56.7. Ryzyko operacyjne

Bank definiuje ryzyko operacyjne zgodnie z wymogami Komisji Nadzoru Finansowego zawartymi w Rekomendacji M, jako ryzyko poniesienia straty, spowodowane przez niewłaściwe lub zawodne procesy wewnętrzne, ludzi, systemy techniczne lub wpływ czynników zewnętrznych. Określenie to obejmuje ryzyko prawne, natomiast nie obejmuje ryzyka strategicznego. Ryzyko operacyjne towarzyszy każdemu rodzajowi działalności bankowej. Bank identyfikuje ryzyko jako trwale istotne.

Celem zarządzania ryzykiem operacyjnym jest ograniczenie strat i kosztów powodowanych przez to ryzyko, zapewnienie najwyższej jakości świadczonych przez Grupę usług, a także bezpieczeństwo oraz zgodność działania Grupy z przepisami prawa i obowiązującymi standardami.

Zarządzanie ryzykiem operacyjnym to podejmowanie działań ukierunkowanych na identyfikację, analizę, monitorowanie, kontrolę, raportowanie oraz podejmowanie działań ograniczających ryzyko operacyjne. Działania te uwzględniają struktury, procesy, zasoby i zakresy odpowiedzialności za te procesy na różnych szczeblach organizacyjnych. Strategia zarządzania ryzykiem operacyjnym została opisana w dokumencie „Strategia zarządzania ryzykiem operacyjnym w BNP Paribas Bank Polska S.A.” zatwierdzonym przez Zarząd Banku oraz zaakceptowanym przez Radę Nadzorczą. Ramy organizacyjne oraz standardy zarządzania ryzykiem operacyjnym zostały opisane w dokumencie „Polityka ryzyka operacyjnego BNP Paribas Bank Polska S.A.”, przyjętym przez Zarząd Banku. Dokumenty te odnoszą się do wszystkich obszarów działalności Banku. Określają cele Banku i sposoby ich osiągnięcia w zakresie jakości zarządzania ryzykiem operacyjnym i dostosowania do wymogów prawnych wynikających z rekomendacji oraz uchwał wydanych przez krajowe organy nadzoru finansowego. Cele Banku w zakresie zarządzania ryzykiem operacyjnym to w szczególności utrzymanie wysokiego poziomu standardów zarządzania ryzykiem operacyjnym, zapewniających bezpieczeństwo depozytów klientów, kapitałów Banku, stabilność wyniku finansowego Banku oraz utrzymanie ryzyka operacyjnego w ramach przyjętego apetytu i tolerancji na ryzyko operacyjne. Rozwijając system zarządzania ryzykiem operacyjnym Bank kieruje się wymogami prawnymi, w tym w szczególności rekomendacjami i uchwałami krajowego nadzoru finansowego oraz standardami Grupy BNP Paribas.

Zgodnie z Polityką instrumenty zarządzania ryzykiem operacyjnym obejmują między innymi:

• identyfikację i ocenę ryzyka operacyjnego, w tym poprzez gromadzenie informacji o zdarzeniach operacyjnych, ocenę ryzyka w procesach i produktach oraz wyznaczanie kluczowych wskaźników ryzyka;
• ustalanie apetytu i limitów ryzyka operacyjnego na poziomie całego Banku oraz poszczególnych obszarów biznesowych; analizę ryzyka operacyjnego oraz jego monitorowanie i bieżącą kontrolę;
• przeciwdziałanie podwyższonemu poziomowi ryzyka operacyjnego, w tym transfer ryzyka.

Zarząd Banku dokonuje okresowej oceny realizacji założeń polityki ryzyka operacyjnego i – jeśli to konieczne – zleca wprowadzanie niezbędnych korekt w celu usprawnienia tego systemu. W tym celu Zarząd Banku jest regularnie informowany o skali i rodzajach ryzyka operacyjnego, na które narażony jest Bank, jego skutkach i metodach zarządzania ryzykiem operacyjnym. W szczególności zarówno Zarząd Banku jak i Rada Nadzorcza są regularnie informowane o kształtowaniu się miar apetytu na ryzyko operacyjne określonych w Strategii zarządzania ryzykiem operacyjnym.

Bank precyzyjnie określa podział obowiązków w zakresie zarządzania ryzykiem operacyjnym, który jest dostosowany do struktury organizacyjnej. W ramach drugiej linii obrony kompleksowy nadzór nad organizacją standardów i metod zarzadzania ryzkiem operacyjnym sprawuje Departament Ryzyka Operacyjnego działający w ramach obszaru Ryzyka. Określanie i realizacja strategii Banku w zakresie ubezpieczeń, jako metody ograniczania ryzyk, stanowi kompetencję Departamentu Nieruchomości i Administracji. Natomiast zarządzanie ciągłością działania znajduje się w gestii Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania.

W ramach zarządzania ryzykiem prawnym Pion Prawny monitoruje, identyfikuje i analizuje zmiany prawa powszechnego oraz ich wpływ na działalność Grupy oraz postępowania sądowe i administracyjne, które dotyczą Grupy. Bieżącym badaniem ryzyka, brakiem zgodności oraz rozwojem i doskonaleniem adekwatnych technik jego kontroli zajmuje się Departament ds. Monitorowania Zgodności.

Mając na uwadze wzrost zewnętrznych i wewnętrznych zagrożeń noszących znamiona nadużycia lub przestępstwa, wymierzonych przeciwko aktywom Banku i jego klientów, Bank rozszerzał i udoskonalał procesy przeciwdziałania, wykrywania i badania tego typu przypadków. Nadzorem czynności realizowanych w powyższym zakresie zajmuje się Departament Przeciwdziałania Nadużyciom, jako jednostka drugiej linii obrony. O efektywności wdrażanych przez Bank rozwiązań w powyższym zakresie informowany jest Zarząd Banku i Komitet Ryzyka przy Radzie Nadzorczej.

Bank przywiązuje szczególną uwagę do procesów identyfikacji i oceny przyczyn bieżącej ekspozycji na ryzyko operacyjne w obrębie produktów bankowych. Bank dąży do zmniejszania poziomu ryzyka operacyjnego poprzez poprawę procesów wewnętrznych, a także do ograniczania ryzyka operacyjnego, towarzyszącego wprowadzaniu nowych produktów i usług, oraz zlecania czynności na zewnątrz (outsourcing).

Zgodnie z „Polityką Ryzyka Operacyjnego BNP Paribas Bank Polska S.A.”, analiza ryzyka operacyjnego ma na celu zrozumienie zależności występujących pomiędzy czynnikami generującymi to ryzyko i typami zdarzeń operacyjnych, a jej najważniejszym wynikiem jest określenie profilu ryzyka operacyjnego.

Profil ryzyka operacyjnego stanowi ocenę poziomu istotności tego ryzyka, rozumianego jako skala i struktura ekspozycji na ryzyko operacyjne, określająca stopnień narażenia na to ryzyko (tj. na straty operacyjne), wyrażona w wybranych przez Bank wymiarach strukturalnych oraz wymiarach skali. Okresowa ocena i przegląd profilu ryzyka operacyjnego Banku przeprowadzane są w oparciu o analizę aktualnych parametrów ryzyka Banku, zmian i ryzyk występujących w otoczeniu Banku, realizacji strategii działalności biznesowej, jak również oceny adekwatności struktury organizacyjnej oraz efektywności funkcjonującego w Banku systemu zarządzania ryzykiem i kontroli wewnętrznej.

Celem prowadzenia kontroli wewnętrznej jest efektywna kontrola ryzyka, w tym zapobieganie powstawaniu ryzyka lub też jego wczesne wykrycie. Rolą systemu kontroli wewnętrznej jest realizacja celów ogólnych i szczegółowych systemu kontroli wewnętrznej, które powinny być uwzględniane na etapie projektowania mechanizmów kontrolnych. Zasady systemu kontroli wewnętrznej określone zostały w dokumencie „Polityka sprawowania kontroli wewnętrznej w BNP Paribas Bank Polska S.A.”, zatwierdzonym przez Zarząd Banku. Dokument ten określa główne zasady, ramy organizacyjne i standardy funkcjonowania środowiska kontroli w Banku, zachowując zgodność z wymogami KNF określonymi w Rekomendacji H i Rozporządzeniu Ministra Finansów, Funduszy i Polityki Regionalnej z dnia 8 czerwca 2021 roku w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz polityki wynagrodzeń w bankach. Szczegółowe uregulowania wewnętrzne, dotyczące poszczególnych obszarów działalności Banku dostosowane są do specyfiki prowadzonej przez Bank działalności. Za opracowanie szczegółowych regulacji odnoszących się do obszaru kontroli wewnętrznej, odpowiadają właściwe komórki organizacyjne Banku, zgodnie z zakresem przypisanych im zadań.

System kontroli wewnętrznej w Banku oparty jest na modelu 3 linii obrony, na które składają się:

• 1 linia obrony, którą stanowią komórki organizacyjne z poszczególnych obszarów bankowości i obszarów wsparcia,
• 2 linia obrony, którą stanowią komórki organizacyjne odpowiedzialne za zarządzanie ryzykiem niezależnie od zarządzania ryzykiem na pierwszej linii obrony oraz komórka do spraw zgodności,
• 3 linia obrony, którą stanowi niezależna i obiektywna komórka audytu wewnętrznego.

Bank zapewnia sprawowanie kontroli wewnętrznej poprzez niezależne monitorowanie przestrzegania mechanizmów kontrolnych, obejmujące weryfikację bieżącą i testowanie.

Bank dokonuje okresowej weryfikacji funkcjonowania wdrożonego systemu zarządzania ryzykiem operacyjnym oraz jego adekwatności do aktualnego profilu ryzyka Banku. Przeglądy organizacji systemu zarządzania ryzykiem operacyjnym są dokonywane w ramach kontroli okresowej przez Pion Audytu Wewnętrznego, który nie uczestniczy bezpośrednio w procesie zarządzania ryzykiem operacyjnym, natomiast dostarcza profesjonalnej i niezależnej opinii, wspierając osiąganie celów Banku. Rada Nadzorcza sprawuje nadzór nad kontrolą systemu zarządzania ryzykiem operacyjnym oraz ocenia jej adekwatność i skuteczność.

Bank zgodnie z obowiązującymi regulacjami wyznacza kapitał regulacyjny na pokrycie ryzyka operacyjnego. Do kalkulacji Bank stosuje metodę standardową (STA). W zakresie podmiotów zależnych wobec Banku, w ujęciu skonsolidowanym, wymogi odnoszące się do tych podmiotów są wyznaczane według metody wskaźnika bazowego (BIA).

Zgodnie z regulacjami nadzorczymi, Bank sprawuje nadzór nad ryzykiem operacyjnym związanym z działalnością jego podmiotów zależnych. Zarządzanie ryzykiem operacyjnym w podmiotach zależnych realizowane jest w ramach dedykowanych jednostek/osób do tego powołanych. Sposób i metody zarządzania ryzykiem operacyjnym w podmiotach zależnych są zorganizowane adekwatnie do zakresu działania podmiotu oraz profilu jego działalności, zgodnie z zasadami obowiązującymi w Grupie.

W zakresie zarządzania ryzykiem operacyjnym, Bank prowadzi działania w zakresie bieżącej analizy ryzyk związanych z występującym stanem pandemii wirusem COVID-19, oraz podejmuje stosowne działania dotyczące zapewnienia bezpieczeństwa zarówno pracowników, jak i klientów Banku oraz zapewnienia niezakłóconej realizacji procesów związanych z prowadzoną działalnością.