Ryzyko operacyjne

W tej definicji mieści się ryzyko prawne, natomiast ryzyko strategiczne oraz ryzyko utraty reputacji traktowane są jako oddzielne kategorie ryzyka. Ryzyko operacyjne objawia się w każdym aspekcie działalności organizacji i jest jej nieodłączną częścią.

Rok 2020 był kolejnym rokiem funkcjonowania rozwiązań, wdrożonych w zakresie sprawnego zarządzania ryzykiem operacyjnym, zgodnych z najlepszymi praktykami przyjętymi w tym zakresie przez krajowe i międzynarodowe instytucje finansowe. Przyjęte rozwiązania sprawdziły się również w sytuacji związanej z Pandemią COVID-19.Przyjęta struktura zarządzania ryzykiem określa poszczególne szczeble zarządzania, zakresy ich obowiązków i odpowiedzialności.

Kluczową rolę w codziennej działalności Grupy odgrywają właściciele zdefiniowanych procesów biznesowych i wspomagających. Na podstawie dogłębnej wiedzy o procesie właściciel procesu najtrafniej identyfikuje i ogranicza występujące zagrożenia, stanowiąc pierwszą linię obrony. Drugą linią obrony jest poziom wyspecjalizowanych jednostek zajmujących się organizacją procesów zarządzania i kontrolą akceptowalnego poziomu ryzyka ze szczególnym uwzględnieniem takich obszarów jak: zgodność z przepisami, nadużycia, bezpieczeństwo i zapewnienie ciągłości działania oraz ubezpieczenia i powierzanie czynności podmiotom zewnętrznym. Trzecią linią obrony jest jednostka niezależnego audytu wewnętrznego.

Każdą decyzję, dotyczącą kroków mających na celu optymalizację ryzyka operacyjnego, poprzedza analiza związanych z tym kosztów i korzyści.

Wyższym szczeblem zarządzania ryzykiem jest Komitet Procesów i Ryzyka Operacyjnego, którego obszar działania dotyczy zagrożeń zidentyfikowanych w więcej niż jednym procesie. Wszelkie działania dotyczące zarządzania ryzykiem operacyjnym są koordynowane i nadzorowane przez Komitet Ryzyka, Zarząd i Radę Nadzorczą.

Zgodnie z przyjętym modelem zarządzanie ryzykiem jest procesem ciągłego doskonalenia w zakresie identyfikacji, oceny, monitorowania, ograniczania i raportowania poprzez:

• gromadzenie zdarzeń ryzyka operacyjnego,
• samoocenę ryzyka operacyjnego w poszczególnych procesach,
• analizę i monitorowanie wskaźników ryzyka.

Zdarzenia ryzyka operacyjnego Grupa gromadzi w narzędziu informatycznym, wspomagającym zarządzanie ryzykiem operacyjnym. Zdarzenia te poddawane są analizie odnośnie przyczyn powstania i możliwości zmniejszenia skutków, oraz zastosowania działania prewencyjnego. W systemie informatycznym zdarzenia przypisywane są do konkretnej kategorii ryzyka i konkretnego procesu, co następnie jest m.in. elementem raportowania oraz walidacji samooceny ryzyka. Wewnętrzna baza zdarzeń ryzyka spełnia również wymogi jakościowe i ilościowe stosowania metod zaawansowanych wyliczenia wymogów kapitałowych z tytułu ryzyka operacyjnego.

Badanie samooceny ryzyka operacyjnego zostało przeprowadzone łącznie z przeglądem procesów, polegającym na ocenie skuteczności przyjętych rozwiązań do spełniania wymogów Klientów i partnerów biznesowych w zakresie jakości obsługi oraz optymalizacji kosztowej. Przyjęta metodologia odnośnie samooceny ryzyka i kontroli pozwoliła ocenić poziom ryzyka w danym procesie, przy uwzględnieniu istniejących kontroli, w oparciu o przyjęte scenariusze. Dla oceny poziomów ryzyka powyżej przyjętego progu tolerancji zostały zaproponowane, wdrożone i są monitorowane działania zapobiegawcze.

W trakcie badania samooceny ryzyka i kontroli poddane zostały analizie również wskaźniki wydajności, a w tym również wskaźniki ryzyka zdefiniowane dla każdego procesu. Kluczowe osoby odpowiedzialne za kształtowanie i realizację zadań w poszczególnych procesach tak zdefiniowały i dostosowały wskaźniki, aby były one najlepszymi predykatorami zbliżających się zagrożeń. Bieżące monitorowanie wskaźników służy zwiększeniu efektywności i wydajności przebiegu procesów oraz skutecznej kontroli ryzyka na poziomie poszczególnych działań w procesach.

Informacja na temat ryzyka operacyjnego jest włączona w sprawozdawczość zarządczą wysokiego szczebla konsolidującą informacje o działaniu poszczególnych procesów.

Biorąc pod uwagę stopień rozwoju zarządzania ryzykiem operacyjnym oraz skalę i profil swojej działalności, Grupa wylicza wymóg kapitałowy na ryzyko operacyjne przy zastosowaniu Metody Standardowej.