożeń i zdarzeń z zakresu ryzyka braku zgodności;
- podejmowanie działań mitygujących ryzyko braku zgodności;
- stałe monitorowanie ryzyka braku zgodności w nadzorowanym obszarze.
Dodatkowo Biuro Compliance na poziomie PZU dba o adekwatne i jednolite standardy rozwiązań compliance we wszystkich podmiotach Grupy PZU, jak również monitoruje ryzyko braku zgodności w skali Grupy PZU.
W 2019 roku podmioty Grupy PZU posiadały systemy zgodności dostosowane do standardów wyznaczonych przez PZU.
Za przekazywanie pełnej informacji na temat ryzyka braku zgodności w podmiotach Grupy odpowiedzialne są jednostki ds. zgodności tych podmiotów. Jednostki te mają za zadanie dokonanie oceny i pomiaru ryzyka braku zgodności oraz podjęcie odpowiednich działań zaradczych, które mitygują materializację tego ryzyka.
Podmioty Grupy PZU obowiązane są do bieżącego informowania Biura Compliance PZU i PZU Życie na temat ryzyka braku zgodności. Biuro Compliance natomiast dokonuje m.in.:
- analizy raportów miesięcznych i kwartalnych otrzymanych od jednostek ds. zgodności podmiotów Grupy;
- oceny wpływu ryzyka braku zgodności podmiotów na Grupę PZU;
- analizy wykonania zaleceń wydanych podmiotom z zakresu realizacji funkcji compliance;
- wsparcia jednostek ds. zgodności podmiotów Grupy PZU przy ocenie ryzyka braku zgodności;
- raportowania Zarządowi i Radzie Nadzorczej PZU.
Ryzyko braku zgodności uwzględnia w szczególności ryzyko niedostosowania działalności podmiotów Grupy PZU do zmieniającego się otoczenia prawnego. Materializacja tego ryzyka może nastąpić w związku z opóźnieniem wdrożenia lub brakiem jasnych i jednoznacznych przepisów, czyli z tzw. luką prawną. Może to powodować nieprawidłowości w działalności Grupy PZU, co w konsekwencji może przyczynić się do wzrostu kosztów (np. kary administracyjne, inne sankcje finansowe), jak i zwiększenia ryzyka utraty reputacji.
Z uwagi na szeroki zakres działalności Grupy PZU, na ryzyko utraty reputacji ma również wpływ ryzyko sporów sądowych o różnej wartości, które dotyczy przede wszystkim spółek ubezpieczeniowych i banków wchodzących w skład Grupy.
Identyfikowanie i ocena ryzyka braku zgodności w podmiotach Grupy realizowana jest dla poszczególnych procesów wewnętrznych tych podmiotów przez kierujących komórkami organizacyjnymi, zgodnie z podziałem odpowiedzialności za raportowanie. Dodatkowo jednostki ds. compliance w podmiotach Grupy PZU identyfikują ryzyko braku zgodności na podstawie informacji wynikających ze zgłoszeń do rejestrów konfliktu interesów, prezentów oraz nieprawidłowości, a także wpływających zapytań.
Ocena i pomiar ryzyka braku zgodności dokonywane są poprzez określenie skutków materializacji ryzyk:
- finansowych, wynikających m.in. z kar administracyjnych, wyroków sądowych, decyzji UOKiK, kar umownych oraz odszkodowań;
- niematerialnych, dotyczących utraty reputacji, w tym uszczerbku w zakresie wizerunku i marki Grupy PZU.
Monitorowanie ryzyka braku zgodności dokonywane jest w szczególności poprzez:
- analizę systemową raportów cyklicznych otrzymywanych od kierujących jednostkami i komórkami organizacyjnymi;
- monitoring wymogów regulacyjnych i dostosowania działalności do zmieniającego się otoczenia prawnego podmiotów Grupy PZU;
- udział w pracach legislacyjnych w zakresie zmian obowiązujących powszechnie przepisów;
- podejmowanie aktywności w organizacjach branżowych;
- koordynację procesów kontroli zewnętrznej;
- koordynację realizacji obowiązków informacyjnych giełdowych (PZU) i ustawowych;
- popularyzację w Grupie PZU wiedzy z obszaru prawa konkurencji i ochrony konsumentów wśród pracowników z dostosowaniem do obszaru działalności;
- monitoring orzecznictwa antymonopolowego oraz postępowań prowadzonych przez Prezesa UOKiK;
- przegląd realizacji zaleceń jednostki ds. compliance Grupy PZU;
- zapewnienie jednolitych standardów i spójnej realizacji funkcji compliance w Grupie PZU.
Działania zarządcze w zakresie reakcji na ryzyko braku zgodności obejmują w szczególności:
- akceptację ryzyka m.in. wobec zmian prawnych i regulacyjnych;
- ograniczanie ryzyka, w tym: dostosowanie procedur i procesów w kontekście wymogów regulacyjnych, opiniowanie i projektowanie regulacji wewnętrznych pod względem zgodności, uczestnictwo w procesie uzgadniania działań marketingowych;
- unikanie ryzyka poprzez zapobieganie angażowaniu się podmiotów Grupy PZU w działania niezgodne z obowiązującymi wymogami regulacyjnymi, dobrymi praktykami rynkowymi lub mogącymi negatywnie wpłynąć na wizerunek Grupy PZU.
W ramach ograniczania ryzyka braku zgodności w Grupie PZU na poziomie systemowym i bieżącym realizowane są m.in. następujące działania mitygujące:
- bieżąca realizacja efektywnej funkcji zgodności jako jednej z funkcji kluczowych w systemie zarządzania;
- udział w konsultacjach z organami ustawodawczymi i nadzoru (podmioty nadzorowane Grupy PZU) na etapie tworzenia regulacji (konsultacje społeczne);
- delegowanie przedstawicieli podmiotów nadzorowanych Grupy PZU do udziału w pracach komisji przy organach nadzoru;
- uczestnictwo w projektach wdrożeniowych dla nowych regulacji;
- szkolenia pracowników w zakresie nowych regulacji, standardów postępowania i rekomendowanych działań zarządczych;
- opiniowanie regulacji wewnętrznych i rekomendowanie ewentualnych zmian pod kątem ich zgodności z przepisami prawa i przyjętymi standardami postępowania;
- weryfikacja procedur i procesów w kontekście ich zgodności z przepisami prawa i przyjętymi standardami postępowania;
- wyprzedzające dostosowywanie dokumentacji do zbliżających się zmian wymogów prawnych;
- systemowy nadzór PZU nad realizacją funkcji zgodności w podmiotach Grupy PZU;
- prowadzenie analiz i bieżący monitoring nad stosowaniem zasad funkcjonowania chińskich murów, w związku ze złożonymi przez PZU dodatkowymi zobowiązaniami inwestorskimi w ramach postępowania z zawiadomienia dotyczącego zamiaru nabycia akcji Banku Pekao;
- bieżący monitoring zmian otoczenia prawno-regulacyjnego w celu identyfikacji luk lub obszarów wymagających podjęcia działań mających na celu zapewnienie zgodności.
W 2019 roku - w związku z dalszym spełnianiem przez Grupę PZU kryteriów pozwalających uznawać ją za konglomerat finansowy i tym samym koniecznością kontynuowania stosowania wobec niej przez KNF nadzoru uzupełniającego sprawowanego na podstawie ustawy z 15 kwietnia 2005 roku o nadzorze uzupełniającym nad instytucjami kredytowymi, zakładami ubezpieczeń, zakładami reasekuracji i firmami inwestycyjnymi wchodzącymi w skład konglomeratu finansowego – obszar compliance był zaangażowany w prace związane z dostosowaniem Spółki do wymogów wynikających z tejże ustawy, a także do wymogów wynikających przede wszystkim z następujących aktów prawnych:
- rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
- dyrektywy z 15 maja 2014 roku w sprawie rynków instrumentów finansowych (MIFID II) (regulacja istotna dla niektórych podmiotów z Grupy PZU, w szczególności TFI);
- ustawy z 15 grudnia 2017 roku o dystrybucji ubezpieczeń;
- ustawy z 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu,
- ustawy z 16 października 2019 roku o zmianie ustawy o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych oraz niektórych innych ustaw.