Ryzyko operacyjne jest rozumiane jako ryzyko powstania straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub zdarzeń zewnętrznych.
Celem zarządzania ryzykiem operacyjnym jest optymalizacja efektywności operacyjnej poprzez obniżenie strat operacyjnych, racjonalizację kosztów, jak również zwiększenie szybkości oraz adekwatności reakcji Grupy Kapitałowej na zdarzenia od niej niezależne.
57.1. Pomiar ryzyka operacyjnego
Pomiar ryzyka operacyjnego w Banku ma na celu określenie skali zagrożeń związanych z występowaniem ryzyka operacyjnego przy wykorzystaniu ustalonych miar ryzyka. Pomiar ryzyka operacyjnego obejmuje:
- obliczanie kluczowych wskaźników ryzyka operacyjnego (KRI),
- obliczenie wyniku AMA,
- testy warunków skrajnych,
- wyliczenie wymogu kapitałowego oraz kapitału wewnętrznego.
Identyfikacja i ocena ryzyka operacyjnego obejmuje ryzyko operacyjne powstające w istniejących produktach, procesach oraz aplikacjach informatycznych Banku i jest przeprowadzana z wykorzystaniem:
- zgromadzonych danych o zdarzeniach operacyjnych,
- wyników inspekcji, postępowań oraz kontroli wewnętrznej funkcjonalnej,
- kluczowych wskaźników ryzyka operacyjnego (KRI).
57.2. Prognozowanie i monitorowanie ryzyka operacyjnego
Bank regularnie monitoruje:
- stopień wykorzystania strategicznych limitów tolerancji oraz limitów strat na ryzyko operacyjne,
- skuteczność i terminowość podejmowanych działań w ramach redukcji lub transferu ryzyka operacyjnego,
- wartości KRI w relacji do wartości progowych i krytycznych,
- zdarzenia operacyjne i ich skutki,
W 2013 roku decydujący wpływ na profil ryzyka operacyjnego Grupy Kapitałowej miały 3 podmioty: PKO Bank Polski SA, Grupa Kapitałowa PKO Leasing SA oraz KREDOBANK SA. Pozostałe spółki Grupy Kapitałowej ze względu na ich znacznie mniejszą skalę oraz rodzaj działalności, generują jedynie ograniczone ryzyko operacyjne. Spółki zależne Grupy Kapitałowej zarządzają ryzykiem operacyjnym zgodnie z zasadami zarządzania tym ryzykiem w PKO Banku Polskim SA, z uwzględnieniem specyfiki i skali działalności poszczególnych spółek.
57.3. Raportowanie ryzyka operacyjnego
Raportowanie informacji dotyczących ryzyka operacyjnego Banku i spółek zależnych Grupy Kapitałowej prowadzone jest w cyklach kwartalnych. Raporty zawierają między innymi informacje na temat:
- wyników pomiaru i monitorowania ryzyka operacyjnego,
- profilu ryzyka operacyjnego Banku wynikającego z procesu identyfikacji i oceny zagrożeń dla produktów, procesów i aplikacji informatycznych Banku,
- działań podjętych celem ograniczenia ryzyka operacyjnego oraz oceny skuteczności podejmowanych działań w celu obniżenia poziomu ryzyka operacyjnego,
- rekomendacji i decyzji Komitetu Ryzyka Operacyjnego lub Zarządu.
W cyklach miesięcznych sporządzane są informacje dotyczące ryzyka operacyjnego kierowane do członków Zarządu oraz jednostek organizacyjnych Banku odpowiedzialnych za systemowe zarządzanie ryzykiem operacyjnym. Zakres informacji jest zróżnicowany i dostosowany do zakresu odpowiedzialności poszczególnych odbiorców informacji.
57.4. Działania zarządcze dotyczące ryzyka operacyjnego
Zarządzanie ryzykiem operacyjnym odbywa się na płaszczyźnie rozwiązań systemowych, jak i bieżącego zarządzania tym ryzykiem. Systemowe zarządzanie ryzykiem operacyjnym prowadzone jest na poziomie Centrali PKO Banku Polskiego SA. Bieżące zarządzanie ryzykiem operacyjnym realizowane jest przez każdą jednostkę organizacyjną Banku.
Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Bank gromadzi dane wewnętrzne i zewnętrzne o zdarzeniach operacyjnych i skutkach ich powstania, dane o otoczeniu operacyjnym oraz dane dotyczące jakości kontroli wewnętrznej funkcjonalnej.
W celu ograniczenia ekspozycji na ryzyko operacyjne w Banku stosowane są różnego rodzaju rozwiązania, takie jak:
- instrumenty kontrolne,
- instrumenty zarządzania zasobami ludzkimi (dobór kadr, podnoszenie kwalifikacji pracowników, systemy motywacyjne),
- wartości progowe i krytyczne kluczowych wskaźników ryzyka (KRI),
- strategiczne limity tolerancji i limity strat na ryzyko operacyjne,
- plany awaryjne,
- ubezpieczenia,
- outsourcing.
Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Bank gromadzi dane wewnętrzne i zewnętrzne o zdarzeniach operacyjnych i skutkach ich powstania, dane o otoczeniu operacyjnym oraz dane dotyczące jakości kontroli wewnętrznej funkcjonalnej.
W przypadku, gdy poziom ryzyka osiągnął stan podwyższony lub wysoki, Bank stosuje następujące podejścia:
- redukcja ryzyka – łagodzenie wpływu czynników ryzyka lub skutków jego materializacji,
- transfer ryzyka – przeniesienie odpowiedzialności za pokrycie ewentualnych strat na podmiot zewnętrzny,
- unikanie ryzyka – rezygnacja z działalności generującej ryzyko lub wyeliminowanie prawdopodobieństwa wystąpienia czynnika ryzyka.
Spółki wchodzące w skład Grupy Kapitałowej zarządzają ryzykiem operacyjnym zgodnie z zasadami zarządzania tym ryzykiem w PKO Banku Polskim SA, z uwzględnieniem specyfiki i skali działalności poszczególnych spółek.