Strategia zarządzania ryzykiem operacyjnym w Powiatowym Banku Spółdzielczym w Węgrowie

Transkrypt

1 ` Załącznik nr.2 Do Polityki informacyjnej PBS w Węgrowie Załącznik do uchwały nr 9/7/2013 Zarządu PBS Węgrów Z dnia r Strategia zarządzania ryzykiem operacyjnym w Powiatowym Banku Spółdzielczym w Węgrowie

2 Spis treści I. WSTĘP... 3 II. DEFINICJE... 3 III. CELE ZARZĄDZANIA RYZYKIEM OPERACYJNYM... 4 IV. ZAŁOŻENIA SYSTEMU ZARZĄDZANIA RYZYKIEM OPERACYJNYM, PRAWNYM, MODELI OGÓLNE KIERUNKI ZARZĄDZANIA RYZYKIEM OPERACYJNYM W BANKU RYZYKO AKCEPTOWALNE OCENA POZIOMU RYZYKA I PRZECIWDZIAŁANIE RYZYKU KLUCZOWE PROCESY WEWNĘTRZNE BANKU MONITOROWANIE RYZYKA LIMITY WEWNĘTRZNE IV. PROCES ZARZĄDZANIA RYZYKIEM OPERACYJNYM ZASADY OGÓLNE PRZEBIEG PROCESU ZARZĄDZANIA RYZYKIEM V. STRUKTURA I ZADANIA ZWIĄZANE Z ZARZĄDZANIEM RYZYKIEM OPERACYJNYM ZADANIA RADY NADZORCZEJ ZADANIA ZARZĄDU ZADANIA KOMÓRKI AUDYTU WEWNĘTRZNEGO ZADANIA POZOSTAŁYCH KOMÓREK, JEDNOSTEK ORGANIZACYJNYCH, ZESPOŁÓW, KOMITETÓW VI. KONTROLA WEWNĘTRZNA Załącznik nr 1- Docelowy profil ryzyka operacyjnego Banku

3 I. Wstęp 1 Niniejsza strategia w zakresie zarządzania ryzykiem operacyjnym określa cele i podstawowe zasady dotyczące funkcjonowania systemu zarządzania ryzykiem operacyjnym w Powiatowym Banku Spółdzielczym w Węgrowie. 2 Niniejsza strategia w zakresie zarządzania ryzykiem operacyjnym uwzględnia w zakresie zgodnym z zasadą proporcjonalności, odpowiednio do warunków i skali działania Banku: 1) przepisy prawa zawarte w Uchwale Komisji Nadzoru Finansowego nr 258/2011, 2) a także zalecenia zawarte w rekomendacjach wydanych przez Komisję Nadzoru Finansowego. II. Definicje 3 Bank przyjmuje w zakresie zarządzania ryzykiem operacyjnym następujące definicje: 1) Ryzyko operacyjne - ryzyko poniesienia straty wynikające z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów technicznych lub zdarzeń zewnętrznych. W zakres ryzyka operacyjnego wchodzi ryzyko prawne. 2) Ryzyko prawne - ryzyko poniesienia strat na skutek błędnego lub zbyt późnego opracowania lub uchwalenia regulacji, ich niestabilności, zmian w orzecznictwie, błędnego ukształtowania stosunków prawnych, jakości dokumentacji formalno-prawnej czy niekorzystnych rozstrzygnięć sądów lub innych organów w sprawach spornych prowadzonych z innymi podmiotami. 3) Ryzyko braku zgodności - skutki nieprzestrzegania przepisów prawa, regulacji wewnętrznych oraz przyjętych przez bank standardów postępowania. 4) Zdarzenie ryzyka operacyjnego działanie lub zdarzenie wewnętrzne lub zewnętrzne związane z działalnością Banku, będące następstwem wystąpienia jednego lub więcej czynników ryzyka operacyjnego, które może skutkować powstaniem strat z tytułu ryzyka operacyjnego

4 5) Strata z tytułu ryzyka operacyjnego koszt incydentu lub strata, która po zaewidencjonowaniu zgodnie z zasadami rachunkowości może wpłynąć na rachunek zysków i strat Banku. 6) Kluczowe wskaźniki ryzyka (KRI) - definiuje się jako zestaw parametrów procesu biznesowego lub obszaru działalności Banku, które z dużym prawdopodobieństwem odzwierciedlają zmiany ( w tym przyszłe) profilu ryzyka operacyjnego tego procesu/obszaru. III. Cele zarządzania ryzykiem operacyjnym 1. Celem nadrzędnym w zakresie zarządzania ryzykiem operacyjnym jest: 4 Utrzymanie narażenia Banku na ryzyko operacyjne na akceptowalnym przez Zarząd i Radę Nadzorczą Banku, bezpiecznym dla działania i rozwoju Banku poziomie. Poprzez akceptowalny poziom ryzyka rozumie się w zakresie realizacji niniejszej strategii utrzymanie poziomu rocznej straty operacyjnej netto w wysokości objętej limitami. 2. Cele szczegółowe to: 1) zapewnienie świadomości występowania ryzyka operacyjnego obciążającego Bank na wszystkich szczeblach zarządzania, 2) wdrożenie i systematyczna weryfikacja procesów zapobiegania oraz zmniejszania skutków ryzyka, odpowiednio do rodzaju ryzyka i jego możliwego wpływu na wynik Banku, 3) zapewnienie opłacalności stosowania wybranych metod ograniczania ryzyka, odpowiednio do skali działania Banku i wielkości ryzyka

5 IV. Założenia systemu zarządzania ryzykiem operacyjnym, prawnym Ogólne kierunki zarządzania ryzykiem operacyjnym w Banku 1) Bank będzie analizować potrzeby związane z zarządzaniem ryzykiem operacyjnym i wprowadzał odpowiednie zmiany organizacyjne, mające na celu minimalizację ryzyka operacyjnego, w tym zmiany wynikające z zewnętrznych przepisów i opracowań instytucji nadzorczych. 2) Zarządzanie ryzykiem operacyjnym Banku ukierunkowane będzie na: 1. działania prewencyjne, związane z identyfikacją, oceną i monitoringiem ryzyka, rozpoznawaniem i zapobieganiem powstawaniu zdarzeń ryzyka operacyjnego w trakcie codziennej działalności, a także zapewnienie identyfikacji i oceny ryzyka przed podjęciem istotnych decyzji związanych z wdrożeniem nowych produktów, procesów, systemów; 2. osłabianie i niwelowanie skutków zaszłych zdarzeń poprzez przygotowanie odpowiednich procedur i sposobów reagowania pracowników Banku na wypadek zajścia zdarzenia ryzyka operacyjnego, a także poprzez dokonanie przeniesienia ryzyka na inne podmioty w przypadku opłacalności i dostępności takiej metody dla danego rodzaju ryzyka. 3) Zarządzanie ryzykiem będzie ukierunkowane ze szczególną uwagą na możliwość powstania dwóch klas zdarzeń: 1. o wysokiej częstotliwości występowania, ale generujących niewielkie straty - zarządzając nimi poprzez ustanowienie limitów, monitorowanie zdarzeń i obserwację przestrzegana limitów występowania zdarzeń, a także poprzez metody zapobiegania powstawaniu ryzyka, w tym także ustanawianie i przestrzeganie odpowiednich procedur oraz działanie mechanizmów kontrolnych (kontroli funkcjonalnej), 2. o niskiej częstotliwości występowania, ale generujących duże straty - zarządzając nimi poprzez ustanawianie procedur awaryjnych, planów ciągłości działania, a także w miarę możliwości i takiej potrzeby, przenosząc ryzyko poza Bank

6 6 1. W zakresie części ryzyka operacyjnego obejmującego ryzyko prawne i ryzyko braku zgodności zarządzanie ukierunkowane jest na stałe dążenie do minimalizowania skutków nieprzestrzegania zewnętrznych i wewnętrznych regulacji prawnych, a także właściwą ochronę interesów Banku poprzez stałe aktualizowanie/dostosowywanie procedur bankowych, kontrolę ich przestrzegania, wsparcie informatyczne, szkolenia, a także korzystanie z zewnętrznego wsparcia prawnego. 2. W zakresie zarządzania ryzykiem prawnym i braku zgodności stosowane będą: 1) regulacje wewnętrzne dotyczące ryzyka braku zgodności, 2) regulacje wewnętrzne dotyczące polityki kadrowej oraz plany szkoleń, 3) regulacje wewnętrzne dotyczące rozpatrywania skarg i reklamacji, 4) inne regulujące w swoim zakresie zagadnienia norm etycznych i zgodności prawnej, 2. Ryzyko akceptowalne 7 1. Ryzyko jest nieodłącznym elementem prowadzenia działalności Banku, na sytuację Banku mogą wpływać zjawiska, które nie dają się w pełni przewidzieć i ocenić. Występowanie przemyślanego i odpowiednio zabezpieczonego ryzyka najczęściej wiąże się z osiąganiem korzyści dla Banku, nadmierne unikanie ryzyka powoduje stagnację i spadek wyników. 2. Należy jednak unikać jako niebezpiecznych i mających znamiona hazardu sytuacji, które wiążą się z niskim prawdopodobieństwem sukcesu i są obarczone dużym ryzykiem, a ewentualne negatywne rezultaty mogą krytycznie wpłynąć na bezpieczeństwo Banku. 3. Zarząd uwzględniając powyższe prawidłowości zakłada w procesie zarządzania ryzykiem operacyjnym następujące sytuacje związane z tolerancją na ryzyko: 1) akceptacja i zarządzanie ryzykiem (kształtowanie: przeniesienie, ograniczanie) - po zastosowaniu wybranych środków ograniczających ryzyko stwierdza się oceniając ryzyko, brak istotnego zagrożenia dla bezpieczeństwa i sytuacji Banku, uwzględniając również spodziewane i uzasadnione korzyści, - 6 -

7 2) rezygnacja (unikanie) - w przypadku, gdy ryzyko jest na poziomie przekraczającym apetyt na ryzyko, po zastosowaniu środków ograniczających ryzyko lub też w sytuacji braku możliwości zastosowania skutecznych metod ograniczania ryzyka. 3. Ocena poziomu ryzyka i przeciwdziałanie ryzyku 8 1. Dokonywana jest ocena ryzyka operacyjnego, polega ona na oszacowaniu prawdopodobieństwa i wielkości przyszłych strat z tytułu zagrożeń. Polega ona na inwentaryzacji procesów, identyfikacji zagrożeń w ramach każdego procesu, a następnie na ustaleniu punktowej wielkości ryzyka procesu. 2. Ocena ryzyka jest dokonywana zgodnie z odpowiednimi regulacjami wewnętrznymi przyjętymi przez Zarząd. 3. Bank dzieli ryzyko wynikające z zagrożeń na poziomy ryzyka, w celu odpowiedniego doboru lub weryfikacji podejścia do ograniczania strat. 4. Oceniając ryzyko wyróżnia się następujące poziomy i odpowiadające im poziomy działań redukujących ryzyko: 1) Ryzyko na poziomie akceptowalnym poziom zielony od 0 do 2 punkty, identyfikacja i ocena danego ryzyka wykazała, że potencjalne zagrożenia nie powodują konieczności stosowania dodatkowych środków ochrony, ani dodatkowych działań monitorujących ponad następującą listę: a) sprawowanie kontroli wewnętrznej funkcjonalnej, b) stosowanie odpowiednich procedur dokonywania operacji, a także limitów w zakresie podejmowania decyzji, w celu ograniczenie strat mogących powstać z tytułu błędów popełnianych przez ludzi, c) szkolenie pracowników mające na celu prawidłowe wykonywanie operacji, a także uświadomienie istnienia i sposobów zapobiegania występowaniu ryzyka, d) przekazywanie bieżących informacji na temat istotnych zdarzeń ryzyka operacyjnego, w celu zapobiegania rozprzestrzenianiu się ryzyka i ograniczeniu jego wpływu, e) monitorowanie zdarzeń ryzyka operacyjnego, gromadzenie informacji dotyczących ryzyka i ich okresowa analiza, f) okresowe raportowanie na temat poziomu ryzyka i obszarów szczególnie narażonych na ryzyko

8 2) Ryzyko o podwyższonym poziomie poziom żółty od 3 do 6 punktów identyfikacja i ocena danego ryzyka wykazała potencjalne zagrożenia wskazujące, że należy rozważyć konieczność wprowadzenia dodatkowych środków ochrony i działań monitorujących w postaci: a) opracowania i wdrożenia odpowiednich planów awaryjnych lub planów utrzymania ciągłości działania dla danego rodzaju zagrożenia, b) automatyzacja wykonywanych czynności stosowana w celu zapobiegania lub wychwytywania błędów ludzkich lub występowania innych zdarzeń ryzyka, c) przeniesienie ryzyka poprzez ubezpieczenie od straty, d) zlecanie wykonania działań wyspecjalizowanemu podmiotowi, e) odpowiednie zapisy w zawieranych z dostawcami lub partnerami umowach, ograniczające ryzyko i dające Bankowi możliwość odszkodowania w przypadku nie wywiązania się przez druga stronę z umowy, f) zwiększenie zakresu i częstotliwości kontroli lub monitorowania funkcjonowania danego obszaru, g) inne uznane za odpowiednie dla danego zagrożenia 3) Ryzyko na poziomie wysokim poziom czerwony 9 punktów, identyfikacja i ocena danego ryzyka wykazała potencjalne zagrożenia wskazujące, że niezbędne jest niezwłoczne zastosowanie dodatkowych środków ochrony skutecznie obniżających poziom ryzyka, częstotliwa weryfikacja metod redukcji ryzyka lub powinna zostać podjęta decyzja o rezygnacji z danej działalności/operacji/procesu Profil ryzyka ustalany jest na podstawie analizy i oceny ryzyka zgodnie z odpowiednimi regulacjami wewnętrznymi przyjętymi przez Zarząd. 2. Docelowy profil ryzyka ustalono w Załączniku nr 1 do niniejszej strategii. 4. Kluczowe procesy wewnętrzne Banku Na potrzeby zarządzania ryzykiem operacyjnym, w tym wyznaczania KRI oraz planowania ciągłości działania oraz planów awaryjnych dokonywana jest cykliczna - 8 -

9 identyfikacja procesów kluczowych zgodnie z odrębnymi regulacjami przyjętymi przez Zarząd. 2. Za procesy kluczowe uznaje się procesy istotnie przyczyniające się do realizacji celów banku. 3. W tym celu wyróżniane są procesy: 1) podstawowe związane bezpośrednio z przychodami Banku 2) procesy pomocnicze wspierające działanie procesów podstawowych. 5. Monitorowanie i pomiar ryzyka Pomiar i monitorowanie ryzyka dokonywane jest zgodnie z odrębnymi zasadami przyjętymi przez Zarząd: 1) prowadzenie rejestru zdarzeń (incydentów) operacyjnych, 2) wyznaczenie i monitorowanie limitów wewnętrznych, 3) wyznaczenie i monitorowanie Kluczowych Wskaźników Ryzyka (KRI), 4) samoocena ryzyka, 5) sporządzane są testy warunków skrajnych Monitorowanie zdarzeń ryzyka operacyjnego - wystąpienie wszystkich zdarzeń ryzyka operacyjnego będzie monitorowane przez wyznaczoną komórkę organizacyjną, w ramach prowadzenia ewidencji zdarzeń operacyjnych, a zebrane dane posłużą do dokonywania cyklicznej identyfikacji, analizy i oceny zagrożeń. 2. Na potrzeby zarządzania ryzykiem operacyjnym wprowadza się następującą klasyfikację zdarzeń ryzyka operacyjnego: - 9 -

10 1) zdarzenia istotne - zdarzenia ryzyka operacyjnego (incydenty), które spowodowały: a. wystąpienie szacunkowej straty finansowej netto co najmniej zł lub b. przerwę w obsłudze klientów placówki co najmniej 8 godzin 2) zdarzenia pozostałe - pozostałe zdarzenia ryzyka operacyjnego. 3. Wystąpienie istotnych zdarzeń ryzyka operacyjnego będzie szczególnie wnikliwie analizowane przez Zarząd Banku Monitorowanie KRI - wyznaczane są Kluczowe Wskaźniki Ryzyka (KRI), w ten sposób że: 1) dokonuje się identyfikacji procesów/obszarów kluczowych, 2) identyfikuje się podstawowe rodzaje zagrożeń dla każdego procesu/obszaru, 3) ustala się istotne wskaźników dla każdej kategorii ryzyka 4) przypisuje się KRI do danego rodzaju zagrożeń, 5) określa wartości progowe 2. Wyznaczona komórka organizacyjna gromadzi dane o aktualnych wielkościach wskaźników, ocenia ich wielkość, porównuje z wielkościami progowymi i na tej podstawie ustala wpływ na profil ryzyka operacyjnego Banku. 6. Limity wewnętrzne Ustala się tolerancję/apetyt banku na ryzyko operacyjne, w tym wartości progowe sum strat poprzez: a) ustalenie globalnego limitu strat - limitu wewnętrznego dotyczącego maksymalnej wysokości rocznych strat z tytułu zdarzeń ryzyka operacyjnego w wysokości 5% wymogu kapitałowego na ryzyko operacyjne obliczonego zgodnie z Uchwałą nr 76/2010 Komisji Nadzoru Finansowego, a także b) limity dla klas zdarzeń rozumianych na potrzeby niniejszej strategii jako rodzaje zdarzeń ujęte w Załączniku nr 1 do Rekomendacji M

11 Wysokość limitów dla klas zdarzeń wynosi: Lp. Klasa zdarzeń Limit 1. Oszustwa wewnętrzne 0 zł 2. Oszustwa zewnętrzne 0 zł 3. Zasady dotyczące zatrudnienia oraz bezpieczeństwo w miejscu pracy zł 4. Klienci, produkty i praktyki operacyjne zł 5. Szkody związane z aktywami rzeczowymi zł 6. Zakłócenia działalności banku i awarie systemów zł 7. Wykonanie transakcji, dostawa i zarządzanie procesami operacyjnymi zł 2. Wykonanie limitów badane będzie w układzie kwartalnym, a obserwacji podlegają ponoszone przez Bank annualizowane straty z tytułu zdarzeń ryzyka operacyjnego, zgodnie z definicją z niniejszej strategii. 3. Przypadki przekroczenia limitu będą raportowane do Zarządu i Rady Nadzorczej, podjęte zostaną również działania zmierzające do ustalenia przyczyn przekroczeń, zmierzające do ustabilizowania sytuacji powodującej powiększanie strat, a także nieprzekraczania maksymalnej wielkości strat w przyszłości. 15 Wskaźniki graniczne dla KRI ustalane będą graniczne wielkości kluczowych wskaźników ryzyka, których przekroczenie będzie traktowane jako sygnał wzrostu ryzyka i odpowiednio raportowane do Zarządu i Rady Nadzorczej. IV. Proces zarządzania ryzykiem operacyjnym 1. Zasady ogólne Zarządzanie ryzykiem operacyjnym jest procesem ciągłym i systematycznym. 2. W pierwszej kolejności proces ten powinien odnosić się do istotnych obszarów działalności Banku oraz uwzględniać te zagrożenia, które w największym stopniu mogą naruszyć interesy Banku

12 3. Dla tej grupy obszarów i zagrożeń należy przeznaczyć proporcjonalnie najwięcej czasu w procesie zarządzania oraz zapewnić ścisłe powiązanie pomiędzy wynikami analizy ryzyka a doborem odpowiednich metod i środków ochrony. 2. Przebieg procesu zarządzania ryzykiem Proces zarządzania Ryzykiem Operacyjnym odbywa się wg następujących etapów: 1) Identyfikacja i analiza zagrożeń - identyfikacja odbywa się na podstawie: 1. doświadczeń własnych, w szczególności na podstawie: prowadzonej ewidencji zdarzeń ryzyka operacyjnego, technik samooceny ryzyka, wyników testów warunków skrajnych, 2. oceny skali prowadzenia określonych operacji, 3. oceny kluczowych wskaźników ryzyka, 4. źródeł zewnętrznych: danych statystycznych, raportów, analiz. 2) Ocena ryzyka - ocenę ryzyka prowadzi się z uwzględnieniem zagrożeń odnoszących się do poszczególnych rodzajów ryzyka, spodziewanego prawdopodobieństwa ich wystąpienia oraz ich wpływu na działalność Banku 3) Analiza dostępnych środków ograniczania ryzyka - analiza wykonywana jest w aspekcie technicznym, organizacyjnym i finansowym. Celem analizy jest ocena w jaki sposób zastosowane środki ochrony mogą zmniejszyć prawdopodobieństwo lub skutki wystąpienia danego zagrożenia. 4) Wybór środków ograniczania ryzyka a) Wybór środków ma na celu ograniczenie ryzyka poprzez zmniejszenie prawdopodobieństwa wystąpienia zdarzenia powodującego straty bądź też zmniejszenie skutków potencjalnych zdarzeń, czyli ograniczenie strat jeżeli zdarzenie ryzyka już wystąpi. b) Wybór środków opiera się wcześniejszej analizie dostępnych środków

13 ochrony oraz ocenie ryzyka c) Wyboru dokonuje się z uwzględnieniem kosztów danego środka oraz spodziewanego ograniczenia ryzyka w wyniku zastosowania danego środka ochrony. d) Dopuszczalne jest także zastosowanie środków ochrony zgodnych z najlepszymi praktykami i uznawanych za standardowe w danej dziedzinie. 5) Akceptowanie poziomu ryzyka - proces akceptacji poziomu ryzyka polega na świadomym wyborze jednej z poniższych możliwości: a) Akceptacja spodziewanego ryzyka pozostałego po zastosowaniu wybranych środków ochrony. Ryzyko jest akceptowalne wobec korzyści, które przynoszą zasoby podlegające ryzyku. b) Rezygnacja z zagrożonego zasobu (np. rezygnacji z określonego procesu lub danego obszaru działalności) Ryzyko jest na tyle duże wobec korzyści, które przynoszą zagrożone zasoby, że nie może być zaakceptowane. Brak opłacalnych środków ochrony, które mogłyby ograniczyć ryzyko. 6) Wdrożenie wybranych środków ograniczania ryzyka - komórka organizacyjna wyznaczona przez Zarząd odpowiedzialna podejmuje działania mające na celu wdrożenie odpowiedniego środka ograniczającego ryzyko. 7) Monitorowanie ryzyka i raportowanie - procesowi monitorowania powinny być poddane wszystkie zdarzenia powodujące straty z tytułu ryzyka operacyjnego, oraz wszelkie nawet hipotetyczne / potencjalne zagrożenia, które mogą mieć wpływ na działalność banku. 8) Kontrola wewnętrzna - proces zarządzania ryzykiem operacyjnym powinien być objęty systemem kontroli wewnętrznej pod kątem zgodności z przyjętymi regulacjami, poprawności działania i skuteczności

14 V. Struktura i zadania związane z zarządzaniem ryzykiem operacyjnym 1. Zadania Rady Nadzorczej Rada Nadzorcza dokonuje okresowej oceny realizacji przez Zarząd założeń strategii w odniesieniu do zasad zarządzania ryzykiem operacyjnym banku. W tym celu Zarząd Banku okresowo przedkłada Radzie Nadzorczej syntetyczną informację na temat skali i rodzajów ryzyka operacyjnego, na które narażony jest Bank, prawdopodobieństwa i spodziewanych skutków jego wystąpienia oraz metod zarządzania ryzykiem operacyjnym. 2. Rada Nadzorcza sprawuje nadzór nad kontrolą systemu zarządzania ryzykiem operacyjnym oraz ocenia, jej adekwatność i skuteczność. 2. Zadania Zarządu Zarząd Banku odpowiada za opracowanie i wdrożenie strategii zarządzania ryzykiem, w tym za zorganizowanie i funkcjonowanie procesu zarządzania ryzykiem operacyjnym, oraz jeśli to konieczne - wprowadzanie niezbędnych korekt w celu usprawnienia tego procesu. Zasady i procedury zarządzania ryzykiem operacyjnym powinny obejmować pełen zakres działalności banku. 2. Zarząd poprzez swoje działania dba, aby wszyscy pracownicy Banku postrzegali ryzyko operacyjne, jako ten rodzaj ryzyka na które Bank jest narażony w coraz większym stopniu i odpowiednio do tego uwzględniali istnienie ryzyka w swoim działaniu i decyzjach. 3. Zarząd swoimi działaniami dąży do stworzenia kultury organizacyjnej nastawionej na efektywne zarządzanie ryzykiem operacyjnym, a także na konsekwentne stosowanie ustalonych reguł postępowania (procedur). Najważniejsze elementy takiej kultury organizacyjnej to: 1) stosowanie zasad etycznych i kodeksów postępowania, 2) komunikowanie celów pracownikom,

15 3) jasne przypisanie pracownikom zadań i celów, 4) ustalenie zasad oceny działania, 5) szkolenia, 6) stosowanie odpowiednich sposobów podejmowania decyzji, 7) przekazywanie możliwych uprawnień i odpowiedzialności na niższe szczeble, przy zachowaniu odpowiedniego nadzoru i kontroli. 4. Zarząd w ramach realizacji niniejszej strategii opracowuje i wdraża udokumentowane procedury zarządzania ryzykiem, a także określa strukturę i zakresy odpowiedzialności związane z zarządzaniem ryzykiem operacyjnym na różnych szczeblach organizacji. 5. Zarząd dba o zapewnienie odpowiedniego doświadczenia, kwalifikacji i wyposażenia osób zajmujących się zarządzaniem i monitorowaniem ryzyka operacyjnego. 3. Zadania komórki audytu wewnętrznego Kontroluje i ocenia system zarządzania ryzykiem operacyjnym. 2. Komórka kontroli wewnętrznej nie wypełnia bezpośrednio funkcji zarządzania ryzykiem, dostarcza natomiast obiektywnej oceny: efektywności, adekwatności i skuteczności funkcjonującego systemu zarządzania oraz jakości procesów bankowych. 4. Zadania pozostałych komórek, jednostek organizacyjnych, zespołów, komitetów Ogólne zadania wszystkich komórek i jednostek organizacyjnych to: 1) przestrzeganie instrukcji i regulacji wewnętrznych obowiązujących w Banku, w tym dotyczących zarządzania ryzykiem operacyjnym, 2) przekazywanie informacji o zdarzeniach ryzyka operacyjnego (incydentach), 3) uczestnictwo w wyjaśnianiu przyczyn powstania zdarzeń. 2. Szczegółowe zadania i zakres odpowiedzialności pozostałych komórek i jednostek organizacyjnych określi Zarząd w odpowiednich instrukcjach i regulaminach ustalających szczegółowe zasady zarządzania ryzykiem operacyjnym

16 VI. Kontrola wewnętrzna System zarządzania ryzykiem operacyjnym podlega kontroli wewnętrznej w ramach regulacji wewnętrznych dotyczących funkcjonowania systemu kontroli wewnętrznej Banku. 2. Kontrola wewnętrzna obejmuje kontrolę bieżącą i planowaną kontrolę następną, a także kontrole w ramach audytu wewnętrznego

17 Załącznik nr 1 Docelowy profil ryzyka operacyjnego Banku L.p. Nazwa procesu Maksymalna wielkość punktowa ryzyka (zgodnie z Metodyką oceny ryzyka banku i sporządzania mapy ryzyka ) 1. Działalność kredytowa 6 2. Działalność depozytowa, obsługa rachunków 6 3. Działalność rozliczeniowa, obsługa kart 6 4. Lokowanie środków 2 5. Planowanie 2 6. Zarządzanie ryzykiem, w tym aktywami i pasywami 4 7. Zarządzanie kapitałami 4 8. Prowadzenie ksiąg i obowiązki publiczno-prawne 2 9. Zarządzanie zasobami ludzkimi Zarządzanie IT