Proces zarządzania ryzykiem operacyjnym realizuje się na poziomie całego Banku oraz na poziomach poszczególnych obszarów systemowego zarządzania ryzykiem operacyjnym.
Ryzyko operacyjne jest rozumiane jako ryzyko powstania straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub zdarzeń zewnętrznych. Ryzyko operacyjne uwzględnia ryzyko prawne, a nie obejmuje ryzyka utraty reputacji i ryzyka biznesowego.
Celem zarządzania ryzykiem operacyjnym jest zwiększenie bezpieczeństwa prowadzonej przez Bank działalności operacyjnej przez udoskonalanie efektywnych, dostosowanych do profilu i skali działalności mechanizmów identyfikacji, oceny i pomiaru, ograniczania oraz monitorowania i raportowania ryzyka operacyjnego.
Proces zarządzania ryzykiem operacyjnym realizuje się na poziomie całego Banku oraz na poziomach poszczególnych obszarów systemowego zarządzania ryzykiem operacyjnym. Systemowe zarządzanie ryzykiem operacyjnym polega na tworzeniu rozwiązań służących sprawowaniu przez Bank kontroli nad poziomem ryzyka operacyjnego umożliwiającym realizację celów Banku. Bieżące zarządzanie ryzykiem operacyjnym realizowane jest przez każdego pracownika Grupy Kapitałowej w zakresie swoich zadań i obowiązków. Celem bieżącego zarządzania ryzykiem operacyjnym jest zapobieganie materializacji zdarzeń operacyjnych oraz wykrywanie i reagowanie na występujące zdarzenia operacyjne.
Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Bank gromadzi dane o zdarzeniach operacyjnych jakie wystąpiły w Banku oraz w innych bankach wraz z przyczynami i skutkami ich powstania, dane o czynnikach otoczenia biznesowego, wyniki samooceny ryzyka operacyjnego, dane dotyczące wartości kluczowych wskaźników ryzyka operacyjnego (KRI) oraz dane dotyczące jakości kontroli wewnętrznej funkcjonalnej.
Zarządzanie ryzykiem operacyjnym obejmuje również samoocenę ryzyka operacyjnego dla produktów, procesów i aplikacji Banku oraz zmian organizacyjnych.
Pomiar ryzyka operacyjnego obejmuje obliczanie KRI, obliczanie wymogu w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem AMA dla Banku, a dla spółek Grupy Kapitałowej prowadzących działalność finansową zgodnie z podejściem BIA (wskaźnika bazowego), testy warunków skrajnych oraz obliczanie kapitału wewnętrznego dla Grupy Kapitałowej.
Bank monitoruje poziom ryzyka operacyjnego celem kontroli ryzyka operacyjnego oraz diagnozowania obszarów wymagających działań zarządczychi dotyczy w szczególności limitów na ryzyko operacyjne, zdarzeń operacyjnych i ich skutków, wyników samooceny, wymogu w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem AMA, wyników testów warunków skrajnych i wartości KRI.
W celu ograniczenia ekspozycji na ryzyko operacyjne w Banku stosowane są różnego rodzaju rozwiązania takie jak:
- instrumenty kontrolne,
- instrumenty zarządzania zasobami ludzkimi (dobór kadr, podnoszenie kwalifikacji pracowników, systemy motywacyjne),
- wartości progowe i krytyczne kluczowych wskaźników ryzyka (KRI),
- strategiczne limity tolerancji dla Grupy Kapitałowej i limity strat na ryzyko operacyjne dla Banku,
- plany awaryjne,
- ubezpieczenia,
- outsourcing.
W przypadku, gdy poziom ryzyka osiągnął stan podwyższony lub wysoki, Bank stosuje następujące podejścia:
- redukcja ryzyka – łagodzenie wpływu czynników ryzyka lub skutków jego materializacji,
- transfer ryzyka – przeniesienie odpowiedzialności za pokrycie ewentualnych strat na podmiot zewnętrzny,
- unikanie ryzyka – rezygnacja z działalności generującej ryzyko lub wyeliminowanie prawdopodobieństwa wystąpienia czynnika ryzyka.
Proces zarządzania ryzykiem operacyjnym podlega systemowi kontroli wewnętrznej obejmującemu przegląd strategii i procesu zarządzania ryzykiem operacyjnym, samoocenę utrzymania zgodności z wymogami dotyczącymi podejścia AMA, walidację podejścia AMA oraz audyt wewnętrzny.
Spółki wchodzące w skład Grupy Kapitałowej zarządzają ryzykiem operacyjnym zgodnie z zasadami zarządzania tym ryzykiem przyjętymi w PKO Banku Polskim SA, z uwzględnieniem zakresu i rodzaju powiązań podmiotów wchodzących w skład Grupy Kapitałowej, specyfiki i skali działalności poszczególnych spółek.
W 2014 roku decydujący wpływ na profil ryzyka operacyjnego Grupy Kapitałowej miały: PKO Bank Polski SA, Grupa Kapitałowa PKO Leasing SA, Grupa Kapitałowa Qualia Development Sp. z o.o. oraz Grupa Kapitałowa KREDOBANK SA. Pozostałe spółki Grupy Kapitałowej ze względu na ich znacznie mniejszą skalę oraz rodzaj działalności, generują jedynie ograniczone ryzyko operacyjne