NA PŘÍKOPĚ 28 115 03 PRAHA 1 Sekce licenčních a sankčních řízení V Praze dne 21. května 2015 Č.j. 2015 / 54879 / 570 Ke sp. zn. Sp/2014/281/573 Počet stran: 41 ROZHODNUTÍ Česká národní banka jako orgán dohledu nad finančním trhem podle zákona č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů, a orgán dohledu nad činností spořitelních a úvěrních družstev dle zákona č. 87/1995 Sb., o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů, ve znění pozdějších předpisů (dále jen „zákon o družstevních záložnách1“), ve spojení s nařízením Evropského parlamentu a Rady (EU) č. 575/2013 ze dne 26. června 2013 o obezřetnostních požadavcích na úvěrové instituce a investiční podniky (dále jen ,,Nařízení (EU) 575/2013“), rozhodla ve správním řízení o uložení opatření podle § 28 zákona o družstevních záložnách vedeném podle zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů (dále jen „správní řád“) s účastníkem řízení Záložnou CREDITAS, spořitelní družstvo, IČO 634 92 555, se sídlem Olomouc, tř. Svobody 1194/12, PSČ 779 00, takto: I. Za nedostatky v činnosti Záložny CREDITAS, spořitelní družstvo, IČO 634 92 555, se sídlem Olomouc, tř. Svobody 1194/12, PSČ 779 00, zjištěné Českou národní bankou v oblasti: a) b) c) d)
řízení úvěrového rizika a rizik spojených s úvěrovými činnostmi, měření úrokového rizika, rizika koncentrace řízení rizik informačních systémů a technologií;
se podle ustanovení § 28 odst. 1 zákona o družstevních záložnách ve znění účinném od 22.7.2014 u k l á d á, aby Záložna CREDITAS, spořitelní družstvo, IČO 634 92 555, se sídlem Olomouc, tř. Svobody 1194/12, PSČ 779 00, (i)
1
podle § 28 odst. 5 písm. d) zákona o družstevních záložnách ve znění účinném od 22.7.2014 provedla nejdříve po uplynutí 90 dnů od právní moci tohoto rozhodnutí na své náklady mimořádný audit řídicího a kontrolního systému zaměřený na ověření účinnosti deklarovaných opatření k nápravě reagujících
Není-li dále uvedeno jinak, jedná se o znění účinné do 21.7.2014.
1
na zjištěné nedostatky projednávané v tomto správním řízení, a to za období od implementace těchto opatření dle harmonogramu nápravných opatření předloženého dne 1.4.2015 do okamžiku zpracování auditní zprávy. Tento audit bude proveden nezávislým externím auditorem vybraným postupem dle § 8b odst. 3 zákona o družstevních záložnách, kdy takto vybraný auditor musí být odlišný od auditora, který u Záložny CREDITAS, spořitelní družstvo, IČO 634 92 555, se sídlem Olomouc, tř. Svobody 1194/12, PSČ 779 00 prováděl ověření účetní závěrky a řídicího a kontrolního systému v posledních 3 letech, a zpráva auditora bude bez zbytečného odkladu po jejím vyhotovení zaslána České národní bance; (ii)
podle § 28 odst. 2 písm. a) bod 5 zákona o družstevních záložnách ve znění účinném od 22.7.2014 se počínaje dnem doručení tohoto rozhodnutí zdržela uzavírání smluv o úvěrových obchodech či přebírání úvěrového rizika, jemuž byla vystavena třetí osoba, a) ve výši přesahující hranici 100 000 000 Kč vůči jedné osobě či ekonomicky spjaté skupině osob bez řádné analýzy případu a bez zpětně rekonstruovatelných důvodů, na základě kterých představenstvo Záložny CREDITAS, spořitelní družstvo, IČO 634 92 555, se sídlem Olomouc, tř. Svobody 1194/12, PSČ 779 00 o takovémto úvěrovém obchodu rozhodlo, b) bez povinnosti klienta prokázat a použít vlastní zdroje financování ve výši alespoň 10 % financovaného projektu, c) bez povinnosti klienta prokázat a použít vlastní zdroje financování ve výši alespoň 20 % financovaného projektu či záměru v případě úvěrů bez průběžného splácení jistiny nebo d) vůči klientům či klientům zařazeným v ekonomicky spjaté skupině osob hodnoceným v kategorii se selháním ve smyslu ustanovení § 82 vyhlášky č. 163/2014 Sb., o výkonu činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry. Výjimku představují pouze případné nucené restrukturalizace ve smyslu čl. 178 Nařízení (EU) 575/2013, kterými prokazatelně dojde ke zvýšení pravděpodobnosti splacení úvěru;
(iii)
podle § 28 odst. 2 písm. a) bod 1 zákona o družstevních záložnách ve znění účinném od 22.7.2014 navýšila a následně udržovala kapitál v takové výši, aby kapitálový poměr pro kapitál tier 1 byl roven nebo vyšší než 12 %, a to nejpozději ve lhůtě 6 měsíců od právní moci tohoto rozhodnutí, nestanoví-li přímo použitelný předpis Evropské unie, zákon nebo podzákonný prováděcí předpis povinnost udržovat kapitál na vyšší úrovni; II.
Záložně CREDITAS, spořitelnímu družstvu, IČO 634 92 555, se sídlem Olomouc, tř. Svobody 1194/12, PSČ 779 00, se dle § 79 odst. 5 správního řádu, ve spojení s § 6 odst. 1 vyhlášky č. 520/2005 Sb., o rozsahu hotových výdajů a ušlého výdělku, které správní orgán hradí jiným osobám, a o výši paušální částky nákladů řízení, ukládá povinnost nahradit náklady řízení paušální částkou ve výši 1 000 Kč. Náhrada nákladů řízení je splatná do 30 dnů od nabytí právní moci tohoto rozhodnutí na účet České národní banky, č. 115-69193891/0710, konstantní symbol 1148, variabilní symbol 63492555. 2
ODŮVODNĚNÍ Identifikace účastníka řízení 1.
Záložna CREDITAS, spořitelní družstvo, IČO 634 92 555, se sídlem tř. Svobody 1194/12, 779 00 Olomouc (dále jen ,,účastník řízení“ či ,,Záložna“) je zapsána v obchodním rejstříku vedeném Krajským soudem v Ostravě, oddíl Dr, vložka 5022.
2.
Účastník řízení je družstevní záložnou, jež je v rozsahu udělené licence oprávněna provozovat činnost podle zákona o družstevních záložnách.
Rozhodná právní úprava 3.
S účinností od 22.7.2014 byl zákon o družstevních záložnách novelizován zákonem č. 135/2014 Sb., kterým se mění některé zákony v souvislosti se stanovením přístupu k činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry a dohledu nad nimi. Dále v textu je pak zákon o družstevních záložnách ve znění dotčené novely označen jako ,,zákon o družstevních záložnách ve znění účinném od 22.7.2014“.
4.
Zákon o družstevních záložnách, resp. zákon o družstevních záložnách ve znění účinném od 22.7.2014, byl nejprve proveden vyhláškou České národní banky č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry (dále jen „Vyhláška 123/2007“), jež byla s účinností ode dne 5.3.2014 nahrazena vyhláškou č. 23/2014 Sb., o výkonu činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry (dále jen „Vyhláška 23/2014“) a dále s účinností od 7.8.2014 nahrazena vyhláškou 163/2014 Sb., o výkonu činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry (dále jen „Vyhláška 163/2014“).
5.
S ohledem na trvající charakter zjištěných nedostatků, jež se z pohledu právní teorie posuzují jako jediné jednání, jež je ukončeno až odstraněním protiprávního stavu, správní orgán u každého konkrétního zjištění, resp. konstatované porušení zákona i Vyhlášky 23/2014 zkoumal, zda tato povinnost byla převzata i zákonem o družstevních záložnách ve znění účinném od 22.7.2014 a Vyhláškou 163/2014 a v souladu s právní teorií2 potom i dotčené zjištění podle zákona o družstevních záložnách ve znění účinném od 22.7.2014 a podle Vyhlášky 163/2014 kvalifikoval.
Okolnosti zahájení správního řízení 6.
Ve dnech 25.3.2014 až 27.8.2014 byla u účastníka řízení provedena kontrola na místě (dále jen ,,Kontrola“), zaměřená na oblast řízení úvěrového rizika a rizik spojených s úvěrovými činnostmi účastníka řízení, řízení tržních rizik a rizika protistran, řízení rizika likvidity, proces zpracování a vypořádání obchodů na finančních trzích, systém
2
Na základě názoru vysloveného v publikaci Trestní právo hmotné (Jiří Jelínek a kol., 2006), se kterým se ztotožňuje v souladu s konstantní judikaturou správních soudů i praxe, lze uvést, že trvající správní delikty se posuzují dle nové, tedy aktuální (platné a účinné) právní úpravy za předpokladu, že se alespoň část posuzovaného jednání (tj. udržování protiprávního stavu) událo za účinnosti nové právní úpravy. Dle nové právní úpravy se pak ukládá pachateli správního deliktu též pokuta či opatření k nápravě, a to i za předpokladu, že dřívější právní úprava byla pro pachatele příznivější. Tento závěr vyplývá ze skutečnosti, že trvající správní delikt je považován za jediný správní delikt, který je ukončen až ukončením udržování protiprávního stavu. Pokud udržování protiprávního stavu skončí až za účinnosti nového zákona, pak není důvodu, proč uvedené jednání jako celek neposoudit podle nové právní úpravy, byť by byla pro pachatele přísnější.
3
vnitřně stanoveného kapitálu, řízení rizik informačních systémů a technologií a zásady a postupy odměňování. 7.
O zjištěních, k nimž správní orgán dospěl v rámci Kontroly, byl pořízen protokol o kontrole č.j. 2014/034878/CNB/580 (dále jen ,,Protokol o kontrole“), jež byl účastníku řízení předán dne 8.9.2014.
8.
Dne 6.10.2014, pod č.j. 2014/045870/CNB/580, podal účastník řízení proti Protokolu o kontrole námitky, jež byly vyřízeny dne 1.12.2014, pod č.j. 2014/065797/580.
9.
Během Kontroly byla mj. prověřena úvěrová dokumentace 60 dlužníků (87 pohledávek), vůči kterým měl účastník řízení expozici celkem 5 261 mil. Kč z celkové expozice za jinými osobami než úvěrovými institucemi v celkové účetní hodnotě brutto 8 128 mil. Kč. Kontrolovaný vzorek3 tedy zahrnoval cca 65 % objemu úvěrových expozic účastníka řízení.
10. V rámci Kontroly byly u účastníka řízení identifikovány skutečnosti, u kterých existovalo důvodné podezření, že představují porušení povinností uložených družstevním záložnám zákonem o družstevních záložnách a Vyhláškou 23/2014, resp. Vyhláškou 163/2014, tj. nedostatky v činnosti ve smyslu § 28 odst. 1 zákona o družstevních záložnách ve znění účinném od 22.7.2014. Zjištěné skutečnosti pak nasvědčovaly tomu, že účastník řízení nedodržuje základní obezřetnostní pravidla, jimiž se musí každá úvěrová instituce řídit, v důsledku čehož pak může být ohrožena jeho finanční stabilita a zájmy jeho vkladatelů, resp. jeho další existence. 11. S ohledem na závažnost kontrolních zjištění se správní orgán rozhodl zahájit s účastníkem správní řízení podle § 28 zákona o družstevních záložnách ve znění účinném od 22.7.2014. Průběh správního řízení 12. Česká národní banka (dále jen „správní orgán“ či ,,ČNB“) zahájila s účastníkem řízení dne 19.12.2014 doručením oznámení o zahájení správního řízení č.j. 2014/74527570 ze dne 19.12.2014 (dále jen ,,Oznámení“), správní řízení sp. zn. Sp/2014/281/573, a to pro podezření, že účastník řízení: (i) nedisponuje řídicím a kontrolním systémem, jenž by zahrnoval předpoklady řádné správy a řízení družstevní záložny a řízení rizik adekvátní povaze, rozsahu a složitosti poskytovaných služeb, a to v oblasti: a) řízení úvěrového rizika a rizik spojených s úvěrovými činnostmi, b) měření úrokového rizika, c) rizika koncentrace, d) řízení rizik informačních systémů a technologií; a dále podezření, že účastník řízení (ii) při poskytování obchodů nepostupuje obezřetně a tedy může porušovat jednáním uvedeným ad (i) ustanovení § 7a odst. 1 písm. a) a b) a odst. 2 a 3 zákona o družstevních záložnách ve znění účinném od 22.7.2014 a jednáním ad (ii) ustanovení § 1 odst. 5 písm. b) téhož zákona, (spis č.l. 133 - 180). Správní orgán spatřoval v jednání účastníka řízení dále uvedené nedostatky, jež jsou podrobně popsány v Oznámení4:
3
Pohledávky kontrolované ČNB za vybranými dlužníky; kteří byli účastníku řízení oznámeni dopisem ze dne 8.4.2014, č.j.: 2014/4522/580. 4 Včetně definice pojmů, jež jsou dále použity.
4
(i) Strategie a nástroje řízení úvěrových rizik (bod I.1.A Oznámení) a. Předpisy účastníka řízení stanovující strategie řízení rizik popisovaly nástroje řízení rizik, které však nebyly účastníkem řízení v praxi využívány. Skutečnými nástroji řízení úvěrových rizik tak byly ukazatele stanovené Strategií řízení rizik pro období 2013 – 2015, limit angažovanosti vůči dlužníkovi/ESSO a limit oborových koncentrací, postupy stanovené předpisovou základnou účastníka řízení, obecné zásady řízení rizik a úvěrový proces. b. V oblasti řízení úvěrového rizika účastník řízení pro rok 2013 nesplnil pět z šesti5 stanovených cílů, a to ukazatel regulatorní a vnitřní kapitálové přiměřenosti, velkých angažovaností, ukazatel ohrožených pohledávek, jenž byl stanoven s cílem 15 % a skutečnost v roce 2013 činila 17,79 %, ukazatel zajištěnosti úvěrů, jenž byl stanoven s cílem 65 %, skutečnost v roce 2013 činila 55 %, a ukazatel opravných položek, jenž byl sice splněn, nicméně s výhradou, že ve Strategii řízení rizik pro období 2013 – 2015 účastník řízení sám naznačil, že tato hodnota nemusí být vzhledem k rizikovosti portfolia dostatečná. c. Přestože účastník řízení vývoj ukazatelů průběžně monitoroval, nebyl schopen realizovat svou strategii a nepřijal včas taková opatření, která by vedla k plnění stanovených cílů. d. V roce 2013 přitom došlo u účastníka řízení k úvěrové expanzi: účastník řízení vykázal oproti roku 2012 nárůst objemu poskytnutých úvěrů o 48,31 % 6 (což je cca o 1,1 mld. Kč více, než bylo plánováno v rámci obchodních strategií)7, avšak bez ohledu na nastavené obezřetnostní cíle8. I v důsledku nastaveného trendu došlo za první čtvrtletí roku 2014 k dalšímu zhoršení všech strategií sledovaných ukazatelů. e. Výše popsané jednání, jež bylo správním orgánem hodnoceno jako selhání systému řízení úvěrových rizik a selhání výkonu funkce řídicího orgánu účastníka řízení v jeho zodpovědnostech a nebyl tak naplňován požadavek na funkčnost řídicího a kontrolního systému ve smyslu soustavného řízení rizik, což podle správního orgánu představovalo porušení ustanovení § 17 odst. 6, § 18 odst. 4 a § 27 Vyhlášky 23/2014, resp. Vyhlášky 163/2014. f. Postupy účastníka řízení v přijímání opatření vedoucích k omezení případných rizik nebylo možno považovat za účinné. Řídicí a kontrolní systém účastníka
5
Plnění ukazatelů: regulatorní a vnitřní kapitálové přiměřenosti, velkých angažovaností, ohrožených pohledávek, zajištěnosti úvěrů a OP. 6 Stav úvěrů k 31.12.2012: 5,4 mld. Kč, stav úvěrů k 31.12.2013: 7,95 mld. Kč. 7 Dle strategie pro firemní financování pro období 2013 – 2016 byl očekávaný stav úvěrů ke konci r. 2013 v objemu 6,89 mld. Kč. 8 Představenstvo účastníka řízení rozhodlo dne 10.12.2013 s účinností od 1.1.2014, že novým členům účastníka řízení budou poskytovány úvěry maximálně do výše 100 mil. Kč při minimální zajištěnosti 70 %. Při nesplnění některého z těchto ukazatelů však existovaly výjimky; obchod podléhal schválení představenstvem. V období do 30.4.2014 byly takovéto úvěry poskytnuty min. dva. Pokud byl úvěrován stávající klient účastníka řízení, který doposud nečerpal úvěr, opatření se na něj nevztahovalo.
5
řízení tak nesplňoval požadavky ustanovení § 7a odst. 1 písm. a) a b) bodu 3 zákona o družstevních záložnách (i ve znění účinném od 22.7.2014). (ii) Organizační uspořádání (bod I.1.B Oznámení) a. Dne 8.1.2014 představenstvo účastníka řízení rozhodlo, že „představenstvo bude jednat jako kolektivní orgán dle § 156 nového občanského zákoníku9 a současně schválilo zrušení jednotlivých pověření členů představenstva obchodním vedením i zrušení rozdělení garancí za jednotlivé úseky v rámci účastníka řízení“. Žádný z členů představenstva tak neměl stanovenu působnost za oblast řízení rizik. b. Představenstvo je nejvyšším výkonným řídicím útvarem účastníka řízení a činnost řízení rizik je nutnou a významnou činností každé záložny, absence určení působnosti pro oblast řízení rizik na úrovni představenstva tak podle správního orgánu představovalo porušení ustanovení § 20 odst. 1 písm. a), § 22 odst. 2 a § 29 odst. 2 Vyhlášky 23/2014, resp. Vyhlášky 163/2014. c. Požadavek na ucelenost, potažmo na jednoznačnost organizačního uspořádání a působností představenstva záložny, plynoucí z ustanovení § 7a odst. 1 písm. a) bodu 2 a písm. b) zákona o družstevních záložnách (i ve znění účinném od 22.7.2014) tak nebyl účastníkem řízení dodržován. (iii) Produkty (bod I.2 Oznámení) a. V době Kontroly byly produkty poskytované účastníkem řízení v obecné rovině definovány stanovami účastníka řízení, vymezeny vnitřním předpisem Řízení rizik a jejich parametry a podmínky jejich poskytování pak byly detailně rozpracovány v produktových listech (dále jen též i ,,PL“), které byly pravidelně aktualizovány. b. Při přípravě úvěrového návrhu byl pracovník obchodu povinen postupovat v souladu s PL. Případné výjimky měly být v úvěrovém návrhu identifikovány a schváleny představenstvem účastníka řízení. Některé parametry/podmínky poskytnutí daného produktu však byly v produktových listech definovány nezávaznou formou. Vágní a nezávazné formulace však byly v PL použity i pro zásadní podmínky financování. c. Pokud byla výjimka z PL v úvěrových návrzích identifikována jako výjimka (bez ohledu na to, zda tomu tak muselo či nemuselo být) a schválena, byl o tom záznam v zápisech z jednání představenstva. Jiným způsobem nebyly výjimky z poskytovaných produktů evidovány a nebyly ani nijak vyhodnocovány. Účastník řízení tak neměl informace ani o tom, jaká je četnost výjimek, jaké parametry jakých produktů jsou nejčastěji předmětem výjimek a do jaké míry jím poskytované produkty odpovídají PL. Neměl tedy v tomto ohledu ani žádné informace o rizicích, která v důsledku nezávaznosti a nejednoznačnosti PL v úvěrovém procesu podstupoval.
9
Zákon č. 89/2012 Sb., občanský zákoník
6
d. V kontrolovaném vzorku byla mimo jiné často jako výjimka schvalována delší doba trvání úvěru, než jak ji definovaly PL, a to zejména v případě provozního/spláceného termínového úvěru10. Prodlužování doby splatnosti u úvěru, který účastník řízení poskytoval jako provozní, tento charakter s ohledem na četnost poskytovaných výjimek z doby jeho splatnosti zpochybňovalo. e. V průběhu Kontroly bylo navíc zjištěno, že četnost schvalovaných výjimek z PL byla a je u účastníka řízení extrémní. Stejný závěr konstatoval i externí a interní auditor. Dle závěrů interního auditu11 bylo v období 8/2012 – 7/2013 poskytnuto na základě výjimky z PL 42,7 % úvěrů (podle počtu), které činily 66,9 % objemu poskytnutých prostředků. f. Účastník řízení obecně vnímal obchody poskytované v korporátním segmentu jako obchody individuální a nesledoval a nevyhodnocoval strukturu portfolia ve vztahu k poskytovanému úvěrovému produktu. Z hlediska rizika koncentrace účastník řízení monitoroval údaje o splátkových kalendářích jednotlivých obchodů v členění: průběžná splátka, vícenásobná splátka, bez průběžné splátky. Účastník řízení neprováděl však žádné další analýzy (např. analýzy kumulace splatností úvěrů s jednorázovou splátkou v čase), a to i přesto, že úvěry bez průběžné splátky, tzn. s jistinou plně splatnou v době splatnosti úvěru, přitom u účastníka řízení činily ke konci roku 2013 i v prvním čtvrtletí 2014 cca 37,5 % portfolia. Úvěry s vícenásobnou splátkou jistiny12, pak tvořily 60 % portfolia. g. Ačkoli měl účastník řízení úvěrové produkty definovány produktovými listy, poskytoval v důsledku nejednoznačných formulací a množství udělovaných výjimek úvěry převážně za individuálních podmínek bez vyhodnocení rizika z toho vyplývajícího. Produktové listy tak nebylo možné považovat za nástroj řízení úvěrových rizik účastníka řízení. h. Současně další pochybení identifikovaná v souvislosti s produktovými listy podle správního orgánu svědčí o tom, že účastník řízení neměl poskytované úvěrové produkty definovány jednoznačně, čímž byla výrazně omezena jeho možnost vyhodnocovat správně a komplexně všechna podstupovaná rizika a účinně řídit úvěrové riziko, což podle správního orgánu představovalo porušení ustanovení § 27, § 30 odst. 2 písm. g) a § 34 Vyhlášky 23/2014, resp. 163/2014. i. Řídicí a kontrolní systém účastníka řízení tak nesplňoval požadavky ustanovení § 7a odst. 1 písm. b) bodu 2 zákona o družstevních záložnách (i ve znění účinném od 22.7.2014), a to zejména požadavek na soustavné řízení rizik a na poskytování nezkresleného obrazu o podstupovaných rizicích.
10
Nejzazší doba splatnosti byla dle PL 60 měsíců. Z kontrolovaného vzorku byla výjimka z této doby schválena např. u dlužníků _______________, ____________________, ____________________, _____________________, ______________, ________________, ___________________________ a u řady dalších. 11 Interní audit při svých zjištěních vycházel ze zápisů z jednání představenstva. 12 Tzn. úvěry, kde nebylo vyloučeno, že průběžné splátky jsou v poměru k úvěrované částce zanedbatelné a poslední splátka tak může tvořit podstatnou část jistiny.
7
(iv) Poskytování obchodů (bod I.3 Oznámení) a. Podle vnitřního předpisu Řízení úvěrových rizik považoval účastník řízení úvěrové obchody, jejichž předmětem bylo mimo jiné financování nákupu cenných papírů, financování půjček v rámci ESSO, refinancování úvěrů jiných bank, financování komerčních developerských projektů, financování s delší dobou konečné splatnosti, než je maximální doba splatnosti stanovená pro úvěrové obchody obdobného typu v souladu s příslušným produktovým listem, financování nově zakládaných společností (bez historie), za obchody, které mohou generovat zvýšené riziko. Těmto úvěrovým obchodům bylo dle předpisu nutno věnovat zvýšenou pozornost, a to ve všech etapách úvěrového procesu. Z dokumentace k nim předložené pak vyplynulo, že úvěrový proces, resp. vyhodnocení a minimalizace rizik těchto obchodů, vykazuje zásadní nedostatky, a to když účastník řízení poskytoval úvěry: dlužníkům i s vědomím toho, že prostředky z úvěru jimi budou v plném či částečném rozsahu poskytnuty dalším osobám z ESSO, a to přestože předmětem podnikání dlužníků nebylo poskytování půjček; aniž by zdůvodnil uvedený postup (tj. zdůvodnil, proč není financován přímo příjemce finančních prostředků) a vyhodnotil riziko uvedené konstrukce obchodu a zejména rizika spojeného se skutečným příjemcem úvěru; různým dlužníkům na shodné záměry; aniž by v těchto případech požadoval vlastní zdroje dlužníka na financování záměru. Docházelo tak k přenosu podstupovaného rizika přes několik subjektů, případně jejich vlastníků v čase; které svým charakterem odpovídají mezaninovému financování, kdy tyto úvěry měly ve většině případů povahu podřízeného dluhu a byly zajištěny zástavním právem účastníka řízení k akciím či obchodním podílům, aniž by analyzoval strukturu financování záměru/projektu či vzájemné finanční vazby subjektů v úvěrované ESSO na projektu/záměru zainteresovaných. Účastník řízení poskytoval tyto úvěry formou produktu projektové financování, přestože jejich rizikovost byla s ohledem na jejich charakter vyšší; které byly určeny na nákup akcií či obchodních podílů (často energetických společností), kdy zdrojem jejich splacení měl být následný prodej a tyto obchody tak měly spekulativní povahu, aniž by prováděl jejich přecenění v metodikou požadovaných intervalech nebo tato ocenění vykazovala jiné nedostatky. Účastník řízení navíc ani nepožadoval pro realizaci nákupu obchodního podílu žádné vlastní zdroje dlužníka; na nákup zemědělské půdy, a to jak za deklarovaným účelem dalšího prodeje či následného hospodaření, kdy pozemky nabyté z úvěru pak sloužily jako zajištění. Dlužník pro účely žádosti o poskytnutí úvěru předkládal podnikatelský záměr včetně predikce hospodaření. Z dokumentace však nebylo zřejmé, že by tyto predikce žadatelů o úvěr týkající se očekávaného vývoje jejich hospodaření byly podrobovány analýzám o reálnosti jejich dosažení a následně vyhodnocovány, současně účastník řízení nepožadoval prakticky žádné vlastní zdroje dlužníka; určené na pořízení pozemků za účelem nákupu a přípravy těchto pozemků pro budoucí výstavbu, kdy tyto úvěry měly být splaceny dalším prodejem těchto pozemků nebo jejich refinancováním, ať už účastníkem řízení samotným či jiným peněžním ústavem. Účastník řízení tyto úvěry označoval za projektové financování, i když svou povahou spíše naplňovaly znaky spekulativních úvěrů. Byly zjištěny případy, kdy účastník řízení poskytl takovéto financování nově 8
vzniklým společnostem bez požadavku na vlastní zdroje a případně i s tím, že část poskytnutých prostředků byla použita na úhradu nákladů financování; resp. developerské financování, aniž by pro realizaci projektu požadoval vlastní zdroje dlužníka a poskytl financování (uzavřel úvěrovou smlouvu i zahájil čerpání) bez toho, že by byl projekt řádně připraven. Ačkoli účastník řízení zařadil pohledávku za dlužníkem již od počátku do podkategorie sledovaných, uvedený postup účastníka řízení při poskytnutí úvěru hodnotí správní orgán jako rizikový a v přímém rozporu se zásadami obezřetného podnikání; aniž by před poskytnutím úvěru provedl hodnocení ekonomické a finanční situace protistrany a poskytl úvěr i přesto, že nebyly zřejmé zdroje splácení úvěru, resp. byl zřejmý nedostatek ve finančních zdrojích dlužníka. Postup účastníka řízení v tomto případě hodnotí správní orgán jako neobezřetný. b. Účastník řízení poskytoval úvěry dlužníkům, v některých případech i nově vzniklým SPV13, formou mezaninového financování i úvěrů na realizaci spekulativních záměrů či projektů za situace, kdy neměl jistotu o jejich návratnosti a zdrojích jejich splácení. V těchto případech současně ani nepožadoval vlastní zdroje dlužníka a žadatelé v záměrech nepředpokládali financování jiným subjektem; účastník řízení tak nesl klíčová rizika jejich podnikání. c. Byly zjištěny i případy, kdy byla část financování poskytnutého účastníkem řízení určena na úhradu finančních nákladů těchto úvěrů; to v kombinaci se splátkovým kalendářem s jednorázovou splátkou jistiny v době splatnosti úvěru prakticky znemožňuje, aby nastal platební default dlužníka po dobu trvání úvěrového vztahu. Poskytnutím úvěru za takovýchto podmínek účastník řízení fakticky rezignuje na průběžný monitoring a řízení úvěrového rizika s tímto úvěrem spjatým. d. Úvěrový proces účastníka řízení byl na úrovni jednotlivých úvěrových případů dále významně ovlivněn velkým množstvím výjimek z řady účastníkem řízení nastavených postupů; ať už se jednalo o výjimky z PL, výjimky z nastavených strategií (vnitřní limity angažovanosti, oborové limity), výjimky z obchodní politiky (výjimky z poplatků, sazeb, sankcí či dalších povinností dlužníka), což ještě více znemožňuje monitoring a řízení úvěrového rizika. e. V průběhu přípravy smluvní dokumentace navíc docházelo k úpravě - změkčování původně schválených podmínek, kdy i tyto změny dále oslabovaly účinnost systému řízení úvěrových rizik. f. Výše uvedené skutečnosti svědčily o tom, že účastník řízení poskytoval úvěry s nedostatečně ošetřenými riziky, jež mohly zásadně ohrozit návratnost poskytnutých prostředků, což podle správního orgánu představovalo porušení povinnosti postupovat obezřetně, jež je stanovena v ustanovení § 1 odst. 5 písm. b) zákona o družstevních záložnách (i ve znění účinném od 22.7.2014). g. Zjištění uvedená v tomto bodě podle správního orgánu představovala porušení povinnosti řídit rizika řádně a soustavně, tedy porušení ustanovení § 27 a § 31 písm. a) Vyhlášky 23/2014, resp. Vyhlášky 163/2014 a dále v případě řízení úvěrového rizika ustanovením bodu 5 Přílohy 3 Vyhlášky 23/2014, resp. Vyhlášky 163/2014. 13
Special Purpose Vehicle/účelově založená společnost.
9
h. Řídicí a kontrolní systém účastníka řízení tak nesplňoval požadavky ustanovení § 7a odst. 1 písm. b) zákona o družstevních záložnách (i ve znění účinném od 22.7.2014). (v) Kategorizace pohledávek (bod I.4 Oznámení) a. Účastník řízení chybně kategorizoval obchody níže v tabulce uvedené jako standardní/sledované, i když ve skutečnosti šlo o obchody se selháním dlužníka. Dlužník
Zařazení pohledávky dle účastníka řízení podkategorie sledované podkategorie sledované
Zařazení pohledávky dle správního orgánu kategorie se selháním kategorie se selháním
podkategorie standardní, od 6/2013 sledované podkategorie standardní, od 12/2013 nestandardní podkategorie standardní
kategorie se selháním
podkategorie nestandardní
___________ _______ ______ ______ ______
podkategorie sledované
kategorie se selháním
podkategorie sledované
kategorie se selháním
___ ___________ ____
podkategorie standardní
kategorie se selháním
_______ _ _______ ______
podkategorie standardní
kategorie se selháním
_________ _______ ______ _______ ___________ ______ ______ _____ ______ ________ ____ ____ ________ ___
podkategorie pochybné
(vi) Měření úrokového rizika (bod II. Oznámení) a. Žádný ze stávajících reportů, v podobě, ve které existoval v průběhu Kontroly, nezobrazoval úrokovou pozici (včetně dopadu úrokového šoku) na základě dostatečně robustního přístupu k jejímu měření. Nedostatky v přístupu k měření úrokové pozice a úrokového šoku v daných reportech byly následující14: V rámci denního reportu z Controllingu nebyla úrokově citlivá aktiva a pasiva rozřazována do časových pásem, podrozvahové položky (tj. zejména závazné úvěrové přísliby) nebyly zohledněny. Úrokový šok byl počítán jako dodatečný úrokový výnos/náklad vynásobením celého objemu konkrétní položky příslušnou úrokovou mírou15. Report tak nesloužil k zobrazení úrokové pozice, ale pouze k výpočtu dopadu úrokového šoku. Výsledná hodnota nicméně byla, především díky abstrahování od časové hodnoty peněz, pouze hrubou aproximací; V rámci měsíčního reportu byly úrokově citlivé položky rozřazovány do gapů, nicméně přístup k jejich rozkladu nebyl v čase konzistentní. Do března 2014 byly 14
Viz autorizovaný zápis z jednání ze dne 20.5.2014 v Olomouci, č.j. 2014/7019/580, a potvrzení kontrolních závěrů zaslané emailem dne 25.6.2014, č.j. 2014/011252/CNB/580, a dne 4.7.2014, č.j. 2014/013893/CNB/580. 15 Úroková míra, která byla použita ve stresovém scénáři, byla odvozena z úrokové míry uvažované pro danou položku v základním scénáři přičtením/odečtením uvažovaného počtu bp.
10
do reportu zahrnuty stejné položky jako v případě denního reportu s tím rozdílem, že byly rozřazeny do gapů podle smluvní splatnosti (bez zohlednění data možného refixu úrokové sazby). Díky poslední metodické úpravě v roce 2014 byly z reportu za měsíc březen vyřazeny pevně úročené úvěry a termínované vklady, zbylé úvěry byly do pásem rozloženy dle data nejbližšího refixu nebo splatnosti, pokud tato měla nastat dříve. Úrokový šok byl opět počítán jako dodatečný úrokový výnos/náklad, nicméně pro položku nakoupených cenných papírů byl zvolen nekonzistentní přístup modelování dopadu šoku na reálnou hodnotu16. Dopad úrokového šoku, tj. dodatečný úrokový výnos/náklad, nebyl diskontován. b. Výsledkem měření úrokové pozice nebyla s ohledem na výše popsané nedostatky racionální informace o velikosti podstupovaného úrokového rizika. Neustálená a nezdokumentovatelná metodika měření úrokového rizika, nekonzistentní přístup k měření úrokového šoku v rámci měsíčního reportu i další výše popsané nedostatky představovaly podle správního orgánu porušení povinnosti mít zajištěno, aby příslušné orgány a osoby měly pro své rozhodování a další činnosti k dispozici aktuální, spolehlivé a ucelené informace, tedy porušení ustanovení § 23 odst. 1 Vyhlášky 23/2014, resp. Vyhlášky 163/2014. c. Řídicí a kontrolní systém účastníka řízení tak nesplňoval požadavky ustanovení § 7a odst. 1 písm. a) zákona o družstevních záložnách (i ve znění účinném od 22.7.2014). (vii) Riziko koncentrace (bod III. Oznámení) a. Účastník řízení byl vystaven vysokému riziku koncentrace velkých angažovaností, oborové koncentraci a koncentraci splátkové struktury. I když bylo zřejmé, že si byl rizika vědom a stanovil ve své Strategii řízení rizik pro roky 2013 - 2015, resp. 2014 2016 nižší cílové koncentrace pro velké angažovanosti, tyto cíle nenaplnil (objem součtu angažovaností nad 15 % kapitálu rostl nejméně od konce roku 2012 a vzdaloval se cílovým hodnotám). Účastník řízení tedy nebyl schopen realizovat svou strategii a nepřijal takové efektivní kroky, které by vedly k výraznému snížení rizika koncentrace, především rizika velkých angažovaností. b. V době Kontroly bylo riziko oborové koncentrace a riziko koncentrace velkých angažovaností podchyceno v rámci systému vnitřně stanoveného kapitálu procentuální přirážkou (jako % kapitálového požadavku ke kreditnímu riziku). Procentuální přirážku zejména k riziku velkých angažovaností (k 30.4.2014 ve výši 5 %) nebylo možné vzhledem k zastoupení angažovaností nad 15 % kapitálu považovat17 za dostatečnou. c. Výše uvedené podle správního orgán představovalo porušení ustanovení § 17 odst. 6 písm. a) a § 31 písm. a) Vyhlášky 23/2014, resp. Vyhlášky 163/2014. 16
V případě modelování dopadu úrokového šoku ve scénáři paralelního posunu výnosové křivky o + 200 bp byla položka cenných papírů v daném časovém pásmu vynásobena úrokovou mírou ze základního scénáře, od které bylo 200 bp odečteno (nikoliv přičteno). 17 K 30.4.2014, resp. 31.5.2014, tvořily angažovanosti nad 15 % kapitálu 66,4 %, resp. 64,9 % všech pohledávek za jinými než úvěrovými institucemi celkem (brutto hodnota).
11
d. Řídicí a kontrolní systém účastníka řízení tak nesplňoval požadavky ustanovení § 7a odst. 1 písm. a) a b) zákona o družstevních záložnách (i ve znění účinném od 22.7.2014), neboť nepřijal účinná opatření, která by vedla k omezení rizika koncentrace. (viii) Řízení rizik IS/IT (bod IV. Oznámení) Bezpečnostní zásady a. Účastník řízení měl bezpečnostní zásady včetně zásad pro informační a komunikační systém upraveny zejména ve vnitřních předpisech pracovní předpis PP_43_R01 Pravidla bezpečnosti a pracovní předpis PP_08_R01 Pravidla provozu a bezpečnosti IT. b. Účastník řízení dostatečně jednoznačně a uceleně nestanovil bezpečnostní zásady IS. Účastník řízení neměl dostatečně stanoveny zásady a postupy v oblasti mobilních zařízení, zabezpečení a likvidace datových médií, řízení přístupu externích pracovníků, kryptografické ochrany a manipulace se zabudovanými účty (tzv. Built-in účty), příp. měl aplikovány postupy, které nejsou upraveny ve vnitřních předpisech jako např. analýza rizik spjatých s informačními systémy nebo bezpečnostní monitoring. c. Vzhledem k výše uvedenému účastník řízení svým jednáním porušil ustanovení § 10 odst. 1 Vyhlášky 23/2014, resp. Vyhlášky 163/2014, neboť nezajistil promítnutí požadavků stanovených na řídicí a kontrolní systém do svých vnitřních předpisů. Dále účastník řízení porušil ustanovení § 22 odst. 3 Vyhlášky 23/2014, resp. Vyhlášky 163/2014 tím, že nezajistil oddělení správy systému od vypracování a aktualizace bezpečnostních předpisů pro daný systém, § 11 odst. 2 Vyhlášky 23/2014, resp. Vyhlášky 163/2014, § 17 odst. 6 písm. b) Vyhlášky 23/2014, resp. Vyhlášky 163/2014 a ustanovení bodu 15 písm. b) a c) přílohy 6 Vyhlášky 23/2014, resp. Vyhlášky 163/2014. d. Řídicí a kontrolní systém účastníka řízení tak nesplňoval požadavky ustanovení § 7a odst. 1 písm. a) a b) zákona o družstevních záložnách (i ve znění účinném od 22.7.2014). Organizace řízení bezpečnosti e. Odpovědnosti a pravomoci za oblast řízení bezpečnosti měl účastník řízení upraveny zejména v předpisech VP_04 Organizační uspořádání, PP_13 Řízení operačního rizika a bezpečnosti, PP_43 Pravidla bezpečnosti a PP_08 Pravidla provozu a bezpečnosti IT. f. Účastník řízení na oblast operačních rizik a bezpečnosti vyčlenil od 1.2.2013 dva pracovníky a od 1.9.2013 pouze jednoho pracovníka. g. Účastník řízení pro oblast operačních rizik a bezpečnosti nevyčlenil odpovídající a dostatečné kapacity. Vyčlenění nedostatečných kapacit vedlo ke snížení účinnosti a efektivity ŘKS. To v konečném důsledku vedlo k tomu, že ŘKS 12
účastníka řízení nebyl účinný, ucelený a přiměřený. Účastník řízení nebyl schopen definovat požadavky na ŘKS a jeho součásti, zajistit stanovení, dodržení a kontrolu odpovídajících postupů k naplnění těchto požadavků. h. Správní orgán konstatuje, že účastník řízení již byl vystaven zvýšenému riziku v oblasti bezpečnostního monitoringu, když, jak vyplývá ze sdělení účastníka řízení, nedošlo k naplnění smlouvy, resp. k vypracování bezpečnostní politiky. i. Pracovník zařazený na pozici specialisty operačních rizik a bezpečnosti nebyl zodpovědný pouze za stanovení těchto požadavků, ale také za jejich naplnění. To může vést ke střetu zájmů. Účastník řízení tak neměl jistotu, zda vytvořil dostatečné předpoklady a vyčlenil odpovídající kapacity pro oblast řízení rizik IS/IT. j. Účastník řízení se tak výše popsaným jednáním dopustil porušení ustanovení § 13 odst. 1 Vyhlášky 23/2014, resp. Vyhlášky 163/2014, protože nezajistil takové vyhodnocení řídicího a kontrolního systému, ze kterého by bylo zřejmé, zda je tento systém účinný, ucelený a přiměřený. k. Řídicí a kontrolní systém účastníka řízení tak nesplňoval požadavky ustanovení § 7a odst. 2 zákona o družstevních záložnách a ustanovení § 7a odst. 2 a 3 zákona o družstevních záložnách ve znění účinném od 22.7.2014. Ochrana aktiv IS l. Z vnitřních předpisů účastníka řízení vyplynulo, že účastník rozlišoval fyzická aktiva, materiální aktiva, aktiva IS, chráněná aktiva a informace. V žádném vnitřním předpisu však nebyly tyto pojmy formálně definovány. Výjimkou byla aktiva fyzická a materiální definovaná v pracovním předpisu PP_43_01 Pravidla bezpečnosti. m. V uvedeném pracovním předpisu není: uvedeno, zda se klasifikace informací vztahuje i na informace v materializované a/nebo dematerializované podobě, uvedena povinnost klasifikované informace označovat, uvedeno, které z ochranných opatření má být aplikováno podle stupně ochrany informací, stanoveno, kdo je vlastníkem klasifikovaných informací uvedených v seznamu těchto informací, uveden postup v případě výskytu informací v seznamu neuvedených nebo informací, u kterých není jednoznačně zřejmé jejich zařazení. n. Účastník řízení tedy neměl stanoveny takové zásady a postupy související s klasifikací aktiv IS, které by zajistily jejich efektivní a systematickou ochranu. Účastník řízení se tak vystavil rizikům úniku chráněných informací, včetně úniku osobních údajů. Jednání účastníka řízení bylo v rozporu s ustanovením § 10 odst. 1 Vyhlášky 23/2014, resp. Vyhlášky 163/2014. o. Řídicí a kontrolní systém účastníka řízení tak nesplňoval požadavky ustanovení § 7a odst. 1 písm. a) zákona o družstevních záložnách (i ve znění účinném od 22.7.2014). Analýza rizik spjatých s IS p. V rámci analýzy rizik IS/IT zpracované účastníkem řízení ve spolupráci s ___ v únoru 2013 byla hodnocena rizika pouze vybraných IS. Tato analýza rizik 13
nepokrývala všechny účastníkem řízení provozované IS/IT. Tato analýza rovněž nebyla od jejího zpracování, resp. schválení představenstvem v květnu 2013 aktualizovaná. Účastník řízení také nedisponoval metodikou provedení analýzy rizik spjatých s IS. q. Účastník řízení ve vnitřních předpisech nestanovil návazné postupy a procesy související s řízením již identifikovaných a rozpoznáváním nových, dosud neidentifikovaných rizik. r. Účastník řízení neměl stanoveny zásady a postupy související se zajištěním analýzy rizik spjatých s IS. Účastník řízení se tak vystavil tomu, že systém řízení rizik nebude dostatečně účinný a efektivní. Účastník řízení tak porušil ustanovení § 10 odst. 1 Vyhlášky 23/2014, resp. Vyhlášky 163/2014, ze kterého vyplývá povinnost zajistit, aby požadavky na ŘKS a jeho součásti a postupy k jejich splnění a při výkonu dalších činností byly promítnuty do vnitřních předpisů. s. Účastník řízení dále nepředložil vnitřní předpis, který by stanovil jednoznačně a uceleně působnost a pravomoci, hlavní informační toky a vazby při řízení rizik spjatých: (a) s informačními systémy, a (b) s novými produkty, systémy a činnostmi či jejich změnami. Účastník řízení popsaným jednáním porušil ustanovení § 20 odst. 1 Vyhlášky 23/2014, resp. Vyhlášky 163/2014. t. Účastník řízení dostatečně nezajistil provedení analýzy rizik spjatých s informačními systémy a nezajistil pravidelnou aktualizaci této analýzy tak, jak to vyplývá z ustanovení bodu 17 přílohy 6 Vyhlášky 23/2014, resp. Vyhlášky 163/2014. u. Řídicí a kontrolní systém účastníka řízení tak nesplňoval požadavky ustanovení § 7a odst. 1 písm. a) a b) zákona o družstevních záložnách (i ve znění účinném od 22.7.2014). Bezpečnost přístupu k IS v. Řízení přístupu k IS u účastníka řízení řešil zejména předpisy PP_43_R01 Pravidla bezpečnosti, PP_08_R01 Pravidla provozu a bezpečnosti IT, Příručka administrátora a Postup při zakládání/změně/rušení operátora-zaměstnance v OBS. w. Předpisy doložené ke kontrole neobsahovaly příslušná opatření a při kontrole na místě nebylo zjištěno provádění vhodných postupů ke kontrole a vyhodnocování činností administrátorů a operátorů. Účastník řízení nepřijal potřebná opatření k eliminaci rizik spojených s užíváním privilegovaných účtů. x. Konkrétně bylo zjištěno, že dva zaměstnanci účastníka řízení disponují řadou privilegovaných oprávnění, aniž by účastník řízení přijal přiměřená bezpečnostní opatření k eliminaci s tím souvisejících rizik. Pouze část záznamů o jejich aktivitách je ukládána v SIEM. Ani tyto záznamy však nebyly pravidelně vyhodnocovány a přezkoumávány. y. Účastník řízení dále nezajistil, aby se použití některých „built-in“ účtů jako „administrátor“ a jiné obdobné účty, jsou-li v mimořádných případech použity, dalo v příslušných časových úsecích přiřadit konkrétní osobě. Bylo také zjištěno, že oba 14
shora zmínění privilegovaní uživatelé používají svůj privilegovaný účet i pro běžnou práci, k níž privilegovaných oprávnění není třeba – v době kontroly neprivilegovaný účet pro potřebu běžné práce ani neměli zřízen. z. Účastník řízení porušil ustanovení bodu 18 písm. b), e), f) přílohy 6 Vyhlášky 23/2014, resp. Vyhlášky 163/2014. Dále účastník řízení porušil ustanovení § 27 odst. 3 Vyhlášky 23/2014, resp. § 27 odst. 1 písm. c) Vyhlášky 163/2014, když se nezabýval riziky spojenými s činností privilegovaných uživatelů, o čemž svědčí to, že vůči nim nepřijal potřebná opatření. aa. Účastník řízení doložil ke kontrole záznamy z prováděného monitoringu a jeho vyhodnocení. Podle správního orgánu nebyl bezpečnostní monitoring prováděn v dostatečném rozsahu a neprobíhalo pravidelné vyhodnocování řady důležitých bezpečnostních logů. bb. Účastník řízení plně nevyužíval potenciál IPS ani SIEM, zejména nebyl plně funkční alerting a aktivní monitoring SIEM a o kritických bezpečnostních událostech, jež by tyto systémy při vhodné konfiguraci a nastavení byly schopné odvrátit, se tak účastník řízení mohl dozvědět až zpětně, prostřednictvím zaměstnanců účastníka řízení, kteří měli k logům a reportům IPS i SIEM přístup pro možnost kontroly. cc. Tím, že účastník řízení nestanovil bezpečnostní zásady, porušil ustanovení bodu 15 a 16 přílohy 6 Vyhlášky 23/2014, resp. Vyhlášky 163/2014. Lze též konstatovat, že popsané jednání je v rozporu s ustanovením § 23 odst. 5 písm. c) Vyhlášky 23/2014, resp. Vyhlášky 163/2014, jelikož účastník řízení nezabezpečoval dostatečně ochranu informačních a komunikačních systémů před přístupem a zásahy ze strany neoprávněných osob a před poškozením. Uvedené skutečnosti svědčí dále o tom, že účastník řízení neměl připojenu síť, která by byla pod jeho kontrolou, k vnější komunikační síti, která není pod jeho kontrolou tak, aby byla minimalizována možnost průniku do jeho informačních systémů, byť je k tomu již delší dobu vybavena vhodnými SW prostředky, tím porušil ustanovení bodu 19 písm. a) přílohy 6 Vyhlášky 23/2014, resp. Vyhlášky 163/2014. dd. Účastník řízení průběžně neauditoval přístupy a pokusy o přístup ke sdíleným adresářům, které jsou určeny pro omezený okruh uživatelů a tím pádem ani nemohl takové auditní záznamy vyhodnocovat. Nutno tak konstatovat, že takový stav shledává správní orgán jako porušení ustanovení bodu 18 písm. e) a f) přílohy Vyhlášky 23/2014, resp. Vyhlášky 163/2014. ee. Řídicí a kontrolní systém účastníka řízení v oblasti bezpečnosti přístupu k IS nesplňoval požadavky ustanovení § 7a odst. 1 písm. a) a b) zákona o družstevních záložnách (i ve znění účinném od 22.7.2014). 13. Dne 6.1.2015 nabylo právní moci rozhodnutí o předběžném opatření č.j. 2014/74528/570 ze dne 19.12.2014, jež bylo účastníku řízení doručeno dne 19.12.2014, a kterým bylo účastníku řízení uloženo, aby se počínaje dnem doručení tohoto rozhodnutí zdržel uzavírání smluv o úvěrových obchodech či přebírání úvěrového rizika, jemuž byla vystavena třetí osoba (i) ve výši přesahující hranici 100 000 000 Kč vůči jedné osobě či ekonomicky spjaté skupině osob u nově uzavíraných úvěrových obchodů, včetně provádění změn uzavřených smluv o úvěrových obchodech, uzavírání dodatků nebo doplňujících dohod ke stávajícím smlouvám, jiných než směřujících k okamžitému nebo 15
urychlenému splácení již poskytnutých peněžních prostředků, a dále včetně konání nebo nekonání, jehož důsledkem by byla automatická obnova povinnosti poskytnout úvěr, povinnost poskytnout další tranši úvěru nebo prodloužení splatnosti již poskytnutého úvěru. Výjimku představují pouze případné nucené restrukturalizace ve smyslu čl. 178 Nařízení (EU) 575/2013, kterými prokazatelně dojde ke zvýšení pravděpodobnosti splacení úvěru; (ii) bez povinnosti klienta prokázat a použít vlastní zdroje financování ve výši alespoň 20 % financovaného projektu či záměru; (iii) kde by nedocházelo k průběžnému splácení jistiny; (iv) vůči klientům či klientům zařazeným v ekonomicky spjaté skupině osob hodnoceným v kategorii se selháním ve smyslu ustanovení § 82 vyhlášky č. 163/2014; a dále uloženo, aby udržoval od 1.1.2015 do dne nabytí právní moci rozhodnutí, jež bude vydáno ve správním řízení vedeném pod spis. zn. Sp/2014/281/573, průběžně kapitál v takové výši, aby celkový kapitálový poměr ve smyslu čl. 92 Nařízení (EU) 575/2013 byl roven nebo byl vyšší než 10 %, (dále jen ,,Rozhodnutí o předběžném opatření“), (spis č.l. 181 - 194). 14. Přípisem ze dne 23.12.2014, jenž byl správnímu orgánu doručen dne 23.12.2014, pod č.j. 2014/76210/570, požádal účastník řízení o prodloužení lhůty pro předložení vyjádření ke skutečnostem uvedeným v Oznámení, a to do 31.1.2015, (spis č.l. 195 a 196). 15. Vyrozumění správního orgánu ze dne 6.1.2015, č.j. 2015/1082/570, o prodloužení lhůty k předložení vyjádření ke skutečnostem uvedeným v Oznámení v požadované délce, bylo účastníku řízení doručeno dne 6.1.2014, (spis č.l. 197 a 198). 16. Vyjádření ke skutečnostem uvedeným v Oznámení předložil účastník řízení dne 23.1.2015, pod č.j. 2015/8496/570, (dále jen ,,Vyjádření“), (spis č.l. 199 – 1016). 17. Dne 6.2.2015, pod č.j. 2015/14757/570, předložil účastník řízení návrh na zrušení předběžného opatření (dále jen ,,Návrh na zrušení předběžného opatření“), (spis č.l. 1017 – 1024). 18. Žádost účastníka řízení o vyjádření k následnému postupu u úvěrového obchodu v souvislosti s vydaným Rozhodnutí o předběžném opatření obdržel správní orgán dne 26.2.2015, pod č.j. 2015/22566/570, (dále jen ,,Žádost o vyjádření k úvěrovému obchodu“), (spis č.l. 1025 – 1029). 19. Doplnění podkladů k předloženému Vyjádření předložil účastník řízení dne 4.3.2015, pod č.j. 2015/24952, (dále jen ,,Doplnění k Vyjádření 1“), (spis č.l. 1030 – 1250). 20. Přípisem ze dne 5.3.2015, pod č.j. 2015/25070/570, reagoval správní orgán na Žádost o vyjádření k úvěrovému obchodu, (spis č.l. 1251 – 1255). 21. Oznámení o nařízení ústního jednání bylo účastníku řízení doručeno dne 13.3.2015, pod č.j. 2015/28613/570, (spis č.l. 1256 – 1258). 22. Ústní jednání ve věci se uskutečnilo dne 18.3.2015 a byl o něm vyhotoven protokol č.j. 2015/30423/570, (dále jen ,,Ústní jednání“), (spis č.l. 1259 - 1261). 23. V návaznosti na konané ústní jednání předložil dne 24.3.2015, pod č.j. 2015/32485/570, účastník řízení doplnění podkladů, (dále jen ,,Doplnění podkladů v návaznosti na Ústní jednání“), (spis č.l. 1278 - 1432). 24. Dne 1.4.2015, pod č.j. 2015/35994/570, doplnění podkladů k Vyjádření, (dále jen ,,Doplnění k Vyjádření 2“), (spis č.l. 1433 - 1565). 25. Přípisem ze dne 22.4. 2015, pod č.j. 2015/44183/570, doručeným účastníku řízení téhož dne, správní orgán účastníku řízení oznámil, že byly shromážděny podklady, na jejichž základě byl zjištěn stav věci, o němž nejsou důvodné pochybnosti. Současně byl účastník 16
řízení poučen o svém právu vyjádřit se k podkladům rozhodnutí před tím, než bude vydáno rozhodnutí ve věci (spis č.l. 1566 - 1568). Účastník řízení práva seznámit se s podklady rozhodnutí nevyužil, když dne 24.4.2015 správnímu orgánu doručil přípis v němž uvedl, že se práva na vyjádření se k podkladům rozhodnutí vzdává, (spis č.l. 1569 – 1570). 26. Vzhledem ke skutečnosti, že ve správním řízení byl shromážděn dostatek podkladů a důkazů nezbytných ke zjištění stavu věci, o němž nejsou důvodné pochybnosti, přistoupil správní orgán k vydání rozhodnutí ve věci samé.
Vyjádření účastníka řízení a deklarovaná opatření k nápravě 27. Ve svém Vyjádření účastník řízení mimo jiné uvedl, že je si vědom nutnosti nápravy Kontrolou zjištěných a vytýkaných nedostatků a za tímto účelem sestavil vnitřní soupis zjištění plynoucích z Protokolu o kontrole a v dalším dokumentu navrhl příslušná nápravná opatření (dále jen ,,Přehled nápravných opatřených opatření“). Přehled nápravných opatřených opatření tak obsahuje pořadové číslo opatření, popis navrhovaného opatření, plánované datum realizace, informaci o průběhu realizace a dále rovněž odkazuje na identifikovaná zjištění a na příslušný bod Oznámení. S ohledem na vědomí nutnosti dbát na řádnou implementaci a soustavné provádění nově stanovených pravidel a postupů přikládá účastník řízení i podklady prokazující implementaci těchto opatření, přičemž i do budoucna počítá s jejich průběžným dokládáním. 28. V rámci Vyjádření účastník řízení předložil i následující souhrn vybraných skutečností a úkonů, které zrealizoval v druhé polovině roku 2014, a které jsou dále rozvedeny ve Vyjádření, a jež jsou shrnuty následovně. 29. V případě plnění významných ukazatelů pro řízení rizik, se účastník řízení se zaměřil na dosažení příznivějších hodnot hlavních ukazatelů rizikovosti a to takto: Kapitálová přiměřenost – regulatorní (celkový kapitálový poměr) – se z 10,48 % k 30.6.2014 zvýšila na 11,13 % k 30.11.2014; Kapitálová přiměřenost – vnitřní (SVSK) – se z 8,95 % k 30.6.2014 zvýšila na 9,71 % k 30.11.2014; Ukazatel ohrožených pohledávek – po zohlednění klasifikace u kontrolovaných úvěrů z Protokolu zůstává ukazatel ohrožených pohledávek na stejné úrovni jako k 31.3.2014. Hodnota k 30.11.2014 činí 19,43 %; Poměrové zastoupení kreditních angažovaností >= 15 % kapitálu - došlo k poklesu o 7 % mezi 30.6.2014 a 30.11.2014. Celkové poměrové zastoupení těchto angažovaností nyní činí 51 %; Koncentrace dle forem splácení – Záložna redefinovala způsob výpočtu i cíle pro tento ukazatel. Cíl je stanoven max. na 75%, přičemž portfolio Záložny nyní dosahuje hodnoty 71,36 %. 30. V případě personálního posílení Představenstvo – 26.6.2014 byl členskou schůzí zvolen třetí člen představenstva. Kontrolní komise – 26.6.2014 byl členskou schůzí zvolen třetí člen kontrolní komise. Úsek řízení rizik – od 1.10.2014 došlo k obsazení pozice ředitele Úseku 500 - řízení rizik. Zároveň byl v období druhé poloviny roku 2014 posílen tým řízení rizik o dva zaměstnance v Oddělení 522 – řízení tržních rizik a jednoho pracovníka v Oddělení 511 – analýza pohledávek. Zároveň došlo k ukončení pracovního poměru s ředitelem 17
Odboru 520 – tržních a operačních rizik. Celkový počet pracovníků v Úseku 500 – řízení rizik je k 1.1.2015 14 osob. Zároveň došlo k významnému propojení v činnostech Úseku 500 – řízení rizik a Úseku 600 – financí. 31. U hlavních projektů účastník řízení v druhé polovině roku 2014 definoval zásadní projekty pro řízení rizik: Úvěrové produkty – účastník řízení revidoval znění definic všech úvěrových produktů - produktových listů; Řízení výjimek – účastník řízení implementoval systém řízení výjimek včetně jejich sledování a následného vyhodnocování; Ratingový model – došlo ke změně ratingového modelu s tím, že došlo k revizi ratingu u všech stávajících klientů v úvěrovém portfoliu (firemní financování). Ratingový model byl propojen s klasifikací pohledávek dle pravidel kategorizace ČNB; Cenotvorba pro úvěry – účastník řízení aktualizoval zařazení úvěrových klientů do segmentů a následně provedl výpočet rizikovosti úvěrů v jednotlivých segmentech a na základě toho definoval rizikovou přirážku; Snížení objemu poskytovaných úvěrů – účastník řízení v druhém pololetí roku 2014 poskytl pouze 984 mil. Kč úvěrů a za celý rok 2014 ve výši 2 248 mil. Kč, což je snížení o 72 % resp. 64 % oproti roku 2013 (3 461 mil. Kč, resp. 6 190 mil. Kč); Úrokové sazby u klientských vkladů – účastník řízení dále snižoval sazby u vkladových produktů; Personální politika a politika odměňování – účastník řízení připravil novou personální politiku a politiku odměňování. 32. V rámci Vyjádření se účastník řízení mimo jiné dále věnoval jednotlivým bodům Oznámení, zejména uvedl jednotlivá přijatá opatření k nápravě. 33. K bodu I.1.A Strategie a nástroje řízení úvěrových rizik účastník řízení ve Vyjádření uvedl, že dne 13.1.2015 představenstvo projednalo a schválilo aktualizovaný vrcholový předpis VP_06 Strategie řízení rizik. Tento vnitřní předpis vymezuje základní druhy rizik, definuje zásady řízení rizik, definuje nástroje a metody na měření rizik a určuje odpovědnost při řízení rizik. Předpis také definuje zásady při tvorbě pohotovostních plánů, vymezuje produkty, trhy a měny a poukazuje na ucelenost a propojenost řízení rizik. 34. Strategie řízení rizik definuje základní obezřetnostní ukazatele pro řízení rizik pro období 2015 - 2017. Součástí systémů řízení rizik je i schválený Obchodní a finanční plán pro období 2015 - 2017 schválený na zasedání představenstva dne 14.11.2014, kde jsou mimo jiné také definovány obezřetnostní ukazatele, které doplňují celkový systém řízení rizik a jsou v souladu se Strategií řízení rizik. 35. Na tento předpis navazují další dílčí předpisy pro řízení jednotlivých druhů rizik, postupů pro činnosti s řízením rizik spojených. 36. Veškeré dílčí strategie jsou v souladu s Celkovou strategií Záložny CREDITAS, spořitelní družstvo pro období 2015 – 2017, která byla schválena spolu s ostatními strategiemi a souvisejícími dokumenty na zasedání představenstva dne 13.1.2015. 37. Účastník řízení uvedl, že se rozhodl pracovní předpis PP_41 Řízení úvěrových rizik dále nepoužívat, a proto byl zrušen. Za stěžejní předpis pro řízení úvěrového rizika účastník řízení nově používá aktualizovaný vrcholový předpis VP_06 Strategie řízení rizik, který jasně vymezuje druhy úvěrového rizika, zásady pro řízení úvěrového rizika a zejména 18
definuje propojení použitých metod a nástrojů na dílčí předpisy pro řízení jednotlivých druhů rizik. 38. Dále účastník řízení sdělil, že se rozhodl používat nadále limit pro segment (obor) podnikání a především limit na úvěrovou angažovanost vůči protistraně/ESS. V tomto smyslu byla dne 9.2.2015 schválena aktualizace pracovního předpisu PP_01 Pravidla angažovanosti. 39. Účastník řízení si podle svého Vyjádření již nevymezuje tzv. zakázané obory, ale řídí úvěrové riziko dle zásad a metod zmiňovaných ve VP_06 Strategie řízení rizik, a to zejména pomocí LTV (Loan To Value) a rizikových přirážek závislých na interním ratingu a segmentu (oboru) podnikání. V současné době má účastník řízení zavedený systém interního ratingu, jenž je obsahem stávající verze pracovního předpisu PP_04_R03_Postupy a pravidla pro hodnocení bonity a stanovení ratingu klientů. Účastník řízení předložil také podkladový materiál schválený představenstvem ze dne 5.1.2015 o úvěrové cenotvorbě, jakož i usnesení z tohoto představenstva, které tuto cenotvorbu schvaluje. 40. Kniha limitů a pravidla pro její aktualizaci byla podle účastníka řízení zapracována do předpisové základny, jako součást aktualizace pracovního předpisu PP_01_R02_Pravidla angažovanosti. 41. Jak účastník řízení uvedl, limity koncentrace a metodika koncentrace jsou aktualizovány v pracovním předpisu PP_10 Řízení rizika koncentrace. Účastník řízení z důvodu ucelenosti a propojenosti řízení rizik definuje 5 oborů (segmentů), které jsou základem pro řízení rizik (včetně interního ratingu, rizikových marží a úvěrové cenotvorby atd.). Zmíněný pracovní předpis popisuje tzv. Převodový můstek mezi CZ NACE a obory (segmenty), pro které účastník řízení definuje, monitoruje a řídí riziko koncentrace. Účastník řízení si na základě rizikových marží a tvorby opravných položek definoval rizikovost svých oborů (segmentů) a koncentraci nejrizikovějších oborů (segmentů) nezvyšuje, naopak u oborů (segmentů) s nižší mírou rizika účastník řízení umožňuje vyšší míru koncentrace. Předpis také jasně stanovuje odpovědnosti při řízení rizika koncentrace. Účastník řízení předpokládá, že na základě uvedené metodiky se zvýší účinnost řízení rizika koncentrace, konkrétně řízení rizika oborové koncentrace. 42. Dle sdělení účastníka řízení jsou limity koncentrace a metodika koncentrace aktualizovány v pracovním předpisu PP_10 Řízení rizika koncentrace. Na základě historického vývoje svého portfolia určil účastník řízení novou metodiku a stanovil nový limit koncentrace dle forem splácení. Ten zohledňuje obory (segmenty), jež má účastník řízení ve svém úvěrovém portfoliu a s tím spojenou charakteristiku forem splácení. 43. Účastník řízení také stanovil strategické cíle řízení rizik pro následující období 2015 až 2017. Ze schválených hodnot parametrů je podle účastníka řízení patrné, že chce nadále zachovat trend zlepšování strategických parametrů. 44. Dostatečnost vytváření opravných položek bude podle účastníka řízení prokazována v průběhu roku 2015. Metodicky byla podchycena v PP_29 Monitoring pohledávek, jehož aktualizace byla schválena dne 2.3.2015. Dostatečnost vytváření opravných položek je založena na porovnání výše opravných položek se ztrátou způsobenou prodejem pohledávky, nedobytností pohledávky nebo insolvencí. Tyto parametry jsou soustavně monitorovány pro každou pohledávku. Dostatečnost tvorby opravných položek je dále vyhodnocována v relaci k výsledkům z externích atestací (statutární audit, formy dohledu ČNB) a postupu dle úředního sdělení ČNB k ověřování dostatečného krytí úvěrových ztrát. Vyhodnocení dostatečnosti vytváření opravných položek bude podle 19
účastníka řízení pravidelně předkládáno představenstvu. 45. Účastník řízení rovněž uvedl, že v roce 2014 zastavil svůj růst a věnoval se především řešení problémů vedoucím ke zkvalitnění vnitřního řídicího a kontrolního systému, ale i snižování rizikovosti úvěrového portfolia a zlepšení celkových ukazatelů. V roce 2014 došlo k poklesu objemu poskytnutých úvěrů o 64 % v porovnání s r. 2013. I v důsledku tohoto trendu došlo podle účastníka řízení v druhé polovině roku 2014 ke zlepšení u všech sledovaných ukazatelů řízení rizik. 46. K bodu I.1.B Organizační uspořádání účastník řízení ve Vyjádření uvedl, že dne 21.8.2014 na zasedání představenstva projednal a schválil rozdělení působnosti a pravomocí členů představenstva s účinností od 1.9.2014 v souladu s § 22 odst. 2 a § 20 odst. 1 písm. a) Vyhlášky 163/2014. Současně ale výše uvedeným není dotčeno rozhodování představenstva o záležitostech účastníka řízení ve sboru, tedy představenstvo výslovně vylučuje uplatnění ustanovení § 156 odst. 2 nového občanského zákoníku. 47. Dále účastník řízení uvedl, že za účelem odstranění nesouladu ve vztahu k příslušnému ustanovení zákona, resp. vyhlášek, již upravil absenci určení působnosti pro oblast řízení rizik na úrovni představenstva a dále upravil ucelenost a jednoznačnost organizačního uspořádání a působnosti představenstva. 48. K bodu I.2 Produkty účastník řízení ve Vyjádření uvedl, že provedl celkovou revizi a úpravu všech produktových listů, kde byly odstraněny nepřesné a nejednoznačné formulace. Současně proběhla revize Úvěrových obchodních podmínek tak, aby byly v souladu s nově definovanými produkty (produktovými listy). Všechny dokumenty vstoupily v platnost 15.10.2014. Úvěrové obchodní podmínky byly ke stejnému datu zveřejněny na internetových stránkách účastníka řízení. 49. Postupy pro zavedení nových produktů nebo jejich změn jsou nově upraveny předpisem PP_35. 50. Odborem kreditních rizik byl vytvořen Operativní pokyn OP_22 Evidence a řízení výjimek. Tento operativní pokyn zavedl proces identifikace a schvalování výjimek z produktových listů u úvěrových produktů. Pro evidence a řízení výjimek je od stejného data spuštěna systémová podpora v systému Dr. Finance – DMS. 51. Operativní pokyn vešel v platnost dne 31.10.2014 s platností do 31.1.2015. Následně byl postup pro identifikaci, schvalování a vyhodnocování výjimek z úvěrového procesu s účinností od 28.1.2015 zařazen do novelizovaného pracovního předpisu PP_19 Úvěrový návrh (návrh BZ) a jejich posouzení, který je v gesci Úseku 500 - řízení rizik. 52. Účastník řízení sdělil, že dle nových produktových listů již není nadále možné poskytovat úvěry ve zmíněné konstrukci, tzn. úvěry, které sloužily na úhradu poplatků spojených s poskytovaným úvěrem a úroků z úvěru. Výjimku tvoří projektové financování (např. development), kde jsou zdroje pro splácení generovány až z prodeje majetku. Účastník řízení v těchto případech již dbá na určitou adekvátní výši vlastních zdrojů klienta vkládaných do projektu a dodržování dalších parametrů. Jako důkaz tohoto tvrzení účastník řízení předložil nové znění Produktových listů. 53. Účastník řízení řídí úvěrové riziko dle zásad a metod popsaných ve VP_06 Strategie řízení rizik, a to zejména pomocí LTV (Loan to Value) a rizikových přirážek závislých na interním ratingu a segmentu (oboru) podnikání. Systém nastavení LTV bude založen hodnocením výtěžnosti pohledávek, které pravidelně zpracovává Odbor 530 - monitoring pohledávek. Základem tohoto hodnocení je zpětné porovnání vytvořených opravných 20
položek a zisku/ztráty z pohledávek ve ztrátě, insolvenci, exekuci nebo tzv. workoutu za určité časové období. U pohledávek se ziskem se hodnota zajištění ponechá a u pohledávek se ztrátou se hodnota zajištění zvýší tak, aby na základě historických hodnot byly opravné položky a ztráta z pohledávek rovny. Tyto hodnoty se pak roztřídí dle interního ratingu a segmentu a přiřadí se k nim příslušná hodnota zajištění. Tyto nástroje byly zapracovány do pracovního předpisu PP_04 Postupy a pravidla pro hodnocení bonity a stanovení ratingu klientů, jehož revizi schválilo představenstvo dne 12.12.2014. 54. Jak uvedl účastník řízení, při poskytování úvěrů se postupuje podle nových Produktových listů. Vedle produktových listů byly změněny i Obchodní podmínky pro úvěrové obchody a doplněn materiál Vysvětlivky k úvěrovým obchodům, kde jsou vysvětleny případné sporné pojmy. 55. Účastník řízení vydal dle svého vyjádření Operativní pokyn OP_22 Řízení výjimek, který je také systémově podporován a je již realizován od 1.11.2014. Současně byl upraven odkaz ve formuláři pro úvěrové návrhy (příloha PP_09_R02), byl vytvořen formulář na výjimky, který umožní výjimku určit a procesovat. Zmíněný operativní pokyn jako i vyhodnocování výjimek byl s účinností od 28.1.2015 zapracován do pracovního předpisu PP_19 Úvěrový návrh (návrh BZ) a jejich posouzení. 56. Účastník řízení přistoupil k revizi metodického postupu provádění této analýzy koncentrace splátkových kalendářů. Účastník řízení redefinoval způsob výpočtu a cíle pro ukazatel Koncentrace dle forem splácení (více viz níže). Limit je stanoven max. na 75 % a portfolio účastníka řízení nyní dosahuje hodnoty 71,36 %. Definice ukazatele je uvedena v Příloze č. 44_01. 57. K bodu I.3 Poskytování produktů účastník řízení ve Vyjádření uvedl, že si definoval nové Produktové listy a systém případných výjimek, které již neumožňují poskytování nestandardních obchodů. Poskytování obchodů, které můžou generovat zvýšené riziko je řízeno dle zásad zmíněných ve VP_06 Strategie řízení rizik. 58. Účastník řízení podle svého vyjádření pro zkvalitnění úvěrového procesu přijal řadu opatření, které jsou popsány výše. Jedná se především o aktualizaci produktových listů, řízení poskytovaných výjimek a revizi ratingového modelu. 59. Dále účastník řízení uvedl, že u nově poskytovaných úvěrů pečlivěji hodnotí bonitu dlužníka, dostatečnost vlastních zdrojů a další náležitosti a parametry úvěrového obchodu. 60. K bodu I.4 Kontrola kategorizace pohledávek účastník řízení ve svém Vyjádření uvedl, že k datu kontroly akceptoval doporučení ze strany kontrolního orgánu na zařazení do příslušných kategorií a podkategorií. Účastník řízení dále uvedl, že v období od rozhodného data kontroly došlo k dalšímu vývoji úvěrového portfolia u níže zmíněných případů, které lze rozdělit do těchto skupin: a/ skupina 1 – dlužník již není v úvěrovém portfoliu účastníka řízení, resp. původní expozice zanikla a další již neexistuje:
_______ ___________ ______
______ _____ ______
______ ______
b/ skupina 2 – dlužníci, u kterých byla zhoršena kategorizace dle návrhu ČNB: 21
_________ _______ ______
___ ________ ________
________ ____ ____
________ ___
______ _____ ______, _____ ______
_ _________ _______ ______
c/ skupina 3 – dlužníci, u kterých byla akceptována zhoršená klasifikace k datu kontroly a následně došlo k nápravným opatřením ze strany účastníka řízení a vyhodnocení dalšího vývoje. Nápravná opatření a nové skutečnosti v daných případech odstranily důvody nebo pochybnosti, které vedly správní orgán k závěru pro zhoršení kategorizace a účastník řízení proto kategorizaci na základě těchto skutečností opět zlepšil. Jedná se o tyto společnosti:
_______________ ______ – __________ ___________ ______
___ ___________ ____
61. K bodu II. Měření úrokového rizika účastník řízení ve svém Vyjádření uvedl, že vypracoval a v praxi implementoval nový pracovní předpis PP_37 Řízení tržních rizik. Ve zmíněném předpisu účastník řízení měří úrokovou pozici metodou BPV (basis point value) pro všechna úrokově citlivá aktiva a pasiva, která jsou rozdělena do časových košů. Současně s tím je samozřejmě obsahem tohoto předpisu také test dopadu úrokového šoku. Účastník řízení dále uvedl, že si nastavil pravidelné měsíční reporty pro úrokové riziko. Na základě nové metodiky se robustnost přístupu k měření úrokového rizika značně zvýšila. 62. K bodu III. Riziko koncentrace účastník řízení ve svém Vyjádření uvedl, že limity koncentrace a metodika koncentrace jsou aktualizovány v pracovním předpisu PP_10 Řízení rizika koncentrace. Účastník řízení z důvodu ucelenosti a propojenosti řízení rizik definuje 5 oborů (segmentů), které jsou základem pro řízení rizik (včetně interního ratingu, rizikových marží a úvěrové cenotvorby atd.). Zmíněný pracovní předpis popisuje tzv. Převodový můstek mezi CZ NACE a obory (segmenty), pro které účastník řízení definuje, monitoruje a řídí riziko koncentrace. Účastník řízení si na základě rizikových marží a tvorby opravných položek jasně definoval rizikovost svých oborů (segmentů) a koncentraci nejrizikovějších oborů (segmentů) nezvyšuje, naopak u oborů (segment) s nižší mírou rizika Záložna umožňuje vyšší míru rizika. 63. Účastník řízení si je vědom toho, že limity dle forem splácení nebyly účinné. Na základě historického vývoje svého portfolia tak určil novou metodiku a stanovil nový limit koncentrace dle forem splácení, který zohledňuje obory (segmenty), jež má účastník řízení ve svém úvěrovém portfoliu a s tím spojenou charakteristiku forem splácení. 64. Co se týká limitů koncentrace velkých angažovaností, uvedl účastník řízení, že jej ve zmíněném předpise stanovuje blíže reálné situaci, která vychází z historického vývoje jeho portfolia. Za velkou angažovanost účastník řízení považuje stále angažovanost vyšší než 15 % kapitálu. Předpis také jasně stanovuje odpovědnosti při řízení rizika koncentrace. Účastník řízení je toho názoru, že na základě uvedené metodiky se zvýší účinnost řízení rizika koncentrace. 65. K bodu IV.1 Bezpečnostní zásady účastník řízení ve svém Vyjádření uvedl, že pravidla pro tvorbu vnitřních předpisů má definovány předpisem VP_02_Vnitřní předpisy, který 22
byl s účinností od 5.1.2015 aktualizován. Definice zodpovědností a kompetencí jednotlivých pracovníků, volených orgánů, případně výborů je u účastníka řízení dána popisy pracovních pozic, vnitřními předpisy, organizačním řádem, kompetenčním řádem a stanovami. Záznamy o činnostech pracovníků, výborů a orgánů jsou převážně v elektronické podobě evidovány v k tomu určených informačních systémech. 66. Účastník řízení zpracoval s účinností od 5.1.2015 novou politiku odměňování včetně zásad odměňování osob s významným vlivem na celkový rizikový profil účastníka řízení. 67. Předpisy PP_43_Pravidla bezpečnosti a PP_08 Pravidla provozu a bezpečnosti IT byly zrušeny s účinností od 13.1.2015. Tyto předpisy účastník nahradil sadou nových bezpečnostních politik. Součástí nových bezpečnostních politik je také vymezení pravomocí a zodpovědností jednotlivých pracovníků/rolí. Garantem bezpečnostních norem je úsek řízení rizik, čímž má být zamezeno nejednoznačnosti v rozdělení zodpovědností. Účastník řízení tímto měl zajistit oddělení provádění správy informačních systémů od vyhodnocování bezpečnostních auditních záznamů, od kontroly přidělování přístupových práv i od vyhodnocování a aktualizace bezpečnostních předpisů, tj. tak, aby nemohlo dojít ke střetu zájmů. Na implementaci bezpečnostních zásad a na jejich metodické podpoře účastník řízení spolupracuje se společností ___ __________ ______ 68. Od 13.1.2015 jsou účinné nové vrcholové předpisy VP_17_Identifikace a kategorizace aktiv Záložny a VP_18_Klasifikace informací a práce s nimi. Účastník řízení uvedl, že předpisy definují způsob zodpovědnosti a zásady v oblasti identifikace aktiv a jejich ochrany. V souladu s těmito metodikami Úsek 500 – řízení rizik provádí aktualizaci seznamu aktiv, který bude podkladem pro celkovou analýzu rizik. 69. V Doplnění podkladů v návaznosti na Ústní jednání účastník řízení zaslal správnímu orgánu předpis PP_14 Metodika analýzy operačních rizik, který je účinný od 3.3.2015. 70. Účastník řízení má s účinností od 1.2.2015 definovány nové zásady pro ochranu informací. Šifrování a práce s certifikáty je formálně ošetřena předpisy PP_44 Správa certifikátů a PP_47 Bezpečnostní standard IS. 71. Účastník řízení dále uvedl, že v oblasti zajištění bezpečnosti (tj. řízení rizik spojených s IS) již realizoval několik významných opatření a změn. Prvním krokem byla reorganizace personálního obsazení Úseku řízení rizik včetně oddělení 521 tj. oddělení významně se podílejícího na řízení rizik spojených s IS. Předpisová základna prošla rozsáhlou změnou a nově definuje prakticky celou oblast řízení těchto rizik. Revize existujících předpisů i nově vzniklé předpisy byly připravovány ve spolupráci s externím dodavatelem disponujícím potřebnou odborností a znalostí problematiky. V průběhu přípravy byl průběžně vyhodnocován soulad s požadavky regulace a uznávanými standardy, včetně mezinárodních. Hlavní bezpečnostní politiky jsou účinné od 13.1.2015 a další na ně navazující předpisy od 1.2.2015. Účastník řízení rovněž uvedl, že vzhledem k rozsahu změn a s ohledem na celkovou významnost IS jako aktiva bude provedeno ověření nastavení bezpečnosti buď externím dodavatelem, nebo v rámci výkonu interního auditu. 72. K bodu IV.2 Organizace řízení bezpečnosti účastník řízení ve svém Vyjádření uvedl, že Úsek řízení rizik finguje od října 2014 v novém personálním složení. Zásadními změnami jsou: obsazení pozice ředitele úseku 500, doplnění kapacity oddělení 521 na dva pracovníky a doplnění pracovníků s potřebnou odborností do oddělení 522. 73. Mimo zajištění interních kapacit účastník řízení externě spolupracuje se společností ____ _____ ______ v oblasti nastavení a vyhodnocování bezpečnostního monitoringu 23
a se společností ___ __________ ______ v oblasti bezpečnostních zásad v oblasti IS/IT a fyzické bezpečnosti. 74. K bodu IV.3 Ochrana aktiv IS účastník řízení ve svém Vyjádření uvedl, že zrušil původní nejednoznačný předpis PP_43 Pravidla bezpečnosti. Od 13.1.2015 jsou zásady dodržované při identifikaci aktiv nově upraveny vrcholovým předpisem VP_17 Identifikace a kategorizace aktiv Záložny. Tento předpis řeší identifikaci aktiv významných pro jednotlivé činnosti účastníka řízení a kategorizuje je dle jejich významu. V souladu s těmito novými zásadami úsek řízení rizik provedl nový sběr/identifikace aktiv účastníka řízení. 75. Dalším novým předpisem zaměřeným na ochranu aktiv je VP_20 Standard bezpečnostního zajištění objektů a navazující dokumenty UM Zajištění bezpečnosti centrály a UM Zajištění bezpečnosti pobočky. Dokumenty se věnují především fyzické bezpečnosti a jsou účinné od 1.2.2015. Účastník řízení v souladu s novými bezpečnostními zásadami zprovoznil nové prostory serverovny, prostory centrály společnosti a prostory olomoucké pobočky – rekonstrukce byla dokončena v říjnu 2014. 76. Účastník řízení dále uvedl, že problematice klasifikace informací je věnován nový předpis VP_18 Klasifikace informací a práce s nimi, který je účinný od 13.1.2015. Předpis vymezuje zásady a postupy pro ochranu informací, které jsou u účastníka řízení chráněny na základě příslušných obecně závazných právních předpisů nebo na základě rozhodnutí příslušných členů vedení účastníka řízení. Dokument navazuje na dokumenty VP_08 Bezpečnostní politika, VP_16 Bezpečnostní politika IS/IT a VP_17 Identifikace a kategorizace aktiv Záložny. 77. Pro oblast ochrany aktiv má účastník řízení definovánu novou sadu bezpečnostních zásad a pravidel. Metodicky jsou tyto zásady ošetřeny předpisy VP_17 Identifikace a kategorizace aktiv Záložny, VP_18 Klasifikace informací a práce s nimi, VP_20 Standard bezpečnostního zajištění objektů. V souladu s novými zásadami provedl účastník řízení aktualizaci přehledu aktiva jejich klasifikace, což je hlavním vstupem pro aktualizaci celkové analýzy rizik. Komplexní přístup k identifikaci a ochraně aktiv IS v sobě zahrnuje identifikaci významných a klíčových procesů, identifikaci a ohodnocení systémů a dalších aktiv IS. V návaznosti na nich jsou nové ošetřeny i procesy spojené s řízením kontinuity provozu včetně plánů obnovy pro identifikované systémy. 78. V Doplnění podkladů v návaznosti na Ústní jednání účastník řízení zaslal správnímu orgánu identifikaci a klasifikaci aktiv, kterou účastník řízení provedl v období od ledna do března 2015. Identifikace a klasifikace aktiv je obsažena v příloze Creditas_klasifikace_aktiv.xlsx. 79. Ve věci nesouladu nastavení pravidel vnitřní předpisové základny a jejich skutečného obsahu byl revidován vnitřní předpis VP_02_Vnitřní předpisy a dále byly identifikované rozpory a nedostatky zohledněny a napraveny v rámci revizí vnitřních předpisů upravujících oblast rizik IS. 80. K bodu IV.4 Analýza rizik spojených s IS účastník řízení ve svém Vyjádření uvedl, že analýza rizik byla zpracována v květnu 2013 ve spolupráci se společností ___. Poslední aktualizace proběhla 12.6.2014. Od října 2014 jsou připravovány nové zásady pro identifikace a klasifikace aktiv a informací s jejich přímou vazbou na celkový systém řízení rizik a bezpečnosti. Formálně má účastník řízení vnitřní předpisy VP_17 identifikace a kategorizace aktiv Záložny a VP_18 Klasifikace informací a práce s nimi. Byl vydán předpis popisující zásady a postupy pro samotnou analýzu rizik. Aktualizaci klasifikace rizik dokončil účastník řízení do 31.3.2015 a analýzu rizik dokončí nejpozději 24
v 3. kvartálu 2015. 81. Zavádění produktů a jejich změn má účastník řízení ošetřeno předpisem PP_35_ Produkty, systémy a činnosti Záložny. Dále od 1.2.2015 má předpis PP_47 Bezpečnostní standard IS, který popisuje postupy při zavádění či změně informačních systémů, respektive popisuje celý životní cyklus IS. Dále dle účastníka řízení došlo k aktualizaci přepisu PP_35_ Produkty, systémy a činnosti Záložny tak, aby nedocházelo k překryvu a nesouladu. Oba předpisy navazují na hlavní systém bezpečnostních politik a z nich vycházejících zásad řízení rizik. 82. Účastník řízení dále uvedl, že v rámci komplexní revize nastavení řízení rizik byla nově nastavena pravidla vyhodnocování rizik IS (zásady, postupy, kompetence, formuláře) a dále proběhla identifikace aktiv IS napříč celou společností – celým informačním systémem. 83. K bodu IV.5 Bezpečnost přístupu k IS účastník řízení ve svém Vyjádření uvedl, že pravidla pro řízení přístupů k IS jsou nově definována předpisem VP_19 Řízení logického přístupu. Tento předpis nahrazuje původní nejednoznačné a překrývající se předpisy PP_43 Pravidla bezpečnosti a PP_08 Pravidla provozu a bezpečnosti IT. Nový předpis řeší také problematiku přístupu privilegovaných uživatelů. 84. Pracovníci ICT mají od října 2014 zřízeny samostatné účty pro servisní zásahy. Aktivita privilegovaných uživatelů je od ledna 2015 monitorována pomocí systému SIEM. Konfiguraci bezpečnostního monitoringu provádí účastník řízení ve spolupráci se společností ____ _____ ______ Mimo monitoringu uživatelů jsou sledovány také bezpečnostní incidenty detekované pomocí IPS. Vyhodnocování bezpečnostních záznamů zajišťuje útvar 521_Oddělení operačních rizik a bezpečnosti. Systém automatizovaného monitoringu a alertingu bude účastník řízení dle svého vyjádření dále ve spolupráci se společností ____ _____ ______ rozvíjet. 85. Monitoring pokusů o přístup na sdílené úložiště bude zajištěn v průběhu 1. pololetí 2015 rovněž s využitím systému SIEM. 86. V rámci nápravy identifikovaných nedostatků došlo ke komplexní revizi a rozšíření vnitřní předpisové základny pro oblast řízení rizik IS. Bylo zpřísněno i řízení uživatelů jednotlivých systémů, zejména uživatelů s vyššími druhy oprávnění (administrátorské účty). Dále bylo zavedeno zdokonalené monitorování aktivit uživatelů s takovými právy včetně zálohování těchto aktivit. 87. U vybraných osob účastník řízení zřídil duplicitní účty s nižším oprávněním pro provádění běžných agend, tj. účty s vysokým stupněm oprávnění budou využívány výhradně pro činnosti tato práva vyžadující. Účastník řízení jedná s významnými poskytovateli služeb v oblasti ICT s cílem formálnějšího zakotvení bezpečnostních zásad a pravidel přímo do smluvních ujednání. Průběžně jsou od těchto dodavatelů doplňovány také aktualizace jejich interních bezpečnostních politik a certifikací. Jedná se primárně o společnost _____ _____________ ______, která pro účastníka řízení zajišťuje rozvoj hlavního bankovního systému a společnosti _________ ____ _____ ________ ____, resp. _________ ____ ______________ _____ ______, která pro účastníka řízení zajišťuje provoz části ICT infrastruktury. 88. Svůj Návrh na zrušení předběžného opatření účastník řízení odůvodnil tím, že povinnosti mu Rozhodnutím o předběžném opatření uložené byly od počátku nadměrně omezující a dále, že v mezidobí přijal řadu opatření, v důsledku čehož podle něho pominuly důvody, kterými ČNB zdůvodnila nezbytnost uložení předběžných 25
opatření. Účastník řízení tak navrhl, aby ČNB Rozhodnutí o předběžném opatření zrušila, a pro tento případ je účastník řízení připraven dodržovat v Návrhu na zrušení předběžného opatření popsaná opatření, popřípadě, sezná-li to ČNB potřebným, navrhuje, aby jí ČNB některá z opatření uložila. Účastník řízení v této souvislosti v plném rozsahu odkazuje na své Vyjádření, které dle něho dokládá odpadnutí důvodů pro vydání Rozhodnutí v původní podobě. Dále účastník řízení zopakoval dosažené hodnoty hlavních ukazatelů rizikovosti jež uvedl ve Vyjádření. 89. Dále v Návrhu na zrušení předběžného opatření účastník řízení uvedl, že v roce 2014 také došlo k přerušení růstové dynamiky několika předchozích let včetně zastavení úvěrové expanze. Tento stav je patrný z trendu klíčových bilančních hodnot, které jsou shrnuty následovně: CZK mld.
31-12-2010
31-12-2011
31-12-2012
31-12-2013
31-03-2014
30-06-2014
30-09-2014
30-11-2014
Bilanční objem
2,2
3,9
7,2
9,7
10,6
10,7
10,4
10,5
Pohledávky z úvěrů
1,9
3,2
5,2
7,7
8,1
8,0
7,7
7,6
Závazky z vkladů
1,9
3,3
6,2
8,5
9,3
9,4
9,1
9,3
90. Účastník řízení v druhém pololetí roku 2014 poskytl pouze 984 mil. Kč úvěrů a za celý rok 2014 ve výši 2 248 mil. Kč, což je snížení o 72 % resp. 64 % oproti roku 2013 (3 461 mil. Kč, resp. 6 190 mil. Kč) 91. Až do vyřešení všech zásadních otázek spojených se schvalováním žádosti o nabytí nebo ke zvýšení kvalifikované účasti i nových legislativních podmínek přitom účastník řízení neplánuje žádnou další růstovou expanzi (bližší podrobnosti viz i první verze ozdravného plánu Záložny předložená 30.1.2015 pod. č.j.: 2014/072660/CNB/580). 92. Účastník řízení dále v Návrhu na zrušení předběžného opatření mimo jiné uvádí podrobně důvody neúměrnosti následků uložených opatření a závěrem uvádí, jaká opatření je připraven dodržovat v případě, že ČNB Rozhodnutí o předběžném opatření zruší. 93. Účastník řízení jako důvody neúměrnosti následků v Rozhodnutí uložených opatření uvedl následující: Rozhodnutí o předběžném opatření nerozlišuje při nastavení limitu 100 mil. Kč vůči jedné osobě nebo ekonomicky spjaté skupině osob mezi stávajícími klienty, kteří jsou v dlouhodobém úvěrovém vztahu s účastníkem řízení a ten je seznámen s jejich bonitou a kreditní historií a novými klienty. U stávajících klientů účastník řízení nemůže v současnosti obnovovat/poskytovat nové úvěry a přichází tím o výnosy. Místo toho je nutné hledat klienty nové, jejichž historii účastník řízení nezná, přičemž jejich rizikovost může být vyšší než u prověřených klientů stávajících. Při limitu 100 mil. Kč je v rámci daných podmínek trhu značně obtížné identifikovat a realizovat alternativní (substituční) či nové perspektivní příležitosti, které by zároveň splňovaly potřebný výnosový a rizikový profil. V rámci podmínek trhu není reálné uvažovat ani s tzv. “poolingem“, kde by určitá poptávka potřeb financování potenciálního klienta mohla být zároveň uspokojena více institucemi. Jedním z důvodů je skutečnost, že ani stávající maximální zákonné účastníkem řízení úvěrovatelné expozice nejsou z hlediska institucionálních měřítek a tržních podmínek významné, a tudíž jsou obtížně případně dále dělitelné. Tj. při limitu 100 000 000 Kč v praxi obvykle nelze např. uspokojit požadavek na financování ve výši 150 000 000 Kč, který by splňoval požadované rizikové parametry, 26
poolingem dvou institucí, kde by účastník řízení poskytl např. 80 000 000 Kč a další instituce pak 70 000 000 Kč. V případě, že účastník řízení nemůže takovou příležitost financování sám uspokojit, definitivně ji ztrácí a s ní i ušlé výnosy. Alternativní substituce takové ušlé příležitosti nalezením vhodných potenciálních obchodních případů do 100 000 000 Kč je prakticky problematická a bývá spojena i s jinými specifickými riziky. Povinnost prokázat 20 % vlastních zdrojů u financovaného projektu a záměru nedostatečně zohledňuje různé typy úvěrových produktů poskytovaných účastníkem řízení (zejména provozní, akviziční a projektové financování), když např. provozní financování pojem vlastních zdrojů dlužníka standardně nezná a nepoužívá a namísto toho vychází z finančních toků (zejména minulých a budoucích tržeb apod.). Uvedená skutečnost fakticky vylučuje možnost účastníka řízení poskytovat klientům provozní financování. Rozhodnutí zavádí povinnost průběžných splátek u poskytovaných úvěrů, což ve svém důsledku účastníku řízení znemožňuje fakticky poskytovat úvěry na development a další typy projektového financování, kde jsou výnosy z projektů nepravidelné nebo cyklické a kde jsou tedy průběžné splátky pojmově vyloučeny. Mezi cyklické patří rovněž financování zemědělské výroby a sporné může být i provozní financování u klientů, jejichž tržby v průběhu roku kolísají. Vzhledem k nejasnému výkladu ohledně poskytování dalších tranší úvěru, může dojít k situaci, že účastník řízení nedostojí své povinnosti k již financovaným subjektům a může dojít k ohrožení jejich podnikatelských aktivit a tím i ke vzniku přímé škody účastníku řízení. Dalším z aspektů Rozhodnutí o předběžném opatření je zvýšené reputační riziko. Vzhledem k ustanovení Vyhlášky 163/2014 je v rámci povinně uveřejňovaných údajů účastník řízení také povinen uvést přehled činností, jejichž vykonávání nebo poskytování bylo ČNB omezeno nebo vyloučeno. To může za dané situace i vzhledem ke kauzám selhání jiných subjektů v sektoru družstevních záložen vést ke zhoršenému celkovému vnímání účastníka řízení a zejména vyvolat nežádoucí spekulace a zvýšený mediální zájem ohledně jeho dalšího směřování. V případě eskalace takového rizika včetně hrozby případné celkové ztráty důvěry by byl účastníka řízení nucen bezprostředně vynaložit zdroje a vícenáklady za účelem jeho omezení, přičemž míru úspěšnosti protiopatření je obtížné predikovat, protože by byly odvislé od faktorů mimo jeho vliv (intenzita mediálního zájmu včetně případného tzv. “zlého úmyslu“, reakce věřitelů a členů, reakce institucionálních protistran).
94. Důvody neúměrnosti následků uložených opatření shrnuje účastník řízení tak, že dle jeho závěrů nemůže: poskytovat úvěry stávajícím ani novým potenciálně perspektivním klientům s úvěrovou angažovaností nad 100 mil. Kč, což má zásadní dopad na jeho příjmy a zvyšuje náklady při akvizici nových klientů; poskytovat provozní financování, neboť u něj nelze splnit uloženou podmínku 20 % vlastních zdrojů; poskytovat projektové financování (zejména v segmentech agro a development), neboť u něj většinou nelze splnit uloženou podmínku průběžného splácení jistiny; poskytovat další tranše úvěrů, které mohou být i právně vymahatelné; a naopak může čelit zvýšenému reputačnímu riziku v kritické fázi pro jeho další směřování. 27
95. Účastník řízení dále uvedl, že kromě Rozhodnutí o předběžném opatření je jeho hospodaření ovlivněno novelou zákona o družstevních záložnách, kde je nově uložena povinnost odvádět dvojnásobek do FPV18 oproti minulým rokům a dále od druhé poloviny roku přichází v platnost pravidlo 1:10. Obě tato pravidla zásadním způsobem zvyšují náklady Záložny na refinancování. V kombinaci s Rozhodnutím o předběžném opatření pak tyto nové povinnosti mají na účastníka řízení výrazně nepříznivé dopady. 96. Nové legislativní podmínky vkladového režimu se již podle účastníka řízení výrazně odrazily v jeho obchodní činnosti za rok 2014. Účastník řízení se s předstihem cíleně zaměřil zejména na akvizici termínovaných vkladů a ostatních spořících produktů s pevnou sjednanou dobou 3 až 5 let, což se přirozeně odráží také ve výši nákladových úroků. Motivem bylo určitým způsobem zabezpečit likvidní a zdrojovou pozici na období od poloviny roku 2015 do předpokládané přeměny na banku, kdy by opět mělo dojít k náběhu na standardní vkladový retailový režim dle zvyklostí trhu. Účastník řízení v rámci této aktivity již dosáhl určitého plánovaného cílového stavu a struktury depozit a v této fázi již aktivně neprovádí zvýšenou akvizici. V rámci toho se ovšem nepočítalo, ani nemohlo počítat, s efekty výnosového deficitu plynoucího z předběžného opatření. V nastalé situaci přitom není reálné, aby účastník řízení na důsledky daných omezení v úvěrové činnosti alternativně reagoval restrukturalizací pasiv (termínované vklady a ostatní vkladové nástroje) a snížil tak riziko úrokového výnosového diferenciálu, nebo umístěním prostředků z vkladů do jiných (substitučních) finančních nástrojů, které by zároveň splňovaly požadavky na potřebný rizikový a výnosový profil nebo alespoň efektivně zmírňovaly vznikající diferenciál. 97. Ziskovost/výkonnost instituce je vysoce citlivá celkově i ve vztahu k jednotlivým určujícím parametrům. Úrokové výnosy a poplatky z úvěrů jsou přitom zásadní výnosovou položkou a výnosový deficit v důsledku omezujících opatření by se tak nevyhnutelně postupně projevil snížením výnosů, zhoršením hospodářského výsledku a dopady do kapitálové pozice a kapitálových poměrů. 98. Snížení nákladů sice podle účastníka řízení představuje možné další alternativní opatření, které by se dle povahy druhů nákladů projevilo v určitém časovém horizontu (okamžité, postupné). Ovšem z hlediska současné nákladové a infrastrukturní pozice účastníka řízení by to nevyhnutelně znamenalo i negativní dopad do ŘKS, resp. ztrátu aspirace na přeměnu na banku nebo navození jiného scénáře dalšího vývoje. 99. Substituce omezené úvěrové činnosti a výnosů z ní plynoucích jinou obchodní činností není realizovatelná. Ostatní finanční činnosti jsou v důsledku stávajícího rozsahu zákonem povolených činností družstevních záložen fakticky omezeny na nákup a prodej cizí měny pro členy a pevné termínové měnové operace. Dočasně volné prostředky jsou ukládány u ostatních bank nebo do dluhopisů, které z hlediska stávajícího tržního sentimentu a nízkému riziku těchto nástrojů nemohou generovat dostatečný výnos pro substituci ušlého úvěrového výnosu. 100.V případě zrušení Rozhodnutí o předběžném opatření je účastník řízení podle svého vyjádření připraven dodržovat následující opatření:
18
zdržet se uzavírání smluv o úvěrových obchodech či přebírání úvěrového rizika, jemuž byla vystavena třetí osoba, bez povinnosti klienta prokázat a použít vlastní zdroje financování ve výši alespoň 10 % financovaného projektu či investičního záměru, přičemž toto opatření se nevztahuje na financování provozních potřeb;
Fond pojištění vkladů
28
zdržet se uzavírání smluv o úvěrových obchodech či přebírání úvěrového rizika, jemuž byla vystavena třetí osoba, vůči klientům či klientům zařazeným v ekonomicky spjaté skupině osob hodnoceným v kategorii se selháním ve smyslu ustanovení § 82 Vyhlášky 163/2014. Uvedená opatření se nevztahují na nucené restrukturalizace ve smyslu čl. 178 Nařízení (EU) 575/2013, kterými prokazatelně dojde ke zvýšení pravděpodobnosti splacení úvěrové angažovanosti klienta nebo klientů zařazených v ekonomicky spjaté skupině osob;
až do dne právní moci rozhodnutí ve správním řízení vedeném pod sp. zn. Sp/2014/281/573 udržovat průběžně kapitál v takové výši, aby celkový kapitálový poměr ve smyslu čl. 92 Nařízení (EU) 575/2013 byl roven nebo byl vyšší než 10 %;
dodržovat plán pro koncentrace dle forem splácení úvěrového portfolia ve výši do 75 %. Definice výpočtu koncentrace dle forem splácení je uveden v PP_10_R03 Příloha č. 2;
za účelem dokládání souladu s výše deklarovanými postupy a zásadami úvěrové činnosti a souvisejícím řízením rizik je účastník řízení připraven podávat orgánu dohledu veškeré další potřebné dodatečné informace dle § 27 odst. 2 zákona o družstevních záložnách. 101.V Doplnění k Vyjádření 1 účastník řízení informoval o průběhu plnění jím navržených opatření k nápravě, tedy že z celkového počtu 72 nápravných opatření je jich k 4.3.2015 již 60 splněno. Účastník řízení současně předložil i materiály vztahující se k jednotlivým deklarovaným opatřením. 102.V Doplnění k Vyjádření 2 účastník řízení obdobně informoval o průběhu plnění jím navržených opatření k nápravě, tedy že z celkového počtu 72 nápravných opatření je jich k 31.3.2015 již 68 splněno. Účastník řízení současně předložil i materiály vztahující se k jednotlivým deklarovaným opatřením. 103.Doplnění podkladů v návaznosti na Ústní jednání potom obsahovalo požadované dokumenty a doplňující informace vyplynuvší z ústního jednání. Byly tak předloženy mimo jiné následující vnitřní předpisy a uživatelské manuály: a. PP_19_R04_Úvěrový návrh (návrh BZ) a jejich posouzení včetně příloh; b. UM_PP_01_01_R03_Postup při identifikaci evidenci a správě ESSO; c. UM_PP_29_01_R07_Vymáhání pohledávek vzniklých PK včetně příloh; d. UM_PP_29_02_R03_Pokyny k činnostem souvisejícím s postupováním pohledávek včetně příloh; e. UM_PP_29_03_R00_Pokyny k hodnocení bonity pohledávek; f. PP_24_R07_Způsoby zajištění dluhů a stanovení Hodnoty zajištění; g. Přehled znalců a znaleckých ústavů - Black List; h. OP_26_Upřesnění některých ustanovení v PP_24_R07; i. Creditas_klasifikace_aktiv.xlsx; j. PP_14_R00_Metodika analýzy operačních rizik. 104.Shrnutí účastníkem řízení navržených a realizovaných opatření k nápravě ve vztahu ke zjištěním plynoucím z provedené Kontroly, tak jak jím byly reportovány:
29
Účastníkem řízení navržené opatření
Termín do
Realizace
31.1.2015
Představenstvo účastníka řízení schválilo 13.1.2015 Celkovou strategii Záložny CREDITAS pro období 2015 - 2017, včetně navazujících strategií.
1
Aktualizace Celkové strategie Záložny pro 2015 - 2017 včetně souvisejících dokumentů, a to především dokumentu VP_06 Strategie řízení rizik
2
Zapracování PP_41 do VP_06 a dalších navazujících předpisů; zrušení PP_41_Řízení úvěrových rizik
31.1.2015
3
Revize PP_28_Tvorba opravných položek /PP_29_Proces monitoringu../
31.1.2015
4
Zavedení testování dostatečnosti a oprávněnosti tvorby OP, vyhodnocování naplňování plánů tvorby OP
31.3.2015
Testování proběhne na datech ke konci čtvrtletí tj. 31.3.2015 a jeho průběh a výsledek budou doloženy do 30.4.2015
5
Jmenování garantů z řad představenstva za jednotlivé oblasti činnosti ZC
31.8.2014
Splněno rozhodnutím představenstva účastníka řízení ze dne 21.8.2014.
6
Revize PP_04_Postupy a pravidla pro hodnocení bonity a stanovení ratingu klientů
28.2.2015
Představenstvo účastníka řízení schválilo revizi PP_04 dne 12.12.2014, a to spolu s opravou ratingového modelu a projednání celkového stavu portfolia podle nových ratingových modelů (viz také opatření 11).
7
Revize PP_03_Revize pohledávek za dlužníkem a aktualizace hodnoty zajištění
28.2.2015
Aktualizace metodiky PP_03 schválena 2.3.2015.
Představenstvo účastníka řízení schválilo 13.1.2015 Celkovou strategii Záložny CREDITAS pro období 2015 - 2017, včetně navazujících strategií. Chyby a připomínky pro tvorbu OP byly zapracovány do normy PP_29. Norma PP_28 byla zrušena.
Produkty byly revidovány, zpřesněny a zpřísněny. Změny byly přijaty představenstvem. Vedle produktových listů byly změněny i Obchodní podmínky pro úvěrové obchody a doplněn materiál Vysvětlivky k úvěrovým obchodům, kde jsou vysvětleny případné sporné pojmy. Byl doplněn systém pro správu dokumentů a procesů o subsystém evidence výjimek. Součástí příloh je i příklad úvěru, který byl schválen s výjimkami. Součástí schválení výjimky musí být i zhodnocení ze strany risku a přijaté opatření. Nedílnou součástí je i následné vyhodnocení úvěrů, které jsou schváleny s výjimkami.
8
Revize definice produktů - produktových listů úvěrových produktů
30.9.2014
9
Zavedení systému řízení výjimek /evidence, vyhodnocování../
31.10.2014
10
Zavedení systému vyhodnocování skutečného příjemce prostředků, neposkytování služeb nečlenům ani zprostředkovaně
28.2.2015
Problematika řešena v bodě 6. - PP_19
11
Revize používaného bonitního modelu
31.10.2014
Předložena prezentace o opravách ratingových modelů i s výsledky ratingů za celé úvěrové portfolio (kromě spotřebitelských úvěrů).
12
Zavedení bonitního modelu externího dodavatele /vč. revize předpisů/
31.8.2015
Podepsána smlouva s ________. Probíhá implementace systému.
13
Oprava konkrétních případů evidence ESSO /dle protokolu/
30.9.2014
Jednotlivé případy dle Protokolu opraveny.
30
14
15
16
17
18
19
20
V procesu příprav je rozšíření systémové podpory pro sledování změn v OR, což by mělo řešit některé nesoulady ve sledování ESS mezi jednotlivými revizemi úvěrů, kdy dochází ke změně v osobách a jejich propojení a účastník řízení se o nich nedozví. Systémová Zavedení podpůrného systému pro (28.02.15) podpora pro sledování ESSO s vazbou na sledování a vyhodnocování ESSO /podpora 31.03.15 externí zdroje informací je od 3.3.2015 IS, automatizace, alerting/ nasazena v testovacím prostředí za účelem akceptačních testů. K nasazení do ostrého provozu dojde nejpozději do 31.3.2015. Akceptace proběhla, základní funkce jsou implementovány, systém v dalším vývoji pro zajištění dalších agend. Oprava konkrétních případů ESS proběhla. Revize PP_29_Proces monitoringu 28.2.2015 Aktualizovaná metodika PP_29 byla schválena a kategorizace pohledávek dne 2.3.2015. Dne 5.2.2015 byla vydána aktualizace předpisu Nezohledňovní zajištění nemovitostí pokud UM_PP_29, ve které je problematika řešena. není zástavní /podzástavní/ právo zapsáno v 31.3.2015 Metodicky popsaný přístup byl zohledněn LV u všech evidovaných zajištění postižených tímto problémem. Zavedení systému řízení přijatelnosti Dne 2.3.2015 byla schválena aktualizace znaleckého posudku, přijatelnosti PP_24, která mimo jiné zohledňuje 28.2.2015 vydavatele posudku, pravidla provádění problematiku zavedení systému řízení supervize posudku přijatelnosti znaleckého posudku atd. Připomínky vyplývající z protokolu o kontrole týkající se úvěrového procesu byly zapracovány do předpisové základny. Jedná se především o tyto předpisy: PP_01 Pravidla angažovanosti a kniha limitů PP_03 Revize pohledávek za dlužníkem a aktualizace hodnoty zajištění PP_10 Řízení rizika koncentrace PP_19 Úvěrový návrh Důsledné dodržování pravidel a postupů v PP_24 Způsoby zajištění dluhů vyplývajících úvěrovém procesu - školení; zapracování do 31.3.2015 z úvěrových obchodů a stanovení hodnoty metodiky zajištění Vedle předpisů byly aktualizovány jednotlivé produktové listy a obchodní podmínky. Jednotlivé změny jsou diskutovány v rámci připomínkového řízení. O schválených předpisech jsou pracovníci standardně informováni ze strany odboru 020 a následně jsou nejdůležitější změny probírány na nejbližší poradě úseků. V přílohách důkazy: _______ ___________ - splaceno; ___ ________ ________ - zajištěna nová Oprava hodnot u evidovaného zajištění /dle 30.11.2014 ocenění a dána do systému; Protokolu/ ______ ______ - splaceno; ___ ________ - koeficient pro výpočet RHZ snížen na 0. Revize PP_24_Způsoby zajištění úvěrových obchodů
28.2.2015
31
Dne 2.3.2015 byla schválena aktualizace PP_24.
Dne 2.3.2015 byla schválena aktualizace PP_24. Byla provedena analýza veškerých záznamů zajištění s tím, že byla a) vyhodnocena korelace hodnoty zajištění a zdrojem splácení úvěru; b) vyhodnocena cena při pořízení zajištění za období posledních tří let v porovnání s oceněním zajištění. Do systému uplatněna nižší z orovnávaných hodnot. Celkem bylo prověřeno 747 záznamů o zajištění. Posudky od znalců na "Black Listu" byly: 1. nahrazeny; 2. realizovatelná hodnota byla nastavena na 0 nebo; 3. je pohledávka v režimu workout. Dne 2.3.2015 byla schválena aktualizace PP_24. Byla provedena analýza veškerých záznamů zajištění s tím, že byla a) vyhodnocena korelace hodnoty zajištění a zdrojem splácení úvěru; b) vyhodnocena cena při pořízení zajištění za období posledních tří let v porovnání s oceněním zajištění. Do systému uplatněna nižší z porovnávaných hodnot. Celkem bylo prověřeno 747 záznamů o zajištění. Risk: Na základě rozhodnutí představenstva účastníka řízení ze dne 13.10. o poskytování úvěrů pro klienty v defaultu (3,4,5) se PP_19 a PP_29 se aktualizuje k 28.2.2015. ___ ________ – účastník řízení zařadil pohledávku mezi restrukturalizované. Toto zařazení nemá v tuto chvíli vliv na klasifikaci a pohledávka zůstává v kategorizaci "sledované". Ve 4Q/2014 byl účastník řízení požádán o opětovné snížení sazby, kterému nevyhověla. Pohledávka bude (bohužel) refinancována u RF. ______ _______ již není v portfoliu účastníka řízení. K 30.3.2015 jsou nesplněny 4 revize. Z toho ve dvou případech je vina na klientovi, neboť klienti nespolupracují a nezasílají potřebné podklady (v tuto chvíli ani jeden z nich není po splatnosti); U dalších dvou klientů je vina na straně obchodníka. Počet nezpracovaných revizí budeme nadále sledovat a to díky evidenci revizí v systému DMS. Jedná se o kontinuální proces.
21
Analýza portfolia zajištění vč. Identifikace významné korelace hodnoty s bonitou
28.2.2015
22
Revize ocenění a koeficientů z posudků vydavatelů zařazených na BlackList ZC
28.2.2015
23
Vyhodnocení úrovně korelace hodnoty přijatého zajištění a bonity protistrany /existující angažovanosti/
21.2.2015
24
Vydání Rozhodnutí představenstva ve věci navyšování angažovanosti osob s klasifikovanými pohledávkami, aktualizace VPZ
31.10.2014
25
Revize vybraných úvěrových případů vyhodnocení naplnění znaků nucené restrukturalizace
28.2.2015
26
Odstranění zpoždění při provádění revizí pohledávek
(15.02.15) 30.4.2015
27
Změna kategorizace jmenovaných pohledávek /dle Protokolu/
31.12.2014
Doklady k jednotlivým případům v příloze.
31.10.2014
V procesu správy pohledávek byl zaveden princip stanovení strategie vymáhání jako součást úvodní analýzy pohledávky při jejím převodu do režimu workout.
V procesu správy pohledávek důsledně dbát 28 na zajištění rekonstruovatelnosti
32
29
Revize podoby knihy limitů, její ukotvení ve VPZ
31.1.2015
30
Revize PP_37_Řízení tržního rizika
31.1.2015
31
Revize reportu "Risk report"
15.2.2015
32
Revize PP_01_Pravidla angažovanosti
31.1.2015
33
Revize PP_09_Vnitřně stanovený kapitál
31.3.2015
34
Nastavení email adres pro notifikace překročení limitů IS DAFOS
30.9.2014
35
36
Zavedení pravidel kontroly tržní konformity 30.10.2014 u obchodů s DCP Úprava pravidel stanovování kapitálových požadavků v rámci SVSK - měnové deriváty
Dne 9.2.2015 byla schválena aktualizace PP_01, kde je mimo jiné nově upravena problematika knihy limitů. Účinnost revidované verze od 1.12.2014. Risk report bude předložen za období roku 2014. Dne 9.2.2015 byla schválena aktualizace PP_01. Projednáno představenstvem účastníka řízení dne 30.3.2015. Chyba v nastavení notifikací v systému DAFOS byla opravena. Systém notifikací je nyní korektně směřován na adresy odpovědných pracovních skupin. Automatické kontroly na úrovni IS DAFOS, proces ověřování tržní konformity oddělením Oddělením řízení rizik při realizaci jednotlivých obchodů.
31.3.2015
Projednáno představenstvem účastníka řízení dne 30.3.2015.
37
Stanovení strategie pro portfolio DCP
15.2.2015
Dne 13.1.2015 byla představenstvem účastníka řízení schválena aktualizovaná podoba strategie. Dne 2.3.2015 byla schválena aktualizace PP_36 Řízení rizika likvidity, která metodicky pokrývá problematiku práce s DCP u účastníka řízení.
38
Revize PP_36_Řízení likvidity
28.2.2015
Dne 2.3.2015 byla schválena aktualizace PP_36 Řízení rizika likvidity.
39
Jednotné nastavení limitů pro FX SPOT obchody v IS a VPZ
30.11.2014
40
Revize VP_14_Kompetenční řád - pravidla schvalování obchodů FX SPOT
30.9.2014
41
Implementace kontroly 4 očí OBS, na všech 31.12.2014 transakcích
41 b.
Implementace kontroly 4 očí DAFOS
Revize existujících a tvorba nových předpisů pro činnosti Odboru FT a 42 BackOffice /zohlednění konkrétních zjištění dle Protokolu/
Sjednoceno nastavení tak, aby nehrozilo riziko nesouladu nastavení v předpisové základně a IS. V rámci revize VP_14 Kompetenční řád (účinnost od 15.10.2014) byla provedena korekce kompetencí pro oblast FX spot obchodů. Vložen VP_14 , viz opatření 39 kompetence, příklad schválení dle nové kompetence od 400. Kontrola 4 očí na platební transakce byla v systému OBS aktivována s účinností 23.10.2014 (kontrola je systémově vynucena).
31.3.2015
Zavedeno, akceptace proběhla.
31.1.2015
Absence formálního popisu některých činností úseku 400 Finanční trhy a oddělení 211 Provozní back-office byla ošetřena aktualizací nebo vydáním následujících předpisů: - PP_32 Pracovní postupy pro obchody a operace na FT - VP_14 Kompetenční řád - IP_01 Klientské platby zadané na nostro účtech - IP_03 FX operace na účet účastníka řízení
33
43
Vyhodnocování plánu naplnění potřeby kapitálu - opatření k naplňování
31.3.2015
44
Pravidelné vyhodnocování strategických plánů, adekvátní reakce představenstva auditní stopa
31.3.2015
45
Zavedení komplexních stresových scénářů /testů/
30.4.2015
46
Nový předpis Bezpečnostní zásady /ošetření tématiky bezpečnosti IS/IT /
31.1.2015
47
Revize VPZ pro oblast řízení rizik IS/IT včetně bezpečnosti
31.1.2015
48
Nezávisle ověřit oblast řízení bezpečnosti - IA/ext.dodávka
30.6.2015
49
Reorganizace personálního obsazení úseku 500 vč.oddělení 521_Operační rizika a bezpečnost
31.7.2015
34
Vydán pracovní předpis PP09 - Systém vnitřně stanoveného kapitálu, kde je popsána metodika výpočtu odrážející nové vnitřní pracovní předpisy. Aktuální SVSK se bude porovnávat s plány na SVSK obsažené ve finančním plánu a v strategii řízení rizik. Kapitálová pozice je předmětem průběžného monitoringu a měsíčního vyhodnocování. Kapitálová pozice bude dále revidována v rámci aktualizace plánu 2015 - 2017 na základě vyhotovení auditované účetní závěrky 2014, rozhodnutí ČNB ve věci nabytí kvalifikované účasti/ovládnutí účastníka řízení a rozhodnutí ČNB ve věci správního řízení z Kontroly. Předmětem zjištění byla absence vyhodnocení strategie rozvoje informačních systémů. Vyhodnocení strategie rozvoje ICT za období 2014 byla představenstvu předložena dne 16.3.2015. Doloženo je usnesením představenstva s projednávaným materiálem. Vyhodnocení ostatních strategií bude provedeno po finalizaci účetní závěrky.
S účinností od 13.1.2015 jsou vydány nové bezpečnostní politiky VP_08 Bezpečnostní politika, VP_16 Bezpečnostní politika IS_IT a na ně přímo navazující vrcholové předpisy VP_17 Identifikace a kategorizace aktiv Záložny, VP_18 Klasifikace informací a práce s nimi a VP_19 Řízení logického přístupu. Tyto bezpečnostní předpisy byly připraveny ve spolupráci se společností ___ __________ _____. Dalším důležitým předpisem je VP_15 Kontinuita podnikání, který je v účinnosti od 15.10.2014. Veškeré předpisy jsou v souladu s vrcholovým předpisem VP_02 Vnitřní předpisy, k jehož poslední aktualizaci došlo s činností od 5.1.2015. S účinností od 13.1.2015 jsou vydány nové bezpečnostní politiky VP_08 Bezpečnostní politika, VP_16 Bezpečnostní politika IS_IT, VP a na ně přímo navazující vrcholové předpisy VP_17 Identifikace a kategorizace aktiv Záložny, VP_18 Klasifikace informací a práce s nimi a P_19 Řízení logického přístupu. Updatem zařazena Bezpečnost ICT do plánu činnosti IA, doložen Plán činnosti a Oznámení o zahájení kontroly V říjnu 2014 došlo k zásadním organizačním změnám v oblasti řízení rizik. Nejvýznamnější změnou bylo obsazení pozice ředitele úseku 500. Dále byly doplněni kvalifikovaní pracovníci do odboru tržních a operačních rizik a došlo ke stabilizaci oddělení operačních rizik a bezpečnosti, viz. úsek 500_personální obsazení. Interní kapacita je ve vybraných oblastech vhodně doplňována externími zdroji:
50
Revize / zavedení pravidel klasifikace aktiv /aktiva IS/IT, fyzická aktiva../
31.1.2015
51
Revize PP_13_Řízení operačního rizika a bezpečnosti
15.2.2015
52
Umístění klíčových IT struktur /servery, bezpečnostní prvky../ v prostředí s adekvátním řízením bezpečnosti - nové prostory
30.11.2014
53
Rozšíření IS ALVAO o workflow změny oprávnění
31.1.2015
54
Úprava procesu správy přístupových oprávnění pracovníků třetích stran do IT prostředí
31.1.2015
55
Zavedení a kontrola nově definovaných pracovních postupů pracovníků 221
31.1.2015
56
Revize pravidel řízení privilegovaných účtů /přidělování, správa, monitoring aktivit/
31.1.2015
57
Zavedení monitoringu privilegovaných uživatelů, vyhodnocování
31.1.2015
58
Revize existence a formy ukotvení instalačních a konfiguračních postupů pro IT komponenty ve VPZ
28.2.2015
35
___ __________ ______ - metodická podpora a školení v oblasti bezpečnostních zásad (příloha 46), ___ _____ ______ - konfigurece bezpečnostního monitoringu pomocí SIEM (příloha 57). Pro oblast klasifikace aktiv a informací jsou vydány předpisy VP_17 Identifikace a kategorizace aktiv Záložny a VP_18 Klasifikace informací a práce s nimi. V souladu s těmito předpisy probíhá aktualizace aktiv společnosti, na kterou naváže aktualizace analýzy rizik. Dne 9.2.2015 byl aktualizován předpis PP_13 Řízení operačního rizika. V říjnu 2010 bylo sídlo centrály přesunuto do nově zrekonstruovaných prostor, které disponují adekvátními bezpečnostními prvky a režimovými pravidly. Prostory serverovny jsou s řízeným přístupem, kamerovým dohledem, EPS, EZS, chlazením a hasicím zařízením. Přiloženo je schéma znázorňující umístění kamery a EZS prvků. Zásady a postupy pro přidělování přístupových oprávnění jsou definovány VP_19 Řízení logického přístup (příloha 46). Workflow v systému ALVAO plně podporuje nastavená pravidla. Zásady a postupy pro přidělování přístupových oprávnění, včetně pravidel pro přístupy pracovníků třetích stran, jsou definovány VP_19 Řízení logického přístup (příloha 46). Ve vztahu k jednotlivým dodavatelům jsou následně pravidla zpřesněna v rámci jednotlivých smluvních ujednání. Viz plnění bodu 54. Zásady pro privilegované přístupy/uživatele jsou definovány VP_19 Řízení logického přístupu (příloha 46). Dotčeným pracovníkům byly zřízeny samostatné účty sloužící výhradně pro potřeby privilegovaných zásahů. Zásady monitroingu privilegovaných uživatelů jsou součástí předpisu VP_19 Řízení logického přístupu (příloha 46). Monitoring na úrovni active directory je zajištěn pomocí systému SIEM. Konfigurace systému SIEM byla provedena a bude nadále udržována ve spolupráci s ___, _____ ______ Přiloženy jsou ukázky několika reportů souvisejících s monitoringem přístupů. Převod interních dokumentů oddělení do podoby předpisů - pracovní postupy a vybrané podpůrné dokumenty odboru 220 jsou do podoby předpisů (v souladu s VP_02 Vnitřní předpisy) převáděny postupně. Doloženy jsou hlavní dokumenty upravující konfiguraci klientských stanic, konfiguraci serverů, zálohování, správu uživatelů v IS
a postupy při nasazení nových verzí systému OBS.
59
Zavedení specifických postupů a pravidel pro ochranu zvláště významných aktiv IT
60
Úprava pracovních postupů pro likvidaci datových nosičů
61
Dodržování pravidel a postupů v oblasti zavádění systémů - interní školení
62
Revize pravidel ochrany aktiv IS/IT příprava DRP pro serverovnu, zapracování případů poškození velkého rozsahu
63
Zálohování dat vyhodnocovaných v systémech IPS a SIEM včetně výstupů
64
Doložení bezpečnostních zásad ze strany dodavatele /DD/, kontrola jejích dodržování
65
Revize smluvních ujednání se společností zajišťující likvidaci datových nosičů /_________/
66
Revize vymezení osob s významným vlivem na celkový rizikový profil společnosti
Zásady ochrany významných aktiv jsou definovány předpisem VP_17 Identifikace a kategorizace aktiv Záložny (příloha 46). 31.1.2015 Některá konkrétní opatření na ochranu zvláště významných aktiv budou výstupem aktualizované analýzy rizik, která bude dokončena v 2. pololetí 2015. Postupy pro likvidaci datových nosičů jsou definovány předpisem PP_47 Bezpečnostní standard IS. Postup pro likvidaci datových nosičů je dále smluvně i organizačně zajištěn se společností _________ _________ _________ 31.1.2015 ______ ______ Dne 2.3.2015 byla představenstvem schválena aktualizovaná podoba předpisu VP_03, ve které je upřesněn způsob likvidace dat s odkazem na normu DIN 66399. Pravidla pro zavádění produktů, systémů a jejich změn jsou definována předpisem PP_35 Produkty, systémy a činnosti záložny. Oblast změnového řízení a popis životního cyklu informačního systému je definována připravovaným předpisem PP_47 Bezpečnostní 28.2.2015 standard IS. Za dodržování pravidel a postupů v oblasti zavádění systémů zodpovídá ředitel odboru 220 Odbor ICT. O nutnosti dodržování předepsaných zásad byli informování všichni vedoucí zaměstnanci. Účastník řízení má připravený DR plán pro ztrátu/nedostupnost budovy centrály, jehož součástí je i ztráta nebo nedostupnost 28.2.2015 serverovny. Plán je v tištěné podobě umístěn na vybraných pracovištích a v elektronické podobě na předepsaném místě sdíleného diskového úložiště. Data vyhodnocená systémy IPS a SIEM jsou zálohována na samostatné zařízení v rámci lokality hlavní serverovny provozované 28.2.2015 společností _________ ____. Nastavení zálohování SIEM je doloženo souborem SIEM_zaloha.jpg. Společnost _________ ____ poskytla bezpečnostní politiku definovanou pro lokální prostředí a aktualizované bezpečnostní 31.1.2015 certifikace. Veškeré dokumenty jsou uloženy. Prověření úrovně dodržování bezpečnostních zásad přímo ve společnosti proběhne minimálně 2x v průběhu roku 2015. Se společností _________ byl uzavřen dodatek ke smlouvě, který nově ošetřuje také likvidací 31.10.2014 fyzických nosičů dat. V rámci dodatku také došlo k upřesnění stupně ochrany informací při skartaci. Účastník řízení identifikoval osoby 31.7.2014 s významným vlivem na celkový rizikový profil společnosti v souladu s vyhláškou
36
67
Revize pravidel odměňování osob s významným vlivem na rizikový profil společnosti
68
Zajistit prohlášení o nepojištění osob ve skupině osob s významným vlivem na rizikový profil proti odpovědnosti
69
Revize VPZ řízení kontinuity provozu
70
Úvěrová cenotvorba na základě ratingu klienta a segmentu
71
Revize PP_10 Řízení rizika koncentrace
163/2014. Seznam takto identifikovaných osob představenstvo schválilo dne 21.7.2014. Následně byl dne 29.9.2014 seznam identifikovaných osob rozhodnutím představenstva rozšířen o ředitele úseku řízení rizik. K poslední aktualizaci došlo dne 12.12.2014, kdy byly s účinnosti od 1.1.2015 ze seznamu vyřazeni dva pracovníci přímo podřízeni řediteli úseku řízení rizik. Účastník řízení s účinností od 5.1.2015 vydal nový předpis VP_21 Politika odměňování. Tento předpis řeší zásady odměňování, včetně zásad odměňování osob významným vlivem na 31.1.2015 celkový rizikový profil společnosti. Jedním ze základních principů je závislost variabilní složky odměny těchto pracovníků na plnění definovaných cílů (KPI). Zásady byly řádně schváleny Kontrolní komisí. Zásada nemožnosti uplatnění pojištění odpovědnosti za způsobené škody vztahovaná na pracovníky s významným vlivem na celkový rizikový profil společnosti je metodicky ošetřena ve VP_21 Politika 31.7.2014 odměňování (příloha 67). Všichni takto identifikovaní zaměstnanci přebírají a podepisují oznámení o zařazení do skupiny pracovníků s významným vlivem na rizikový profil a prohlášení o neuplatnění pojištění pro krytí rizik. Problematika kontinuity podnikání je ošetřena VP_15 Kontinuita podnikání účinným od 15.10.2014. V souvislosti s tímto předpisem má 31.12.2014 účastník řízení zpracovánu Bussiness impact analýzu a navazující DR a BC plány na procesy s vysokým významem. 31.1.2015
Schváleno představenstvem dne 5. 1. 2014. Účinnost revidované verze od 15.1.2015.
Právní posouzení a důvody pro uložení opatření k nápravě 105.Ve dnech 11.7.2011 až 17.10.2011 byla u účastníka řízení provedena kontrola na místě (dále jen „Kontrola 2011“), zaměřená na prověření systému řízení úvěrového rizika a rizik spojených s úvěrovými činnostmi účastníka řízení, systému sestavování hlášení pro dohled vykonávaný správním orgánem a vnitřně stanovený kapitál. Během kontroly byla mj. prověřena úvěrová dokumentace 50 dlužníků účastníka řízení (88 pohledávek) s celkovým objemem rozvahových pohledávek k 30.4.2011 ve výši cca 1 379 mil. Kč, což představovalo 65 % celkového objemu portfolia účastníka řízení. O zjištěních, k nimž Česká národní banka (dále jen „správní orgán“) dospěla v rámci Kontroly 2011, byl pořízen Protokol o kontrole č.j. 2011/8878/580 zpracovaný a účastníku řízení předaný dne 28.11.2011. 106.Následně bylo s účastníkem řízení dne 23.2.2012 zahájeno správní řízení spis. zn. Sp/2011/310/573, a to pro podezření, že účastník řízení (i) porušuje pravidla řídicího 37
a kontrolního systému, a to v oblasti systému vnitřní kontroly; (ii) porušuje pravidla řídicího a kontrolního systému a pravidla bezpečného provozu, a to v oblasti řízení úvěrového rizika a rizik spojených s úvěrovými činnostmi; (iii) nepřijal a neuplatňuje spolehlivé, účinné a úplné strategie a postupy pro stanovení, průběžné posuzování a udržování vnitřně stanoveného kapitálu (dále jen „VSK“) v takové výši, struktuře a rozložení, aby VSK dostatečně pokrýval rizika, kterým účastník je nebo by mohl být vystaven. 107.Rozhodnutí ve správním řízení vedeném pod spis. zn. Sp/2011/310/573 bylo potom vydáno dne 5.6.2012, pod č.j. 2012/5369/570 (dále jen ,,Rozhodnutí 2012“). Rozhodnutím 2012 byla účastníku řízení za nedostatky zjištěné v oblasti systému vnitřní kontroly; v oblasti řízení úvěrového rizika a rizika koncentrace v souvislosti se stanovením strategie řízení rizik, zaváděním nových produktů a hodnocením jejich rizikovosti, hodnocením bonity dlužníků a posuzováním dalších aspektů při poskytování úvěrů; v oblasti řízení úvěrového rizika a rizika koncentrace v souvislosti s úplatným postupováním pohledávek; v oblasti řízení úvěrového rizika a dodržování pravidel bezpečného provozu v souvislosti s využíváním technik snižování úvěrového rizika; v oblasti řízení úvěrového rizika a dodržování pravidel bezpečného provozu v souvislosti se stanovením a sledováním rozvahové hodnoty pohledávek; v oblasti řízení úvěrového rizika a v oblasti zajištění předpokladů řádné správy a řízení při monitoringu pohledávek v době trvání obchodu; v oblasti řízení úvěrového rizika a dodržování pravidel bezpečného provozu v souvislosti s tvorbou opravných položek a posouzením dostatečnosti vytvořených opravných položek a v oblasti strategií a postupů pro stanovení, průběžné posuzování a udržování vnitřně stanoveného kapitálu; uložena ve výroku specifikovaná opatření ke zjednání nápravy v jednotlivých oblastech. Dále bylo účastníku řízení uloženo nejpozději od 60. dne od nabytí právní moci Rozhodnutí 2012 do konce účetního období shodujícího se s kalendářním rokem, v němž toto rozhodnutí nabylo právní moci, a dále po dobu dvou následujících účetních období průběžně udržovat kapitál nad minimální úrovní stanovenou v § 8 odst. 2 zákona o družstevních záložnách, a to v takové výši, aby ukazatel kapitálové přiměřenosti ve smyslu § 43 Vyhlášky 123/2007 byl roven, nebo byl vyšší než 10 %. 108.Správní orgán provedl následnou Kontrolu, jejímž úkolem bylo mimo jiné ověřit nápravná opatření, která měl účastník řízení povinnost přijmout dle Rozhodnutí 2012. Správní orgán však i při této kontrole zjistil řadu nedostatků v činnosti účastníka řízení a to i opakovaných z Kontroly 2011 s tím, že za účelem zjednání nápravy závažnějších nedostatků bylo zahájeno toto správní řízení. 109.V průběhu tohoto správního řízení, jak je popsáno výše, bylo ze strany účastníka řízení deklarováno přijetí opatření k nápravě ve většině zjištěných problematických oblastech. 110.U výše uvedených účastníkem řízení deklarovaných opatření k nápravě, jejichž den přijetí přesahuje okamžik vydání rozhodnutí v tomto správním řízení, očekává správní orgán, že účastník řízení tato opatření přijme ve lhůtách jím stanovených a že tato nápravná opatření budou spolu s ostatními předmětem dohledu správního orgánu i externího auditního posouzení. Ad (i). 111.Požadavek na provedení mimořádného auditu ukládaný podle ustanovení § 28 odst. 5 písm. d) zákona o družstevních záložnách je reakcí správního orgánu na nutnost ověřit praktickou efektivitu opatření přijatých účastníkem řízení v oblasti řídicího a kontrolního systému. Požadavek správního orgánu na to, aby mimořádný audit provedl nestranný externí auditor, je dána zájmem správního orgánu o zjištění nezkresleného ověření 38
předmětných oblastí. 112.Závěry takto provedeného externího auditu budou mít do budoucna vliv na posouzení rozsahu omezení rizikových obchodů účastníka řízení a kapitálových požadavků u účastníka řízení. Správní orgán je přesvědčen, že zvýšené kapitálové požadavky jsou na místě a to až do doby, kdy ČNB na základě zprávy externího auditora a vlastních dohledových poznatků vyhodnotí případné existující nedostatky jen jako méně závažné, tedy kdy nebudou identifikovány nedostatky se střední mírou závažnosti či vyšší 19. V situaci, kdy ČNB dospěje k závažnějším zjištěním, tedy budou identifikovány nedostatky se střední mírou závažnosti či vyšší, je na místě tyto kapitálové požadavky na krytí existujících rizik ponechat. 113.Vzhledem k tomu, že ověření účinnosti nápravných opatření je možné až po uplynutí určité doby od jejich implementace, ukládá správní orgán provést externí ověření až po uplynutí 90 dnů od právní moci tohoto rozhodnutí. Tuto lhůtu považuje správní orgán za přiměřenou. 114.Správní orgán dále stanovuje, že výběr konkrétního auditora proběhne způsobem předvídaným právními předpisy s tím, že za účelem maximální objektivity externího ověření zužuje okruh auditorů pouze na ty, kteří obdobná ověření u účastníka řízení v posledních 3 letech neprováděli. Ad (ii). a) 115.Během Kontroly byly správním orgánem zjištěny okolnosti svědčící o nedostatečné efektivitě v oblasti řízení úvěrových rizik a v oblasti rizika koncentrace, které vedly k omezení maximální výše úvěrových obchodů rozhodnutím o předběžném opatření bez možnosti výjimek. 116.Jak plyne z materiálu projednaného představenstvem účastníka řízení dne 10.12.201320, jenž se týkal mimo jiné návrhů opatření v oblasti řízení rizika koncentrace angažovaností rozhodlo představenstvo účastníka řízení s účinností od 1.1.2014 poskytovat novým členům úvěry maximálně do výše 100 000 000 Kč při maximální zajištěnosti 70 %. Při nesplnění některého z těchto ukazatelů měl obchod podléhat schválení představenstva. 117.Po zaslání nápravných opatření v průběhu správního řízení je správní orgán toho názoru, že je zde možnost rozhodnutím o předběžném opatření stanovená omezení uvolnit. Správní orgán tak akceptuje představenstvem účastníka řízení stanovenou maximální hranici úvěrového obchodu ve výši 100 000 000 Kč s tím, že představenstvo může v odůvodněných případech rozhodnout i o úvěrovém obchodu překračujícím tento limit. Za zásadní pro tento postup však správní orgán považuje zajistit plnou zpětnou rekonstruovatelnost rozhodnutí představenstva o výjimce z tohoto omezení. 118.Správní orgán též přihlédl ke skutečnosti, že úvěrové expozice vyšší než 15 % kapitálu účastníka řízení jsou účastníkem sledovány a je stanoveno jejich maximální procentní zastoupení v úvěrovém portfoliu účastníka řízení. 119.Důvodem pro opatření ad (ii). a) je stále především předchozí úvěrová expanze účastníka řízení, který vykázal oproti roku 2012 nárůst objemu poskytnutých úvěrů o 48,31 % (což je cca o 1,1 mld. Kč více, než bylo plánováno v rámci obchodních strategií), avšak u poskytnutých úvěrů nad 100 000 000 Kč nebylo možné vždy spolehlivě vysledovat, na základě jakých skutečností dospělo představenstvo k možnosti udělit v daném případě 19 20
Viz Příloha 9 Vyhlášky 163/2014. Zápis č. 30 z 30. zasedání představenstva účastníka řízení.
39
výjimku. 120.Správní orgán očekává, že poskytování výjimek u úvěrů nad 100 000 000 Kč bude u účastníka řízení taktéž podrobeno posouzení ze strany externího auditora. Ad (ii). b) a c) 121.Vzhledem ke skutečnosti, že účastník řízení měl sice nastaveny limity na objem vlastních zdrojů k financování projektu/záměru, ale tyto nebyly považovány za povinné a často podléhaly výjimkám, považuje správní orgán za nebytné jednoznačné stanovení limitu. Účastník řízení podle produktových listů měl vyžadovat po dlužníkovi prokázání vlastních zdrojů k financování projektu v objemu min. 10 – 30 %. Správní orgán vzhledem k přijatým opatřením k nápravě považuje toto rozpětí za dostatečné, požaduje však minimální hranici 10 % bez možnosti výjimek. Vzhledem k vyššímu riziku expozic bez průběžného splácení a k praxi účastníka řízení poskytovat úvěry i na splátky úroků z těchto úvěrů, je na místě pro tyto expozice požadovat vyšší podíl vlastních zdrojů klienta, a to ve výši alespoň 20 % financovaného projektu či záměru. Vzhledem k tomu, že se tento minimální podíl vztahuje na financování konkrétních projektů, není účastníkovi řízení ukládána povinnost tento podíl dodržovat u provozního financování. Ad (ii). d) 122.Účastníku řízení též za účelem omezení rizik plynoucích z úvěrových obchodů ukládá neposkytovat nové úvěry i dlužníkům, které dle kategorizace pohledávek považuje ve smyslu ustanovení § 82 Vyhlášky 163/2014 za defaultní, a tedy dle zařazení do podkategorie nepovažuje splacení těchto pohledávek za jisté. Jelikož by tímto účastník řízení porušil pravidla obezřetného podnikání, rozhodl správní orgán tak, jak je uvedeno ve výroku tohoto rozhodnutí. Ad (iii). 123.Kromě ověření účinnosti implementovaných nápravných opatření ukládá správní orgán povinnost účastníka řízení navýšit a udržovat průběžně kapitál v takové výši, aby kapitálový poměr pro kapitál tier 1 činil minimálně 12 %, a to ve lhůtě 6 měsíců od právní moci tohoto rozhodnutí. 124.Správní orgán požaduje, aby navýšení kapitálu pro krytí rizik vyplývajících z výše uvedených závažných nedostatků bylo provedeno v části tier 1 kapitálu. Důvodem je, že z pohledu požadavku na going concern je role tier 2 kapitálu velmi omezená a tier 2 vystupuje spíše jako dluh, který se mění v kapitál až v případě defaultu instituce. Požadavek správního orgánu na kvalitu kapitálu je v souladu s obecným trendem, který přináší Basel 3 / CRD IV. Proto správní orgán konzistentně napříč sektorem úvěrových institucí stanovuje v 2. pilíři dodatečné kapitálové požadavky vyjádřené mj. pro kapitál tier 1, stejně postupuje i řada orgánů dohledu z jiných členských zemí. Závěr 125.Z výše uvedených důvodů pak správní orgán rozhodl tak, jak je uvedeno ve výroku rozhodnutí. Povinnostmi uloženými v tomto rozhodnutí nejsou dotčeny obecné povinnosti účastníka řízení vyplývající ze zákona o družstevních záložnách ve znění účinném od 22.7.2014 a Vyhlášky 163/2014. 40
126.Správní orgán pro úplnost dodává, že dle ustanovení § 61 odst. 3 správního řádu pozbývá předběžné opatření účinnosti dnem, kdy se rozhodnutí ve věci stalo vykonatelným nebo nabylo jiných právních účinků. S ohledem na skutečnost, že rozklad proti rozhodnutí o uložení nápravného opatření nemá podle ustanovení § 28a odst. 5 zákona o družstevních záložnách odkladný účinek, stává se toto rozhodnutí vykonatelným dnem doručení. Vzhledem k výše uvedenému pozbývá rozhodnutí o předběžném opatření ze dne 19.12.2014, č.j. 2014/74528/570, účinnosti dnem doručením tohoto rozhodnutí. II. Odůvodnění rozhodnutí o nákladech řízení 127.Dle ustanovení § 79 odst. 5 správního řádu uloží správní orgán účastníkovi řízení, který vyvolal správní řízení porušením své právní povinnosti, povinnost nahradit náklady řízení paušální částkou. Paušální částka je pak na základě zmocnění obsaženého v § 176 správního řádu stanovena vyhláškou č. 520/2005 Sb., o rozsahu hotových výdajů a ušlého výdělku, které správní orgán hradí jiným osobám, a o výši paušální částky nákladů řízení. Z § 6 odst. 1 této vyhlášky pak vyplývá, že paušální částka nákladů správního řízení, které účastník vyvolal porušením své právní povinnosti, činí 1 000 Kč. 128.Vzhledem ke skutečnosti, že vedené správní řízení bylo, jak bylo podáno výše, vyvoláno porušením právních povinností účastníka řízení, uložil správní orgán tomuto povinnost nahradit paušální částkou ve výši 1 000 Kč náklady tohoto správního řízení. POUČENÍ Proti rozhodnutí o uložení opatření k nápravě lze podle ustanovení § 28a odst. 5 zákona o družstevních záložnách podat rozklad u České národní banky, Na Příkopě 28, 115 03 Praha 1, a to prostřednictvím sekce licenčních a sankčních řízení. Rozklad nemá odkladný účinek. O rozkladu proti rozhodnutí České národní banky rozhoduje bankovní rada České národní banky. Lhůta pro podání rozkladu činí podle ustanovení § 83 odst. 1 správního řádu ve spojení s ustanovením § 152 téhož zákona 15 dnů ode dne doručení rozhodnutí.
otisk úředního razítka
________________________ ____________________________________ ______ podepsáno elektronicky
41
_______________________________ _________________________________ podepsáno elektronicky
