72. Zarządzanie ryzykiem operacyjnym
2021
- Definicja
Ryzyko operacyjne to ryzyko powstania straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi, systemów lub zdarzeń zewnętrznych. Ryzyko operacyjne uwzględnia ryzyko prawne oraz ryzyko cyberbezpieczeństwa:
- ryzyko prawne – ryzyko poniesienia straty wynikającej z nieznajomości, niezrozumienia i niestosowania norm prawnych oraz standardów rachunkowości, niemożności wyegzekwowania postanowień umów, niekorzystnych interpretacji lub rozstrzygnięć sądów albo organów administracji publicznej,
- ryzyko cyberbezpieczeństwa – stopień narażenia przez potencjalne, negatywne czynniki ryzyka cyberbezpieczeństwa, związane z technologiami teleinformatycznymi, mogące powodować szkodę finansową dla organizacji poprzez naruszenie dostępności, integralności, poufności lub rozliczalności informacji przetwarzanych w zasobach SIB.
Ryzyko operacyjne nie obejmuje ryzyka utraty reputacji i ryzyka biznesowego.
- Cel zarządzania
Celem zarządzania ryzykiem operacyjnym jest zapewnienie efektywności operacyjnej i kosztowej oraz bezpieczeństwa prowadzonej działalności przez ograniczanie występowania zdarzeń operacyjnych oraz ich negatywnych skutków.
- Identyfikacja i pomiar ryzyka
W Banku funkcjonują dwie płaszczyzny zarządzania ryzykiem operacyjnym:
- systemowe zarządzanie ryzykiem operacyjnym – polegające na tworzeniu rozwiązań służących sprawowaniu przez Bank kontroli nad poziomem ryzyka operacyjnego umożliwiającym realizację celów Banku,
- bieżące zarządzanie ryzykiem operacyjnym – mające na celu zapobieganie materializacji zdarzeń operacyjnych i reagowanie na występujące zdarzenia operacyjne, za które odpowiada każdy pracownik Banku w zakresie swoich zadań i obowiązków.
Proces zarządzania ryzykiem operacyjnym realizowany jest na poziomie całego Banku oraz na poziomach poszczególnych obszarów systemowego zarządzania ryzykiem operacyjnym.
Zarządzanie ryzykiem operacyjnym obejmuje identyfikację ryzyka operacyjnego w szczególności przez: gromadzenie danych o ryzyku operacyjnym i samoocenę ryzyka operacyjnego.
Dla potrzeb związanych z zarządzaniem ryzykiem operacyjnym Bank gromadzi dane wewnętrzne i zewnętrzne o zdarzeniach operacyjnych oraz przyczynach i skutkach ich powstania, dane o czynnikach otoczenia biznesowego, wyniki samooceny ryzyka operacyjnego, dane dotyczące wartości wskaźników ryzyka operacyjnego oraz dane dotyczące jakości systemu kontroli wewnętrznej.
Samoocena ryzyka operacyjnego obejmuje identyfikację i ocenę ryzyka operacyjnego dla produktów, procesów i aplikacji Banku oraz zmian organizacyjnych i jest przeprowadzana cyklicznie oraz przed wprowadzaniem nowych lub zmienianych produktów, procesów i aplikacji Banku z wykorzystaniem zgromadzonych danych o zdarzeniach operacyjnych oraz informacji pozyskiwanych w trakcie pomiaru, monitorowania, współpracy z podmiotami Grupy Kapitałowej Banku oraz raportowania ryzyka operacyjnego, w tym audytów wewnętrznych oraz audytów bezpieczeństwa.
Pomiar ryzyka operacyjnego obejmuje:
- obliczanie wskaźników ryzyka operacyjnego: KRI (Key Risk Indicators) i RI (Risk Indicators),
- obliczanie wymogu w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem AMA (Bank z uwzględnieniem oddziału w Niemczech i oddziału w Czechach oraz z wyłączeniem oddziału w Słowacji) oraz BIA (oddział w Słowacji),
- testy warunków skrajnych,
- obliczanie kapitału wewnętrznego dla Banku.
- Kontrola
Kontrola ryzyka operacyjnego obejmuje ustalanie dostosowanych do skali i złożoności działalności Banku mechanizmów kontroli ryzyka w postaci limitów dotyczących ryzyka operacyjnego, w szczególności strategicznych limitów tolerancji na ryzyko operacyjne, limitów strat, wskaźników ryzyka operacyjnego wraz z wartościami progowymi i krytycznymi.
- Prognozowanie i monitorowanie
Bank regularnie monitoruje:
- stopień wykorzystania strategicznych limitów tolerancji oraz limitów strat na ryzyko operacyjne dla Banku,
- zdarzenia operacyjne i ich skutki,
- wyniki samooceny ryzyka operacyjnego,
- wymóg w zakresie funduszy własnych z tytułu ryzyka operacyjnego zgodnie z podejściem BIA w zakresie działalności Oddziału w Słowacji oraz zgodnie z podejściem AMA w zakresie pozostałej działalności prowadzonej przez Bank,
- wyniki testów warunków skrajnych, w tym odwrotnych testów warunków skrajnych,
- wartości wskaźników ryzyka operacyjnego w relacji do wartości progowych i krytycznych,
- poziom ryzyka dla Banku, obszarów i narzędzi zarządzania ryzykiem operacyjnym w Banku takich jak samoocena, wskaźniki ryzyka operacyjnego, limity strat,
- skuteczność i terminowość podejmowanych działań zarządczych w ramach redukcji lub transferu ryzyka operacyjnego,
- działania zarządcze związane z występowaniem podwyższonego lub wysokiego poziomu ryzyka operacyjnego oraz ich skuteczność w zakresie obniżenia poziomu ryzyka operacyjnego.
- Raportowanie
Raportowanie informacji dotyczących ryzyka operacyjnego prowadzi się na potrzeby wyższej kadry kierowniczej, KRO, KR, Zarządu oraz Rady Nadzorczej w cyklach miesięcznych i kwartalnych. W cyklach miesięcznych sporządzane są informacje dotyczące ryzyka operacyjnego kierowane do KRO, wyższej kadry kierowniczej, jednostek Banku odpowiedzialnych za systemowe zarządzanie ryzykiem operacyjnym. Odbiorcami raportów kwartalnych są KRO, KR, Zarząd oraz Rada Nadzorcza. Zakres informacji jest zróżnicowany i dostosowany do zakresu odpowiedzialności poszczególnych odbiorców informacji.
- Działania zarządcze
Działania zarządcze podejmuje się w następujących przypadkach:
- z inicjatywy KRO lub Zarządu,
- z inicjatywy jednostek Banku zarządzających ryzykiem operacyjnym,
- gdy ryzyko operacyjne przekroczyło poziomy ustalone przez Zarząd lub KRO.
W szczególności w przypadku, gdy poziom ryzyka operacyjnego osiągnął stan podwyższony lub wysoki Bank stosuje
następujące podejścia i instrumenty zarządzania ryzykiem operacyjnym:
- redukcja ryzyka – łagodzenie wpływu czynników ryzyka lub skutków jego materializacji przez wprowadzenie lub wzmocnienie instrumentów zarządzania ryzykiem operacyjnym takich jak:
- instrumenty kontrolne (m.in. autoryzacja, kontrola wewnętrzna, rozdzielność funkcji),
- instrumenty zarządzania zasobami ludzkimi (dobór kadr, podnoszenie kwalifikacji pracowników, systemy motywacyjne),
- ustalenie lub weryfikacja wartości progowych i krytycznych wskaźników ryzyka operacyjnego,
- ustalenie lub weryfikacja limitów ryzyka operacyjnego,
- plany awaryjne,
- transfer ryzyka – przeniesienie odpowiedzialności za pokrycie ewentualnych strat na podmiot zewnętrzny:
- ubezpieczenia,
- outsourcing,
- unikanie ryzyka – rezygnacja z działalności generującej ryzyko lub wyeliminowanie prawdopodobieństwa wystąpienia czynnika ryzyka.