Ryzyko operacyjne jest rozumiane jako ryzyko powstania straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub zdarzeń zewnętrznych. Ryzyko operacyjne uwzględnia ryzyko prawne, a nie obejmuje ryzyka utraty reputacji i ryzyka biznesowego.
Celem zarządzania ryzykiem operacyjnym jest zwiększenie bezpieczeństwa prowadzonej przez Bank działalności operacyjnej przez udoskonalanie efektywnych, dostosowanych do profilu i skali działalności mechanizmów identyfikacji, oceny, pomiaru, kontroli, monitorowania, ograniczania i raportowania ryzyka operacyjnego.
Spółki wchodzące w skład Grupy Kapitałowej zarządzają ryzykiem operacyjnym zgodnie z zasadami zarządzania tym ryzykiem w PKO Banku Polskim SA, z uwzględnieniem zakresu i rodzaju powiązań podmiotów wchodzących w skład Grupy Kapitałowej, specyfiki i skali działalności poszczególnych spółek.
64.1 Pomiar i ocena ryzyka operacyjnego
Pomiar ryzyka operacyjnego w Banku ma na celu określenie skali zagrożeń związanych z występowaniem ryzyka operacyjnego przy wykorzystaniu ustalonych miar ryzyka. Pomiar ryzyka operacyjnego obejmuje:
- obliczanie kluczowych wskaźników ryzyka operacyjnego (KRI),
- obliczanie wymogu w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem BIA w zakresie działalności oddziału Banku w Republice Federalnej Niemiec oraz AMA w zakresie pozostałej działalności prowadzonej przez Bank,
- testy warunków skrajnych,
- obliczanie kapitału wewnętrznego dla Grupy Kapitałowej.
Samoocena ryzyka operacyjnego obejmuje identyfikację i ocenę ryzyka operacyjnego dla produktów, procesów i aplikacji Banku oraz zmian organizacyjnych jest przeprowadzana cyklicznie oraz przed wprowadzaniem nowych lub zmienianych produktów, procesów i aplikacji Banku z wykorzystaniem:
- zgromadzonych danych o zdarzeniach operacyjnych,
- informacji pozyskiwanych w trakcie pomiaru, monitorowania, współpracy ze spółkami Grupy Kapitałowej oraz raportowania ryzyka operacyjnego, w tym audytów wewnętrznych oraz audytów bezpieczeństwa.
64.2 Kontrola ryzyka operacyjnego
Celem kontroli ryzyka operacyjnego jest dążenie do utrzymania poziomu ryzyka operacyjnego Banku i Grupy Kapitałowej na ustalonym poziomie.
Kontrola ryzyka operacyjnego obejmuje ustalanie dostosowanych do skali i złożoności działalności Banku mechanizmów kontroli ryzyka w postaci limitów dotyczących ryzyka operacyjnego, w szczególności strategicznych limitów tolerancji na ryzyko operacyjne, limitów strat, KRI wraz z wartościami progowymi i krytycznymi.
64.3 Prognozowanie i monitorowanie ryzyka operacyjnego
Monitorowanie ryzyka operacyjnego ma na celu diagnozowanie obszarów wymagających działań zarządczych.
Bank regularnie monitoruje w szczególności:
- stopień wykorzystania strategicznych limitów tolerancji dla Grupy Kapitałowej oraz limitów strat na ryzyko operacyjne dla Banku,
- zdarzenia operacyjne i ich skutki,
- wyniki samooceny ryzyka operacyjnego,
- wymóg w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem BIA w zakresie działalności oddziału Banku w Republice Federalnej Niemiec oraz zgodnie z podejściem AMA w zakresie pozostałej działalności prowadzonej przez Bank, a dla spółek Grupy Kapitałowej objętych konsolidacją ostrożnościową zgodnie z podejściem BIA,
- wyniki testów warunków skrajnych,
- wartości KRI w relacji do wartości progowych i krytycznych,
- poziom ryzyka dla Banku, obszarów i narzędzi zarządzania ryzykiem operacyjnym,
- skuteczność i terminowość podejmowanych działań w ramach redukcji lub transferu ryzyka operacyjnego,
- działania zarządcze związane z występowaniem podwyższonego lub wysokiego poziomu ryzyka operacyjnego oraz ich skuteczności w zakresie obniżenia poziomu ryzyka operacyjnego.
W 2015 roku decydujący wpływ na profil ryzyka operacyjnego Grupy Kapitałowej miały: PKO Bank Polski, Grupa Kapitałowa PKO Leasing SA oraz Grupa Kapitałowa KREDOBANK SA. Pozostałe spółki Grupy Kapitałowej ze względu na ich znacznie mniejszą skalę oraz rodzaj działalności, generują jedynie ograniczone ryzyka operacyjne.
64.4 Raportowanie ryzyka operacyjnego
Raportowanie informacji dotyczących ryzyka operacyjnego prowadzi się na potrzeby:
- wewnętrzne Banku, w szczególności: wyższej kadry kierowniczej, KRO, KR, Zarządu oraz Rady Nadzorczej,
- zewnętrznych organów nadzoru i kontroli,
Raportowanie na potrzeby wewnętrzne Banku informacji dotyczących ryzyka operacyjnego Banku i spółek zależnych Grupy Kapitałowej prowadzone jest w cyklach kwartalnych. Odbiorcami raportów kwartalnych są KRO, KR, Zarząd, Komitet Audytu Rady Nadzorczej oraz Rada Nadzorcza. Raporty kwartalne zawierają w szczególności informacje na temat:
- profilu ryzyka operacyjnego Banku wynikającego z procesu identyfikacji i oceny zagrożeń dla produktów, procesów i aplikacji Banku oraz pomiaru LDA,
- poziomu ryzyka operacyjnego dla Banku, obszarów i narzędzi zarządzania ryzykiem operacyjnym,
- wyników pomiaru i monitorowania ryzyka operacyjnego,
- działań podjętych celem ograniczenia ryzyka operacyjnego oraz oceny skuteczności podejmowanych działań w celu obniżenia poziomu ryzyka operacyjnego,
- rekomendacji, decyzji i zaleceń KRO lub Zarządu.
W cyklach miesięcznych sporządzane są informacje dotyczące ryzyka operacyjnego kierowane do członków Zarządu, komórek organizacyjnych Centrali i specjalistycznych jednostek organizacyjnych odpowiedzialnych za systemowe zarządzanie ryzykiem operacyjnym. Zakres informacji jest zróżnicowany i dostosowany do zakresu odpowiedzialności poszczególnych odbiorców informacji.
64.5 Działania zarządcze dotyczące ryzyka operacyjnego
Proces zarządzania ryzykiem operacyjnym realizowany jest na poziomie całego Banku oraz na poziomach poszczególnych obszarów systemowego zarządzania ryzykiem operacyjnym. Systemowe zarządzanie ryzykiem operacyjnym polega na tworzeniu rozwiązań służących sprawowaniu przez Bank kontroli nad poziomem ryzyka operacyjnego umożliwiającym realizację celów Banku. Bieżące zarządzanie ryzykiem operacyjnym realizowane jest przez każdego pracownika Grupy Kapitałowej w zakresie swoich zadań i obowiązków i polega na zapobieganiu materializacji zdarzeń operacyjnych powstających przy obsłudze produktów, realizacji procesów i eksploatacji aplikacji oraz na reagowaniu na występujące zdarzenia operacyjne.
Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Bank gromadzi dane wewnętrzne i zewnętrzne o zdarzeniach operacyjnych, oraz przyczynach i skutkach ich powstania, dane o czynnikach otoczenia biznesowego, wyniki samooceny ryzyka operacyjnego, dane dotyczące wartości KRI oraz dane dotyczące jakości kontroli wewnętrznej funkcjonalnej.
W celu ograniczenia ekspozycji na ryzyko operacyjne w Banku stosowane są różnego rodzaju rozwiązania, takie jak:
- instrumenty kontrolne (autoryzacja, kontrola wewnętrzna, rozdzielność funkcji),
- instrumenty zarządzania zasobami ludzkimi (dobór kadr, podnoszenie kwalifikacji pracowników, systemy motywacyjne),
- ustalenie albo weryfikacja wartości progowych i krytycznych KRI,
- ustalenie albo weryfikacja strategicznych limitów tolerancji dla Grupy Kapitałowej i limitów strat na ryzyko operacyjne dla Banku,
- plany awaryjne,
- ubezpieczenia,
- outsourcing.
Działania zarządcze podejmuje się, w szczególności w następujących przypadkach:
- z inicjatywy KRO,
- z inicjatywy jednostek i komórek organizacyjnych Banku zarządzających ryzykiem operacyjnym,
- gdy ryzyko operacyjne przekroczyło poziomy określone przez Zarząd lub KRO.
W szczególności, w przypadku, gdy poziom ryzyka osiągnął stan podwyższony lub wysoki, Bank stosuje następujące podejścia:
- redukcja ryzyka – łagodzenie wpływu czynników ryzyka lub skutków jego materializacji,
- transfer ryzyka – przeniesienie odpowiedzialności za pokrycie ewentualnych strat na podmiot zewnętrzny,
- unikanie ryzyka – rezygnacja z działalności generującej ryzyko lub wyeliminowanie prawdopodobieństwa wystąpienia czynnika ryzyka.
Prawidłowość realizacji procesu zarządzania ryzykiem operacyjnym weryfikowana jest w ramach:
- przeglądu strategii i procesu zarządzania ryzykiem operacyjnym,
- samooceny utrzymania zgodności z wymogami dotyczącymi podejścia AMA,
- walidacji podejścia AMA,
- audytu wewnętrznego.