Bank definiuje ryzyko operacyjne zgodnie z wymogami Komisji Nadzoru Finansowego zawartymi w Rekomendacji M, jako możliwość poniesienia straty lub nieuzasadnionego kosztu, spowodowane przez niewłaściwe lub zawodne procesy wewnętrzne, ludzi, systemy techniczne lub wpływ czynników zewnętrznych. Określenie to obejmuje ryzyko prawne, natomiast nie obejmuje ryzyka strategicznego. Ryzyko operacyjne towarzyszy każdemu rodzajowi działalności bankowej.
Celem zarządzania ryzykiem operacyjnym jest ograniczenie strat i kosztów powodowanych przez to ryzyko, zapewnienie najwyższej jakości świadczonych przez Grupę usług, a także bezpieczeństwo oraz zgodność działania Grupy z przepisami prawa i obowiązującymi standardami.
Zarządzanie ryzykiem operacyjnym to podejmowanie działań ukierunkowanych na identyfikację, analizę, monitorowanie, kontrolę, raportowanie oraz podejmowanie działań ograniczających ryzyko operacyjne. Działania te uwzględniają struktury, procesy, zasoby i zakresy odpowiedzialności za te procesy na różnych szczeblach organizacyjnych. Strategia zarządzania ryzykiem operacyjnym została opisana w dokumencie „Strategia zarządzania ryzykiem operacyjnym w BNP Paribas Bank Polska S.A.” zatwierdzonym przez Zarząd Banku oraz zaakceptowanym przez Radę Nadzorczą. Ramy organizacyjne oraz standardy zarządzania ryzykiem operacyjnym zostały opisane w dokumencie „Polityka ryzyka operacyjnego BNP Paribas Bank Polska S.A.”, przyjętym przez Zarząd Banku. Dokumenty te odnoszą się do wszystkich obszarów działalności Banku. Określają cele Banku i sposoby ich osiągnięcia w zakresie jakości zarządzania ryzykiem operacyjnym i dostosowania do wymogów prawnych wynikających z rekomendacji oraz uchwał wydanych przez krajowe organy nadzoru finansowego. Cele Banku w zakresie zarządzania ryzykiem operacyjnym to w szczególności utrzymanie wysokiego poziomu standardów zarządzania ryzykiem operacyjnym, zapewniających bezpieczeństwo depozytów klientów, kapitałów Banku, stabilność wyniku finansowego Banku oraz utrzymanie ryzyka operacyjnego w ramach przyjętego apetytu i tolerancji na ryzyko operacyjne. Rozwijając system zarządzania ryzykiem operacyjnym Bank kieruje się wymogami prawnymi, w tym w szczególności rekomendacjami i uchwałami krajowego nadzoru finansowego oraz standardami grupy BNP Paribas.
Zgodnie z Polityką instrumenty zarządzania ryzykiem operacyjnym obejmują między innymi:
Zarząd Banku dokonuje okresowej oceny realizacji założeń polityki ryzyka operacyjnego i – jeśli to konieczne – zleca wprowadzanie niezbędnych korekt w celu usprawnienia tego system. W tym celu Zarząd Banku jest regularnie informowany o skali i rodzajach ryzyka operacyjnego, na które narażony jest Bank, jego skutków i metod zarządzania ryzykiem operacyjnym.
Bank precyzyjnie określa podział obowiązków w zakresie zarządzania ryzykiem operacyjnym, który jest dostosowany do struktury organizacyjnej. Bieżącym badaniem ryzyka operacyjnego oraz rozwojem i doskonaleniem adekwatnych technik jego kontroli i ograniczania zajmuje się Departament Ryzyka Operacyjnego. Określanie i realizacja strategii Banku w zakresie ubezpieczeń, jako metody ograniczania ryzyk, stanowi kompetencję Departamentu Nieruchomości i Administracji. Natomiast zarządzanie ciągłością działania znajduje się w gestii Departamentu Bezpieczeństwa i Zarządzania Ciągłością Działania.
W ramach zarządzania ryzykiem prawnym Pion Prawny monitoruje, identyfikuje i analizuje zmiany prawa powszechnego oraz ich wpływ na działalność Grupy oraz postępowania sądowe i administracyjne, które dotyczą Grupy. Bieżącym badaniem ryzyka braku zgodności oraz rozwojem i doskonaleniem adekwatnych technik jego kontroli zajmuje się Departament ds. Monitorowania Zgodności.
Mając na uwadze wzrost zewnętrznych i wewnętrznych zagrożeń noszących znamiona nadużycia lub przestępstwa, wymierzonych przeciwko aktywom Banku i jego klientów, Bank rozszerzył i udoskonalił procesy przeciwdziałania, wykrywania i badania tego typu przypadków. Realizacją tych celów zajmuje się Departament Przeciwdziałania Nadużyciom.
W związku z fuzją operacyjną Bank szczególną uwagę poświęcał prawidłowej identyfikacji, ocenie, ograniczaniu oraz kontroli ryzyka operacyjnego, które towarzyszy tego typu procesowi.
Bank przywiązuje szczególną uwagę do procesów identyfikacji i oceny przyczyn bieżącej ekspozycji na ryzyko operacyjne w obrębie produktów bankowych. Bank dąży do zmniejszania poziomu ryzyka operacyjnego poprzez poprawę procesów wewnętrznych, a także do ograniczania ryzyka operacyjnego, towarzyszącego wprowadzaniu nowych produktów i usług, oraz zlecania czynności na zewnątrz (outsourcing).
Zgodnie z „Polityką Ryzyka Operacyjnego BNP Paribas Bank Polska S.A.”, analiza ryzyka operacyjnego ma na celu zrozumienie zależności występujących pomiędzy czynnikami generującymi to ryzyko i typami zdarzeń operacyjnych, a jej najważniejszym wynikiem jest określenie profilu ryzyka operacyjnego.
Profil ryzyka operacyjnego stanowi ocenę poziomu istotności tego ryzyka, rozumianego jako skala i struktura ekspozycji na ryzyko operacyjne, określająca stopnień narażenia na to ryzyko (tj. na straty operacyjne), wyrażona w wybranych przez Bank wymiarach strukturalnych oraz wymiarach skali. Okresowa ocena i przegląd profilu ryzyka operacyjnego Banku przeprowadzane są w oparciu o analizę aktualnych parametrów ryzyka Banku, zmian i ryzyk występujących w otoczeniu Banku, realizacji strategii działalności biznesowej, jak również oceny adekwatności struktury organizacyjnej oraz efektywności funkcjonującego w Banku systemu zarządzania ryzykiem i kontroli wewnętrznej.
Rejestracja zdarzeń operacyjnych pozwala na efektywne analizowanie i monitorowanie ryzyka operacyjnego. Proces ewidencji zdarzeń operacyjnych jest nadzorowany przez Departament Ryzyka Operacyjnego, który weryfikuje jakość i kompletność danych dotyczących zdarzeń operacyjnych zarejestrowanych w dedykowanych narzędziach dostępnych dla wszystkich jednostek organizacyjnych Banku.
Celem prowadzenia kontroli wewnętrznej jest efektywna kontrola ryzyka, w tym zapobieganie powstawaniu ryzyka lub też jego wczesne wykrycie. Rolą systemu kontroli wewnętrznej jest realizacja celów ogólnych i szczegółowych systemu kontroli wewnętrznej, które powinny być uwzględniane na etapie projektowania mechanizmów kontrolnych. Zasady systemu kontroli wewnętrznej określone zostały w dokumencie „Polityka sprawowania kontroli wewnętrznej w BNP Paribas Bank Polska S.A.”, zatwierdzonym przez Zarząd Banku. Dokument ten określa główne zasady, ramy organizacyjne i standardy funkcjonowania środowiska kontroli w Banku, zachowując zgodność z wymogami KNF określonymi w Rekomendacji H i Rozporządzeniu Ministra Rozwoju i Finansów z dnia 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach. Szczegółowe uregulowania wewnętrzne, dotyczące poszczególnych obszarów działalności Banku dostosowane są do specyfiki prowadzonej przez Bank działalności. Za opracowanie szczegółowych regulacji odnoszących się do obszaru kontroli wewnętrznej, odpowiadają właściwe komórki organizacyjne Banku, zgodnie z zakresem przypisanych im zadań.
System kontroli wewnętrznej w Banku oparty jest na modelu 3 linii obrony, na które składają się:
Bank zapewnia sprawowanie kontroli wewnętrznej poprzez niezależne monitorowanie przestrzegania mechanizmów kontrolnych, obejmujące weryfikację bieżącą i testowanie.
Bank dokonuje okresowej weryfikacji funkcjonowania wdrożonego systemu zarządzania ryzykiem operacyjnym oraz jego adekwatności do aktualnego profilu ryzyka Banku. Przeglądy organizacji systemu zarządzania ryzykiem operacyjnym są dokonywane w ramach kontroli okresowej przez Pion Audytu Wewnętrznego, który nie uczestniczy bezpośrednio w procesie zarządzania ryzykiem operacyjnym, natomiast dostarcza profesjonalnej i niezależnej opinii, wspierając osiąganie celów Banku. Rada Nadzorcza sprawuje nadzór nad kontrolą systemu zarządzania ryzykiem operacyjnym oraz ocenia jej adekwatność i skuteczność.
Bank zgodnie z obowiązującymi regulacjami wyznacza kapitał regulacyjny na pokrycie ryzyka operacyjnego. Do kalkulacji Bank stosuje metodę standardową (STA). W zakresie podmiotów zależnych wobec Banku, w ujęciu skonsolidowanym, wymogi odnoszące się do tych podmiotów są wyznaczane według metody wskaźnika bazowego (BIA).
Zgodnie z regulacjami nadzorczymi, w Grupie sprawowany jest nadzór nad ryzykiem operacyjnym związanym z działalnością jego podmiotów zależnych. Zarządzanie ryzykiem operacyjnym w podmiotach zależnych realizowane jest w ramach dedykowanych jednostek/osób do tego powołanych. Sposób i metody zarządzania ryzykiem operacyjnym w podmiotach zależnych jest zorganizowane adekwatnie do zakresu działania podmiotu oraz profilu jego działalności, zgodnie z zasadami obowiązującymi w Grupie.