67. Zarządzanie ryzykiem operacyjnym
Definicja
Ryzyko operacyjne to ryzyko powstania straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi, systemów lub zdarzeń zewnętrznych. Ryzyko operacyjne uwzględnia ryzyko prawne oraz ryzyko cyberbezpieczeństwa:
- ryzyko prawne – ryzyko poniesienia straty wynikającej z nieznajomości, niezrozumienia i niestosowania norm prawnych oraz standardów rachunkowości, niemożności wyegzekwowania postanowień umów, niekorzystnych interpretacji lub rozstrzygnięć sądów albo organów administracji publicznej,
- ryzyko cyberbezpieczeństwa – stopień narażenia przez potencjalne, negatywne czynniki ryzyka cyberbezpieczeństwa, związane z technologiami teleinformatycznymi, mogące powodować szkodę finansową dla organizacji poprzez naruszenie dostępności, integralności, poufności lub rozliczalności informacji przetwarzanych w zasobach systemów informatycznych Banku (SIB).
Ryzyko operacyjne nie obejmuje ryzyka utraty reputacji i ryzyka biznesowego.
Cel zarządzania
Celem zarządzania ryzykiem operacyjnym jest zapewnienie efektywności operacyjnej i kosztowej oraz bezpieczeństwa prowadzonej działalności przez ograniczanie występowania zdarzeń operacyjnych oraz ich negatywnych skutków.
Identyfikacja i pomiar ryzyka
W Grupie Kapitałowej funkcjonują dwie płaszczyzny zarządzania ryzykiem operacyjnym:
- systemowe zarządzanie ryzykiem operacyjnym – polegające na tworzeniu rozwiązań służących sprawowaniu przez Grupę kontroli nad poziomem ryzyka operacyjnego umożliwiającym realizację celów Grupy,
- bieżące zarządzanie ryzykiem operacyjnym – mające na celu zapobieganie materializacji zdarzeń operacyjnych i reagowanie na występujące zdarzenia operacyjne, za które odpowiada każdy pracownik Grupy w zakresie swoich zadań i obowiązków.
Proces zarządzania ryzykiem operacyjnym realizuje się na poziomie Grupy oraz na poziomach poszczególnych obszarów systemowego zarządzania ryzykiem operacyjnym.
Zarządzanie ryzykiem operacyjnym obejmuje identyfikację ryzyka operacyjnego w szczególności przez: gromadzenie danych o ryzyku operacyjnym i samoocenę ryzyka operacyjnego.
Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Grupa gromadzi dane wewnętrzne i zewnętrzne o zdarzeniach operacyjnych oraz przyczynach i skutkach ich powstania, dane o czynnikach otoczenia biznesowego, wyniki samooceny ryzyka operacyjnego, dane dotyczące wartości wskaźników ryzyka operacyjnego oraz dane dotyczące jakości systemu kontroli wewnętrznej.
Samoocena ryzyka operacyjnego obejmuje identyfikację i ocenę ryzyka operacyjnego dla produktów, procesów i aplikacji Grupy oraz zmian organizacyjnych i jest przeprowadzana cyklicznie oraz przed wprowadzaniem nowych lub zmienianych produktów, procesów i aplikacji Grupy z wykorzystaniem zgromadzonych danych o zdarzeniach operacyjnych oraz informacji pozyskiwanych w trakcie pomiaru, monitorowania, współpracy z podmiotami Grupy Kapitałowej Banku oraz raportowania ryzyka operacyjnego, w tym audytów wewnętrznych oraz audytów bezpieczeństwa.
Pomiar ryzyka operacyjnego obejmuje:
- obliczanie wskaźników ryzyka operacyjnego: KRI (Key Risk Indicators) i RI (Risk Indicators),
- obliczanie wymogu w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem AMA (Bank z uwzględnieniem oddziału w Niemczech i oddziału w Czechach oraz z wyłączeniem oddziału w Słowacji) oraz BIA (oddział w Słowacji oraz podmioty Grupy Kapitałowej objęte konsolidacją ostrożnościową),
- testy warunków skrajnych,
- obliczanie kapitału wewnętrznego dla Grupy Kapitałowej.
Kontrola
Kontrola ryzyka operacyjnego obejmuje ustalanie dostosowanych do skali i złożoności działalności Banku i Grupy Kapitałowej mechanizmów kontroli ryzyka w postaci limitów dotyczących ryzyka operacyjnego, w szczególności strategicznych limitów tolerancji na ryzyko operacyjne, limitów strat, wskaźników ryzyka operacyjnego wraz z wartościami progowymi i krytycznymi.
Prognozowanie i monitorowanie
Grupa Kapitałowa regularnie monitoruje:
- stopień wykorzystania strategicznych limitów tolerancji dla Grupy Kapitałowej oraz limitów strat na ryzyko operacyjne dla Banku,
- zdarzenia operacyjne i ich skutki,
- wyniki samooceny ryzyka operacyjnego,
- wymóg w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem BIA w zakresie działalności Oddziału w Słowacji oraz zgodnie z podejściem AMA w zakresie pozostałej działalności prowadzonej przez Bank, a dla podmiotów Grupy Kapitałowej objętych konsolidacją ostrożnościową zgodnie z podejściem BIA,
- wyniki testów warunków skrajnych, w tym odwrotnych testów warunków skrajnych,
- wartości wskaźników ryzyka operacyjnego w relacji do wartości progowych i krytycznych,
- poziom ryzyka dla Banku oraz Grupy Kapitałowej, obszarów i narzędzi zarządzania ryzykiem operacyjnym w Banku takich jak samoocena, wskaźniki ryzyka operacyjnego, limity strat,
- skuteczność i terminowość podejmowanych działań zarządczych w ramach redukcji lub transferu ryzyka operacyjnego,
- działania zarządcze związane z występowaniem podwyższonego lub wysokiego poziomu ryzyka operacyjnego oraz ich skuteczność w zakresie obniżenia poziomu ryzyka operacyjnego.
W 2022 roku i w 2021 roku decydujący wpływ na profil ryzyka operacyjnego Grupy Kapitałowej miały: PKO Bank Polski oraz Grupa Kapitałowa PKO Leasing SA.
Raportowanie
Raportowanie informacji dotyczących ryzyka operacyjnego prowadzi się na potrzeby wyższej kadry kierowniczej, KRO, KR, Zarządu oraz Rady Nadzorczej w cyklach miesięcznych i kwartalnych. W cyklach miesięcznych sporządzane są informacje dotyczące ryzyka operacyjnego kierowane do KRO, wyższej kadry kierowniczej, jednostek Banku odpowiedzialnych za systemowe zarządzanie ryzykiem operacyjnym. Odbiorcami raportów kwartalnych są KRO, KR, Zarząd oraz Rada Nadzorcza. Zakres informacji jest zróżnicowany i dostosowany do zakresu odpowiedzialności poszczególnych odbiorców informacji.
Działania zarządcze
Działania zarządcze podejmuje się w następujących przypadkach:
- z inicjatywy KRO lub Zarządu,
- z inicjatywy jednostek Banku zarządzających ryzykiem operacyjnym,
- gdy ryzyko operacyjne przekroczyło poziomy ustalone przez Zarząd lub KRO.
W szczególności w przypadku, gdy poziom ryzyka operacyjnego osiągnął stan podwyższony lub wysoki Grupa stosuje
następujące podejścia i instrumenty zarządzania ryzykiem operacyjnym:
- redukcja ryzyka – łagodzenie wpływu czynników ryzyka lub skutków jego materializacji przez wprowadzenie lub wzmocnienie instrumentów zarządzania ryzykiem operacyjnym takich jak:
- instrumenty kontrolne (m.in. autoryzacja, kontrola wewnętrzna, rozdzielność funkcji),
- instrumenty zarządzania zasobami ludzkimi (dobór kadr, podnoszenie kwalifikacji pracowników, systemy motywacyjne),
- ustalenie lub weryfikacja wartości progowych i krytycznych wskaźników ryzyka operacyjnego,
- ustalenie lub weryfikacja limitów ryzyka operacyjnego,
- plany awaryjne,
- transfer ryzyka – przeniesienie odpowiedzialności za pokrycie ewentualnych strat na podmiot zewnętrzny:
- ubezpieczenia,
- outsourcing,
- unikanie ryzyka – rezygnacja z działalności generującej ryzyko lub wyeliminowanie prawdopodobieństwa wystąpienia czynnika ryzyka.