Ryzyko operacyjne jest rozumiane jako ryzyko powstania straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub zdarzeń zewnętrznych.
Celem zarządzania ryzykiem operacyjnym jest optymalizacja efektywności operacyjnej poprzez obniżenie strat operacyjnych, racjonalizację kosztów, jak również zwiększenie szybkości oraz adekwatności reakcji Grupy Kapitałowej na zdarzenia od niej niezależne.
Zarządzanie ryzykiem operacyjnym odbywa się na płaszczyźnie rozwiązań systemowych, jak i bieżącego zarządzania tym ryzykiem. Systemowe zarządzanie ryzykiem operacyjnym prowadzone jest na poziomie Centrali PKO Banku Polskiego SA. Bieżące zarządzanie ryzykiem operacyjnym realizowane jest przez każdą jednostkę organizacyjną Banku.
W celu ograniczenia ekspozycji na ryzyko operacyjne w Banku stosowane są różnego rodzaju rozwiązania takie jak:
- instrumenty kontrolne,
- instrumenty zarządzania zasobami ludzkimi (dobór kadr, podnoszenie kwalifikacji pracowników, systemy motywacyjne),
- wartości progowe i krytyczne kluczowych wskaźników ryzyka (KRI),
- strategiczne limity tolerancji i limity strat na ryzyko operacyjne,
- plany awaryjne,
- ubezpieczenia,
- outsourcing,
- plan ciągłości działania.
Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Bank gromadzi dane wewnętrzne i zewnętrzne o zdarzeniach operacyjnych i skutkach ich powstania, dane o otoczeniu operacyjnym oraz dane dotyczące jakości kontroli wewnętrznej funkcjonalnej.
W przypadku, gdy poziom ryzyka osiągnął stan podwyższony lub wysoki, Bank stosuje następujące podejścia:
- redukcja ryzyka – łagodzenie wpływu czynników ryzyka lub skutków jego materializacji,
- transfer ryzyka – przeniesienie odpowiedzialności za pokrycie ewentualnych strat na podmiot zewnętrzny,
- unikanie ryzyka – rezygnacja z działalności generującej ryzyko lub wyeliminowanie prawdopodobieństwa wystąpienia czynnika ryzyka.
W 2013 roku decydujący wpływ na profil ryzyka operacyjnego Grupy Kapitałowej miały 3 podmioty: PKO Bank Polski SA, Grupa Kapitałowa PKO Leasing SA oraz KREDOBANK SA. Pozostałe spółki Grupy Kapitałowej ze względu na ich znacznie mniejszą skalę oraz rodzaj działalności, generują jedynie ograniczone ryzyko operacyjne. Spółki wchodzące w skład Grupy Kapitałowej zarządzają ryzykiem operacyjnym zgodnie z zasadami zarządzania tym ryzykiem w PKO Banku Polskim SA, z uwzględnieniem specyfiki i skali działalności poszczególnych spółek.
W I połowie 2013 roku w zakresie ryzyka operacyjnego, Bank prowadził prace związane z dostosowaniem do wymagań znowelizowanej przez Komisję Nadzoru Finansowego w styczniu 2013 roku Rekomendacji M, dotyczącej zarządzania ryzykiem operacyjnym w bankach. Wszystkie rekomendacje zostały spełnione przez Bank do 30 czerwca 2013 roku, natomiast rekomendacja dot. ujawnienia informacji o stratach operacyjnych została spełniona – zgodnie z Rekomendacją M – w III kwartale 2013 roku.