Zarządzanie ryzykiem
operacyjnym

Ryzyko operacyjne jest rozumiane jako ryzyko powstania straty wynikającej z niedostosowania
lub zawodności wewnętrznych procesów, ludzi i systemów lub zdarzeń zewnętrznych.

Celem zarządzania ryzykiem operacyjnym jest optymalizacja efektywności operacyjnej poprzez obniżenie strat operacyjnych, racjonalizację kosztów, jak również zwiększenie szybkości oraz adekwatności reakcji Grupy Kapitałowej na zdarzenia od niej niezależne.

Pomiar ryzyka operacyjnego

Pomiar ryzyka operacyjnego w Banku ma na celu określenie skali zagrożeń związanych z występowaniem ryzyka operacyjnego przy wykorzystaniu ustalonych miar ryzyka. Pomiar ryzyka operacyjnego obejmuje:

  • obliczanie KRI,
  • obliczenie wartości zagrożonej na ryzyko operacyjne,
  • analizy scenariuszowe (testy warunków skrajnych). 

Identyfikacja i ocena ryzyka operacyjnego obejmuje ryzyko operacyjne powstające w istniejących produktach, procesach oraz aplikacjach informatycznych Banku i jest przeprowadzana z wykorzystaniem:

  • zgromadzonych danych o zdarzeniach operacyjnych,
  • wyników audytu wewnętrznego,
  • wyników kontroli wewnętrznej funkcjonalnej,
  • kluczowych wskaźników ryzyka operacyjnego (KRI).

Prognozowanie i monitorowanie ryzyka operacyjnego

Bank regularnie monitoruje:

  • stopień wykorzystania strategicznych limitów tolerancji na ryzyko operacyjne,
  • stopień wykorzystania limitów strat na ryzyko operacyjne,
  • skuteczność i terminowość podejmowanych działań w ramach redukcji lub transferu ryzyka operacyjnego,
  • wartości KRI w relacji do wartości progowych i krytycznych,
  • zdarzenia operacyjne i ich skutki,
  • efekty działań podjętych w ramach zaleceń po kontrolach zewnętrznych lub po audytach wewnętrznych,
  • jakość kontroli wewnętrznej funkcjonalnej.

W 2011 roku decydujący wpływ na profil ryzyka operacyjnego Grupy Kapitałowej miały 3 podmioty: PKO Bank Polski SA, Grupa Kapitałowa BFL SA oraz KREDOBANK SA. Pozostałe spółki Grupy Kapitałowej ze względu na ich znacznie mniejszą skalę oraz rodzaj działalności, generują jedynie ograniczone ryzyko operacyjne. Spółki zależne Grupy Kapitałowej zarządzają ryzykiem operacyjnym zgodnie z zasadami zarządzania tym ryzykiem w PKO Banku Polskim SA, z uwzględnieniem specyfiki i skali działalności poszczególnych spółek.

Raportowanie ryzyka operacyjnego

Raportowanie informacji dotyczących ryzyka operacyjnego Banku i spółek zależnych Grupy Kapitałowej prowadzone jest w cyklach kwartalnych. Odbiorcami raportów są Komitet Ryzyka Operacyjnego, Zarząd Banku oraz Rada Nadzorcza Banku. Raporty zawierają między innymi informacje na temat:

  • profilu ryzyka operacyjnego Banku wynikającego z procesu identyfikacji i oceny zagrożeń
    dla produktów, procesów i aplikacji informatycznych Banku,
  • wyników pomiaru i monitorowania ryzyka operacyjnego,
  • zdarzeń operacyjnych i ich skutków finansowych, 
  • najważniejszych projektów i przedsięwzięć z zakresu zarządzania ryzykiem operacyjnym,
  • rekomendacji lub propozycji działań dla Komitetu Ryzyka Operacyjnego lub Zarządu Banku,
  • informacji o stopniu wykorzystania strategicznych limitów tolerancji i limitów strat na ryzyko operacyjne.

W cyklach miesięcznych sporządzane są informacje dotyczące ryzyka operacyjnego kierowane
do członków Zarządu Banku oraz jednostek organizacyjnych Banku odpowiedzialnych za systemowe zarządzanie ryzykiem operacyjnym. Zakres informacji jest zróżnicowany i dostosowany do zakresu odpowiedzialności poszczególnych odbiorców informacji.

Działania zarządcze dotyczące ryzyka operacyjnego

Zarządzanie ryzykiem operacyjnym odbywa się na płaszczyźnie rozwiązań systemowych, jak i bieżącego zarządzania tym ryzykiem. Systemowe zarządzanie ryzykiem operacyjnym prowadzone jest na poziomie Centrali PKO Banku Polskiego SA. Bieżące zarządzanie ryzykiem operacyjnym realizowane jest przez każdą jednostkę organizacyjną Banku.

Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Bank gromadzi dane wewnętrzne i zewnętrzne o zdarzeniach operacyjnych i skutkach ich powstania, dane o otoczeniu operacyjnym oraz dane dotyczące jakości kontroli wewnętrznej funkcjonalnej.

W celu ograniczenia ekspozycji na ryzyko operacyjne w Banku stosowane są różnego rodzaju rozwiązania takie jak:

  1. instrumenty kontrolne,
  2. instrumenty zarządzania zasobami ludzkimi (dobór kadr, podnoszenie kwalifikacji pracowników, systemy motywacyjne),
  3. wartości progowe i krytyczne kluczowych wskaźników ryzyka (KRI),
  4. strategiczne limity tolerancji i limity strat na ryzyko operacyjne,
  5. plany awaryjne,
  6. ubezpieczenia,
  7. outsourcing.

Doboru instrumentów służących do ograniczania ryzyka operacyjnego dokonuje się między innymi w zależności od:

  1. dostępności i adekwatności instrumentów ograniczających ryzyko,
  2. charakteru działalności lub procesu, w którym zidentyfikowano ryzyko operacyjne,
  3. istotności ryzyka,
  4. kosztu zastosowania instrumentu.

Dodatkowo regulacje wewnętrzne Banku przewidują obowiązek niepodejmowania zbyt ryzykownej działalności, a w przypadku gdy działalność taka jest prowadzona – wycofania się z niej lub ograniczenia jej zakresu. Poziom ryzyka operacyjnego uznaje się za nadmierny, gdy potencjalne korzyści z prowadzenia danego rodzaju działalności są niższe od potencjalnych strat operacyjnych.

W przypadku, gdy poziom ryzyka operacyjnego jest wysoki Bank podejmuje następujące działania:

  • unikanie ryzyka – wycofanie się ze zbyt ryzykownej działalności lub jej niepodejmowanie, jeżeli brak jest możliwości jej zarządzania,
  • ograniczanie rozmiarów działalności obarczonej zbyt wysokim poziomem ryzyka, jeżeli występuje możliwość jej zarządzania i podjęcie działań ograniczających poziom ryzyka,
  • transfer ryzyka – ubezpieczenie na wypadek zdarzeń operacyjnych, zapewniające utrzymanie ryzyka operacyjnego na poziomie nie zagrażającym bezpieczeństwu funkcjonowania Banku.

Spółki wchodzące w skład Grupy Kapitałowej zarządzają ryzykiem operacyjnym zgodnie z zasadami zarządzania tym ryzykiem w PKO Banku Polskim SA, z uwzględnieniem specyfiki i skali działalności poszczególnych spółek.