69. Zarządzanie ryzykiem operacyjnym

Celem zarządzania ryzykiem operacyjnym jest zwiększenie bezpieczeństwa prowadzonej przez Grupę Kapitałową działalności operacyjnej przez udoskonalanie efektywnych, dostosowanych do profilu i skali działalności mechanizmów identyfikacji, oceny, pomiaru, kontroli, monitorowania, ograniczania i raportowania ryzyka operacyjnego.

Zarządzanie ryzykiem operacyjnym obejmuje identyfikację ryzyka operacyjnego w szczególności przez: gromadzenie danych o ryzyku operacyjnym i samoocenę ryzyka operacyjnego.

Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Bank gromadzi dane wewnętrzne i zewnętrzne o zdarzeniach operacyjnych oraz przyczynach i skutkach ich powstania, dane o czynnikach otoczenia biznesowego, wyniki samooceny ryzyka operacyjnego, dane dotyczące wartości wskaźników ryzyka operacyjnego oraz dane dotyczące jakości kontroli wewnętrznej.

Samoocena ryzyka operacyjnego obejmuje identyfikację i ocenę ryzyka operacyjnego dla produktów, procesów i aplikacji Banku oraz zmian organizacyjnych i jest przeprowadzana cyklicznie oraz przed wprowadzaniem nowych lub zmienianych produktów, procesów i aplikacji Banku.

Pomiar ryzyka operacyjnego obejmuje:

• obliczanie wskaźników ryzyka operacyjnego: KRI (Key Risk Indicators) i RI (Risk Indicators),
• obliczanie wymogu w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem AMA (Bank) oraz BIA (Oddział w Niemczech i Oddział w Czechach oraz podmioty Grupy Kapitałowej objęte konsolidacją ostrożnościową),
• testy warunków skrajnych,
• obliczanie kapitału wewnętrznego dla Grupy Kapitałowej.

Kontrola ryzyka operacyjnego obejmuje ustalanie dostosowanych do skali i złożoności działalności Banku i Grupy Kapitałowej limitów dotyczących ryzyka operacyjnego, w szczególności strategicznych limitów tolerancji na ryzyko operacyjne, limitów strat, wskaźników ryzyka operacyjnego wraz z wartościami progowymi i krytycznymi.

Grupa Kapitałowa regularnie monitoruje:

• stopień wykorzystania strategicznych limitów tolerancji dla Grupy Kapitałowej oraz limitów strat na ryzyko operacyjne dla Banku,
• zdarzenia operacyjne i ich skutki,
• wyniki samooceny ryzyka operacyjnego,
• wymóg w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem BIA w zakresie działalności Oddziału w Niemczech i Oddziału w Czechach oraz zgodnie z podejściem AMA w zakresie pozostałej działalności prowadzonej przez Bank, a dla podmiotów Grupy Kapitałowej objętych konsolidacją ostrożnościową zgodnie z podejściem BIA,
• wyniki testów warunków skrajnych, w tym odwrotnych testów warunków skrajnych,
• wartości wskaźników ryzyka operacyjnego w relacji do wartości progowych i krytycznych,
• poziom ryzyka dla Banku oraz Grupy Kapitałowej, obszarów i narzędzi zarządzania ryzykiem operacyjnym w Banku takich jak samoocena, wskaźniki ryzyka operacyjnego, limity strat,
• skuteczność i terminowość podejmowanych działań zarządczych w ramach redukcji lub transferu ryzyka operacyjnego,
• działania zarządcze związane z występowaniem podwyższonego lub wysokiego poziomu ryzyka operacyjnego oraz ich skuteczność w zakresie obniżenia poziomu ryzyka operacyjnego.

W 2018 roku decydujący wpływ na profil ryzyka operacyjnego Grupy Kapitałowej miały: PKO Bank Polski oraz Grupa Kapitałowa PKO Leasing SA.

Raportowanie informacji dotyczących ryzyka operacyjnego prowadzi się na potrzeby wyższej kadry kierowniczej, KRO, KR, Zarządu oraz Rady Nadzorczej w cyklach miesięcznych i kwartalnych. W cyklach miesięcznych sporządzane są informacje dotyczące ryzyka operacyjnego kierowane do KRO, wyższej kadry kierowniczej, komórek organizacyjnych Centrali i specjalistycznych jednostek organizacyjnych odpowiedzialnych za systemowe zarządzanie ryzykiem operacyjnym. Zakres informacji jest zróżnicowany i dostosowany do zakresu odpowiedzialności poszczególnych odbiorców informacji.

Działania zarządcze podejmuje się w następujących przypadkach:

• z inicjatywy KRO lub Zarządu,
• z inicjatywy jednostek i komórek organizacyjnych Banku zarządzających ryzykiem operacyjnym,
• gdy ryzyko operacyjne przekroczyło poziomy ustalone przez Zarząd lub KRO.

W szczególności w przypadku, gdy poziom ryzyka operacyjnego osiągnął stan podwyższony lub wysoki Bank stosuje następujące podejścia i instrumenty zarządzania ryzykiem operacyjnym:

• redukcja ryzyka – łagodzenie wpływu czynników ryzyka lub skutków jego materializacji przez wprowadzenie lub wzmocnienie różnego rodzaju instrumentów zarządzania ryzykiem operacyjnym takich jak: instrumenty kontrolne, instrumenty zarządzania zasobami ludzkimi, ustalenie lub weryfikacja wartości progowych i krytycznych wskaźników ryzyka operacyjnego, ustalenie lub weryfikacja limitów ryzyka operacyjnego i plany awaryjne,
• transfer ryzyka – przeniesienie odpowiedzialności za pokrycie ewentualnych strat na podmiot zewnętrzny: ubezpieczenia i outsourcing,
• unikanie ryzyka – rezygnacja z działalności generującej ryzyko lub wyeliminowanie prawdopodobieństwa wystąpienia czynnika ryzyka.