Ryzyko operacyjne jest rozumiane jako ryzyko powstania straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub zdarzeń zewnętrznych. Ryzyko operacyjne uwzględnia ryzyko prawne, a nie obejmuje ryzyka utraty reputacji i ryzyka biznesowego.
Celem zarządzania ryzykiem operacyjnym jest zwiększenie bezpieczeństwa prowadzonej przez Bank działalności operacyjnej przez udoskonalanie efektywnych, dostosowanych do profilu i skali działalności mechanizmów identyfikacji, oceny i pomiaru, ograniczania oraz monitorowania i raportowania ryzyka operacyjnego.
Spółki wchodzące w skład Grupy Kapitałowej zarządzają ryzykiem operacyjnym zgodnie z zasadami zarządzania tym ryzykiem w PKO Banku Polskim SA, z uwzględnieniem zakresu i rodzaju powiązań podmiotów wchodzących w skład Grupy Kapitałowej, specyfiki i skali działalności poszczególnych spółek.
61.1. Pomiar ryzyka operacyjnego
Pomiar ryzyka operacyjnego w Banku ma na celu określenie skali zagrożeń związanych z występowaniem ryzyka operacyjnego przy wykorzystaniu ustalonych miar ryzyka. Pomiar ryzyka operacyjnego obejmuje:
- obliczanie kluczowych wskaźników ryzyka operacyjnego (KRI),
- obliczanie wymogu w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem AMA,
- testy warunków skrajnych,
- wyliczanie kapitału wewnętrznego.
Samoocena ryzyka operacyjnego obejmuje identyfikację i ocenę ryzyka operacyjnego dla produktów, procesów i aplikacji Banku oraz zmian organizacyjnych jest przeprowadzana cyklicznie oraz przed wprowadzaniem nowych lub zmienianych produktów, procesów i aplikacji Banku z wykorzystaniem:
- zgromadzonych danych o zdarzeniach operacyjnych,
- wyników inspekcji, postępowań oraz kontroli wewnętrznej funkcjonalnej,
- KRI.
61.2. Prognozowanie i monitorowanie ryzyka operacyjnego
Monitorowanie ryzyka operacyjnego ma na celu kontrolę ryzyka operacyjnego oraz diagnozowanie obszarów wymagających działań zarządczych.
Bank regularnie monitoruje w szczególności:
- stopień wykorzystania strategicznych limitów tolerancji oraz limitów strat na ryzyko operacyjne,
- skuteczność i terminowość podejmowanych działań w ramach redukcji lub transferu ryzyka operacyjnego,
- wartości KRI w relacji do wartości progowych i krytycznych,
- wyniki samooceny ryzyka operacyjnego,
- wymóg w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem AMA dla Banku, a dla spółek Grupy Kapitałowej prowadzących działalność finansową zgodnie z podejściem BIA (wskaźnika bazowego),
- wyniki testów warunków skrajnych,
- zdarzenia operacyjne i ich skutki,
W 2014 roku decydujący wpływ na profil ryzyka operacyjnego Grupy Kapitałowej miały: PKO Bank Polski SA (wraz z przejętą jednostką zależną, Grupa Kapitałowa PKO Leasing SA, Grupa Kapitałowa Qualia Development Sp. z o.o. oraz Grupa Kapitałowa KREDOBANK SA. Pozostałe spółki Grupy Kapitałowej ze względu na ich znacznie mniejszą skalę oraz rodzaj działalności, generują jedynie ograniczone ryzyka operacyjne.
61.3. Raportowanie ryzyka operacyjnego
Raportowanie informacji dotyczących ryzyka operacyjnego prowadzi się na potrzeby:
- wewnętrzne Banku, w szczególności: wyższej kadry kierowniczej, KRO, KR, Zarządu, Komitetu Audytu Rady Nadzorczej oraz Rady Nadzorczej,
- zewnętrznych organów nadzoru i kontroli,
- akcjonariuszy i rynku finansowego.
Raportowanie na potrzeby wewnętrzne Banku informacji dotyczących ryzyka operacyjnego Banku i spółek zależnych Grupy Kapitałowej prowadzone jest w cyklach kwartalnych. Odbiorcami raportów kwartalnych są KRO, KR, Zarząd, Komitet Audytu Rady Nadzorczej oraz Rada Nadzorcza. Raporty kwartalne zawierają w szczególności informacje na temat:
- wyników pomiaru i monitorowania ryzyka operacyjnego,
- profilu ryzyka operacyjnego Banku wynikającego z procesu identyfikacji i oceny zagrożeń dla produktów, procesów i aplikacji Banku,
- poziomu ryzyka operacyjnego oraz stosowanych instrumentów zarządzania ryzykiem operacyjnym,
- działań podjętych celem ograniczenia ryzyka operacyjnego oraz oceny skuteczności podejmowanych działań w celu obniżenia poziomu ryzyka operacyjnego,
- rekomendacji, decyzji i zaleceń KRO lub Zarządu.
W cyklach miesięcznych sporządzane są informacje dotyczące ryzyka operacyjnego kierowane do członków Zarządu, komórek organizacyjnych Centrali i specjalistycznych jednostek organizacyjnych odpowiedzialnych za systemowe zarządzanie ryzykiem operacyjnym. Zakres informacji jest zróżnicowany i dostosowany do zakresu odpowiedzialności poszczególnych odbiorców informacji.
61.4. Działania zarządcze dotyczące ryzyka operacyjnego
Proces zarządzania ryzykiem operacyjnym realizuje się na poziomie całego Banku oraz na poziomach poszczególnych obszarów systemowego zarządzania ryzykiem operacyjnym. Systemowe zarządzanie ryzykiem operacyjnym polega na tworzeniu rozwiązań służących sprawowaniu przez Bank kontroli nad poziomem ryzyka operacyjnego umożliwiającym realizację celów Banku. Bieżące zarządzanie ryzykiem operacyjnym realizowane jest przez każdego pracownika Banku w zakresie swoich zadań i obowiązków i polega na zapobieganiu materializacji zdarzeń operacyjnych powstających przy obsłudze produktów, realizacji procesów i eksploatacji aplikacji oraz na reagowaniu na występujące zdarzenia operacyjne.
Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Bank gromadzi dane o zdarzeniach operacyjnych, jakie wystąpiły w Banku oraz w innych bankach wraz z przyczynami i skutkami ich powstania, dane o czynnikach otoczenia biznesowego, wyniki samooceny ryzyka operacyjnego, dane dotyczące wartości kluczowych wskaźników ryzyka operacyjnego (KRI) oraz dane dotyczące jakości kontroli wewnętrznej funkcjonalnej.
W celu ograniczenia ekspozycji na ryzyko operacyjne w Banku stosowane są różnego rodzaju rozwiązania, takie jak:
- instrumenty kontrolne (autoryzacja, kontrola wewnętrzna, rozdzielność funkcji),
- instrumenty zarządzania zasobami ludzkimi (dobór kadr, podnoszenie kwalifikacji pracowników, systemy motywacyjne),
- wartości progowe i krytyczne KRI,
- strategiczne limity tolerancji dla Grupy Kapitałowej i limity strat na ryzyko operacyjne dla Banku,
- plany awaryjne,
- ubezpieczenia,
- outsourcing.
Działania zarządcze podejmuje się w następujących przypadkach:
- z inicjatywy KRO,
- z inicjatywy jednostek i komórek organizacyjnych Banku zarządzających ryzykiem operacyjnym,
- gdy istnieje uzasadnione prawdopodobieństwo, że ryzyko przekroczy poziom umiarkowany lub wysoki lub nastąpiło przekroczenie tych poziomów.
W szczególności w przypadku, gdy poziom ryzyka osiągnął stan podwyższony lub wysoki, Bank stosuje następujące podejścia:
- redukcja ryzyka – łagodzenie wpływu czynników ryzyka lub skutków jego materializacji,
- transfer ryzyka – przeniesienie odpowiedzialności za pokrycie ewentualnych strat na podmiot zewnętrzny,
- unikanie ryzyka – rezygnacja z działalności generującej ryzyko lub wyeliminowanie prawdopodobieństwa wystąpienia czynnika ryzyka.
Proces zarządzania ryzykiem operacyjnym podlega systemowi kontroli wewnętrznej obejmującemu:
- przegląd strategii i procesu zarządzania ryzykiem operacyjnym,
- samoocenę utrzymania zgodności z wymogami dotyczącymi podejścia AMA,
- walidację podejścia AMA,
- audyt wewnętrzny.