Ryzyko operacyjne jest rozumiane jako ryzyko powstania straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub zdarzeń zewnętrznych. Ryzyko operacyjne uwzględnia ryzyko prawne, a nie obejmuje ryzyka utraty reputacji i ryzyka biznesowego.
Celem zarządzania ryzykiem operacyjnym jest zwiększenie bezpieczeństwa prowadzonej przez Bank działalności operacyjnej przez udoskonalanie efektywnych, dostosowanych do profilu i skali działalności mechanizmów identyfikacji, oceny, pomiaru, kontroli, monitorowania, ograniczania i raportowania ryzyka operacyjnego.
Proces zarządzania ryzykiem operacyjnym realizuje się na poziomie całego Banku oraz na poziomach poszczególnych obszarów systemowego zarządzania ryzykiem operacyjnym. Systemowe zarządzanie ryzykiem operacyjnym polega na tworzeniu rozwiązań służących sprawowaniu przez Bank kontroli nad poziomem ryzyka operacyjnego umożliwiającym realizację celów Banku. Bieżące zarządzanie ryzykiem operacyjnym realizowane jest przez każdego pracownika Grupy Kapitałowej w zakresie swoich zadań i obowiązków. Celem bieżącego zarządzania ryzykiem operacyjnym jest zapobieganie materializacji zdarzeń operacyjnych oraz wykrywanie i reagowanie na występujące zdarzenia operacyjne.
Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Bank gromadzi dane o zdarzeniach operacyjnych jakie wystąpiły w Banku oraz w innych bankach wraz z przyczynami i skutkami ich powstania, dane o czynnikach otoczenia biznesowego, wyniki samooceny ryzyka operacyjnego, dane dotyczące wartości kluczowych wskaźników ryzyka operacyjnego (KRI) oraz dane dotyczące jakości kontroli wewnętrznej funkcjonalnej.
Zarządzanie ryzykiem operacyjnym obejmuje również samoocenę ryzyka operacyjnego dla produktów, procesów i aplikacji Banku oraz zmian organizacyjnych.
Pomiar ryzyka operacyjnego obejmuje obliczanie KRI, obliczanie wymogu w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem BIA w zakresie działalności oddziału Banku w Republice Federalnej Niemiec oraz AMA w zakresie pozostałej działalności prowadzonej przez Bank, a dla spółek Grupy Kapitałowej objętych konsolidacją ostrożnościową zgodnie z podejściem BIA, testy warunków skrajnych oraz obliczanie kapitału wewnętrznego dla Grupy Kapitałowej.
Kontrola ryzyka operacyjnego obejmuje ustalanie dostosowanych do skali i złożoności działalności Grupy Kapitałowej mechanizmów kontroli ryzyka w postaci limitów dotyczących ryzyka operacyjnego, w szczególności strategicznych limitów tolerancji na ryzyko operacyjne, limitów strat, KRI wraz z wartościami progowymi i krytycznymi.
Bank monitoruje poziom ryzyka operacyjnego celem kontroli ryzyka operacyjnego oraz diagnozowania obszarów wymagających działań zarządczych. Monitorowanie dotyczy w szczególności limitów na ryzyko operacyjne, zdarzeń operacyjnych i ich skutków, wyników samooceny, wymogu w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem AMA oraz BIA, wyników testów warunków skrajnych i wartości KRI.
W celu ograniczenia ekspozycji na ryzyko operacyjne w Banku stosowane są różnego rodzaju rozwiązania takie jak:
- instrumenty kontrolne (m.in. autoryzacja, kontrola wewnętrzna, rozdzielność funkcji),
- instrumenty zarządzania zasobami ludzkimi (dobór kadr, podnoszenie kwalifikacji pracowników, systemy motywacyjne),
- ustalanie albo weryfikacja wartości progowych i krytycznych KRI,
- ustalanie albo weryfikacja limitów na ryzyko operacyjne dla Grupy Kapitałowej,
- plany awaryjne,
- ubezpieczenia,
- outsourcing.
W przypadku, gdy poziom ryzyka osiągnął stan podwyższony lub wysoki, Bank stosuje następujące podejścia:
- redukcja ryzyka – łagodzenie wpływu czynników ryzyka lub skutków jego materializacji,
- transfer ryzyka – przeniesienie odpowiedzialności za pokrycie ewentualnych strat na podmiot zewnętrzny,
- unikanie ryzyka – rezygnacja z działalności generującej ryzyko lub wyeliminowanie prawdopodobieństwa wystąpienia czynnika ryzyka.
Prawidłowość realizacji procesu zarządzania ryzykiem operacyjnym weryfikowana jest w ramach przeglądu strategii i procesu zarządzania ryzykiem operacyjnym, samoocenę utrzymania zgodności z wymogami dotyczącymi podejścia AMA, walidacji podejścia AMA oraz audytu wewnętrznego.
Spółki wchodzące w skład Grupy Kapitałowej zarządzają ryzykiem operacyjnym zgodnie z zasadami zarządzania tym ryzykiem przyjętymi w PKO Banku Polskim SA, z uwzględnieniem zakresu i rodzaju powiązań podmiotów wchodzących w skład Grupy Kapitałowej oraz specyfiki i skali działalności poszczególnych spółek.
W 2015 roku decydujący wpływ na profil ryzyka operacyjnego Grupy Kapitałowej miały 3 podmioty: PKO Bank Polski SA, Grupa Kapitałowa PKO Leasing SA oraz Grupa Kapitałowa KREDOBANK SA. Pozostałe spółki Grupy Kapitałowej ze względu na ich znacznie mniejszą skalę oraz rodzaj działalności, generują jedynie ograniczone ryzyko operacyjne.