68. Zarządzanie ryzykiem operacyjnym

Definicja

Ryzyko operacyjne to ryzyko powstania straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub zdarzeń zewnętrznych. Ryzyko operacyjne uwzględnia ryzyko prawne, a nie obejmuje ryzyka utraty reputacji i ryzyka biznesowego.

Cel zarządzania

Celem zarządzania ryzykiem operacyjnym jest zwiększenie bezpieczeństwa prowadzonej przez Bank działalności operacyjnej przez udoskonalanie efektywnych, dostosowanych do profilu i skali działalności mechanizmów identyfikacji, oceny, pomiaru, kontroli, monitorowania, ograniczania i raportowania ryzyka operacyjnego.

Identyfikacja i Pomiar ryzyka

Zarządzanie ryzykiem operacyjnym obejmuje identyfikację ryzyka operacyjnego w szczególności przez: gromadzenie danych o ryzyku operacyjnym i samoocenę ryzyka operacyjnego.

Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Bank gromadzi dane wewnętrzne i zewnętrzne o zdarzeniach operacyjnych oraz przyczynach i skutkach ich powstania, dane o czynnikach otoczenia biznesowego, wyniki samooceny ryzyka operacyjnego, dane dotyczące wartości kluczowych wskaźników ryzyka operacyjnego (KRI) oraz dane dotyczące jakości kontroli wewnętrznej funkcjonalnej.

Samoocena ryzyka operacyjnego obejmuje identyfikację i ocenę ryzyka operacyjnego dla produktów, procesów i aplikacji Banku oraz zmian organizacyjnych i jest przeprowadzana cyklicznie oraz przed wprowadzaniem nowych lub zmienianych produktów, procesów i aplikacji Banku.

Pomiar ryzyka operacyjnego obejmuje:

  • obliczanie KRI,
  • obliczanie wymogu w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem AMA (Bank) oraz BIA (Odział w Niemczech oraz spółki Grupy Kapitałowej objęte konsolidacją ostrożnościową),
  • testy warunków skrajnych,
  • obliczanie kapitału wewnętrznego dla Grupy Kapitałowej.

Kontrola

Kontrola ryzyka operacyjnego obejmuje ustalanie dostosowanych do skali i złożoności działalności Banku i Grupy Kapitałowej limitów dotyczących ryzyka operacyjnego, w szczególności strategicznych limitów tolerancji na ryzyko operacyjne, limitów strat, KRI wraz z wartościami progowymi i krytycznymi.

Prognozowanie i monitorowanie

Grupa Kapitałowa regularnie monitoruje:

  • stopień wykorzystania strategicznych limitów tolerancji dla Grupy Kapitałowej oraz limitów strat na ryzyko operacyjne dla Banku,
  • zdarzenia operacyjne i ich skutki,
  • wyniki samooceny ryzyka operacyjnego,
  • wymóg w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem BIA w zakresie działalności oddziału Banku w Republice Federalnej Niemiec oraz zgodnie z podejściem AMA w zakresie pozostałej działalności prowadzonej przez Bank, a dla spółek Grupy Kapitałowej objętych konsolidacją ostrożnościową zgodnie z podejściem BIA,
  • wyniki testów warunków skrajnych,
  • wartości KRI w relacji do wartości progowych i krytycznych,
  • poziom ryzyka dla Banku oraz Grupy Kapitałowej, obszarów i narzędzi zarządzania ryzykiem operacyjnym w Banku,
  • skuteczność i terminowość podejmowanych działań zarządczych w ramach redukcji lub transferu ryzyka operacyjnego,
  • działania zarządcze związane z występowaniem podwyższonego lub wysokiego poziomu ryzyka operacyjnego oraz ich skuteczność w zakresie obniżenia poziomu ryzyka operacyjnego.

W 2016 roku decydujący wpływ na profil ryzyka operacyjnego Grupy Kapitałowej miały: PKO Bank Polski, Grupa Kapitałowa PKO Leasing SA oraz Grupa Kapitałowa KREDOBANK SA. Pozostałe spółki Grupy Kapitałowej ze względu na ich znacznie mniejszą skalę oraz rodzaj działalności, generują jedynie ograniczone ryzyka operacyjne.

Raportowanie

Raportowanie informacji dotyczących ryzyka operacyjnego prowadzi się na potrzeby wyższej kadry kierowniczej, KRO, KR, Zarządu oraz Rady Nadzorczej. W cyklach miesięcznych sporządzane są informacje dotyczące ryzyka operacyjnego kierowane do wyższej kadry kierowniczej, komórek organizacyjnych Centrali i specjalistycznych jednostek organizacyjnych odpowiedzialnych za systemowe zarządzanie ryzykiem operacyjnym. Zakres informacji jest zróżnicowany i dostosowany do zakresu odpowiedzialności poszczególnych odbiorców informacji.

Działania zarządcze

Działania zarządcze podejmuje się w następujących przypadkach:

  • z inicjatywy KRO lub Zarządu,
  • z inicjatywy jednostek i komórek organizacyjnych Banku zarządzających ryzykiem operacyjnym,
  • gdy ryzyko operacyjne przekroczyło poziomy ustalone przez Zarząd lub KRO.

W szczególności w przypadku, gdy poziom ryzyka operacyjnego osiągnął stan podwyższony lub wysoki Bank stosuje następujące podejścia i instrumenty zarządzania ryzykiem operacyjnym:

  • redukcja ryzyka – łagodzenie wpływu czynników ryzyka lub skutków jego materializacji przez wprowadzenie lub wzmocnienie różnego rodzaju instrumentów zarządzania ryzykiem operacyjnym takich jak: instrumenty kontrolne, instrumenty zarządzania zasobami ludzkimi, ustalenie lub weryfikacja wartości progowych i krytycznych KRI, ustalenie lub weryfikacja limitów ryzyka operacyjnego i plany awaryjne,
  • transfer ryzyka – przeniesienie odpowiedzialności za pokrycie ewentualnych strat na podmiot zewnętrzny: ubezpieczenia i outsourcing,
  • unikanie ryzyka – rezygnacja z działalności generującej ryzyko lub wyeliminowanie prawdopodobieństwa wystąpienia czynnika ryzyka.