Ryzyko operacyjne

Definicja ryzyka operacyjnego jest szeroka i obejmuje następujące obszary:

Ryzyko błędów w kontroli

Ryzyko niedozwolonych działań

Ryzyko błędów w przetwarzaniu

Ryzyko straty spowodowanej niezastosowaniem mechanizmów kontrolnych – ustanowionych w ramach procedur zarządczych lub metod zarządzania projektami w naszym banku.

Ryzyko straty spowodowanej nieuprawnionymi działaniami pracowników lub przekroczeniem posiadanych uprawnień.

Ryzyko straty powstałej w wyniku błędu ludzkiego lub przeoczenia podczas przetwarzania danych – z powodu wystąpienia nieoczekiwanych lub nieprzewidzianych problemów. To także ryzyko straty z powodu błędu przetwarzania lub niewłaściwego zarządzania procesem przetwarzania. Błędy te są zazwyczaj niezamierzone i powstają podczas dokumentowania lub finalizowania bieżących transakcji biznesowych.

Ryzyko niewłaściwych praktyk kadrowych i bezpieczeństwa miejsca pracy

Ryzyko naruszenia bezpieczeństwa osób i zasobów

Ryzyko informacji (ang. IT risk)

Ryzyko straty spowodowanej niezastosowaniem praktyk i zasad zatrudnienia, prawa pracy, przepisów BHP, porozumień zawartych z pracownikami lub z wypłat odszkodowań za wypadki przy pracy oraz zdarzeń z zakresu dyskryminacji.

Dotyczy zagrożeń kryminalnych, cywilizacyjnych lub środowiskowych, które mogą zagrażać bezpieczeństwu lub mieć negatywny wpływ na nasz personel, klientów, a także zasoby banku.

Ryzyko straty z powodu utraty poufności, integralności lub dostępu do informacji z powodu nieprawidłowego zabezpieczenia informacji lub zasobu informacji.

Ryzyko zakłócenia ciągłości działalności

Ryzyko oszustw wewnętrznych i zewnętrznych

Ryzyko braku zgodności / compilance

Ryzyko starty z powodu zamierzonego nadużycia procedur, systemów, środków, produktów lub usług w celu bezprawnego lub nieuczciwego osiągnięcia korzyści własnej lub dla innych osób.

Ryzyko braku zgodności jest rozumiane jako skutki nieprzestrzegania w działalności Banku przepisów prawa, regulacji wewnętrznych oraz przyjętych przez Bank standardów postępowania. Konsekwencjami ryzyka braku zgodności mogą być: pogorszenie reputacji Banku lub narażenie Banku na straty związane z roszczeniami prawnymi, karami finansowymi lub innego rodzaju sankcjami, nałożonymi przez regulatorów bądź uprawnione organy kontrolne. Ryzyko braku zgodności jest również określane jako ryzyko compliance.

Rada Nadzorcza Banku sprawuje nadzór nad zarządzaniem ryzykiem braku zgodności w Banku, a Zarząd Banku odpowiada za efektywne zarządzanie w Banku ryzykiem braku zgodności, w tym za: wdrożenie rozwiązań organizacyjnych, regulacji i procedur, umożliwiających efektywne zarządzanie ryzykiem braku zgodności oraz za zapewnienie adekwatnych zasobów i środków wymaganych dla realizacji zadań.

Departament Compliance jest jednostką organizacyjną, która pełni rolę komórki ds. zarządzania ryzykiem braku zgodności. Działania Departamentu Compliance obejmują: identyfikowanie, ocenę, ograniczanie, monitorowanie oraz raportowanie ryzyka braku zgodności w odniesieniu do następujących, kluczowych zagrożeń dotyczących: działań klientów, działań pracowników, świadczenia usług finansowych oraz funkcjonowania organizacji.

Bank wprowadza mechanizmy ograniczające ryzyko braku zgodności, w postaci:
• polityk, regulaminów, instrukcji oraz innych regulacji wewnętrznych określających procedury i standardy postępowania,
• zaleceń i wytycznych, a także programów szkoleniowych i podnoszących świadomość pracowników w zakresie zarządzania ryzykiem braku zgodności,
• rozwiązań organizacyjnych umożliwiających skuteczne zarządzanie ryzykiem braku zgodności, w tym rozwiązań ograniczających ryzyko konfliktu interesów,
• aplikacji i innych narzędzi IT wykorzystywanych w kontrolach z zakresu zarządzania ryzykiem braku zgodności, a także realizowanych w tym zakresie kontroli manualnych.

Raportowanie ryzyka braku zgodności odbywa się poprzez bieżące informowanie o istotnych zdarzeniach Prezesa Zarządu Banku oraz kwartalne przekazywanie informacji zarządczej Komitetowi Ryzyka Niefinansowego – Zarządowi Banku oraz Komitetowi Audytu i Radzie Nadzorczej.

Nasz cel zarządzania ryzykiem operacyjnym to ciągła poprawa bezpieczeństwa banku i naszych klientów, obniżenie kosztów funkcjonowania i poprawa efektywności działania.

Zarząd banku – po uzyskaniu akceptacji rady nadzorczej – określił strategię zarządzania ryzykiem operacyjnym oraz przeciwdziałania oszustwom. Wprowadził spójny pakiet wewnętrznych dokumentów normatywnych regulujących zakres, zasady i obowiązki pracowników. Zadanie tego pakietu to ograniczanie skutków i prawdopodobieństwa strat finansowych i reputacyjnych w tym obszarze.

Strategia zarządzania ryzykiem operacyjnym naszego banku uwzględnia wymagania prawne i regulacyjne oraz wykorzystuje dobre praktyki Grupy ING.

Ponadto zarząd – także w porozumieniu z radą nadzorczą – przyjął w 2016 roku Deklarację apetytu na ryzyko niefinansowe. Określił w niej maksymalne dopuszczalne limity strat, limity kapitałowe oraz zakres ryzyka, jaki jest skłonny podjąć, realizując zaplanowane cele biznesowe – przy zachowaniu pełnej zgodności z prawem i regulacjami. Poziom wykorzystania limitów jest monitorowany i przedstawiany okresowo zarządowi, komitetowi audytu, komitetowi ryzyka oraz radzie nadzorczej. Deklarację apetytu na ryzyko zaktualizowaliśmy po tym, jak do struktur banku włączyliśmy ING Securities (1 czerwca 2016 roku).

System zarządzania ryzykiem operacyjnym dotyczy wszystkich sfer naszej działalności oraz działalności grupy kapitałowej, współpracy z outsourcerami, klientami i partnerami. Stanowi on spójną, stałą praktykę. Obejmuje ona następujące elementy:

  • identyfikację i ocenę ryzyka,
  • ograniczanie ryzyka,
  • wykonywanie kontroli,
  • monitorowanie i zapewnienie jakości.

Zarządzanie ryzykiem operacyjnym w ING Banku Śląskim opieramy na następujących ogólnych zasadach:

  • Utrzymujemy kompletną, spójną i transparentną strukturę zarządzania ryzykiem operacyjnym z jasno przypisanym zakresem zadań i odpowiedzialności.
  • Rozpoznajemy charakter środowiska wewnętrznego i zewnętrznego – w tym ograniczenia oraz słabości – wyciągamy wnioski ze zdarzeń zewnętrznych i wewnętrznych, aby ustalić przyczyny zdarzenia oraz rozpoznać ewentualne nieprawidłowości w środowisku kontrolnym lub określić nierozpoznane ekspozycje na ryzyko. Identyfikujemy przyczyny, rodzaje i poziomy ryzyka, które jesteśmy gotowi podjąć. Wyznacza także standardy działań ograniczających.
  • Mamy skuteczną i spójną identyfikację i kontrolę ryzyka dla wszystkich produktów, działań, procesów i systemów funkcjonujących w banku.
  • W naszym banku funkcjonuje monitorowanie i raportowanie kapitału, profilu ryzyka oraz ekspozycji na ryzyko – na wszystkich poziomach organizacji. Celem tego jest wspieranie procesów zarządzania ryzykiem.
  • Struktura zarządzania uwzględnia Model trzech linii obrony, w tym zakres i specyfikę naszej działalności, istniejące linie biznesowe, segmenty klientów oraz grupy produktowe. Szczególnie istotną rolę w zapewnieniu ciągłości i spójności zarządzania ryzykiem pełni Komitet Zarządzania Ryzykiem Niefinansowym Banku. Obejmuje on obszary ryzyka operacyjnego, ryzyka braku zgodności oraz przeciwdziałania oszustom zewnętrznym i wewnętrznym.

Jako główne czynniki mające wpływ na poziom ryzyka uznajemy:

  • wiedzę i kompetencje pracowników,
  • warunki pracy,
  • odpowiedni podział obowiązków i nadzór nad ich wypełnianiem,
  • integralność procesów biznesowych oraz systemów informatycznych i technicznych,
  • jakość dokumentacji wewnętrznej i zewnętrznej,
  • poziom bezpieczeństwa informacyjnego,
  • zdarzenia zewnętrzne związane ze zmianami w środowisku biznesowym,
  • klęski żywiołowe, awarie i katastrofy,
  • czynności zlecone na zewnątrz (outsourcing).

Cyberprzestępczość

Cyberprzestępczość jest ciągłym zagrożeniem dla firm w ogóle, a dla instytucji finansowych w szczególności. Częstotliwość i intensywność ataków wzrasta w skali globalnej. Zagrożenia wynikające z ataków DDoS (Distributed Denial of Service), ukierunkowanych ataków APT (Advanced Persisten Treats) oraz Ransomware (rodzaj oprogramowania używanego w przestępczości internetowej) wzmagają się na całym świecie.

Nasz bank buduje swoją odporność na cyberprzestępczość. Wdrażamy mechanizmy monitorujące i kontrolne – ich celem jest wykrywanie i odpowiednia reakcja na przestępczość elektroniczną. W 2016 roku nie doświadczyliśmy żadnych incydentów w kwestii cyberprzestępczości, które mogłyby być sklasyfikowane jako materialnie istotne. Kluczowe decyzje w zakresie  definiowania, wdrażania i monitorowania kierunków  rozwoju bezpieczeństwa środowiska teleinformatycznego podejmuje Rada Bezpieczeństwa Środowiska Teleinformatycznego.

Ciągle zwracamy uwagę na podnoszenie świadomości pracowników oraz managerów tzw. pierwszej linii obrony. Stale poszerzamy wiedzę i kompetencje pracowników (specjalistów, ekspertów, kadry zarządzającej) drugiej linii obrony. Priorytetem jest efektywność procesów zarządzania ryzykiem oraz wysoka jakość wykorzystywanych danych.

Więcej informacji o naszym podejściu do ryzyka operacyjnego można znaleźć w:

  • Sprawozdaniu Zarządu z działalności w 2016 roku (strony 66-66),
  • Skonsolidowanym sprawozdaniu finansowym za rok 2016 (strony 182-183).

Obydwa sprawozdania znajdują się na naszej stronie internetowej.

setting
poprzednia strona
następna strona
scroll to top